TIN CHUYÊN NGÀNH, TIN TỨC

Kỷ nguyên của tin tặc: Tại sao bảo vệ Microsoft 365 lại là tối quan trọng

Posted on by Anh Văn Phùng
01
Oct

Nguồn: TheHackerNews

Hãy tưởng tượng một cuộc tấn công mạng tinh vi làm tê liệt công cụ cộng tác và năng suất quan trọng nhất của tổ chức bạn — nền tảng mà bạn tin tưởng cho các hoạt động hàng ngày. Trong chớp mắt, tin tặc mã hóa email, tệp và dữ liệu kinh doanh quan trọng của bạn được lưu trữ trong Microsoft 365, giữ chúng làm con tin bằng phần mềm tống tiền. Năng suất bị đình trệ và nhóm CNTT của bạn phải chạy đua để đánh giá thiệt hại khi thời gian trôi qua để yêu cầu tiền chuộc đe dọa phá hủy dữ liệu của bạn mãi mãi. Điều này đã xảy ra như thế nào và quan trọng hơn, làm thế nào bạn có thể ngăn chặn điều đó xảy ra?

Microsoft 365 (M365) là huyết mạch của vô số tổ chức trên toàn thế giới, cung cấp nền tảng đám mây liền mạch để giao tiếp, cộng tác và quản lý dữ liệu. Hơn 400 triệu người dùng tin tưởng vào Microsoft 365 cho mọi thứ, từ tạo và quản lý tài liệu đến hội nghị truyền hình1. Mặc dù M365 đã trao quyền cho các doanh nghiệp trải qua quá trình chuyển đổi kỹ thuật số và duy trì khả năng cạnh tranh với sự hỗ trợ của nó cho môi trường làm việc phân tán, kết hợp và từ xa, nhưng tính phổ biến và tích hợp của nó đã khiến nó trở thành mục tiêu chính của tội phạm mạng.

Trong bài viết này, chúng tôi sẽ xem xét các lỗ hổng trong Microsoft 365 và thảo luận về cách các chiến lược bảo vệ dữ liệu chủ động, tận dụng các giải pháp sao lưu chuyên dụng của bên thứ ba như Backupify, cho phép các doanh nghiệp tăng cường khả năng phòng thủ trước mối đe dọa ngày càng gia tăng của phần mềm tống tiền và các rủi ro mạng khác.

Tại sao M365 lại là mục tiêu hấp dẫn?

Hiểu được lý do tại sao Microsoft 365 lại hấp dẫn những kẻ tấn công như vậy là rất quan trọng để củng cố khả năng phòng thủ của bạn. Sau đây là những lý do khiến Microsoft 365 trở thành trọng tâm của tội phạm mạng:
Áp dụng rộng rãi#
Microsoft 365 là một trong những nền tảng năng suất dựa trên đám mây được sử dụng rộng rãi nhất hiện nay. Việc sử dụng rộng rãi của nó cũng có nghĩa là một cuộc tấn công thành công có khả năng ảnh hưởng đến hàng triệu tổ chức, khiến nó trở thành mục tiêu béo bở cho những kẻ tấn công độc hại. Tội phạm mạng có thể sử dụng nhiều phương pháp khác nhau, chẳng hạn như lừa đảo, tấn công bằng vũ lực và nhồi thông tin đăng nhập, để khai thác các điểm yếu và truy cập trái phép.
Dịch vụ tích hợp#
Microsoft 365 tích hợp nhiều dịch vụ khác nhau, chẳng hạn như Outlook, SharePoint, Teams và OneDrive, tạo ra một hệ sinh thái hoàn chỉnh cho người dùng. Mặc dù điều này giúp tăng năng suất và khả năng cộng tác, nhưng nó cũng mở rộng phạm vi tấn công cho tội phạm mạng với nhiều điểm vào. Nếu những kẻ tấn công xâm phạm một dịch vụ, chẳng hạn như tài khoản email của người dùng, chúng có thể truy cập vào toàn bộ bộ dịch vụ.
Các cuộc tấn công lấy người dùng làm trung tâm#
Tội phạm mạng thường tập trung vào người dùng, những người thường là mắt xích yếu nhất trong bất kỳ chiến lược an ninh mạng nào. Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng tiết lộ thông tin đăng nhập hoặc cài đặt phần mềm độc hại. Khi tài khoản của một người dùng bị xâm phạm — đặc biệt là tài khoản quản trị viên — kẻ tấn công có thể giành được quyền cao hơn, có khả năng cho phép họ truy cập vào toàn bộ kho lưu trữ dữ liệu của tổ chức, dẫn đến trộm cắp dữ liệu, thao túng dữ liệu trái phép và thậm chí là các cuộc tấn công ransomware toàn diện. Vào năm 2023, hơn 68 triệu tin nhắn được liên kết đến các sản phẩm và thương hiệu của Microsoft, đưa thương hiệu này trở thành thương hiệu bị các tác nhân đe dọa khai thác nhiều nhất trong năm đó2.
Dữ liệu có giá trị trên đám mây#
Trung bình, một terabyte dung lượng lưu trữ đám mây chứa hơn 6.000 tệp có thông tin nhạy cảm3. Microsoft 365 lưu trữ khối lượng lớn dữ liệu kinh doanh nhạy cảm, bao gồm hồ sơ tài chính, sở hữu trí tuệ và thông tin cá nhân, khiến nó trở thành mục tiêu lý tưởng cho các cuộc tấn công ransomware.
Các lỗ hổng và điểm yếu phổ biến (CVE)#
Giống như bất kỳ phần mềm nào, Microsoft 365 dễ bị CVE, bao gồm các khai thác zero-day, nơi kẻ tấn công có thể khai thác các lỗ hổng bảo mật chưa biết hoặc chưa được vá. Tội phạm mạng tích cực tìm kiếm các điểm yếu như vậy để xâm nhập vào hệ thống trước khi các tổ chức có cơ hội tự bảo vệ mình.
Môi trường lớn và phức tạp của Microsoft 365 khiến nó dễ bị các loại mối đe dọa này tấn công hơn vì việc quản lý và vá các lỗ hổng trên một nền tảng rộng lớn như vậy có thể là thách thức đối với các tổ chức. Một khai thác zero-day thành công có thể cung cấp cho tội phạm mạng quyền truy cập trái phép, cho phép chúng phát động các cuộc tấn công tiếp theo hoặc đánh cắp dữ liệu.
Microsoft đã có hơn 1.200 lỗ hổng phần mềm trong bốn năm qua4. Nâng cao đặc quyền luôn là danh mục lỗ hổng hàng đầu mỗi năm.

