Trong bài viết Rủi ro bảo mật lớn nhất của bạn không phải là Malware — Đó là những gì bạn đã tin tưởng, chúng tôi đã đưa ra một lập luận đơn giản: hoạt động nguy hiểm nhất bên trong hầu hết các tổ chức không còn trông giống như một cuộc tấn công. Nó trông giống như công việc quản trị. PowerShell, WMIC, netsh, Certutil, MSBuild — chính những tiện ích đáng tin cậy mà đội ngũ IT của bạn sử dụng hàng ngày cũng là bộ công cụ ưa thích của các tác nhân đe dọa hiện đại. Phân tích của Bitdefender trên 700.000 sự cố mức độ nghiêm trọng cao đã tìm thấy sự lạm dụng các công cụ hợp pháp trong 84% trường hợp.
Phản ứng mà chúng tôi nhận được nhiều nhất là: "Chúng tôi biết rồi. Vậy thực sự chúng tôi phải làm gì với nó?"
Đó là câu hỏi mà chương trình Đánh giá bề mặt tấn công nội bộ (Internal Attack Surface Assessment) miễn phí của Bitdefender được thiết kế để trả lời. Đây là một chương trình kéo dài 45 ngày, ít tốn nguồn lực, dành cho các tổ chức có từ 250 nhân viên trở lên, giúp biến vấn đề trừu tượng của kỹ thuật "living off the land" thành một danh sách cụ thể, ưu tiên về người dùng, Endpoint và các công cụ mà bạn có thể loại bỏ an toàn khỏi tay kẻ tấn công mà không làm gián đoạn hoạt động kinh doanh.
Tại sao lại là lúc này?
Một bản cài đặt Windows 11 sạch sẽ đi kèm với 133 tệp nhị phân living-off-the-land (LOLBins) duy nhất trải dài trên 987 phiên bản. Dữ liệu từ Bitdefender Labs cho thấy PowerShell hoạt động trên 73% các Endpoint, phần lớn trong số đó được gọi ngầm bởi các ứng dụng bên thứ ba. Đây không phải là vấn đề về Malware — đó là vấn đề về việc cấp quyền quá mức, và bạn không thể giải quyết nó chỉ bằng cách vá lỗi.
Gartner dự báo rằng an ninh mạng phòng ngừa sẽ chiếm 50% chi tiêu cho bảo mật IT vào năm 2030, tăng từ mức dưới 5% vào năm 2024, và 60% các doanh nghiệp lớn sẽ áp dụng các công nghệ giảm thiểu bề mặt tấn công động (DASR) vào năm 2030, tăng từ mức dưới 10% vào năm 2025. Lý do mang tính cơ học: khi hầu hết các cuộc xâm nhập không liên quan đến Malware và đối thủ di chuyển chỉ trong vài phút, vòng lặp "phát hiện và phản ứng" (detect and respond) là quá chậm. Bạn phải loại bỏ các bước đi mà kẻ tấn công có thể thực hiện ngay từ đầu.
Quy trình đánh giá hoạt động như thế nào
Chương trình diễn ra qua bốn bước trong khoảng 45 ngày, được hỗ trợ bởi GravityZone PHASR — công nghệ Giảm thiểu bề mặt tấn công và Làm cứng hệ thống chủ động (Proactive Hardening and Attack Surface Reduction) của Bitdefender — và hoạt động song song với bất kỳ giải pháp Endpoint nào bạn hiện có:
- Khởi động và tìm hiểu hành vi: PHASR xây dựng hồ sơ hành vi cho mọi cặp máy tính-người dùng, thường diễn ra trong 30 ngày.
- Đánh giá bảng điều khiển bề mặt tấn công: Bạn nhận được điểm số rủi ro (0–100) và danh sách ưu tiên các phát hiện thuộc năm danh mục: LOLBins, công cụ quản trị từ xa, công cụ can thiệp hệ thống, phần mềm đào tiền ảo và công cụ vi phạm bản quyền — mỗi mục được ánh xạ tới người dùng và thiết bị cụ thể bị ảnh hưởng.
- Giai đoạn tăng tốc giảm thiểu rủi ro (tùy chọn): Áp dụng các biện pháp kiểm soát thủ công hoặc để tính năng Autopilot của PHASR tự động thực thi. Người dùng có thể yêu cầu quyền truy cập trở lại thông qua quy trình phê duyệt một lần nhấp được tích hợp sẵn.
- Đánh giá hiệu quả giảm thiểu: Phiên làm việc cuối cùng nhằm định lượng mức độ bề mặt tấn công đã được thu hẹp và xác định các Shadow IT hoặc tệp nhị phân trái phép nào đã xuất hiện trong quá trình này.
Những khách hàng tiếp cận sớm đã giảm được bề mặt tấn công của họ 30% hoặc hơn trong 30 ngày đầu tiên, trong đó có một trường hợp báo cáo giảm gần 70% bằng cách khóa các LOLBins và công cụ điều khiển từ xa — mà không gây gánh nặng điều tra hay gián đoạn cho người dùng cuối.
Ý nghĩa đối với các bên liên quan
- Đối với CISO: Một con số phơi nhiễm rủi ro cụ thể, có thể trình bày trước hội đồng quản trị, thay đổi theo từng tuần và được ánh xạ tới các hành vi thực tế mà kẻ tấn công sử dụng.
- Đối với SOC và quản trị viên IT: Giảm tới 50% khối lượng công việc điều tra và phản ứng, vì toàn bộ các hành vi đáng nghi nhưng hợp pháp sẽ không còn xảy ra trên các Endpoint không có nhu cầu sử dụng chúng.
- Đối với người ra quyết định kinh doanh: Việc giảm thiểu bề mặt tấn công liên tục được ghi lại bằng văn bản — đây là điều mà các cơ quan quản lý, kiểm toán viên và các đơn vị bảo hiểm an ninh mạng ngày càng quan tâm.
Bắt đầu từ nơi kẻ tấn công đang hiện diện
Bài viết trước đã kết thúc bằng một nguyên tắc: những rủi ro đáng kể nhất không còn nằm ở bên ngoài hay là những ẩn số — chúng đã ở sẵn bên trong môi trường của bạn. Bài viết này kết thúc bằng một thực tế: bạn có thể có một bản đồ chính xác, ưu tiên về những rủi ro đó trong vòng 45 ngày, hoàn toàn miễn phí mà không cần thay đổi hạ tầng hiện có.
Nếu bạn đang vận hành một môi trường sử dụng nhiều Windows với 250 người dùng trở lên, hãy yêu cầu đánh giá bề mặt tấn công nội bộ tại đây. Các vụ xâm nhập sẽ vẫn tiếp tục xảy ra. Việc một vụ xâm nhập có trở thành một vụ rò rỉ dữ liệu nghiêm trọng hay không phụ thuộc gần như hoàn toàn vào những gì kẻ tấn công có thể tiếp cận sau khi đã vào được bên trong. Cách nhanh nhất để thu hẹp danh sách đó là hãy nhìn thẳng vào nó.
