Công nghệ mới giúp Wi-Fi nhanh gấp 3 lần

Wi-Fi quá yếu là một trong những bất tiện lớn nhất khi sử dụng các thiết bị công nghệ. Loại công nghệ mới ra đời này sẽ giúp cải thiện vấn đề trên.

Các nhà nghiên cứu tại Viện công nghệ MIT (Mỹ) vừa tìm ra phương pháp mới giúp mạng Wi-Fi nhanh hơn gấp 3 lần, theo Gizmodo.

Công nghệ có tên MegaMIMO 2.0 này được phát triển tại phòng Khoa học Vi tính và Trí tuệ Nhân tạo (CSAIL) thuộc Viện công nghệ MIT. Không chỉ giúp tăng tốc độ Wi-Fi nhanh gấp 3 lần, MegaMIMO 2.0 còn mở rộng phạm vi phủ sóng Wi-Fi lên gấp đôi.

Dựa trên nền tảng công nghệ MIMO đang được sử dụng trên các bộ định tuyến không dây, công nghệ này hoạt động bằng cách truyền đi nhiều tín hiệu dữ liệu qua cùng một kênh sóng radio để tăng tốc độ truyền tải thông tin.

MegaMIMO 2.0 đã khéo léo kết nối các điểm truy cập với nhau để truyền đi trên cùng một tần số và quang phổ giới hạn, nhằm tăng tốc độ và cường độ mà không làm giảm chất lượng tín hiệu. Theo các nhà nghiên cứu, điều này giúp tăng tốc độ Wi-Fi nhanh hơn gấp 3 lần hiện nay.

MegaMIMO 2.0 giúp Wi-Fi nhanh hơn 10 lần so với công nghệ MIMO point-to-point  như hiện nay. Ảnh: BGR.

Điều này không hề giống với việc đặt hai hay ba bộ router trong nhà. Nhiều điểm kết nối cùng truyền tín hiệu trên cùng một tần số sẽ gây ra hiện tượng nhiễu sóng, gây khó khăn cho thiết bị giải mã các dòng dữ liệu.

Bước đột phá của nhóm nghiên cứu CSAIL nằm ở chỗ, nhóm này đã tạo ra thuật toán mới cho phép xử lý nhiễu sóng có thể gây ra từ việc đặt nhiều điểm truy cập trên cùng tần số.

Hơn nữa, việc có nhiều bộ định tuyến không dây truyền thông tin cùng một lúc sẽ giúp nhiều dòng dữ liệu được truyền tải trong cùng một thời điểm.

Nhóm CSAIL đã tóm tắt cách hoạt động của MegaMIMO 2.0 là “gửi đi cùng một tần số trong cùng một lúc”.

Theo Forbes, MegaMIMO 2.0 đã được thử nghiệm với 4 máy phát sóng độc lập trong cùng một khu vực và cho thấy hiệu quả rõ rệt. Nhóm nghiên cứu CSAIL đang tìm cách để thương mại hóa công nghệ này trong tương lai không xa.

Việt Nam trước hiểm họa tấn công APT

Đó là lời cảnh báo của các chuyên gia đến từ nhiều công ty hoạt động trong lĩnh vực an ninh thông tin, CNTT có uy tín trên thế giới tại Ngày ATTT Việt Nam 2015 tại TP.HCM hôm 19/11. Theo các chuyên gia, sự bảo vệ ngày nay là không đủ để đối phó với tấn công mạng hiện đại vì các giải pháp triển khai khác nhau thường độc lập với nhau. Để đạt mục tiêu giảm thiểu nguy cơ bị tấn công có chủ đích thì các giải pháp an ninh mạng phải được kết hợp chặt chẽ dưới cái nhìn bức tranh toàn cảnh, phát hiện sớm, phản ứng nhanh. 

Ông Tất Thành Cang – Phó Bí thư, Phó Chủ tịch UBND TP.HCM cho biết, Thành phố trước đây đã phê duyệt chương trình xây dựng và triển khai an ninh thông tin trong cơ quan quản lý nhà nước giai đoạn 2012-2015. Ảnh: Cao Minh

Hệ thống nào cũng có thể bị tấn công APT xuyên thủng

Tấn công có chủ đích, hay tấn công APT gần đây được nhắc tới liên tục, đặc biệt trong Ngày ATTT năm nay. Vậy tấn công APT là gì và nguy hiểm ra sao?

APT là viết tắt của cụm từ “Advanced Persistent Threat” – những mối nguy hiểm cao thường trực. Tấn công APT là hình thức mà hacker, hay một nhóm hacker có tổ chức, tấn công bền bỉ có chủ đích nhắm vào tổ chức, doanh nghiệp (TC/DN) cụ thể nhằm đạt cho được mục tiêu, chẳng hạn như đánh cắp dữ liệu quan trọng bằng mọi cách.

