Những mối đe dọa mới từ mạng xã hội & điện toán mây

Cuộc khảo sát hàng năm về “An ninh thông tin toàn cầu” lần thứ 7 của tạp chí CIO (Mỹ) cho thấy các nhà lãnh đạo công nghệ thông tin (CIO) đang chiến đấu chống lại những mối đe dọa mới từ mạng xã hội và hệ điện toán mây, cùng với sự hỗ trợ của các lãnh đạo doanh nghiệp (DN).

Những công nghệ hấp dẫn nhất hiện nay lại mang đến cho bạn những vấn đề đau đầu nhất về an ninh. Các trang mạng xã hội như Twitter, Facebook và LinkedIn nâng cao tính cộng tác và giúp công ty của bạn liên kết với khách hàng (KH), nhưng chúng lại tạo điều kiện cho nhân viên của bạn có thể chia sẻ những dữ liệu KH và thông tin mật của công ty với người ngoài dễ dàng hơn bao giờ hết.

Việc ảo hóa và điện toán mây cho phép bạn đơn giản hóa cơ sở hạ tầng CNTT thực của mình và cắt giảm chi phí, nhưng bạn chỉ mới bắt đầu nhận thấy những rủi ro an ninh liên quan. Đặt thêm cơ sở hạ tầng của bạn vào máy chủ ảo sẽ càng khiến bạn dễ bị tấn công bởi các hacker, những kẻ đang tăng cường các cuộc tấn công từ chối dịch vụ (DoS – denial-of-service) vào Google, Yahoo và các nhà cung cấp dịch vụ (DV) qua Internet khác. Vụ ngừng trệ lớn của Google diễn ra trong năm vừa qua minh họa cho tình trạng phá rối mà các DN dựa vào máy chủ ảo có thể phải hứng chịu.

Khảo sát đã cho thấy các xu hướng bảo mật hiện nay là: Sinh trắc học; Lọc nội dung web; Chống rò rỉ dữ liệu; Mật mã dùng một lần/thẻ thông minh/mã thông báo; Phần mềm rút gọn hoặc đăng ký một lần; An ninh bằng giọng nói qua IP; An ninh Web 2.0; Quản lý nhận dạng; Mã hóa phương tiện lưu trữ tháo lắp. Những đầu tư mới hiện đang tập trung vào bảo vệ dữ liệu, xác nhận người dùng.

Nhưng tin tốt cũng có. Mặc dù tình trạng suy thoái kinh tế tồi tệ nhất trong nhiều thập kỷ đã buộc DN phải giảm chi cho các DV an ninh thuê ngoài và thực hiện nội bộ nhiều hơn, ngân sách dành cho an ninh của DN lại ổn định. Và ngày càng nhiều DN tuyển dụng giám đốc an ninh (CSO – Chief security officer).

Đó là những kết quả quan trọng từ cuộc khảo sát “An ninh thông tin toàn cầu” hàng năm lần thứ 7, mà các CIO (Giám đốc thông tin) và CSO cùng thực hiện với PricewaterhouseCoopers trong năm 2009. Gần 7.300 nhà quản trị DN và công nghệ khắp thế giới đã hồi đáp, từ nhiều ngành công nghiệp khác nhau, bao gồm cơ quan chính phủ, y tế, các DV tài chính và buôn bán lẻ. Những xu hướng này hình thành nên bức tranh về an ninh thông tin của các DN. Một CIO tại Tập đoàn Ứng dụng Khoa học Quốc tế (SAIC) nhận định: “Các công ty đều lo lắng về việc bảo vệ dữ liệu của họ, đặc biệt là dữ liệu KH. Dưới mô hình kinh doanh cũ, mọi người đều phải cùng nhau vào chung một tòa nhà ở cùng một khu vực địa lý. Giờ đây mọi người đều dùng Internet và những thiết bị di động để làm việc với nhau. Đó chính là hứa hẹn từ những thứ như mạng xã hội. Còn mặt trái là chúng ta bị phơi ra trước thế lực đen tối của thế giới ảo. Việc sử dụng công nghệ này đi trước những cố gắng quản lý và bảo vệ an toàn cho nó”.

