Tấn công chủ động (Active Attack) là hình thức trong đó kẻ tấn công chủ động tìm cách xâm nhập hoặc phá vỡ các hệ thống an toàn để làm gián đoạn hoạt động, chiếm quyền kiểm soát hoặc thao túng dữ liệu. Những cuộc tấn công này có thể sử dụng nhiều kỹ thuật như mã độc (vi-rút, sâu, trojan), giả mạo, hoặc can thiệp trực tiếp vào quá trình truyền dữ liệu.

Mục tiêu của tấn công chủ động thường bao gồm việc vượt qua các cơ chế bảo mật, cài mã độc vào hệ thống, đánh cắp hoặc thay đổi thông tin, và ngăn chặn quyền truy cập hợp pháp. Các cuộc tấn công này có thể nhắm vào bất kỳ hệ thống công nghệ thông tin nào — từ doanh nghiệp, tổ chức chính phủ, đến các cơ sở hạ tầng trọng yếu — và có thể diễn ra dưới nhiều hình thức, như:

• Xâm nhập vào các vùng mạng an toàn (secure zones),

• Tấn công trong quá trình giao tiếp giữa các hệ thống,

• Giả mạo người dùng được ủy quyền để khai thác lỗ hổng,

• Can thiệp vào hệ thống điều khiển hoặc dữ liệu trong thời gian thực.

Khác với tấn công thụ động chỉ theo dõi và thu thập thông tin, tấn công chủ động mang tính phá hoại trực tiếp và thường gây thiệt hại nghiêm trọng đến tính toàn vẹn, tính sẵn sàng và bảo mật của hệ thống.

Tấn công nội gián (Insider Attack) xảy ra khi một cá nhân bên trong tổ chức — như nhân viên, giảng viên hoặc sinh viên — thực hiện hành vi xâm phạm an ninh mạng. Các cuộc tấn công này có thể mang tính chủ ý hoặc vô tình. Trong trường hợp chủ ý, kẻ tấn công thường có động cơ như sự bất mãn hoặc tư lợi cá nhân và cố tình thực hiện các hành vi như nghe lén, đánh cắp, thay đổi hoặc phá hoại dữ liệu quan trọng — ví dụ như thông tin sinh viên hoặc cơ sở dữ liệu của giảng viên — nhằm gian lận hoặc gây gián đoạn truy cập cho người dùng hợp pháp khác. Ngược lại, các cuộc tấn công vô tình thường bắt nguồn từ sự thiếu hiểu biết hoặc bất cẩn khi thao tác hệ thống, dẫn đến lỗ hổng bảo mật mà không có ý đồ xấu.

Kiểm tra gói sâu (DPI - Deep Packet Inspection) là phương pháp kiểm tra nội dung của các gói tin khi chúng đi qua một điểm kiểm tra trên mạng. Khác với lọc gói tin (Packet Filtering) chỉ kiểm tra thông tin trong tiêu đề của gói tin, như địa chỉ IP đích, địa chỉ IP nguồn và số cổng. DPI kiểm tra cả thông tin tiêu đề và siêu dữ liệu của gói tin.

DPI giúp phát hiện các mối đe dọa tiềm ẩn trong luồng dữ liệu như nỗ lực đánh cắp dữ liệu, vi phạm chính sách nội dung, và Malware. Nhờ kiểm tra sâu và theo thời gian thực, DPI cung cấp cơ chế Packet Filtering hiệu quả hơn so với các công nghệ trộm gói tin (Packet Sniffing).

Firewall thông thường chỉ tập trung vào thông tin tiêu đề do hạn chế về khả năng xử lý nhanh chóng lượng dữ liệu lớn, việc kiểm tra thêm siêu dữ liệu sẽ gây ảnh hưởng đến hiệu suất mạng. Tuy nhiên, Firewall có tính năng IDS và IPS đều sử dụng DPI. Các kỹ thuật mà chúng sử dụng bao gồm phát hiện giao thức bất thường, giải pháp IPS và khớp mẫu hoặc chữ ký.

Tài liệu tham khảo:

1. https://www.fortinet.com

Phần mềm độc hại không dùng tệp (Fileless Malware) là mã độc hoạt động trực tiếp trong bộ nhớ của máy tính thay vì ổ cứng. Nó sử dụng các chương trình hợp pháp hoặc từ thiện để xâm phạm máy tính của bạn thay vì các tệp độc hại. Nó “không có tệp” ở chỗ khi máy của bạn bị nhiễm Virus, không có tệp nào được tải xuống ổ cứng của bạn.

Điều này làm cho việc phân tích Fileless Malware có phần khó khăn hơn so với việc phát hiện và tiêu diệt Virus cũng như các hình thức bảo vệ Malware khác được cài đặt trực tiếp trên ổ cứng của bạn. Vì các cuộc tấn công bằng Fileless Malware không yêu cầu tệp độc hại nên các công cụ chống Virus truyền thống thực hiện quét phần cứng để xác định các mối đe dọa có thể bỏ sót chúng hoàn toàn.

Fileless Malware bao gồm mã thực hiện một số việc mà Virus thông thường có thể thực hiện, bao gồm cả việc lấy cắp dữ liệu. Những loại hoạt động độc hại này có thể kích hoạt quá trình quét. Sau đó, nhân viên bảo mật có thể bắt đầu các bước giảm thiểu phần Fileless Malware, thường liên quan đến việc quét dòng lệnh của các ứng dụng đáng tin cậy, chẳng hạn như Microsoft Windows PowerShell, được sử dụng để tự động hóa các tác vụ. Theo một nghĩa nào đó, mặc dù Fileless Malware có thể chạy nhưng nó không thể ẩn.

Tài liệu tham khảo:

1. https://www.fortinet.com

Nhồi thông tin xác thực (Credential Stuffing) là một cuộc tấn công mạng tự động, trong đó kẻ tấn công thử chèn tên người dùng và mật khẩu bị đánh cắp vào các trường đăng nhập của các hệ thống để chiếm đoạt tài khoản xác thực hệ thống khi thử nghiệm thành công.

Nhồi thông tin xác thực là một trong những loại tấn công mạng phổ biến và hiệu quả nhất. Nó hoạt động hiệu quả vì nhiều người dùng sử dụng cùng tên người dùng và mật khẩu cho nhiều hệ thống khác nhau. Khi kẻ tấn công có được tên người dùng và mật khẩu chính xác cho một tài khoản, họ sẽ nhanh chóng thử đăng nhập vào các hệ thống khác có thể sử dụng cùng thông tin đó.

Tài liệu tham khảo

1. https://www.fortinet.com

Lỗ hổng Zero-Day là một rủi ro bảo mật trong phần mềm mà nhà cung cấp không biết và chưa được công khai. Khai thác Zero-Day là phương pháp mà kẻ tấn công sử dụng để truy cập vào hệ thống dễ bị tấn công. Đây là mối đe dọa bảo mật nghiêm trọng với tỷ lệ thành công cao vì các doanh nghiệp không có biện pháp phòng vệ để phát hiện hoặc ngăn chặn chúng.

Cuộc tấn công được gọi là Zero-Day vì nó xảy ra trước khi mục tiêu biết rằng lỗ hổng tồn tại. Kẻ tấn công phát hành phần mềm độc hại (Malware) trước khi nhà phát triển hoặc nhà cung cấp có cơ hội tạo bản vá để khắc phục lỗ hổng. Thuật ngữ "Zero Day" xuất phát từ thế giới truyền thông kỹ thuật số vi phạm bản quyền, ám chỉ phiên bản vi phạm bản quyền của một bộ phim, bản nhạc hoặc phần mềm được phát hành cùng thời điểm hoặc trước khi phát hành chính thức. Nói cách khác, phiên bản lậu được xuất bản sau phiên bản chính thức 0 ngày.

Cuộc tấn công Zero-Day bắt đầu khi Hacker phát hiện ra lỗ hổng Zero-Day, đó là lỗi về mã hoặc phần mềm mà mục tiêu vẫn chưa phát hiện ra. Sau đó, kẻ tấn công thực hiện khai thác Zero-Day, một phương thức tấn công để tận dụng lỗ hổng này.

Tài liệu tham khảo

1. https://www.fortinet.com

Lừa đảo trực tuyến (Spear Phishing) là một phương thức tấn công mạng mà tin tặc sử dụng để đánh cắp thông tin nhạy cảm hoặc cài đặt phần mềm độc hại (Malware) trên thiết bị của nạn nhân cụ thể. Các cuộc tấn công lừa đảo trực tuyến có mục tiêu rõ ràng, cực kỳ hiệu quả và khó ngăn chặn.

Tin tặc sử dụng các cuộc tấn công lừa đảo để đánh cắp dữ liệu nhạy cảm, chẳng hạn như chi tiết tài khoản hoặc thông tin tài chính, từ nạn nhân của chúng. Một cuộc tấn công đòi hỏi phải có nghiên cứu kỹ lưỡng, thường bao gồm việc thu thập thông tin cá nhân về nạn nhân. Điều này thường được thực hiện thông qua việc truy cập các tài khoản mạng xã hội để tìm kiếm các thông tin như tên và địa chỉ email, bạn bè, quê quán, chủ lao động, lịch sử mua hàng gần đây và địa điểm họ ghé thăm. Sau đó, những kẻ tấn công cải trang thành người mà nạn nhân tin tưởng, thường là bạn bè hoặc đồng nghiệp và cố gắng lấy thông tin nhạy cảm qua Email hoặc các công cụ nhắn tin tức thời.

Tài liệu tham khảo

1. https://www.fortinet.com

Tấn công chủ đích (APT - Advanced Persistent Threat) là một dạng tấn công mạng tiếp tục và bí mật, sử dụng các phương pháp Hack sáng tạo để truy cập vào hệ thống và tồn tại bên trong đó trong một thời gian dài. Những kẻ tấn công thường là tội phạm mạng, ví dụ như nhóm APT34 của Iran và tổ chức APT28 của Nga. Mặc dù có thể đến từ khắp nơi trên thế giới, một số kẻ tấn công đáng chú ý nhất đến từ Iran, các khu vực khác ở Trung Đông, và Triều Tiên.

Những kẻ tấn công APT thường nhắm vào các quốc gia, tổ chức lớn và các tập đoàn lớn để từ từ và có hệ thống đánh cắp thông tin trong thời gian dài trước khi rút lui. Thời gian mà những kẻ tấn công này ở lại trong hệ thống CNTT của tổ chức được gọi là thời gian dừng "Dwell Time". Những kẻ tấn công APT thường có thời gian dừng lâu đáng kể, trong khi cố gắng hoàn thành mục tiêu hoặc chờ đợi thời điểm thích hợp để đạt được điều họ muốn. Trong thời gian chờ đợi, họ có thể nghiên cứu các hệ thống bảo mật và điều chỉnh phương pháp tiếp cận cho phù hợp.

Những kẻ tấn công APT có xu hướng tập trung vào việc thu thập thông tin tình báo hoặc thông tin quan trọng khác để phá hủy hệ thống lớn hơn, khai thác, hoặc làm cho tổ chức trở nên yếu kém hoặc đạt được lợi thế cạnh tranh.

Tài liệu tham khảo

1. https://www.fortinet.com

Tấn công hố nước (Watering Hole) là một dạng tấn công mạng nhắm vào các nhóm người dùng bằng cách lây nhiễm vào các trang Web mà họ thường truy cập. Định nghĩa về hố nước này lấy tên từ những động vật săn mồi ẩn nấp trong các hố nước để chờ cơ hội tấn công con mồi khi chúng mất cảnh giác. Tương tự như vậy, những kẻ tấn công Watering Hole ẩn nấp trên các trang Web thích hợp để chờ cơ hội lây nhiễm các trang Web và lần lượt lây nhiễm phần mềm độc hại (Malware) vào nạn nhân của chúng .

Các cuộc tấn công Watering Hole tương đối hiếm nhưng chúng vẫn có tỷ lệ thành công cao. Đó là bởi vì chúng nhắm mục tiêu vào các trang Web hợp pháp không thể đưa vào danh sách đen và tội phạm mạng triển khai các hoạt động khai thác Zero-Day  mà các trình phát hiện và quét chống Virus sẽ không phát hiện được. Do đó, các cuộc tấn công Watering Hole là mối đe dọa đáng kể đối với các tổ chức và người dùng không tuân theo các biện pháp bảo mật tốt nhất.

Tài liệu tham khảo

1. https://www.fortinet.com

Gián điệp mạng (Cyberespionage) là hành vi trộm cắp dữ liệu, thông tin hoặc tài sản trí tuệ có chủ đích. Một số phương pháp bao gồm: kỹ nghệ xã hội (Social Engineering), phân phối phần mềm độc hại (Malware), tấn công chủ đích (APT), tấn công hố nước (Watering Hole) và lừa đảo trực tuyến (Spear Phishing), và nhiều hình thức tấn công khác có thể khảo Các hình thức tấn công mạng - Cyberspace.

Tài liệu tham khảo

1. https://www.fortinet.com