Tin tức

1. HIỆN TRẠNG BẢO VỆ ỨNG DỤNG WEB

1.1       Các nguy cơ đối với ứng dụng Web:

Hiện nay, các doanh nghiệp ngày càng đưa nhiều dữ liệu và thuật toán kinh doanh của mình lên các nền tảng đám mây và dần bị phụ thuộc vào công nghệ web để kinh doanh. 94% các doanh nghiệp có ít nhất một website. Khi đó, ranh giới giữa mạng nội bộ (private network) và mạng công cộng (public network) chỉ còn là lý thuyết. Trên thực tế, tất cả dữ liệu kinh doanh có thể truy cập được từ website đều chịu nguy cơ bị tấn công mạng. Dữ liệu của cá nhân và doanh nghiệp là món hời vô cùng béo bở đối với tin tặc. Các nghiên cứu đều chỉ ra rằng ¾ vụ đánh cắp dữ liệu trên thế giới hiện nay là từ website. Điều đó cho thấy cơ chế bảo mật cũ không còn đủ khả năng bảo mật dữ liệu kinh doanh.

Theo các báo cáo nghiên cứu, ứng dụng Web thường tồn tại nhiều điểm yếu và dễ bị tấn công nhất. Đội ngũ phát triển ứng dụng thường chỉ tập trung vào việc xây dựng chức năng mà chưa quan tâm tới điểm yếu ứng dụng có thể được tạo ra.

• Theo các nghiên cứu của tổ chức WhiteHat: 82% các ứng dụng Web đều có điểm yếu.
• Theo phân tích của Gartner: 75% tấn công mạng là nhằm vào ứng dụng Web.

Khi triển khai ứng dụng Web, các tổ chức/doanh nghiệp có thể đối mặt các nguy cơ sau:

• Các tấn công phá hoại như là thay đổi giao diện, thông tin trên trang web với mục đích bôi nhọ hình ảnh, làm phương hại, giảm uy tín tổ chức/doanh nghiệp,…
• Tấn công làm sai lệch hay đánh cắp các dữ liệu nhạy cảm với mục đích trục lợi như: dữ liệu khách hàng, các thông tin bí mật nhạy cảm khác… Các ứng dụng Web thường kết nối với hệ thống dữ liệu đằng sau (Cơ sở dữ liệu back-end), kẻ tấn công khi khai thác thành công lỗ hỗng trên ứng dụng sẽ dễ dàng xâm nhập vào hệ thống CSDL.
• Nguy cơ bị tấn công từ chối dịch (DoS) vụ làm cho website không còn khả năng phục vụ các yêu cầu hợp lệ.

Như đã đề cập ở trên, các trang web phụ thuộc vào cơ sở dữ liệu để cung cấp các thông tin cần thiết đến người dùng. Nếu các ứng dụng web không an toàn, thì toàn bộ cơ sở dữ liệu chứa thông tin nhạy cảm có rủi ro nghiêm trọng. Ngoài ra, một số hacker có thể đưa mã độc hại vào trong các ứng dụng web có lổ hỏng bảo mật để lừa người dùng chuyển hướng đến các trang web lừa đảo.

2.    GIẢI PHÁP BẢO VỆ ỨNG DỤNG WEB

2.1       Giới thiệu Giải pháp tường lửa ứng dụng Web của Imperva

Như phân tích các vấn đề đối với bảo hệ thống ứng dụng được nêu ở phần trên, để khắc phục vấn đề này, giải pháp Tường lửa ứng dụng Web (WAF) của Imperva được đề xuất. Tường lửa ứng dụng Web là thiết bị bảo vệ chuyên biệt cho ứng dụng, có thể tự học, hiểu sâu được cấu trúc, thuộc tính và hoạt động của website cụ thể của mỗi tổ chức và tự động tạo ra ra cách chính sách bảo vệ, ngăn chặn cả tấn công chưa biết và những hành vi bất thường trên ứng dụng, tấn công tinh vi, sử dụng kỹ thuật lẩn tránh mà có thể dễ dàng vượt qua tường lửa mức mạng và IPS. WAF có khả năng kết hợp với các giải pháp đánh giá điểm yếu để đưa ra bảo vệ điểm yếu được phát hiện ngay lập tức với bản vá ảo trong khi việc khắc phục điểm yếu bằng tay chưa thể thực hiện được. Do vậy việc đầu tư trang bị tường lửa ứng dụng Web để bảo vệ ứng dụng thực sự là cần thiết.

