An toàn mạng: các nguy cơ và một số giải pháp khắc phục
09:55 | 14/06/2017 | GP ATTM
Trong thời gian qua, việc dữ liệu của Oracle, SWIFT, Cisco và Yahoo bị tổn thương, do các phần mềm độc hại tấn công, đã trở thành tiêu điểm. Nhiều tổ chức – doanh nghiệp (TC/DN) vẫn chỉ áp dụng các biện pháp bảo đảm an toàn thông tin (ATTT) truyền thống, chủ yếu tập trung vào điểm cuối quy trình, sửa chữa và xác định các lỗ hổng dễ bị tấn công.
Trong thực tế, những kẻ tấn công đã nâng cấp các phương thức tấn công của mình và chuyển mục tiêu tấn công sang các bề mặt dễ bị tấn công mới trong không gian mạng, bao gồm tất cả các ứng dụng, đám mây và Internet of Things (IoT). Do đó, trong năm 2017, các chuyên gia ATTT cần xem xét một phương pháp tiếp cận mới để đánh giá các bề mặt dễ bị tấn công (Attack Surface Validation) mới này trong không gian mạng. Từ đó ưu tiên khắc phục chúng, dựa trên tác động của chúng đến hoạt động kinh doanh hơn là chỉ dựa vào những đánh giá an toàn thông tin truyền thống. Quá trình tiếp cận các bề mặt dễ bị tấn công mới trong không gian mạng và cách khắc phục chúng tập trung chủ yếu vào các bước sau:
1. Xác định độ bao phủ của bề mặt dễ bị tấn công mới
Các TC/DN đang phải đối mặt với một cuộc chiến khốc liệt trong lĩnh vực ATTT mạng, vì độ bao phủ của bề mặt dễ bị tấn công mới trong không gian mạng mà họ cần bảo vệ đang mở rộng ra một cách đáng kể và vẫn chưa dừng lại.
Trước đây, các TC/DN chỉ cần tập trung vào bảo vệ hệ thống mạng và các điểm cuối, thì hiện nay cần tập trung vào tất cả các ứng dụng, dịch vụ đám mây, thiết bị di động (ví dụ như: máy tính bảng, điện thoại thông minh, các thiết bị Bluetooth và đồng hồ thông minh…), IoT (ví dụ như: các hệ thống đèn chiếu sáng, thiết bị gia dụng, hệ thống sưởi ấm, điều hòa không khí,...), mạng lưới phần mềm và các dịch vụ điều khiển từ xa....
Theo khảo sát của tổ chức Quản lý nguy cơ ATTT toàn cầu, có 84% các vụ tấn công mạng hiện nay nhắm mục tiêu đến lớp ứng dụng chứ không phải lớp mạng, mặc dù điều này đòi hỏi phương pháp tiếp cận toàn diện hơn, nhưng tỷ lệ thành công lại cao hơn. Do đó, các TC/DN cần mở rộng phạm vi “phòng thủ” của mình đối với các khu vực mới. Điều này có nghĩa là không chỉ sử dụng cách tiếp cận quản lý nguy cơ của các nhà cung cấp, mà còn có trách nhiệm tập hợp các dữ liệu bảo mật liên quan đến những khu vực tấn công mới này để chủ động phòng chống.
2. Sử dụng quy trình tự động hóa trong phân tích dữ liệu
Cách tiếp cận và xác định các bề mặt dễ bị tấn công “rộng hơn và sâu hơn” chỉ giúp quản lý dữ liệu tốt hơn chứ chưa giúp phòng tránh được các tấn công. Để khắc phục vấn đề này, các TC/DN cần chia nhỏ dữ liệu và thực hiện các quy trình tự động hóa với sự trợ giúp của các công nghệ để rút ngắn thời gian xử lý dữ liệu. Điều đó có thể hỗ trợ tốt nhất cho các hoạt động bảo vệ không gian mạng của của các TC/DN.
