Chính phủ Anh khởi động dự án Scanning Made Easy
Theo Theo bankinfosecurity, nỗ lực này không nhằm mục đích thay thế một chương trình quản lý lỗ hổng doanh nghiệp mà để hỗ trợ các tổ chức không thành thạo trong lĩnh vực săn tìm lỗ hổng.
NCSC là cơ quan kỹ thuật hàng đầu của chính phủ về an ninh mạng và là chi nhánh công khai của GCHQ, cơ quan tình báo, an ninh và mạng của Anh. NCSC cũng là cơ quan dẫn đầu về ứng phó sự cố quốc gia và các chiến lược của họ được áp dụng một phần dựa trên các xu hướng tấn công mới nhất cũng như những thiếu sót trong chương trình bảo mật mà họ nhận thấy.
Một thách thức đối với việc quản lý lỗ hổng bảo mật là nó vẫn là một quá trình không bao giờ kết thúc, do các tổ chức liên tục bổ sung những phần mềm mới và cập nhật phần mềm hiện có. Trong khi đó, các nhà nghiên cứu, tội phạm và những người khác tiếp tục tìm kiếm những cách mới để khai thác phần mềm.
Khi một lỗ hổng phần mềm mới được phát hiện, bất kỳ ai sử dụng phần mềm đó đều phải đối mặt với vấn đề vá lỗi. Cụ thể, họ có thể sửa chữa hoặc ít nhất là giảm thiểu lỗ hổng trước khi những kẻ tấn công khai thác nó. Tuy nhiên, biết một lỗ hổng tồn tại và khắc phục nó là những thách thức riêng biệt, nhưng có liên quan đến nhau.
"Khi một lỗ hổng phần mềm bị tiết lộ, việc tìm mã chứng minh khái niệm để khai thác nó thường dễ dàng hơn là tìm các công cụ giúp bảo vệ. Để làm cho vấn đề trở nên tồi tệ hơn, ngay cả khi có sẵn tập lệnh quét, rất khó để biết liệu nó có thực thi an toàn hay không, ngoài ra còn việc có trả về kết quả quét hợp lệ hay không", Ollie N. - người đóng vai trò là trưởng nhóm quản lý lỗ hổng của NCSC cho biết.
Ollie N. cho rằng: “Scanning Made Easy ra đời với mong muốn là giúp đội ngũ chuyên trách tìm thấy các hệ thống dễ bị tấn công, để họ có thể bảo vệ chúng. Mặc dù sẽ không có tập lệnh cho mọi lỗ hổng đơn lẻ, nhưng kế hoạch của chúng tôi là các tập lệnh sẽ được phát triển và liên tục xem xét đối với các lỗ hổng nghiêm trọng".
Các kịch bản cho doanh nghiệp SME sẽ được viết bởi các đối tác, như một phần của chương trình i100 của NCSC. Chương trình hiện có 100 cá nhân từ các tổ chức công và tư nhân tham gia bán thời gian với NCSC. Bản thân các tập lệnh đang được phát triển bằng cách sử dụng công cụ tạo kịch bản tiêu chuẩn công nghiệp Nmap Scripting Engine, hay còn gọi là NSE.
Chuyên gia an ninh mạng Alan Woodward, giáo sư thỉnh giảng tại khoa khoa học máy tính của Đại học Surrey (Anh), ca ngợi chương trình mới đã giúp các tổ chức cải thiện hoạt động của chính họ. "Tôi thực sự rất quan tâm đến sáng kiến này. Chính phủ đã tạo điều kiện thay vì thực hiện nó cho các tổ chức. Cá nhân tôi nghĩ đó là cách làm tốt. NCSC trước đây đã chia sẻ thông tin tình báo về mối đe dọa với các tổ chức nên đây là tiến trình tự nhiên. Các tổ chức đó phải tự tìm kiếm các lỗ hổng bảo mật và tôi cho rằng NCSC sẽ hoạt động như một kho lưu trữ các tập lệnh Nmap và các cách sử dụng các công cụ khác dựa trên các phương pháp hay nhất rút ra từ những tổ chức bị tấn công".
Brian Honan, chủ tịch công ty tư vấn an ninh mạng BH Consulting có trụ sở tại Dublin cho biết, chương trình này hy vọng sẽ thúc đẩy nhiều tổ chức áp dụng và trau dồi các phương pháp quản lý lỗ hổng bảo mật.
Ông nói: “Đây là một động thái rất đáng hoan nghênh và thông minh của chính phủ Anh trong việc hỗ trợ các công ty thuộc mọi quy mô nắm bắt tốt hơn việc quét lỗ hổng bảo mật. Sự phụ thuộc ngày càng nhiều của các công ty và doanh nghiệp vào phần mềm, đặc biệt là sau đại dịch COVID-19 với cách làm việc từ xa và kết hợp, có nghĩa là các tổ chức cần đảm bảo các nền tảng mà họ sử dụng là an toàn".
Tuy nhiên, ông nói rằng các doanh nghiệp SME đã gặp khó khăn với việc quản lý bản vá, cả về kỹ năng kỹ thuật nội bộ cũng như không biết nên áp dụng công cụ nào. Dự án Scanning Made Easy sẽ cung cấp cho tổ chức cơ hội để bắt đầu có được một mức năng lực cơ bản tốt và từ đó họ có thể xây dựng tốt hơn.
Tập lệnh đầu tiên được cung cấp thông qua chương trình Scanning Made Easy có sẵn từ GitHub và được thiết kế để tìm các lỗ hổng thực thi mã từ xa nghiêm trọng trong Exim, một trong những email server được sử dụng nhiều nhất trên thế giới. Các lỗ hổng Exim cụ thể được tập lệnh tìm kiếm được chỉ định là CVE-2020-28017 đến CVE-2020-28026 và còn được gọi là 21Nails.
Kịch bản được phát triển bởi Ollie Whitehouse, Group CTO tại Tập đoàn tư vấn NCC của Anh, trong khuôn khổ chương trình i100.
"Tập lệnh sẽ xuất ra các kết quả dễ đọc, bao gồm mô tả về lỗ hổng bảo mật và liên kết đến tư vấn bảo mật của nhà cung cấp. Thực thi tập lệnh này thường xuyên và làm theo lời khuyên của nhà cung cấp được liên kết sẽ giúp giữ an toàn cho mạng của bạn", Ollie N. của NCSC cho biết.
David Stubley, người đứng đầu công ty tư vấn và kiểm thử bảo mật 7 Elements tại Edinburgh (Scotland), cho biết một trong những thách thức mà các tổ chức thực hiện chương trình quản lý lỗ hổng phải đối mặt là làm thế nào để theo đuổi chính xác tới cùng mọi lỗ hổng, xếp thứ tự ưu tiên những lỗ hổng gây ra rủi ro lớn nhất cho tổ chức đó. “Bất kỳ sự hỗ trợ và hướng dẫn nào cho phép các SME áp dụng cách tiếp cận mạnh mẽ hơn đối với an ninh mạng đều phải được hỗ trợ và được coi là một bước đi đúng hướng tích cực. Tuy nhiên, dò quét chỉ là một khía cạnh và các phương pháp tiếp cận dựa vào các công cụ và kết quả tự động thường chứa các phát hiện thừa, dương tính giả và xếp hạng rủi ro không chính xác".
Stubley cho biết thêm: "Mức độ nhiễu này tạo ra một rào cản kỹ thuật chống lại việc các tổ chức có thể đưa ra các quyết định sáng suốt và có thể dẫn đến tăng khả năng vi phạm. Do đó, các tổ chức cũng nên tập trung vào khả năng kiểm tra đầu ra một cách nghiêm túc".
Vì vậy, ngoài các công cụ, đào tạo là hoạt động cần thiết để triển khai một chương trình quản lý lỗ hổng hiệu quả, ít nhất là có thể mở rộng quy mô.
Nguyễn Anh Tuấn