Ngày 31 tháng 7 năm 2025, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã công bố một khuyến cáo về an ninh mạng (CSA), bao gồm một nỗ lực chung để trình bày những phát hiện từ một cuộc điều tra chủ động gần đây do CISA dẫn đầu chống lại Lực lượng Tuần duyên Hoa Kỳ (USCG). Mục đích của một cuộc điều tra là tìm kiếm bằng chứng về hoạt động độc hại hoặc sự hiện diện của các tác nhân đe dọa trên mạng của khách hàng. USCG đã mời CISA thực hiện một cuộc điều tra để xác định xem có tác nhân nào đã hiện diện trong môi trường của họ hay không.

Cuộc điều tra đã thành công khi CISA không xác định được bằng chứng về hoạt động mạng hoặc sự hiện diện của tác nhân trong môi trường, tuy nhiên, đã xác định được các rủi ro về an ninh mạng, bao gồm:

• Ghi nhật ký không đầy đủ
• Thông tin đăng nhập được lưu trữ không an toàn
• Thông tin đăng nhập quản trị viên cục bộ được chia sẻ trên nhiều máy trạm
• Truy cập từ xa không hạn chế cho các tài khoản quản trị viên cục bộ
• Cấu hình phân đoạn mạng không đầy đủ giữa tài sản IT và OT
• Một số cấu hình sai lệch của thiết bị

Mặc dù các kỹ thuật cụ thể bị hạn chế trong khuyến cáo của CISA, khách hàng của AttackIQ có thể mô phỏng các kỹ thuật được tham chiếu được đề cập như một phần của cuộc điều tra bằng cách chạy các kịch bản sau trong môi trường của họ:

• Tạo tài khoản
• Di chuyển ngang qua SSH
• Di chuyển ngang qua Giao thức máy tính từ xa
• Kiểm tra cổng mở

Khách hàng của AttackIQ cũng có thể tham khảo bảng MITRE 1 đến 9 có trong phần Phụ lục của CSA. Mặc dù việc triển khai cụ thể các kỹ thuật này không được tham chiếu rõ ràng trong báo cáo, khách hàng của AttackIQ có thể tìm thấy nhiều kịch bản hiện có để kiểm tra các chiến thuật và kỹ thuật suy đoán khác nhau được tham chiếu trong các bảng này.

**Cơ hội phát hiện và giảm thiểu**

Với số lượng kỹ thuật hạn chế được tham chiếu như một phần của cuộc điều tra này, AttackIQ khuyên bạn nên tập trung vào các kỹ thuật sau được mô phỏng trong các kịch bản của chúng tôi trước khi chuyển sang các kỹ thuật còn lại.

**1. Xem xét các khuyến nghị giảm thiểu của CISA:**

CISA đã cung cấp một số lượng đáng kể các khuyến nghị giảm thiểu để có những cách tốt nhất để tự bảo vệ mình khỏi các cuộc tấn công này và các cuộc tấn công tương tự. AttackIQ đặc biệt khuyên bạn nên xem xét các khuyến nghị phát hiện và giảm thiểu với mục tiêu điều chỉnh chúng cho phù hợp với môi trường của bạn trước để xác định xem bạn có bất kỳ tác động hiện tại nào trước khi xem xét kết quả đánh giá.

**Tóm lại**

Tóm lại, các khuyến nghị được mô tả trong bài đăng này là một điểm khởi đầu tốt để đánh giá hiệu quả của nhân viên an ninh, quy trình và kiểm soát an ninh của bạn trước những mối đe dọa này và những mối đe dọa tương tự. Với dữ liệu được tạo từ thử nghiệm liên tục và việc sử dụng các kịch bản hiện có này, bạn có thể tập trung các nhóm của mình vào việc đạt được các kết quả an ninh quan trọng, điều chỉnh các biện pháp kiểm soát an ninh của bạn và làm việc để nâng cao hiệu quả của chương trình an ninh tổng thể của bạn trước các đối thủ đã biết.

AttackIQ, nhà cung cấp hàng đầu các giải pháp Xác thực phơi nhiễm đối địch (AEV), được các tổ chức hàng đầu trên toàn thế giới tin tưởng để xác thực các biện pháp kiểm soát an ninh trong thời gian thực. Bằng cách mô phỏng hành vi của đối thủ trong thế giới thực, AttackIQ thu hẹp khoảng cách giữa việc biết về một lỗ hổng và hiểu được rủi ro thực sự của nó. Nền tảng AEV của AttackIQ phù hợp với khuôn khổ Quản lý phơi nhiễm mối đe dọa liên tục (CTEM), cho phép một phương pháp tiếp cận dựa trên rủi ro, có cấu trúc để đánh giá và cải thiện an ninh liên tục. Công ty cam kết hỗ trợ các đối tác MSSP của mình bằng Chương trình đối tác chủ động linh hoạt, cung cấp các giải pháp chìa khóa trao tay, trao quyền cho họ để nâng cao an ninh của khách hàng. AttackIQ đam mê đóng góp cho cộng đồng an ninh mạng thông qua Học viện AttackIQ từng đoạt giải thưởng miễn phí và quan hệ đối tác nghiên cứu sáng lập với Trung tâm phòng thủ dựa trên mối đe dọa của MITRE.

**Giải thích thuật ngữ:**

• **CISA (Cybersecurity and Infrastructure Security Agency):** Cơ quan An ninh mạng và Cơ sở hạ tầng, một cơ quan liên bang của Hoa Kỳ chịu trách nhiệm bảo vệ cơ sở hạ tầng quan trọng của quốc gia khỏi các mối đe dọa trên không gian mạng và vật lý.
• **USCG (U.S. Coast Guard):** Lực lượng Tuần duyên Hoa Kỳ, một nhánh của quân đội Hoa Kỳ có trách nhiệm thực thi luật pháp trên biển và bảo vệ bờ biển.
• **IT (Information Technology):** Công nghệ thông tin, bao gồm phần cứng, phần mềm, mạng và các hệ thống khác được sử dụng để xử lý và lưu trữ thông tin.
• **OT (Operational Technology):** Công nghệ vận hành, bao gồm phần cứng và phần mềm được sử dụng để giám sát và kiểm soát các thiết bị, quy trình và sự kiện vật lý.
• **MITRE:** Một tổ chức phi lợi nhuận quản lý các trung tâm nghiên cứu và phát triển được tài trợ bởi liên bang.
• **MSSP (Managed Security Service Provider):** Nhà cung cấp dịch vụ an ninh được quản lý, một công ty cung cấp dịch vụ an ninh mạng cho các tổ chức khác.
• **SSH (Secure Shell):** Một giao thức mạng mã hóa cho phép người dùng truy cập và quản lý các thiết bị và máy chủ từ xa một cách an toàn.
• **RDP (Remote Desktop Protocol):** Một giao thức độc quyền của Microsoft cho phép người dùng kết nối với một máy tính khác qua mạng.