Thiết bị IoT- Các rủi ro ATTT và các giải pháp khắc phục

Ngày nay, các thiết bị IoT đã và đang được sử dụng phổ biến tại các tổ chức, doanh nghiệp thuộc nhiều quốc gia trên thế giới. Số lượng thiết bị IoT ngày càng gia tăng và theo số liệu cập nhật cuối năm 2019, con số này đã lên đến 4,8 tỉ thiết bị, tăng 21,5% so với cuối năm 2018. Cho đến hiện tại, qua khảo sát trên hệ thống mạng của các doanh nghiệp có quy mô vừa, khoảng 30% các thiết bị kết nối trong hệ thống là thiết bị IoT.

Tuy có nhiều ưu điểm về tính linh hoạt, dễ dàng quản lý, loại thiết bị này cũng tồn tại nhiều vấn đề liên quan đến an toàn bảo mật của chính nó và của các thiết bị thuộc cùng hệ thống kết nối. Gần đây, báo cáo an toàn bảo mật  từ hãng công nghệ Palo Alto đã liệt kê ra các mối đe dọa hàng đầu trên thiết bị IoT, đồng thời cũng đưa ra các giải pháp giúp doanh nghiệp có thể khắc phục ngay các nguy cơ tìm ẩn trên hệ thống.

1.Các mối đe dọa ATTT từ thiết bị IoT

Theo số liệu phân tích được:

• 98% dữ liệu IoT không được mã hóa. Thông qua hình thức nghe lén, hacker có thể dễ dàng thu thập và đọc được các dữ liệu mật được trao đổi giữa các thiết bị trên hệ thống với nhau hoặc giữa chúng với hệ thống quản lý, giám sát.
• 57% các thiết bị IoT trong hệ thống được xem là các rủi ro ATTT và khởi nguồn cho các cuộc tấn công mạng quy mô vừa và lớn.
• 83% các thiết bị y khoa phục vụ công tác chẩn đoán bằng hình ảnh đang sử dụng các hệ điều hành đã ngừng hỗ trợ từ hãng. Số liệu có sự tăng vọt so với năm 2018, với 56%. Nguyên nhân chính của vấn đề này bắt nguồn từ việc Microsoft đã chính thức khai tử Windows 7 từ đầu năm 2020. Việc tiếp tục sử dụng các thiết bị y tế với hệ điều hành không còn cập nhật các bản vá lỗi có thể dẫn đến các rủi ro lộ lọt thông tin y tế nhạy cảm hoặc gây gián đoạn hoạt động khám chữa bệnh trong trường hợp tin tặc khai thác các lỗ hổng bảo mật trên hệ điều hành. Hình ảnh bên dưới minh họa tỉ lệ các thiết bị y khoa sử dụng các hệ điều hành không còn được cập nhật các bản vá lỗi từ nhà sản xuất.

Hình 1. Thống kê tỉ lệ các thiết bị y khoa sử dụng các HĐH end-of-life

Câu hỏi đặt ra đó là : Vậy trong một hệ thống mạng, nếu không tính đến các thiết bị IT chuyên dụng, các thiết bị IoT nào được xem là nạn nhân tiềm ẩn của hacker và là nguyên nhân chính cho các cuộc tấn công mạng có chủ đích.

Hình 2. Thống kê về phần trăm số lượng các thiết bị IoT sử dụng và tỉ lệ các mối đe dọa ATTT liên quan đến chúng

Qua biểu đồ trên, có thể thấy rằng IP phone là thiết bị được sử dụng phổ biến nhất, tuy nhiên rủi ro mất ATTT đối với loại thiết bị này chỉ chiếm 5%. Mặc dù chỉ chiếm 18% và 5% về số lượng các thiết bị trong hệ thống, máy in và camera an ninh lại là hai loại thiết bị tồn tại nhiều vấn đề an toàn bảo mật nhất, với 24% và 33% tương ứng. Năm 2016, gần 600.000 thiết bị CCTV camera đã bị thỏa hiệp và trở thành nạn nhân của mạng lưới botnet Mirai.

Đối với các tổ chức hoạt động trong lĩnh vực y sinh, thiết bị chẩn đoán bằng hình ảnh, máy giám sát sức khỏe bệnh nhân hay thiết bị thu thập dữ liệu y sinh là các thành phần ẩn chứa nhiều rủi ro ATTT nhất. Số liệu được thể hiện qua biểu đồ bên dưới, với 86% các vấn đề ATTT của hệ thống liên quan đến các thiết bị này.

