Viện Công nghệ Georgia
Báo cáo 2014
Các mối đe dọa không gian mạng
đang nổi lên
Được Trung tâm An ninh Thông tin Công nghệ Georgia (GTISC)
và Viện Nghiên cứu Công nghệ Georgia (GTRI) trình bày tại
Hội nghị An ninh Không gian mạng Công nghệ Georgia 2013
Dịch sang tiếng Việt: Lê Trung Nghĩa,
[email protected]
Dịch xong: 02/03/2014
Bản gốc tiếng Anh: http://www.gtcybersecuritysummit.com/2014Report.pdf
Georgia Institute of Technology
EMERGING
CYBER THREATS
REPORT 2014
Presented by the Georgia Tech Information Security Center (GTISC)
and the Georgia Tech Research Institute (GTRI)
Georgia Tech Cyber Security Summit 2013
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Giới thiệu
Với sự vươn tới một cách phổ biến của Internet trong doanh
nghiệp, chính phủ và cuộc sống riêng tư, không ngạc nhiên
rằng tội phạm và gián điệp không gian mạng không chỉ tiếp
tục tiến hóa, mà các kỹ thuật mới sẽ nhanh chóng được tùy
biến thích nghi.
Tội phạm không gian mạng (TPKGM) tiếp tục phát triển các cách thức mới để làm tiền các nạn
nhân, trong khi các tin tặc nhà nước quốc gia gây tổn thương cho các công ty, các cơ quan chính
phủ, và các tổ chức phi chính phủ để tạo ra các mạng gián điệp và ăn cắp thông tin.
Khi chúng ta tiến hóa như một xã hội, các thay đổi về cách mà công nghệ thông tin (CNTT) hỗ trợ
doanh nghiệp đã làm thay đổi bức tranh về các mối đe dọa. Ví dụ, phần lớn các nhân viên bây giờ
mang theo các thiết bị di động vào không gian làm việc và kỳ vọng có khả năng sử dụng các điện
thoại thông minh và máy tính bảng để làm việc từ bất kỳ đâu. Hơn nữa, sự áp dụng các dịch vụ đám
mây đã tiếp tục tăng nhanh. Các công ty đang ngày càng được kết nối tới hàng tá, nếu không nói là
hàng trăm, các dịch vụ đám mây, và dữ liệu nhanh chóng đang được xuất khẩu ra ngoài biên giới an
ninh truyền thống của các tường lửa.
Để hiểu được tốt hơn và đấu tranh được chống với các mối đe dọa có liên quan tới các thay đổi đó,
nước Mỹ và các nước khác phải tiếp tục hỗ trợ điều tra và nghiên cứu phòng thủ. Các nhà nghiên
cứu từ khu vực hàn lâm, tư nhân và chính phủ phải tiếp tục làm việc cùng nhau và chia sẻ thông tin
về các mối đe dọa đang nổi lên và các cách thức đổi mới để đấu tranh với chúng.
Hội nghị An ninh không gian mạng (ANKGM) của Georgia Tech - GT CSS (Georgia Tech Cyber
Security Summit) thường niên hôm 06/11/2013, đưa ra một cơ hội cho giới hàn lâm, công nghiệp tư
nhân và chính phủ đi cùng nhau và chuẩn bị cho những thay đổi mà chúng ta sẽ đối mặt trong việc
đảm bảo ANKGM và các hệ thống vật lý được kết nối với KGM. Bằng việc tổ chức sự kiện đó,
Georgia Tech muốn hỗ trợ cho các nỗ lực để phát triển các công nghệ và chiến lược mới có hiệu quả
để chống lại các cuộc tấn công không gian mạng (TCKGM) phức tạp.
Viện Công nghệ Georgia là một trong những đại học nghiên cứu công lập hàng đầu quốc gia. Như
một tổ chức nhiều đơn vị, khuôn viên rộng rãi, Trung tâm An ninh Thông tin của Georgia Tech –
GTISC (Georgia Tech Information Security Center) làm việc để dẫn dắt nghiên cứu về các vấn đề
và giải pháp ANKGM. Viện Nghiên cứu Công nghệ Georgia - GTRI (Georgia Tech Research
Institute) và hàng tá phòng thí nghiệm khắp khu trường tham gia vào các nỗ lực nghiên cứu nhằm
vào việc tạo ra công nghệ và dẫn dắt đổi mới giúp đảm bảo an ninh cho các mạng doanh nghiệp, các
hệ thống của chính phủ, và dữ liệu của nhân dân. Như một người đi đầu trong nghiên cứu ANKGM,
Georgia Tech tập trung vào việc phát triển các giải pháp mới lạ để giải quyết các vấn đề quan trọng.
Atlanta là một trung tâm về ANKGM và Georgia Tech đã hành động như một vườn ươm cho nhiều
công ty đã từng thành công trên trường quốc tế.
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 2/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Thảo luận bắt đầu ở đây. Như những người tham gia đóng góp chính, tất cả chúng ta cần cộng tác
có hiệu quả hơn để đấu tranh với các mối đe dọa mà chúng ta đối mặt ngày nay và bắt kịp nhịp với
sự tiến hóa của chúng.
Ở Georgia Tech, chúng tôi hiểu nhu cầu này và, tận dụng việc nghiên cứu và sự tinh thông trong nội
bộ, đã biên dịch 'Báo cáo các Mối đe dọa Không gian mạng Đang nổi lên' sau đây, nó bao gồm sự
hiểu sâu sắc và phân tích từ các chuyên gia khác nhau trong ANKGM. Báo cáo và Hội nghị đưa ra
một diễn đàn mở để thảo luận về các mối đe dọa đang nổi lên, tác động tiềm tàng của chúng và các
biện pháp đối phó để khoanh vùng chúng.
Để đóng lại, chúng tôi mời bạn tìm hiểu nhiều hơn về công việc của chúng tôi trong ANKGM và
kết nối với các chuyên gia để hiểu và giải quyết các thách thức chúng ta đang đối mặt ở phía trước.
- Wenke Lee
Giám đốc, GTISC
- Bo Rotoloni
Giám đốc, Phòng thí nghiệm An ninh Thông tin
và Công nghệ Không gian mạng
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 3/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Mất kiểm soát các dữ liệu đám mây
Khi công ty chuyển dữ liệu lên đám mây, cân nhắc giữa an
ninh và khả năng sử dụng sẽ gây trở ngại cho doanh nghiệp
Các điểm lưu ý:
•
Dữ liệu doanh nghiệp thường xuyên được lưu
trữ trong đám mây mà không có bất kỳ an
ninh nào ngoài an ninh được hãng lưu trữ
đám mây cung cấp
•
Trong khi mã hóa khóa cá nhân là một lựa
chọn, thì việc mã hóa dữ liệu trong đám mây cướp đi của các doanh nghiệp nhiều sự tiện
dụng của đám mây
•
Mã hóa có khả năng tìm kiếm tiếp tục được cân nhắc giữa an ninh, chức năng và hiệu quả
Với sự dịch chuyển nhanh từ CNTT người chủ làm chủ sang CNTT nhân viên làm chủ, các công ty
ngày càng phải đối mặt với các thách thức của việc bảo vệ dữ liệu nằm phân tán trong các thiết bị
của các nhân viên và các dịch vụ đám mây theo các mức độ của người tiêu dùng. Sự tiến hóa của
CNTT sang một hệ sinh thái di động, phân tán có
nghĩa là hầu hết các công ty có các dữ liệu thấm ra
ngoài vào đám mây. Thậm chí dù 7/10 lãnh đạo
CNTT hoặc đã khẳng định hoặc đã giả định rằng các
nhân viên đang lưu trữ các dữ liệu của doanh nghiệp
lên đám mây [1], thì ít công ty đang làm bất kỳ điều
gì về vấn đề này.
Vâng, những người tiêu dùng và các doanh nghiệp không chỉ là những người duy nhất đang sử
dụng đám mây. Sự áp dụng các dịch vụ đám mây một cách rộng rãi đã cho phép các tội phạm sử
dụng các dịch vụ đáng kính để vượt qua được sự phòng thủ số được các công ty dựng lên. Hơn nữa,
các tội phạm tinh vi về kỹ thuật đã tạo ra các dịch vụ đám mây của riêng họ sao cho bất kỳ ai định
ứng dụng các hệ thống bị tổn thương đó cũng có thể đăng ký và ngay lập tức thuê được hoặc mua
các dịch vụ bất hợp pháp khác.
