(PCWorldVN) Khi không một hệ thống thông tin nào có thể đảm bảo an toàn tuyệt đối trước các cuộc tấn công mạng thì việc chuẩn bị nhằm hạn chế rủi ro và ứng cứu sự cố được đặt lên hàng đầu.
Cuộc tấn công vào hệ thống kiểm soát, xếp chỗ cho hành khách đi máy bay tại sân bay Nội Bài, Tân Sơn Nhất cùng với việc thay đổi nội dung trang web (deface website) của Vietnam Airlines và phát tán cơ sở dữ liệu của một số thành viên câu lạc bộ LotusSmile vừa qua là một bài học về An toàn thông tin (ATTT) cho tất cả các tổ chức, doanh nghiệp đang vận hành những hệ thống CNTT trong hoạt động sản xuất – kinh doanh. Một câu hỏi tự nhiên là nên làm gì ngay bây giờ để sẵn sàng đối phó với các tấn công mạng tương tự xảy ra trong tương lai?
Suy nghĩ thử tìm câu trả lời cho câu hỏi trên là mục tiêu của bài viết này.
Mọi hệ thống phòng thủ đều có thể để “lọt lưới” mã độc
Nếu chúng ta biết rằng hầu hết hệ thống chống mã độc đều chỉ có khả năng dưới 100% trong việc phát hiện mã độc; các hệ thống kiểm tra phải có một độ trễ nhất định để thông qua quan sát hành vi, cho phần mềm chạy trong môi trường có giám sát (sandbox) để khẳng định ứng dụng là “lành” hay “độc” thì việc một mã độc “lọt lưới” đi qua hệ thống bảo vệ là hoàn toàn có thể xảy ra mà chúng ta phải chấp nhận.
Mọi hệ thống phòng thủ đều có thể để “lọt lưới” mã độc |
Thêm nữa, với tấn công có chủ đích (Advanced Persistent Threat - APT) hiện nay, kẻ tấn công chuẩn bị chu đáo công cụ mã độc của mình, kiểm tra xem nó có bị phát hiện hay không trước khi tìm cách cài cắm vào hệ thống mạng của nạn nhân thì khả năng hệ thống chống mã độc không phát hiện hoặc phát hiện trễ còn cao hơn nữa.
Nếu chúng ta xem xét rộng hơn các hình thức tấn công lừa đảo, hay còn gọi là phi kỹ thuật (social engineering) thì việc cài cắm mã độc vào thiết bị di động như điện thoại thông minh, máy tính xách tay ở tiệm sửa chữa, ngoài quán café, quà biếu dưới dạng các ổ đĩa lưu động (USB) sẽ đảm bảo hoàn toàn việc vô hiệu hóa hệ thống tường lửa, tường lửa ứng dụng email, web. Với những cuộc tấn công có chủ đích lớn, chúng ta cũng không được loại trừ các phương pháp mua chuộc nội bộ, cài cắm nhân viên làm tay trong để chuyển mã độc vào trong mạng của tổ chức.
Với nhiều con đường, cách thức khác nhau, việc mã độc được cài cắm vào một hệ thống mạng chỉ còn là vấn đề mã độc sẽ nằm trong hệ thống bao lâu cho đến lúc bị phát hiện.
Cần thiết kế hệ thống với tinh thần đã bị xâm nhập
Đây là một cách tiếp cận quan trọng trong thiết kế hệ thống phòng thủ hiện nay. Khi chúng ta xây dựng một ngôi nhà với suy nghĩ làm sao để trộm vào được phòng khách nhưng không qua được phòng ngủ sẽ hoàn toàn khác với cách tiếp cận nhằm ngăn chặn kẻ trộm lọt được vào nhà và yên tâm với bộ cửa ngoài có 3 lớp công nghệ tiên tiến.
Tấn công APT được điều khiển từ xa bởi virus RAT (remote access trojan), có khả năng kiểm soát toàn bộ máy tính nạn nhân |
Với cách tiếp cận coi hệ thống đã bị xâm nhập, việc có thể làm trước mắt và nên ưu tiên làm đầu tiên là:
- Rà soát và phân tách (segmentation) mạng nhỏ nhất có thể mà vẫn đảm bảo hệ thống vận hành hiệu quả. Các thành phần CNTT của mỗi quy trình hoạt động cần được tách biệt. Thậm chí các thành phần chính của một quy trình hoạt động cũng có thể nằm ở các phân đoạn mạng khác nhau. Giữa các phân đoạn mạng cần có các trạm kiểm soát, tối thiểu là bộ lọc gói để ngăn chặn, làm khó cho các cuộc tấn công lan tỏa theo chiều rộng cũng như chiều sâu.
- Rà soát và bổ sung tầm nhìn (visibility). Chúng ta không thể bảo vệ cái chúng ta không nhìn thấy (we can’t protect what we can’t see). Vậy phải đảm bảo chúng ta có những khả năng nhìn thấy gì?
Xây dựng một kế hoạch phản ứng sự cố
Hacker có thể sẽ phát động tấn công, lấy cắp thông tin trước khi chúng ta phát hiện ra chúng. Nếu thiết kế hệ thống của chúng ta có một phân tách (segmentation) tốt thì thiệt hại sẽ được giảm thiểu do tin tặc khó có thể xâm nhập sâu và rộng. Đây chính là ý nghĩa quan trọng nhất của vấn đề phân tách mạng trong thiết kế. Ngoài ra, chúng ta phải có một qui trình xử lý sự cố chi tiết, bài bản. Những yếu tố không thể thiếu được trong công tác chuẩn bị cho xử lý sự cố là:
- Hồ sơ mô tả hệ thống mạng đầy đủ và chính xác. Trong lúc “nước sôi lửa bỏng”, cố nhớ lại hệ thống mạng được thiết kế như thế nào không phải là ý tưởng hay. Mô hình vật lý đảm bảo chúng ta biết chắc chắn thiết bị nào nối với thiệt bị nào khác và qua đường cáp nào; cổng nào máy chủ nối với phân đoạn mạng nào. Sơ đồ logic cho phép chúng ta hiểu được luồng dữ liệu hoạt động trong mạng như thế nào, qua các thiết bị gì.
- Hồ sơ thông tin về ứng dụng đầy đủ và chính xác. Các ứng dụng là các cơ thể sống với các tập tin cấu hình khác nhau và có thể thay đổi trong vòng đời của chúng. Vì vậy biết chắc chắn ứng dụng gì, phần mềm làm gì, license ở đâu, tập tin cấu hình tên gì và lưu ở đâu… là những thông tin hữu ích khi chúng ta phải “cứu” ứng dụng.
Mô hình tam giác BMIS (business model for information security) |
- Phân công nhân sự rõ ràng và có dự phòng. Công tác ứng cứu rõ ràng là phải do con người thực hiện hoặc thực hiện phần lớn. Vì vậy, khi có sự cố chúng ta cần biết rõ vai trò của từng người trong đội ứng cứu. Nhân sự dự phòng là cần thiết khi nhân sự chính không có mặt, chuyên gia bên ngoài có thể nhờ hỗ trợ là những gì tối thiểu chúng ta cần phải có.
- Dự kiến trang thiết bị dự phòng tối thiểu. Nếu được, cần có hệ thống trang thiết bị dự phòng như khi làm kế hoạch đối phó với thảm họa (Disaster Recovery Plan hay DRP). Chú ý là công tác khôi phục sự cố và điều tra tìm nguyên gốc tấn công là hai công việc mâu thuẫn nhau.
Nếu điều tra đòi hỏi phải giữ nguyên hiện trường thì khôi phục đòi hỏi phải nhanh chóng triển khai, cài đặt lại hệ thống, đồng nghĩa với việc xóa hết hiện trường cùng dấu vết của nó. Lý tưởng là chúng ta khôi phục hệ thống trên thiết bị dự phòng và giữ nguyên hiện trường cho công tác điều tra.
Có thể còn nhiều công việc cần phải làm nữa, nhưng trên đây chắc là những gì quan trọng nhất, cần ưu tiên thực hiện trước mắt.
Đảm bảo khả năng hiện thực kế hoạch xử lý sự cố
Kế hoạch xử lý sự cố dù sao cũng chỉ là kế hoạch. Liệu chúng ta có người và trình độ, kỹ năng cùng sự sẵn sàng để thực hiện kế hoạch hay không lại là một câu chuyện hoàn toàn khác, và đây là công tác khó nhất vì nó đòi hỏi sự đầu tư, nỗ lực của tất cả các cấp, các bộ phận trong thời gian dài. Hoàn toàn có thể xảy ra việc sau khi đầu tư, chúng ta có đội ngũ ứng cứu tốt, nhưng sau đó đội ngũ này phân tán đi các nơi khác và không còn khả năng như ban đầu nữa. Luôn kiểm tra bằng những biện pháp độc lập (chứ không phải qua báo cáo từ dưới lên) là biện pháp cần thiết để lãnh đạo có được một đánh giá chân thực về khả năng của đội ứng cứu. Chỉ đến bao giờ chúng ta có một hệ thống tổ chức và tài chính như trong công tác phòng cháy chữa cháy thì mới hy vọng có một khả năng ứng cứu mạng máy tính đáng tin cậy.
Còn như hiện nay, một cách khách quan mà nói thì khả năng ứng cứu của chúng ta vẫn còn xa với yêu cầu thực tế.
Xây dựng một hệ thống bảo vệ mạng tin học (Information Security Management System – ISMS) là một chương trình lớn, lâu dài và phải do lãnh đạo cao nhất của tổ chức chịu trách nhiệm. Ở mức ngắn hạn, trong lúc chờ đợi một kế hoạch bài bản được thực thi, chúng ta có thể có những hiệu chỉnh trước mắt như những gì đề cập ở trên để vừa giải quyết được những bài toán rút ra từ đợt tấn công vừa qua, vừa yên tâm rằng các giải pháp trước mắt sẽ phù hợp với kế hoạch chiến lược lâu dài của tổ chức.
An ninh mạng