Initial Access là gì?

Initial Access (Truy cập ban đầu) là thuật ngữ chỉ các kỹ thuật mà đối thủ sử dụng để giành được chỗ đứng (foothold) đầu tiên bên trong môi trường mục tiêu.

Đây là bước khởi đầu của toàn bộ chuỗi tấn công (Kill Chain), diễn ra trước các hoạt động nguy hiểm khác như duy trì quyền truy cập (Persistence), di chuyển ngang (Lateral Movement), leo thang đặc quyền (Privilege Escalation), đánh cắp dữ liệu hoặc gây gián đoạn hệ thống. Trong hầu hết các vụ xâm nhập thực tế, nếu bạn hiểu được kẻ tấn công đã “vào cửa” bằng cách nào, bạn gần như nắm được chìa khóa để ngăn chặn toàn bộ chuỗi sự kiện thảm khốc phía sau.

Theo khung MITRE ATT&CK®, Initial Access bao gồm tập hợp các phương thức đa dạng về mức độ tinh vi: từ những email lừa đảo (Phishing) đơn giản cho đến việc khai thác các hệ thống công khai chưa được vá lỗi. Tuy nhiên, tất cả đều hướng tới một mục tiêu duy nhất: mở được cánh cửa vào hệ thống.

Mối liên hệ giữa Initial Access và rủi ro Chuỗi cung ứng (Bên thứ ba)

Một trong những vector phát triển nhanh nhất của Initial Access hiện nay là chuỗi cung ứng.

Kẻ tấn công ngày càng nhắm vào các nhà cung cấp, đối tác dịch vụ, nhà phát triển phần mềm hoặc các tài sản số mà bên thứ ba vô tình để lộ. Một nhà cung cấp yếu kém có thể trở thành “cửa hậu” để xâm nhập vào một tổ chức lớn được bảo vệ kiên cố. Nguyên nhân là vì:

• Nhà cung cấp thường có quyền truy cập từ xa, thông tin đăng nhập dùng chung hoặc tích hợp qua API.
• Doanh nghiệp phụ thuộc ngày càng nhiều vào các dịch vụ bên ngoài (SaaS, PaaS) được phơi bày trên Internet.
• Một vụ xâm nhập vào nhà cung cấp có thể lan rộng sang toàn bộ hệ sinh thái khách hàng của họ (như vụ SolarWinds).
• Môi trường của bên thứ ba thường có quy trình vá lỗi chậm chạp và mức độ trưởng thành về bảo mật không đồng đều.

Một cuộc tấn công chuỗi cung ứng về bản chất chính là một kỹ thuật Initial Access tinh vi, tận dụng các mối quan hệ tin cậy để vượt qua hàng rào phòng thủ vành đai. Đó là lý do các chương trình hiện đại như Quản lý rủi ro bên thứ ba (TPRM), Quản lý bề mặt tấn công (ASM) và Quản lý phơi nhiễm mối đe dọa liên tục (CTEM) đang tập trung mạnh vào việc xác định các tài sản lộ diện, lỗ hổng và cấu hình sai – không chỉ trong nội bộ mà còn ở mạng lưới nhà cung cấp.

Các kỹ thuật Initial Access (theo MITRE ATT&CK®)

Initial Access có thể xảy ra qua nhiều con đường khác nhau. Kẻ tấn công sẽ lựa chọn phương thức dựa trên cơ hội, mức độ phơi bày và điểm yếu nhất trong hệ sinh thái số, dù là bên trong môi trường của bạn hay trong chuỗi cung ứng. Dưới đây là những kỹ thuật phổ biến và hiệu quả nhất mà đối thủ khai thác trên các môi trường IT, OT, cloud và bên thứ ba.

• Drive-By Compromise

• Exploit Public-Facing Application

• Exploitation of Remote Services

• External Remote Services

• Internet-Accessible Device

• Remote Services

• Replication Through Removable Media

• Rogue Master

• Spearphishing

• Transient Cyber Asset

• Wireless Compromise

Mỗi kỹ thuật phản ánh một con đường khác nhau để giành quyền truy cập ban đầu. Có kỹ thuật dựa vào lỗi con người, có kỹ thuật nhắm vào hạ tầng bị phơi bày, và cũng có kỹ thuật khai thác mối quan hệ tin cậy với nhà cung cấp hoặc đối tác. Dưới đây là phân tích chi tiết từng kỹ thuật, lý do chúng hiệu quả và vai trò của chúng trong các kịch bản tấn công chuỗi cung ứng hiện đại.

1. Drive-By Compromise

Drive-by compromise xảy ra khi kẻ tấn công chèn mã độc vào một website, thường là trang mà người dùng tin tưởng, và chờ nạn nhân truy cập. Khi người dùng tải trang, mã độc sẽ tự động thực thi thông qua lỗ hổng trình duyệt hoặc script ẩn.

Vì sao nguy hiểm:

• Không cần tương tác nào ngoài việc truy cập website

• Hiệu quả với các cuộc tấn công diện rộng

• Khó phát hiện nếu website bị xâm nhập là hợp pháp

2. Exploit Public-Facing Application

Nhắm vào các ứng dụng công khai trên Internet như Web Server, API, cổng VPN, hệ thống truyền file. Kẻ tấn công dùng công cụ dò quét tự động hoặc khai thác lỗ hổng Zero-day để chiếm quyền điều khiển.

Các điểm yếu phổ biến:

• Framework lỗi thời

• Xác thực yếu

• Cấu hình sai

• Plugin dễ bị tấn công

Góc độ chuỗi cung ứng: Nhà cung cấp quản lý các dịch vụ này có thể vô tình mở đường cho hacker vào hệ thống khách hàng.

3. Exploitation of Remote Services

Kẻ tấn công khai thác lỗ hổng hoặc cấu hình sai trong các dịch vụ truy cập từ xa như RDP, VNC, SSH, SMB hoặc các console quản trị tùy chỉnh.

Bao gồm:

• Khai thác lỗ hổng (ví dụ lỗ hổng RDP)

• Lợi dụng cấu hình yếu (không MFA, mã hóa cũ, port mở)

Dịch vụ truy cập từ xa là xương sống của vận hành IT, nên luôn là mục tiêu giá trị cao.

4. External Remote Services

Sử dụng các kênh truy cập hợp pháp như VPN, Citrix, Cloud Console bằng thông tin đăng nhập đã bị đánh cắp thường bị chiếm đoạt thông qua:

• Đánh cắp mật khẩu

• Tấn công MFA fatigue

• Credential stuffing

• Dữ liệu rò rỉ trên darknet

• Phishing

Góc độ chuỗi cung ứng: Nếu tài khoản của nhà cung cấp bị lộ, kẻ tấn công sẽ đường hoàng bước vào hệ thống “với tư cách đối tác”.

5. Internet-Accessible Device

Kẻ tấn công quét internet để tìm các thiết bị bị lộ như IoT, OT, camera, router, máy in, hệ thống điều khiển công nghiệp. Nếu thiết bị bị cấu hình sai hoặc có lỗ hổng, chúng có thể truy cập trực tiếp.

Những thiết bị này thường thiếu:

• Xác thực phù hợp

• Lịch vá lỗi

• Giám sát an ninh

Sau khi xâm nhập, kẻ tấn công có thể tiếp tục di chuyển sâu vào mạng nội bộ.

6. Remote Services

Nhóm rộng hơn bao gồm mọi dịch vụ quản trị cho phép truy cập sâu vào hệ thống nội bộ như Remote PowerShell, Hypervisor Console.

Ví dụ:

• Remote PowerShell

• Cổng quản trị

• Console hypervisor

• Giao diện backup từ xa

Khi giành được quyền truy cập này, kẻ tấn công thường nhảy thẳng vào các môi trường có đặc quyền cao.

7. Replication Through Removable Media

Đây là hình thức mã độc lây lan qua USB hoặc thiết bị lưu trữ di động, tương tự cách Stuxnet từng hoạt động.

Rủi ro bao gồm:

• Nhà thầu cắm thiết bị vào mạng bảo mật

• Hệ thống công nghiệp offline cập nhật qua USB

• Môi trường air-gapped

Kỹ thuật này vẫn rất phổ biến trong OT, quốc phòng và các hệ thống cách ly.

8. Rogue Master

Kỹ thuật đặc thù trong môi trường OT/ICS. Kẻ tấn công giả mạo một bộ điều khiển trung tâm (Master Controller) để gửi lệnh điều khiển trái phép tới các thiết bị chấp hành.

Áp dụng trong:

• SCADA

• Giao thức ICS như Modbus

• Nhà máy sản xuất

• Hạ tầng trọng yếu

Đây là một trong những dạng Initial Access nguy hiểm nhất trong OT.

9. Spearphishing

Hình thức xâm nhập kinh điển và vẫn hiệu quả nhất.

Spearphishing sử dụng email hoặc tin nhắn được nhắm mục tiêu, chứa:

• File đính kèm độc hại

• Liên kết tải payload

• Trang đánh cắp thông tin đăng nhập

• Kỹ thuật thao túng tâm lý

Kẻ tấn công thường thu thập thông tin từ mạng xã hội, tin tuyển dụng hoặc dữ liệu nhà cung cấp bị rò rỉ để cá nhân hóa nội dung.

Liên hệ chuỗi cung ứng: Kẻ tấn công thường giả mạo nhà cung cấp hoặc đối tác để tăng độ tin cậy.

10. Transient Cyber Asset

Transient cyber asset là các thiết bị tạm thời như laptop của nhà thầu, máy của kỹ thuật viên hoặc thiết bị chẩn đoán chỉ kết nối trong thời gian ngắn.

Kẻ tấn công có thể xâm nhập các thiết bị này để cấy mã độc vào hệ thống mục tiêu trong khoảng thời gian kết nối ngắn ngủi.

Phổ biến trong:

• Môi trường công nghiệp

• Thiết bị y tế

• Máy trạm của nhà cung cấp tại chỗ

11. Wireless Compromise

Kẻ tấn công giành quyền truy cập ban đầu thông qua các mạng không dây như:

• Wi-Fi

• Bluetooth

• NFC

• Giao thức không dây công nghiệp

Chiến thuật bao gồm:

• Bẻ khóa mật khẩu Wi-Fi yếu

• Dựng access point giả

• Nghe lén lưu lượng

• Tấn công module IoT không dây cấu hình sai

Tấn công không dây cho phép vượt qua hoàn toàn hàng rào vật lý.

Vì sao ngăn chặn Initial Access mang lại ROI bảo mật cao nhất?

Nhiều tổ chức dồn ngân sách vào việc phát hiện và ứng phó khi kẻ tấn công đã ở bên trong. Tuy nhiên, thực tế chứng minh điểm chặn hiệu quả nhất (Cost-effective) là trước khi cuộc tấn công bắt đầu. Ngăn được chỗ đứng ban đầu (Foothold) đồng nghĩa với việc vô hiệu hóa toàn bộ chuỗi tấn công phía sau.

Ngày nay, thách thức nằm ở chỗ đối thủ không chỉ nhắm vào vành đai (Perimeter) của bạn, mà còn săn tìm điểm yếu từ mạng lưới nhà cung cấp và đối tác. Trong một thế giới siêu kết nối, mức độ rủi ro của bạn gắn chặt với mức độ an toàn của đối tác yếu nhất. Do đó, có được khả năng hiển thị (Visibility) về bề mặt tấn công mở rộng và trạng thái bảo mật của chuỗi cung ứng là chìa khóa để tồn tại.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.