Bảo mật thật sự đáng lo
Hacker ngày càng nguy hiểm, tấn công bằng nhiều thủ đoạn tinh vi và có chủ đích, đặt mọi tổ chức doanh nghiệp (TCDN) đối mặt với nhiều hiểm họa mà có thể phải gánh chịu thiệt hại lớn bất cứ lúc nào. Điển hình như những trường hợp xâm phạm tai tiếng gần đây, Yahoo bị rò rỉ hơn 1 tỷ tài khoản người dùng, hay sự cố các cụm cảng hàng không trong nước bị tấn công mã độc đồng loạt vào năm ngoái.
“Cái khó bó cái khôn”?
Theo các chuyên gia bảo mật thì các hệ thống phòng thủ hiện nay đang tồn tại quá nhiều lỗ hổng. Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị và An ninh mạng Athena chia sẻ, rất nhiều doanh nghiệp không biết họ đang có những lỗ hổng bảo mật, thậm chí có những đơn vị bị hacker khai thác xâm nhập từ lâu mà không hay.
Các chuyên gia bảo mật đồng quan điểm khi cho rằng, phần lớn các TCDN vẫn chưa nhận thức đầy đủ các mối đe dọa, chi phí cho bảo mật còn eo hẹp, hoặc nếu có ngân sách dồi dào “chịu chi” thì vẫn phổ biến tình trạng đầu tư chưa hợp lý.
Theo hãng nghiên cứu 451 Research, các tổ chức đang có sự lệch pha giữa các biện pháp phòng thủ và những mối đe dọa tiềm tàng. Hãng này nhận thấy chi tiêu cho bảo mật tiếp tục tăng qua mỗi năm, nhưng vấn đề là nguồn tiền đang bị lãng phí nhiều cho những công nghệ đã cũ không còn hiệu quả.
Trong khi các mối đe dọa ngày càng tăng với các kiểu tấn công mạng hết sức đa dạng, thủ đoạn được nâng cấp liên tục, thì các tổ chức vẫn dựa vào những hệ thống phòng thủ cũ với tường lửa truyền thống, duy trì nhiều công nghệ đã lạc hậu như hệ điều hành không còn được hỗ trợ hay thiếu cập nhật các bản vá. Họ vẫn chạy chương trình antivirus với niềm tin sẽ ngăn chặn được các cuộc tấn công hay lừa đảo qua mạng. Thực tế, các thiết bị di động dùng trong doanh nghiệp đã nhiều và nhiều công việc đã được chuyển lên mây nhưng giải pháp phòng thủ không được nâng cấp tương xứng với hoàn cảnh mới.
Một khó khăn lớn hiện nay là kinh phí cho bảo mật quá thiếu hụt so với yêu cầu thực tế. Áp lực tiết kiệm trong hoạt động kinh doanh đang đè nặng lên bất cứ doanh nghiệp nào, trong khi khối lượng công việc trong lĩnh vực bảo mật gia tăng nhanh cùng với sự bùng nổ dữ liệu.
Cũng vì để tiết kiệm chi phí mà các doanh nghiệp hiếm khi loại bỏ những sản phẩm bảo mật đã lạc hậu từ lâu, chúng chẳng những không còn tác dụng mà có thể ẩn chứa những lỗ hổng dễ bị hacker khai thác. Ngược lại, hiện tượng “phần mềm bỏ xó” không phải là hiếm. Nhiều doanh nghiệp mua sản phẩm bảo mật do những lời quảng bá hấp dẫn rồi chẳng bao giờ dùng tới, bởi chúng chẳng hơn gì những sản phẩm đang có. Sản phẩm được dùng thì có thể không đúng cách hoặc không theo dõi đúng mức khiến nguồn lực bị lãng phí và làm giảm hiệu quả của chương trình bảo mật.
