Tấn công mạng là gì? Các loại tấn công mạng phổ biến hiện nay

Tấn công mạng từ lâu đã là vấn đế nhức nhối đối với an ninh mạng của nhiều quốc gia trên thế giới trong đó có cả Việt Nam. Với sự phát triển của công nghệ hiện nay, các hình thức tấn công mạng ngày càng nhiều và tinh vi hơn. Vietnix sẽ giúp bạn tìm hiểu rõ về tấn công mạng là gì và các loại tấn công mạng trong bài viết dưới đây và cách để ngăn chặn chúng.

Tấn công mạng là gì?

Tấn công mạng (cyber attack) là các hành động trái phép đối với các tài sản digital bên trong mạng của một tổ chức. Tấn công mạng nhằm vào hệ thống thông tin máy tính, cơ sở hạ tầng, mạng máy tính hoặc thiết bị máy tính cá nhân. Các bên tấn công thường thực hiện các cuộc tấn công mạng này nhằm thay đổi, phá hủy hoặc đánh cắp dữ liệu cá nhân.

Có hai kiểu tấn công mạng chính là: Passive và Active. Trong các cuộc tấn công mạng passive, các bên tấn công có quyền truy cập trái phép vào mạng, theo dõi và đánh cắp dữ liệu cá nhân mà không thực hiện bất kỳ thay đổi nào. Các cuộc tấn công mạng active liên quan đến việc sửa đổi, mã hóa hoặc làm hỏng dữ liệu.

Khi xâm nhập, các bên tấn công có thể tận dụng các hoạt động tấn công khác, chẳng hạn như phần mềm độc hại và tấn công endpoint, để tấn công vào mạng một tổ chức. Với việc ngày càng có nhiều tổ chức áp dụng cách làm việc từ xa, các mạng trở nên dễ bị đánh cắp và phá hủy dữ liệu hơn.

Đối tượng phổ biến nhất bị tấn công mạng là những ai?

Đối tượng phổ biến nhật bị tấn công mạng là: Cá nhân, doanh nghiệp, tổ chức và cả nhà nước. Các hacker hay tin tặc sẽ tiếp cận những đối tượng này qua hình thức như mạng nội bộ (máy tính , thiết bị điện tử) hay tiếp cận qua con người nhờ thiết bị dị động, mạng social và ứng dụng phần mềm.

Mục đích của tấn công mạng và các loại tấn công mạng hiện nay

Tùy vào các loại tấn công mạng (cyber attack) mà mục đích của hacker hay tin tặc sẽ có chút khác biệt. Nhìn chung tất cả vẫn nhằm mục đích bất hợp pháp. Sau đây là các loại tấn công mạng phổ biến và mục đích cụ thể của từng loại tấn công.

1. Denial-of-service (DoS) và các cuộc tấn công distributed denial-of-service (DDoS) 

Một cuộc tấn công DDos sẽ chiếm đoạt tài nguyên (resource) của hệ thống khiến nó không thể phản hồi các yêu cầu dịch vụ. Cuộc tấn công DDoS cũng là một cuộc tấn công vào tài nguyên của hệ thống, nhưng nó được thực hiện từ một số lượng lớn các host khác mà bị nhiễm phần mềm độc hại do hacker kiểm soát.

Không giống như các cuộc tấn công được tạo ra để cho phép kẻ tấn công có được quyền truy cập, DDoS không mang lại lợi ích trực tiếp cho kẻ tấn công. Đối với một số hacker, chỉ cần đạt được việc từ chối dịch vụ là đủ hài lòng. Tuy nhiên, nếu resource bị tấn công thuộc về một đối thủ cạnh tranh kinh doanh, thì lợi ích mang lại cho kẻ tấn công là không hề nhỏ. Một mục đích khác của tấn công DDoS có thể là đưa một hệ thống offline để có thể khởi chạy một loại tấn công khác. Điển hình là chiếm quyền điều khiển hijacking.

Có nhiều kiểu tấn công DoS và DDoS khác nhau, phổ biến nhất là tấn công TCP SYN flood, tấn công Teardrop, tấn công Smurf, tấn công ping-of-death và botnet.

