Hành vi cẩu thả hoặc độc hại của những người có quyền truy cập hợp pháp vào hệ thống của bạn có thể tàn phá công ty của bạn hơn là những nỗ lực của những kẻ tấn công bên ngoài. Năm 2023 báo cáo toàn cầu về rủi ro nội bộ của Viện Ponemon cho thấy các sự cố an ninh mạng do người trong cuộc gây ra thông qua sơ suất, trộm cắp thông tin và ý định độc hại có chi phí trung bình cho mỗi sự cố lần lượt là $ 505,113, $ 679,621 và $ 701.500.

Trong bài viết này, chúng ta cùng xem xét 10 sự cố an ninh mạng gần đây đã ảnh hưởng đến các tổ chức nổi tiếng thế giới. Hãy đọc để xem cách bảo vệ công ty của bạn khỏi các loại sự cố bảo mật thông tin khác nhau do lừa đảo, lạm dụng đặc quyền, trộm cắp dữ liệu nội bộ và các cuộc tấn công của nhà cung cấp bên thứ ba. 10 sự cố an ninh mạng nổi tiếng nhất bên dưới, chúng tôi sẽ xem xét các ví dụ về sự cố bảo mật thông tin đặc biệt đáng chú ý. Việc kiểm tra các trường hợp trong thế giới thực này có thể được sử dụng rất nhiều để củng cố tư thế an ninh mạng của bạn chống lại các mối đe dọa nội bộ.

Theo Báo cáo Điều tra Rò rỉ Dữ liệu năm 2023 của Verizon, các cuộc tấn công bằng kỹ thuật xã hội chiếm 17 % trong tổng số vụ rò rỉ dữ liệu và 10 % các sự cố an ninh mạng

Syteca

Mailchimp (tháng 1/2023): Phát hiện người dùng trái phép trong hệ thống quản trị tài khoản và hỗ trợ khách hàng. Kẻ xâm nhập có được thông tin đăng nhập nhân viên qua lừa đảo và truy cập vào 133 tài khoản người dùng. Dù không có dữ liệu nhạy bị đánh cắp, nhưng tên và email của khách hàng có thể bị lộ

Syteca

Cisco (tháng 5/2022): Kẻ tấn công thực hiện các cuộc tấn công voice phishing để lấy thông tin tài khoản Google của nhân viên. Do đồng bộ thông tin qua trình duyệt, kẻ tấn công truy cập hệ thống nội bộ. Mặc dù Cisco đã loại kẻ xâm nhập và không bị ảnh hưởng hoạt động, nhóm ransomware Yanluowang đã công bố các tệp bị rò rỉ

Bài học: Cần thiết lập chính sách an ninh rõ ràng và đào tạo nhân viên thường xuyên để nâng cao nhận thức về kỹ thuật lừa đảo. Bảo mật tài khoản đặc quyền cần biện pháp mạnh như xác thực đa yếu tố (MFA), phân tích hành vi người dùng (UEBA), và giám sát liên tục

ICRC (tháng 1/2022): Bị tấn công và rò rỉ dữ liệu hàng loạt – “có thể là vụ rò rỉ lớn và nhạy cảm nhất trong lịch sử ICRC, và thậm chí các tổ chức nhân đạo” theo chuyên gia Lukasz Olejnik. Hơn 515.000 người dễ bị tổn thương bị lộ dữ liệu.

Ban đầu nghi ngờ do bên thứ ba, nhưng điều tra cho thấy máy chủ ICRC bị tấn công trực tiếp, kẻ xâm nhập chiếm tài khoản đặc quyền, leo thang quyền hạn và hành động như admin để truy cập dữ liệu.

Bài học: Cần bảo vệ chặt chẽ tài khoản đặc quyền với MFA và xác nhận thủ công khi truy cập dữ liệu quan trọng. Áp dụng xác thực phụ để phân biệt người dùng, cùng với ghi lại hoạt động và kiểm tra kỹ kể cả tài khoản dùng chung

Microsoft (tháng 9/2023): Các nhà nghiên cứu AI làm lộ 38 TB dữ liệu nhạy cảm trên GitHub do cấu hình sai SAS token, cho phép truy cập toàn bộ tài khoản lưu trữ. Dữ liệu chứa khóa riêng tư, mật khẩu và hơn 30.000 tin nhắn nội bộ Teams

Pegasus Airlines (tháng 6/2022): Lỗi cấu hình AWS khiến 6,5 TB dữ liệu gồm bản đồ bay, tài liệu điều hướng và thông tin phi công bị công khai, với 23 triệu tệp có thể bị xem và sửa đổi

Bài học: Đào tạo liên tục và chính sách chặt chẽ về cấu hình bảo mật là cần thiết. Thực hiện kiểm tra bảo mật định kỳ và giám sát hoạt động người dùng trong môi trường điện toán đám mây để phát hiện sớm cấu hình sai hoặc hành vi khả nghi.

Tesla (tháng 5/2023): Hai cựu nhân viên đã đánh cắp và phát tán dữ liệu nội bộ (gần 100 GB, 23.000 tài liệu) cho tờ Handelsblatt của Đức. Thông tin cá nhân của 75.735 nhân viên bị lộ, công ty đối diện phạt có thể lên đến 3,3 tỷ USD

Bài học: Áp dụng nguyên tắc “quyền tối thiểu” (least privilege) để giảm thiểu quyền truy cập không cần thiết. Giám sát hành vi nội bộ, kiểm soát thiết bị USB và theo dõi hoạt động truyền dữ liệu và sao chép.

Apple (tháng 5/2022): Kiện Rivos – một startup chip – vì nghi ngờ đánh cắp bí mật thương mại khi tuyển dụng hơn 40 cựu kỹ sư Apple, mang theo gigabyte dữ liệu SoC quan trọng

Yahoo (tháng 2/2022): Nhà khoa học nghiên cứu đã tải xuống 570.000 tệp chứa mã nguồn AdLearn và các dữ liệu khác ngay sau khi nhận lời mời làm tại công ty đối thủ, sử dụng thiết bị lưu trữ cá nhân

Bài học: Xác định tài sản IP quan trọng và kiểm soát quyền truy cập chỉ cho những ai cần. Dùng UEBA và giám sát USB để ngăn trộm hoặc sao chép dữ liệu nhạy cảm

American Express (tháng 3/2024): Dữ liệu khách hàng bị truy cập thông qua nhà cung cấp thanh toán bị tấn công. Hệ thống nội bộ không bị xâm phạm, nhưng số tài khoản, ngày hết hạn thẻ và tên khách hàng bị rò rỉ

T-Mobile (từ 25/11/2022 đến 5/1/2023): Kẻ xâm nhập lợi dụng API bên thứ ba để lấy dữ liệu 37 triệu tài khoản khách hàng, gồm email, số điện thoại, ngày sinh, nhưng không gồm thông tin tài chính như thẻ tín dụng hay số PIN

Bài học: Quản lý rủi ro từ bên thứ ba thông qua SLA rõ ràng, hạn chế quyền truy cập, dùng MFA và kiểm toán API định kỳ. Giám sát hoạt động bên thứ ba để phản ứng nhanh khi có sự cố.

Nguồn bài viết dịch từ https://www.syteca.com/