03/01/2016 12:01 GMT+7

An ninh mạng tại VN: chạy theo ISO, thiết b​ị

DƯƠNG NGỌC THÁI
DƯƠNG NGỌC THÁI

TTO - Những "bí mật động trời" an ninh mạng được chia sẻ bởi chuyên gia bảo mật từ Google Dương Ngọc Thái, đồng thời chỉ rõ vấn đề lớn nhất về an ninh mạng tại Việt Nam.

Đội ngũ nhân sự tinh thông mới có thể vận hành tối ưu các lớp an ninh bảo vệ an toàn cho hệ thống - Ảnh minh họa: consciouslifenews.com
Đội ngũ nhân sự tinh thông mới có thể vận hành tối ưu các lớp an ninh bảo vệ an toàn cho hệ thống - Ảnh minh họa: consciouslifenews.com

Nội dung bài viết được chuyên gia phân tích bảo mật của Google  chia sẻ đến chuyên mục Bảo mật - Nhịp Sống Số nhằm đem đến cái nhìn tổng quan hơn cho các cơ quan tổ chức nhà nước và các doanh nghiệp trong quá trình đầu tư xây dựng hệ thống trước làn sóng , gián điệp kinh tế phổ biến hiện nay do tội phạm mạng gây ra, tổn hại rất lớn thậm chí đe dọa "sự sống còn" của các doanh nghiệp vừa và nhỏ.

"Dưới đây là ý kiến của cá nhân tôi. Tôi không phải là người đại diện và cũng không phải là người phát ngôn của Google hay bất kỳ tổ chức nào khác", Dương Ngọc Thái mở đầu cho bài chia sẻ kinh nghiệm của mình một cách thận trọng.

Sử dụng giải pháp an ninh có sẵn: coi chừng tiền mất tật mang

Hồi trung tuần tháng Chạp, Juniper, hãng thiết bị mạng nổi tiếng của Mỹ thông báo rằng có ai đó đã bí mật cài mã độc vào các thiết bị của họ. Mã độc này cho phép kẻ tấn công có thể điều khiển các thiết bị của Juniper và đồng thời giải mã luôn dữ liệu được gửi xuyên qua chúng.

Phân tích của giới chuyên môn cho thấy mã độc có liên quan đến một thuật toán tạo số ngẫu nhiên mang tên Dual EC. Từ năm 2007, hai nhà nghiên cứu ở Microsoft đã chỉ ra rằng Dual EC có thể đã bị Cơ Quan Tình Báo Quốc Gia Mỹ (NSA) cài mã độc và điều đó sau này được xác nhận bởi các tài liệu do Edward Snowden tiết lộ.

Ngoài Juniper ra, RSA, hãng sản phẩm an toàn thông tin đình đám của Mỹ, cũng từng bị phát hiện cố tình sử dụng Dual EC trong các sản phẩm của họ sau khi bí mật nhận 10 triệu USD từ NSA. Nói cách khác, ai sử dụng sản phẩm của RSA coi như đã bị chính phủ Mỹ "nắm đầu" từ nhiều năm nay.

Trước đó vài ngày, đồng nghiệp của chúng tôi ở Google phát hiện một lổ hổng nghiêm trọng trong các thiết bị của FireEye, hãng giải pháp chống mã độc. Lỗi này cho phép kẻ tấn công dễ dàng điều khiển các thiết bị của FireEye. Tương tự như Juniper, các thiết bị của FireEye thường được đặt ở những vị trí trọng yếu nhất trong các trung tâm dữ liệu, nơi có thể thấy hết toàn bộ dữ liệu đi ra đi vào, từ email, tài liệu, cho đến mật khẩu, v.v.