Trang 2: Xu hướng 1 - Mạng xã hội: Hứa hẹn và hiểm họa


Xu hướng 1 - Mạng xã hội: Hứa hẹn và hiểm họa

Chỉ trong vòng chưa đầy hai năm, mạng xã hội đã chuyển từ một thứ trừu tượng gây hiếu kỳ thành một phong cách sống cho nhiều người. Khi một ai đó cập nhật thông tin về tình trạng của họ trên Twitter, Facebook hay LinkedIn, họ có thể làm điều đó tại văn phòng vào ban ngày hay trên laptop của công ty từ nhà vào ban đêm.

Ngăn chặn mạng xã hội là không tưởng

Điều gây khó khăn cho các nhà quản trị CNTT là việc người dùng có thể dễ dàng chia sẻ dữ liệu của KH hay những hoạt động mật của công ty khi họ đang cho bạn bè biết họ sẽ ăn gì vào buổi trưa. Những hacker biết rõ điều này và sử dụng các mạng xã hội để thực hiện những mưu đồ lừa đảo. Chúng gửi cho các nạn nhân những tin nhắn xuất hiện như thể đến từ một người bạn trên Facebook. “Người bạn” này có thể gửi một địa chỉ URL và cố nài bạn vào thử. Hoặc nó được ngụy trang bằng một bản tin mới về cái chết của Michael Jackson hay danh sách những mẹo trong chứng khoán. Thực chất, link đưa nạn nhân đến một trang web mờ ám và sẽ tự động cài phần mềm gây hại (malware) vào máy. Phần mềm này sẽ lùng kiếm những dữ liệu có giá trị được lưu trữ trong máy hay rộng hơn là trên mạng nội bộ công ty, đó có thể là số thẻ tín dụng hay công thức bí mật của một phương thuốc mới chữa ung thư...

Vì vậy, không có gì ngạc nhiên khi các CIO khi được khảo sát đều công nhận rằng họ lo sợ những cuộc tấn công dựa trên mạng xã hội. 45% trong số họ đặc biệt sợ những âm mưu lừa đảo đối với các ứng dụng Web 2.0.

Tuy nhiên, chặn đứng các mạng xã hội là không thể bởi những tiềm năng của chúng. Các công ty hiện nay đòi hỏi những thông điệp của họ được truyền tải qua các trang mạng này. Trong môi trường đại học, việc giao tiếp qua các phương tiện truyền thông xã hội là cần thiết. Trong thương mại, các tổ chức cũng khó có thể tránh được điều này.

Và thậm chí trong năm nay – năm đầu tiên những người tham gia cuộc khảo sát được hỏi về phương tiện truyền thông xã hội, chỉ 23% nói rằng những nỗ lực trong an ninh của họ hiện nay có bao gồm các dự phòng bảo vệ công nghệ Web 2.0 và kiểm soát những gì có thể đăng trên các trang mạng xã hội.

Bảo vệ thông tin bằng văn hóa công sở

Một dấu hiệu tốt: Ngày càng nhiều công ty chỉ định nhân sự giám sát việc nhân viên sử dụng tài nguyên trên mạng: 57% năm nay so với 50% năm ngoái và 40% năm 2006. 36% trong số những người tham gia khảo sát đã kiểm tra cả những gì nhân viên đăng lên blog bên ngoài và các trang mạng xã hội.

Để tránh những thông tin mật bị thất thoát, 65% số công ty sử dụng các bộ lọc nội dung Web để giữ dữ liệu sau tường lửa, và 62% đảm bảo họ đang sử dụng phiên bản an toàn nhất của bất kỳ trình duyệt nào họ chọn. 40% cho biết khi đánh giá những sản phẩm dành cho an ninh, khả năng hỗ trợ và tương thích với Web 2.0 là thiết yếu.

Tuy nhiên, tính không an toàn của mạng xã hội không phải là thứ có thể khắc phục chỉ bằng công nghệ, một đối tác trong việc thực thi an ninh tại PricewaterhouseCoopers khẳng định. “Những vấn đề này mang tính văn hóa, không phải mang tính công nghệ. Bạn sẽ hướng dẫn mọi người dùng những trang mạng này một cách thông minh như thế nào? Thường những người làm về an ninh xuất phát từ lĩnh vực công nghệ, không phải từ lĩnh vực xã hội. Vì vậy chúng ta sẽ còn phải đi một chặng đường dài để tìm được sự cân bằng an ninh đích thực”.

