Rob Gurzeev, Giám đốc điều hành và đồng sáng lập của CyCognito, một công ty chuyên về quản lý và bảo vệ bình diện tấn công, lo ngại về những điểm mù. Trong bài báo trên DarkReading “Bảo vệ lâu đài: Lịch sử thế giới có thể dạy cho an ninh mạng một bài học như thế nào?”, Gurzeev đã viết: "Các trận chiến quân sự mang lại những bài học trực tiếp, tôi thấy thường dùng như một lời nhắc nhở rằng tấn công các điểm mù đã là gót chân Achilles của những người bảo vệ một thời gian dài”.
Ví dụ, Gurzeev đề cập đến cuộc bao vây Château Gaillard năm 1204 — lâu đài được cho là không thể xuyên thủng. Sau gần một năm cố gắng không thành, bằng cách nào đó, những kẻ tấn công đã xác định được nhà vệ sinh và hệ thống cống rãnh được bảo vệ kém. Các kế hoạch đã được thực hiện và vào đêm tiếp theo, một “đội đặc nhiệm” thời trung cổ đã chui qua hệ thống cống rãnh, xâm nhập vào, đốt cháy các mục tiêu bên trong lâu đài và trong một thời gian ngắn lâu đài đã thất thủ.
"Những kẻ tấn công an ninh mạng ngày nay cũng tuân theo nguyên tắc này", Gurzeev viết. "Các công ty thường có một số lượng lớn tài sản CNTT bên trong lớp phòng thủ vòng ngoài của họ mà họ không giám sát hoặc bảo vệ và có thể không biết về nó ngay từ đầu".
Ví dụ như các chương trình hoặc thiết bị:
“Nội dung và ứng dụng được tạo hoặc thay đổi liên tục và tốc độ thay đổi rất nhanh và năng động,” Gurzeev nói thêm. "Luôn chú ý đến tất cả những thứ đó là một nhiệm vụ lớn đối với bất kỳ tổ chức an ninh nào".
Tội phạm mạng rất khôn ngoan, không muốn lãng phí thời gian cũng như tiền bạc, tìm cách đơn giản nhất để đạt được mục tiêu của chúng. "Những kẻ tấn công có quyền truy cập vào nhiều công cụ, kỹ thuật và thậm chí cả các dịch vụ có thể giúp tìm ra phần chưa xác định trên bình diện tấn công của tổ chức", Gurzeev nêu rõ. "Tương tự như những kẻ tấn công người Pháp vào thế kỷ 13 ở Château Gaillard, nhưng với sự hấp dẫn của thương vong thấp hơn và chi phí thấp hơn với khả năng thành công cao hơn, những kẻ tấn công thực dụng tìm kiếm bình diện tấn công có thể tiếp cận từ bên ngoài của tổ chức".
Như đã nêu trên, việc bảo vệ hoàn toàn bình diện tấn công mạng của một tổ chức là gần như không thể - một phần do bình diện tấn công là động và một phần do phần mềm và phần cứng thay đổi nhanh như thế nào. Gurzeev giải thích: “Các công cụ thông thường bị cản trở bởi một số thứ mà tôi đã đề cập ở phần đầu: giả định, thói quen và thành kiến. Tất cả các công cụ này đều chỉ tập trung vào nơi chúng được chỉ tới, để lại các tổ chức có những điểm mù không được giải quyết, dẫn đến (những vụ) xâm phạm".
Ở đây Gurzeev đang đề cập đến kiểm thử xâm nhập: "Kiểm thử xâm nhập là một loạt các hoạt động được thực hiện để xác định và khai thác các lỗ hổng bảo mật. Nó giúp xác nhận tính hiệu quả hoặc không hiệu quả của các biện pháp bảo mật đã được triển khai".
Gurzeev lo ngại rằng việc kiểm thử xâm nhập định kỳ thường chọn con đường dễ nhất, gắn với các bình diện tấn công đã biết. Gurzeev giải thích: "Chỉ đánh giá và bảo vệ các phần đã biết của bình diện tấn công đảm bảo rằng những kẻ tấn công sẽ tìm thấy cơ sở hạ tầng mạng, ứng dụng hoặc dữ liệu không được bảo vệ có thể cung cấp quyền truy cập không bị cản trở vào các tài nguyên có giá trị". "Thay vào đó, các tổ chức cần dành nhiều nguồn lực hơn để khám phá và giải quyết những ẩn số trong bình diện tấn công bên ngoài của họ".
Thông cáo báo chí của CyCognito (công ty của Gurzeev) công bố kết quả từ một cuộc khảo sát do Informa Tech thực hiện với sự tham gia của 108 nhà quản lý bảo mật và CNTT từ các tổ chức doanh nghiệp với 3.000 nhân viên trở lên trên hơn 16 ngành dọc.
Báo cáo khảo sát "Thực hành không thành công về kiểm thử xâm nhập" đề cập một cách trực diện: "Trong khi các tổ chức đầu tư đáng kể và phụ thuộc nhiều vào kiểm thử xâm nhập để bảo mật, thì phương pháp được sử dụng rộng rãi này không đo lường chính xác tình trạng bảo mật tổng thể hoặc khả năng bị xâm phạm của họ — hai mục tiêu hàng đầu mà các chuyên gia bảo mật và CNTT nêu ra".
Thông cáo báo chí giải thích lý do nhưu sau: "Nghiên cứu cho thấy rằng khi sử dụng thử nghiệm xâm nhập như một phương pháp bảo mật, các tổ chức thiếu khả năng xem xét đầy đủ các tài sản kết nối với Internet của họ, dẫn đến các điểm mù dễ bị khai thác và xâm phạm".
Để có bối cảnh phù hợp, báo cáo đề cập rằng các tổ chức có 3.000 nhân viên trở lên có hơn 10.000 tài sản kết nối internet. Tuy nhiên:
Sau đó, báo cáo liệt kê những mối quan tâm được bày tỏ bởi những người tham gia khảo sát:
Về tần suất thực hiện các cuộc kiểm tra thâm nhập, báo cáo khảo sát nêu rõ;
Có vẻ hợp lý khi giả định điều tồi tệ nhất nếu chỉ các tài sản đã biết được kiểm tra một vài lần trong năm. Gurzeev nói: “Điểm rút ra lớn nhất từ báo cáo này là những gì các tổ chức muốn hoặc đang hy vọng đạt được thông qua kiểm thử xâm nhập và những gì họ đang đạt được là hai điều rất khác nhau. Có rất ít giá trị trong việc kiểm tra định kỳ một phần bình diện tấn công của tổ chức. Trừ khi liên tục phát hiện và kiểm tra toàn bộ bình diện tấn công bên ngoài của mình, nếu không thì sẽ không có hiểu biết tổng thể về mức độ an toàn của tổ chức mình".
Theo Gurzeev, điểm mấu chốt là nếu một tổ chức có một đường dẫn “tối" (không được biết tới) có thể hấp dẫn tội phạm mạng, chúng sẽ tìm và khai thác nó. Ông nói thêm "Có lẽ các bức tường và vàng đai tổ chức được bảo vệ cẩn thận trong khi một lối đi rộng mở, không có người giám sát lại tồn tại ngay dưới chân".
Nguyễn Anh Tuấn
17:00 | 12/07/2021
18:00 | 19/03/2021
09:00 | 25/11/2022
15:00 | 14/12/2022
08:00 | 23/09/2016
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
