Các nhà nghiên cứu đã khảo sát 647 chuyên gia công nghệ thông tin và an ninh mạng nổi tiếng trên thế giới về những thách thức đang thay đổi của việc bảo mật, quản lý và trải nghiệm người dùng của công nghệ VPN. Chúng bao gồm các rủi ro mà VPN có thể gây ra đối với hình thái bảo mật của tổ chức, quyền truy cập của bên thứ ba và lỗ hổng trước các cuộc tấn công như mã độc tống tiền.
VPN tạo điều kiện thuận lợi cho doanh nghiệp truy cập từ xa vào mạng, tuy nhiên quy mô và mức độ phức tạp ngày càng tăng của các mối đe dọa mạng nhắm vào các dịch vụ VPN vẫn là mối lo ngại đáng kể đối với các nhóm bảo mật. Các tổ chức đang có xu hướng triển khai kiến trúc Zero Trust như một giải pháp thay thế VPN an toàn.
Dưới đây là những phát hiện chính trong báo cáo của Zscaler:
- Các cuộc tấn công VPN đang có xu hướng gia tăng: 56% tổ chức cho biết họ đã từng là nạn nhân của nhiều cuộc tấn công mạng liên quan đến VPN trong năm 2023, tăng 45% so với năm 2022. Điều này nhấn mạnh tần suất ngày càng tăng và mức độ phức tạp của các cuộc tấn công nhắm vào các dịch vụ VPN.
- Nhiều tổ chức chuyển sang kiến trúc Zero Trust: Theo khảo sát, 78% tổ chức cho biết họ đang có kế hoạch triển khai Zero Trust trong vòng 12 tháng tới.
- Rủi ro bảo mật VPN: 91% chuyên gia bày tỏ lo ngại về việc VPN ảnh hưởng đến tính bảo mật trong hệ thống mạng của họ. Những vi phạm gần đây cho thấy rủi ro của việc duy trì cơ sở hạ tầng VPN lỗi thời hoặc chưa được cập nhật bản vá mới. Những người được hỏi đã xác định mã độc tống tiền (42%), phần mềm độc hại (35%) và tấn công từ chối dịch vụ phân tán (30%) là những mối đe dọa hàng đầu khai thác lỗ hổng VPN, nhấn mạnh mức độ rủi ro mà các tổ chức phải đối mặt do điểm yếu cố hữu trong kiến trúc VPN truyền thống.
- Không thể bỏ qua nguy cơ chuyển động ngang hàng: 53% doanh nghiệp bị xâm phạm thông qua các lỗ hổng VPN cho biết các tác nhân đe dọa đã di chuyển ngang hàng trong hệ thống, điều này cho thấy lớp phòng thủ bảo mật đầu tiên để ngăn chặn xâm phạm trong hệ thống mạng đã bị phá vỡ.
- Lo ngại về rủi ro của bên thứ ba: Vì VPN cung cấp quyền truy cập mạng đầy đủ, nên 92% số người được khảo sát bày tỏ lo ngại về các bên thứ ba có quyền truy cập VPN, dẫn đến những rủi ro xâm nhập vào hệ thống mạng của họ.
Nhìn chung, 56% tổ chức đã báo cáo về các cuộc tấn công mạng khai thác lỗ hổng VPN trong năm 2023, đánh dấu mức tăng đáng kể so với năm trước (45%). Trong đó, điều đáng lo ngại hơn nữa là 41% tổ chức cho biết đã gặp phải hai cuộc tấn công liên quan đến VPN trở lên, cho thấy sự tồn tại của các lỗ hổng bảo mật nghiêm trọng cần được chú ý ngay lập tức.
Hình 1. Thống kê các doanh nghiệp đã bị khai thác lỗ hổng VPN trong năm 2023
Sự gia tăng các cuộc tấn công liên quan đến VPN này không phải là không có bối cảnh. Trong năm qua, nhiều lỗ hổng VPN zero-day và mức độ nghiêm trọng cao đã được phát hiện. Xu hướng này đã tiết lộ rằng, từ quan điểm kiến trúc, các hệ thống mạng dựa trên VPN dễ bị tấn công bởi một điểm lỗi duy nhất cho phép các tác nhân đe dọa di chuyển ngang trên mạng và đánh cắp dữ liệu nhạy cảm.
Hình 2. Một chuỗi các lỗ hổng CVE ảnh hưởng đến dịch vụ VPN trong năm 2023
Niềm tin của doanh nghiệp vào tính bảo mật của VPN không được cao. Nhìn chung, 91% công ty bày tỏ lo ngại rằng VPN có thể gây nguy hại và đe dọa an ninh đến tính bảo mật trong hệ thống mạng của họ.
Hình 3. Doanh nghiệp lo ngại VPN là điểm truy cập yếu trong cơ sở hạ tầng công nghệ thông tin
Song song với những lo ngại về bảo mật của VPN, các doanh nghiệp thể hiện sự đồng thuận mạnh mẽ xung quanh việc áp dụng các chiến lược Zero Trust để bảo mật kết nối an toàn. Trên thực tế, 62% doanh nghiệp cho rằng công nghệ VPN không tương thích với Zero Trust và ngay cả việc triển khai VPN qua đám mây cũng không cấu thành kiến trúc Zero Trust.
