FortiGuard Labs nhận thấy trong nửa đầu năm 2023, chỉ còn một số ít tổ chức phát hiện được sự xuất hiện của ransomware. Con số này là 13%, thấp hơn đáng kể so với cùng thời điểm này cách đây 5 năm là 22%. Xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể dựa trên sự tinh vi ngày càng cao của những kẻ tấn công với mong muốn tối ưu hóa tỷ lệ hoàn vốn đầu tư (ROI) cho mỗi cuộc tấn công.
Ông Derek Manky, Giám đốc chiến lược an ninh mạng và nghiên cứu mối đe dọa toàn cầu của FortiGuard Labs cho biết: Việc ngăn chặn tội phạm mạng phải là nỗ lực toàn cầu, đòi hỏi sự hợp tác chặt chẽ, bền vững giữa khu vực công và tư, bên cạnh việc chú trọng đầu tư vào các dịch vụ bảo mật được hỗ trợ bởi trí tuệ nhân tạo (AI), giúp các nhóm phụ trách bảo mật thực hiện các biện pháp phòng vệ một cách tối ưu trong thời gian thực trên toàn bộ phạm vi mạng của tổ chức.
“Các nhóm phụ trách bảo mật không thể “ngồi yên” khi những mối đe dọa vẫn đang gia tăng ở mức cao nhất từ trước tới nay. Bởi bậy, đội ngũ nghiên cứu FortiGuard Labs của Fortinet nỗ lực liên tục cung cấp những thông tin tình báo mới và thiết thực (như phân tích Red Zone và Hệ thống chấm điểm lỗ hổng bảo mật mới), nhằm hỗ trợ các nhóm phụ trách bảo mật trong việc ưu tiên xử lý các lỗ hổng một cách nhanh chóng, cũng như ứng phó linh hoạt với những mối đe dọa nhanh hơn bao giờ hết”, ông Derek Manky cho hay.
Trong nửa đầu năm 2023, FortiGuard Labs đã quan sát thấy số lượng tổ chức phát hiện được sự xuất hiện của mã độc tống tiền (ransomware) ngày càng ít hơn, đồng thời FortiGuard Labs cũng phát hiện những hoạt động đáng chú ý của các nhóm thực hiện tấn công có chủ đích (APT), cùng với đó là sự biến đổi trong các kỹ thuật MITRE ATT&CK mà những kẻ tấn công sử dụng, và nhiều phát hiện đáng ghi nhận khác. Bên cạnh những điểm nổi bật sẽ được liệt kê dưới đây, độc giả có thể tìm hiểu thêm tất cả các phân tích chi tiết của FortiGuard Labs trong Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu 6 tháng đầu năm 2023.
Mặc dù các tổ chức vẫn luôn bị động khi phải đối mặt với sự phức tạp ngày càng tăng của các tác nhân gây hại và tình hình leo thang của các cuộc tấn công có chủ đích, việc FortiGuard Labs đưa ra những phân tích kịp thời về bối cảnh mối đe dọa trong Báo cáo sẽ giúp cung cấp những thông tin tình báo rất có giá trị, đưa ra cảnh báo sớm về các hoạt động đe dọa tiềm ẩn, giúp các cán bộ phụ trách bảo mật thiết lập ưu tiên trong chiến lược bảo mật nói chung cũng như các nỗ lực vá các lỗ hổng cần thiết nói riêng.
Ngày càng ít tổ chức có thể tự phát hiện được sự xuất hiện của ransomware: FortiGuard Labs đã ghi nhận một sự gia tăng đáng kể về mức độ phát triển các biến thể của mã độc tống tiền trong những năm gần đây, phần lớn theo xu hướng sử dụng mô hình tấn công mã độc ransomware dưới dạng dịch vụ (RaaS).
Tuy vậy, FortiGuard Labs nhận thấy trong nửa đầu năm 2023, chỉ còn một số ít tổ chức phát hiện được sự xuất hiện của ransomware. Con số này là 13%, thấp hơn đáng kể so với cùng thời điểm này cách đây 5 năm là 22%. Mặc dù vậy, việc duy trì tinh thần cảnh giác vẫn luôn là điều quan trọng đối với các tổ chức. Cũng theo FortiGuard Labs quan sát trong vài năm qua, xu hướng mã độc tống tiền và các cuộc tấn công khác đang ngày càng nhắm vào các mục tiêu cụ thể dựa trên sự tinh vi ngày càng cao của những kẻ tấn công với mong muốn tối ưu hóa tỷ lệ hoàn vốn đầu tư (ROI) cho mỗi cuộc tấn công. Nghiên cứu cho thấy số lượng các vụ phát hiện mã độc tống tiền liên tục biến đổi. Tuy số liệu ghi nhận vào thời điểm giữa năm 2023 cao hơn 13 lần so với cuối năm 2022, nhưng vẫn theo xu hướng giảm tổng thể khi so sánh theo năm.
