Nền tảng ENS 10.7 thay đổi cuộc chơi với Ransomware ra sao?

Iworld.com.vn gửi tới độc giả tin tức về ENS 10.7

Bảo vệ và ứng phó sự cố ransomware là một cuộc chiến liên tục đối với CNTT, kỹ sư bảo mật và nhà phân tích, nhưng với số lượng người làm việc tại nhà trong đại dịch COVID-19, thách thức đó sẽ đạt đến tầm cao mới. Làm cách nào để bạn chống lại phần mềm độc hại đang phát triển ngoài phạm vi mạng công ty? Làm cách nào để kích hoạt các dịch vụ từ xa một cách an toàn? Bạn sẽ mất bao lâu, để khôi phục hệ thống người dùng cuối từ xa và dữ liệu bị mã hóa bởi ransomware?

Khi nhân viên và kỹ sư CNTT ngày càng sử dụng giao thức máy tính từ xa (RDP), để truy cập tài nguyên nội bộ, thì những kẻ tấn công đang tìm ra nhiều điểm yếu hơn để khai thác. Những kẻ tấn công đang khai thác yếu tố xác thực yếu kém hoặc kiểm soát bảo mật và thậm chí dùng đến việc mua mật khẩu RDP trên các thị trường chợ đen. Việc khai thác những điểm yếu này, có thể cung cấp cho kẻ tấn công quyền truy cập quản trị viên và một đường dẫn để cài đặt ransomware hoặc các loại phần mềm độc hại khác, sau đó tìm đường của chúng trong mạng công ty. Sau đây là một số ví dụ về cách những kẻ tấn công đang khai thác các điểm yếu của RDP, hãy xem các bài đăng trên blog bổ sung từ McAfee Advanced Threat Research (ATR)

      • Các tổ chức tạo ra cơ hội cho các cuộc tấn công theo hình thức máy tính để bàn từ xa.
      • RDP là viết tắt của “Thực hiện bản vá lỗ hổng” – Bạn hãy tìm hiểu về lỗ hổng bảo mật RDP có thể tấn công CVE-2019-0708
      • Tội phạm mạng chủ động khai thác RDP, để nhắm mục tiêu vào các tổ chức từ xa

Trong blog này, chúng tôi sẽ chỉ bạn cách sử dụng Bảo mật đầu cuối hoặc ENS. Với Nền tảng bảo vệ đầu cuối (EPP) của McAfee, dẫn đầu bởi một số tính năng mới trong ENS 10.7 như phát hiện và phản hồi đầu cuối MVISION (EDR).

Vậy để bảo mật đầu cuối thì công nghệ ENS 10.7 được trang bị các mô đun ngăn chặn đe dọa, tường lửa, kiểm soát web và bảo vệ đe dọa thích ứng. Ngoài ra ENS 10.7 còn được hỗ trợ bởi Global Threat Intelligence (GTI), cung cấp khả năng thích ứng, phòng thủ chuyên sâu, chống lại các kỹ thuật được sử dụng trong các cuộc tấn công ransomware có chủ đích. Bên cạnh đó, việc kết hợp giữa  ENS 10.7 với MVISION EDR cung cấp cho các nhà phân tích SOC một bộ công cụ mạnh mẽ, để nhanh chóng xác định các nỗ lực đánh cắp thông tin đăng nhập và xâm nhập sâu vào mạng.

Cuối cùng, McAfee ePolicy Orchestrator (ePO) cung cấp một bảng điều khiển quản lý trung tâm cho chính sách bảo mật đầu cuối, thu thập sự kiện và báo cáo về các hệ thống, từ đó bảo vệ bạn trong hoặc ngoài mạng công ty. Hãy cùng khám phá một số bước phòng thủ quan trọng mà bạn có thể thực hiện, để giảm nguy cơ chống lại phần mềm tống tiền được nhắm mục tiêu.

Ngăn chặn truy cập ban đầu, kết hợp với ngăn chặn đe dọa

Nền tảng Ngăn chặn đe dọa an ninh đầu cuối chứa một số khả năng, bao gồm quét chữ ký và ngăn chặn khai thác, thông qua ngăn chặn hành vi và phân tích danh tính, để ngăn kẻ tấn công giành được quyền truy cập vào hệ thống. Bước đầu tiên là đảm bảo bạn có mức bảo mật tối thiểu tại chỗ. Điều này bao gồm các phương pháp hay nhất sau đây về các tính năng quét theo yêu cầu và quét khi truy cập các tệp. Ngoài ra, công cụ DAT thường xuyên cập nhật mối đe dọa và ngăn chặn khai thác, cũng như kích hoạt quyền truy cập Global Threat Intelligence. Các cuộc tấn công ransomware có mục tiêu, cũng có thể tận dụng các kỹ thuật khai thác ít tệp, khi bỏ quan bước quét chữ ký và kiểm tra danh tính. Các quy tắc ngăn chặn khai thác có thể được định cấu hình, để ghi nhật ký hoặc chặn hành vi PowerShell.

