GIẢI PHÁP BẢO VỆ DANH TÍNH CỦA ACALVIO – IDENTITY THREAT DETECTION & RESPONSE (ITDR)
1. Vai trò của giải pháp bảo vệ danh tính
1.1 Tổng quan về hiện trạng và thách thức
Threats actor (là bất kỳ cá nhân hoặc tổ chức nào cố ý gây ra tổn hại trong không gian kỹ thuật số) đã và đang dần chuyển từ việc kiểm soát thiết bị đầu cuối sang việc tìm cách truy cập vào thông tin đăng nhập và tài khoản của người dùng. Trong thời gian tới, dự kiến chúng sẽ áp dụng cách thức mới để lấy danh tính của người dùng thông qua tấn công phy kỹ thuật (social engineering – 1 dạng tấn công thao túng hành vi), sử dụng phần mềm đánh cắp thông tin thông thường và thu thập thông tin từ các nguồn dữ liệu nội bộ sau khi xâm nhập. Chúng sẽ kết hợp thông tin đăng nhập đã đánh cắp với các kỹ thuật mới để vượt qua xác thực hai yếu tố (MFA – Multifactor Authentication) và hệ thống quản lý danh tính và truy cập (IAM – Identity and Access Management). Điều này đã được dự báo bởi Mandiant, một tổ chức chuyên về An ninh mạng, trong báo cáo dự báo an ninh mạng năm 2023.
Vấn đề quan trọng hiện nay là việc bảo vệ thông tin đăng nhập của nhân viên, được xem là ưu tiên hàng đầu đối với nhiều tổ chức an ninh IT. Thống kê từ Báo cáo Điều tra vi phạm dữ liệu 2022 của Verizon cũng cho thấy rằng, cuộc tấn công dựa trên thông tin đăng nhập đã trở thành hướng tiếp cận ưu tiên hàng đầu mà các nhóm đe dọa sử dụng để tiếp cận thông tin tài sản của doanh nghiệp. Thêm vào đó, việc đảm bảo thông tin đăng nhập an toàn cũng là điều cần thiết để triển khai mô hình an ninh zero trust.
Tuy nhiên, nhiều tổ chức đang gặp khó khăn trong việc bảo vệ thông tin đăng nhập và ngăn chặn việc lạm dụng thông tin này bởi các kẻ tấn công. Nhiều nhóm an ninh và quản lý danh tính thường tập trung vào việc bảo vệ các kho lưu trữ danh tính tập trung, nhưng gặp khó khăn trong việc xác định và bảo vệ thông tin đăng nhập trên các thiết bị trong toàn bộ doanh nghiệp. Điều này trở nên phức tạp hơn khi các nhóm IT thiếu công cụ hiệu quả để phát hiện và ngăn chặn các cuộc tấn công sử dụng thông tin đăng nhập đã đánh cắp. Tình hình này đang gây áp lực lớn lên các quan chức an ninh và các chuyên gia về an ninh.
1.2 Vai trò của các giải pháp bảo vệ danh tính
Các giải pháp bảo vệ danh tính đóng vai trò quan trọng trong việc đảm bảo an toàn và bảo vệ thông tin quan trọng của một tổ chức. Chúng tập trung vào việc xác định, quản lý và giám sát quyền truy cập của người dùng và hệ thống trong môi trường hệ thống thông tin. Điều này giúp ngăn ngừa các mối đe dọa từ bên ngoài và từ bên trong tổ chức, đồng thời cung cấp kiểm soát và tuân thủ đối với quyền truy cập vào các tài nguyên quan trọng.
- Xác định và quản lý quyền truy cập: Xác định và xây dựng quy tắc quyền truy cập dựa trên vai trò và nguyên tắc ít đặc quyền. Theo dõi và kiểm soát quyền truy cập của người dùng vào các hệ thống và dữ liệu.
- Quản lý danh tính: Theo dõi, cập nhật và quản lý thông tin danh tính của người dùng trong toàn bộ hệ thống. Quản lý vòng đời của danh tính, bao gồm việc tạo, cập nhật, và xóa tài khoản người dùng một cách an toàn.
