Thứ Tư, 26 tháng 10, 2016

Làm thế nào để phòng thủ trước cuộc tấn công mạng


Trước các cuộc tấn công ngày càng tinh vi và có chủ đích, nhiều tổ chức, doanh nghiệp bị xâm nhập và gánh chịu thiệt hại tàn khốc là khó tránh khỏi. Các cuộc tấn công mạng xuất hiện ngày càng nhiều, ngày càng nguy hiểm và chi phí để đối phó cũng ngày càng cao. Vậy làm thế nào để phòng thủ trước các cuộc tấn công mạng?
Sự phát triển mạnh mẽ của khoa học - công nghệ, nhất là công nghệ thông tin đã tác động sâu sắc đến đời sống xã hội. Với việc có rất nhiều thành phần trên cùng một không gian mạng như thế sẽ không tránh khỏi việc bị kẻ xấu lợi dụng để tấn công, lấy cắp dữ liệu, thông tin quan trọng. Điều đó làm xuất hiện một loại hình chiến tranh mới trên không gian mạng, hay còn gọi là chiến tranh mạng.
Khái niệm chiến tranh mạng xuất hiện từ những năm cuối thập kỷ 90 của thế kỷ XX, nhưng đến nay vẫn chưa có một khái niệm thống nhất. Một số ý kiến cho rằng, tuy đã xảy ra những cuộc tiến công mạng nhưng ở mức độ thấp, chưa phải là chiến tranh. Bởi nó không trực tiếp gây ra tổn thất về sinh mạng, vật chất cụ thể cho bất cứ bên nào. Tuy nhiên, đa số lại có quan điểm rằng, khi các cuộc tấn công tập trung, dồn dập vào cơ quan chính phủ, gây tổn thất lớn về vật chất, chính trị - tinh thần, quản trị và điều hành thì có thể gọi đó là chiến tranh - kiểu dạng chiến tranh mới, chiến tranh trong tương lai.
Vì thế, để phòng chống và hạn chế tới mức thấp nhất hậu quả của chiến tranh mạng, bản thân mỗi cá nhân, tổ chức phải ý thức được sự an toàn của mình trên không gian mạng. Một trong những việc cần thiết đầu tiên là quản lý chặt chẽ internet, nhất là các trang mạng xã hội mà mỗi người trong chúng ta đều đang sử dụng. Phải khẳng định rằng, phát triển internet đã, đang và sẽ mang lại rất nhiều tiện ích cho đời sống con người, song mặt trái của nó cũng rất phức tạp, tác động sâu sắc đến đời sống, kinh tế, chính trị, tinh thần của cả cộng đồng. Nếu không quản lý chặt, chế tài xử lý không đủ mạnh, sẽ tạo ra những kẽ hở để các thế lực thù địch lợi dụng, thao túng và điều khiển cư dân mạng.

Cuộc tấn công có chủ đích – APT

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc chọn, sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong nhiều tuần, nhiều tháng hoặc nhiều năm cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Một khi vào được trong mạng, tin tặc cố giấu mình để không bị phát hiện trong khi sử dụng một số loại phần mềm độc hại (malware) để đánh cắp thông tin quan trọng và gửi đến nơi khác phân tích rồi bán lại trên thị trường chợ đen.
Các cuộc tấn công APT được tổ chức chặt chẽ, có nguồn lực tài chính và công nghệ dồi dào. Tuy có thể sử dụng các công cụ đột nhập thông thường, nhưng thường thì các cuộc tấn công APT sử dụng phần mềm tùy biến tinh vi khó bị hệ thống bảo mật phát hiện. Các kiểu tấn công APT bao gồm tấn công zero-day, lừa đảo (phishing), malware và tấn công web.
APT nguy hiểm nhưng không phải không có cách chống đỡ, có thể có phương án bảo vệ theo những cách sau:

1. Triển khai phòng thủ theo chiều sâu

Phòng thủ theo chiều sâu hay bảo mật theo lớp không thể thiếu trong chiến lược an ninh mạng, đây là một trong những phương pháp tốt nhất để ngăn chặn cuộc tấn công APT. Nó có nghĩa kiểm soát các điểm ra vào mạng, sử dụng tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), bổ sung hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính chắc chắn, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.

2. Sử dụng các kỹ thuật phát hiện và giám sát

Giám sát chặt chẽ việc kiểm soát an ninh giúp bạn nhận diện các dấu hiệu cảnh báo sớm của một cuộc tấn công APT, thường xuất hiện dưới dạng file log và lưu lượng dữ liệu bất thường, hay các hoạt động bất thường khác. Việc giám sát tất cả lưu lượng ra vào mạng, lưu lượng nội bộ, và tất cả các thiết bị truy cập mạng là hết sức quan trọng. Việc giám sát liên tục không chỉ giúp bạn phát hiện hoạt động đáng ngờ sớm nhất có thể mà còn làm giảm khả năng các cuộc xâm nhập leo thang hoặc kéo dài. Kết quả giám sát còn có thể dùng làm chứng cứ pháp lý nếu cuộc tấn công xảy ra.

3. Sử dụng dịch vụ đánh giá, phân tích mối đe dọa

Một số hãng bảo mật cung cấp dịch vụ đánh giá mối đe dọa, thu thập dữ liệu thô về các mối đe dọa mới xuất hiện từ nhiều nguồn khác nhau, sau đó phân tích và sàng lọc để tạo ra thông tin hữu ích, có thể hành động. Thông tin này thường ở dạng dữ liệu cung cấp cho các hệ thống kiểm soát an ninh, hay các báo cáo phục vụ cho các nhà quản lý CNTT và giám đốc điều hành để giúp họ hiểu được tình hình về các mối đe dọa trong lĩnh vực của mình. Điểm mấu chốt đó là sự tương quan giữa tình hình chung với các mối đe dọa trực tiếp đến với mạng của tổ chức hay doanh nghiệp, giúp cho nhân viên an ninh nhận diện nhanh chóng và giải quyết các mối đe dọa có nguy cơ cao trong thời gian thực.

4. Nâng cao nhận thức bảo mật & lập kế hoạch ứng phó sự cố

Mỗi người cần phải thấu hiểu rủi ro của việc nhấn vào những liên kết không rõ ràng trong email và nhận biết những kỹ thuật lừa đảo sẽ biến họ thành những đối tác trong cuộc chiến chống lại các mối đe dọa bảo mật, giúp bảo vệ mạng và dữ liệu mà họ nắm giữ.
Một kế hoạch ứng phó sự cố hữu hiệu có thể dập tắt cuộc tấn công, giảm thiểu thiệt hại và chặn bớt rò rỉ dữ liệu, giảm thiểu tổn hại uy tín thương hiệu.

Tấn công từ chối dịch vụ (DoS)

Những cuộc tấn công mạng dựa chủ yếu vào các lỗ hổng của phần mềm, của giao thức mạng và của cơ sở hạ tầng. Lỗ hổng phần mềm là do lỗi trong cài đặt các phần mềm mạng (như DNS BIND, HTTP Apache, Telnet, SMTP...). Kẻ tấn công sẽ cố gắng ngăn cản người dùng truy cập thông tin hoặc dịch vụ như email, website, tài khoản trực tuyến (ví dụ như ngân hàng)...
Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó. Tấn công này được được gọi là “phân tán” vì kẻ tấn công sử dụng nhiều máy tính trong đó có cả máy tính bạn để thực hiện tấn công Dos.
Thực sự không có một biện pháp cụ thể nào để tránh trở thành nạn nhân của Dos hay DDos. Tuy nhiên chúng tôi sẽ giới thiệu cho các bạn vài bước với mục đích giảm bớt phần nào kiểu tấn công mà sẽ sử dụng máy tính của bạn đế đi tấn công máy tính khác.
·         Cài đặt và duy trì phần mềm chống virus.
·         Cài đặt tường lửa và cấu hình nó để giới hạn lưu lượng đến và đi từ máy tính của bạn.
·         Làm theo các hướng dẫn thực hành an toàn về phân phối địa chỉ email của bạn.
·         Dùng các bộ lọc email để giúp bạn quản lý lưu lượng không mong muốn.
Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế nhưng với các triệu chứng dưới đây bạn có thể nhận ra của một cuộc tấn công:
·         Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website).
·         Không vào được website bạn vẫn xem.
·         Không thể truy cập đến bất kỳ một website nào.
·         Số lượng thư giác tăng một cách đột biến trong tài khoản của bạn.

Lời kết

Về cơ bản, cách tốt nhất để đối phó với tội phạm mạng là xây dựng một chiến lược bảo vệ dữ liệu. Khi mà công nghệ đang được ứng dụng ở mọi lĩnh vực và mang lại những lợi ích ai cũng thấy rõ, để đảm bảo tính an toàn thì những điều cần thiết mỗi cá nhân hay tổ chức nên biết là phải có thiết bị bảo mật tốt và thường xuyên kiểm tra hệ thống để tránh những lỗi mạng và cảnh báo khi có dấu hiệu tội phạm. Việc chủ động phòng thủ trước các cuộc tấn công mạng là một công việc cần thiết để việc ứng dụng nền tảng công nghệ hiện đại được sử dụng hiệu quả, an toàn.