Bùng nổ các thiết bị IoT tỷ lệ thuận với rủi ro tấn công DDoS

Việt Nam từng nằm trong top 3 các quốc gia có các thiết bị IoT bị chiếm quyền

Chia sẻ tại một sự kiện về ATTT được tổ chức mới đây, ông Trịnh Hoài Nam, Trưởng phòng An ninh hạ tầng, Công ty An ninh mạng Viettel, cho biết, DDoS là kiểu tấn công làm cho các dịch vụ online, làm tê liệt hệ thống mạng hay ứng dụng bằng cách làm "tràn ngập" lưu lượng mạng thông qua các hệ thống máy tính bị chiếm quyền điều khiển, và ngăn các truy cập hợp lệ đi qua.

Hiện tại, các kỷ lục về tấn công DDoS trên thế giới liên tục bị phá vỡ, tỷ lệ thuận với số lượng các kết nối IoT. Như tháng 9/ 2016 ghi nhận cuộc tấn công 600 Gbps tấn công vào hạ tầng DNS của các hãng truyền thông lớn ở Bắc Mỹ như BBC, CNN, Twitterr… khiến các trang này đều bị sập, nhưng đến tháng 10/2016, đã ghi nhận cuộc tấn công đến 800 Gbps làm sập toàn bộ Internet của Libria. Các cuộc tấn công năm 2016 này được xuất phát từ lỗ hổng bảo mật của các thiết bị IoT chủ yếu từ Trung Quốc. Năm 2018, một kỷ lục mới về DDoS lại được thiết lập khi tin tặc tấn công vào hạ tầng của Gifthub hay một cuộc DDoS được Arbor Networks thông báo vào một công ty không được tiết lộ lên đến 1,7 Tbps.

Cũng theo ông Nam, các cuộc tấn công DDoS rất dễ được thực hiện, bất kì ai cũng có thể sử dụng các dịch vụ tấn công DDoS với mức giá rẻ mà không cần sở hữu mạng botnet hay không cần kiến thức về ATTT.

Lý giải về quan điểm tại sao cuộc chơi DDoS đã thay đổi, ông Nam cho rằng, do hiện tại đang sống trong kỷ nguyên về IoT, mọi thiết bị ở nhà, ở ngoài đường đều có thể kết nối mạng để giúp cuộc sống chúng ta thuận tiện hơn. Ví dụ các thiết bị camera, ti vi, laptop, điện thoại… thậm chí các ngôi nhà thông minh thì cả các thiết bị đèn điện, điều hòa… cũng có thể kết nối mạng để điều khiển từ xa… "Số lượng thiết bị kết nối Internet tăng chóng mặt nhưng phần nhiều các thiết bị này bảo mật kém, đặc biệt các thiết xuất xứ từ Trung Quốc. Điều này khiến tin tặc dễ dàng chiếm quyền điều khiển để huy động tấn công DDoS nhằm các mục đích khác nhau của chúng", ông Nam chia sẻ.

Chưa kể đến, những năm gần đây, do nền kinh tế có những bước phát triển mạnh mẽ sẽ kéo theo rất nhiều các doanh nghiệp kinh doanh dựa vào các nền tảng trên Internet. Việc cạnh tranh không lành mạnh giữa các đơn vị là đối thủ của nhau hay các đối tượng xấu tấn công các nền tảng trên Internet doanh nghiệp để tống tiền hay vì các mục đích chính trị khác… cũng là 1 trong những nguyên nhân khiến các tấn công DDoS tăng lên

Cần trang bị các thiết bị phát hiện sớm các cuộc tấn công DDoS

Thống kê của Cloudfalre đã cho thấy Việt Nam nằm trong top 3 các quốc gia có các thiết bị IoT bị chiếm quyền được sử dụng để tấn công DDoS nhiều nhất. "Khi bùng nổ về kỷ nguyên IoT thì cũng đồng nghĩa với rủi ro tấn công DDoS sẽ lớn hơn bao giờ hết", ông Nam bày tỏ.

Còn tại Việt Nam, Công ty An ninh mạng Viettel cũng đã ghi nhận các cuộc tấn công lên đến 50 Gbps vào tháng 1/2018 hay mới nhất là vào một tớ báo điện tử với 5 Gbps vào ngày 13/6/2021 làm ảnh hưởng dịch vụ.

Do đó, theo ông Nam, khi bị tấn công DDoS, đặc biệt là các tấn công DDoS băng thông lớn, các doanh nghiệp hay các cơ quan báo chí thường khó có thể chủ động xử lý được vì trong các trường hợp này băng thông đường lên (uplink) kết nối Internet của doanh nghiệp, cơ quan báo chí đã bị nghẽn. Do đó, việc đầu tư các thiết bị chống DDoS bên trong hạ tầng của doanh nghiệp lúc này không hiệu quả. Lúc này các doanh nghiệp, cơ quan báo chí cần có sự hỗ trợ chống DDoS từ hạ tầng của nhà mạng, vì các nhà mạng có hạ tầng lớn hơn rất nhiều và các giải pháp bảo vệ hiệu quả hơn.

Ông Nam cho rằng, một vấn đề mà các doanh nghiệp, cơ quan báo chí thường gặp, đó là khi bị tấn công DDoS với dung lượng tăng dần nhưng lại thường xử lý theo biện pháp chặn lọc hạ tầng mà chưa có sự chuẩn bị trước các kênh, dịch vụ để phối hợp từ phía nhà mạng. Điều này đã dẫn đến việc khi dung lượng tấn công lớn đến ngưỡng làm nghẽn hạ tầng, gây hậu quả nghiêm trọng hơn, mất dịch vụ thì mới phối hợp với nhà mạng. "Vì vậy, việc xử lý thường chậm và gây ảnh hưởng lớn dịch vụ lớn của các đơn vị", ông Nam bày tỏ.

Để hạn chế ảnh hưởng đến dịch vụ của mình, các đơn vị cần xây dựng các hệ thống phát hiện sớm tấn công DDoS trong hạ tầng của của mình, kèm theo các biện pháp chống các tấn công DDoS (ít nhất là các kiểu tấn công về session) như hệ thống tường lửa có tính năng chống DDoS lớp 7, DDoS appliance. "Đồng thời có thể sử dụng dịch vụ chống tấn công DDoS của các nhà mạng để có thể lọc tấn công DDoS volume-based từ nhà mạng", ông Nam nói.

Đối với người dùng cá nhân, theo ông Nam, để các thiết bị của mình không trở thành các botnet, người sử dụng cần: Không mua các thiết bị có nguồn gốc xuất xứ không rõ ràng (các thiết bị chi phí rất rẻ hay các thiết bị có xuất xứ không tin cậy); chỉ cho các thiết bị kết nối mạng khi thực sự cần thiết và nếu có thể tắt bớt các dịch vụ đang được kết nối Internet thừa trên thiết bị; cập nhật thường xuyên về phần mềm và phần cứng (nếu có) từ nhà sản xuất, vì thông thường nhiều bản cập nhật sẽ sửa các lỗi về bảo mật để hạn chế bị tấn công./.