Các bước để trở nên chủ động hơn trước sự cố an ninh mạng

Lỗ hổng Logj4 là một trong những sự kiện an ninh lớn đã định hình các cuộc thảo luận về an ninh trong vài tháng qua, vì lỗ hổng Log4j cần được xem xét rất nghiêm túc. 

Log4j là gì?

Log4j là một phương tiện ghi nhật ký được sử dụng để giám sát và theo dõi các lệnh gọi hệ thống trong máy chủ web (và các công cụ khác) để ghi lại các hoạt động. Mã Log4j được tạo bởi một dự án mã nguồn mở do Apache Software Foundation quản lý.

Mã được nhúng sâu vào các hệ thống và công cụ mà tất cả chúng ta sử dụng hàng ngày. Nó phổ biến ở khắp mọi nơi cũng như ít người biết đến. Mặc dù bạn có thể chưa bao giờ nghe nói về nó cho đến tháng 12 năm 2021, nhưng nó đã – và sẽ tiếp tục được sử dụng – bởi hàng triệu máy chủ web, nền tảng trò chơi và các dịch vụ khác trên internet. Nó được tìm thấy trong các máy chủ web Apache Tomcat, nền tảng trò chơi Minecraft, Apple iCloud, Amazon Web Services (AWS) và hơn thế nữa.

Các tổ chức sử dụng Apache Tomcat bao gồm hàng triệu người. Chúng ta đang nói về hầu hết mọi chính phủ, công ty lớn và doanh nghiệp nhỏ trong mọi thị trường dọc. Các ngân hàng và nhà sản xuất lớn sử dụng các dịch vụ sử dụng Log4j ngày này qua ngày khác. Nó đại diện cho một bề mặt tấn công lớn, với các tác động trên mọi lĩnh vực, từ tài chính đến chuỗi cung ứng sản xuất.

Tại sao Lỗ hổng Log4j lại là một vấn đề lớn?

Lỗ hổng Logj4 là một sự kiện rất quan trọng. Đây là một lỗ hổng nghiêm trọng và mối đe dọa sinh ra phần mềm khai thác thực sự và dẫn đến các sự cố bảo mật thực tế. Nhưng nó có ý nghĩa quan trọng vì hai lý do nữa, vì nó là:

Kẻ chủ mưu chính đầu tiên của sự mệt mỏi cảnh báo an ninh.

Cơ hội cho cộng đồng CNTT và nhà phát triển thực hiện một số thay đổi.

Log4j và Năm điều kiện lớn

Một lỗ hổng như Log4j sẽ trở thành một vấn đề lớn khi nó thỏa mãn các điều kiện sau:

1. Phổ biến: Nếu bạn là kẻ tấn công, bạn thường muốn khai thác mã được tìm thấy ở khắp mọi nơi.
2. Tác động: Những kẻ tấn công thích mã cho phép chúng thực thi mã ngẫu nhiên, theo ý muốn. Trong trường hợp này, có thể sử dụng khai thác Log4j để thực hiện một số cuộc tấn công mạnh mẽ, bao gồm khả năng đánh cắp dữ liệu, thao tác dữ liệu hoặc tiến hành các cuộc tấn công DDoS.
3. Dễ sử dụng: Một khi kẻ tấn công xác định được Log4j, thì việc tạo mã để khai thác nó là tương đối dễ dàng.
4. Khả năng mở rộng: Có thể tự động quét và tấn công Log4j bằng cách sử dụng các tập lệnh đơn giản hoặc quét phức tạp hỗ trợ AI.
5. Độ ẩn: Với lỗ hổng log4j, sự cố xảy ra trong một cơ sở ghi nhật ký bị che khuất được nhúng sâu vào máy chủ web. Lỗ hổng cụ thể này không thể nhìn thấy hoặc dễ dàng nhận ra như lỗ hổng EternalBlue, được liên kết dễ dàng hơn với các hệ điều hành Windows cụ thể. Với Log4j, vấn đề khó khăn hơn để xác định đặc điểm, cô lập và loại bỏ.

Với các yếu tố trên, phạm vi của lỗ hổng đã dẫn đến rất nhiều lo lắng chính đáng. Nó cũng dẫn đến rất nhiều nỗi sợ hãi, không chắc chắn và nghi ngờ bên cạnh những bước nhảy an ninh điển hình, mà nhiều người đã cố gắng khai thác.

Các phản ứng điển hình khi xảy ra sự cố 

Bất cứ khi nào một lỗ hổng được tìm thấy, phản ứng đầu tiên là đổ lỗi cho ai đó. Trong những năm qua, động thái này trông giống như:

• Công ty hoặc dự án tạo ra phần mềm phải chịu trách nhiệm
• Mã nguồn mở là thủ phạm
• Nguồn đóng là thủ phạm
• Đó là một vấn đề của chuỗi cung ứng
• Những người không cập nhật là vấn đề
• Mua thứ gì đó để giải quyết vấn đề

Đã đến lúc chúng ta đề ra phương thức giải quyết hợp lý và có tính hệ thống hơn. Vượt lên trên nỗi sợ hãi, không chắc chắn và nghi ngờ

Nếu tổ chức của bạn đã tương đối trưởng thành và đã có một số điều trên thì có thể theo dõi và giảm thiểu vấn đề này. Vấn đề là, không phải mọi tổ chức đều có những quy trình chuyên nghiệp, và thậm chí tệ hơn, rất nhiều tổ chức nghĩ rằng họ có những quy trình chặt chẽ, nhưng không. 

Việc thoát khỏi tình trạng này đơn giản là việc bạn cần đưa ra các giải pháp ngắn hạn và giải hạn để trở nên chủ động hơn. 

Các giải pháp ngắn hạn bao gồm khả năng:

Theo dõi và trực quan hóa: Chúng tôi cần các nhà phân tích bảo mật, những người biết cách tìm kiếm các dấu vết tấn công hệ thống. Điều đó quan trọng hơn việc vá phần mềm hoặc cập nhật hệ thống phát hiện xâm nhập. Theo dõi và phản hồi một cách tinh vi là cách hiệu quả nhất để chống lại các cuộc tấn công xuất phát từ các lỗ hổng bảo mật mà chúng tôi buộc phải tiếp tục tìm kiếm trong phần mềm ít người biết đến nhưng hữu ích.

Bản vá: Có, chúng tôi phải tiếp tục vá. Nhưng đó không phải là giải pháp duy nhất.

Tự động hóa: Chúng tôi cần những chuyện gì biết cách tự động hóa nhanh chóng cả quy trình vá lỗi và quy trình cảnh báo bảo mật.

Các giải pháp dài hạn bao gồm:

Phân đoạn vi mô: Tôi không nói về việc chỉ sử dụng mạng LAN ảo hoặc sử dụng các giải pháp Tường lửa ứng dụng web (WAF) điển hình. Phân đoạn vi mô cho phép các tổ chức tạo ra các cơ hội kiểm tra chi tiết hơn đối với các ứng dụng và dữ liệu. Nó cải thiện và hoàn thiện khả năng giám sát và hình dung.

Kiểm tra nghiêm ngặt hơn: Chúng tôi cần những người kiểm tra bút giỏi và nhà phân tích bảo mật tham gia vào việc kiểm tra và thử nghiệm các ứng dụng để tìm ra những lỗi phần mềm ẩn sâu này.

Phát triển bền vững gắn liền với giải pháp dài hạn 

Giải pháp phức tạp hơn là để trưởng thành vòng đời phát triển. Chúng ta cần giành quyền kiểm soát quá trình phát triển phần mềm. Điều này, tất nhiên, có thể mất một thời gian.

Thực tế là hầu hết các nhà phát triển hoặc không biết bảo mật hoặc không được cung cấp đủ thời gian trong các dự án để thực hiện các phương pháp mã hóa an toàn là vấn đề. Việc bỏ qua động lực này đã tạo ra phần lớn các cơn ác mộng bảo mật hiện tại của chúng ta.

Nhiều năm trước, Eric Raymond đã đưa cho chúng ta Quy luật Linus trong cuốn sách The Cathedral and the Bazaar của anh ấy. Nó nói rằng, “Nếu bạn để tâm đúng mức, tất cả các lỗi đều đơn giản.” Trong trường hợp này, có vẻ như một số nhà lãnh đạo dự án nguồn mở đã không dành đủ độ để tâm cho mã của họ.

Nhưng các nhà phát triển không thực sự biết những gì cần tìm. Họ không thực sự nhận ra những gì họ đang nhìn thấy. Các nhà phân tích bảo mật cũng gặp khó khăn trong việc hình dung những gì đang diễn ra.

Lý do đào tạo về bảo mật được chú trọng

Đây là lý do tại sao nhiều nhà phát triển hiện đang được đào tạo về bảo mật. Nghiên cứu gần đây về chứng chỉ bảo mật CompTIA cho thấy rằng nhiều nhà phát triển hơn bao giờ hết đã sử dụng CompTIA Security + chẳng hạn. Tại sao? Bởi vì điều quan trọng là các nhà phát triển phải hiểu được ý nghĩa bảo mật và quyền riêng tư của các quyết định mà họ đưa ra khi viết mã.

Giải pháp dài hạn này cho phép các chuyên gia phân tích bảo mật, đánh giá lỗ hổng bảo mật và kiểm tra bút (VAPT), nhà phát triển và chuyên gia vận hành làm việc cùng nhau hiệu quả hơn.