Tuy nhiên, PowerShell là một công cụ quản trị hệ thống hợp pháp và chúng tôi khuyên bạn nên quan sát và thử nghiệm một thời gian, trước khi thiết lập bất cứ chính sách nào trong số này để chặn. Và bạn có thể xem hướng dẫn này như một sự hỗ trợ cho bạn.

Ngăn chặn RDP làm vectơ tấn công ban đầu với tường lửa bảo mật đầu cuối

Nếu cần RDP để truy cập tài nguyên nội bộ trên máy chủ hoặc để khắc phục sự cố hệ thống từ xa, cách tốt nhất là hạn chế quyền truy cập vào dịch vụ, bằng cách sử dụng tường lửa. Điều này sẽ ngăn những kẻ tấn công tận dụng RDP làm véc tơ truy cập ban đầu. ENS 10.7 chứa tường lửa ở trạng thái luôn hoạt động, được quản lý hoàn toàn thông qua McAfee ePolicy Orchestrator (ePO). Bạn có thể tạo các chính sách, để hạn chế quyền truy cập RDP vào một ứng dụng khách từ xa đến các địa chỉ IP được ủy quyền, hoặc hạn chế việc sử dụng ra bên ngoài, để ngăn chặn chuyển động ngang của RDP hoặc chặn hoàn toàn quyền truy cập vào cổng đó. Đây là ví dụ về thiết lập cấu hình, để hạn chế quyền truy cập vào hệ thống từ xa trên RDP.

Mở chính sách về thực hiện quy tắc tường lửa của bạn và tìm quy tắc mặc định trong công cụ mạng.

Nếu bạn đang sử dụng một cổng không chuẩn cho RDP, hãy điều chỉnh quy tắc này một cách thích hợp.

Sửa đổi quy tắc bằng cách thêm địa chỉ IP, được ủy quyền làm mạng từ xa (đây là những địa chỉ từ xa được phép kết nối với đầu cuối của bạn).

Lưu các thay đổi và áp dụng chính sách cho các đầu cuối, để hạn chế quyền truy cập RDP.

Để bảo mật bổ sung, hãy tạo một quy tắc giống hệt nhau nhưng chặn thay vì cho phép, đặt nó bên dưới quy tắc trên và xóa địa chỉ IP từ xa (để nó áp dụng cho tất cả các kết nối RDP không phù hợp với quy tắc trên).

Đặt quy tắc này làm xâm nhập, để nó ghi lại tất cả các sự kiện bị từ chối và chuyển tiếp chúng tới ePO.

Sau đó, các nhà phân tích bảo mật trong SOC có thể theo dõi và báo cáo về các nỗ lực truy cập trái phép, thông qua ePO. Nhật ký sự kiện rất hữu ích cho việc cảnh báo sớm, phân tích xu hướng, phát hiện và ứng phó với mối đe dọa.

Ngăn chặn quyền truy cập vào các trang web độc hại với tính năng kiểm soát web

Những kẻ tấn công thường tận dụng các lỗ hổng và đưa ra các hành vi lừa đảo,   bằng các liên kết đến các trang web độc hại, để có được quyền truy cập ban đầu hoặc thâm nhập sâu hơn vào mạng. Khi một người dùng ở trên mạng công ty, họ thường dùng một Web Proxy như McAfee Web Gateway. Tuy nhiên, nhiều khách hàng di động của bạn đang truy cập trực tiếp vào internet, chứ không phải thông qua VPN của công ty. Điều này tạo ra khả năng tiếp xúc nhiều hơn với các mối đe dọa dựa trên web. Các mô đun kiểm soát web của bảo mật đầu cuối giám sát hoạt động tìm kiếm, duyệt web trên máy tính khách và bảo vệ khỏi các mối đe dọa trên các trang web và khi tải xuống tệp.

Bạn sử dụng McAfee ePO để triển khai và quản lý Web Control trên hệ thống máy khách. Cài đặt kiểm soát quyền truy cập vào các trang web dựa trên xếp hạng an toàn của chúng, danh sách an toàn từ Global Threat Intelligence, loại nội dung chúng chứa và URL hoặc tên miền của chúng. Cài đặt cấu hình cho phép bạn điều chỉnh độ nhạy, để hạn chế hơn hoặc ít hơn dựa trên tư duy rủi ro của bạn.

