MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Đảm bảo an toàn thông tin các website của doanh nghiệp vừa và nhỏ ở Việt Nam
Để chống xâm nhập vào website, các doanh nghiệp nên thực hiện một số giải pháp như: không dùng share hosting, kiểm tra mã nguồn website thường xuyên, không cài thêm các plugin “lạ” vào website, sao lưu dữ liệu thường xuyên và nâng cao ý thức bảo mật, an ninh, an toàn.
1. Sử dụng website cho hoạt động kinh doanh
Theo số liệu của Tổng Cục thống kê, tại Việt Nam hiện nay có khoảng 400.000 doanh nghiệp lớn, vừa và nhỏ.
Cùng với sự phát triển của công nghệ thông tin, nhiều doanh nghiệp vừa và nhỏ (Small and Medium Enterprise - SME), đặc biệt là các doanh nghiệp tại khu vực Hà Nội và TP. Hồ Chí Minh đã sử dụng website vào hoạt động kinh doanh, nhằm giới thiệu các thông tin, sản phẩm của doanh nghiệp tới người tiêu dùng.
Theo dự báo của Cục Thương mại điện tử và Công nghệ thông tin (Bộ Công Thương), doanh thu từ thị trường thương mại điện tử Việt Nam năm 2015 có thể đạt 4 tỷ USD. Nếu so với các nước khác như Trung Quốc (400 tỷ USD), Singapore, Malaysia thì doanh số này còn thấp, nhưng tiềm năng phát triển trong tương lai là rất lớn.
Website thương mại điện tử mang lại những lợi ích to lớn cho người dùng, doanh nghiệp và xã hội như: Thu thập được nhiều nguồn thông tin từ đối tác, thị trường; Giảm chi phí sản xuất, bán hàng và giao dịch đối với nhà sản xuất; Xóa khoảng cách địa lý trong môi trường kinh doanh; Giá thành sản phẩm rẻ; Tạo điều kiện sớm tiếp cận nền kinh tế tri thức.
Tuy số lượng website ngày càng tăng nhưng vấn đề đảm bảo an toàn an ninh thông tin của các website này đều chưa được chú trọng đúng mức.
2. Các nguy cơ mất ATTT với website của doanh nghiệp SME
Theo số liệu của năm 2014, đã có 10.037 sự cố tấn công cài mã độc lên website của các tổ chức và doanh nghiệp. Mặc dù, đã nhận được cảnh báo từ các đơn vị giám sát an ninh mạng, nhưng tình trạng bị tấn công vẫn tái diễn vì chưa quan tâm tới công tác bảo mật.
Về mặt kỹ thuật, các website của doanh nghiệp thường được xây dựng thông qua một bên thứ ba, nhưng hầu hết các công ty xây dựng website ở Việt Nam chưa có tiêu chuẩn hoặc có quy trình kiểm soát các vấn đề về bảo mật trong quá trình xây dựng. Vì thế, rất nhiều website tồn tại những lỗ hổng nghiêm trọng cho phép xâm nhập và chiếm quyền điều khiển. Các lỗ hổng thường gặp như: SQL Injection, Cross-site Scripting, Upload....
Nhiều website của doanh nghiệp, nhất là các website quy mô nhỏ khi bị tấn công thì gần như bị tê liệt, bị xóa dữ liệu, thời gian khôi phục rất dài và tỉ lệ thiệt hại lớn. Nguy hiểm hơn, hacker sẽ tiến hành khai thác một cách âm thầm và lấy cắp các thông tin nhạy cảm như: danh sách khách hàng, danh sách nhân viên, tài liệu dự án,.... Theo ghi nhận của trung tâm an ninh mạng ATHENA, đã có tình trạng công ty thuê tin tặc tấn công vào hệ thống của đối thủ cạnh tranh, lấy đi các thông tin quan trọng như hồ sơ thầu, kế hoạch kinh doanh,... gây thiệt hại hàng tỷ đồng.
3. Các giải pháp phòng chống tấn công cho website
Để chống xâm nhập vào website, các doanh nghiệp nên thực hiện một số giải pháp sau:
Không dùng share hosting
Hiện nay, rất nhiều website bị tấn công do hosting chung trên cùng máy chủ với các website khác. Với hiện trạng bảo mật còn yếu, khi tin tặc tấn công vào một website thì sẽ thực hiện leo thang đặc quyền dùng website này làm “bàn đạp” để tấn công vào các website khác trong cùng máy chủ. Đây là một lỗ hổng rất phổ biến mà các tin tặc thường dùng để xâm nhập website hiệu quả.
Để tránh tình trạng này thì các nhà quản trị nên sử dụng máy chủ ảo (VPS). Với máy chủ ảo, website sẽ chạy trên một máy chủ độc lập, do đó tính bảo mật cao hơn, giảm thiểu khả năng bị tấn công từ các đối tượng khác.