Để chống lại điều này, các công ty đối mặt với một số các mối đe dọa do sự thịnh hành ở khắp mọi
nơi của đám mây tạo ra.
1
Marko, Kurt, “Backing Up Mobile Devices May Be A Nonissue,” InformationWeek report, August 2013,
http://reports.informationweek.com/abstract/2/11155/Business-Continuity/Research:-Backing-Up-Mobile-DevicesMay-Be-A-Nonissue.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 4/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Vẫn còn là an ninh đáng ngờ đối với việc chia sẻ tệp và các
dịch vụ đám mây khác
Các công ty tiếp tục làm việc với sự gia tăng cái gọi là “CNTT hình bóng” (Shadow IT), sự áp dụng
các dịch vụ đám mây của các nhân viên mà đang tìm cách làm cho công việc của họ có hiệu quả
hơn. Với các dịch vụ không rõ và không được quản lý, năng suất có thể cải thiện, nhưng các dữ liệu
quan trọng của doanh nghiệp được đặt ở bên ngoài sự bảo vệ của mạng tập đoàn, tiềm tàng đặt
thông tin vào rủi ro hơn. Dropbox, Box.com và Google Drive là các dịch vụ chia sẻ tệp thường
xuyên được các nhân viên sử dụng mà có thể cho phép những người bên ngoài giành được sự truy
cập tới các dữ liệu không được mã hóa.
Các công ty trước hết cần giành được sự trực
quan nhiều hơn trong sự dịch chuyển các dữ
liệu doanh nghiệp. Trung bình các nhân viên
công ty sử dụng hơn 500 dịch vụ đám mây và
hầu hết các hãng không có chính sách dựa vào
rủi ro, theo dữ liệu từ Skyhigh Networks [ 2].
Bọn tội phạm đã sử dụng rồi nhiều dịch vụ để
trích lọc dữ liệu từ bên trong doanh nghiệp
hoặc giành được sự truy cập bằng việc sử dụng
các dịch vụ trực tuyến tin cậy, như các website
có uy tín hoặc các dịch vụ chia sẻ tệp mà từ đó
các phần mềm độc hại có thể được tải về. Việc
kiểm kê sử dụng đám mây của một doanh
nghiệp là một bước tốt lành đầu tiên.
Những người chuyên nghiệp về an ninh CNTT
cũng nên xem xét đảm bảo an ninh truy cập tới các dữ liệu nhạy cảm bằng việc sử dụng xác thực 2
yếu tố, làm cho sự truy cập tới các dữ liệu khó khăn hơn đối với những kẻ tấn công. Các mối đe dọa
khác cũng tồn tại: dịch vụ đám mây bản thân nó có thể bị tổn thương hoặc trở thành mục tiêu đối
với một yêu cầu pháp lý của một chính phủ có chủ quyền để truy cập các dữ liệu. Trong các trường
hợp đó, các công ty cần phải triển khai mã hóa trước khi dữ liệu được xuất lên đám mây, Sasha
Boldyreva, giáo sư thỉnh giảng tại Trường Khoa học Máy tính ở Georgia Tech, nói.
Bảo vệ dữ liệu chống lại phần mềm độc hại bằng việc sử
dụng đám mây
Trong năm 2009, một nhóm các tin tặc trực tuyến với các liên kết tới Trung Quốc đã làm tổn thương
Google và một số công ty công nghệ cao khác, ăn cắp các thông tin kinh doanh. Kể từ đó, các cuộc
tấn công có liên quan tới nhà nước quốc gia đã chỉ có gia tăng: Từ cuộc tấn công Stuxnet vào cơ sở
2
Skyhigh Networks, “2013 Cloud Adoption and Risk Report,” company blog post, August 2013,
http://info.skyhighnetworks.com/2013CloudAdoptionRiskReport_Registration_WS.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 5/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
xử lý hạt nhân của Iran cho tới chiến dịch của các tin tặc hoạt động xã hội của Đội quân Điện tử
Syria (Syrian Electronic Army) cho tới sự thu thập sở hữu trí tuệ đang diễn ra của Trung Quốc[4].
Trong môi trường này, các công ty và các cơ quan chính phủ cần phải bảo vệ thông tin khỏi các
phần mềm độc hại ăn cắp dữ liệu trong khi vẫn cho phép các nhân viên tiếp tục làm các công việc
của họ.
Đám mây có thể thực sự giúp được. Việc ghép cặp độ tin cậy của lưu trữ đám mây với mã hóa mạnh
có thể tạo ra một hệ thống vừa an ninh và vừa tin cậy thậm chí khi sử dụng Internet công cộng. Một
số công ty đã tạo ra rồi các ủy quyền đám mây mà mã hóa thông tin khi nó được chuyển tới một
dịch vụ chia sẻ tệp, như Dropbox.
Các nhà nghiên cứu của Georgia Tech đã phát triển một hệ thống có thể sử dụng đám mây để lưu
trữ trực tuyến, và bằng việc ghép cặp nó với một cài đặt máy ảo an ninh và tách biệt, có thể tạo ra
một cách thức an ninh cao trong việc truy cập các dữ liệu. Được gọi là “CloudCapsule” (Viên nang
Đám mây), dự án cho phép một người sử dụng chuyển sang chế độ an ninh bằng việc sử dụng máy
trạm chính xác y hệt và truy cập các tệp được mã hóa được lưu trữ trong đám mây. Để cho phép
truy cập nhanh tới các tệp được lưu trữ, từng tệp được mã hóa và được lưu trữ một cách tách biệt,
Billy Lau, một nhà khoa học nghiên cứu với Trung tâm An ninh Thông tin của Georgia Tech –
GTISC (Georgia Tech Information Security Center), nói.
“Nó cho phép người sử dụng nhập khẩu các tệp nhạy cảm vào viên nang này và mã hóa chúng trước
khi chúng được chuyển vào trong đám mây”, ông nói.
Hệ thống đó có sự tích hợp trong suốt với Google Drive và Dropbox, nhưng có thể được sử dụng
với bất kỳ lưu trữ đám mây nào. Trong khi việc mã hóa dữ liệu trong đám mây bằng việc sử dụng
CloudCapsule tăng cường cho an ninh, thì nó vẫn để lại những điểm yếu của bất kỳ hệ thống lưu trữ
tệp được mã hóa nào: dữ liệu được truy cập ít hơn.
4
Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site,
Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 6/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Tính riêng tư rất tốt
Việc mã hóa thông tin được gửi tới, hoặc đi qua
qua, một nhà cung cấp đám mây cũng có các
ứng dụng khác. Với sự gia tăng các bằng chứng
rằng Cơ quan An ninh Quốc gia (NSA) và các
cơ quan tình báo quốc gia khác đã thường xuyên
truy cập được thư điện tử và các dữ liệu khác
của các công dân, thì việc mã hóa các thông điệp
trước khi chúng được gửi đi tới đám mây nên là
một ưu tiên.
Tuy nhiên, một lựa chọn phổ biến cho mã hóa
dữ liệu và thư điện tử, Tính riêng tư Khá Tốt –
PGP (Pretty Good Privacy), không phải là rất
thường xuyên được sử dụng. Các nhà nghiên
cứu của Georgia Tech đã tạo ra một lựa chọn
khác, thân thiện hơn với người sử dụng mà có
thể được sử dụng với các dịch vụ thư điện tử
đám mây phổ biến. Được gọi là “Tính riêng tư
Rất Tốt” (Very Good Privacy), phần mềm đó
phủ lên một lớp giao diện người sử dụng trong
suốt, hoặc lớp phủ an ninh, cho phép người sử
dụng tương tác với dịch vụ thư điện tử của họ
nhưng mã hóa và giải mã dữ liệu nhanh.
“Bất kỳ văn bản thô nào mà người sử dụng gõ
vào sẽ được chặn lại và được mã hóa trước khi
nó đi tới dịch vụ thư điện tử”, Lau nói. “Nhìn và
cảm nhận dịch vụ hoàn toàn được gìn giữ lại và
tiến trình không bị thay đổi”.