Nếu bạn là khách hàng của McAfee Web Gateway hoặc Web Gateway Cloud Service, bạn nên sử dụng McAfee Client Proxy (MCP). MCP hoạt động với kiểm soát web, để định tuyến lưu lượng truy cập đến đúng proxy và cung cấp khả năng bảo vệ chuyên sâu, để bảo vệ web cho người dùng trong hoặc ngoài mạng công ty.

Trên đây chỉ là một vài ví dụ về việc sử dụng Endpoint Security Threat Prevention, Web Control và Firewall, để hạn chế các tấn công ban đầu. Để tìm hiểu thêm về phương pháp hay nhất về bảo mật đầu cuối, để hạn chế vectơ nhập ban đầu, hãy truy cập vào đây.

Hãy xem xét một số bước quan trọng hơn, để bảo vệ hệ thống chống lại phần mềm tống tiền được nhắm mục tiêu.

Lockdown the Security Crown Jewels

Nếu kẻ tấn công xâm nhập vào hệ thống thông qua các tài khoản bị đánh cắp RDP hoặc lỗ hổng bảo mật, chúng có thể cố gắng sửa đổi, xóa hoặc vô hiệu hóa phần mềm bảo mật. Trong ePO, bạn nên đảm bảo rằng khả năng tự bảo vệ được BẬT, để ngăn các dịch vụ và tệp tin McAfee trên đầu cuối hoặc hệ thống máy chủ bị dừng hoặc sửa đổi.

Đảm bảo rằng ENS được cấu hình và yêu cầu mật khẩu để gỡ cài đặt.

Các nhà phân tích bảo mật nên cảnh giác cao độ, đối với bất kỳ hệ thống nào đã tắt tính năng tự bảo vệ. Công nghệ ePO chứa một truy vấn mặc định có tên bảo mật đầu cuối: Trạng thái tuân thủ tự bảo vệ có thể được sử dụng, để điền vào bảng điều khiển giám sát liên tục hoặc được báo cáo hàng ngày.

Xác định hành vi của kẻ tấn công với Bảo vệ mối đe dọa thích ứng (ATP)

ATP bổ sung một số khả năng khác, chẳng hạn như học máy, cảnh báo về mối đe dọa, quét tập lệnh và phân tích hành vi ứng dụng, để phá vỡ các kỹ thuật tấn công có chủ đích bao gồm cả tấn công dựa trên tệp hoặc ít tệp.

ATP xác định các mối đe dọa bằng cách quan sát các hành vi và hoạt động đáng ngờ. Khi ATP xác định rằng bối cảnh thực thi là độc hại, ATP sẽ chặn hoạt động độc hại và nếu cần sẽ khắc phục (xem phần Biện pháp khắc phục hậu quả nâng cao bên dưới). ATP hoạt động ra sao? Máy quét Real Protect kiểm tra các hoạt động đáng ngờ trên hệ thống máy khách và sử dụng các kỹ thuật máy học, để phát hiện các yếu tố độc hại. Trình quét Real Protect có thể quét một tập lệnh truyền trực tuyến trên mạng, xác định xem nó có độc hại hay không và nếu cần, hãy dừng tập lệnh đó. Tính năng quét tập lệnh Real Protect tích hợp với AMSI, để bảo vệ các tập lệnh không dựa trên trình duyệt, chẳng hạn như PowerShell, JavaScript và VBScript.

Một trong những tính năng mới nhất của ENS 10.7 là Story Graph. Biểu đồ cung cấp một hình ảnh trực quan về các phát hiện mối đe dọa. Dưới đây là ví dụ từ một kịch bản tấn công ít tệp, được mô phỏng trong đó tài liệu Word, được phân phối thông qua lừa đảo trực tuyến, sử dụng macro và PowerShell, để cung cấp lệnh và kiểm soát, sau đó nâng cao đặc quyền và thực hiện chuyển động ngang.

Hình ảnh trực quan cung cấp phân tích dòng thời gian và bối cảnh xung quanh sự kiện. Nó đã nắm bắt chính xác hành vi tấn công, bao gồm cả giao tiếp đến địa chỉ IP của kẻ tấn công bên ngoài. Với hình ảnh trực quan này, quản trị viên hoặc nhà phân tích bảo mật có thể nhanh chóng xác định hành vi độc hại đã bị ATP ngăn chặn hoạt động tiếp theo của kẻ tấn công. Sau đó, quy trình gốc và địa chỉ IP tải xuống, để điều tra thêm bằng cách sử dụng các nguồn nhật ký khác. Điều quan trọng cần lưu ý là trong ví dụ này, nếu nền tảng Ngăn chặn đe dọa được cài đặt, để chặn tất cả các hành vi PowerShell, thì cuộc tấn công này sẽ bị dừng sớm hơn trong chuỗi. Vui lòng đọc thêm, để xem kịch bản tấn công này trông như thế nào trong MVISION EDR.