Thực tế đòi hỏi sản phẩm bảo mật phải được nâng cấp liên tục, thêm nhiều tính năng kỹ thuật mới cùng những khả năng hỗ trợ doanh nghiệp. Nhiều công ty có xu hướng dành nhiều thời gian và nguồn lực vào những công cụ hàng đầu mà không tính đến việc chúng phù hợp và hoạt động trôi chảy với hạ tầng bảo mật hiện tại ra sao. Để chống lại các mối đe dọa bảo mật ngày nay đòi hòi cách tiếp cận toàn diện. Các công ty cần đầu tư vào nền tảng hợp nhất, tích hợp nhiều công cụ để có khả năng kiểm soát chuỗi đe dọa. Tốt hơn nữa là nền tảng hoàn toàn tự động phát hiện, giúp điều tra nhanh hơn và hỗ trợ các nhà phân tích mạng tập trung vào việc chặn đứng các cuộc tấn công phức tạp hơn.
Tất cả đều cần tiền, nhưng không dễ để thuyết minh đề xuất cho rõ ràng. Mỗi sản phẩm bảo mật của từng nhà cung cấp uy tín đều có thế mạnh riêng, giá cả khác nhau, rồi lại phải tính đến việc tích hợp với các hệ thống cũ, đánh giá hiệu quả mang lại, tốc độ triển khai, giám sát, tinh chỉnh thế nào, đầu tư dài hạn ra sao? Rất nhiều câu hỏi đặt ra, khó có câu trả lời chính xác.
Thiếu tiền là nỗi khổ không của riêng ai. Mặc dù chúng ta đều thừa nhận là khó có thể ngăn chặn một cuộc tấn công zero-day và tội phạm mạng luôn đi trước một bước, nhưng không ai dám bỏ đi những hàng rào bảo mật có lẽ không còn phù hợp. Thường thì chỉ thêm vào những sản phẩm hay lớp bảo mật mới với hy vọng sản phẩm nào đó có thể chặn được một cuộc tấn công mục tiêu. Các doanh nghiệp không cập nhật công nghệ bảo mật đủ nhanh là hiện tượng phổ biến, ngoài vấn đề tiền ra còn là do thiếu sự ưu tiên vì lãnh đạo thiếu nhận thức về các mối hiểm họa bảo mật ngày nay và những công nghệ cần thiết để xử lý chúng. Cập nhật công nghệ với mỗi công ty cần có quá trình và đầu tư tài chính lớn, do vậy các cấp lãnh đạo cần hiểu và ủng hộ những sáng kiến này.
TCDN chưa chú trọng nâng cấp công nghệ bảo mật còn do bảo thủ, một khi chưa bị xâm phạm vẫn nghĩ hệ thống của họ đang ổn, chẳng việc gì phải thay đổi. Đây là quan điểm cực kỳ nguy hiểm, vì vấn đề không còn là bị xâm phạm hay không mà là khi nào. Sẽ là sai lầm khi đặt niềm tin hoàn toàn vào các công nghệ hiện hữu với chương trình phòng chống virus, tường lửa, IDS, SIEM, giám sát truy cập, quét tìm lỗ hổng…
Bất cứ hệ thống phòng thủ nào cũng có thể bị các cuộc tấn công có chủ đích xuyên thủng, đó là lời cảnh báo của nhiều chuyên gia bảo mật thời gian gần đây.
Đám mây làm thay đổi bức tranh chi tiêu bảo mật?
Trong bối cảnh nhiều công việc được chuyển dần lên mây làm nảy sinh những khoản chi tiêu mới cho bảo mật thì mạng doanh nghiệp truyền thống vẫn phải được bảo vệ. Ngân sách cho bảo mật buộc phải tăng nhưng nhiều doanh nghiệp vẫn chưa điều chỉnh để theo kịp xu hướng mới. Họ vẫn gắn bó với tường lửa truyền thống và chương trình antivirus cài trên máy để bàn trong nhiều năm qua, và không hiểu rằng chúng đã mất “thiêng” trong thế giới nơi ứng dụng và dữ liệu chủ yếu nằm bên ngoài mạng doanh nghiệp.
