Hầu hết các cuộc tấn công không hiện cảnh báo bảo mật
Năm 2020, Mandiant đã công bố báo cáo hiệu quả bảo mật dựa trên các mô phỏng tấn công nhắm vào môi trường sản xuất của doanh nghiệp thuộc 11 lĩnh vực. Các thử nghiệm trên 123 công nghệ và môi trường bảo mật được nhắm mục tiêu, hỗ trợ hơn 900 triệu người dùng.
Trong các thử nghiệm được thực hiện bởi Mandiant, chỉ có 9% các cuộc tấn công tạo ra cảnh báo bảo mật và 53% các cuộc xâm nhập thành công mà không bị phát hiện. Đáng lưu ý, hơn 1/4 các cuộc tấn công được phát hiện sau khi xâm nhập thành công và chỉ có 33% các vi phạm được ngăn chặn bởi các công cụ bảo mật hiện có.
Các chuyên gia cho rằng, trong nhiều trường hợp, các công cụ bảo mật không được tối ưu hóa, có thể là do việc giữ nguyên cấu hình mặc định, các sự kiện bảo mật không được đưa vào giải pháp quản lý sự kiện và thông tin bảo mật (SIEM), thay đổi cơ sở hạ tầng bất ngờ, không tinh chỉnh sau khi triển khai và không buộc thực hiện các kiểm tra đối với những biện pháp kiểm soát an ninh.
Các nhà nghiên cứu của Mandiant phát hiện ra rằng, chỉ có 4% hoạt động thăm dò tạo ra cảnh báo. Thử nghiệm chống lại mã độc tống tiền cùng các nỗ lực xâm nhập cho thấy, trong hơn 2/3 các trường hợp, việc kiểm soát an ninh không ngăn chặn hoặc phát hiện được mối đe dọa và cảnh báo chỉ được tạo ra trong 7% các trường hợp.
Hơn nữa, 65% thời gian các công cụ bảo mật không thể phát hiện hoặc ngăn chặn các nỗ lực bỏ qua các chính sách, các cảnh báo chỉ được tạo ra trong 15% thời gian. Trong trường hợp chuyển tập tin độc hại, chúng chỉ bị phát hiện trong 29% thời gian và ngăn chặn trong 37% thời gian, nhưng gần một nửa số lần thử đã bị bỏ lỡ và chưa đến 1/4 lần tạo ra cảnh báo.
Không có cảnh báo nào được tạo ra trong 97% các thử nghiệm tập trung vào các hoạt động chỉ huy và kiểm soát, 39% các nỗ lực này đã bị các giải pháp bảo mật bỏ qua. Tình huống tương tự xảy ra với các tấn công biên, các hoạt động lây nhiễm dần vào sâu trong hệ thống sau khi xâm nhập.
Một ví dụ được chia sẻ trong báo cáo, dữ liệu về các sự kiện không được đưa đến SIEM nguyên nhân bởi sử dụng giao thức UDP thay vì TCP và một bộ cân bằng tải cấu hình sai đã bỏ qua tất cả lưu lượng UDP. Trong một ví dụ khác, các công cụ bảo mật của một công ty bảo hiểm đã bị cấu hình sai, cho phép hơn 1/3 số lần chuyển tệp độc hại và các lần thử bị chặn không kích hoạt bất kỳ cảnh báo nào trong SIEM.
Chris Key, Phó Chủ tịch cấp cao của Mandiant cho biết, “Mọi tổ chức đều muốn có dữ liệu đáng tin cậy về việc liệu các khoản đầu tư bảo mật của họ có mang lại giá trị thực và bảo vệ họ khỏi sự tấn công mạng hay không. Nghiên cứu của chúng tôi cho thấy trong khi phần lớn các công ty nghĩ rằng họ được bảo vệ, thì sự thật thường là họ dễ bị tấn công”.
Anh Tuấn
(Theo Security Week)