Việc tìm ra những giải pháp hiệu quả để phòng chống các cuộc tấn công từ chối dịch vụ (DDoS) là điều cần thiết với các doanh nghiệp Việt Nam, đặc biệt trong bối cảnh đại dịch Covid-19 cũng như xu hướng chuyển đổi số trong tương lai khiến nguy cơ xảy ra các cuộc tấn công này đang ngày càng gia tăng.
Việt Nam: “Điểm nóng” của tấn công DDoS
Vào đầu tháng bảy vừa qua, hệ thống mạng của công ty chứng khoán VPS - công ty chứng khoán có thị phần giao dịch chứng khoán phái sinh lớn nhất Việt Nam đã liên tiếp bị tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS) với các đợt tấn công mạnh nhất diễn ra vào buổi sáng ngày 23/7 và buổi trưa ngày 29/7. Điều này khiến hệ thống giao dịch điện tử của VPS bị tắc nghẽn, khách hàng gặp khó khăn, thậm chí không thể đăng nhập hệ thống để giao dịch được, gây nhiều thiệt hại cho các nhà đầu tư cũng như ảnh hưởng đến uy tín của VPS. Đây là lần đầu tiên một công ty chứng khoán Việt Nam bị tấn công DDoS. Trước hậu quả của các cuộc tấn công này, VPS đã tuyên bố sẽ trao thưởng 2 tỷ đồng cho bất cứ ai cung cấp danh tính/thông tin về thủ phạm thực hiện hai đợt tấn công DDoS vào hệ thống giao dịch của công ty trong thời gian từ ngày 23-29/7/2020. “Đây là một trong số các biện pháp đồng bộ mà VPS đã và đang triển khai nhằm ngăn ngừa khả năng bị tấn công trong thời gian tới, nếu xảy ra”, theo thông báo trên website của VPS.
Sự cố mà VPS gặp phải cũng là tình trạng chung của nhiều doanh nghiệp trong bối cảnh đại dịch Covid-19 hiện nay. Theo báo cáo “Xu hướng và các mối đe dọa tấn công mạng” của nhà cung cấp dịch vụ DNS Neustar (Hoa Kỳ), số lượng các cuộc tấn công DDoS trong sáu tháng đầu năm 2020 trên toàn thế giới đã tăng 151% so với cùng kỳ năm 2019. Nguyên nhân là do “đại dịch Covid-19 đã khiến rất nhiều tổ chức, doanh nghiệp chuyển sang làm việc trên các nền tảng số, chính vì vậy, các nền tảng này trở thành những miếng mồi ngon cho tin tặc”, ông Phan Thảo Nguyên, nguyên Vụ trưởng Vụ Hợp tác quốc tế (Bộ TT&TT) nhận xét trong hội thảo trực tuyến “Tấn công DDoS 202X: Xu hướng, thách thức & giải pháp” diễn ra ngày 1/10/2020.
Một điều đáng chú ý là trong những năm gần đây, Việt Nam thường xuyên có mặt trong danh sách 10 quốc gia bị tấn công DDoS nhiều nhất thế giới. Để thực hiện một cuộc tấn công DDoS, kẻ tấn công sẽ sử dụng một số lượng lớn máy tính (botnet - những máy tính bị chiếm quyền điều khiển) để truy cập vào một hệ thống trực tuyến cùng một lúc, khiến hệ thống bị quá tải, hoạt động chậm hơn, thậm chí không thể sử dụng được. Những cuộc tấn công này có thể kéo dài trong nhiều giờ hoặc nhiều ngày. Phần lớn các cuộc tấn công DDoS có tổ chức thường nhắm vào các doanh nghiệp tài chính, các doanh nghiệp thương mại điện tử hoặc các cơ quan chính phủ. “Các cuộc tấn công DDoS là một trong những kiểu tấn công cổ điển nhất mà chúng ta từng biết tới, tuy nhiên, nó chưa bao giờ lỗi thời. Gần như tất cả mọi người đều biết tấn công DDoS là gì, nhưng thực ra chỉ khi nào cơ quan, tổ chức bị tấn công DDoS thì chúng ta mới thấy nó đáng sợ như thế nào”, ông Trần Quang Hưng, quyền giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) nhận xét trong hội thảo.
Về bản chất, các cuộc tấn công DDoS không đánh cắp thông tin song chúng khiến hệ thống đình trệ hoạt động, gây thiệt hại về kinh tế cũng như danh tiếng của tổ chức. Thời gian ngưng trệ càng lâu thì mức độ thiệt hại càng tăng. “Theo nghiên cứu của Công ty Tư vấn công nghệ Gartner (Hoa Kỳ) năm 2014, thiệt hại trung bình mỗi lần hệ thống bị sập là 5600 USD/phút. Hơn nữa, công ty từng bị xâm nhập hệ thống sẽ đánh mất danh tiếng và độ tin cậy với khách hàng. Thậm chí số liệu của giá chứng khoán nhiều năm cho thấy sau ba năm, giá trị thị trường và tình hình kinh doanh của các công ty đã từng bị tấn công vẫn kém hơn trước 13,27%”, bà Mai Ngọc Tú, Trưởng bộ phận chăm sóc và phát triển khách hàng thuộc Cloudflare (Hoa Kỳ), công ty cung cấp dịch vụ DNS và các dịch vụ bảo mật, cho biết.
Một điều đáng lo ngại là so với thế giới, các doanh nghiệp Việt Nam chịu thiệt hại nhiều hơn khi bị tấn công DDoS nói riêng và tấn công mạng nói chung. Theo khảo sát do công ty công nghệ Cisco (Hoa Kỳ) thực hiện trên 2000 doanh nghiệp ở châu Á năm 2018 cho thấy, các doanh nghiệp Việt Nam xếp hạng cao nhất trong nhóm chịu ảnh hưởng về tài chính khi bị tấn công mạng: 33% doanh nghiệp cho biết họ tổn thất hơn 10 triệu USD/cuộc tấn công, cao hơn cả mức trung bình của thế giới (30%).
Mức độ nguy hiểm của các cuộc tấn công DDoS còn nằm ở chỗ, ngoài mục đích đánh sập hệ thống, tin tặc còn sử dụng các cuộc tấn công này để đánh lạc hướng đội ngũ bảo mật nhằm dễ dàng xâm nhập hệ thống, từ đó giành quyền kiểm soát hoặc trích xuất thông tin. Những người thường xuyên theo dõi tình hình tấn công mạng như bà Mai Ngọc Tú cho biết, thực tế trên đang diễn ra thường xuyên: “Theo quan sát của Cloudflare, 83% các cuộc tấn công DDoS từ đầu năm đến giờ có thời gian dưới 1 tiếng. Tuy nhiên, con số này nói lên rất nhiều nguy cơ. Thông thường tin tặc sẽ lên kế hoạch thăm dò hệ thống trong một thời gian rất dài để phát hiện ra các lỗ hổng bảo mật. Các cuộc tấn công DDoS dưới 1 tiếng thường để đánh lạc hướng đội ngũ bảo mật trong lúc tin tặc đặt backdoor (cổng bí mật để truy cập bất hợp pháp vào hệ thống) vào hệ thống hay trực tiếp xâm nhập vào hệ thống qua các backdoor đã cài đặt từ trước”.
Phòng chống nguy cơ từ tấn công DDoS
Trước muôn vàn nguy cơ từ các cuộc tấn công DDoS đang rình rập, doanh nghiệp Việt Nam đã làm gì để tự bảo vệ mình? Một thực tế đáng lo ngại là “theo khảo sát gần đây nhất của Cloudflare, có khá ít doanh nghiệp tại Việt Nam trang bị các giải pháp và nhân lực tích hợp để đối phó với các cuộc tấn công DDoS”, bà Mai Ngọc Tú cho biết. Tuy nhiên, các doanh nghiệp Việt Nam không phải là ngoại lệ. Một cuộc khảo sát hơn 4000 doanh nghiệp đến từ 25 quốc gia trên toàn thế giới của Kaspersky Lab vào năm 2017 cho thấy, 40% doanh nghiệp không trang bị giải pháp phòng chống tấn công DDoS vì họ nghĩ rằng nhà cung cấp dịch vụ internet của họ sẽ cung cấp biện pháp và 30% nghĩ rằng các trung tâm dữ liệu hoặc đối tác cơ sở hạ tầng sẽ bảo vệ họ. Quan niệm này không hoàn toàn đúng, bởi các tổ chức này chủ yếu bảo vệ doanh nghiệp khỏi các cuộc tấn công thông thường, trong khi các cuộc tấn công có kỹ thuật tinh vi hơn đòi hỏi cách tiếp cận chuyên gia. Ngoài ra, điều bất ngờ hơn là 30% doanh nghiệp cho biết họ không trang bị giải pháp vì cho rằng họ không có nguy cơ trở thành mục tiêu của các cuộc tấn công DDoS.
Bên cạnh sự chủ quan của một số tổ chức, cho rằng hình thức tấn công DDoS đã trở thành “dĩ vãng”, sự phát triển của các thiết bị IoT là một trong những nguyên nhân chính khiến việc phòng chống các cuộc tấn công DDoS ngày càng khó khăn. “Mỗi thiết bị IoT, chẳng hạn như IP camera được kết nối vào mạng internet, có thể được coi là một máy tính mini và hoàn toàn có thể bị lợi dụng để thực hiện các cuộc tấn công DDoS. Các thiết bị IoT thường tồn tại lỗ hổng bảo mật cho phép tin tặc chiếm quyền điều khiển, đưa thiết bị này vào mạng botnet. Điều này khiến các cuộc tấn công DDoS trở nên phức tạp và khó đoán hơn”, ông Nguyễn Văn Chung nhận xét.
Đây là thực trạng Việt Nam phải đối mặt trong những năm gần đây: theo báo cáo của hãng bảo mật Nexusgard trong quý II năm 2019, Việt Nam đứng thứ ba thế giới về nguồn phát tán tấn công DDoS. Theo ông Trần Quang Hưng: “Số liệu mới nhất của chúng tôi cho thấy, hiện tại Việt Nam có gần hai triệu địa chỉ IP thường xuyên nằm trong các mạng botnet lớn trên thế giới. Bản chất hai triệu IP này là hàng triệu các thiết bị như máy tính, camera IP,..., chúng là công cụ để thực hiện các cuộc tấn công DDoS”.
Bởi vậy, theo lời khuyên của các chuyên gia trong hội thảo, ngoài việc trang bị phần mềm hoặc dịch vụ giám sát an toàn mạng để phát hiện sớm các cuộc tấn công DDoS hoặc sử dụng thiết bị bảo vệ mạng có dịch vụ chống tấn công DDoS chuyên nghiệp kèm theo, doanh nghiệp cần chú ý theo dõi những biểu hiện bất thường của hệ thống. Chẳng hạn như “CPU có tải trọng cao, lưu lượng kết nối tăng vọt trong thời gian ngắn và có nhiều kết nối không hợp lệ. Với các bạn làm quản trị hệ thống, khi có hiện tượng này trong hệ thống của mình phải đặt câu hỏi liệu hệ thống có đang bị tấn công DDoS hay không, từ đó có thể tìm đến các đầu mối hỗ trợ như kỹ thuật viên về an ninh mạng hoặc nhà cung cấp dịch vụ cho thuê máy chủ, nếu cần sẽ đưa ra các biện pháp khắc phục kịp thời, tránh trường hợp hệ thống bị tê liệt”, theo ông Nguyễn Văn Chung.
Bên cạnh sự chủ động của các doanh nghiệp, hiện nay Bộ TT&TT cũng đang thực hiện chiến dịch rà soát và bóc gỡ mã độc trên toàn quốc năm 2020. Ông Trần Quang Hưng cho biết: “Chúng tôi đặt mục tiêu năm nay sẽ giảm được 50%, tức là khoảng 1 triệu máy tính ra khỏi các mạng botnet, đây là điều quan trọng nhằm hạn chế các cuộc tấn công DDoS từ các mạng botnet tại Việt Nam”.