Tài liệu Báo cáo 2014 các mối đe dọa không gian mạng đang nổi lên

  • Số trang: 22 |
  • Loại file: PDF |
  • Lượt xem: 370 |
  • Lượt tải: 0

Mô tả:

Báo cáo 2014 Các mối đe dọa không gian mạng đang nổi lên
Viện Công nghệ Georgia Báo cáo 2014 Các mối đe dọa không gian mạng đang nổi lên Được Trung tâm An ninh Thông tin Công nghệ Georgia (GTISC) và Viện Nghiên cứu Công nghệ Georgia (GTRI) trình bày tại Hội nghị An ninh Không gian mạng Công nghệ Georgia 2013 Dịch sang tiếng Việt: Lê Trung Nghĩa, letrungnghia.foss@gmail.com Dịch xong: 02/03/2014 Bản gốc tiếng Anh: http://www.gtcybersecuritysummit.com/2014Report.pdf Georgia Institute of Technology EMERGING CYBER THREATS REPORT 2014 Presented by the Georgia Tech Information Security Center (GTISC) and the Georgia Tech Research Institute (GTRI) Georgia Tech Cyber Security Summit 2013 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Giới thiệu Với sự vươn tới một cách phổ biến của Internet trong doanh nghiệp, chính phủ và cuộc sống riêng tư, không ngạc nhiên rằng tội phạm và gián điệp không gian mạng không chỉ tiếp tục tiến hóa, mà các kỹ thuật mới sẽ nhanh chóng được tùy biến thích nghi. Tội phạm không gian mạng (TPKGM) tiếp tục phát triển các cách thức mới để làm tiền các nạn nhân, trong khi các tin tặc nhà nước quốc gia gây tổn thương cho các công ty, các cơ quan chính phủ, và các tổ chức phi chính phủ để tạo ra các mạng gián điệp và ăn cắp thông tin. Khi chúng ta tiến hóa như một xã hội, các thay đổi về cách mà công nghệ thông tin (CNTT) hỗ trợ doanh nghiệp đã làm thay đổi bức tranh về các mối đe dọa. Ví dụ, phần lớn các nhân viên bây giờ mang theo các thiết bị di động vào không gian làm việc và kỳ vọng có khả năng sử dụng các điện thoại thông minh và máy tính bảng để làm việc từ bất kỳ đâu. Hơn nữa, sự áp dụng các dịch vụ đám mây đã tiếp tục tăng nhanh. Các công ty đang ngày càng được kết nối tới hàng tá, nếu không nói là hàng trăm, các dịch vụ đám mây, và dữ liệu nhanh chóng đang được xuất khẩu ra ngoài biên giới an ninh truyền thống của các tường lửa. Để hiểu được tốt hơn và đấu tranh được chống với các mối đe dọa có liên quan tới các thay đổi đó, nước Mỹ và các nước khác phải tiếp tục hỗ trợ điều tra và nghiên cứu phòng thủ. Các nhà nghiên cứu từ khu vực hàn lâm, tư nhân và chính phủ phải tiếp tục làm việc cùng nhau và chia sẻ thông tin về các mối đe dọa đang nổi lên và các cách thức đổi mới để đấu tranh với chúng. Hội nghị An ninh không gian mạng (ANKGM) của Georgia Tech - GT CSS (Georgia Tech Cyber Security Summit) thường niên hôm 06/11/2013, đưa ra một cơ hội cho giới hàn lâm, công nghiệp tư nhân và chính phủ đi cùng nhau và chuẩn bị cho những thay đổi mà chúng ta sẽ đối mặt trong việc đảm bảo ANKGM và các hệ thống vật lý được kết nối với KGM. Bằng việc tổ chức sự kiện đó, Georgia Tech muốn hỗ trợ cho các nỗ lực để phát triển các công nghệ và chiến lược mới có hiệu quả để chống lại các cuộc tấn công không gian mạng (TCKGM) phức tạp. Viện Công nghệ Georgia là một trong những đại học nghiên cứu công lập hàng đầu quốc gia. Như một tổ chức nhiều đơn vị, khuôn viên rộng rãi, Trung tâm An ninh Thông tin của Georgia Tech – GTISC (Georgia Tech Information Security Center) làm việc để dẫn dắt nghiên cứu về các vấn đề và giải pháp ANKGM. Viện Nghiên cứu Công nghệ Georgia - GTRI (Georgia Tech Research Institute) và hàng tá phòng thí nghiệm khắp khu trường tham gia vào các nỗ lực nghiên cứu nhằm vào việc tạo ra công nghệ và dẫn dắt đổi mới giúp đảm bảo an ninh cho các mạng doanh nghiệp, các hệ thống của chính phủ, và dữ liệu của nhân dân. Như một người đi đầu trong nghiên cứu ANKGM, Georgia Tech tập trung vào việc phát triển các giải pháp mới lạ để giải quyết các vấn đề quan trọng. Atlanta là một trung tâm về ANKGM và Georgia Tech đã hành động như một vườn ươm cho nhiều công ty đã từng thành công trên trường quốc tế. Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 2/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Thảo luận bắt đầu ở đây. Như những người tham gia đóng góp chính, tất cả chúng ta cần cộng tác có hiệu quả hơn để đấu tranh với các mối đe dọa mà chúng ta đối mặt ngày nay và bắt kịp nhịp với sự tiến hóa của chúng. Ở Georgia Tech, chúng tôi hiểu nhu cầu này và, tận dụng việc nghiên cứu và sự tinh thông trong nội bộ, đã biên dịch 'Báo cáo các Mối đe dọa Không gian mạng Đang nổi lên' sau đây, nó bao gồm sự hiểu sâu sắc và phân tích từ các chuyên gia khác nhau trong ANKGM. Báo cáo và Hội nghị đưa ra một diễn đàn mở để thảo luận về các mối đe dọa đang nổi lên, tác động tiềm tàng của chúng và các biện pháp đối phó để khoanh vùng chúng. Để đóng lại, chúng tôi mời bạn tìm hiểu nhiều hơn về công việc của chúng tôi trong ANKGM và kết nối với các chuyên gia để hiểu và giải quyết các thách thức chúng ta đang đối mặt ở phía trước. - Wenke Lee Giám đốc, GTISC - Bo Rotoloni Giám đốc, Phòng thí nghiệm An ninh Thông tin và Công nghệ Không gian mạng Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 3/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Mất kiểm soát các dữ liệu đám mây Khi công ty chuyển dữ liệu lên đám mây, cân nhắc giữa an ninh và khả năng sử dụng sẽ gây trở ngại cho doanh nghiệp Các điểm lưu ý: • Dữ liệu doanh nghiệp thường xuyên được lưu trữ trong đám mây mà không có bất kỳ an ninh nào ngoài an ninh được hãng lưu trữ đám mây cung cấp • Trong khi mã hóa khóa cá nhân là một lựa chọn, thì việc mã hóa dữ liệu trong đám mây cướp đi của các doanh nghiệp nhiều sự tiện dụng của đám mây • Mã hóa có khả năng tìm kiếm tiếp tục được cân nhắc giữa an ninh, chức năng và hiệu quả Với sự dịch chuyển nhanh từ CNTT người chủ làm chủ sang CNTT nhân viên làm chủ, các công ty ngày càng phải đối mặt với các thách thức của việc bảo vệ dữ liệu nằm phân tán trong các thiết bị của các nhân viên và các dịch vụ đám mây theo các mức độ của người tiêu dùng. Sự tiến hóa của CNTT sang một hệ sinh thái di động, phân tán có nghĩa là hầu hết các công ty có các dữ liệu thấm ra ngoài vào đám mây. Thậm chí dù 7/10 lãnh đạo CNTT hoặc đã khẳng định hoặc đã giả định rằng các nhân viên đang lưu trữ các dữ liệu của doanh nghiệp lên đám mây [1], thì ít công ty đang làm bất kỳ điều gì về vấn đề này. Vâng, những người tiêu dùng và các doanh nghiệp không chỉ là những người duy nhất đang sử dụng đám mây. Sự áp dụng các dịch vụ đám mây một cách rộng rãi đã cho phép các tội phạm sử dụng các dịch vụ đáng kính để vượt qua được sự phòng thủ số được các công ty dựng lên. Hơn nữa, các tội phạm tinh vi về kỹ thuật đã tạo ra các dịch vụ đám mây của riêng họ sao cho bất kỳ ai định ứng dụng các hệ thống bị tổn thương đó cũng có thể đăng ký và ngay lập tức thuê được hoặc mua các dịch vụ bất hợp pháp khác. Để chống lại điều này, các công ty đối mặt với một số các mối đe dọa do sự thịnh hành ở khắp mọi nơi của đám mây tạo ra. 1 Marko, Kurt, “Backing Up Mobile Devices May Be A Nonissue,” InformationWeek report, August 2013, http://reports.informationweek.com/abstract/2/11155/Business-Continuity/Research:-Backing-Up-Mobile-DevicesMay-Be-A-Nonissue.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 4/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Vẫn còn là an ninh đáng ngờ đối với việc chia sẻ tệp và các dịch vụ đám mây khác Các công ty tiếp tục làm việc với sự gia tăng cái gọi là “CNTT hình bóng” (Shadow IT), sự áp dụng các dịch vụ đám mây của các nhân viên mà đang tìm cách làm cho công việc của họ có hiệu quả hơn. Với các dịch vụ không rõ và không được quản lý, năng suất có thể cải thiện, nhưng các dữ liệu quan trọng của doanh nghiệp được đặt ở bên ngoài sự bảo vệ của mạng tập đoàn, tiềm tàng đặt thông tin vào rủi ro hơn. Dropbox, Box.com và Google Drive là các dịch vụ chia sẻ tệp thường xuyên được các nhân viên sử dụng mà có thể cho phép những người bên ngoài giành được sự truy cập tới các dữ liệu không được mã hóa. Các công ty trước hết cần giành được sự trực quan nhiều hơn trong sự dịch chuyển các dữ liệu doanh nghiệp. Trung bình các nhân viên công ty sử dụng hơn 500 dịch vụ đám mây và hầu hết các hãng không có chính sách dựa vào rủi ro, theo dữ liệu từ Skyhigh Networks [ 2]. Bọn tội phạm đã sử dụng rồi nhiều dịch vụ để trích lọc dữ liệu từ bên trong doanh nghiệp hoặc giành được sự truy cập bằng việc sử dụng các dịch vụ trực tuyến tin cậy, như các website có uy tín hoặc các dịch vụ chia sẻ tệp mà từ đó các phần mềm độc hại có thể được tải về. Việc kiểm kê sử dụng đám mây của một doanh nghiệp là một bước tốt lành đầu tiên. Những người chuyên nghiệp về an ninh CNTT cũng nên xem xét đảm bảo an ninh truy cập tới các dữ liệu nhạy cảm bằng việc sử dụng xác thực 2 yếu tố, làm cho sự truy cập tới các dữ liệu khó khăn hơn đối với những kẻ tấn công. Các mối đe dọa khác cũng tồn tại: dịch vụ đám mây bản thân nó có thể bị tổn thương hoặc trở thành mục tiêu đối với một yêu cầu pháp lý của một chính phủ có chủ quyền để truy cập các dữ liệu. Trong các trường hợp đó, các công ty cần phải triển khai mã hóa trước khi dữ liệu được xuất lên đám mây, Sasha Boldyreva, giáo sư thỉnh giảng tại Trường Khoa học Máy tính ở Georgia Tech, nói. Bảo vệ dữ liệu chống lại phần mềm độc hại bằng việc sử dụng đám mây Trong năm 2009, một nhóm các tin tặc trực tuyến với các liên kết tới Trung Quốc đã làm tổn thương Google và một số công ty công nghệ cao khác, ăn cắp các thông tin kinh doanh. Kể từ đó, các cuộc tấn công có liên quan tới nhà nước quốc gia đã chỉ có gia tăng: Từ cuộc tấn công Stuxnet vào cơ sở 2 Skyhigh Networks, “2013 Cloud Adoption and Risk Report,” company blog post, August 2013, http://info.skyhighnetworks.com/2013CloudAdoptionRiskReport_Registration_WS.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 5/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia xử lý hạt nhân của Iran cho tới chiến dịch của các tin tặc hoạt động xã hội của Đội quân Điện tử Syria (Syrian Electronic Army) cho tới sự thu thập sở hữu trí tuệ đang diễn ra của Trung Quốc[4]. Trong môi trường này, các công ty và các cơ quan chính phủ cần phải bảo vệ thông tin khỏi các phần mềm độc hại ăn cắp dữ liệu trong khi vẫn cho phép các nhân viên tiếp tục làm các công việc của họ. Đám mây có thể thực sự giúp được. Việc ghép cặp độ tin cậy của lưu trữ đám mây với mã hóa mạnh có thể tạo ra một hệ thống vừa an ninh và vừa tin cậy thậm chí khi sử dụng Internet công cộng. Một số công ty đã tạo ra rồi các ủy quyền đám mây mà mã hóa thông tin khi nó được chuyển tới một dịch vụ chia sẻ tệp, như Dropbox. Các nhà nghiên cứu của Georgia Tech đã phát triển một hệ thống có thể sử dụng đám mây để lưu trữ trực tuyến, và bằng việc ghép cặp nó với một cài đặt máy ảo an ninh và tách biệt, có thể tạo ra một cách thức an ninh cao trong việc truy cập các dữ liệu. Được gọi là “CloudCapsule” (Viên nang Đám mây), dự án cho phép một người sử dụng chuyển sang chế độ an ninh bằng việc sử dụng máy trạm chính xác y hệt và truy cập các tệp được mã hóa được lưu trữ trong đám mây. Để cho phép truy cập nhanh tới các tệp được lưu trữ, từng tệp được mã hóa và được lưu trữ một cách tách biệt, Billy Lau, một nhà khoa học nghiên cứu với Trung tâm An ninh Thông tin của Georgia Tech – GTISC (Georgia Tech Information Security Center), nói. “Nó cho phép người sử dụng nhập khẩu các tệp nhạy cảm vào viên nang này và mã hóa chúng trước khi chúng được chuyển vào trong đám mây”, ông nói. Hệ thống đó có sự tích hợp trong suốt với Google Drive và Dropbox, nhưng có thể được sử dụng với bất kỳ lưu trữ đám mây nào. Trong khi việc mã hóa dữ liệu trong đám mây bằng việc sử dụng CloudCapsule tăng cường cho an ninh, thì nó vẫn để lại những điểm yếu của bất kỳ hệ thống lưu trữ tệp được mã hóa nào: dữ liệu được truy cập ít hơn. 4 Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site, Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 6/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Tính riêng tư rất tốt Việc mã hóa thông tin được gửi tới, hoặc đi qua qua, một nhà cung cấp đám mây cũng có các ứng dụng khác. Với sự gia tăng các bằng chứng rằng Cơ quan An ninh Quốc gia (NSA) và các cơ quan tình báo quốc gia khác đã thường xuyên truy cập được thư điện tử và các dữ liệu khác của các công dân, thì việc mã hóa các thông điệp trước khi chúng được gửi đi tới đám mây nên là một ưu tiên. Tuy nhiên, một lựa chọn phổ biến cho mã hóa dữ liệu và thư điện tử, Tính riêng tư Khá Tốt – PGP (Pretty Good Privacy), không phải là rất thường xuyên được sử dụng. Các nhà nghiên cứu của Georgia Tech đã tạo ra một lựa chọn khác, thân thiện hơn với người sử dụng mà có thể được sử dụng với các dịch vụ thư điện tử đám mây phổ biến. Được gọi là “Tính riêng tư Rất Tốt” (Very Good Privacy), phần mềm đó phủ lên một lớp giao diện người sử dụng trong suốt, hoặc lớp phủ an ninh, cho phép người sử dụng tương tác với dịch vụ thư điện tử của họ nhưng mã hóa và giải mã dữ liệu nhanh. “Bất kỳ văn bản thô nào mà người sử dụng gõ vào sẽ được chặn lại và được mã hóa trước khi nó đi tới dịch vụ thư điện tử”, Lau nói. “Nhìn và cảm nhận dịch vụ hoàn toàn được gìn giữ lại và tiến trình không bị thay đổi”. Cân nhắc giữa an ninh, chức năng và hiệu quả Trong khi mã hóa có thể đảm bảo an ninh cho dữ liệu được lưu trữ trong một dịch vụ trực tuyến, thì việc tập trung vào chỉ mỗi an ninh có thể tước đi của công ty nhiều khả năng sử dụng các dữ liệu đó. Ví dụ, tìm kiếm là một khả năng chính mà các công ty muốn tiếp tục có thậm chí nếu các dữ liệu của họ nằm trong đám mây. Hơn nữa, việc cho phép tìm kiếm chính xác một từ khóa, một sự trùng khớp một phần, hoặc khả năng để sắp xếp dữ liệu theo một trường nhất định có thể đòi hỏi các dữ liệu được mã hóa đó với mã hóa thông thường được tái nhập từ đám mây và được giải mã trước khi thực hiện bất kỳ chức năng nào. Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 7/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Mã hóa có khả năng tìm kiếm được là công cụ đúng cho vấn đề này. Tuy nhiên, hầu hết các giải pháp hiện hành là không có hiệu quả. Vấn đề là hầu hết các nhà nghiên cứu nhằm vào an ninh rất mạnh và đánh mất cả chức năng lẫn sự hiệu quả. Hơn nữa, hầu hết các doanh nghiệp không muốn giảm hiệu quả của việc truy cập và xử lý các dữ liệu của họ và muốn các dữ liệu được đảm bảo an ninh gần với tiện ích của văn bản thô. Các nhà nghiên cứu ở Georgia Tech đã bắt đầu với chức năng và sự hiệu quả được mong muốn cho những ứng dụng nhất định và tìm các cách thức để đạt được an ninh tốt nhất theo các ràng buộc đó. “Chúng tôi đã đề xuất vài sơ đồ mã hóa có khả năng tìm kiếm có an ninh chứng minh được và hiệu quả cho các dạng truy vấn khác nhau”, Boldyreva nói. “Hầu hết các giao thức không đòi hỏi bất kỳ sự thay đổi nào ở phía máy chủ; các dữ liệu được mã hóa được xử lý theo cách y hệt và với tốc độ y hệt như các dữ liệu không được mã hóa”. Đặc biệt, đội nghiên cứu của Boldyreva đã đề xuất mã hóa giữ lại trật tự - OPE (OrderPreserving Encryption), nó giữ lại trật tự thông tin không được mã hóa. Tất nhiên, để đạt được chức năng giữ lại trật tự có hiệu quả thì người ta phải hy sinh một số an ninh. Sơ đồ được đề xuất đưa ra càng nhiều an ninh có thể càng tốt cho một giao thức như vậy, theo Boldyreva. Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 8/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Không an ninh nhưng các thiết bị được kết nối “Internet của mọi thứ” tiếp tục mở rộng, nhưng an ninh vẫn còn chưa được kiểm thử Các điểm lưu ý: • Việc dò tìm các thiết bị bị tổn thương và làm giả tiếp tục được tăng cường tài nguyên, dù nghiên cứu về tìm dấu vết các thiết bị đã có tiến bộ • Các công ty cần đánh giá an ninh các nhà cung cấp của họ cũng như an ninh của riêng họ • Các công ty hạ tầng sống còn phải tìm được các cách thức tốt nhất để đảm bảo an ninh cho các thiết bị của họ và ngăn chặn được khả năng xảy ra sự cúp mất • Internet của mọi thứ sẽ có một cách nhìn chưa từng có trong cuộc sống của mọi người, mà sẽ là khó để đảm bảo an ninh sau sự cố, nên an ninh nên được cân nhắc ngay từ đầu. Quá nhiều các thiết bị bây giờ có kết nối với Internet. Từ các hệ thống nhúng trong ô tô tới sự tự động hóa ở nhà tới các hệ thống kiểm soát công nghiệp tới các thiết bị của người tiêu dùng, Internet của mọi thứ sẽ chỉ có mở rộng và trở thành một phần không thể thiếu trong cuộc sống của các doanh nghiệp và mọi người, làm cho an ninh và tính riêng tư trở thành các tính năng quan trọng của các hệ thống như vậy. Vâng, các vấn đề về an ninh vẫn còn. Nhiều nhà sản xuất thiết bị tiếp tục tạo ra những sai sót như các nhà sản xuất các hệ điều hành trước đó. Các hệ thống kiểm soát công nghiệp, hầu hết chúng đã không có ý định để kết nối với Internet, có thể thường xuyên thấy trực tuyến và sẽ bị tổn thương. Các kỹ sư đang thiết kế thế hệ tiếp theo các thiết bị như vậy thường không nghĩ về các cuộc tấn công tiên tiến, như những gì đang sử dụng đúng lúc, các biến động về điện, và các kênh phụ khác. “Trong vòng 5 năm tới, bạn sẽ thấy vô số các thiết bị được kết nối tới mạng trong nhà của bạn hoặc mạng doanh nghiệp”, Andrew Howard, một nhà khoa học nghiên cứu với GTRI, nói. “Và chúng có thể được sử dụng như những cái đích cho các cuộc tấn công”. Nở rộ các thiết bị không an ninh đe dọa Internet của mọi thứ Các máy tính cá nhân và các máy chủ, chúng đã áp đảo các thiết bị có kết nối Internet vào những năm 1990 và đầu những năm 2000, đã đưa đường cho các điện thoại thông minh và các thiết bị di động khác được kết nối tới Internet. Vào cuối năm nay sẽ có nhiều hơn nữa các thiết bị di động được kết nối tới Internet - khoảng 7 tỷ thiết bị - hơn số người trên trái đất, theo một dự báo thường niên được Cisco xuất bản [4]. 4 Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site, Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 9/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Vâng, các thiết bị di động đã và đang vượt qua với các cảm biến, các thiết bị tiêu dùng, các hệ thống kiểm soát công nghiệp, và “những thứ” khác mà sẽ nhanh chóng được kết nối với mạng. Các nhà phân tích ước tính rằng trong 2 năm, giữa 15 tỷ và 25 tỷ thiết bị sẽ giao tiếp qua Internet. Internet của mọi thứ này hứa hẹn cho phép các công ty giám sát tốt hơn việc kinh doanh của họ và cho phép mọi người giám sát được tốt hơn cuộc sống của họ. Các tác động về an ninh và tính riêng tư của một mạng khổng lồ như vậy vẫn là một câu hỏi mở, dù những tiết lộ hồi mùa hè về những nỗ lực thu thập dữ liệu của NSA đã đưa ra một mức độ mà ở đó sự thu thập dữ liệu thường xuyên có thể được sử dụng để gián điệp mọi người. “Đối với hầu hết các hệ thống đó, bạn đang nắm vài thứ mà chưa từng bao giờ có ý định sẽ được kết nối tới một mạng và sẽ bổ sung thêm một kênh khác có thể được khai thác hoặc làm rò rỉ thông tin”, Howard nói. Một vấn đề đáng kể cho các thiết bị được kết nối với Internet sẽ nằm trong việc điều khiển các cập nhật an ninh mà không đặt các thiết bị vào rủi ro bị tổn thương. Các công ty ngần ngại nâng cấp cho hạ tầng sống còn vì những hậu quả tiềm tàng nếu cập nhật đó bị hỏng. Tuy nhiên, các thiết bị mà là một phần của Internet của mọi thứ phải được nhà sản xuất quản lý từ xa. Hơn nữa, đa số lớn các thiết bị sẽ không đủ phức tạp để chạy các phần mềm an ninh phức tạp tinh vi, vì thế các công ty sẽ cần phải sử dụng việc giám sát mức mạng để dò tìm ra các tổn thương, Raheem Beyah, giáo sư thỉnh giảng tại Trường Kỹ thuật Điện tử và Máy tính ở Georgia Tech, nói. “Có khả năng là chúng ta sẽ không có được các phần mềm tinh vi phức tạp trong các hệ thống nhỏ đó để giúp chúng ta về an ninh, nên các cách thức để xác định mã nhận diện các thiết bị trên mạng sẽ là quan trọng”, Beyah nói. Hạ tầng sống còn nằm ở chính tâm, nhưng an ninh vẫn là một dấu hỏi Trong 3 năm qua, một sự kế tục các nhà nghiên cứu an ninh đã sử dụng việc quét Internet - hoặc máy tìm kiếm Shodan truy cập được dễ dàng - để tìm các hệ thống hạ tầng sống còn được kết nối tới Internet. Ví dụ, vào tháng một, 2 nhà nghiên cứu từ hãng tư vấn an ninh InfraCritical đã sử dụng Shodan để săn hàng tá các sản phẩm hệ thống kiểm soát công nghiệp, phát hiện nhiều hơn 7.000 máy chủ và hệ thống được kết nối trực tiếp tới trực tuyến, bao gồm các hệ thống kiểm soát năng lượng, nước và tự động hóa xây dựng [3]. 