Khối lượng, tốc độ và độ phức tạp của dữ liệu trong các TC/DN được tạo ra bởi vô số thiết bị, dịch vụ công nghệ thông tin và bảo mật trong hệ thống mạng. Các nguồn dữ liệu từ các hệ thống này cần được phân tích, bình thường hóa và được ưu tiên khắc phục khi có sự cố. Càng nhiều công cụ được sử dụng thì thách thức càng lớn. Hơn nữa, bề mặt dễ bị tấn công càng rộng, thì càng có nhiều dữ liệu cần phân tích. Do đó, cách tiếp cận này đòi hỏi đội ngũ nhân viên phải xử lý một lượng dữ liệu khổng lồ để tìm ra sự liên kết giữa các đặc trưng và tìm các mối đe dọa tiềm ẩn. Việc này có thể gây tốn kém về thời gian và trong thời gian này kẻ tấn công vẫn có thể khai thác lỗ hổng chưa được vá và trích xuất dữ liệu.
3. Quan tâm thường xuyên đến bối cảnh hiện tại về tình hình an toàn mạng
Việc chỉ tập trung vào xử lý những phát hiện từ các hệ thống dò quét an ninh nội bộ như máy quét lỗ hổng, các cơ sở dữ liệu quản lý cấu hình và các hệ thống giám sát an toàn thông tin mạng (Security Infomation and Event Management - SIEM) hiện nay không còn đảm bảo hiệu quả tối đa. Việc phụ thuộc vào hệ thống này có thể dẫn đến việc phân loại không chính xác các hành động khắc phục hậu quả và phân bố các nguồn lực để xử lý lỗ hổng thiếu hiệu quả.
Ví dụ điển hình cho trường hợp này là lỗ hổng POODLE vào năm 2014 (đây là lỗ hổng bảo mật cực kỳ nghiêm trọng trong giao thức mã hóa web SSL 3.0, nó cho phép tin tặc có thể chiếm hoàn toàn tài khoản email, tài khoản ngân hàng và các dịch vụ khác).Ban đầu, tổ chức đánh giá Cơ sở dữ liệu dễ bị tổn thương quốc gia Mỹ (National Vulnerability Database - NVD) chỉ đánh giá lỗ hổng này có nguy cơ bị tấn công là 5.5/10 điểm, khiến hầu hết các TC/DN chủ quan không ưu tiên khắc phục nó, dẫn đến những hậu quả nghiêm trọng. Nguyên nhân chính của việc này là do các hành động ứng phó lỗ hổng trong hệ thống của các TC/DN khi đó chỉ đối phó với các tấn công vào lỗ hổng có nguy cơ từ 7/10 điểm trở lên.
Tuy nhiên, nếu như các TC/DN biết rằng có tới hàng trăm nghìn cuộc khai thác POODLE đang được thực hiện tại thời điểm đó mỗi ngày, họ có thể sẽ cảm nhận được nguy cơ để đối phó kịp thời, tránh được những thiệt hại đáng tiếc xảy ra. Thông thường, một sự cố ATTT cần có hai điều kiện để xảy ra: một là phải có lỗ hổng trong phần mềm hoặc một chương trình cấu hình không an toàn, hai là phải có một kẻ tấn công đang khai thác lỗ hổng đó. Đáng tiếc là thời điểm đó các TC/DN đã không chú ý đến điều kiện thứ hai.
Các chuyên gia ATTT đa phần không có quyền kiểm soát trực tiếp các mối đe dọa, họ chỉ phân tích và định hướng khắc phục chúng dựa trên các sự kiện đã biết, nên thường bỏ qua các mối đe dọa tiềm năng. Trong vài năm gần đây, số lượng các lỗ hổng bùng phát liên tục và các TC/DN hầu như sẽ không thể khắc phục được tất cả nếu như không kiểm tra tác động từ các lỗ hổng đó sẽ ảnh hưởng đến mình như thế nào.
Do đó, TC/DN không thể chỉ dành nguồn lực để sửa các lỗ hổng đã có mà cần phải dành một phần để thu thập thông tin chi tiết về khả năng, hoạt động hiện tại và xu hướng hoạt động trong tương lai của các mối đe dọa tiềm ẩn (ví dụ: các loại hình tấn công mới, hoạt động của các nhóm tin tặc, các tổ chức chống đối nhà nước...) để đưa ra các biện pháp đề phòng. Trong thực tế, hiện nay các nhóm ATTT tiên tiến đã thực hiện theo phương pháp này. Các TC/DN cần nắm được bối cảnh này và có những sự liên kết với các nhóm này để tăng cường sức mạnh phòng thủ trong không gian mạng của mình, cũng như trên toàn thế giới.
4. Phân tích theo các nguy cơ
Khi các vấn đề ATTT trong các TC/DN được cập nhật đầy đủ, chính xác theo bối cảnh về các mối đe dọa mới từ bên ngoài (ví dụ như các tấn công khai thác lỗ hồng, các phần mềm độc hại, các nhân tố đe dọa, trí tuệ nhân tạo...) thì chúng phải tương quan với khả năng của các TC/DN để có thể xác định các nguy cơ ATTT thực sự và tác động của chúng như thế nào với các hoạt động của TC/DN. Ví dụ một hệ thống máy chủ quản lý email có các nguy cơ hoàn toàn khác với một hệ thống máy chủ quản lý kinh doanh.... Trong bối cảnh này, việc sử dụng công nghệ với các thuật toán tiên tiến kết hợp với sự phân tích chính xác từ người quản lý sẽ đóng vai trò quan trọng trong việc lựa chọn những quyết định đúng đắn. Do đó, các TC/DN cần dành một phần nguồn lực nhất định cho việc phân tích nguy cơ trên các bề mặt dễ bị tấn công mới trong không gian mạng của mình.
5. Có một chu trình xử lý khép kín
Vấn đề tăng cường sự hợp tác giữa các nhóm ATTT, có trách nhiệm xác định các vùng an toàn, với các nhóm công nghệ thông tin để khắc phục các sự cố an toàn mạng tiếp tục là một thách thức đối với các TC/DN.
Việc sử dụng khái niệm an toàn mạng dựa trên phân tích theo nguy cơ mới chỉ được phác thảo trên lý thuyết, trong thực tế, cần sử dụng các quy trình tự động tiên tiến để thông báo các sự cố bảo mật và phải có sự can thiệp tương tác của con người trong quá trình này.
Bằng cách thiết lập trước các giới hạn và quy tắc, các TC/DN cũng có thể lựa chọn các hành động khác nhau trong các khoảng an toàn khác nhau. Việc quản lý các nguy cơ trên mạng chính là cách để đo lường hiệu quả các hoạt động để khắc phục và đảm bảo các nguy cơ đã được loại bỏ thành công.
Để xây dựng một mô hình quản lý rủi ro thông minh về không gian mạng, cần có một chu trình xử lý khép kín, để đảm bảo rằng mỗi một bản vá lỗ hổng chỉ được chấp nhận khi hiệu quả mà nó mang lại đã được kiểm tra và đảm bảo. Tuy nhiên, trong thực tế, nhiều TC/DN đã chấp nhận các bản vá ngay khi nó được áp dụng mà không thử nghiệm xem nó có thực sự giải quyết được vấn đề của mình hay không. Điều này có thể dẫn đến những lỗ hổng lớn hơn nếu bản vá có vấn đề. Do đó, thay vì thêm nhiều công cụ hơn trong hệ thống mạng, các TC/DN hãy cân nhắc việc thực hiện các bước trên để thiết lập một mô hình đảm bảo ATTT hiệu quả hơn.
Theo công ty Gartner, cách tiếp cận sử dụng các phân tích thông minh có thể giúp các tổ chức thực hiện các biện pháp đảm bảo ATTT trên mạng, phá vỡ các nguy cơ tiềm ẩn trong các bề mặt dễ bị tấn công và tăng cường các tác vụ ATTT qua tự động hóa.
