An ninh mạng: Phòng thủ không tốt, đáp trả là tự sát!
Thứ sáu, 29/03/2013 - 07:04 PM (GMT+7)
[+] Cỡ chữ: Mặc định
Giám đốc TrendMicro Việt Nam và Campuchia Ngô Việt Khôi tại Security World 2013.

NDĐT – Trả lời câu hỏi Việt Nam có đủ khả năng phòng thủ và đáp trả một cuộc tấn công mạng giống như nước Mỹ vừa trải qua hay không, ông Ngô Việt Khôi, Giám đốc TrendMicro Việt Nam và Campuchia cho rằng, bản thân phòng thủ đã là một việc phức tạp, nếu phòng thủ không tốt thì đáp trả là tự sát.

 

Tại Hội thảo - Triển lãm Quốc gia An ninh bảo mật - Security World 2013 với chủ đề “An ninh thông tin: Các xu thế và thách thức trong kỷ nguyên công nghệ số mới” vừa diễn ra tại Hà Nội, Giám đốc TrendMicro Việt Nam và Campuchia Ngô Việt Khôi đã chia sẻ về hiện trạng an toàn thông tin (ATTT) và kiến nghị giải pháp cho vấn đề này tại Việt Nam.

Nhiều lĩnh vực đang là đích ngắm của hacker

- Ông đánh giá như thế nào về tình hình mất ATTT hiện nay trên thế giới và tại Việt Nam?

- Năm 2013 được dự báo là năm của tấn công có chủ đích và đánh cắp dữ liệu. Loại tấn công nổi bật sẽ là APT (Advanced Persistent Threats) là loại tấn công âm thầm, không phá hỏng file/máy tính, do vậy có thể gây ra nhầm lẫn rằng năm nay là một năm yên tĩnh. Ngay từ đầu năm 2013 chúng ta đã chứng kiến một danh sách nối dài những nạn nhân của loại tấn công này như Tổng cục thuế Australia, Cục dự trữ liên bang Mỹ, Facebook, Twitter, tạp chí Wall Street, …

Một thí dụ cụ thể của tình hình mất ATTT tại Việt Nam mà Trend Micro quan trắc được dựa trên tìm hiểu các server điều khiển và ra lệnh (C&C Communication Server) có quan hệ với một biến thể của Enfal, một malware đã xâm nhập 874 hệ thống tại 33 nước. Enfal là loại malware được sử dụng trong đợt tấn công LURID, là đợt tấn công mà Trend Micro đã có một báo cáo phân tích cụ thể tháng 9-2011. Các nạn nhân của malware này tập trung nhiều nhất tại Việt Nam, Nga và Mông Cổ và chia làm năm loại đối tượng gồm: cơ quan chính phủ, bộ ngành; các cơ quan quốc phòng và nhà thầu quân sự; lĩnh vực hạt nhân và năng lượng; hàng không và vũ trụ; chính quyền Tây Tạng.

Với đối tượng thứ nhất, Việt Nam đứng đầu top năm nước bị loại malware này xâm nhập và lấy dữ liệu với 394 hệ thống. Xin lưu ý, một hệ thống được liệt kê có thể kết nối với một hoặc nhiều server.

- Vậy theo ông, Việt Nam có đủ khả năng phòng thủ và đáp trả một cuộc tấn công mạng giống như nước Mỹ vừa trải qua hay không?

- Đây là một câu hỏi khó trả lời và nhạy cảm. Bản thân phòng thủ đã là một việc phức tạp, nếu anh không phòng thủ tốt thì đáp trả là tự sát.

Nếu so sánh những gì chúng ta đang có so với một nước Mỹ hiện đại và giàu có, câu trả lời dường như đã có. Có thể cuộc tấn công mạng bạn nói tới đã được bắt đầu từ lâu, âm thầm và đạt những hiệu quả nhất định, mà chúng ta không biết hoặc biết mà chưa có giải pháp thích đáng.

Trong thực tế, từ nhiều năm qua, các cơ quan chính phủ như các bộ ngành, các doanh nghiệp lớn có vai trò đáng kể trong nền kinh tế như năng lượng, hàng không, viễn thông… đã là đích ngắm của hacker, cả trong nước và nước ngoài. Các hacker trước đây phần lớn hoạt động vì động cơ cá nhân (để nổi tiếng, vì tiền), nhưng ngày nay rất nhiều cuộc tấn công đánh cắp dữ liệu ngoài động cơ tài chính còn có thể có động cơ chính trị, mà đứng sau nó là một chính phủ hoặc một nước.

Về nguyên tắc, tất cả những dữ liệu có giá trị đều có người quan tâm. Với đặc thù CNTT ở Việt Nam, các lỗ hổng bảo mật không khó để tìm ra và tiếp cận, đôi khi đơn giản đến không ngờ.

Năm khả năng khiến hacker tấn công

- Với kinh nghiệm của mình, ông có thể đưa ra những thí dụ cụ thể về những khả năng khiến hacker tiếp cận với người sử dụng không?

- Tôi có thể kể ra một vài ví dụ cụ thể như:

Thói quen sử dụng

Mặt trái của thói quen sử dụng phần mềm bị bẻ khóa (crack), không licence, phần mềm miễn phí… là những lỗ hổng bảo mật không có bản vá trong tương lai. Các CD-ROM phần mềm dễ dàng mua được với giá vài nghìn đồng, một thể hiện của bản quyền và sở hữu trí tuệ được bảo vệ lỏng lẻo như thế nào, lại tiếp tay nhân rộng những lỗ hổng này khi các phần mềm cũ và bị crack đó tiếp tục được cài đặt và nhân bản để bán.

Ở Việt Nam, Webmail miễn phí (như Gmail, Yahoo…) được sử dụng rất phổ biến cho mục đích công việc, chính là cơ hội tốt để các e-mail và đường link có chứa mã độc tiếp cận với máy tính người dùng. Chưa hết, khi dùng những webmail miễn phí này, các thông tin của bạn luôn nằm trên datacenter của nhà cung cấp dịch vụ ở nước ngoài.

Quy trình làm dự án

Chúng ta đã đầu tư rất nhiều cho hạ tầng CNTT trong 20 năm qua để làm được các ứng dụng quan trọng, nhưng đôi khi không đầu tư thích đáng cho phần ATTT để bảo vệ ứng dụng đó. Tỷ trọng giải pháp ATTT chiếm một vài phần trăm trong các dự án CNTT. Nếu ngân sách cho CNTT bị cắt giảm hoặc treo lại vì một lý do nào đó, sẽ không có một sự ưu ái nào cho gói ATTT, kể cả khi licence của các phần mềm ATTT đang sử dụng đã quá hạn cập nhật. Và sẽ không có ai thắc mắc về điều này đâu, nhất là các nhà quản lý.

Thêm vào đó, lối mòn của quy trình làm dự án, phê duyệt, xin ngân sách, tư vấn, thẩm định, đấu thầu… với thời gian trung bình 12-18 tháng, đôi khi lâu hơn, làm những vấn đề mất ATTT nghiêm trọng phát hiện ra hôm nay, từ từ được giải quyết vào năm sau “do cơ chế”. Trách nhiệm không quy được vào ai cũng làm cho các nỗi sợ mất ATTT được đơn giản đi rất nhiều

Chưa chú trọng xây dựng chính sách (Policy) bảo mật

Khá nhiểu chuyên viên IT có một quan niệm đáng lo ngại là cài phần mềm diệt virus là yên tâm về vấn đề bảo mật (?!). Virus được thiết kế để tấn công không có chủ đích với những máy tính dính phải chúng, ta có thể khôi phục hoạt động của máy tính và file bằng phần mềm diệt virus. Nhưng những hiểm họa hiện nay lại đến từ zero-day malware, với tốc độ phát sinh hàng chục nghìn biến thể mỗi giờ, tấn công âm thầm đánh cắp dữ liệu mà không phá hoại hệ thống và nhiều trường hợp được thiết kế riêng cho đối tượng bị tấn công sau một quá trình trinh sát âm thầm.

Không nhiều doanh nghiệp ở Việt Nam chú trọng xây dựng chính sách ATTT và thực thi nghiêm túc, cấp thực quyền cho Admin. Theo đặc thù địa lý, các doanh nghiệp lớn, doanh nghiệp nhà nước, cơ quan chính phủ đều trải dọc theo cả nước với nhiều tầng, nhiều lớp mạng từ trung ương đến địa phương. Admin tại Trung ương không thể kiểm soát được ATTT tới cấp địa phương nếu không có công cụ áp đặt và kiểm soát policy. Không hiếm trường hợp, tại hội sở chính triển khai phần mềm ATTT A nhưng ở cấp địa phương gỡ ra cài phần mềm ATTT B vì được tặng miễn phí hoặc “cảm thấy” B tốt hơn. Tương tự như vậy, việc cắm thiết bị lưu trữ USB cũng phải được kiểm soát và phân quyền chắt chẽ.

Chính sách ATTT cũng bao gồm việc kiểm soát smartphone và máy tính cá nhân dùng vào mục đích công việc. Số ứng dụng Android có chứa mã độc được ghi nhận ở mức vài nghìn vào đầu 2012 sẽ vượt mức 1 triệu vào cuối 2013.

Tiếp tục sử dụng công nghệ cũ để đối phó với hiểm họa mới

Đa phần các phần mềm bảo mật cho máy tính cá nhân, hay nôm na là “diệt virus”, bán trên thị trường hiện nay đều sử dụng công nghệ nhận dạng và ngăn chặn hiểm họa dựa trên so sánh với mẫu trong file signature hay gọi là pattern file. Đây là công nghệ được sử dụng từ vài chục năm trước, việc làm ra bản vá khắc chế được mã độc, mất từ vài giờ tới vài chục giờ tùy vào công ty bảo mật. Chính vì vậy, những zero-day malware, ra đời sau mỗi vài phần chục giây, có thể dễ dàng lọt qua các phần mềm “diệt virus” này như những thông tin tốt và tự do phát tác mà không lo bị phát hiện. Chỉ có dùng công nghê nhận dạng điện toán đám mây với lượng mẫu khổng lồ được thu thập và phân tích theo thời gian thực mới đủ năng lực bóc tách được hành vi của các malware này.

Chi khoản tiền lớn mua phần mềm anti-virus chưa đủ

- Theo ông, các tổ chức, doanh nghiệp và đặc biệt là các cơ quan nhà nước cần phải làm những gì để nâng cao tính bảo mật, an toàn thông tin trong đơn vị mình?

- Các cơ quan quản lý nhà nước như Bộ Thông tin - Truyền thông chắc chắn đã có nhiều chính sách, hướng dẫn cụ thể cho việc này nên tôi xin không trả lời chi tiết.

Trên quan điểm cá nhân, tôi xin đưa ra một số khuyến nghị như sau: nên sử dụng phần mềm có bản quyền để hạn chế các lỗ hổng bảo mật. Sử dụng các giải pháp vá ảo để tự động ngăn ngừa các lỗ hổng bảo mật đã biết và chưa biết. Ưu tiên sử dụng các giải pháp ATTT sử dụng điện toán đám mây làm cơ chế nhận dạng và ngăn chặn hiểm họa, hạn chế dần các giải pháp sử dụng công nghệ nhận dạng hiểm họa truyền thống. Xây dựng và áp đặt chính sách ATTT, thậm chí có thể đưa ra các mẫu (template) cho các loại hình doanh nghiệp lớn nhỏ như một dạng khuyến nghị.

- Còn Nhà nước nên có những chính sách và biện pháp cụ thể nào để nâng cao khả năng phòng thủ và đáp trả những cuộc tấn công mạng?

- Ngoài việc quản lý nhà nước như thành lập các cơ quan chuyên trách về an ninh mạng và xây dựng chế tài xử lý tội phạm mạng, chúng ta còn rất nhiều việc phải làm để nâng cao khả năng phòng thủ mà giải quyết một số điểm nêu trên chưa phải là tất cả.

Để phòng thủ và tự bảo vệ một cách hiệu quả, ngoài việc chú trọng đào tạo nguồn lực CNTT có định hướng về ATTT, hợp tác tốt với cộng đồng hacker, chúng ta còn cần tới những công cụ mạnh, sử dụng công nghệ nhận dạng hiện đại để chủ động dò quét các lỗ hổng bảo mật và phân tích các hiểm họa đang chạy âm thầm trong hệ thống. Từ đó việc đầu tư tiếp theo để phòng thủ như thế nào và ở đâu mới chính xác. Điều này có hiệu quả hơn rất nhiều việc chi các khoản tiền lớn mua phần mềm anti-virus hoặc các giải pháp ATTT manh mún và hài lòng với việc đó.

Cần có cơ chế mở để kết nối và chia sẻ nguồn lực, kinh nghiệm của các đơn vị an ninh mạng với nhau như Hàn Quốc, Nhật Bản đã làm thay vì để các đơn vị hoạt động độc lập. Dữ liệu thì có thể riêng biệt nhưng kiến thức, kinh nghiệm thì cần được chia sẻ.

- Xin cảm ơn ông!

 


Quy trình tấn công APT để lấy cắp dữ liệu.


Bảngmiêu tả thời gian trung bình mà các hãng bảo mật cần tới để đưa ra bản vá cho một mã độc được phát hiện.


Sự khác biệt giữa APT, Bot và Malware.

PHẠM TRUNG