Rob Gurzeev, Giám đốc điều hành và đồng sáng lập của CyCognito, một công ty chuyên về quản lý và bảo vệ bình diện tấn công, lo ngại về những điểm mù. Trong bài báo trên DarkReading “Bảo vệ lâu đài: Lịch sử thế giới có thể dạy cho an ninh mạng một bài học như thế nào?”, Gurzeev đã viết: "Các trận chiến quân sự mang lại những bài học trực tiếp, tôi thấy thường dùng như một lời nhắc nhở rằng tấn công các điểm mù đã là gót chân Achilles của những người bảo vệ một thời gian dài”.
Ví dụ, Gurzeev đề cập đến cuộc bao vây Château Gaillard năm 1204 — lâu đài được cho là không thể xuyên thủng. Sau gần một năm cố gắng không thành, bằng cách nào đó, những kẻ tấn công đã xác định được nhà vệ sinh và hệ thống cống rãnh được bảo vệ kém. Các kế hoạch đã được thực hiện và vào đêm tiếp theo, một “đội đặc nhiệm” thời trung cổ đã chui qua hệ thống cống rãnh, xâm nhập vào, đốt cháy các mục tiêu bên trong lâu đài và trong một thời gian ngắn lâu đài đã thất thủ.
"Những kẻ tấn công an ninh mạng ngày nay cũng tuân theo nguyên tắc này", Gurzeev viết. "Các công ty thường có một số lượng lớn tài sản CNTT bên trong lớp phòng thủ vòng ngoài của họ mà họ không giám sát hoặc bảo vệ và có thể không biết về nó ngay từ đầu".
Ví dụ như các chương trình hoặc thiết bị:
“Nội dung và ứng dụng được tạo hoặc thay đổi liên tục và tốc độ thay đổi rất nhanh và năng động,” Gurzeev nói thêm. "Luôn chú ý đến tất cả những thứ đó là một nhiệm vụ lớn đối với bất kỳ tổ chức an ninh nào".
Tội phạm mạng rất khôn ngoan, không muốn lãng phí thời gian cũng như tiền bạc, tìm cách đơn giản nhất để đạt được mục tiêu của chúng. "Những kẻ tấn công có quyền truy cập vào nhiều công cụ, kỹ thuật và thậm chí cả các dịch vụ có thể giúp tìm ra phần chưa xác định trên bình diện tấn công của tổ chức", Gurzeev nêu rõ. "Tương tự như những kẻ tấn công người Pháp vào thế kỷ 13 ở Château Gaillard, nhưng với sự hấp dẫn của thương vong thấp hơn và chi phí thấp hơn với khả năng thành công cao hơn, những kẻ tấn công thực dụng tìm kiếm bình diện tấn công có thể tiếp cận từ bên ngoài của tổ chức".
Như đã nêu trên, việc bảo vệ hoàn toàn bình diện tấn công mạng của một tổ chức là gần như không thể - một phần do bình diện tấn công là động và một phần do phần mềm và phần cứng thay đổi nhanh như thế nào. Gurzeev giải thích: “Các công cụ thông thường bị cản trở bởi một số thứ mà tôi đã đề cập ở phần đầu: giả định, thói quen và thành kiến. Tất cả các công cụ này đều chỉ tập trung vào nơi chúng được chỉ tới, để lại các tổ chức có những điểm mù không được giải quyết, dẫn đến (những vụ) xâm phạm".
Ở đây Gurzeev đang đề cập đến kiểm thử xâm nhập: "Kiểm thử xâm nhập là một loạt các hoạt động được thực hiện để xác định và khai thác các lỗ hổng bảo mật. Nó giúp xác nhận tính hiệu quả hoặc không hiệu quả của các biện pháp bảo mật đã được triển khai".
Gurzeev lo ngại rằng việc kiểm thử xâm nhập định kỳ thường chọn con đường dễ nhất, gắn với các bình diện tấn công đã biết. Gurzeev giải thích: "Chỉ đánh giá và bảo vệ các phần đã biết của bình diện tấn công đảm bảo rằng những kẻ tấn công sẽ tìm thấy cơ sở hạ tầng mạng, ứng dụng hoặc dữ liệu không được bảo vệ có thể cung cấp quyền truy cập không bị cản trở vào các tài nguyên có giá trị". "Thay vào đó, các tổ chức cần dành nhiều nguồn lực hơn để khám phá và giải quyết những ẩn số trong bình diện tấn công bên ngoài của họ".
Thông cáo báo chí của CyCognito (công ty của Gurzeev) công bố kết quả từ một cuộc khảo sát do Informa Tech thực hiện với sự tham gia của 108 nhà quản lý bảo mật và CNTT từ các tổ chức doanh nghiệp với 3.000 nhân viên trở lên trên hơn 16 ngành dọc.
Báo cáo khảo sát "Thực hành không thành công về kiểm thử xâm nhập" đề cập một cách trực diện: "Trong khi các tổ chức đầu tư đáng kể và phụ thuộc nhiều vào kiểm thử xâm nhập để bảo mật, thì phương pháp được sử dụng rộng rãi này không đo lường chính xác tình trạng bảo mật tổng thể hoặc khả năng bị xâm phạm của họ — hai mục tiêu hàng đầu mà các chuyên gia bảo mật và CNTT nêu ra".
Thông cáo báo chí giải thích lý do nhưu sau: "Nghiên cứu cho thấy rằng khi sử dụng thử nghiệm xâm nhập như một phương pháp bảo mật, các tổ chức thiếu khả năng xem xét đầy đủ các tài sản kết nối với Internet của họ, dẫn đến các điểm mù dễ bị khai thác và xâm phạm".
Để có bối cảnh phù hợp, báo cáo đề cập rằng các tổ chức có 3.000 nhân viên trở lên có hơn 10.000 tài sản kết nối internet. Tuy nhiên:
Sau đó, báo cáo liệt kê những mối quan tâm được bày tỏ bởi những người tham gia khảo sát:
Về tần suất thực hiện các cuộc kiểm tra thâm nhập, báo cáo khảo sát nêu rõ;
Có vẻ hợp lý khi giả định điều tồi tệ nhất nếu chỉ các tài sản đã biết được kiểm tra một vài lần trong năm. Gurzeev nói: “Điểm rút ra lớn nhất từ báo cáo này là những gì các tổ chức muốn hoặc đang hy vọng đạt được thông qua kiểm thử xâm nhập và những gì họ đang đạt được là hai điều rất khác nhau. Có rất ít giá trị trong việc kiểm tra định kỳ một phần bình diện tấn công của tổ chức. Trừ khi liên tục phát hiện và kiểm tra toàn bộ bình diện tấn công bên ngoài của mình, nếu không thì sẽ không có hiểu biết tổng thể về mức độ an toàn của tổ chức mình".
Theo Gurzeev, điểm mấu chốt là nếu một tổ chức có một đường dẫn “tối" (không được biết tới) có thể hấp dẫn tội phạm mạng, chúng sẽ tìm và khai thác nó. Ông nói thêm "Có lẽ các bức tường và vàng đai tổ chức được bảo vệ cẩn thận trong khi một lối đi rộng mở, không có người giám sát lại tồn tại ngay dưới chân".
Nguyễn Anh Tuấn
17:00 | 12/07/2021
18:00 | 19/03/2021
09:00 | 25/11/2022
15:00 | 14/12/2022
08:00 | 23/09/2016
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024