Rob Gurzeev, Giám đốc điều hành và đồng sáng lập của CyCognito, một công ty chuyên về quản lý và bảo vệ bình diện tấn công, lo ngại về những điểm mù. Trong bài báo trên DarkReading “Bảo vệ lâu đài: Lịch sử thế giới có thể dạy cho an ninh mạng một bài học như thế nào?”, Gurzeev đã viết: "Các trận chiến quân sự mang lại những bài học trực tiếp, tôi thấy thường dùng như một lời nhắc nhở rằng tấn công các điểm mù đã là gót chân Achilles của những người bảo vệ một thời gian dài”.
Ví dụ, Gurzeev đề cập đến cuộc bao vây Château Gaillard năm 1204 — lâu đài được cho là không thể xuyên thủng. Sau gần một năm cố gắng không thành, bằng cách nào đó, những kẻ tấn công đã xác định được nhà vệ sinh và hệ thống cống rãnh được bảo vệ kém. Các kế hoạch đã được thực hiện và vào đêm tiếp theo, một “đội đặc nhiệm” thời trung cổ đã chui qua hệ thống cống rãnh, xâm nhập vào, đốt cháy các mục tiêu bên trong lâu đài và trong một thời gian ngắn lâu đài đã thất thủ.
"Những kẻ tấn công an ninh mạng ngày nay cũng tuân theo nguyên tắc này", Gurzeev viết. "Các công ty thường có một số lượng lớn tài sản CNTT bên trong lớp phòng thủ vòng ngoài của họ mà họ không giám sát hoặc bảo vệ và có thể không biết về nó ngay từ đầu".
Ví dụ như các chương trình hoặc thiết bị:
“Nội dung và ứng dụng được tạo hoặc thay đổi liên tục và tốc độ thay đổi rất nhanh và năng động,” Gurzeev nói thêm. "Luôn chú ý đến tất cả những thứ đó là một nhiệm vụ lớn đối với bất kỳ tổ chức an ninh nào".
Tội phạm mạng rất khôn ngoan, không muốn lãng phí thời gian cũng như tiền bạc, tìm cách đơn giản nhất để đạt được mục tiêu của chúng. "Những kẻ tấn công có quyền truy cập vào nhiều công cụ, kỹ thuật và thậm chí cả các dịch vụ có thể giúp tìm ra phần chưa xác định trên bình diện tấn công của tổ chức", Gurzeev nêu rõ. "Tương tự như những kẻ tấn công người Pháp vào thế kỷ 13 ở Château Gaillard, nhưng với sự hấp dẫn của thương vong thấp hơn và chi phí thấp hơn với khả năng thành công cao hơn, những kẻ tấn công thực dụng tìm kiếm bình diện tấn công có thể tiếp cận từ bên ngoài của tổ chức".
Như đã nêu trên, việc bảo vệ hoàn toàn bình diện tấn công mạng của một tổ chức là gần như không thể - một phần do bình diện tấn công là động và một phần do phần mềm và phần cứng thay đổi nhanh như thế nào. Gurzeev giải thích: “Các công cụ thông thường bị cản trở bởi một số thứ mà tôi đã đề cập ở phần đầu: giả định, thói quen và thành kiến. Tất cả các công cụ này đều chỉ tập trung vào nơi chúng được chỉ tới, để lại các tổ chức có những điểm mù không được giải quyết, dẫn đến (những vụ) xâm phạm".
Ở đây Gurzeev đang đề cập đến kiểm thử xâm nhập: "Kiểm thử xâm nhập là một loạt các hoạt động được thực hiện để xác định và khai thác các lỗ hổng bảo mật. Nó giúp xác nhận tính hiệu quả hoặc không hiệu quả của các biện pháp bảo mật đã được triển khai".
