Phi Vũ
New member
Mô hình bảo vệ theo vành đai cứng đã lỗi thời trong kỷ nguyên đám mây và SaaS. Giờ đây kẻ tấn công không nhất thiết phải 'đột nhập' qua lỗ hổng phần mềm — họ chỉ cần 'đăng nhập' bằng cách lợi dụng danh tính hợp lệ.
Trong nhiều năm, chiến lược an ninh mạng tập trung vào việc tạo ra một vành đai bảo vệ cứng nhằm ngăn kẻ tấn công xâm nhập. Tuy nhiên, trong môi trường cloud-first và SaaS hiện nay, danh tính đã trở thành lớp điều khiển trung tâm và đồng thời là điểm tấn công chính.
Thay vì khai thác lỗ hổng phần mềm, kẻ tấn công ngày càng chọn phương pháp đăng nhập trái phép. Bằng cách mạo danh người dùng, dịch vụ hoặc máy chủ, họ dễ dàng vượt qua các cơ chế bảo mật truyền thống và hòa lẫn vào hoạt động bình thường mà ít để lại dấu vết.
Một phần nguyên nhân là công nghệ phát hiện trên endpoint (EDR) đã làm cho các cuộc tấn công dựa trên phần mềm độc hại trở nên ồn ào và rủi ro hơn. Đồng thời, hệ sinh thái danh tính ngày càng phức tạp: doanh nghiệp hiện quản lý hàng nghìn, thậm chí hàng chục nghìn danh tính bao gồm nhân viên, nhà thầu, ứng dụng, API và workload tự động — mỗi danh tính đều có thể trở thành cửa hậu.
Các kỹ thuật tấn công hướng vào hệ thống xác thực trực tiếp đã phát triển nhanh. Tái chiếm token và cookie phiên (token/session hijacking) là một trong những thủ đoạn nổi bật: thay vì đánh cắp mật khẩu, kẻ xấu chiếm đoạt token hoạt động để vượt qua MFA và đăng nhập dưới danh nghĩa hợp lệ.
Các cuộc tấn công Adversary-in-the-Middle (AiTM) cũng gia tăng, đặc biệt trong môi trường SaaS như Microsoft 365. Những bộ công cụ phishing hoạt động như proxy giữa người dùng và dịch vụ đăng nhập chính chủ, chặn cả thông tin đăng nhập, phản hồi MFA và dữ liệu phiên theo thời gian thực. Sự xuất hiện của nền tảng phishing-as-a-service đã công nghiệp hóa phương thức này, giúp những tác nhân ít kỹ năng cũng có thể triển khai chiến dịch hiệu quả ở quy mô lớn. Các chiến dịch 2FA phishing như Tycoon được cho là đã gây ảnh hưởng đến hàng nghìn tổ chức.
Đáng lo ngại không kém là sự nhắm tới các danh tính không phải con người. Tài khoản dịch vụ, API và danh tính máy móc là nền tảng của hạ tầng hiện đại, đặc biệt trong DevOps và môi trường cloud-native. Những danh tính này thường có thông tin xác thực tồn tại lâu dài, quyền hạn rộng và giám sát hạn chế, khiến chúng trở thành mục tiêu hấp dẫn. Một khi bị chiếm, kẻ tấn công có được quyền truy cập lâu dài, ít bị phát hiện và có thể di chuyển sâu vào hệ thống quan trọng.
Các kẻ đe dọa rất đa dạng: nhóm tội phạm vì lợi nhuận tiếp tục dùng phishing và mua bán thông tin đăng nhập từ các broker truy cập ban đầu; nhóm ransomware ngày càng dựa vào thông tin đăng nhập hợp lệ để giảm dấu vết hoạt động và di chuyển ngang trong mạng; còn các tác nhân nhà nước thì ưu tiên tấn công danh tính để gián điệp kéo dài. Ví dụ, nhóm Midnight Blizzard bị cáo buộc đã tấn công và lợi dụng các danh tính cloud không phải môi trường production thiếu MFA vào năm 2024.
Một số ngành dễ bị tổn thương hơn gồm tài chính, y tế, chính phủ và công nghệ. Các nhà cung cấp dịch vụ quản trị (MSP) cũng là mục tiêu hấp dẫn vì họ nắm quyền truy cập cấp cao tới nhiều khách hàng, tạo cơ hội cho các tấn công chuỗi cung ứng. Tuy nhiên, điểm chung quan trọng hơn là độ phức tạp: các tổ chức có hệ sinh thái SaaS lớn, lực lượng làm việc lai và quan hệ danh tính phức tạp sẽ có bề mặt tấn công rộng hơn nhiều.
Sự chuyển dịch nhanh sang công nghệ đám mây và kiến trúc lấy danh tính làm trung tâm đã làm thay đổi bản chất rủi ro. Dịch vụ thư mục và nhà cung cấp danh tính giờ đứng ở trung tâm vận hành doanh nghiệp, quản trị truy cập tới hệ thống và dữ liệu quan trọng. Số lượng danh tính bùng nổ: một tổ chức cỡ trung bình có thể dùng hàng trăm ứng dụng SaaS và quản lý hàng nghìn danh tính nhân sự và máy móc; ở cấp doanh nghiệp, con số ứng dụng có thể vượt 1.000, với mỗi nhân viên quản lý hàng chục danh tính. Mỗi tích hợp mới đồng nghĩa thêm phụ thuộc và lỗ hổng, thường không đi kèm với tầm nhìn hay kiểm soát tương xứng.
Để ứng phó, các tổ chức cần chuyển sang tư duy bảo mật lấy danh tính làm trung tâm: lập kiểm kê toàn bộ danh tính, thực thi MFA mạnh, bảo vệ token và cookie, áp dụng nguyên tắc ít đặc quyền nhất, quản lý và xoay vòng thông tin xác thực cho danh tính máy móc, theo dõi hành vi xác thực bất thường, sử dụng chính sách truy cập có điều kiện và giảm tối đa thông tin xác thực tồn tại lâu dài. Chỉ khi chủ động quản trị và giám sát hệ sinh thái danh tính, doanh nghiệp mới có thể thu hẹp 'ranh giới' mới này và giảm thiểu rủi ro bị tấn công bằng cách 'đăng nhập' trái phép.
Nguồn: Techradar
Trong nhiều năm, chiến lược an ninh mạng tập trung vào việc tạo ra một vành đai bảo vệ cứng nhằm ngăn kẻ tấn công xâm nhập. Tuy nhiên, trong môi trường cloud-first và SaaS hiện nay, danh tính đã trở thành lớp điều khiển trung tâm và đồng thời là điểm tấn công chính.
Thay vì khai thác lỗ hổng phần mềm, kẻ tấn công ngày càng chọn phương pháp đăng nhập trái phép. Bằng cách mạo danh người dùng, dịch vụ hoặc máy chủ, họ dễ dàng vượt qua các cơ chế bảo mật truyền thống và hòa lẫn vào hoạt động bình thường mà ít để lại dấu vết.
Một phần nguyên nhân là công nghệ phát hiện trên endpoint (EDR) đã làm cho các cuộc tấn công dựa trên phần mềm độc hại trở nên ồn ào và rủi ro hơn. Đồng thời, hệ sinh thái danh tính ngày càng phức tạp: doanh nghiệp hiện quản lý hàng nghìn, thậm chí hàng chục nghìn danh tính bao gồm nhân viên, nhà thầu, ứng dụng, API và workload tự động — mỗi danh tính đều có thể trở thành cửa hậu.
Các kỹ thuật tấn công hướng vào hệ thống xác thực trực tiếp đã phát triển nhanh. Tái chiếm token và cookie phiên (token/session hijacking) là một trong những thủ đoạn nổi bật: thay vì đánh cắp mật khẩu, kẻ xấu chiếm đoạt token hoạt động để vượt qua MFA và đăng nhập dưới danh nghĩa hợp lệ.
