Bạn không thể kiểm soát thời điểm lỗ hổng nghiêm trọng tiếp theo xuất hiện. Nhưng bạn có thể kiểm soát mức độ phơi nhiễm của môi trường mình khi điều đó xảy ra. Vấn đề là hầu hết các nhóm có bề mặt tiếp xúc internet (internet-facing exposure) rộng hơn họ nhận ra. Trưởng phòng An ninh của Intruder sẽ đi sâu phân tích lý do tại sao điều này xảy ra và cách các nhóm có thể quản lý nó một cách chủ động.
Thời gian khai thác (time-to-exploit) đang rút ngắn
Bề mặt tấn công (attack surface) càng lớn và ít được kiểm soát, càng có nhiều cơ hội để khai thác (exploitation). Và khoảng thời gian để hành động đang thu hẹp nhanh chóng. Đối với các lỗ hổng nghiêm trọng nhất, thời gian từ khi tiết lộ đến khi bị khai thác có thể chỉ trong 24 đến 48 giờ. Zero Day Clock dự đoán rằng thời gian khai thác (time-to-exploit) sẽ chỉ còn vài phút vào năm 2028.
Đây không phải là nhiều thời gian khi bạn xem xét những gì phải xảy ra trước khi một bản vá (patch) được triển khai: chạy các bản quét (scans), chờ kết quả, tạo yêu cầu (tickets), thống nhất ưu tiên, triển khai và xác minh bản sửa lỗi. Nếu việc tiết lộ xảy ra ngoài giờ làm việc, quá trình sẽ mất nhiều thời gian hơn nữa.
Trong nhiều trường hợp, các hệ thống dễ bị tấn công ngay từ đầu không cần phải tiếp xúc trực tiếp với internet (internet-facing). Với khả năng hiển thị bề mặt tấn công (attack surface), các nhóm có thể giảm bớt sự phơi nhiễm không cần thiết ngay từ đầu và tránh hoàn toàn tình trạng vội vàng khi một lỗ hổng mới xuất hiện.
Khi một zero-day xuất hiện vào thứ Bảy
ToolShell là một lỗ hổng thực thi mã từ xa không cần xác thực (unauthenticated remote code execution) trong Microsoft SharePoint. Nếu kẻ tấn công có thể tiếp cận được nó, họ có thể chạy mã trên máy chủ của bạn - và vì SharePoint được kết nối với Active Directory, chúng sẽ bắt đầu từ một phần rất nhạy cảm trong môi trường của bạn.
Đây là một zero-day, nghĩa là kẻ tấn công đã khai thác nó trước khi có bản vá (patch). Microsoft tiết lộ vào thứ Bảy và xác nhận rằng các nhóm được nhà nước Trung Quốc tài trợ đã khai thác nó trong tối đa hai tuần trước đó. Đến khi hầu hết các nhóm biết về nó, những kẻ tấn công cơ hội đã quét tìm các phiên bản bị phơi nhiễm và khai thác trên quy mô lớn.
Nghiên cứu của Intruder đã tìm thấy hàng nghìn phiên bản SharePoint có thể truy cập công khai vào thời điểm tiết lộ - mặc dù SharePoint không cần phải tiếp xúc với internet (internet-facing). Mỗi sự phơi nhiễm đó đều không cần thiết - và mỗi máy chủ chưa được vá lỗi đều là một cánh cửa mở.
Tại sao các điểm phơi nhiễm bị bỏ lỡ
Vậy tại sao các điểm phơi nhiễm (exposures) thường xuyên bị các nhóm bảo mật bỏ lỡ?
Trong một bản quét bên ngoài điển hình (external scan), các phát hiện mang tính thông tin (informational findings) nằm dưới hàng trăm phát hiện nghiêm trọng (criticals), cao (highs), trung bình (mediums) và thấp (lows). Nhưng thông tin đó có thể bao gồm các phát hiện đại diện cho rủi ro phơi nhiễm thực sự, chẳng hạn như:
- Một máy chủ SharePoint bị phơi nhiễm
- Một cơ sở dữ liệu bị phơi nhiễm với internet, như MySQL hoặc Postgres
- Các giao thức khác, mà thông thường chỉ nên dành cho mạng nội bộ, như RDP và SNMP
Đây là một ví dụ thực tế về điều đó:
Xét về thuật ngữ quét lỗ hổng (vulnerability scanning), việc phân loại những điều này là thông tin (informationals) đôi khi có lý. Nếu trình quét nằm trên cùng một mạng con riêng (private subnet) với các mục tiêu, một dịch vụ bị phơi nhiễm có thể thực sự có rủi ro thấp. Nhưng khi dịch vụ tương tự đó bị phơi nhiễm với internet, nó mang rủi ro thực sự ngay cả khi chưa có lỗ hổng nào được biết đến liên quan đến nó.
Nguy hiểm là các báo cáo quét truyền thống xử lý cả hai trường hợp theo cùng một cách, do đó các rủi ro thực sự dễ dàng bị bỏ qua.
