Bảo mật từ đầu cho ứng dụng web

Đây là một khái niệm mới xuất phát từ môi trường an toàn thông tin quốc tế. Ông Henri Hoang, giám đốc dịch vụ nâng cao hiệu quả CNTT của công ty tư vấn PricewaterhouseCooper (PwC) sẽ giúp chúng ta hiểu rõ hơn về xu hướng an ninh bảo mật mới này.

Website - cửa ngõ cho hacker

Thời gian qua, các website Việt Nam bị hack mà báo chí đưa tin đều bị hack với hình thức thay đổi giao diện web (deface). Hình thức này thường không gây tổn thất trực tiếp về tài chính. Mặc dù vậy, các doanh nghiệp (DN) có trang web đã bị tấn công deface cần thận trọng với vấn đề an ninh trên website của họ. Họ cần tiến hành đánh giá nghiêm túc sự cố đã xảy ra nhằm xác định chính xác mức độ xâm nhập và xác định những phần mềm (PM) bị ảnh hưởng.

Xu hướng an ninh bảo mật tại các nước phát triển rất khác với Việt Nam. Hiện nay, những hacker trên thế giới đang hình thành những nhóm hoạt động tinh vi và có động cơ chiếm đoạt tài chính bằng cách xâm nhập vào website của DN để đánh cắp các thông tin nhạy cảm như: thông tin thẻ tín dụng, tài khoản ngân hàng, thông tin khách hàng hoặc những tài sản trí tuệ. Tôi tin rằng hiện nay các ngân hàng (NH) và các công ty thuộc lĩnh vực tài chính tại Việt Nam ngày càng phát triển, điều đó sẽ thu hút các nhóm hacker thế giới.

Những hacker lão làng có động cơ xấu có thể xâm nhập vào hệ thống CNTT của công ty qua ngõ web của công ty nếu nó được bảo mật yếu và từ đó họ có thể xâm nhập vào những đường kết nối mạng khác nếu chúng có cấu hình kém. Những tấn công này thường âm thầm (không ầm ĩ như những trường hợp deface trang web) nhưng gây tổn thất rất lớn về tài chính. Do những tấn công dạng này thường âm thầm, nên các DN không thể chủ quan rằng họ chưa bị hacker viếng thăm vì trang web của họ không bị defaced. Những tấn công nguy hiểm nhất chính là những xâm nhập không để lại dấu vết rõ ràng cho nạn nhân nhận biết là mình đã bị xâm nhập. Nhóm DN NH và tài chính là những mục tiêu chính của những kiểu tấn công này.

Xu hướng bảo mật mới

Các bạn có thể nghĩ xem, tổn thất sẽ là bao nhiêu nếu hacker xâm nhập vào hệ thống mạng nội bộ của DN (đặc biệt là NH) mà không bị phát hiện và ngăn chặn kịp thời?

Những tấn công này chỉ có thể được phát hiện (và phòng tránh) khi DN có hệ thống quản lý an ninh thông tin toàn diện và nghiêm ngặt, kết hợp với thiết bị an ninh phù hợp cùng với quy trình và nhóm nhân viên phụ trách an ninh thông tin được đào tạo nghiêm túc.

Theo quan sát của tôi, hầu hết DN chỉ chú trọng đầu tư về các công nghệ bảo mật như tường lửa và anti-virus. Như đã nhắc đến ở trên, để đạt được an ninh tốt trong DN, cần phải kết hợp giữa công nghệ, quy trình và con người. Chỉ riêng công nghệ không thể cung cấp cho ta mức độ an ninh thỏa mãn trong môi trường toàn cầu hiện nay. Hãy xem ví dụ về thiết bị phát hiện xâm nhập (IDS) và thiết bị phòng chống xâm nhập (IPS). Những thiết bị này sẽ không mang lại hiệu quả tốt trừ phi chúng được cấu hình thích đáng và có quy trình theo dõi phù hợp. Chính vì thế, ban lãnh đạo cần có nhận thức đúng về những rủi ro và mối đe dọa an ninh thông tin và phân bổ tài nguyên phù hợp (đào tạo về con người và chi phí cho thiết bị) để tích hợp những quy trình an ninh tại DN của mình.

Trong kỷ nguyên Internet hiện nay, cần phải quan tâm nhiều hơn đến phát triển ứng dụng web theo cách thức bảo mật. Điều này có thể đạt được thông qua vòng đời phát triển PM theo cách thức bảo mật (Secure Software Development Life-Cycle). Theo đó, yêu cầu về an ninh thông tin được xác định ngay từ đầu và những lập trình viên phải được đào tạo về lập trình bảo mật. Tích hợp tính năng an ninh ngay từ giai đoạn phát triển sẽ tiết kiệm chi phí của sản phẩm PM. Hãy lấy xe ôtô làm ví dụ sản xuất xe ô tô gắn sẵn túi khí an toàn sẽ an toàn và chi phí thấp hơn là sản xuất hoàn tất chiếc xe xong rồi mới gắn túi khí sau. An ninh không còn là một tùy chọn của các lập trình viên và thiết kế PM, mà nó bắt buộc phải được kết hợp vào trong thiết kế và mô tả kỹ thuật của PM ứng dụng ngay từ lúc bắt đầu.