- Bảo mật thông tin cá nhân: Đảm bảo tuân thủ các quy định về bảo mật thông tin cá nhân, như GDPR hoặc HIPAA, thông qua quản lý danh tính hiệu quả. Bảo vệ thông tin cá nhân của người dùng và đảm bảo không có vi phạm về quyền riêng tư.
- Phát hiện và phản ứng với sự vi phạm: Theo dõi và phát hiện các hành vi bất thường hoặc vi phạm bảo mật. Tự động phản ứng và triển khai các biện pháp sửa chữa khi phát hiện các vấn đề bảo mật.
2. Giải pháp bảo vệ danh tính ShadowPlex
2.1 Tổng quan về giải pháp
ShadowPlex Identity Protection, một giải pháp phát hiện và đáp ứng mối đe dọa về danh tính (ITDR) cung cấp khả năng quan sát bề mặt tấn công về danh tính của các tổ chức và khả năng mạnh mẽ để phát hiện và đáp ứng các cuộc tấn công dựa trên danh tính.
ShadowPlex Identity Protection mang đến khả năng quản lý toàn diện bề mặt tấn công về danh tính. Nó cho phép tổ chức bảo vệ thông tin đăng nhập trong các thư mục doanh nghiệp và trên các thiết bị cuối. Ngoài ra, nó cung cấp cái nhìn sâu hơn về endpoint credential cache và tạo ra sự nhận thức về các điểm yếu bảo mật tiềm ẩn liên quan đến danh tính được lưu trữ trong Active Directory (AD), Azure AD và Active Directory Certificate Services (AD CS).
Một điều đặc biệt, ShadowPlex Identity Protection cung cấp tính năng phân tích lộ trình tấn công. Nó kết nối kho chứa danh tính như AD và bộ nhớ cache thông tin đăng nhập trên thiết bị cuối để chỉ ra lối tấn công mà kẻ tấn công có thể tận dụng để tiếp cận các thông tin. Cuối cùng, giải pháp này cung cấp các công cụ mạo danh để xác định và ngăn chặn các cuộc tấn công dựa trên danh tính. Ví dụ, “honey accounts” trong Active Directory và “honey token” trong endpoint credential cache giúp nhóm quản lý bảo mật và quản lý danh tính phát hiện các hoạt động độc hại trong khi kẻ tấn công bị lừa khi cố gắng khai thác thông tin đăng nhập giả mạo.
ShadowPlex Identity Protection cho phép các tổ chức:
- Ánh xạ bề mặt tấn công trong các kho chứa danh tính như Microsoft Active Directory (AD), Azure Active Directory (Azure AD) và Active Directory Certificate Services (AD CS).
- Phát hiện các bộ nhớ cache thông tin đăng nhập trên các tài sản chính trong toàn doanh nghiệp, bao gồm máy chủ, máy trạm và máy tính xách tay.
- Xác định những thông tin đăng nhập trong các kho chứa và trên các thiết bị cuối thuộc sở hữu của người dùng đặc quyền như các quan chức cao cấp và quản trị hệ thống.
- Xác định và phân tích các lộ trình tấn công từ các thiết bị cuối sử dụng thông tin đăng nhập đặc quyền đến các tài sản thông tin nhạy cảm.
- Phát hiện việc thu thập thông tin đăng nhập trên các thiết bị cuối và các cuộc tấn công vào AD và các kho chứa danh tính khác.
- Cảnh báo các trung tâm vận hành bảo mật về các cố gắng nâng quyền và yêu cầu truy cập sử dụng thông tin đăng nhập đã bị đánh cắp.
- Sử dụng các yếu tố mạo danh để làm gián đoạn các cuộc tấn công bằng cách đánh lừa và làm chậm kẻ tấn công, dụ kẻ tấn công ra xa dữ liệu, ứng dụng thực sự và tiết lộ chiến thuật, kỹ thuật và thủ tục của kẻ tấn công (TTPs).
2.2 A Comprehensive Solution to the Identity Attack Surface Challenge
Bề mặt tấn công về danh tính chứa các thông tin đăng nhập quan trọng. Trong một tổ chức, bề mặt tấn công này bao gồm hàng nghìn tài khoản người dùng và dịch vụ trong kho chứa danh tính tập trung bao gồm các thông tin truy nhập cấp cao có thể bị đánh cắp thông qua sai sót trong cấu hình và kiểm soát bảo mật yếu kém.
