Sự nguy hiểm của CaaS
Từ “thành công” của tội phạm mạng với dịch vụ cung cấp mã độc tống tiền (Ransomware-as-a-Service - RaaS), ngày càng nhiều các phương thức tấn công mới sẽ trở nên sẵn có dưới dạng dịch vụ thông qua thị trường website đen và ngày càng thúc đẩy sự bành trướng đáng kể của xu hướng CaaS. Ngoài việc kinh doanh các mã độc tống tiền và các dịch vụ cung cấp mã độc khác, các dịch vụ theo yêu cầu mới sẽ sớm phát triển. CaaS là một kiểu mô hình kinh doanh hấp dẫn đối với các tác nhân xấu trên mạng. Với nhiều cấp độ kỹ năng khác nhau, chúng có thể dễ dàng tận dụng các dự án “chìa khóa trao tay” mà không cần đầu tư thời gian và nguồn lực trước đó để thiết lập kế hoạch tấn công đặc biệt của riêng mình. Ngoài ra, đối với những tên tội phạm mạng dày dạn kinh nghiệm, việc tạo ra và bán các ứng dụng tấn công mạng dưới dạng dịch vụ mang lại thu nhập cực kỳ đơn giản, nhanh chóng và dễ dàng.
Mô hình dịch vụ do thám thông tin
Một khía cạnh khác của đặc điểm tổ chức bài bản của tội phạm mạng khiến các chiến lược tấn công trở nên hiệu quả hơn. Khi các cuộc tấn công có mục tiêu rõ ràng hơn, các tác nhân đe dọa có thể thuê các "thám tử" trên những trang web đen để thu thập thông tin tình báo về một mục tiêu cụ thể trước khi tiến hành một cuộc tấn công. Tương tự như việc người ta thuê một thám tử tư để điều tra thông tin, các dịch vụ do thám thông tin có thể hỗ trợ trong việc tấn công có chủ đích. Đối với các cuộc tấn công áp dụng mô hình CaaS, việc ngăn chặn đối thủ sớm hơn trong quá trình do thám thông tin sẽ vô cùng quan trọng.
Hành vi rửa tiền
Những tổ chức tội phạm mạng thực hiện hành vi rửa tiền bằng cách sử dụng “con la chở tiền” (money mule). Việc rửa tiền thường được thực hiện thông qua các dịch vụ chuyển khoản ẩn danh hoặc thông qua hoạt động trao đổi tiền điện tử để tránh bị phát hiện. Thiết lập các chiến dịch tuyển dụng “con la chở tiền” trước đây là một quá trình tốn rất nhiều thời gian bởi những kẻ cầm đầu các nhóm tội phạm mạng đã phải cố gắng rất nhiều để tạo ra các trang web cho các tổ chức giả mạo khiến doanh nghiệp của chúng trông có vẻ hợp pháp. Những tên tội phạm mạng sẽ sớm bắt đầu sử dụng học máy để nhằm mục tiêu tuyển dụng, giúp chúng xác định tốt hơn những “con la” tiềm năng đồng thời giảm thời gian tìm kiếm những đối tượng này. Các chiến dịch sử dụng “con la chở tiền” thông thường sẽ được thay thế bằng các dịch vụ tự động hóa, chuyển tiền qua các lớp giao dịch tiền ảo, khiến quá trình rửa tiền nhanh và khó theo dõi hơn. Dịch vụ rửa tiền có thể nhanh chóng trở thành xu hướng chủ đạo như một phần trong danh mục CaaS đang phát triển. Đối với các tổ chức hoặc cá nhân trở thành nạn nhân của loại tội phạm mạng này, việc chuyển đổi sang tự động hóa đồng nghĩa với việc hành vi rửa tiền sẽ khó theo dõi hơn, làm giảm cơ hội thu hồi các khoản tiền bị đánh cắp.