Chức năng giải pháp WAF hoạt động cùng với các lớp bảo vệ khác như sau:

2.2      Các tính năng chính của giải pháp

• Chống lại được các tấn công ứng dụng được nêu trong OWASP Top 10 (SQL Injection, XSS, CSRF,..).
• Tự động học và hiểu được cấu trúc ứng dụng bao gồm thư mục (directories), URL, các tham số (parameters), trường nhập liệu (form fields), cookies, các phương thức (methods); Tự động cập nhật các thay đổi hợp lệ của ứng dụng và đưa vào hồ sơ học ứng dụng”.
• Bảo vệ toàn diện hạ tầng Web: Chống lại được các tấn công đã biết nhằm vào các điểm yếu của máy chủ Web, máy chủ ứng dụng và hệ điều hành. Chống sâu (worm) đã biết và zero-day (Known and zero-day worm security).
• Cung cấp  tối thiểu 8000 mẫu tấn công (Signature).
• Chức năng kiểm tra tuân thủ giao thức HTTP để đảm bảo rằng các truy cập Web tuân theo tiêu chuẩn RFC nhằm phát hiện ra các bất thường trong địa chỉ URL và các giao thức.
• Chống các loại tấn công tự động như Site scraping, application DDoS, Google hacking, với công nghệ phát hiện các máy tự động như bot, các mã (scripts) dựa trên trình duyệt.
• Các phương pháp bảo vệ cookie: Cookie injection, cookie tampering, cookie signing, cookie encryption.
• Phát hiện và ngăn chặn chính xác tấn công bằng việc đánh giá các sự kiện qua khoảng thời gian, qua nhiều lớp phân tích và kết hợp mô hình Backlist và Whitelist.
• Chống đánh cắp dữ liệu nhạy cảm: phát hiện và bảo vệ dữ liệu nhạy cảm như thông tin chủ thẻ, các thông tin tự định nghĩa khác,..
• Bảo vệ mức mạng: Có chức năng tường lửa kiểm tra trạng thái mức mạng (stateful network Firewall).
• Có khả năng vá các lỗ hổng ứng dụng bằng việc hỗ trợ tích hợp với các giải pháp quét điểm yếu của hãng thứ ba, bao gồm WhiteHat, IBM, Cenzic, NT OBJECTives, HP, Qualys, Beyond Security, Acunetix, Denim Group và cung cấp bản vá ảo để bảo vệ các điểm yếu được phát hiện.
• Chống tấn công dựa theo Reputation-based (Reputation-based Web security):
  • Ngăn chặn các tấn công tự động và từ nguồn không tin cậy bao gồm Malicious IP, Anonymous Proxies,The Onion Router (TOR) Networks, Phishing URLs.
  • Cung cấp IP Geolocation, chặn truy cập theo quốc gia.
  • Thu thập các thông tin tấn công từ cộng đồng người dùng đã triển khai cùng sản phẩm của hãng sản xuất và chuyển thành mẫu tấn công, chính sách,..để bảo vệ hệ thống.
• Có chức năng quét tìm phát hiện các máy chủ ứng dụng với dữ liệu nhạy cảm.
• Cung cấp cơ chế cho phép ngăn chặn chính xác tấn công bằng việc đánh giá các sự kiện qua khoảng thời gian, qua nhiều lớp phân tích như kết hợp kiểm tra theo mẫu (signature) và theo hồ sơ học ứng dụng, theo tuân thủ giao thức,.. (mô hình kết hợp Backlist và Whitelist).
• Dễ dàng triển khai: Giải pháp có hỗ trợ nhiều mô hình triển khai như Sniffer/Non-inline, Inline và proxy. Hỗ trợ triển khai inline trong suốt (mô hình Transparent Bridge và Transparent Proxy) mà không làm thay đổi mạng và ứng dụng đang chạy.

2.2.1     Tự học ứng dụng và tạo chính sách bảo vệ

Tính năng cho phép tự động tạo chính sách bảo vệ ứng dụng mà không đòi hỏi người quản trị phải hiểu nhiều về ứng dụng và mất nhiều thao tác bằng tay trong việc tạo chính sách. Giải pháp tiếp tục tự động tự học các thay đổi hợp lệ mà không phải thực hiện bằng tay

Bên cạnh chính sách được tự động tạo ra, giải pháp cho phép người quản trị tự định nghĩa chính sách để kiểm soát các hoạt động khác của ứng dụng

2.2.2     Bảo vệ điểm yếu bằng bản vá ảo

Giải pháp WAF cho phép đọc kết quả quét điểm yếu từ nhiều công cụ phổ biến như Accunetix, WhiteHat, Fortity, Rapid 7,.. để tạo bản vá ảo bảo vệ các điểm yếu được phát hiện ra bởi công cụ quét. Bản vá ảo cho phép bảo vệ điểm yếu nhanh chóng trong khi biện pháp cài bản vá thật, sửa lỗi mã nguồn chưa thể thực hiện được.