Cân nhắc giữa an ninh, chức năng và hiệu quả
Trong khi mã hóa có thể đảm bảo an ninh cho dữ liệu được lưu trữ trong một dịch vụ trực tuyến, thì
việc tập trung vào chỉ mỗi an ninh có thể tước đi của công ty nhiều khả năng sử dụng các dữ liệu
đó. Ví dụ, tìm kiếm là một khả năng chính mà các công ty muốn tiếp tục có thậm chí nếu các dữ
liệu của họ nằm trong đám mây. Hơn nữa, việc cho phép tìm kiếm chính xác một từ khóa, một sự
trùng khớp một phần, hoặc khả năng để sắp xếp dữ liệu theo một trường nhất định có thể đòi hỏi
các dữ liệu được mã hóa đó với mã hóa thông thường được tái nhập từ đám mây và được giải mã
trước khi thực hiện bất kỳ chức năng nào.
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 7/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Mã hóa có khả năng tìm kiếm được là công cụ đúng cho vấn đề này. Tuy nhiên, hầu hết các giải
pháp hiện hành là không có hiệu quả. Vấn đề là hầu hết các nhà nghiên cứu nhằm vào an ninh rất
mạnh và đánh mất cả chức năng lẫn sự hiệu quả. Hơn nữa, hầu hết các doanh nghiệp không muốn
giảm hiệu quả của việc truy cập và xử lý các dữ liệu của họ và muốn các dữ liệu được đảm bảo an
ninh gần với tiện ích của văn bản thô.
Các nhà nghiên cứu ở Georgia Tech đã bắt đầu với chức năng và sự hiệu quả được mong muốn cho
những ứng dụng nhất định và tìm các cách thức để đạt được an ninh tốt nhất theo các ràng buộc đó.
“Chúng tôi đã đề xuất vài sơ đồ mã hóa có khả năng tìm kiếm có an ninh chứng minh được và hiệu
quả cho các dạng truy vấn khác nhau”, Boldyreva nói. “Hầu hết các giao thức không đòi hỏi bất kỳ
sự thay đổi nào ở phía máy chủ; các dữ liệu được mã hóa được xử lý theo cách y hệt và với tốc độ y
hệt như các dữ liệu không được mã hóa”.
Đặc biệt, đội nghiên cứu của Boldyreva đã đề xuất mã hóa giữ lại trật tự - OPE (OrderPreserving
Encryption), nó giữ lại trật tự thông tin không được mã hóa. Tất nhiên, để đạt được chức năng giữ
lại trật tự có hiệu quả thì người ta phải hy sinh một số an ninh. Sơ đồ được đề xuất đưa ra càng
nhiều an ninh có thể càng tốt cho một giao thức như vậy, theo Boldyreva.
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 8/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Không an ninh nhưng các thiết bị được kết nối
“Internet của mọi thứ” tiếp tục mở rộng, nhưng an ninh vẫn
còn chưa được kiểm thử
Các điểm lưu ý:
•
Việc dò tìm các thiết bị bị tổn thương và làm giả tiếp tục được tăng cường tài nguyên, dù
nghiên cứu về tìm dấu vết các thiết bị đã có tiến bộ
•
Các công ty cần đánh giá an ninh các nhà cung cấp của họ cũng như an ninh của riêng họ
•
Các công ty hạ tầng sống còn phải tìm được các cách thức tốt nhất để đảm bảo an ninh cho
các thiết bị của họ và ngăn chặn được khả năng xảy ra sự cúp mất
•
Internet của mọi thứ sẽ có một cách nhìn chưa từng có trong cuộc sống của mọi người, mà
sẽ là khó để đảm bảo an ninh sau sự cố, nên an ninh nên được cân nhắc ngay từ đầu.
Quá nhiều các thiết bị bây giờ có kết nối với Internet. Từ các hệ thống nhúng trong ô tô tới sự tự
động hóa ở nhà tới các hệ thống kiểm soát công nghiệp tới các thiết bị của người tiêu dùng, Internet
của mọi thứ sẽ chỉ có mở rộng và trở thành một phần không thể thiếu trong cuộc sống của các
doanh nghiệp và mọi người, làm cho an ninh và tính riêng tư trở thành các tính năng quan trọng của
các hệ thống như vậy.
Vâng, các vấn đề về an ninh vẫn còn. Nhiều nhà sản xuất thiết bị tiếp tục tạo ra những sai sót như
các nhà sản xuất các hệ điều hành trước đó. Các hệ thống kiểm soát công nghiệp, hầu hết chúng đã
không có ý định để kết nối với Internet, có thể thường xuyên thấy trực tuyến và sẽ bị tổn thương.
Các kỹ sư đang thiết kế thế hệ tiếp theo các thiết bị như vậy thường không nghĩ về các cuộc tấn
công tiên tiến, như những gì đang sử dụng đúng lúc, các biến động về điện, và các kênh phụ khác.
“Trong vòng 5 năm tới, bạn sẽ thấy vô số các thiết bị được kết nối tới mạng trong nhà của bạn hoặc
mạng doanh nghiệp”, Andrew Howard, một nhà khoa học nghiên cứu với GTRI, nói. “Và chúng có
thể được sử dụng như những cái đích cho các cuộc tấn công”.
Nở rộ các thiết bị không an ninh đe dọa Internet của mọi thứ
Các máy tính cá nhân và các máy chủ, chúng đã áp đảo các thiết bị có kết nối Internet vào những
năm 1990 và đầu những năm 2000, đã đưa đường cho các điện thoại thông minh và các thiết bị di
động khác được kết nối tới Internet. Vào cuối năm nay sẽ có nhiều hơn nữa các thiết bị di động
được kết nối tới Internet - khoảng 7 tỷ thiết bị - hơn số người trên trái đất, theo một dự báo thường
niên được Cisco xuất bản [4].
4
Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site,
Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 9/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Vâng, các thiết bị di động đã và đang vượt qua với các cảm biến, các thiết bị tiêu dùng, các hệ
thống kiểm soát công nghiệp, và “những thứ” khác mà sẽ nhanh chóng
được kết nối với mạng. Các nhà phân tích ước tính rằng trong 2 năm, giữa
15 tỷ và 25 tỷ thiết bị sẽ giao tiếp qua Internet. Internet của mọi thứ này hứa
hẹn cho phép các công ty giám sát tốt hơn việc kinh doanh của họ và cho
phép mọi người giám sát được tốt hơn cuộc sống của họ.
Các tác động về an ninh và tính riêng tư của một mạng khổng lồ như vậy
vẫn là một câu hỏi mở, dù những tiết lộ hồi mùa hè về những nỗ lực thu
thập dữ liệu của NSA đã đưa ra một mức độ mà ở đó sự thu thập dữ liệu
thường xuyên có thể được sử dụng để gián điệp mọi người.
“Đối với hầu hết các hệ thống đó, bạn đang nắm vài thứ mà chưa từng bao
giờ có ý định sẽ được kết nối tới một mạng và sẽ bổ sung thêm một kênh
khác có thể được khai thác hoặc làm rò rỉ thông tin”, Howard nói.
Một vấn đề đáng kể cho các thiết bị được kết nối với Internet sẽ
nằm trong việc điều khiển các cập nhật an ninh mà không đặt
các thiết bị vào rủi ro bị tổn thương. Các công ty ngần ngại nâng
cấp cho hạ tầng sống còn vì những hậu quả tiềm tàng nếu cập
nhật đó bị hỏng. Tuy nhiên, các thiết bị mà là một phần của
Internet của mọi thứ phải được nhà sản xuất quản lý từ xa. Hơn
nữa, đa số lớn các thiết bị sẽ không đủ phức tạp để chạy các
phần mềm an ninh phức tạp tinh vi, vì thế các công ty sẽ cần
phải sử dụng việc giám sát mức mạng để dò tìm ra các tổn
thương, Raheem Beyah, giáo sư thỉnh giảng tại Trường Kỹ thuật
Điện tử và Máy tính ở Georgia Tech, nói.
