Xu hướng bảo mật thông tin cá nhân có làm yếu đi an ninh website?

Thụy Thanh| 21/11/2021 09:00
Theo dõi ICTVietnam trên

Bên cạnh tính tích cực khi thông tin cá nhân của người dùng Internet được bảo vệ, nhiều chuyên gia đang quan ngại về sự thay đổi của các phương pháp xác thực thông thường.

Đa số các chuyên gia trong lĩnh vực an ninh mạng đều nhất trí rằng làn sóng gia tăng bảo vệ quyền riêng tư và an ninh của người tiêu dùng gần đây là một ý tưởng tuyệt vời. Trao quyền cho mỗi cá nhân có thể ngăn chặn việc theo dõi xâm nhập hoạt động trực tuyến của họ là một tiến bộ tích cực và đó là bằng chứng cho thấy một số đại gia công nghệ cuối cùng cũng bắt đầu tôn trọng dữ liệu và trải nghiệm kỹ thuật số của người dùng.

Tuy nhiên, một trong các hệ quả không mong muốn của những biện pháp bảo vệ mới này là những thay đổi đối với các phương pháp nhận dạng phổ biến, ví dụ như theo dõi cookie và dấu vân tay thiết bị, có thể làm sai lệch tỷ lệ thành công của một số phần mềm và công cụ bảo mật được chấp nhận và sử dụng phổ biến nhất, trong số đó có giảm thiểu bot (bot mitigation).

Các doanh nghiệp và nhà cung cấp bảo mật đều cần hiểu rõ hơn những cải tiến về quyền riêng tư này ảnh hưởng như thế nào đến phương thức các công ty xác định lưu lượng truy cập nào là của con người và lưu lượng nào là giả mạo, và từ đó đánh giá tác động lên việc ngăn chặn gian lận trực tuyến.

Vấn đề "dương tính giả"

Theo định nghĩa, dương tính giả là khi phần mềm bảo mật của bạn phân loại không chính xác lưu lượng truy cập hợp pháp của con người là độc hại. Khi nói đến việc giảm thiểu bot, khi các quy tắc càng được điều chỉnh mạnh mẽ, chúng càng dễ bị dương tính giả, bởi vì nó cần nhanh chóng quyết định xem có cấp yêu cầu cho điểm rủi ro không xác định. Do đó, người dùng thực thường vô tình bị chặn khỏi các trang web hoặc cần được cung cấp CAPTCHA để xác thực mới được phép vào.

Không một công ty nào muốn ngăn người dùng hợp pháp truy cập vào website doanh nghiệp của họ, tuy nhiên quá lỏng lẻo trong các biện pháp bảo vệ sẽ dẫn đến lưu lượng truy cập kém, nhưng quá mạnh sẽ tạo ra trải nghiệm người dùng kém và làm giảm chuyển đổi trực tuyến. Các giải pháp lại quá thường xuyên phát sinh lỗi trong trường hợp thứ hai.

Con người ngụy trang

Với sự gia tăng của các biện pháp bảo vệ quyền riêng tư và những cài đặt có thể tùy chỉnh, người dùng hàng ngày có quyền che giấu họ là ai và họ làm gì trên internet. Những thay đổi này đã được ủng hộ rộng rãi bởi người tiêu dùng và những người ủng hộ quyền riêng tư, nhưng trớ trêu thay, việc hướng tới quyền riêng tư hơn trên web thực sự có thể làm tổn hại đến bảo mật tổng thể của cả website.

Xu hướng này vô tình làm trầm trọng thêm các hiện tượng dương tính giả và khiến các giải pháp phụ thuộc vào đánh giá điểm số rủi ro và dựa trên quy tắc truyền thống không đủ khả năng để phát hiện các yêu cầu truy cập tự động, độc hại.

"Vân tay" của thiết bị

Để hiểu tại sao đây là một vấn đề như vậy, trước tiên bạn phải biết cách hoạt động của phần lớn các giải pháp phát hiện bot. Họ chủ yếu dựa vào vân tay của thiết bị để phân tích các thuộc tính của thiết bị và hành vi độc hại. Việc xác định vân tay thiết bị được thực hiện ở phía máy khách và thu thập thông tin như địa chỉ IP, tiêu đề tác nhân người dùng, thuộc tính thiết bị nâng cao (ví dụ: lỗi phần cứng) và mã nhận dạng cookie.

Trong những năm qua, thông tin thu thập được từ vân tay của thiết bị đã trở thành yếu tố chính mà các công cụ phân tích thông tin sử dụng để quyết định xem lưu lượng truy cập là bot hay con người. Theo lý thuyết, vân tay của thiết bị được cho là giống như vân tay thật, mỗi dấu vân tay là duy nhất và có thể dễ dàng nhận dạng người dùng này với người dùng khác.

Công nghệ lấy dấu vân tay đã phát triển bằng cách thu thập ngày càng nhiều thông tin từ phía khách hàng. Nhưng điều gì sẽ xảy ra khi vân tay của thiết bị do con người hiển thị bắt đầu giống vân tay của bot độc hại?

Thật không may, đây là những gì đang xảy ra do xu hướng bảo mật trực tuyến. Bằng chứng về một người dùng hợp pháp có được thông qua các phương pháp lấy dấu vân tay trên thiết bị đang biến mất.

Thật khó để khẳng định rằng tính năng lấy dấu vân tay trên thiết bị vẫn có thể là một công cụ chính xác để bảo vệ khỏi các bot độc hại. 

Dưới đây là một số xu hướng bảo mật trực tuyến đang làm giảm hiệu quả của dấu vân tay kỹ thuật số:

1. Mạng proxy ở khu dân cư

Ai cũng biết rằng các nhà khai thác bot tận dụng các mạng proxy dân cư để che giấu các hoạt động gian lận của họ đằng sau các địa chỉ IP dường như vô hại. Ngoài ra còn có sự gia tăng người dùng hợp pháp vượt ra ngoài các proxy trung tâm dữ liệu truyền thống để ẩn mình sau cùng một loại mạng proxy khu dân cư. Mạng proxy dân cư ngày càng trở nên rẻ hơn, và trong một số trường hợp, miễn phí; chúng cung cấp sự kết hợp dường như vô tận giữa địa chỉ IP và tác nhân người dùng để che giấu hoạt động.

Trong khi một số người dùng này ẩn sau proxy dân cư vì những lý do đáng ngờ, chẳng hạn như để vượt qua quyền truy cập vào nội dung bị hạn chế (ví dụ: hạn chế về địa lý), nhiều người sử dụng nó để thực sự đảm bảo quyền riêng tư của họ khi trực tuyến và bảo vệ dữ liệu cá nhân không bị đánh cắp.

Lưu lượng bởi bot và con người trông giống nhau một cách đáng kể khi ẩn sau proxy dân cư. Bạn không thể dựa vào địa chỉ IP và tác nhân người dùng để phân biệt giữa con người và bot độc hại khi ẩn sau chúng.

2. Chế độ Bảo mật và Trình duyệt riêng tư

Các chế độ duyệt web riêng tư, chẳng hạn như Chế độ ẩn danh của Chrome và Duyệt web riêng tư của Edge, làm giảm mật độ thông tin được lưu trữ về bạn. Các chế độ này thực hiện các biện pháp vừa phải để bảo vệ quyền riêng tư của bạn. Ví dụ: khi bạn sử dụng duyệt web ở chế độ riêng tư, trình duyệt của bạn sẽ không còn lưu trữ lịch sử xem, cookie được chấp nhận hoặc các biểu mẫu đã hoàn thành. Người ta ước tính rằng hơn 46% người Mỹ đã sử dụng chế độ duyệt web riêng tư trong trình duyệt mà họ lựa chọn.

Ngoài ra, các trình duyệt bảo mật, như Brave, Tor, Yandex, Opera và Firefox tùy chỉnh đưa quyền riêng tư trên web lên một tầm cao mới. Họ thêm các lớp bổ sung, chẳng hạn như chặn hoặc lấy dấu vân tay thiết bị ngẫu nhiên, cung cấp tính năng bảo vệ theo dõi (kết hợp với các công cụ tìm kiếm quyền riêng tư như DuckDuckGo để tránh theo dõi lịch sử tìm kiếm) và xóa cookie - khiến trình theo dõi quảng cáo không hiệu quả.

Các trình duyệt bảo mật này chiếm khoảng 10% tổng thị trường hiện nay và ngày càng phổ biến. Họ có đủ thị phần để đưa ra những thách thức lớn đối với các giải pháp phát hiện chống bot dựa vào vân tay thiết bị. Với thị phần tiếp tục được mở rộng, ngày càng rõ ràng rằng nhận dạng thiết bị nâng cao và cookie của bên thứ nhất cũng sẽ sớm không còn hiệu quả trong việc xác định sự khác biệt giữa bot và con người.

