Các tổ chức có thể làm được gì để bảo vệ mình trước những cuộc tấn công mạng?

Sự tàn phá, những con số thiệt hại lên đến hàng tỷ đô la được gây ra bởi các cuộc tấn công mạng vốn đang ngày càng mở rộng trên khắp thế giới về quy mô, cách thức và mức độ nguy hiểm, khiến các tổ chức chính phủ, những doanh nghiệp dù nhỏ hay lớn đều phải đau đầu suy nghĩ về việc triển khai thế nào, đầu tư ra sao để bảo vệ hệ thống kỹ thuật số của mình nói chung, cũng như lượng thông tin giá trị được lưu trữ bên trong các hệ thống đó nói riêng.

Trong một thời gian dài, các chuyên gia an ninh mạng đã khai thác triệt để tác dụng của những bức tường lửa, được dựng lên để ngăn chặn lưu lượng truy cập không mong muốn, cũng như thiết lập các mục tiêu giải mã trên hệ thống mạng của mình để đánh lạc hướng sự xâm nhập của tin tặc. Ngoài ra, họ cũng đã không ngừng lùng sục, hay nói đúng hơn là đẩy mạnh các biện pháp phòng vệ từ xa trước các cuộc tấn công có thể xảy ra, nhằm đưa ra phương án đối phó thích hợp, giúp giảm thiểu đến mức tối đa thiệt hại có thể xảy ra cho chính họ và khách hàng của họ. Tuy nhiên, điều đó cũng cho thấy một thực tế đáng buồn là các chuyên gia bảo mật luôn là người ở thế bị động trước tin tặc, vậy nên áp lực được đặt lên vai họ là vô cùng lớn.

Ở thời điểm hiện tại, mặc dù nhiều nhà quản lý, các quan chức trong lĩnh vực bảo mật thông tin đang bắt đầu nghĩ về việc đẩy mạnh hơn nữa các hoạt động phòng thủ của họ bằng cách thực hiện những biện pháp chủ động hơn, thế nhưng chúng ta cũng có thể thấy đã có sự manh nha xuất hiện của một vài biện pháp cực đoan trong lĩnh vực phòng vệ chủ động, trong đó nổi bật lên một phương thức đôi khi được gọi là "hack back - tấn công ngược trở lại" vào hệ thống của đối phương để thu thập manh mối về những gì chúng đang thực hiện, ngăn chặn cuộc tấn công hoặc thậm chí xóa bỏ dữ liệu và làm hỏng máy tính của kẻ tấn công.

• Các điều khoản của Bộ luật hình sự liên quan đến lĩnh vực công nghệ thông tin, mạng viễn thông

Nhiều cuộc nghiên cứu về lợi ích và hạn chế của các biện pháp phòng thủ tích cực khác nhau đã được tiến hành. Trong đó, nổi bật là công trình nghiên cứu của các chuyên gia bảo mật Danuvasin Charoen đến từ Viện Quản lý Phát triển Quốc gia Thái Lan và Kalea Miao, một học giả thuộc Đại học Kinh doanh Kelley (thuộc Đại học Indiana, Hoa Kỳ). Công trình nghiên cứu này đã tìm thấy một số lượng đáng kinh ngạc các công ty cũng như tổ chức chính phủ - đã sử dụng nhiều cách thức khác nhau nhằm chiếm thế chủ động hơn trong các hoạt động an ninh mạng của mình, nhưng vấn đề nằm ở chỗ các tổ chức lại rất ít khi phô trương về những biện pháp mà họ sử dụng.

Giành lấy sự chủ động

Nhìn vào bề nổi, có vẻ như câu thành ngữ “The best defense is a good offense” - tạm dịch: Đôi khi cách phòng thủ hiệu quả nhất chính là chủ động tấn công, đang mô tả rất chính xác tình hình bảo mật, an ninh mạng ở thời điểm hiện tại. Như chúng ta đều biết, thiệt hại gây ra từ các cuộc tấn công mạng có thể rất khủng khiếp. Vào tháng 5 năm 2017, cuộc tấn công mạng phức tạp có tên WannaCry đã làm chao đảo thế giới công nghệ thông tin. Cụ thể, cuộc tấn công này đã ảnh hưởng đến hàng trăm ngàn hệ thống máy tính trên khắp thế giới và gây ra thiệt hại lên tới hơn 4 tỷ USD cho chi phí phục hồi dữ liệu và năng suất của các hệ thống về trạng thái ban đầu. Chưa đầy một tháng sau, cuộc tấn công khác, được gọi là NotPetya, đã gây thiệt hại cho công ty vận tải toàn cầu Maersk đến 300 triệu đô la... Và còn rất nhiều vụ việc nghiêm trọng khác.