Vấn đề là chất lượng an ninh phần mềm của các thiết bị như vậy thường không được đảm bảo, bởi các công ty làm thiết bị an ninh, trớ trêu thay, lại thường không có đội làm an ninh phần mềm

Dương Ngọc Thái, chuyên gia phân tích bảo mật của Google

Ngoài FireEye, người ta còn phát hiện được lỗi bảo mật của hầu hết các giải pháp mạng của Cisco, F5, Palo Alto Networks hay các phần mềm chống mã độc hiện có trên thị trường như ESET, Kaspersky, Sophos, Avast, v.v.

Chuyên gia bảo mật, an ninh mạng luôn là một trong 10 vị trí tuyển dụng hàng đầu các năm qua từ những cơ quan chính phủ, công ty lớn trên thế giới - Ảnh minh họa: Internet
Chuyên gia bảo mật, an ninh mạng luôn là một trong 10 vị trí tuyển dụng hàng đầu các năm qua từ những cơ quan chính phủ, công ty lớn trên thế giới - Ảnh minh họa: Internet

Trong các kỳ ở TP.HCM, chúng tôi đều nhấn mạnh phần mềm luôn có lỗi bảo mật và các giải pháp chống mã độc, tường lửa hay các thiết bị an ninh đều là phần mềm, nên chúng cũng có lỗi. Các phần mềm này thậm chí còn có nhiều lỗi hơn vì chúng thường phức tạp hơn phần mềm thông thường.

Nhóm của chúng tôi ở Google chịu trách nhiệm an ninh phần mềm cho các sản phẩm của hãng và sự thật là chúng tôi đã tìm thấy lỗi bảo mật trong tất cả phần mềm hay thiết bị phần cứng mà chúng tôi đã từng xem xét. Việc mua sắm và cài đặt các trang thiết bị và giải pháp an ninh có sẵn, do đó, có thể làm cho hệ thống kém an toàn hơn.

Rất tiếc, theo quan sát của chúng tôi các cơ quan nhà nước và các doanh nghiệp Việt Nam dành phần lớn ngân sách để mua sắm các giải pháp có sẵn kể trên. Không phải giải pháp nào cũng tệ, nhưng nếu người ra quyết định không có đủ thông tin (ví dụ như không biết rằng các thiết bị của Juniper đã bị cài mã độc), khó lòng mà họ có thể chọn được giải pháp thật sự đem lại lợi ích và với một chi phí hợp lý.

Một xu hướng đầu tư quản lý an toàn thông tin khác không mấy hiệu quả nhưng lại rất phổ biến ở Việt Nam là chạy theo các bộ tiêu chuẩn như ITIL hay ISO 27001. Google buộc phải lấy chứng chỉ ISO 27001 không phải vì nó quá hữu ích trong việc đảm bảo an toàn thông tin, mà chỉ vì luật lệ một số nước yêu cầu Google phải đạt được chuẩn này. Chúng tôi làm ở Google hơn bốn năm, nhưng chưa từng có ai yêu cầu chúng tôi phải tuân thủ những bộ tiêu chuẩn này. Chúng tôi nghĩ không phải chúng không đem lại giá trị, chỉ là giá trị không xứng đáng với thời gian, công sức và tiền bạc phải bỏ ra.

Đầu tư an toàn thông tin đúng cách: đầu tư vào con người

Thay vì đầu tư tiền của vào các giải pháp có sẵn, Google chọn đầu tư vào con người. Nhóm làm an toàn thông tin ở Google có hơn 500 người, chỉ tiền lương thôi thì mỗi năm Google đã phải chi vài trăm triệu USD. Nếu có một giải pháp có sẵn, chắc hẳn những người quản lý đã mua để sử dụng cho tiết kiệm chi phí. Mặc dù Google vẫn có sử dụng một số thiết bị và giải pháp của bên thứ ba, thông thường Google tự xây dựng các giải pháp của riêng họ, vì các giải pháp có sẵn không đảm bảo được chất lượng. Đương nhiên không phải công ty nào cũng có thể làm như thế, nhất là các doanh nghiệp vừa và nhỏ, nhưng trước nhất chủ doanh nghiệp hay những người làm quản lý thông tin phải hiểu rằng cách đầu tư đúng nhất là đầu tư vào con người.

Ở Việt Nam đã bắt đầu có những doanh nghiệp đầu tư đúng cách vào an toàn thông tin, ví dụ như VNG hay Viettel. Theo chúng tôi được biết, những đơn vị này đã dành ra nhiều tiền của để duy trì một đội ngũ vài chục người bao gồm những kỹ sư an toàn thông tin thuộc hàng giỏi nhất Việt Nam. Nhưng đây chỉ là hai ngoại lệ hiếm hoi, đa số các công ty khác, nhất là những đơn vị nhà nước, đều dành hết tiền mua sắm thiết bị giải pháp có sẵn.

Có lần, một kỹ sư làm ở cục An toàn Thông tin trực thuộc một bộ trong chính phủ nói với chúng tôi rằng ở chỗ anh ấy làm việc, có đủ hết tất cả các máy móc thiết bị hiện đại nhất, mới nhất, phần lớn là mua của các hãng bên Mỹ. Vấn đề là anh ấy không biết sử dụng chúng vì trình độ kém nhưng lại không được đào tạo. Thành ra chỉ biết trùm mền các thiết bị có giá trị cả trăm ngàn USD, mỗi năm mở ra vài lần để cập nhật giấp phép sử dụng (license).

Xét ở bình diện an ninh quốc gia, Việt Nam nằm trong tầm ngắm của rất nhiều nhóm hacker có sự tài trợ của chính phủ (state-sponsored hackers). Đây là nhóm hacker nguy hiểm nhất, vì họ có tiền, có động cơ, có tài năng và có đủ kiên nhẫn. Không ai biết nhóm hacker nào đã xâm nhập và cài mã độc vào các thiết bị của Juniper, nhưng rõ ràng họ làm vậy không phải để đánh Juniper mà để đánh khách hàng của hãng này.

Họ muốn xâm nhập vào một tổ chức nào đó và họ phát hiện tổ chức đó sử dụng sản phẩm của Juniper, nên họ xâm nhập vào Juniper. Có thể họ đến từ Nga, từ Trung Quốc, hay từ Mỹ, không ai biết cả. Câu hỏi là Việt Nam cần phải làm gì để tự phòng vệ trước mối hiểm họa này? Có rất nhiều việc cần phải làm, nhưng trước nhất vẫn là đầu tư vào con người.

Sự thật là sinh viên và kỹ sư an toàn thông tin Việt Nam có trình độ không thua kém các nước trong khu vực. Vừa rồi đội Việt Nam bao gồm các sinh viên đang theo học ở đại học Công Nghệ Thông Tin đã giành giải nhất cuộc thi hacking của các nước ASEAN.

Các chuyên gia Việt Nam cũng được biết đến trên thế giới. Ví dụ như các sản phẩm và nghiên cứu của tiến sĩ Nguyễn Anh Quỳnh đã được giới hacker thế giới đánh giá rất cao. Nhưng số lượng kỹ sư lành nghề của Việt Nam vẫn còn quá ít. So với Thái Lan, Singapore, Malaysia, v.v. Việt Nam có phần nổi trội về tài năng an toàn thông tin nhưng nếu so với Trung Quốc hay các nước phương Tây, số lượng chuyên gia Việt Nam như muối bỏ biển.

Gia tăng số lượng và chất lượng chuyên gia trong nước, do đó, là việc đầu tiên cần phải làm ngay
 

Các doanh nghiệp và cơ qua nhà nước phải dành phần lớn ngân sách an toàn thông tin để tuyển dụng, đào tạo, phát triển đội ngũ chuyên gia lành nghề tại chỗ. Các trường đại học phải đào tạo làm sao để sinh viên có đủ khả năng tham dự các cuộc thi thử tài xâm nhập được tổ chức thường xuyên trong và ngoài nước.

Các công ty và tổ chức phải gửi nhân viên đi học, đi đào tạo ở các hội thảo chuyên môn trong và ngoài nước, tạo điều kiện cho họ tiếp xúc với giới chuyên gia, tạo điều kiện cho họ trở thành chuyên gia -- chính những người này sẽ giúp xây dựng các giải pháp an ninh dựa trên các nền tảng mở cũng như ra quyết định nên đầu tư mua sắm cái gì cho hợp lý. Nhu cầu nhân lực an toàn thông tin ở Mỹ và các nước phát triển rất lớn, do đó các doanh nghiệp và cơ quan nhà nước phải hiểu rằng để thu hút được người giỏi, phải có chế độ đãi ngộ xứng đáng, nếu không họ sẽ ra nước ngoài làm việc.

Việt Nam đang ở khoảng lặng trước cơn bão

Cả thế giới đang bị phần mềm nuốt chửng, nhưng phần mềm lúc nào cũng có nhiều lỗ hổng bảo mật. Mấy năm vừa rồi, bao nhiêu công ty trên thế giới bị xâm nhập, mỗi lần gây thiệt hại có khi lên đến hàng chục tỉ USD. Vậy mà ở Việt Nam khá yên ắng. Phải chăng Việt Nam là một ngoại lệ? Chúng tôi không nghĩ như vậy.

Việt Nam đang ở khoảng lặng trước cơn bão.

Cả xã hội Việt Nam đang bị Facebook và điện thoại thông minh "nuốt chửng". Ngay cả chính phủ cũng đã xuất hiện trên Facebook. Rất nhiều công ty đã và đang ngày càng phụ thuộc vào máy tính. Thiệt hại sẽ như thế nào nếu như hệ thống tính tiền của các công ty như vậy bị cài mã độc để đánh cắp thông tin thẻ tín dụng? Chuyện gì sẽ diễn ra nếu tài khoản Facebook của chính phủ bị đánh cắp và một thông tin xấu được gửi lên đó? Chúng tôi không dám hình dung thiệt hại, nhưng chúng tôi tin chắc đầu tư để nâng chất lượng và số lượng kỹ sư an toàn thông tin là một lựa chọn rẻ hơn rất nhiều.

Dương Ngọc Thái trong buổi trò chuyện cùng Tuổi Trẻ - Ảnh: Thuận Thắng
Dương Ngọc Thái trong buổi trò chuyện cùng Tuổi Trẻ - Ảnh: Thuận Thắng

Dương Ngọc Thái là một tên tuổi trong cộng đồng bảo mật không chỉ ở VN mà trên thế giới.

Anh được biết đến qua các công trình nghiên cứu như khám phá lỗ hổng bảo mật cấp độ nghiêm trọng như cùng đồng nghiệp phát hiện lỗ hổng trong khung ứng dụng ASP.NET của Microsoft năm 2010, ước tính có 1/5 website trên Internet bị ảnh hưởng bởi lỗ hổng này.

Thái được mời làm diễn giả tại các hội thảo an ninh mạng, bảo mật nổi tiếng trên thế giới và đoạt giải thưởng uy tín Pwnie dành cho hạng mục lỗ hổng máy chủ hay nhất trong năm 2010.

Trong suốt ba năm 2010, 2011 và 2012, các nghiên cứu của Dương Ngọc Thái đều đứng đầu danh sách 10 kỹ thuật tấn công web hay nhất trong năm.

Gần đây nhất vào tháng 10 là phát hiện về ba hướng tấn công mới vào giao thức bảo mật quan trọng nhất trên Internet là SSL.

Đây là những nghiên cứu đột phá, ảnh hưởng đến sự an toàn của toàn bộ Internet và tạo tiền đề cho nhiều nghiên cứu của các chuyên gia khác trong ngành. Trước khi gia nhập Google, Dương Ngọc Thái là trưởng phòng an toàn thông tin Ngân hàng Đông Á từ năm 2004-2010.

DƯƠNG NGỌC THÁI
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên