Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) đã phát hiện cuộc tấn công từ NOBELIUM với mục tiêu giành quyền truy cập vào hệ thống khách hàng từ các nhà cung cấp dịch vụ công nghệ trong chuỗi cung ứng công nghệ thông tin (CNTT) toàn cầu bao gồm: các nhà cung cấp dịch vụ đám mây (CSP), nhà cung cấp dịch vụ được quản lý (MSP), các tổ chức dịch vụ CNTT. Theo chuỗi tấn công này, các khách hàng doanh nghiệp cũng chính là đối tượng bị ảnh hưởng nhất.
NOBELIUM hoạt động như thế nào?
NOBELIUM nhắm mục tiêu vào các tài khoản đặc quyền của các nhà cung cấp dịch vụ để di chuyển theo chiều ngang trong môi trường đám mây, tận dụng các mối quan hệ đáng tin cậy nhằm có được quyền truy cập vào hệ thống của các khách hàng bên dưới để mở đường cho các cuộc tấn công tiếp theo hoặc để truy cập vào các hệ thống được nhắm đến trước đó.
Cuộc tấn công là kết quả của lỗ hổng bảo mật?
Nguyên nhân của các cuộc tấn công này không phải do lỗ hổng bảo mật mà do chiến thuật của NOBELIUM sử dụng cùng lúc nhiều công cụ đa dạng để tấn công cùng lúc, bao gồm: các phần mềm độc hại tinh vi, phun mật khẩu (password spray), tấn công chuỗi cung ứng, đánh cắp mã thông báo, lạm dụng API và lừa đảo trực tuyến để xâm nhập tài khoản người dùng và tận dụng quyền truy cập của các tài khoản đó.
Các cuộc tấn công này đã nêu bật sự cần thiết của các quản trị viên trong việc chú trọng áp dụng các phương pháp bảo mật tài khoản nghiêm ngặt và thực hiện các biện pháp bổ sung để bảo mật hệ thống của họ.
Vai trò của các nhà cung cấp CNTT CSP, MSP là gì?
Với vai trò là nhà cung cấp dịch vụ đám mấy (CSP) toàn cầu của Microsoft, Softline luôn chủ động phối hợp với MSTIC và đội ngũ chuyên gia bảo mật để quan sát, theo dõi nhằm ngăn chặn sự lây lan của cuộc tấn công, đồng thời trực tiếp tham gia với các khách hàng bị ảnh hưởng để hỗ trợ ứng phó sự cố, giúp bảo đảm an toàn cho hệ thống khách hàng.
Dưới đây là 3 bước giúp Doanh nghiệp giảm thiểu được tác động của cuộc tấn công NOBELIUM
1. Xem xét, kiểm tra và giảm thiểu các đặc quyền truy cập và các quyền được ủy quyền
Xem xét, củng cố và giám sát tất cả các tài khoản quản trị viên của tenant
- Sử dụng xác thực đa yếu tố MFA cho quản trị viên của các tenant
- Giảm thiểu các quyền truy cập có đặc quyền cao.
- Thường xuyên kiểm tra nhật ký hoạt động để xác minh đúng người, đúng việc.
Xem xét quyền truy cập của nhà cung cấp dịch vụ B2B và tài khoản cục bộ:
- Xác định lại các nhà cung cấp giải pháp có sử dụng tài khoản B2B hoặc tài khoản quản trị viên cục bộ trong tenant hay không. Nếu có, hãy đảm bảo các tài khoản ấy được quản lý chặt chẽ và được phân quyền truy cập phù hợp với phạm vi công việc.
- Không nên sử dụng các tài khoản quản trị viên có thể chia sẻ quyền truy cập với người khác. Xem lại hướng dẫn về cách phân quyền với tài khoản B2B tại đây.
2. Luôn kích hoạt xác minh xác thực đa yếu tố (MFA) và thực thi các chính sách truy cập có điều kiện
MFA là phương thức bảo mật cơ bản tốt nhất để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn. Hãy thực hiện theo hướng dẫn trong Microsoft 365 về cách thiết lập xác thực đa yếu tố cũng như hướng dẫn về cách triển khai và định cấu hình các chính sách truy cập có điều kiện trong Azure Active Directory (Azure AD).
3. Xem xét, kiểm tra nhật ký và cấu hình
Xem xét và kiểm tra các thay đổi cấu hình và đăng nhập Azure AD:
Tính năng này khả dụng thông qua nhật ký đăng nhập Azure AD, nhật ký kiểm tra Azure AD và trung tâm tuân thủ Microsoft 365. Gần đây, Microsoft đã thêm khả năng xem nhật ký đăng nhập của các đối tác được ủy quyền quản trị viên.
Bạn có thể xem chế độ xem nhật ký của riêng đối tác bằng cách điều hướng đến nhật ký đăng nhập trong Azure AD, thêm bộ lọc “Cross-tenant access type: Service provider” trên thanh công cụ “User-sign ins (non-interactive”.
Xem lại các chiến lược lưu trữ và tính khả dụng của nhật ký hiện tại:
Việc điều tra hoạt động của các tác nhân độc hại phụ thuộc nhiều vào việc có các quy trình lưu giữ và nhật ký hoạt động của các tài nguyên hoạt động trên đám mây, bao gồm Office 365. Mỗi gói thuê bao khác nhau có các chính sách lưu giữ và khả dụng nhật ký khác nhau, điều quan trọng là cấp quản lý CNTT phải hiểu được bản chất để hình thành một quy trình ứng phó sự cố một cách chuyên nghiệp.
Đọc thêm: Tại đây
Liên hệ Softline để được tư vấn chi tiết!