Các nhà nghiên cứu đã khảo sát 647 chuyên gia công nghệ thông tin và an ninh mạng nổi tiếng trên thế giới về những thách thức đang thay đổi của việc bảo mật, quản lý và trải nghiệm người dùng của công nghệ VPN. Chúng bao gồm các rủi ro mà VPN có thể gây ra đối với hình thái bảo mật của tổ chức, quyền truy cập của bên thứ ba và lỗ hổng trước các cuộc tấn công như mã độc tống tiền.
VPN tạo điều kiện thuận lợi cho doanh nghiệp truy cập từ xa vào mạng, tuy nhiên quy mô và mức độ phức tạp ngày càng tăng của các mối đe dọa mạng nhắm vào các dịch vụ VPN vẫn là mối lo ngại đáng kể đối với các nhóm bảo mật. Các tổ chức đang có xu hướng triển khai kiến trúc Zero Trust như một giải pháp thay thế VPN an toàn.
Dưới đây là những phát hiện chính trong báo cáo của Zscaler:
- Các cuộc tấn công VPN đang có xu hướng gia tăng: 56% tổ chức cho biết họ đã từng là nạn nhân của nhiều cuộc tấn công mạng liên quan đến VPN trong năm 2023, tăng 45% so với năm 2022. Điều này nhấn mạnh tần suất ngày càng tăng và mức độ phức tạp của các cuộc tấn công nhắm vào các dịch vụ VPN.
- Nhiều tổ chức chuyển sang kiến trúc Zero Trust: Theo khảo sát, 78% tổ chức cho biết họ đang có kế hoạch triển khai Zero Trust trong vòng 12 tháng tới.
- Rủi ro bảo mật VPN: 91% chuyên gia bày tỏ lo ngại về việc VPN ảnh hưởng đến tính bảo mật trong hệ thống mạng của họ. Những vi phạm gần đây cho thấy rủi ro của việc duy trì cơ sở hạ tầng VPN lỗi thời hoặc chưa được cập nhật bản vá mới. Những người được hỏi đã xác định mã độc tống tiền (42%), phần mềm độc hại (35%) và tấn công từ chối dịch vụ phân tán (30%) là những mối đe dọa hàng đầu khai thác lỗ hổng VPN, nhấn mạnh mức độ rủi ro mà các tổ chức phải đối mặt do điểm yếu cố hữu trong kiến trúc VPN truyền thống.
- Không thể bỏ qua nguy cơ chuyển động ngang hàng: 53% doanh nghiệp bị xâm phạm thông qua các lỗ hổng VPN cho biết các tác nhân đe dọa đã di chuyển ngang hàng trong hệ thống, điều này cho thấy lớp phòng thủ bảo mật đầu tiên để ngăn chặn xâm phạm trong hệ thống mạng đã bị phá vỡ.
- Lo ngại về rủi ro của bên thứ ba: Vì VPN cung cấp quyền truy cập mạng đầy đủ, nên 92% số người được khảo sát bày tỏ lo ngại về các bên thứ ba có quyền truy cập VPN, dẫn đến những rủi ro xâm nhập vào hệ thống mạng của họ.
Nhìn chung, 56% tổ chức đã báo cáo về các cuộc tấn công mạng khai thác lỗ hổng VPN trong năm 2023, đánh dấu mức tăng đáng kể so với năm trước (45%). Trong đó, điều đáng lo ngại hơn nữa là 41% tổ chức cho biết đã gặp phải hai cuộc tấn công liên quan đến VPN trở lên, cho thấy sự tồn tại của các lỗ hổng bảo mật nghiêm trọng cần được chú ý ngay lập tức.
Hình 1. Thống kê các doanh nghiệp đã bị khai thác lỗ hổng VPN trong năm 2023
Sự gia tăng các cuộc tấn công liên quan đến VPN này không phải là không có bối cảnh. Trong năm qua, nhiều lỗ hổng VPN zero-day và mức độ nghiêm trọng cao đã được phát hiện. Xu hướng này đã tiết lộ rằng, từ quan điểm kiến trúc, các hệ thống mạng dựa trên VPN dễ bị tấn công bởi một điểm lỗi duy nhất cho phép các tác nhân đe dọa di chuyển ngang trên mạng và đánh cắp dữ liệu nhạy cảm.
