Palo Alto Networks: Tính chất động của đám mây là nguyên nhân cho 50% lỗ hổng có thể khai thác

Báo cáo cho thấy tội phạm mạng hiện khai thác các lỗ hổng bảo mật chỉ vài giờ sau khi thông tin về chúng được công khai. Nói một cách đơn giản, các tổ chức đang gặp khó khăn trong việc quản lý các bề mặt tấn công ở tốc độ và quy mô cần thiết nhằm chống lại vấn nạn tự động dò quét và khai thác lỗ hổng của các tài sản kết nối Internet.

Matt Kraning, Giám đốc Công nghệ của nền tảng Cortex thuộc Palo Alto Networks, cho biết: “Hầu hết các tổ chức đều gặp vấn đề về quản lý bề mặt tấn công mà chính họ cũng không hề hay biết, do thiếu nhận thức đầy đủ về các tài sản CNTT kết nối Internet cũng như chủ sở hữu tài sản CNTT trong một tổ chức. Một trong những thủ phạm lớn nhất đứng sau những rủi ro tàng hình này chính là việc mở rộng kết nối Internet cho các dịch vụ truy cập từ xa, bởi cứ 5 vấn đề gặp phải trên không gian mạng thì gần như sẽ có 1 vấn đề thuộc nhóm này. Nhân sự an ninh mạng cần thường xuyên cảnh giác vì mọi thay đổi cấu hình, cập nhật phiên bản đám mây hay lỗ hổng bảo mật mới được công khai cũng có thể kích hoạt một cuộc đua mới với những kẻ tấn công.”

Theo Báo cáo đề cập, đám mây là bề mặt tấn công điển hình. Hầu hết các rủi ro an ninh xuất hiện trên các môi trường đám mây, ở mức 80%, so với mức 19% ở các hạ tầng truyền thống. Cơ sở hạ tầng CNTT nền tảng đám mây luôn thay đổi với mức độ hơn 20% trên tất cả các khối ngành mỗi tháng.

Gần 50% vụ việc an ninh có mức độ rủi ro cao ghi nhận trên môi trường đám mây hàng tháng là hệ quả của sự biến động liên tục các dịch vụ lưu trữ đám mây mới, được phát hành trực tuyến và/hoặc các dịch vụ cũ được tháo gỡ. Hơn 75% vụ việc an ninh liên quan đến cơ sở hạ tầng phát triển phần mềm có thể truy cập công khai xảy ra trên đám mây, khiến chúng trở thành đối tượng tiềm năng cho những kẻ tấn công.

Đề cập tới tội phạm tấn công với tốc độ của máy móc, báo cáo chỉ rõ tội phạm mạng ngày nay có khả năng quét toàn bộ không gian địa chỉ IPv4 để tìm các mục tiêu dễ bị tấn công chỉ trong vài phút. Rà soát 30 lỗ hổng và phơi nhiễm bảo mật thường gặp cho thấy 30% nguy cơ có thể được khai thác trong vài giờ và 63% số nguy cơ có thể được khai thác trong vòng 12 tuần sau công khai. Rà soát 15 lỗ hổng thực thi mã từ xa cho thấy 20% bị các nhóm mã độc nhắm đến chỉ sau vài giờ và 40% bị khai thác trong vòng 8 tuần sau công khai.

Rủi ro truy cập từ xa ngày càng phổ biến. Rà soát hơn 85% doanh nghiệp cho thấy Giao thức máy tính từ xa (RDP) của họ có thể truy cập trên không gian mạng ít nhất 25% số thời gian trong tháng, tạo điều kiện cho các vụ tấn công bằng mã độc hoặc đăng nhập trái phép. 8 trong số 9 khối ngành công nghiệp mà Nhóm nghiên cứu bảo mật Unit 42 phân tích, sở hữu những lỗ hổng truy cập mạng RDP có nguy cơ bị tấn công ồ ạt trong ít nhất 25% thời gian trong tháng. Các tổ chức chính quyền cấp địa phương và các dịch vụ tài chính trung gian là những bên phơi bày kết nối RDP trong suốt cả tháng.

Các khối ngành thiết yếu đều đứng trước nguy cơ bị tấn công. Các tổ chức tài chính là bên sử dụng dịch vụ chia sẻ tài liệu thường xuyên nhất (38%). Nắm trong tay dữ liệu cá nhân và tài chính của khách hàng, mọi sự xâm phạm nhắm đến các đơn vị này đều có thể dẫn tới tổn thất nặng nề về tài sản, nguy cơ đánh cắp danh tính, gian lận và mất uy tín đối với khách hàng không cách nào khắc phục được. Đối với chính quyền các nước, việc chia sẻ tài liệu và cơ sở dữ liệu không an toàn là một trong những nguy cơ tấn công bề mặt nghiêm trọng nhất, chiếm đến hơn 46% số vụ tấn công tại một tổ chức chính phủ cấp quốc gia điển hình.

Đối với khối y tế, 56% môi trường phát triển công khai thường có cấu hình bảo mật sai và dễ bị tấn công, tạo điều kiện cho tội phạm mạng thiết lập cơ chế tấn công ngay trong mạng lưới của tổ chức.Với khối ngành năng lượng và dịch vụ thiết yếu, các trung tâm điều khiển cơ sở hạ tầng CNTT dễ dàng truy cập trên không gian mạng chính là nơi thường xảy ra các nguy cơ khai thác (47%). Cơ sở hạ tầng CNTT, bảo mật và mạng lưới là bộ phận phơi bày lỗ hổng lớn nhất (48%) đối với khối ngành sản xuất, có thể gây ra các sự cố gián đoạn vận hành nghiêm trọng ảnh hưởng tới sản xuất và doanh thu.

Có thể thấy các công nghệ cũ hỗ trợ trung tâm điều hành, giám sát bảo mật (SOC) đã có phần lỗi thời và khách hàng hiện cần phương án ứng phó và khắc phục lỗi trong thời gian trung bình nhanh hơn nhiều so với trước đây. Các giải pháp quản lý bề mặt tấn công, điển hình như bộ giải pháp đầu ngành Cortex Xpanse của Palo Alto Networks đem đến cho các nhóm giám sát ATTT SecOps hiểu biết toàn diện và đúng đắn về các tài sản có thể truy cập mạng toàn cầu của mình và các lỗi cấu hình sai tiềm ẩn để liên tục phát hiện, đánh giá và giảm thiểu các rủi ro trên bề mặt tấn công.

Cortex Xpanse hoạt động tự động không cần quản trị thao tác và sẽ định kỳ phát hiện các tài sản mà nhân sự CNTT không nắm bắt hoặc giám sát được. Mỗi ngày, giải pháp này sẽ thực hiện dò quét hơn 500 tỷ dịch vụ Internet để tìm kiếm các tài sản có thể truy cập trên mạng, giúp tổ chức chủ động phát hiện, tìm hiểu và quan trọng nhất là ứng phó với những rủi ro tiềm tàng trong tất cả các hệ thống được kết nối và các dịch vụ có khả năng bị tấn công. Cortex Xpanse là một trong những sản phẩm duy nhất không chỉ cung cấp cho doanh nghiệp khả năng phát hiện các rủi ro kết nối Internet, mà còn có thể tự động khắc phục chúng. Gần đây, Cortex Xpanse cũng đã được cập nhật các tính năng mới giúp tổ chức xác định ưu tiên và khắc phục các nguy cơ tấn công bề mặt, ứng dụng trí tuệ nhân tạo và các quy trình làm việc được hỗ trợ bởi AI.

Danh mục sản phẩm Cortex, đơn cử như XSIAM, tích hợp AI và tự động hóa để tạo ra cuộc cách mạng về vận hành bảo mật, đem đến cho khách hàng sự linh hoạt và an toàn cao hơn.

Nhóm nghiên cứu bảo mật Unit 42 phân tích hàng petabyte dữ liệu Internet công cộng thu thập bởi Cortex Xpanse – giải pháp quản lý bề mặt tấn công của Palo Alto Networks – trong hai năm 2022 và 2023. Báo cáo của nhóm đưa ra các số liệu thống kê tổng hợp phản ánh sự thay đổi trong mô hình tấn công bề mặt toàn cầu và đi sâu vào những rủi ro cụ thể, liên quan tới thị trường.