Tội phạm mạng đang trở thành một ngành công nghiệp có lợi nhuận lớn, giá trị hàng tỷ đô la Mỹ. Các cuộc tấn công của hacker chuyên nghiệp, có tổ chức, phần lớn là có chủ đích nhằm kiếm tiền hoặc phá hoại theo đơn đặt hàng. Theo các chuyên gia thuyết trình tại Ngày ATTT 2015, tội phạm mạng đang có những bước phát triển rất nhanh, sử dụng nhiều kỹ thuật tiên tiến, khai thác các lỗ hổng zero-day, tấn công bằng nhiều phương thức tinh vi để xuyên thủng các hệ thống phòng vệ.

Điều đặc biệt nguy hiểm của tấn công APT là hacker có thể tạo ra malware riêng cho từng mục tiêu cụ thể, ủ bệnh rất lâu, thậm chí theo chia sẻ của các chuyên gia bảo mật thì có những loại malware có hành vi thể hiện rất ít nên cực kỳ khó phát hiện, kể cả khi chạy kiểm thử trong môi trường giả lập Sandbox. Với những loại malware này, giải pháp truyền thống dựa trên phân tích chữ ký (signature) trở nên bất lực trong việc phát hiện và ngăn chặn.

Chiêu thức đánh lừa kiểu phi kỹ thuật (social engineering) thông qua những email hay website có chứa mã độc vẫn được hacker dùng nhiều và rất hiệu quả. Xu hướng BYOD và người dùng truy cập làm việc từ xa cũng tạo điệu kiện hơn cho hacker xâm nhập mạng TC/DN. Việc truy tìm hacker không hề dễ, chưa kể là tội phạm tấn công mạng và nạn nhân thường không cùng một quốc gia nên càng gây khó cho các cơ quan thực thi pháp luật.

Minh chứng rõ nhất là trường hợp nhóm APT30 suốt 10 năm qua đã tấn công nhiều cơ quan chính phủ và nhà báo tại các nước Đông Nam Á, trong đó có Việt Nam, bằng cùng một phương thức mà gần đây mới bị phát hiện, theo công bố của công ty bảo mật FireEyE của Mỹ trong một cuộc họp báo hồi tháng 5.

Vụ hãng phim Sony Pictures bị hacker tấn công vào cuối năm 2014 gây thiệt hại hàng tỷ đô la Mỹ, và nhiều nạn nhân trước đó như Home Depot, eBay, JPMorgan báo hiệu các TC/DN đang đối mặt với nguy cơ thiệt hại khó lường nếu phương thức bảo mật không thay đổi.

Mức độ nguy hiểm của tấn công APT được ông Nguyễn Thành Đồng – kỹ sư bảo mật của công ty NPCore chia sẻ tại Ngày ATTT, qua sự cố nhiều ngân hàng và đài truyền hình Hàn Quốc bị tê liệt do hacker tấn công vào năm 2013, tổn thất vô cùng to lớn. Đây đều là những đơn vị có hạ tầng CNTT tốt với hệ thống an ninh thông tin được đầu tư bài bản.

Tại Việt Nam, theo ông Võ Đỗ Thắng – Giám đốc Trung tâm Athena cho biết, dữ liệu nội bộ TC/DN có giá trị đang là đích nhắm tấn công APT. Đối tượng bị tấn công nhiều tập trung vào nhóm các DN tư nhân, FDI có doanh thu lớn, nhất là những đơn vị không có người chuyên trách CNTT. Nhiều doanh nghiệp có sản phẩm độc quyền như điện, nước, xăng, dầu, thực phẩm, cùng các ngân hàng, cơ quan chính phủ cũng là đối tượng của tấn công APT, nhiều đơn vị bị xâm nhập sâu.

“Có doanh nghiệp FDI ở Bình Dương bị cài mã độc trong hệ thống máy tính hơn một năm mà không biết, đã bị mất hàng gigabyte dữ liệu kế toán, bí mật kinh doanh, các bản thiết kế sản phẩm… Giá trị thiệt hại sơ bộ lên đến hàng trăm ngàn đô la Mỹ”, ông Thắng cho biết.

Tấn công phá hoại đáng chú ý tại Việt Nam là vụ VCCorp bị tấn công làm ngưng trệ nhiều ngày một loạt trang web trong nước có lượt truy cập cao mà công ty chịu trách nhiệm quản lý kỹ thuật, gây thiệt hại cho VCCorp hàng chục tỷ đồng.

Tình hình chung là sự vi phạm không còn là “nếu” mà là “khi nào”. Và TC/DN sẽ chịu thiệt hại tàn khốc do mất quá nhiều thời gian để phát hiện malware. Theo thống kê, thời gian trung bình để phát hiện xâm nhập đã giảm xuống còn 205 ngày – vẫn là khoảng thời gian quá lớn.