“Có khả năng là chúng ta sẽ không có được các phần mềm tinh vi phức tạp trong các hệ thống nhỏ
đó để giúp chúng ta về an ninh, nên các cách thức để xác định mã nhận diện các thiết bị trên mạng
sẽ là quan trọng”, Beyah nói.
Hạ tầng sống còn nằm ở chính tâm, nhưng an ninh vẫn là
một dấu hỏi
Trong 3 năm qua, một sự kế tục các nhà nghiên cứu an ninh đã sử dụng việc quét Internet - hoặc
máy tìm kiếm Shodan truy cập được dễ dàng - để tìm các hệ thống hạ tầng sống còn được kết nối
tới Internet. Ví dụ, vào tháng một, 2 nhà nghiên cứu từ hãng tư vấn an ninh InfraCritical đã sử dụng
Shodan để săn hàng tá các sản phẩm hệ thống kiểm soát công nghiệp, phát hiện nhiều hơn 7.000
máy chủ và hệ thống được kết nối trực tiếp tới trực tuyến, bao gồm các hệ thống kiểm soát năng
lượng, nước và tự động hóa xây dựng [3].
3
Boscovich, Richard, “Microsoft Disrupts the Emerging Nitol Botnet Being Spread through an Unsecure Supply
Chain,”
http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol-
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 10/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Mối đe dọa đó không phải là lý thuyết. Vào năm 2009, cuộc tấn công Stuxnet đã sử dụng tri thức
đặc biệt của các hệ thống kiểm soát công nghiệp được Iran sử dụng cho việc xử lý uranium để phá
hủy nhiều khả năng tinh chế của quốc gia này. Phần mềm độc hại đã làm tổn thương cơ sở đó khi
các nhà thầu không cố ý mang theo các ổ đĩa USB bị lây nhiễm Stuxnet. Trong một trường hợp
khác, những kẻ tấn công đã có ý định truy cập và làm tổn thương mạng của một cơ sở nước hơn 70
lần trong 5 tháng. May thay, mạng đó là một thiết lập cho các mục đích nghiên cứu [13].
Các nhà nghiên cứu của Georgia Tech tiếp tục nghiên cứu an ninh của các thiết bị nhúng. Trong khi
các cuộc tấn công vào nhiều thiết bị tiêu dùng có thể không là sống còn, thì tri thức các lớp có liên
quan tới các tổn thương có thể giúp những kẻ tấn công làm tổn thương nhiều hệ thống sống còn
hơn, Howard của GTRI nói.
“Những gì tôi lo lắng là ai đó tiến hành một trong những cuộc tấn công tầm thường đó và leo thang
nó thành một hệ thống phức tạp và sống còn hơn”, ông nói.
Tìm các thiết bị tồi trong chuỗi cung ứng
Trong khi các cuộc tấn công theo lỗ rò nước và kỹ thuật xã hội là các kỹ thuật mới nhất, thì lo lắng
vẫn đeo bám dai dẳng rằng những kẻ tấn công sẽ làm tổn thương phần cứng hoặc phần mềm của
một thiết bị ở đâu đó trong chuỗi cung ứng. Phần mềm độc hại đã lây nhiễm rồi các thiết bị như các
khung ảnh số và thiết bị mạng, và việc dò tìm ra những tổn thương như vậy tiếp tục sẽ là khó khăn.
Nhiều tiếp cận hiện hành là quá đắt giá để mở rộng phạm vi tới một chương trình rộng khắp về
kiểm toán các thiết bị. Điều tra phần cứng vật lý và kiểm tra sự phát hành điện tử của các thiết bị
đòi hỏi quá nhiều nỗ lực hoặc thời gian cho một doanh nghiệp điển hình. Một tiếp cận khác, sử
dụng phần mềm điểm chuẩn để đánh giá thiết bị, có thể được sử dụng cho các máy tính, các máy
xách tay và một số thiết bị khác, nhưng việc tạo ra các phần mềm điểm chuẩn cho từng nền tảng là
khó, Beyah của Georgia Tech nói.
Tại Georgia Tech, các nhà nghiên cứu đang làm việc trong việc nhận diện các dấu vết và đặc tính
các thiết bị trên mạng bằng việc sử dụng giao thông mà dịch chuyển đi và đến thiết bị. Các nhà
nghiên cứu khởi động hệ thống, nghe giao thông mà nó sinh ra, và sử dụng các thăm dò mạng để
xác định liệu kiến trúc có bị tổn thương hay không, và những gì nó không có ý định sẽ là, Beyah
nói. Bằng việc sử dụng một tiếp cận thống kê, các nhà nghiên cứu sẽ có khả năng xác định được
liệu thiết bị đó có phù hợp với các thuộc tính của nó hay không.
Ý tưởng là để dò tìm ra giao thông mà chỉ ra rằng thiết bị đó là giả hoặc độc hại và sau đó khóa các
giao tiếp trong tương lai, ông nói.
“Thay vì việc cài đặt các phần mềm đặc vụ, bạn có thể chọn sự kết hợp nội bộ các thiết bị đó thông
qua giao thông mạng”, Beyah nói. “Nó là một máy điều nhiệt hay một máy tính xách tay mà đang
cố để trông được giống như một máy điều nhiệt?”
botnet-being-spread-through-an-unsecure-supply-chain.aspx, Sep. 13, 2012.
13 Lemos, Robert, “Water-Utility Honeynet Illuminates Real-World SCADA Threats,” Dark Reading, Aug. 2, 2013,
http://www.darkreading.com/advanced-threats/water-utilityhoneynet-illuminates-real-/240159393
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 11/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Những kẻ tấn công tùy biến thích nghi cho các hệ
sinh thái di động
Trong khi các nền tảng di động phần lớn là an toàn cho
những người tiêu dùng và các doanh nghiệp, thì các nhà
nghiên cứu và những kẻ tấn công đang tìm các cách thức
xung quanh an ninh các hệ sinh thái đó
Các điểm lưu ý:
•
Như các cảm biến - và không chỉ các nền tảng điện toán - các thiết bị di động mang tới một
tập hợp mới các mối đe dọa, bao gồm việc cho phép các phần mềm độc hại sự dòm ngó
chưa từng có vào cuộc sống của các nạn nhân
•
Các thiết bị do các nhân viên sở hữu làm cho an ninh đặc thù nền tảng khó khăn, gợi ý rằng
tập trung vào việc bảo vệ dữ liệu có thể có hiệu quả hơn
•
Các nhà nghiên cứu và những kẻ tấn công đã thấy các cách thức để vượt qua an ninh vốn có
của “cộng đồng có cổng” của các kho ứng dụng
•
Các tác động đối với xã hội của các thiết bị di động lưu thông khắp mọi nơi không được
hiểu tốt, và các Tòa án Mỹ còn chưa đi tới sự đồng thuận về sự truy cập của chính phủ tới
các dữ liệu
Tới cuối năm nay, sẽ có nhiều thiết bị được kết nối tới Internet hơn so với số người trên trái đất, với
4/5 số nhân viên sử dụng các thiết bị di động cá nhân của họ để làm việc [ 5]. Trong khi các máy tính
cá nhân – PC (Personal Computer) đã xác định cách mà mọi người làm việc trong thập kỷ trước, thì
thập kỷ hậu PC sẽ được các thiết bị di động và các thiết bị không cần có kết nối với PC xác định.
Thậm chí dù các phần mềm độc hại vẫn là vấn đề ít hơn nhiều đối với các thiết bị di động so với
vấn đề đó đối với các PC, thì các mối đe dọa đang nhanh chóng bám theo các nhân viên trong các
nền tảng di động. Hơn nữa, các cuộc tấn công dạng người đứng giữa đường đang gia tăng phổ biến
vì người sử dụng di động thường ít tinh ranh đối với việc kết nối tới các mạng không tin cậy [16].
