Các nhà nghiên cứu đã khảo sát 647 chuyên gia công nghệ thông tin và an ninh mạng nổi tiếng trên thế giới về những thách thức đang thay đổi của việc bảo mật, quản lý và trải nghiệm người dùng của công nghệ VPN. Chúng bao gồm các rủi ro mà VPN có thể gây ra đối với hình thái bảo mật của tổ chức, quyền truy cập của bên thứ ba và lỗ hổng trước các cuộc tấn công như mã độc tống tiền.
VPN tạo điều kiện thuận lợi cho doanh nghiệp truy cập từ xa vào mạng, tuy nhiên quy mô và mức độ phức tạp ngày càng tăng của các mối đe dọa mạng nhắm vào các dịch vụ VPN vẫn là mối lo ngại đáng kể đối với các nhóm bảo mật. Các tổ chức đang có xu hướng triển khai kiến trúc Zero Trust như một giải pháp thay thế VPN an toàn.
Dưới đây là những phát hiện chính trong báo cáo của Zscaler:
- Các cuộc tấn công VPN đang có xu hướng gia tăng: 56% tổ chức cho biết họ đã từng là nạn nhân của nhiều cuộc tấn công mạng liên quan đến VPN trong năm 2023, tăng 45% so với năm 2022. Điều này nhấn mạnh tần suất ngày càng tăng và mức độ phức tạp của các cuộc tấn công nhắm vào các dịch vụ VPN.
- Nhiều tổ chức chuyển sang kiến trúc Zero Trust: Theo khảo sát, 78% tổ chức cho biết họ đang có kế hoạch triển khai Zero Trust trong vòng 12 tháng tới.
- Rủi ro bảo mật VPN: 91% chuyên gia bày tỏ lo ngại về việc VPN ảnh hưởng đến tính bảo mật trong hệ thống mạng của họ. Những vi phạm gần đây cho thấy rủi ro của việc duy trì cơ sở hạ tầng VPN lỗi thời hoặc chưa được cập nhật bản vá mới. Những người được hỏi đã xác định mã độc tống tiền (42%), phần mềm độc hại (35%) và tấn công từ chối dịch vụ phân tán (30%) là những mối đe dọa hàng đầu khai thác lỗ hổng VPN, nhấn mạnh mức độ rủi ro mà các tổ chức phải đối mặt do điểm yếu cố hữu trong kiến trúc VPN truyền thống.
- Không thể bỏ qua nguy cơ chuyển động ngang hàng: 53% doanh nghiệp bị xâm phạm thông qua các lỗ hổng VPN cho biết các tác nhân đe dọa đã di chuyển ngang hàng trong hệ thống, điều này cho thấy lớp phòng thủ bảo mật đầu tiên để ngăn chặn xâm phạm trong hệ thống mạng đã bị phá vỡ.
- Lo ngại về rủi ro của bên thứ ba: Vì VPN cung cấp quyền truy cập mạng đầy đủ, nên 92% số người được khảo sát bày tỏ lo ngại về các bên thứ ba có quyền truy cập VPN, dẫn đến những rủi ro xâm nhập vào hệ thống mạng của họ.
Nhìn chung, 56% tổ chức đã báo cáo về các cuộc tấn công mạng khai thác lỗ hổng VPN trong năm 2023, đánh dấu mức tăng đáng kể so với năm trước (45%). Trong đó, điều đáng lo ngại hơn nữa là 41% tổ chức cho biết đã gặp phải hai cuộc tấn công liên quan đến VPN trở lên, cho thấy sự tồn tại của các lỗ hổng bảo mật nghiêm trọng cần được chú ý ngay lập tức.
Hình 1. Thống kê các doanh nghiệp đã bị khai thác lỗ hổng VPN trong năm 2023
Sự gia tăng các cuộc tấn công liên quan đến VPN này không phải là không có bối cảnh. Trong năm qua, nhiều lỗ hổng VPN zero-day và mức độ nghiêm trọng cao đã được phát hiện. Xu hướng này đã tiết lộ rằng, từ quan điểm kiến trúc, các hệ thống mạng dựa trên VPN dễ bị tấn công bởi một điểm lỗi duy nhất cho phép các tác nhân đe dọa di chuyển ngang trên mạng và đánh cắp dữ liệu nhạy cảm.
Hình 2. Một chuỗi các lỗ hổng CVE ảnh hưởng đến dịch vụ VPN trong năm 2023
Niềm tin của doanh nghiệp vào tính bảo mật của VPN không được cao. Nhìn chung, 91% công ty bày tỏ lo ngại rằng VPN có thể gây nguy hại và đe dọa an ninh đến tính bảo mật trong hệ thống mạng của họ.
Hình 3. Doanh nghiệp lo ngại VPN là điểm truy cập yếu trong cơ sở hạ tầng công nghệ thông tin
Song song với những lo ngại về bảo mật của VPN, các doanh nghiệp thể hiện sự đồng thuận mạnh mẽ xung quanh việc áp dụng các chiến lược Zero Trust để bảo mật kết nối an toàn. Trên thực tế, 62% doanh nghiệp cho rằng công nghệ VPN không tương thích với Zero Trust và ngay cả việc triển khai VPN qua đám mây cũng không cấu thành kiến trúc Zero Trust.
