CVE là gì? Ảnh hưởng của CVE đến hệ thống bảo mật

CVE là gì? Mặc dù thuật ngữ này rất quen thuộc một khi nhắc đến vấn đề lỗ hổng bảo mật nhưng thực tế vẫn còn nhiều người chưa hiểu rõ. Mà thực tế một khi vấn đề này không được nắm chắc thì rất dễ ảnh hưởng đến quá trình vận hành của doanh nghiệp. Vậy bạn hãy cùng FPT Cloud tìm hiểu chi tiết về CVE cũng như những ảnh hưởng mà nó mang tới. 

1. CVE là gì?

CVE là gì? Bản chất đây là thuật ngữ được viết tắt từ cụm tiếng Anh Common Vulnerabilities and Exposures. Bạn có thể hiểu đây là danh sách các lỗi bảo mật máy tính công khai. Một khi nhắc đến CVE  có nghĩa là đang nói về một lỗ hổng bảo mật đã được gắn một số  CVE  ID.

Về cơ bản chương trình này được MITRE tiến hành khởi tạo vào năm 1999. Mục đích chính là nhằm xác định và phân loại các lỗ hổng thường gặp. Trong đó mỗi lầu hồng sẽ có một bản mô tả thông tin chi tiết và cụ thể. các chuyên gia an ninh mạng chuyên nghiệp sẽ sử dụng bản mô phỏng này để thảo luận và đưa ra hướng khắc phục lỗ hổng triệt để nhất. 

Tác lâu hồng phải được giải quyết một cách độc lập và được thừa nhận bởi nhà cung cấp dịch vụ. Những lỗ hổng có tác động liên quan tới nhiều sản phẩm khác nhau sẽ có  có CVE riêng biệt.

>>> Có thể bạn quan tâm: Web Application là gì? Thông tin về Web Application từ A - Z

2. Các yếu tố để hình thành một CVE

 Khái quát CVE là gì đơn giản như vậy, nhưng làm cách nào để xác định một lỗ hổng có phải là CVE hay không? Tất nhiên để làm được điều này bạn cần dựa vào các yếu tố nhận định cụ thể. Trong đó theo các chuyên gia thì yếu tố hình thành một CVE sẽ bao gồm:

• Lỗ hổng tác động tiêu cực đến tình trạng an ninh: Lỗ hổng này thực tế phải được nhà cung cấp thừa nhận là có tác động tiêu cực đến hiện trạng bảo mật của đơn vị đang sử dụng sản phẩm hay dịch vụ mà họ mang tới. Những ảnh hưởng tiêu cực của lỗ hổng này tác động lên hệ thống bị ảnh hưởng được ghi nhận bằng văn bản. 
• Lỗ hổng có thể để khắc phục độc lập: Quá trình khắc phục lỗ hổng này có thể được thực hiện một cách độc lập mà không gây ảnh hưởng hay tác động đến hệ thống mạng chung.
• Lỗ hổng chỉ ảnh hưởng đến một Codebase: Nếu như lông hồng có tác động lên tới nhiều Codebase khác nhau vậy thì chúng phải được phân loại. Cụ thể là phân loại thành các CVE ID khác nhau.

3. CVE Identifier và tác động tích cực của CVE

Vậy CVE là gì bạn đã nắm được cơ bản thế nhưng liệu  CVE sẽ đem đến lợi ích gì? CVE Identifier có liên quan gì trong quá trình vận hành? Đây cũng là điều bạn cần tìm hiểu kỹ càng cho mình. