94% các vụ tấn công mạng hiện nay sử dụng hạ tầng ẩn danh: Thách thức cho các đội ngũ bảo mật
Một nghiên cứu mới từ Spur Intelligence cho thấy hạ tầng ẩn danh như VPN và residential proxy đang trở thành công cụ chủ đạo trong các vụ tấn công mạng, buộc các tổ chức phải thay đổi tư duy từ phòng...
Trong kỷ nguyên số, các đội ngũ bảo mật đang sở hữu lượng dữ liệu IP khổng lồ từ các nguồn cung cấp thông tin tình báo đe dọa (threat intelligence), dữ liệu định vị địa lý và điểm uy tín. Tuy nhiên, nghịch lý là việc phân loại đâu là thông tin quan trọng để xác định kẻ đứng sau các địa chỉ IP vẫn là bài toán nan giải.
Table Of Content
Sự trỗi dậy của hạ tầng ẩn danh
Theo khảo sát từ Spur Intelligence với hơn 200 chuyên gia bảo mật, 94% các sự cố an ninh hiện nay đều liên quan đến hạ tầng ẩn danh, bao gồm VPN và mạng lưới residential proxy. Các công cụ này cho phép kẻ tấn công điều hướng lưu lượng truy cập qua các kết nối internet dân dụng, khiến hành vi độc hại dễ dàng hòa trộn với hoạt động người dùng thông thường.
Các phương pháp truyền thống dựa trên danh sách chặn (blocklist) tĩnh hoặc điểm uy tín IP đang dần mất đi hiệu quả. Gần một nửa số doanh nghiệp tham gia khảo sát thừa nhận đã chịu thiệt hại đáng kể từ các cuộc tấn công chiếm đoạt tài khoản (account takeover) thông qua các proxy này, nơi địa chỉ IP trông hoàn toàn hợp lệ và không có lịch sử độc hại.
Thiếu hụt ngữ cảnh trong phân tích
Thách thức lớn nhất mà các đội ngũ SOC (Security Operations Center) đang đối mặt là thiếu thông tin ngữ cảnh. Các thuộc tính IP cơ bản như vị trí địa lý không còn đủ để giải mã ý đồ của kẻ tấn công. Các chuyên gia cần nhiều lớp dữ liệu hơn như: phân loại hạ tầng, chỉ số hành vi, mối tương quan giữa thiết bị và phiên làm việc, cũng như các tín hiệu từ bot.
Chuyển dịch từ bị động sang chủ động
Hiện nay, phần lớn tổ chức vẫn đang sử dụng dữ liệu IP theo cách bị động – tức là chỉ dùng để điều tra sau khi sự cố đã xảy ra. Tuy nhiên, xu hướng đang chuyển dịch sang việc tích hợp thông tin tình báo IP vào quy trình ra quyết định theo thời gian thực. Điều này bao gồm việc áp dụng xác thực thích ứng (adaptive authentication), kiểm soát truy cập dựa trên rủi ro và tự động hóa chính sách bảo mật.
Rủi ro nội bộ bị bỏ quên
Ngoài các mối đe dọa từ bên ngoài, việc nhân viên sử dụng VPN cá nhân hoặc các ứng dụng tiêu dùng trên thiết bị làm việc cũng tạo ra những điểm mù bảo mật. Với 61% người được hỏi bày tỏ sự lo ngại về việc proxy ẩn danh xâm nhập vào mạng nội bộ, các tổ chức cần áp dụng mô hình Zero Trust để giám sát chặt chẽ hơn thay vì mặc định tin tưởng các thiết bị trong mạng.
Tương lai của tình báo IP
Trong tương lai, hiệu quả của công tác bảo mật sẽ không đo bằng khối lượng dữ liệu thô, mà bằng khả năng tích hợp ngữ cảnh vào các quy trình tự động hóa. Các tổ chức thành công sẽ là những đơn vị biết cách chuyển đổi từ việc chỉ nhận diện IP đáng ngờ sang việc thấu hiểu hành vi và ý đồ đằng sau hạ tầng đó, từ đó đưa ra các quyết định bảo mật chính xác ngay trước khi sự cố leo thang.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.