An ninh Mạng, một cách nhìn !?


Trong khi Công nghệ mạng Internet mang lại nhiều cơ hội phát triển và cạnh tranh mới cho các doanh nghiệp vừa và nhỏ (Small Medium Business ) thì cũng là lúc nó làm dấy lên nhu cầu cần phải Bảo vệ Hệ thống máy tính trước các đe doạ về tấn công.

Theo một cuộc khảo sát được Viện Bảo mật máy tính CSI tiến hành năm 2003, có tới 78% máy tính bị tấn công qua mạng Internet (năm 2000 là 59%). Ngày nay, thậm chí cả những Doanh nghiệp nhỏ nhất cũng cảm thấy họ cần phải thực hiện các hoạt động kinh doanh trực tuyến, và kéo theo đó là nhiều nhân tố cần phải làm để đảm bảo cho mô hình này.

Tuy nhiên, theo Jim Browning, Phó chủ tịch kiêm Giám đốc nghiên cứu SMB của Gartner “Hầu hết các Doanh nghiệp không nhìn nhận đúng mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trong khi đó phải là ưu tiên hàng đầu khi tiến hành các hoạt động Kinh doanh trực tuyến

Nếu không được Bảo vệ đúng mực, mỗi phần của Hệ thống mạng sẽ trở thành mục tiêu tấn công của Tin tặc, của Đối thủ cạnh tranh, hay thậm chí là Các nhân viên bất mãn trong công ty. Mặc dù trong năm 2005 có tới 40% SMB thực hiện Quản lý và Bảo mật mạng và sử dụng Internet nhiều hơn nhưng theo thống kê của Gartner; nhưng hơn một nửa trong số họ thậm chí không biết là mình bị tin tặc tấn công.

Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tài nguyên Internet xuất phát từ cộng đồng nhỏ. Tuy nhỏ, nhưng nhân tố này lại không ngừng lớn mạnh bởi ít có chế tài nào kiềm chế nó một cách hiệu quả; chỉ cần một công cụ tấn công được phát tán lên mạng, là ngay lập tức rất nhiều hệ thống máy tính trở thành mục tiêu tấn công thông qua các lỗ hổng phần mềm vừa được phát tán đó . Những kẻ đứng đằng sau các vụ tấn công này có thể là Hacker, Cracker hoặc “Nội gián“.

Từ đó cho thấy, những đe doạ bảo mật thường thấy là tấn công mạng (công cụ và phương pháp tấn công): Tấn công tâm lý (social engineering), thả Virus, Worm, TrojanSpyware. Những phi vụ tấn công này mang phức tạp, nó thường xuất phát từ động cơ Chính trị, Tài chính hoặc Sở thích khác của một cá nhân nào đó; và rồi thường chỉ nhắm tới một công ty hoặc hệ thống máy tính cụ thể. Mục đích không nằm ngoài ý định Sửa đổi cơ sở dữ liệu, Đánh cắp tài sản, Đánh cắp thông tin cá nhân, Làm cho mình trở nên nổi tiếng hoặc cài đặt các chương trình do thám để cho phép kẻ đột nhập có thể khởi phát các cuộc tấn công từ chính hệ thống máy tính nạn nhân.

  • Phương pháp Tấn công tâm lý “social engineering” thường được sử dụng để đánh cắp thông tin nhạy cảm của doanh nghiệp. Đây là phương pháp tấn công ít tốn sức lực nhất, nhưng lại rất hiệu quả trong nhiều trường hợp. Đôi khi chỉ cần một cú điện thoại, Hacker có thể lấy được thứ mình muốn (hỏi thông tin mật khẩu để nâng cấp hệ thống từ bộ phận hỗ trợ kỹ thuật)
  • Virus, Worm, Trojan, Spyware và các mối đe doạ khác có thể kết hợp cùng nhau để tạo ra nguy cơ lớn đối với sự an toàn của một doanh nghiệp. Những đe doạ này thường tấn công vào một mục tiêu định trước, được tung lên mạng và tìm kiếm lỗ hổng trong hệ thống máy tính nạn nhân để xâm nhập. Virus và Trojan thường đòi hỏi sự tương tác của người dùng mới có thể lây nhiễm, trong khi Worm và Spyware lại không cần (chúng có khả năng tự phát tán qua e-mail để lây nhiễm tới những hệ thống máy tính “kém an toàn” chỉ trong vài giờ, hoặc thậm chí là vài phút).

