Hiểu về mối đe dọa Zero-Day
Đã gần mười năm trôi qua kể từ khi diễn giả và nhà nghiên cứu an ninh mạng ‘The Grugq’ tuyên bố : “Cho một người một lỗ hổng zero-day, anh ta sẽ có quyền truy cập trong một ngày; dạy một người cách lừa đảo, anh ta sẽ có quyền truy cập trọn đời”.
Dòng này xuất hiện vào giữa thập kỷ bắt đầu với virus Stuxnet và sử dụng nhiều lỗ hổng zero-day. Điều này dẫn đến nỗi sợ về những lỗ hổng chưa biết này, mà kẻ tấn công sử dụng để tấn công một lần vào cơ sở hạ tầng hoặc phần mềm và dường như không thể chuẩn bị trước.
Lỗ hổng zero-day là lỗ hổng không có bản vá và thường thì nhà cung cấp phần mềm không biết về lỗ hổng này. Tuy nhiên, sau khi sử dụng, lỗ hổng này sẽ được biết đến và có thể vá, tạo cho kẻ tấn công một cơ hội duy nhất để khai thác nó.
Sự phát triển của các cuộc tấn công Zero-Day
Khi mức độ tinh vi của các cuộc tấn công giảm dần vào cuối những năm 2010 và phần mềm tống tiền, tấn công nhồi thông tin đăng nhập và tấn công lừa đảo được sử dụng thường xuyên hơn, người ta có thể cảm thấy như thời đại của lỗ hổng zero-day đã kết thúc.
Tuy nhiên, đây không phải là lúc để bỏ qua zero-day. Thống kê cho thấy 97 lỗ hổng zero-day đã bị khai thác trong tự nhiên vào năm 2023, nhiều hơn 50 phần trăm so với năm 2022. Đây là thời điểm chín muồi để các cơ quan an ninh mạng quốc gia đưa ra cảnh báo về zero-day bị khai thác.
Vào tháng 11, Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC) – cùng với các cơ quan từ Úc, Canada, New Zealand và Hoa Kỳ – đã chia sẻ danh sách 15 lỗ hổng thường bị khai thác nhiều nhất trong năm 2023.
Tại sao lỗ hổng Zero-Day vẫn còn quan trọng
Vào năm 2023, phần lớn các lỗ hổng này ban đầu được khai thác dưới dạng lỗ hổng zero-day, tăng đáng kể so với năm 2022, khi chưa đến một nửa số lỗ hổng hàng đầu bị khai thác sớm.
Stefan Tanase, một chuyên gia tình báo mạng tại CSIS, cho biết: “Zero-day không còn chỉ là công cụ gián điệp nữa; chúng đang thúc đẩy tội phạm mạng quy mô lớn”. Ông trích dẫn việc khai thác zero-day trong các giải pháp truyền tệp Cleo của nhóm ransomware Clop để xâm nhập vào mạng công ty và đánh cắp dữ liệu là một trong những ví dụ gần đây nhất.
Các tổ chức có thể làm gì để bảo vệ chống lại lỗ hổng Zero-Day?
Vậy, chúng ta biết vấn đề là gì, làm sao để giải quyết? Tư vấn của NCSC khuyến khích mạnh mẽ những người bảo vệ mạng doanh nghiệp duy trì sự cảnh giác với các quy trình quản lý lỗ hổng của họ, bao gồm việc áp dụng tất cả các bản cập nhật bảo mật kịp thời và đảm bảo họ đã xác định được tất cả các tài sản trong khu vực của mình.
Ollie Whitehouse, giám đốc công nghệ của NCSC, cho biết để giảm thiểu rủi ro bị xâm phạm, các tổ chức nên “đi trước một bước” bằng cách áp dụng các bản vá kịp thời, sử dụng các sản phẩm được thiết kế an toàn và luôn cảnh giác với việc quản lý lỗ hổng.
Do đó, việc phòng thủ chống lại một cuộc tấn công sử dụng zero-day đòi hỏi một khuôn khổ quản trị đáng tin cậy kết hợp các yếu tố bảo vệ đó. Nếu bạn tự tin vào tư thế quản lý rủi ro của mình, bạn có thể tự tin sống sót sau một cuộc tấn công như vậy không?
Vai trò của ISO 27001 trong việc chống lại rủi ro Zero-Day
ISO 27001 cung cấp cơ hội để đảm bảo mức độ bảo mật và khả năng phục hồi của bạn. Phụ lục A. 12.6, ‘Quản lý các lỗ hổng kỹ thuật’, nêu rằng thông tin về các lỗ hổng công nghệ của các hệ thống thông tin được sử dụng phải được thu thập kịp thời để đánh giá mức độ rủi ro của tổ chức đối với các lỗ hổng đó. Công ty cũng nên thực hiện các biện pháp để giảm thiểu rủi ro đó.
Mặc dù ISO 27001 không thể dự đoán việc sử dụng lỗ hổng zero-day hoặc ngăn chặn cuộc tấn công bằng cách sử dụng chúng, Tanase cho biết phương pháp tiếp cận toàn diện của tiêu chuẩn này đối với quản lý rủi ro và chuẩn bị bảo mật sẽ trang bị cho các tổ chức khả năng chống chọi tốt hơn với những thách thức do các mối đe dọa chưa biết này gây ra.
ISO 27001 giúp xây dựng khả năng phục hồi mạng như thế nào
ISO 27001 cung cấp cho bạn nền tảng về quản lý rủi ro và các quy trình bảo mật giúp bạn chuẩn bị cho những cuộc tấn công nghiêm trọng nhất. Andrew Rose, cựu CISO và nhà phân tích, hiện là giám đốc an ninh của SoSafe, đã triển khai 27001 tại ba tổ chức và cho biết, “Nó không đảm bảo bạn an toàn, nhưng nó đảm bảo bạn có các quy trình phù hợp để đảm bảo an toàn”.
Gọi là “một công cụ cải tiến liên tục”, Rose cho biết nó hoạt động theo vòng lặp, trong đó bạn tìm kiếm các lỗ hổng, thu thập thông tin tình báo về mối đe dọa, đưa vào sổ đăng ký rủi ro và sử dụng sổ đăng ký rủi ro đó để tạo kế hoạch cải tiến bảo mật. Sau đó, bạn đưa cho các giám đốc điều hành và hành động để khắc phục sự cố hoặc chấp nhận rủi ro.
Ông nói, “Nó đưa vào tất cả các biện pháp quản lý tốt mà bạn cần để được an toàn hoặc được giám sát, tất cả các đánh giá rủi ro và phân tích rủi ro. Tất cả những điều đó đều có sẵn, vì vậy đây là một mô hình tuyệt vời để xây dựng.”
Thực hiện theo các hướng dẫn của ISO 27001 và làm việc với đơn vị kiểm toán như ISMS để đảm bảo giải quyết các lỗ hổng và quy trình của bạn hợp lý là cách tốt nhất để đảm bảo bạn có sự chuẩn bị tốt nhất.
Chuẩn bị cho tổ chức của bạn trước cuộc tấn công Zero-Day tiếp theo
Christian Toon, người sáng lập và là chiến lược gia an ninh chính tại Alvearium Associates, cho biết ISO 27001 là khuôn khổ để xây dựng hệ thống quản lý an ninh của bạn và sử dụng nó làm hướng dẫn.
Ông cho biết: “Bạn có thể tự điều chỉnh theo tiêu chuẩn và thực hiện cũng như lựa chọn những phần bạn muốn thực hiện”. “Vấn đề là xác định điều gì phù hợp với doanh nghiệp của bạn trong tiêu chuẩn đó”.
Có yếu tố tuân thủ ISO 27001 nào có thể giúp giải quyết zero-day không? Toon cho biết đây là một trò chơi may rủi khi nói đến việc phòng thủ chống lại zero-day bị khai thác. Tuy nhiên, một bước phải liên quan đến việc có tổ chức đứng sau sáng kiến tuân thủ.
Ông cho biết nếu một công ty chưa từng gặp phải bất kỳ sự cố mạng lớn nào trong quá khứ và “những sự cố lớn nhất mà bạn có thể gặp phải là một vài vụ chiếm đoạt tài khoản”, thì việc chuẩn bị cho một hạng mục “quan trọng” – như vá lỗ hổng zero-day – sẽ khiến công ty nhận ra rằng họ cần phải làm nhiều hơn nữa.
Toon cho biết điều này khiến các công ty đầu tư nhiều hơn vào việc tuân thủ và phục hồi, và các khuôn khổ như ISO 27001 là một phần của “các tổ chức chấp nhận rủi ro”. Ông nói, “Họ khá vui khi coi đó là một vấn đề tuân thủ ở mức độ thấp” và điều này dẫn đến đầu tư.
Tanase cho biết một phần của ISO 27001 yêu cầu các tổ chức phải thực hiện đánh giá rủi ro thường xuyên, bao gồm xác định các lỗ hổng – ngay cả những lỗ hổng chưa biết hoặc mới xuất hiện – và triển khai các biện pháp kiểm soát để giảm thiểu rủi ro.
Ông cho biết: “Tiêu chuẩn này yêu cầu các kế hoạch ứng phó sự cố và duy trì hoạt động kinh doanh mạnh mẽ. Các quy trình này đảm bảo rằng nếu lỗ hổng zero-day bị khai thác, tổ chức có thể phản ứng nhanh chóng, ngăn chặn cuộc tấn công và giảm thiểu thiệt hại”.
Khung ISO 27001 bao gồm các lời khuyên để đảm bảo công ty chủ động. Bước tốt nhất cần thực hiện là sẵn sàng xử lý sự cố, biết phần mềm nào đang chạy và chạy ở đâu, và nắm vững cách quản lý.
