Top các lỗ hổng bảo mật mọi công ty đều có và cách phòng tránh hiệu quả

Nếu bạn đang là chủ doanh nghiệp, ắt hẳn bạn không còn lạ gì với các tin tức về rò rỉ dữ liệu khiến tổn thất lên đến hàng triệu đô la ở nhiều công ty bất kể mảng kinh doanh nào. Dữ liệu bị rò rỉ có thể là thông tin khách hàng của bạn, và đôi khi là tài khoản đăng nhập của nhân viên vào hệ thống nội bộ của bạn. Dù là dữ liệu gì thì việc đánh giá rà soát các lỗ hổng vẫn luôn là khâu cực kì quan trọng ở mỗi công ty, đặc biệt là trong kỷ nguyên số ngày nay. Tuy nhiên, lỗ hổng bảo mật là một khái niệm siêu khó và không dễ lĩnh hội và do đó khiến chúng khó nhận biết bởi chính các chủ doanh nghiệp và đội ngũ của mình. Biết chính xác lỗ hổng gì thì rất khó, nhưng bịt nguồn lỗ hồng thì dễ hơn nhiều. Do đó, bài viết này sẽ điểm qua một số nguồn chứa các lỗ hổng bảo mật nguy hiểm thường thấy và gợi ý một số giải pháp nhằm tăng cường bảo mật cho bạn, công ty của bạn, và bất kì cá nhân nào đang làm việc trong thời đại ngày nay.

1. Phần mềm lỗi thời (Outdated Software)

Mỗi doanh nghiệp ngày nay đều sử dụng một vài phần mềm chuyên dụng nhằm tự động hoá hoặc tối ưu quy trình như Chrome, Word, Excel, Photoshop, PDF Reader và nhiều công cụ đặc thù khác. Các phần mềm thường được phát triển bởi nhiều nhà phát triển khác nhau nhưng các nhà phát triển này có thể có hoặc không có kiến thức và kĩ năng về mảng bảo mật. Do đó, các tính năng được tạo ra có thể chứa các lỗ hổng bảo mật mà chính người chế tạo ra cũng không hề hay biết. Các phần mềm luôn liên tục được cập nhật các phiên bản mới và nhiều trong số các bản cập nhật sẽ chứa các bản vá lỗi hoặc lỗ hổng bảo mật. Đại đa số chúng ta có thói quen giữ nguyên phiên bản phần mềm hoặc ngại nâng cấp phần mềm và nhiều khi là không biết phần mềm đó có phiên bản mới. Thói quen này có thể khiến máy tính của bạn luôn tồn đọng các lỗ hổng bảo mật cũ, chưa được vá và do đó có thể bị hacker tấn công thông qua lỗ hổng chưa vá đó. Thông tin về các lỗ hổng cũ trong các phần mềm có thể được mua bán trên các thị trường chợ đen, trong darkweb hoặc deepweb và do đó khiến các phần mềm không được cập nhật trở thành cánh cổng tiềm năng cho hacker truy cập vào thiết bị của bạn. Vì vậy, hãy luôn cập nhật phần mềm để giảm thiểu các nguy cơ từ phần mềm lỗi thời.

2. Hệ điều hành Windows lỗi thời

Các phiên bản Windows cũ như Windows 7, Window XP hoặc Windows Server đã ngừng hỗ trợ là mục tiêu hàng đầu của các hacker. Lý do là vì bản chất Windows là một tập hợp các phần mềm hệ thống, và các phần mềm đó cũng đã lỗi thời và chứa đựng nhiều lỗ hổng bảo mật. Nắm bắt tâm lý ngại cập nhật Windows, nhiều chiến dịch hacking đã xâm nhập được vào các máy tính còn chạy hệ điều hành cũ bằng nhiều lỗ hổng khác nhau. Hâu quả của việc bị xâm nhập có thể là mất mát thông tin, dữ liệu, bị mã hoá tống tiền hoặc bị theo dõi từ xa, xâm phạm đời tư. Vì vậy, hãy thường xuyên cập nhật Windows và luôn tải các ứng dụng từ nguồn uy tín.

3. Phần mềm crack (Cracked Software)

Phần mềm bẻ khóa thường chứa mã độc hoặc backdoor chiếm quyền điều khiển. Đại đa số mọi người thích sử dụng phần mềm miễn phí. Các phần mềm có phí có thể bị các hacker crack để sử dụng mà không cần trả phí. Người dùng thông thường chúng ta hay có thói quen tìm bản crack trên mạng nhưng thói quen này tiềm ẩn rất nhiều nguy cơ. Chúng ta không thể biết ai thực sự đằng sau bản crack kia và ngoài crack phần mềm, họ có chèn thêm mã độc hay không. Rất nhiều vụ hacking chủ yếu là do tải các bản crack độc hại, chứa virus hoặc backdoor. Vì vậy, nếu có thể, hãy trả phí bản quyền để sử dụng các phần mềm ở phiên bản mới nhất nhằm tránh nguy cơ từ mã độc và các lỗ hổng bảo mật ở các phiên bản cũ.

