• Thứ Ba, 30/12/2008 10:34 (GMT+7)

    Bảo mật - Bắt đầu từ nhận thức

    Sau chiến thắng tại cuộc thi CtF tại Malaysia cuối tháng 10/2008, đại diện nhóm Bluemoon đã có buổi trò chuyện thú vị với TGVT về quan điểm bảo mật...

    "Bảo mật giống như trò chơi dàn trận vậy, mình cố xây thành lũy chỗ này vững chắc bao nhiêu thì đối phương sẽ cố phá chỗ... khác bấy nhiêu", ông Nguyễn Thành Nam - giám đốc công ty TNHH Tư Vấn Trăng Xanh ví von. Hiện nhiều người nghĩ đơn giản rằng, bảo mật hệ thống chỉ làm công việc giống như người bảo vệ gác cổng của một tòa nhà và do đó khi tội phạm mạng (gọi chung là hacker) bằng cách thức nào đó qua mặt được lớp phòng thủ này để thâm nhập vào "ruột gan" bên trong thì mọi chuyện dường như đã đến hồi kết, Nam cho biết.

    Phần hỏi đáp tại ngày hội An Toàn Thông Tin đầu tiên được tổ chức trong tháng 11/2008 tại TP.HCM, tư liệu của TGVT VN.
    Còn theo ông Võ Đỗ Thắng - giám đốc trung tâm Đào Tạo An Ninh Mạng Athena (TP.HCM), đa số hacker không nhất thiết phải dồn hết sức tấn công ngay từ đầu vào một hệ thống, thay vào đó họ cẩn thận dò tìm những lổ hổng, thói quen nhất định của mục tiêu rồi sau đó mới chọn giải pháp cụ thể. Có thể, đó là bằng cách lén cài phần mềm gián điệp (spyware, trojan...) để mở cửa hậu trên hệ thống tạo điều kiện cho đồng bọn từ xa thâm nhập và từ đó chiếm toàn quyền điều khiển hệ thống, hay tấn công trực tiếp bằng cách khai thác các lỗi giao tiếp hệ thống, lỗi cơ sở dữ liệu hay lỗi bảo mật thông dụng mà quản trị các hệ thống đó không kịp vá hoặc không biết.

    Vòng tròn 3 yếu tố

    Tương tự trên máy tính cá nhân, việc người dùng thoải mái sao chép các tập tin dữ liệu mà không sử dụng qua bất cứ phương pháp kiểm tra virus hay spyware nào có thể là "kẽ hở" đầu tiên mà giới hacker nhắm đến, cạnh đó là việc thoải mái nhấn chuột vào các liên kết “lừa đảo” trong email quảng cáo. "Trong khi đó, các doanh nghiệp thường chỉ tập trung vào yếu tố bảo mật và sao lưu dữ liệu mà quên đi những khía cạnh bảo mật trong việc kinh doanh, và chỉ khi sự cố xuất hiện và làm tê liệt các quy trình thiết yếu thì doanh nghiệp mới nhận ra những điều đáng lẽ đã phải được làm ngay từ đầu", ông Nam nhìn nhận, "Đến lúc đó thì đã trễ và thường sẽ tốn rất nhiều tiền để thêm vào các quy trình cũ những khía cạnh an toàn".

    Ông Võ Đỗ Thắng - Giám đốc Trung tâm Đào tạo An ninh mạng Athena (ảnh: Minh Tân)
    Cùng chia sẻ quan điểm này, ông Thắng cho rằng, nhiều người dùng cá nhân và thậm chí doanh nghiệp vốn chỉ xem bảo mật là quét kiểm tra virus và spyware, trong khi đó vấn đề an toàn thông tin và bảo mật hệ thống “rộng” hơn nhiều và cần sự đầu tư đáng kể về cả vật lực lẫn nhân lực.

