Chúng tôi đã từng cho đăng tải rất nhiều tin tức trên quantrimang.com liên quan tới những chiến dịch tấn công mạng nguy hiểm, những sự cố bảo mật gây thiệt hại lớn cả trên phạm vi quốc tế lẫn ở Việt Nam. Chỉ tính riêng tại Việt Nam trong 6 tháng đầu năm 2019, đã có đến 6219 sự cố an ninh mạng đã được các chuyên gia VNCERT ghi nhận, trong đó có 240 trường hợp có sự tham gia của phần mềm độc hại nguy hiểm, 824 vụ phá hoại cơ sở hạ tầng kỹ thuật số và 2155 vụ tấn công lừa đảo trực tuyến. Đây là con số khổng lồ đối với bất kỳ quốc gia nào, đồng thời cũng đã phần nào đó khắc họa bức tranh tổng thể về tình hình an ninh mạng toàn cầu, với số vụ tấn công ngày càng tăng cao và không ngừng diễn biến phức tạp hơn, mặc cho việc các quy trình, và giải pháp, công nghệ bảo mật cũng ngày càng được nâng cao.
Vậy đâu là nguyên nhân dẫn đến thực tế đáng lo ngại này? Tất cả bắt nguồn từ yếu tố cốt lõi là con người.
Nhận thức và kinh nghiệm trong bảo mật mạng
Một số hình thức tấn công mạng phổ biến nhắm vào các tổ chức, doanh nghiệp
Tấn công bằng phần mềm độc hại (Malware attack)
Đó là những câu chuyện liên quan đến email spam có thể lây lan phần mềm độc hại, khiến chúng xâm nhập vào hệ thống mạng nội bộ và gây rò rỉ/đánh cắp một lượng đáng kể thông tin cá nhân từ các trung tâm dữ liệu trong nhiều trường hợp khác nhau.
Sau khi nắm được thông tin chi tiết về mục tiêu, hacker thường cố gắng thuyết phục người dùng mở file đính kèm, click vào đường link hoặc khai thác thông tin cá nhân qua những email trông rất giống như email của các tổ chức đáng tin cậy, như ngân hàng, cơ quan chính phủ hoặc hãng bán lẻ trực tuyến. Chỉ cần bạn trót tải file độc hại đính kèm về máy hoặc nhấp vào liên kết trong email, mã độc sẽ lây lan trên hệ thống của bạn, đồng thời tự động thiết lập kết nối với một máy chủ chỉ huy và kiểm soát (Command & Control - C2) bên ngoài - server được điều khiển bởi những kẻ tấn công.
Thật khó để thực hiện các biện pháp đối phó triệt để đối với hình thức lây nhiễm mã độc kiểu này. Bạn chắc chắn không thể quản lý hoàn toàn được việc mọi người nên mở email trong tình huống nào và ngược lại. Đó là còn chưa kể đến trường hợp một số email spam độc hại được ngụy trang tinh vi tới mức ngay cả những chuyên gia “non kinh nghiệm” cũng sẽ trở thành nạn nhân.
Tấn công bằng phần mềm độc hại là hình thức tấn công mạng phổ biến nhất hiện nay
Bên cạnh đó, tường lửa và IDS/IPS - những biện pháp phòng thủ mạng phổ biến - tuy có thể dễ dàng chặn mọi kết nối đáng ngờ nằm bên ngoài hệ thống mạng của bạn, nhưng trên thực tế, thông tin cơ bản lại được gửi từ bên ngoài như một phản hồi với các liên lạc được bắt đầu từ bên trong hệ thống mạng.
