Theo ông, phương pháp tính điểm và phân loại lỗ hổng bảo mật hiện nay phản ánh một hệ thống lạc hậu và không xem xét cách thức hoạt động của tin tặc hiện đại. “Vấn đề là toàn bộ không gian quản lý lỗ hổng vẫn phát triển, nhưng không theo kịp sự thay đổi của các cuộc tấn công”, ông cho hay.
Các cách tiếp cận trong việc tính điểm và phân loại lỗ hổng như hệ thống tính điểm Common Vulnerability Scoring System (CVSS), đã dẫn đến sự quá tập trung vào các đặc điểm cụ thể của các lỗ hổng đơn lẻ mà bỏ qua bối cảnh rộng hơn là mô hình mối đe dọa và tiềm năng của việc khai thác lỗ hổng bảo mật theo chuỗi, có thể gây ra những thiệt hại khó lường. Nói cách khác, hệ thống tính điểm các lỗ hổng với thang điểm từ 0 (lành tính) đến 10 (rất xấu) với việc gắn cờ khác nhau (như có thể khai thác từ xa hoặc tại chỗ) sẽ không xác định được mức độ nguy hiểm thực sự của lỗ hổng trên thực tế.
Ví dụ, với một doanh nghiệp, lý tưởng nhất là nhanh chóng cập nhật bản vá đối với một lỗ hổng thực thi mã từ xa có điểm CVSS cao. Các lỗ hổng có điểm thấp hơn, như các lỗ hổng về leo thang đặc quyền và rò rỉ dữ liệu, có thể sẽ không được xử lý ưu tiên.
Tuy nhiên, tin tặc có thể khai thác lỗ hổng rò rỉ dữ liệu để có thông tin đăng nhập vào hệ thống, sau đó khai thác lỗ hổng leo thang đặc quyền để chiếm quyền điều khiển hệ thống. Do đó, hai lỗ hổng điểm thấp còn có thể có tiềm năng bị khai thác và gây ra hậu quả nghiêm trọng hơn lỗ hổng thực thi mã từ xa.
Theo Rogers, quá trình đánh giá chưa đưa ra cách đối phó với các lỗ hổng này, mà còn đưa người dùng vào cách đánh giá sai lầm khi nhìn vào điểm số của lỗ hổng. Nếu lỗ hổng có điểm thấp thì người dùng sẽ ít phân bổ tài nguyên để xử lý.
Ngoài ra, cần xét tới bối cảnh khai thác một lỗ hổng. Ví dụ, một lỗ hổng cho phép tin tặc hiển thị văn bản trên màn hình sẽ có điểm CVSS rất thấp. Nhưng nếu lỗ hổng đó được khai thác trên màn hình giải trí tại máy bay hoặc biển thông báo của cảnh sát, thì có thể gây ra sự hỗn loạn ngang với việc chiếm quyền kiểm soát hệ thống.
Cũng có trường hợp các lỗ hổng dường như vô hại lại trở thành nguy hiểm khi tin tặc tìm được cách khai thác chúng tốt hơn. Rogers đã chỉ ra cuộc tấn công Rowhammer, trong đó mã độc có thể thay đổi dữ liệu của bộ nhớ. Việc thay đổi một vài bit trong RAM có vẻ không quá nghiêm trọng, nhưng sẽ thực sự nguy hiểm khi lật đúng bit trong bộ nhớ kernel để có được quyền root.
Mặc dù sẽ khó tìm được giải pháp hoàn thiện cho việc đánh giá lỗ hổng, nhưng Rogers tin rằng bước đầu tiên cần làm là có cái nhìn rộng hơn về cách thức phân loại các lỗ hổng. Thay vì chỉ nhìn vào hậu quả tức thời có thể xảy ra của một lỗ hổng, thì cần phải tính đến việc lỗ hổng đó có thể ảnh hưởng gì đối với phần còn lại của hệ thống.
Để làm điều đó, nhân viên an toàn thông tin cần phải mở rộng tầm nhìn của mình và tiếp cận nhiều hơn với các cộng đồng an toàn thông tin. Cách tiếp cận đúng là đánh giá lỗ hổng theo cách người xây dựng hệ thống hoặc nhà điều hành xem xét bối cảnh khai thác của lỗ hổng. Theo Rogers, cần đưa ra một quy trình linh động hơn như sử dụng điểm CVSS nhưng xem xét thêm các yếu tố về hệ thống.
Nguyễn Anh Tuấn
Theo The Register
07:00 | 04/11/2019
11:00 | 06/01/2020
10:00 | 27/04/2020
16:00 | 24/10/2019
15:00 | 21/10/2019
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 12/06/2024
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư mục Python llama_cpp_python có thể bị các tác nhân đe dọa khai thác để thực thi mã tùy ý.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
08:00 | 26/08/2024