Chính sách truy cập người dùng và vi phạm hành vi
Ngay cả những người dùng và hệ thống được tin cậy cũng có thể tạo ra rủi ro nếu chính sách không được thực thi rõ ràng. Việc giám sát những gì được phép và không được phép giúp phát hiện các vi phạm tinh vi mà bình thường có thể bị bỏ sót.
Một số tổ chức cấm các công cụ truy cập từ xa hoặc ứng dụng chia sẻ tệp để giảm thiểu rủi ro và duy trì khả năng kiểm soát môi trường CNTT. Khi các giao thức trái phép được sử dụng, chúng có thể mở ra các điểm tấn công mới hoặc tạo điều kiện cho việc khai thác từ xa.
Xác thực với Mendel
Mendel có khả năng phát hiện trực tiếp việc sử dụng ứng dụng trái phép. Các nhà phân tích có thể lọc theo từng giao thức cụ thể để xác nhận một phiên truy cập đã diễn ra hay chưa và liệu nó có thành công không, bao gồm chi tiết về thời lượng phiên, khối lượng dữ liệu truyền tải và nội dung trao đổi. Điều này giúp xác minh người dùng có vi phạm chính sách nội bộ hay không, đồng thời cho phép bổ sung các trường hợp sử dụng hợp lệ vào danh sách ngoại lệ để tránh cảnh báo trong tương lai.
Trong trường hợp này, Mendel đã xác định và gắn cờ nhiều thiết bị đã tải xuống và sử dụng TeamViewer. Các nhà phân tích sau đó có thể điều tra xem những máy chủ này có được ủy quyền hay không và, nếu phù hợp, đưa IP vào danh sách cho phép (whitelist) để ngăn cảnh báo trong tương lai.
Trong một ví dụ khác, Mendel đã ghi nhận một phiên RDP (Remote Desktop Protocol) tiềm ẩn. Bằng cách phân tích chi tiết sự kiện, các nhà phân tích có thể xác định người dùng liên quan và xem xét thời lượng phiên làm việc.
Vi phạm chính sách: Kết nối tới các điểm đến hoặc dịch vụ bị cấm
Một số điểm đến như quốc gia nước ngoài, địa chỉ IP nằm trong danh sách đen, hoặc các dịch vụ trái phép thường bị hạn chế để giảm thiểu rủi ro. Việc phát hiện lưu lượng truy cập dạng này giúp nhận diện các ngoại lệ bị bỏ sót hoặc công cụ độc hại đang cố gắng né tránh biện pháp kiểm soát.
Xác thực với Mendel
Mendel có khả năng phát hiện và cảnh báo về các kết nối tới địa chỉ IP trong danh sách đen. Các nhà phân tích có thể sử dụng bộ lọc có sẵn hoặc tùy chỉnh để xem xét kết nối theo IP nguồn, IP đích, lưu lượng truyền tải và số lượng gói tin. Tab Network Analysis cung cấp các tùy chọn lọc và tìm kiếm nâng cao, cho phép đội ngũ thực hiện điều tra chuyên sâu trên toàn bộ hệ thống mạng.
Ví dụ, Mendel đã phát hiện một yêu cầu DNS tới TeamViewer xuất phát từ máy chủ mx (192.168.2.42). Khi phân tích chi tiết, các nhà phân tích xác nhận kết nối đã được thiết lập thành công, cho thấy khả năng vi phạm chính sách hoặc truy cập từ xa trái phép.
Vi phạm chính sách: Giao tiếp ngang hàng (peer) vượt mức cho phép
Một số thiết bị, chẳng hạn như bộ điều khiển trong sản xuất hoặc máy chủ tổng đài nội bộ (PBX), thường chỉ được phép giao tiếp với một tập hợp đối tác giới hạn. Các kết nối mới hoặc bất thường có thể là dấu hiệu của cấu hình sai hoặc hoạt động trái phép.
Xác thực với Mendel
Mendel cho phép các nhà phân tích đặt giới hạn số lượng peer cho từng máy chủ hoặc toàn bộ subnet, giúp đảm bảo tuân thủ ranh giới giao tiếp đã được định trước.
Ví dụ, nếu một máy chủ PBX giao tiếp với nhiều peer hơn so với số trunk SIP và điện thoại nội bộ đã biết, trong khi lưu lượng Internet vào bị hạn chế, Mendel sẽ gắn cờ để xem xét.