Cuộc thi “Sinh viên với ATTT” trong khuôn khổ chuỗi hoạt động của Ngày ATTT Việt Nam 2015. Ảnh: Cao Minh

Cuộc chiến không cân sức

Theo cảnh báo của ông Nguyễn Quốc Thành – phụ trách kỹ thuật của Trend Micro, mọi hàng rào phòng thủ tiêu chuẩn đã trở nên lỗi thời trước những cuộc tấn công APT được thiết kế riêng. Hệ thống bị xuyên thủng chỉ là vấn đề thời gian trước kiểu tấn công “đo ni đóng dày” – nghiên cứu, thiết kế, lập trình và thử nghiệm cho mục tiêu cụ thể.

“Hacker có quá nhiều lợi thế so với bên bị tấn công. Chúng dễ dàng kết nối với các hacker lão luyện trên mạng, có nhiều điểm yếu trên hệ thống phòng thủ để khai thác tấn công và có mục tiêu rõ ràng. Trong khi đó đối tượng bị tấn công có quá nhiều công việc thường ngày, không dễ gì tập trung toàn bộ sức lực cho hệ thống phòng thủ vốn luôn có nhiều sơ hở, họ cũng không có điều kiện giao tiếp thường xuyên với các chuyên gia, và chỉ một sai lầm là phải trả giá”, ông Thành phân tích.

Ông Quang Hùng, trưởng đại diện của công ty FireEyE tại Việt Nam, cũng đồng quan điểm với ông Thành của Trend Micro khi cho rằng đang có một khoảng cách lớn về tương quan lực lượng và năng lực giữa tội phạm mạng và đội ngũ phòng thủ. Theo FireEyE , các mối đe dọa tấn công APT ngày nay dễ dàng vô hiệu hóa khả năng bảo vệ của các giải pháp bảo mật truyền thống. “Hoạt động tấn công còn tỏ ra nguy hiểm hơn trước nhiều vì có tổ chức và thậm chí còn được bảo trợ bởi các nhóm tội phạm mạng (FIN4) hay bởi chính phủ (APT1, APT28, APT30)”, ông Hùng nhấn mạnh với từ “bảo trợ”.

FireEyE phân loại nhiều nhóm tấn công, như APT25 chuyên nhắm vào lĩnh vực ngân hàng, APT1 và APT30 thì được thiết kế cho đối tượng tấn công là các cơ quan chính phủ, công ty năng lượng bao gồm dầu khí, điện lực.

“Không tổ chức nào có thể an toàn” khi tội phạm mạng đang gia tăng xu hướng tấn công có mục đích, có tổ chức và có trình độ cao, theo nhận định của ông Keshav Dhakad – Giám đốc khu vực, Bộ phận phòng chống tội phạm số, Microsoft châu Á. Ông cho rằng thách thức an ninh mạng được đặt ra trước thực tế người dùng luôn mong muốn truy cập mọi thứ để làm việc với năng suất cao, thiết bị bùng nổ về số lượng, chủng loại làm xói mòn mọi tiêu chuẩn, ứng dụng triển khai trên nhiều nền tảng ngày càng nhiều nhưng ngay từ khâu lập trình các nhà phát triển phần mềm đã không chú trọng đến an ninh, ATTT.

Lực lượng tấn công dưới sự chỉ đạo của TS. Nguyễn Anh Tuấn - Ủy viên BCH VNISA phía Nam tại buổi Diễn tập về ATTT tại TP.HCM hôm 18/11. Ảnh: Nhật Thanh

Vấn đề nhân lực

APT chỉ là một phần trong câu chuyện xu thế tấn công nhiều hướng và đa dạng, trước thực tế phần lớn các TC/DN chưa nhận thức đầy đủ mối nguy hiểm của các lỗ hổng bảo mật, thiếu nhân viên chuyên trách về ATTT, nhân lực trình độ thấp nên không hiểu vá lỗ hổng sao cho đúng, chưa hiểu phải bảo vệ gì và bảo vệ thế nào.

Trong bài phát biểu “Tương lai của an ninh mạng”, ông Peter Sparkes – Giám đốc khối dịch vụ quản lý bảo mật của Symantec khu vực châu Á–Thái Bình Dương và Nhật Bản nhấn mạnh “nhân lực là vấn đề trọng yếu”. Ông cho biết, các cuộc tấn công ngày nay diễn ra nhanh hơn nên các giải pháp phòng chống chỉ tập trung vào thiết bị là không đủ mà phải nhìn toàn cảnh, bảo vệ toàn hệ thống, và phải bảo vệ người dùng cuối.

