Gửi lúc: 17/08/2018 08:58:27
Bookmark and Share

Làm thế nào để triển khai hiệu quả một chương trình quản lý lỗ hổng bảo mật?

Vụ việc rò rỉ dữ liệu của hãng theo dõi và đánh giá tín dụng Equifax (Mỹ) vào tháng 9/2017 đã khiến 143 triệu người có nguy cơ bị đánh cắp thông tin cá nhân và lừa đảo tài chính. Vụ việc này có thể đã được ngăn chặn nếu hãng Equifax quan tâm đến việc cập nhật bản vá lỗ hổng, bởi 2 tháng trước khi vụ tấn công xảy ra đã có bản vá lỗi, tuy nhiên Equifax không cập nhật kịp thời và tạo kẽ hở thuận lợi cho kẻ tấn công.

Untitled Document

Chương trình quản lý lỗ hổng sẽ trở nên yếu kém nếu không được cập nhật bản vá lỗi kịp thời. Phần dưới đây sẽ trình bày 5 bước để xây dựng một chương trình quản lý lỗ hổng bảo mật hiệu quả.

Bước 1: Đưa ra mục tiêu “thông minh”

Một mục tiêu được coi là “thông minh” nếu có đầy đủ các tính chất sau:

Cụ thể: Mục tiêu cần xác định được những tài nguyên quan trọng nhất trong hệ thống cần được bảo vệ, cũng như những con đường mà kẻ tấn công có thể truy cập hệ thống.

Có thể đo đếm: Mục tiêu phải dễ đo đếm và đánh giá. Ví dụ, thiết lập mục tiêu là 100% các bản vá quan trọng sẽ được cập nhật trong vòng 1 tuần sau khi đưa ra.

Khả thi: Mục tiêu đưa ra không nên quá khó khăn mà cần nằm trong khả năng của đội ngũ thực hiện.

Thực tế: Mục tiêu cần thực tế và dựa trên tài nguyên sẵn có trong môi trường hiện tại.

Ràng buộc về mặt thời gian: Mục tiêu cần có một thời hạn hoàn thành cụ thể, xác định khi nào các tổ chức/doanh nghiệp (TC/DN) sẽ đạt được nó. Điều này sẽ giúp đảm bảo mục tiêu được đặt mức ưu tiên phù hợp cho từng người tham gia thực hiện.

Bước 2: Xếp loại mức độ ưu tiên

Không TC/DN nào có đủ nhân viên để có thể theo dõi đầy đủ tất cả các cảnh báo hàng ngày để xác định những lỗ hổng tiềm ẩn rủi ro cao nhất. Thay vào đó, các nhóm quản trị cần tìm ra những tác động lớn nhất có thể xảy ra đối với TC/DN của mình, nghĩa là phân loại mức độ rủi ro dựa theo giá trị tài sản trong công ty và xác định những phương pháp tấn công khả thi có thể nhắm tới những tài sản đó.

Một giải pháp quản lý lỗ hổng bảo mật có thể được xếp loại mức độ ưu tiên dựa trên các chỉ số đo lường như chỉ số MITRE và CVE, nhằm xác định mức nghiêm trọng của một lỗ hổng bảo mật cũng như kết cấu riêng của tổ chức. Ngoài việc đánh giá các lỗ hổng, để đưa ra giải pháp cần xem xét các vấn đề liên quan sau: phương pháp tấn công khai thác lỗ hổng; khả năng lỗ hổng có thể bị lợi dụng và khai thác; việc khai thác lỗ hổng là dễ hay khó; có cần phải truy cập nội bộ để thực hiện tấn công khai thác lỗ hổng hay không.

Bước 3: Thực hiện vá lỗi (patching)

Khi đã xếp loại mức độ ưu tiên của các lỗ hổng, TC/DN có thể bắt đầu thực hiện các biện pháp vá lỗi, tập trung vào các lỗ hổng nghiêm trọng nhất.

Lúc này, TC/DN cần biết chính xác những thiết bị đang hoạt động trong mạng lưới và yêu cầu các đơn vị cung cấp phần mềm và phần cứng cung cấp những bản vá mới nhất cho các thiết bị mà TC/DN đã mua.
Ngoài ra, trong nhóm quản trị cũng cần có người chịu trách nhiệm cập nhật bản vá mỗi khi có bản vá mới được đưa lên.

Đôi khi việc cập nhật bản vá có thể gây ngắt quãng công việc của TC/DN. Khi đó, TC/DN cần đưa ra một thông báo rằng hệ thống đang bảo trì, đồng thời tìm một giải pháp xử lý tạm thời. Cuối cùng, nếu các nhà cung cấp không còn hỗ trợ và không cập nhật bản vá cho thiết bị đó, thì TC/DN cần phải thay thế các thiết bị này.

Bước 4: Kiểm thử

Việc cập nhật bản vá cho các lỗ hổng là cần thiết, tuy nhiên điều đó cũng có thể làm xuất hiện những rủi ro đi kèm. Các TC/DN cần chắc chắn những bản vá đó thực sự an toàn và hiệu quả bằng cách phải tự phát hiện ra lỗi trên bản vá thông qua việc kiểm thử trước khi những kẻ tấn công tìm ra và khai thác nó.

Xâm nhập mạng thông qua việc kiểm thử cho phép TC/DN xác định liệu bản vá có thể ngăn ngừa được các lỗ hổng bị khai thác hay không. Điều này có thể thực hiện bằng cách sử dụng một giải pháp kiểm tra xâm nhập bởi chính đội ngũ của TC/DN, hoặc thuê tư vấn từ bên ngoài. Một cuộc kiểm thử xâm nhập nên được tiến hành khi có một nâng cấp quan trọng, cập nhật bản vá, hay cài đặt ứng dụng phần mềm mới.

Bước 5: Giám sát

Quản lý lỗ hổng bảo mật là một quá trình thường xuyên bởi có thể TC/DN vừa mới vá xong một vài lỗ hổng có độ rủi ro lớn nhất, thì lại xuất hiện thêm những lỗ hổng khác nghiêm trọng hơn.

Ngoài việc thường xuyên rà soát mạng lưới, TC/DN cần giám sát các thiết bị theo thời gian thực. Sử dụng một giải pháp phát hiện mối đe dọa có thể giám sát mạng lưới theo thời gian thực và đưa ra cảnh báo khi có một thiết bị bị tấn công. Việc này cho phép tắt thiết bị đó trước khi thiệt hại xảy ra. Các TC/DN cần đảm bảo giải pháp phát hiện mối đe dọa và quản lý lỗ hổng bảo mật được phối hợp hiệu quả trong việc giám sát và bảo vệ tài sản trong mạng lưới.

Nhật Minh (lược dịch Tạp chí Cyber Defense số 01/2018)