Trước nguy cơ phải đối mặt với những tổn thất cực lớn từ các cuộc tấn công mạng, một số công ty đã coi việc tăng cường khả năng phòng thủ cho hệ thống của mình là một trong những mối quan tâm hàng đầu. Các công ty lớn, sở hữu hệ thống bảo mật tinh vi biết những gì cần thiết để bảo vệ khách hàng, mạng lưới và những bí mật thương mại có giá trị của họ. Ngoài ra, các công ty này cũng có những nhân viên trình độ cao, sở hữu kỹ năng bảo mật cần thiết để theo dõi hoạt động của tin tặc và thậm chí xâm nhập hệ thống của chính kẻ tấn công. Thế nhưng vấn đề về đạo đức và ý nghĩa của việc biện minh cho một cuộc tấn công mạng là để phòng thủ thường nhanh chóng bị phức tạp hóa và trở thành một cuộc tranh cãi gay gắt.

• Internet đang gặp phải một vấn đề rất lớn với C/C++, khiến các nhà phát triển “toát mồ hôi”

Ranh giới giữa khái niệm tấn công và phòng thủ trong trường hợp này thường không rõ ràng, ví dụ, chính xác ai là người đứng sau một cuộc tấn công? - sự không chắc chắn, những lời phỏng đoán có thể kéo dài trong nhiều ngày, nhiều tháng hoặc thậm chí là nhiều năm. Vậy thì mục tiêu của các cuộc tấn công hack back nên được hiểu như thế nào? Giả sử, điều gì sẽ xảy ra nếu một công ty tư nhân của Hoa Kỳ tin rằng họ đang bị tấn công bởi một công ty thuộc sở hữu của chính phủ Trung Quốc, và nếu công ty Hoa Kỳ tiến hành hack back thì đó liệu có thể được coi là hành động đối đầu giữa 2 quốc gia? Và nếu tệ hơn, cuộc tấn công hack back này thực ra lại được núp bóng bởi một mưu đồ nào đó thì mối quan hệ giữa các doanh nghiệp hay lớn hơn là giữa các quốc gia sẽ bị ảnh hưởng ra sao? Nhìn chung, các công ty, tổ chức không nên được trao quyền để bắt đầu một cuộc xung đột mạng toàn cầu, vốn có thể gây ra hậu quả nghiêm trọng, cả trên phương diện trực tuyến và ngoại tuyến.

Tất nhiên, điều quan trọng là phải suy nghĩ về những gì có thể xảy ra nếu một quốc gia cho phép các công ty của họ tấn công chống lại các nỗ lực của chính phủ hoặc công ty của các quốc gia khác. Lấy ví dụ với Hoa Kỳ, nhiều công ty Hoa Kỳ có thể trở thành nạn nhân của các cuộc tấn công mạng, trong khi những quy định về mặt pháp lý để đòi lại công bằng cho các công ty này lại vô cùng hạn chế.

Tấn công mạng và hệ thống pháp lý

Ở thời điểm hiện tại, hack-back đang được coi là bất hợp pháp ở Hoa Kỳ và nhiều quốc gia khác trên thế giới. Cụ thể ở Hoa Kỳ, các điều khoản trong đạo luật Lừa đảo và Lạm dụng Máy tính (Computer Fraud and Abuse Act) khiến việc truy cập vào một máy tính khác mà không được phép là vi phạm pháp luật. Ngoài ra, các thành viên thuộc G7, bao gồm cả Thái Lan và Úc cũng coi hack-back là hành vi trái pháp luật và phải bị cấm. Trong năm 2018, có hơn 50 quốc gia (không bao gồm Hoa Kỳ) đã đặt bút ký vào một thỏa thuận, trong đó quy định rằng các công ty tư nhân có trụ sở tại quốc gia của họ không được phép tiến hành hack-back cho dù xác định rõ được kẻ đã hack vào hệ thống của mình.