Hình 4. Quan điểm của doanh nghiệp về sự tương thích của VPN với Zero Trust
Trong khi đó, các doanh nghiệp đang tích cực áp dụng kiến trúc Zero Trust sau khi xuất hiện nhiều cuộc tấn công khai thác lỗ hổng VPN xảy ra, đặc biệt các lỗ hổng nghiêm trọng liên quan đến VPN của hai nhà cung cấp lớn là Ivanti và Palo Alto:
- Ivanti (lỗ hổng CVE-2023-46805 và CVE-2024-21887): Những kẻ tấn công từ xa có thể thực hiện việc bỏ qua xác thực và khai thác chèn lệnh từ xa.
- Lỗ hổng hệ điều hành Palo Alto Networks (CVE-2024-3400): Người dùng không được xác thực đã khai thác hệ điều hành của nhà cung cấp bảo mật để xâm nhập vào mạng. Lỗ hổng này được đánh giá là lỗ hổng nghiêm trọng với điểm CVSS là 10.
Ngoài ra, 78% doanh nghiệp có kế hoạch về Zero Trust trong vòng 12 tháng tới, trong khi 31% hiện đang tích cực triển khai kiến trúc này.
Hình 5. Doanh nghiệp áp dụng kiến trúc Zero Trust
Khi số lượng các lỗ hổng bảo mật liên quan đến VPN tiếp tục gia tăng, các doanh nghiệp nên triển khai nhiều giải pháp bảo mật đồng bộ tương ứng, trong đó có việc xem xét đến mô hình Zero Trust. Qua khảo sát cho thấy, các doanh nghiệp đang có xu hướng xác định Zero Trust như một sự thay thế cho VPN và là một cách để cải thiện cơ bản hình thái bảo mật hệ thống mạng của họ bởi một số lý do sau:
- Giảm thiểu bề mặt tấn công bằng cách làm cho các ứng dụng trở nên vô hình trên Internet, khiến kẻ tấn công khó phát hiện và nhắm mục tiêu hơn.
- Ngăn chặn sự xâm phạm với lưu lượng truy cập nội tuyến, kiểm tra nội dung để phát hiện và chặn hoạt động độc hại, đồng thời bảo vệ tài nguyên khỏi bị truy cập trái phép hoặc đánh cắp dữ liệu.
- Loại bỏ chuyển động ngang bằng cách phân đoạn và kết nối người dùng trực tiếp với các ứng dụng thay vì mạng, do đó hạn chế cơ hội truy cập trái phép và lây lan của kẻ tấn công.
|
TÀI LIỆU THAM KHẢO [1]. [2]. |
Hồng Đạt
(Tổng hợp)
13:00 | 13/08/2024
08:00 | 08/05/2024
10:00 | 19/09/2024
10:00 | 26/04/2024
14:00 | 11/10/2024
08:00 | 17/04/2024
14:00 | 02/10/2024
07:00 | 23/09/2024
Tăng 15 bậc chỉ trong 2 năm, Việt Nam đang chứng minh sự phát triển vượt trội về Chính phủ điện tử, theo đánh giá của Liên hợp quốc.
13:00 | 09/08/2023
Ngày 2/8, Trung tâm Chứng thực điện tử quốc gia (NEAC), Bộ Thông tin và Truyền thông (TT&TT) đã tổ chức lễ trao Giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa cho Công ty cổ phần giải pháp thanh toán Việt Nam (VNPAY).
16:00 | 26/04/2023
Từ ngày 01 - 10/3/2023, Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã phối hợp với đoàn công tác do Bộ Thông tin và Truyền thông chủ trì, thực hiện khảo sát tình hình sử dụng chữ ký số chuyên dùng chính phủ trên dịch vụ công trực tuyến tại một số bộ, ngành, địa phương. Qua quá trình khảo sát cho thấy, chữ ký số chuyên dùng Chính phủ tiếp tục đóng vai trò quan trọng trong việc thúc đẩy sử dụng dịch vụ công trực tuyến, góp phần không nhỏ trong phát triển Chính phủ điện tử hướng tới Chính phủ số, thúc đẩy chuyển đổi số quốc gia. Với vai trò của mình, Ban Cơ yếu Chính phủ luôn đảm bảo kịp thời và hiệu quả việc sản xuất và cấp phát Chứng thư số chuyên dùng cho các Bộ, ngành và địa phương.
14:00 | 17/02/2023
Theo Bộ Thông tin và Truyền thông, trong tháng 1/2023, các Bộ, ngành, địa phương tiếp tục đẩy mạnh cung cấp dịch vụ công trực tuyến theo hướng toàn trình quy định tại Nghị định số 42/2022/NĐ-CP ngày 24/6/2022 của Chính phủ quy định về việc cung cấp thông tin và dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Chiều 2/10, Thủ tướng Phạm Minh Chính, Chủ tịch Ủy ban Quốc gia về chuyển đổi số, chủ trì Hội nghị trực tuyến triển khai mở rộng thí điểm sổ sức khỏe điện tử và cấp phiếu lý lịch tư pháp qua ứng dụng VneID trên toàn quốc. Hội nghị được kết nối trực tuyến (4 cấp) từ trụ sở Chính phủ tới các bộ, ngành, các tỉnh, thành phố trực thuộc Trung ương, các địa phương cấp huyện, cấp xã.
15:00 | 03/10/2024
