Lỗ hổng an toàn thông tin và một số giải pháp ứng phó
Năm 2017: Lỗ hổng bảo mật tăng đột ngột về số lượng và mức độ nghiêm trọng
Trong những năm gần đây, số lượng các lỗ hổng bảo mật được công bố (Common Vulnerabilities and Exposures - CVE) đã giảm, sau khi đạt mức cao kỷ lục vào năm 2014. Theo đó, số lượng lỗ hổng các năm 2014, 2015, 2016 lần lượt là 7.946, 6.480 và 6.447. Các chuyên gia bảo mật đã dự đoán, năm 2017 sẽ không có sự gia tăng đột ngột về số lượng lỗ hổng. Tuy nhiên, chỉ tính trong nửa đầu năm 2017, số lượng lỗ hổng được công bố đã nhiều hơn 7 nghìn (Hình 1).
Hình 1: Tổng số các lỗ hổng được công bố từ năm 1999-2017 (theo www.cvedetails.com)
Đặc biệt, số lượng lỗ hổng nghiêm trọng có ảnh hưởng lớn đến vấn đề an toàn bảo mật của người dùng có xu hướng tăng qua các năm. Vào cuối tháng 10/2016, số lượng các lỗ hổng nghiêm trọng chiếm tới 40% tổng số lỗ hổng được công bố, tỷ lệ này cao hơn so với những năm trước đó. Ví dụ: CVE-2016-2060 là một lỗ hổng nghiêm trọng ảnh hưởng đến hàng triệu thiết bị Android, nghĩa là một số ứng dụng có các đặc quyền được truy cập vào thông tin cá nhân của người dùng. Liên quan đến giao thức OpenSSL, DROWN là một lỗ hổng nghiêm trọng được công bố vào năm 2016. Ước tính, lỗ hổng này có thể ảnh hưởng tới 25% tên miền Internet được truy cập nhiều nhất và khoảng 1/3 các máy chủ Web. Điều này chứng tỏ hai lỗ hổng này có thể ảnh hưởng đáng kể đến nhiều người dùng cá nhân và người dùng doanh nghiệp. Trong nửa đầu năm 2017, tỷ lệ lỗ hổng nghiêm trọng đã chiếm tới 21,1%.
Ngoài ra, nguy cơ lỗ hổng bị khai thác không tỷ lệ thuận với số lượng lỗ hổng được báo cáo, mà chủ yếu liên quan đến các vấn đề như việc sử dụng phổ biến các giao thức và ứng dụng dễ bị tổn thương, những khó khăn trong khai thác và tính chất quan trọng hoặc giá trị của thông tin được lưu giữ.
Một số giải pháp đảm bảo an toàn thông tin
Tăng cường an ninh trong chu kỳ phát triển phần mềm
Trước đây, trong vòng đời phát triển phần mềm (Software Development Life Cycle - SDLC), yếu tố thời gian để đổi mới sản phẩm trên thị trường được ưu tiên trước yếu tố an toàn thông tin (ATTT). Tuy nhiên, xét trên quan điểm bảo vệ dữ liệu, cũng như đảm bảo kinh doanh liên tục, nếu chỉ vì bị thúc ép hoặc bị bó buộc bởi nhu cầu luôn phải đổi mới trong thị trường công nghệ, mà bỏ qua ATTT, thì sẽ tiềm ẩn rất nhiều rủi ro khi phát triển các phần mềm. Đặc biệt, khi một vụ tấn công lớn xảy ra, sẽ ảnh hưởng nghiêm trọng đến cả nạn nhân và nhà cung cấp. Hiện nay, trong SDLC, vấn đề ATTT được chú trọng ngay từ giai đoạn đầu phát triển sản phẩm với sự tham gia của các chuyên gia ATTT. Vì vậy, ở một mức độ nào đó, số lượng lỗ hổng trong các sản phẩm phần mềm đưa ra thị trường đã được khống chế. Điều này giúp giảm khả năng khai thác các lỗ hổng trên nhiều hệ thống đã được triển khai.
Hình 2: Số lượng các lỗ hổng nghiêm trọng từ năm 1999-9/2017 (theo www.cvedetails.com)
Tất cả những cải tiến trong SDLC ngày càng trở nên cần thiết, bao gồm sự phát triển về số lượng các ứng dụng và dịch vụ dựa trên đám mây, các ứng dụng Dữ liệu lớn (Big Data) và các Giao diện lập trình ứng dụng (Application Programming Interface - API). Những điều này phải được thực hiện với đầu vào thích hợp và đảm bảo ATTT đầu ra bằng cách sử dụng các phương pháp mã hoá, đây là một sự bổ sung cho việc xử lý hợp lệ các bản ghi, bộ nhớ, lỗi và lưu trữ.
Để tăng cường các cải tiến trong SDLC, thách thức cho năm 2017 sẽ tập trung vào cải thiện việc quản lý các lỗ hổng. Thách thức không chỉ là sử dụng các biện pháp kiểm soát để ngăn chặn việc khai thác các lỗ hổng, mà còn để thực hiện báo cáo và quản lý những lỗ hổng đó một cách thỏa đáng.
Nâng cao nhận thức người dùng
Việc tuyên truyền, phổ biến nâng cao nhận thức và trách nhiệm về ATTT cho người dùng là hết sức quan trọng. Trong đó, việc đặt tên cho các lỗ hổng bảo mật là phương pháp đang được sử dụng gần đây.
