State-sponsored
malware like Stuxnet will hit private enterprise hard in 2013
21 December 2012
Bài được đưa lên
Internet ngày: 21/12/2012
Lời
người dịch: Những dự đoán không tích cực về bức
tranh an ninh 2013 của hãng chuyên quản lý khóa và chứng
chỉ số Venafi. Một số trích đoạn: ““Tuy nhiên, quan
điểm của chúng tôi là các công ty nên có quan tâm,
khi mà những công cụ và kỹ thuật được sử dụng để
thực hiện các dạng tấn công đó (như của Stuxnet), tiếc
thay, bây giờ đang năm trong tay của bọn tội phạm chung
và các thực thể xấu xa. Trong năm tới, những cuộc
tấn công như vậy có lẽ sẽ gia tăng, đặc biệt chống
lại các doanh nghiệp lớn, và có khả năng gây ra những
lỗ hổng dữ liệu lớn, gây mất điện bất thường và
những đổ vỡ đáng kể cho các doanh nghiệp”... Như
một sự nhắc lại, MD5 là thuật toán ký chứng chỉ
số què quặt do Microsoft sử dụng đã cho phép các tin tặc
vượt qua được an ninh của Microsoft và gây lây nhiễm
hàng ngàn các máy tính với phần mềm độc hại Flame.
Một khi xảy ra, Flame có khả năng thu thập các thông tin
nhạy cảm từ các thiết bị bị nhắm đích. “Với
gần như 1 trong số 5 chứng chỉ được triển khai khắp
Global 2000 vẫn còn đang sử dụng MD5, khả năng cao là
những lỗ hổng có liên quan sẽ tiếp tục”... Với
những thay đổi đó, rõ ràng là trong năm 2013 các nhà
điều chỉnh pháp luật toàn cầu sẽ thực hiện hành
động chống lại các tổ chức không bảo vệ được dữ
liệu trong đám mây”.
Gọi nó là thiệt hại
phụ: Bọn tội phạm và tin tặc có tổ chức sẽ thúc
đẩy các cuộc tấn công dựa vào chứng chỉ số để
gây lây nhiễm cho các hệ thống CNTT các doanh nghiệp lớn
bằng các phần mềm độc hại do nhà nước phát triển
như Flame và Stuxnet - với kết quả hung ác làm ảnh hưởng
tới hoạt động của các doanh nghiệp trên toàn thế
giới, và mở cửa cho một cơn lũ các lỗ hổng dữ liệu
và thiệt hại về thương hiệu vượt xa các mục tiêu
của chiến tranh không gian mạng mà các phần mềm độc
hại đó đã được tạo ra để làm như vậy.
Đó là dự đoán hàng
đầu cho năm 2013 từ nhà cung cấp quản lý khóa và chứng
chỉ Venafi. “Nhiều học giả, các đài
phát thanh hàng đầu và thậm chí một số chuyên gia an
ninh đang báo cáo rằng các doanh nghiệp lớn không cần có
quan tâm quá mức về Flame và các phần mềm độc hại
dạng Stuxnet, trích dẫn thực tế là chúng đã được các
nhóm tình báo và quân sự của chính phủ được cấp vốn
tốt thực hiện, các mục tiêu của chúng là các nhà nước
quốc gia thù địch và không phải là các doanh nghiệp”,
CEO Jeff Hudson của Venafi, nói. “Tuy nhiên, quan điểm của
chúng tôi là các công ty nên có quan tâm, khi mà những
công cụ và kỹ thuật được sử dụng để thực hiện
các dạng tấn công đó, tiếc thay, bây giờ đang năm
trong tay của bọn tội phạm chung và các thực thể xấu
xa. Trong năm tới, những cuộc tấn công như vậy có lẽ
sẽ gia tăng, đặc biệt chống lại các doanh nghiệp lớn,
và có khả năng gây ra những lỗ hổng dữ liệu lớn,
gây mất điện bất thường và những đổ vỡ đáng kể
cho các doanh nghiệp”. “Các tổ chức mà không có sự
quản lý và kiểm soát hiệu quả cho BYOD và các mạng
Wifi và VPN có liên quan sẽ tự thấy họ xoắn theo một
ác mộng an ninh và tuân thủ mà sẽ gây ra những lỗ
hổng, các khoản tiền phạt và thiệt hại về thương
hiệu... ”
Venafi nói rằng dựa
vào dự báo của mình về những ví dụ thế giới thực
các dạng “mục tiêu đổ máu” này đang xảy ra rồi.
