Bảo mật 2006: Khủng hoảng niềm tin

Số vụ tấn công giảm nhưng các cuộc tấn công ngày càng có chủ đích và nghiêm trọng hơn. Khảo sát của InfoWorld cho thấy sự khủng hoảng niềm tin trong giới chuyên gia bảo mật CNTT.

Khó tìm được ví dụ nào tốt hơn về sự khủng hoảng của giới CNTT như trường hợp của Brent Oxley, chủ nhân của công ty dịch vụ hosting HostGator: các website khách hàng của công ty anh bị chuyển hướng đến các địa chỉ web “đen” và thả virus lên máy tính của người dùng cuối. Mỗi khi nhân viên của Oxley “tẩy” sạch một máy tính thì một máy khác trong mạng lại bị “dính đòn”. Oxley như bị mắc kẹt trong trò chơi trốn tìm, đồng thời phải lo xoa dịu sự tức giận của khách hàng và người dùng cuối.

Chiều hướng xấu

Theo khảo sát của InfoWorld, chỉ có phân nửa số người phụ trách vấn đề bảo mật cho các công ty cảm thấy “hơi tự tin” vào hệ thống bảo mật của công ty mình. Sự gia tăng của malware và phishing đã gây nên tâm lý “rụt rè” này.

Nếu năm 2005 ghi nhận việc các tay hacker trẻ tuổi ham vui nhường chỗ cho các tội phạm chuyên nghiệp, thì năm 2006 cho thấy mức độ nguy hiểm của tội phạm có tổ chức. Phần mềm phá hoại (malware) sắc sảo hơn và khó phát hiện hơn, luồn sâu hơn vào hệ điều hành và các ứng dụng để lục lọi thông tin nhạy cảm. Thậm chí công cụ tạo malware và phishing còn được rao bán trên mạng. Bọn tội phạm thường “trắng trợn” đề nghị đảm nhận việc bảo mật cho công ty có hệ thống mạng bị tấn công, dĩ nhiên là có phí. Không chỉ các công ty lớn mà cả các công ty nhỏ cũng bị tấn công.

Cuộc tấn công vào HostGator có nhiều dấu hiệu đặc trưng của các mối đe dọa bảo mật ngày càng tinh vi hiện nay, và chủ yếu khai thác các lỗ hổng bảo mật trong Windows và các ứng dụng. Điều này phản ánh trong kết quả khảo sát: 51% người tham gia cho rằng mức độ tinh vi ngày càng tăng của các cuộc tấn công là thách thức hàng đầu cho vấn đề bảo mật, trong khi đó 50% cho rằng Trojan, virus và các loại mã độc khác là mối đe doạ hàng đầu cho bảo mật mạng.

Theo Eric Sites, phó chủ tịch bộ phận R&D của Sunbelt Software, những năm trước đây Trojan thường nạp đầy máy tính các phần mềm quảng cáo được viết rất kém vì vậy dễ làm treo máy. Chúng gây phiền toái nhưng không là gì so với malware hiện nay: đánh cắp password, gửi spam và gia nhập mạng lưới phá hoại. Vấn đề càng tồi tệ hơn: bọn tội phạm đã bắt đầu tổ chức “chợ ảo” để buôn bán password và những thông tin khác thu thập được qua malware.

Số lượng giảm, độ nghiêm trọng tăng

Các chuyên gia bảo mật thông báo mức giảm khiêm tốn số cuộc tấn công trên mạng của họ trong 12 tháng qua, trung bình mỗi công ty bị 331 cuộc tấn công thăm dò và 39 cuộc thành công. Có cải thiện so với trung bình 368 cuộc thăm dò và 44 cuộc thành công ghi nhận được trong khảo sát năm rồi.

Tuy nhiên điều này không chứng tỏ rằng mạng an toàn hơn – theo Jon Ramsey, giám đốc kỹ thuật của SecureWorks, công ty chuyên giám sát các cuộc tấn công trên Internet. Mặc dù số lượng cảnh báo tính chung giảm, nhưng số cuộc tấn công nghiêm trọng đang tăng nhanh. Lý do số cuộc tấn công giảm theo lập luận của Ramsey đáng lo ngại: các tay hacker vì động cơ lợi nhuận không muốn phí thời giờ hoặc đã sử dụng những kỹ thuật tinh vi hơn.

Trong số các cuộc tấn công thành công, cách thức phổ biến nhất là giả mạo "nhân dạng" của một công ty để lừa khách hàng - kỹ thuật tấn công phishing thông dụng. Việc này không có gì ngạc nhiên vì chỉ cần 50USD người ta có thể mua được “đồ nghề” phishing cung cấp sẵn các trang mẫu làm giả cả những website ngân hàng lớn. Tình hình càng xấu hơn, phishing thoạt đầu chỉ nhắm đến các công ty lớn như eBay, giờ đây đe doạ cả những công ty nhỏ.

Năm nay là năm thứ hai liên tiếp ghi nhận sự sụt giảm số cuộc tấn công thành công khai thác lỗ hổng của các hệ điều hành. Chỉ có 23% số người tham gia khảo sát cho biết bị đột nhập, so với 24% của năm 2005 và 40% của năm 2004. Tương tự, các báo cáo về những vụ tấn công khai thác điểm yếu của các ứng dụng web, router và các thành phần khác của hạ tầng mạng đều giảm hoặc bằng với năm rồi.

Theo John Pescatore, phó chủ tịch về mảng bảo mật Internet của Gartner, thì các hãng cung cấp phần mềm dường như cũng nhận thức được rằng doanh nghiệp đánh giá cao tính năng bảo mật của sản phẩm mà họ muốn mua, vì vậy ngày càng có nhiều hãng áp dụng việc kiểm tra lỗ hổng bảo mật trước.

