Monday, 18 June 2018

Trend 5: Cyber security: An ninh mạng

An ninh mạng trong chuyển đổi số
Máy tính hay doanh nghiệp của bạn đã từng bị tấn công hay nhiễm vi-rút chưa? Ai từng trải qua hẳn đều biết nó không chỉ phiền toái mà còn tốn tiền và mất thời gian. Nếu bạn nghĩ chưa bị, bạn có dám chắc không? Nạn nhân của tội phạm mạng không loại trừ ai: cá nhân, công ty, tổ chức công và thậm chí cả chính phủ, với họ, hậu quả thậm chí có thể nghiêm trọng hơn. 
Vào mùa xuân năm 2017, một chương trình được gọi là WannaCry thâm nhập vào các công ty và tổ chức tại 150 quốc gia, khóa truy cập vào các tập tin trên các máy tính bị nhiễm và yêu cầu người dùng phải trả một số tiền nhất định để có được khóa mở. Đây là một phần mềm khổng lồ. Một trong số nạn nhân của Wannacry là NHS (Dịch vụ Y tế Quốc gia Anh). Với nhiều bệnh nhân Anh, điều này nghĩa là việc tham vấn hoặc phẫu thuật của họ đã bị hủy và họ được gửi trả về nhà. Trên quy mô lớn hơn, thiệt hại kinh tế từ cuộc tấn công mạng này ước tính khoảng 4 tỷ đô la Mỹ. Đây chỉ là một ví dụ rõ nhất về tấn công an ninh mạng. 

Định nghĩa 

An ninh mạng (cyber security): 
the state of being protected against the criminal or unauthorized use of electronic data, or the measures taken to achieve this.
tạm dịch 
trạng thái được bảo vệ chống lại tội phạm hay việc sử dụng không được phép các dữ liệu điện tử, hoặc các biện pháp được triển khai để đạt được điều này.

Phân loại tấn công 

Các loại tấn công mạng (cyber attacks). Nguồn: BCG
Có nhiều cách kẻ tấn công sử dụng để truy cập tới máy tính và máy chủ. Chúng ta sẽ nhìn lại một số dạng phổ biến nhất. Dạng tấn công công nghệ tương đối thấp được gọi là lừa đảo (phishing), là một email giả mạo, tin nhắn văn bản hay trang web được tạo, trông giống như từ nguồn hợp pháp. Một số có mục đích thu thập thông tin, nên sẽ yêu cầu bạn nhập chi tiết thẻ tín dụng hoặc xác nhận mật khẩu. Mình hay được "kẻ tự nhận là cán bộ Standard Chartered" gửi email xin số tài khoản để họ chuyển tiền thừa kế của ai đó từ Anh, Mỹ, v.v. Một số có thể sẽ cài đặt phần mềm độc trên máy tính của bạn khi mở tệp đính kèm hoặc nhấp chuột vào đường dẫn. Rồi cũng hay có bạn bè kêu chuyển tiền vì anh/ chị ấy đi du lịch nước ngoài bị mất ví. Rồi email giả danh trường, hội, nhóm, đồng nghiệp, sếp... nhờ bạn trợ giúp. Mình chẳng bao giờ bị lừa vậy đâu phải không? Đừng quá chắc chắn! Một nghiên cứu từ một trường đại học ở Đức phát hiện rằng thực tế 78% người được kiểm tra nhận thức được nguy cơ từ một email không xác định. Tuy nhiên, 45% người tham gia vẫn sẽ nhấp vào liên kết trong email này. Thú vị là khi được yêu cầu, chỉ một nửa trong số đó xác nhận rằng họ đã nhấn vào link. 
Loại tấn công thứ hai là mã độc (malware). Đó là một phần mềm được tải xuống từ email lừa đảo, nhấp vào liên kết từ trang web quảng cáo hoặc thậm chí trực tiếp từ USB. Những phần mềm như vậy được thiết kế để truy cập trái phép vào hệ thống của bạn. Nó có thể thay đổi, xóa hoặc lấy cắp thông tin từ thiết bị của bạn. Nó cũng có khả năng lây lan cho những người dùng khác trên mạng gia đình hoặc công ty bạn. Có nhiều phân loại nhỏ hơn trong mã độc: vi rút, phần mềm gián điệp hoặc phần mềm độc như WannaCry. Rõ ràng chúng không chỉ gây hại cho cá nhân mà còn có khả năng ảnh hưởng đến các công ty có dữ liệu có giá trị cần bảo vệ. 
Loại thứ ba được biết với tên DDoS, từ viết tắt của distributed denial of service (Tấn công từ chối dịch vụ). Trong cuộc tấn công này, một máy chủ trở thành mục tiêu của một số lượng lớn các yêu cầu với mục tiêu cuối cùng là đánh sập nó. Nó khiến bất kỳ trang web nào được lưu trữ trên máy chủ đó hay bất kỳ hệ thống nào dựa vào nó không thể hoạt động nữa. Đây là một dạng tấn công tương đối phức tạp hơn vì hacker cần có quyền truy cập vào nhiều thiết bị bị nhiễm sau đó gửi yêu cầu đồng thời tới máy chủ mục tiêu. Quay lại một chút bài viết về IoT, chúng ta thấy số lượng các thiết bị được kết nối ngày càng tăng và rất nhiều trong số đó không được bảo vệ đủ tốt. Mạng lưới của Starhub - nhà mạng lớn thứ 2 của Singapore tháng 10/2016. Nó hoàn toàn có thể gây hại cho một quốc gia. 
Một loại khác là Brute Force hay Brute Force Attack là hình thức thử mật khẩu đúng sai. Hacker sử dụng phần mềm tự động thử đăng nhập username và password phổ biến nhằm đăng nhập trái phép vào các tài khoản. Không chỉ thế, các chương trình tương tự có thể được sử dụng để chiếm các thông điệp được mã hóa hay dữ liệu tài chính. 
Loại tấn công cuối cùng là sự vi phạm vật lý rõ ràng nhất (physical breach). Hiểu đơn giản như một kẻ xâm nhập trong giờ nghỉ trưa, ngồi trên máy tính đã mở khóa, cài đặt phần mềm độc hại, đánh cắp dữ liệu hoặc gửi email, sau đó bỏ đi. Tuy đơn giản nhưng cực kỳ nguy hiểm!

Xu hướng và động lực 

Kết luận nhất quán trên các báo cáo được công bố trong vài năm qua là các cuộc tấn công đang gia tăng về số lượng. Dell ước tính số lượng phần mềm độc hại tấn công gần gấp đôi trong khoảng thời gian từ năm 2015 đến 2016. Symantec đã phát hiện ra rằng số lần tấn công vào honeypot của họ tăng 80% trong năm 2016. Các cuộc tấn công ngày càng nhắm mục tiêu đến các thiết bị cuối thay vì máy chủ, như máy tính xách tay, điện thoại di động hoặc các thiết bị được kết nối IoT. 
Động lực cho các vụ tấn công mạng: tài chính, gián điệp, cho vui.
Vậy ngành nào bị tấn công nhiều nhất? Tất cả các ngành đều có thể là mục tiêu, và ngành dịch vụ tài chính và khu vực công thường bị nhắm tới nhiều nhất. Chắc cũng phải có gì đó thúc đẩy những kẻ tấn công? Một báo cáo của Verizon đề cập: 70-80% kẻ tấn công là do lợi ích tài chính, 10-20% là hành vi gián điệp, chỉ một phần rất nhỏ (<5%) là ngẫu hứng, cho vui.

Tác động kinh doanh và xã hội 

Hy vọng tới giờ, bạn nhận ra là trường hợp tốt nhất, cuộc tấn công mạng gây ra chút phiền nhiễu. Đa số các trường hợp xấu còn lại, và xấu nhất, nó hoàn toàn có thể phá vỡ cách thức hoạt động hàng ngày của các chính phủ, công ty, tổ chức. An ninh mạng được ước tính là vấn đề tốn kém khoảng 50 tỷ đô. Con số này dự đoán có thể tăng lên 6 nghìn tỷ đô la vào năm 2021. 

An ninh mạng, vấn đề 6 nghìn tỷ đô năm 2021
Không ngạc nhiên khi các công ty đầu tư ngày càng nhiều tiền vào các giải pháp an ninh mạng. Thị trường bảo mật CNTT (IT security) đang tăng trưởng ở mức 10% mỗi năm. Nhưng vẫn không theo kịp với số lượng các mối đe dọa tăng gần gấp đôi mỗi năm. Lại một lần nữa, ta thấy sự không phù hợp điển hình giữa sự tăng trưởng theo cấp số nhân của công nghệ và sự tăng trưởng tuyến tính trong phản ứng của mình. Các doanh nghiệp luôn đánh giá thấp những rủi ro. Nhiều tập đoàn nghĩ rằng "chúng tôi chẳng có dữ liệu có giá trị cao nào để thu hút tin tặc", hay "bọn anh không phụ thuộc nhiều vào CNTT, cũng không kết nối internet mấy", hoặc "Ôi còn bao thứ ngoài kia cần đầu tư em ơi, đầu tư cái này như là mua bảo hiểm ấy, giờ bọn anh không có cần đâu". 
Xin chia sẻ ví dụ của Stuxnet, một phần mềm độc hại được thiết kế để truy cập máy tính trong nhà máy hạt nhân. Nó có khả năng tái tạo chính nó trong bất kỳ thiết bị nào mà nó lây nhiễm và bất kỳ thiết bị nào được kết nối với nó. Các nhà máy hạt nhân có hệ thống khá tốt. Nhưng rồi vào một ngày đẹp trời năm 2010, một số nhân viên sẽ rút thanh USB của mình khỏi máy tính ở nhà bị nhiễm và sử dụng bên trong nhà máy. Phần mềm độc hại sau đó truy cập vào hệ thống SCADA và xâm nhập vào tính năng quá trình làm giàu uranium, phá hỏng chương trình hạt nhân của Iran. 
Ví dụ này cũng cho thấy một trong những khía cạnh bị quên lãng của an ninh mạng. Đây không phải là một thất bại công nghệ thuần túy. Chúng ta có thể giả định an toàn rằng nhà máy hạt nhân có một phần mềm bảo mật tinh vi tại chỗ. Nhưng có lẽ họ đã không tính đến trường hợp một nhân viên sử dụng thanh USB sai chỗ.

Thách thức và giải pháp
An ninh bảo mật không chỉ là vấn đề công nghệ

Và đây là quan sát rút ra trong suốt các ngành. Dù CNTT chỉ đóng góp 28% vào các vụ tấn công và gây tổn thất dữ liệu, nhiều tổ chức sẽ tập trung vào nó và bỏ bê phần người và nhiều thứ khác, như quy trình, tổ chức, nhân sự... Rất nhiều anh chị lãnh đạo trong nhiều tổ chức và thành viên hội đồng quản trị vẫn tin rằng an ninh mạng là một vấn đề của CNTT. 
Giải quyết một cách bền vững rủi ro an ninh mạng đòi hỏi một cách tiếp cận toàn tổ chức, thậm chí có thể là cả hệ sinh thái rộng hơn. Hội đồng quản trị và quản lý cấp cao cần phải nhận thức được rủi ro và chuẩn bị cho nó, bởi đây không phải là câu hỏi có hay không, mà là khi nào công ty mình sẽ trở thành mục tiêu cho tội phạm mạng.

Nguồn

Chuỗi bài về xu hướng công nghệ

Share: