BẢO MẬT MẠNG – VẤN ĐỀ SỐNG CÒN

Chia sẻ: Song Song Cuoc | Ngày: | Loại File: PDF | Số trang:7

Thêm vào BST

Báo xấu

236
lượt xem 81
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tin tặc ngày càng “tinh ranh”, nhiều kỹ thuật tấn công, xâm nhập ngày càng được cải tiến. Dữ liệu và thông tin doanh nghiệp đang trở thành “miếng mồi ngon” cho những kẻ xâm nhập, đánh cắp thông tin. Nếu doanh nghiệp bạn dự định nâng cấp trang thiết bị, hạ tầng và các giải pháp bảo mật, hãy xem một vài dự báo về bảo mật cho năm 2011.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: BẢO MẬT MẠNG – VẤN ĐỀ SỐNG CÒN

BẢO MẬT M ẠNG – VẤN Đ Ề SỐNG CÒN Tin tặc ngày càng “tinh ranh”, nhiều kỹ thuật tấn công, xâm nhập ngày càng được cải tiến. Dữ liệu và thông tin doanh nghiệp đang trở thành “miếng mồi ngon” cho những kẻ xâm nhập, đánh cắp thông tin. Nếu doanh nghiệp bạn dự định nâng cấp trang thiết bị, hạ tầng v à các gi ải pháp bảo m ật, h ãy xem một vài d ự báo về b ảo mật cho năm 2011. Bùng nổ thiết bị di động cá nhân: c ác t hiết bị n ày đang là mối quan tâm của các chuyên gia b ảo mật về việc r ò r ỉ và m ất an to àn thông tin. Ngoài nỗi lo lắng về lỗ hổng tr ên Windows, giờ đây các chuyên gia b ảo mật còn ph ải quan tâm đế n các thiết bị khác như máy tính b ảng, điện thoại thông minh,… Nếu bạn m u ốn bảo mật dữ liệu tr ên các thiết bị di động, h ãy nghĩ đến giải pháp ảo hóa (desktop virtualization) dành cho M TXT, các máy tr ạm truy cập từ xa. Và nên áp d ụng các công nghệ m ã hóa d ữ liệu d ành cho các thiết bị di động. Kiểm soát truy cập Internet: t ruy c ập Internet thoải mái v ào các trang web như F acebook, Twitter; chơi game trên web; tr ò chuyện qua mạng với Yahoo, Skype,… đ ang là mối quan tâm h àng đ ầu của các doanh nghiệp. H ãy th ực hiện các biện pháp h ạn chế hay ngăn chặn để đảm bảo an to àn thông tin cho doanh nghi ệp, cũng nh ư t ránh các cuộc tấn công, xâm nhập từ b ên ngoài. Hiện một số nh à cung c ấp dịch vụ I nternet c ũng đưa ra một số biện pháp kiểm soát truy cập Internet nhằm đảm bảo a n toàn cho người d ùng. Tính riêng tư trên điện toán đám mây: n ăm 2011, điện toán đám mây - cơ sở hạ t ầng dạng dịch vụ (Infrastructure as a Service – I aaS), nền tảng dạng dịch vụ (Platform as a Service – P aaS), ph ần mềm dịch vụ (Sotware as a Service – SaaS) - sẽ có một số điều luật, qui định tốt h ơn nh ằm đảm bảo tính riêng tư, quyền sở hữu cho n gười d ùng. Quản lý danh tính (identity) trên đám mây: q u ản lý danh tính, điều khiển dựa tr ên d anh tính sẽ ngày càng phát triển và tr ở th ành thành ph ần quan trọng tr ê n các h ệ t hống và thiết bị di động.
