Rob Gurzeev, Giám đốc điều hành và đồng sáng lập của CyCognito, một công ty chuyên về quản lý và bảo vệ bình diện tấn công, lo ngại về những điểm mù. Trong bài báo trên DarkReading “Bảo vệ lâu đài: Lịch sử thế giới có thể dạy cho an ninh mạng một bài học như thế nào?”, Gurzeev đã viết: "Các trận chiến mang lại những bài học trực tiếp, tôi thấy thường dùng như một lời nhắc nhở rằng tấn công các điểm mù đã là gót chân Achilles của những người bảo vệ một thời gian dài”.
Ví dụ, Gurzeev đề cập đến cuộc bao vây Château Gaillard năm 1204 — lâu đài được cho là không thể xuyên thủng. Sau gần một năm cố gắng không thành, bằng cách nào đó, những đã xác định được nhà vệ sinh và hệ thống cống rãnh được bảo vệ kém. Các kế hoạch đã được thực hiện và vào đêm tiếp theo, một “đội đặc nhiệm” thời trung cổ đã chui qua hệ thống cống rãnh, vào, đốt cháy các mục tiêu bên trong lâu đài và trong một thời gian ngắn lâu đài đã thất thủ.
"Những kẻ tấn công an ninh mạng ngày nay cũng tuân theo nguyên tắc này", Gurzeev viết. "Các công ty thường có một số lượng lớn tài sản CNTT bên trong lớp phòng thủ vòng ngoài của họ mà họ không giám sát hoặc bảo vệ và có thể không biết về nó ngay từ đầu".
Ví dụ như các chương trình hoặc thiết bị:
“Nội dung và ứng dụng được tạo hoặc thay đổi liên tục và tốc độ thay đổi rất nhanh và năng động,” Gurzeev nói thêm. "Luôn chú ý đến tất cả những thứ đó là một nhiệm vụ lớn đối với bất kỳ tổ chức an ninh nào".
Tội phạm mạng rất khôn ngoan, không muốn lãng phí thời gian cũng như tiền bạc, tìm cách đơn giản nhất để đạt được mục tiêu của chúng. "Những kẻ tấn công có quyền truy cập vào nhiều công cụ, kỹ thuật và thậm chí cả các dịch vụ có thể giúp tìm ra phần chưa xác định trên bình diện tấn công của tổ chức", Gurzeev nêu rõ. "Tương tự như những kẻ tấn công người Pháp vào thế kỷ 13 ở Château Gaillard, nhưng với sự hấp dẫn của thương vong thấp hơn và chi phí thấp hơn với khả năng thành công cao hơn, những kẻ tấn công thực dụng tìm kiếm bình diện tấn công có thể tiếp cận từ bên ngoài của tổ chức".
Như đã nêu trên, việc bảo vệ hoàn toàn bình diện tấn công mạng của một tổ chức là gần như không thể - một phần do bình diện tấn công là động và một phần do phần mềm và phần cứng thay đổi nhanh như thế nào. Gurzeev giải thích: “Các công cụ thông thường bị cản trở bởi một số thứ mà tôi đã đề cập ở phần đầu: giả định, thói quen và thành kiến. Tất cả các công cụ này đều chỉ tập trung vào nơi chúng được chỉ tới, để lại các tổ chức có những điểm mù không được giải quyết, dẫn đến (những vụ) xâm phạm".
Ở đây Gurzeev đang đề cập đến kiểm thử xâm nhập: "Kiểm thử xâm nhập là một loạt các hoạt động được thực hiện để xác định và khai thác các lỗ hổng bảo mật. Nó giúp xác nhận tính hiệu quả hoặc không hiệu quả của các biện pháp bảo mật đã được triển khai".
