Việt Nam trước hiểm họa tấn công APT

07/12/2015

Đó là lời cảnh báo của các chuyên gia đến từ nhiều công ty hoạt động trong lĩnh vực an ninh thông tin, CNTT có uy tín trên thế giới tại Ngày ATTT Việt Nam 2015 tại TP.HCM hôm 19/11. Theo các chuyên gia, sự bảo vệ ngày nay là không đủ để đối phó với tấn công mạng hiện đại vì các giải pháp triển khai khác nhau thường độc lập với nhau. Để đạt mục tiêu giảm thiểu nguy cơ bị tấn công có chủ đích thì các giải pháp an ninh mạng phải được kết hợp chặt chẽ dưới cái nhìn bức tranh toàn cảnh, phát hiện sớm, phản ứng nhanh. 
Ông Tất Thành Cang – Phó Bí thư, Phó Chủ tịch UBND TP.HCM cho biết, Thành phố trước đây đã phê duyệt chương trình xây dựng và triển khai an ninh thông tin trong cơ quan quản lý nhà nước giai đoạn 2012-2015. Ảnh: Cao Minh

Hệ thống nào cũng có thể bị tấn công APT xuyên thủng
Tấn công có chủ đích, hay tấn công APT gần đây được nhắc tới liên tục, đặc biệt trong Ngày ATTT năm nay. Vậy tấn công APT là gì và nguy hiểm ra sao?
APT là viết tắt của cụm từ “Advanced Persistent Threat” – những mối nguy hiểm cao thường trực. Tấn công APT là hình thức mà hacker, hay một nhóm hacker có tổ chức, tấn công bền bỉ có chủ đích nhắm vào tổ chức, doanh nghiệp (TC/DN) cụ thể nhằm đạt cho được mục tiêu, chẳng hạn như đánh cắp dữ liệu quan trọng bằng mọi cách.
Tội phạm mạng đang trở thành một ngành công nghiệp có lợi nhuận lớn, giá trị hàng tỷ đô la Mỹ. Các cuộc tấn công của hacker chuyên nghiệp, có tổ chức, phần lớn là có chủ đích nhằm kiếm tiền hoặc phá hoại theo đơn đặt hàng. Theo các chuyên gia thuyết trình tại Ngày ATTT 2015, tội phạm mạng đang có những bước phát triển rất nhanh, sử dụng nhiều kỹ thuật tiên tiến, khai thác các lỗ hổng zero-day, tấn công bằng nhiều phương thức tinh vi để xuyên thủng các hệ thống phòng vệ.
Điều đặc biệt nguy hiểm của tấn công APT là hacker có thể tạo ra malware riêng cho từng mục tiêu cụ thể, ủ bệnh rất lâu, thậm chí theo chia sẻ của các chuyên gia bảo mật thì có những loại malware có hành vi thể hiện rất ít nên cực kỳ khó phát hiện, kể cả khi chạy kiểm thử trong môi trường giả lập Sandbox. Với những loại malware này, giải pháp truyền thống dựa trên phân tích chữ ký (signature) trở nên bất lực trong việc phát hiện và ngăn chặn.
Chiêu thức đánh lừa kiểu phi kỹ thuật (social engineering) thông qua những email hay website có chứa mã độc vẫn được hacker dùng nhiều và rất hiệu quả. Xu hướng BYOD và người dùng truy cập làm việc từ xa cũng tạo điệu kiện hơn cho hacker xâm nhập mạng TC/DN. Việc truy tìm hacker không hề dễ, chưa kể là tội phạm tấn công mạng và nạn nhân thường không cùng một quốc gia nên càng gây khó cho các cơ quan thực thi pháp luật.
Minh chứng rõ nhất là trường hợp nhóm APT30 suốt 10 năm qua đã tấn công nhiều cơ quan chính phủ và nhà báo tại các nước Đông Nam Á, trong đó có Việt Nam, bằng cùng một phương thức mà gần đây mới bị phát hiện, theo công bố của công ty bảo mật FireEyE của Mỹ trong một cuộc họp báo hồi tháng 5.
Vụ hãng phim Sony Pictures bị hacker tấn công vào cuối năm 2014 gây thiệt hại hàng tỷ đô la Mỹ, và nhiều nạn nhân trước đó như Home Depot, eBay, JPMorgan báo hiệu các TC/DN đang đối mặt với nguy cơ thiệt hại khó lường nếu phương thức bảo mật không thay đổi.
