Xu hướng bảo mật thông tin cá nhân có làm yếu đi an ninh website?

Bên cạnh tính tích cực khi thông tin cá nhân của người dùng Internet được bảo vệ, nhiều chuyên gia đang quan ngại về sự thay đổi của các phương pháp xác thực thông thường.

Đa số các chuyên gia trong lĩnh vực an ninh mạng đều nhất trí rằng làn sóng gia tăng bảo vệ quyền riêng tư và an ninh của người tiêu dùng gần đây là một ý tưởng tuyệt vời. Trao quyền cho mỗi cá nhân có thể ngăn chặn việc theo dõi xâm nhập hoạt động trực tuyến của họ là một tiến bộ tích cực và đó là bằng chứng cho thấy một số đại gia công nghệ cuối cùng cũng bắt đầu tôn trọng dữ liệu và trải nghiệm kỹ thuật số của người dùng.

Tuy nhiên, một trong các hệ quả không mong muốn của những biện pháp bảo vệ mới này là những thay đổi đối với các phương pháp nhận dạng phổ biến, ví dụ như theo dõi cookie và dấu vân tay thiết bị, có thể làm sai lệch tỷ lệ thành công của một số phần mềm và công cụ bảo mật được chấp nhận và sử dụng phổ biến nhất, trong số đó có giảm thiểu bot (bot mitigation).

Các doanh nghiệp và nhà cung cấp bảo mật đều cần hiểu rõ hơn những cải tiến về quyền riêng tư này ảnh hưởng như thế nào đến phương thức các công ty xác định lưu lượng truy cập nào là của con người và lưu lượng nào là giả mạo, và từ đó đánh giá tác động lên việc ngăn chặn gian lận trực tuyến.

Vấn đề "dương tính giả"

Theo định nghĩa, dương tính giả là khi phần mềm bảo mật của bạn phân loại không chính xác lưu lượng truy cập hợp pháp của con người là độc hại. Khi nói đến việc giảm thiểu bot, khi các quy tắc càng được điều chỉnh mạnh mẽ, chúng càng dễ bị dương tính giả, bởi vì nó cần nhanh chóng quyết định xem có cấp yêu cầu cho điểm rủi ro không xác định. Do đó, người dùng thực thường vô tình bị chặn khỏi các trang web hoặc cần được cung cấp CAPTCHA để xác thực mới được phép vào.

Không một công ty nào muốn ngăn người dùng hợp pháp truy cập vào website doanh nghiệp của họ, tuy nhiên quá lỏng lẻo trong các biện pháp bảo vệ sẽ dẫn đến lưu lượng truy cập kém, nhưng quá mạnh sẽ tạo ra trải nghiệm người dùng kém và làm giảm chuyển đổi trực tuyến. Các giải pháp lại quá thường xuyên phát sinh lỗi trong trường hợp thứ hai.

Con người ngụy trang

Với sự gia tăng của các biện pháp bảo vệ quyền riêng tư và những cài đặt có thể tùy chỉnh, người dùng hàng ngày có quyền che giấu họ là ai và họ làm gì trên internet. Những thay đổi này đã được ủng hộ rộng rãi bởi người tiêu dùng và những người ủng hộ quyền riêng tư, nhưng trớ trêu thay, việc hướng tới quyền riêng tư hơn trên web thực sự có thể làm tổn hại đến bảo mật tổng thể của cả website.

Xu hướng này vô tình làm trầm trọng thêm các hiện tượng dương tính giả và khiến các giải pháp phụ thuộc vào đánh giá điểm số rủi ro và dựa trên quy tắc truyền thống không đủ khả năng để phát hiện các yêu cầu truy cập tự động, độc hại.

"Vân tay" của thiết bị

Để hiểu tại sao đây là một vấn đề như vậy, trước tiên bạn phải biết cách hoạt động của phần lớn các giải pháp phát hiện bot. Họ chủ yếu dựa vào vân tay của thiết bị để phân tích các thuộc tính của thiết bị và hành vi độc hại. Việc xác định vân tay thiết bị được thực hiện ở phía máy khách và thu thập thông tin như địa chỉ IP, tiêu đề tác nhân người dùng, thuộc tính thiết bị nâng cao (ví dụ: lỗi phần cứng) và mã nhận dạng cookie.

