5 sai lầm trong việc bảo mật website

71

Trong tuần qua, hàng loạt website và các hệ thống máy chủ bị tấn công, thâm nhập và đánh cắp dữ liệu đã dấy lo sự lo ngại từ phía người dùng cuối. Khi website có lỗ hổng, tội phạm mạng dễ dàng xâm nhập, tấn công và khai thác dữ liệu khiến website bị nhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho cả những khách truy cập.

Để ngăn chặn điều này xảy ra, người dùng cần có những phương pháp thích hợp để bảo vệ máy chủ cũng như máy tính của mình khi kết nối với tài khoản máy chủ. Tuy nhiên việc không hiểu rõ các vấn đề công nghệ và bảo mật dẫn đến những sai lầm . Dưới đây là 5 sai lầm trong việc bảo mật wbsite

Sai lầm 1 : Sử dụng SSL ( Secure Socket Layer) sẽ giúp website an toàn

Khi kinh doanh trực tuyến với các khách hàng của mình, tại một số thời điểm bạn có thể cần yêu cầu thông tin từ khách hàng – ví dụ: nếu khách hàng đăng ký nhận bản tin của bạn hoặc đặt hàng. Để giúp bảo vệ thông tin của khách hàng của bạn, có một công nghệ gọi là “SSL” (Lớp cổng bảo mật) mã hóa việc truyền dữ liệu giữa trình duyệt web và máy chủ web. Địa chỉ web được bảo mật bằng SSL bắt đầu với https: thay vì http: vì vậy một số người gọi SSL là “HTTPS”.

b1

Việc sử dụng SSL cung cấp tính riêng tư và bảo mật tốt hơn kết nối web không được mã hóa. Nó giảm nguy cơ bên thứ ba có thể chặn và lạm dụng thông tin. Nhiều khách truy cập trang web cảm thấy thoải mái hơn trong việc chia sẻ thông tin thanh toán và thông tin cá nhân khác khi biết họ đang sử dụng kết nối SSL.
Tuy nhiên SSL không giúp website của ban an toàn, nó đơn giản chỉ giúp thông tin giữa client và website dược mã hóa, các thông tin không thể đọc, ngăn chặn tấn công “man in the middle”. SSL không có tác dụng trong bảo mật website, các dữ liệu của trang web có nguy cơ an toàn an ninh ở cấp độ máy chủ ( không phải nguy cơ trong kết nối)

Sai lầm 2 : Tường lửa bảo vệ chống lại việc tấn công website

Nhiệm vụ cơ bản của tường lửa là kiểm soát lưu lượng dữ liệu giữa hai vùng tin cậy khác nhau, cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu.
An ninh mạng được dựa trên  ý tưởng “ cho những người tốt và giữ lại những kẻ xấu” ; sử dụng tường lửa ACL (access control list) . Về cơ bản một tường lửa cấu hình an toàn sẽ từ chối truy cập vào mạng ngoại trừ các mục cho phép. Với thực tế này khi thực hiện quét cổng hầu hết các trang web sẽ có cổng 80 mở cho HTTP, cổng 443 cho SSL
Tuy nhiên khi một truy cập được phép qua tường lửa và vào trang web, việc bảo vệ an ninh trở nên vô nghĩa. Vì vậy mặc dù tường lửa thực hiện thành công các công việc của mình, vẫn còn vấn đề bảo mật ở bản thân website. Từ đó nảy sinh một câu hỏi : “ Làm thế nào để mọi người truy cập được vào website và sau đó chắc chắn rằng họ là những khách hợp pháp”

Sai lầm 3: Quét lỗ hổng web không phát hiện vấn đề bảo mật , do đó nó an toàn .

Một chương trình quét lỗ hổng web hoạt động dựa trên cơ chế
–          Có một bộ mẫu dấu hiệu các lỗ hổng phổ biến
–          Sử dụng bộ mẫu để tạo các request, gửi  tới server
–          Đối chiếu response trả về với các mẫu có sẵn để phát hiện lỗ hổng web.
Ví dụ như kiểm tra lỗ hổng XSS sẽ gửi request với một biến được gắn thêm các script, sau đó kiểm tra trong respnse trả về có phát hiện được các đoạn script tiêm vào hay không. Một chương trình quét lỗ hổng web mới nhất hiện nay đạt độ chính xác lên đến 90%

b2

Tuy nhiên, vì không có vấn đề an ninh phổ biến trong các mã nguồn Web tự phát triển, một chương trình quét lỗ hổng mới nhất vẫn có thể bỏ lọt các lỗ hổng bảo mật nằm trên lớp ứng dụng web. Phần lớn các tổ chức xây dựng website của mình bằng cách tự viết mã nguồn, do đó không có gì đảm bảo những website này sẽ an toàn trước các cuộc tấn công.

Sai lầm 4: Bảo mật website là vấn đề của nhà phát triển

Khi một trang web thất bại trong vấn đề bảo mật, sẽ dẽ dàng đổi lỗi cho bên phát triển. Tuy nhiên có nhiều yếu tố bên ngoài kiểm soát vấn đề bảo mật web. Ví dụ như mã nguồn thường được cung cấp bởi một số nhà cung cấp chứ không phải đội ngũ phát triển web code lại từ đầu, hay việc sử dụng các nền tảng có sẵn để tùy chỉnh.
Có thể ví dụ như sau, hai nhà phát triển code độc lập hai module, hai module đó an toàn nhưng khi kết hợp chúc với nhau có đảm bảo không phát sinh lỗ hổng mới ?
Các lỗ hổng bảo mật cũng có thể phát sinh ngay trong các ứng dụng web cơ bản (flash, java). Vì vậy việc kiểm thử đóng vao trò quan trọng trong việc ứng dụng có an toàn hay không.

Sai lầm 5: Tiến hành đánh giá an ninh website định kỳ hàng năm, do đó website an toàn.

Trong môi trường kinh doanh hiện nay, các website của doanh nghiệp, tổ chức thường được cập nhật thường xuyên đến mức các báo cáo an ninh của tuần trước cũng giảm giá trị, các báo cáo an ninh từ năm trước hầu như vô dụng. Phần lớn vòng đời của các ứng dụng web yêu cầu được đánh giá an ninh thường xuyên hơn. Nếu không, các bản cập nhật, bổ sung của các ứng dụng web sẽ là các nguy cơ lỗ hổng an ninh trong hệ thống của bạn.

Kết luận:

Một trang web đang được phát triển hoặc đang hoạt động cần phải có việc kiểm tra đánh giá an toàn an ninh thường xuyên, dưới đây là một số lời khuyên để cải thiện tình trang an ninh website của bạn:
–          Các nhà quản lý: Thực hiện kiểm tra an ninh mỗi khi website được cập nhật. Lý do là mỗi dòng mã mới có khả năng phát sinh các lỗ hổng mới.
–          Các chuyên gia bảo mật: Sử dụng hệ thống quét lỗ hổng kết hợp việc kiểm tra thủ công, cập nhật các cách bypass mới để kiểm thử.
–          Các nhà lập trình: Không bao giờ tin tưởng dữ liệu đầu vào từ người dùng bởi đây là nguyên nhân gây lỗ hổng bảo mật lớn nhất.