Hình 2. Một chuỗi các lỗ hổng CVE ảnh hưởng đến dịch vụ VPN trong năm 2023
Niềm tin của doanh nghiệp vào tính bảo mật của VPN không được cao. Nhìn chung, 91% công ty bày tỏ lo ngại rằng VPN có thể gây nguy hại và đe dọa an ninh đến tính bảo mật trong hệ thống mạng của họ.
Hình 3. Doanh nghiệp lo ngại VPN là điểm truy cập yếu trong cơ sở hạ tầng công nghệ thông tin
Song song với những lo ngại về bảo mật của VPN, các doanh nghiệp thể hiện sự đồng thuận mạnh mẽ xung quanh việc áp dụng các chiến lược Zero Trust để bảo mật kết nối an toàn. Trên thực tế, 62% doanh nghiệp cho rằng công nghệ VPN không tương thích với Zero Trust và ngay cả việc triển khai VPN qua đám mây cũng không cấu thành kiến trúc Zero Trust.
Hình 4. Quan điểm của doanh nghiệp về sự tương thích của VPN với Zero Trust
Trong khi đó, các doanh nghiệp đang tích cực áp dụng kiến trúc Zero Trust sau khi xuất hiện nhiều cuộc tấn công khai thác lỗ hổng VPN xảy ra, đặc biệt các lỗ hổng nghiêm trọng liên quan đến VPN của hai nhà cung cấp lớn là Ivanti và Palo Alto:
- Ivanti (lỗ hổng CVE-2023-46805 và CVE-2024-21887): Những kẻ tấn công từ xa có thể thực hiện việc bỏ qua xác thực và khai thác chèn lệnh từ xa.
- Lỗ hổng hệ điều hành Palo Alto Networks (CVE-2024-3400): Người dùng không được xác thực đã khai thác hệ điều hành của nhà cung cấp bảo mật để xâm nhập vào mạng. Lỗ hổng này được đánh giá là lỗ hổng nghiêm trọng với điểm CVSS là 10.
Ngoài ra, 78% doanh nghiệp có kế hoạch về Zero Trust trong vòng 12 tháng tới, trong khi 31% hiện đang tích cực triển khai kiến trúc này.
Hình 5. Doanh nghiệp áp dụng kiến trúc Zero Trust
Khi số lượng các lỗ hổng bảo mật liên quan đến VPN tiếp tục gia tăng, các doanh nghiệp nên triển khai nhiều giải pháp bảo mật đồng bộ tương ứng, trong đó có việc xem xét đến mô hình Zero Trust. Qua khảo sát cho thấy, các doanh nghiệp đang có xu hướng xác định Zero Trust như một sự thay thế cho VPN và là một cách để cải thiện cơ bản hình thái bảo mật hệ thống mạng của họ bởi một số lý do sau:
- Giảm thiểu bề mặt tấn công bằng cách làm cho các ứng dụng trở nên vô hình trên Internet, khiến kẻ tấn công khó phát hiện và nhắm mục tiêu hơn.
- Ngăn chặn sự xâm phạm với lưu lượng truy cập nội tuyến, kiểm tra nội dung để phát hiện và chặn hoạt động độc hại, đồng thời bảo vệ tài nguyên khỏi bị truy cập trái phép hoặc đánh cắp dữ liệu.
- Loại bỏ chuyển động ngang bằng cách phân đoạn và kết nối người dùng trực tiếp với các ứng dụng thay vì mạng, do đó hạn chế cơ hội truy cập trái phép và lây lan của kẻ tấn công.