Một vấn đề khác cần nói đến, đó là rất khó để ngăn chặn việc người nhận email cá nhân nhấp vào liên kết tải xuống phần mềm độc hại được đính kèm trong email đó. Ngay cả khi các chuyên gia bảo mật vẫn ngày đêm ra rả về việc “Hãy cẩn thận, không nhấn chuột vào đường link lạ có thể download phần mềm độc hại về máy”, thì ở cấp độ cá nhân, đôi khi cảnh báo này lại bị phớt lờ. Suy cho cùng, lỗi nghiêm trọng nhất vẫn bắt nguồn từ con người - điều có thể hạn chế, nhưng không thể tránh khỏi, bởi ai cũng có thể mắc sai lầm - bởi chủ quan hoặc thiếu kiến thức. Do đó, cần phải thực hiện một số biện pháp nâng cao khả năng phòng vệ về phía hệ thống, nhưng vấn đề là không có phương pháp nào có thể cho hiệu quả 100%, ít nhất là tính đến thời điểm hiện tại.
Trên thực tế, hình thức tấn công mạng theo kiểu email spam nêu trên không phải là một kỹ thuật phát tán phần mềm độc hại “vô tội vạ". Nó đang trở thành một phương thức tấn công hoàn chỉnh, được chuẩn bị kỹ lưỡng sau các giai đoạn thu thập thông tin và trước khi tiếp cận mục tiêu.
Tấn công đòi tiền chuộc
Tấn công đòi tiền chuộc là một dạng của ấn công bằng phần mềm độc hại. Chức năng của ransomware là hạn chế truy cập đến hệ thống máy tính mà nó đã lây nhiễm, và đòi hỏi một khoản tiền cho người đã tạo ra malware nhằm mục đích xóa bỏ việc hạn chế truy cập mà nó đã tạo ra trước đó. Hầu hết ransomware hiện nay đều đi theo hướng mã hóa tệp tin, dữ liệu trên ổ đĩa cứng và yêu cầu người bị hại trả tiền chuộc dữ liệu.
Nạn nhân của ransomware sẽ bị yêu cầu trả tiền chuộc để đổi lấy key giải mã dữ liệu
Trong trường hợp của phần mềm mã hóa đòi tiền chuộc, kẻ tấn công không cần phải chuẩn bị quá công phu như các cuộc tấn công có chủ đích và loại phần mềm này có thể được triển khai đi kèm với các chiến dịch khai thác lỗ hổng bảo mật tồn tại trong hệ điều hành cũng như phần mềm, do đó phạm vi và mức độ ảnh hưởng cũng sẽ gia tăng đáng kể. Trong trường hợp của ransomware, có thể nói rằng mức độ thiệt hại sẽ thay đổi tùy thuộc vào các biện pháp phòng vệ được triển khai trước đó. Trong trường hợp tấn công có chủ đích, mục tiêu về cơ bản là những đối tượng nắm trong tay thông tin có giá trị như công ty hoặc tổ chức công cộng, và lượng dữ liệu đó thường được đặt trong trung tâm dữ liệu.
Trong hầu hết các trường hợp, kẻ gian sẽ nhắm mục tiêu đến kho dữ liệu và hệ thống của các công ty nắm trong tay thông tin khách hàng cụ thể. Vấn đề trở nên tồi tệ hơn khi không gì có thể đảm bảo được rằng dữ liệu sẽ được lấy lại ngay cả khi nạn nhân đã trả tiền chuộc, những trường hợp như vậy không hề hiếm gặp.
Tấn công từ chối dịch vụ (DDoS)
Đây là hình thức tấn công mà tin tặc “đánh sập tạm thời” một hệ thống, máy chủ, hoặc mạng nội bộ thông qua một lượng traffic/request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải và người dùng không thể truy cập vào máy chủ.
