Tin tặc quét các thiết bị dễ bị tấn công trên mạng công cộng để tìm các lỗ hổng

Mỗi giờ, một tác nhân đe dọa bắt đầu một đợt quét mới trên web công cộng để tìm các hệ thống dễ bị tấn công, di chuyển với tốc độ nhanh hơn các doanh nghiệp toàn cầu khi cố gắng xác định các lỗ hổng nghiêm trọng trên mạng của họ.

Nỗ lực của đối thủ tăng lên đáng kể khi các lỗ hổng nghiêm trọng xuất hiện, với các đợt quét mới trên toàn internet diễn ra trong vòng vài phút kể từ khi tiết lộ.

Những kẻ tấn công không mệt mỏi trong công cuộc tìm kiếm nạn nhân mới và cố gắng giành chiến thắng trong cuộc đua để vá các hệ thống dễ bị tấn công. Trong khi các công ty cố gắng xác định các vấn đề trên mạng của họ trước khi quá muộn, họ lại di chuyển với tốc độ thấp hơn nhiều.

Dữ liệu đến từ nhóm nghiên cứu Palo Alto Networks Cortex Xpanse, những người từ tháng 1 đến tháng 3 năm nay đã theo dõi các lần quét từ 50 triệu địa chỉ IP của 50 doanh nghiệp toàn cầu, một số trong số đó nằm trong Fortune 500.

Các nhà nghiên cứu nhận thấy rằng các công ty mất trung bình 12 giờ để tìm ra một lỗ hổng nghiêm trọng mới. Gần một phần ba trong số tất cả các vấn đề được xác định liên quan đến Giao thức Máy tính Từ xa, một mục tiêu phổ biến cho các tác nhân ransomware vì chúng có thể sử dụng nó để giành quyền truy cập quản trị vào máy chủ.

Các máy chủ cơ sở dữ liệu bị định cấu hình sai, lỗ hổng zero-day trong các sản phẩm quan trọng của các nhà cung cấp như Microsoft và F5, và truy cập từ xa không an toàn (Telnet, SNMP, VNC) hoàn thành danh sách các lỗi có mức độ ưu tiên cao.

Theo Palo Alto Networks , các công ty xác định được một vấn đề như vậy cứ sau 12 giờ, hoàn toàn trái ngược với thời gian kiểm kê trung bình của các tác nhân đe dọa chỉ là một giờ.

Tuy nhiên, trong một số trường hợp, đối thủ đã tăng tần suất quét lên 15 phút khi có tin tức về một lỗi nghiêm trọng, có thể khai thác từ xa trong một thiết bị mạng; và tốc độ giảm xuống còn năm phút sau khi tiết lộ lỗi ProxyLogon trong các sự cố Microsoft Exchange Server và Outlook Web Access (OWA).

Palo Alto Networks khuyến nghị các nhóm bảo mật xem danh sách các dịch vụ và hệ thống sau để hạn chế bề mặt tấn công.

Các nhà nghiên cứu lưu ý rằng họ đã biên soạn danh sách dựa trên hai nguyên tắc: một số thứ không được để lộ trên web công cộng (giao thức xấu, cổng quản trị, VPN) và các tài sản bảo mật có thể trở nên dễ bị tấn công theo thời gian.

1. Các dịch vụ truy cập từ xa (ví dụ: RDP, VNC, TeamViewer)
2. Dịch vụ chia sẻ / trao đổi tệp không an toàn (ví dụ: SMB, NetBIOS)
3. Hệ thống chưa được vá dễ bị khai thác công khai và hệ thống cuối vòng đời (EOL)
4. Cổng hệ thống quản trị CNTT 5. Các ứng dụng hoạt động kinh doanh nhạy cảm (ví dụ: Jenkins, Grafana, Tableau)
5. Các giao thức văn bản và thông tin đăng nhập không được mã hóa (ví dụ: Telnet, SMTP, FTP)
6. Các thiết bị Internet of Things (IoT) được tiếp xúc trực tiếp
7. Tiền điện tử yếu và không an toàn / không dùng nữa
8. Cơ sở hạ tầng phát triển tiếp xúc
9. Cổng tiếp thị không an toàn hoặc bị bỏ rơi (có xu hướng chạy trên Adobe Flash)

Trungtambaohanh.com sửa chữa, thay thế, bảo hành và phục hồi dữ liệu.