2.2.1 Identity repositories
Kho chứa danh tính ShadowPlex giúp phát hiện những nguy cơ bảo mật tiềm ẩn trong hệ thống bằng cách nhận diện các tài khoản quản trị không được bảo vệ, quản trị viên “ẩn danh,” và các tài khoản được cấp quyền quá mức. Ngoài ra, nó cũng xác định các cấu hình sai lệch và điểm yếu về bảo mật như giá trị SPN của các tài khoản dịch vụ có khả năng bị tấn công lấy mật khẩu thông qua kỹ thuật Kerberoasting.
ShadowPlex Identity Protection áp dụng các kỹ thuật Trí tuệ Nhân tạo tiên tiến và hiểu biết chuyên sâu về lĩnh vực bảo mật để phân tích và mô tả bề mặt tấn công mà các dịch vụ thư mục doanh nghiệp như AD và Azure AD, cũng như Microsoft 365 Email và ứng dụng khác, hệ thống lưu trữ, máy chủ cơ sở dữ liệu và máy ảo có thể bị khai thác. Nó không yêu cầu đặc quyền hoặc quyền truy cập đặc biệt trên các miền hoặc ảnh hưởng đến hoạt động của kho chứa.
Các nhóm quản lý bảo mật và danh tính có thể sử dụng thông tin và kiến thức được cung cấp bởi ShadowPlex Identity Protection để điều chỉnh lại cấu hình, khắc phục các điểm yếu, thực hiện nguyên tắc ít đặc quyền một cách hiệu quả hơn, và tăng cường quy trình quản lý danh tính.
2.2.2 Endpoint credential cache
Đa phần tổ chức hiện nay thiếu hoặc không có khả năng quan sát được toàn bộ lưu trữ thông tin đăng nhập trên môi trường tích hợp của mình. ShadowPlex Identity Protection tìm kiếm thông tin đăng nhập của người dùng, ứng dụng, hệ điều hành và lịch sử duyệt web, các hồ sơ người dùng, các phần mở rộng ứng dụng và các vị trí khác trên các thiết bị như máy tính xách tay, máy trạm, máy chủ và các hệ thống tính toán khác.
Đội an ninh không chỉ xem xét nội dung và bộ nhớ cache mà còn có khả năng tự động xoá thông tin đăng nhập đã được lưu hoặc thay thế chúng bằng thông tin đăng nhập giả mạo, có thể được sử dụng để thực hiện lừa đảo. ShadowPlex thực hiện điều này bằng cách tận dụng cơ sở hạ tầng bảo mật hiện có, không đòi hỏi cài đặt thêm bất kỳ phần mềm nào trên thiết bị kết nối.
2.2.3 Endpoint attack surface management
ShadowPlex Identity Protection hỗ trợ nhóm an ninh giảm bề mặt tấn công trên các thiết bị cuối. Nó nhận diện những điểm yếu tiềm ẩn và đề xuất biện pháp bảo mật như tắt các giao thức và tính năng không an toàn, cũng như kích hoạt thêm các điều khiển an ninh. Thêm vào đó, nó phát hiện các lộ trình đã lưu trữ tới cơ sở dữ liệu, máy chủ web và tài sản khác mà kẻ tấn công có thể tận dụng để xâm nhập qua mạng.
2.2.4 Attack paths
Các hành vi tấn công sau khi kẻ tấn công đã thu thập thông tin đăng nhập thường bao gồm việc tìm kiếm các lộ trình tấn công tiềm ẩn dẫn đến tài sản thông tin như cơ sở dữ liệu và kho lưu trữ tài liệu, cũng như đến các thư mục và nguồn thông tin danh tính khác để có quyền truy cập đối với nhiều tài sản hơn. Những lộ trình tấn công này liên quan đến chuỗi các mối quan hệ có thể được khai thác giữa các tài khoản người dùng, hệ thống và ứng dụng, điều này thường khó phát hiện bằng các công cụ bảo mật và mạng thông thường, đặc biệt khi kẻ tấn công tận dụng các mối quan hệ đáng tin cậy đã tồn tại.