Paul Querna, CTO và đồng sáng lập ScaleFT, cho rằng ngân sách chi cho bảo mật vốn thường xoay quanh các hệ thống bảo vệ an ninh vành đai, nhưng nay tình hình đã thay đối theo xu hướng gia tăng của điện toán đám mây và nhu cầu làm việc di động. Các công ty đã nhận ra điều này và bắt đầu chuyển đổi chiến lược bảo mật, thiết kế lại kiến trúc phòng thủ của họ từ trong ra. Điều này có nghĩa là chi tiêu sẽ chuyển từ các sản phẩm truyền thống như VPN và tường lửa sang các giải pháp đám mây.
Nhưng nhiều giải pháp bảo mật cũ vẫn được duy trì và đề xuất. Chẳng hạn Data Loss Prevention (DLP) – ngăn ngừa mất mát dữ liệu, để ngăn chặn tức thời những nguy cơ rò rỉ thông tin. Theo ông, cách tiếp cận này tập trung vào vành đai và không chặn được rò rỉ thông tin vì nó không giải quyết tận gốc nguyên nhân của vấn đề mất mát dữ liệu – đó là rủi ro với dữ liệu nhạy cảm chứa trên các máy trạm và máy chủ. Chưa kể là có thể sai sót do tốc độ quét dữ liệu ở vành đai.
Ông cho rằng, các phương pháp mới hơn nhấn mạnh việc sử dụng công nghệ để tự biết dữ liệu nhạy cảm ở đâu và phân loại chúng thuộc diện bí mật. Đó là những dữ liệu mà nếu bị rò rỉ sẽ gây tai tiếng hoặc thiệt hại về tài chính cho doanh nghiệp. Nhờ vậy, không cần tới sự can thiệp của con người các giải pháp mới về quản lý nội dung và bảo vệ đầu cuối sẽ chặn không cho dữ liệu bí mật bị rò rỉ ra ngoài với độ chính xác cao, giúp công việc kiểm soát và bảo vệ dữ liệu của doanh nghiệp tốt hơn.
Còn theo chuyên gia bảo mật Ron Winward của Radware thì bảo vệ thiết bị đầu cuối vẫn tiếp tục là một phần quan trọng của chiến lược bảo mật doanh nghiệp. Bảo vệ mạng cũng rất quan trọng, nhưng cấp độ đã có thay đổi trong những năm qua. Chẳng hạn, thiết bị theo dõi các hành vi tại vành đai an ninh – bao gồm các phiên mã hóa như SSL/TLS – là một hướng quan trọng của bảo mật, đặc biệt khi phần lớn lưu lượng truyền trên Internet đã được mã hóa.
Ngoài ra các tổ chức cũng đang làm mới một lượng lớn thiết bị bảo mật tại các điểm bán hàng đầu cuối. Dù vậy, sự khác biệt là nhiều thiết bị mới đang sử dụng, kiểu như Next Generation Firewalls (NGF), sẽ được phân lớp như thiết bị mạng nhưng cũng có khả năng làm các dịch vụ khác. Bảo vệ dữ liệu phía cuối còn có Web Application Firewall (WAF) đặt trước các máy chủ công cộng, và tự động theo dõi hành vi sai trái có thể dẫn tới vi phạm.
Có điều là việc phân lớp ngày càng nhiều sản phẩm cùng loại tại gateway không tăng cường mức độ bảo vệ, đơn giản bởi vì các sản phẩm bảo mật truyền thống hoạt động theo cùng cách, vì thế gây ra lãng phí trong đầu tư. Thêm nữa, nhiều công ty tin tưởng rằng thay thế duy nhất cho antivirus truyền thống là công nghệ sanbox, vốn là giải pháp khá tốn kém, tiêu tốn nguồn lực và khó quản lý.
Rich Campagna, phó chủ tịch sản phẩm của Bitglass cho biết, các công ty đang lạc hậu trong lĩnh vực Mobile Device Management (MDM) – Quản lý thiết bị di động. Các công cụ MDM hiện phù hợp với các thiết bị được quản lý, nhưng gây trở ngại cho xu hướng làm việc di động cùng đám mây mà nhân viên thường dùng thiết bị cá nhân trong công việc (BYOD), chủ yếu là bởi mối quan tâm đến sự riêng tư cá nhân và phức tạp trong triển khai.
