Quan chức Bộ An ninh Quốc nội Mỹ: Các cơ quan phải coi các mối đe dọa rủi ro cao của không gian mạng thành ưu tiên hàng đầu

Quan chức Bộ An ninh Quốc nội Mỹ: Các cơ quan phải coi các mối đe dọa rủi ro cao của không gian mạng thành ưu tiên hàng đầu

DHS official: Agencies must make high-risk cyber threats top priority

By Jill R. Aitoro 08/25/2009

Theo: http://www.nextgov.com/nextgov/ng_20090825_7424.php?oref=topstory

Bài được đưa lên Internet ngày: 25/08/2009

Lời người dịch: Làm thế nào để phân phối các nguồn lực rất hữu hạn cho một loạt các vấn đề liên quan tới an ninh thông tin là một công việc khó khăn của các cơ quan. Vì thế, họ cần phân biệt những hành động tấn công nào là thực sự nguy hiểm, hành động tấn công nào chỉ mang tính “ồn ào gây sự chú ý” trong bối cảnh mà số lượng các vụ tấn công bằng phần mềm độc hại chỉ trong năm 2008 tăng 500% và bằng tổng các cuộc tấn công của 5 năm trước đó cộng lại, trong đó 80% các cuộc tấn công là nhằm vào việc ăn cắp các dữ liệu cá nhân vì mục đích kiếm lợi nhuận, còn lại 20% là vì các mục đích có liên quan tới tôn giáo, gián điệp, khủng bố và chính trị.

Các cơ quan liên bang phải ưu tiên cho các yêu cầu an ninh thông tin của họ để đảm bảo các hoạt động mang tính sống còn được bảo vệ trước tiên, và vạch kế hoạch giữa “điều mà nó đang làm trầm trọng thêm và điều mà nó thực sự nguy hiểm”, giám đốc không gian mạng của Bộ An ninh Quốc nội Greg Schaffer nói trong một hội nghị hôm thứ ba.

Các cuộc tấn công đang tiến triển tinh vi phức tạp hơn nhiều, một phần vì chúng khó bị phát hiện ra hơn, Schaffer nói, người đã được chỉ định là cố vấn bộ trưởng của Văn phòng về An ninh không gian mạng và Truyền thông của Bộ An ninh Quốc nội vào tháng 06. Schaffer và Dave DeWalt, giám đốc điều hành của nhà cung cấp an ninh McAfee, đã nói vào sáng thứ ba tại hội nghị Gfirst được tổ chức bởi Đội Cứu hộ Khẩn cấp Máy tính Mỹ (US CERT).

“Ngày càng có nhiều hơn các cuộc tấn công tinh vi phức tạp... là thấp và chậm, được thiết kế không phải để gây sự chú ý, mà âm thầm lẳng lặng lấy các dữ liệu và các tài nguyên”, Schaffer nói “Vâng cùng lúc, mức độ ầm ĩ từ các cuộc tấn công ít tinh vi phức tạp hơn tiếp tục gia tăng. Điều này tạo nên một một trường nơi mà dễ dàng tập trung vào những mẩu giải đố sai lầm trong khi những điều tồi tệ xảy ra nằm ngoài sự theo dõi. Chúng ta cần thận trọng cảnh giác và tập trung”.

Theo nhà cung cấp an ninh McAfee, đã có 500% sự gia tăng trong năm 2008 về số lượng các cuộc tấn công bằng phần mềm độc hại mà nó đã sử dụng mã nguồn độc hại để thâm nhập hoặc gây hại cho một hệ thống máy tính – tương đương với tổng cộng của 5 năm trước đó cộng lại, DeWalt nói. Trong 80% tất cả các cuộc tấn công bằng phần mềm độc hại, thì động lực là tài chính, với những kẻ tấn công cố ăn cắp thông tin dữ liệu cá nhân vì lợi nhuận. 20% các cuộc tấn công còn lại được nhắc tới bởi “các lý do tôn giáo”, như gián điệp hoặc khủng bố chính trị.

McAfee cũng nói rằng 1.5 triệu site độc hại, mà chúng lây nhiễm cho các máy tính của những khách viếng thăm bằng các mã nguồn độc hại, sẽ được tạo ra mỗi tháng, và spam, mà ngày một ràng buộc tới sự lan truyền của các phần mềm độc hại, gia tăng 10% hàng năm.

Federal agencies should prioritize their information security requirements to ensure mission-critical operations are protected first, and delineate between "that which is aggravating and that which is truly dangerous," the Homeland Security Department's cyber chief Greg Schaffer said during a conference on Tuesday.

Cyberattacks are growing far more sophisticated, in part because they're more difficult to detect, said Schaffer, who was appointed assistant secretary of DHS' Office of Cybersecurity and Communications in June. Schaffer and Dave DeWalt, chief executive officer of security vendor McAfee, spoke Tuesday morning at the GFirst conference in Atlanta hosted by the department's U.S. Computer Emergency Readiness Team.

"The more sophisticated attacks ...are low and slow, designed to not draw attention, but insidiously get at data and resources," Schaffer said "Yet at the same time, the level of noise from less sophisticated attacks continues to grow. This makes for an environment where it is easy to focus on the wrong pieces of the puzzle while bad things happen under the radar. We need to be vigilant and focused."

