Trong tháng 7/2020, Công ty phần mềm đa quốc gia Specops (Thụy Điển) đã thực hiện phân tích dữ liệu từ Trung tâm Nghiên cứu chiến lược và Quốc tế (CSIS) để tìm ra 20 quốc gia trên thế giới phải đối mặt với các cuộc tấn công mạng lớn nhất trong vòng 14 năm qua (từ tháng 6/2006 - 6/2020). Các cuộc tấn công mạng lớn được xác định nhắm vào các cơ quan chính phủ, công ty quốc phòng và công nghệ cao của một quốc gia với mức thiệt hại tương đương 1 triệu USD.
Đáng lưu ý, Việt Nam xếp thứ 18 trong danh sách này, với 6 cuộc tấn công mạng nghiêm trọng. Các kỹ thuật thường được sử dụng nhiều nhất là tấn công từ chối dịch vụ (DDoS), tấn công SQL injection, tấn công người đứng giữa (MitM) và tấn công giả mạo (Phishing).
Theo một số liệu khác được cung cấp bởi Công ty An ninh mạng Viettel (VCS), tính đến hết tháng 8/2020 đã phát hiện tổng số hơn 3 triệu cảnh báo tấn công mạng vào các hệ thống tài chính, ngân hàng, mạng công nghệ thông tin một số tỉnh thành trên cả nước. Trong đó, hình thức tấn công mạng mà các hệ thống tài chính, ngân hàng phải đối mặt nhiều nhất là khai thác web (chiếm 77,58%).
Cách hoạt động của hệ thống tường lửa ứng dụng web
Những số liệu trên phần nào đã cung cấp bức tranh toàn cảnh về tình hình tấn công mạng hiện nay. Trong đó, nổi lên là các loại hình tấn công nhắm vào ứng dụng web. Để giải quyết vấn đề này, trên thị trường hiện có rất nhiều thiết bị, giải pháp bảo mật ứng dụng web được cung ứng như: tường lửa, trung tâm điều hành an toàn thông tin (ATTT), phát hiện và ngăn chặn tấn công có chủ đích, phòng chống tấn công từ chối dịch vụ, ngăn ngừa tấn công mã độc…
Do đó, giải pháp tường lửa ứng dụng web (Web Application Firewall - WAF) là một trong những giải pháp đảm bảo ATTT phổ biến luôn được các TC/DN đầu tư sử dụng. Nổi bật trong đó là giải pháp Viettel Smart Web Protection (VCS-SWP). Khác với các giải pháp tường lửa web thông thường, VCS-SWP là giải pháp được phát triển đặc biệt để giải quyết một thành phần thường bị bỏ quên nhưng quan trọng của kiến trúc bảo mật - bảo mật lớp ứng dụng. Đây là lớp phòng thủ giữa lưu lượng truy cập Internet và ứng dụng, có chức năng phát hiện và sàng lọc lưu lượng truy cập Internet đến và đi để ngăn chặn những kẻ xâm phạm dữ liệu có giá trị. VCS-SWP thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng truyền thống không làm được.
Phòng chống tấn công web toàn diện
Xuất phát từ nền tảng là một WAF, VCS-SWP có khả năng bảo vệ các website trước các tấn công lỗ hổng web phổ biến thuộc Top 10 OWASP: Injection, XML External Entities (XXE), Broken Access Control….
VCS-SWP hỗ trợ triển khai dạng phần cứng và các dạng áo hóa thông dụng. Đặc biệt dưới dạng ảo hóa, giải pháp có quy trình đóng gói theo chuẩn tự động, sử dụng kịch bản cấu hình, hỗ trợ nhiều builders và định dạng file appliance.
Phòng chống tấn công DDoS đa lớp
Một cuộc tấn công DDoS được phân loại dựa trên các yêu cầu tấn công (attack request) tác động đến lớp nào trong mô hình mạng OSI. Trong đó, phổ biến nhất là tấn công DDoS vào lớp mạng (layer 4) và lớp ứng dụng (layer 7).
Các tấn công DDoS ở layer 4 hay còn gọi là tấn công băng thông lớn, sử dụng cơ chế chiếm đoạt tài nguyên băng thông của hệ thống, gửi số lượng yêu cầu cao hơn mức mà máy chủ mục tiêu có thể xử lý. VCS-SWP sẽ phát hiện các dấu hiệu bất thường dựa trên hồ sơ về lưu lượng thực tế của khách hàng. Song song, giải pháp còn xác định danh sách các IP tin cậy mà khách hàng thường xuyên kết nối ở trạng thái bình thường, để tạo truy cập tin tưởng mà không cần xử lý thêm cho các lần truy cập sau.
Tại layer 7, các tấn công DDoS có mức độ phổ biến ít hơn, nhưng có xu hướng phức tạp hơn layer 4 rất nhiều. VCS-SWP có khả năng ngăn chặn các loại tấn công phổ biến như: HTTP Flood, Slowlorish, Crawler… và cân bằng tải cho các WAF node và caching data.
Tính năng vượt trội khi so sánh khả năng chống tấn công của VCS-SWP với các Top Provider.
Phát hiện tấn công trong thời gian thực
VCS-SWP là giải pháp bảo mật toàn diện khi khả năng phòng chống tấn công DDoS và WAF hiệu quả trên cùng 1 core xử lý. Kiến trúc appliance thế hệ mới giúp VCS-SWP giám sát mọi truy cập đến website theo thời gian thực. Qua đó, lập tức phát hiện và ngăn chặn khi có dấu hiệu tấn công.
So sánh hiệu năng của VCS-SWP với Provider Imperva
“1-day” - lớp bảo vệ độc quyền bởi VCS
Với kinh nghiệm lâu năm và hệ sinh thái các giải pháp ATTT, VCS có kinh nghiệm trong việc xây dựng các tập luật (rule) lớn, hiệu quả với độ chính xác cao. Đối với giải pháp VCS-SWP, các TC/DN sẽ được tùy biến rule dựa trên đặc điểm framework, ngôn ngữ lập trình, web server... của từng website. Từ đó, giúp tối giản số lượng cảnh báo sai trong quá trình giám sát.
Không những thế, giải pháp còn bao gồm tập rule 1-day là lớp bảo vệ độc quyền bởi VCS giúp phát hiện và ngăn chặn tấn công vào các lỗ hổng 1-day. Với mức độ nguy hiểm chỉ sau 0-day, 1-day là lỗ hổng bảo mật đã được công bố, tuy nhiên chưa có bản vá chính thức. Việc TC/DN được bảo vệ trước các lỗ hổng chưa có bản vá là điều rất quan trọng trước các mối đe dọa mất ATTT hiện nay.
Để biết thêm chi tiết, quý độc giả vui lòng liên hệ Công ty An ninh mạng Viettel, địa chỉ: Tầng 41, Keangnam Landmark 72, Đ. Phạm Hùng, P. Mỹ Đình 2, Q. Nam Từ Liêm, Hà Nội; Website: viettelcybersecurity.com; email: vcs.sales@viettel.com.vn; Điện thoại: 0971.360.360.