Các vi phạm được phát hiện sớm hơn do sự nổi lên của mã độc tống tiền
Theo Mandiant, sự gia tăng của các cuộc tấn công mã độc tống tiền, vốn được coi là ồn ào và tự lộ diện, là một lý do khiến thời gian phát hiện ngắn hơn được ghi nhận trong các cuộc tấn công trong năm 2020.
Dữ liệu cho thấy, các tổ chức đang ngày càng nhanh hơn trong việc tự phát hiện các cuộc xâm nhập, nhưng Mandiant cho rằng trong khi “tiếp tục phát triển và cải thiện khả năng phát hiện của tổ chức” là một yếu tố, thì yếu tố chính là sự gia tăng các cuộc tấn công mã độc tống tiền, tăng từ 14% năm 2019 lên 25% vào năm 2020.
Trong trường hợp tấn công bằng mã độc tống tiền, chúng thường được phát hiện nhanh chóng vì những kẻ tấn công thường tự hiện diện khi đòi tiền chuộc, sau khi đã mã hóa các tệp của nạn nhân và/hoặc đã đánh cắp dữ liệu của nạn nhân.
Trong các cuộc tấn công mã độc tống tiền do Mandiant điều tra, 78% có thời gian tồn tại từ 30 ngày trở xuống và chỉ 1% trong số các vụ này có thời gian tồn tại từ 700 ngày trở lên.
Dữ liệu này là một phần trong báo cáo M-Trends 2021 mới của Mandiant, dựa trên các cuộc điều tra do công ty thực hiện từ tháng 10/2019 đến tháng 9/2020 (khung thời gian này được gọi là năm 2020 trong báo cáo).
Theo Mandiant, 59% các vi phạm được điều tra trên toàn cầu trong giai đoạn này đã được phát hiện trong nội bộ. Trong khi đó, vào năm 2019, chỉ có 47% đã được phát hiện trong nội bộ.
“Thời gian tồn tại” là số ngày kẻ tấn công có mặt trong môi trường của mục tiêu trước khi chúng bị phát hiện - cũng giảm đáng kể vào năm 2020 so với năm trước, từ 56 ngày xuống còn 24 ngày. Xét riêng trong trường hợp các vụ vi phạm do bên ngoài phát hiện, thời gian tồn tại trung bình trong năm 2020 là 73 ngày, trong khi đối với những trường hợp tổ chức tự phát hiện, thời gian này chỉ là 12 ngày.
Điều thú vị là thời gian tồn tại trung bình trên toàn cầu chỉ là 5 ngày đối với mã độc tống tiền và 45 ngày đối với các vụ không phải mã độc tống tiền được Mandiant điều tra. Nhìn chung, thời gian tồn tại trung bình trên toàn cầu đã giảm liên tục trong thập kỷ qua, từ 416 ngày vào năm 2011 xuống còn 24 ngày vào năm 2020.
Tuy nhiên, báo cáo cũng cho thấy một số khác biệt đáng kể giữa các khu vực. Ví dụ, thời gian tồn tại ở châu Mỹ đã giảm từ 60 ngày vào năm 2019 xuống còn 17 ngày năm 2020, nhưng hơn 27% sự cố được điều tra ở khu vực này liên quan đến mã độc tống tiền.
“Số lượng lớn các cuộc điều tra liên quan đến mã độc tống tiền chắc chắn đã làm giảm thời gian tồn tại trung bình. Các sự cố mã độc tống tiền ở châu Mỹ có thời gian tồn tại trung bình chỉ 3 ngày và chiếm 41% các sự cố có thời gian tồn tại từ 14 ngày trở xuống”, Mandiant cho biết trong báo cáo của mình.
Ngược lại, thời gian tồn tại trung bình ở khu vực Châu Á - Thái Bình Dương tăng từ 54 ngày trong năm 2019 lên 76 ngày vào năm 2020, nhưng khu vực này cũng chứng kiến sự suy giảm các sự cố liên quan đến mã độc tống tiền. Khu vực Châu Âu, Trung Đông và Châu Phi cũng đã chứng kiến sự gia tăng tổng thể về thời gian lưu trú, từ 54 ngày vào năm 2019 lên 66 ngày vào năm 2020.
Về chiến thuật tấn công, Mandiant nhận thấy rằng những kẻ tấn công đã sử dụng 63% các kỹ thuật MITRE ATT&CK và 24% kỹ thuật phụ trong suốt khung thời gian được phân tích. Tuy nhiên, công ty cho biết, chỉ 37% các kỹ thuật được quan sát (23% của tất cả các kỹ thuật) được quan sát thấy trong hơn 5% các vụ xâm nhập mà họ đã điều tra.
Lưu ý rằng M-Trends là một trong số ít báo cáo mà SecurityWeek coi là bắt buộc cần phải biết, vì dữ liệu được tổng hợp từ các sự cố thực tế chứ không phải khảo sát mà các nhà cung cấp đưa ra với các câu hỏi được tạo ra để làm lệch kết quả để có lợi. Nói cách khác, đây là dữ liệu trong thế giới thực với các thông tin được phát hiện trong quá trình điều tra các sự cố của hàng trăm khách hàng, trong đó nhiều khách hàng là các tổ chức nổi tiếng.
Nguyễn Anh Tuấn (theo Security Week)