Không an toàn khi dùng thiết bị di động với “đám mây”: việc sao lưu d ữ liệu từ t hiết bị di động lên đám mây sẽ không đảm bảo an to àn và b ảo mật dữ liệu. Đặc biệt, nếu thiết bị di động của người quản trị hệ thống bị mất c ắp, đây có thể l à mối đe dọa lớn đối với dữ liệu bí mật của doanh nghiệp, v à sẽ nguy hiểm hơn n ữa nếu n gười quản trị n ày là người quản lý dịch vụ đám mây. Càng thuê nhiều “đám mây” càng rủi ro: h ầu hết dịch vụ đám mây đều “lạm dụng ” công nghệ ảo hóa, vì vậy sẽ có rất nhiều rủi ro tiềm ẩn cho dữ liệu của doanh n ghiệp, nếu dữ liệu của nhiều tổ chức tuy tách biệt nhờ ảo hoá nh ưng đều nằm chung trên cùng nền tảng vật lý đơn lẻ. Tuy các chuyên gia và nhà cung c ấp dịch vụ “đám mây ” đều lập luận l à nền tảng ảo hoá đ ã m ặc định tách biệt các th ành ph ần m ạng ảo nh ư ng đ ã có b ằng chứng thực tế cho thấy nền tảng ảo hóa n ày (hypervisor system) vẫn bị thâm nhập; ví dụ tr ư ờng hợp d ùng công c ụ CloudBurst hay phát hiện của Core Security vào năm 2008 về lỗ hổng cây th ư m ục, cho phép tin tặc truy cập tập tin của hệ thống hype rvisor t ừ một máy ảo (Tham khảo: Điện toán đám
m ây: Cơ hội hay tai họa? / An ninh thật cho môi tr ư ờng ảo hoá / Nhiều công ty lo n gại an ninh điện toán đám mây). Cơ sở hạ tầng mạng càng quan trọng càng dễ trở thành mục tiêu tấn công của tin tặc. Sâu Stuxnet l à một minh chứng, vừa qua s âu Stuxnet làm c ả thế giới rung động k hi thâm nh ập th ành công vào hệ thống điều khiển lò ph ản ứng hạt nhân củ a Iran. Và t ừ những kinh nghiệm của cuộc tấn công n ày, tin t ặc sẽ triển khai thêm các cuộc t ấn công mới nhằm vào các h ạ tầng quan trọng. Theo khảo sát của Symantec với các n hà cung c ấp hạ tầng mạng quan trọng, 48% ý kiến cho rằng các hạ tầng mạng q uan tr ọn g sẽ trở th ành m ục tiêu c ủa tin tặc trong năm 2011 v à 80% tin r ằng mức độ tấn công sẽ ngày càng gia tăng. Lỗ hổng “Zero-day” sẽ tiếp tục là mục tiêu ưa thích của tin tặc. Lỗ hổng zero- day, n h ững lỗ hổng phần mềm ch ưa được biết tới, sẽ tiếp tục đ ược tin tặc k hai thác t ấn công vào m ục tiêu c ụ thể, với chủ đích phá hoại hoặc đánh cắp dữ liệu. Theo khảo sát c ủa Symantec, xu hướng tấn công lỗ hổng zero - day đang gia tăng. Năm 2009, Symantec ghi nh ận được 12 lỗ hổng zero- day nhưng đến tháng 11/2010, số lỗ hổng zero- day bị khai thác để tấn công đ ã t ăng lên thành 18. Một số thiết bị tham khảo Phiến bảo mật Fortigate-5001B (Fortigate-5001B security blade) là tường lửa thế hệ mới (TLTHM) có thể đạt đến tốc độ 40Gbps, vượt xa các dòng s ản phẩm bảo mật của h ãng tr ư ớc đó, chỉ giới hạn ở m ức 8Gbps. Thiết bị có khả năng nhận biết khoảng 1300 ứng dụng và có thể thiết lập phân quyền theo h ành vi người d ùng với ứng d ụng, giới hạn khoảng thời gian (timeframe) v à qu ản lý băng t hông. McAfee Enterprise Firewall v.8 c ũng thuộc loại TLTHM đạt tốc độ 10Gbps, có thể nhận biết tr ên 1000 ứ ng dụng truy xuất. Hiện McAfee hợp tác c ùng Crossbeam Systems đ ể đưa nền tảng của họ đ ạt đến tốc độ 40Gbps. Thiết bị UTM Cyberoam CR25i có kh ả năng giám sát và phòng chống tấn công tr ên 7 t ầng mạng. K h ả năng chống virus của 25i m ạnh mẽ nhờ kế thừa kỹ thuật từ h ãng b ảo mật danh tiếng K aspersky. Tính năng VPN trên 25i có kh ả năng chịu lỗi cao: nếu đường truyền gặp lỗi, thiết bị tự động thiết lập kênh VPN qua gateway khác (www.pcworld.com.vn ID: A0811_91). Thiết bị UTM O2Security SifoWorks U210A cho phép nhà qu ản t r ị thiết lập đến 2.500 chính sách, cấu h ình b ăng thông tối đa cho
kênh VPN lên đến 100Mbps, kết nối 200 kênh VPN đồng thời, cùng k h ả năng kết hợp băng thông cũng nh ư chịu lỗi trong tr ư ờng hợp có n hiều đường truyền (VPN Trunk và Failover); tính năng VPN t rên U210A bao gồm cả chuẩn SSL VPN. Tấn công mang động cơ chính trị hay cạnh tranh trong kinh doanh. Một số chuyên gia cho r ằng sâu Stuxnet và các biến thể mới sẽ được tạo ra với động cơ chính tr ị, n h ằm phá hoại cơ sở hạ tầng các ngành công nghiệp quan trọng. Các cuộc tấn công t ừ chối dịch vụ (DoS) nhằm v ào trang web doanh nghi ệp, gây tê liệt hoặc l àm gián đo ạn hoạt động, xuất phát từ cạnh tranh trong kinh doanh. C ác d ự báo tr ên cho th ấy năm 2011 sẽ l à năm đ ầy thách thức cho các nh à qu ản trị m ạng, các nh à ho ạch địch chính sách bảo mật v à c ả những nh à cung c ấp dịch vụ. Như hiểu được nỗi lo đó, các nh à cung c ấp thiết bị và gi ải pháp bảo mật không n g ừng cải tiến công nghệ, đ ưa ra nhiều giải pháp nhằm hóa giải v à ngăn ch ặn sự tấn công c ủa tin tặc. Một trong số các giải pháp bảo mật đó l à thiết bị tường lửa (firewall) hay thi ết bị bảo mật hợp nhất UTM (Unified T hreat Management).
UTM l à thiết bị bảo mật tất cả trong một, bao gồm các tính năng chủ yếu nh ư tường l ửa mạng, chống xâm nhập, chống spam, chống virus, lọc truy cập,… Ư u điểm của t hiết bị bảo mật UTM l à dễ c ài đ ặt, cấu h ình và qu ản trị. Nhược điểm l à dễ ản h hưởng hiệu suất hoạt động mạng, điều n ày tùy thuộc vào hiệu năng của thiết bị UTM, công nghệ của mỗi h ãng và c ấp độ sử dụng của doanh nghiệp. T heo báo cáo c ủa Gartner, năm 2009, thị tr ường UTM to àn c ầu đạt xấp xỉ 1,5 tỷ đô la Mỹ, tăng 25% so với dự báo n ăm 2007 và d ự báo tốc độ tăng tr ư ởng h àng năm của thị tr ư ờng n ày đến 2012 sẽ đạt khoảng 20% đến 25%. Báo cáo cho thấy, thị t rư ờng thiết bị UTM đang ngày càng phát triển. Các doanh nghiệp tr ên toàn c ầu n gày càng nh ận thức r õ mối nguy hiểm từ tội phạm mạng. T ại Việt Nam, qua nhiều sự kiện nh ư các trang web bị tấn công, dữ liệu bị đánh cắp,… các doanh nghiệp đ ã chú ý hơn việc bảo vệ thông tin, bí mật kinh doanh v à uy tín thương hiệu, nhờ đó thị tr ường sản phẩm bảo mật diễn ra sôi động hơn. Hiện có khá nhiều thiết bị tường lửa, UTM của các h ãng như Check Point, Cyberoam, C rossbeam, Zyxel, O2Security, Draytek, Fortinet… M ỗi h ãng cung c ấp nhiều dòng t hiết bị tường lửa, UTM khác nhau, đáp ứng nhiều cấp độ sử dụng của doanh n ghiệp. C ác tường lửa truyền thống dựa tr ê n cổng giao tiếp (port based) đang dần nh ường chỗ cho thế hệ tường lửa mới (next-generation firewall), nhanh, thông minh và hiệu q u ả hơn. TLTHM là tường lửa kết hợp tính năng mạng ri êng ảo (VPN), có cơ ch ế kiểm soát hiệu quả luồng dữ liệu ra v ào, c ũng như n h ận biết được các ứng dụng truy xu ất. TLTHM có khả năng phân tích thông minh các luồng dữ liệu truy cập, kết h ợp với công nghệ dịch vụ mạng liên quan đ ến thư m ục động (Active Directory). T heo đánh giá c ủa Gartner, thực tế chưa đ ến 1% các kết nối cần phải á p d ụng các gi ải pháp bảo mật có ứng dụng TLTHM. Gartner dự báo con số n ày sẽ đạt 35% vào n ăm 2014. Tuy nhiên, cho đ ến nay, các sản phẩm đ ược gọi l à TLTHM vẫn chưa được bất kỳ h ãng độc lập thứ 3, chẳng hạn ICSA Labs, thử nghiệm, đánh giá. Một vấn đề nữa l à t hu ật ngữ TLTHM và UTM gây bối rối cho người d ùng. Charles Kolodgy nhà phân tích c ủa h ãng IDC cho r ằng UTM cũng tương t ự TLTHM. Nhưng theo Gartner, UTM là thi ết bị bảo mật d ùng cho các doanh nghiệp vừa v à n hỏ (dưới 500 nhân viên), trong khi TLTHM dùng cho c ác doanh nghiệp lớn, có từ 1000 nhân viên tr ở lên. M ặc d ù có s ự khác biệt về định nghĩa giữa TLTHM v à UTM, nhưng các nhà cung cấp thiết bị, giải pháp bảo mật đều đang nhận thấy rằng, nhu cầu về thiết bị bảo m ật đa chức năng “tất cả một” đang ng ày càng gi a tăng. Và một điểm nữa, nếu doanh nghiệp chỉ quan tâm vấn đề mua sắm trang thiết bị v à h ạ tầng bảo mật m à quên yếu tố con người, thì dù hệ thống bảo mật có nghi êm ngặt
đến mức n ào chăng n ữa th ì c ũng đều có thể bị “xuyên th ủng”. Vì vậy, ngo ài việc t rang bị tường lửa, UTM, hạ tầng mạng bảo mật, doanh nghiệp cũng n ên chú tr ọng vào con người bằng các chính sách bảo mật thông tin r õ ràng, ch ặt chẽ. Sự đầu t ư p hù h ợp sẽ giúp mang lại hiệu quả cho sự an to àn thông tin t ại doanh nghiệp. Một số thủ thuật chọn mua tường lửa, UTM Mẹo 1: C ác nhà cung c ấp tường lửa th ường gán dòng s ản phẩm n ào đó tương ứ ng với một qui mô doanh nghiệp. Tuy nhi ên, trên t h ực tế, d ù doanh nghiệp bạn chỉ có 10 nhân viên hay đến 100 n hân viên b ạn cũng chỉ nên chọn thiết bị bảo m ật đa chức năng (UTM) dành cho doanh nghi ệp nhỏ (SMB). Mẹo 2: B ạn có thể trang bị cho chi nhánh thiết bị đa chức năng, n hưng có thể bạn sẽ không bao giờ d ùng tới tính năng bảo mật th ư điện tử (email), tích hợp sẵn tr ên thiết bị t ường lửa, vì chi nhánh t hô ng thường không lắp đặt máy chủ email. Do đó h ãy chọn thiết bị ph ù h ợp với từng nhu cầu sử dụng của doanh nghiệp. Mẹo 3: B ạn bối rối giữa các tên gọi như UTM, tường lửa đa chức n ăng cho doanh nghiệp nhỏ (SMB), tường lửa d ành cho doanh n ghiệp lớn (Enterprise). Theo Gartner, UTM và tường lửa đa chức n ăng cho doanh nghiệp nhỏ (SMB) đều đ ược hiểu l à nhiều sản p h ẩm bảo mật mạng trong một thiết bị. C òn tường lửa d ành cho doanh nghiệp lớn (Enterprise) l à tường lửa nói chung và có thêm ch ức năng VPN, IPS (Intrusion p revention systems). T heo một nghiên c ứu của Gartner, bạn có thể dựa v ào các thông tin mà t ừ theo họ có thể d ùng để phân biệt UTM và tường lửa đa ch ức năng cho doanh nghiệp nhỏ (SMB) với t ường lửa d ành cho doanh nghiệp lớn (Enterprise): Các bộ phận điều h ành khác nhau: t rong các doanh nghiệp lớn, bảo mật mạng v à b ảo mật email l à 2 p h ần tách biệt. Chẳng hạn, t ường lửa sẽ lắp đặt tại “cửa ngõ” luồng truy cập vào ra, còn chống spam sẽ được đặt tại trung tâm d ữ liệu. Sự khác nhau về hiệu suất mạng: với t ường l ửa d ùng cho doanh nghiệp nhỏ, hiệu suất mạng thấp hoặc luồng truy cập v ào ra ch ậm sẽ không l à vấn đề lớn; nhưng với doanh nghiệp lớn, d ùng tường lửa Enterprise, th ì yêu c ầu hiệu suất mạng phải ổn định, luồng truy cập phải nhanh. Tất cả chức năng trong một t hiết bị chưa ch ắc tốt: các doanh nghiệp lớn luôn đ òi hỏi hiệu suất mạng cao, kh ả năng bảo vệ tốt, vì vậy họ thường chọn các thiết bị, giải p háp riêng biệt cho từng vấn đề, nh ưng vẫn h ài hòa trong tổng thể. Hơn là dùng thiết bị tất cả chức năng trong một s ản phẩm.