ShadowPlex Identity Protection phát hiện và phân tích những lộ trình tấn công tiềm ẩn này để nhóm quản lý bảo mật và danh tính có thể thực hiện các biện pháp để ngăn chặn chúng. Các biện pháp này bao gồm xóa thông tin đăng nhập trong bộ nhớ cache của thiết bị cuối, khắc phục cấu hình sai trong kho lưu trữ danh tính, hạn chế quyền truy cập quá mức cho các tài khoản đặc quyền và tăng cường quyền kiểm soát xung quanh các tài sản chính.
ShadowPlex Identity Protection xác định và mô tả những lộ trình tấn công tiềm ẩn này để đội ngũ quản lý bảo mật và danh tính có thể thực hiện các biện pháp để ngăn chặn chúng, chẳng hạn như xóa bộ nhớ cache thông tin đăng nhập trên các thiết bị cuối, sửa cấu hình sai trong kho lưu trữ danh tính, hạn chế quyền truy cập quá rộng cho các tài khoản đặc quyền, và tăng cường kiểm soát quanh các tài sản quan trọng
ShadowPlex Identity Protection tận dụng nhiều nguồn dữ liệu để cung cấp bản đồ chi tiết và thông tin có thể thực hiện hơn nhiều so với các công cụ bảo mật tập trung vào thư mục một mình. Nó cũng bao gồm các lộ trình tấn công không phụ thuộc vào các lỗ hổng và cấu hình sai biết đến, và do đó không thể thấy bằng các công nghệ quét truyền thống.”
2.3 Active Defense for Credential-Based Attacks
Trong môi trường doanh nghiệp phổ biến, có hàng nghìn danh tính và nhiều lộ trình tấn công khó khắc phục. ShadowPlex cung cấp các điều khiển bù đắp để đảm bảo bảo vệ trước những lộ trình tấn công này. Bằng cách triển khai và giám sát hai loại yếu tố mê hoặc, nó cho phép doanh nghiệp tự bảo vệ và đảm bảo an toàn cho người dùng đặc quyền, các tài khoản dịch vụ, tài sản quan trọng và điều khiển miề
2.3.1 Honey accounts
Các tài khoản Honey là các tài khoản giả mạo được tạo trong Active Directory (AD) và Azure AD. Chúng có thể được truy cập bằng thông tin đăng nhập giả mạo hoặc thông tin đăng nhập này có thể được lưu trữ trên các thiết bị cuối. ShadowPlex Identity Protection tự động đề xuất các tài khoản Honey bằng cách phân tích các mẫu tên trong AD và loại cuộc tấn công mà tổ chức thường gặp phải. Nhóm bảo mật và quản lý danh tính có thể điều chỉnh các tài khoản Honey theo nhu cầu cụ thể của họ.
2.3.2 Honey tokens
Honey token là các yếu tố giả mạo được tích hợp vào bộ nhớ cache thông tin đăng nhập của thiết bị cuối. Chúng liên kết với các tài khoản mật trong AD, Azure AD hoặc AD CS. Mã thông báo mật cũng có thể thay thế thông tin đăng nhập hợp lệ hiện tại trong bộ nhớ cache thông tin đăng nhập của thiết bị cuối.
2.3.3 Active Defense in action
ShadowPlex Identity Protection tận dụng sự kết hợp giữa Honey accounts và Honey tokens để:
- Thông báo cho đội ngũ bảo mật và danh tính khi thông tin đăng nhập giả mạo được sử dụng
- Hạn chế các cuộc tấn công bằng cách dẫn chúng ra khỏi các tài khoản hợp lệ đến các tài khoản mật
- Làm chậm và gây khó khăn cho các đối tượng đe dọa
- Tiết lộ các phương pháp, chiến thuật và quy trình (TTPs) của các đối tượng đe dọa khi di chuyển ngang và thực hiện các hành động với mã thông báo mật, cung cấp thông tin cho đội ngũ bảo mật để ưu tiên và cải thiện điều khiển bảo mật.
