Theo ông, phương pháp tính điểm và phân loại lỗ hổng bảo mật hiện nay phản ánh một hệ thống lạc hậu và không xem xét cách thức hoạt động của tin tặc hiện đại. “Vấn đề là toàn bộ không gian quản lý lỗ hổng vẫn phát triển, nhưng không theo kịp sự thay đổi của các cuộc tấn công”, ông cho hay.
Các cách tiếp cận trong việc tính điểm và phân loại lỗ hổng như hệ thống tính điểm Common Vulnerability Scoring System (CVSS), đã dẫn đến sự quá tập trung vào các đặc điểm cụ thể của các lỗ hổng đơn lẻ mà bỏ qua bối cảnh rộng hơn là mô hình mối đe dọa và tiềm năng của việc khai thác lỗ hổng bảo mật theo chuỗi, có thể gây ra những thiệt hại khó lường. Nói cách khác, hệ thống tính điểm các lỗ hổng với thang điểm từ 0 (lành tính) đến 10 (rất xấu) với việc gắn cờ khác nhau (như có thể khai thác từ xa hoặc tại chỗ) sẽ không xác định được mức độ nguy hiểm thực sự của lỗ hổng trên thực tế.
Ví dụ, với một doanh nghiệp, lý tưởng nhất là nhanh chóng cập nhật bản vá đối với một lỗ hổng thực thi mã từ xa có điểm CVSS cao. Các lỗ hổng có điểm thấp hơn, như các lỗ hổng về leo thang đặc quyền và rò rỉ dữ liệu, có thể sẽ không được xử lý ưu tiên.
Tuy nhiên, tin tặc có thể khai thác lỗ hổng rò rỉ dữ liệu để có thông tin đăng nhập vào hệ thống, sau đó khai thác lỗ hổng leo thang đặc quyền để chiếm quyền điều khiển hệ thống. Do đó, hai lỗ hổng điểm thấp còn có thể có tiềm năng bị khai thác và gây ra hậu quả nghiêm trọng hơn lỗ hổng thực thi mã từ xa.
Theo Rogers, quá trình đánh giá chưa đưa ra cách đối phó với các lỗ hổng này, mà còn đưa người dùng vào cách đánh giá sai lầm khi nhìn vào điểm số của lỗ hổng. Nếu lỗ hổng có điểm thấp thì người dùng sẽ ít phân bổ tài nguyên để xử lý.
Ngoài ra, cần xét tới bối cảnh khai thác một lỗ hổng. Ví dụ, một lỗ hổng cho phép tin tặc hiển thị văn bản trên màn hình sẽ có điểm CVSS rất thấp. Nhưng nếu lỗ hổng đó được khai thác trên màn hình giải trí tại máy bay hoặc biển thông báo của cảnh sát, thì có thể gây ra sự hỗn loạn ngang với việc chiếm quyền kiểm soát hệ thống.
Cũng có trường hợp các lỗ hổng dường như vô hại lại trở thành nguy hiểm khi tin tặc tìm được cách khai thác chúng tốt hơn. Rogers đã chỉ ra cuộc tấn công Rowhammer, trong đó mã độc có thể thay đổi dữ liệu của bộ nhớ. Việc thay đổi một vài bit trong RAM có vẻ không quá nghiêm trọng, nhưng sẽ thực sự nguy hiểm khi lật đúng bit trong bộ nhớ kernel để có được quyền root.
Mặc dù sẽ khó tìm được giải pháp hoàn thiện cho việc đánh giá lỗ hổng, nhưng Rogers tin rằng bước đầu tiên cần làm là có cái nhìn rộng hơn về cách thức phân loại các lỗ hổng. Thay vì chỉ nhìn vào hậu quả tức thời có thể xảy ra của một lỗ hổng, thì cần phải tính đến việc lỗ hổng đó có thể ảnh hưởng gì đối với phần còn lại của hệ thống.
Để làm điều đó, nhân viên an toàn thông tin cần phải mở rộng tầm nhìn của mình và tiếp cận nhiều hơn với các cộng đồng an toàn thông tin. Cách tiếp cận đúng là đánh giá lỗ hổng theo cách người xây dựng hệ thống hoặc nhà điều hành xem xét bối cảnh khai thác của lỗ hổng. Theo Rogers, cần đưa ra một quy trình linh động hơn như sử dụng điểm CVSS nhưng xem xét thêm các yếu tố về hệ thống.
Nguyễn Anh Tuấn
Theo The Register
07:00 | 04/11/2019
11:00 | 06/01/2020
10:00 | 27/04/2020
16:00 | 24/10/2019
15:00 | 21/10/2019
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024