Sơ đồ mô phỏng một cuộc tấn công từ chối dịch vụ DDoS
Đối với các cuộc tấn công từ chối dịch vụ, thiệt hại gây ra sẽ phụ thuộc phần lớn vào tỷ lệ băng thông của kẻ tấn công và bên phòng thủ. Nếu bạn nắm trong tay nhiều thiết bị đầu cuối kết nối băng thông rộng, và bạn tấn công trong khi khuếch đại các gói, các nhà khai thác trung tâm dữ liệu vừa và nhỏ sẽ khó có thể theo kịp tình hình. Mặt khác, nếu băng thông đủ lớn, một vài cuộc tấn công có thể được khắc phục mà hệ thống không bị thiệt hại nhiều. Điều này thực sự phụ thuộc vào sự cân bằng. Các cuộc tấn công DDoS rất khó bị chặn bởi có quá nhiều thiết bị đầu cuối tham gia vào cuộc tấn công, nhưng khả năng phòng thủ hiệu quả vẫn có thể đáp ứng ở một mức độ nào đó. Cách thức phòng thủ ở đây không gì khác ngoài một sự tiếp cận chủ động, có thể ở phía trung tâm dữ liệu. Ví dụ, một bộ cân bằng tải (load balancer) cùng với các chức năng bảo mật nâng cao có thể giúp xác định từ sớm và chặn các đợt tấn công DDoS theo gói.
Tấn công cơ sở dữ liệu (SQL injection)
Đây cũng là một hình thức tấn công nhắm đến tổ chức, doanh nghiệp diễn ra với tần suất dày đặc.
Tin tặc sẽ gửi một đoạn code độc hại vào máy chủ sử dụng ngôn ngữ truy vấn có cấu trúc (SQL) nhằm khiến máy chủ đó trả về những thông tin quan trọng, bí mật. Đa phần các cuộc tấn công SQL injection xuất phát từ các lỗ hổng của website, đôi khi tin tặc chỉ cần chèn một đoạn mã độc vào thanh công cụ “Search” là đã có thể tấn công một website. Công cụ dùng để triển khai các cuộc tấn công SQL injection là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx…
SQL injection nhắm đến các tổ chức, doanh nghiệp với tần suất ngày càng dày đặc
Trên thực tế, còn rất nhiều hình thức tấn công mạng khác như: Tấn công chuỗi cung ứng, tấn công Email, tấn công nội bộ tổ chức,... Mỗi phương thức tấn công đều sở hữu những ưu, nhược điểm riêng, nhưng điểm chung là ngày càng biến hóa phức tạp, tinh vi hơn, từ đó đòi hỏi mỗi cá nhân, tổ chức phải không ngừng cập nhật kiến thức, nêu cao cảnh giác, cũng như bổ sung thêm những công nghệ bảo mật mới.
Nâng cao kiến thức và ý thức trong bảo mật an ninh mạng
Suy cho cùng, bên cạnh sự yếu kém trong cơ sở hạ tầng viễn thông và công nghệ thông tin - dẫn đến việc không thể đáp ứng được yêu cầu bảo mật thiết yếu, làm gia tăng nguy cơ bị tấn công mạng - thì yếu tố con người, ý thức và kỹ năng phòng chống các hoạt động tấn công mạng chính là yếu tố được các chuyên gia tập trung nhấn mạnh và đóng vai trò quan trọng hơn cả.
Qua khảo sát thực tế, một trong những nguyên nhân dẫn đến sự thành công của các chiến dịch tấn công mạng nói chung là do nhiều doanh nghiệp, tổ chức nhất là những tổ chức hoạt động trong lĩnh vực tài chính, như ngân hàng, quỹ tín dụng, các doanh nghiệp thương mại điện tử vẫn chưa dành sự quan tâm thích đáng đến công tác nâng cao ý thức cũng như kiến thức bảo mật cần thiết cho đội ngũ nhân viên, cùng với đó là sự “cẩu thả” khi cung cấp quyền truy cập các thông tin có giá trị bảo mật cho những cá nhân không có cả chuyên môn lẫn trách nhiệm.
Yếu tố con người, ý thức và kỹ năng phòng chống các hoạt động tấn công mạng đóng vai trò đặc biệt quan trọng
Nhiều thống kê đã chỉ ra rằng, bên cạnh sự tinh vi trong phương thức tấn công, những hạn chế về kiến thức, kỹ năng bảo đảm an ninh mạng, nhất là kỹ năng xử lý các tình huống xâm phạm của đội ngũ vận hành hệ thống chính là “chất xúc tác” hoàn hảo cho các thảm họa an ninh mạng.
