Bảo mật mạng trở nên “sống còn”
Tin tặc ngày càng “tinh ranh”, nhiều kỹ thuật tấn công, xâm nhập ngày càng được cải tiến.
Dữ liệu và thông tin doanh nghiệp đang trở thành “miếng mồi ngon” cho những kẻ xâm
nhập, đánh cắp thông tin.
Nếu doanh nghiệp bạn dự định nâng cấp trang thiết bị, hạ tầng và các giải pháp bảo mật, hãy xem
một vài dự báo về bảo mật cho năm 2011.
Bùng nổ thiết bị di động cá nhân: các thiết bị này đang là mối quan tâm của các chuyên gia bảo
mật về việc rò rỉ và mất an toàn thông tin. Ngoài nỗi lo lắng về lỗ hổng trên Windows, giờ đây các
chuyên gia bảo mật còn phải quan tâm đến các thiết bị khác như máy tính bảng, điện thoại thông
minh,… Nếu bạn muốn bảo mật dữ liệu trên các thiết bị di động, hãy nghĩ đến giải pháp ảo hóa
(desktop virtualization) dành cho MTXT, các máy trạm truy cập từ xa. Và nên áp dụng các công
nghệ mã hóa dữ liệu dành cho các thiết bị di động.
Kiểm soát truy cập Internet: truy cập Internet thoải mái vào các trang web như Facebook, Twitter;
chơi game trên web; trò chuyện qua mạng với Yahoo, Skype,… đang là mối quan tâm hàng đầu
của các doanh nghiệp. Hãy thực hiện các biện pháp hạn chế hay ngăn chặn để đảm bảo an toàn
thông tin cho doanh nghiệp, cũng như tránh các cuộc tấn công, xâm nhập từ bên ngoài. Hiện một
số nhà cung cấp dịch vụ Internet cũng đưa ra một số biện pháp kiểm soát truy cập Internet nhằm
đảm bảo an toàn cho người dùng.
Tính riêng tư trên điện toán đám mây: năm 2011, điện toán đám mây - cơ sở hạ tầng dạng dịch
vụ (Infrastructure as a Service – IaaS), nền tảng dạng dịch vụ (Platform as a Service – PaaS),
phần mềm dịch vụ (Sotware as a Service – SaaS) - sẽ có một số điều luật, qui định tốt hơn nhằm
đảm bảo tính riêng tư, quyền sở hữu cho người dùng.
Quản lý danh tính (identity) trên đám mây: quản lý danh tính, điều khiển dựa trên danh tính sẽ
ngày càng phát triển và trở thành thành phần quan trọng trên các hệ thống và thiết bị di động.
Không an toàn khi dùng thiết bị di động với “đám mây”: việc sao lưu dữ liệu từ thiết bị di động
lên đám mây sẽ không đảm bảo an toàn và bảo mật dữ liệu. Đặc biệt, nếu thiết bị di động của
người quản trị hệ thống bị mất cắp, đây có thể là mối đe dọa lớn đối với dữ liệu bí mật của doanh
nghiệp, và sẽ nguy hiểm hơn nữa nếu người quản trị này là người quản lý dịch vụ đám mây.
Càng thuê nhiều “đám mây” càng rủi ro: hầu hết dịch vụ đám mây đều “lạm dụng” công nghệ
ảo hóa, vì vậy sẽ có rất nhiều rủi ro tiềm ẩn cho dữ liệu của doanh nghiệp, nếu dữ liệu của nhiều
tổ chức tuy tách biệt nhờ ảo hoá nhưng đều nằm chung trên cùng nền tảng vật lý đơn lẻ. Tuy các
chuyên gia và nhà cung cấp dịch vụ “đám mây” đều lập luận là nền tảng ảo hoá đã mặc định tách
biệt các thành phần mạng ảo nhưng đã có bằng chứng thực tế cho thấy nền tảng ảo hóa này
(hypervisor system) vẫn bị thâm nhập; ví dụ trường hợp dùng công cụ CloudBurst hay phát hiện
của Core Security vào năm 2008 về lỗ hổng cây thư mục, cho phép tin tặc truy cập tập tin của hệ
thống hypervisor từ một máy ảo (Tham khảo: Điện toán đám mây: Cơ hội hay tai họa? / An ninh
thật cho môi trường ảo hoá / Nhiều công ty lo ngại an ninh điện toán đám mây).
