"Hệ thống có gì đâu, ai tấn công làm gì?"

"Hệ thống của chúng tôi có gì đâu, ai tấn công làm gì" - câu nói thường gặp của các tổ chức hay doanh nghiệp Việt Nam cho đến khi sự cố an ninh mạng tìm đến.

Ảnh minh họa: Shutterstock

Tiếp tục câu chuyện được chuyên viên Lê Công Phú chia sẻ được về tư duy an toàn thông tin và thiếu hút kịch bản ứng phó khi có sự cố cho thấy vẫn còn tồn tại nhiều chủ quan!

Phần 02: "Hệ thống của chúng tôi có gì đâu, ai tấn công làm gì"

Tại sao các tổ chức không đầu tư nhiều hơn cho ứng phó sự cố để có thể phát hiện và ứng phó nhanh các tấn công nhắm vào tổ chức mình?

Trước khi trả lời câu hỏi này tôi muốn nói qua một chút về góc nhìn của kẻ xâm nhập, để mọi người thấy sự cần thiết của ứng phó sự cố, và nếu chúng ta làm tốt công việc này thì giảm thiểu rất nhiều thiệt hại cho tổ chức mình khi sự cố xảy ra. 

Các công việc trong thực tế của kẻ tấn công thường bắt đầu sau khi đã thiết lập được vị trí của mình trên hệ thống mục tiêu. Từ việc tìm hiểu về môi trường, tiến hành lây lan, mở rộng phạm vi tiếp cận sang các hệ thống khác, "leo thang đặc quyền" chiếm quyền hạn trở thành người quản trị và đánh cắp dữ liệu. Đây là công việc mất nhiều thời gian mới có thể đạt được mục đích, đôi khi tính bằng tuần hoặc thậm chí hàng tháng.

Điển hình như vụ chuỗi siêu thị bán lẻ Target (Mỹ) bị tấn công bởi mã độc BlackPOS dẫn đến việc hơn 70 triệu thông tin tài khoản người dùng bị thất thoát. Bằng cách sử dụng kỹ thuật "RAM scarping" để phân tích bộ nhớ tiến trình trên thiết bị đầu cuối của hệ thống thanh toán bán lẻ (POS), trước khi dữ liệu được mã hóa. Điều này cho phép kẻ tấn công trích xuất dữ liệu từ bộ nhớ khi dữ liệu đang trong quá trình xử lý của thiết bị đầu cuối trước khi được truyền thông qua mạng.

Không chỉ Target mà phần lớn các cuộc tấn công vào hệ thống POS đòi hỏi cần nhiều thời gian để thu thập dữ liệu, lúc này mã độc được sử dụng phải đảm bảo được việc cư trú thời gian dài trên thiết bị đầu cuối đã xâm nhập. Không giống như đánh cắp cơ sở dữ liệu khi hàng triệu bản ghi được truy cập, đánh cắp dữ liệu trên hệ thống POS đòi hỏi kẻ tấn công phải chờ đợi tới khi giao dịch diễn ra và thu thập dữ liệu theo thời gian thực, mỗi khi một thẻ tín dụng được sử dụng.

Chính vì thế việc phát hiện ra sớm các dấu hiệu của việc hệ thống bị thỏa hiệp, và ứng phó một cách nhanh chóng và chính xác sẽ giúp các tổ chức giảm thiểu thiệt hại và các chi phí phục hồi.

Quay lại vấn đề Tại sao các tổ chức không đầu tư nhiều hơn cho ứng phó sự cố? Với câu hỏi trên, câu trả lời tôi nhận được ở nhiều tổ chức khá mơ hồ, kiểu như “Hệ thống của chúng tôi có gì đâu, ai tấn công làm gì” hay “Hệ thống của chúng tôi rất an toàn, được trang bị nhiều thiết bị bảo mật hiện đại nhất nên IR (ứng phó sự cố) thấy chưa cần thiết”. 

Đây là những suy nghĩ rất sai lầm!

Giám đốc điều hành (CEO) của Cisco John chambers từng ví von "Có hai dạng công ty: một là những công ty đã bị hack, và còn lại là những công ty chưa biết mình đã bị hack". Thế nên chúng ta nên bỏ suy nghĩ “nếu chúng ta bị tấn công” (có nghĩa là có hoặc không) mà hãy suy nghĩ là “khi nào thì điều đó diễn ra”.

Lấy ví dụ về cuộc chiến sinh tồn nơi hoang dã, chúng ta thấy khi sư tử săn mồi thì những con ngựa yếu nhất và chậm nhất so với những con còn lại sẽ là mục tiêu và bị ăn thịt. Trong an toàn thông tin cũng thế, chừng nào mà hệ thống của chúng ta yếu hơn so với những tổ chức còn lại, thì chúng ta vẫn là mục tiêu ưa thích.

Việc tấn công đôi khi không nhằm vào dữ liệu hay tài sản mà chúng ta đang có, đơn giản công việc đó chỉ là một thú vui, hay sử dụng hệ thống tấn công làm nơi phát tán mã độc, hoặc sử dụng những hệ thống đó để làm bàn đạp tấn công các hệ thống của những tổ chức khác.