Các cuộc tấn công Adversary-in-the-Middle (AiTM) cũng gia tăng, đặc biệt trong môi trường SaaS như Microsoft 365. Những bộ công cụ phishing hoạt động như proxy giữa người dùng và dịch vụ đăng nhập chính chủ, chặn cả thông tin đăng nhập, phản hồi MFA và dữ liệu phiên theo thời gian thực. Sự xuất hiện của nền tảng phishing-as-a-service đã công nghiệp hóa phương thức này, giúp những tác nhân ít kỹ năng cũng có thể triển khai chiến dịch hiệu quả ở quy mô lớn. Các chiến dịch 2FA phishing như Tycoon được cho là đã gây ảnh hưởng đến hàng nghìn tổ chức.
Đáng lo ngại không kém là sự nhắm tới các danh tính không phải con người. Tài khoản dịch vụ, API và danh tính máy móc là nền tảng của hạ tầng hiện đại, đặc biệt trong DevOps và môi trường cloud-native. Những danh tính này thường có thông tin xác thực tồn tại lâu dài, quyền hạn rộng và giám sát hạn chế, khiến chúng trở thành mục tiêu hấp dẫn. Một khi bị chiếm, kẻ tấn công có được quyền truy cập lâu dài, ít bị phát hiện và có thể di chuyển sâu vào hệ thống quan trọng.
Các kẻ đe dọa rất đa dạng: nhóm tội phạm vì lợi nhuận tiếp tục dùng phishing và mua bán thông tin đăng nhập từ các broker truy cập ban đầu; nhóm ransomware ngày càng dựa vào thông tin đăng nhập hợp lệ để giảm dấu vết hoạt động và di chuyển ngang trong mạng; còn các tác nhân nhà nước thì ưu tiên tấn công danh tính để gián điệp kéo dài. Ví dụ, nhóm Midnight Blizzard bị cáo buộc đã tấn công và lợi dụng các danh tính cloud không phải môi trường production thiếu MFA vào năm 2024.
Một số ngành dễ bị tổn thương hơn gồm tài chính, y tế, chính phủ và công nghệ. Các nhà cung cấp dịch vụ quản trị (MSP) cũng là mục tiêu hấp dẫn vì họ nắm quyền truy cập cấp cao tới nhiều khách hàng, tạo cơ hội cho các tấn công chuỗi cung ứng. Tuy nhiên, điểm chung quan trọng hơn là độ phức tạp: các tổ chức có hệ sinh thái SaaS lớn, lực lượng làm việc lai và quan hệ danh tính phức tạp sẽ có bề mặt tấn công rộng hơn nhiều.
Sự chuyển dịch nhanh sang công nghệ đám mây và kiến trúc lấy danh tính làm trung tâm đã làm thay đổi bản chất rủi ro. Dịch vụ thư mục và nhà cung cấp danh tính giờ đứng ở trung tâm vận hành doanh nghiệp, quản trị truy cập tới hệ thống và dữ liệu quan trọng. Số lượng danh tính bùng nổ: một tổ chức cỡ trung bình có thể dùng hàng trăm ứng dụng SaaS và quản lý hàng nghìn danh tính nhân sự và máy móc; ở cấp doanh nghiệp, con số ứng dụng có thể vượt 1.000, với mỗi nhân viên quản lý hàng chục danh tính. Mỗi tích hợp mới đồng nghĩa thêm phụ thuộc và lỗ hổng, thường không đi kèm với tầm nhìn hay kiểm soát tương xứng.
Để ứng phó, các tổ chức cần chuyển sang tư duy bảo mật lấy danh tính làm trung tâm: lập kiểm kê toàn bộ danh tính, thực thi MFA mạnh, bảo vệ token và cookie, áp dụng nguyên tắc ít đặc quyền nhất, quản lý và xoay vòng thông tin xác thực cho danh tính máy móc, theo dõi hành vi xác thực bất thường, sử dụng chính sách truy cập có điều kiện và giảm tối đa thông tin xác thực tồn tại lâu dài. Chỉ khi chủ động quản trị và giám sát hệ sinh thái danh tính, doanh nghiệp mới có thể thu hẹp 'ranh giới' mới này và giảm thiểu rủi ro bị tấn công bằng cách 'đăng nhập' trái phép.
Nguồn: Techradar
Bài viết liên quan
