Nhận diện các mối đe dọa an toàn thiết bị di động

Thực tế cho thấy trong thời gian vừa qua, các cuộc tấn công mạng nhắm vào cá nhân, doanh nghiệp và các tổ chức chính phủ đã gia tăng cả về tần suất và sự tinh vi. Do đó, các mối đe dọa trên các thiết bị di động được đặc biệt quan tâm. Theo một khảo sát trên quy mô toàn cầu về bảo mật trên các thiết bị di động do công ty nghiên cứu thị trường Dimensional Research (Mỹ) thực hiện năm 2017 cho biết, cứ mỗi 10 công ty thì có 2 công ty đã từng bị tấn công trên các thiết bị di động; đáng ngạc nhiên nhất là có tới 24% không biết liệu họ có bị xâm phạm an ninh thông qua các thiết bị di động hay không.

Số lượng phần mềm độc hại tấn công vào các thiết bị di động cũng lớn hơn theo từng ngày, từng giờ với mức độ vô cùng nguy hiểm. Ví dụ, năm 2017, một loại mã độc mang tên CopyCat đã lây nhiễm hơn 14 triệu thiết bị Android trên toàn cầu và đã root thành công khoảng 8 triệu thiết bị di động. Tỷ lệ thành công đạt mức 54% mà gần như không tìm thấy đối với hầu hết các phần mềm độc hại hiện nay. Đầu năm 2018, CrossRAT là một Trojan truy cập từ xa trên nhiều nền tảng, có thể tấn công 4 hệ điều hành phổ biến hiện nay là Windows, Solaris, Linux, và macOS, cho phép kẻ tấn công điều khiển thiết bị từ xa như sử dụng hệ thống tập tin, chụp màn hình, chạy các tập tin thực thi tùy ý và chiếm quyền quản lý hệ thống. Trung tuần tháng 5 vừa qua, công ty công nghệ Securus Technologies (Mỹ) đã rao bán dữ liệu định vị theo thời gian thực của hàng triệu người dùng. Đáng chú ý, Securus Technologies nhận dữ liệu từ một công ty khác có tên là LocationSmart và bản thân công ty LocationSmart cũng mua dữ liệu từ các công ty truyền thông như AT&T, Sprint, T-Mobile và Verizon.

Theo các chuyên gia bảo mật, những vi phạm an toàn thiết bị di động sẽ còn gia tăng trong thời gian tới, tiếp tục khiến cho những nguy cơ mất an toàn thông tin từ chính các thiết bị di động trở nên nguy hiểm hơn. Vì thế ở góc độ người dùng, nhất là các TC/DN cần phải nhận diện được các mối đe dọa đối với thiết bị di động để tận dụng được lợi ích từ thiết bị di động nhưng vẫn đảm bảo vấn đề an toàn cho hoạt động của mình. Cụ thể, các mối đe dọa trên thiết bị di động có thể được chia thành nhiều loại như các mối đe dọa từ vật lý, mạng, hệ thống và ứng dụng.

Các mối đe dọa vật lý

Một thách thức phải đối mặt trong bảo mật di động là khi thiết bị di động bị đánh mất hoặc bị ăn trộm. Những thiết bị di động bị lọt vào tay của tin tặc sẽ rất nguy hiểm, chúng có thể khai thác những thông tin dữ liệu trên thiết bị. Do đó, người dùng cần phải cất giữ thiết bị di động của mình. Ngoài ra, cần phải mã hóa và xác thực truy nhập cho thiết bị để tránh những truy nhập trái phép.

Các mối đe dọa từ mạng

Các thiết bị di động thường sử dụng các giao thức mạng không dây phổ biến như Wifi và Bluetooth để kết nối. Mỗi giao thức này đều có các lỗ hổng riêng và dễ bị tấn công bằng cách sử dụng các công cụ sẵn có như Wifite hoặc Aircrack-ng Suite. Do đó, người dùng chỉ nên kết nối với các mạng đáng tin cậy bằng cách sử dụng giao thức WPA2 hoặc các giao thức bảo mật mạng tốt hơn.

Các mối đe dọa từ hệ thống

Các lỗ hổng trên thiết bị cũng có thể là lỗi từ nhà sản xuất. Ví dụ, bàn phím SwiftKey trong các thiết bị Android của Samsung đã từng được tìm thấy là dễ bị tấn công nghe lén. Tương tự, hệ điều hành iPhone của thiết bị Apple (iOS) cũng được phát hiện có tồn tại các lỗ hổng, mà một trong số đó là "No iOS Zone"; lỗ hổng này cho phép tin tặc làm treo các thiết bị iPhone, iPad hoặc iPod Touch bằng sóng Wifi…

Các mối đe dọa từ ứng dụng

Tương tự như lỗ hổng hệ thống, các ứng dụng của bên thứ ba trên thiết bị di động cũng có thể lỗi thời. Một số nhà phát triển ứng dụng không phát hành bản cập nhật phần mềm kịp thời hoặc có thể đã giảm hỗ trợ cho các phiên bản hệ điều hành cũ hơn. Sử dụng phần mềm đã lỗi thời làm tăng nguy cơ kẻ tấn công có thể khai thác lỗ hổng liên quan đến phần mềm này.