Tình trạng thiếu hụt chuyên gia ATTT là điều đáng lo ngại, theo ông Olaf Krohmann – Giám đốc giải pháp bảo mật Cisco, khu vực châu Á. Không đủ nhân lực để sẵn sàng chống lại tấn công mạng ngay từ hôm nay thì tương lai khó khăn càng chồng chất. Đại diện của Cisco cho biết, tới năm 2020, khoảng 75% nền kinh tế thế giới được số hóa, với 56 tỷ thiết bị được kết nối trong xu hướng Internet of Things, diện tấn công trở nên quá rộng nên sẽ quá khó để phát hiện sớm các cuộc xâm nhập – điều cực kỳ quan trọng để giữ ATTT.

“Bất lực trước những gì chúng ta không nhìn thấy” là câu nói quen thuộc của nhiều chuyên gia ATTT để nói lên tầm quan trọng của phát hiện.

Phát hiện ngày càng khó nên phải có cách tiếp cận mới. Đó là quan điểm của ông Chris Petersen – Phó chủ tịch công nghệ và sản phẩm, đồng thời là nhà sáng lập Logrhythm với bài phát biểu “Phòng chống tấn công mạng công nghệ cao: hệ thống phân tích, nhận diện và phòng vệ thông minh”. Kẻ xấu từ bên trong nên phân tích dữ liệu và hành vi rất quan trọng. Các máy có khả năng học với trí tuệ nhân tạo sẽ giúp phân tích thông minh. Tuy nhiên ông cũng chỉ ra rằng quyết định thuộc về con người, và phân tích thông minh là để hỗ trợ giúp con người ra quyết định đúng. Mẫu số chung theo ông vẫn là phát hiện sớm, và muốn thế thì phải hiểu bức tranh tổng thể,  ngoài trợ giúp của máy thông minh để phân tích dữ liệu lớn vẫn cần tới chuyên gia mà tình trạng chung là quá thiếu.

Theo cảnh báo của các chuyên gia bảo mật thì các phương pháp truyền thống đang thất bại do kỹ thuật tấn công lây nhiễm phát triển quá nhanh, với nhiều thủ đoạn tinh vi vượt trình độ của nhân viên có trách nhiệm về ATTT của TC/DN. Con người là nhân tố quan trọng nhất, không có kỹ năng thì không thể bảo vệ hệ thống.

Lực lượng ứng cứu sự cố ATTT TP.HCM trong vai trò phòng thủ, dưới sự chỉ đạo của TS. Trịnh Ngọc Minh - Phó chủ tịch VNISA phía Nam tại buổi diễn tập ATTT tại TP.HCM hôm 18/11. Ảnh: Cao Minh

Và hành động của chúng ta

Phát biểu tại Ngày ATTT 2015, Giám đốc sở TTTT TP.HCM, ông Lê Thái Hỷ nhấn mạnh, điều cốt yếu là chúng ta phải hành động và hành động ngay. Nhân sự có mặt của Thứ trưởng Bộ TTTT  Nguyễn Thành Hưng, ông Lê Thái Hỷ bày tỏ TP.HCM mong muốn đầu tư một phòng thí nghiệm ATTT, làm thao trường diễn tập thực hành để huấn luyện và đào tạo đội ngũ kỹ thuật trình độ cao, phục vụ công tác đảm bảo ATTT trong dài hạn.

“Tôi mong muốn Ủy ban quốc gia về ứng dụng CNTT và Bộ TTTT xem xét và ủng hộ đề xuất của Sở TTTT TP.HCM đầu tư một phòng thí nghiệm về ATTT cho khu vực phía Nam”.

VNISA phía Nam đã nhiều lần lên tiếng về việc thiếu diễn tập ATTT là một lỗ hổng lớn đối với các TC/DN trong việc xây dựng hệ thống bảo đảm ATTT cho đơn vị trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp, đặc biệt là hình thức tấn công APT với sự đeo bám dai dẳng của hacker. Tình hình phức tạp tới mức Thứ trưởng Nguyễn Thành Hưng thậm chí còn đề cập tới dấu hiệu “chiến tranh mạng” trong tương lai gần khi phát biểu tại buổi diễn tập bảo vệ Hệ thống thông tin TP.HCM 2015 do Sở TTTT phối hợp cùng VNISA phía Nam tổ chức hôm 18/11.

Ông Trịnh Ngọc Minh – Phó chủ tịch BCH VNISA phía Nam cho biết, đã có những chuyển biến mạnh mẽ là chúng ta đã tham gia diễn tập ATTT với các nước trong khu vực (gần 100 cơ quan, tổ chức của Việt Nam đã tham gia cuộc diễn tập quốc tế về chống tấn công mạng, với sự tham gia của 14 quốc gia hôm 28/10 – PV) để xây dựng khả năng phát hiện, phân tích và ứng cứu mỗi khi  bị tấn công bằng mã độc.

