BẢO MẬT CHO ỨNG DỤNG WEB
Những năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán tr
ực tuyến,
giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng đư
ợc phát
triển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghi
ệp nhằm đáp ứng
nhu cầu vận hành liên tục và bảo mật hệ thống.
Điều kiện bảo mật
M
ột hệ thống mạng bảo mật luôn phải đảm
bảo các mục tiêu như: Cho phép ho
ặc cấm
những dịch vụ truy cập ra ngo
ài; Cho phép
hoặc cấm những dịch vụ từ ngoài truy c
ập
vào trong; Theo dõi luồng dữ liệu mạng gi
ữa
Internet và Intranet (m
ạng nội bộ); Kiểm soát
và cấm địa chỉ truy nhập; Kiểm soát ngư
ời sử
dụng và việc truy cập của ngư
ời sử dụng;
Kiểm soát nội dung thông tin lưu chuyển tr
ên
mạng.
Với những yêu cầu và mục tiêu do DN đ
ặt
ra, các nhà tích hợp hệ thống sẽ tư vấn và xây dựng một hệ thống mạng hoàn chỉnh:

+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thi
ết
bị cân bằng tải.
+ Kết nối bảo mật: Các thiết bị tường lửa (Firewall), các hệ thống phòng ch
ống tấn công
IDS/IPS và phần mềm giám sát hệ thống.
+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows, Linux… và các gi
ải
pháp phòng chống virus, chống thư rác (spam mail)
+ Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network)
Đầu tư hệ thống bảo mật
Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích h
ợp hệ thống đem lại
cho DN có thực sự hoàn hảo hay không? DN có thể tham khảo bảng đánh giá của các hãng b
ảo
mật:
Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứ nhất là các cu
ộc tấn
công, xâm hại vào các hệ thống web site của DN diễn ra ngày càng liên tục v
à tinh vi hơn
(25,48% cuộc tấn công chưa xác định nguồn gốc). Thứ hai là các hệ thống máy chủ đư
ợc trang
bị tất cả các giải pháp bảo mật tiên tiến vẫn chịu sự tấn công trực tiếp mà không ngăn chặn ho
àn
toàn được.
Theo thống kê các phương thức tấn công hiện nay (h
ình 1)
chúng ta thấy các kiểu tấn công truyền thống nh
ư SQL
Injection, Cross-Site Script, Brute Force v

ẫn đang gây thiệt
hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu.
Các cuộc tấn công này chủ yếu tập trung vào các
ứng dụng web
được phát triển trong các dịch vụ thương m
ại điện tử với nền
t
ảng ứng dụng web 2.0. Vấn đề bảo mật cho các ứng dụng hiện
nay nói chung và ứng dụng web nói riêng vẫn còn khá “m
ới
mẻ” đối với các DN Việt Nam.
Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bư
ớc sau: Xây dựng ứng dụng
Theo thống kê các phương
thức tấn công mạng phổ
biến hiện nay, các kiểu tấn
công truyền thống như
SQL Injection, Cross-Site
Script, Brute Force vẫn
đang gây thiệt hại cho hệ
thống mạng dù đã được
cảnh báo từ rất lâu.
theo các nhu cầu kinh doanh và việc này sẽ do một nhóm phụ trách lập trình thiết kế v
à xây
dựng; Kế đến là trang bị hạ tầng mạng để triển khai ứng dụng này.
Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không th
ể giám sát, đánh giá
được hết các ứng dụng được xây dựng trên nền tảng web (cụ thể ở đây là giao th
ức
HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web trước các cuộc tấn công -

Web
Application Firewall (WAF) chuyên dụng mới đáp ứng yêu cầu này.
Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:
+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua vi
ệc chọn lọc nội dung
cho máy chủ dịch vụ web.
+ Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như: Cross-si
te Scripting
(XSS) và SQL Injection.
+ Ngoài việc những động tác kiểm tra của một bức tường lửa thông thư
ờng, WAF sẽ kiểm tra
sâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng dụng
Hình 1. Báo cáo rủi ro các cuộc tấn công Web
Giải pháp bảo mật ứng dụng web được diễn đạt như sau:
Giải pháp bảo mật ứng dụng web sẽ hỗ trợ tốt hơn:
+ Hạn chế tối đa các cuộc tấn công và các
ứng dụng thông qua thiết bị bảo vệ ứng dụng web
chuyên dụng (Web Application Firewall).
+ Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu chuẩn Web 2.0 với các ti
êu
chí bảo mật web cao nhất (PCI DSS, OWASP…)
+ Khả năng giám sát, phòng chống tấn công có chiều sâu và tập trung.
+ Nâng cao hi
ệu năng của hệ thống, phát huy tối đa các tính năng bảo mật của từng thiết bị
trong hệ thống.
Có cần bảo mật ứng dụng?
Hiện nay, trên thế giới các dự án về bảo mật ứng dụng
web trong TMĐT đều phát triển trên 2 năm và có nhiều
giải pháp cho vần đề này. Bên cạnh đó cũng xuất hiện
một số tổ chức thường xuyên phân tích, đáng giá và đưa

ra những tiêu chí bảo mật mới nhất. Chúng ta có thể kể
đến OWASP (Open Web Application Security Project),
một tổ chức phi lợi nhuận cung cấp cho cộng đồng các
rủi ro phát sinh trong các ứng dụng web.
Tại Việt Nam, các DN vẫn chưa có được khái niệm
chính xác về những rủi ro đang tiềm ẩn trong ứng dụng
web. Chúng ta vẫn chưa xác định được rủi ro, sai sót
trên website để dẫn đến hiểm họa tấn công mạng.
Các DN đang hướng đến TMĐT hoặc ứng dụng chạy
trên nền tảng web cần tăng cường yêu cầu bảo mật cho
các ứng dụng. DN nên tìm hiểu các vấn đề bảo mật khi
xây dựng các ứng dụng. Ví dụ: Sử dụng ngôn ngữ NoSQL thay thế cho ngôn ngữ SQL truy
ền
thống đã “lạc hậu” và có nhiều rủi ro. Sử dụng các công cụ mã nguồn mở nh
ư Metasploit,
SQLmap, Firecat kiểm tra và đánh giá các lỗ hổng trong hệ thống mạng.
Xây dựng các biểu mẫu đánh giá rủi ro hệ thống (tham khảo các tiêu chu
ẩn bảo mật OWASP,
WASC ) nhằm phân loại các rủi ro để có các hành đ
ộng cụ thể khi xảy ra sự cố. Nếu có điều
kiện, nên sử dụng dịch vụ PenTest (khảo sát độ an toàn của hệ thống) chuyên nghi
ệp nhằm hạn
chế các rủi ro khi có sự cố tấn công từ bên ngoài.
Ngoài ra, các DN c
ũng nên tổ chức các khóa học ngắn hạn, dài hạn về an toàn thông tin nh
ằm
nâng cao nhận thức về bảo mật cho nhân viên. Tích cực tìm hiểu các quy trình, tiêu chu
ẩn bảo
mật như ISO 27000, 27001… Hiệu chỉnh các ứng dụng với sự hỗ trợ của các nhà lập tr
ình rà

soát các ứng dụng, nâng cấp hệ thống và tiến hành khảo sát hệ thống (Audit) hàng năm đ
ể đánh
giá thực trạng của ứng dụng.
An toàn thông tin đòi hỏi cá nhân, tổ chức và DN phải không ngừng nâng cao và phát triển li
ên
tục. Các ứng dụng web tuy mang lại cho người dùng và DN nhiều tiện ích, nhưng c
ũng trở
thành môi trường cho hacker “trục lợi”. Trư
ớc khi triển khai các ứng dụng để kinh doanh, các
DN cần chú ý đến khâu bảo mật ứng dụng web.


Theo PC World VN