Cần một cách nhìn khác về “vá lỗ hổng bảo mật”

Mới đây, trong cuộc trao đổi với phóng viên ICTnews, ông Ngô Việt Khôi cho biết, các chuyên gia an ninh mạng thống kê được 74% các cuộc tấn công thành công ngay trong ngày đầu tiên lỗ hổng được công bố, trong khi bản vá chính hãng cần trung bình 30-45 ngày để phát hành. Khoảng thời gian hệ thống dễ bị tổn thương nhất, được gọi là zero-day. .

Trong đó, quy trình kiểm nghiệm bản vá, phê duyệt kết quả, sao lưu dữ liệu, tiến hành vá... kéo dài hàng tháng, hàng quý. Không những vậy, việc cập nhật bản vá phụ thuộc vào quy trình, chính sách của đơn vị hoặc quy mô của hệ thống cần và chính độ trì trệ, quan liêu của tổ chức đó. Thói quen sử dụng phần mềm bẻ khóa (crack, không có bản quyền hoặc các ứng dụng đã cũ (được lập trình để chạy trên hệ điều hành đã hết hạn hỗ trợ như Windows XP, Windows 7, Windows Server 2013…) cũng tăng khả năng  các lỗ hổng bảo mật không được vá. Bên cạnh đó, trong một số trường hợp, chi phí nâng cấp phần mềm, phần cứng không được đưa vào trong ngân sách đã được phê duyệt của các cơ quan, doanh nghiệp cũng là lý do để các lỗ hổng đó tồn tại sang năm tài chính tiếp theo.

Theo ông Ngô Việt Khôi, các cơ quan và doanh nghiệp tại Việt Nam cần chủ động hơn trong việc khi xử lý các lỗ hổng bảo mật trong hệ thống dữ liệu

Hiện nay, các cuộc tấn công có chủ đích (APT) nhằm vào các mục tiêu đã định trước như cơ quan nhà nước, các doanh nghiệp và tổ chức quân sự, năng lượng, hàng không vũ trụ,… nhằm đánh cắp những thông tin tài liệu, chính trị, kinh tế, an ninh, quốc phòng. Vì nhiều nguyên nhân nêu trên, việc vá lỗ hổng bảo mật diễn ra chậm chạp sẽ tạo điều kiện rất tốt cho tin tặc hoành hành.

Cũng theo ông Ngô Việt Khôi, hoạt động CNTT của các cơ quan, tổ chức Chính phủ hay doanh nghiệp phụ thuộc rất nhiều vào hệ thống máy chủ (server hoặc datacenter). Vá các lỗ hổng bảo mật trên ứng dụng và hệ điều hành là đặc thù công việc (ngoài mong muốn) của các quản trị viên. Trong nhiều trường hợp, các lỗ hổng bảo mật bị khai thác trước khi hãng cung cấp phần mềm phát hiện ra (unknow vulnerability). Bằng những công cụ dò quét, các đối tượng tội phạm mạng có thể nhanh chóng phát hiện được các lỗ hổng này để tận dụng trước khi các bản vá chính hãng xuất hiện.

Trong khi đó, nhận thức về ATTT tại nhiều bộ, ngành, cơ quan nhà nước cũng như các doanh nghiệp tại Việt Nam còn thấp hơn mức cần thiết. Điển hình như có những đơn vị chỉ chấp nhận trang bị giải pháp bảo mật một lần duy nhất và đầu tư vào các bản cập nhật mới để tiết kiệm chi phí. Có những đơn vị chưa có chính sách bảo mật hoặc bộ phận chuyên trách về ATTT. Thậm chí, khi được cảnh báo, các đơn vị này cũng không có bộ phận xử lý, hoặc phớt lờ. Không những vậy, có những lỗ hổng chỉ được xử lý khi có bằng chứng bị tin tặc khai thác và gây thiệt hại.  Còn nguy cơ từ lỗ hổng chưa biết thì vẫn không được kiểm tra để ngăn chặn. Nhiều đơn vị chưa kịp trang bị giải pháp dò quét tổng thể để phát hiện các lỗ hổng bảo mật đang bị lợi dụng, các hoạt động đáng ngờ hay những truy nhập không được phép đang chạy trên mạng nội bộ hoặc liên lạc với server điều khiển và ra lệnh (C&C server của tin tặc).

Cách xử lý theo kiểu “thủng đâu vá đó” này khiến cho công tác đảm bảo ATTT rơi vào thế bị động, đầu tư dàn trải nhưng nguy cơ mất ATTT không hề giảm. “Nếu đặt trong tình hình của Việt Nam, nơi mà ý thức về đảm bảo ATTT của phần đông cán bộ nhà nước, người dân còn rất hạn chế thì vấn đề mất ATTT là đặc biệt nghiêm trọng”, ông Ngô Việt Khôi lo ngại.

Chính vì vậy, nguyên Giám đốc của TrendMicro Việt Nam khuyến nghị đội ngũ chuyên viên ATTT tại các đơn vị nên chủ động tiếp cận các phương pháp vá lỗ hổng mới thay vì chờ đợi bản vá từ các nhà cung cấp dịch vụ, phần mềm và triển khai theo các truyền thống. Một trong những gợi ý được ông Khôi đưa ra là sử dụng giải pháp ATTT có tính năng vá ảo. Với giải pháp này, thời gian zero-day được rút ngắn từ xuông mức vài tiếng hoặc  từ vài ngày ngày. Đây là một giải pháp tình thế trong khi bản vá chính hãng chưa tới, hoặc đang được thử nghiệm hoặc không bao giờ tới (trong trường hợp phần mềm đã hết hạn hỗ trợ bản vá của hãng).

Bản vá ảo sẽ tự động nhận dạng khi bản vá chính hãng được cập nhật để chủ động ngừng hoạt động, nhằm tránh xung đột trong hệ thống. Vá ảo cũng giảm thiểu các khâu trong quy trình như sao lưu dữ liệu, khởi động lại máy chủ sau khi cập nhật bản vá (gây gián đoạn dịch vụ). Giải pháp mang tính tạm thời này giúp cho việc cung cấp các dịch vụ của các đơn vị không bị gián đoạn. Hệ thống không bị đặt vào tình trạng rủi ro cao khi chưa có bản vá chính thức. Thông thường, chỉ những công ty bảo mật lớn có công nghệ lõi dựa trên nền điện toán đám mây và khả năng xử lý dữ liệu lớn (Big Data) mới có đủ mẫu để phục vụ cho tính năng vá ảo.

Theo hãng bảo mật Kaspersky, Việt Nam đứng số 1 thế giới về tỷ lệ lây nhiễm mã độc qua thiết bị lưu trữ ngoài (USB, thẻ nhớ, ổ cứng di động) với tỷ lệ 70,83% máy tính bị lây nhiễm. 39,55% người dùng phải đối mặt với mã độc từ Internet. Trong năm 2015, có hơn 10.000 trang, cổng thông tin điện tử có tên miền .vn bị tấn công, chiếm quyền điều khiển, thay đổi giao diện. Đa phần các cổng thông tin điện tử bị tấn công do tồn tại các lỗ hổng bảo mật nghiêm trọng nhưng lại không được đầu tư nâng cấp, khắc phục.

Lê Hoàng