Kaspersky đã cập nhật giải pháp Kaspersky Industrial CyberSecurity (KICS) và Managed Detection and Response (MDR) dành cho các hệ thống điều khiển công nghiệp (ICS).

Đây là giải pháp hỗ trợ các công ty thiếu hụt nhân sự an ninh mạng có thể tiếp cận với các trung tâm điều hành an ninh mạng (SOC) của Kaspersky.

Theo báo cáo của Kaspersky ICS CERT, trong nửa cuối năm 2024, gần 23,5% máy tính công nghiệp đã bị đe dọa an ninh mạng. Tình hình này làm nổi bật tính cấp thiết của các chiến lược bảo mật mạnh mẽ và đáng tin cậy nhằm bảo vệ tài sản và quy trình vận hành của doanh nghiệp công nghiệp nặng.

Nâng cấp Kaspersky Industrial CyberSecurity

Phiên bản mới của Kaspersky Industrial CyberSecurity (KICS) mang lại nhiều cải tiến quan trọng nhằm bảo vệ toàn diện hệ thống tự động hóa và điều khiển công nghiệp, bao gồm:

1. Quản lý cấu hình và thay đổi hiệu quả hơn cho hệ thống OT
   KICS giám sát và theo dõi các thay đổi trong cấu hình bảo mật, hỗ trợ nhiều hệ điều hành như Windows, Linux và các thiết bị mạng. Dữ liệu cấu hình thu thập được giúp theo dõi các thay đổi và phân tích sự cố.
2. Mở rộng thu thập dữ liệu để điều tra sự cố
   KICS for Networks tăng cường thu thập thông tin như danh sách phần mềm, bản vá, tài khoản người dùng, giúp nhanh chóng phát hiện các hoạt động bất thường và phần mềm độc hại.
3. Tự động cập nhật sơ đồ mạng và lên lịch thăm dò chủ động
   Hệ thống cập nhật thời gian thực về kết nối thiết bị, quản lý trạng thái bảo mật và tự động tạo sơ đồ mạng sau mỗi lần thăm dò, đảm bảo thông tin luôn mới.
4. Phát hiện bất thường tại trạm biến áp kỹ thuật số
   KICS for Networks hỗ trợ kiểm tra cấu hình thiết bị và phát hiện các vấn đề về cấu hình hoặc kết nối mạng trái phép.
5. Cảm biến SD-WAN giám sát mạng OT tại các địa điểm phân tán
   KICS có khả năng giám sát lưu lượng mạng tại các địa điểm phân tán về mặt địa lý, sử dụng công nghệ SD-WAN để sao chép và truyền dữ liệu về trung tâm để phân tích.
6. Công cụ Portable Scanner kiểm tra thiết bị toàn diện
   KICS Portable Scanner có thể kiểm tra tình trạng bảo mật của thiết bị, bao gồm kiểm tra lỗ hổng bảo mật, tuân thủ quy định và quét phần mềm độc hại.

Managed Detection and Response cho hệ thống điều khiển công nghiệp

Bên cạnh KICS, Kaspersky Managed Detection and Response (MDR) là một giải pháp dành cho các công ty công nghiệp nặng đang gặp khó khăn về nguồn nhân lực an ninh mạng. Dịch vụ này cho phép các doanh nghiệp tiếp cận với chuyên gia an ninh để giám sát, phân tích và ngăn chặn các mối đe dọa. Đây là giải pháp quan trọng giúp đối phó với các cuộc tấn công mạng tinh vi nhắm vào cơ sở hạ tầng thiết yếu.

Ông Andrey Strelkov, Trưởng bộ phận Sản phẩm An ninh mạng cho ngành Công nghiệp nặng tại Kaspersky, nhấn mạnh tầm quan trọng của việc bảo mật các thiết bị công nghệ thông tin và công nghệ vận hành. Các cải tiến mới của KICS và MDR sẽ giúp các doanh nghiệp công nghiệp nặng tăng cường bảo mật, tối ưu hóa quy trình và nâng cao trải nghiệm người dùng.

Giải pháp của Kaspersky cho thấy sự quan tâm đặc biệt đến việc bảo vệ cơ sở hạ tầng thiết yếu trong các công ty công nghiệp nặng, đặc biệt là trong bối cảnh các mối đe dọa mạng ngày càng gia tăng.

• Kaspersky ngăn chặn hơn 60 triệu cuộc tấn công bruteforce vào doanh nghiệp năm 2023
• Kaspersky: 66% doanh nghiệp muốn hợp nhất công cụ bảo mật

Mã độc tống tiền (ransomware) và phần mềm gián điệp (spyware) đang là hai mối đe doạ lớn bên cạnh những hiểm hoạ khác tấn công các hệ thống điều khiển công nghiệp (ICS), theo báo cáo quý II/2024 của Kaspersky.

Mặc dù tổng số cuộc tấn công mạng vào máy tính ICS có dấu hiệu giảm nhẹ, số lượng vụ tấn công bằng mã độc tống tiền lại tăng đáng kể, gây lo ngại cho các ngành công nghiệp quan trọng.

Mã độc tống tiền gia tăng đáng kể

Báo cáo cho thấy, trong quý 2 năm 2024, tỷ lệ máy tính ICS bị ảnh hưởng bởi ransomware đã tăng 1,2 lần so với quý trước, đạt mức cao nhất từ năm 2023. Các cuộc tấn công bằng mã độc này đặc biệt gia tăng trong tháng 5, gây rủi ro lớn cho các hoạt động công nghiệp toàn cầu.

 “Kết quả nghiên cứu của chúng tôi cho thấy, tổng số các cuộc tấn công vào máy tính điều khiển công nghiệp (OT computers) giảm nhẹ, nhưng sự gia tăng của mã độc tống tiền và spyware rất đáng lo ngại,” Ông Evgeny Goncharov, trưởng bộ phận Ứng phó khẩn cấp an ninh mạng dành cho hệ thống điều khiển công nghiệp Kaspersky (ICS CERT), cho biết.

“Những loại mã độc nguy hiểm không kém gì ransomware, có thể làm gián đoạn hoạt động quan trọng trong bất kỳ ngành công nghiệp nào, từ sản xuất, năng lượng, vận tải đến các ngành khác.

Trong khi đó, spyware thường được dùng để đánh cắp thông tin riêng tư của doanh nghiệp và bán lại trên các trang web đen cho các băng nhóm tội phạm sử dụng ransomware để tống tiền, nhóm hacker thực hiện các hoạt động tấn công mạng nhằm mục đích chính trị hoặc xã hội (hacktivists) hay các nhóm tội phạm hoạt động bài bản với mục tiêu tấn công cụ thể (APTs) để sử dụng cho các cuộc tấn công sau này.

Nếu cơ sở hạ tầng điều khiển công nghiệp dễ bị xâm nhập bởi phần mềm gián điệp, các hoạt động sản xuất kinh doanh sẽ đối mặt với nguy cơ bị gián đoạn nghiêm trọng hoặc gây ra thiệt hại nặng nề”, ông Evgeny cho hay.

Spyware tiếp tục là mối đe dọa nghiêm trọng

Bên cạnh mã độc tống tiền, spyware cũng được ghi nhận là một hiểm họa dai dẳng. Kaspersky phát hiện rằng tỷ lệ máy tính ICS bị ảnh hưởng bởi spyware đã tăng từ 3,90% lên 4,08% so với quý 1/2024. Spyware thường được dùng để đánh cắp dữ liệu, từ đó tạo điều kiện cho các cuộc tấn công khác, bao gồm mã độc tống tiền. Các phần mềm gián điệp như backdoor, keylogger và trojan đã trở thành công cụ phổ biến trong các cuộc tấn công mạng, đe dọa hoạt động của doanh nghiệp và cơ sở hạ tầng quan trọng.

Các kỹ thuật tấn công mới phức tạp hơn

Một xu hướng đáng lo ngại khác là sự gia tăng của các kỹ thuật tấn công mới, như mã độc fileless. Loại mã độc này không để lại dấu vết trên ổ cứng mà chạy trực tiếp trong bộ nhớ, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn. Kaspersky cảnh báo rằng các phương pháp này đang được tội phạm mạng sử dụng rộng rãi, đặc biệt là trong các cuộc tấn công vào hệ thống ICS.

Tình hình theo khu vực và ngành công nghiệp

Báo cáo cũng cung cấp thông tin chi tiết về tình hình an ninh mạng theo khu vực và ngành công nghiệp. Châu Phi là khu vực bị tấn công nhiều nhất, với 30% máy tính ICS bị ảnh hưởng. Trong khi đó, Bắc Âu có tỷ lệ thấp nhất, chỉ 11,3%. Đáng chú ý, ngành tự động hóa điều khiển và giám sát các hệ thống cơ điện tòa nhà là lĩnh vực có tỷ lệ máy tính ICS bị tấn công cao nhất, do các hệ thống thường sử dụng phần mềm cũ và không được cập nhật bảo mật kịp thời.

Khuyến nghị bảo vệ hệ thống ICS

Kaspersky đã đưa ra một số khuyến nghị để giúp doanh nghiệp bảo vệ hệ thống ICS khỏi các mối đe dọa:

• Thường xuyên kiểm tra, giám sát và đánh giá bảo mật cho hệ thống công nghệ thông tin và hệ thống ICS.
• Tổ chức các chương trình đào tạo chuyên biệt cho nhân viên liên quan đến an ninh công nghệ thông tin và ICS.
• Cập nhật các thiết bị và hệ thống điều khiển công nghiệp để duy trì mức độ bảo mật cao.
• Áp dụng các bản vá lỗi bảo mật nhanh chóng để ngăn ngừa các sự cố gián đoạn nghiêm trọng.
• Sử dụng các giải pháp bảo mật như Kaspersky Industrial CyberSecurity (KICS) để bảo vệ toàn diện cho hệ thống điều khiển công nghiệp.
• Cung cấp thông tin cập nhật về các mối đe dọa an ninh mạng cho đội ngũ phụ trách bảo mật.

Báo cáo quý II/2024 của Kaspersky nhấn mạnh tầm quan trọng của việc nâng cao bảo mật cho hệ thống công nghiệp trước các mối đe dọa ngày càng tinh vi từ mã độc tống tiền và spyware. Doanh nghiệp cần thực hiện các biện pháp phòng ngừa và tăng cường bảo vệ để đảm bảo hoạt động sản xuất kinh doanh không bị gián đoạn.

• Kaspersky cảnh báo về các hình thức tấn công giả mạo để vượt xác thực hai yếu tố
• Kaspersky ngăn chặn hơn 60 triệu cuộc tấn công bruteforce vào doanh nghiệp năm 2023

Chiến dịch Operation Triangulation nhắm vào hệ điều hành iOS, cùng với ransomware và những lỗ hổng khác tạo nên bức tranh về các mối đe doạ an ninh mạng năm 2024.

Kaspersky tổ chức sự kiện APAC Cybersecurity Weekend 2024 tại Sri Lanka vào tuần trước. Tại sự kiện này, chuyên gia hãng bảo mật đưa ra một bức tranh các mối đe doạ an ninh mạng năm 2024.

Năm 2024 đang chứng kiến sự gia tăng đáng kể của các mối đe dọa an ninh mạng, phần lớn nhờ vào sự phát triển của trí tuệ nhân tạo (AI). Điều này đã làm tăng mức độ tinh vi của các cuộc tấn công mạng, trong đó ransomware đã phát triển thành một dịch vụ kinh doanh cho tội phạm mạng. Một trong những mối đe dọa nổi bật nhất trong năm là Chiến dịch Operation Triangulation, nhắm vào hệ điều hành iOS, thông qua việc khai thác các lỗ hổng phần cứng trong CPU của Apple để cài đặt phần mềm độc hại.

Bức tranh toàn cảnh về các mối đe dọa an ninh mạng

Theo báo cáo Incident Response Analyst Report 2023 của Kaspersky, 75% các cuộc tấn công mạng tận dụng lỗ hổng trong Microsoft Office, và 42,3% nhắm đến các ứng dụng miễn phí có sẵn trên Internet. Các cuộc tấn công thường bắt đầu bằng việc sử dụng thông tin đăng nhập bị đánh cắp hoặc mua trái phép. Đáng chú ý, số lượng các cuộc tấn công trong quý 1 năm 2023 đã giảm 36% so với cùng kỳ năm trước.

Các tổ chức chính phủ là mục tiêu hàng đầu của các cuộc tấn công mạng (27,9%), tiếp theo là các doanh nghiệp trong ngành sản xuất (17%) và các tổ chức tài chính (12,2%). Châu Á và khu vực CIS bị ảnh hưởng nặng nề nhất, chiếm 47,3% số sự cố mạng toàn cầu.

Chiến dịch Operation Triangulation

Chiến dịch Operation Triangulation là một cuộc tấn công mạng đặc biệt nguy hiểm, nhắm vào các thiết bị iOS bằng cách khai thác các lỗ hổng phần cứng trong CPU của Apple. Bằng cách này, tin tặc có thể cài đặt phần mềm độc hại mà không cần sự can thiệp của người dùng, cho phép chúng kiểm soát hoàn toàn thiết bị mục tiêu. Phương thức tấn công này bao gồm việc gửi tin nhắn không cần tương tác thông qua iMessage, từ đó phần mềm độc hại được cài đặt một cách kín đáo.

Apple đã nhanh chóng phát hành các bản vá để khắc phục các lỗ hổng này. Tuy nhiên, để tăng cường bảo mật, người dùng được khuyến cáo nên cập nhật hệ điều hành thường xuyên, khởi động lại thiết bị định kỳ, và nếu có thể, tắt tính năng iMessage để giảm thiểu nguy cơ bị tấn công.

Cuộc tấn công trong chiến dịch Operation Triangulation là minh chứng cho mức độ tinh vi của các mối đe dọa an ninh mạng hiện đại, đặc biệt khi chúng khai thác các yếu điểm phần cứng và cơ chế hoạt động của hệ điều hành, vượt qua được nhiều lớp bảo mật thông thường.

Ransomware theo mô hình dịch vụ (RaaS)

RaaS (Ransomware-as-a-Service) là một xu hướng đáng lo ngại, nơi tội phạm mạng hoạt động như một doanh nghiệp, cung cấp dịch vụ mã hóa dữ liệu để đòi tiền chuộc. Các nhóm tội phạm này thường bao gồm nhiều thành phần chuyên biệt như người bán quyền truy cập, nhà phân tích và những kẻ đàm phán. Mô hình kinh doanh này giúp các cuộc tấn công trở nên tinh vi hơn, khó phát hiện và khó phòng thủ hơn.

Hệ thống container hóa: Rủi ro và biện pháp phòng tránh

Các hệ thống container hóa, đặc biệt là những hệ thống sử dụng phần mềm nguồn mở, đang trở thành mục tiêu của các cuộc tấn công chuỗi cung ứng. Để giảm thiểu rủi ro, cần có các chính sách bảo mật nghiêm ngặt, bao gồm kiểm soát chặt chẽ các hình ảnh và quản lý kho hình ảnh để tránh các cài đặt lỗi thời.

Các biện pháp bảo vệ doanh nghiệp trước tấn công mạng

Các chuyên gia khuyến nghị các tổ chức xây dựng một hệ thống bảo mật toàn diện, kết hợp giữa chiến lược bảo mật hiệu quả, đào tạo nhân viên về an ninh mạng, và sử dụng các giải pháp công nghệ bảo mật phù hợp. Các biện pháp cụ thể bao gồm:

• Cập nhật thường xuyên hệ điều hành, phần mềm và giải pháp bảo mật.
• Cung cấp cho đội ngũ bảo mật quyền truy cập vào các cổng thông tin về mối đe dọa mạng.
• Triển khai các giải pháp phát hiện và phản ứng với các sự cố an ninh mạng.

Bằng cách áp dụng các biện pháp này, các tổ chức có thể giảm thiểu rủi ro và bảo vệ an toàn dữ liệu của mình trước các mối đe dọa an ninh mạng ngày càng gia tăng trong năm 2024.

• Kaspersky lên tiếng về lệnh cấm của Mỹ

Doanh nghiệp vừa và nhỏ (SMBs) đang bị lợi dụng khe hở trong các phần mềm văn phòng lẫn kỹ thuật lừa đảo phishing, theo Kaspersky.

Các doanh nghiệp vừa và nhỏ hứng chịu số vụ lây nhiễm trong quý I năm 2024 tăng 5% so với cùng kỳ năm ngoái.

Cụ thể, số lượng người dùng phải đối mặt với phần mềm độc hại đã lên đến 2.402 vụ, với 4.110 file phát tán dưới dạng các phần mềm liên quan đến SMBs, đánh dấu mức tăng 8% so với cùng kỳ năm ngoái.

Trojan vẫn là hình thức tấn công phổ biến nhất đối với các doanh nghiệp này. Mặc dù không có khả năng tự sao chép như virus, Trojan có thể bắt chước phần mềm chính thống, khiến chúng trở nên nguy hiểm và khó phát hiện. Trong giai đoạn từ tháng 1 đến tháng 4 năm 2024, Kaspersky đã ghi nhận tổng cộng 100.465 lượt tấn công bằng Trojan, tăng 7% so với cùng kỳ năm 2023.

Trong các vấn đề được phát hiện, nổi lên việc tội phạm nhắm vào các phần mềm văn phòng và tấn công phishing.

Cụ thể, các phần mềm văn phòng của Microsoft như Excel, Word, và PowerPoint đang là mục tiêu bị tấn công nhiều nhất. Microsoft Excel đứng đầu danh sách các phần mềm bị tấn công nhiều nhất trong năm 2024, theo sau là Microsoft Word và các phần mềm như PowerPoint và Salesforce. Theo Kaspersky, việc sử dụng rộng rãi Microsoft Excel trong văn phòng tạo ra một môi trường lý tưởng cho tội phạm mạng ẩn nấp và thay đổi dữ liệu độc hại trong các bộ dữ liệu lớn, sau đó nhân rộng mã độc ra toàn bộ doanh nghiệp.

Ngoài ra, lừa đảo (phishing) cũng tiếp tục là một mối đe dọa nghiêm trọng đối với các doanh nghiệp SMBs. Nhân sự liên tục nhận được những đường liên kết trông quen thuộc và những trang web mô phỏng những dịch vụ phổ biến, cổng doanh nghiệp và các nền tảng ngân hàng trực tuyến. Một khi đăng nhập vào các dịch vụ này, họ vô tình tiết lộ tên đăng nhập và mật khẩu cho tội phạm mạng hoặc kích hoạt cuộc tấn công mạng được thiết lập sẵn trên hệ thống.

Theo ông Vasily Kolesnikov, chuyên gia an ninh mạng tại Kaspersky, yếu tố con người tiếp tục là lỗ hổng đáng kể đối với các doanh nghiệp SMBs, một phần là do nhận thức về an ninh mạng thấp. Các doanh nghiệp SMBs thường tin rằng họ không phải là đối tượng của các cuộc tấn công mạng, nhưng thực tế, tin tặc rất giỏi trong việc tìm ra các lỗ hổng một khi chúng xâm nhập vào hệ thống máy tính.

Để tăng cường bảo mật và bảo vệ hệ thống công nghệ thông tin của doanh nghiệp trước các mối đe dọa mạng, Kaspersky khuyến nghị dùng giải pháp bảo mật dành cho doanh nghiệp, đồng thời đào tạo cơ bản về an ninh mạng cho nhân viên, tiến hành các cuộc tấn công lừa đảo mô phỏng để đảm bảo nhân viên biết cách phân biệt các email lừa đảo, thiết lập chính sách truy cập vào tài sản của công ty, thường xuyên sao lưu các dữ liệu cần thiết để đảm bảo thông tin của công ty được an toàn trong trường hợp khẩn cấp.

Tất nhiên cần hiểu rằng doanh nghiệp SMBs không dễ để triển khai các biện pháp bảo mật bài bản. Theo dữ liệu của Liên hợp quốc, cứ 10 việc làm ở các nền kinh tế mới nổi thì có 7 việc làm thuộc lĩnh vực SMBs, trong khi khả năng tiếp cận tài chính gặp nhiều thách thức, khiến các doanh nghiệp này gặp khó khăn hơn trong việc tự vệ trước các cuộc tấn công.

• Kaspersky: Tội phạm mạng làm tắc nghẽn mạng lưới kinh doanh bằng cách giả mạo tài chính

Kaspersky cho rằng lệnh cấm của Mỹ liên quan đến địa chính trị và dựa trên mối quan ngại “lý thuyết”.

Bộ Thương mại Mỹ có quyết định cấm sử dụng phần mềm diệt virus Kaspersky trên toàn lãnh thổ. Đáp lại lệnh cấm này, Kaspersky nói rằng “quyết định của Bộ Thương mại Hoa Kỳ xuất phát từ tình hình địa chính trị hiện tại và những mối quan ngại dựa trên mặt lý thuyết, thay vì đánh giá toàn diện các sản phẩm và dịch vụ của Kaspersky”.

Công ty đồng thời khẳng định lệnh cấm sẽ không ảnh hưởng đến việc kinh doanh của công ty.

Phản ứng của Kaspersky đưa ra sau khi Bộ Thương mại Mỹ công bố kế hoạch cấm Kaspersky bán phần mềm diệt virus tại Mỹ. Ngày 21/6, Bộ trưởng Thương mại Gina Raimondo được Reuters dẫn lời nói rằng Nga “có khả năng và dự định khai thác các công ty Nga như Kaspersky để thu thập, vũ khí hóa thông tin cá nhân người Mỹ.

Trước đó, vào năm 2020, Kaspersky di chuyển địa điểm xử lý và lưu trữ một số dữ liệu sang Thuỵ Sĩ. Đây là dữ liệu liên quan đến các mối đe dọa bảo mật nhắm vào khách hàng và người dùng tại các khu vực châu Âu, Hoa Kỳ, Canada, và một số quốc gia khu vực châu Á Thái Bình Dương. Việc này nằm trong nỗ lực minh bạch hoá cách công ty dùng dữ liệu. Phản ứng này diễn ra sau khi Mỹ ban hành sắc lệnh cấm các phần mềm Kaspersky Lab hoạt động trên mạng dân sự và quân sự tại Mỹ, được ký vào tháng 12/2017 bởi Tổng thống Mỹ thời đó là Donald Trump.

• Kaspersky ngăn chặn hơn 60 triệu cuộc tấn công bruteforce vào doanh nghiệp năm 2023