}

VNIS WAF và các kiểu tấn công mạng phổ biến nhất 2021

0
392
WAF VNIS

Công nghệ thông tin phát triển “chóng mặt” cũng là lúc các cuộc tấn công mạng cũng đang dần “nở rộ”. Hành vi của các hacker ngày càng tinh vi và đa dạng. Do đó đòi hỏi các doanh nghiệp phải sớm cảnh giác với các thủ đoạn đó. Hiểu được nhu cầu này, VNIS WAF được ra đời với sứ mệnh đem đến các giải pháp bảo mật cho website.

Bài viết dưới đây sẽ chia sẻ về các kiểu tấn công mạng phổ biến nhất hiện nay. Mặc dù không ngăn chặn được hết tất cả các kiểu tấn công mạng đó nhưng WAF VNIS có thể “cân” được Top 10 lỗ hổng bảo mật hàng đầu OWASP.

17 kiểu tấn công mạng phổ biến nhất 2021

1. Tấn công bị động (Passive attack)

Khi người dùng truy cập vào một trang web hay ứng dụng, Hacker sẽ “lập chốt” trên đường truyền dữ liệu đó và tiến hành đánh cắp các thông tin nhạy cảm. Điều này cũng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo của người dùng.

Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.

2. Tấn công rải rác (Distributed attack)

Tấn công rải rác là hình thức tấn công tinh vi hơn so với tấn công bị động. Tin tặc sẽ chèn các mã độc vào một chương trình hoặc ứng dụng nào đó. Chẳng hạn họ làm một chương trình Trojan Horse hoặc một chương trình back-door. Sau đó, chúng sẽ được phân phối qua các đơn vị uy tín.

Khi người dùng tiến hành cài đặt các chương trình hoặc ứng dụng trên, các mã độc sẽ xâm nhập vào hệ thống của thiết bị. Hacker theo đó  lấy cắp các thông tin được lưu trên đó. Thậm chí có thể truy cập trái phép và thay đổi mật khẩu, thực hiện các giao dịch tài chính…

3. Tấn công nội bộ (Insider attack)

Đây là kiểu tấn công liên quan mật thiết đến sự trung thành của nhân viên nội bộ doanh nghiệp. Họ cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, truy cập trái phép.

4. Tấn công Phishing

Tấn công Phishing là một thủ đoạn “qua mắt” người dùng. Các hacker sẽ tạo ra một trang web giả giống đến 99% “chính chủ”. Sau đó sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo. Khi người dùng đăng nhập thông tin tài khoản, hacker sẽ lưu lại tên user và mật khẩu đó.

5. Các cuộc tấn công của không tặc (Hijack attack)

Đây là một dạng tấn công đáng sợ vì người dùng rất khó có thể phát hiện ra nguyên nhân do đâu. Trong đó có thể do bị trộm mất mã DNS, Cookie, TCP Session, Session ID,…

Trong các cuộc tấn công của không tặc, các hacker sẽ toàn quyền kiểm soát. Thậm chí họ có thể ngắt kết nối cuộc nói chuyện giữa bạn và một người khác. 

Thật may mắn, tường lửa WAF VNIS đã có thể ngăn chặn được kiểu tấn công nguy hiểm này.

VNIS WAF (Web Application Firewall)

VNIS WAF ngăn chặn Hijack attack

6. Tấn công mật khẩu (Password attack)

Mật khẩu là lớp tường bảo vệ thông tin tài khoản của người dùng. Để lấy được các thông tin mật, các hacker buộc phải “phá” lớp tường bảo vệ đó.

Các cuộc tấn công mật khẩu bao gồm 3 loại chính: dictionary attack, brute-force attack và hybrid attack.

Hầu hết 3 loại tấn công mật khẩu trên đều cung cấp cho kẻ gian các cụm mật khẩu tiềm năng để mở được khoá tài khoản, tiến hành đánh cắp các thông tin quan trọng.

Tuy nhiên, người dùng không cần quá lo lắng về kiểu tấn công mật khẩu này nữa. Vì WAF VNIS có thể phân tích các nguồn tấn công và tiến hành điều chỉnh các bộ quy tắc.

WAF VNIS

VNIS WAF ngăn chặn tấn công mật khẩu

7. Khai thác lỗ hổng tấn công (Exploit attack)

Kiểu tấn công này đòi hỏi các hacker phải thật sự am hiểu về hệ thống bảo mật của các chương trình và ứng dụng. Khi phát hiện ra các “vết nứt” trên hệ thống bảo mật, kẻ tấn công sẽ vận dụng sự hiểu biết của mình để khai thác một cách triệt để các “vết nứt” đó và tiến hành đánh cắp dữ liệu.

