An ninh thông tin mạng máy tính: Bài toán không hồi kết

An toàn bảo mật với hệ thống ngành Tài chính đã được lãnh đạo Bộ đặc biệt quan tâm, tuy nhiên, kể cả khi đã đầu tư công nghệ hiện đại, cũng không dám chắc sẽ đảm bảo tuyệt đối an ninh thông tin mạng máy tính. Chính vì thế, việc giải bài toán an ninh thông tin (ANTT), từ đó giúp nắm bắt cách tiếp cận hệ thống, giúp đưa ra chiến lược nhất quán trong mọi tình huống càng trở nên quan trọng hơn hết.  

Ông Phạm Công Minh, Phó Cục trưởng Cục Tin học và Thống kê tài chính (Bộ Tài chính).Ông Phạm Công Minh, Phó Cục trưởng Cục Tin học và Thống kê tài chính (Bộ Tài chính).

Đây là khẳng định của ông Phạm Công Minh, Phó Cục trưởng Cục Tin học và Thống kê tài chính (Bộ Tài chính) tại buổi Hội thảo do Công ty F5 tổ chức ngày 18/3 với chủ đề Giảm thiểu rủi ro tấn công mạng và kiến trúc giải pháp DATA CENTRE.

Theo TS. Trịnh Ngọc Minh Công ty ANTT ISePRO, khi nói về ANTT chúng ta thường có cảm giác ANTT rất phức tạp với nhiều thuật ngữ kỹ thuật, ANTT rất quan trọng bởi nếu xảy ra sự cố thì gây thiệt hại rất lớn. Đi kèm với đó, các sản phẩm ANTT thường có hàm lượng công nghệ cao nên khá đắt đỏ trong đầu tư ban đầu và nâng cấp các bản vá lỗi hàng năm. Mặc dù đã đầu tư tốn kém nhưng chúng ta vẫn chưa thể hoàn toàn yên tâm về khả năng đương đầu với các rủi ro trong ANTT của chính công ty mình.

Thực tế, nguy cơ về ANTT là có thật khi mới đây nhất, vào ngày 6/2/2014, ở Mỹ cũng xảy ra tình trạng lộ thông tin khi Fazio và Target cùng bị hack làm lộ 40 triệu thông tin thẻ tín dụng của 70 triệu khách hàng. Hậu quả, chi phí cho việc thay thế 17 triệu thẻ tín dụng đã gây thiệt hại cho công ty 172 triệu USD.

Bằng các thủ thuật lấy thông tin, phá mật khẩu, nghe lén, DDOS, cướp phiên làm việc, tấn công wifi, tấn công Web, tấn công tràn bộ đệm, cho phép vượt tường lửa bằng cách ẩn mình và social engineering - công nghệ tấn công chủ yếu, phổ biến nhất, mang tính chất nền tảng... Các hacker sẽ chia sẻ thông tin, kỹ năng để cùng nhau khám phá những công nghệ mới, giới hạn mới của một sản phẩm mà người thiết kế, sản xuất không dự định trước. Hiện nay, ngoài mục đích “đánh đấm” để ghi điểm, tìm kiếm thách thức, các hacker/cracker đang hình thành một thị trường mua bán và tấn công có chủ đích vào các mã khai thác lỗi cho các hãng sản xuất. Mới đây còn có thêm thị trường thứ 2 là bán mã cho các cơ quan chính phủ để các cơ quan này sử dụng cho mục đích riêng của mình. Điển hình như với các lỗi chưa biết của IOS có thể bán với giá lên tới 250.000 USD, hay mới đây, cuối tháng 12/2013, tổ chức NSA cũng chi ra 25 triệu USD để mua các mã khai thác tại “chợ” của các hacker để phục vụ cho mục đích riêng. Bên cạnh đó, các virus, sâu máy tính, trojan cũng được các hacker cài vào máy tính của người dùng cuối để lấy cắp thông tin cơ sở dữ liệu.

