• Chủ Nhật, 12/08/2007 21:04 (GMT+7)

    Bảo vệ website

    Hacker tấn công vào các website của các tổ chức, đặc biệt là các doanh nghiệp thương mại điện tử chủ yếu để khai thác lỗ hổng nhằm kiểm soát website hoặc tấn công tên miền nhằm chuyển hướng người duyệt web sang một website khác.

    Hacker tấn công vào các website của các tổ chức, đặc biệt là các doanh nghiệp thương mại điện tử chủ yếu để khai thác lỗ hổng nhằm kiểm soát website hoặc tấn công tên miền nhằm chuyển hướng người duyệt web sang một website khác.

    Nguy cơ từ các lỗ hổng

    Các trang tin thông tin điện tử giờ đây không chỉ đơn thuần là một website thông tin, quảng bá thông thường mà chúng đã và đang chuyển thành các ứng dụng chạy trên nền web. Các ứng dụng web này được xây dựng trên nhiều thành phần và chạy trên các máy chủ khác nhau: máy chủ web, máy chủ ứng dụng và máy chủ cơ sở dữ liệu,...

       

    Cần đầu tư đồng bộ giữa hạ tầng thông tin và hệ thống bảo vệ. Nếu hệ thống vẫn tồn tại những nguy cơ chưa được bảo vệ thì có thể đó sẽ là điểm yếu để tin tặc, thậm chí những đối thủ cạnh tranh lợi dụng để tấn công.

     
       
       

    Hacker khi tấn công vào một website có thể nhằm vào một trong các mục đích thay đổi diện mạo trang chủ, thay đổi một phần hoặc toàn bộ website hay tấn công từ chối dịch vụ làm cho website không còn khả năng phục vụ. Các cuộc tấn công này gây nhiều tổn thất cho doanh nghiệp do uy tín có thể bị suy giảm, thông tin trong giao dịch trực tuyến hoặc giao dịch ngân hàng sai lệch, thông tin nhạy cảm như: tài khoản, thẻ tín dụng, thông tin truy nhập vào hệ thống... trong quá trình thực hiện các giao dịch trực tuyến bị đánh cắp

    Thời gian gần đây, số vụ tấn công đánh cắp thông tin đang có chiều hướng gia tăng và phòng cảnh sát phòng chống tội phạm công nghệ cao (C15, Bộ Công an) đã phát hiện và khởi tố một số vụ.

    Điểm yếu của website ngày nay rất đa dạng. Trung bình mỗi tuần có hơn 30 bản vá cho các lỗ hổng bảo mật được phát hành thì có tới 75% các điểm yếu tập trung vào lỗi phát triển các ứng dụng web. Một trong số các nguyên nhân dẫn đến số lỗi bảo mật trên ứng dụng web là do các website được thuê gia công thường sử dụng chung mã nguồn hoặc tận dụng các mã nguồn miễn phí trên Internet mà không được chỉnh sửa một cách đúng mức, trong khi các lỗ hổng trong các mã nguồn miễn phí này cũng được công bố trên Internet khiến cho nguy cơ bị tấn công càng cao hơn.

    Ba lớp bảo vệ website


    1. Vành đai bảo vệ chung cho toàn hệ thống mạng (lớp 1), gồm cả hệ thống web.

    Để triển khai lớp bảo vệ đầu tiên này, các tổ chức, doanh nghiệp có thể trang bị một thiết bị an ninh tích hợp (UTM) gồm nhiều tính năng bảo mật khác nhau như:

    • Tường lửa (Firewall) sẽ giúp ngăn chặn các tấn công tầng mạng, loại bỏ các hành vi dò quét các điểm yếu bảo mật của các hệ điều hành trên các máy chủ

    • Thành phần ngăn chặn xâm nhập (IPS) giúp loại bỏ các tấn công khai thác các điểm yếu của phần mềm ứng dụng web, phần mềm cơ sở dữ liệu, hệ điều hành... Ngoài ra các thành phần mạng riêng ảo (VPN) và thành phần quét virus mức gateway sẽ giúp hệ thống được an toàn hơn.