According to security vendor McAfee, there was a 500 percent increase in 2008 in the number of malware attacks that used hostile code to infiltrate or damage a computer system -- equal to the combined total for the five years prior, DeWalt said. In 80 percent of all malware attacks, the motive is financial, with attackers trying to steal identities and data for profit. The other 20 percent of attacks are prompted by "religious reasons," such as political espionage or terrorism.

McAfee also reported that 1.5 million malicious sites, which infect computers of visitors with malicious code, are created each month, and spam, which is increasingly tied to the spread of malware, increases 10 percent annually.

Thách thức đối với các cơ quan là việc xác định đâu là nơi tập trung những tài nguyên hạn chế của họ vào trong một môi trường thù địch như thế này, Schffer nói trong một cuộc phỏng vấn với Nextgov.com sau bài phát biểu của ông.

“Chúng ta phải đặt một mức phù hợp về các tài nguyên cho những vấn đề như thế này” mà chúng là ít mang tính sống còn, ông nói, như một cuộc tấn công từ chối dịch vụ mà nó tạm thời khóa việc truy cập tới một mạng của một cơ quan nào đó hoặc việc làm mất thể diện một Web nào đó mà nó sửa các nội dung trực tuyến. “Cùng lúc, chúng ta cần nhận thức được rằng những thứ này không phải là những cuộc tấn công thực sự nguy hiểm. Đây là một vấn đề về [phân phối] các tài nguyên; khi bạn có quá nhiều sự tập trung vào những lĩnh vực này mà chúng không phải là mang tính sống còn, thì những cuộc tấn công ít ầm ĩ hơn lại có thể” được tiến hành mà không bị để ý tới.

Các cơ quan chỉ có thể ưu tiên cho những nỗ lực an ninh thông tin dựa trên những nhiệm vụ riêng rẽ của họ, Shaffer nói. Các cơ quan cũng phải cân bằng giữa an ninh và hiệu quả, hoặc tối thiểu hóa những chỗ hay bị tổn thương của mạng, mà không phải hy sinh năng suất lao động.

“[DHS] có thể giúp thiết lập một số yêu cầu và hỗ trợ trong việc đẩy quả bóng tiến lên, nhưng các cơ quan bản thân họ phải hiểu những vấn đề rủi ro của họ và hành động theo nhiệm vụ của họ”, Shaffer nói. “Bạn sẽ tiếp tục thế nào để duy trì tính hiệu quả mà công nghệ thể hiện, trong khi cùng một lúc kết hợp một mức độ phù hợp về an ninh sao cho chúng ta không bị thiệt hại nhỉ?”

Các cơ quan phải áp dụng những gì mà Shaffer gọi là các mức xếp hàng có thứ tự về an ninh, nơi mà mức độ an ninh được áp dụng được xác định bởi mức độ rủi ro có liên quan với thông tin được duy trì trong hệ thống máy tính. Sự phân tích đó sẽ khác nhau giữa các cơ quan.

“Các cơ quan cần bắt đầu hiểu về các mạng trong đó chúng ta sống, sao cho họ có thể nhìn vào môi trường của họ và nói, 'tôi biết điều này sẽ không gây ra ảnh hưởng lớn, nên tôi sẽ không tập trung các nỗ lực của tôi vào đó', Randy Vickers, người được DHS chỉ định như là quyền giám đốc của US CERT hôm thứ ba. Người tiền nhiệm của ông ta, Mischel Kwon, đã từ chức đầu tháng này”.

“Chúng ta có xu hướng tập trung vào toàn cầu, hơn là vào những vùng trọng điểm mà chúng có thể giữ cho chúng ta hoàn thành được các nhiệm vụ của chúng ta”, Vickers nói.

The challenge for agencies is determining where to focus their limited resources in such a hostile environment, said Shaffer in an interview with Nextgov.com after his speech.

"We have to put an appropriate level of resources to those issues" that are less critical, he said, such as a denial-of-service attack that temporarily blocks access to an agency's network or Web defacement that alters online content. "At the same time, we need to recognize that those are not the really dangerous attacks. It's a resource [allocation] issue; when you have so much attention focused on these areas that are not as critical, the less noisy attacks can" go unnoticed.

Only agencies can prioritize information security efforts based upon their individual missions, Shaffer said. Agencies also must strike a balance between security and efficiency, or minimizing network vulnerabilities, without sacrificing productivity.

"[DHS] can help set some requirements and assist in moving the ball forward, but the agencies themselves have to understand their risk profiles and execute against their mission," Shaffer said. "How do you continue to maintain the efficiency gains that the technology presents, while at the same time incorporating an appropriate level of security so we don't get damaged?"

Agencies should apply what Shaffer called tiered-levels of security, where the degree of security applied is determined by the level of risk associated with the information maintained on the computer system. That analysis will vary from agency to agency.

"Agencies need to start understanding the networks in which they live, so they can look at their environment and say, 'I know this isn't going to have a heavy impact, so I won't focus my efforts there,' " said Randy Vickers, whom DHS named as acting director of US-CERT on Tuesday. His predecessor, Mischel Kwon, resigned earlier this month.

"We tend to focus all over the map, rather than on the key areas that could keep us from accomplishing our missions," Vickers said.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com