Sự lo ngại về độ an toàn các ứng dụng di động trong ngành ngân hàng
Với các ứng dụng di động ngân hàng chứa dữ liệu cá nhân như tài khoản thẻ thanh toán, địa chỉ và các thông tin cá nhân khác, vấn đề an toàn là thách thức hàng đầu. Theo khảo sát của FED tỷ lệ khách hàng sử dụng các ứng dụng ngân hàng của các tổ chức tài chính tại Mỹ mới chỉ đạt mức 20% hoặc ít hơn. Trong đó, chỉ có 56% các tổ chức cho biết, có 8% các ứng dụng của họ có báo cáo tỷ lệ sử dụng đạt trên 50%. Điều này cũng không có gì bất ngờ, bởi người tiêu dùng có quyền lo ngại dữ liệu cá nhân của họ do không được đảm bảo an toàn trong các ứng dụng di động ngân hàng, trong đó phổ biến nhất là bị vi phạm dữ liệu thông qua các khai thác tiềm năng trong mã ứng dụng bằng kỹ thuật dịch ngược (through reverse engineering). Hơn nữa, việc bị vi phạm dữ liệu các ứng dụng di động ngân hàng không chỉ ảnh hưởng đến dữ liệu cá nhân của người dùng mà còn gây thiệt hại về niềm tin đối với khách hàng của họ vì đa số người dùng sử dụng các ứng dụng ngân hàng với mục đích tăng năng suất và sự tiện lợi cho công việc của họ. Nó có thể gây thiệt hại đáng kể cho thương hiệu dẫn đến doanh thu bị mất, làm tăng chi phí để giải quyết vi phạm và các khoản nợ khác.
Không có giải pháp toàn diện cho tất cả
Do đặc thù kinh doanh của mình, các tổ chức dịch vụ tài chính là một trong những lĩnh vực cần có các ứng dụng di động được bảo vệ tốt nhất, nhằm ngăn chặn các mối đe dọa công nghệ. Tuy nhiên, không có giải pháp toàn diện nào có thể làm tất cả những việc đó trong cùng một ứng dụng. Điện thoại di động thông minh luôn tiềm tàng nhiều mối đe dọa khác nhau, đòi hỏi các công nghệ, giải pháp và quy trình khác nhau để bảo vệ cho cả hệ thống. Việc bảo mật ứng dụng di động yêu cầu một cách tiếp cận nhiều lớp để bảo mật toàn bộ ngăn xếp giao thức. Mặc dù đây là một vấn đề lớn, nhưng hiện tại các cuộc thảo luận về các ứng dụng di động ngân hàng mới chỉ tập trung vào một nhóm nhỏ các biện pháp bảo vệ được cung cấp bên ngoài như sử dụng dấu vân tay để xác thực thiết bị, sử dụng xác thực đa yếu tố và mã hóa để bảo vệ dữ liệu nhạy cảm.
Cách tiếp cận mới để tăng cường bảo mật cho ứng dụng di động ngân hàng
Để có thể tăng cường bảo mật cho các ứng dụng di động, nhất là đối với các ứng dụng di động ngân hàng cần một cách tiếp cận mới. Trong đó, cần cung cấp được ba lợi ích sau:
Lợi ích đầu tiên là ngăn chặn kỹ thuật dịch ngược giả mạo để tránh bị vi phạm và đánh cắp dữ liệu của ứng dụng. Điều này có thể thực hiện bằng cách làm “cứng hóa” các ứng dụng di động sau khi hoàn thành coding, đảm bảo bên trong ứng dụng có chứa một hệ thống các biện pháp bảo vệ được nhúng vào ứng dụng.
Lợi ích thứ hai là ngăn chặn các thỏa hiệp API (Application Programming Interface) và việc đánh cắp tài sản trí tuệ (mã nguồn) hoặc thông tin nhận dạng cá nhân. Điều này có thể thực hiện bằng cách sử dụng dữ liệu toàn diện (comprehensive data) và mã hóa khóa sử dụng mật mã hộp trắng (white-box cryptography).
Lợi ích cuối cùng là mỗi ứng dụng cần được bảo vệ bởi chính thiết bị của người dùng và đường truyền của nhà mạng. Các nhà phát triển ứng dụng cần thường xuyên cập nhật lỗ hổng, bản vá cho ứng dụng của mình trước các mối đe dọa mới cũng như cung cấp đầy đủ việc phân tích dữ liệu và hiển thị mối đe dọa theo thời gian thực đối với các tổ chức sử dụng ứng dụng của mình khi cần thiết.
Với cách tiếp cận mới này, sẽ đảm bảo các ứng dụng di động trong ngân hàng được tăng cường chức năng đảm bảo an toàn và làm “cứng hóa” ít nhất một lần sau khi hoàn thành coding. Bằng cách này, độ tin cậy của ứng dụng sẽ được giả định là “zero trust” (không dựa trên niềm tin) trong tất cả các thiết bị chạy ứng dụng, dù ở bên trong hay bên ngoài các vành đai bảo vệ truyền thống. Các phân đoạn mã, được gọi là “Guard” sẽ cung cấp ở mức cao về: sự quan tâm đến độ an toàn (security awareness), điều tra, bảo vệ và thu thập dữ liệu các sự kiện an toàn ứng dụng cho các phân tích khi một ứng dụng bị tấn công. Khi mạng “Guard” được tạo, việc thực hiện cập nhật lỗ hổng cho các phiên bản ứng dụng tiếp theo sẽ đơn giản hơn rất nhiều, do việc triển khai lại ứng dụng “cứng hóa” và bảo mật cho mỗi lần sửa đổi code mới sẽ được thực hiện tự động.
Hiển thị và phân tích thời gian thực
Hiện tại, đây là cách duy nhất giúp các nhà phát triển ứng dụng ghi lại thông tin có giá trị về hoạt động của ứng dụng sau khi nó được cài đặt và sử dụng. Dữ liệu này sẽ giúp nhà phát triển theo dõi việc hoạt động của ứng dụng có thể bị thay đổi như thế nào trong khi bị tấn công. Một yếu tố tích cực khác của việc này là nó có khả năng xác định các vectơ tấn công phổ biến nhất và các mục tiêu tấn công mà kẻ tấn công nhắm tới, giúp các nhà phát triển và các tổ chức tài chính kiểm soát được các ứng dụng, đưa ra các biện pháp phòng thủ và điều chỉnh các tính năng đảm bảo an toàn thông tin cho ứng dụng của họ.
Kết luận
Nhu cầu cấp thiết về độ an toàn cao đối với các ứng dụng ngân hàng di động hiện đang là một thách thức lớn. Các ngân hàng và các tổ chức tài chính khác nếu không có khả năng hiển thị và phân tích theo thời gian thực để theo dõi tình trạng an toàn thông tin của các ứng dụng sẽ dễ bị tấn công và mất dữ liệu. Đây là một rủi ro lớn vì nó có thể dẫn đến nhiều vụ tấn công và vi phạm dữ liệu cá nhân. Các tổ chức tài chính nên làm theo các bước được đề cập phía trên để khắc phục các điểm yếu này nhằm tránh mất cả dữ liệu và niềm tin của khách hàng.
Bùi Lê Nhật (Ngân hàng BIDV)
10:00 | 01/02/2019
08:00 | 14/06/2019
16:00 | 24/09/2018
10:00 | 07/01/2019
09:00 | 05/06/2019
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
11:00 | 27/01/2023
Nhà máy thông minh hay sản xuất thông minh là sự phát triển vượt bậc từ một hệ thống sản xuất truyền thống sang một hệ thống sản xuất thông minh dựa trên dữ liệu có thể kết nối và xử lý liên tục, được thu thập từ các máy móc thiết bị sản xuất, đến các quy trình sản xuất và kinh doanh. Việc kết nối với điện toán đám mây và môi trường Internet mang lại nhiều lợi thế cho hệ thống, tuy nhiên nó cũng dẫn đến nguy cơ bị tấn công mạng. Các cuộc tấn công mạng vào các hệ thống sản xuất công nghiệp có thể làm tê liệt dây chuyền vận hành và từ chối hoạt động truy cập vào dữ liệu quan trọng. Do đó, cần thiết lập các biện pháp bảo mật mạnh mẽ để phát hiện và bảo vệ trước các mối đe dọa an ninh từ các cuộc tấn công độc hại vào hạ tầng mạng và các thiết bị công nghiệp đối với sự phát triển của mô hình nhà máy thông minh.
14:00 | 09/12/2022
Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024