Các phương pháp tấn công cơ bản

  • Tấn công do thám: Là phương pháp tấn công thu thập thông tin để khởi phát cuộc tấn công thực sự sau này vào mạng lưới.
  • Tấn công truy nhập: Là phương pháp lợi dụng điểm yếu của mạng (thường là lỗi hoặc lỗ hổng bảo mật)
  • Tấn công từ chối dịch vụ: Là phương pháp tấn công mạnh tay nhất hiện nay bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ, gây ra hiện tượng quá tải, khiến máy tính không thể (hoặc khó có thể) truy cập từ bên ngoài.

Vì vậy, Quản trị hệ thống cần phải có đánh giá đúng mực mức của các nguy cơ xâm nhập và phòng ngừa trước các tình huống tấn công có thể xảt ra, để từ đó xây dựng các biện pháp chống trả và bảo vệ hợp lý

Tác động của tấn công đối với Doanh nghiệp

Bảo mật Doanh nghiệp trong môi trường Internet có thể ảnh hưởng trực tiếp tới doanh thu và tình hình kinh doanh của doanh nghiệp. Một cuộc khảo sát của CSI và Đội chống xâm nhập máy tính FBI năm 2003 cho thấy, trong số 75% doanh nghiệp được khảo sát đều cho rằng họ phải gánh chịu thiệt hại về tài chính từ sự cố bảo mật; 47% doanh nghiệp cho biết có thể đánh giá chính xác thiệt hại bảo mật; và 23% cho biết thất thu khoảng 10 triệu USD mỗi năm do các hành vi đột nhập tấn công.

Một thiệt hại khác rất khó đánh giá nhưng lại cực kỳ quan trọng đối với SMB, đó là khoảng thời gian trục trặc về hệ thống (downtime) và thiệt hại sản phẩm do phản ứng chậm chạp đối với sự cố bảo mật. Trong rất nhiều trường hợp, Doanh nghiệp phải tạm thời gỡ bỏ các máy chủ quan trọng, hệ thống desktop và dây chuyền liên quan tới sự cố bảo mật. Tuy phải đối mặt với những thiệt hại tiềm tàng nhưng rất nhiều doanh nghiệp nhỏ vẫn chưa chú trọng tới nguy cơ này

Các biện pháp giảm thiểu rủi ro thường thấy

  • Thuê chuyên gia bảo mật: Hầu hết các Doanh nghiệp đều không có một chuyên gia chuyên trách về bảo mật. Giải pháp thường được chọn là “Kiêm nhiệm” có nghĩa là cùng một lúc người chịu trách nhiệm về bảo mật phải làm nhiều việc khác, khiến họ sao lãng và không có đủ thời gian để thực hiện tốt công tác bảo vệ hệ thống. Vì thề, việc thuê thêm một Chuyên gia bán thời gian là điều các Doanh nghiệp thường làm
  • Kiểm tra bảo mật: Yêu cầu đối tác và nhà cung cấp sản phẩm tiến hành kiểm tra và đánh giá về mức độ an toàn Hệ thống. Việc làm này giúp phát hiện những khoảng cách và thiếu sót về công tác bảo mật của Doanh nghiệp, để từ đó có thể đề ra những biện pháp ngăn chặn và phòng ngừa. Doanh nghiệp có thể sử dụng công cụ Benchmark để kiểm toán bảo mật. Chẳng hạn CIS có cung cấp miễn phí những công cụ Benchmark để đánh giá mức độ bảo mật của hệ điều hành và công cụ phần mềm.
  • Văn bản hoá chính sách bảo mật: Đa phần các công ty nhỏ không đề ra các chính sách bảo mật trên giấy tờ. Thực tế này thường ít xảy ra đối với Doanh nghiệp lớn, đặc biệt có liên quan tới ngành công nghiệp. Những ngành này thường coi văn bản hoá là chính sách bảo mật của toàn công ty và bắt buộc nhân viên phải thi hành
  • Triễn khai các tiêu chuẩn bảo mật Quốc tế ISO 17799: Nhằm bảo đảm các hoạt động đầu tư cho bảo mật là chính xác và hiệu quả. Các Doanh nghiệp cần bảo mật đã chọn làm theo các tiêu chuẩn ISO 17799. Đây là bộ tiêu chuẩn chung xoay quay vấn đề an toàn thông tin của Doanh nghiệp đã được chứng nhận bởi các tập đoàn bảo mật hàng đầu. Thường để triển khai tiêu chí này, các Doanh nghiệp phải thuê các công ty tư vấn và công ty chuyên về Bảo mật triễn khai giúp họ (Doanh nghiệp dạng SMB thì khó làm được chuyện này, vì lý do tài chính)

