Một số vấn đề an toàn, an ninh thông tin mạng trên thế giới năm 2017
Các tổ chức nỗ lực tối ưu hóa lợi ích các giải pháp phòng / chống các mối đe dọa an toàn, an ninh thông tin
Giữa tình hình ngày càng gia tăng các lo ngại về các cuộc tấn công mạng trên diện rộng, 84% các tổ chức đã tham gia vào một cuộc khảo sát do Viện Ponemon (Mỹ) tiến hành ở Bắc Mỹ đều cho rằng “cần phải có thái độ mạnh mẽ đối với tình hình an toàn, an ninh thông tin (ATANTT) hiện tại”. Tuy nhiên, nhiều tổ chức đang phải đối mặt với một lượng lớn dữ liệu không an toàn, đồng thời thiếu đội ngũ chuyên gia, làm giảm hiệu quả của các chương trình phòng chống đe dọa ATANTT.
Về việc chia sẻ các giải pháp quan trọng trong việc phòng chống đe dọa giữa các tổ chức, một nửa trong số đó tham gia vào các cộng đồng chia sẻ giải pháp, nhưng đa số (60%) chỉ nhận các đóng góp về giải pháp trong việc phòng chống đe dọa, cụ thể:
- 80% các tổ chức đang sử dụng giải pháp phòng chống đe dọa như một phần trong chương trình an ninh mạng của họ (tăng so với năm 2016 - 65%).
- 86% trả lời rằng, phòng chống các mối đe dọa là có lợi đối với nhiệm vụ bảo vệ ATANTT của họ (tăng so với năm 2016 - 77%).
- 83% phản hồi rằng, hệ thống phòng chống đe dọa (TIP) là cần thiết nếu muốn tối đa giá trị của các dữ liệu thông minh (intelligence data).
Báo cáo của Ponemon cho thấy, mặc dù có sự cải thiện trong việc sử dụng giải pháp phòng chống đe dọa, nhưng lượng dữ liệu phân tích có nguy cơ bị đe dọa vẫn rất lớn và tiếp tục là thách thức lớn đối với các tổ chức. Trong đó:
- 69% các tổ chức cho biết thông tin dự báo các mối đe dọa còn quá nhiều và phức tạp, gây khó khăn cho việc quyết định thực thi cụ thể.
- 64% cho rằng, rất khó để tích hợp điều này với các công cụ và nền tảng bảo mật khác.
- 52% cho biết, việc thu thập dữ liệu và phân tích dữ liệu chưa thể thực hiện đồng thời.
- 71% chưa thể lưu trữ dữ liệu log từ 3 tháng trở lên, gây khó khăn trong việc xác định các mối đe dọa hiện hữu.
Tấn công nhắm đến mục tiêu người dùng luôn cao, chi phí để nâng cao nhận thức về ATANTT khá lớn
Theo một khảo sát được tiến hành bởi công ty Vanson Bourne (Vương quốc Anh), chi phí cho việc nâng cao nhận thức của nhân viên đối với các vấn đề ATANTT mà một doanh nghiệp lớn phải bỏ ra hàng năm khoảng 290.000 USD. Việc giáo dục ý thức người dùng luôn được coi là ưu tiên hàng đầu trong chiến lược quản trị của các CIO. Mặc dù mức độ đầu tư lớn, nhưng vẫn phát sinh rất nhiều rủi ro tấn công nhắm đến mục tiêu là người dùng cuối, như tấn công zero-day, hay các tấn công bằng mã độc tống tiền và lừa đảo thông thường.
Một nghiên cứu dựa trên khảo sát 500 CIO của các doanh nghiệp lớn tại Mỹ (200), Anh (200) và Đức (100), cho thấy: 99% CIO cho rằng, người dùng là lá chắn cuối cùng trong chuỗi các giải pháp phòng vệ chống lại tội phạm mạng. Nghĩa là gánh nặng đảm bảo ATANTT cho cả doanh nghiệp đã chuyển dịch sang việc giáo dục nâng cao nhận thức người dùng. Đồng thời các quy định, chính sách nghiêm ngặt cần được áp dụng nhằm giảm bớt quyền hạn, tăng phần trách nhiệm đối với từng cá nhân trong quá trình làm việc.