Hình 3. Thống kê về phần trăm số lượng các thiết bị IoT sử dụng trong y sinh và tỉ lệ các mối đe dọa ATTT liên quan đến chúng

Một yếu tố khác liên quan đến rủi ro mất ATTT đó là việc quy hoạch các mạng riêng ảo (VLAN) tại các tổ chức khám chữa bệnh chưa được quy hoạch đúng cách và đang sử dụng chung một mạng riêng ảo cho cả thiết bị IoT và thiết bị công nghệ thông tin chuyên dụng. Chính điều này dẫn đến nguy cơ lây nhiễm virus, phán tán mã độc giữa các thiết bị với nhau. Các thiết bị thuộc hệ thống thông tin trọng yếu như máy chủ, thiết bị định tuyến, tường lửa, trong trường hợp bị lây nhiễm, hoặc bị thỏa hiệp có thể khiến hệ thống mạng của tổ chức bị đánh sập hoàn toàn.

Do tồn tại nhiều yếu điểm, các thiết bị IoT dễ dàng bị kiểm soát bởi hacker. Các thiết bị này được sử dụng làm bàn đạp cho tấn công leo thang vào các thiết bị thông tin trọng yếu của tổ chức. Một trong các điểm yếu phổ biến liên quan đến bảo mật của thiết bị IoT chính là mật khẩu truy cập thiết bị. Nhiều tổ chức không thay đổi và sử dụng chính mật khẩu mặc định của thiết bị, dẫn đến việc các thiết bị này dễ dàng bị khai thác và chiếm quyền do độ mạnh và phức tạp của mật khẩu gần như không có. Qua khảo sát, các thiết bị thuộc một số nhà sản xuất khác nhau sử dụng các mật khẩu mặc định giống nhau, chẳng hạn như p@sswOrd, 123456 hay abc123. Chính điều này làm cho các thiết bị IoT dễ dàng bị tấn công và kiểm soát. Để khắc phục nhược điểm này, trong điều luật SB-327 - California có hiệu lực từ ngày 01/01/2020 đã quy định về việc ngăn cấm sử dụng mật khẩu mặc định với thiết bị IoT có kết nối Internet.

Các hình thức tấn công leo thang phổ biến từ thiết bị IoT là sử dụng các thiết bị này như một mạng lưới botnet để thực hiện tấn công từ chối dịch vụ DDoS, hay lây nhiễm malware để thực thi các đoạn chương trình được viết sẵn nhằm mục đích tấn công hệ thống. Hình ảnh bên dưới minh họa tỉ lệ phần trăm các hình thức tấn công đối với thiết bị IoT.  

Hình 4. Tỉ lệ phần trăm các hình thức tấn công đối với thiết bị IoT

Zingbox – một sản phẩm bảo mật IoT của Palo Alto từng phát hiện trường hợp lây nhiễm bởi sâu máy tính (worm) Conficker tại một cơ sở khám chữa bệnh. Conficker còn được biết đến với tên gọi Downup và Kidohoạt động ngầm trong hệ điều hành Windows. Các máy tính sau khi nhiễm sẽ bị đánh cắp mật khẩu và các thông tin cá nhân quan trọng. Trường hợp bị nhiễm đối với cơ sở y tế này là máy chụp tia X và máy DICOM.

2.Các giải pháp khắc phục

Để có thể giảm thiểu các rủi ro ATTT, nhìn chung có 4 bước thực tiếp.

Bước 1: Nhận biết được các mối de dọa

Tuy các thiết bị IoT chiếm số lượng gần 30% các thiết bị kết nối mạng trong doang nghiệp, nhiều tổ chức vẫn chưa nhận thức được các nguy cơ mất ATTT từ loại thiết bị này. Do đó quá trình rà quét và phân loại các thiết bị này là cần thiết và cấp bách để giảm rủi ro cho doanh nghiệp. 

Việc phân loại cần thực hiện chia tách các thiết bị IoT thành các nhóm đối tượng khác nhau, ví dụ nhóm đối tượng có kết nối Internet và đối tượng chỉ có kết nối với hệ thống mạng của doanh nghiệp, không có bất cứ kết nối nào ra bên ngoài. Nhóm thiết bị có kết nối Internet cần được áp dụng các chính sách ATTT chặt chẽ hơn, do chúng thuộc nhóm dễ bị hacker khai thác nhất. Thêm vào đó, cần thực hiện quy hoạch riêng VLAN hoặc vùng mạng cho nhóm đối tượng này để tránh lây nhiễm với các thiết bị thuộc hệ thống khác. Có như vậy, việc xử lý và ứng cứu sự cố an ninh thông tin mới diễn ra được thuận lợi do đã có quy hoạch, khoanh vùng các nhóm rõ ràng.

Bước 2 : Kiểm soát chặt chẽ các thiết bị có nguy cơ lây nhiễm cao

Như đã phân tích ở phần trên, một số thiết bị y sinh hay camera an ninh là các thiết bị IoT dễ bị tấn công, khai thác nhất. Do đó các chính sách ATTT đối với loại thiết bị này cần được xem xét kỹ. Chẳng hạn như mật khẩu sử dụng truy cập nghiêm cấm sử dụng mật khẩu mặc định. Bằng chứng là nhiều cuộc tấn công mạng quy mô lớn đã khai thác lỗ hổng bảo mật này, thực hiện rà quét dựa trên tập hợp các mật khẩu mặc định, và biến chúng thành đối tượng của mạng lưới botnet. Ngoài ra, việc cập nhật các bản vá lỗi, các phiên bản hệ điều hành mới cho các thiết bị này cũng là nhiệm vụ thiết yếu hàng đầu trong giảm thiểu rủi ro mất an toàn thông tin.

Bước 3: Xây dựng phương án quy hoạch mạng riêng (VLAN) cho các thiết bị IoT

Với số liệu ghi nhận về việc gia tăng số lượng mạng riêng ảo (VLAN) trong các doanh nghiệp trong hai năm 2018, 2019, việc sử dụng các mạng riêng ảo hoặc quy hoạch cùng dãi mạng cho các thiết bị IoT và các thiết bị CNTT trọng yếu cần được loại bỏ trong thiết kế hệ thống. Xét về mức độ bảo mật và tầm quan trọng cần được bảo vệ, các thiết bị CNTT trọng yếu như máy chủ dịch vụ, thiết bị định tuyến, chuyển mạch,… có mức ưu tiên cao hơn thiết bị IoT. Do đó người quản trị cần xác định, quy hoạch các phân lớp mạng riêng cho hai nhóm thiết bị này. Tùy theo mức ưu tiên, chỉ cho phép truy cập từ thiết bị thuộc vùng có mức bảo mật cao đến các thiết bị thuộc vùng có mức bảo mật thấp hơn, chiều ngược lại sẽ bị chặn. Nếu thực hiện như vậy, trong trường hợp rủi ro, hacker tấn công và kiểm soát được các thiết bị IoT cũng không thể tấn công leo thang đến các thiết bị CNTT trọng yếu, do đã bị chặn bới thiết bị kiểm soát truy cập.

Bước 4: Xây dựng các hệ thống giám sát

Để phát hiện và có phương án ứng phó kịp thời, việc xây dựng các hệ thống giám sát ATTT là vô cùng cần thiết. Đối với các hệ thống lớn, việc giám sát được thực hiện trên hai hệ thống là NOC (dùng cho giám sát dịch vụ mạng) và SOC (dùng cho giám sát ATTT). Với các hệ thống nhỏ hơn, việc giám sát dù không phân định rõ giữa NOC và SOC cũng cần có phương án giám sát ATTT. Bởi nhờ vào quá trình giám sát 24/7 và đưa ra các cảnh báo khi có bất thường xảy ra trong hệ thống, việc đề xuất các biện pháp phòng thủ cũng như quá trình truy vết dựa trên log sự kiện hệ thống cũng dễ dàng hơn.

3. Kết luận

Tóm lại, để nâng cao tính sẵn sàng của hệ thống trước các cuộc tấn công mạng, thiết bị IoT là nhóm đối tượng cần được xem xét kỹ khi ban hành và thực thi các chính sách liên quan đến ATTT. Nội dung bài viết được xây dựng từ báo cáo an toàn bảo mật của Palo Alto năm 2020, đã phân tích các mối đe dọa, rủi ro cũng như đưa ra các khuyến cáo cho doanh nghiệp để chủ động hơn trong công tác đảm bảo ATAN hệ thống.

Tác giả: Võ Văn Đông