Bằng cách kết hợp quản lý bề mặt tấn công danh tính với hành động tự bảo vệ dựa trên honey account và honey token của ShadowPlex Identity Protection, các đội ngũ quản lý bảo mật và danh tính có thể:
- Tìm kiếm và theo dõi việc sử dụng thông tin đăng nhập bị đánh cắp và các cố gắng leo thang đặc quyền
- Bảo vệ người dùng và tài khoản quan trọng trong AD, Azure AD và các kho lưu trữ danh tính khác
- Phát hiện các cố gắng lấy cắp thông tin đăng nhập, bao gồm các cuộc tấn công Pass-the-Hash (PtH) và Pass-the-Ticket (PtT)
- Phát hiện các cuộc tấn công vào các máy chủ kiểm soát miền và các dịch vụ dựa trên danh tính như Dịch vụ Chứng chỉ Active Directory (AD CS) Nó cũng cung cấp một cách để tiết lộ hoạt động của những người bên trong gian lận mà thông thường rất khó để phát hiện, ví dụ như việc nhân viên hoặc nhà thầu thử dụng các công cụ đánh cắp thông tin đăng nhập, leo thang đặc quyền hoặc truy cập phiên bản giả mạo của các tài sản có giá trị như danh sách mật khẩu, cơ sở dữ liệu khách hàng và tài liệu chứa thông tin trí tuệ.”
2.4 Extensive Integration with the Security Ecosystem
2.4.1 Integrations to support advanced analytics
ShadowPlex Identity Protection tích hợp với một loạt sản phẩm Công nghệ thông tin để cung cấp dữ liệu và thông tin cho các nhóm quản lý bảo mật và danh tính. Các tích hợp với các nền tảng tình báo đe dọa, các công cụ giám sát mạng, các nền tảng bảo mật đám mây, hộp cát phần mềm độc hại, các giải pháp quản lý danh tính (IAM) và các công cụ quản lý Công nghệ thông tin (IT) gia tăng nhiều khả năng phân tích, bao gồm:
- Xác định và giảm sự di chuyển ngang đến các ‘điểm quan trọng’ của doanh nghiệp thông qua bản đồ lộ trình tấn công.
- Tạo sự kết nối giữa các sự kiện phát hiện và cuộc tấn công tiềm năng đối với các tài sản chủ chốt.
- Phân tích phạm vi tác động để đánh giá tác động tiềm năng nếu một thiết bị cuối hoặc danh tính cụ thể bị xâm nhập.
- Thực hiện phân tích ‘nếu như’ để ước tính tác động lên bảo mật khi thực hiện thay đổi chính sách, cập nhật phần mềm và điều chỉnh định tuyến mạng.
- Xếp hạng phân tích bề mặt tấn công để ưu tiên hóa các biện pháp khắc phục dựa trên các lộ trình tới các tài sản quan trọng.
2.4.2 Integrations to support response, remediation, and active defense
Tích hợp để hỗ trợ phản ứng, khắc phục và phòng thủ tích cực. ShadowPlex Identity Protection cũng tích hợp với nhiều công cụ phản ứng sự cố và khắc phục hệ thống như quản lý thông tin bảo mật và sự kiện (SIEM), quy trình tự động hóa và phản ứng (SOAR), và các sản phẩm phát hiện và phản ứng trên điểm cuối (EDR), cũng như các giao diện cấu hình của các thư mục doanh nghiệp như AD và Azure AD.
Các tích hợp này giúp nhóm quản lý bảo mật và danh tính ngăn chặn các cuộc tấn công dựa trên thông tin đăng nhập trước khi gây thiệt hại và tự động hóa các quy trình khắc phục tốn thời gian.”
3. LIÊN HỆ
Giải pháp ITDR của Acalvio hiện tại đang được phân phối bởi công ty cổ phần giải pháp công nghệ SONIC. Mọi yêu cầu về thử nghiệm cũng như hỗ trợ kinh doanh & kỹ thuật khách hàng có thể liên hệ chi tiết theo các thông tin dưới đây.
Chi tiết xin liên hệ:
Công ty cổ phần giải pháp công nghệ Sonic
Địa chỉ: Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội
Tel: 0982.151.882
Hotline: 02466.564.587
Email: sales@sonic.com.vn