Sử dụng tài liệu Word và PowerShell chỉ là một ví dụ về các cuộc tấn công giả mạo trong các tệp phổ biến.

ATP cung cấp tính năng khôi phục tệp tin tự động với biện pháp khắc phục nâng cao

Nếu bạn đã từng thấy thông báo đòi tiền chuộc, như thông báo từ Wanna Decryptor dưới đây, bạn sẽ biết nó có thể gây ra vấn đề lớn như thế nào. Nó sẽ khiến bạn tốn thời gian, tiền bạc và rất có thể dẫn đến mất dữ liệu.

Nếu điều này xảy ra trên hệ thống người dùng từ xa, nó sẽ làm ngừng hoạt động kéo dài, khiến người dùng thất vọng và đưa ra những thách thức đáng kể cho việc khôi phục.

Một trong những khả năng mới trong ENS 10.7 là xử lý nâng cao. Tính năng này giám sát bất kỳ quy trình nào không xác định và sao lưu các thay đổi được thực hiện bởi các quy trình đó. Nếu các quy trình thể hiện hành vi độc hại như được xác định, bởi phân tích học máy và danh sách trong bộ lọc, thì biện pháp khắc phục nâng cao sẽ tự động chuyển những thay đổi đã thực hiện, đối với hệ thống và tài liệu về trạng thái trước đó.

Bạn có thể xem cách các tệp bị ransomware tác động, có thể được khôi phục thông qua biện pháp khắc phục hậu quả nâng cao trong video này.

Xử lý nâng cao yêu cầu ATP được bật và các chính sách cho chứa ứng dụng động được định cấu hình. Tính năng quét Real Protect Dynamic cũng phải được bật trên hệ thống. Real Protect Dynamic sử dụng công nghệ máy học trên đám mây, để xác định hành vi đáng ngờ cần thiết và xác định tệp được sử dụng, để kích hoạt hành động khắc phục nâng cao.

Sau khi các chính sách được thiết lập, hãy đảm bảo rằng bạn bật “Biện pháp khắc phục hậu quả nâng cao” và “Giám sát và khắc phục các tệp đã xóa và thay đổi”

Nếu một tệp bị độc hại bị phát hiện bởi Real Protect Dynamic và Enhanced Remediation, thì quá trình khôi phục sẽ tự động xảy ra. Cài đặt “Giám sát và ngay lập tức các tệp đã xóa hoặc thay đổi” phải được bật, để đảm bảo mọi tệp bị phần mềm tống tiền sửa đổi đều được khôi phục về trạng thái trước đó.

Giám sát liên tục không gian làm việc với ePO

Giờ đây bạn đã có các biện pháp kiểm soát bảo vệ với Nền tảng ngăn chặn đe doạ và bảo vệ đe doạ thích ứng, bạn có thể giám sát bằng Bảng điều khiển tuân thủ trong ePO, để đảm bảo tất cả các khách hàng được quản lý, luôn được cập nhật.

Ngoài ra, các sự kiện do ATP kích hoạt có thể được gửi đến ePO. Các nhà phân tích SOC nên theo dõi những sự kiện này và sử dụng cả Biểu đồ sự kiện, để thêm khả năng điều tra.

Theo dõi và săn lùng chủ động với MVISION EDR

Một trong những câu hỏi đầu tiên mà thợ săn mối đe dọa cần trả lời khi phát hiện ra mối đe dọa mới là “chúng ta có bị lộ không?” Ví dụ: bạn có thể có một chính sách đã cấm hoặc hạn chế RDP, nhưng làm thế nào để bạn biết nó được thực thi trên mọi đầu cuối? Với MVISION EDR, bạn có thể thực hiện tìm kiếm theo thời gian thực trên tất cả các hệ thống được quản lý, để xem điều gì đang xảy ra ngay bây giờ. Ảnh chụp màn hình bên dưới hiển thị tìm kiếm trong thời gian thực, để xác minh xem RDP được bật hay tắt trên hệ thống. Điều này cung cấp một cái nhìn về các hệ thống tiềm ẩn rủi ro và cũng là bối cảnh có lợi cho cuộc điều tra.