Mức độ nguy hiểm của tấn công APT được ông Nguyễn Thành Đồng – kỹ sư bảo mật của công ty NPCore chia sẻ tại Ngày ATTT, qua sự cố nhiều ngân hàng và đài truyền hình Hàn Quốc bị tê liệt do hacker tấn công vào năm 2013, tổn thất vô cùng to lớn. Đây đều là những đơn vị có hạ tầng CNTT tốt với hệ thống an ninh thông tin được đầu tư bài bản.
Tại Việt Nam, theo ông Võ Đỗ Thắng – Giám đốc Trung tâm Athena cho biết, dữ liệu nội bộ TC/DN có giá trị đang là đích nhắm tấn công APT. Đối tượng bị tấn công nhiều tập trung vào nhóm các DN tư nhân, FDI có doanh thu lớn, nhất là những đơn vị không có người chuyên trách CNTT. Nhiều doanh nghiệp có sản phẩm độc quyền như điện, nước, xăng, dầu, thực phẩm, cùng các ngân hàng, cơ quan chính phủ cũng là đối tượng của tấn công APT, nhiều đơn vị bị xâm nhập sâu.
“Có doanh nghiệp FDI ở Bình Dương bị cài mã độc trong hệ thống máy tính hơn một năm mà không biết, đã bị mất hàng gigabyte dữ liệu kế toán, bí mật kinh doanh, các bản thiết kế sản phẩm… Giá trị thiệt hại sơ bộ lên đến hàng trăm ngàn đô la Mỹ”, ông Thắng cho biết.
Tấn công phá hoại đáng chú ý tại Việt Nam là vụ VCCorp bị tấn công làm ngưng trệ nhiều ngày một loạt trang web trong nước có lượt truy cập cao mà công ty chịu trách nhiệm quản lý kỹ thuật, gây thiệt hại cho VCCorp hàng chục tỷ đồng.
Tình hình chung là sự vi phạm không còn là “nếu” mà là “khi nào”. Và TC/DN sẽ chịu thiệt hại tàn khốc do mất quá nhiều thời gian để phát hiện malware. Theo thống kê, thời gian trung bình để phát hiện xâm nhập đã giảm xuống còn 205 ngày – vẫn là khoảng thời gian quá lớn.
Cuộc thi “Sinh viên với ATTT” trong khuôn khổ chuỗi hoạt động của Ngày ATTT Việt Nam 2015. Ảnh: Cao Minh


Cuộc chiến không cân sức
Theo cảnh báo của ông Nguyễn Quốc Thành – phụ trách kỹ thuật của Trend Micro, mọi hàng rào phòng thủ tiêu chuẩn đã trở nên lỗi thời trước những cuộc tấn công APT được thiết kế riêng. Hệ thống bị xuyên thủng chỉ là vấn đề thời gian trước kiểu tấn công “đo ni đóng dày” – nghiên cứu, thiết kế, lập trình và thử nghiệm cho mục tiêu cụ thể.
“Hacker có quá nhiều lợi thế so với bên bị tấn công. Chúng dễ dàng kết nối với các hacker lão luyện trên mạng, có nhiều điểm yếu trên hệ thống phòng thủ để khai thác tấn công và có mục tiêu rõ ràng. Trong khi đó đối tượng bị tấn công có quá nhiều công việc thường ngày, không dễ gì tập trung toàn bộ sức lực cho hệ thống phòng thủ vốn luôn có nhiều sơ hở, họ cũng không có điều kiện giao tiếp thường xuyên với các chuyên gia, và chỉ một sai lầm là phải trả giá”, ông Thành phân tích.
Ông Quang Hùng, trưởng đại diện của công ty FireEyE tại Việt Nam, cũng đồng quan điểm với ông Thành của Trend Micro khi cho rằng đang có một khoảng cách lớn về tương quan lực lượng và năng lực giữa tội phạm mạng và đội ngũ phòng thủ. Theo FireEyE , các mối đe dọa tấn công APT ngày nay dễ dàng vô hiệu hóa khả năng bảo vệ của các giải pháp bảo mật truyền thống. “Hoạt động tấn công còn tỏ ra nguy hiểm hơn trước nhiều vì có tổ chức và thậm chí còn được bảo trợ bởi các nhóm tội phạm mạng (FIN4) hay bởi chính phủ (APT1, APT28, APT30)”, ông Hùng nhấn mạnh với từ “bảo trợ”.
