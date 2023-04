Cuối tháng ba, giới bảo mật quốc tế phát hiện một chiến dịch tấn công nhắm vào 3CX Desktop App - ứng dụng gọi điện và chăm sóc khách hàng của doanh nghiệp, trên các hệ điều hành Windows, macOS và Linux.

Hacker đã chèn mã độc gián điệp vào bản cập nhật phần mềm này, khi khách hàng nâng cấp và sử dụng 3CX Destop App, họ có thể trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng.

Thống kê của Bkav cho biết, Việt Nam có ít nhất 318 doanh nghiệp và tổ chức đang sử dụng 3CX Desktop App, đều có thể trở thành miếng mồi của hacker.

Tin tức mới nhất trong lĩnh vực an ninh mạng này khiến tôi nhớ đến báo cáo vào tháng 3 của Kaspersky: Năm 2022 có tổng cộng 304.904 cuộc tấn công ransomware (đòi tiền chuộc) nhắm vào các doanh nghiệp khu vực Đông Nam Á. Việt Nam xếp thứ ba với 57.389 vụ, sau Indonesia (131.779 vụ) và Thái Lan (82.438 vụ). Đại diện của Fortinet, một hãng chuyên phát triển và cung cấp các giải pháp an ninh mạng, cũng cho biết, trong quý 4/2022, trung bình mỗi ngày tại Việt Nam có tới 44 triệu mối đe dọa về an ninh mạng, liên quan đến virus, botnets, Exploits...

An ninh mạng vốn là mối họa khó nhìn thấy, và càng ít được để ý hơn khi các doanh nghiệp đang đối đầu với nhiều khó khăn hiện hữu khác trong bối cảnh suy thoái kinh tế. Nhưng nó hoàn toàn có thể trở thành vấn đề sống còn của mỗi một tổ chức, đặc biệt là khi các hoạt động gắn với công cuộc chuyển đổi số hóa đang diễn ra mạnh mẽ hiện nay.

Cũng theo nghiên cứu của Kaspersky, khu vực châu Á - Thái Bình Dương đang bị thiếu hụt 2,1 triệu nhân sự về bảo mật mạng. Chỉ 5% lãnh đạo doanh nghiệp tin rằng có khả năng xử lý sự cố nội bộ liên quan đến ransomware và chỉ số ít doanh nghiệp có đội ngũ công nghệ thông tin hoặc nhà cung cấp dịch vụ hỗ trợ họ. 94% còn lại cần sự can thiệp từ bên ngoài khi gặp sự cố.

Theo một khảo sát của Cisco, cũng công bố vào tháng 3 năm nay, chỉ 17% tổ chức ở Việt Nam có chỉ số ở mức "Trưởng thành", tức có khả năng chống lại các rủi ro an ninh mạng hiện đại ngày nay.

Để ngăn chặn mối họa trên không gian mạng, doanh nghiệp cần ý thức hơn về các nguy cơ thường trực và không được phép lơ là những hoạt động bảo mật cơ bản như: Thiết lập và xác định cấu hình bảo mật thích hợp (bao gồm thiết lập tường lửa, phần mềm chống virus, ngăn chặn và phát hiện xâm nhập); Giám sát hoạt động mạng (chủ động tìm kiếm các hành vi đáng ngờ, chẳng hạn như cố gắng đăng nhập nhiều lần hoặc cố gắng truy cập thông tin nhạy cảm); Thực hiện kiểm soát truy cập (hạn chế quyền truy cập vào dữ liệu, sử dụng mật khẩu mạnh, xác thực hai yếu tố...); Tiến hành kiểm tra bảo mật thường xuyên đồng thời luôn cập nhật các mối đe dọa mới nhất.

Những vấn đề nêu trên là các biện pháp liên quan đến phần cứng và hệ thống, chính sách. Điều quan trọng và là "mắt xích yếu nhất" (the weakest link) trong các hệ thống phòng thủ bảo mật vẫn là con người. Đó là lý do mà social engineering (tấn công phi kỹ thuật) - một phương pháp tấn công bằng cách tương tác với con người và lợi dụng các yếu điểm tâm lý để chiếm quyền truy cập hoặc ăn cắp thông tin nhạy cảm - vẫn là một kỹ thuật phổ biến trong lĩnh vực an ninh mạng. Ví dụ dễ hiểu của thủ đoạn này là hacker giả danh kỹ thuật viên công ty, gọi điện cho một nhân viên thực sự, yêu cầu cung cấp dữ liệu bảo mật để hoàn thành một nhiệm vụ quan trọng. Tất nhiên, hacker đã chuẩn bị mọi dữ liệu và thông tin cần thiết để cuộc gọi diễn ra một cách tự nhiên, khiến người nghe không mảy may nghi ngờ, coi đây là một trao đổi công việc bình thường.

Bằng những cách thức social engineering như vậy, Kevin Mitnick - một trong những hacker nổi tiếng nhất thế giới - đã tấn công vào hệ thống máy tính của chính phủ, ngân hàng cũng như các công ty như Motorola, Sun Microsystems và Fujitsu ở Mỹ vào những năm 1990.

Đến nay, các cuộc tấn công phi kỹ thuật này, theo quan sát của tôi, vẫn diễn ra hàng ngày bằng những thủ đoạn ngày càng tinh vi và khó ngờ hơn.

Vì vậy, các tổ chức cần đào tạo nhân viên về cách xác định và báo cáo hoạt động đáng ngờ, đồng thời nhấn mạnh tầm quan trọng của việc tuân theo các quy cách bảo mật (best practice) như đặt mật mã phức tạp, xác thực đa yếu tố, tránh tải và cài đặt các phầm mềm không rõ nguồn gốc, không truy cập vào những trang web xấu, độc hại, tránh bấm vào link có nguồn gốc không rõ ràng.

Thực ra, không có một hệ thống nào an toàn 100% với tình trạng phát triển công nghệ như hiện nay. Các hệ thống ngày càng phức tạp và lỗ hổng luôn tồn tại đâu đó trong hàng triệu dòng code. Câu nói nổi tiếng của nhà khoa học máy tính Bruce Schneier mà giới công nghệ luôn thuộc nằm lòng là "Bảo mật là một tiến trình, không phải là một sản phẩm (Security is a process, not a product).

Bảo mật, thực hành các quy tắc và sẵn sàng đối phó với những rủi ro khó lường là một trận chiến không có hồi kết. Nhưng với những vấn đề, giải pháp nêu ở trên, tổ chức, doanh nghiệp có thể khắc phục phần lớn rủi ro cho mình.

Đào Trung Thành