Tấn công TCP SYN flood

Trong cuộc tấn công này, hacker khai thác việc sử dụng bộ nhớ buffer trong quá trình handshake khởi tạo phiên bản TCP (Transmission Control Protocol). Hacker làm quá tải queue in-process của hệ thống mục tiêu với các yêu cầu kết nối, nhưng nó không phản hồi khi hệ thống mục tiêu trả lời các yêu cầu đó. Điều này khiến hệ thống mục tiêu hết thời gian chờ đợi phản hồi từ thiết bị của kẻ tấn công, điều này khiến hệ thống gặp sự cố hoặc không sử dụng được vì hàng đợi queue bị đầy.

Có một số biện pháp đối phó với cuộc tấn công TCP SYN flood:

• Đặt các server sau một firewall được định cấu hình để ngăn các gói SYN gửi đến.
• Tăng kích thước của queue kết nối và giảm thời gian chờ trên các kết nối đang mở.

Tấn công Teardrop 

Cuộc tấn công này làm cho các trường độ dài và độ lệch phân mảnh trong các gói Internet Protocol (IP) tuần tự chồng lên nhau trên host bị tấn công. Mặc dù hệ thống bị tấn công cố gắng tạo lại các gói trong quá trình này nhưng không thành công. Hệ thống mục tiêu sau đó trở nên nhầm lẫn và bị treo.

Nếu người dùng không có các bản vá (patch) để bảo vệ khỏi cuộc tấn công DDoS này, hãy vô hiệu hóa SMBv2 và chặn các cổng port 139 và 445.

Tấn công Smurf 

Cuộc tấn công này liên quan đến việc sử dụng giả mạo IP (IP spoofing) và ICMP để bão hòa lưu lượng truy cập vào mạng mục tiêu. Phương pháp tấn công này sử dụng các yêu cầu ICMP echo được nhắm mục tiêu vào các địa chỉ IP quảng bá broadcast. Các yêu cầu ICMP này bắt nguồn từ địa chỉ của “người dùng” giả mạo.

Ví dụ: nếu địa chỉ của người dùng dự định là 10.0.0.10, hacker sẽ giả mạo yêu cầu ICMP echo từ 10.0.0.10 đến địa chỉ quảng bá broadcast 10.255.255.255. Yêu cầu này sẽ chuyển đến tất cả các IP trong phạm vi, với tất cả các phản hồi sẽ quay trở lại 10.0.0.10, làm quá tải mạng. Quá trình này có thể lặp lại và có thể được tự động hóa nhằm tạo ra một lượng lớn tắc nghẽn mạng.

Để bảo vệ thiết bị của bạn khỏi cuộc tấn công như thế này, bạn cần phải tắt các broadcast IP được phát trực tiếp tại các bộ định tuyến router. Điều này sẽ ngăn chặn yêu cầu broadcast ICMP echo trên các thiết bị mạng. Một tùy chọn khác là định cấu hình hệ thống cuối để ngăn chúng phản hồi các gói ICMP từ các địa chỉ broadcast.

Tấn công Ping of death 

Loại tấn công này sử dụng các gói IP để ping một hệ thống mục tiêu có kích thước IP tối đa là 65,535 byte. Các gói IP có kích thước này không được cho phép, vì vậy hacker sẽ phân mảnh gói IP. Khi hệ thống mục tiêu tập hợp lại gói tin, nó có thể bị quá tải bộ đệm và các sự cố khác.

Các cuộc tấn công ping of death có thể bị chặn bằng cách sử dụng một firewall để kiểm tra các gói IP bị phân mảnh (fragmented) về kích thước tối đa.

Botnets

Botnet là hàng triệu hệ thống bị nhiễm phần mềm độc hại dưới sự kiểm soát của hacker để thực hiện các cuộc tấn công DDoS. Các bot hoặc hệ thống zombie này được sử dụng để thực hiện các cuộc tấn công chống lại hệ thống mục tiêu, thường làm quá tải băng thông bandwidth và khả năng xử lý của hệ thống mục tiêu. Các cuộc tấn công DDoS này rất khó truy dấu vết vì các botnet nằm ở nhiều vị trí địa lý khác nhau.

Botnet có thể được giảm thiểu bằng cách:

• Lọc RFC3704, nơi mà sẽ từ chối lưu lượng truy cập từ các địa chỉ giả mạo (spoof) và giúp đảm bảo rằng lưu lượng truy cập có thể truy dấu đến đúng mạng nguồn của nó. Ví dụ, bộ lọc RFC3704 sẽ để các gói từ địa chỉ danh sách bogon.
• Bộ lọc black hole, làm giảm lưu lượng truy cập không mong muốn trước khi nó đi vào mạng được bảo vệ. Khi một cuộc tấn công DDoS được phát hiện, máy chủ BGP (Border Gateway Protocol) sẽ gửi các bản cập nhật routing đến các bộ định tuyến router ISP để chúng định tuyến tất cả lưu lượng truy cập đến các server người dùng và sử dụng interface null0 ở bước tiếp theo.

2. Tấn công Man-in-the-middle (MitM)

Một tấn công MitM xảy ra khi một hacker tự chèn vào giữa các giao tiếp của client và server. Dưới đây là một số kiểu tấn công man-in-the-middle phổ biến:

Session hijacking (chiếm quyền điều khiển)

Trong kiểu tấn công MitM này, hacker chiếm quyền điều khiển một phiên bản giữa client và server mạng đáng tin cậy. Ví dụ, cuộc tấn công có thể diễn ra như thế này:

1. Máy client kết nối với server.
2. Máy tính của hacker giành được quyền kiểm soát máy client.
3. Máy tính của hacker ngắt kết nối máy client khỏi server.
4. Hacker thay thế địa chỉ IP của client bằng địa chỉ IP của chính nó và giả mạo sequence number của client.
5. Máy tính của hacker tiếp tục trao đổi dữ liệu với server và lúc đó server tin rằng nó vẫn đang giao tiếp với máy client.

Giả mạo IP (IP Spoofing)

Giả mạo IP được hacker sử dụng để thuyết phục hệ thống rằng nó đang giao tiếp với một thực thể (entity) đáng tin cậy, đã biết và cung cấp cho hacker quyền truy cập vào hệ thống. Hacker sẽ gửi một gói với địa chỉ nguồn IP của một server đáng tin cậy, đã biết thay vì địa chỉ nguồn IP của chính nó tới một host mục tiêu. Host mục tiêu có thể chấp nhận gói tin đó và hành động theo nó.

Replay

Một cuộc tấn công phát lại xảy ra khi hacker chặn và lưu các tin nhắn cũ. Sau đó cố gắng gửi chúng đi bằng cách mạo danh một trong những người tham gia. Loại này có thể được đối phó dễ dàng với việc giấu phiên bản thời gian hoặc số nonce (một số ngẫu nhiên hoặc một chuỗi thay đổi theo thời gian).

Hiện tại, không có công nghệ hoặc cấu hình duy nhất nào để ngăn chặn tất cả các cuộc tấn công MitM. Nói chung, việc mã hóa và chứng chỉ số SSL sẽ cung cấp biện pháp bảo vệ hiệu quả chống lại các cuộc tấn công MitM, đảm bảo cả tính bí mật và tính toàn vẹn của thông tin liên lạc. Nhưng một cuộc tấn công man-in-the-middle có thể xâm nhập vào giữa các giao tiếp theo cách mà việc mã hóa cũng không giúp ích được gì.

Ví dụ: Hacker “A” chặn key public của người “P” và thay thế nó bằng key public của chính hacker “A”. Sau đó, bất kỳ ai muốn gửi một tin nhắn được mã hóa đến P bằng key public của P đều vô tình sử dụng key public của A. Do đó, A có thể đọc tin nhắn dành cho P và sau đó gửi tin nhắn đến P, được mã hóa trong key public thực của P và P sẽ không bao giờ nhận thấy rằng tin nhắn đã bị xâm phạm.

Ngoài ra, A cũng có thể sửa đổi tin nhắn trước khi gửi lại cho P. Như bạn thấy, P đang sử dụng việc mã hóa và nghĩ rằng thông tin của mình được bảo vệ nhưng không phải vậy, bởi vì đã bị tấn công MitM.

Vì vậy, làm thế nào bạn có thể chắc chắn rằng key public của P thuộc về P chứ không thuộc về A? Chức năng cấp chứng chỉ và hash đã được tạo ra để giải quyết vấn đề này. Khi hacker P2 muốn gửi tin nhắn cho P, và P muốn chắc chắn rằng A sẽ không đọc hoặc sửa đổi tin nhắn mà thực sự đến từ P2, phương pháp sau phải được sử dụng:

1. P2 tạo một key symmetric (đối xứng) và mã hóa nó bằng key public của P.
2. P2 gửi key public đã mã hóa đến P.
3. P2 tính toán một function hash của tin nhắn đó và ký điện tử vào nó.
4. P2 mã hóa tin nhắn của chính mình bằng cách sử dụng key symmetric và gửi toàn bộ nội dung cho P.
5. P có thể nhận được key symmetric từ P2 vì chỉ duy nhất P mới có private key để giải mã việc mã hóa đó.
6. P, và chỉ P, có thể giải mã tin nhắn được mã hóa đối xứng vì P có key symmetric.
7. P có thể xác minh rằng tin nhắn không bị thay đổi vì P có thể tính toán hash của tin nhắn đã nhận và so sánh nó với tin nhắn đã được ký điện tử.
8. P cũng có thể tự chứng minh rằng P2 là người gửi vì chỉ P2 mới có thể ký vào hash để nó được xác minh bằng key public của P2.

3. Tấn công lừa đảo trực tuyến spear-phishing

Tấn công lừa đảo Spear phishing là hoạt động gửi email có vẻ như từ các nguồn đáng tin cậy với mục tiêu lấy thông tin cá nhân hoặc tác động đến người dùng nhằm thực hiện điều gì đó. Nó có thể liên quan đến file đính kèm với email mà bạn vô tình tải malware vào máy tính. Nó cũng có thể là một liên kết dẫn đến một trang web bất hợp pháp, nơi có thể lừa bạn tải xuống malware hoặc chuyển giao thông tin cá nhân của mình.

Spear phishing là một loại hoạt động lừa đảo được nhắm mục tiêu. Những hacker dành thời gian để tiến hành nghiên cứu các mục tiêu và tạo ra các thông điệp mang tính liên quan cá nhân. Do đó, hành vi lừa đảo trực tuyến có thể rất khó xác định và thậm chí còn khó bảo vệ hơn.

Một trong những cách đơn giản nhất mà một hacker có thể thực hiện một cuộc tấn công lừa đảo trực tuyến là giả mạo email, đó là khi thông tin trong phần “From” của email bị làm giả, làm cho nó có vẻ như đến từ một người mà bạn biết, chẳng hạn như quản lý của bạn hoặc công ty đối tác của bạn. Một kỹ thuật khác mà những kẻ lừa đảo sử dụng để thêm độ uy tín cho câu chuyện là sao chép trang web – chúng sao chép các trang web hợp pháp để đánh lừa bạn nhập thông tin nhận dạng cá nhân Personally Identifiable Information (PII) hoặc thông tin đăng nhập.

Để giảm nguy cơ bị lừa đảo, bạn có thể sử dụng các kỹ thuật sau:

• Tư duy phản biện – Đừng chấp nhận rằng email đó là thỏa thuận thực sự tốt chỉ vì bạn đang bận rộn hoặc căng thẳng vì bạn đang có 150 thư chưa đọc khác trong hộp thư đến của mình. Dừng lại một phút và hãy phân tích email đó.
• Kiểm tra qua các liên kết – Di chuyển chuột qua liên kết, nhưng không nhấp vào liên kết đó! Chỉ cần để con trỏ chuột qua liên kết và xem nơi nó đến thực sự từ đâu. Áp dụng tư duy phản biện để giải mã URL.
• Phân tích tiêu đề header email – Tiêu đề email xác định làm thế nào một email gửi đến địa chỉ của bạn. Các thông số “Reply-to” và “Return-Path” phải dẫn đến cùng một miền domain như được nêu trong email.
• Sandboxing – Bạn có thể kiểm tra nội dung email trong phần sandbox, ghi lại hoạt động từ việc mở file đính kèm hoặc nhấp vào các liên kết bên trong email.

>> Xem thêm: Phishing Email là gì? Hướng dẫn xác định, nhận biết một Email lừa đảo

4. Tấn công Drive-by download

Drive-by download là một phương pháp phổ biến để phát tán malware. Hacker tìm kiếm các trang web không được bảo vệ và đặt một tập lệnh độc hại vào code HTTP hoặc PHP trên một trong các trang đó. Tập lệnh này có thể cài đặt malware trực tiếp vào máy tính của người nào mà truy cập trang web đó hoặc nó có thể hướng người dùng đến trang web do hacker kiểm soát.

