Những dấu hiệu hacker đã xâm nhập mạng của bạn

19/10/2019

Không phải là tuyệt đối, song 5 dấu hiệu được liệt kê sẽ giúp bạn chủ động phát hiện sớm những hành vi tấn công mạng mà kẻ xấu đang manh nha triển khai.

Theo một số chuyên gia mạng, về cơ bản thì giới hacker đã truy cập thành công vào khoảng 96% các hệ thống mạng, vì thế bạn cần nhận diện và triển khai các hành động ngăn chặn trước khi chúng có thời gian chiếm quyền điều khiển (hệ thống mạng), truy cập dữ liệu có giá trị và đánh cắp.

Tuy nhiên, đáng mừng là một đợt tấn công thường không kết thúc bằng sự lây nhiễm hay chiếm quyền điều khiển điểm mạng nào đó. Hay nói rõ hơn, việc hacker hay mã độc đồn trú trong hệ thống mạng chỉ là điểm khởi đầu.

Do đó, khi một đợt tấn công bắt đầu diễn ra, có thể dễ nhận diện và ngăn chặn nếu bạn biết cách tìm ra chúng.

Phát hiện xâm nhập là một trong những kỹ năng quan trọng của người quản trị mạng.

1. Tìm dấu hiệu rò rỉ

Bạn hãy quét các cổng, tìm trên tập tin nhật ký (log file) những lần nhập thất bại và các kiểu nhận diện khác mà kẻ tấn công muốn định hình được hệ thống mạng của bạn.

Một kẻ tấn công ban đầu sẽ cần biết được các đặc điểm, nốt mạng của bạn sau khi chúng đã xâm nhập. Chúng sẽ tìm những điểm dễ có lỗ hổng và các máy chủ, và muốn biết được người dùng nào có quyền quản trị hệ thống và nơi lưu trữ dữ liệu giá trị.

Hầu hết công cụ nhận diện sự xâm nhập có thể nhận diện phần mềm quét cổng. Tuy vậy, để phát hiện được kiểu quét hợp pháp và quét lén lút rất khó. Chúng ta cần đối diện với điều này. Tuy vậy, bạn có thể tìm được những điểm nghi ngờ của một đợt tấn công nếu thiết lập cần có bao nhiêu cổng và đích đến cho các thiết bị khác nhau trên mạng thường truy cập. 

Cách thức: Sử dụng các công cụ kiểm soát và quản trị mạng, NetFlow). 

Khó khăn: Kẻ tấn công có thể rất lén lút, nên bạn cần dành nhiều thời gian để phân tích dữ liệu. Cũng vậy, có rất nhiều công cụ và giao thức trao đổi thông tin rất nhiều nên bạn mất thời gian lọc ra những dữ liệu nhiễu.

2. Tìm người dùng "thông thường" tìm cách thực hiện các tác vụ quản trị

Vì kẻ tấn công thường sử dụng các công cụ có sẵn trên máy tính và máy chủ hơn là dùng những công cụ chuyên tấn công và malware để tránh bị  hần mềm chống virus và chống xâm nhập phát hiện. Do đó, bạn có thể dễ nhận diện điều này hơn. Những dịch vụ về cấp quyền như Active Directory có thể giúp bạn thiết lập quyền cho người dùng bên trong hệ thống. Sau khi nắm được ai là người có quyền admin, bạn cần liệt kê những người admin đó sử dụng công cụ nào và họ quản lý những thiết bị nào, như là ai có quyền admin cơ sở dữ liệu ERP hay website Intranet. Qua đó, bạn có thể xác định được khi nào kẻ tấn công chiếm dụng một máy tính và chạy các tác vụ quản trị.

Cách thức: Kết hợp các thông tin trên hệ thống mạng (như packet hay dữ liệu NetFLow) và thông tin dịch vụ thư mục, đó là cách tốt nhất để nhận diện ai có quyền quản trị trên hệ thống.

Khó khăn: Không may là không có nguồn thông tin thống nhất để chỉ cho bạn biết chính xác ai là nhà quản trị và họ đang quản lý thứ gì trên mạng. Tuy vậy, có thể ban đầu bạn nên theo dõi đường truyền SSH và RPC. Có thể bạn cũng sẽ gặp nhiều tín hiệu giả, nhưng dựa trên giao thức này, bạn có được cơ sở để nhận diện xâm nhập.

3. Tìm một thiết bị sử dụng nhiều tài khoản để truy cập tài nguyên hệ thống

Kẻ tấn công thường chuộng sử dụng nhiều tài khoản để dễ thực hiện ý đồ của chúng và tránh phát hiện. Chúng che giấu hoặc tự tạo các tài khoản và sử dụng những tài khoản này để truy cập dữ liệu, cả tấn công từ bên ngoài lẫn khi đã lọt được vào trong hệ thống. Phân tích lưu lượng sử dụng dựa trên tài khoản sẽ xác định được kẻ bên ngoài.

Cách thức: Giám sát lưu lượng mạng hay phân tích log file trên kiến trúc xác thực, đăng nhập là cách tốt nhất để nhận diện những tài khoản mới. Trích xuất dữ liệu và phân tích dữ liệu để bạn nắm được một người dùng trung bình tương tác với bao nhiêu hệ thống, thiết bị trên mạng. Sau đó lọc ra những tài khoản bất thường.

