Leaked Credential Monitoring là hoạt động giám sát, phát hiện và phân tích các thông tin xác thực (username/password) bị rò rỉ từ các hệ thống khác, diễn đàn, dark web, hoặc data breach public dump.

Thông tin đăng nhập (Credentials) như chiến lợi phẩm của tụi hacker, nhưng nếu nó lộ ra lại thành nỗi ám ảnh cho các các doanh nghiệp. Các thông tin này thường xuyên xuất hiện công khai trên các diễn đàn dark web, telegram, pastebin hoặc từ chính trust me bro. Nếu thấy danh sách tài khoản & mật khẩu trôi ở đâu đó trên Internet. Đó là những dấu hiệu cảnh báo đầu tiên về sức khoẻ an ninh của tổ chức hiện giờ không tốt lắm. Có thể những kịch bản xấu đã xảy ra:

• Tổ chức đã bị xâm nhập
• Máy tính của nhân sự có khi bị dính keylog, stealer. Khiến các mật khẩu, cookie cứ âm thầm lấy đi.
• Có website nào đó mà người dùng hay sử dụng đã bị hack rùi.

Theo thống kê của Spycloud, mỗi người sở hữu gần 200 dịch vụ trên Internet. Liệu trong cái mớ ứng dụng hôn độn ấy, cái nào an toàn, cái nào chưa bị hacker chấm mút. Liệu anh X ở cty Y đặt mật khẩu ở PhimHeoMoi có chung mật khẩu ở hệ thống nội bộ Y không? Nếu PhimHeoMoi lộ mật khẩu thì điều gì xảy ra?

Vì sao cần thực hiện Leaked Credential Monitoring?

Hacker đi tìm thông tin tài khoản bị rò rỉ của các hệ thống đã bị tấn công trong quá khứ. Sau đó sử dụng thông tin đó để đăng nhập thử vào hệ thống nội bộ của tổ chức. Phương thức sử dụng một mật khẩu của người dùng bị rò rỉ để thử truy cập vào những hệ thống khác được gọi là Credential Stuffing

Với những lợi khuẩn Threat Intelligence, Credential Leak chỉ là một mảnh ghép trong hàng trăm mảnh ghép dữ liệu cần được giám sát. Không thể cứ tải về cho đầy ổ cứng. Mà cần quan sát, phân loại, phân tích để giúp tổ chức đưa ra những cảnh báo sớm.

• Tấn công kiểu Credential Stuffing: Nếu user dùng lại password, attacker sẽ sử dụng thông tin bị rò rỉ từ hệ thống A để đăng nhập vào hệ thống B.
• Tấn công Internal thông qua tài khoản rò rỉ: Rò rỉ email công ty + password cá nhân → nếu không bật MFA → dễ bị chiếm quyền
• Cảnh báo sớm trước khi bị khai thác: Nếu phát hiện thông tin bị rò sớm, bạn có thể reset password và hạn chế thiệt hại.
• Tuân thủ tiêu chuẩn bảo mật: Một số framework như NIST, ISO 27001 yêu cầu kiểm tra rò rỉ định kỳ.
• Đào tạo người dùng và nâng cao nhận thức: Người dùng thường tái sử dụng mật khẩu, nên cảnh báo giúp họ nâng cao an toàn cá nhân.

Có nhiều mô hình để thực hiện phân loại và xác định các mô hình mối nguy: Cyber Kill Chain, Diamond Model, MITRE ATT&CK, hay VERIS

Lấy dữ liệu ở đâu để giám sát?

• Dark web/Darknet forums/ Private telegram: Dò quét và crawl dữ liệu bị rao bán trên diễn đàn hacker.
• Threat Intelligence feeds: Các dịch vụ chuyên cung cấp IOC về credential leaks. Có thể miễn phí hoặc thương mại có trả phí. Nó sẽ chuyên theo dõi dữ liệu rò rỉ, có phân loại theo ngành, tổ chức

Phải Làm gì nếu phát hiện Leaked Credential?

• Xác minh mức độ rò rỉ Rò rỉ từ hệ thống nội bộ hay bên thứ ba? Thông tin gì bị lộ?
• Vô hiệu hóa hoặc reset Đặt lại mật khẩu, bật MFA cho tài khoản bị ảnh hưởng
• Điều tra các lần đăng nhập bất thường Kiểm tra log hệ thống, failed logins, geo-based login
• Cảnh báo người dùng Gửi email/phổ biến nội bộ (nếu ảnh hưởng số lượng lớn)
• Cập nhật detection rule Tạo IOC, hash, username theo dõi trong SIEM/XDR