Những Drive-by download có thể xảy ra khi truy cập trang web hoặc xem email hoặc cửa sổ pop-up. Không giống như nhiều loại tấn công an ninh mạng khác, drive-by không dựa vào người để làm bất kỳ điều gì chủ động kích hoạt cuộc tấn công, bạn không phải nhấp vào nút tải xuống hoặc mở file đính kèm email độc hại để bị nhiễm. Một Drive-by download có thể tận dụng lợi thế của ứng dụng, hệ điều hành hoặc trình duyệt web browser có lỗi bảo mật do cập nhật không thành công hoặc thiếu các bản cập nhật.

Để bảo vệ mình khỏi các cuộc tấn công Drive-by download, bạn cần cập nhật trình duyệt browser và hệ điều hành của mình thường xuyên và tránh các trang web có thể chứa code độc hại. Bám sát các trang web bạn thường sử dụng. Hãy nhớ rằng ngay cả những trang web này cũng có thể bị tấn công. Đừng giữ quá nhiều chương trình và ứng dụng không cần thiết trên thiết bị của bạn. Bạn càng có nhiều plug-in, thì càng có nhiều lỗ hổng có thể bị khai thác bởi các cuộc tấn công Drive-by download.

5. Tấn công mật khẩu 

Vì mật khẩu là cơ chế được sử dụng phổ biến nhất để xác thực user đăng nhập vào hệ thống thông tin, nên việc lấy mật khẩu là một phương pháp tấn công phổ biến và hiệu quả. Bạn có thể truy cập mật khẩu của một người bằng cách nhìn xung quanh bàn làm việc của người đó, ‘‘ sniffing ’’ kết nối với mạng để lấy mật khẩu không được mã hóa, sử dụng kỹ thuật social engineering, giành quyền truy cập vào database.

Cách tiếp cận cuối cùng có thể được thực hiện theo cách ngẫu nhiên hoặc có hệ thống:

• Đoán mật khẩu có nghĩa là sử dụng cách tiếp cận ngẫu nhiên bằng cách thử các mật khẩu khác nhau và hy vọng rằng một bằng áp dụng một số logic như thử mật khẩu liên quan đến tên, chức danh, sở thích hoặc các mục tương tự của người đó.
• Trong một cuộc tấn công từ điển (dictonary attack), một từ điển các mật khẩu phổ biến được sử dụng để cố gắng giành quyền truy cập vào máy tính và mạng của user. Một cách tiếp cận là sao chép một file được mã hóa có chứa các mật khẩu, áp dụng cùng một mã hóa cho từ điển các mật khẩu thường được sử dụng và so sánh kết quả.

Để tự bảo vệ mình khỏi các cuộc tấn công từ điển hoặc brute-force, bạn cần thực hiện chính sách khóa tài khoản. Chính sách này sẽ khóa tài khoản sau một vài lần nhập mật khẩu không hợp lệ. Bạn có thể làm theo những account lockout best practices để cài đặt nó cho chính xác.

6. Tấn công SQL injection

SQL injection đã trở thành một vấn đề phổ biến với các trang web database-driven. Nó xảy ra khi một người dùng thực thi một truy vấn query SQL đến database thông qua dữ liệu input từ máy client đến server. Các lệnh SQL được chèn vào input data-plane (ví dụ: thay vì đăng nhập hoặc mật khẩu) để chạy các lệnh SQL được xác định trước.

Khai thác SQL Injection thành công có thể đọc dữ liệu nhạy cảm từ database, sửa đổi (chèn, cập nhật hoặc xóa) database, thực thi các hoạt động quản trị (chẳng hạn như tắt máy) trên database, khôi phục nội dung của một file nhất định và trong một số trường hợp, nó còn ra lệnh cho hệ điều hành.

Ví dụ: một form web trên một trang web có thể yêu cầu tên tài khoản của user và sau đó gửi nó đến database để lấy thông tin tài khoản được liên kết bằng cách sử dụng SQL động như sau:

“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”

Mặc dù điều này hoạt động đối với những user nhập đúng số tài khoản của họ, nhưng nó lại để lại một lỗ hổng cho những kẻ tấn công. Ví dụ: nếu ai đó quyết định cung cấp số tài khoản là “‘ or ‘1’ = ‘1’ ”, điều đó sẽ dẫn đến kết quả một chuỗi truy vấn là:

“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”

Vì ‘1’ = ‘1’ luôn đánh giá là TRUE, database sẽ trả về dữ liệu cho tất cả user thay vì chỉ một user duy nhất.

Lỗ hổng đối với kiểu tấn công an ninh mạng này phụ thuộc vào thực tế là SQL không phân biệt thực sự giữa các data plane và dữ liệu. Do đó, SQL injection chủ yếu hoạt động nếu một trang web sử dụng SQL động. Ngoài ra, SQL injection rất phổ biến với các ứng dụng PHP và ASP vì sự thịnh hành của các interface có chức năng cũ hơn. Các ứng dụng J2EE và ASP.NET ít có khả năng dễ dàng khai thác SQL injection vì bản chất của các interface lập trình sẵn có.

Để bảo vệ bạn khỏi các cuộc tấn công SQL injection, hãy áp dụng mô hình quyền truy cập ít đặc quyền nhất trong database của bạn. Bám sát các thủ tục được lưu trữ (đảm bảo rằng các thủ tục này không bao gồm bất kỳ SQL động nào) và các câu lệnh đã chuẩn bị (truy vấn được tham số hóa). Code được thực thi dựa trên database phải đủ mạnh để ngăn chặn các cuộc tấn công mạng như SQL Injection.

7. Tấn công Cross-site scripting (XSS) 

Các cuộc tấn công XSS sử dụng tài nguyên web của bên thứ ba để chạy các tập lệnh trong trình duyệt browser web hoặc ứng dụng liên quan tập lệnh. Cụ thể, kẻ tấn công tiêm nhiễm một payload chứa JavaScript độc hại vào database của trang web. Khi người dùng yêu cầu một trang từ trang web, trang web sẽ truyền trang, với payload của hacker là một phần của nội dung HTML, đến trình duyệt browser của người dùng, nơi thực thi tập lệnh độc hại.

Ví dụ: nó có thể gửi cookie của người dùng đến server của hacker và hacker có thể trích xuất nó và sử dụng nó để chiếm quyền điều khiển phiên bản. Hậu quả nguy hiểm nhất xảy ra khi XSS được sử dụng để khai thác các lỗ hổng. Những lỗ hổng này có thể cho phép hacker không chỉ ăn cắp cookie mà còn ghi lại các lần gõ phím, chụp ảnh màn hình, khám phá và thu thập thông tin mạng cũng như truy cập và điều khiển từ xa máy của người dùng.

Mặc dù XSS có thể được tận dụng trong VBScript, ActiveX và Flash, nhưng thứ bị lạm dụng rộng rãi nhất là JavaScript – chủ yếu vì JavaScript được hỗ trợ rộng rãi trên web.

Để bảo vệ khỏi các cuộc tấn công XSS, các developer có thể filter dữ liệu input của người dùng trong một yêu cầu HTTP trước khi phản hồi lại. Đảm bảo tất cả dữ liệu được xác thực, lọc hoặc thoát ra trước khi gửi lại bất kỳ thứ gì cho người dùng, chẳng hạn như giá trị của các tham số truy vấn trong khi tìm kiếm. Chuyển đổi các ký tự đặc biệt như ?, &, /, <,>  và dấu cách thành các ký tự tương đương được mã hóa HTML hoặc URL tương ứng. Cung cấp cho người dùng tùy chọn để tắt các tập lệnh phía máy client.

8. Tấn công nghe lén

Các cuộc tấn công nghe lén (Eavesdropping attack) xảy ra thông qua việc đánh chặn lưu lượng mạng. Bằng cách nghe trộm, hacker có thể lấy mật khẩu, số thẻ tín dụng và thông tin bí mật khác mà người dùng có thể gửi thông qua mạng.

Nghe trộm có thể thụ động hoặc chủ động:

• Nghe lén thụ động: Một hacker phát hiện thông tin bằng cách lắng nghe việc truyền tin nhắn qua mạng.
• Nghe lén chủ động: Một hacker chủ động lấy thông tin bằng cách cải trang thành đơn vị quen thuộc và bằng cách gửi truy vấn đến nơi chuyển giao. Đây được gọi là quá trình thăm dò, scan hoặc làm giả mạo.

Việc phát hiện các cuộc tấn công nghe lén thụ động thường quan trọng hơn việc phát hiện các cuộc tấn công chủ động, vì các cuộc tấn công chủ động đòi hỏi kẻ tấn công phải có kiến thức về các đơn vị quen thuộc với bạn bằng cách tiến hành nghe trộm thụ động trước đó.

Mã hóa dữ liệu là biện pháp đối phó tốt nhất chống nghe trộm.

Phương pháp bảo vệ khỏi tấn công mạng

Phân tách mạng

Một phần cơ bản của an ninh mạng là chia mạng thành các vùng dựa trên các yêu cầu bảo mật. Điều này có thể được thực hiện bằng cách sử dụng các mạng subnet trong cùng một mạng hoặc bằng cách tạo Virtual Local Area Networks (VLAN), mỗi mạng hoạt động như một mạng riêng biệt hoàn chỉnh. Phân đoạn giới hạn tác động tiềm tàng của một cuộc tấn công đối với một vùng và yêu cầu những kẻ tấn công phải thực hiện các biện pháp đặc biệt để xâm nhập và giành quyền truy cập vào các vùng mạng khác.

Điều chỉnh quyền truy cập Internet thông qua máy chủ proxy

Không cho phép những user mạng truy cập Internet khi chưa được chọn. Chuyển tất cả các yêu cầu thông qua một proxy minh bạch nhằm sử dụng nó để kiểm soát và giám sát hành vi của user. Đảm bảo rằng các kết nối đi thực sự được thực hiện bởi con người chứ không phải bot hoặc cơ chế tự động khác. Đưa các domain vào danh sách trắng để đảm bảo những user trong công ty chỉ có thể truy cập các trang web mà bạn đã phê duyệt rõ ràng.

Đặt thiết bị bảo mật đúng cách

Đặt firewall ở mọi điểm giao nhau của các vùng mạng, không chỉ ở biên mạng. Nếu bạn không thể triển khai tường lửa full-fledged ở khắp mọi nơi, hãy sử dụng chức năng built-in firewall của các thiết bị switch và router của bạn. Triển khai các thiết bị chống DDoS hoặc các dịch vụ cloud ở biên mạng.

Cẩn thận xem xét vị trí đặt các thiết bị một cách chiến lược như load balancers – nếu chúng nằm ngoài (DMZ – Demilitarized zone, tạm dịch là “khu vực phi quân sự” đối với mạng máy tính ), chúng sẽ không được bảo vệ bởi bộ máy an ninh mạng của bạn.

Sử dụng Netword Address Translation (NAT)

Network Address Translation (NAT) cho phép bạn chuyển giao địa chỉ IP nội bộ thành địa chỉ có thể truy cập được trên mạng công cộng. Bạn có thể sử dụng nó để kết nối nhiều máy tính với Internet bằng một địa chỉ IP duy nhất. Điều này cung cấp một lớp bảo mật bổ sung, vì bất kỳ lưu lượng truy cập vào hoặc đi đều phải đi qua thiết bị NAT và khi có ít địa chỉ IP hơn, sẽ khiến hacker không hiểu được rằng chúng đang kết nối với host nào.

Sử dụng Deception Technology

Không có biện pháp bảo vệ mạng nào thành công 100% và hacker cuối cùng sẽ thành công trong việc xâm nhập mạng của bạn. Nhận ra điều này và áp dụng Depception Technology, tạo ra mồi nhử decoy trên mạng của bạn, dụ những kẻ tấn công “tấn công” vào chúng và cho phép bạn quan sát các kế hoạch và kỹ thuật của chúng. Bạn có thể sử dụng mồi nhử decoy để phát hiện các mối đe dọa trong tất cả các giai đoạn của quá trình tấn công, file dữ liệu, thông tin xác thực và kết nối mạng.

Cynet 360 là một giải pháp bảo mật tích hợp với Deception technology built-in, cung cấp cả các file mồi nhử decoy sẵn có và khả năng tạo những mồi nhử để đáp ứng nhu cầu bảo mật cụ thể của bạn, đồng thời tính đến nhu cầu bảo mật của môi trường của bạn.

Lời kết

Những cuộc tấn công mạng ngày nay đang trở nên phổ biến, vì thế bạn phải biết và nắm rõ các loại tấn công mạng để có thể phòng chống một cách an toàn nhằm bảo vệ thông tin cá nhân. Qua bài viết này, Vietnix hy vọng bạn biết rõ các khái niệm và những loại hình thức tấn công mạng cũng như biết cách cải thiện bảo mật thông tin cá nhận.

Cảm ơn bạn đã dành thời gian để đọc bài viết!