Những kẻ tấn công thường sử dụng các kỹ thuật xã hội để lừa người dùng cài đặt các ứng dụng độc hại này, có thể qua một liên kết trong tin nhắn, một siêu liên kết rút gọn hoặc một ứng dụng đóng gói lại giả mạo một ứng dụng hợp pháp. Các ứng dụng độc hại có thể thực hiện các hành vi độc hại khi được cài đặt trên thiết bị như lấy cắp dữ liệu, tải xuống phần mềm độc hại hoặc thậm chí điều khiển thiết bị từ xa. Những hành vi này có thể dẫn đến tổn thất về tài chính và các hình thức tổn thất hữu hình hoặc vô hình khác cho cá nhân hoặc tổ chức.

5 yếu tố khi thiết kế giải pháp an toàn thiết bị di động

Đảm bảo an toàn cho các thiết bị di động là một nhiệm vụ quan trọng, cấp thiết trong kỷ nguyên số, khi mà các nguy cơ tấn công ngày càng gia tăng. Do đó, cần có một giải pháp an toàn được thiết kế có hệ thống, gồm 5 yếu tố chính – Dự báo, Bảo vệ, Phát hiện, Ứng phó và Thực hành.

5 yếu tố trong giải pháp bảo mật di động

Dự báo

Dự báo về các cuộc tấn công với các yếu tố như hướng tấn công, mức độ gây hại và hậu quả của nó là vô cùng quan trọng. Vì thế, việc chủ động theo dõi, giám sát không gian mạng sẽ giúp các tổ chức có được những thông báo về các mối đe dọa mới có thể ảnh hưởng đến an ninh an toàn, từ đó đưa ra các xem xét, đánh giá hệ thống của mình sẽ chịu những tác động gì để chủ động xây dựng các biện pháp bảo vệ thích hợp.

Tại Việt Nam, cuối tháng 6 vừa qua, Cục An toàn thông tin (Bộ TT&TT) đã chính thức cho ra mắt “Hệ thống phân tích và chia sẻ nguy cơ tấn công mạng Việt Nam”. Mục tiêu của hệ thống nhằm tăng cường việc kết nối chia sẻ thông tin giữa các cơ quan, đơn vị, tổ chức khác nhau về các mối nguy cơ tấn công mạng đang diễn ra liên tục. Các thông tin này được chia sẻ trực tuyến tại địa chỉ: //ti.khonggianmang.vn.

Khi truy cập vào hệ thống, các cơ quan, đơn vị sẽ được chia sẻ các thông tin theo thời gian thực về: các dấu hiệu, hình thức tấn công mạng trên hệ thống thông tin của mình được Cục An toàn thông tin tổng hợp, phân tích và xử lý từ nhiều tổ chức trên thế giới; danh sách cập nhật các địa chỉ IP, máy chủ C&C, và các mạng botnet, APT tại Việt Nam; danh sách cập nhật các mẫu mã độc (mã hash, tên mã độc, báo cáo phân tích) trên thế giới và Việt Nam; thông tin cập nhật về các lỗ hổng, điểm yếu bảo mật mới đối với các ứng dụng, các hệ thống công nghệ thông tin; các thông tin cập nhật liên tục về tình tình an toàn thông tin của Việt Nam và thế giới.

Bảo vệ

Bảo vệ là một yếu tố quan trọng của giải pháp bảo mật di động, bao gồm hai khía cạnh chính. Khía cạnh đầu tiên là ngăn chặn các mối đe dọa không mong muốn xâm nhập hoặc ảnh hưởng đến hệ thống di động. Ví dụ, phần mềm độc hại có thể tồn tại dưới dạng gói hoặc tệp ứng dụng. Vì thế, thực hiện quét lưu lượng đến tại proxy mạng hoặc cổng để kiểm tra lưu lượng độc hại trước khi chuyển tiếp tới thiết bị, hay cập nhật kịp thời cho các ứng dụng và hệ điều hành của các thiết bị để vá bất kỳ lỗ hổng nào là những biện pháp bảo vệ khỏi ứng dụng độc hại.