Tính trung bình 7 giờ đào tạo về an ninh mạng cho mỗi nhân viên, một doanh nghiệp lớn sẽ phải bỏ ra 290.000 USD một năm. Ngoài ra, những nhân viên giỏi tại các bộ phận nhân sự, pháp chế, IT và kiểm soát rủi ro sẽ phải bỏ ra thêm 276 giờ mỗi năm để chuẩn bị các khóa đào tạo nội bộ cho những nhân viên khác.
90% doanh nghiệp thuê tư vấn ngoài khoảng 72 giờ mỗi năm cho việc rà soát và tư vấn về quy trình, chính xách bảo mật cho đơn vị; 94% CIO đã đẩy mạnh việc truyền thông, nâng cao nhận thức người dùng sau các vụ tấn công bằng mã độc tống tiền và lừa đảo trực tuyến xảy ra gần đây.
Ủy ban Châu Âu muốn ENISA giới thiệu hệ thống chứng chỉ an ninh mạng EU mở rộng
“Tấn công mạng là không biên giới và không tổ chức, cá nhân nào được miễn dịch”, Chủ tịch Ủy ban Châu Âu Jean-Claude Juncker lưu ý trong bài phát biểu gần đây. Ông cũng nhấn mạnh những đe dọa đó còn nguy hiểm hơn là “súng ống và xe tăng” đối với nền dân chủ và hệ thống kinh tế. Với quan điểm đó, EU cần một cơ quan an ninh mạng đủ mạnh và cần đưa ra một quy định mới, nhằm tăng cường vai trò của ENISA - Cơ quan bảo mật thông tin và an ninh mạng của EU đặt tại Hy Lạp.
Với quy định mới này, ENISA sẽ hoạt động dựa trên quy định chứng chỉ tạm thời, với tên gọi chứng chỉ an ninh mạng EU mở rộng. Chứng chỉ này áp dụng cho các sản phẩm công nghệ sử dụng trong giao tiếp và trao đổi thông tin trên toàn châu Âu. Mục đích chung của hệ thống chứng chỉ an ninh mạng EU mở rộng là chứng thực rằng, các sản phẩm và dịch vụ ICT (công nghệ thông tin và truyền thông) đã được xác nhận tuân thủ các yêu cầu, quy định nhất định trước khi được triển khai. Điều này bao gồm bảo vệ dữ liệu (lưu trữ, truyền, xử lý) khỏi vi phạm, lưu trữ trái phép, xử lý, truy cập, tiết lộ, phá hoại, mất mát do sự cố hay chỉnh sửa.
Hệ thống chứng chỉ an ninh mạng EU mở rộng sẽ sử dụng các chuẩn hiện hành liên quan đến các yêu cầu kỹ thuật và quy trình đánh giá mà sản phẩm phải tuân thủ và sẽ không tự sinh ra chuẩn kỹ thuật riêng. Ví dụ, một chứng chỉ EU mở rộng cho sản phẩm như thẻ thông minh, hiện tại được kiểm thử với tiêu chuẩn CC quốc tế, dưới thỏa thuận SOG-IS, nghĩa là SOG-IS sẽ được chấp nhận trên toàn EU.
Hệ thống chứng chỉ EU mở rộng sẽ có giá trị tương đương như chứng nhận các quốc gia cấp. Mục đích của việc này là nhằm đồng bộ hóa các thủ tục cấp chứng chỉ, các doanh nghiệp không cần phải được chứng nhận riêng rẽ trên từng quốc gia, với các phương pháp khác nhau, quy trình chứng nhận và yêu cầu kỹ thuật khác nhau. Tuy nhiên, chi phí cho việc xác nhận kiểu này khá cao, làm tăng áp lực về giá lên mỗi sản phẩm, dịch vụ.
Tấn công lừa đảo nhắm đến người dùng LinkedIn thông qua tài khoản đánh cắp
Một chiến dịch tấn công lừa đảo mới được thực hiện nhắm tới tài khoản LinkedIn của người dùng, thông qua email trực tiếp và tính năng InMail của LinkedIn. Chúng đến từ các tài khoản Premium LinkedIn hợp lệ đã bị đánh cắp, vì thế làm gia tăng khả năng người nhận sẽ tin tưởng và nhấp chuột vào liên kết trong email. Những email này thường có nội dung thông báo cho người nhận rằng, có một file chia sẻ trên Google Doc/Drive và thường cung cấp một liên kết ngắn dạng Ow.ly để nhấp chuột vào đó xem chi tiết.