Thành phố ảo và thế giới trực tuyến là những bề mặt tấn công mới đối với tội phạm mạng
Vũ trụ ảo - Metaverse đang làm nảy sinh những trải nghiệm mới, nhập vai hoàn toàn trong thế giới trực tuyến, và các thành phố ảo nằm trong những yếu tố đầu tiên xâm nhập vào phiên bản mới này của mạng internet với công nghệ thực tế ảo tăng cường. Các nhà bán lẻ thậm chí còn tung ra những sản phẩm kỹ thuật số sẵn có để kinh doanh trong các môi trường thế giới ảo này. Trong khi các điểm đến trực tuyến mới mở ra một thế giới đầy tiềm năng, điều này cũng mở ra cánh cửa đối với xu hướng gia tăng chưa từng có của tội phạm mạng trong những lãnh thổ chưa được khám phá. Ví dụ: ảnh đại diện của một cá nhân về cơ bản là một cổng tiếp cận thông tin nhận dạng cá nhân (PII), khiến người đó trở thành mục tiêu chính của những kẻ tấn công. Do mọi người có thể mua hàng hóa và dịch vụ ở các thành phố ảo, ví điện tử, giao dịch tiền ảo, NFTs và bất kỳ loại tiền tệ nào được sử dụng để giao dịch cũng sẽ cung cấp cho các tác nhân mối đe dọa một bề mặt tấn công mới khác. Việc chiếm hữu thông tin (hack) sinh trắc học cũng có thể trở thành một nguy cơ thực sự do các thành phần dựa trên công nghệ AR và VR của các thành phố ảo, khiến tội phạm mạng dễ dàng đánh cắp hình ảnh vân tay, dữ liệu nhận dạng khuôn mặt hoặc thông tin quét võng mạc và sau đó sử dụng chúng cho các mục đích xấu. Hơn nữa, các ứng dụng, giao thức và giao dịch trong những môi trường này cũng đều là những mục tiêu khả thi đối với tội phạm mạng.
Cần nhận thức những xu hướng tấn công mới
Thế giới tội phạm mạng và các phương thức tấn công của kẻ xấu trên không gian mạng nhìn chung tiếp tục mở rộng với tốc độ nhanh chóng. Có 1 tín hiệu tốt là nhiều chiến thuật chúng đang sử dụng để thực hiện các cuộc tấn công này đã trở nên quen thuộc, giúp các đội ngũ an ninh dễ dàng nhận biết và bảo vệ hệ thống tốt hơn trước những tên tội phạm này. Các giải pháp bảo mật nên được nâng cấp với công nghệ máy học và trí tuệ nhân tạo để có thể phát hiện các mẫu tấn công và ngăn chặn các mối đe dọa theo thời gian thực. Tuy nhiên, tập hợp các giải pháp bảo mật theo điểm đã trở nên không hiệu quả trong bối cảnh ngày nay. Một nền tảng lưới an ninh mạng được tích hợp và tự động trên phạm vi rộng là giải pháp cần thiết để giảm độ phức tạp và tăng khả năng chống chịu về an ninh. Giải pháp này còn cho phép tích hợp chặt chẽ hơn, cải thiện khả năng hiển thị và phản ứng nhanh chóng, phối hợp và hiệu quả hơn đối với các mối đe dọa trên toàn hệ thống mạng.
Theo Giám đốc Chiến lược an ninh mạng và nghiên cứu mối đe dọa toàn cầu của FortiGuard Labs Derek Manky, khi kết hợp với các phương thức tấn công APT, tội phạm công nghệ cao đang tìm cách vũ khí hóa các công nghệ mới ở quy mô lớn nhằm gây ra nhiều phá hoại và gián đoạn hơn. Chúng không chỉ nhắm vào bề mặt tấn công truyền thống mà cả bên ngoài và bên trong môi trường mạng truyền thống. Đồng thời, chúng dành nhiều thời gian vào việc thăm dò để cố gắng chống lại các biện pháp phát hiện, thu thập thông tin và kiểm soát. Tất cả những điều này đồng nghĩa với việc rủi ro trên không gian mạng tiếp tục leo thang và các Giám đốc an ninh thông tin (CISO) cần phải nhanh nhạy và bài bản giống như đối thủ. Các tổ chức sẽ dễ dàng chủ động hơn trong việc phòng thủ trước các cuộc tấn công này với một nền tảng an ninh mạng được tích hợp trên toàn bộ các hệ thống mạng, thiết bị đầu cuối và đám mây để thu thập thông tin về mối đe dọa mạng tự động và cần ứng phó, cùng với năng lực phát hiện và phản ứng theo hành vi ở cấp độ nâng cao.
Xuân Bình