Kiểm tra mã nguồn website thường xuyên
Website được công khai cho tất cả mọi người truy cập, do đó phải thường xuyên giám sát, kiểm tra mã nguồn. Trong trường hợp phát hiện những tệp tin bất thường thì phải tiến hành kiểm tra, vì đây có thể là các Trojan/Backdoor do tin tặc cài vào hệ thống website.
Quá trình kiểm tra chống xâm nhập được thực hiện như: kiểm thử xâm nhập hộp đen (đánh giá từ bên ngoài hệ thống), kiểm thử xâm nhập hộp trắng (đánh giá từ bên trong hệ thống), sửa chữa các lỗi tìm thấy, trang bị các hệ thống phát hiện và phòng chống xâm nhập như: ModSecurity, tường lửa....
Không cài thêm các plugin “lạ” vào website
Hiện nay, rất nhiều website được phát triển trên các mã nguồn mở miễn phí như Joomla, Wordpress… các mã nguồn này cho phép cài thêm các plugin để tăng tính năng của website. Tuy nhiên, rất nhiều plugin “lạ”, được cung cấp miễn phí trên internet có chứa Trojan/Backdoor đính kèm. Khi người sử dụng cài đặt plugin này vào website thì Trojan/Backdoor cũng được cài đặt và nằm “âm thầm” bên trong hệ thống để chờ lệnh.
Sao lưu dữ liệu thường xuyên
Dữ liệu là một phần rất quan trọng của hệ thống website. Dữ liệu có thể bị mất do tin tặc xâm nhập và xóa mất, hoặc do bị thiên tai, hỏa hoạn, lũ lụt.... Thực tế đã chứng minh rằng, nhiều doanh nghiệp mất toàn bộ dữ liệu, thiệt hại kinh tế rất lớn do không thực hiện quy trình sao lưu dữ liệu. Do đó, công việc này phải được đưa vào danh sách công việc thường xuyên, có phân công nhân sự đảm trách.
Nâng cao ý thức bảo mật, an ninh, an toàn
Doanh nghiệp phải có ý thức bảo vệ, xây dựng đội ngũ nhân sự có chuyên môn ATTT, trong trường hợp không đủ khả năng thì cần hợp tác với một bên thứ ba có chuyên môn về ATTT.
Theo trung tâm ATHENA, các doanh nghiệp (chủ yếu là các doanh nghiệp vừa và nhỏ) không đủ điều kiện xây dựng riêng đội ngũ chuyên môn ATTT cho mình, đều chọn phương án hợp tác với các tổ chức cung cấp dịch cụ ATTT. Với cách thức hợp tác này, doanh nghiệp tận dụng được nguồn lực của bên thứ ba và tập trung hoạt động của mình vào kinh doanh. Đây cũng là xu hướng bảo đảm ATTT phổ biến trên thế giới.
1. Sử dụng website cho hoạt động kinh doanh
Theo số liệu của Tổng Cục thống kê, tại Việt Nam hiện nay có khoảng 400.000 doanh nghiệp lớn, vừa và nhỏ.
Cùng với sự phát triển của công nghệ thông tin, nhiều doanh nghiệp vừa và nhỏ (Small and Medium Enterprise - SME), đặc biệt là các doanh nghiệp tại khu vực Hà Nội và TP. Hồ Chí Minh đã sử dụng website vào hoạt động kinh doanh, nhằm giới thiệu các thông tin, sản phẩm của doanh nghiệp tới người tiêu dùng.
Theo dự báo của Cục Thương mại điện tử và Công nghệ thông tin (Bộ Công Thương), doanh thu từ thị trường thương mại điện tử Việt Nam năm 2015 có thể đạt 4 tỷ USD. Nếu so với các nước khác như Trung Quốc (400 tỷ USD), Singapore, Malaysia thì doanh số này còn thấp, nhưng tiềm năng phát triển trong tương lai là rất lớn.
Website thương mại điện tử mang lại những lợi ích to lớn cho người dùng, doanh nghiệp và xã hội như: Thu thập được nhiều nguồn thông tin từ đối tác, thị trường; Giảm chi phí sản xuất, bán hàng và giao dịch đối với nhà sản xuất; Xóa khoảng cách địa lý trong môi trường kinh doanh; Giá thành sản phẩm rẻ; Tạo điều kiện sớm tiếp cận nền kinh tế tri thức.
Tuy số lượng website ngày càng tăng nhưng vấn đề đảm bảo an toàn an ninh thông tin của các website này đều chưa được chú trọng đúng mức.
2. Các nguy cơ mất ATTT với website của doanh nghiệp SME
Theo số liệu của năm 2014, đã có 10.037 sự cố tấn công cài mã độc lên website của các tổ chức và doanh nghiệp. Mặc dù, đã nhận được cảnh báo từ các đơn vị giám sát an ninh mạng, nhưng tình trạng bị tấn công vẫn tái diễn vì chưa quan tâm tới công tác bảo mật.