3 Boscovich, Richard, “Microsoft Disrupts the Emerging Nitol Botnet Being Spread through an Unsecure Supply Chain,” http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol- Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 10/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Mối đe dọa đó không phải là lý thuyết. Vào năm 2009, cuộc tấn công Stuxnet đã sử dụng tri thức đặc biệt của các hệ thống kiểm soát công nghiệp được Iran sử dụng cho việc xử lý uranium để phá hủy nhiều khả năng tinh chế của quốc gia này. Phần mềm độc hại đã làm tổn thương cơ sở đó khi các nhà thầu không cố ý mang theo các ổ đĩa USB bị lây nhiễm Stuxnet. Trong một trường hợp khác, những kẻ tấn công đã có ý định truy cập và làm tổn thương mạng của một cơ sở nước hơn 70 lần trong 5 tháng. May thay, mạng đó là một thiết lập cho các mục đích nghiên cứu [13]. Các nhà nghiên cứu của Georgia Tech tiếp tục nghiên cứu an ninh của các thiết bị nhúng. Trong khi các cuộc tấn công vào nhiều thiết bị tiêu dùng có thể không là sống còn, thì tri thức các lớp có liên quan tới các tổn thương có thể giúp những kẻ tấn công làm tổn thương nhiều hệ thống sống còn hơn, Howard của GTRI nói. “Những gì tôi lo lắng là ai đó tiến hành một trong những cuộc tấn công tầm thường đó và leo thang nó thành một hệ thống phức tạp và sống còn hơn”, ông nói. Tìm các thiết bị tồi trong chuỗi cung ứng Trong khi các cuộc tấn công theo lỗ rò nước và kỹ thuật xã hội là các kỹ thuật mới nhất, thì lo lắng vẫn đeo bám dai dẳng rằng những kẻ tấn công sẽ làm tổn thương phần cứng hoặc phần mềm của một thiết bị ở đâu đó trong chuỗi cung ứng. Phần mềm độc hại đã lây nhiễm rồi các thiết bị như các khung ảnh số và thiết bị mạng, và việc dò tìm ra những tổn thương như vậy tiếp tục sẽ là khó khăn. Nhiều tiếp cận hiện hành là quá đắt giá để mở rộng phạm vi tới một chương trình rộng khắp về kiểm toán các thiết bị. Điều tra phần cứng vật lý và kiểm tra sự phát hành điện tử của các thiết bị đòi hỏi quá nhiều nỗ lực hoặc thời gian cho một doanh nghiệp điển hình. Một tiếp cận khác, sử dụng phần mềm điểm chuẩn để đánh giá thiết bị, có thể được sử dụng cho các máy tính, các máy xách tay và một số thiết bị khác, nhưng việc tạo ra các phần mềm điểm chuẩn cho từng nền tảng là khó, Beyah của Georgia Tech nói. Tại Georgia Tech, các nhà nghiên cứu đang làm việc trong việc nhận diện các dấu vết và đặc tính các thiết bị trên mạng bằng việc sử dụng giao thông mà dịch chuyển đi và đến thiết bị. Các nhà nghiên cứu khởi động hệ thống, nghe giao thông mà nó sinh ra, và sử dụng các thăm dò mạng để xác định liệu kiến trúc có bị tổn thương hay không, và những gì nó không có ý định sẽ là, Beyah nói. Bằng việc sử dụng một tiếp cận thống kê, các nhà nghiên cứu sẽ có khả năng xác định được liệu thiết bị đó có phù hợp với các thuộc tính của nó hay không. Ý tưởng là để dò tìm ra giao thông mà chỉ ra rằng thiết bị đó là giả hoặc độc hại và sau đó khóa các giao tiếp trong tương lai, ông nói. “Thay vì việc cài đặt các phần mềm đặc vụ, bạn có thể chọn sự kết hợp nội bộ các thiết bị đó thông qua giao thông mạng”, Beyah nói. “Nó là một máy điều nhiệt hay một máy tính xách tay mà đang cố để trông được giống như một máy điều nhiệt?” botnet-being-spread-through-an-unsecure-supply-chain.aspx, Sep. 13, 2012. 13 Lemos, Robert, “Water-Utility Honeynet Illuminates Real-World SCADA Threats,” Dark Reading, Aug. 2, 2013, http://www.darkreading.com/advanced-threats/water-utilityhoneynet-illuminates-real-/240159393 Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 11/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Những kẻ tấn công tùy biến thích nghi cho các hệ sinh thái di động Trong khi các nền tảng di động phần lớn là an toàn cho những người tiêu dùng và các doanh nghiệp, thì các nhà nghiên cứu và những kẻ tấn công đang tìm các cách thức xung quanh an ninh các hệ sinh thái đó Các điểm lưu ý: • Như các cảm biến - và không chỉ các nền tảng điện toán - các thiết bị di động mang tới một tập hợp mới các mối đe dọa, bao gồm việc cho phép các phần mềm độc hại sự dòm ngó chưa từng có vào cuộc sống của các nạn nhân • Các thiết bị do các nhân viên sở hữu làm cho an ninh đặc thù nền tảng khó khăn, gợi ý rằng tập trung vào việc bảo vệ dữ liệu có thể có hiệu quả hơn • Các nhà nghiên cứu và những kẻ tấn công đã thấy các cách thức để vượt qua an ninh vốn có của “cộng đồng có cổng” của các kho ứng dụng • Các tác động đối với xã hội của các thiết bị di động lưu thông khắp mọi nơi không được hiểu tốt, và các Tòa án Mỹ còn chưa đi tới sự đồng thuận về sự truy cập của chính phủ tới các dữ liệu Tới cuối năm nay, sẽ có nhiều thiết bị được kết nối tới Internet hơn so với số người trên trái đất, với 4/5 số nhân viên sử dụng các thiết bị di động cá nhân của họ để làm việc [ 5]. Trong khi các máy tính cá nhân – PC (Personal Computer) đã xác định cách mà mọi người làm việc trong thập kỷ trước, thì thập kỷ hậu PC sẽ được các thiết bị di động và các thiết bị không cần có kết nối với PC xác định. Thậm chí dù các phần mềm độc hại vẫn là vấn đề ít hơn nhiều đối với các thiết bị di động so với vấn đề đó đối với các PC, thì các mối đe dọa đang nhanh chóng bám theo các nhân viên trong các nền tảng di động. Hơn nữa, các cuộc tấn công dạng người đứng giữa đường đang gia tăng phổ biến vì người sử dụng di động thường ít tinh ranh đối với việc kết nối tới các mạng không tin cậy [16]. Các thiết bị nhân viên sở hữu làm thay đổi mô hình an ninh Các thiết bị di động đã làm thay đổi sự năng động của an ninh CNTT trong môi trường làm việc. Xu thế mang thiết bị của riêng bạn – BYOD (Bring-Your-Own-Device) đưa ra 2 mối đe dọa khác nhau cho các