Theo Theo bankinfosecurity, nỗ lực này không nhằm mục đích thay thế một chương trình quản lý lỗ hổng doanh nghiệp mà để hỗ trợ các tổ chức không thành thạo trong lĩnh vực săn tìm lỗ hổng.
NCSC là cơ quan kỹ thuật hàng đầu của chính phủ về an ninh mạng và là chi nhánh công khai của GCHQ, cơ quan tình báo, an ninh và mạng của Anh. NCSC cũng là cơ quan dẫn đầu về ứng phó sự cố quốc gia và các chiến lược của họ được áp dụng một phần dựa trên các xu hướng tấn công mới nhất cũng như những thiếu sót trong chương trình bảo mật mà họ nhận thấy.
Một thách thức đối với việc quản lý lỗ hổng bảo mật là nó vẫn là một quá trình không bao giờ kết thúc, do các tổ chức liên tục bổ sung những phần mềm mới và cập nhật phần mềm hiện có. Trong khi đó, các nhà nghiên cứu, tội phạm và những người khác tiếp tục tìm kiếm những cách mới để khai thác phần mềm.
Khi một lỗ hổng phần mềm mới được phát hiện, bất kỳ ai sử dụng phần mềm đó đều phải đối mặt với vấn đề vá lỗi. Cụ thể, họ có thể sửa chữa hoặc ít nhất là giảm thiểu lỗ hổng trước khi những kẻ tấn công khai thác nó. Tuy nhiên, biết một lỗ hổng tồn tại và khắc phục nó là những thách thức riêng biệt, nhưng có liên quan đến nhau.
"Khi một lỗ hổng phần mềm bị tiết lộ, việc tìm mã chứng minh khái niệm để khai thác nó thường dễ dàng hơn là tìm các công cụ giúp bảo vệ. Để làm cho vấn đề trở nên tồi tệ hơn, ngay cả khi có sẵn tập lệnh quét, rất khó để biết liệu nó có thực thi an toàn hay không, ngoài ra còn việc có trả về kết quả quét hợp lệ hay không", Ollie N. - người đóng vai trò là trưởng nhóm quản lý lỗ hổng của NCSC cho biết.
Ollie N. cho rằng: “Scanning Made Easy ra đời với mong muốn là giúp đội ngũ chuyên trách tìm thấy các hệ thống dễ bị tấn công, để họ có thể bảo vệ chúng. Mặc dù sẽ không có tập lệnh cho mọi lỗ hổng đơn lẻ, nhưng kế hoạch của chúng tôi là các tập lệnh sẽ được phát triển và liên tục xem xét đối với các lỗ hổng nghiêm trọng".
Các kịch bản cho doanh nghiệp SME sẽ được viết bởi các đối tác, như một phần của chương trình i100 của NCSC. Chương trình hiện có 100 cá nhân từ các tổ chức công và tư nhân tham gia bán thời gian với NCSC. Bản thân các tập lệnh đang được phát triển bằng cách sử dụng công cụ tạo kịch bản tiêu chuẩn công nghiệp Nmap Scripting Engine, hay còn gọi là NSE.
Chuyên gia an ninh mạng Alan Woodward, giáo sư thỉnh giảng tại khoa khoa học máy tính của Đại học Surrey (Anh), ca ngợi chương trình mới đã giúp các tổ chức cải thiện hoạt động của chính họ. "Tôi thực sự rất quan tâm đến sáng kiến này. Chính phủ đã tạo điều kiện thay vì thực hiện nó cho các tổ chức. Cá nhân tôi nghĩ đó là cách làm tốt. NCSC trước đây đã chia sẻ thông tin tình báo về mối đe dọa với các tổ chức nên đây là tiến trình tự nhiên. Các tổ chức đó phải tự tìm kiếm các lỗ hổng bảo mật và tôi cho rằng NCSC sẽ hoạt động như một kho lưu trữ các tập lệnh Nmap và các cách sử dụng các công cụ khác dựa trên các phương pháp hay nhất rút ra từ những tổ chức bị tấn công".
Brian Honan, chủ tịch công ty tư vấn an ninh mạng BH Consulting có trụ sở tại Dublin cho biết, chương trình này hy vọng sẽ thúc đẩy nhiều tổ chức áp dụng và trau dồi các phương pháp quản lý lỗ hổng bảo mật.
