Nghiên cứu các trường hợp

Gần đây, nhóm nghiên cứu bảo mật độc lập GRIMM đã bắt đầu xây dựng một trường hợp ví dụ để chứng minh rằng có một rủi ro tiềm ẩn đang được một số lượng lớn các tổ chức bỏ qua. Hai ví dụ có thể được thảo luận công khai là lỗ hổng leo thang đặc quyền (Local Privilege Escalation - LPE) trong Linux và lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) trong sản phẩm phần mềm đồng bộ hóa thời gian doanh nghiệp có tên là Domain Time II. Hai ví dụ này cho thấy khả năng các lỗ hổng bảo mật hiện diện trong các sản phẩm được sử dụng rộng rãi mà không bị phát hiện trong suốt hơn một thập kỷ.

Các lỗ hổng được khai thác để xây dựng Linux LPE ban đầu được công bố vào năm 2006. Việc khai thác cho phép người dùng không có đặc quyền có được quyền truy cập root và nó ảnh hưởng đến một số bản phân phối Linux trong cấu hình mặc định. Lỗ hổng Domain Time II cho phép tin tặc chiếm đoạt quá trình cập nhật để lừa người dùng áp dụng bản cập nhật cài đặt phần mềm độc hại. Lỗ hổng cơ bản đã xuất hiện ít nhất từ năm 2007. Phần mềm này đã được sử dụng trong nhiều lĩnh vực quan trọng như hàng không vũ trụ, quốc phòng, chính phủ, ngân hàng, chứng khoán, sản xuất và năng lượng.

Các chiến lược để giải quyết rủi ro

Có một số cách khác nhau mà các tổ chức có thể cố gắng giải quyết rủi ro về các lỗ hổng không xác định, mỗi cách đều có điểm mạnh và hạn chế riêng. Các tổ chức, doanh nghiệp cần có sự kết hợp của chúng để có độ kiểm soát tối ưu. Thông tin về mối đe dọa chỉ thông báo về các cuộc tấn công sau khi chúng đã xảy ra, thông tin này có thể hữu ích, nhưng nó sẽ không giúp các tổ chức phát hiện sớm được các rủi ro.

Duy trì kiểm kê môi trường là một phần của giải pháp, nhưng nếu không có bảng kiểm kê phần mềm, thì sẽ có nguy cơ bị bỏ sót mọi thứ. Ví dụ: GitLab sử dụng máy chủ web nginx, vì vậy nếu chỉ nhìn thấy GitLab trên danh sách nội dung, người dùng sẽ không thể biết được họ cũng bị ảnh hưởng bởi các lỗ hổng trong nginx.

Để kiểm soát chi phí thường sẽ có các bài kiểm tra thâm nhập truyền thống nhưng nó chỉ được giới hạn trong một hệ thống cụ thể. Những cam kết này rất có giá trị, nhưng sẽ không khả thi nếu có các thử nghiệm thâm nhập chuyên sâu trên từng sản phẩm đơn lẻ mà một tổ chức sử dụng.

Có đội ngũ chuyên gia nghiên cứu bảo mật riêng sẽ có thể giải quyết những thiếu sót của các phương pháp trên, nhóm nghiên cứu sẽ có cái nhìn tổng thể về việc bảo mật của tổ chức, bao gồm bối cảnh của điều gì là quan trọng nhất đối với tổ chức cùng với khả năng tìm hiểu và thực hiện nghiên cứu của họ.

Sự nổi bật của nhóm đảm bảo thông tin

Nhóm đảm bảo thông tin tập trung vào các sản phẩm mà tổ chức phụ thuộc vào. Họ có thể làm việc với nhóm ứng phó sự cố của tổ chức để xem các xu hướng cụ thể cho ngành và tổ chức đó. Các nhà nghiên cứu bảo mật phần mềm cấp cao sẽ cung cấp cái nhìn cần thiết để biết vị trí có khả năng xuất hiện các lỗ hổng, vì vậy, các nỗ lực tập trung vào các thành phần có nhiều khả năng tiềm ẩn rủi ro nhất. Nhóm cũng nên bao gồm ít nhất một người có kinh nghiệm lập mô hình mối đe dọa để có thể nhanh chóng xác định thành phần nào gây ra rủi ro lớn nhất cho tổ chức.

Có các kỹ năng đa dạng là rất quan trọng đối với sự thành công của các nhóm đảm bảo thông tin. Nhiệm vụ của họ là phát hiện và giảm thiểu những rủi ro tiềm ẩn này. Họ cần tự do hoạt động theo cách tận dụng thời gian của mình một cách tốt nhất. Tổ chức sẽ dựa vào đánh giá chuyên môn để xác định nên xem xét những hệ thống nào, thiết lập thứ tự mà những hệ thống đó cần được nghiên cứu và khi đã đến lúc ngừng xem xét một phần của hệ thống và chuyển sang phần tiếp theo.

Ngay cả khi có một nhóm đảm bảo thông tin riêng, điều đó không có nghĩa là những nỗ lực khác không còn cần thiết nữa. Hợp tác với các nhóm nghiên cứu bảo mật bên ngoài, kiểm tra thâm nhập, cách ly mạng, sandbox và giảm thiểu khai thác vẫn là những công cụ có giá trị trong bộ công cụ của mỗi tổ chức. Hiểu được những thiếu sót của mỗi công cụ là chìa khóa để xác nhận rằng chúng đang được phân lớp theo cách giúp tổ chức được bảo vệ.