Tìm kiếm trong thời gian thực cũng xác định các hệ thống có kết nối đang hoạt động trên RDP

MVISION EDR cũng duy trì lịch sử kết nối mạng đến và đi từ máy khách. Thực hiện tìm kiếm lịch sử đối với lưu lượng mạng, có thể xác định các hệ thống đã chủ động liên lạc trên cổng 3389 tới các địa chỉ trái phép, có khả năng phát hiện các nỗ lực khai thác.

Đối với một nhà phân tích bảo mật, EDR cung cấp một số lợi ích để tăng tốc phát hiện và phản ứng mối đe dọa. Trong kịch bản tấn công ít tệp được mô phỏng của chúng tôi được mô tả ở trên, biểu đồ sự kiện tiết lộ kết nối PowerShell với địa chỉ IP bên ngoài. Giả sử một quản trị viên ePO cảnh báo, đã có thêm một cách để điều tra, thì bước đầu tiên của nhà phân tích có thể là tìm kiếm hoạt động mạng.

Tìm kiếm thời gian thực trong EDR của hoạt động mạng đó, trông giống như thế này.

Một tìm kiếm lịch sử cho cùng một hoạt động PowerShell trong EDR, hiện tiết lộ các lệnh được mã hóa, khi sử dụng trong vectơ ban đầu.

EDR cũng cho phép giám sát chủ động bởi một nhà phân tích bảo mật. Bảng điều khiển giám sát giúp nhà phân tích trong SOC nhanh chóng phân loại hành vi đáng ngờ. Trong trường hợp này, cuộc tấn công đã sử dụng Word và PowerShell, để có được quyền truy cập và nâng cao đặc quyền. Kịch bản tấn công gây ra một số mối đe dọa cao và cung cấp nhiều bối cảnh, để nhà phân tích nhanh chóng xác định rằng một cuộc tấn công đã được thực hiện, yêu cầu hành động tiếp theo

Nghiên cứu của chúng tôi về các cuộc tấn công ransomware có chủ đích cho thấy rằng, nếu kẻ tấn công khai thác thành công một ứng dụng khách, các hành động tiếp theo của chúng liên quan đến việc leo thang đặc quyền và di chuyển bên. Một lần nữa, bạn có thể sử dụng MVISION EDR, để nhanh chóng phát hiện các kỹ thuật này.

Bảng điều khiển cảnh báo trong EDR sẽ giúp bạn nhanh chóng xác định các nỗ lực leo thang đặc quyền và các kỹ thuật tấn công khác như được định nghĩa bởi khung MITER ATT & CK.

Chuyển động sang bên thường là bước tiếp theo và có thể liên quan đến nhiều kỹ thuật khác nhau. Một lần nữa, Bảng điều khiển cảnh báo xác định các kỹ thuật chuyển động bên, với các chi tiết về hoạt động cụ thể đã kích hoạt cảnh báo.

Kết luận

Ransomware và RDP là một sự kết hợp nguy hiểm. Bảo vệ người dùng cuối từ xa yêu cầu cấu hình cơ sở tốt, an toàn của bảo mật đầu cuối với tường lửa và tính năng tự bảo vệ được bật và quyền truy cập phải phù hợp, chẳng hạn như bảo vệ mối đe dọa thích ứng với Biện pháp khắc phục nâng cao. Tính năng sửa chữa nâng cao chỉ khả dụng bắt đầu từ phiên bản ENS 10.7, vì vậy nếu bạn đang chạy các phiên bản ENS cũ hơn hoặc thậm chí là VSE (yikes), thì đã đến lúc nâng cấp.

Tuy nhiên, việc ngăn chặn ransomware nhắm mục tiêu, có tác động đến hoạt động kinh doanh đòi hỏi nhiều hơn là phòng ngừa. Cả ePO và EDR đều cung cấp khả năng phát hiện chủ động, điều tra nhanh hơn và săn lùng liên tục.

Cuối cùng, khả năng thích ứng đòi hỏi sự thông minh trong việc phát hiện các mối đe dọa. Các nhà nghiên cứu và phòng thí nghiệm về mối đe dọa nâng cao của McAfee, đang tích cực theo dõi toàn cảnh mối đe dọa và liên tục cập nhật lên các hệ thống thông báo về mối đe dọa toàn cầu của McAfee. Đảm bảo rằng Endpoint Security và các sản phẩm McAfee của bạn, đang sử dụng GTI luôn được cập nhật mới nhất về các mối đe dọa.

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

Biên dịch: Lê Toản – Iworld.com.vn