FireEyE phân loại nhiều nhóm tấn công, như APT25 chuyên nhắm vào lĩnh vực ngân hàng, APT1 và APT30 thì được thiết kế cho đối tượng tấn công là các cơ quan chính phủ, công ty năng lượng bao gồm dầu khí, điện lực.
“Không tổ chức nào có thể an toàn” khi tội phạm mạng đang gia tăng xu hướng tấn công có mục đích, có tổ chức và có trình độ cao, theo nhận định của ông Keshav Dhakad – Giám đốc khu vực, Bộ phận phòng chống tội phạm số, Microsoft châu Á. Ông cho rằng thách thức an ninh mạng được đặt ra trước thực tế người dùng luôn mong muốn truy cập mọi thứ để làm việc với năng suất cao, thiết bị bùng nổ về số lượng, chủng loại làm xói mòn mọi tiêu chuẩn, ứng dụng triển khai trên nhiều nền tảng ngày càng nhiều nhưng ngay từ khâu lập trình các nhà phát triển phần mềm đã không chú trọng đến an ninh, ATTT.
Lực lượng tấn công dưới sự chỉ đạo của TS. Nguyễn Anh Tuấn - Ủy viên BCH VNISA phía Nam tại buổi Diễn tập về ATTT tại TP.HCM hôm 18/11. Ảnh: Nhật Thanh

Vấn đề nhân lực
APT chỉ là một phần trong câu chuyện xu thế tấn công nhiều hướng và đa dạng, trước thực tế phần lớn các TC/DN chưa nhận thức đầy đủ mối nguy hiểm của các lỗ hổng bảo mật, thiếu nhân viên chuyên trách về ATTT, nhân lực trình độ thấp nên không hiểu vá lỗ hổng sao cho đúng, chưa hiểu phải bảo vệ gì và bảo vệ thế nào.
Trong bài phát biểu “Tương lai của an ninh mạng”, ông Peter Sparkes – Giám đốc khối dịch vụ quản lý bảo mật của Symantec khu vực châu Á–Thái Bình Dương và Nhật Bản nhấn mạnh “nhân lực là vấn đề trọng yếu”. Ông cho biết, các cuộc tấn công ngày nay diễn ra nhanh hơn nên các giải pháp phòng chống chỉ tập trung vào thiết bị là không đủ mà phải nhìn toàn cảnh, bảo vệ toàn hệ thống, và phải bảo vệ người dùng cuối.
Tình trạng thiếu hụt chuyên gia ATTT là điều đáng lo ngại, theo ông Olaf Krohmann – Giám đốc giải pháp bảo mật Cisco, khu vực châu Á. Không đủ nhân lực để sẵn sàng chống lại tấn công mạng ngay từ hôm nay thì tương lai khó khăn càng chồng chất. Đại diện của Cisco cho biết, tới năm 2020, khoảng 75% nền kinh tế thế giới được số hóa, với 56 tỷ thiết bị được kết nối trong xu hướng Internet of Things, diện tấn công trở nên quá rộng nên sẽ quá khó để phát hiện sớm các cuộc xâm nhập – điều cực kỳ quan trọng để giữ ATTT.
“Bất lực trước những gì chúng ta không nhìn thấy” là câu nói quen thuộc của nhiều chuyên gia ATTT để nói lên tầm quan trọng của phát hiện.
Phát hiện ngày càng khó nên phải có cách tiếp cận mới. Đó là quan điểm của ông Chris Petersen – Phó chủ tịch công nghệ và sản phẩm, đồng thời là nhà sáng lập Logrhythm với bài phát biểu “Phòng chống tấn công mạng công nghệ cao: hệ thống phân tích, nhận diện và phòng vệ thông minh”. Kẻ xấu từ bên trong nên phân tích dữ liệu và hành vi rất quan trọng. Các máy có khả năng học với trí tuệ nhân tạo sẽ giúp phân tích thông minh. Tuy nhiên ông cũng chỉ ra rằng quyết định thuộc về con người, và phân tích thông minh là để hỗ trợ giúp con người ra quyết định đúng. Mẫu số chung theo ông vẫn là phát hiện sớm, và muốn thế thì phải hiểu bức tranh tổng thể,  ngoài trợ giúp của máy thông minh để phân tích dữ liệu lớn vẫn cần tới chuyên gia mà tình trạng chung là quá thiếu.
Theo cảnh báo của các chuyên gia bảo mật thì các phương pháp truyền thống đang thất bại do kỹ thuật tấn công lây nhiễm phát triển quá nhanh, với nhiều thủ đoạn tinh vi vượt trình độ của nhân viên có trách nhiệm về ATTT của TC/DN. Con người là nhân tố quan trọng nhất, không có kỹ năng thì không thể bảo vệ hệ thống.
Lực lượng ứng cứu sự cố ATTT TP.HCM trong vai trò phòng thủ, dưới sự chỉ đạo của TS. Trịnh Ngọc Minh - Phó chủ tịch VNISA phía Nam tại buổi diễn tập ATTT tại TP.HCM hôm 18/11. Ảnh: Cao Minh

Và hành động của chúng taPhát biểu tại Ngày ATTT 2015, Giám đốc sở TTTT TP.HCM, ông Lê Thái Hỷ nhấn mạnh, điều cốt yếu là chúng ta phải hành động và hành động ngay. Nhân sự có mặt của Thứ trưởng Bộ TTTT  Nguyễn Thành Hưng, ông Lê Thái Hỷ bày tỏ TP.HCM mong muốn đầu tư một phòng thí nghiệm ATTT, làm thao trường diễn tập thực hành để huấn luyện và đào tạo đội ngũ kỹ thuật trình độ cao, phục vụ công tác đảm bảo ATTT trong dài hạn.
“Tôi mong muốn Ủy ban quốc gia về ứng dụng CNTT và Bộ TTTT xem xét và ủng hộ đề xuất của Sở TTTT TP.HCM đầu tư một phòng thí nghiệm về ATTT cho khu vực phía Nam”.
VNISA phía Nam đã nhiều lần lên tiếng về việc thiếu diễn tập ATTT là một lỗ hổng lớn đối với các TC/DN trong việc xây dựng hệ thống bảo đảm ATTT cho đơn vị trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp, đặc biệt là hình thức tấn công APT với sự đeo bám dai dẳng của hacker. Tình hình phức tạp tới mức Thứ trưởng Nguyễn Thành Hưng thậm chí còn đề cập tới dấu hiệu “chiến tranh mạng” trong tương lai gần khi phát biểu tại buổi diễn tập bảo vệ Hệ thống thông tin TP.HCM 2015 do Sở TTTT phối hợp cùng VNISA phía Nam tổ chức hôm 18/11.
Ông Trịnh Ngọc Minh – Phó chủ tịch BCH VNISA phía Nam cho biết, đã có những chuyển biến mạnh mẽ là chúng ta đã tham gia diễn tập ATTT với các nước trong khu vực (gần 100 cơ quan, tổ chức của Việt Nam đã tham gia cuộc diễn tập quốc tế về chống tấn công mạng, với sự tham gia của 14 quốc gia hôm 28/10 – PV) để xây dựng khả năng phát hiện, phân tích và ứng cứu mỗi khi  bị tấn công bằng mã độc.
Qua thành công của buổi diễn tập chống tấn công mạng hôm 18/11, lấy “thao trường Cyber Range” của Cisco làm thực địa với những kịch bản xảy ra như trong thực tế, đại diện VNISA phía Nam khuyến nghị cơ quan quản lý nhà nước cần tiếp tục liên kết và chủ trì các hoạt động diễn tập thường xuyên với những kịch bản ngày càng khó hơn, sát thực tế hơn để sẵn sàng xử lý sự cố an ninh mạng trong thực tế.
VNISA phía Nam cũng khuyến nghị các DN cần chú ý đến con người và qui trình; Truyền thông, báo chí nên tích cực vào cuộc để nâng cao nhận thức cho toàn xã hội. VNISA phía Nam còn cho biết sẽ cố gắng phát huy vai trò của mình trong việc làm cầu nối giữa các đơn vị chuyên ngành và các DN có nhu cầu.
Theo PCWorld