Do đó, chúng ta cần biết đối thủ của mình là ai để đề phòng. Hiện nay, chúng ta có các công nghệ bảo vệ như hệ thống phát hiện tấn công (IDS); Tường lửa - là thành phần quan trọng, cơ bản nhất trong hệ thống quản trị mạng - sẽ giúp kiểm soát các kết nối thông qua chứng thư điện tử và PKI, mô hình an ninh MAC/DAC/RBAC, mã hóa, hệ thống phát hiện mã đội... Tường lửa sẽ phân vùng để kiểm soát, được triển khai giữa 2 hoặc nhiều vùng mạng để giám sát thông tin qua lại. Về cơ bản, tường lửa xem xét thông tin của từng gói tin thông qua các biện pháp lọc gói, lọc nội dung và so sánh với chính sách để đưa ra quyết định cho phép/chặn lại gói tin. Có thể nói vượt tường lửa là cách hacker vô hiệu hóa vai trò của tường lửa bằng cách đi qua trung gian mà tường lửa không cấm, cắt nhỏ gói tin tránh bị tường lửa phát hiện, kết nối qua những kênh không đi qua tường lửa như 3G, wifi, từ đó cài phần mềm gián điệp mở kết nối từ trong hệ thống ra ngoài. Do đó, tường lửa ứng dụng là thành phần ngày càng quan trọng của kiểm soát truy cập. Tường lửa “hiểu”, phân biệt các ứng dụng khác nhau đang trở thành xu hướng phát triển của các thiết bị mạng và ANTT.

An ninh thông tin mạng máy tính: Bài toán không hồi kết ảnh 1
Quang cảnh buổi Hội thảo.

Ngoài ra chúng ta phải có kế hoạch xử lý sự cố theo nguyên tắc chia hệ thống thành các vùng an ninh và kiểm soát tương tác giữa các vùng an ninh. Vùng an ninh có thể là vùng vật lý (phòng máy chủ, khu vực phát triển ứng dụng...), vùng mạng logic (mạng Internet, mạng nội bộ, DMZ...), nơi lưu trữ tài sản thông tin khác nhau (dữ liệu xác thực như máy chủ LDAP, dữ liệu tài chính, dữ liệu khách hàng...), cơ cấu tổ chức doanh nghiệp (nhân sự, tài chính, chi nhánh, quản trị mạng, kiểm định - audit nội bộ...). Như vậy, các biện pháp kiểm soát chính trong ANTT là các chính sách và hành lang kỹ thuật. Do đó, đào tạo nhận thức và trình độ chuyên môn là chìa khóa cho kiểm sóat thành công ANTT.

Mặc dù vậy, việc sử dụng các thiết bị ngoại vị như IPS, IDS, firewall... vẫn có hạn chế với các tấn công khai thác sơ hở của phần mềm ứng dụng. Chỉ 5-7 năm gần đây, người đặt hàng mới quan tâm thực sự với tính năng an ninh của phần mềm. Điều này cho thấy sự quan tâm cần thiết, đúng mức và cao hơn với an ninh khi mua, đặt hàng phát triển, sử dụng, nâng cấp phần mềm.

Bài toán ANTT là dễ nhưng sự cố có thể xảy ra khi rủi ro biến thành hiện thực. Muốn vậy phải giảm thiểu sơ hở. Theo cách tiếp cận hệ thống hóa các “mớ bòng bong” của ANTT từ đó đơn giản hóa các tiêu chí để giải quyết vấn đề. Ngoài các hàng rào kỹ thuật, chúng ta cần áp dụng các công nghệ bảo vệ phi kỹ thuật theo các chuẩn BOBIT, ISO/IEC, PCI DSS, SP 800-53. Có thể nói, an ninh mạng không phải là bài toán có thể giải quyết xong trong một sớm một chiều, thậm chí là không bao giờ chấm dứt. ANTT phải bao gồm cả vấn đề kỹ thuật và chính sách, quy trình khắc phục và thay đổi để tránh tái diễn sự cố.

Theo đại diện của F5 Việt Nam, với việc các ứng dụng liên tục thay đổi, Bộ Tài chính không chỉ cần đầu tư vào tường lửa (Firewall) để ngăn chặn các tấn công từ bên ngoài, quan trọng hơn hết cần xây dựng giải pháp phòng ngừa rủi ro. Cũng qua đây, F5 đã tư vấn giúp Bộ Tài chính các giải pháp công nghệ mới để nâng cao khả năng an toàn an ninh thông tin trong cơ quan.

(T.Hương)