Hình 4. Quan điểm của doanh nghiệp về sự tương thích của VPN với Zero Trust
Trong khi đó, các doanh nghiệp đang tích cực áp dụng kiến trúc Zero Trust sau khi xuất hiện nhiều cuộc tấn công khai thác lỗ hổng VPN xảy ra, đặc biệt các lỗ hổng nghiêm trọng liên quan đến VPN của hai nhà cung cấp lớn là Ivanti và Palo Alto:
- Ivanti (lỗ hổng CVE-2023-46805 và CVE-2024-21887): Những kẻ tấn công từ xa có thể thực hiện việc bỏ qua xác thực và khai thác chèn lệnh từ xa.
- Lỗ hổng hệ điều hành Palo Alto Networks (CVE-2024-3400): Người dùng không được xác thực đã khai thác hệ điều hành của nhà cung cấp bảo mật để xâm nhập vào mạng. Lỗ hổng này được đánh giá là lỗ hổng nghiêm trọng với điểm CVSS là 10.
Ngoài ra, 78% doanh nghiệp có kế hoạch về Zero Trust trong vòng 12 tháng tới, trong khi 31% hiện đang tích cực triển khai kiến trúc này.
Hình 5. Doanh nghiệp áp dụng kiến trúc Zero Trust
Khi số lượng các lỗ hổng bảo mật liên quan đến VPN tiếp tục gia tăng, các doanh nghiệp nên triển khai nhiều giải pháp bảo mật đồng bộ tương ứng, trong đó có việc xem xét đến mô hình Zero Trust. Qua khảo sát cho thấy, các doanh nghiệp đang có xu hướng xác định Zero Trust như một sự thay thế cho VPN và là một cách để cải thiện cơ bản hình thái bảo mật hệ thống mạng của họ bởi một số lý do sau:
- Giảm thiểu bề mặt tấn công bằng cách làm cho các ứng dụng trở nên vô hình trên Internet, khiến kẻ tấn công khó phát hiện và nhắm mục tiêu hơn.
- Ngăn chặn sự xâm phạm với lưu lượng truy cập nội tuyến, kiểm tra nội dung để phát hiện và chặn hoạt động độc hại, đồng thời bảo vệ tài nguyên khỏi bị truy cập trái phép hoặc đánh cắp dữ liệu.
- Loại bỏ chuyển động ngang bằng cách phân đoạn và kết nối người dùng trực tiếp với các ứng dụng thay vì mạng, do đó hạn chế cơ hội truy cập trái phép và lây lan của kẻ tấn công.
TÀI LIỆU THAM KHẢO |
Hữu Hưng (Tổng hợp)
13:00 | 13/08/2024
08:00 | 08/05/2024
10:00 | 26/04/2024
08:00 | 17/04/2024
14:00 | 02/10/2024
14:00 | 11/10/2024
10:00 | 25/10/2024
10:00 | 19/09/2024
14:00 | 29/11/2024
Sáng ngày 29/11/2024, tại Hà Nội, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị toàn quốc (theo hình thức trực tiếp và trực tuyến) với nội dung trọng tâm tuyên truyền và phổ biến Nghị định số 68/2024/NĐ-CP ban hành ngày 25/6/2024 của Chính phủ. Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ đã tới tham dự và chỉ đạo Hội nghị.
10:00 | 18/10/2024
Chủ tịch UBND TP. Hà Nội yêu cầu việc tái cấu trúc thủ tục hành chính nhằm đơn giản hóa quy trình, tái sử dụng dữ liệu... theo phương châm "một việc một lần làm, hồ sơ nộp một lần".
10:00 | 14/05/2024
Một trong những ưu tiên của Cơ quan Kỹ thuật số Italia giai đoạn hiện nay là triển khai ví ID kỹ thuật số chứa các tài liệu do chính phủ cấp, cũng như tăng tốc và điều chỉnh việc sử dụng AI trong khu vực công.
14:00 | 17/03/2023
Từ ngày 24/02 - 03/3/2023, đoàn công tác của Cục Quản lý xuất nhập cảnh, Bộ Công an do Đại tá Vũ Văn Quân, Phó Cục trưởng làm Trưởng đoàn đã tham dự buổi Lễ chính thức gia nhập Danh mục khóa công khai của Tổ chức Hàng không dân dụng quốc tế (ICAO PKD) tại Canada. Đồng chí Lê Quang Tùng, Phó Cục trưởng Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã tham gia cùng đoàn.
Phần 2 của bài báo trình bày về việc ứng dụng Khung kiểm toán Tokenomics cho Algem, Terra/Luna và Ethereum. Mặc dù vẫn còn một số hạn chế, nhưng khung kiểm toán Tokenomics vẫn góp phần chuẩn hóa và nâng cao tính an toàn trong Tokenomics, hướng tới việc xây dựng một tiêu chuẩn đáng tin cậy cho các hệ thống blockchain công khai dựa trên token.
22:00 | 26/01/2025
Kiểm tra, đánh giá tình hình ứng dụng chữ ký số (CKS) trong hoạt động của cơ quan nhà nước là hoạt động thường xuyên, có ý nghĩa hết sức quan trọng, góp phần thực hiện tốt nhiệm vụ quản lý nhà nước về lĩnh vực CKS chuyên dùng công vụ. Thực hiện Kế hoạch số 638/KH-BCY ngày 13/8/2024 của Ban Cơ yếu Chính phủ (CYCP), Cục Chứng thực số và Bảo mật thông tin (CTS&BMTT) đã chủ trì, tổ chức Đoàn công tác thực hiện kiểm tra, đánh giá tình hình ứng dụng CKS chuyên dùng công vụ trong hoạt động của cơ quan nhà nước tại các tỉnh: Sơn La, Điện Biên, Kiên Giang, Bạc Liêu.
16:00 | 22/01/2025