Dữ liệu giao dịch, thông tin tài chính hay cơ sở dữ liệu khách hàng là những mục tiêu của tin tặc - Ảnh minh họa: epanorama.net

Trong thực tế các khâu kiểm tra độ an toàn Pentest và Audit cho rất nhiều cơ quan, doanh nghiệp trong và ngoài nước, với hàng trăm ứng dụng, thiết bị và hệ thống, chúng tôi đều phát hiện ra lỗi, tất cả những lỗ hổng ở đây không phải dạng zero-day (chưa có bản vá lỗi) mà phần lớn thuộc top 10 OWASP, và các sai sót trong cấu hình các thiết bị, một số lỗi nghiêm trọng như shellshock, Jboss (CVE-2010-0738), Padding Oracle... vẫn chưa được khắc phục.

Những thiết bị đình đám như F5, SourceFire hay của nhiều hãng lớn khác… sau khi được đưa vào triển khai thì vẫn giữ nguyên hiện trạng như ban đầu trước khi được bàn giao, hoặc chỉ mới được "tối ưu" không đáng kể, tất cả các cấu hình gần như được thiết lập là mặc định (default). Nhiều thiết bị dễ dàng đạt được quyền quản trị thông qua tấn công "từ điển" (rà tự động mật khẩu theo danh bạ từ).

Do đó, tư duy "Hệ thống chúng tôi đã an toàn, vì chúng tôi có những thiết bị bảo mật tuyệt vời” cần được thay đổi.

Không có quy trình, công cụ và những kỹ sư lành nghề

Ngoài hai câu trả lời chủ quan trên thì vấn đề tài chính và nhân lực cũng là một trong những thách thức lớn cho các tổ chức khi duy trì một đội ngũ để ứng phó sự cố 24/7. 

* Xem: An ninh mạng tại VN: chạy theo ISO, thiết b​ị

Đầu tư thiết bị bảo mật, nhưng không thể thiếu đội ngũ kỹ sư lành nghề để vận hành hiệu quả - Ảnh minh họa: kpmgamlforum.com.mt

Hiện tại nhiều tổ chức phát hiện ra các sự cố của mình thông qua hệ thống phần mềm diệt virus hay cảnh báo từ thiết bị IDS, tường lửa, và thường thì những cảnh báo ít được phân tích chuyên sâu, bởi vì họ không có một đội ngũ kỹ sư lành nghề để đáp ứng những yêu cầu đó. 

Thông thường các cảnh báo được đưa ra, nhưng không đánh giá hết được mức độ nghiêm trọng nếu như sự cố đó xảy ra. Chưa nói đến việc rất rất nhiều thiết bị như IDS và Firewall đang được cấu hình sai, cảnh báo nhầm, dẫn đến hạn chế trong việc phát hiện sự cố. 

Bên cạnh những thiết bị bảo mật, các tổ chức cũng phát hiện sự cố của mình thông qua các báo cáo của đội ngũ đánh giá bảo mật ở công ty ngoài, khi họ phát hiện có dấu hiệu xâm nhập vào tổ chức, hay những thông báo từ kẻ tấn công, hoặc người dùng cuối khi họ thấy mạng trong công ty bất thường. Nhiều đơn vị, thậm chí không phát hiện rằng hệ thống, thiết bị của mình đã và đang bị thâm nhập.

Đã đến lúc chúng ta đầu tư nhiều hơn cho Ứng phó sự cố (IR- Incident Response), cần lựa chọn quy trình, phương pháp, công cụ kết hợp với những chuyên viên lành nghề để có thể xử lý, phản hồi nhanh các cuộc tấn công vào tổ chức mình.

Để làm được điều trên, trước hết chúng ta cần một đội ngũ những kỹ sư lành nghề, một quy trình tốt để ứng phó sự cố. Quy trình này phải xuyên suốt từ việc Chuẩn bị cho đến tiến hành Phát hiện và Phân tích, Thực hiện các biện pháp ngăn chặn, loại bỏ, phục hồi cũng như những hoạt động cần thiết sau sự cố.

Công việc cuối cùng của quy trình ứng phó sự cố là hoạt động sau sự cố. Đây là một phần quan trọng trong quá trình xử lý sự cố nhằm rút ra các bài học kinh nghiệm về toàn bộ cuộc ứng phó sự cố.

Sau khi sự cố đã xảy ra, chúng ta cần phải giải quyết được các câu hỏi như: Chính xác điều gì đã xảy ra? vào thời gian nào? Nhân viên và các quản lý thực hiện giải quyết vụ việc có tốt không? Những điều gì mà nhân viên và các quản lý nên làm khi có sự cố xảy ra? Làm thế nào để chia sẻ thông tin với các tổ chức khác? Các hành động để ngăn chặn sự cố tương tự trong tương lai là gì? Các dấu hiệu về sự cố tương tự là gì? Những công cụ hay nguồn lực nào cần thiết để giải quyết nhanh sự cố trong tương lai?

Tổ chức nên thực hiện các buổi nói chuyện giữa các bên liên quan và rút ra các bài học kinh nghiệm cần thiết để đảm bảo sự cố tương tự sẽ không xảy ra. Buổi nói chuyện như thế này sẽ chỉ ra được cách thức phối hợp giữa các bên liên quan khi có sự cố xảy ra.