Đừng để các cuộc tấn công mạng đốt mọi thứ thành "tro tàn"
An toàn thông tin - Ngày đăng : 22:10, 15/09/2022
Đó là quan điểm nhấn mạnh của ông Lê Công Phú, Phó Giám đốc Trung tâm ứng cứu khẩn cấp không gian mạng (VNCERT/CC) thuộc Cục An toàn thông tin (ATTT) - Bộ TT&TT tại Hội thảo "Tăng cường khả năng phục hồi cho doanh nghiệp (DN) số do công ty HPE Việt Nam phối hợp với các công ty đối tác: Aruba, Zerto, Cohesity, Paloalto tổ chức ngày 15/9.
Các cuộc tấn công mạng có xu hướng leo thang
Theo ông Đỗ Công Phú, để chống lại các cuộc tấn mang hiệu quả nhất hiện nay, giải pháp duy nhất là chúng ta cần tích cực chủ động trước các cuộc tấn công, chuyển từ ứng phó sự cố từ bị động sang chủ động - đó chính là mô hình threat-hunting.
Chúng ta cần áp dụng mô hình này vì hiện nay, các cuộc tấn công mạng ngày càng tinh vi, khó đoán. Nó xảy ra không chỉ đơn lẻ do một một cá nhân, tổ chức tự phát tấn công mà đã liên kết, tập hợp cùng nhau để trở thành mạng lưới tấn công có tổ chức chặt chẽ.
Cụ thể, khi nói về mô hình này, ông Đỗ Công Phú cho biết, threat-hunting săn lùng mối nguy hại và thiết lập, tái tạo ra các quy trình cần thiết để chủ động truy tìm các dấu hiệu liên quan đến hoạt động độc hại trong hệ thống thông tin mà không cần biết trước về các dấu hiệu đó.
Thereat-hunting còn có thêm nhiều điểm tối ưu, đó chính là có khả năng tăng cường sức mạnh tự săn lùng các mối nguy hại từ mã độc mới; tăng khả năng nhận diện tấn công ở các giai đoạn khác nhau của một cuộc tấn công mạng; giảm các cuộc tấn công thành công; giảm thời gian trú ngụ ngay cả khi tấn công thành công; chủ động ứng phó khi sự cố chưa thành công.
Đồng thời, threat-hunting còn truy tìm các dấu hiệu tấn công liên quan đến khai thác lỗ hổng; truy tìm các dấu hiệu tấn công nhằm vào các mục tiêu có giá trị; truy tìm các hoạt động liên quan đến chiến dịch tấn công sử dụng độc hại.
"Thereat-hunting còn tìm kiếm các hoạt động đáng ngờ trên các thiết bị đầu cuối, kết nối (endpoint) và vùng mạng; phân tích các mối đe dọa về cuộc tấn công cho hệ thống giám sát; thu thập tin, dữ liệu khả nghi, kết nối đáng ngờ…", ông Đỗ Công phú nhấn mạnh.
Cần chủ động thêm các hướng tiếp cận phát hiện sớm các mối đe doạ
Ở khía cạnh khác, khi nói về việc đảm bảo an toàn an ninh mạng, hệ thống mạng đối với các đơn vị, người dùng hiện nay, ông Đỗ Công Phú cho rằng, chúng ta đang tồn tại nhiều hạn chế, nhất là việc chủ động trước các cuộc tấn công mạng.
Điển hình về những hạn chế này chính là phần lớn các hoạt động bảo mật chủ yếu mang tính phản ứng, vô tình tạo điều kiện để cho những kẻ thù tinh vi "trú ngụ" không bị phát hiện bên trong hệ thống mạng trong thời gian dài.
"Hơn nữa, các thiết bị bảo mật mạng truyền thống như: Tường lửa; hệ thống ngăn ngừa, phát hiện sự xâm nhập mạng (IPS/IDS) rất khó phát hiện các thông tin liên lạc tấn công được mã hoá…", ông Đỗ Công Phú chỉ rõ.
Cùng với đó, các cuộc tấn công mạng thực sự đang có xu hướng leo thang, trở thành gánh nặng, mối đe dọa ảnh hưởng cho toàn mạng lưới an toàn, an ninh mạng. Đồng thời, các cuộc tấn công mạng không chỉ xảy ra từ bên ngoài hệ thống, nó còn tiềm ẩn các nguy cơ tấn công từ nội bộ, bên trong các hệ thống thông tin.
Chính từ thực tế này, không chỉ các lỗ hổng luôn thường xuyên xuất hiện mà các mã độc mới cũng không ngừng ra đời… do đó, chúng ta cần thường xuyên áp dụng các giải pháp cảnh báo bảo mật an toàn đảm bảo cho các hệ thống an toàn, đặc biệt, cần chủ động thêm các hướng tiếp cận phát hiện sớm các mối đe dọa mà các hệ thống công nghệ thông tin đang gặp phải.
"Đã đến lúc thay vì chúng ta chỉ quan sát các cuộc tấn công thông qua các hệ thống cảnh báo, phó mặc việc đánh chặn tấn công cho hệ thống ngăn chặn xâm nhập, thì chúng ta cần chủ động truy tìm để phát hiện sớm các mối đe dọa an ninh đang tiềm ẩn bên trong hệ thống CNTT của tổ chức", ông Đỗ Công Phú lưu ý.
Cũng theo ông Đỗ Công Phú, khi chúng ta phát hiện sớm kẻ thù trong một cuộc xâm nhập, các tổ chức sẽ giảm được chi phí khắc phục, cũng như biết được họ đang phải đối mặt với những mối nguy hại, đe dọa và mức độ nghiêm trọng mà tổ chức đang gặp phải, từ đó có biện pháp ứng phó thích đáng trước khi trở thành quá muộn.
DN cần chuyển đổi hệ thống bảo mật
Ghi nhận, đánh giá cao các quan điểm của ông Đỗ Công Phú, ông Nguyễn Quang Vinh, Giám đốc Công nghệ HPE Việt Nam cho rằng, những mối đe dọa không gian mạng ở Việt Nam đã và đang thay đổi cả về quy mô, tốc độ, ngày càng tinh vi, khó phát hiện.
Chúng ta không còn ở thời kỳ tường lửa và bảo mật điểm cuối có đủ khả năng ngăn chặn phần mềm độc hại và các cuộc tấn công từ chối dịch vụ (DDoS). Chính vì thế, DN cần chuyển đổi hệ thống bảo mật để đảm bảo "khả năng phục hồi" tối đa - không chỉ để chống lại các mối đe dọa không xác định và tự cải tiến khi bối cảnh các cuộc tấn công thay đổi, mà còn biến bảo mật trở thành một trong những yếu tố giúp tăng tốc kinh doanh trong kỷ nguyên số.
Đặc biệt, theo ông Nguyễn Quang Vinh, DN muốn tăng tốc trong kỷ nguyên số thì việc DN cần mạnh mẽ đầu tư, sử dụng các giải pháp, công nghệ số phải đi đôi, song hành, chủ động với các giải pháp ứng phó trước các cuộc tấn công mạng.
DN cũng cần thay đổi cách nghĩ các cuộc tấn công mạng chỉ xảy ra đối với các đơn vị, DN quy mô, tầm cỡ lớn, còn lại không thuộc nhóm này thì chắc chắn sẽ luôn an toàn, không bị tấn công mạng.
"Đây là một quan điểm cần được thay đổi, đồng thời, các DN cần triển khai sử dụng nhiều giải pháp, sản phẩm bảo vệ trước các cuộc tấn công mạng được đánh giá có chất lượng, uy tín như: HPE Zerto, Zero Trust Aruba…", ông Nguyễn Quang Vinh nhấn mạnh./.