Sự gia tăng của xâm nhập BGP và tại sao bạn cần có kế hoạch ứng phó ngay lập tức

Border Gateway Protocol (BGP) Hijacking là một trong nhiều hình thức tấn công nổi tiếng mà tin tặc triển khai nhằm can thiệp vào mạng phân phối nội dung (CDN). Tin tặc cũng có thể có khả năng can thiệp vào các nhà cung cấp dịch vụ lưu trữ đám mây. Gần đây, hầu hết các nhà cung cấp dịch vụ đám mây lớn như Google, Amazon và GoDaddy đều trở thành nạn nhân của BGP Hijacking.

BGP hoạt động như thế nào?

Trước khi đi sâu vào cách xảy ra việc chiếm quyền điều khiển BGP, điều quan trọng là phải đi sâu vào BGP. BGP thực chất là một giao thức định tuyến có thể kết nối một số mạng. Tập hợp các mạng này được gọi là Hệ thống tự trị (AS). Giao thức định tuyến được sử dụng để truyền thông tin hoặc gói dữ liệu qua một số mạng.

Thông thường, một AS bao gồm các nhà cung cấp ISP, các doanh nghiệp công nghệ lớn hoặc trong một số trường hợp, các mạng thuộc các chính phủ. Mỗi AS nhận được một số duy nhất chịu trách nhiệm kiểm soát một tập hợp các dải hoặc không gian IP cụ thể được gọi là tiền tố. Mỗi AS đều hiển thị danh sách các địa chỉ IP mà chúng kiểm soát và các đường dẫn có thể đến các bộ định tuyến hoặc Peer lân cận trong quá trình định tuyến gói dữ liệu.

Thông tin liên quan đến các đồng nghiệp và các IP trong quyền kiểm soát được lưu trữ trong các bảng định tuyến và thường xuyên thay đổi khi các mạng mới và các đường dẫn ngắn hơn xuất hiện.

Liên quan: Đối với Hacker trung bình, Doanh nghiệp nhỏ của bạn là một mục tiêu lý tưởng

Giải phẫu của một vụ tấn công BGP

Hậu quả chính của việc chiếm quyền điều khiển BGP là tin tặc có thể định tuyến lại thông tin di chuyển qua mạng đến các địa điểm khác nhau. Họ có thể làm như vậy bằng các bước sau:

Thông báo tuyến đường

Bước đầu tiên là gửi thông báo về các tuyến BGP mới. Thông báo này sẽ chỉ đáng tin nếu nó được công bố bởi một AS hợp pháp. Kẻ xấu sẽ sử dụng một AS bị xâm phạm để làm như vậy. Thông báo tuyến đường thường liên quan đến việc phát hành một bảng của tất cả các tiền tố hoặc dải IP có sẵn. Nếu mọi việc suôn sẻ, họ sẽ thông báo các tuyến BGP mới cho các đối tác mạng toàn cầu của họ.

Đặc tính IP

Các địa chỉ IP được chọn để hiển thị cụ thể hơn so với các địa chỉ IP hợp pháp. Trong hầu hết các trường hợp, tin tặc sử dụng các tiền tố không được sử dụng hoặc các dải IP hiện diện trên các mạng AS thực và hợp pháp. Điều này có thể giúp cải thiện đáng kể cơ hội che giấu danh tính của tin tặc.

Con đường thông tin chỉ bị chặn nếu tin tặc chứng minh được rằng con đường mới ngắn hơn. Họ cho thấy mạng của họ càng hiệu quả, thì càng có nhiều thông tin bị chặn.

Lập kế hoạch phản ứng phù hợp

BGP chiếm quyền điều khiển là một trong những cuộc tấn công mạng phổ biến nhất hiện nay. Trên thực tế, vào tháng 4 năm 2018, những kẻ tấn công đã xâm nhập Amazon Route 53. Sau đó, họ tiếp tục định tuyến lại 1.300 địa chỉ với hy vọng đánh cắp tiền điện tử. Các tin tặc có thể tránh bị nghi ngờ bằng cách hoạt động như một trang web tiền điện tử có tên MyEtherWallet.com. Sau đó, họ đã đánh cắp khoảng 150.000 đô la tiền điện tử từ người dùng cuối. Do đó, các công ty, cả lớn và nhỏ, yêu cầu một kế hoạch phản ứng để làm mất khả năng của kẻ tấn công.

Một cuộc tấn công phản ứng sự cố điển hình sau khi chiếm đoạt BGP diễn ra có thể không dễ dàng. Điều này là do tin tặc có thể che giấu bản thân như thế nào. Tuy nhiên, trong hầu hết các trường hợp, các công ty thực hiện kế hoạch ứng phó sự cố gồm ba bước.

Các bước này bao gồm phát hiện, ngăn chặn và tiêu diệt. Trong số này, bước ngăn chặn đặc biệt khó khăn, do các thông báo về tuyến đường có thể diễn ra nhanh chóng.

Liên quan: Dữ liệu của hacker tiền điện tử dễ bị tổn thương đối với FBI thông qua trục trặc Palantir

Ngăn chặn chiếm đoạt BGP

Để ngăn chặn cuộc tấn công mạng này, các công ty sẽ phải dựa vào các biện pháp do ISP đưa ra hoặc thực hiện các biện pháp bảo mật của họ. Sau đó phải diễn ra nếu công ty sở hữu mạng AS.

Các công ty phụ thuộc vào các biện pháp bảo mật do ISP của họ đưa ra sẽ phải liên tục liên hệ với các nhà cung cấp để đảm bảo rằng các lỗ hổng trong mạng đã được loại bỏ.

Trong trường hợp thứ hai, tổ chức nên xem xét thực hiện các bước sau:

• Tạo một chính sách ngang hàng có thể giúp các đồng nghiệp xác định tính hợp pháp của các địa chỉ IP. Một công ty có sự lựa chọn giữa chính sách ngang hàng mở và chính sách có chọn lọc tùy thuộc vào nhu cầu từ mạng lưới của mình.

• MANRS (Các tiêu chuẩn được đồng thuận lẫn nhau về bảo mật định tuyến) là một tập hợp các phương pháp hay nhất mà các tổ chức có thể sử dụng để bảo vệ mạng của họ khỏi bị xâm nhập BGP. Do đó, điều quan trọng là phải kết hợp điều này trong các biện pháp an ninh.

• Hạn chế số lượng tiền tố hoặc dải IP được hiển thị bởi mạng AS để giới hạn số lượng thông báo được thực hiện.

• Triển khai các điểm kiểm tra xác thực mà nhà điều hành phải đi qua trước khi chấp nhận thông báo.

Ngoài ra, các tổ chức cũng chuyển sang lọc định tuyến, kiểm tra cập nhật BGP thời gian thực và hơn thế nữa để đảm bảo rằng tin tặc không thể chiếm quyền điều khiển mạng. Tuy nhiên, công cụ phản hồi tự động là biện pháp bảo mật ấn tượng và chính xác nhất mà một tổ chức có thể đầu tư vào. Công cụ này sẽ hoạt động như một công cụ phát hiện và giảm thiểu để giúp ngăn chặn hành vi xâm nhập.

Mặc dù đã có sự gia tăng các trường hợp chiếm quyền điều khiển BGP trong vài năm qua, các tổ chức ngày nay đã được trang bị nhiều hơn để xử lý nó với việc tăng cường mạnh mẽ các tùy chọn bảo mật.

Liên quan: 5 loại dữ liệu kinh doanh mà tin tặc không thể chờ đợi để bắt tay