Mặt khác, đa số các thành viên tham gia vào hệ thống mạng cũng có tâm lý chủ quan, không thực hiện nghiêm túc các quy định về bảo đảm an toàn, an ninh thông tin. Tất cả các giải pháp an ninh bảo mật dù tiên tiến đến đâu vẫn sẽ chẳng thể phát huy tác dụng khi mà mỗi cá nhân chưa biết cách và có ý thức tự bảo vệ mình.
Tóm lại, để có thể bảo vệ chính mình trong kỷ nguyên số hóa với rất nhiều mối đe dọa an ninh mạng thường trực, các doanh nghiệp và tổ chức cần nâng cao năng lực an toàn thông tin ở 3 yếu tố cơ bản: con người, quy trình, và giải pháp công nghệ. Sở dĩ con người là yếu tố được nhắc đến đầu tiên bởi đây là yếu tố tiên quyết, đóng vai trò quan trọng nhất trong mọi quy trình bảo mật. Mọi tổ chức đều cần đẩy mạnh đầu tư cho việc đào tạo con người, nâng cao kiến thức, nhận thức về an toàn thông tin bên cạnh việc xây dựng quy trình đảm bảo an toàn thông tin và xử lý khi có sự cố, triển khai các giải pháp an toàn bảo mật một cách toàn diện.
Một số giải pháp bảo mật cơ bản mà mỗi cá nhân, tổ chức cần nắm được
Đối với tổ chức, doanh nghiệp:
- Đẩy mạnh đào tạo, cập nhật kiến thức bảo mật mới nhất cho mỗi nhân viên. Kết hợp hướng dẫn và trau dồi cách thức sử dụng cũng như tận dụng lợi thế từ những hệ thống bảo mật hiện đại.
- Xây dựng một chính sách bảo mật xuyên suốt với các điều khoản rõ ràng, minh bạch.
- Tích cực cập nhật hệ thống bảo mật mới, hiện đại, và phù hợp với đặc điểm hệ thống của mình. Đồng thời việc lựa chọn phần mềm bảo mật để triển khai cũng phải được xem xét một cách kỹ càng. Ưu tiên sử dụng sản phẩm của những bên có cam kết bảo mật và cập nhật bảo mật thường xuyên.
- Nói không với bất kỳ loại phần mềm crack nào. Nghiêm cấm việc sử dụng phần mềm crack trong nội bộ công ty.
- Tăng cường tận dụng các dịch vụ đám mây doanh nghiệp cho mục đích lưu trữ.
Đối với mỗi cá nhân:
- Có ý thức nâng cao hiểu biết, nhận thức bản thân về an toàn thông tin. Tự trau dồi kinh nghiệm ứng phó sự cố bảo mật cũng như vận hành các quy trình bảo mật mới.
- Thường xuyên cập nhật phần mềm, hệ điều hành máy tính cá nhân lên phiên bản mới nhất. Không sử dụng phần mềm crack.
- Đề cao cảnh giác khi duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo. Tuyệt đối không tải các file đính kèm hoặc nhấp vào đường link không rõ nguồn gốc.
- Hạn chế kết các thiết bị ngoại vi (USB, ổ cứng) với máy tính cá nhân ở công ty.
- Lưu ý đặt mật khẩu phức tạp, không lặp lại (sử dụng thêm các công cụ hỗ trợ quản lý mật khẩu nếu cần thiết). Tận dụng các tính năng bảo mật bổ sung nếu có, chẳng hạn như xác thực 2 yếu tố, bảo mật sinh trắc học…
Trên đây là thông tin cơ bản về một vài hình thức tấn công mạng thường gặp nhắm vào các tổ chức, doanh nghiệp, tầm quan trọng của kiến thức và nhận thức của từng cá nhân trong mọi quy trình bảo mật, cũng như một vài giải pháp bảo mật cơ bản mà mỗi cá nhân, tổ chức cần nắm được. Chúc bạn xây dựng được cho mình một quy trình bảo mật tối ưu nhất.