eBay vừa mới thông báo họ bị tấn công và 145 triệu tài khoản của người dùng đã đánh cắp (theo Reuters). Trước đó là Adobe, Evernote, Sony… bị mất vài chục cho đến vài trăm nghìn tài khoản. Con số này báo hiệu đã đến lúc cần có sự xuất hiện của một giải pháp an toàn thông tin thế hệ mới.
Trong cuộc tấn công vào eBay, ngoài con số thiệt hại 145 triệu tài khoản được chú , chúng ta còn thấy có 2 yếu tố quan trọng nữa mà ít người để ý hơn.
- eBay biết họ bị tấn công sau bao nhiêu lâu ?
- eBay bị tấn công như thế nào ?
Một thực tế khá tệ đó là cuộc tấn công vào eBay diễn ra từ cuối tháng 2/2014, vậy mà mãi tới tháng 5 họ mới phát hiện ra. Nhưng eBay không phải là kẻ cô độc, hầu hết các cuộc tấn công trên đều xảy ra trong tình trạng tương tự. Nạn nhân không hề biết mình đã bị đánh cắp dữ liệu trong một khoảng thời gian dài. Kẻ tấn công cũng không hề nhắm trực tiếp vào máy chủ của eBay, nơi sẽ khó khăn hơn để tìm lỗ hổng và có thể có nhiều tầng lớp bảo vệ. Cũng giống nhiều cuộc tấn công gần đây, con đường mà kẻ tấn công khai thác lại chính là máy tính của những nhân viên trong hệ thống. Những máy tính này ít nhiều được cấp quyền để truy nhập vào các hệ thống máy chủ quan trọng hơn. Hãy xem eBay tự nói gì về vụ này: “Cyberattackers compromised a small number of employee log-in credentials, allowing unauthorized access to eBay’s corporate network“. Nhưng chẳng nhẽ, eBay và các hãng khác không trang bị các giải pháp phòng chống mã độc, phát hiện xâm nhập, tường lửa… ? Tôi tin chắc chắn rằng họ đã có cả tá những giải pháp được coi là tốt nhất. Vậy mà các mã độc vẫn phát tán được vào các máy tính bên trong hệ thống, các dữ liệu được lấy trộm và gửi ra bên ngoài một cách trót lọt, trước sự kiểm soát của tường lửa. Vậy thì các giải pháp security hiện nay đã thất bại ? Vâng, hơi buồn nhưng có thể nói là như vậy.
Đã đến lúc cần có sự xuất hiện của “Next-generation Security System”
Vì các tường lửa thì hoạt động theo “rules”, IDS/IPS thì hoạt động theo “signatures”, các AV thì theo “samples”. Một vài tính năng “thông minh” thực tế cũng không giải quyết được vấn đề. Đơn giản vì chúng hiện nay, chưa đủ khả năng để phát hiện ra một sự “bất thường” xảy ra trong hệ thống. Vậy một cuộc tấn công thì có những “bất thường” gì ? Trong cả một vài tháng, các tên miền được truy cập của một mạng khá ổn định, vậy mà một hôm đẹp trời, giữa đêm khuya thanh vắng, xuất hiện vài tên miền loằng ngoằng, IP lạ hoặc lại được một vài máy tính trong mạng kết nối đến. Đó là ví dụ của sự bất thường. Máy tính A trong cả 1 tháng, lưu lượng mạng trung bình một ngày là 400MB, tự nhiên chủ nhật lại tăng lên 4GB. Đó cũng là 1 ví dụ của sự bất thường. Như vậy thì có nhiều thể loại bất thường: bất thường về băng thông, bất thường về các kết nối, bất thường về các tên miền/địa chỉ IP, bất thường trong các giao thức, bất thường trong các payload… Về cơ bản các hệ thống hiện nay không giải quyết được do hạn chế về khả năng tính toán. Nó đòi hỏi phải có tính real-time cao, lượng dữ liệu xử lý cực lớn cả hiện tại và quá khứ, các thuật toán phức tạp trong việc phát hiện sự bất thường… Big data có thể đáp ứng được những đòi hỏi trên, vậy thì đã đến lúc xuất hiện “Next-generatoin Security System” rồi.