công ty: các thiết bị khá là không an ninh đang đi vào mạng và dữ liệu được lưu trữ ngày 5 Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site, Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html 16 Lemos, Robert, “4 Mobile Device Dangers That Are More Of A Threat Than Malware,” Dark Reading, Sept. 11, 2013, http://www.darkreading.com/mobile/4-mobile-devicedangers-that-are-more-of/240161141 Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 12/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia một gia tăng trong các thiết bị cá nhân. Trước tiên, vì các nền tảng được các nhân viên sở hữu, nên việc đảm bảo thiết bị là an ninh là khó khăn hơn, khi mà các phần mềm độc hại như vậy có thể sử dụng các điện thoại thông minh và các máy tính bảng như một bàn đạp cho các cuộc tấn công vào mạng tập đoàn. Thứ 2, vì các nhân viên đang sử dụng các thiết bị của họ cho công việc, các dữ liệu tập đoàn sẽ được lưu trữ trong các môi trường khá là không an ninh. “Nếu bạn có một thiết bị hoặc điện thoại bị lây nhiễm đi vào trong doanh nghiệp của bạn, thì sở hữu trí tuệ có thể bị ăn cắp”, Chuck Bokath, kỹ sư nghiên cứu cao cấp ở GTRI nói. “Thật khó cho các nhà chuyên nghiệp CNTT, các CIO hoặc CTO để làm được gì đó với điều đó vào thời điểm này”. Tuy nhiên, BYOD sẽ không biến mất, vì năng suất giành được và tiết kiệm chi phí là quá mê say đối với hầu hết các công ty. Các công ty sẽ phải nắm lấy một loạt tiếp cận cho việc khóa lối đi xuống và khóa lối đi ra của các thiết bị, từ việc chia thành ngăn các ứng dụng tin cậy được và các dữ liệu nhạy cảm bằng việc sử dụng các kho chứa có an ninh tới việc sử dụng các kiểm soát truy cập mạng để ngăn chặn các thiết bị không tin cậy khỏi việc truy cập tới các phần của mạng. Kho ứng dụng có cổng không phải là sự phòng vệ tuyệt vời Các nhà sáng tạo ra các thiết bị di động đã cố gắng học từ những sai lầm của các nhà sản xuất hệ điều hành máy tính. Google đã thêm một mô hình an ninh dựa vào quyền, một loạt kiểm soát an ninh, khả năng triệu hồi các ứng dụng, và cuối cùng là một hệ thống tự động hóa rà soát các ứng dụng được đệ trình tới kho các ứng dụng của hãng, Google Play. Apple đã áp dụng một tiếp cận còn khắt khe hơn cho cộng đồng có cổng, giữ sự kiểm soát chặt đối với các chức năng nhất định của hệ thống và kiểm tra các ứng dụng về hành vi độc hại tiềm năng ngay từ đầu. Người sử dụng tránh việc phá nhà tù (jailbreaking) đối với các điện thoại của họ và chỉ sử dụng một kho các ứng dụng thường từng là an toàn. Tỷ lệ hiện hành các lây nhiễm phần mềm độc hại của di động ở Bắc Mỹ chiếm ít hơn 1% tất cả các thiết bị, với các điện thoại thông minh bị phá nhà tù đại diện cho hầu hết nhóm rủi ro đối với các thiết bị [12]. Vâng, các nhà nghiên cứu và những kẻ tấn công đã thấy các cách thức có được xung quanh sự phòng thủ mà cả các hệ sinh thái của Android và iOS đã đưa ra. Tại Hội nghị An ninh USENIX vào tháng 08/2013, 4 nhà nghiên cứu từ 12 Lemos, Robert, “Companies Need Defenses Against Mobile Malware,” Dark Reading, Nov. 8, 2012, http://www.darkreading.com/advanced-threats/companies-needdefenses-against-mobile-m/240062687 Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 13/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Georgia Tech đã chỉ ra rằng các chỗ bị tổn thương cố ý có thể được thêm vào một ứng dụng mà không dò tìm ra được bằng qui trình rà soát của Apple. Bằng việc khai thác các chỗ bị tổn thương vào một ngày sau đó, một kẻ tấn công có thể giành được sự truy cập tới thiết bị đó. “Chúng tôi đã chỉ ra rằng qui trình rà soát lại thường xuyên kho ứng dụng đang không có khả năng ngăn chặn việc đưa vào một ứng dụng độc hại”, Tielei Wang, nhà khoa học nghiên cứu với GTISC và là một trong những tác giả của tài liệu USENIX, nói. Một số biện pháp đối phó có thể giúp khôi phục an ninh của mô hình thị trường các ứng dụng, bao gồm cả một hệ thống cho phép cứng cỏi hơn, kiểm tra tính toàn vẹn kiểm soát dòng chảy, hoặc bắt buộc các lập trình viên sử dụng một ngôn ngữ lập trình dạng an toàn. Các biện pháp an ninh đó có khả năng được áp dụng thế nào vẫn còn là một câu hỏi mở. Các thiết bị di động làm rò rỉ các dữ liệu không có các kiểm soát của người sử dụng Các vụ đột nhập bằng kỹ thuật và phần mềm độc hại đại diện cho một mối đe dọa đáng kể đối với những người sử dụng các thiết bị di động, nhưng một mối đe dọa khổng lồ hơn nhiều là sử dụng dữ liệu hợp pháp được thu thập từ các điện thoại thông minh và các máy tính bảng. Khi cựu nhà thầu NSA Edward Snowden đã tiết lộ vào tháng 06/2013 các chi tiết về việc thu thập dữ liệu đối với những người cần quan tâm đã gây ngạc nhiên cho hầu hết các nhà quan sát. Tuy nhiên, chương trình đó đã chỉ cày xới bề mặt của dữ liệu có sẵn cho sự phân tích tiềm tàng. Biết rằng các thiết bị di động nhân đôi khi các cảm biến và các nền tảng lần vết mà những người tiêu dùng tự nguyện mang theo chúng, nên các nhà vận tải mạng không dây, các nhà sản xuất và vô số các lập trình viên ứng dụng thường xuyên thu thập các dữ liệu về người sử dụng từ thiết bị đó. Nhiều trong số các dữ liệu đó có thể được sử dụng để lần vết người sử dụng, dù các tòa án Mỹ đã bị chia rẽ trong việc liệu sự ép tuân thủ luật có thể yêu cầu thông tin như vậy hay không khi không có một lệnh cho phép [11]. “Ngắn gọn, trong lịch sử loài người, mọi người chưa bao giờ mang theo các thiết bị lần vết và bây giờ họ làm”, Peter Swire, Nancy J. và Giáo sư Lawrence P. Huang ở Luật và Đạo đức tại Georgia Tech. “Vì như một xã hội, và như một nhà sáng tạo công nghệ, chúng tôi phải quyết định khi nào thông tin vị trí đó đi tới những người nắm giữ khác và khi nào thông tin đó có thể được sử dụng cho các mục đích khác”. Vâng, thậm chí nếu các tòa án yêu cầu rằng các cơ quan ép tuân thủ pháp luật có được một lệnh để giành được sự truy cập tới vị trí của điện thoại theo lịch sử, thì phán quyết như vậy sẽ có thể không kiềm chế được số lượng các thông tin được các lập trình viên ứng dụng trích lấy từ điện thoại. 11 Sengupta, Somini, “Warrantless Cellphone Tracking Is Upheld,” New York Times, July 30, 2013, http://www.nytimes.com/2013/07/31/technology/warrantless-cellphonetracking-is-upheld.