    Theo ông Nam, ngay khi có trong tay một tiện ích bảo mật (phòng chống virus/spyware) mạnh, người dùng vẫn có thể cho người khác thoải mái sao chép dữ liệu trên máy tính cá nhân của mình, cảnh tượng tương tự hoàn toàn có thể diễn ra trên một hệ thống mạng doanh nghiệp vốn được bảo mật nghiêm ngặt trước các tấn công từ bên ngoài. Vấn đề đặt ra ở đây đối với người dùng và doanh nghiệp là phòng chống dữ liệu bị đánh cắp hay phòng chống bị tấn công và bảo vệ toàn vẹn dữ liệu trên hệ thống, Nam khuyến cáo.

    "Doanh nghiệp cần một quy trình lưu trữ, trao đổi dữ liệu trong nội bộ doanh nghiệp và ra bên ngoài, cạnh đó là hệ thống bảo mật mạng và website đang sở hữu", ông Thắng cho biết, "An toàn thông tin nói chung và bảo mật hệ thống riêng chỉ có được sự hiệu quả khi quy trình trao đổi dữ liệu vào/ra trong nội bộ doanh nghiệp và bên ngoài được tuân thủ ở mức cao nhất".

    Về vấn đề này, Nam đặt ra tình huống một quản trị hệ thống phụ trách quản lý tài khoản khách hàng cá nhân tại ngân hàng A đang có mức lương hàng tháng là 10.000 USD nhận được đề nghị "cho mượn tài khoản của anh ấy trong vòng 1 giờ với số tiền 100.000 USD với lời đảm bảo không để lại dấu vết nào cho thấy tài khoản của anh đã thực hiện những thay đổi dữ liệu trên hệ thống". Trước tình huống như vậy, thật khó để nói không bởi nhiều lý do, nhưng có lẽ quan trọng hơn cả là tính ngoại phạm mà người này được hứa hẹn bên cạnh cái giá khá hời. "Có thể khẳng định, một chiến lược phòng thủ để được xem là tạm ổn cần phải hội đủ đầy đủ 3 yếu tố  là con người, kỹ thuật và quy trình trong đó yếu tố con người cần đặt lên hàng đầu", ông Nam chia sẻ, "dẫu có trong tay một quy trình và thiết bị/công cụ bảo mật hoàn hảo, nhưng nếu nhận thức của những người làm công tác bảo mật thờ ơ hay thiếu nhận ý hay nhận thức không đúng thì mọi công sức đầu tư và khắc phục trước đó nếu có cũng chỉ mang...đổ sông".

    Phòng thủ từ xa

    Không phải mọi giải pháp bảo mật luôn hoàn hảo và mãi mãi hoàn hảo bởi hacker liên tục cập nhật công nghệ mới. Nam cũng chỉ ra rằng, nếu ai đó bảo công nghệ quét nhận dạng dấu vân tay (sinh trắc học) là tuyệt đối an toàn thì họ đã lầm, bởi lấy thí dụ một MTXT với dữ liệu bên trong được bảo mật dựa trên công nghệ dấu vân tay hoàn toàn có thể được mở ra nếu kẻ xấu bằng một cách thức không hợp pháp nào đó “mượn” được đủ 10 ngón tay của chủ máy.

    Cũng theo ông Thắng, các lỗ hỏng thường xuất hiện trước khi có bản vá, do đó, trong thời điểm này các hacker sẽ ra sức tấn công, nhiều hệ thống của các doanh nghiệp đã bị ảnh hưởng nghiêm trọng, gây thiệt hại lớn về kinh tế cũng như uy tín doanh nghiệp. Còn theo Nam, nếu chúng ta xây dựng được quy trình bảo mật chặt chẽ với sự gắn kết chặt chẽ của 3 yếu tố con người - quy trình - kỹ thuật thì rủi ro gặp phải sẽ giảm đáng kể ngay cả khi các hãng chưa kịp cung cấp bản vá lỗi.

    Vì vậy, lãnh đạo doanh nghiệp phải có ý thức xem phòng thủ từ xa như là một phần trong kế hoạch kinh doanh, phải xây dựng những kịch bản xử lý khi có sự cố, đề ra các giải pháp quản lý rủi ro trong mọi tình huống. "Đây là một việc làm không thể thiếu nếu muốn doanh nghiệp pháp triển bền vững", ông Thắng nhấn mạnh.

    Anh Khoa

    ID: O0812_1