Lỗi nghiêm trọng làm suy yếu bảo mật Microsoft 365

Mặc dù Microsoft 365 là một nền tảng mạnh mẽ, nhưng một số thiếu sót của người dùng cuối có thể khiến nền tảng này dễ bị tổn thương trước các rủi ro về bảo mật.
  1. Mật khẩu yếu hoặc sử dụng lại: Nhiều người dùng dựa vào mật khẩu yếu hoặc sử dụng lại trên nhiều tài khoản, khiến kẻ tấn công dễ dàng xâm phạm tài khoản thông qua các cuộc tấn công bằng vũ lực và nhồi thông tin xác thực. Khi mật khẩu yếu bị bẻ khóa, kẻ tấn công có thể truy cập vào thông tin nhạy cảm, mạo danh người dùng hoặc thậm chí là tăng quyền của họ trong tổ chức.
  2. Thiếu xác thực đa yếu tố (MFA): Ngoài mật khẩu của người dùng, MFA yêu cầu mã xác minh một lần hoặc dữ liệu sinh trắc học để xác thực. Mặc dù MFA cung cấp biện pháp phòng thủ hiệu quả chống lại truy cập trái phép, nhưng nhiều tổ chức không áp dụng MFA cho tài khoản Microsoft 365 của họ. Điều này khiến tài khoản người dùng dễ bị xâm phạm, đặc biệt là trong trường hợp mật khẩu bị đánh cắp hoặc đoán được. Theo báo cáo Great SaaS Data Exposure, 55% tài khoản quản trị viên cấp cao và 44% tài khoản có đặc quyền không có MFA.
  3. Cài đặt bảo mật và quyền của người dùng được định cấu hình sai: Cài đặt bảo mật được định cấu hình sai hoặc quyền của người dùng quá mức không phải là điều mới mẻ đối với môi trường Microsoft 365. Những điều này có thể mở ra cánh cửa cho các rủi ro bảo mật. Ví dụ, người dùng có thể có nhiều đặc quyền hơn mức cần thiết hoặc các tài liệu nhạy cảm có thể bị chia sẻ công khai do nhầm lẫn.
  4. Lọc email và bảo vệ người dùng không đầy đủ: Lừa đảo qua mạng vẫn là một trong những chiến thuật hiệu quả nhất đối với tội phạm mạng và việc lọc email không đầy đủ có thể khiến các tổ chức dễ bị tấn công. Nếu không có các công cụ bảo mật email tiên tiến có thể phát hiện và chặn các nỗ lực lừa đảo, liên kết và tệp đính kèm độc hại, người dùng có nguy cơ vô tình cài đặt phần mềm độc hại hoặc cung cấp thông tin xác thực cho kẻ tấn công.
  5. Quản lý vòng đời người dùng không đúng cách: Tội phạm mạng có thể khai thác các tài khoản thuộc về người dùng ma — tài khoản đang hoạt động của nhân viên cũ hoặc tài khoản chưa sử dụng chưa bị hủy kích hoạt — để truy cập trái phép vào mạng và dữ liệu của tổ chức. Báo cáo Great SaaS Data Exposure tiết lộ rằng gần 6 trong số 10 người dùng khách cũ (56%) vẫn hoạt động sau 90 ngày và một phần ba (33%) vẫn được bật ngay cả sau 180 ngày, gây ra rủi ro bảo mật đáng kể cho các tổ chức.
  6. Không sao lưu dữ liệu đám mây đúng cách: Nhiều tổ chức sai lầm khi cho rằng vì dữ liệu của họ được lưu trữ trên đám mây nên dữ liệu sẽ tự động được bảo vệ khỏi mất mát hoặc hỏng hóc. Tuy nhiên, điều quan trọng cần lưu ý là Microsoft hoạt động theo mô hình chia sẻ trách nhiệm. Theo mô hình này, trong khi nhà cung cấp đám mây đảm bảo thời gian hoạt động của ứng dụng và bảo mật cơ sở hạ tầng, thì bảo vệ dữ liệu là trách nhiệm của khách hàng. Nếu không có chiến lược sao lưu đáng tin cậy, việc xóa nhầm hoặc tấn công mạng có thể dẫn đến mất mát hoặc hỏng dữ liệu vĩnh viễn.
Giải pháp sao lưu và phục hồi của bên thứ ba dành cho Microsoft 365 đảm bảo bản sao dữ liệu quan trọng của bạn được sao chép và lưu trữ an toàn bên ngoài cơ sở hạ tầng của Microsoft
Anh Văn Phùng

.