Bài học an toàn thông tin qua việc Snowden thâm nhập mạng của NSA

Xu hướng - Dự báo - Ngày đăng : 21:56, 03/11/2015

Làm thế nào mà Edward Snowden thâm nhập được vào mạng của cơ quan An ninh quốc gia Mỹ (NSA), đánh cắp tài liệu rồi sau đó tiết lộ cho báo chí? Câu hỏi này buộc các Giám đốc An toàn thông tin (CSO) phải rất tập trung lưu ý.

Báo New York Times cho biết, trong khi làm việc cho NSA với tư cách nhà thầu, Snowden đã sử dụng mật khẩu của các nhân viên khác, vượt tường lửa và thâm nhập vào hệ thống máy tính mật. Hoạt động trên mạng của Snowden không bị giám sát vì trong vòng vài tháng, NSA đã không kích hoạt phần mềm giám sát vết của các nhân viên trên mạng ở khu vực Hawaii, nơi Snowden làm việc.

Trong khi việc điều tra về Snowden còn tiếp tục, các chuyên gia cho rằng, vậy cũng là quá đủ để các CSO suy nghĩ nghiêm túc về bảo đảm an ninh thông tin cho các hệ thống máy tính chống lại sự xâm nhập từ nội bộ. Quá nhiều mạng được thiết kế để ngăn chặn kẻ tấn công từ bên ngoài nhưng không sức để bắt được hành vi trộm cắp thông tin từ bên trong vì mục đích kinh tế hay để trả thù cho việc không được thăng tiến hay tăng lương.

Zak Dehlawi, kỹ sư ATTT chính của Security Innovation, khuyến cáo: cần dùng hệ thống phát hiện xâm nhập (IDS) dựa trên thống kê để tóm được các hành vi trái phép từ bên trong. Hệ thống như vậy căn cứ các phép đo cơ sở mạng ở trạng thái bình thường và cảnh báo khi có bất kỳ khác biệt nào như tăng hoặc giảm lưu lượng mạng hoặc xuất hiện các địa chỉ IP lạ. Tuy nhiên, các hệ thống này đòi hỏi phải tinh chỉnh liên tục vì những gì bình thường hôm nay sẽ thay đổi theo thời gian. Thậm chí, trong tình huống xấu nhất, nếu phép đo cơ sở được thực hiện đúng khoảng thời gian xảy ra tấn công thì lưu lượng mạng tấn công sẽ được xem là bình thường và không kích hoạt hệ thống IDS.

Kevin Coleman, nhà tư vấn quản lý chiến lược về các vấn đề công nghệ trọng yếu ở công ty dịch vụ CNTT SilverRhino nói: Một công nghệ tương đối mới có thể hữu hiệu được gọi là “mô hình hành vi”. Công nghệ này biết từng nhân viên thường sử dụng hệ thống như thế nào là bình thường và báo cáo tất cả các hành vi bất thường. Tuy nhiên, theo Coleman, công nghệ này chưa chín muồi cho doanh nghiệp. Snowden sử dụng mật khẩu của người khác để truy cập vào mạng máy tính mật không gây ra ngạc nhiên cho các chuyên gia. Nhiều nhân viên doanh nghiệp, kể cả các nhân viên CNTT, chia sẻ mật khẩu với người khác trong cùng đơn vị mình. Paul Martini, giám đốc công ty an ninh mạng IBOSS nói: trong đơn vị CNTT, nhân viên quản trị hệ thống đôi khi chia sẻ mật khẩu của mình cho người muốn truy cập máy chủ. Siết chặt hơn các chính sách bảo vệ mật khẩu, đặc biệt đối với các tài khoản của nhân viên quản trị sẽ cải thiện ATTT. Một kinh nghiệm tốt khác là khoanh vùng mạng và chỉ cho phép mọi người truy cập vào khu vực họ cần để thực hiện công việc của mình.

Về mặt kỹ thuật, các chuyên gia không tin là Snowden đã vượt tường lửa để vào những khu vực nhất định của NSA. Thay vào đó, Snowden có thể đã tìm được một cổng mở đi qua tường lửa hoặc xâm nhập được vào một mạng được mạng khác tin tưởng, Ron Gula, giám đốc công ty an ninh mạng Tenable cho biết.

(TheoCSOonline.com)