Các thiết bị nhân viên sở hữu làm thay đổi mô hình an ninh
Các thiết bị di động đã làm thay đổi sự năng động của an ninh CNTT trong môi trường làm việc. Xu
thế mang thiết bị của riêng bạn – BYOD (Bring-Your-Own-Device) đưa ra 2 mối đe dọa khác nhau
cho các công ty: các thiết bị khá là không an ninh đang đi vào mạng và dữ liệu được lưu trữ ngày
5
Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2012–2017,” Cisco Web site,
Feb. 6, 2013, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11520862.html
16 Lemos, Robert, “4 Mobile Device Dangers That Are More Of A Threat Than Malware,” Dark Reading, Sept. 11,
2013, http://www.darkreading.com/mobile/4-mobile-devicedangers-that-are-more-of/240161141
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 12/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
một gia tăng trong các thiết bị cá nhân. Trước tiên, vì các nền tảng được các nhân viên sở hữu, nên
việc đảm bảo thiết bị là an ninh là khó khăn hơn, khi mà các phần mềm độc hại như vậy có thể sử
dụng các điện thoại thông minh và các máy tính bảng như một bàn đạp cho các cuộc tấn công vào
mạng tập đoàn. Thứ 2, vì các nhân viên đang sử dụng các thiết bị của họ cho công việc, các dữ liệu
tập đoàn sẽ được lưu trữ trong các môi trường khá là không an ninh.
“Nếu bạn có một thiết bị hoặc điện thoại bị lây nhiễm đi vào trong doanh nghiệp của bạn, thì sở hữu
trí tuệ có thể bị ăn cắp”, Chuck Bokath, kỹ sư nghiên cứu cao cấp ở GTRI nói. “Thật khó cho các
nhà chuyên nghiệp CNTT, các CIO hoặc CTO để làm được gì đó với điều đó vào thời điểm này”.
Tuy nhiên, BYOD sẽ không biến mất, vì năng suất giành được và tiết kiệm chi phí là quá mê say
đối với hầu hết các công ty. Các công ty sẽ phải nắm lấy một loạt tiếp cận cho việc khóa lối đi
xuống và khóa lối đi ra của các thiết bị, từ việc chia thành ngăn các ứng dụng tin cậy được và các
dữ liệu nhạy cảm bằng việc sử dụng các kho chứa có an ninh tới việc sử dụng các kiểm soát truy
cập mạng để ngăn chặn các thiết bị không tin cậy khỏi việc truy cập tới các phần của mạng.
Kho ứng dụng có cổng không phải là sự phòng vệ tuyệt vời
Các nhà sáng tạo ra các thiết bị di động đã cố gắng học
từ những sai lầm của các nhà sản xuất hệ điều hành
máy tính. Google đã thêm một mô hình an ninh dựa
vào quyền, một loạt kiểm soát an ninh, khả năng triệu
hồi các ứng dụng, và cuối cùng là một hệ thống tự động
hóa rà soát các ứng dụng được đệ trình tới kho các ứng
dụng của hãng, Google Play. Apple đã áp dụng một tiếp
cận còn khắt khe hơn cho cộng đồng có cổng, giữ sự
kiểm soát chặt đối với các chức năng nhất định của hệ
thống và kiểm tra các ứng dụng về hành vi độc hại tiềm
năng ngay từ đầu.
Người sử dụng tránh việc phá nhà tù (jailbreaking) đối với
các điện thoại của họ và chỉ sử dụng một kho các ứng dụng
thường từng là an toàn. Tỷ lệ hiện hành các lây nhiễm phần
mềm độc hại của di động ở Bắc Mỹ chiếm ít hơn 1% tất cả
các thiết bị, với các điện thoại thông minh bị phá nhà tù đại
diện cho hầu hết nhóm rủi ro đối với các thiết bị [12].
Vâng, các nhà nghiên cứu và những kẻ tấn công đã thấy
các cách thức có được xung quanh sự phòng thủ mà cả các
hệ sinh thái của Android và iOS đã đưa ra. Tại Hội nghị An
ninh USENIX vào tháng 08/2013, 4 nhà nghiên cứu từ
12 Lemos, Robert, “Companies Need Defenses Against Mobile Malware,” Dark Reading, Nov. 8, 2012,
http://www.darkreading.com/advanced-threats/companies-needdefenses-against-mobile-m/240062687
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 13/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Georgia Tech đã chỉ ra rằng các chỗ bị tổn thương cố ý có thể được thêm vào một ứng dụng mà
không dò tìm ra được bằng qui trình rà soát của Apple. Bằng việc khai thác các chỗ bị tổn thương
vào một ngày sau đó, một kẻ tấn công có thể giành được sự truy cập tới thiết bị đó.
“Chúng tôi đã chỉ ra rằng qui trình rà soát lại thường xuyên kho ứng dụng đang không có khả năng
ngăn chặn việc đưa vào một ứng dụng độc hại”, Tielei Wang, nhà khoa học nghiên cứu với GTISC
và là một trong những tác giả của tài liệu USENIX, nói.
Một số biện pháp đối phó có thể giúp khôi phục an ninh của mô hình thị trường các ứng dụng, bao
gồm cả một hệ thống cho phép cứng cỏi hơn, kiểm tra tính toàn vẹn kiểm soát dòng chảy, hoặc bắt
buộc các lập trình viên sử dụng một ngôn ngữ lập trình dạng an toàn. Các biện pháp an ninh đó có
khả năng được áp dụng thế nào vẫn còn là một câu hỏi mở.
Các thiết bị di động làm rò rỉ các dữ liệu không có các kiểm
soát của người sử dụng
Các vụ đột nhập bằng kỹ thuật và phần mềm độc hại đại diện cho một mối đe dọa đáng kể đối với
những người sử dụng các thiết bị di động, nhưng một mối đe dọa khổng lồ hơn nhiều là sử dụng dữ
liệu hợp pháp được thu thập từ các điện thoại thông minh và các máy tính bảng. Khi cựu nhà thầu
NSA Edward Snowden đã tiết lộ vào tháng 06/2013 các chi tiết về việc thu thập dữ liệu đối với
những người cần quan tâm đã gây ngạc nhiên cho hầu hết các nhà quan sát. Tuy nhiên, chương trình
đó đã chỉ cày xới bề mặt của dữ liệu có sẵn cho sự phân tích tiềm tàng.
Biết rằng các thiết bị di động nhân đôi khi các cảm biến và các nền tảng lần vết mà những người
tiêu dùng tự nguyện mang theo chúng, nên các nhà vận tải mạng không dây, các nhà sản xuất và vô
số các lập trình viên ứng dụng thường xuyên thu thập các dữ liệu về người sử dụng từ thiết bị đó.
Nhiều trong số các dữ liệu đó có thể được sử dụng để lần vết người sử dụng, dù các tòa án Mỹ đã bị
chia rẽ trong việc liệu sự ép tuân thủ luật có thể yêu cầu thông tin như vậy hay không khi không có
một lệnh cho phép [11].
“Ngắn gọn, trong lịch sử loài người, mọi người chưa bao giờ mang theo các thiết bị lần vết và bây
giờ họ làm”, Peter Swire, Nancy J. và Giáo sư Lawrence P. Huang ở Luật và Đạo đức tại Georgia
Tech. “Vì như một xã hội, và như một nhà sáng tạo công nghệ, chúng tôi phải quyết định khi nào
thông tin vị trí đó đi tới những người nắm giữ khác và khi nào thông tin đó có thể được sử dụng cho
các mục đích khác”.
Vâng, thậm chí nếu các tòa án yêu cầu rằng các cơ quan ép tuân thủ pháp luật có được một lệnh để
giành được sự truy cập tới vị trí của điện thoại theo lịch sử, thì phán quyết như vậy sẽ có thể không
kiềm chế được số lượng các thông tin được các lập trình viên ứng dụng trích lấy từ điện thoại.
11 Sengupta, Somini, “Warrantless Cellphone Tracking Is Upheld,” New York Times, July 30, 2013,
http://www.nytimes.com/2013/07/31/technology/warrantless-cellphonetracking-is-upheld.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 14/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Bộ sạc USB độc hại cho phép đột nhập
Một cách khác mà các tin tặc có thể phá hoại hệ sinh thái di động có cổng là bằng việc lợi dụng
các chỗ bị tổn thương về an ninh trong các hoạt động hàng ngày, như việc sạc một thiết bị. Trong
Tóm lược An ninh Mũ Đen (Black Hat Security Briefings) vào tháng 07/2013, 3 nhà nghiên cứu
của Georgia Tech đã trình bày cách mà các kẻ tấn công có thể tạo ra một thiết bị phần cứng giống
như là một bộ sạc USB, nhưng trong thực tế làm tổn thương bất kỳ chiếc iPhone nào được kết nối
tới phần cứng đó.
Những thiết bị như vậy có thể được đặt ở các sân bay hoặc các khách sạn để tự động gây tổn
thương cho các điện thoại, chúng có thể sau đó kết nối ngược trở lại tới các máy chủ chỉ huy kiểm
soát, Billy Lau, một nhà khoa học nghiên cứu với GTISC nói.
“Không có sự nghi ngờ là ai đó có thể tạo ra một bộ sạc mà trông giống thứ thực tế cả”, ông nói.
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 15/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Chi phí của việc phòng thủ chống lại các cuộc tấn
công không gian mạng vẫn là cao
Việc giảm nhẹ rủi ro các cuộc TCKGM tiếp tục là không chắc
chắn và đắt giá, nhưng việc giành được sự trực quan tốt hơn
trong các mối đe dọa và việc giảm nhẹ các mối đe dọa nhất
định có thể giúp được
Các điểm lưu ý:
•
Việc đuổi theo công nghệ và tạo ra nhiều lớp phòng thủ tĩnh đã dẫn tới các chi phí an ninh
•
Các công ty cần tập trung vào việc giành được sự trực quan trong các mạng của họ và các
mối đe dọa từ bên ngoài nhằm vào việc kinh doanh của họ
•
Việc chuyển sự tập trung từ các thiết bị sang dữ liệu có thể đơn giản hóa các khái niệm
phòng thủ và vượt qua được tốt hơn với xu thế mang theo thiết bị của riêng bạn (BYOD),
nhưng khả năng sử dụng tiếp tục sẽ là một vấn đề
•
Trong khi thị trường cho sự đảm bảo không gian mạng đang gia tăng, thì các vấn đề cơ bản
vẫn tiếp tục cản trở để có được một cách rộng rãi các chính sách làm giảm nhẹ rủi ro
Trong thập kỷ qua, các công ty đã chuyển từ việc triển khai một tường lửa đơn giản, phần mềm
chống virus, và hệ thống triển khai các bản vá sang việc áp dụng một loạt các công nghệ khác:
thông tin về an ninh và quản lý sự kiện - SIEM (Security Information & Event Management), chống
thất thoát dữ liệu, quản lý nhận diện và truy cập - IAM (Identity & Access Management), các tường
lửa của các ứng dụng, và gần đây hơn, quản lý thiết bị di động - MDM (Mobile Device
Management). Đi theo câu thần chú về phòng thủ theo chiều sâu, càng nhiều lớp công nghệ được
đặt giữa những kẻ tấn công và doanh nghiệp, thì càng tốt.
Vâng, sự tập trung hướng vào công nghệ đã dẫn tới chi phí
an ninh cao hơn cho các công ty. Bất chấp sự tăng trưởng
kinh tế chậm, ngân sách an ninh CNTT sẽ leo cao hơn từ
5% lên 10% trong năm 2013. Các khảo sát trong năm qua
đã cho thấy một nửa [9] cho tới 2/3 [8] những người chuyên
nghiệp về an ninh CNTT kỳ vọng các ngân sách sẽ gia
tăng trong năm tới.
Việc giảm chi phí trong khi vẫn bảo vệ được doanh nghiệp
9
8
Presti, Ken, “Report: Security Budgets Trending Upwards For 2013,” CRN, Dec. 7, 2012,
http://www.crn.com/news/security/240144099/report-security-budgets-trendingupwards-for-2013.htm
SC Magazine Poll, “Security Budgets in 2013,” SC Magazine, http://www.scmagazine.com/security-budgets-in2013/slideshow/1157/#1
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 16/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
sẽ đòi hỏi một tiếp cận hướng dữ liệu nhiều hơn về an ninh. Các nhà nghiên cứu và các doanh
nghiệp tập trung vào việc thu thập nhiều thông tin hơn về tình trạng an ninh và các mối đe dọa hiện
hành của họ có thể bảo vệ tốt hơn các mạng và dữ liệu của họ trong khi làm giảm được các chi phí.
Hơn nữa, việc chuyển trọng tâm về an ninh từ thiết bị sang dữ liệu của một doanh nghiệp có thể làm
đơn giản hóa sự phòng thủ. Cuối cùng, bảo hiểm không gian mạng có thể hành động như một mạng
an toàn cho các công ty, dù các câu hỏi vẫn còn đó về hiệu quả các chính sách và sự bảo hiểm.
Tri thức về các mối đe dọa là cần thiết, nhưng vẫn ở các giai
đoạn sớm
Việc tìm thấy thông tin về các kẻ tấn công là không khó: các danh sách đen, các tình báo nguồn mở,
các lưu ký từ một loạt các thiết bị mạng, phân tích phần mềm độc hại, các mạng xã hội và các
nguồn khác tất cả đều có thể cho những người phòng thủ một số sự hiểu thấu đáo trong các kỹ
thuật, nhận diện và động cơ của những kẻ tấn công. Tuy nhiên, ý nghĩa của các dữ liệu đó và việc
biến nó thành tri thức phù hợp cho một công ty hoặc mục tiêu nhất định là khó. Hơn nữa, trừ phi
thông tin có thể được phân phối cho đúng người trong một khoảng thời gian ngắn, nếu không nó có
thể đánh mất đi giá trị một cách nhanh chóng.
Có các cách thức khác nhau để giải quyết các vật truyền sự tấn
công. Các công ty có thể phát hiện và ánh xạ các mạng và các tài
sản của họ, sau đó dành ưu tiên cho các phòng thủ theo giá trị, chỗ
bị tổn thương và tính sống còn. Họ cũng có thể tập trung vào kẻ tấn
công, bằng việc sử dụng phân tích chuỗi sát thủ để xác định các
bước cần thiết nhằm vào sở hữu trí tuệ có giá trị của công ty đó.
Thay vì đơn giản cố giữ cho kẻ tấn công ở ngoài, thì một tiếp cận
như vậy trao cho công ty nhiều cơ hội làm dịu một cuộc tấn công.
Mục tiêu là nhanh chóng xác định hiện trạng của mạng và các tài
sản, những gì kẻ tấn công có thể đang nhằm vào, và tác động được doanh nghiệp xác định trước nếu
cuộc tấn công đó thành công. Qui trình đó sẽ giúp cho những người phòng thủ đặt ưu tiên cho ứng
cứu sự cố, George “Fred” Wright, một kỹ sư nghiên cứu nổi tiếng vớ GTRI, nói.
“Chúng tôi sẽ làm tốt hơn so với chỉ là một cảm giác rút ruột”, ông nói.
Trong khi đã từng có một số lợi ích trong việc tạo một đo đếm duy nhất đối với rủi ro, về cơ bản
một “hàn thử biểu các mối đe dọa” cho ANKGM, thì một sự đơn giản hóa như vậy có thể loại bỏ
bất kỳ nội dung có khả năng hành động nào và gây ra sự thờ ơ, thay vì tập trung vào các nỗ lực của
một người phòng thủ, Wright nói. Chỉ số nổi tiếng nhất của mối đe dọa, hệ thống tư vấn của Bộ An
ninh Nội địa Mỹ về rủi ro khủng bố, cuối cùng đã bị loại bỏ; nhiều cuộc tấn công hơn đã xảy ra
trong khi nó từng là màu vàng so với khi nó từng là màu da cam, và không cuộc tấn công nào đã
xảy ra khi nó từng là màu đỏ, một đại diện của mức đe dọa cao nhất [10].
10 Schneier, Bruce, “Why terror alert codes never made sense,” CNN, Jan. 28, 2011,
http://www.cnn.com/2011/OPINION/01/28/schneier.terror.threat.level/index.html
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 17/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Phòng chống mất dữ liệu có hứa hẹn, nhưng ngữ cảnh an
ninh vẫn là một vấn đề
Với một con thú nuôi là các thiết bị nhân viên sở hữu có kết nối tới các mạng doanh nghiệp, thì việc
đảm bảo an ninh cho từng thiết bị không còn là thực tế hoặc mong muốn nữa: sự nở rộ của các thiết
bị là khó để hỗ trợ và việc quản lý thiết bị của một nhân viên làm nảy sinh các vấn đề về tính riêng
tư khó gỡ. Vì những lý do đó, nhiều công ty đang tập trung vào việc kiểm soát đâu là nơi dữ liệu
của họ được gửi đi và được lưu trữ. Các công nghệ phòng chống mất dữ liệu hứa hẹn tập trung vào
dữ liệu và bảo vệ thông tin nhạy cảm khỏi bị rò rỉ và bị ăn cắp.
Việc xác định ngữ cảnh của dữ liệu vẫn là một thách thức, dẫn tới một sự việc các cảnh báo sai cao
độ. Một số có 9 chữ số, ví dụ, nó có thể là một số an sinh xã hội, hoặc nó có thể chỉ là một số có 9
chữ số. Thêm vào đó sự khó khăn do các dữ liệu được mã hóa hoặc khó hiểu đặt ra, và các hệ thống
phòng chống mất mát dữ liệu cần phải tiến hóa nếu chúng sẽ giúp làm giảm chi phí an ninh,
Andrew Howard, nhà khoa học nghiên cứu ở GTRI, nói.
“Nếu tôi đang cố gắng ăn cắp dữ liệu, thì phòng chống mất mát dữ liệu sẽ giúp cho tôi khỏi việc ăn
cắp nó”, ông nói. “Nhưng hiện hành, phòng chống mất mát dữ liệu là hiệu quả trong việc giữ cho
những người sử dụng tốt khỏi mắc sai sót”.
Nhiều công ty hơn đang thực hiện bước đầu tiên và tạo ra các chính sách phân loại dữ liệu và đánh
giá các chi phí có liên quan tới mất mát dữ liệu. Các nhà nghiên cứu đang tập trung vào việc trợ
giúp cho phân loại dữ liệu và làm cho việc gắn thẻ cho dữ liệu dễ dàng hơn.
“Các công ty đang ngày càng nhận thức được nhiều hơn về việc các dữ liệu của họ nhạy cảm thế
nào”, Howard nói. “5 năm trước, hầu hết các công ty đã không biết gì về những gì họ đã có. Đây là
một khối dữ liệu lớn hơn so với hầu hết mọi người nhận thức được”.
Với rủi ro khó định lượng, sự bảo hiểm vẫn là vấn đề
Bảo hiểm luôn từng là một cách để các công ty được đền bù vì rủi ro trong một sự cố thảm họa. Do
sự siêng năng và các yêu cầu mà các hãng bảo hiểm đặt ra sẽ được ghi nhận với việc gia tăng an
toàn và an ninh của nhiều nền công nghiệp, như một sự thiếu hụt dữ liệu thực tế về các cuộc tấn
công không gian mạng, khó khăn trong việc định lượng các thiệt hại, và sự không thống nhất về các
biện pháp an ninh nào thực sự làm giảm được rủi ro đối với một lỗ thủng làm cho bảo hiểm không
gian mạng trở nên khó khăn đối với nhiều công ty để chứng minh như là một chi phí. Trong năm
2012, số các công ty mua các chính sách bảo hiểm không gian mạng đã gia tăng 1/3 so với năm
trước, với các cơ sở giáo dục và các tổ chức dịch vụ chuyên nghiệp chiếm phần lớn sự gia tăng đó,
theo hãng quản lý rủi ro và môi giới bảo hiểm Marsh [5].
Tuy nhiên, nhiều lúng túng vẫn còn như đối với những gì được và không được bao trùm. Vào tháng
8/2013, công ty bảo hiểm Liberty Mutual đã kiện chuỗi siêu thị Schnuck sau khi các tin tặc đã ăn
5
Marsh, “Number of Companies Buying Cyber Insurance Up by One-Third in 2012: Marsh,” press release, March
14,
2013,
http://usa.marsh.com/NewsInsights/MarshPressReleases/ID/29878/Number-of-Companies-BuyingCyber-Insurance-Up-by-One-Third-in-2012-Marsh.aspx
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 18/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
cắp tới 2.4 triệu thẻ tín dụng từ nhà bán lẻ gây ra 8 vụ kiện lớp hành động và các khoản phạt từ các
ngân hàng và các công ty thẻ tín dụng. Siêu thị yêu sách rằng các vụ kiện và các khoản phạt nên
được bao trùm, nhưng Liberty Mutual đồng ý rằng các chi phí là “tài sản vô hình”, nên nó sẽ không
được bao trùm [7].
“Khi bạn chọn tài liệu mỗi ngày và đọc về một lỗ thủng - không phải ở cửa hàng bà mẹ và nhạc
pop, mà ở một công ty lớn - thì bạn hiểu rằng không ai là miễn nhiễm với các cuộc tấn công cả”,
David Norfleet, phó chủ tịch cao cấp về trách nhiệm chuyên nghiệp ở Starr Indemnity and Liability
Co., nói. “Chúng ta thường bỏ qua cảm giác giống như chúng ta vẫn còn chưa có giải pháp vậy”.
GTRI đang làm việc với Starr và các công ty bảo hiểm khác để làm rõ các thiệt hại, xác định các
thực tiễn an ninh tốt, và thiết lập các tiêu chuẩn xung quanh các lựa chọn bao trùm.
Hỗ trợ việc chia sẻ thông tin
Những lo ngại về việc trao cho các đối thủ một ưu thế cũng như các tác động pháp lý và kinh
doanh của việc thừa nhận đang bị tổn thương thành công đang hạn chế các công ty trong việc chia
sẻ thông tin về các cuộc tấn công. Nỗ lực hiểu biết về mối đe dọa của GTRI, có tên là “Apiary”,
cho phép những người tham gia đệ trình bằng chứng của cuộc tấn công tiềm tàng, trao đổi các chỉ
số tổn thương - IOC (Indicator Of Compromise), và có được sự phân tích tự động về bất kỳ phần
mềm độc hại nào được sử dụng trong cuộc tấn công - tất cả thông qua một hệ thống nặc danh.
“Chúng tôi thấy rằng hầu hết mọi người có thể có thiện chí làm việc với chúng tôi nếu chúng tôi
không phải là Georgia Tech”, Chris Smoak, một nhà khoa học nghiên cứu ở GTRI, nói.
Hệ thống Apiary phân tích phần mềm độc hại mà những kẻ tấn công sử dụng để làm tổn thương và
kiểm soát các hệ thống, trao cho các công ty thông tin nhanh nhất về các khả năng của cuộc tấn
công và liên kết các chương trình với các cuộc tấn công trước đó. Apiary có thể dò tìm ra rồi các
cuộc tấn công độc hại trước cả các công ty an ninh và các nguồn tình báo công khai, Howard nói.
7
Walker, Danielle, “Insurer to Schnucks: We won’t pay for lawsuits related to your breach,” SC Magazine, August
20,
2013,
http://www.scmagazine.com/insurer-toschnucks-we-wont-pay-for-lawsuits-related-to-yourbreach/article/307960/
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 19/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Những tiến bộ về điều khiển thông tin
Các hệ thống danh tiếng và khuyến cáo trực tuyến làm gia
tăng tầm quan trọng trong khi các mối đe dọa đối với chúng
chín muồi
Các điểm lưu ý:
•
Khi các công ty và chính phủ dựa nhiều hơn vào dữ liệu và tình báo để vận hành có hiệu
quả, thì điều khiển thông tin sẽ trở thành một cuộc tấn công quan trọng ngày một gia tăng
•
Với uy tín đang được sử dụng gia tăng để đưa ra các quyết định về an ninh, những kẻ tấn
công sẽ tiếp tục các cố gắng đầu độc hoặc quét trắng uy tín
•
Sử dụng sự giả mạo các yêu cầu liên các site, những người chủ các website vô đạo đức có
thể tiêm nội dung giá trị cao hơn để đầu độc hồ sơ cá nhân những người viếng thăm và thu
lợi bằng việc lừa dối các mạng quảng cáo
•
Các kỹ thuật cho việc sử dụng sự điều khiển và làm bẩn thông tin có thể được sử dụng để ẩn
dấu hoặc ngụy trang cho các cuộc tấn công
Các doanh nghiệp và chính phủ ngày càng tập trung vào việc thu thập và phân tích một loạt lớn các
dữ liệu để đưa ra các quyết định tốt hơn. Các nhà bán lẻ và các cơ sở tài chính, ví dụ, sử dụng phân
tích dữ liệu lớn để đưa ra các quyết định nghiệp vụ tốt hơn và có trách nhiệm hơn đối với các yêu
cầu đòi hỏi. Google và các máy tìm kiếm khác sử dụng thông tin về các thói quen duyệt web của
người sử dụng để thông báo các kết quả truy vấn và xác định các quảng cáo nào sẽ được hiển thị.
Các cơ quan chính phủ, như Cơ quan An ninh Quốc gia, thu thập và xử lý thông tin để tìm kiếm các
mối đe dọa đối với an ninh quốc gia.
Với thông tin này đang dẫn dắt cho các quyết định kinh doanh và an ninh, những kẻ tấn công sẽ
ngày càng cố gắng chơi các hệ thống phân tích đó vì lợi ích của chúng. Google đã đối mặt rồi với
các cuộc tấn công như vậy ở dạng tối ưu hóa máy tìm kiếm - SEO (Search Engine Optimization)
mũ đen. Những kẻ tấn công khác có thể cố điều khiển các khía cạnh khác của nền kinh tế thông tin,
như việc gây ảnh hưởng tới các thuật toán cá nhân hóa được nhiều dịch vụ sử dụng. Các nhà thiết
kế các hệ thống phân tích và quan hệ như vậy phải tính tới các nỗ lực đầu độc các dữ liệu của những
kẻ tấn công.
Với uy tín đang ngày càng trở nên quan trọng, những kẻ tấn
công sẽ tập trung vào việc chơi hệ thống đó
Các công ty đang ngày càng tập trung vào uy tín như một cách để tránh các mối đe dọa về an ninh.
Các hãng sử dụng các danh sách đen được tạo ra từ việc giám sát một loạt các hoạt động độc hại để
khóa các website thù địch tiềm tàng. Các hệ thống danh tiếng cứng cáp hơn cũng đang được phát
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 20/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
triển, từ việc xếp hạng độ tin cậy của một ứng dụng hoặc dịch vụ tới việc đánh giá mức độ an ninh
của một đối tác.
Các cuộc tấn công làm bẩn và điều khiển thông tin có thể được sử dụng để làm xói mòn các phòng
thủ dựa vào uy tín như vậy. Trong các ứng dụng rộng lớn hơn, những kẻ giả mạo đã chơi rồi các
dịch vụ rà soát lại bằng việc sử dụng việc xóa trắng uy tín để chôn vùi các rà soát lại tồi và các kỹ
thuật tối ưu hóa máy tìm kiếm – SEO (Search Engine Optimization) để làm cho các site dường như
phổ biến hơn. Các danh sách đen các website cũng có thể phải tránh bằng việc nhanh chóng thay
đổi miền hoặc, như trường hợp ngày càng gia tăng, sử dụng các site hợp pháp nhưng bị tổn thương.
Trong khi các nhà cung cấp dịch vụ thông tin có thể đấu tranh chống các kỹ thuật như vậy bằng việc
kiểm tra các nguồn nhiễm bẩn hoặc điều khiển của họ, thì người sử dụng hàng ngày cần một thái độ
nghi ngờ ngày một gia tăng, Wenke Lee, giáo sư về Khoa học Máy tính và giám đốc GTISC, nói.
“Những người tiêu dùng mà chưa hiểu biết về chất lượng thông tin trực tuyến có thể dễ dàng bị
lừa”, Lee nói. Sự minh bạch lớn hơn trong cách mà các nhà cung cấp thông tin và tình báo tạo ra
cho các hệ thống danh tiếng của họ có thể giúp những người sử dụng hiểu biết tốt hơn, ông nói.
Đầu độc các dịch vụ cá nhân hóa có thể làm lợi cho những kẻ
tấn công
Từ tin tức cho tới quảng cáo tới các khuyến cáo trong sách, các dịch vụ trực tuyến ngày càng được
cá nhân hóa. Việc xuyên tạc lợi ích của người sử dụng có thể là sinh lợi. Các nhà nghiên cứu từ
GTISC đã trình bày một kỹ thuật bằng việc sử dụng sự giả mạo yêu cầu liên các site – XSRF
(Cross-Site Request Forgery) để điều khiển dữ liệu được các dịch vụ của bên thứ ba thu thập, như
các mạng quảng cáo, các cửa hàng sách trực tuyến, và các máy tìm kiếm. Sử dụng kỹ thuật này,
những kẻ tấn công có thể tác động tới các kết quả được cá nhân hóa được trả về từ một nhà cung
cấp dịch vụ. Trong một tài liệu được trình bày ở Hội nghị An ninh USENIX vào tháng 8/2013, các
nhà nghiên cứu của GTISC đã chỉ ra rằng họ có thể điều khiển các kết quả được cá nhân hóa đư ợc
Amazon, Google và YouTube trình bày. Bằng việc sử dụng XSRF, các nhà nghiên cứu đã tiêm mã
HTML để làm cho nó xuất hiện mà những người sử dụng đã nháy chuột vào và đã chỉ ra lợi ích theo
nội dung nhất định.
Kỹ thuật này có thể được các nhà xuất bản giả mạo sử dụng để lừa các mạng quảng cáo trong việc
phân phối các quảng cáo tăng cường hơn nhằm vào các khách hàng giá trị cao, Wei Meng, một nhà
nghiên cứu ở GTISC và là một trong những tác giả của tài liệu USENIX, nói.
“Nhà xuất bản có thể ứng dụng kỹ thuật này để tiêm một số nội dung đắt giá nhất vào trang web, về
cơ bản làm thay đổi các lợi ích của người sử dụng”, ông nói.
Việc phòng thủ chống lại các cuộc tấn công đó là khó, vì các phòng thủ có hiệu quả cũng có thể cản
trở sự cá nhân hóa, Meng nói.
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 21/22
Các mối đe dọa không gian mạng đang nổi lên
Báo cáo 2014 của Viện Công nghệ Quốc gia Georgia
Điều khiển thông tin có thể là một cuộc tấn công trong phân
tích Dữ liệu Lớn
Trong thập kỷ tới, các công ty và các cơ quan chính phủ sẽ phân tích một lượng ngày một gia tăng
các dữ liệu để dẫn xuất tri thức mà có thể được sử dụng để sắp xếp các hoạt động, đưa ra các quyết
định có đầy đủ thông tin hơn và dò tìm ra được những bất thường mà chỉ ra một mối đe dọa. Khi sử
dụng phân tích dữ liệu lớn như vậy lan rộng, những kẻ tấn công sẽ phải tìm các cách thức để ấn náu
khỏi các phân tích thống kê và dò tìm bất thường đó.
Điều khiển thông tin sẽ có khả năng là chiến lược của những kẻ tấn công, Lee của GTISC nói. Bằng
việc làm bẩn các dữ liệu theo các cách thức nhất định, như tạo ra một cách chậm chạp một loạt rộng
lớn hơn các giá trị, một kẻ tấn công có hiểu biết có thể sửa đổi mô hình mối đe dọa của một nền
tảng phân tích và làm cho nó phải coi hành vi bất thường như là bình thường. Hoặc, một kẻ tấn
công có thể tạo ra nhiều cuộc tấn công giả mạo, tạo ra các cảnh báo sai và làm mất thời gian của các
nhà phân tích là con người.
“Làm thế nào chúng ta biết rằng dữ liệu được sử dụng cho phân tích còn chưa bị làm bẩn?” Lee hỏi.
“Mối đe dọa này đại diện cho một cuộc chiến mà chúng ta sẽ phải đấu tranh trong 5 – 10 năm tới”.
Việc phòng thủ chống lại các cuộc tấn công như vậy đòi hỏi những người phòng thủ phải có khả
năng dò tìm ra những thay đổi rất chậm trong các dữ liệu và có khả năng căng cờ cảnh báo đối với
các thay đổi như vậy như là đáng ngờ.
Trung tâm An ninh Thông tin George Tech
Viện Nghiên cứu Georgia
www.gtisc.gatech.edu
www.gtri.gatech.edu
Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học và Công nghệ
Trang 22/22
.PDF 
22 
370 
71 
