Gửi lúc: 12/10/2017 10:56:17
Bookmark and Share

Nhìn lại tình hình an toàn thông tin trong 6 tháng đầu năm 2017

Hầu hết các doanh nghiệp còn chủ quan trong các vấn đề an ninh mạng và dễ bị tấn công vào các lỗ hổng.

Theo một nghiên cứu mới của Deloitte (tập đoàn chuyên cung cấp dịch vụ nghề nghiệp hàng đầu thế giới), các doanh nghiệp trong lĩnh vực kinh doanh dịch vụ, nhà hàng, các công ty sản xuất hàng tiêu dùng, và một số nhà bán lẻ đều chủ quan với các vấn đề về an ninh mạng. Nghiên cứu này dựa trên việc thu thập dữ liệu đầu vào từ hơn 400 CIO, CISOs, CTOs và các nhà quản lý cấp cao khác về các rủi ro và kế hoạch phản ứng khi có sự cố về an ninh mạng có thể có ảnh hưởng đến an toàn dữ liệu cho khách hàng, các vấn đề về thanh toán, sở hữu trí tuệ, và sự tín nhiệm của khách hàng….

Theo nghiên cứu này, 76% giám đốc điều hành các doanh nghiệp tiêu dùng cho biết họ rất tự tin về khả năng phản ứng lại sự cố an ninh mạng, nhưng khi trả lời về các kế hoạch cụ thể thì câu trả lời của họ như sau: 

• 82% các giám đốc được hỏi cho biết, tổ chức của họ không đưa ra tài liệu và thử nghiệm các kế hoạch ứng phó an ninh không gian mạng với các bên liên quan từ năm 2016 đến nay.

• 46% số người được hỏi cho biết, tổ chức của họ thực hiện các chương trình mô phỏng mối đe dọa an ninh mạng theo từng quý hoặc sáu tháng. 

• 25% số người được hỏi báo cáo thiếu kinh phí đầu tư trong lĩnh vực an ninh mạng.

• 21% số người được hỏi chưa nắm rõ về các nhiệm vụ, vai trò và trách nhiệm về an ninh mạng.

Nghiên cứu cũng cho thấy, các doanh nghiệp còn đánh giá thấp tầm quan trọng về sự tin tưởng của người tiêu dùng trong lĩnh vực an ninh mạng. Trong thực tế, khi gặp các sự cố mạng an ninh mạng hoặc có các mối đe dọa tiềm ẩn, các doanh nghiệp chủ yếu quan tâm đến sự gián đoạn sản xuất (48%) và mất mát về sở hữu trí tuệ (42%), và chỉ có số ít (16%) quan tâm đến uy tín của thương hiệu doanh nghiệp đối với khách hàng. 

Tấn công người đứng giữa đặt lại mật khẩu 

Tấn công người đứng giữa đặt lại mật khẩu (Password Reset Man in the Middle - PRMITM) được mô tả như sau: Những kẻ tấn công thiết lập một trang web độc hại sử dụng quá trình đăng ký tài khoản của người dùng để thực hiện thành công quá trình đặt lại mật khẩu trên một số trang web phổ biến và các ứng dụng nhắn tin trên di động. Cuộc tấn công này khai thác các đặc tính tương tự nhau của quá trình đăng ký tài khoản và đặt lại mật khẩu tài khoản.

Để tiến hành cuộc tấn công, kẻ tấn công chỉ cần kiểm soát một trang web. Sau đó, để lôi kéo nạn nhân lập tài khoản trên trang web này. Để thực hiện việc này, kẻ tấn công có thể cung cấp quyền truy cập miễn phí cho nạn nhân về một tài nguyên nào đó mà họ mong muốn (ví dụ như phần mềm miễn phí). Khi họ bắt đầu quá trình đăng ký tài khoản bằng cách nhập địa chỉ email, kẻ tấn công có thể sử dụng thông tin đó để đặt lại mật khẩu trên một trang web khác sử dụng thông tin đánh cắp làm tên người dùng (ví dụ: Google, YouTube, Amazon, Twitter, LinkedIn, PayPal, ...). Tiếp theo, mỗi yêu cầu đầu vào từ trang web được chuyển tiếp lại cho nạn nhân, và các câu trả lời của họ được chuyển tiếp trở lại trang web cụ thể đó. 