Hiểm họa bên trong

Do hấp lực của đồng tiền, nhân viên trong công ty có thể trở thành mối đe dọa nếu công ty không có kế hoạch bảo mật cẩn thận. Có 42% người tham gia cho biết công ty của họ không có chính sách bảo mật bằng văn bản rõ ràng (có cải thiện chút ít so với 46% của năm rồi).

Thật đáng lo khi 18% của nhóm có chính sách bảo mật lại không huấn luyện nhân viên của mình cách thức thực hiện. Pecastore cho rằng tuy việc thực hiện chính sách bảo mật tốn nhiều công sức nhưng không quá tốn kém, và cho biết trên website của SAN Institute (www.sans.org) cũng có cung cấp miễn phí bản thảo về chính sách bảo mật.

Việc không thực hiện hay bắt buộc nhân viên tuân thủ chính sách bảo mật lý giải cho danh sách dài sọc các tin nổi bật liên quan đến việc xâm phạm thông tin cá nhân trong năm qua. Một trong những vụ nổi tiếng đó là chiếc máy tính xách tay chứa thông tin mật liên quan đến khoảng 26,5 triệu cựu quân nhân ở Mỹ bị trộm tại nhà của một nhân viên thuộc Văn phòng cựu quân nhân. Vấn đề đáng nói là nhân viên này không được phép mang dữ liệu về nhà.

Sự việc cho thấy ngay cả khi có chính sách bảo mật nghiêm ngặt thì việc buộc nhân viên tuân thủ cũng không phải dễ. Việc này được củng cố qua số liệu khảo sát của Infoworld: chỉ có 55% người tham gia cho biết có triển khai phần mềm mã hoá trên PC và thiết bị cầm tay - một biện pháp có thể bảo vệ dữ liệu khi rơi vào tay kẻ xấu.

Mối đe dọa từ nhân viên thật sự là nỗi lo của các chuyên gia bảo mật, 56% cho rằng đây là thách thức quan trọng cho việc bảo mật. Có người còn đặc biệt lo ngại về nguy cơ của “kỹ thuật tâm lý”: tội phạm có thể dụ dỗ hay thông qua người thân của nhân viên để moi thông tin mật.

Giám sát nhân viên

Các công ty hiện đang tìm giải pháp chống lại nguy cơ nhân viên đánh cắp dữ liệu. Cùng với các phần mềm chống virus, firewall và VPN vốn đã được dùng nhiều năm nay để ngăn chặn tin tặc, các chuyên gia CNTT giờ đây còn cần thêm sản phẩm giúp bảo toàn thông tin. Có 24% chuyên gia bảo mật tham gia khảo sát cho biết họ đã triển khai các giải pháp giám sát nhân viên, 8% khác cho biết có kế hoạch đề xuất hệ thống như vậy trong năm tới, 44% có giám sát hay lọc email đi ra ngoài, 8% nói sẽ bắt đầu thực hiện như vậy trong 12 tháng tới.

Ví dụ, Jim Brockett, CIO của Washington Trust Bank, đã sử dụng một dịch vụ giám sát của công ty NexSentry để bảo vệ dữ liệu khỏi bị nhân viên đánh cắp. Dịch vụ này thông báo cho anh mỗi khi có nhân viên sao chép thông tin từ ứng dụng được bảo vệ (như cơ sở dữ liệu ngân hàng) và dán vào ứng dụng không được bảo vệ (như trình duyệt web hay trình email). Giải pháp này cũng ngăn chặn việc sử dụng bút nhớ flash và các thiết bị USB không được phép khác.

Khi được sử dụng đúng, công nghệ truyền thống cũng có thể cung cấp những vũ khí quan trọng cho cuộc chiến bảo mật. Nhưng những người tham gia khảo sát cho biết họ cần những công nghệ mới có thể làm được nhiều việc hơn ngoài việc quét tìm mã độc hay phát hiện tấn công thăm dò. “Chúng ta cần chuyển sang hình thức giám sát theo hành vi, chẳng hạn việc máy tính được kích hoạt lúc 3 giờ sáng để gửi email”, theo Dave Rand, giám đốc kỹ thuật phục trách mảng bảo mật nội dung Internet của Trend Micro.

Giả sử các nhà cung cấp giải pháp bảo mật có thể phát triển những sản phẩm tinh vi như vậy thì liệu chúng có được chấp nhận trong thị trường đã đầy các giải pháp bảo mật đắt tiền. Theo khảo sát, chỉ có 35% người tham gia hy vọng ngân sách bảo mật của họ được tăng lên vào năm sau.

HostGator đáp trả

Trở lại với trường hợp của HostGator, Oxley và cộng sự của mình cuối cùng đã phát hiện tin tặc xuyên thủng hàng rào phòng vệ thông qua một lỗ hổng trong ứng dụng quản lý website. Sau khi vào được bên trong, tin tặc sử dụng các máy chủ của HostGator làm bàn đạp để khai thác một điểm yếu khác và sau đó lây nhiễm hơn 200 máy chủ phục vụ cho 500.000 domain do HostGator quản lý (chúng cũng nhắm đến ít nhất 2 dịch vụ host khác, theo Oxley).

Mặc dù vụ việc cuối cùng đã được giải quyết, nhưng Oxley, cũng như nhiều người khác, vẫn lo ngại: “Rất có khả năng vào một buổi sáng nào đó, chúng ta thức dậy và chứng kiến một cuộc tấn công làm tê liệt tất cả các công ty hosting”.

Nguyễn Lê