Trong những năm qua, thông tin thu thập được từ vân tay của thiết bị đã trở thành yếu tố chính mà các công cụ phân tích thông tin sử dụng để quyết định xem lưu lượng truy cập là bot hay con người. Theo lý thuyết, vân tay của thiết bị được cho là giống như vân tay thật, mỗi dấu vân tay là duy nhất và có thể dễ dàng nhận dạng người dùng này với người dùng khác.

Công nghệ lấy dấu vân tay đã phát triển bằng cách thu thập ngày càng nhiều thông tin từ phía khách hàng. Nhưng điều gì sẽ xảy ra khi vân tay của thiết bị do con người hiển thị bắt đầu giống vân tay của bot độc hại?

Thật không may, đây là những gì đang xảy ra do xu hướng bảo mật trực tuyến. Bằng chứng về một người dùng hợp pháp có được thông qua các phương pháp lấy dấu vân tay trên thiết bị đang biến mất.

Thật khó để khẳng định rằng tính năng lấy dấu vân tay trên thiết bị vẫn có thể là một công cụ chính xác để bảo vệ khỏi các bot độc hại. 

Dưới đây là một số xu hướng bảo mật trực tuyến đang làm giảm hiệu quả của dấu vân tay kỹ thuật số:

1. Mạng proxy ở khu dân cư

Ai cũng biết rằng các nhà khai thác bot tận dụng các mạng proxy dân cư để che giấu các hoạt động gian lận của họ đằng sau các địa chỉ IP dường như vô hại. Ngoài ra còn có sự gia tăng người dùng hợp pháp vượt ra ngoài các proxy trung tâm dữ liệu truyền thống để ẩn mình sau cùng một loại mạng proxy khu dân cư. Mạng proxy dân cư ngày càng trở nên rẻ hơn, và trong một số trường hợp, miễn phí; chúng cung cấp sự kết hợp dường như vô tận giữa địa chỉ IP và tác nhân người dùng để che giấu hoạt động.

Trong khi một số người dùng này ẩn sau proxy dân cư vì những lý do đáng ngờ, chẳng hạn như để vượt qua quyền truy cập vào nội dung bị hạn chế (ví dụ: hạn chế về địa lý), nhiều người sử dụng nó để thực sự đảm bảo quyền riêng tư của họ khi trực tuyến và bảo vệ dữ liệu cá nhân không bị đánh cắp.

Lưu lượng bởi bot và con người trông giống nhau một cách đáng kể khi ẩn sau proxy dân cư. Bạn không thể dựa vào địa chỉ IP và tác nhân người dùng để phân biệt giữa con người và bot độc hại khi ẩn sau chúng.

2. Chế độ Bảo mật và Trình duyệt riêng tư

Các chế độ duyệt web riêng tư, chẳng hạn như Chế độ ẩn danh của Chrome và Duyệt web riêng tư của Edge, làm giảm mật độ thông tin được lưu trữ về bạn. Các chế độ này thực hiện các biện pháp vừa phải để bảo vệ quyền riêng tư của bạn. Ví dụ: khi bạn sử dụng duyệt web ở chế độ riêng tư, trình duyệt của bạn sẽ không còn lưu trữ lịch sử xem, cookie được chấp nhận hoặc các biểu mẫu đã hoàn thành. Người ta ước tính rằng hơn 46% người Mỹ đã sử dụng chế độ duyệt web riêng tư trong trình duyệt mà họ lựa chọn.

Ngoài ra, các trình duyệt bảo mật, như Brave, Tor, Yandex, Opera và Firefox tùy chỉnh đưa quyền riêng tư trên web lên một tầm cao mới. Họ thêm các lớp bổ sung, chẳng hạn như chặn hoặc lấy dấu vân tay thiết bị ngẫu nhiên, cung cấp tính năng bảo vệ theo dõi (kết hợp với các công cụ tìm kiếm quyền riêng tư như DuckDuckGo để tránh theo dõi lịch sử tìm kiếm) và xóa cookie - khiến trình theo dõi quảng cáo không hiệu quả.