Nhà quản lý an ninh cho Ủy ban các Đại học Công nghệ và Cộng đồng bang Washington cho biết tổ chức của ông chuẩn bị rất nhiều bước đề phòng được nhắc đến ở trên. Nhưng ông cũng đồng tình rằng chiến trường thực sự là ở văn hóa văn phòng, chứ không phải công nghệ. “Biện pháp hiệu quả nhất ở đây là giáo dục người dùng và những chương trình nhận thức về an ninh một cách sáng tạo, hiệu quả”.

Trang 3: Xu hướng 2 - Nhảy vào “đám mây” mà không có “dù”


Xu hướng 2 - Nhảy vào “đám mây” mà không có “dù”

Với việc duy trì cơ sở hạ tầng CNTT khá tốn kém, ý nghĩ thay thế các phòng máy chủ và những thiết bị cấu hình đủ kiểu bằng các DV ảo thật khó cưỡng lại đối với các công ty! Nhưng vội vã lao vào “đám mây” mà không có một chiến lược an ninh cụ thể thì thật mạo hiểm.

Mạo hiểm đồng hành cùng các thay đổi kỹ thuật

Theo khảo sát, 43% những người phản hồi đang sử dụng DV ảo, chẳng hạn DV phần mềm hay DV cơ sở hạ tầng. Thậm chí có nhiều công ty đang đầu tư vào công nghệ ảo hóa cho phép thực hiện điện toán mây. 67% số người phản hồi nói rằng hiện nay họ đang sử dụng máy chủ, kho lưu trữ và những cơ sở vật chất CNTT khác được ảo hóa. Trong số đó, 48% thật sự tin rằng độ an ninh thông tin của họ đã được cải thiện, trong khi 42% cho biết độ an ninh của họ vẫn như trước. Chỉ 10% nói ảo hóa đã tạo thêm những lỗ hổng an ninh.

Độ an ninh có thể được cải thiện đối với một số công ty, nhưng các chuyên gia, như giám đốc về các giải pháp ảo hóa và đám mây tại Cisco Systems, tin rằng cả người dùng và nhà cung cấp cần chắc chắn rằng họ hiểu rõ những mạo hiểm đi cùng với thay đổi về kỹ thuật, hoạt động và tổ chức mà những công nghệ này mang lại.

Khi xem xét cách người ta nghĩ về sự ảo hóa và ý nghĩa của nó, thì khái niệm về ảo hóa hoặc là rất hạn hẹp – đó là sự hợp nhất máy chủ, ảo hóa các ứng dụng và hệ điều hành, thu gọn mọi thứ vào số hộp ít hơn – hoặc đó là sự kết hợp những yếu tố khác: các máy tính KH, lưu trữ, mạng, an ninh. Sau đó bạn còn tăng thêm sự nhầm lẫn bằng khái niệm của điện toán mây, thứ đang được đẩy mạnh bởi Microsoft và một số công ty nhỏ đang nổi. Bạn sẽ phải tự hỏi điều này có ý nghĩa gì đối với công ty của bạn. Nó ảnh hưởng đến cơ sở hạ tầng của bạn như thế nào?” May mắn là có vài dấu hiệu cho thấy các công ty đã bắt đầu cảnh giác. Một ví dụ là Atmos Energy, đang sử dụng Salesforce.com để rút ngắn thời gian phản hồi với KH và giúp bộ phận tiếp thị của công ty quản lý số lượng KH ngày càng tăng.