Ông nói: “Đây là một động thái rất đáng hoan nghênh và thông minh của chính phủ Anh trong việc hỗ trợ các công ty thuộc mọi quy mô nắm bắt tốt hơn việc quét lỗ hổng bảo mật. Sự phụ thuộc ngày càng nhiều của các công ty và doanh nghiệp vào phần mềm, đặc biệt là sau đại dịch COVID-19 với cách làm việc từ xa và kết hợp, có nghĩa là các tổ chức cần đảm bảo các nền tảng mà họ sử dụng là an toàn".
Tuy nhiên, ông nói rằng các doanh nghiệp SME đã gặp khó khăn với việc quản lý bản vá, cả về kỹ năng kỹ thuật nội bộ cũng như không biết nên áp dụng công cụ nào. Dự án Scanning Made Easy sẽ cung cấp cho tổ chức cơ hội để bắt đầu có được một mức năng lực cơ bản tốt và từ đó họ có thể xây dựng tốt hơn.
Tập lệnh đầu tiên được cung cấp thông qua chương trình Scanning Made Easy có sẵn từ GitHub và được thiết kế để tìm các lỗ hổng thực thi mã từ xa nghiêm trọng trong Exim, một trong những email server được sử dụng nhiều nhất trên thế giới. Các lỗ hổng Exim cụ thể được tập lệnh tìm kiếm được chỉ định là CVE-2020-28017 đến CVE-2020-28026 và còn được gọi là 21Nails.
Kịch bản được phát triển bởi Ollie Whitehouse, Group CTO tại Tập đoàn tư vấn NCC của Anh, trong khuôn khổ chương trình i100.
"Tập lệnh sẽ xuất ra các kết quả dễ đọc, bao gồm mô tả về lỗ hổng bảo mật và liên kết đến tư vấn bảo mật của nhà cung cấp. Thực thi tập lệnh này thường xuyên và làm theo lời khuyên của nhà cung cấp được liên kết sẽ giúp giữ an toàn cho mạng của bạn", Ollie N. của NCSC cho biết.
David Stubley, người đứng đầu công ty tư vấn và kiểm thử bảo mật 7 Elements tại Edinburgh (Scotland), cho biết một trong những thách thức mà các tổ chức thực hiện chương trình quản lý lỗ hổng phải đối mặt là làm thế nào để theo đuổi chính xác tới cùng mọi lỗ hổng, xếp thứ tự ưu tiên những lỗ hổng gây ra rủi ro lớn nhất cho tổ chức đó. “Bất kỳ sự hỗ trợ và hướng dẫn nào cho phép các SME áp dụng cách tiếp cận mạnh mẽ hơn đối với an ninh mạng đều phải được hỗ trợ và được coi là một bước đi đúng hướng tích cực. Tuy nhiên, dò quét chỉ là một khía cạnh và các phương pháp tiếp cận dựa vào các công cụ và kết quả tự động thường chứa các phát hiện thừa, dương tính giả và xếp hạng rủi ro không chính xác".
Stubley cho biết thêm: "Mức độ nhiễu này tạo ra một rào cản kỹ thuật chống lại việc các tổ chức có thể đưa ra các quyết định sáng suốt và có thể dẫn đến tăng khả năng vi phạm. Do đó, các tổ chức cũng nên tập trung vào khả năng kiểm tra đầu ra một cách nghiêm túc".
Vì vậy, ngoài các công cụ, đào tạo là hoạt động cần thiết để triển khai một chương trình quản lý lỗ hổng hiệu quả, ít nhất là có thể mở rộng quy mô.
Nguyễn Anh Tuấn
10:00 | 25/10/2021
10:00 | 25/07/2021
17:00 | 25/02/2021
10:00 | 14/05/2024
Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) vừa đưa ra cảnh báo về một chiến dịch phát tán mã độc trên Android đang diễn ra với mục tiêu nhắm đến các tài khoản ngân hàng trực tuyến.
14:00 | 10/05/2024
Các cơ quan chức năng tại Cộng hòa Séc và Đức mới đây vừa tiết lộ rằng họ là mục tiêu của một chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc đến từ Nga có tên gọi APT28.
10:00 | 07/05/2024
Mới đây, Trung Quốc đã giới thiệu công cụ trí tuệ nhân tạo (AI) có khả năng chuyển văn bản thành video, tương tự ứng dụng gây sốt Sora của OpenAI.
09:00 | 28/03/2024
Trong 02 ngày 26 và 27/3, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng Đoàn đã đến làm việc với Tỉnh ủy Thái Bình, Quảng Ninh và Thành ủy Hải Phòng về công tác phối hợp, tăng cường triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và trí tuệ nhân tạo, Hiệp hội Blockchain Việt Nam để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
08:00 | 17/05/2024