Về mặt kỹ thuật, các website của doanh nghiệp thường được xây dựng thông qua một bên thứ ba, nhưng hầu hết các công ty xây dựng website ở Việt Nam chưa có tiêu chuẩn hoặc có quy trình kiểm soát các vấn đề về bảo mật trong quá trình xây dựng. Vì thế, rất nhiều website tồn tại những lỗ hổng nghiêm trọng cho phép xâm nhập và chiếm quyền điều khiển. Các lỗ hổng thường gặp như: SQL Injection, Cross-site Scripting, Upload....
Nhiều website của doanh nghiệp, nhất là các website quy mô nhỏ khi bị tấn công thì gần như bị tê liệt, bị xóa dữ liệu, thời gian khôi phục rất dài và tỉ lệ thiệt hại lớn. Nguy hiểm hơn, hacker sẽ tiến hành khai thác một cách âm thầm và lấy cắp các thông tin nhạy cảm như: danh sách khách hàng, danh sách nhân viên, tài liệu dự án,.... Theo ghi nhận của trung tâm an ninh mạng ATHENA, đã có tình trạng công ty thuê tin tặc tấn công vào hệ thống của đối thủ cạnh tranh, lấy đi các thông tin quan trọng như hồ sơ thầu, kế hoạch kinh doanh,... gây thiệt hại hàng tỷ đồng.
3. Các giải pháp phòng chống tấn công cho website
Để chống xâm nhập vào website, các doanh nghiệp nên thực hiện một số giải pháp sau:
Không dùng share hosting
Hiện nay, rất nhiều website bị tấn công do hosting chung trên cùng máy chủ với các website khác. Với hiện trạng bảo mật còn yếu, khi tin tặc tấn công vào một website thì sẽ thực hiện leo thang đặc quyền dùng website này làm “bàn đạp” để tấn công vào các website khác trong cùng máy chủ. Đây là một lỗ hổng rất phổ biến mà các tin tặc thường dùng để xâm nhập website hiệu quả.
Để tránh tình trạng này thì các nhà quản trị nên sử dụng máy chủ ảo (VPS). Với máy chủ ảo, website sẽ chạy trên một máy chủ độc lập, do đó tính bảo mật cao hơn, giảm thiểu khả năng bị tấn công từ các đối tượng khác.
Kiểm tra mã nguồn website thường xuyên
Website được công khai cho tất cả mọi người truy cập, do đó phải thường xuyên giám sát, kiểm tra mã nguồn. Trong trường hợp phát hiện những tệp tin bất thường thì phải tiến hành kiểm tra, vì đây có thể là các Trojan/Backdoor do tin tặc cài vào hệ thống website.
Quá trình kiểm tra chống xâm nhập được thực hiện như: kiểm thử xâm nhập hộp đen (đánh giá từ bên ngoài hệ thống), kiểm thử xâm nhập hộp trắng (đánh giá từ bên trong hệ thống), sửa chữa các lỗi tìm thấy, trang bị các hệ thống phát hiện và phòng chống xâm nhập như: ModSecurity, tường lửa....
Không cài thêm các plugin “lạ” vào website
Hiện nay, rất nhiều website được phát triển trên các mã nguồn mở miễn phí như Joomla, Wordpress… các mã nguồn này cho phép cài thêm các plugin để tăng tính năng của website. Tuy nhiên, rất nhiều plugin “lạ”, được cung cấp miễn phí trên internet có chứa Trojan/Backdoor đính kèm. Khi người sử dụng cài đặt plugin này vào website thì Trojan/Backdoor cũng được cài đặt và nằm “âm thầm” bên trong hệ thống để chờ lệnh.
Sao lưu dữ liệu thường xuyên
Dữ liệu là một phần rất quan trọng của hệ thống website. Dữ liệu có thể bị mất do tin tặc xâm nhập và xóa mất, hoặc do bị thiên tai, hỏa hoạn, lũ lụt.... Thực tế đã chứng minh rằng, nhiều doanh nghiệp mất toàn bộ dữ liệu, thiệt hại kinh tế rất lớn do không thực hiện quy trình sao lưu dữ liệu. Do đó, công việc này phải được đưa vào danh sách công việc thường xuyên, có phân công nhân sự đảm trách.
Nâng cao ý thức bảo mật, an ninh, an toàn
Doanh nghiệp phải có ý thức bảo vệ, xây dựng đội ngũ nhân sự có chuyên môn ATTT, trong trường hợp không đủ khả năng thì cần hợp tác với một bên thứ ba có chuyên môn về ATTT.
Theo trung tâm ATHENA, các doanh nghiệp (chủ yếu là các doanh nghiệp vừa và nhỏ) không đủ điều kiện xây dựng riêng đội ngũ chuyên môn ATTT cho mình, đều chọn phương án hợp tác với các tổ chức cung cấp dịch cụ ATTT. Với cách thức hợp tác này, doanh nghiệp tận dụng được nguồn lực của bên thứ ba và tập trung hoạt động của mình vào kinh doanh. Đây cũng là xu hướng bảo đảm ATTT phổ biến trên thế giới.
KS. Võ Đỗ Thắng