Vai trò của kỹ sư giám sát ATTT ngày càng quan trọng

Nhận định nêu trên được Chi hội An toàn thông tin (VNISA) phía Nam đưa ra trong trong báo cáo tổng hợp về hiện trạng an toàn thông tin  (ATTT) khu vực phía Nam năm 2016 được đại diện lãnh đạo Chi hội trình bày tại Hội thảo Ngày ATTT Việt Nam lần thứ 9 vừa diễn ra trung tuần tháng 11/2016.

Các cuộc tấn mạng ngày càng có chủ đích hơn

Báo cáo cũng chỉ rõ, với các cuộc tấn công ngày càng có chủ đích hơn như kiếm tiền, phá hoại vì lý do chính trị, kinh tế hay ẩn náu để lấy cắp thông tin lâu dài…, khả năng phát hiện ra mình bị tấn công, bị xâm nhập đóng một vai trò cực kỳ quan trọng của hệ thống phòng thủ.

Việc xây dựng các Security Operation Center - SOC (Trung tâm hoạt động an ninh - PV) “đắt đỏ” cũng có một mục tiêu chính là phát hiện sớm tấn công trước khi tin tặc chuyển qua giai đoạn lấy cắp tài sản hoặc phá hoại.

Tấn công có chủ đích thường chỉ có thể bị phát hiện dựa vào thông tin của nhiều hệ thống khác nhau như phát hiện tấn công theo định danh; theo hành vi bất hường; từ các hệ thống thành phần như truy cập web,nhận email; từ quan sát khi truy cập ra máy tính có độ tin cậy thấp...

“Liên kết nhiều thông tin “yếu ớt” về khả năng bị xâm nhập nhằm đưa ra một kết luận để tiến hành điều tra là một công việc khó, đòi hỏi một hệ thống phức hợp từ cung cấp thông tin đến phân tích khối dữ liệu lớn, thậm chí không lồ”, đại diện VNISA phía Nam cho hay.

Mặt khác, thông tin được mã hoá khi chuyển trên mạng (ví dụ qua HTTPS) để bảo vệ tính bí mật, tính riêng tư của thông tin cũng làm cho công tác phát hiện tấn công thêm khó khăn, nhất là khi lượng thông tin được mã hoá trên Internet đã vượt qua 50% của tổng số thông tin.

Việc không thể hoặc rất khó khăn “quan sát” được thông tin trong các gói tin mã hoá làm tăng thêm khó khăn phát hiện tấn công mạng. Nếu tin tặc sử dụng các phương pháp như Diffie-Helman để tạo khoá và mã hoá mã độc chuyển giao giữa trung tâm và máy nạn nhân thì các hệ thống phát hiện mã độc trên đường truyền sẽ hoàn toàn bị loại bỏ. “Vì vậy, chúng ta không ngạc nhiên trước con số 41% cuộc tấn công được bản thân nạn nhân phát hiện ra khi mà thiệt hại đã xảy ra”, đại diện VNISA phía Nam chia sẻ.

Từ những phân tích trên, VNISA phía Nam cho rằng, khả năng phát hiện bị tấn công được cải tiến, nhưng còn xa với mong đợi và ngày càng khó khăn hơn với sự phổ cập của mã hóa thông tin. Và mặc dù các công cụ ngày càng được cải tiến, đặc biệt là các hệ thống giám sát an toàn mạng - SIEM ngày càng phát triển và rất “đắt đỏ”, vai trò của kỹ sư giám sát ATTT vẫn ngày càng quan trọng.

“Kiến thức, kỹ năng, sự nhạy bén vẫn là những yếu tố quan trọng nhất của một cán bộ giám sát ATTT để có thể phát hiện ra các cuộc tấn công có chủ đích và đào tạo cho nguồn nhân lực này, hơn bao giờ hết là rất cấp thiết đối với chúng ta”, đại diện VNISA phía Nam nhấn mạnh.

Số lượng mã độc mới tăng 36% trong năm 2016

Một điểm nổi bật nữa trong bức tranh ATTT trong năm 2016 được VNISA phía Nam đưa ra là mã độc - công cụ không thể thiếu của các tấn công mạng, đã được phát triển với tốc độ “vũ bão”  thời gian qua.

Báo cáo tổng hợp hiện trạng ATTT khu vực phía Nam năm nay cho thấy, mã độc zero-day được tìm thấy hàng tuần. Zero-day là những sơ hở được phát hiện bởi một cá nhân hay tổ chức nào đó nhưng hoàn toàn không công bố các thông tin này. Đặc biệt là nhà sản xuất sản phẩm, công ty sản xuất công cụ bảo vệ và người dùng đầu cuối hoàn toàn không biết đến những sơ hở đã được khám phá này.

Vì vậy, tấn công một mạng máy tính sử dụng mã độc dạng Zero-day có khả năng thành công rất lớn với xác suất bị phát hiện hầu như không có. Vì vậy, giá của một mã độc khai thác sơ hở dạng Zero-day trên thị trường đen thường rất lớn. Với 54 mã độc khai thác sơ hở Zeroday được tìm thấy trong năm 2016, đặc biệt có 6 mã độc được tìm thấy nhân vụ công ty ATTT “The Hacking Team” bị sự cố rò rỉ thông tin, có thể thấy nguy cơ hệ thống quan trọng bị tấn công đã tăng lên đáng kể.

