Khi 5G trở thành mục tiêu của tội phạm mạng

Dựa trên những tổng kết tội phạm mạng năm 2020, nhóm những chuyên gia nghiên cứu phân tích xu hướng tội phạm mạng của Fortinet (FortiGuard Labs) đã nhận định Intelligent Edge – vùng mạng biên thông minh sẽ là mục tiêu của các cuộc tấn công trong năm 2021, kể cả tốc độ và quy mô. Nhất là khi nhiều nước trên thế giới triển khai mạnh mẽ mạng 5G, trong đó có Việt Nam.

Theo FortiGuard Labs, trong vài năm gần đây, đường rìa bên ngoài của hệ thống mạng truyền thống đã bị thay thế bằng môi trường đa biên, mạng WAN, nền tảng multi – cloud, trung tâm dữ liệu (data center), đội ngũ nhân viên làm việc từ xa, IoT, và hơn thế nữa. Tất cả những biên này đều được kết nối lẫn nhau. Trong khi đó, nhằm đổi lấy hiệu suất và tiến tới mục tiêu chuyển đổi số, rất nhiều tổ chức đã hy sinh khả năng hiển thị tập trung và kiểm soát thống nhất.

Đây là kẽ hở và lợi thế đáng kể nhất đối với những tội phạm mạng. Những kẻ xấu trên mạng đã tìm cách cải tiến những đợt tấn công của chúng bằng cách nhắm vào những môi trường này và sẽ khai thác tốc độ và quy mô từ khả năng của công nghệ 5G.

Ông Nguyễn Gia Đức – Giám đốc quốc gia Fortinet Việt Nam cho rằng lợi ích của mạng 5G thì ai cũng biết nhưng ở góc độ của những người làm trong lĩnh vực an ninh an toàn sẽ thấy những nguy cơ mới. Mạng 5G gia tăng kết nối, gia nhập nhiều mạng lưới hơn, tốc độ nhanh hơn. Nhà cung cấp thiết bị 5G chủ yếu tập trung vào tính năng kết nối, không chú trọng đến vấn đề bảo mật. Do đó nếu bị tấn công thì quy mô sẽ lớn hơn trước đây rất nhiều.

“Năm 2020 đã chứng minh khả năng của những tội phạm trên không gian mạng. Chúng đã tận dụng những thay đổi mạnh mẽ trong cuộc sống hàng ngày của chúng ta thành cơ hội mới cho những cuộc tấn công ở quy mô chưa từng có. Bước sang năm 2021 và những năm tiếp theo, với sự gia tăng của những môi trường biên mạng thông minh mới, tội phạm sẽ có mục tiêu mới, phương hướng tấn công mới, đặc biệt với người dùng tốc độ 5G. Để phòng bị trước thực tế sắp diễn ra này, tất cả thiết bị biên phải là một phần trong một nền tảng bảo mật tự động, được tích hợp với quy mô lớn hơn, vận hành trên khắp hệ thống lõi, môi trường đa đám mây, các văn phòng chi nhánh và giữa các nhân viên làm việc từ xa”. Ông Derek Manky đại diện FortiGuard Labs cho biết

FortiGuard Labs chỉ ra những khả năng tấn công tinh vi của tội phạm mạng, gồm:

Trojan tiến hóa để nhắm vào vùng mạng biên: Những người dùng cuối và tài nguyên tại nhà (máy tính, thiết bị an ninh, Smartphone,…) của họ là mục tiêu cho những tên tội phạm mạng. Không những thế, những kẻ tấn công tinh vi còn sử dụng các tài nguyên tại nhà như một bàn đạp để tiếp tục triển khai những kế hoạch khác. Thực tế cho thấy, những cuộc tấn công mạng doanh nghiệp bắt đầu từ mạng tại nhà của một nhân viên làm việc từ xa, đặc biệt khi xu hướng sử dụng mạng được thấu hiểu một cách rõ ràng, được thiết lập một cách cẩn thận, không tạo ra bất kỳ điểm đáng nghi nào. Dần dần, mã độc nâng cao có thể cũng khám phá được, thậm chí nhiều dữ liệu và xu hướng giá trị hơn bằng cách sử dụng mã độc EAT mới (mã độc Trojan truy cập vùng biên). Đồng thời mã độc thực hiện những hoạt động xâm lấn như ngăn chặn những yêu cầu đến từ mạng địa phương nhằm gây hại tới những hệ thống khác hoặc bổ sung thêm những lệnh tấn công.

Tấn công swarm từ vùng biên (được hỗ trợ bởi AI): Xâm nhập và lợi dụng những thiết bị sử dụng công nghệ 5G mở ra những cơ hội cho những mối đe dọa nâng cao hơn. Một quy trình đã được tạo ra bởi những tên tội phạm mạng nhằm phát triển và triển khai những cuộc tấn công swarm. Những cuộc tấn công này lợi dụng những thiết bị bị chiếm quyền điều khiển được chia ra thành những nhóm nhỏ, mỗi nhóm với những kỹ năng chuyên môn riêng. Chúng nhắm vào những mạng hoặc thiết bị như một hệ thống được tích hợp, sau đó chia sẻ thông tin theo thời gian thực để tối ưu hiệu quả của cuộc tấn công khi chúng diễn ra. Những công nghệ swarm yêu cầu năng lực xử lý lớn để tiến hành kích hoạt các con swarmbot đơn lẻ và chia sẻ thông tin giữa chúng với nhau. Điều này cho phép chúng nhanh chóng khám phá, chia sẻ và tương quan những lỗ hổng an ninh, từ đó thay đổi phương thức tấn công để khai thác tốt hơn những gì chúng đã khám phá ra được trong hệ thống mạng.

