Phòng thủ tấn công mạng: Đừng 'mất bò mới lo làm chuồng'

Tất cả các máy tính, kể cả máy cá nhân và máy chủ, đều nên cài đặt phần mềm diệt virus một cách đầy đủ

Nguy cơ chực chờ

Ngày 24/3, Công ty cổ phần Chứng khoán VNDirect bị tin tặc tấn công khiến hàng triệu khách hàng của VNDirect không thể giao dịch qua hệ thống này. Theo ông Nguyễn Vũ Long, Tổng giám đốc VNDirect, hệ thống của công ty này bị tấn công bởi một nhóm hacker chuyên nghiệp, mã hóa tất cả dữ liệu.

“Công ty đã giải mã được các dữ liệu bị mã hóa, phong tỏa và chuyển qua bước tiếp theo là khắc phục hệ thống. Chúng tôi đang bắt đầu quá trình khắc phục để có thể kết nối và giao dịch trở lại. Đây là một hình thức tấn công phổ biến, nhưng tương đối phức tạp, cần thêm thời gian để khắc phục”, ông Long cho biết.

Cùng ngày 24/3, Tổng công ty Bảo hiểm Bưu điện (PTI) cho biết, hệ thống của đơn vị này cũng bị tấn công làm gián đoạn giao dịch. Tiếp đó, website của các công ty như: Công ty Quản lý quỹ đầu tư chứng khoán I.P.A (IPAAM), Tập đoàn Đầu tư I.P.A (IPA), Công ty cổ phần Thực phẩm Homefood cũng không thể truy cập.

Nhận định về vụ việc tại VNDirect, ông Nguyễn Tử Quảng, CEO Bkav đánh giá, đây là một hình thức tấn công tương đối phổ biến những năm gần đây ở Việt Nam và trên thế giới. Hacker sẽ sử dụng một lỗ hổng nào đó để xâm nhập hệ thống, sau đó tìm cách cài đặt virus, mã hóa dữ liệu, rồi dùng khóa mã hóa đó để tống tiền các nạn nhân.

“Hacker có thể tìm thấy những lỗ hổng zeroday. Lỗ hổng này chưa có bản vá trên cả thế giới và sẽ tranh thủ thời gian chưa có bản vá để tìm cách xâm nhập nhiều nhất các hệ thống trên khắp thế giới. Các trường hợp virus mã hóa tống tiền thường cũng hành động như vậy”, ông Quảng nhận định.

Theo đánh giá của ông Vũ Ngọc Sơn, Giám đốc công nghệ Công ty cổ phần Công nghệ An ninh mạng quốc gia (NCS), thông báo mới nhất của VNDirect cho thấy, công ty này đã lấy lại được chìa khóa (key) để giải mã dữ liệu. Khi đã lấy được key giải mã, việc dựng lại hệ thống không phải là vấn đề quá phức tạp với đội ngũ công nghệ. Tuy nhiên, khi hệ thống đi vào vận hành, bên cạnh dữ liệu đã khôi phục, còn nhiều vấn đề khác.

“VNDirect là công ty lớn, nên quy trình vận hành được chuẩn hóa. Việc tin tặc đi sâu được vào hệ thống như vậy chỉ có thể thực hiện qua lỗ hổng phần mềm chưa ai biết, mà chuyên môn chúng tôi gọi là zeroday. Trên thế giới, các vụ tấn công lớn đều thực hiện qua zeroday. Việc khôi phục dữ liệu và dịch vụ chỉ là bước đi đầu tiên, điều quan trọng tiếp theo phải tìm ra lỗ hổng giúp tin tặc xâm nhập hệ thống và phải bịt được lỗ hổng này”, ông Sơn nói.

Tuy nhiên, việc bịt lỗ hổng mới chỉ là giải pháp chữa cháy. Để các doanh nghiệp không tiếp tục bị đột nhập tiếp, cần phải có nhiều giải pháp. Quá trình điều tra truy vết, tìm ra lỗ hổng, “thực nghiệm hiện trường” đòi hỏi thời gian và trình độ công nghệ cao.

Cụ thể, chuyên gia sẽ chỉ ra con đường hacker xâm nhập qua những máy tính, máy chủ nào, khai thác lỗ hổng gì, các tài khoản, thông tin nào đã bị xâm phạm, file mã độc nào đã được sử dụng, thậm chí công cụ tấn công nào hacker đã sử dụng. Từ cơ sở đó, sẽ có những khuyến cáo, hướng dẫn chủ quản hệ thống các bước tiếp theo để khắc phục triệt để, rút kinh nghiệm và chuẩn bị sẵn sàng cho các tình huống tương tự trong tương lai.

Phòng thủ bằng cách làm mới

Làm thế nào để phòng chống tấn công mạng từ lúc chưa bị tấn công và cả lúc đã bị tấn công là câu hỏi khiến nhiều lãnh đạo doanh nghiệp đau đầu.

Theo ông Vũ Ngọc Sơn, đợt tấn công này là hồi chuông cảnh báo để tất cả các công ty chứng khoán, tổ chức tài chính và doanh nghiệp chủ động rà soát lại hệ thống an ninh mạng của mình. Công ty chứng khoán, bảo hiểm, tài chính là một trong những tổ chức đầu tư nhiều cho hệ thống công nghệ thông tin, trong đó có an ninh mạng, nhưng rõ ràng cần phải có cách làm mới hơn, thay vì chỉ tập trung vào đầu tư về mặt công nghệ.

“Đã đến lúc các công ty chứng khoán cần thực hiện theo mô hình phòng thủ 4 lớp do Bộ Thông tin và Truyền thông hướng dẫn. Theo đó, một tổ chức cần có lực lượng an ninh mạng tại chỗ, tổ chức kiểm tra đánh giá an ninh mạng thường xuyên, thuê dịch vụ giám sát an ninh mạng chuyên nghiệp và kết nối chia sẻ thông tin với các trung tâm an ninh mạng quốc gia. Người dùng cần đổi mật khẩu ngay khi hệ thống hoạt động trở lại để đảm bảo tài khoản vẫn trong tầm kiểm soát của mình”, ông Sơn khuyến nghị.

Ông Nguyễn Tử Quảng cũng cho rằng, nên coi đây là bài học để rút ra các kinh nghiệm, đặc biệt là trong việc phòng ngừa. Về mặt kỹ thuật, để phòng ngừa các cuộc tấn công mạng, doanh nghiệp nên sử dụng các hệ thống giám sát. Với triết lý của an ninh không gian mạng hiện nay, thì đôi khi phải chấp nhận việc hacker xâm nhập trong hệ thống, vấn đề là làm thế nào phát hiện được ngay việc xâm nhập để hacker không kịp gây hại. Việc này đòi hỏi có hệ thống công nghệ, hệ thống giám sát.

“Liên quan đến virus mã hóa, thì tất cả các máy tính, kể cả máy cá nhân và máy chủ, đều nên cài đặt phần mềm diệt virus một cách đầy đủ. Chỉ cần hở ở một thiết bị là hacker có thể xâm nhập được, sau đó ‘leo thang đặc quyền’ để xâm nhập ra cả hệ thống”, ông Quảng chia sẻ.

Trong khi đó, theo ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena, một công ty tài chính lớn luôn phải có hệ thống dự phòng để kích hoạt ngay khi hệ thống chính gặp sự cố. Hệ thống dự phòng có thể chạy chậm hơn, chức năng ít hơn, nhưng vẫn đảm bảo các tính năng cơ bản cho người dùng sử dụng. Trường hợp của VNDirect thì “sập toàn tập”, có thể họ không có hệ thống dự phòng, hoặc sự cố này quá nghiêm trọng khiến hệ thống dự phòng cũng gặp vấn đề.

Ông Thắng khuyến nghị, các công ty trong lĩnh vực tài chính - ngân hàng, chứng khoán đều phải đầu tư mạnh cho hạ tầng công nghệ thông tin, để khi gặp các sự cố về đường truyền, thậm chí là tấn công từ chối dịch vụ (DDoS), thì đều có thể nhanh chóng khắc phục trong không quá vài giờ.

Tú Ân