Khó khăn: Mỗi người dùng có cách sử dụng nguồn tài nguyên trên mạng nội bộ rất khác nhau, nhưng bạn vẫn có thể tạo ra một mức "chung" nhất để so sánh. 

4. Tìm kẻ tấn công bằng cách tìm dữ liệu có giá trị trong máy chủ file

Một bước mà kẻ tấn công thường làm là tìm xem file Windows chia sẻ nằm ở đâu trên mạng để lục lọi dữ liệu giá trị, như là số thẻ tín dụng hay các tài liệu sở hữu trí tuệ, hay đơn giản là chúng muốn mã hoá mọi dữ liệu để tấn công đòi tiền chuộc (ransomware). Nhận diện ra điểm bất thường trong truy cập file được chia sẻ có thể là một dấu hiệu giá trị, vì từ đó bạn cũng có thể phát hiện nhân viên nào đó có hành vi xấu.

Cách thức: Log trên file server là cách tốt nhất. Nhưng lục lọi trên file này, bạn cần có cách nhìn về một người dùng thông thường để có thể nhìn thấy được những điểm bất thường.

Khó khăn: Vài thư mục chia sẻ file được truy cập rất nhiều, và đôi khi có một người dùng nào đó truy cập lần đầu rất nhiều nên có thể là báo động giả mà thôi. Hơn nữa, dữ liệu truy cập thường rất khó phân tích. Các công cụ mạng cũng có thể giám sát và chúng đưa ra rất nhiều dữ liệu đáng cho bạn xem qua.

5. Tìm các lệnh liên quan đến điều khiển dữ liệu hay cơ chế truy cập ngầm, liên tục

Kẻ tấn công cần một cách giao tiếp được giữa Internet và các điểm endpoint để thiết lập được môi trường điều khiển. Trong khi cách dùng malware dần ít được tin tặc sử dụng hơn trước nhưng dùng malware để duy trì đầu mối tấn công vẫn còn phổ biến, và thứ hai là Remote Access Trojan (RAT). Bạn hãy chú ý đến đường ra dữ liệu (outbound) xem có gì bất thường hay không.

Cách thức: Nhiều công cụ bảo mật cũng đã có những tác vụ liên quan đến điều khiển hệ thống. Những malware mới tinh vi hơn, chúng tìm cách kết nối đến các nguồn tài nguyên đám mây như AWS hay Azure hay máy chủ mới mà những dịch vụ nhận diện xâm nhập truyền thống không phát hiện được. Bạn có thể kiểm tra file log DNS để tìm các mẫu DNS trỏ đến những máy chủ điều khiển. Có rất nhiều request DNS thất bại hoặc request trông như tên miền tự tạo, đó là dấu hiệu malware được lập trình để tránh bị chặn.

Khó khăn: Kẻ tấn công có nhiều cách ẩn mình nên tốt nhất bạn nên luôn cảnh giác, không nên chỉ phụ thuộc vào mỗi cơ chế nhận diện xâm nhập của hệ thống để phát hiện malware. Bạn rất khó nhận diện kẻ tấn công khi chúng sử dụng các dịch vụ phổ biến trên mạng như Facebook, Twitter, Gmail... nhưng chúng lại rất dễ nhận diện nếu sử dụng nhiều tài khoản riêng biệt để truy cập dịch vụ.

Có nhiều công cụ và quy trình để giúp bạn xác định được kẻ tấn công. Có nhiều tác vụ mà kẻ tấn công buộc phải thực hiện để chúng mới có thể phát hiện được môi trường mà chúng xâm nhập được vào. Xâm nhập vào hệ thống mới chỉ là bước đầu tiên. Chí ít, chúng cần phải kết nối ngược lại để thực hiện hành vi như đào bitcoin, lừa đảo, giả mạo hay nhiều chiêu trò khác. Do đó, bạn vẫn còn nhiều thời gian để phát hiện xâm nhập trước khi chúng tiến hành được hành vi xấu. 

Xa hơn nữa, bạn vẫn có thể xác định được mọi hành vi trực tiếp từ mạng nếu bạn có thể trích xuất đúng dữ liệu từ các luồng packet. Điều này rất khó thực hiện thủ công, nhưng là cách rất tốt so với một công cụ tự động. Bằng cách phân tích lưu lượng mạng với Deep Packet Inspection, một giải pháp bảo mật tự động có thể nhận diện những bất thường giúp bạn. 

Nếu bạn thích với các bước nhận diện tự động như vậy, một giải pháp khác là sử dụng kỹ thuật machine learning để bạn có được một chuẩn chung trên mạng, dựa vào đó so sánh với những gì bất thường đang xảy ra.

Tin liên quan

21/01/2021

Tiềm năng ứng dụng Blockchain để tăng cường bảo mật các hệ thống IoT

Nhờ thuật toán phức tạp, khả năng bảo mật cao, có thể vô hiệu hóa sự can thiệp chỉnh sửa tới dữ liệu, tạo ra tính minh bạch cho người dùng, do đó Blockchain được dự đoán sẽ tiếp tục tạo ra nhiều ứng dụng thiết thực trong đó có ứng dụng trong bảo mật hệ thống Internet of Things.

18/01/2021

Top 4 Free VPS Control Pannel bạn nên sử dụng

​Free VPS Control Pannel là một giải pháp giúp bạn quản lý các máy chủ ảo của mình một cách đơn giản và miễn phí. Bài viết này, Viettel IDC sẽ giới thiệu đến bạn 4 công cụ Free VPS Control Pannel được sử dụng hàng đầu hiện nay bởi người dùng toàn cầu nhé.

18/01/2021

So sánh Cloud Server CMC và Cloud Server Viettel IDC

​Cloud Server là một dịch vụ khá phổ biến và được đông đảo người dùng lựa chọn do sự phù hợp về chi phí cũng như những hiệu năng nhất định mà nó mang lại. Hôm nay, hãy cùng chúng tôi dành chút thời gian để điểm nhanh những thứ tương đồng về dịch vụ Cloud Server CMC và Viettel IDC - 2 nhà cung cấp hàng đầu về lĩnh vực lưu trữ trên thị trường hiện nay nhé.

17/01/2021

3 lý do tại sao các dịch vụ Free VPS lại là một trò lừa đảo

Free VPS là một dịch vụ miễn phí máy chủ ảo được phát hành bởi các nhà cung cấp dịch vụ lưu trữ hiện nay. Trên thực tế, ngoài một số dịch vụ Free VPS từ các nhà cung cấp lớn và uy tín ra thì cũng có vô vàn các nhà cung cấp lợi dụng mác Free VPS để lừa đảo người dùng. Bài viết này, Viettel IDC sẽ giúp bạn nhìn thấu hơn 3 chiêu trò lừa đảo gắn mác Free VPS kể trên nhé.

17/01/2021

2 nhà cung cấp Free VPS quốc tế bạn nên sử dụng cho năm 2021

Trong bài viết này, Viettel IDC sẽ giúp bạn tìm hiểu thêm về hai tân binh trên thế giới đã và đang cung cấp các dịch vụ Free VPS hiệu suất cao để bạn có thể trải nghiệm khi cần. Chúng là gì hãy cùng Viettel IDC tìm hiểu kỹ hơn nhé.

17/01/2021

Cách để nhận được dịch vụ Free VPS cho sinh viên năm 2021

​Một dịch vụ Free VPS cho sinh viên là điều quan trọng cần cung cấp để họ có thể bắt đầu làm việc với các dự án để học và thực hành. Virtual Private Server dạng viết tắt là VPS, và nó được hàng triệu người dùng yêu thích nó hơn là Shared Hosting. Nếu bạn là một sinh viên công nghệ, bạn cần sử dụng VPS cho công việc học hành của mình thì bài viết này là dành cho bạn.

17/01/2021

Cùng Viettel IDC tìm hiểu chi tiết về dịch vụ Free VPS trong giao dịch ngoại hối

Dịch vụ Máy chủ riêng ảo (VPS) đang trở nên phổ biến rộng rãi đối với cả nhà giao dịch bán lẻ cũng như tổ chức trên thị trường ngoại hối. Các nhà giao dịch ngoại hối phải đối mặt với vô số thách thức trong khi giải quyết thị trường ngoại hối biến động mạnh. Một dịch vụ VPS có thể giúp họ giải quyết được vấn đề này.

15/01/2021

Bán VPS cho dân không chuyên, nhà cung cấp được gì và mất gì?

Nhu cầu sở hữu một dịch vụ lưu trữ máy chủ ảo đang ngày càng nở rộ. Nó không chỉ co cụm lại trong một nhóm những người quản trị hệ thống của mỗi doanh nghiệp nữa. Ngày nay, nhiều cá nhân không chuyên cũng sở hữu cho mình những gói VPS để duy trì và phát triển Website của riêng họ.

15/01/2021

Hybrid Cloud Server là gì? Doanh nghiệp được lợi gì khi sử dụng Hybrid Cloud Server?

Mô hình Hybrid Cloud Server là một cách hiệu quả để điều chỉnh các ưu tiên CNTT với nhu cầu kinh doanh. Nhiều doanh nghiệp có thể hưởng lợi từ việc sử dụng Hybrid Cloud Server thay vì các tùy chọn khác. Trong bài viết này, hãy cùng Viettel IDC dành thời gian để tìm hiểu thêm về Hybrid Cloud Server và những lợi ích khi sử dụng nó nhé.

15/01/2021

Trí tuệ nhân tạo AI và tiềm năng ứng dụng đa lĩnh vực năm 2021

Ngày nay, AI được định nghĩa là sự mô phỏng các quá trình suy nghĩ và học tập của con người cho máy móc, đặc biệt là các hệ thống máy tính. Các quá trình này bao gồm việc học tập (thu thập thông tin và các quy tắc sử dụng thông tin), lập luận (sử dụng các quy tắc để đạt được kết luận gần đúng hoặc xác định), và tự sửa lỗi.