Để ngăn chặn được thủ đoạn tinh vi này của các tin tặc, WAF VNIS  sẽ lưu trữ các mối đe dọa trên server gốc vào Threats Log và tiến hành block.

Web Application Firewall WAF VNIS

VNIS WAF ngăn chặn kiểu tấn công khai thác lỗ hổng

8. Buffer overflow (lỗi tràn bộ đệm)

Buffer overflow được thực hiện bằng cách gửi đến ứng dụng hoặc chương trình một lượng dữ liệu khổng lồ. Nó khiến bộ nhớ bị quá tải và gây ra tình trạng tràn bộ nhớ đệm. Các hacker sẽ tận dụng lỗi đó và tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell.

Tường lửa WAF VNIS

VNIS WAF ngăn chặn lỗi tràn bộ đệm

9. Tấn công từ chối dịch vụ (denial of service attack)

Dạng tấn công này có cách thức hoạt động tương tự như Buffer overflow. Tấn công từ chối dịch vụ thường được biết đến với tên gọi “Tấn công DoS”.  Hacker sẽ gửi ồ ạt một lượng lớn traffic đến hệ thống máy chủ nhằm làm sập hệ thống. Như  vậy, người dùng sẽ không thể truy cập tài nguyên mong muốn.

Sau khi tấn công và truy cập hệ thống mạng, các hacker có thể:

– Chặn traffic.

– Gửi các dữ liệu không hợp lý tới các ứng dụng hoặc các dịch vụ mạng. Dẫn đến việc thông báo dừng truy cập hoặc các hành vi bất thường trên các ứng dụng hoặc dịch vụ này.

– Lỗi tràn bộ nhớ đệm.

Xu hướng tấn công DDoS đang dần trở nên mạnh mẽ và gây ảnh hưởng đến nhiều doanh nghiệp trong nửa đầu năm nay.

Nhờ chức năng DDoS Protection, Web Application Firewall WAF VNIS sẽ bảo vệ website khỏi các cuộc tấn công L3/L4 một cách hiệu quả nhất.

Tường lửa WAF VNIS

VNIS WAF ngăn chặn tấn công DDoS

10. Tấn công theo kiểu Man-in-the-Middle Attack

Đúng như tên gọi, cuộc nói chuyện giữa bạn và một khác đã bị kẻ thứ ba xen giữa. Người này theo dõi, nắm bắt và kiểm soát các thông tin liên lạc một cách minh bạch. Họ sẽ mạo danh bạn để đọc các tin nhắn, sau đó trả lời một cách tích cực để trao đổi và thu thập thêm thông tin quan trọng.

11. Tấn công phá mã khóa (Compromised-Key Attack)

Mã khóa được xem là một chìa khoá để “giải mã” các thông tin bảo mật. Sau khi mã khoá rơi vào tay các hacker, mã khóa này được gọi là mã khóa gây hại.

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc một cách dễ dàng. Khi đó, họ không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu trên hệ thống.

12. Tấn công trực tiếp

Đây là một phương pháp tấn công cổ điển. Kẻ xâm nhập phải thực hiện các hoạt động “thủ công” là dò tìm tên người dùng và mật khẩu. Phương pháp này đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào.

Những thông tin được sử dụng như tên người dùng, ngày sinh, địa chỉ, số nhà,… Tiếp  theo, hacker sẽ sử dụng một chương trình tự động hoá về việc dò tìm mật khẩu này.

Hệ thống Unix có chương trình gọi là crack. Crack có khả năng thử tổ hợp các từ trong một từ điển lớn để giải các mật khẩu. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.

Phương pháp mà Hacker thường sử dụng để khai thác lỗ hổng từ các chương trình ứng dụng hoặc các hệ điều hành đã có từ rất lâu đời. Tuy nhiên, nó vẫn còn được ứng dụng nhiều trong các kỹ thuật tấn công ngày nay. Bởi vì ngoài khả năng thành công cao, nó còn giúp hacker có thể chiếm quyền điều khiển hệ thống dễ dàng.

Hai ví dụ điển hình nhất cho hình thức tấn công này là chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.

Sendmail là một chương trình mã nguồn mở. Nó cho phép check email từ nhiều hệ thống mạng. Đây chính là lỗ hổng mà Sendmail cho phép hacker có thể xâm nhập vào hệ thống.

Rlogin không kiểm tra độ dài của dòng nhập trong quá trình nhận tên và mật khẩu của người sử dụng. Do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.

13. Nghe trộm

Sau khi chiếm được quyền truy cập vào hệ thống, các hacker sẽ “nghe trộm”. Họ thực hiện bằng cách đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. 

“Kẻ nghe lén” có thể lấy được những thông tin hữu ích như tên, mật khẩu của người sử dụng, các thông tin mật được chuyển qua mạng.

14. Giả mạo địa chỉ

Hacker dùng địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn) để gửi các gói tin IP vào mạng nội bộ và chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.

15. Vô hiệu các chức năng của hệ thống

Mục đích của kiểu tấn công này là làm tê liệt hệ thống. Vô hiệu các chức năng của hệ thống rất khó để ngăn chặn vì những phương tiện dùng để tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

Ví dụ, Ping là lệnh dùng để đo độ trễ giữa  hai thiết bị trên mạng. Khi sử dụng lệnh Ping với tốc độ cao nhất có thể, buộc hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này. Khi đó, nó sẽ không còn các tài nguyên để thực hiện những công việc có ích khác.

16. Lỗi của người quản trị hệ thống

Có thể xem đây là kiểu tấn công “khó đỡ” nhất trong danh sách này. Tuy không phải tấn công từ những kẻ đột nhập, nhưng lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.

17. Tấn công vào yếu tố con người

Cách thức tấn công này xảy ra khá phổ biến trong lĩnh vực tài chính-ngân hàng. Kẻ xâm nhập sẽ mạo danh người dùng để yêu cầu thay đổi mật khẩu, quyền truy nhập. Nghiêm trọng hơn, họ yêu cầu thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.

Vì mang yếu tố con người nên không một thiết bị hay phần mềm nào có thể ngăn chặn một cách hữu hiệu. Thay vào đó, thực hiện các chương trình đào tạo về các yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi là một phương án hiệu quả.

Web App Firewall Security VNIS chống top 10 lỗ hổng OWASP

OWASP Top 10 là tài liệu tham khảo phác hoạ 10 mối quan tâm bảo mật quan trọng nhất đối với bảo mật ứng dụng web theo OWASP. Báo cáo được tổng hợp bởi một nhóm các chuyên gia bảo mật từ khắp nơi trên thế giới.

OWASP đề cập đến Top 10 như một “tài liệu nâng cao nhận thức”. Bên cạnh đó cũng khuyến nghị tất cả các tổ chức kết hợp chúng vào các quy trình của họ để giảm thiểu rủi ro bảo mật.

1. Injection:

Injection xảy ra do sự thiếu sót trong khâu lọc dữ liệu đầu vào. Các hacker sẽ chèn mã độc vào dữ liệu đầu vào và truyền tới Database hay trình duyệt.  Điều này tạo ra các lỗi như SQL, NoSQL, OS và LDAP. Sau khi xâm nhập thành công vào hệ thống, hacker sẽ tiến hành đánh cắp các dữ liệu bảo mật. Thậm chí họ có thể chiếm được quyền truy cập quản trị vào máy chủ.

2. Broken Authentication:

Đây là lỗ hổng liên quan đến xác thực người dùng và quản lý phiên(session) chưa được triển khai chính xác. Cho phép kẻ tấn công đánh cắp được mật khẩu, khoá, session tokens hoặc lợi dụng để thực hiện khai thác các lỗ hổng khác nhằm chiếm đoạt định danh của người dùng tạm thời hoặc vĩnh viễn.

3. Sensitive data exposure:

Nhiều ứng dụng web và API không bảo vệ các thông tin nhạy cảm của người dùng đúng cách, tạo cơ hội cho các hacker đánh cắp hoặc sửa đổi dữ liệu. 

4. XML External Entities (XXE):

Đây là một dạng tấn công vào ứng dụng web bằng cách phân tích cú pháp đầu vào XML. Các hacker khai báo External Entity trong phần DTD của dữ liệu XML, có thể khai báo một entity để đọc nội dung của file bất kỳ trong hệ thống nếu trình phân tích XML (parser) được cấu hình không tốt.

XML parser có thể bị lừa để gửi dữ liệu đến một thực thể bên ngoài trái phép và chuyển trực tiếp dữ liệu nhạy cảm cho kẻ tấn công.

5. Broken Access Control:

Access Control chứa lỗ hổng cho phép kẻ tấn công bỏ qua ủy quyền (authorization). Sau đó thực hiện các tác vụ như thể là người dùng có đặc quyền, chẳng hạn như quản trị viên (admin). 

6. Security Misconfiguration:

Security Misconfiguration hay còn gọi là lỗi cấu hình sai bảo mật. Đây là lỗ hổng thường gặp nhất trong danh sách này. Lỗ hổng này thường là kết quả của cấu hình mặc định không an toàn, cấu hình không đầy đủ, lưu trữ đám mây mở, tiêu đề HTTP bị định cấu hình sai.

