Tại sao 8 trong 10 doanh nghiệp bị tấn công mạng đều nói "không thể ngờ được"? BleepingComputer - trang tin uy tín về an ninh mạng sẽ tổ chức webinar đặc biệt vào ngày 30/4 với chủ đề "Phát hiện tấn công mạng trước khi chúng bắt đầu". Sự kiện quy tụ công ty tình báo mối đe dọa Flare và nhà nghiên cứu Tammy Harper, hứa hẹn tiết lộ những bí mật về việc nhận diện các dấu hiệu cảnh báo sớm. Chúng tôi tin rằng đây sẽ là cơ hội vàng để cộng đồng an ninh mạng Việt Nam học hỏi kinh nghiệm quốc tế.

Cuộc chiến không cân sức trước mặt trận vô hình

Threat Intelligence (tình báo mối đe dọa) đang trở thành vũ khí then chốt trong cuộc chiến chống lại tội phạm mạng. Flare - công ty chuyên về lĩnh vực này sẽ chia sẻ phương pháp giám sát và phân tích các hoạt động đáng ngờ trên Dark Web, forums hacker và các kênh giao tiếp bí mật. Những tín hiệu này thường xuất hiện từ 2-4 tuần trước khi cuộc tấn công thực sự diễn ra, tạo ra "cửa sổ vàng" để các đội ngũ bảo mật chuẩn bị ứng phó.

Tammy Harper - chuyên gia với hơn 15 năm kinh nghiệm trong lĩnh vực này cho biết rằng việc phát hiện sớm không chỉ dựa vào công nghệ mà còn cần sự hiểu biết sâu sắc về tâm lý và chiến thuật của hacker. Các dấu hiệu cảnh báo có thể là việc thu thập thông tin nhân viên trên mạng xã hội, khảo sát cơ sở hạ tầng công nghệ của doanh nghiệp, hoặc thậm chí là các cuộc trò chuyện tuyển dụng "cộng sự" trên các diễn đàn ngầm.

Khi hacker để lộ bài trước khi đánh

Reconnaissance (trinh sát) là giai đoạn đầu tiên trong chuỗi tấn công mạng mà ít người chú ý đến. Trong giai đoạn này, kẻ tấn công thực hiện OSINT (Open Source Intelligence - thu thập thông tin từ nguồn mở) để nắm bắt thông tin về mục tiêu. Họ sử dụng các công cụ như Shodan để quét các thiết bị IoT không được bảo vệ, LinkedIn để xây dựng sơ đồ nhân sự, hoặc GitHub để tìm kiếm các đoạn code có chứa thông tin nhạy cảm.

Chúng tôi nhận thấy rằng giai đoạn này thường kéo dài từ vài tuần đến vài tháng, tùy thuộc vào quy mô và độ phức tạp của mục tiêu. Webinar sẽ tiết lộ cách thiết lập các "bẫy mật" (honeypot) để phát hiện những hoạt động trinh sát này, cũng như cách phân tích log để nhận diện các pattern bất thường. Việc giám sát mentions về công ty trên các platform khác nhau cũng có thể giúp phát hiện sự quan tâm đáng ngờ từ các nguồn không xác định.

Thực trạng đáng báo động tại Việt Nam

Theo báo cáo từ Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận hơn 11.000 cuộc tấn công mạng trong năm 2023, tăng 25% so với năm trước. Tuy nhiên, con số đáng lo ngại hơn là chỉ có 18% doanh nghiệp Việt Nam có khả năng phát hiện cuộc tấn công trong vòng 24 giờ đầu tiên. Phần lớn các vụ việc chỉ được phát hiện khi thiệt hại đã xảy ra, thường là sau 2-3 tuần.

Nguyên nhân chính đến từ việc thiếu nhân lực chuyên về Threat Intelligence và SOC (Security Operations Center - trung tâm điều hành an ninh). Các doanh nghiệp Việt Nam thường tập trung vào việc triển khai các giải pháp phòng thủ thụ động như firewall, antivirus mà bỏ qua khâu giám sát chủ động. Điều này tạo ra khoảng trống nguy hiểm mà hacker có thể lợi dụng.

Lộ trình hành động cho doanh nghiệp Việt Nam

Doanh nghiệp Việt Nam cần bắt đầu bằng việc thiết lập SIEM (Security Information and Event Management) để tập trung hóa việc giám sát log từ tất cả các hệ thống. Bước tiếp theo là triển khai Threat Hunting - hoạt động chủ động tìm kiếm các mối đe dọa tiềm ẩn thay vì chờ đợi cảnh báo từ hệ thống. Các công ty có thể bắt đầu với việc giám sát Dark Web mentions về tên công ty, domain, hoặc thông tin nhạy cảm.

Chúng tôi khuyến nghị các doanh nghiệp nên đầu tư vào việc đào tạo nhân sự về Cyber Threat Intelligence hoặc hợp tác với các nhà cung cấp dịch vụ uy tín. Việc tham gia các webinar như sự kiện sắp tới của BleepingComputer không chỉ cập nhật kiến thức mà còn giúp xây dựng mạng lưới chuyên gia quốc tế. Thời gian đầu tư cho việc phòng ngừa luôn ít tốn kém hơn nhiều so với việc khắc phục hậu quả sau tấn công.