Qua thành công của buổi diễn tập chống tấn công mạng hôm 18/11, lấy “thao trường Cyber Range” của Cisco làm thực địa với những kịch bản xảy ra như trong thực tế, đại diện VNISA phía Nam khuyến nghị cơ quan quản lý nhà nước cần tiếp tục liên kết và chủ trì các hoạt động diễn tập thường xuyên với những kịch bản ngày càng khó hơn, sát thực tế hơn để sẵn sàng xử lý sự cố an ninh mạng trong thực tế.

VNISA phía Nam cũng khuyến nghị các DN cần chú ý đến con người và qui trình; Truyền thông, báo chí nên tích cực vào cuộc để nâng cao nhận thức cho toàn xã hội. VNISA phía Nam còn cho biết sẽ cố gắng phát huy vai trò của mình trong việc làm cầu nối giữa các đơn vị chuyên ngành và các DN có nhu cầu.

6 bài học kinh nghiệm chống tấn công APT

Những bài học quí báu này của một chuyên gia bảo mật kỳ cựu có thể giúp bạn tránh được sự đe dọa của những mối nguy hiểm cao thường trực - Advanced Persistent Threat.

Những mối nguy hiểm cao thường trực (Advanced Persistent Threat - APT) gây nhiều chú ý trong thời gian gần đây vì tính chất cực kỳ nguy hiểm của chúng. Mỗi cuộc tấn công APT đều có chủ đích, tấn công bền bỉ vào doanh nghiệp, tổ chức cụ thể để đánh cắp dữ liệu quan trọng bằng mọi cách. Một cuộc tấn công APT thường được tiến hành bởi một tổ chức chuyên nghiệp có trụ sở nằm ngoài quốc gia của nạn nhân, do đó gây trở ngại cho cơ quan thực thi pháp luật. Các tổ chức tin tặc này thường chia thành các nhóm riêng, nhưng sẵn sàng phối hợp với nhau để đột nhập mạng và hệ thống của doanh nghiệp và đánh cắp các thông tin có giá trị ngay khi có thể. Đây là công việc thường ngày của chúng, và hầu hết đều rất có nghề.

Theo các chuyên gia, các APT có thể gây nguy hại cho hạ tầng thông tin của bất kỳ tổ chức nào. Tuy nhiên, vấn đề là không phải ai cũng nhận thức được điều đó. Với mục đích giúp mọi người hiểu hơn về hiểm họa từ những cuộc tấn công APT, bài viết chia sẻ 6 bài học kinh nghiệm rút ra từ thực tiễn nhiều năm hỗ trợ các công ty chống lại APT của chuyên gia bảo mật Roger A. Grimes, người có kinh nghiệm phòng chống tin tặc và phần mềm độc hại từ năm 1987. Hiện Roger làm tư vấn cho nhiều công ty có tên trong danh sách Fortune 100 và cả các công ty nhỏ. Ông đã viết nhiều sách về bảo mật máy tính.

Câu chuyện thứ 1:
Những con mắt APT luôn rình rập
Roger kể, có lần ông mất hơn một năm trời để đối phó một cuộc tấn công APT tại một công ty đa quốc gia mà liên quan đến đủ thứ, từ những vệ tinh công nghệ cao và súng ống cho tới tủ lạnh và đào tạo.
Công ty cầu cứu Roger vào lúc đang bị đe dọa bởi hai cuộc tấn công APT đồng thời, và đó không phải là điều lạ. Theo kinh nghiệm của ông, nhiều công ty chỉ phát hiện ra bị tấn công APT sau nhiều năm, thậm chí có công ty bị ba nhóm APT xâm nhập trong tám năm trời mà không hề hay biết.
Nhận thức được mối đe dọa nghiêm trọng, công ty đã thành lập một đội đặc nhiệm lớn, không chỉ bộ phận IT mà gồm cả các chuyên gia liên quan khác. Roger cho biết, họ quyết định sẽ thiết lập lại toàn bộ mật khẩu trong vòng vài tháng. Việc chậm đổi mật khẩu có vẻ khó hiểu, nhưng theo ông, trong những tình huống như thế này, đổi mật khẩu ngay sẽ không có tác dụng nếu không chắc chắn ngăn được kẻ tấn công tiếp tục đột nhập vào hệ thống. Xác định toàn bộ những điểm yếu, khắc phục, rồi mới đổi mật khẩu. Đó là cách phòng thủ tốt nhất.
Như những trường hợp tương tự ông đã trải qua, mọi người liên quan bắt buộc phải giữ bí mật. Các mật hiệu được thiết lập, do vậy đội có thể thảo luận về dự án bằng email mà không sợ đánh động những kẻ xâm nhập hay gây sự chú ý tới các nhân viên ngoài đội dự án. Ngày thiết lập lại toàn bộ mật khẩu được dự kiến trùng với cuộc thi đấu bóng chày trong năm của công ty, vốn được tổ chức hàng năm nhằm nâng cao tinh thần cho các nhân viên. Vì vậy, dự án mang tên “thi đấu bóng chày công ty” (tên công ty không nêu ra đây để bảo vệ danh tính). Từ thời điểm đó về sau, không ai đề cập đến APT hay đặt lại mật khẩu. Mọi người chỉ nói về giải bóng chày.  
Máy tính của công ty đã bị nhiễm hoàn toàn, vì vậy một số laptop và router không dây được mua mới. Toàn bộ công việc liên quan đến dự án được thực hiện trên những laptop mới mua này với một mạng không dây bảo mật để ngăn chặn mọi rủi ro rò rỉ thông tin về dự án, mặc dù đã sử dụng mật hiệu. Đội dự án chọn một trong số nhiều phòng họp của ban điều hành làm bản doanh và họ bắt đầu thảo luận những việc cần làm.