Rõ ràng trọng tâm bảo mật đã đến lúc cần được đặt vào di động. Thực tế, thiết bị di động dễ bị tổn thương nhưng các công ty vẫn không quan tâm đầy đủ đến bảo mật di động cho đến khi xảy ra thảm họa. Một quan niệm sai lầm là MDM sẽ chặn được hacker như với nhân viên. Nhưng nhân viên không phải là kẻ xấu, và họ không có những thủ đoạn tinh vi như hacker.
Chính sách bảo mật và tính tuân thủ
Các chuyên gia thường nhấn mạnh con người là mắt xích yếu nhất trong chuỗi bảo mật của doanh nghiệp. Chỉ dựa vào công nghệ là không bao giờ đủ mà cần nâng ý thức của người dùng, đề ra chính sách bảo mật và buộc mọi thành viên đều phải tuân thủ.
Theo các chuyên gia, nhận thức về bảo mật phải thông suốt từ cấp lãnh đạo, các nguy cơ trên không gian mạng phải được phân tích từ trong phòng họp để có thể đề ra các thủ tục pháp lý thích hợp nhằm quản lý rủi ro trong tương lai. Kẻ tấn công chỉ mất vài phút, nhưng để phát hiện thì có thể mất vài ngày. Chưa kể là tấn công có chủ đích với malware nằm vùng rất khó phát hiện.
Trước các mối đe dọa ngày càng tăng của malware, nhất là ransomware, cần tăng cường giao tiếp giữa IT và các bộ phận. Các công ty cần tập trung đầu tư bảo mật trong mối liên hệ mật thiết giữa con người, quy trình và công nghệ.
Doanh nghiệp nên làm gì
Đầu tư vào những giải pháp phát hiện sớm hệ thống bị xâm nhập là hết sức quan trọng để có thể phản ứng nhanh nhất, kịp thời đối phó các cuộc tấn công mã độc mà các phương thức phòng thủ truyền thống dựa trên antivirus đã tỏ ra bất lực. Nhưng cần đảm bảo rằng mọi công cụ giúp giảm thiểu rủi ro phải hoạt động đồng bộ cùng nhau, theo chuyên gia giải pháp Mike Donaldson của Bay Dynamics.
Ông cho biết có những công cụ được lựa chọn vì tính năng kỹ thuật tốt, nhưng có thể không phù hợp với hệ sinh thái bảo vệ của doanh nghiệp, khó triển khai hay gặp trở ngại vì quán tính cũ sẽ không phát huy hết tác dụng. Dĩ nhiên là không thể có một giải pháp phù hợp cho tất cả, nhưng các công cụ bảo mật cần được đầu tư dựa trên mối quan hệ với mục tiêu kinh doanh, mức độ quan trọng và giá trị của tài sản, và cần giảm thiểu tổn thất trước các mối đe dọa.
Chọn đúng và khai thác hiệu quả tối đa công cụ bảo mật là nhiệm vụ của doanh nghiệp. Thường thì các sản phẩm bảo mật phóng đại nhiều nguy cơ và các bộ phận cũng có thái độ bảo mật khác nhau với từng tài sản. Điều này khiến bộ phận chuyên trách về bảo mật khó định lượng rủi ro và xếp mức độ ưu tiên các cảnh báo, sự cố và những sự phát hiện. Các ông ty cần kết hợp các công cụ bảo mật của họ và mô tả thông tin kết xuất từ chúng thành bức tranh để thấy rõ những nguy cơ đáng sợ nhất và những hành động quan trọng nhất của họ để giảm thiểu nguy cơ đó. Cần có cái nhìn toàn diện về tình hình bảo mật và có thể theo dõi và quản lý rủi ro theo thời gian thực.
Trong thời di động, hệ thống bảo mật không chỉ tập trung vào văn phòng, và bảo mật thiết bị đầu cuối vẫn giữ vai trò quan trọng. Với một hệ thống bảo mật mạng tốt thì không quan trọng việc bạn dùng laptop hay smartphone ở nhà, văn phòng hay trên đường đi.
Đó là lý do vì sao nhiều chuyên gia khuyên các tổ chức chi tiêu nhiều hơn cho giải pháp chống malware tiên tiến, tập trung vào bảo mật đám mây, thiết bị đầu cuối, quản lý rủi ro của bên thứ ba, giám sát nhận dạng và truy cập. Tất cả nằm trong một giải pháp tổng thể với tầm bao quát rộng khắp.
Chris Camacho, giám đốc chiến lược của Flashpoint, khuyên doanh nghiệp nên ưu tiên cho hạ tầng cốt lõi, thay thế các thiết bị mạng đã lỗi thời hoặc không còn được hỗ trợ nữa. Làm việc với các nhà cung cấp để tiếp tục nhận giấy phép sử dụng và sự hỗ trợ lâu dài cho sản phẩm của họ. Ông cũng khuyên phải xem xét tường lửa thế hệ mới. Cân nhắc việc hợp tác với nhà cung cấp về những dịch vụ phòng thủ chiều sâu, mục tiêu còn là tiết kiệm chi phí lâu dài.
Guy Bejerano, đồng sáng lập và CEO của SafeBreach cho biết, hầu hết các công ty không thực sự hiểu cách thức hacker hoạt động và không định lượng được những rủi ro mình có thể gặp. Do vậy họ tiếp tục mua các sản phẩm bảo mật mới với niềm tin sẽ bảo vệ họ khỏi những mối đe dọa tiên tiến. Theo ông thì thay vì lấy sản phẩm làm trung tâm, các tổ chức nên theo đuổi chiến lược lấy kẻ tấn công làm trung tâm. Ý tưởng là, bằng cách hiểu được quan điểm, động cơ và kỹ thuật của hacker bạn có thể liên tục kiểm chứng hệ thống phòng thủ của mình có thực sự chống được những kịch bản vi phạm thường xảy ra.
David Baker, phó chủ tịch của Bugcrowd tin rằng cách phòng thủ tốt nhất là tấn công. Theo ông, thử nghiệm tấn công là một chiến lược hiệu quả hơn nhiều, xét trên quan điểm ngân sách và nguồn lực. Các tổ chức nên thường xuyên đào tạo nhân viên để nâng cao nhận thức cho họ về bảo mật, thậm chí tiến hành cả những thử nghiệm lừa đảo kiểu phi kỹ thuật (social engineering). Giả lập tấn công cũng là phép thử để kiểm tra mức độ sẵn sàng và khả năng phản ứng của đội ngũ IT, nâng trình độ cho các chuyên viên kỹ thuật và phát hiện những sai sót của hệ thống nếu có.
Một tuyến phòng thủ cần gia cố theo nhiều chuyên gia là email. Đây là cửa ngõ dẫn tới 95% các cuộc tấn công mạng. Thế nhưng nhiều công ty dù nhận ra điều đó vẫn tin tưởng vào các công cụ bảo mật cũ như các bộ lọc thư rác, mà thực tế chúng chẳng mấy tác dụng. Những công ty này tốn công đào tạo nhận thức cho nhân viên nhưng ít có hiệu quả là vậy. Thậm chí còn làm giảm năng suất lao động của nhân viên vì hàng ngày họ phải phân tích rất nhiều email nhận được để tránh bị lừa.
Trong khi đó điều quan trọng là đổi mới công nghệ. Đáng tiếc, đây không phải là thói quen của các công ty vì ngoài khó khăn kinh phí họ còn không thực sự hiểu rõ những mất mát và rủi ro ra sao. Thậm chí, công tác đào tạo còn chưa được chú trọng, cũng thiếu những chính sách tuyển dụng và giữ chân chuyên gia bảo mật giỏi. Đó là một thực tế đáng ngại trên thị trường việc làm bảo mật ngày nay.