Tấn công phi kỹ thuật có thể trở nên thông minh hơn: Những thiết bị thông minh trong gia đình có tương tác với người dùng sẽ không còn đơn giản là mục tiêu cho những cuộc tấn công, mà sẽ còn là đường dẫn trong những quy trình tấn công sâu hơn. Tội phạm mạng sẽ theo dõi người dùng bao gồm thời gian biểu hàng ngày, thói quen hoặc thông tin về tài chính để thực hiện các vụ lừa đảo phi kỹ thuật. Thay vì đánh sập hệ thống an ninh, vô hiệu hóa camera hoặc chiếm quyền điều khiển các thiết bị thông minh, tấn công phi kỹ thuật có thể tạo điều kiện cho các vụ đòi tiền chuộc, tấn công thông tin xác thực tàng hình.

Tấn công tống tiền từ vùng biên OT: Mã độc tống tiền tiếp tục tiến hóa, và khi các hệ thống IT không ngừng kết hợp với hệ thống OT, đặc biệt là các hạ tầng trọng yếu, thậm chí sẽ có nhiều dữ liệu, thiết bị và cả những mạng sống đang gặp nguy hiểm. Tống tiền, phỉ báng trên mạng, tấn công giao diện, tất cả đều là những công cụ của thương vụ trao đổi mã độc tống tiền.

“Vùng biên ngày nay không còn là vùng biên network thuần túy như trước đây mà là đa vùng biên. Các thiết bị vùng biên cũng ngày càng thông minh. Tội phạm mạng sẽ sẽ hướng tấn công vào các thiết bị vùng biên đó bằng những mã độc Trojan mới”. Ông Nguyễn Gia Đức còn cảnh báo, thậm chí có những lỗ hổng bảo mật từ 15-20 năm trước cũng bị tội phạm mạng tiếp tục tấn công, nhất là các lỗ hổng SCADA, OI tại các khu công nghiệp.

Thậm chí khi các nhà cung cấp máy tính cải tiến công nghệ để nâng hiệu suất hoạt động thì máy tính trở thành mục tiêu của tội phạm mạng, nhất là tội phạm đào tiền ảo. Kẻ xấu sẽ có thể xử lý khối lượng dữ liệu khổng lồ và học nhiều hơn về cách làm thế nào cũng như khi nào các thiết bị biên được sử dụng.

AI: Vũ khí quan trọng chống lại tấn công trong tương lai

AI là vũ khí quan trọng nhưng theo ông Nguyễn Gia Đức, công nghệ AI sẽ phải cải tiến, nâng cấp lên thế hệ tiếp theo. Điều đó bao gồm việc sử dụng những nút mạng địa phương từ công nghệ máy học như là một phần của hệ thống được tích hợp tương tự như hệ thống thần kinh của con người. Công nghệ được cải tiến với AI có thể nhìn thấy, dự đoán và chống lại được những cuộc tấn công sau này sẽ cần phải trở thành hiện thực do các cuộc tấn công mạng của tương lai sẽ chỉ diễn ra trong tích tắc.

Nhưng doanh nghiệp không thể một mình đưa ứng dụng AI mà phải có liên minh, hợp tác, chia sẻ. Không thể kỳ vọng các tổ chức sẽ tự mình phòng thủ chống lại những kẻ thù trên mạng. Họ sẽ cần biết ai cần thông báo trong trường hợp xảy ra một cuộc tấn công để “dấu vết” của chúng có thể được chia sẻ một cách chuẩn xác từ đó các đơn vị thực thi pháp luật có thể làm công việc của họ. Các đơn vị cung ứng giải pháp an ninh mạng, các tổ chức nghiên cứu mối đe dọa trên mạng, và các nhóm ngành khác cần hợp tác với nhau để chia sẻ thông tin, nhưng cũng cần kết hợp với tổ chức thi hành luật pháp để giúp triệt phá cơ sở hạ tầng của các bên đối địch, từ đó phòng ngừa tấn công trong tương lại.

Xây dựng Blue team trong tổ chức (đội ngũ phụ trách thực hiện phân tích hệ thống thông tin để đảm bảo an ninh mạng): Đội ngũ này sẽ giúp ích cho hệ thống AI để triển khai kiểm tra các hình mẫu tấn công, chủ động gây hoang mang các mục tiêu trên mạng, đặt các cạm bẫy hấp dẫn trên đường tấn công,… Khi đội ngũ Blue team duy trì vị thế kiểm soát ưu việt, các tổ chức có thể ứng phó với bất kỳ nỗ lực chống đối nào trước khi chúng xảy ra.

Trà Giang