Điều đầu tiên đội dự án quan tâm là sự dư thừa quản trị viên domain. Có quá nhiều quản trị viên, tổng cộng tới hơn 1.000 người. Thật khó để xác định những quản trị viên domain nào thực sự cần thiết và ai nên loại bỏ, vì vậy đội dự án đi đến quyết định sẽ vô hiệu hóa tất cả vào ngày “thi đấu bóng chày công ty”, và  buộc những người thực sự cần truy cập với quyền quản trị domain phải xác nhận lại nhu cầu. Đội phác thảo một mẫu đơn (form) yêu cầu quyền truy cập quản trị domain trên một trong những laptop của dự án và để đấy, dự kiến sẽ gửi ngay trước ngày “thi đấu bóng chày công ty” để những ai cần tài khoản quản trị domain có được một bản trong thời gian chuẩn bị.
Thật ngạc nhiên là ngay đầu giờ sáng hôm sau giám đốc dự án cho biết vừa mới nhận được hai đơn yêu cầu quyền quản trị domain. Sai lầm của những kẻ gửi đơn yêu cầu quá dễ nhận ra bởi mẫu đơn của đội dự án chưa phải là bản chính thức và cũng chưa tới ngày gửi đi. Những đơn này có vài lỗi nhỏ nhưng đáng chú ý và cho thấy nó không xuất phát từ mẫu đơn phác thảo của đội dự án. Chúng được tạo ra bởi các thành viên thuộc một chi nhánh nước ngoài. Quá trình điều tra sau đấy cho thấy APT xuất phát từ kẻ nằm vùng đã xâm nhập toàn bộ các phòng họp sử dụng màn chiếu dữ liệu và các hệ thống họp video của ban điều hành. Chúng theo dõi và thu thập thông tin những cuộc họp được cho là bí mật. Sai lầm duy nhất của chúng ở đây là không hiểu rằng mẫu đơn chưa được chính thức thông qua và sẽ không được gửi đi trong vài tháng. May mắn là bất đồng ngôn ngữ đã làm lộ chân tướng của những kẻ xấu.

Bài học: Nếu thiết bị hội nghị được kết nối mạng và có khả năng thu âm hay ghi hình, hãy chắc chắn là chúng bị vô hiệu hóa trước khi cuộc họp diễn ra.

Câu chuyện thứ 2: 
Không phải mọi APT đều cao cấp như các chuyên gia nghĩ
Đây là câu chuyện về một nhóm APT đã dành được toàn quyền kiểm soát mạng của một công ty bằng cách sử dụng các công cụ vượt qua hash (PtH) để phá vỡ hash mật khẩu. Hash mật khẩu là phương thức bảo mật mật khẩu lưu trữ trong cơ sở dữ liệu dưới dạng mã hóa. Công ty quyết định đã tới lúc vô hiệu hóa những hash mật khẩu LM (LAN Manager) yếu mà Microsoft đã khuyến nghị vô hiệu hóa từ hơn 10 năm trước, và đã vô hiệu hóa mặc định từ năm 2008. APT trường hợp này đã sử dụng các hash mật khẩu LM chiếm được để lây nhiễm mạng.
Roger tìm mọi cách thuyết phục khách hàng kế hoạch này không có tác dụng vì, theo mặc định, có ít nhất hai loại hash mật khẩu Windows tồn tại trong các cơ sở dữ liệu xác thực Microsoft, đó là LM và NT (NT LAN Manager). Những kẻ tấn công đã tải về cả hai loại, và công cụ PtH chúng đang dùng có thể sử dụng một trong hai. Thậm chí ông còn chỉ cho khách hàng thấy công cụ của tin tặc chuyển đổi giữa các hash LM và NT ra sao, đây là một tính năng rất phổ biến của các công cụ tấn công PtH. Tệ hơn nữa, ngay cả khi việc lưu trữ các hash LM bị vô hiệu hóa, chúng vẫn được tạo trong bộ nhớ khi ai đó đăng nhập vào.
Dù vậy khách hàng vẫn tiến hành vô hiệu hóa các hash và thiết lập lại các mật khẩu. Các cơ sở dữ liệu cục bộ và Active Directory đều không chứa các hash mật khẩu LM khả dụng. Kết quả là các cuộc tấn công PtH chấm dứt. Điều đó cũng cho thấy nhóm APT thậm chí không hiểu rõ công cụ chúng sử dụng.