Cơ sở hạ tầng mạng càng quan trọng càng dễ trở thành mục tiêu tấn công của tin tặc. Sâu
Stuxnet là một minh chứng, vừa qua sâu Stuxnet làm cả thế giới rúng động khi thâm nhập thành
công vào hệ thống điều khiển lò phản ứng hạt nhân của Iran. Và từ những kinh nghiệm của cuộc
tấn công này, tin tặc sẽ triển khai thêm các cuộc tấn công mới nhằm vào các hạ tầng quan trọng.
Theo khảo sát của Symantec với các nhà cung cấp hạ tầng mạng quan trọng, 48% ý kiến cho rằng
các hạ tầng mạng quan trọng sẽ trở thành mục tiêu của tin tặc trong năm 2011 và 80% tin rằng
mức độ tấn công sẽ ngày càng gia tăng.
Lỗ hổng “Zero-day” sẽ tiếp tục là mục tiêu ưa thích của tin tặc. Lỗ hổng zero-day, những lỗ
hổng phần mềm chưa được biết tới, sẽ tiếp tục được tin tặc khai thác tấn công vào mục tiêu cụ
thể, với chủ đích phá hoại hoặc đánh cắp dữ liệu. Theo khảo sát của Symantec, xu hướng tấn
công lỗ hổng zero-day đang gia tăng. Năm 2009, Symantec ghi nhận được 12 lỗ hổng zero-day
nhưng đến tháng 11/2010, số lỗ hổng zero-day bị khai thác để tấn công đã tăng lên thành 18.
Một số thiết bị tham khảo
Phiến bảo mật Fortigate-5001B (Fortigate-5001B security blade) là tường lửa thế hệ mới (TLTHM)
có thể đạt đến tốc độ 40Gbps, vượt xa các dòng sản phẩm bảo mật của hãng trước đó, chỉ giới
hạn ở mức 8Gbps. Thiết bị có khả năng nhận biết khoảng 1300 ứng dụng và có thể thiết lập phân
quyền theo hành vi người dùng với ứng dụng, giới hạn khoảng thời gian (timeframe) và quản lý
băng thông.
McAfee Enterprise Firewall v.8 cũng thuộc loại TLTHM đạt tốc độ 10Gbps, có thể nhận biết trên
1000 ứng dụng truy xuất. Hiện McAfee hợp tác cùng Crossbeam Systems để đưa nền tảng của họ
đạt đến tốc độ 40Gbps.
Thiết bị UTM Cyberoam CR25i có khả năng giám sát và phòng chống tấn công trên 7 tầng mạng.
Khả năng chống virus của 25i mạnh mẽ nhờ kế thừa kỹ thuật từ hãng bảo mật danh tiếng
Kaspersky. Tính năng VPN trên 25i có khả năng chịu lỗi cao: nếu đường truyền gặp lỗi, thiết bị tự
động thiết lập kênh VPN qua gateway khác (www.pcworld.com.vn ID: A0811_91).
Thiết bị UTM O2Security SifoWorks U210A cho phép nhà quản trị thiết lập đến 2.500 chính sách,
cấu hình băng thông tối đa cho kênh VPN lên đến 100Mbps, kết nối 200 kênh VPN đồng thời, cùng
khả năng kết hợp băng thông cũng như chịu lỗi trong trường hợp có nhiều đường truyền (VPN
Trunk và Failover); tính năng VPN trên U210A bao gồm cả chuẩn SSL VPN (www.pcworld.com.vn
ID: A0902_56).
Tấn công mang động cơ chính trị hay cạnh tranh trong kinh doanh. Một số chuyên gia cho rằng
sâu Stuxnet và các biến thể mới sẽ được tạo ra với động cơ chính trị, nhằm phá hoại cơ sở hạ
tầng các ngành công nghiệp quan trọng. Các cuộc tấn công từ chối dịch vụ (DoS) nhằm vào trang
web doanh nghiệp, gây tê liệt hoặc làm gián đoạn hoạt động, xuất phát từ cạnh tranh trong kinh
doanh.
Các dự báo trên cho thấy năm 2011 sẽ là năm đầy thách thức cho các nhà quản trị mạng, các nhà
hoạch địch chính sách bảo mật và cả những nhà cung cấp dịch vụ. Như hiểu được nỗi lo đó, các
nhà cung cấp thiết bị và giải pháp bảo mật không ngừng cải tiến công nghệ, đưa ra nhiều giải
pháp nhằm hóa giải và ngăn chặn sự tấn công của tin tặc. Một trong số các giải pháp bảo mật đó
là thiết bị tường lửa (firewall) hay thiết bị bảo mật hợp nhất UTM (Unified Threat Management).
UTM là thiết bị bảo mật tất cả trong một, bao gồm các tính năng chủ yếu như tường lửa mạng,
chống xâm nhập, chống spam, chống virus, lọc truy cập,… Ưu điểm của thiết bị bảo mật UTM là
dễ cài đặt, cấu hình và quản trị. Nhược điểm là dễ ảnh hưởng hiệu suất hoạt động mạng, điều này
tùy thuộc vào hiệu năng của thiết bị UTM, công nghệ của mỗi hãng và cấp độ sử dụng của doanh
nghiệp.
Theo báo cáo của Gartner, năm 2009, thị trường UTM toàn cầu đạt xấp xỉ 1,5 tỷ đô la Mỹ, tăng
25% so với dự báo năm 2007 và dự báo tốc độ tăng trưởng hàng năm của thị trường này đến
2012 sẽ đạt khoảng 20% đến 25%. Báo cáo cho thấy, thị trường thiết bị UTM đang ngày càng phát
triển. Các doanh nghiệp trên toàn cầu ngày càng nhận thức rõ mối nguy hiểm từ tội phạm mạng.
Tại Việt Nam, qua nhiều sự kiện như các trang web bị tấn công, dữ liệu bị đánh cắp,… các doanh
nghiệp đã chú ý hơn việc bảo vệ thông tin, bí mật kinh doanh và uy tín thương hiệu, nhờ đó thị
trường sản phẩm bảo mật diễn ra sôi động hơn. Hiện có khá nhiều thiết bị tường lửa, UTM của
các hãng như Check Point, Cyberoam, Crossbeam, Zyxel, O2Security, Draytek, Fortinet… Mỗi
hãng cung cấp nhiều dòng thiết bị tường lửa, UTM khác nhau, đáp ứng nhiều cấp độ sử dụng của
doanh nghiệp.
Các tường lửa truyền thống dựa trên cổng giao tiếp (port based) đang dần nhường chỗ cho thế hệ
tường lửa mới (next-generation firewall), nhanh, thông minh và hiệu quả hơn. TLTHM là tường lửa
kết hợp tính năng mạng riêng ảo (VPN), có cơ chế kiểm soát hiệu quả luồng dữ liệu ra vào, cũng
như nhận biết được các ứng dụng truy xuất. TLTHM có khả năng phân tích thông minh các luồng
dữ liệu truy cập, kết hợp với công nghệ dịch vụ mạng liên quan đến thư mục động (Active
Directory).
Theo đánh giá của Gartner, thực tế chưa đến 1% các kết nối cần phải áp dụng các giải pháp bảo
mật có ứng dụng TLTHM. Gartner dự báo con số này sẽ đạt 35% vào năm 2014. Tuy nhiên, cho
đến nay, các sản phẩm được gọi là TLTHM vẫn chưa được bất kỳ hãng độc lập thứ 3, chẳng hạn
ICSA Labs, thử nghiệm, đánh giá. Một vấn đề nữa là thuật ngữ TLTHM và UTM gây bối rối cho
người dùng. Charles Kolodgy nhà phân tích của hãng IDC cho rằng UTM cũng tương tự TLTHM.
Nhưng theo Gartner, UTM là thiết bị bảo mật dùng cho các doanh nghiệp vừa và nhỏ (dưới 500
nhân viên), trong khi TLTHM dùng cho các doanh nghiệp lớn, có từ 1000 nhân viên trở lên.
Mặc dù có sự khác biệt về định nghĩa giữa TLTHM và UTM, nhưng các nhà cung cấp thiết bị, giải
pháp bảo mật đều đang nhận thấy rằng, nhu cầu về thiết bị bảo mật đa chức năng “tất cả một”
đang ngày càng gia tăng.
Và một điểm nữa, nếu doanh nghiệp chỉ quan tâm vấn đề mua sắm trang thiết bị và hạ tầng bảo
mật mà quên yếu tố con người, thì dù hệ thống bảo mật có nghiêm ngặt đến mức nào chăng nữa
thì cũng đều có thể bị “xuyên thủng”. Vì vậy, ngoài việc trang bị tường lửa, UTM, hạ tầng mạng
bảo mật, doanh nghiệp cũng nên chú trọng vào con người bằng các chính sách bảo mật thông tin
rõ ràng, chặt chẽ. Sự đầu tư phù hợp sẽ giúp mang lại hiệu quả cho sự an toàn thông tin tại doanh
nghiệp.
Một số thủ thuật chọn mua tường lửa, UTM
Mẹo 1: Các nhà cung cấp tường lửa thường gán dòng sản phẩm nào đó tương ứng với một qui
mô doanh nghiệp. Tuy nhiên, trên thực tế, dù doanh nghiệp bạn chỉ có 10 nhân viên hay đến 100
nhân viên bạn cũng chỉ nên chọn thiết bị bảo mật đa chức năng (UTM) dành cho doanh nghiệp nhỏ
(SMB).
Mẹo 2: Bạn có thể trang bị cho chi nhánh thiết bị đa chức năng, nhưng có thể bạn sẽ không bao
giờ dùng tới tính năng bảo mật thư điện tử (email), tích hợp sẵn trên thiết bị tường lửa, vì chi
nhánh thông thường không lắp đặt máy chủ email. Do đó hãy chọn thiết bị phù hợp với từng nhu
cầu sử dụng của doanh nghiệp.
Mẹo 3: Bạn bối rối giữa các tên gọi như UTM, tường lửa đa chức năng cho doanh nghiệp nhỏ
(SMB), tường lửa dành cho doanh nghiệp lớn (Enterprise). Theo Gartner, UTM và tường lửa đa
chức năng cho doanh nghiệp nhỏ (SMB) đều được hiểu là nhiều sản phẩm bảo mật mạng trong
một thiết bị. Còn tường lửa dành cho doanh nghiệp lớn (Enterprise) là tường lửa nói chung và có
thêm chức năng VPN, IPS (Intrusion prevention systems).
Theo một nghiên cứu của Gartner, bạn có thể dựa vào các thông tin mà từ theo họ có thể dùng để
phân biệt UTM và tường lửa đa chức năng cho doanh nghiệp nhỏ (SMB) với tường lửa dành cho
doanh nghiệp lớn (Enterprise): Các bộ phận điều hành khác nhau: trong các doanh nghiệp lớn, bảo
mật mạng và bảo mật email là 2 phần tách biệt. Chẳng hạn, tường lửa sẽ lắp đặt tại “cửa ngõ”
luồng truy cập vào ra, còn chống spam sẽ được đặt tại trung tâm dữ liệu. Sự khác nhau về hiệu
suất mạng: với tường lửa dùng cho doanh nghiệp nhỏ, hiệu suất mạng thấp hoặc luồng truy cập
vào ra chậm sẽ không là vấn đề lớn; nhưng với doanh nghiệp lớn, dùng tường lửa Enterprise, thì
yêu cầu hiệu suất mạng phải ổn định, luồng truy cập phải nhanh. Tất cả chức năng trong một thiết
bị chưa chắc tốt: các doanh nghiệp lớn luôn đòi hỏi hiệu suất mạng cao, khả năng bảo vệ tốt, vì
vậy họ thường chọn các thiết bị, giải pháp riêng biệt cho từng vấn đề, nhưng vẫn hài hòa trong
tổng thể. Hơn là dùng thiết bị tất cả chức năng trong một sản phẩm.
(Theo PCWorld)