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 14/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Bộ sạc USB độc hại cho phép đột nhập Một cách khác mà các tin tặc có thể phá hoại hệ sinh thái di động có cổng là bằng việc lợi dụng các chỗ bị tổn thương về an ninh trong các hoạt động hàng ngày, như việc sạc một thiết bị. Trong Tóm lược An ninh Mũ Đen (Black Hat Security Briefings) vào tháng 07/2013, 3 nhà nghiên cứu của Georgia Tech đã trình bày cách mà các kẻ tấn công có thể tạo ra một thiết bị phần cứng giống như là một bộ sạc USB, nhưng trong thực tế làm tổn thương bất kỳ chiếc iPhone nào được kết nối tới phần cứng đó. Những thiết bị như vậy có thể được đặt ở các sân bay hoặc các khách sạn để tự động gây tổn thương cho các điện thoại, chúng có thể sau đó kết nối ngược trở lại tới các máy chủ chỉ huy kiểm soát, Billy Lau, một nhà khoa học nghiên cứu với GTISC nói. “Không có sự nghi ngờ là ai đó có thể tạo ra một bộ sạc mà trông giống thứ thực tế cả”, ông nói. Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 15/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Chi phí của việc phòng thủ chống lại các cuộc tấn công không gian mạng vẫn là cao Việc giảm nhẹ rủi ro các cuộc TCKGM tiếp tục là không chắc chắn và đắt giá, nhưng việc giành được sự trực quan tốt hơn trong các mối đe dọa và việc giảm nhẹ các mối đe dọa nhất định có thể giúp được Các điểm lưu ý: • Việc đuổi theo công nghệ và tạo ra nhiều lớp phòng thủ tĩnh đã dẫn tới các chi phí an ninh • Các công ty cần tập trung vào việc giành được sự trực quan trong các mạng của họ và các mối đe dọa từ bên ngoài nhằm vào việc kinh doanh của họ • Việc chuyển sự tập trung từ các thiết bị sang dữ liệu có thể đơn giản hóa các khái niệm phòng thủ và vượt qua được tốt hơn với xu thế mang theo thiết bị của riêng bạn (BYOD), nhưng khả năng sử dụng tiếp tục sẽ là một vấn đề • Trong khi thị trường cho sự đảm bảo không gian mạng đang gia tăng, thì các vấn đề cơ bản vẫn tiếp tục cản trở để có được một cách rộng rãi các chính sách làm giảm nhẹ rủi ro Trong thập kỷ qua, các công ty đã chuyển từ việc triển khai một tường lửa đơn giản, phần mềm chống virus, và hệ thống triển khai các bản vá sang việc áp dụng một loạt các công nghệ khác: thông tin về an ninh và quản lý sự kiện - SIEM (Security Information & Event Management), chống thất thoát dữ liệu, quản lý nhận diện và truy cập - IAM (Identity & Access Management), các tường lửa của các ứng dụng, và gần đây hơn, quản lý thiết bị di động - MDM (Mobile Device Management). Đi theo câu thần chú về phòng thủ theo chiều sâu, càng nhiều lớp công nghệ được đặt giữa những kẻ tấn công và doanh nghiệp, thì càng tốt. Vâng, sự tập trung hướng vào công nghệ đã dẫn tới chi phí an ninh cao hơn cho các công ty. Bất chấp sự tăng trưởng kinh tế chậm, ngân sách an ninh CNTT sẽ leo cao hơn từ 5% lên 10% trong năm 2013. Các khảo sát trong năm qua đã cho thấy một nửa [9] cho tới 2/3 [8] những người chuyên nghiệp về an ninh CNTT kỳ vọng các ngân sách sẽ gia tăng trong năm tới. Việc giảm chi phí trong khi vẫn bảo vệ được doanh nghiệp 9 8 Presti, Ken, “Report: Security Budgets Trending Upwards For 2013,” CRN, Dec. 7, 2012, http://www.crn.com/news/security/240144099/report-security-budgets-trendingupwards-for-2013.htm SC Magazine Poll, “Security Budgets in 2013,” SC Magazine, http://www.scmagazine.com/security-budgets-in2013/slideshow/1157/#1 Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 16/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia sẽ đòi hỏi một tiếp cận hướng dữ liệu nhiều hơn về an ninh. Các nhà nghiên cứu và các doanh nghiệp tập trung vào việc thu thập nhiều thông tin hơn về tình trạng an ninh và các mối đe dọa hiện hành của họ có thể bảo vệ tốt hơn các mạng và dữ liệu của họ trong khi làm giảm được các chi phí. Hơn nữa, việc chuyển trọng tâm về an ninh từ thiết bị sang dữ liệu của một doanh nghiệp có thể làm đơn giản hóa sự phòng thủ. Cuối cùng, bảo hiểm không gian mạng có thể hành động như một mạng an toàn cho các công ty, dù các câu hỏi vẫn còn đó về hiệu quả các chính sách và sự bảo hiểm. Tri thức về các mối đe dọa là cần thiết, nhưng vẫn ở các giai đoạn sớm Việc tìm thấy thông tin về các kẻ tấn công là không khó: các danh sách đen, các tình báo nguồn mở, các lưu ký từ một loạt các thiết bị mạng, phân tích phần mềm độc hại, các mạng xã hội và các nguồn khác tất cả đều có thể cho những người phòng thủ một số sự hiểu thấu đáo trong các kỹ thuật, nhận diện và động cơ của những kẻ tấn công. Tuy nhiên, ý nghĩa của các dữ liệu đó và việc biến nó thành tri thức phù hợp cho một công ty hoặc mục tiêu nhất định là khó. Hơn nữa, trừ phi thông tin có thể được phân phối cho đúng người trong một khoảng thời gian ngắn, nếu không nó có thể đánh mất đi giá trị một cách nhanh chóng. Có các cách thức khác nhau để giải quyết các vật truyền sự tấn công. Các công ty có thể phát hiện và ánh xạ các mạng và các tài sản của họ, sau đó dành ưu tiên cho các phòng thủ theo giá trị, chỗ bị tổn thương và tính sống còn. Họ cũng có thể tập trung vào kẻ tấn công, bằng việc sử dụng phân tích chuỗi sát thủ để xác định các bước cần thiết nhằm vào sở hữu trí tuệ có giá trị của công ty đó. Thay vì đơn giản cố giữ cho kẻ tấn công ở ngoài, thì một tiếp cận như vậy trao cho công ty nhiều cơ hội làm dịu một cuộc tấn công. Mục tiêu là nhanh chóng xác định hiện trạng của mạng và các tài sản, những gì kẻ tấn công có thể đang nhằm vào, và tác động được doanh nghiệp xác định trước nếu cuộc tấn công đó thành công. Qui trình đó sẽ giúp cho những người phòng thủ đặt ưu tiên cho ứng cứu sự cố, George “Fred” Wright, một kỹ sư nghiên cứu nổi tiếng vớ GTRI, nói. “Chúng tôi sẽ làm tốt hơn so với chỉ là một cảm giác rút ruột”, ông nói. Trong khi đã từng có một số lợi ích trong việc tạo một đo đếm duy nhất đối với rủi ro, về cơ bản một “hàn thử biểu các mối đe dọa” cho ANKGM, thì một sự đơn giản hóa như vậy có thể loại bỏ bất kỳ nội dung có khả năng hành động nào và gây ra sự thờ ơ, thay vì tập trung vào các nỗ lực của một người phòng thủ, Wright nói. Chỉ số nổi tiếng nhất của mối đe dọa, hệ thống tư vấn của Bộ An ninh Nội địa Mỹ về rủi ro khủng bố, cuối cùng đã bị loại bỏ; nhiều cuộc tấn công hơn đã xảy ra trong khi nó từng là màu vàng so với khi nó từng là màu da cam, và không cuộc tấn công nào đã xảy ra khi nó từng là màu đỏ, một đại diện của mức đe dọa cao nhất [10]. 