Khía cạnh bảo vệ khác là bảo vệ dữ liệu nhạy cảm để tránh bị rò rỉ tới các điểm đích không được cho phép. Điều này có thể thực hiện được bằng cách sử dụng mạng riêng ảo và tường lửa để chặn lưu lượng gửi đến các đích không được cho phép.

Phát hiện

Phần mềm độc hại là một trong những công cụ chính được sử dụng bởi kẻ tấn công để thực hiện các hoạt động độc hại trên thiết bị di động. Việc phát hiện sớm các phần mềm độc hại có thể làm giảm tác hại và hạn chế sự lây lan. Việc sử dụng các phần mềm chống virus cũng sẽ giúp phát hiện các phần mềm độc hại. Tuy nhiên, do các cuộc tấn công bằng phần mềm độc hại ngày càng tinh vi hơn, vì thế cần một phương pháp mới sử dụng kết hợp phân tích tĩnh và động, cũng như kỹ thuật học máy để đạt được kết quả toàn diện.

Một phương pháp phát hiện khác là theo dõi và thu gom các hoạt động và hành vi bất thường của hệ thống. Sau khi phát hiện bất thường, cảnh báo được kích hoạt cho người dùng và hệ thống báo cáo phụ trợ. Các cảnh báo này có thể cung cấp thông tin về các hoạt động độc hại và có thể tương quan với các dữ liệu bảo mật khác để cung cấp thông tin hữu ích giúp phát hiện và phản hồi các mối đe dọa nhanh chóng.

Ứng phó

Bất kỳ một sự cố nào khi không được xử lý ngay cũng có thể trở thành một vấn đề lớn trong an ninh mạng, cuối cùng còn có thể dẫn tới phá hủy dữ liệu hoặc sụp đổ hệ thống. Việc ứng phó kịp thời với sự cố một cách nhanh chóng sẽ giảm thiểu thiệt hại, hạn chế lỗ hổng, ngăn chặn mã độc tấn công, phục hồi quy trình dịch vụ và giảm thiểu rủi ro an ninh mà sự cố gây ra trong tương lai.

Vì thế, ứng phó với sự cố an ninh mạng là một yếu tố quan trọng trong bất kỳ khung an ninh, an toàn nào. Khi xảy ra sự cố, nhóm ứng phó sự cố cần phải lập tức khoanh vùng, hạn chế thiệt hại sự cố và cô lập các hệ thống bị ảnh hưởng để ngăn chặn hệ thống bị thiệt hại thêm. Sau đó mới tiến hành tìm nguồn tốc tấn công và xây dựng hệ thống phòng chống để ngăn chặn sự cố tương tự xảy ra; Phục hồi các hệ thống bị ảnh hưởng, đảm bảo không có mối đe dọa liên quan tới vấn đề an ninh mạng tồn đọng. Ví dụ trong một cuộc tấn công dựa trên ứng dụng, thì ứng dụng đó sẽ được phân tích để hiểu hành vi gây hại và các thông tin quan trọng khác của ứng dụng để đánh giá tác động và tìm các biện pháp đối phó thích hợp.

Thực hành

Mặc dù người dùng có thể nhận thức được rằng thiết bị di động là một mục tiêu dễ tấn công, nhưng ít người nghĩ rằng mình sẽ trở thành nạn nhân của các cuộc tấn công này. Do đó, điều quan trọng là phải hướng dẫn, phổ biến, thực hành và tập huấn cho người dùng về các phương pháp an toàn khi sử dụng thiết bị di động và cập nhật cho họ về các hình thức tấn công mới.

Đối với đội ngũ chuyên trách về công nghệ thông tin, cần được diễn tập xử lý tấn công mạng thường xuyên, vì đây là cơ hội để thảo luận, chia sẻ kinh nghiệm, thông tin, rèn luyện, phối hợp, nâng cao khả năng sẵn sàng ứng phó với các cuộc tấn công mạng, bảo vệ hệ thống mạng, hạ tầng thông tin quan trọng. 

Kết luận

Để việc bảo mật di động đi trước các mối đe dọa mạng tinh vi trên thiết bị di động, thì giải pháp bảo mật di động cần được xây dựng một cách có hệ thống, toàn diện. Khi có sự cố về an ninh mạng, việc chia sẻ thông tin, giải pháp khắc phục sự cố và xử lý tình huống là rất quan trọng. Để xử lý tốt các sự cố, cần xây dựng càng nhiều kịch bản tấn công càng tốt và chủ động xử lý theo kịch bản khi xảy ra sự cố thật.

Ngoài ra, cần chú ý rằng bảo mật di động là một quá trình phòng thủ theo chiều sâu bao gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và có một đội ngũ chuyên trách vấn đề bảo mật riêng cho các thiết bị di động.