Bài học: Chữ “Advanced” có trong cụm từ APT,  nhưng không có nghĩa là mọi kẻ tấn công APT đều có nghề cao. Thêm nữa, các chuyên gia cũng có thể sai.

Câu chuyện thứ 3: Thuốc chữa bệnh có thể là thuốc độc 
Câu chuyện về một tổ chức vốn từng là khách hàng của một hãng bảo mật có uy tín về phòng chống APT. Hãng này cũng bán cả phần mềm phát hiện APT. Trước đây hãng bảo mật đã xử lý APT sau đó cài phần mềm của mình lên toàn bộ các máy của tổ chức này và không hề đụng tới trong gần một năm. Suốt thời gian đó khách hàng không phát hiện bất kỳ dấu hiệu nào về APT.
Roger đã dành vài ngày để giúp khách hàng triển khai một số bẫy dụ những kẻ tấn công xâm nhập, gọi là honeypot (tạm dịch: hũ mật ong). Ông giải thích, bẫy có thể dùng lại một máy tính, bộ định tuyến hoặc máy chủ lâu ngày không sử dụng. Khi tin tặc hay phần mềm độc hại kết nối, honeypot ngay lập tức sẽ gửi cảnh báo kích hoạt hệ thống phản ứng với sự cố. Thường thì bẫy sẽ phát huy hiệu quả ngay trong một hai ngày đầu.
Trong trường hợp này, ông cho biết đã phát hiện những nỗ lực đăng nhập mạng từ nhiều máy trạm, tất cả đều không có lý do đăng nhập chính đáng. Một số máy trạm này được tách ra để kiểm tra ổ cứng của chúng. Hóa ra APT đã cài một Trojan truy cập từ xa vào mỗi máy. Tên của Trojan giống phần mềm phát hiện APT. Ai đó đã thay phần mềm chống APT hợp pháp bằng một Trojan trên hầu hết các máy. Đó là lý do vì sao không có APT nào bị phát hiện. Hóa ra phần mềm phát hiện APT của khách hàng bị nhiễm Trojan này trong quá trình tạo đĩa cài.

Bài học: Trước hết, kiểm chứng tính toàn vẹn của bản cài đặt, ngăn ngừa việc sửa đổi trái phép hay sáng tạo ra một số cách để phát hiện điều đó. Thứ hai, honeypot là một cách tuyệt vời để phát hiện phần mềm độc hại. Thứ ba, luôn tìm kiếm và xem xét các kết nối mạng bất thường từ những nơi không mong muốn.

Câu chuyện thứ 4: 
Máy chủ PKI hại chủ
Những năm trước, việc APT tấn công vào các máy chủ hạ tầng khóa công khai (Public Key Infrastructure – PKI) hiếm khi xảy ra, nhưng giờ đây đã khá phổ biến. Câu chuyện sau đây xảy ra với một công ty đặt máy chủ PKI trong khu vực an ninh.
Các máy chủ PKI nội bộ công ty trong trường hợp này được dùng để tạo ra thẻ thông minh cho nhân viên. Những thẻ thông minh này không chỉ được nhân viên sử dụng để đăng nhập máy tính mà còn để mở cửa vào các tòa nhà của công ty và sử dụng cơ sở hạ tầng khác.
Máy chủ xác thực (Certification Authority – CA) của công ty là một máy ảo, đã bị vô hiệu hóa, trên một máy chủ lưu trữ VMware. Những kẻ xấu phát hiện ra nó, sao chép ra ngoài, phá mật khẩu quản trị (yếu) cục bộ, và tạo ra CA cấp dưới ủy quyền. Chúng sử dụng CA này để cấp phép truy cập PKI cho chính chúng tất cả những thứ mà chúng có thể.
Roger cho biết đã rất ngạc nhiên khi thấy trong một đoạn video từ camera giám sát có hai người đàn ông lạ mặt đã sử dụng thẻ thông minh giả mạo tự tạo, đi vào tòa nhà qua lối vào của nhân viên, và lên tầng lầu nơi lưu trữ dữ liệu nhạy cảm. Ông đã xây dựng lại hệ thống PKI an toàn hơn cho công ty.