Đầu năm nay, người khổng lồ dầu khí Chevron (Đứng số
3 theo xếp hạng Fortune 500) được cho là đã thấy phần
mềm độc hại Stuxnet trong các hệ thống của mình.
Chevron khi đó đã nói rằng hãng không tin chính phủ Mỹ
nhận thức được phần mềm độc hại đó đã lan truyền
xa và rộng tới cỡ nào, Hudson lưu ý. Sự lây nhiễm đó
từng xảy ra trước khi nó gây thiệt hại, nhưng bài học
về mục tiêu đó vẫn còn.
Call
it collateral damage: Organized cybercriminals and hackers will
leverage digital certificate-based attacks to infect enterprise IT
systems with state-developed malware such as Flame and Stuxnet –
with the nefarious result of impacting business operations worldwide,
and opening the door to a flood of data breaches and brand damage
reaching far beyond the cyber-war targets the malware was created
for.
That’s
the top prediction for 2013 from key and certificate management
vendor Venafi.
"Many pundits, leading media outlets and even some security
experts are reporting that enterprises needn't be overly concerned
about Flame and Stuxnet-style malware, citing the fact that they were
executed by well-funded government intelligence and military groups
whose targets were hostile nation-states and not businesses,"
said Venafi CEO Jeff Hudson. "However, our view is that
companies should be concerned, as the tools and techniques used to
execute these types of attacks are, unfortunately, now in the hands
of common criminals and rogue entities. In the coming year, such
attacks are likely to increase, especially against enterprises, and
are likely to result in major data breaches, unplanned outages and
significant disruptions to businesses."
Venafi
said that it is basing its prediction on real-world examples of this
kind of “target bleed” already happening. Earlier in the year,
oil giant Chevron (No. 3 in the Fortune 500 rankings) said that it
found the Stuxnet
malware in its systems. Chevron has since publicly stated that it
does not believe the US government realizes how far and wide the
malware has spread, Hudson noted. That infection was contained before
it resulted in damage, but the object lesson remains.
In
addition to predicting increased trends in enterprise attacks, Venafi
has also researched the overall enterprise security landscape and
developed a number of other predictions, including the theory that
4G-driven mobility and bring-your-own–device (BYOD) compliance will
cause security and audit nightmares.
“The
availability of near-desktop speed on laptops, tablets and
smartphones will lead to a larger number of mobile BYOD users
accessing sensitive and regulated corporate data,” said Venafi.
“Organizations that do not have effective management and controls
in place for BYOD and related Wi-Fi networks and VPNs will find
themselves spiraling into a security and compliance nightmare that
will result in breaches, fines and brand damage.”
Bổ sung thêm vào việc
dự đoán các xu thế gia tăng trong các cuộc tấn công các
doanh nghiệp, Venafi cũng đã nghiên cứu toàn bộ bức
tranh an ninh doanh nghiệp và đã đưa ra một số dự báo
khác, bao gồm lý thuyết di động do 4G dẫn dắt và sự
tuân thủ mang thiết bị của riêng bạn - BYOD (Bring - Your
- Own – Device) sẽ gây ra những ác mộng về kiểm toán
và an ninh.
“Tính
sẵn sàng về tốc độ gần với máy để bàn trên các
máy tính xách tay, các máy tính bảng và điện thoại
thông minh sẽ dẫn tới số lượng lớn hơn những người
sử dụng BYOD di động truy cập các dữ liệu nhạy cảm
và được điều chỉnh của các công ty”, Venafi nói.
“Các tổ chức mà không có sự quản lý và kiểm soát
hiệu quả cho BYOD và các mạng Wifi và VPN có liên quan sẽ
tự thấy họ xoắn theo một ác mộng an ninh và tuân thủ
mà sẽ gây ra những lỗ hổng, các khoản tiền phạt và
thiệt hại về thương hiệu”.
Một vấn đề khác
cho năm tới là những lỗ hổng do sử dụng các thuật
toán mã hóa MD5 hoặc yếu khác. Venafi nói rằng nghiên cứu
thống kê đã phát hiện rằng hầu hết toàn boọ 2000 tổ
chức toàn cầu đã phát triển các chứng chỉ số được
ký theo MD5, yếu và dễ dàng bị tấn công trong các môi
trường của họ.
Như
một sự nhắc lại, MD5 là thuật toán ký chứng chỉ số
què quặt do Microsoft sử dụng đã cho phép các tin tặc
vượt qua được an ninh của Microsoft và gây lây nhiễm
hàng ngàn các máy tính với phần mềm độc hại Flame.
Một khi xảy ra, Flame có khả năng thu thập các thông tin
nhạy cảm từ các thiết bị bị nhắm đích. “Với gần
như 1 trong số 5 chứng chỉ được triển khai khắp Global
2000 vẫn còn đang sử dụng MD5, khả năng cao là những lỗ
hổng có liên quan sẽ tiếp tục”, hãng này nói.
Hãng này còn dự báo
- không ngạc nhiên - rằng đám mây sẽ là mục tiêu của
bọn tội phạm không gian mạng nhằm vào các doanh nghiệp
và các chính phủ. Và rằng, tới lượt nó, sẽ dẫn dắt
các hành động điều chỉnh pháp luật.
Câu
chuyện đó đang bắt đầu rồi: Tại Anh, Văn phòng Ủy
ban Thông tin (ICO) đã phác thảo một kế hoạch để bảo
vệ các dữ liệu đám mây trong khi tuân thủ với các chỉ
thị Bảo vệ Dữ liệu của châu Âu và nước Anh. ICO có
thể phạt các tổ chức £500,000 cho mỗi vi phạm và nói
rằng “quản lý khóa mạnh khỏe” và mã hóa là những
yêu cầu tuân thủ.
“Với
những thay đổi đó, rõ ràng là trong năm 2013 các nhà
điều chỉnh pháp luật toàn cầu sẽ thực hiện hành
động chống lại các tổ chức không bảo vệ được dữ
liệu trong đám mây”. Venafi nói.
Và, cuối cùng, khi
bức tranh về các mối đe dọa gia tăng, ngân sách cho an
ninh sẽ tăng. “Mọi dấu hiệu chỉ ra rằng hầu hết
ngân sách an ninh CNTT sẽ tăng trong năm 2013 vì sự chú ý
gia tăng đối với các lỗ hổng và các đội an ninh đang
làm tốt hơn công việc của mình bằng việc khớp nối
cả giá trị rủi ro và nghiệp vụ”, hãng này nói. “Các
dự án về an ninh có thể giúp tăng tốc các dự án chiến
lược và làm giảm công việc ở những nơi khác và nhất
định có những cơ hội đầu tư tốt nhất trong năm
2013”.
Another
issue for the coming year is breaches caused by the use of MD5 and
other weak encryption algorithms. Venafi said that statistical
research has revealed that almost all Global 2000 organizations have
deployed weak, easily hacked, MD5-signed certificates in their
environments.
As
a refresher, MD5 is the broken certificate-signing algorithm used by
Microsoft that allowed hackers to bypass Microsoft security and
infect thousands of computers with
Flame malware. Once in place, Flame was able to gather sensitive
information from the targeted devices. “With nearly one out of five
certificates deployed across the Global 2000 still using MD5, it is
highly probable that related breaches will continue,” the firm
said.
The company also predicts – to no surprise – that the cloud will be the target of cybercriminals taking aim at businesses and governments. And that, in turn, will drive regulatory action.
The company also predicts – to no surprise – that the cloud will be the target of cybercriminals taking aim at businesses and governments. And that, in turn, will drive regulatory action.
That
groundswell is already starting: In the UK, the Information
Commissioner's Office (ICO) outlined a plan for protecting cloud data
while complying with UK and European Data Protection directives. The
ICO can fine organizations £500,000 per violation and states that
encryption and "robust key management" are requirements for
compliance.
“With
these changes, it is clear that in 2013 regulators globally will take
action against organizations that fail to protect data in the cloud,”
Venafi said.
And,
finally, amid the rising threatscape, security budgets will rise.
“All signs indicate that most IT security budgets will grow in 2013
due to the increased attention to breaches and to security teams
doing a better job articulating both risk and business value,” the
firm said. “Security projects that can help accelerate strategic
projects and reduce work elsewhere are certain to have the best
chances of funding in 2013.”
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.