Lượt xem: 5878 | Gửi lúc: 06/07/2011 16:02:34
Bookmark and Share

Virtual patching - Giải pháp mới cho bảo mật web và cơ sở dữ liệu

Tấn công các ứng dụng web hiện chiếm tỷ lệ lớn trong các kiểu tấn công trực tuyến. Mặt khác, do tính phổ dụng của dịch vụ web nên các lỗ hổng bảo mật trong ứng dụng web và cơ sở dữ liệu mà chúng sử dụng cần được xử lý nhanh chóng.

Tuy nhiên, thực hiện điều đó không hề đơn giản và không phải lúc nào cũng khả thi. Để sửa lỗi, đội ngũ cán bộ phát triển cần phân tích vấn đề, lập kế hoạch xử lý, lập trình, kiểm thử và triển khai trên thực tế. Hơn nữa, ngay cả khi tổ chức, doanh nghiệp có mã nguồn và nhân lực để có thể tự sửa lỗi thì việc chỉnh sửa các hệ thống quan trọng cũng có thể gây ra những gián đoạn không thể chấp nhận được (thời gian ngừng hoạt động của hệ thống quá lâu). Trong một số trường hợp, các doanh nghiệp không thể truy cập mã nguồn của ứng dụng web. Với các ứng dụng thương mại, các doanh nghiệp phải đợi nhà cung cấp đưa ra bản vá và sau đó kiểm thử trước khi cập nhật. Thời gian để khắc phục các lỗ hổng bảo mật của ứng dụng web có thể kéo dài đến vài tháng. Với các lỗ hổng bảo mật của cơ sở dữ liệu, thời gian để khắc phục cũng không ngắn hơn. Trong khi đó, các doanh nghiệp còn phải giải quyết vấn đề nhân lực để kiểm thử và nhiều yêu cầu kinh doanh khác nên việc cập nhật các bản vá có thể bị trì hoãn.



Virtual patching (VP) là một giải pháp hữu hiệu cho những khó khăn trên. Bằng cách kết hợp hai quy trình là xác định những lỗ hổng đã biết trong hệ thống và tạo ra các biện pháp ngăn chặn các lỗ hổng đó, VP có khả năng bảo vệ tức thời cho các hệ thống trong khi các bản vá truyền thống chưa xuất hiện. Không những thế, cách làm này còn cho phép các tổ chức lên kế hoạch và thực hiện việc vá hệ thống mà không làm gián đoạn hoạt động vào những thời điểm nhạy cảm.
Với các ứng dụng web, VP có thể được thực hiện bằng cách kết hợp quá trình dò quét ứng dụng web với một Tường lửa ứng dụng web (web application firewall hay WAF). Các lỗ hổng bảo mật được phát hiện là kết quả của việc dò quét sẽ được chuyển đổi thành các “chính sách” của tường lửa ứng dụng web để nó hoạt động như một bản vá ảo, ngăn chặn việc lợi dụng các lỗ hổng đó. Với cơ sở dữ liệu, VP cũng thực hiện theo cách tương tự là kết hợp việc dò quét lỗ hổng bảo mật với tường lửa cho cơ sở dữ liệu. Việc áp dụng VP cho cả ứng dụng web và cơ sở dữ liệu đem lại độ an toàn cao hơn nhiều cho các website với khoảng thời gian ngắn hơn hẳn so với phương pháp vá lỗi truyền thống.
Hiện nay đã có một số nhà cung cấp đưa ra các giải pháp VP khác nhau. Để lựa chọn giải pháp phù hợp, các tổ chức/doanh nghiệp cần lưu ý một số yếu tố sau:
-  Việc ứng dụng VP phụ thuộc vào khả năng kết hợp các tường lửa ứng dụng với các ứng dụng dò quét lỗ hổng của các nhà cung
cấp khác nhau (có thể đã đầu tư từ trước).
-  Các hệ thống dò quét lỗ hổng cần được cập nhật bởi các trung tâm nghiên cứu an ninh có uy tín. Trong khi đó, bảo mật cơ sở dữ liệu là một lĩnh vực tương đối mới nên việc lựa chọn giải pháp không đơn giản như các hệ thống dò quét thông thường và cần được thực hiện một cách chu đáo.
- Với các hệ thống web, khả năng tích hợp virtual patching cho ứng dụng web và cơ sở dữ liệu trên một nền tảng chung sẽ đem lại nhiều lợi thế cho quá trình triển khai và quản trị.Mặc dù đem lại rất nhiều ích lợi nhưng VP không phải là giải pháp thay thế hoàn toàn cho việc vá ứng dụng. Một thay đổi nào đó, dù rất nhỏ của cấu hình mạng có thể khiến cho VP trở thành vô hiệu và lỗ hổng bảo mật của ứng dụng lại lộ ra cho tin tặc lợi dụng. Vì thế, việc áp dụng VP không thay thế cho việc giải quyết tận gốc các lỗ hổng, lập kế hoạch vá hệ thống ngay khi điều kiện cho phép. Để làm được điều đó, các doanh nghiệp không thể bỏ qua các quy trình quản lý vá lỗi hệ thống, từ khâu đánh giá cho đến khi triển khai

Nguyễn Anh Tuấn