Tuy nhiên, những người ủng hộ chiến thuật phòng thủ chủ động (hack-back) hiện cũng đang đẩy mạnh thông điệp của họ. Trong một động thái ở cuộc bầu cử tổng thống Mỹ năm 2016, ông Donald Trump, ứng viên thuộc Đảng Cộng hòa, người mà hiện tại đang là vị Tổng thống thứ 45 của Hoa Kỳ, đã hứa sẽ đảm bảo "người dùng có quyền tự vệ để đối phó với tin tặc khi họ cảm thấy thấy phù hợp". Vào tháng 3 năm 2018, cơ quan lập pháp bang Georgia đã thông qua dự luật cho phép "các biện pháp phòng thủ chủ động được thiết kế và triển khai để ngăn chặn hoặc phát hiện các hành vi truy cập máy tính trái phép". Tuy nhiên chỉ sau đó 2 tháng, Thống đốc Georgia Nathan Deal, với sự hậu thuẫn của các công ty công nghệ lớn, đã phủ quyết dự luật này vì cho rằng nó có thể gây ra “những mối lo ngại về an ninh quốc gia và sự lạm dụng cho các hành vi phi phạm tiềm năng trong tương lai”. Nếu thực sự trở thành luật đi chăng nữa thì dự luật của bang Georgia vẫn khó có khả năng được áp dụng rộng rãi bởi nó mâu thuẫn với đạo luật Lừa đảo và Lạm dụng Máy tính liên bang.

• Phần mềm độc hại và lỗi bảo mật người dùng được tìm thấy trong các ứng dụng VPN miễn phí hàng đầu

Trước đó, một số nhà lập pháp Washington cũng đã đề xuất cho các công ty được phép triển khai các biện pháp phòng thủ chủ động. Vào năm 2017, ông Tom Graves, đại diện tiểu bang Georgia, đã đề xuất đạo luật Bảo vệ Điện tử Chủ động (Active Cyber Defense Certainty Act), cho phép các công ty tham gia vào một số biện pháp phòng thủ chủ động, bao gồm việc tiến hành giám sát những kẻ tấn công tiềm năng, với điều kiện họ phải thông báo trước với FBI và cam kết rằng hành động này không đe dọa đến "sức khỏe hoặc an ninh công cộng”. Tuy nhiên, cuối cùng thì đạo luật này cũng chẳng thể được thông qua và dần trôi vào quên lãng. Nhìn chung, phòng thủ chủ động vẫn là bất hợp pháp ở Hoa Kỳ và nhiều nơi khác trên thế giới!

Tất nhiên không phải tất cả các quốc gia đều cấm hack back. Một ví dụ điển hình chính là Singapore, ở đảo quốc Sư Tử, các công ty có quyền sử dụng và triển khai các biện pháp phòng thủ chủ động trong nỗ lực ngăn chặn, phát hiện hoặc chống lại các mối đe dọa cụ thể đã, đang và có thể xảy ra đối với cơ sở hạ tầng quan trọng của mình, bao gồm cả ngành tài chính. Một số quốc gia khác, như Pháp, lại có cách quản lý khá kỳ lạ: Không cho phép các doanh nghiệp tư nhân tham gia vào phòng thủ chủ động, nhưng lại giữ phương thức này như một lựa chọn cho các tổ chức chính phủ.

Tóm lại, các tổ chức có thể, và nên được khuyến khích thực hiện các biện pháp phòng thủ thụ động, như thu thập thông tin tình báo về những kẻ tấn công tiềm năng và báo cáo các hành vi xâm nhập trái phép. Phòng thủ chủ động, ở khía cạnh nào đó, có thể dẫn đến những bất ổn trong quan hệ doanh nghiệp và quốc tế.

• IBM phát triển kỹ thuật vá lỗ hổng bảo mật mới ưu việt hơn