Các trình duyệt bảo mật này chiếm khoảng 10% tổng thị trường hiện nay và ngày càng phổ biến. Họ có đủ thị phần để đưa ra những thách thức lớn đối với các giải pháp phát hiện chống bot dựa vào vân tay thiết bị. Với thị phần tiếp tục được mở rộng, ngày càng rõ ràng rằng nhận dạng thiết bị nâng cao và cookie của bên thứ nhất cũng sẽ sớm không còn hiệu quả trong việc xác định sự khác biệt giữa bot và con người.

3. Theo dõi cookie của bên thứ 3

Sẽ luôn có một tỷ lệ phần trăm đáng kể người dùng Internet không sử dụng các chế độ hoặc trình duyệt bảo mật; nói một cách đơn giản, Google và Microsoft có quá nhiều thị phần. Nhưng ngay cả đối với những người dùng này, việc lấy dấu vân tay thiết bị sẽ ngày càng khó khăn. Ví dụ là do động thái công khai rộng rãi của Google nhằm loại bỏ theo dõi cookie của bên thứ ba. Trong khi đã bị trì hoãn đến năm 2023, động thái này chắc chắn sẽ khiến việc xác định hành vi bị nghi ngờ trở nên khó khăn hơn.

Cookie của bên thứ 3 được thu thập từ quy trình lấy dấu vân tay thiết bị thường được sử dụng như một dấu hiệu nhận biết về tự động hóa do bot điều khiển. Nói cách khác, nếu một phiên truy cập có tập hợp cookie của bên thứ 3 được xác định đã cố gắng thực hiện 100 lần đăng nhập, thì đó là một chỉ báo cho thấy cần phải xác thực lại và thiết lập một phiên mới vì đây không có khả năng là con người.

Cookie của bên thứ 3 đang nhanh chóng trở thành một ngõ cụt khác khi phân biệt giữa con người và lưu lượng truy cập tự động độc hại.

Chúng ta sẽ đi đâu từ đây?

Cách thức lưu lượng truy cập được kiểm tra để xác định con người hoặc bot cần phải thích ứng với các tùy chọn quyền riêng tư đang thay đổi của người dùng hàng ngày. Chúng ta không còn dựa hoàn toàn vào dấu vân tay kỹ thuật số, cookie hoặc các công cụ nhận dạng và đo lường truyền thống khác.

Điều này tạo ra một vấn đề thực sự cho các công ty đã thiết lập các quy trình dựa trên các biện pháp bảo vệ này. Nếu thường xuyên chặn lưu lượng truy cập hợp pháp, công ty sẽ phải đối mặt với mối đe dọa thực sự khi đẩy khách hàng của mình đến trang web của đối thủ cạnh tranh. Đồng thời, họ cũng không thể thực hiện cách tiếp cận ngược lại và chỉ cần nới lỏng các quy tắc và hạn chế đến mức bạn đã giúp lưu lượng truy cập dễ dàng hơn - và tạo ra các vấn đề bảo mật cho doanh nghiệp.

Các phương pháp tiếp cận hiện đại cho vấn đề này cần phải phát triển và có tầm nhìn xa hơn những nỗ lực cập nhật hoặc điều chỉnh các phương pháp lấy dấu vân tay kế thừa này và lật ngược cách tiếp cận. Thay vào đó, hãy tìm kiếm bằng chứng rõ ràng, không thể chối cãi về tự động hóa xuất hiện bất cứ khi nào bot tương tác với các trang web, ứng dụng di động hoặc API. Mọi yêu cầu phải tự chứng minh là hợp pháp, thay vì giải pháp bảo mật đang tìm cách xác định xem nó có phải là sai hay không. Ý tưởng áp dụng phương pháp zero-trust để giảm thiểu bot có tầm quan trọng hơn nhiều do những thay đổi trong tùy chọn quyền riêng tư của người dùng. Giả sử lưu lượng truy cập là có tội và sau đó để nó chứng minh sự vô tội trước khi cho phép nó vào hệ thống của bạn. Không cần  đến điểm rủi ro, quy tắc hoặc mã CAPTCHA. Nắm bắt triết lý này sẽ giúp bạn loại bỏ những mặt tích cực và tiêu cực sai lầm chắc chắn xảy ra do sự chuyển dịch sang một trang web riêng tư hơn./.