Hình 3: Số lượng từng loại lỗ hổng, tính từ năm 1999-9/2017 (theo www.cvedetails.com)
Thông thường, người dùng không mấy quan tâm tới những mã độc có mức độ ảnh hưởng nghiêm trọng nếu chúng không được gán bởi những cái tên tạo sự chú ý. Thực tế, trong hơn ba thập niên qua, các công ty chống mã độc và các nhà nghiên cứu bảo mật đã sử dụng nhiều tên khác nhau để đặt cho các mã độc có tác động lớn. Chẳng hạn như sâu Morris, Melissa, Sasser hoặc nhiều cái tên hiện tại như CTB-Locker và Locky. Từ năm 2014, các lỗ hổng bảo mật đặc biệt nghiêm trọng cũng đã được đặt tên. Ví dụ: CVE-2014-0160, hay còn gọi là Heartbleed, một lỗ hổng nổi tiếng không chỉ ở tên gọi mà còn là biểu tượng của chính nó. Năm 2015, xuất hiện các tên như FREAK (CVE-2015-0204) và Logjam (CVE-2015-4000); năm 2016 là lỗ hổng với tên gọi Badlock (CVE-2016-2118), hay năm 2017 với những cái tên như Stack Clash (CVE-2017-1000364), SambaCry (CVE-2017-7494).... Việc đặt tên cho lỗ hổng quan trọng dựa trên đặc trưng của mối đe dọa, nhằm xác định một điểm tham chiếu hoặc sự hiểu biết về cách thức hoạt động. Hy vọng rằng, điều này sẽ nâng cao nhận thức của người dùng, để họ thực hiện những biện pháp cần thiết nhằm giảm nhẹ tác động của các lỗ hổng có thể có trên hệ thống.
Chủ động tìm kiếm lỗ hổng bảo mật
Thông báo về lỗ hổng bảo mật cũng là mối quan tâm của các nhà cung cấp dịch vụ và công ty hàng đầu trong thế giới công nghệ. Các nhà cung cấp đã tạo ra các chính sách và cơ chế kiểm soát để thực thi công việc quản lý an ninh và các lỗ hổng. Gần đây, các chính sách và việc kiểm soát đã tạo thuận lợi cho việc kiểm tra đánh giá, nhưng vẫn tập trung vào các môi trường doanh nghiệp. Do các điều luật pháp lý và tăng cường nhận thức về các mối đe dọa hiện tại, việc thông báo về những lỗ hổng cần phải được thực hiện định kỳ.
Tuy nhiên, các công ty lớn và các cơ quan chính phủ đang dựa trên xu hướng mô phỏng các cuộc tấn công trên thực tế để có biện pháp an ninh thích hợp. Về cơ bản, cách tiếp cận này bao gồm việc thuê các chuyên gia bảo mật để thực hiện phát hiện, kiểm tra, đánh giá các lỗ hổng ATTT dựa trên các dữ liệu thu được. Xu hướng này được gọi là “Chương trình Phần thưởng Lỗ hổng bảo mật” (Vulnerability Reward Program - VRP), nhằm khuyến khích mọi người tìm ra những lỗ hổng bảo mật trên các sản phẩm. Chương trình này không chỉ giúp sửa lỗi các sản phẩm trong hệ sinh thái của hãng công nghệ mà còn giúp người dùng an toàn hơn đối với những mối đe dọa thường trực trên Internet. Các công ty hàng đầu như Facebook, Google hay Yahoo đã nỗ lực để phát triển hoạt động này.
Đối với các nhà phát triển ứng dụng và các nhà sản xuất các thiết bị IoT, chương trình này có thể nhanh chóng mang lại những cải tiến về sản phẩm, vì các cuộc kiểm tra thường được tiến hành bởi một số lượng lớn các nhà nghiên cứu và các lỗ hổng được báo cáo ngay khi phát hiện. Ngoài ra, các bài kiểm tra được thực hiện với một khung thời gian mở rộng, vì vậy các sản phẩm có thể được nghiên cứu tìm hiểu chuyên sâu. Trong tương lai không xa, chương trình VRP sẽ mở rộng phạm vi sang lĩnh vực IoT.
Kết luận
Những thách thức chính đối với các TC/DN trong năm 2017 liên quan đến việc tập trung các nỗ lực quản lý công nghệ và nâng cao nhận thức của nhân viên về những rủi ro này. Để giải quyết những thách thức này, cần phải tuân thủ các tiêu chuẩn mà các nhà quản lý kinh doanh đặt ra. Ngoài ra, cần phải phát triển thêm khả năng xử lý sự cố, cho phép các chuyên gia bảo mật có thể tham gia vào các hoạt động hỗ trợ trong các lĩnh vực CNTT như chỉnh sửa các lỗi mã hoá và giảm thiểu các tác động do vi phạm về ATTT. Do đó, việc quản lý cần phải tập trung vào việc thực hiện đúng các chính sách ATTT và các kế hoạch để doanh nghiệp tiếp tục hoạt động trong trường hợp có sự vi phạm và bao gồm cả việc thông báo về các sự cố do việc vi phạm ATTT gây ra.
Từ quan điểm của nhà phát triển, mô hình phát triển ATTT sẽ tiếp tục được bổ sung dựa trên nhận thức của người sử dụng về rủi ro do các lỗ hổng bảo mật gây ra và yêu cầu tăng cường bảo vệ ATTT cá nhân. Khi đó, việc phát triển ATTT sẽ trở thành sự khác biệt cạnh tranh trong ngành công nghiệp công nghệ và trong tương lai nó sẽ trở thành động lực cho các nhà phát triển.
Nguyễn Thị Thu Thủy, Bộ Thông tin và Truyền thông