Phương thức tiếp cận toàn diện
Với các lỗ hổng có nguy cơ hàng đầu theo đánh giá của Hệ thống chấm điểm lỗ hổng bảo mật (EPSS), trong vòng 7 ngày kể từ lúc công bố, nguy cơ bị tấn công sẽ cao hơn tới 327 lần so với bất kỳ lỗ hổng CVE nào khác: Kể từ khi thành lập, Fortinet đã đóng một vai trò vô cùng quan trọng trong việc cung cấp dữ liệu hỗ trợ Hệ thống chấm điểm lỗ hổng bảo mật EPSS. Dự án này được thiết kế với mục tiêu tận dụng lượng dữ liệu vô cùng lớn để dự đoán khả năng và thời điểm mà các lỗ hổng có thể bị khai thác.
FortiGuard Labs đã tiến hành phân tích dữ liệu của 6 năm, bao gồm hơn 11.000 lỗ hổng đã được công bố qua đó đã phát hiện ra các lỗ hổng và phơi nhiễm phổ biến (CVE) được xếp vào danh mục điểm cao của Hệ thống chấm điểm lỗ hổng bảo mật EPSS (thuộc top 1% mức độ nghiêm trọng hàng đầu) có khả năng bị khai thác cao hơn tới 327 lần so với bất kỳ lỗ hổng nào khác.
Dữ liệu phân tích kiểu này có thể được coi như một dấu hiệu cảnh báo sớm, giúp cho các Giám đốc an toàn thông tin (CISO) và các nhóm phụ trách bảo mật phát hiện sớm nhất được những cuộc tấn công có chủ đích nhằm vào tổ chức của họ. Giống như Red Zone, được nhắc đến trong Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu gần đây nhất (nửa cuối năm 2022), thông tin tình báo này có thể giúp các nhóm phụ trách bảo mật xác định và ưu tiên các nỗ lực vá lỗ hổng một cách hệ thống, từ đó giảm thiểu rủi ro cho tổ chức.
Red Zone vẫn tiếp tục hỗ trợ các Giám đốc An toàn thông tin trong nỗ lực ưu tiên vá lỗ hổng: Phân tích của FortiGuard Labs về hoạt động khai thác EPSS trong tự nhiên đã mở rộng phạm vi của Red Zone, giúp định lượng tỷ lệ các lỗ hổng tại các thiết bị đầu cuối đang là mục tiêu tấn công.
Ngoài ra, gần một phần ba số nhóm chuyên thực hiện tấn công APT đã có hoạt động được ghi nhận trong nửa đầu năm 2023: Lần đầu tiên trong lịch sử thực hiện Báo cáo toàn cảnh về các mối đe dọa an ninh mạng trên toàn cầu, FortiGuard Labs đã theo dõi số lượng các tác nhân đe dọa đứng sau các xu hướng này. Nghiên cứu đã phát hiện ra rằng trong tổng số 138 nhóm chuyên đe dọa tấn công an ninh mạng được tổ chức nghiên cứu bảo mật MITRE theo dõi, có tới 41 nhóm (chiếm 30%) đã có hoạt động trong thời gian nửa đầu năm 2023.
Trong số đó, Turla, StrongPity, Winnti, OceanLotus và WildNeutron nổi bật là những nhóm hoạt động tích cực nhất, dựa trên số lượng mã độc bị phát hiện. Với bản chất nhắm vào mục tiêu cụ thể và thực hiện những chiến dịch tương đối ngắn của APT và các nhóm tấn công mạng theo chỉ đạo quốc gia, so với với các chiến dịch dài hơi của tội phạm an ninh mạng, sự phát triển và số lượng hoạt động trong lĩnh vực này sẽ là điểm đáng lưu ý trong các báo cáo sắp tới.
Trong sáu tháng đầu năm 2023, thời gian trung bình mà các botnet tồn tại trước khi kết thúc liên lạc chỉ huy và kiểm soát (C2) là 83 ngày, tăng hơn 1.000 lần so với 5 năm trước. Đây chính là một ví dụ khác về tầm quan trọng của việc giảm thời gian phản hồi, vì khi các tổ chức để botnet tồn tại càng lâu thì thiệt hại và rủi ro đối với hoạt động kinh doanh của họ càng lớn.
Những đóng góp của FortiGuard Labs cho cộng đồng qua việc chia sẻ thông tin về các mối đe dọa trong suốt thập kỷ qua tạo ra ảnh hưởng tích cực đáng kể trên phạm vi toàn cầu, đồng thời giúp cải thiện khả năng bảo vệ cho khách hàng, đối tác và các chính phủ trong cuộc chiến chống lại tội phạm mạng. Việc phá vỡ những rào cản cách biệt và nâng cao chất lượng thông tin về các mối đe dọa bằng cách tự đưa ra hành động phòng vệ giúp các tổ chức có thể giảm thiểu rủi ro và nâng cao hiệu quả cho ngành an ninh mạng. Ngày nay, những người bảo vệ an ninh mạng có quyền truy cập vào các công cụ, kiến thức và hỗ trợ cần thiết để có thể thay đổi nhiều mặt hoạt động của các tác nhân gây hại, kể cả tác động kinh tế. Tuy nhiên, cam kết toàn ngành trong việc hợp tác và chia sẻ thông tin tình báo sẽ tạo ra một hệ sinh thái đột phá với quy mô lớn hơn, mang lại ưu thế vượt trội cho ngành trong cuộc đối đầu với tội phạm mạng.