    2. Tường lửa chuyên dụng cho các ứng dụng web

    Sau khi xây dựng vành đai bảo vệ chung, cần trang bị thêm một tường lửa chuyên dụng cho các ứng dụng web (lớp 2). Tường lửa ứng dụng web này sẽ kiểm tra và ngăn chặn các tấn công khai thác điểm yếu phát sinh trong quá trình phát triển website. Tùy thuộc vào quy mô của tổ chức, doanh nghiệp và/hoặc phụ thuộc vào giá trị của tài nguyên thông tin trên website mà có thể có một mức đầu tư tương ứng cho tường lửa ứng dụng web này. Có 3 lựa chọn:

    • Đối với các website mà phần lớn là thông tin tĩnh (ít thay đổi), không chứa các dữ liệu quan trọng cũng như không có các giao dịch mua bán: có thể trang bị bổ sung module phần mềm tường lửa cho ứng dụng web (như Web Intelligence của Check Point) vào thiết bị an ninh tích hợp UTM nói trên.

    • Đối với các website có rất nhiều dữ liệu quan trọng mang tính chất sống còn của tổ chức, doanh nghiệp, đồng thời thường xuyên diễn ra các giao dịch trực tuyến, đòi hỏi phải có độ an toàn, sẵn sàng cao: nên trang bị một thiết bị tường lửa chuyên dụng cho ứng dụng web (như giải pháp của NetContinuum, một hãng chuyên cung cấp thiết bị tường lửa chuyên dụng cho ứng dụng web).

    • Đối với các website cung cấp các thông tin nội bộ hoặc cổng truy nhập thông tin của một tổ chức, doanh nghiệp (Web Portal) cho phép nhân viên kết nối vào từ bất cứ đâu và làm việc bất kể thời gian nào: ngoài việc trang bị lớp bảo vệ chung bằng thiết bị an ninh tích hợp, các tổ chức, doanh nghiệp cũng cần xây dựng một “cổng truy nhập” an toàn đến các tài nguyên thông tin (ví dụ sử dụng thiết bị Connectra Web Security Gateway của Check Point).

    Song song tường lửa chuyên biệt cho các ứng dụng web, các tổ chức, doanh nghiệp cũng cần trang bị các giải pháp xác thực mạnh cho ứng dụng web quan trọng. Một giải pháp xác thực mạnh phải xác thực 2 yếu tố trở lên. Thông thường, các giải pháp xác thực mạnh truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một người dùng, như vậy sẽ rất tốn kém trong việc đầu tư. Hiện nay, giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các tổ chức, doanh nghiệp giải quyết bài toán này với một chi phí tối ưu.

     

    Những việc cần phải thực hiện sau khi website bị tấn công:
    • Tách hệ thống bị tấn công khỏi mạng, đề phòng hacker vẫn tiếp tục phá hoại trong quá trình khắc phục.
    • Phân tích các log trên hệ thống để tìm hiểu cách thức khai thác của hacker nhằm đưa ra biện pháp phòng chống thích hợp.
    • Cấu hình lại hệ thống mạng và máy chủ chặt chẽ.
    • Kiểm tra lại mã nguồn website để vá các lỗ hổng do lập trình.
    • Rà soát máy chủ, đề phòng tin tặc đã cài được webshell (1 dạng backdoor). Nếu không sớm phát hiện ra webshell, hệ thống máy chủ rất dễ bị tấn công trở lại cho dù đã khắc phục được lỗ hổng.

       

    3. Thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng

    Sau khi đầu tư hai lớp bảo vệ trên, để tăng cường an toàn bảo mật thông tin, tổ chức, doanh nghiệp có thể bổ sung thêm một thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng (IPS) chuyên dụng (lớp 3). Lớp này phân chia mạng bên trong thành các phân vùng khác nhau và áp dụng các chính sách riêng cho từng phân vùng mạng nhằm ngăn chặn các tấn công có nguồn gốc từ bên trong mạng và loại bỏ các tấn công có thể vượt qua tường lửa vào vùng các máy chủ quan trọng.

    Thay lời kết

    Việc đầu tư và triển khai một hệ thống bảo vệ cho ứng dụng web là rất cần thiết, tuy nhiên cần phải đầu tư một cách đồng bộ giữa hạ tầng thông tin và hệ thống bảo vệ. Nếu hệ thống vẫn còn tồn tại những nguy cơ chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, thậm chí những đối thủ cạnh tranh lợi dụng để tấn công, và hậu quả khó có thể lường trước được. Song song với việc đầu tư về công nghệ, các tổ chức, doanh nghiệp cũng cần xây dựng riêng cho mình một chính sách an toàn thông tin và một đội ngũ quản trị có kinh nghiệm để duy trì và vận hành hệ thống.

    Nguyễn Như Bằng

    ID: B0708_62