10 Schneier, Bruce, “Why terror alert codes never made sense,” CNN, Jan. 28, 2011, http://www.cnn.com/2011/OPINION/01/28/schneier.terror.threat.level/index.html Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 17/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Phòng chống mất dữ liệu có hứa hẹn, nhưng ngữ cảnh an ninh vẫn là một vấn đề Với một con thú nuôi là các thiết bị nhân viên sở hữu có kết nối tới các mạng doanh nghiệp, thì việc đảm bảo an ninh cho từng thiết bị không còn là thực tế hoặc mong muốn nữa: sự nở rộ của các thiết bị là khó để hỗ trợ và việc quản lý thiết bị của một nhân viên làm nảy sinh các vấn đề về tính riêng tư khó gỡ. Vì những lý do đó, nhiều công ty đang tập trung vào việc kiểm soát đâu là nơi dữ liệu của họ được gửi đi và được lưu trữ. Các công nghệ phòng chống mất dữ liệu hứa hẹn tập trung vào dữ liệu và bảo vệ thông tin nhạy cảm khỏi bị rò rỉ và bị ăn cắp. Việc xác định ngữ cảnh của dữ liệu vẫn là một thách thức, dẫn tới một sự việc các cảnh báo sai cao độ. Một số có 9 chữ số, ví dụ, nó có thể là một số an sinh xã hội, hoặc nó có thể chỉ là một số có 9 chữ số. Thêm vào đó sự khó khăn do các dữ liệu được mã hóa hoặc khó hiểu đặt ra, và các hệ thống phòng chống mất mát dữ liệu cần phải tiến hóa nếu chúng sẽ giúp làm giảm chi phí an ninh, Andrew Howard, nhà khoa học nghiên cứu ở GTRI, nói. “Nếu tôi đang cố gắng ăn cắp dữ liệu, thì phòng chống mất mát dữ liệu sẽ giúp cho tôi khỏi việc ăn cắp nó”, ông nói. “Nhưng hiện hành, phòng chống mất mát dữ liệu là hiệu quả trong việc giữ cho những người sử dụng tốt khỏi mắc sai sót”. Nhiều công ty hơn đang thực hiện bước đầu tiên và tạo ra các chính sách phân loại dữ liệu và đánh giá các chi phí có liên quan tới mất mát dữ liệu. Các nhà nghiên cứu đang tập trung vào việc trợ giúp cho phân loại dữ liệu và làm cho việc gắn thẻ cho dữ liệu dễ dàng hơn. “Các công ty đang ngày càng nhận thức được nhiều hơn về việc các dữ liệu của họ nhạy cảm thế nào”, Howard nói. “5 năm trước, hầu hết các công ty đã không biết gì về những gì họ đã có. Đây là một khối dữ liệu lớn hơn so với hầu hết mọi người nhận thức được”. Với rủi ro khó định lượng, sự bảo hiểm vẫn là vấn đề Bảo hiểm luôn từng là một cách để các công ty được đền bù vì rủi ro trong một sự cố thảm họa. Do sự siêng năng và các yêu cầu mà các hãng bảo hiểm đặt ra sẽ được ghi nhận với việc gia tăng an toàn và an ninh của nhiều nền công nghiệp, như một sự thiếu hụt dữ liệu thực tế về các cuộc tấn công không gian mạng, khó khăn trong việc định lượng các thiệt hại, và sự không thống nhất về các biện pháp an ninh nào thực sự làm giảm được rủi ro đối với một lỗ thủng làm cho bảo hiểm không gian mạng trở nên khó khăn đối với nhiều công ty để chứng minh như là một chi phí. Trong năm 2012, số các công ty mua các chính sách bảo hiểm không gian mạng đã gia tăng 1/3 so với năm trước, với các cơ sở giáo dục và các tổ chức dịch vụ chuyên nghiệp chiếm phần lớn sự gia tăng đó, theo hãng quản lý rủi ro và môi giới bảo hiểm Marsh [5]. Tuy nhiên, nhiều lúng túng vẫn còn như đối với những gì được và không được bao trùm. Vào tháng 8/2013, công ty bảo hiểm Liberty Mutual đã kiện chuỗi siêu thị Schnuck sau khi các tin tặc đã ăn 5 Marsh, “Number of Companies Buying Cyber Insurance Up by One-Third in 2012: Marsh,” press release, March 14, 2013, http://usa.marsh.com/NewsInsights/MarshPressReleases/ID/29878/Number-of-Companies-BuyingCyber-Insurance-Up-by-One-Third-in-2012-Marsh.aspx Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 18/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia cắp tới 2.4 triệu thẻ tín dụng từ nhà bán lẻ gây ra 8 vụ kiện lớp hành động và các khoản phạt từ các ngân hàng và các công ty thẻ tín dụng. Siêu thị yêu sách rằng các vụ kiện và các khoản phạt nên được bao trùm, nhưng Liberty Mutual đồng ý rằng các chi phí là “tài sản vô hình”, nên nó sẽ không được bao trùm [7]. “Khi bạn chọn tài liệu mỗi ngày và đọc về một lỗ thủng - không phải ở cửa hàng bà mẹ và nhạc pop, mà ở một công ty lớn - thì bạn hiểu rằng không ai là miễn nhiễm với các cuộc tấn công cả”, David Norfleet, phó chủ tịch cao cấp về trách nhiệm chuyên nghiệp ở Starr Indemnity and Liability Co., nói. “Chúng ta thường bỏ qua cảm giác giống như chúng ta vẫn còn chưa có giải pháp vậy”. GTRI đang làm việc với Starr và các công ty bảo hiểm khác để làm rõ các thiệt hại, xác định các thực tiễn an ninh tốt, và thiết lập các tiêu chuẩn xung quanh các lựa chọn bao trùm. Hỗ trợ việc chia sẻ thông tin Những lo ngại về việc trao cho các đối thủ một ưu thế cũng như các tác động pháp lý và kinh doanh của việc thừa nhận đang bị tổn thương thành công đang hạn chế các công ty trong việc chia sẻ thông tin về các cuộc tấn công. Nỗ lực hiểu biết về mối đe dọa của GTRI, có tên là “Apiary”, cho phép những người tham gia đệ trình bằng chứng của cuộc tấn công tiềm tàng, trao đổi các chỉ số tổn thương - IOC (Indicator Of Compromise), và có được sự phân tích tự động về bất kỳ phần mềm độc hại nào được sử dụng trong cuộc tấn công - tất cả thông qua một hệ thống nặc danh. “Chúng tôi thấy rằng hầu hết mọi người có thể có thiện chí làm việc với chúng tôi nếu chúng tôi không phải là Georgia Tech”, Chris Smoak, một nhà khoa học nghiên cứu ở GTRI, nói. Hệ thống Apiary phân tích phần mềm độc hại mà những kẻ tấn công sử dụng để làm tổn thương và kiểm soát các hệ thống, trao cho các công ty thông tin nhanh nhất về các khả năng của cuộc tấn công và liên kết các chương trình với các cuộc tấn công trước đó. Apiary có thể dò tìm ra rồi các cuộc tấn công độc hại trước cả các công ty an ninh và các nguồn tình báo công khai, Howard nói. 7 Walker, Danielle, “Insurer to Schnucks: We won’t pay for lawsuits related to your breach,” SC Magazine, August 20, 2013, http://www.scmagazine.com/insurer-toschnucks-we-wont-pay-for-lawsuits-related-to-yourbreach/article/307960/ Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 19/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Những tiến bộ về điều khiển thông tin Các hệ thống danh tiếng và khuyến cáo trực tuyến làm gia tăng tầm quan trọng trong khi các mối đe dọa đối với chúng chín muồi Các điểm lưu ý: • Khi các công ty và chính phủ dựa nhiều hơn vào dữ liệu và tình báo để vận hành có hiệu quả, thì điều khiển thông tin sẽ trở thành một cuộc tấn công quan trọng ngày một gia tăng • Với uy tín đang được sử dụng gia tăng để đưa ra các quyết định về an ninh, những kẻ tấn công sẽ tiếp tục các cố gắng đầu độc hoặc quét trắng uy tín • Sử dụng sự giả mạo các yêu cầu liên các site, những người chủ các website vô đạo đức có thể tiêm nội dung giá trị cao hơn để đầu độc hồ sơ cá nhân những người viếng thăm và thu lợi bằng việc lừa dối các mạng quảng cáo • Các kỹ thuật cho việc sử dụng sự điều khiển và làm bẩn thông tin có thể được sử dụng để ẩn dấu hoặc ngụy trang cho các cuộc tấn công Các doanh nghiệp và chính phủ ngày càng tập trung vào việc thu thập và phân tích một loạt lớn các dữ liệu để đưa ra các quyết định tốt hơn. Các nhà bán lẻ và các cơ sở tài chính, ví dụ, sử dụng phân tích dữ liệu lớn để đưa ra các quyết định nghiệp vụ tốt hơn và có trách nhiệm hơn đối với các yêu cầu đòi hỏi. Google và các máy tìm kiếm khác sử dụng thông tin về các thói quen duyệt web của người sử dụng để thông báo các kết quả truy vấn và xác định các quảng cáo nào sẽ được hiển thị. Các cơ quan chính phủ, như Cơ quan An ninh Quốc gia, thu thập và xử lý thông tin để tìm kiếm các mối đe dọa đối với an ninh quốc gia. Với thông tin này đang dẫn dắt cho các quyết định kinh doanh và an ninh, những kẻ tấn công sẽ ngày càng cố gắng chơi các hệ thống phân tích đó vì lợi ích của chúng. Google đã đối mặt rồi với các cuộc tấn công như vậy ở dạng tối ưu hóa máy tìm kiếm - SEO (Search Engine Optimization) mũ đen. Những kẻ tấn công khác có thể cố điều khiển các khía cạnh khác của nền kinh tế thông tin, như việc gây ảnh hưởng tới các thuật toán cá nhân hóa được nhiều dịch vụ sử dụng. Các nhà thiết kế các hệ thống phân tích và quan hệ như vậy phải tính tới các nỗ lực đầu độc các dữ liệu của những kẻ tấn công. Với uy tín đang ngày càng trở nên quan trọng, những kẻ tấn công sẽ tập trung vào việc chơi hệ thống đó Các công ty đang ngày càng tập trung vào uy tín như một cách để tránh các mối đe dọa về an ninh. Các hãng sử dụng các danh sách đen được tạo ra từ việc giám sát một loạt các hoạt động độc hại để khóa các website thù địch tiềm tàng. Các hệ thống danh tiếng cứng cáp hơn cũng đang được phát Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 20/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia triển, từ việc xếp hạng độ tin cậy của một ứng dụng hoặc dịch vụ tới việc đánh giá mức độ an ninh của một đối tác. Các cuộc tấn công làm bẩn và điều khiển thông tin có thể được sử dụng để làm xói mòn các phòng thủ dựa vào uy tín như vậy. Trong các ứng dụng rộng lớn hơn, những kẻ giả mạo đã chơi rồi các dịch vụ rà soát lại bằng việc sử dụng việc xóa trắng uy tín để chôn vùi các rà soát lại tồi và các kỹ thuật tối ưu hóa máy tìm kiếm – SEO (Search Engine Optimization) để làm cho các site dường như phổ biến hơn. Các danh sách đen các website cũng có thể phải tránh bằng việc nhanh chóng thay đổi miền hoặc, như trường hợp ngày càng gia tăng, sử dụng các site hợp pháp nhưng bị tổn thương. Trong khi các nhà cung cấp dịch vụ thông tin có thể đấu tranh chống các kỹ thuật như vậy bằng việc kiểm tra các nguồn nhiễm bẩn hoặc điều khiển của họ, thì người sử dụng hàng ngày cần một thái độ nghi ngờ ngày một gia tăng, Wenke Lee, giáo sư về Khoa học Máy tính và giám đốc GTISC, nói. “Những người tiêu dùng mà chưa hiểu biết về chất lượng thông tin trực tuyến có thể dễ dàng bị lừa”, Lee nói. Sự minh bạch lớn hơn trong cách mà các nhà cung cấp thông tin và tình báo tạo ra cho các hệ thống danh tiếng của họ có thể giúp những người sử dụng hiểu biết tốt hơn, ông nói. Đầu độc các dịch vụ cá nhân hóa có thể làm lợi cho những kẻ tấn công Từ tin tức cho tới quảng cáo tới các khuyến cáo trong sách, các dịch vụ trực tuyến ngày càng được cá nhân hóa. Việc xuyên tạc lợi ích của người sử dụng có thể là sinh lợi. Các nhà nghiên cứu từ GTISC đã trình bày một kỹ thuật bằng việc sử dụng sự giả mạo yêu cầu liên các site – XSRF (Cross-Site Request Forgery) để điều khiển dữ liệu được các dịch vụ của bên thứ ba thu thập, như các mạng quảng cáo, các cửa hàng sách trực tuyến, và các máy tìm kiếm. Sử dụng kỹ thuật này, những kẻ tấn công có thể tác động tới các kết quả được cá nhân hóa được trả về từ một nhà cung cấp dịch vụ. Trong một tài liệu được trình bày ở Hội nghị An ninh USENIX vào tháng 8/2013, các nhà nghiên cứu của GTISC đã chỉ ra rằng họ có thể điều khiển các kết quả được cá nhân hóa đư ợc Amazon, Google và YouTube trình bày. Bằng việc sử dụng XSRF, các nhà nghiên cứu đã tiêm mã HTML để làm cho nó xuất hiện mà những người sử dụng đã nháy chuột vào và đã chỉ ra lợi ích theo nội dung nhất định. Kỹ thuật này có thể được các nhà xuất bản giả mạo sử dụng để lừa các mạng quảng cáo trong việc phân phối các quảng cáo tăng cường hơn nhằm vào các khách hàng giá trị cao, Wei Meng, một nhà nghiên cứu ở GTISC và là một trong những tác giả của tài liệu USENIX, nói. “Nhà xuất bản có thể ứng dụng kỹ thuật này để tiêm một số nội dung đắt giá nhất vào trang web, về cơ bản làm thay đổi các lợi ích của người sử dụng”, ông nói. Việc phòng thủ chống lại các cuộc tấn công đó là khó, vì các phòng thủ có hiệu quả cũng có thể cản trở sự cá nhân hóa, Meng nói. Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 21/22 Các mối đe dọa không gian mạng đang nổi lên Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia Điều khiển thông tin có thể là một cuộc tấn công trong phân tích Dữ liệu Lớn Trong thập kỷ tới, các công ty và các cơ quan chính phủ sẽ phân tích một lượng ngày một gia tăng các dữ liệu để dẫn xuất tri thức mà có thể được sử dụng để sắp xếp các hoạt động, đưa ra các quyết định có đầy đủ thông tin hơn và dò tìm ra được những bất thường mà chỉ ra một mối đe dọa. Khi sử dụng phân tích dữ liệu lớn như vậy lan rộng, những kẻ tấn công sẽ phải tìm các cách thức để ấn náu khỏi các phân tích thống kê và dò tìm bất thường đó. Điều khiển thông tin sẽ có khả năng là chiến lược của những kẻ tấn công, Lee của GTISC nói. Bằng việc làm bẩn các dữ liệu theo các cách thức nhất định, như tạo ra một cách chậm chạp một loạt rộng lớn hơn các giá trị, một kẻ tấn công có hiểu biết có thể sửa đổi mô hình mối đe dọa của một nền tảng phân tích và làm cho nó phải coi hành vi bất thường như là bình thường. Hoặc, một kẻ tấn công có thể tạo ra nhiều cuộc tấn công giả mạo, tạo ra các cảnh báo sai và làm mất thời gian của các nhà phân tích là con người. “Làm thế nào chúng ta biết rằng dữ liệu được sử dụng cho phân tích còn chưa bị làm bẩn?” Lee hỏi. “Mối đe dọa này đại diện cho một cuộc chiến mà chúng ta sẽ phải đấu tranh trong 5 – 10 năm tới”. Việc phòng thủ chống lại các cuộc tấn công như vậy đòi hỏi những người phòng thủ phải có khả năng dò tìm ra những thay đổi rất chậm trong các dữ liệu và có khả năng căng cờ cảnh báo đối với các thay đổi như vậy như là đáng ngờ. Trung tâm An ninh Thông tin George Tech Viện Nghiên cứu Georgia www.gtisc.gatech.edu www.gtri.gatech.edu Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ Trang 22/22
- Xem thêm -