TÀI LIỆU THAM KHẢO [1]. [2]. |
Hồng Đạt
(Tổng hợp)
08:00 | 08/05/2024
13:00 | 13/08/2024
10:00 | 26/04/2024
08:00 | 17/04/2024
17:00 | 19/07/2024
Ngày 12/7, Cục Chứng thực số và Bảo mật thông tin tổ chức Hội nghị quán triệt, phổ biến Nghị định số 68/2024/NĐ-CP ngày 25/6/2024 của Chính phủ quy định về chữ ký số chuyên dùng công vụ đến toàn thể cán bộ, nhân viên đang công tác tại cơ quan, nhằm nâng cao hiệu quả hoạt động cung cấp, quản lý, sử dụng chữ ký số, chứng thư chữ ký số và dịch vụ chứng thực chữ ký số chuyên dùng công vụ.
10:00 | 05/02/2024
Kiểm tra, đánh giá tình hình ứng dụng chữ ký số trong hoạt động của cơ quan nhà nước là công tác có ý nghĩa hết sức quan trọng, không thể thiếu, góp phần thực hiện tốt nhiệm vụ quản lý nhà nước về lĩnh vực chữ ký số chuyên dùng Chính phủ. Thông qua kết quả kiểm tra, đánh giá của Đoàn công tác Ban Cơ yếu Chính phủ, bài báo sẽ cung cấp đến độc giả thực trạng tình hình ứng dụng chữ ký số chuyên dùng Chính phủ tại một số địa phương, đồng thời đưa ra những tồn tại, khó khăn, vướng mắc trong công tác quản lý, triển khai sử dụng, từ đó có biện pháp khắc phục, hướng dẫn, điều chỉnh bảo đảm đúng quy định, chặt chẽ và hiệu quả.
10:00 | 17/08/2023
Chiều ngày 15/8, đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Hoàng Văn Thủy, Phó Cục trưởng Cục Chứng thực số và Bảo mật thông tin làm Trưởng đoàn phối hợp với Sở Thông tin và Truyền thông tỉnh Phú Yên đã tiến hành kiểm tra, đánh giá tình hình ứng dụng chữ ký số chuyên dùng Chính phủ trong hoạt động của cơ quan nhà nước năm 2023 trên địa bàn huyện Tây Hòa.
09:00 | 16/08/2023
Sáng 14/8, tại Hà Nội, Học viện Chính trị quốc gia Hồ Chí Minh đã phối hợp với Ban Cơ yếu Chính phủ mở lớp nâng cao kỹ năng ứng dụng CNTT dành cho cán bộ chuyên trách CNTT trong Hệ thống Học viện Chính trị quốc gia Hồ Chí Minh.
Trong giao dịch giấy tờ truyền thống, chữ ký tay là phương tiện để xác thực nguồn gốc và nội dung của văn bản. Chữ ký tay còn có khả năng chống chối bỏ, nghĩa là người gửi sau khi đã ký vào văn bản thì không thể chối bỏ chữ ký của mình và văn bản sau khi được ký thì không thể thay đổi được nội dung. Đối với văn bản điện tử chữ ký tay không còn đảm bảo được các tính năng nói trên, vì vậy chữ ký số điện tử (gọi tắt là chữ ký số) được sử dụng để thay thế vai trò của chữ ký tay. Bài viết sau đây giới thiệu mô hình các cơ chế chữ ký số khôi phục thông điệp đựa trên phân tích số nguyên quy định tại TCVN 12855-2: 2020.
14:00 | 25/07/2024
Từ ngày 04 - 26/7/2024, tại Hà Nội, Văn phòng Chính phủ đã tổ chức Hội nghị tập huấn giải pháp chia sẻ dữ liệu trên Trục liên thông văn bản quốc gia. Tại Hội nghị, báo cáo viên của Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã hướng dẫn, tuyên truyền tới các Bộ, ngành, địa phương những quy định mới về chữ ký số chuyên dùng công vụ, hướng dẫn ký tắt điện tử đối với dự thảo văn bản trình Chính phủ, Thủ tướng Chính phủ.
15:00 | 05/08/2024