“Đây cũng là một rủi ro lớn với tất cả các mạng máy tính trên thế giới. Mã độc zeroday đặc biệt nguy hiểm với smartphone và máy tính bảng có gắn SIM điện thoại. Trong năm 2016 chứng kiến nhiều loại tấn công được gọi là Zero-click khi mã độc được kích hoạt tự động chỉ bằng một tin nhắn Mutimedia SMS”, báo cáo VNISA phía Nam cho hay.

Báo cáo cũng nêu, số lượng mã độc mới tăng 36% và đạt 430 triệu mã độc không trùng lắp trong năm qua. Thật khó mà có thể hình dung “sự lớn mạnh” của đội quân mã độc. Với các chương trình phát hiện mã độc, số lượng lớn các mẫu mã độc phải rà quét là một thách thức không dễ vượt qua vì việc rà quét sẽ sử dụng nhiều tài nguyên tính toán cũng như tài nguyên mạng, làm máy tính hoạt động chậm đi, nản lòng người dùng và có thể dẫn tới việc tháo bỏ các chương trình này để có thể làm việc nhanh hơn.

Mặt khác, với số lượng mã độc lớn và tỷ lệ phát hiện mã độc luôn dưới 100% của các phần mềm antivirus thì chỉ cần “lọt lưới” 0,5% ta cũng thấy đến trên 2 triệu mã độc sẽ không được phát hiện kịp thời. Vì vậy, các biệt pháp như phát hiện tấn công theo hành vi, phát hiện các kết nối ra ngoài đến các địa chỉ đáng ngờ hoặc không liên quan tới công việc của tổ chức, phát hiện các trao đổi nội bộ giữa các thành phần bình thường không có quan hệ trong công việc với nhau... nhằm phát hiện các mã độc đã vượt qua hệ thống phòng thủ và đang âm thầm lây lan là rất quan trọng đối với một hệ thống bảo vệ hiện đại.

Báo cáo tổng hợp tình hình ATTT  năm 2016 của VNISA phía Nam cũng cho rằng, mã hoá dữ liệu để lấy tiền chuộc (Ransomware) ngày càng phổ biến trên thế giới cũng như tại Việt Nam. Theo Chi hội này, xu hướng hacker sử dụng Ransomware để tấn công vào các cơ quan, doanh nghiệp sẽ ngày càng phát triển vì lợi nhuận của nó rất lớn.

Đáng chú ý, tấn công vào hệ thống hạ tầng được điều khiển bởi hệ thống CNTT (ICS/SCADA) được đánh giá là một xu hướng tấn công rất đáng lo ngại trong thời gian tới. Cuộc sống hiện đại ngày càng không thể thiếu được ứng dụng của CNTT. Một danh sách rất dài các hệ thống dịch vụ trong đời sống kinh tế, xã hội sẽ ngưng hoạt động hoặc chỉ còn “cầm chừng” nếu hệ thống CNTT phục vụ nó bị ngưng trệ như: gửi tiền, rút tiền, thanh toán tiền qua ngân hàng; đi lại bằng hàng không, đường thuỷ, đường bộ; cung ứng hàng hoá trong các siêu thị; xuất nhập khẩu hàng hoá giữa các quốc gia...

“Với những nước phát triển, các hệ thống sản xuất và cung cấp điện nước cũng được tự động hoá, tối ưu hoá bởi hệ thống CNTT. Tấn công làm mất điện tại Ucraina chỉ qua mã độc trong tập tin Excel hay kế hoạch khống chế đập kiểm soát nước tại Bowman Avenue Dam (Mỹ) bởi Iran’s Islamic Revolutionary Guard cùng đợt tấn công hệ thống phục vụ mặt đất tại một số sân bay tại Việt nam là những sự kiện cho thấy tấn công mạng đã trở thành vũ khí thực sự, có thể gây những thiệt hại không thua kém gì những vũ khí thông thường”, đại diện VNISA phía Nam cho biết.

Đặc biệt, các hệ thống điều khiển công nghiệp thường được cho là cách biệt hoàn toàn với Internet hoặc vẫn hoạt động trơn tru bình thường, theo Chi hội này, lại chính là những yếu tố dễ làm cho chúng ta mất cảnh giác và là cơ hội cho các tấn công có chủ đích với mục tiêu phá hoại tàn khốc vào những thời điểm do kẻ tấn công chủ động hoạch định.

Liên quan tới ATTT và các hệ thống điều khiển công nghiệp, báo cáo hiện trạng  ATTT khu vực phía Nam năm 2016 còn nhận thấy các hệ thống thiết bị có khả năng kết nối mạng như Camera an ninh đã được sử dụng như một vũ khí tấn công mạng: “Nó đã bất hoạt nhiều hệ thống dịch vụ thông qua việc làm quá tải nhà quản lý tên miền Dyn. Các thiết bị kết nối vạn vật (IoT) thường ít có chức năng ATTT và cũng ít khi được người sở hữu cấu hình cẩn thận với suy nghĩ hướng về về đảm bảo ATTT".

“Vì vậy, hôm nay là camera, ngày mai có thể là công tắc điện, tủ lạnh, nồi áp suất, Tivi... sẽ trở thành thành viên của đội quân robot tấn công làm tê liệt hệ thống mạng của chúng ta”, đại diện VNISA phía Nam chia sẻ.