7. Cross-Site Scripting XSS:

Đây cũng là một lỗ hổng rất phổ biến khác trong danh sách này. Cross-Site Scripting XSS có cách thức khá giống với Injection. Kẻ tấn công chèn các đoạn mã JavaScript vào ứng dụng web. Khi đầu vào này không được lọc, chúng sẽ thực thi mã độc trên trình duyệt của người dùng. Hacker sẽ lấy cookie của họ trên hệ thống hoặc lừa họ đến các website độc hại.

8. Insecure Deserialization: 

Deserialization là quá trình thực hiện lấy dữ liệu từ các định dạng có cấu trúc. Sau đó khôi phục thông tin theo byte, XML, JSON,…thành các đối tượng (object).

Ứng dụng mắc phải lỗ hổng này khi không kiểm tra dữ liệu đầu vào trước khi thực hiện deserialize. Dữ liệu không đúng định dạng hoặc dữ liệu không mong muốn có thể bị lợi dụng. Chúng được dùng để thay đổi luồng xử lý của ứng dụng, có thể gây ra tấn công từ chối dịch vụ hoặc thực thi mã tùy ý.

9. Using Components with Known Vulnerabilities: 

Ngày nay, thư viện (libraries) và framework được sử dụng khá nhiều trong các ứng dụng web. Một số kẻ tấn công tìm kiếm các lỗ hổng trong các thành phần này và sử dụng chúng để điều phối các cuộc tấn công khác.

10. Insufficient Logging & Monitoring: 

Nhiều ứng dụng web không thực hiện đầy đủ các bước để phát hiện vi phạm dữ liệu. Ước tính thời gian trung bình phát hiện một vi phạm là khoảng 200 ngày sau khi đã xảy ra. Khoảng thời gian này tạo cơ hội cho hacker thực hiện các hành động trái phép.

Tường lửa ứng dụng Web WAF VNIS có gì nổi bật?

Top 10 lỗ hổng OWASP là 10 rủi ro quan trọng đối với ứng dụng web. Vậy VNIS WAF (Web Application Firewall) có những tính năng nổi bật gì để “cân” được những lỗ hổng đó?

  1. Công nghệ tiên tiến: tích hợp công nghệ trí tuệ nhân tạo AI và máy học giúp hệ thống học được cách xử lý tự động đối với các nguồn request khác nhau và xử lý dữ liệu đầu vào thông minh nhất.
  2. Tùy chỉnh tường lửa ứng dụng web (WAF): hệ thống có giao diện quản trị riêng, giúp tùy chỉnh các yêu cầu bảo mật theo nhu cầu của từng doanh nghiệp dựa trên các thuộc tính như tham số, các yêu cầu, tệp, địa chỉ IP, v.v.
  3. Spike traffic: ngăn chặn các request bất thường dựa trên tiêu chuẩn bảo mật cao cấp của OWASP.
  4. CDN traffic: hệ thống hạ tầng mạnh mẽ của CDN giúp kết nối các request hợp pháp từ user toàn cầu.
  5. Phân tích WAF: xem nguồn tấn công, loại và dung lượng truy cập thông qua bảng điều khiển tương tác. Các log cung cấp chi tiết về cuộc tấn công để điều chỉnh các bộ quy tắc phù hợp. Ngoài ra, WAF còn ghi lại nhật ký  các mối đe dọa trên server gốc và đưa vào blacklist.
  6. Đội ngũ nhân viên: Đội ngũ bảo mật VNIS là các chuyên gia về an toàn thông tin mạng, liên tục theo dõi mạng mỗi ngày để xác định các mối đe dọa tiềm tàng mới. Các cấu hình được quản lý và cập nhật liên tục để giữ cho website của bạn an toàn trước các mối đe dọa mới nhất.

Nhìn chung, yếu tố con người là một điểm yếu mà không một hệ thống hay phần mềm nào có thể kiểm soát hiệu quả được. Bên cạnh đó, hệ thống CNTT cũng ảnh hưởng ít nhiều đến vấn đề an ninh mạng. Do đó, VNIS WAF không thể ngăn chặn được tất cả các kiểu tấn công mạng phổ biến hiện nay cũng là một điều dễ hiểu. Nhưng Top 10 lỗ hổng OWASP không còn là vấn đề đối với Web/App của bạn nữa khi đã có VNIS WAF hỗ trợ. Đây chắc chắn là một điểm cộng hoàn hảo đối với các doanh nghiệp. 

————

VNIS – VNETWORK

Website: https://vnis.vn

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789

Leave a reply