Bài học: Hãy bảo vệ các máy chủ PKI CA. Máy chủ CA không cần nối mạng thì nên tách hẳn khỏi mạng, để ở nơi an toàn, thay vì vô hiệu hóa hay đặt trên mạng với những card mạng của chúng bị vô hiệu hóa. Các khóa riêng CA nên được bảo vệ bằng một thiết bị phần cứng (Hardware Storage Module), và mọi mật khẩu liên quan phải đặt thật dài (từ 15 ký tự trở lên) và phức tạp. Thêm nữa, phải đảm bảo việc giám sát những máy chủ CA trái phép khác thêm vào như những CA ủy quyền.

Câu chuyện thứ 5: 
Đừng quên bất kỳ tài khoản nào
Đổi mật khẩu là điều thường thấy trong nhiều trường hợp đối phó với các cuộc tấn công APT. Trong câu chuyện này, công ty nạn nhân đã chuẩn bị hết sức chu đáo, lên kế hoạch không chỉ thiếp lập lại toàn bộ tài khoản người dùng và dịch vụ, mà còn cả tài khoản máy tính. Hiếm có như vậy, đặc biệt khi nói đến thiết lập lại các tài khoản dịch vụ và máy tính.
Nhưng chỉ sau vài ngày thiết lập mật khẩu mới, APT chiếm lại, lấy toàn bộ email, kiểm soát tất cả những tài khoản quyền cao, bao gồm các tài khoản bảo mật IT. Cứ như là việc thiết lập lại mật khẩu chưa từng xảy ra. Điều này khiến những người trong cuộc hoàn toàn bất ngờ vì những lỗ hổng nhận biết đã được khắc phục, nhân viên được hướng dẫn và không có bất kỳ dấu hiệu nào về Trojan mở cổng hậu.
Hóa ra có một tài khoản Windows tích hợp sẵn mang tên “krbtgt” được sử dụng để xác thực Kerberos. Chúng ta không thể đụng đến, xóa bỏ hay thay đổi mật khẩu của tài khoản này. Đó không phải là tài khoản người dùng thực sự mà hiện ra trong những công cụ quản lý tài khoản người dùng, và nhóm APT này biết vậy. Sau khi xâm nhập hệ thống, chúng thêm tài khoản krbtgt tới các nhóm cấp cao khác. Vì các khách hàng thường không để ý nó, kể cả khi thiết lập lại mật khẩu, nó có thể được khai thác như một tài khoản mở cửa hậu. Đây quả là chiêu hiểm của tin tặc.
Công ty bị tổn hại trong câu chuyện này đã thiết lập lại các mật khẩu của các tài khoản krbtgt và mọi thứ khác thêm một lần nữa. Và vấn đề đã được giải quyết. Việc thiết lập lại các tài khoản krbtgt gây ra những phiền phức xác thực nhất định. Nhưng đó là điều phải làm.

Bài học: Nếu bạn thiết lập lại toàn bộ tài khoản, phải chắc chắn bạn biết “toàn bộ” nghĩa là gì.

Câu chuyện thứ 6: 
Thông tin quá tải cũng khuyến khích sáng tạo APT
Câu chuyện cuối cùng không phải là về một công ty cụ thể, và nó cho thấy quá trình phát triển APT trong những năm qua. Giới hành nghề APT hồi đầu thu thập ngay mọi thứ có thể sau khi xâm nhập thành công vào một tổ chức. Chúng sao chép mọi email hiện có và cài chương trình tự động “tóm” mọi email mới gửi. Nhiều khi còn cài Trojan để theo dõi mạng và cơ sở dữ liệu, và sao chép những nội dung mới được tạo ra. Mặt khác, nhiều công ty sử dụng dịch vụ sao chép trực tuyến nên chúng không hề tốn tiền.

Những ngày đó đã qua lâu rồi. Trong thế giới ngày nay, cơ sở dữ liệu lên tới hàng terabyte đã là chuyện bình thường thì APT gặp một vấn đề. Khi chúng có toàn quyền truy cập một mạng và biết nơi toàn bộ thông tin được lưu trữ, chúng phải lựa chọn nhiều hơn. Trước đây chúng thường lấy mọi thứ, nhưng bây giờ có lựa chọn rõ ràng. Giờ đây APT cao cấp hơn nhiều, tích hợp cả máy tìm kiếm, đôi khi với những hàm API của chính chúng hay vay mượn API của những máy tìm kiếm nổi tiếng khác để tìm dữ liệu cụ thể. Chúng có lẽ vẫn lấy vài gigabyte dữ liệu mỗi ngày, nhưng những gì chúng lấy mang tính chọn lọc cao.

Bài học: APT có cùng vấn đề tìm kiếm và quản lý dữ liệu như bạn. Đừng để chúng lập chỉ mục dữ liệu tốt hơn bạn.