Tính năng InMail của LinkedIn cho phép các thành viên với tài khoản Premium kết nối tới những tài khoản mà họ chưa đặt kết nối trước đó, điều này tương đối hợp lệ về mặt kỹ thuật, mail LinkedIn được gửi đi từ các tài khoản Premium thật. Chỉ có nội dung bên trong chưa được chứng thực.
Liên kết bên trong email chuyển hướng nạn nhân đến trang web yêu cầu cung cấp thông tin đăng nhập Gmail, Yahoo, AOL và số điện thoại để xem file là một văn bản của Wells Fargo giả mạo trên Google Docs.
Hiện chưa biết phương thức tấn công và số lượng tài khoản LinkedIn đã bị lợi dụng trong chiến dịch này.
Kiểu tấn công thông qua mạng xã hội như thế này không phải mới, nhưng nó khá hiệu quả và khó ngăn chặn. Theo các chuyên gia, nếu tài khoản LinkedIn bị lợi dụng, người dùng nên lập tức rà soát lại thiết lập và thay đổi mật khẩu, sau đó bật chức năng xác thực 2 bước cho ứng dụng đó.
Hàng tỉ thiết bị bật Bluetooth tồn tại lỗ hổng dễ bị khai thác
8 lỗ hổng zero-day nằm trong tính năng Bluetooth của các hệ điều hành Android, Window, Linux, IOS có thể bị khai thác đánh cắp thông tin, thực thi mã độc, hoặc thực hiện một cuộc tấn công người đứng giữa - MitM. Những lỗ hổng này có thể bị khai thác để tạo điều kiện cho sự lây lan của lỗ hổng BlueBorne mà không cần có sự can thiệp của người dùng, như việc phải bấm vào liên kết hay tải xuống file đính kèm. Đồng thời, chúng lây lan qua “không khí”, nên rất khó để phát hiện. Người dùng sẽ không thể phát hiện liệu có phải chúng bị khai thác bởi các cuộc tấn công BlueBorne hay không.
Để thực hiện thành công một cuộc tấn công như vậy, cần điều kiện là Bluetooth ở chế độ bật trên thiết bị mục tiêu. Điều đáng lo chính là tính năng này thường mặc định ở chế độ bật trên nhiều thiết bị.
Bluetooth cho phép thiết bị liên tục dò kết nối đến từ các thiết bị ở khoảng cách gần đó, không chỉ là các thiết bị đã liên kết trước đó, có nghĩa là kết nối Bluetooth có thể xác lập mà không cần liên kết với thiết bị. Điều này khiến BlueBorne trở thành một trong những lỗ hổng có nguy cơ lây lan trên diện rộng nhất trong những năm gần đây, cho phép kẻ tấn công có thể dễ dàng khai thác mà không bị phát hiện.
Samsung chi 200.000 USD trao thưởng cho các lỗi phát hiện được trên các thiết bị, dịch vụ của mình
Hãng điện tử Hàn Quốc treo thưởng cho cộng đồng tìm thấy và báo cáo lỗi phát sinh trên các thiết bị di động, phần mềm và dịch vụ của hãng. Chương trình trao thưởng đã được triển khai thử nghiệm từ tháng 1/2016. Chương trình Samsung’s Mobile Security Rewards là sáng kiến thể hiện cam kết mạnh mẽ của hãng đối với việc tăng cường bảo mật cho trải nghiệm của tất cả khách hàng.
Các nhà nghiên cứu có thể tìm kiếm các lỗ hổng thông qua chương trình này liên quan đến:
- Các dịch vụ Active Samsung Mobile gồm: Bixby, Samsung Account, Samsung Pay và Samsung Pass.
- Tất cả các dịch vụ di động của Samsung hiện đang nhận gói cập nhật hàng tháng, hàng quý (Galaxy S, Galaxy Note, Galaxy A, Galaxy J, và Galaxy Tab).
- Các ứng dụng được phát triển và xác nhận bởi Samsung Mobile, cũng như ứng dụng bên thứ ba ảnh hưởng đến sản phẩm dịch vụ, thiết bị của Samsung Mobile.
Tùy vào mức độ nghiêm trọng của lỗ hổngvà chất lượng các báo cáo, các phần thưởng được trao có giá trị từ 200 - 200.000USD. Hãng cũng cho biết vẫn cung cấp những giải thưởng nhỏ hơn dành cho các báo cáo không cung cấp được bằng chứng cụ thể, tuy nhiên sẽ không trao thưởng cho những báo cáo không thể hiện được tác động gì liên quan đến bảo mật.
Lỗi bảo mật ảnh hưởng đến 750.000 thẻ định danh công dân của Estonia
Một nhóm chuyên gia mật mã quốc tế vừa cảnh báo về một lỗ hổng bảo mật nghiêm trọng tồn tại ở thẻ chip gắn trong thẻ định danh công dân Estonia. Lỗ hổng có thể ảnh hưởng đến khoảng 750.000 tấm thẻ ID được cấp từ tháng 10/2014 (bao gồm các thẻ cấp cho cư dân điện tử e-residents). Thẻ định danh được cấp trước 6/10/2014, sử dụng một loại chip khác và không bị tấn công.
Cơ quan quản lý về an toàn thông tin nước này cho biết, về mặt lý thuyết, lỗ hổng mà các chuyên gia báo cáo có thể giúp kẻ tấn công định danh điện tử cho chứng minh nhân dân và chữ ký điện tử mà không cần thẻ vật lý và mã PIN đi kèm. Tuy nhiên, để thực hiện điều này cũng cần một năng lực tính toán lớn và một phần mềm riêng biệt để tạo chữ ký số. Nếu chỉ sử dụng phần mềm cấp thẻ ID thì khó thực hiện, vì phần mềm này chỉ hoạt động khi có thẻ cứng trong đầu đọc thẻ. Trước đây, việc khai thác những lỗ hổng kiểu này cần chi phí rất lớn - gần như không khả thi. Nhưng lỗ hổng này đang ngày càng trở nên nghiêm trọng, khi mà năng lực tính toán đang được cải thiện đáng kể trong những năm gần đây. Tuy nhiên, theo cơ quan chức năng, hiện tại vẫn chưa có tấm thẻ nào bị hack thành công.
Tin tặc đánh cắp và rao bán thông tin cá nhân của hơn 6 triệu người dùng Instagram trên mạng
Lỗi phát sinh trong API của ứng dụng này Instagram, cho phép kẻ tấn công có thể thu thập thông tin địa chỉ email và số điện thoại của người dùng. Các nhà nghiên cứu thuộc Kaspersky Lab đã tìm ra lỗi và chia sẻ thông tin với Instagram cho biết, mặc dù quá trình tấn công tương đối đơn giản, nó cũng đòi hỏi thời gian và công sức để thực hiện thành công. Instagram đã thực hiện vá lỗi này ngay sau đó.
Việc tấn công được thực hiện bằng cách sử dụng ứng dụng chưa được cập nhật. Kẻ tấn công sẽ lựa chọn khôi phục mật khẩu và chờ yêu cầu qua web proxy, sau đó chọn ra một nạn nhân và gửi yêu cầu đến máy chủ Instagram đang lưu trữ định danh và mã đăng nhập của mục tiêu. Máy chủ này sẽ trả lại phản hồi có định dạng JSON (Java Script Object Notation) chứa các thông tin cá nhân của nạn nhân bao gồm email và số điện thoại.
Theo các chuyên gia, cách tấn công này khá tốn nhân lực: mỗi người sẽ phải hoàn thành quá trình lấy thông tin một cách thủ công, vì Instagram đã sử dụng khả năng tính toán để ngăn chặn kẻ tấn công tự động hóa quá trình gửi yêu cầu.
Các vụ tấn công DDoS diện rộng trên 50Gbps tăng gấp 4 lần chỉ trong vòng hai năm từ 2015 - 2017
Theo thống kê của công ty A10 Networks (Mỹ) các tổ chức đang phải hứng chịu cường độ ngày càng tăng của các vụ tấn công DDoS, với mức độ trung bình lên tới trên 50Gbps, tăng gấp 4 lần chỉ trong 2 năm (2015 - 2017). Nghiên cứu này cũng chỉ ra, các vụ tấn công lớn hơn với mức độ 1Tbps cũng đã bắt đầu xuất hiện từ năm 2016 - với botnet Mirai. 42% tổ chức cho biết, cỡ trung bình của cuộc tấn công DDoS đã trên 50Gbps, tăng mạnh so với năm 2015, khi chỉ có 10% các vụ tấn công đạt cỡ này.
Tấn công DDoS đa chiều tiếp tục gia tăng và tấn công các hệ thống mạng, ứng dụng với tốc độ chóng mặt. Báo cáo cũng chỉ ra, tỉ lệ các tổ chức phải hứng chịu từ 6 đến 25 vụ tấn công hàng năm, tăng từ 14% (năm 2015) lên 57% (năm 2017).
Vũ Mạnh Hùng (VietinBank)