Ví dụ, đối với dạng đặt lại mật khẩu cơ bản yêu cầu sử dụng câu trả lời bí mật. Cuộc tấn công được mô tả như sau:


Chi phí xử lý vi phạm dữ liệu trung bình giảm 10% trên toàn cầu

Chi phí trung bình cho việc xử lý vi phạm dữ liệu trong nửa đầu năm nay là 3,62 triệu USD trên toàn cầu, giảm 10% so với cùng kỳ năm 2016. Đây là lần đầu tiên kể từ khi việc nghiên cứu toàn cầu về vi phạm dữ liệu ra đời, có sự giảm tổng thể về chi phí xử lý vi phạm. Theo nghiên cứu của Viện Ponemon, trung bình những dữ liệu này gây ra tổn thất cho mỗi công ty 141 USD với mỗi bản dữ liệu bị mất hoặc bị đánh cắp.

Trong đó, đối với các quốc gia châu Âu, chi phí xử lý vi phạm dữ liệu giảm 26% so với tổng chi phí của năm ngoái. Điều này một phần là do các doanh nghiệp ở Châu Âu đã hoạt động trong một môi trường được quản lý tập trung hơn. 

Trong khi đó tại Mỹ, các doanh nghiệp thường phải tuân thủ theo những yêu cầu đặc biệt về xử lý vi phạm dữ liệu. Có tới 48 trong số 50 Bang có luật riêng về vấn đề này. Để đáp ứng được những yêu cầu về quy định này sau đó thông báo tới hàng triệu người tiêu dùng có thể là một công việc cực kỳ tốn kém và tốn nhiều công sức. Đây là một trong những lý do chính khiến chi phí xử lý vi phạm dữ liệu ở Mỹ cao hơn so với Châu Âu.

Thiết bị sử dụng trong không gian có thể được thay đổi phù hợp để đảm bảo việc mã hóa dữ liệu an toàn

Trong một nghiên cứu mới đây, các nhà nghiên cứu từ Viện Max Planck ở Erlangen đã chứng minh các phép đo lượng tử trên mặt đất đã được mã hóa và gửi bằng tia laser đến một vệ tinh cách Trái đất 38.000 km. Đây là lần đầu tiên các trạng thái lượng tử được mã hóa và gửi đi xa như thế.

Ngày nay, tin nhắn văn bản, giao dịch ngân hàng và thông tin sức khoẻ đều được mã hóa bằng các kỹ thuật dựa trên các thuật toán toán học. Cách tiếp cận này hiện vẫn an toàn bởi vì rất khó để tìm ra thuật toán chính xác được sử dụng để mã hóa một mẫu dữ liệu nhất định. Tuy nhiên, các chuyên gia dự đoán trong vòng 10 đến 20 năm tới, các máy tính sẽ đủ mạnh để phá được các mã hóa hiện giờ.

Hiện nay, các mối đe dọa an ninh mạng và an toàn thông tin đang nổi lên đã thu hút được nhiều sự chú ý của giới chuyên môn. Tuy nhiên, trong tương lai gần, cần xem xét đến việc áp dụng các kỹ thuật mã hóa mạnh hơn để thay thế các phương pháp mã hóa truyền thống hiện tại, ví dụ như phân phối khóa lượng tử. Thay vì dựa vào toán học, phân bố khóa lượng tử sử dụng các tính chất của các hạt ánh sáng, gọi là trạng thái lượng tử để mã hóa và gửi khóa cần thiết để giải mã dữ liệu được mã hoá. Nếu ai đó cố gắng đo các hạt ánh sáng để ăn cắp khóa, nó sẽ thay đổi hành vi của các hạt đồng thời cảnh báo các bên liên lạc rằng chìa khóa đã bị tổn hại và không nên được sử dụng. Trong thực tế, hệ thống này chính là hệ thống phát hiện kẻ nghe lén, khi đó truyền thông an toàn sẽ được đảm bảo hơn.

Thị trường dịch vụ bảo mật dựa trên đám mây sẽ đạt gần 9 tỷ USSD vào năm 2020

Theo Gartner, các dịch vụ bảo mật dựa trên điện toán đám mây trên toàn thế giới trong thời gian tới vẫn sẽ tăng trưởng mạnh mẽ. Theo dự đoán của các chuyên gia, đến hết năm nay mức tăng trưởng sẽ đạt 5,9 tỷ USD, tăng 21% so với năm 2016. Thị trường các dịch vụ bảo mật dựa trên đám mây sẽ cao hơn so với mức tăng tổng thể của thị trường an toàn thông tin. Theo Gartner ước tính, đến năm 2020 thị trường dịch vụ bảo mật dựa trên đám mây sẽ đạt gần 9 tỷ đô la.