Gurzeev lo ngại rằng việc kiểm thử xâm nhập định kỳ thường chọn con đường dễ nhất, gắn với các bình diện tấn công đã biết. Gurzeev giải thích: "Chỉ đánh giá và bảo vệ các phần đã biết của bình diện tấn công đảm bảo rằng những kẻ tấn công sẽ tìm thấy cơ sở hạ tầng mạng, ứng dụng hoặc dữ liệu không được bảo vệ có thể cung cấp quyền truy cập không bị cản trở vào các tài nguyên có giá trị". "Thay vào đó, các tổ chức cần dành nhiều nguồn lực hơn để khám phá và giải quyết những ẩn số trong bình diện tấn công bên ngoài của họ".
Thông cáo báo chí của CyCognito (công ty của Gurzeev) công bố kết quả từ một cuộc khảo sát do Informa Tech thực hiện với sự tham gia của 108 nhà quản lý bảo mật và CNTT từ các tổ chức doanh nghiệp với 3.000 nhân viên trở lên trên hơn 16 ngành dọc.
Báo cáo khảo sát "Thực hành không thành công về kiểm thử xâm nhập" đề cập một cách trực diện: "Trong khi các tổ chức đầu tư đáng kể và phụ thuộc nhiều vào kiểm thử xâm nhập để bảo mật, thì phương pháp được sử dụng rộng rãi này không đo lường chính xác tình trạng bảo mật tổng thể hoặc khả năng bị xâm phạm của họ — hai mục tiêu hàng đầu mà các chuyên gia bảo mật và CNTT nêu ra".
Thông cáo báo chí giải thích lý do nhưu sau: "Nghiên cứu cho thấy rằng khi sử dụng thử nghiệm xâm nhập như một phương pháp bảo mật, các tổ chức thiếu khả năng xem xét đầy đủ các tài sản kết nối với Internet của họ, dẫn đến các điểm mù dễ bị khai thác và xâm phạm".
Để có bối cảnh phù hợp, báo cáo đề cập rằng các tổ chức có 3.000 nhân viên trở lên có hơn 10.000 tài sản kết nối internet. Tuy nhiên:
Sau đó, báo cáo liệt kê những mối quan tâm được bày tỏ bởi những người tham gia khảo sát:
Về tần suất thực hiện các cuộc kiểm tra thâm nhập, báo cáo khảo sát nêu rõ;
Có vẻ hợp lý khi giả định điều tồi tệ nhất nếu chỉ các tài sản đã biết được kiểm tra một vài lần trong năm. Gurzeev nói: “Điểm rút ra lớn nhất từ báo cáo này là những gì các tổ chức muốn hoặc đang hy vọng đạt được thông qua kiểm thử xâm nhập và những gì họ đang đạt được là hai điều rất khác nhau. Có rất ít giá trị trong việc kiểm tra định kỳ một phần bình diện tấn công của tổ chức. Trừ khi liên tục phát hiện và kiểm tra toàn bộ bình diện tấn công bên ngoài của mình, nếu không thì sẽ không có hiểu biết tổng thể về mức độ an toàn của tổ chức mình".
Theo Gurzeev, điểm mấu chốt là nếu một tổ chức có một đường dẫn “tối" (không được biết tới) có thể hấp dẫn tội phạm mạng, chúng sẽ tìm và khai thác nó. Ông nói thêm "Có lẽ các bức tường và vàng đai tổ chức được bảo vệ cẩn thận trong khi một lối đi rộng mở, không có người giám sát lại tồn tại ngay dưới chân".
Nguyễn Anh Tuấn
17:00 | 12/07/2021
18:00 | 19/03/2021
09:00 | 25/11/2022
15:00 | 14/12/2022
08:00 | 23/09/2016
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
Chuyên gia bảo mật Jan Michael Alcantara của nhà cung cấp giải pháp an ninh mạng Netskope (Mỹ) cho biết, họ đã phát hiện ra một biến thể mới của mã độc NodeStealer đang tấn công các tài khoản Facebook Ads Manager.
13:00 | 03/12/2024