Giảm bề mặt tấn công chủ động thực sự bao gồm những gì
1. Khám phá tài sản (Asset discovery): xác định bề mặt tấn công của bạn
Trước khi có thể giảm bề mặt tấn công (attack surface), bạn cần có một bức tranh rõ ràng về những gì bạn sở hữu và những gì có thể truy cập từ bên ngoài. Điều đó bắt đầu bằng việc xác định shadow IT – các hệ thống mà tổ chức của bạn sở hữu hoặc vận hành nhưng hiện không được quét hoặc giám sát.
Khắc phục khoảng trống đó là quan trọng, và có ba yếu tố chính chúng tôi khuyến nghị nên có:
- Tích hợp với các nhà cung cấp cloud và DNS của bạn để khi hạ tầng mới được tạo, nó sẽ tự động được phát hiện và quét. Đây là một lĩnh vực mà các nhà phòng thủ có lợi thế thực sự: bạn có thể tích hợp trực tiếp với môi trường của mình, kẻ tấn công thì không.
- Sử dụng subdomain enumeration để phát hiện các máy chủ (hosts) có thể truy cập từ bên ngoài nhưng không có trong danh mục của bạn. Điều này đặc biệt quan trọng sau các thương vụ mua lại, nơi bạn có thể thừa hưởng hạ tầng mà bạn chưa có khả năng hiển thị.
- Xác định hạ tầng được lưu trữ với các nhà cung cấp cloud nhỏ hơn, không rõ nguồn gốc. Bạn có thể có chính sách bảo mật yêu cầu các nhóm phát triển chỉ sử dụng nhà cung cấp cloud chính của bạn, nhưng bạn cần kiểm tra xem quy tắc đó có được tuân thủ hay không.
Xem phân tích chuyên sâu về các kỹ thuật này:
2. Coi sự phơi nhiễm là rủi ro
Bước tiếp theo là coi sự phơi nhiễm bề mặt tấn công (attack surface exposure) như một loại rủi ro riêng biệt.
Điều đó đòi hỏi một khả năng phát hiện (detection capability) xác định những phát hiện mang tính thông tin (informational findings) nào thể hiện sự phơi nhiễm và gán mức độ nghiêm trọng phù hợp. Ví dụ, một phiên bản SharePoint bị phơi nhiễm có thể được coi là một vấn đề rủi ro trung bình (medium-risk issue) một cách hợp lý.
Điều đó cũng có nghĩa là dành không gian cho công việc này trong cách bạn ưu tiên. Nếu các nỗ lực chiến lược như giảm bề mặt tấn công (attack surface reduction) luôn cạnh tranh với việc vá lỗi khẩn cấp (urgent patching), chúng sẽ luôn thất bại. Điều đó có thể có nghĩa là dành thời gian mỗi quý để xem xét và giảm phơi nhiễm, hoặc giao quyền sở hữu rõ ràng để ai đó chịu trách nhiệm về việc đó - không chỉ khi khủng hoảng xảy ra, mà còn thường xuyên.
3. Giám sát liên tục (Continuous monitoring)
Giảm bề mặt tấn công (attack surface reduction) không phải là một bài tập chỉ thực hiện một lần. Sự phơi nhiễm thay đổi liên tục - một quy tắc tường lửa được chỉnh sửa, một dịch vụ mới được triển khai, một subdomain bị lãng quên - và nhóm của bạn cần phát hiện những thay đổi đó một cách nhanh chóng.
Các bản quét lỗ hổng (vulnerability scans) mất thời gian để hoàn thành, và việc chạy quét toàn diện hàng ngày thường không khả thi. Quét cổng hàng ngày (Daily port scanning) phù hợp hơn. Nó nhẹ, nhanh và có nghĩa là bạn có thể phát hiện các dịch vụ mới bị phơi nhiễm ngay khi chúng xuất hiện. Nếu ai đó chỉnh sửa quy tắc tường lửa (firewall rule) và vô tình làm lộ Remote Desktop, bạn sẽ biết được ngay trong ngày đó - chứ không phải ở lần quét theo lịch trình tiếp theo, có thể là một tháng sau.
Ít dịch vụ bị phơi nhiễm hơn, ít bất ngờ hơn
Khi các dịch vụ không cần thiết không bị phơi nhiễm ngay từ đầu, chúng ít có khả năng bị cuốn vào các cuộc khai thác (exploitation) hàng loạt sau một tiết lộ quan trọng. Điều đó có nghĩa là ít bất ngờ hơn, ít phải ứng phó vội vã hơn và có nhiều thời gian hơn để phản hồi một cách chủ động khi các lỗ hổng mới xuất hiện.
Intruder tự động hóa quá trình này - từ việc khám phá shadow IT và giám sát các điểm phơi nhiễm mới, đến việc cảnh báo nhóm của bạn ngay khi có thay đổi - để nhóm bảo mật của bạn có thể đi trước các rủi ro phơi nhiễm thay vì chỉ phản ứng lại chúng.
Nếu bạn muốn xem những gì đang bị phơi nhiễm trong môi trường của mình, hãy đặt lịch demo Intruder.