Không có sự an toàn tuyệt đối

Những nỗ lực cho đến bây giờ đang thành công, do đó CIO của công ty này đang nghiên cứu khả năng điều hành email trong điện toán mây. “Nó sẽ giúp định vị được thử thách đang lớn dần nơi những thiết bị di động có khả năng email như Blackberry đang lan tràn trong nhân viên”. Nhưng CIO này chưa sẵn sàng để có một bước nhảy lớn như thế do những mạo hiểm, bao gồm vấn đề an ninh, vẫn còn rất khó xử lý. Một ví dụ về tình trạng thiệt hại mà các công ty phụ thuộc vào điện toán mây có thể gặp phải là vào tháng 5, khi trang mạng tìm kiếm thông tin khổng lồ Google - với nội dung chiếm 5% toàn bộ lưu thông trên Internet – bị ngưng trệ nặng nề. Khi nó bị ngưng, rất nhiều công ty dựa vào những ứng dụng kinh doanh điện toán mây (chẳng hạn như e-mail) cũng chìm theo.

Tình trạng ngưng trệ đó không phải do hacker gây ra, nhưng có dấu hiệu cho thấy các tội phạm trên mạng đang tìm cách để lợi dụng đám mây cho những mục đích xấu. Theo gót vụ ngưng trệ này, những kẻ tấn công còn bồi thêm vào vết thương bằng cách đổ đầy những đường link gây hại vào các kết quả tìm kiếm của Google, khiến Đội Ứng cứu khẩn cấp Máy tính của Mỹ (U.S.CERT) phải đưa ra lời cảnh báo về những nguy hiểm tiềm tàng trong các trang mạng DV dựa trên hệ đám mây.

U.S.CERT cho biết, cuộc tấn công gây thiệt hại đến hàng nghìn trang web hợp pháp bằng cách lợi dụng những khe hở phổ biến trong phần mềm Adobe để cài đặt một chương trình gây hại lên máy của nạn nhân. Chương trình này sau đó ăn cắp những thông tin đăng nhập FTP từ các nạn nhân và sử dụng thông tin để tự lan truyền rộng hơn. Nó còn chiếm đoạt trình duyệt của nạn nhân, thay thế những kết quả tìm kiếm của Google bằng các đường link do kẻ tấn công chọn. Mặc dù những trang mạng bị tấn công không chỉ là các trang cung cấp DV dựa trên hệ đám mây, những âm mưu tương tự có thể nhắm vào các nhà cung cấp DV đám mây.

Các tổ chức CNTT thường làm cho việc tấn công dễ dàng hơn bằng cách định dạng cấu hình các cơ sở vật chất CNTT cả thực lẫn ảo một cách nghèo nàn, để lại những khe hở rất dễ bị tìm thấy và lợi dụng. Khi được hỏi về những điểm yếu trong môi trường ảo hóa của họ, 36% nói là do cấu hình sai và triển khai kém, 51% cho là tại các nhân viên CNTT chưa được đào tạo chuẩn mực (thiếu kiến thức dẫn đến những thiếu sót trong cấu hình). Thực chất 22% những người tham gia cuộc khảo sát chỉ ra rằng việc đào tạo không đạt chuẩn, cùng với việc kiểm duyệt không đầy đủ (để sót những điểm yếu) là những rủi ro an ninh lớn nhất trong chiến lược điện toán mây của công ty họ.

Ngay cả với các nguồn lực thích hợp, an ninh trong “đám mây” đòi hỏi quản lý các rủi ro đa dạng trải rộng ở nhiều nền tảng. Đó không phải là một mà là nhiều “đám mây”, “chúng không liên kết với nhau, chúng không hoạt động liên quan đến nhau một cách tự nhiên ở lớp ứng dụng và tất cả chúng đều gần như độc quyền trong nền tảng và hoạt động của chúng”, theo lời giám đốc về các giải pháp ảo hóa và đám mây của Cisco Systems. “Ý niệm cho rằng tất cả chúng ta đang chạy đua để đưa những nội dung và ứng dụng của chúng ta vào kho chứa chung (và an toàn) trên cơ sở hạ tầng của người khác là không thực tế”.

Đại diện của Pricewaterhouse Coopers khẳng định không thể có sự an ninh tuyệt đối. “Bạn phải chủ động tập trung kiểm soát an ninh khi nhảy vào những DV này”. Các công ty khó có thể quay trở lại một khi đã đẩy dữ liệu và ứng dụng đi bởi họ thường nhanh chóng tự “giải phóng” khỏi phần cứng và những kỹ năng cần thiết để có thể đem các DV đó trở về.

Thứ Ba, 06/04/2010 09:47
31 👨 809
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp