Tại sao các hãng lớn lại "lười" cập nhật hệ thống của mình?

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Tại sao các hãng lớn lại "lười" cập nhật hệ thống của mình?
Nhìn vào những vụ tấn công như Equifax hay mã độc tống tiền WannaCry, Petya, bạn có thể sẽ băn khoăn tại sao các công ty lớn lại không cập nhật các phần mềm của mình lên phiên bản mới nhất để tránh những thiệt hại không đáng có?

1711579.jpg

Theo The Conversation, vụ tấn công Equifax, hiện vẫn chưa xác minh được thủ phạm, đã tiết lộ thông tin cá nhân của hơn 143 triệu người dùng. Đáng buồn hơn, điều này lẽ ra đã có thể phòng tránh được. Công ty đã sử dụng những phần mềm lỗi thời với nhiều lỗi bảo mật cho hệ thống của mình. Nhưng dường như với Equifax, cũng như nhiều tổ chức khác, đây mới chỉ là sự khởi đầu của những vấn đề cần phải giải quyết.

Trong suốt 3 thập kỷ qua, chúng ta đã nghiên cứu, phát triển và thử nghiệm hàng triệu dòng lệnh phần mềm cho nhiều mục đích khác nhau, từ quốc phòng an ninh cho đến viễn thông, dịch vụ tài chính, chăm sóc sức khỏe và trò chơi trực tuyến. Qua nhiều năm, chúng ta đã quan sát được rằng cứ mỗi lần có một vụ tấn công mạng xảy ra thì sẽ có những lỗ hổng bảo mật được phơi bày và cần được sửa chữa.

Nhưng khi những lỗ hổng ấy đã được biết đến từ trước khi cuộc tấn công xảy ra – giống như trường hợp của Equifax – yếu tố quan trọng hơn sẽ là tại sao những công ty không nhanh nhạy hơn nữa để tự bảo vệ mình và chủ nhân của những dữ liệu mà họ đang nắm giữ. Sự ra đi đột ngột của 3 lãnh đạo cấp cao của Equifax (bao gồm cả Giám đốc điều hành) đã cho thấy, tuy một phần là lỗi kĩ thuật, nhưng những nguyên nhân lớn hơn, sâu xa hơn là khả năng quản lý và cơ cấu tổ chức của công ty.

Những mối liên kết phức tạp

Equifax, giống như phần lớn các công ty trong top 100 của Fortune (danh sách các công ty lớn của Mỹ), đều dùng một nền tảng phần mềm mã nguồn mở có tên Apache Struts để vận hành các trang web của mình. Mọi phần mềm lớn đều có lỗ hổng bảo mật, hầu như là không thể tránh khỏi. Khi chúng được tìm thấy, thông thường công ty hay tổ chức viết phần mềm đó sẽ tạo ra một bản vá lỗi và chia sẻ một cách công khai, đồng thời thông báo cho người dùng rằng họ nên cập nhật lên phiên bản mới nhất. Đối với những người dùng thông thường, công việc chỉ đơn giản là click chuột để đồng ý cập nhật hệ điều hành hay ứng dụng đó.

Đối với các doanh nghiệp, quá trình này có thể khó khăn hơn rất nhiều. Một phần là bởi vì nhiều công ty sử dụng các hệ thống tương tác phức tạp để vận hành các trang web của mình. Chỉ một thay đổi nhỏ trong mã nguồn cũng có thể ảnh hưởng đến các mục khác theo cách không thể dự đoán trước được. Vấn đề này đặc biệt đúng khi các công ty sử dụng một phần cứng hay phần mềm trong nhiều năm trời và không cập nhật phiên bản mới một cách đầy đủ. Vấn đề còn tồi tệ hơn khi các doanh nghiệp sử dụng phần mềm từ bên ngoài và hoàn toàn phụ thuộc vào bên cung cấp khi có vấn đề xảy ra.

Cách tốt nhất để làm sạch không gian mạng (cyber hygiene) là kết hợp giữa phát triển (development) và vận hành (operations) hay còn gọi là "DevOps" để đơn giản hóa quá trình cập nhật và vá lỗ hổng bảo mật. Không tiến hành làm sạch không gian mạng cũng giống như một bác sĩ không rửa tay trước khi làm việc – tuy tốn thời gian và công sức, nhưng khi làm vậy các bác sĩ sẽ có thể bảo vệ hàng nghìn bệnh nhân khỏi bị nhiễm trùng.

Khi quá trình làm sạch không gian mạng được thực hiện đúng cách, tính hiệu quả của nó là rất cao. Vào tháng 4 năm nay, một lỗ hổng lớn ở hai hệ điều hành phổ biến nhất là Android và iOS đã cho phép hacker chiếm quyền điều khiển smartphone thông qua mạng Wi-Fi. Google và Apple đã ngay lập tức giải quyết vấn đề và phát hành các bản vá lỗi. Tốc độ phản hồi nhanh chóng cho thấy những quá trình "DevOps" của họ đều đáp ứng tiêu chuẩn của ngành công nghiệp, từ mã nguồn đáng tin cậy đến khâu thử nghiệm và cuối cùng là phát hành các bản cập nhật đến người dùng.

Nhà dột từ nóc


Ngoài những thách thức vốn có trong công nghệ và thực tiễn kinh doanh, khả năng quản lý doanh nghiệp cũng đóng một vai trò quan trọng trong việc định đoạt liệu một hay nhiều vấn đề có trở thành thảm họa hay không.

Những công ty có đầu tư vào bảo trì phần mềm đều có thể giải quyết các vấn đề một cách rất nhanh chóng, giống như Google và Apple đã từng làm. Tốc độ phản ứng chậm chạp của Equifax cho thấy họ đã không có được sự chuẩn bị tốt. Quá khứ sử dụng các phần mềm từ bên ngoài công ty cũng chỉ ra rằng họ gần như hoàn toàn phụ thuộc vào bên cung cấp và không hề có ai có khả năng làm những điều cần thiết khi sự cố xảy ra.


Như đổ thêm dầu vào lửa, trưởng phòng an ninh của Equifax, người đã nghỉ việc cùng với giám đốc thông tin và giám đốc điều hành của công ty sau vụ tấn công, dường như không hề có nền tảng về kỹ thuật. Điều này cũng giải thích vì sao Equifax phải chịu hai vụ tấn công liên tiếp và cần đến sự trợ giúp từ bên ngoài: vụ đầu tiên ở tháng 3 và vụ còn lại ở tháng 7 năm nay.

Những công ty được quản lí tốt sẽ có những giám đốc cấp cao hiểu rõ được tầm quan trọng của việc có một đội an ninh mạng luôn sẵn sàng ứng chiến khi có lỗ hổng bảo mật phát sinh. Các nhà lãnh đạo cũng buộc phải nắm rõ được những rùi ro của việc đặt dữ liệu nhạy cảm ở trên mạng, thay vì trên những máy tính đã ngắt kết nối hoàn toàn với internet. Đáng buồn là, khi các giám đốc cấp cao thiếu hiểu biết về công nghệ, họ thường không nhận thức được thứ gì đang bị đe dọa và làm thế nào để bảo vệ thông tin có giá trị một cách nhanh chóng.

Con đường dài phía trước

Dường như cơn ác mộng của Equifax vẫn chưa dừng lại ở đó. Sau khi cuộc tấn công được phát hiện, ngay cả những nỗ lực đóng băng thẻ tín dụng của các nạn nhân cũng bị cản trở vì khả năng làm sạch không gian mạng nghèo nàn của Equifax: Mã PIN mà công ty tạo ra để khách hàng có thể hủy đóng băng tài khoản được dựa trên ngày tháng và thời gian yêu cầu đóng băng, và hacker sẽ có thể đoán được khá dễ dàng.

Gần đây, tài khoản Twitter chính thức của công ty cũng liên tục trỏ người dùng tới một trang web lừa đảo thay vì trang web đã được bảo mật của họ để lừa khách hàng tiết lộ thông tin cá nhân của mình.

Tất cả những vấn đề trên, cộng với sự chậm trễ của Equifax trong việc sửa chữa những lỗ hổng phần mềm then chốt, đã cho thấy quản lý doanh nghiệp là một yếu tố vô cùng quan trọng trong việc phòng ngừa và phục hồi từ những sự cố an ninh – hoặc khiến nó trở nên tồi tệ hơn.

VNReview
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên