Bài học kinh nghiệm từ các vi phạm dữ liệu lớn nhất năm 2017

Trong năm 2017, cả thế giới đã chứng kiến hàng loạt các vụ vi phạm dữ liệu cao cấp và đáng sợ nhất chưa từng xảy ra trước đây, ​​với hậu quả vô cùng to lớn, gây thiệt hại không những về uy tín mà cả tính chất pháp lý của những bên liên quan. Có lẽ đây là lý do tại sao ngày càng nhiều tổ chức bắt đầu có nhu cầu tìm hiểm rõ hơn về tác động tiềm ẩn của vi phạm dữ liệu.

Hãy cùng điểm qua những vụ vi phạm dữ liệu lớn nhất năm 2017 để rút ra những bài học kinh nghiệm cho năm 2018 tới đây.

NHS

Năm 2017 là một năm đầy biến động trong an ninh mạng đối với NHS, không chỉ bị tấn công bởi phần mềm ransomware WannaCry, mà người phát ngôn của công ty còn tiết lộ rằng 26 triệu Hồ sơ y tế bệnh nhân đã bị vi phạm.

Theo các nhà phân tích, nguyên nhân sâu xa của vụ vi phạm liên quan đến tùy chọn chia sẻ dữ liệu nâng cao. Nếu tính năng được bật lên, nguồn dữ liệu có thể được truy cập bởi hàng trăm ngàn người dùng khác trên cùng hệ thống. Đây là một tùy chọn khá phổ biến, vì các tổ chức có xu hướng tập trung vào kiểm tra và bảo mật ứng dụng web của họ, nhưng không mở rộng bảo mật này cho các ứng dụng máy tính để bàn của họ.

Các nhà phân tích cho biết, họ thường xuyên tìm thấy các lỗ hổng tương tự khi kiểm tra các ứng dụng máy tính để bàn và các cơ chế giao tiếp hỗ trợ. Bằng cách mở rộng lớp bảo mật tương tự cho cả ứng dụng web và máy tính để bàn, những lỗ hổng như thế này có thể được giảm thiểu.

Equifax

Vào tháng 9 năm 2017, Cơ quan Tham chiếu Tín dụng Equifax đã tiết lộ rằng họ đã phải chịu một sự vi phạm dữ liệu toàn cầu lớn chưa từng có, gây ảnh hưởng đến 143 triệu người tiêu dùng ở Hoa Kỳ và lên tới 400.000 người ở Anh. Tin tặc truy cập thông tin nhạy cảm bao gồm tên, địa chỉ, ngày sinh và số thẻ tín dụng.

Mặc dù tất cả các chi tiết về vi phạm chưa được tiết lộ, dựa trên thông tin công khai, có vẻ như điểm đen ban đầu đến từ một máy chủ web bị ảnh hưởng. Ngay khi lỗ hổng nghiêm trọng xảy ra, một bản vá đã được phát hành, nhưng cũng không ngăn chặn được vụ vi phạm lớn xảy ra vài tháng tiếp theo đó.

Vi phạm này nêu bật tầm quan trọng của việc các tổ chức quản lý và nâng cấp quy trình quản lý lỗ hổng của họ như thế nào, đảm bảo rằng các bản vá quan trọng cho phần mềm và hệ thống được áp dụng càng sớm càng tốt.

Một khuyến cáo được các chuyên gia an ninh mạng đưa ra là: Các tổ chức nên kiểm tra thâm nhập thường xuyên và quét lỗ hổng vào hệ thống quản lý lỗ hổng trung tâm thuộc quy trình Quản trị, Rủi ro và Tuân thủ (GRC) đã được ban hành rộng rãi. Bước cơ bản này có thể giúp giảm thiểu rủi ro của các loại vi phạm xảy ra. Vì rốt cuộc, nếu bạn không nhận thức được các lỗ hổng và rủi ro mà chúng gây ra, làm sao bạn có thể xử lý chúng.

Yahoo

Ngay sau khi vụ vi phạm Equifax được công bố, Yahoo đã tiết lộ rằng vào năm 2013, toàn bộ tài khoản Yahoo trên thế giới đã bị hack. Tổng cộng, ba tỷ tài khoản cho các dịch vụ email, Tumblr, Fantasy và Flickr của Yahoo đã bị xâm phạm và dữ liệu bị bán công khai trên web đen.

Yahoo chưa bao giờ xác nhận hoặc tiết lộ chi tiết về cách thông tin bị xâm phạm. Tuy nhiên, theo các chuyên gia, những loại vi phạm kiểu này thường bắt nguồn từ một lỗ hổng web bị khai thác. Để ngăn chặn hiệu quả, cách duy nhất là sử dụng phần mềm xác định lỗ hổng. Đồng thời, việc đầu tư quy mô cho hệ thống quy trình ứng phó sự cố nhằm xác định các cuộc tấn công đang diễn ra cũng quan trọng không kém.

Uber

Vào tháng 11 năm 2017, nhà cung cấp nổi tiếng Uber đã tiết lộ rằng thông tin cá nhân của 57 triệu khách hàng và tài xế Uber trên toàn thế giới đã bị đánh cắp. Theo The Guardian, Uber trước đây đã che giấu hành vi vi phạm và trả cho tin tặc 100.000 đô la để xóa dữ liệu và giữ im lặng.

Các nhà phân tích tin rằng vi phạm xảy ra do thông tin đăng nhập còn sót lại trong kho Git không được bảo mật đầy đủ. Những kẻ tấn công đã truy cập bằng cách xâm phạm tài khoản của nhà phát triển. Do đó, bài học rút ra là các kho mật mã cần được bảo vệ đầy đủ; đảm bảo thông tin đăng nhập không bao giờ bị bỏ lại trong kho mã hoặc trong kho lưu trữ và đảm bảo rằng tất cả người dùng đang tận dụng xác thực đa yếu tố và đang sử dụng mật khẩu duy nhất cho mọi hệ thống và dịch vụ.

Ngoài ra, điều quan trọng là các kho lưu trữ phải được kiểm toán trước khi công khai. Bất kỳ thông tin nhạy cảm nào, chẳng hạn như mật khẩu và khóa riêng SSH, phải được xóa khỏi mã. Quyền truy cập cũng cần được kiểm tra thường xuyên và được kiểm toán để đảm bảo an ninh - bao gồm cả kho riêng.

Ngoài việc bảo mật thông tin dễ bị tổn thương, truyền thông cũng là chìa khóa quan trọng để chống lại những kẻ vi phạm. Uber đã cố gắng bưng bít các vụ vi phạm, với mục tiêu không gây hoảng hốt cho các khách hàng. Tuy nhiên, theo các nhà phân tích, khiến cho khách hàng của bạn nhận thức được các vụ vi phạm càng sớm càng tốt là phản ứng tốt nhất. Điều này sẽ rất quan trọng khi Quy định bảo vệ dữ liệu chung trở nên có hiệu lực. Theo quy định, các tổ chức phải thông báo vi phạm cho các cơ quan giám sát có liên quan và các bên bị ảnh hưởng trong vòng 72 giờ kể từ khi phát hiện ra, nếu vi phạm bị phạt tới 20 triệu euro hoặc 4% doanh thu trên toàn thế giới, tùy theo mức nào lớn hơn.

Alterx

Công ty phần mềm phân tích dữ liệu Artex cũng là nạn nhân của vụ vi phạm lớn cuối cùng của năm. Theo đó, công ty đã để lại một cơ sở dữ liệu 36 gigabyte trong thùng lưu trữ Dịch vụ web của Amazon. Cơ sở dữ liệu không bảo mật Alterx đã được phát hiện trong quá trình tìm kiếm thường xuyên tại các thùng lưu trữ Dịch vụ web của Amazon, với vi phạm ảnh hưởng đến 123 triệu hộ gia đình ở Hoa Kỳ.

Các lỗ hổng liên quan đến cấu hình như thế này là phổ biến và các thùng lưu trữ AWS chưa được bảo vệ đầy đủ thường là miếng mồi ngon cho tin tặc. Theo tờ The Register, không chỉ các công ty cung cấp dịch vụ, thông tin từ Accdvisor, Verizon, Viacom và quân đội Hoa Kỳ cũng đã vô tình bị bỏ lại trên mạng do cấu hình không chính xác.

Khi lưu trữ thông tin nhạy cảm trong đám mây công cộng, việc thực hiện các biện pháp bảo mật là vô cùng quan trọng. Tất cả các thùng lưu trữ phải được cấu hình chính xác, có quy trình, kiểm tra và cân bằng để đảm bảo rằng các hệ thống có thể hoạt động mà không dễ dàng bị xâm phạm. Mỗi cấu hình phải được kiểm tra đối với các lỗ hổng tiềm ẩn và cách tốt nhất là đảm bảo rằng cấu hình được xem xét ngang hàng trước khi hệ thống hoạt động.

Với những bài học đã được rút ra từ những vụ vi phạm lớn năm 2017, hy vọng năm 2018 sẽ là một năm tươi sáng hơn, và các tổ chức sẽ tránh lặp lại những sai lầm trong quá khứ.

ĐY