Gurzeev lo ngại rằng việc kiểm thử xâm nhập định kỳ thường chọn con đường dễ nhất, gắn với các bình diện tấn công đã biết. Gurzeev giải thích: "Chỉ đánh giá và bảo vệ các phần đã biết của bình diện tấn công đảm bảo rằng những kẻ tấn công sẽ tìm thấy cơ sở hạ tầng mạng, ứng dụng hoặc dữ liệu không được bảo vệ có thể cung cấp quyền truy cập không bị cản trở vào các tài nguyên có giá trị". "Thay vào đó, các tổ chức cần dành nhiều nguồn lực hơn để khám phá và giải quyết những ẩn số trong bình diện tấn công bên ngoài của họ".
Thông cáo báo chí của CyCognito (công ty của Gurzeev) công bố kết quả từ một cuộc khảo sát do Informa Tech thực hiện với sự tham gia của 108 nhà quản lý bảo mật và CNTT từ các tổ chức doanh nghiệp với 3.000 nhân viên trở lên trên hơn 16 ngành dọc.
Báo cáo khảo sát "Thực hành không thành công về kiểm thử xâm nhập" đề cập một cách trực diện: "Trong khi các tổ chức đầu tư đáng kể và phụ thuộc nhiều vào kiểm thử xâm nhập để bảo mật, thì phương pháp được sử dụng rộng rãi này không đo lường chính xác tình trạng bảo mật tổng thể hoặc khả năng bị xâm phạm của họ — hai mục tiêu hàng đầu mà các chuyên gia bảo mật và CNTT nêu ra".
Thông cáo báo chí giải thích lý do nhưu sau: "Nghiên cứu cho thấy rằng khi sử dụng thử nghiệm xâm nhập như một phương pháp bảo mật, các tổ chức thiếu khả năng xem xét đầy đủ các tài sản kết nối với Internet của họ, dẫn đến các điểm mù dễ bị khai thác và xâm phạm".
Để có bối cảnh phù hợp, báo cáo đề cập rằng các tổ chức có 3.000 nhân viên trở lên có hơn 10.000 tài sản kết nối internet. Tuy nhiên:
Sau đó, báo cáo liệt kê những mối quan tâm được bày tỏ bởi những người tham gia khảo sát:
Về tần suất thực hiện các cuộc kiểm tra thâm nhập, báo cáo khảo sát nêu rõ;
Có vẻ hợp lý khi giả định điều tồi tệ nhất nếu chỉ các tài sản đã biết được kiểm tra một vài lần trong năm. Gurzeev nói: “Điểm rút ra lớn nhất từ báo cáo này là những gì các tổ chức muốn hoặc đang hy vọng đạt được thông qua kiểm thử xâm nhập và những gì họ đang đạt được là hai điều rất khác nhau. Có rất ít giá trị trong việc kiểm tra định kỳ một phần bình diện tấn công của tổ chức. Trừ khi liên tục phát hiện và kiểm tra toàn bộ bình diện tấn công bên ngoài của mình, nếu không thì sẽ không có hiểu biết tổng thể về mức độ an toàn của tổ chức mình".
Theo Gurzeev, điểm mấu chốt là nếu một tổ chức có một đường dẫn “tối" (không được biết tới) có thể hấp dẫn tội phạm mạng, chúng sẽ tìm và khai thác nó. Ông nói thêm "Có lẽ các bức tường và vàng đai tổ chức được bảo vệ cẩn thận trong khi một lối đi rộng mở, không có người giám sát lại tồn tại ngay dưới chân".
Nguyễn Anh Tuấn
17:00 | 12/07/2021
18:00 | 19/03/2021
09:00 | 25/11/2022
15:00 | 14/12/2022
08:00 | 23/09/2016
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 18/06/2024
Hiện nay, những kẻ lừa đảo thường mở các tài khoản ngân hàng, sau đó tìm cách chiếm đoạt tài khoản Facebook trùng tên để thực hiện các hành vi mượn tiền nhằm chiếm đoạt tài sản của người dùng.
08:00 | 14/06/2024
Website bán vé trực tuyến nổi tiếng Ticketmaster vừa xác nhận bị tấn công mạng và lộ dữ liệu của hàng trăm triệu người dùng.
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
14:00 | 05/09/2024