Bài viết

AVA - công cụ bảo mật gây nhiều tranh cãi

(PCWorldVN) Lỗ hổng bảo mật lớn nhất và không thể vá được không thuộc về máy móc, mà thuộc về hành vi con người. Đến nay, chỉ mới có 1 công cụ duy nhất, xuất hiện cách nay vài tháng để cố gắng lấp lỗ hổng này: AVA. Đánh lừa người khác để vượt qua các biện pháp an ninh, tiết lộ mật khẩu và những thông tin bí mật, ngành bảo mật máy tính gọi đó là "social engineering". Đây là đề tài vô cùng lớn. Đó cũng là mảng kinh doanh mà công ty tư vấn bảo mật ở New Zealand, SafeStack, tập trung nghiên cứu cách nay 2 năm. Mặc dù có nhiều công ty đưa ra được những khoá đào tạo về bảo mật nhưng Laura Bell, người sáng lập ra SafeStack, nhận thấy không có cách thực sự nào để biết được liệu những khoá đào tạo ấy có hiệu quả hay không, cho đến khi sự việc đã rồi.

Điều mà khách hàng của SafeStack thực sự cần là một cách nào đó nhận diện được chính đội ngũ nhân viên mới là lỗ hổng lớn nhất cho các kiểu tấn công social engineering. Vì vậy, Laura đã dành chút thời gian tạo ra một công cụ nguồn mở miễn phí, tên là AVA, để quét những lỗ hổng "con người" này. Nhưng không phải ai cũng vui vẻ sử dụng nó vì nó đưa ra những kiểu tấn công giả mạo để "thử lòng nhân viên". Ví dụ, ban đêm, bạn bỗng nhận một email từ một nhân viên phòng kỹ thuật, nói rằng bạn cần đặt lại mật khẩu mới, nhưng thực sự, đó là email giả mạo của AVA gửi.

Hành vi con người chính là lỗ hổng bảo mật lớn nhất, không thể vá.

AVA hoạt động theo 3 giai đoạn để chặn kiểu tấn công như vậy. Đầu tiên, nó tích hợp với các thư mục cộng tác như Active Directory và các trang mạng xã hội như LinkedIn để tạo bản đồ kết nối giữa các nhân viên, cũng như những địa chỉ liên lạc quan trọng. Laura Bell gọi đây là một biểu đồ doanh nghiệp thực sự. Tin tặc có thể sử dụng những thông tin như vậy để chọn đối tượng lợi dụng và gửi email giả mạo cho họ.

Từ đó, người dùng AVA có thể tạo thử email giả mạo lẫn tài khoản mạng xã hội, để xem nhân viên đáp trả như thế nào. Cuối cùng, và cũng quan trọng nhất, AVA giúp doanh nghiệp theo dõi kết quả của những đợt tấn công thử này. Bạn có thể dùng AVA để đánh giá tính hiệu quả của 2 chương trình đào tạo bảo mật khác nhau, để xem nhân viên có cần đào tạo thêm hay không, hoặc biết được đâu là nơi dễ bị lừa nhất.

Lý do mà một số người không hài lòng với cách làm của AVA là rất có thể tội phạm mạng thực sự sẽ lợi dụng chương trình này. Dĩ nhiên, Laura Bell nghĩ đến điều này ngay từ đầu. Điều cô ngạc nhiên là vài người nhận xét lại quá tiêu cực. Có rất nhiều công cụ bảo mật sẵn có và đã bị tin tặc lợi dụng triệt để từ xưa đến nay, như bộ công cụ Metasploit. Điều khác biệt là mục đích của người dùng mà thôi.

AVA cũng đánh động những câu hỏi về tính riêng tư, vì nó có thể thu thập thông tin về nhân viên không liên quan đến công việc và gửi email cho những tài khoản cá nhân của nhân viên ấy, hoặc lên mạng xã hội. Theo Laura Bell, đây cũng là một phần quan trọng trong bảo mật doanh nghiệp.

Mặc dù một số doanh nghiệp tại New Zealand đã thử AVA nhưng công cụ này chỉ mới ở giai đoạn tiền phát triển, và hiện thời rất khó cho tin tặc lợi dụng. Và để chắc chắn AVA không bị dùng cho mục đích xấu thì SafeStack sẽ thêm một số tính năng an toàn như tích hợp chức năng thông báo, sẽ cảnh báo cho bất kỳ ai khi thông tin của họ bị AVA thu thập. Chắc chắn một tin tặc nào đó sẽ có thể tắt đi những tính năng an toàn này nhưng Laura Bell hy vọng dù ít dù nhiều cũng ngăn chặn phần nào việc sử dụng sai mục đích. SafeStack cũng hy vọng sẽ hợp tác được với các công ty như Google và LinkedIn để giúp nhận diện được những hành vi AVA thông thường so với hành vi bất thường.

Cho dù Laura Bell phải nhận vài chỉ trích gay gắt khi phát triển công cụ này nhưng số nhận xét ủng hộ lại nhiều hơn. Rõ ràng là thị trường có một nhu cầu về bảo vệ nhân viên tránh các kiểu tấn công lừa đảo social engineering như trên. Vì vậy, nhiều doanh nghiệp và tổ chức chính phủ ở châu Úc và Bắc Mỹ đã liên lạc với SafeStack vài tháng qua để bàn về AVA.

Nguồn: PC World VN