4. Website tự phát triển (Self-developed Web)

Hiện nay đa phần các công ty đều có trang web riêng để gia tăng sự hiện diện của mình trên Internet. Nhiều công ty có cả đội ngũ IT đảm nhiệm phát triển trang web và hệ thống quản trị nội bộ. Và cũng như các phần mềm bên ngoài, đội IT có thể có khoặc không kiến thức, kinh nghiệm và trải nghiệm trong ngành bảo mật. Thưc tế này dẫn đến khả năng tồn đọng các lỗ hổng bảo mật trong hệ thống do chính các công ty đầu tư phát triển. Các lỗ hổng bảo mật đa phần nằm ngoài tầm hiểu biết của đội IT thông thường, có thể nằm ngay trong các hệ điều hành, các thư viện được sử dụng để lập trình, hoặc ngay trong tư duy thiết kế hệ thống của lập trình viên. Để bịt các lỗ hổng này, hãy luôn tạo điều kiện cho các nhóm IT liên tục trau dồi và tiếp cận các thông tin trong ngành bảo mật. Trong trường hợp cấp bách, bạn có thể thuê các đội pentest chuyên nghiệp để thực hiện rà soát lỗ hổng, mặc dù chi phí sẽ không hề rẻ.

5. Tấn công Email Phishing

Phishing email là phương pháp phổ biến nhất để đánh cắp tài khoản doanh nghiệp. Phương pháp này không cần nhiều kĩ năng hacking nhưng vẫn đạt được hiệu quả cao vì chúng khai thác điểm yếu tâm lý người dùng kết hợp sự mù mờ về công nghệ của đại đa số người dùng. Các thủ đoạn lừa đảo qua email phổ biến như giả danh ngân hàng, giả danh cơ quan chính phủ, giả danh các doanh nghiệp uy tín nhằm đánh lừa người xem email đăng nhập hoặc giao mã OTP và do đó hacker có thể đăng nhập vào tài khoản của người bị lừa. Một số trường hợp khác thì các email lừa đảo mạo danh các ứng dụng phần mềm nổi tiếng nhưng thực chất là mã độc, lừa người đọc cài đặt và sau đó các mã độc thực hiện hành vi đánh cắp dữ liệu hoặc tự động rút tiền nếu chúng có được thông tin đăng nhập vào các app ngân hàng. Bất kì doanh nghiệp nào cũng có một vài nhân viên chăm sóc khách hàng và họ thường ít có kinh nghiệm và kĩ năng công nghệ để phòng tránh các email lừa đảo này. Nếu bạn đang là chủ doanh nghiệp, trang bị kiến thức về Email Phishing cho nhân viên thôi là chưa đủ vì hình thức lừa đảo ngày càng tinh vi. Vì vậy, hãy phổ biến đến nhân viên một số ứng dụng có tính năng phát hiện Email Phishing và ngăn chặn truy cập các đường link giả mạo như một bước bảo mật quan trọng ở mức tâm lý. Ở Việt Nam, hiện có ứng dụng SafePhone đang tập trung phát triển các tính năng chống lừa đảo dạng này. Ngoài việc phát hiện và ngăn chặn nhân viên của bạn bấm vào các đường link giả mạo, SafePhone còn có tính năng cho phép gửi thông báo đến bạn những đường link nào nhân viên đã bấm vào và từ đó bạn có thể phát triển nhiều phương pháp rà soát phát hiện sớm các mối nguy chưa được phát hiện.

Tìm hiểu về SafePhone tại: Làm sao biết người thân bấm vào link lừa đảo

6. Quy trình vận hành sơ hở

Quy trình nội bộ thiếu kiểm soát có thể khiến hacker hoặc nội gián dễ dàng xâm nhập và đánh cắp các thông tin đáng giá. Nhiều nhóm tin tặc trên thế giới có chiến dịch gửi các thành viên đi làm IT ở nhiều tập đoàn toàn cầu với mục đích cài nội gián và mở backdoor từ bên trong. Do đó, nếu một công ty có quy trình tuyển dụng và giám sát thiếu chặt chẽ và phân quyền lung tung rất dễ bị hack ngay từ bên trong nội bộ của mình. Các công ty lớn, đa quốc gia dễ bị ảnh hưởng bởi mối nguy này nhất vì đặc trưng là đông nhân sự nên khó kiểm soát hơn các công ty vừa và nhỏ. Tuy nhiên ở quy mô các công ty vừa và nhỏ, ít nhiều cũng có các mối nguy này từ các đối thủ cạnh tranh. Do đó, để giảm thiểu các mối nguy từ quy trình vận hành, hãy luôn phân quyền cho nhân viên vừa đủ và có thời hạn nhằm tránh một cá nhân có thể truy cập quá sâu vào hệ thông trong thời gian dài.

Kết luận

Phòng bệnh hơn chữa bệnh! Do đó việc nhận diện và khắc phục các lỗ hổng bảo mật doanh nghiệp là bước cấp thiết cần được chú tâm ngay từ ban đầu nhằm bảo vệ dữ liệu, tài chính và cả uy tín của doanh nghiệp.

Xem thêm: