.jpg)
Theo ông, phương pháp tính điểm và phân loại lỗ hổng bảo mật hiện nay phản ánh một hệ thống lạc hậu và không xem xét cách thức hoạt động của tin tặc hiện đại. “Vấn đề là toàn bộ không gian quản lý lỗ hổng vẫn phát triển, nhưng không theo kịp sự thay đổi của các cuộc tấn công”, ông cho hay.
Các cách tiếp cận trong việc tính điểm và phân loại lỗ hổng như hệ thống tính điểm Common Vulnerability Scoring System (CVSS), đã dẫn đến sự quá tập trung vào các đặc điểm cụ thể của các lỗ hổng đơn lẻ mà bỏ qua bối cảnh rộng hơn là mô hình mối đe dọa và tiềm năng của việc khai thác lỗ hổng bảo mật theo chuỗi, có thể gây ra những thiệt hại khó lường. Nói cách khác, hệ thống tính điểm các lỗ hổng với thang điểm từ 0 (lành tính) đến 10 (rất xấu) với việc gắn cờ khác nhau (như có thể khai thác từ xa hoặc tại chỗ) sẽ không xác định được mức độ nguy hiểm thực sự của lỗ hổng trên thực tế.
Ví dụ, với một doanh nghiệp, lý tưởng nhất là nhanh chóng cập nhật bản vá đối với một lỗ hổng thực thi mã từ xa có điểm CVSS cao. Các lỗ hổng có điểm thấp hơn, như các lỗ hổng về leo thang đặc quyền và rò rỉ dữ liệu, có thể sẽ không được xử lý ưu tiên.
Tuy nhiên, tin tặc có thể khai thác lỗ hổng rò rỉ dữ liệu để có thông tin đăng nhập vào hệ thống, sau đó khai thác lỗ hổng leo thang đặc quyền để chiếm quyền điều khiển hệ thống. Do đó, hai lỗ hổng điểm thấp còn có thể có tiềm năng bị khai thác và gây ra hậu quả nghiêm trọng hơn lỗ hổng thực thi mã từ xa.
Theo Rogers, quá trình đánh giá chưa đưa ra cách đối phó với các lỗ hổng này, mà còn đưa người dùng vào cách đánh giá sai lầm khi nhìn vào điểm số của lỗ hổng. Nếu lỗ hổng có điểm thấp thì người dùng sẽ ít phân bổ tài nguyên để xử lý.
Ngoài ra, cần xét tới bối cảnh khai thác một lỗ hổng. Ví dụ, một lỗ hổng cho phép tin tặc hiển thị văn bản trên màn hình sẽ có điểm CVSS rất thấp. Nhưng nếu lỗ hổng đó được khai thác trên màn hình giải trí tại máy bay hoặc biển thông báo của cảnh sát, thì có thể gây ra sự hỗn loạn ngang với việc chiếm quyền kiểm soát hệ thống.
Cũng có trường hợp các lỗ hổng dường như vô hại lại trở thành nguy hiểm khi tin tặc tìm được cách khai thác chúng tốt hơn. Rogers đã chỉ ra cuộc tấn công Rowhammer, trong đó mã độc có thể thay đổi dữ liệu của bộ nhớ. Việc thay đổi một vài bit trong RAM có vẻ không quá nghiêm trọng, nhưng sẽ thực sự nguy hiểm khi lật đúng bit trong bộ nhớ kernel để có được quyền root.
Mặc dù sẽ khó tìm được giải pháp hoàn thiện cho việc đánh giá lỗ hổng, nhưng Rogers tin rằng bước đầu tiên cần làm là có cái nhìn rộng hơn về cách thức phân loại các lỗ hổng. Thay vì chỉ nhìn vào hậu quả tức thời có thể xảy ra của một lỗ hổng, thì cần phải tính đến việc lỗ hổng đó có thể ảnh hưởng gì đối với phần còn lại của hệ thống.
Để làm điều đó, nhân viên an toàn thông tin cần phải mở rộng tầm nhìn của mình và tiếp cận nhiều hơn với các cộng đồng an toàn thông tin. Cách tiếp cận đúng là đánh giá lỗ hổng theo cách người xây dựng hệ thống hoặc nhà điều hành xem xét bối cảnh khai thác của lỗ hổng. Theo Rogers, cần đưa ra một quy trình linh động hơn như sử dụng điểm CVSS nhưng xem xét thêm các yếu tố về hệ thống.
Nguyễn Anh Tuấn
Theo The Register
07:00 | 04/11/2019
11:00 | 06/01/2020
10:00 | 27/04/2020
16:00 | 24/10/2019
15:00 | 21/10/2019
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024