3. Theo dõi cookie của bên thứ 3

Sẽ luôn có một tỷ lệ phần trăm đáng kể người dùng Internet không sử dụng các chế độ hoặc trình duyệt bảo mật; nói một cách đơn giản, Google và Microsoft có quá nhiều thị phần. Nhưng ngay cả đối với những người dùng này, việc lấy dấu vân tay thiết bị sẽ ngày càng khó khăn. Ví dụ là do động thái công khai rộng rãi của Google nhằm loại bỏ theo dõi cookie của bên thứ ba. Trong khi đã bị trì hoãn đến năm 2023, động thái này chắc chắn sẽ khiến việc xác định hành vi bị nghi ngờ trở nên khó khăn hơn.

Cookie của bên thứ 3 được thu thập từ quy trình lấy dấu vân tay thiết bị thường được sử dụng như một dấu hiệu nhận biết về tự động hóa do bot điều khiển. Nói cách khác, nếu một phiên truy cập có tập hợp cookie của bên thứ 3 được xác định đã cố gắng thực hiện 100 lần đăng nhập, thì đó là một chỉ báo cho thấy cần phải xác thực lại và thiết lập một phiên mới vì đây không có khả năng là con người.

Cookie của bên thứ 3 đang nhanh chóng trở thành một ngõ cụt khác khi phân biệt giữa con người và lưu lượng truy cập tự động độc hại.

Xu hướng bảo mật thông tin cá nhân có làm yếu đi an ninh website? - Ảnh 1.

Chúng ta sẽ đi đâu từ đây?

Cách thức lưu lượng truy cập được kiểm tra để xác định con người hoặc bot cần phải thích ứng với các tùy chọn quyền riêng tư đang thay đổi của người dùng hàng ngày. Chúng ta không còn dựa hoàn toàn vào dấu vân tay kỹ thuật số, cookie hoặc các công cụ nhận dạng và đo lường truyền thống khác.

Điều này tạo ra một vấn đề thực sự cho các công ty đã thiết lập các quy trình dựa trên các biện pháp bảo vệ này. Nếu thường xuyên chặn lưu lượng truy cập hợp pháp, công ty sẽ phải đối mặt với mối đe dọa thực sự khi đẩy khách hàng của mình đến trang web của đối thủ cạnh tranh. Đồng thời, họ cũng không thể thực hiện cách tiếp cận ngược lại và chỉ cần nới lỏng các quy tắc và hạn chế đến mức bạn đã giúp lưu lượng truy cập dễ dàng hơn - và tạo ra các vấn đề bảo mật cho doanh nghiệp.

Các phương pháp tiếp cận hiện đại cho vấn đề này cần phải phát triển và có tầm nhìn xa hơn những nỗ lực cập nhật hoặc điều chỉnh các phương pháp lấy dấu vân tay kế thừa này và lật ngược cách tiếp cận. Thay vào đó, hãy tìm kiếm bằng chứng rõ ràng, không thể chối cãi về tự động hóa xuất hiện bất cứ khi nào bot tương tác với các trang web, ứng dụng di động hoặc API. Mọi yêu cầu phải tự chứng minh là hợp pháp, thay vì giải pháp bảo mật đang tìm cách xác định xem nó có phải là sai hay không. Ý tưởng áp dụng phương pháp zero-trust để giảm thiểu bot có tầm quan trọng hơn nhiều do những thay đổi trong tùy chọn quyền riêng tư của người dùng. Giả sử lưu lượng truy cập là có tội và sau đó để nó chứng minh sự vô tội trước khi cho phép nó vào hệ thống của bạn. Không cần  đến điểm rủi ro, quy tắc hoặc mã CAPTCHA. Nắm bắt triết lý này sẽ giúp bạn loại bỏ những mặt tích cực và tiêu cực sai lầm chắc chắn xảy ra do sự chuyển dịch sang một trang web riêng tư hơn./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Trên 1 triệu người đăng ký tài khoản “Công dân Thủ đô số”
    Theo thông tin từ Sở Thông tin và Truyền thông Hà Nội, tính đến hết tháng 10/2024, ứng dụng “Công dân Thủ đô số” – iHanoi đã đã có khoảng 14 triệu lượt người dân truy cập khai thác, sử dụng. Tổng số người dùng đăng ký tài khoản trên ứng dụng này lên tới 1.043.724.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Xu hướng bảo mật thông tin cá nhân có làm yếu đi an ninh website?
POWERED BY ONECMS - A PRODUCT OF NEKO