Việc đảm bảo ATTT cho các ứng dụng web là nội dung chính của chủ đề tháng 6 nằm trong Chương trình chuỗi Webinar định kỳ hàng tháng về hoạt động ứng cứu sự cố được Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) - Cục ATTT – Bộ TT&TT tổ chức mới đây.
Theo thông tin từ VNCERT/CC, trước khi gia nhập công ty Giám đốc điều hành Polaris Infosec Nguyễn Trung Tín từng giữ chức Phó Chủ tịch vận hành của Blackpanda - một công ty ứng phó sự cố và điều tra số tại Singapore. Trong quá khứ, ông Tín từng là một đặc vụ của FBI hoạt động tại Los Angeles, California và là sĩ quan bộ binh của lực lượng Thủy quân Lục chiến Hoa Kỳ.
Đồng sáng lập Polaris Infosec Nguyễn Văn Hòa là một nhân vật có uy tín và sức ảnh hưởng trong ngành an ninh mạng Việt Nam, từng đoạt nhiều giải thưởng trong các cuộc thi về an ninh mạng trong nước và quốc tế. Ông cũng từng nắm giữ vị trí Giám đốc công nghệ (CTO) của Verichains Labs.
43% các cuộc tấn công mạng trên toàn cầu xuất phát từ các ứng dụng web
Chia sẻ tại sự kiện, ông Tín cho biết, thống kê của Patchstack về các cuộc tấn công mạng năm 2021 cho thấy, 43% các cuộc tấn công mạng trên toàn cầu có xuất phát từ các ứng dụng web. Đây cũng là mục tiêu số 1 của tin tặc muốn khai thác các lỗ hổng bảo mật. Còn theo báo cáo của IBM, năm 2021, thiệt hại trung bình cho khi bị rò rỉ dữ liệu ở Đông Nam Á lên đến 2,71 triệu USD, cao gấp đôi so với trên thế giới.
Lý giải vì sao ứng dụng web thường là mục tiêu ưa thích của hacker, ông Tín cho rằng, do điều kiện môi trường làm việc từ xa của mọi người nên dẫn đến sự phụ thuộc vào ứng dụng web ngày càng tăng lên, để đăng nhập vào các hệ thống CRM, hệ thống quản lý công việc…
Các nguyên nhân tiếp theo: Khả năng tiếp cận dễ dàng khi mỗi DN đều sở hữu một trang web; Các công ty vẫn lơ là trong vấn đề bảo mật mặc dù mối đe doạ ngày càng tăng; Thói quen sai lầm của người dùng; Dữ liệu cá nhân và thông tin bí mật luân chuyển với số lượng lớn; Sự tự động hoá của tin tặc thông qua các bots.
Cũng theo ông Tín, về các xu hướng tấn công ứng dụng web, đầu tiên thông qua các API, khi các cầu nối giữa tài nguyên web đến hệ thống và nền tảng vẫn là một vấn đề lo ngại vì chúng thường bị khai thác do thiết lập cấu hình sai hoặc không được giám sát. Tiếp theo, mặc dù xác thực đa yếu tố (multi-factor authentication) vẫn là một trong những phương pháp bảo mật được sử dụng nhiều nhất để đạt được quyền truy cập vào hệ thống, nhưng hiện nay, tin tặc ngày càng trở nên tinh vi hơn với khả năng vượt qua các phương thức xác thực thứ cấp.
Ngoài ra, với xu thế chuyển dịch lên đám mây (cloud), các tổ chức và DN đang sử dụng dịch vụ cho rằng bảo mật của họ hoàn toàn do nhà cung cấp đảm nhận nhưng điều này không hoàn toàn đúng, bởi vì trách nhiệm bảo đảm ATTT cũng do cả phía khách hàng.
Hiện nay, các kỹ thuật tấn công ngày càng đa dạng và phong phú, những kẻ tấn công thường sử dụng các mã khai thác chưa được biết đến trên Internet. Chưa kể đến, các cuộc tấn công có chủ đích (APT) thường được tận dụng do sự gia tăng nhanh chóng của các lỗ hổng bảo mật nghiêm trọng, tạo bàn đạp cho các cuộc tấn công sâu hơn vào bên trong hệ thống của tổ chức/DN.
Cũng tại sự kiện, CEO Polaris Infosec đã điểm lại các cách thức tấn công ứng dụng web phổ biến nhất, từ kỹ thuật tấn công web truyền thống cho đến các kỹ thuật nâng cao như thông qua các mã khai thác chưa được công bố và chưa được biết đến trên Internet (0day), kết hợp nhiều lỗ hổng bảo mật với nhau để tấn công vào các đối tượng mục tiêu….
Để ngăn chặn các cuộc tấn công, theo ông Hoà, đầu tiên là giới hạn không gian tấn công bằng việc: Tách hoàn toàn ứng dụng có nguy cơ ra khỏi Internet; Chặn các tính năng có nguy cơ cho các truy cập từ bên ngoài.
Cách thức thứ hai là sử dụng các hệ thống tường lửa ứng dụng web (web application firewall - WAF) thế hệ mới có các tính năng như học máy để phân tích hành vi của ứng dụng, xử lý log truy cập thời gian thực để nhận diện tấn công mới và có khả năng áp dụng các bản vá ảo để chủ động bảo vệ hệ thống với các lỗi chưa được nhà phát triển vá.
"Bởi vì, các giải pháp WAF truyền thống không còn đủ hiệu quả khi các kiểu tấn công liên tục đổi mới", ông Hoà lý giải.
Triển khai đồng bộ các giải pháp kỹ thuật và phi kỹ thuật
Cũng tại sự kiện, theo CEO Polaris Infosec, các ngành phải đối mặt nhiều nhất với các rủi ro về ATTT là thương mại điện tử, các cơ quan chính phủ, chăm sóc sức khoẻ, game, tài chính và đơn vị cung cấp SaaS. Tuy nhiên, khi đối mặt, phần lớn các tổ chức/DN lựa chọn cách chấp nhận. Các cách thức tiếp cận khác thường là né tránh, chuyển giao và triệt tiêu. "Triệt tiêu mặc dù là cách đối mặt tốt nhất, nhưng nó tốn nhiều công sức và thời gian nhất", ông Tín nói.
Bên cạnh đó, các DN/đơn vị cũng cần thay đổi quan điểm tiếp cận, đó là phải duy trì một tư duy phòng bệnh hơn chữa bệnh. Đồng thời, việc xác định và phát hiện kịp thời trước tiên được bắt đầu từ việc chuẩn bị, cũng như hãy dừng các mối đe dọa lại trước khi chúng bắt đầu.
Cũng theo ông Tín, việc ngăn chặn hiệu quả các cuộc tấn công ứng dụng web đòi hỏi cả giải pháp kỹ thuật lẫn phi kỹ thuật. Cụ thể, các giải pháp phi kỹ thuật bao gồm: Nâng cao nhận thức của người dùng; Sử dụng mật khẩu phức tạp; Mô hình Zero Trust như bắt buộc sử dụng xác thực đa yếu tố khi đăng nhập trên tất cả các nền tảng/hệ thống, ngăn đăng nhập vào ứng dụng web với thông tin đăng nhập bị xâm phạm.
Đối với việc nâng cao nhận thức của người dùng, các tổ chức cần tuyên truyền các biện pháp phòng chống email lừa đảo, các phương pháp lướt web an toàn, bài học từ các trường hợp thực tế, ngăn người dùng nhấp vào các liên kết khả nghi, tải xuống các tệp độc hại, các cuộc tấn công khác từ phía người dùng có thể xảy ra.
"Mặc dù đào tạo nhân sự là cần thiết, nhưng việc xây dựng và thực thi các chính sách sau đó có vai trò quan trọng đối với sự thành công của tổ chức hay DN", ông Tín bày tỏ.
Còn các giải pháp kỹ thuật để ngăn chặn sẽ bao gồm, đầu tiên là việc đánh giá lỗ hổng và kiểm thủ thâm nhập. Theo ông Tín, việc này cần được tiến hành thường xuyên để đảm bảo các ứng dụng web, cơ sở dữ liệu, hệ thống mạng và sản phẩm được bảo mật trong suốt vòng đời phát triển và có thể hỗ trợ việc xác định các lỗ hổng nghiêm trọng. Sau đó, đội ngũ có thể vá các lỗ hổng để tăng cường khả năng phòng thủ.
Thứ hai, cần duy trì một lịch trình vá lỗi cho tất cả phần cứng và phần mềm đang sử dụng, đảm bảo các bản cập nhật bảo mật mới nhất được cài đặt. Bởi vì, do các mối đe dọa mới liên tục được xác định nên các nhà cung cấp bên thứ 3 tung ra các bản vá để hỗ trợ khách hàng nhằm cung cấp các cách sử dụng nền tảng an toàn hơn. Mặc dù vậy, sự hỗ trợ này chỉ thực sự hiệu quả nếu các khách hàng sử dụng/cập nhật các bản vá.
Thứ ba, để đảm bảo ATTT một phần nào đó, các DN có thể cân nhắc việc sử dụng các nền tảng đám mây (cloud). Lý giải cho điều này, theo đại diện Polaris Infosec, với các máy chủ đặt tại chỗ, DN phải chấp nhận mọi rủi ro và phải tự mình giảm thiểu rủi ro đó bằng các nguồn lực của riêng họ, điều này có thể gây tốn kém, mất thời gian và nguy hiểm khi hoạt động. Nhưng nếu việc triển khai máy chủ tại chỗ là cần thiết, các đơn vị chỉ nên chỉ giữ lại những yếu tố cần thiết theo quy định của chính phủ hoặc công ty, cũng như để kiểm soát tốt hơn các dữ liệu bí mật.
Còn khi triển khai cloud, trách nhiệm về an toàn cơ sở hạ tầng thuộc về nhà cung cấp dịch vụ cloud (CSP) trong khi trách nhiệm về những gì diễn ra trên cloud thuộc về DN. CSP cũng có thể cung cấp các biện pháp bảo mật một phần ứng dụng web miễn phí hoặc trả phí cho các dịch vụ đó như chống tấn công từ chối dịch vụ (DDoS)…
Giải pháp kỹ thuật thứ tư có thể áp dụng là việc sử dụng log một cách hiệu quả vì đây là một loại "tình báo" thông minh.
Giải pháp kỹ thuật cuối cùng, theo ông Tín, các tổ chức cần đào tạo phát triển về ATTT. Đối với các DN có nhóm phát triển phần mềm, họ phải được đào tạo về bảo mật cho các dự án của họ. "Phải thiết lập một nền tảng nhận thức về bảo mật để đội ngũ đó có thể thiết kế, xây dựng và triển khai các phần mềm, ứng dụng và có ý thức về bảo mật hơn", ông Tín kết luận.
Cũng theo ông Tín, khi ông trò chuyện với giám đốc một số DN, họ không hiểu tại sao lại phải cần đến và xây dựng các giải pháp bảo đảm ATTT. Do đó, ông Tín đã chia sẻ về những rủi ro khi DN mất ATTT: Tổn thất về tài chính; Gián đoạn hoạt động kinh doanh khi mất dữ liệu cá nhân, dữ liệu tài chính, quyền sở hữu trí tuệ, thời gian cho việc khắc phục sự cố, quyền kiểm soát, truy cập hệ thống; Mất doanh tiếng và thương hiệu. Những hậu quả này tương đối nghiêm trọng kéo dài trong nhiều năm, một số công ty không có khả năng phục hồi.
"Liệu các DN có đáng phải chịu rủi ro vì không bảo mật, họ sẽ nói gì với khách hàng của mình khi bị tấn công", ông Tín nêu./.