Vi phạm chính sách: Giao tiếp trái phép với honeypot
Honeypot là các hệ thống được cố ý công khai nhằm phát hiện hoạt động đáng ngờ bên trong mạng. Thông thường, chỉ các hệ thống được định nghĩa trước như công cụ quản trị hoặc máy quét bảo mật mới được phép giao tiếp với chúng. Bất kỳ nỗ lực kết nối nào khác đều có thể cho thấy dấu hiệu di chuyển ngang (lateral movement) hoặc quét nội bộ.
Xác thực với Mendel
Mendel cho phép đội ngũ của bạn xác định rõ hệ thống nào được phép giao tiếp với honeypot và sẽ cảnh báo khi phát hiện nỗ lực kết nối trái phép.
Ví dụ, chỉ máy tính quản trị được phép giao tiếp với honeypot tại địa chỉ 192.168.2.36. Khi một thiết bị khác (192.168.2.28) khởi tạo kết nối, Mendel sẽ lập tức kích hoạt cảnh báo.
Biểu đồ peer graph xác nhận và trực quan hóa việc honeypot đã bị truy cập bởi cả thiết bị được phép và thiết bị trái phép.
Tiêu chuẩn mã hóa và việc sử dụng TLS
Các tiêu chuẩn mật mã là lớp nền tảng của truyền thông an toàn. Việc giám sát tính hợp lệ của chứng chỉ và phiên bản giao thức giúp phát hiện sớm các cơ chế mã hóa yếu trước khi chúng trở thành lỗ hổng bảo mật.
Vi phạm chính sách: Sử dụng chứng chỉ TLS đã hết hạn
Liên quan đến NIS2
Chứng chỉ TLS là thành phần quan trọng trong giao tiếp tin cậy. Nếu chứng chỉ đã hết hạn, hệ thống có thể từ chối kết nối, người dùng có thể bị dẫn đến các dịch vụ giả mạo, hoặc dữ liệu nhạy cảm có thể bị truyền đi mà không được mã hóa đầy đủ.
Xác thực với Mendel
Mendel sẽ cảnh báo khi phát hiện chứng chỉ đã hết hạn hoặc sắp hết hạn.
Ví dụ, Mendel đã phát hiện một hệ thống nội bộ đang sử dụng chứng chỉ đã hết hạn từ tháng 5 năm 2021.
Trong một trường hợp khác, Mendel đã gắn cờ cảnh báo về chứng chỉ sắp hết hạn trước vài ngày, giúp quản trị viên có thời gian xử lý trước khi xảy ra gián đoạn.
Vi phạm chính sách: Sử dụng phiên bản TLS và bộ mã hóa (cipher suite) lỗi thời
Các phiên bản TLS đã lỗi thời và bộ mã hóa yếu có thể khiến lưu lượng được mã hóa của bạn dễ bị khai thác qua các lỗ hổng đã biết. Các khung pháp lý như NIS2 khuyến nghị mạnh mẽ việc ngừng sử dụng TLS dưới phiên bản 1.2 để giảm bề mặt tấn công và đảm bảo tiêu chuẩn mã hóa mạnh.
Xác thực với Mendel
Mendel cho phép cấu hình cảnh báo khi phát hiện việc sử dụng TLS lỗi thời. Để đảm bảo truyền thông an toàn, khuyến nghị sử dụng TLS 1.2 hoặc 1.3. Đạt được điều này thường yêu cầu cập nhật hệ điều hành, trình duyệt hoặc các phần mềm client khác.
Ví dụ, một sự kiện đã cho thấy một thiết bị vẫn đang giao tiếp bằng TLSv1.0.
Chính sách mạnh cần có bằng chứng vững chắc
Chính sách bảo mật không chỉ giúp giảm thiểu rủi ro mà còn giúp bạn chứng minh trách nhiệm giải trình với cơ quan quản lý, khách hàng và các bên liên quan nội bộ. Khi yêu cầu từ các khung pháp lý như NIS2 ngày càng cao, việc chứng minh rằng các quy tắc nội bộ được áp dụng nhất quán đã trở thành một phần cốt lõi của quản trị an ninh mạng hiện đại. Không còn đủ để chỉ giả định rằng các chính sách đang được tuân thủ — bạn cần sự rõ ràng và bằng chứng có thể kiểm chứng.
Mendel giúp các tổ chức như của bạn chuyển từ giả định sang bằng chứng. Hệ thống liên tục xác thực cách các chính sách được thực thi trên toàn mạng, từ mã hóa đến kiểm soát danh tính, mang lại cho nhóm của bạn khả năng quan sát đầy đủ để hành động với sự rõ ràng và tự tin.