GIẢI PHÁP ĐỀ NGHỊ

Để giảm thiểu tối đa các nguy cơ tiềm ẩn cho Hệ thống, chúng tôi xin gợi ý một số Giải pháp sau:

1.Tiến hành đánh giá về chính sách bảo mật hiện có (các quy định của công ty về qaủn lý thông tin vào ra)

2.Thực hiện vá lỗi và xây dựng Hệ thống bào mật phù hợp quy mô và trình độ công ty, chúng tôi xin gợi ý một vài Kỹ thuật sau:

  • Kiểm soát truy cập: Xác nhận danh tính và quyết định có cho phép truy cập vào mạng hay không. Việc xác thực có thể thông qua mật khẩu hoặc các biện pháp phức tạp khác như sử dụng thiết bị sinh trắc (quét vân tay hoặc khuôn mặt)
  • Tường lửa: Giải pháp phần mềm hoặc phần cứng giúp ngăn chặn các nỗ lực xâm nhập từ bên ngoài hoặc chỉ cho phép dữ liệu hợp pháp đi vào mạng
  • Quản lý định danh: Nhận dạng người dùng và trạng thái chấp nhận hiện tại; xác định và thi hành quyền truy cập tài nguyên hệ thống và mạng lưới (thông qua Policy công ty)
  • Phát hiện xâm nhập: Là khả năng của phần mềm có thể phân tích hoạt động của mạng, phát hiện hành vi xâm nhập vào gửi thông báo cho người quản trị
  • Ngăn chặn đe doạ: Là việc liên kết nhiều công nghệ bảo mật (tường lửa, phát hiện/bảo vệ xâm nhập) và dịch vụ mạng thông minh để giảm thiếu tác động của những đe doạ đã biết hoặc chưa được biết đến
  • VPN (Virtual Private Network): Mạng riêng ảo cho phép máy tính có thể kết nối (truy cập từ xa) một cách an toàn và bảo mật hơn tới hệ thống mạng doanh nghiệp thông qua mạng Internet

3.Thiết lập các chính sách và quy trình khai thác Tài nguyên công ty phù hợp: quy định quyền sử dụng tài nguyên của từng phòng ban, cá nhân; thiết lập các quy trình khai thác và bảo mật thông tin doanh nghiệp (cần được thể bằng Văn bản và Report công việc, càng rõ càng tốt); hình thành nên các quy trình sử lý sự cố có thể xảy ra (tấn công, tai nạn, hư hỏng vật lý,…); thiết lập các kế hoạch duy trì, bảo dưỡng và nâng cấp hệ thống,…

4.Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên nhằm áp dụng triệt để các quy định về khai thác tài nguyên công ty

Tóm lại, có thể phân ra rất nhiều bước để bảo vệ Doanh nghiệp trước nguy cơ tấn công, việc phòng thủ càng chặt thì chi phí đầu tư càng cao (điều này là khó khăn rất lớn cho các Doanh nghiệp dạng SMB). Nói là như vậy, nhưng nếu Doanh nghiệp SMB không tự bảo vệ mình thì chi phí bỏ ra càng lớn hơn; vì thế các Doanh nghiệp dạng này nên triển khai bảo vệ họ trước các cuộc tấn công thông dụng nhất , và phù hợp nhất (bởi vì không phải trình độ Hacker nào cũng chuyên nghiệp như nhau).

Theo athena.com.vn

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s