Trong đó, bảo mật email, bảo mật web và công nghệ tích hợp quản lý nhận dạng và truy cập IAM (Integration of identity and access management) vẫn là những ưu tiên hàng đầu của điện toán đám mây. Các dịch vụ chính để giải quyết các ưu tiên này, bao gồm hệ thống giám sát an toàn mạng SIEM (Security information and event management), IAM và một số dịch vụ tiềm năng mới tăng trưởng. Các dịch vụ mới này bao gồm một số dịch vụ như: Khả năng chống lại các mối đe dọa; Các sandbox dựa trên công nghệ điện toán đám mây; Các công nghệ bảo vệ điểm cuối; Mã hóa dựa trên công nghệ điện toán đám mây; Các ứng dụng tường lửa cho Web WAF (Web Application Firewall).

Châu Âu chưa sẵn sàng cho Quy chế chung về quản lý dữ liệu - GDPR

Vanson Bourne đã tiến hành khảo sát 625 các nhà hoạch định chính sách về an toàn thông tin ở bốn quốc gia bao gồm: Vương Quốc Anh, Pháp, Bỉ và Luxemburg. 

Theo kết quả khảo sát thì Vương Quốc Anh vẫn chưa sẵn sàng cho GDPR. Ngoài ra, kết quả này cũng cho thấy 54% doanh nghiệp còn hiểu biết ít hoặc chưa nắm rõ về mức tiền phạt liên quan đến GDPR. Theo đó, các doanh nghiệp không tuân thủ GDPR sẽ phải đối mặt với khoản tiền phạt khổng lồ lên đến 20 triệu Euro hoặc 4% doanh thu hàng năm trong trường hợp có sự vi phạm dữ liệu (tùy theo điều kiện nào tối ưu hơn với doanh nghiệp). 17% trong số các doanh nghiệp được khảo sát, thừa nhận rằng, họ sẽ phải đóng cửa nếu bị phạt. Tỷ lệ này là 54% đối với các doanh nghiệp nhỏ (có dưới 50 người). 

Trò chơi của Google dạy trẻ em về an toàn trực tuyến

Việc giáo dục trẻ về sự an toàn trực tuyến là một thử thách khó khăn đối với nhiều người lớn. Để hỗ trợ trong vấn đề này, Google đã cho ra mắt một chương trình mới mang tên Be Internet Awesome, bao gồm một trò chơi video trực tuyến gọi là Interland, một chương trình giảng dạy trong lớp và một loạt video trên YouTube.

Trò chơi và tài liệu học tập, được thiết kế với sự trợ giúp của các chuyên gia hướng đến đối tượng là trẻ em từ 8 đến 11 tuổi. Interland sẽ dẫn dắt người chơi qua một số hòn đảo nổi, tại đó có những thách thức và câu đố họ phải hoàn thành. Điều đó sẽ giúp những đứa trẻ nhận biết được một số khía cạnh về an toàn trực tuyến.

Các cơ sở dữ liệu không được bảo vệ cho thấy số VIN và thông tin chủ sở hữu của 10 triệu xe ô tô

Một cơ sở dữ liệu có chứa thông tin về 10 triệu xe ô tô được bán ở Mỹ và thông tin cá nhân về chủ sở hữu của họ đã bị đưa lên mạng.

Cơ sở dữ liệu này không được bảo vệ và bị phát hiện bởi các nhà nghiên cứu từ Trung tâm Nghiên cứu An ninh Kromtech, trong đó có chứa ba bộ dữ liệu:

• Chi tiết về xe: Số Nhận dạng Xe (VIN), hãng sản xuất, mẫu mã, mẫu xe, màu xe….

• Chi tiết về bán hàng: VIN, tổng doanh thu, loại trả tiền, số tiền thanh toán hàng tháng, giá mua, loại thanh toán,...

• Chi tiết về khách hàng: Tên đầy đủ, địa chỉ, điện thoại di động / nhà / cơ quan, email, ngày sinh, giới tính, nghề nghiệp.... 

Giám đốc Truyền thông của Kromtech, Bob Diachenko cho biết cơ sở dữ liệu này có thể là tập hợp các dữ liệu tiếp thị dựa trên các trên các đại lý ô tô. 

Việc biết VIN của chiếc xe có thể cho phép tội phạm xe tạo ra các khóa trùng lặp cho nó, và ăn cắp xe mà không cần phải đột nhập vào xe. Cách tiếp cận đặc biệt này được sử dụng bởi các thành viên của câu lạc bộ mô tô dựa trên Tijuana để đánh cắp một số lượng đáng kể xe Jeep Wranglers trong ba năm qua. 

Nhật Minh (Theo [IN]Secure số 54)