2.2.3     Mạng lưới cập nhật các nguồn đe dọa – Intelligence services

Giải pháp WAF được trang bị, cập nhật những đe dọa đầy đủ nhất và mới nhất thông qua mạng lưới các tổ chức chuyên cung cấp thông tin tấn công, đảm bảo rằng bất cứ phương thức và công cụ tấn công đã biết nào cũng sẽ bị ngăn chặn. Ngoài ra, giải pháp còn hỗ trợ tính năng tùy chọn cập nhật các nguồn thường được hacker sử dụng để phát động tấn công như mạng proxy nặc danh (như Anonymous, TOR dùng dể che dấu IP thật của mình), mạng bot net thường được sử dụng cho những tấn công tự động đồng loạt trên diện rộng như tấn công DDoS

2.2.4     Chống bot và tấn công khai thác điểm yếu logic (tính năng tùy chọn)

Giải pháp cung cấp khả năng phân biệt truy cập của người dùng bình thường với truy cập của bot, thậm chí phân biệt giữa bot xấu và bot tốt (các máy tìm kiếm như Google là dạng bot) thông qua nhiều kỹ thuật như phân tích tần suất truy cập, địa chỉ nguồn truy cập, CATPCHA, phân tích hành vi, theo mẫu bot signature,..

2.2.5     Phân tích tương quan, phát hiện tấn công nhiều giai đoạn (tính năng tùy chọn)

Giải pháp WAF có khả năng kết hợp nhiều lớp kiểm tra phân tích, cũng như đánh giá các sự kiện qua khoảng thời gian dài để phát chính xác tấn công. Giải pháp hỗ trợ tính năng tùy chọn sử dụng AI, máy học (machine learning) và phân tích trên cloud tương quan (correlation) từ hàng nghìn/triệu log để phát hiện ra tấn công nhiều giai đoạn. 

2.2.6     API security

Ngày nay, ứng dụng xu hướng hỗ trợ mobile app sử dụng API,  Web services (XML), Micro-services. Giải pháp WAF có khả năng kiểm tra nội dung XML messages, sử dụng các tính năng WAF như nêu trên để chống tấn công khai thác điểm yếu ứng dụng trên kiến trúc API.

2.3      Mô hình triển khai

Mô hình triển khai nói chung:

WAF là một thiết bị phần cứng hoặc phần mềm được cài lên máy chủ có chức năng theo dõi các thông tin được truyền qua giao thức http/https giữa trình duyệt của người dùng và máy chủ web tại lớp 7. WAF có thể triển khai với các mô hình như sau:

 Proxy: WAF triển khai như một proxy server, kết nối từ người dùng tới máy chủ ứng dụng Web sẽ bị ngắt làm hai, kết nối từ người dùng tới proxy server và kết nối từ proxy server tới máy chủ ứng dụng. Mô hình này yêu cầu cần thay đổi IP, DNS và tạo ra độ trễ.

Sniffer: WAF tích hợp vào switch qua cổng Span để giám sát các lưu lượng từ người dùng tới máy chủ ứng dụng Web. Mô hình này chủ yếu dùng để giám sát, thử nghiệm, không có khả năng chặn tấn công.

Inline: Triển khai ở layer 2, trong suốt và không làm thay đổi mạng và ứng dụng hiện tại. Mô hình cho phép dễ triển khai dễ dàng và độ trễ thấp.

2.4      Các lợi ích sau khi triển khai hệ thống

• Bảo vệ ứng dụng Web quan trọng là cổng thông tin, ứng dụng …; Giúp tăng cường tính sẵn sàng, ổn định cho hệ thống dịch vụ kinh doanh, cũng như giúp bảo vệ hình ảnh, nâng cao uy tín và sức cạnh tranh của
• Khắc phục các hạn chế của giải pháp Firewall mức mạng và IPS về khả năng bảo vệ ứng dụng tự phát triển của tổ chức.
• Tự động và nhanh chóng bảo vệ các điểm yếu ứng dụng trong khi các biện pháp khác như cài bản vá, sửa mã nguồn chưa thể triển khai được, giúp tiết kiệm và chi phí trong việc khắc phục điểm yếu ứng dụng.
• Ngăn chặn các tấn công đánh cắp thông tin, hay phá hoại, thay đổi thông tin Cơ sở dữ liệu qua việc khai thác điểm yếu trên ứng dụng web.
• Ngăn chặn các tấn công từ chối dịch vụ DdoS mức ứng dụng.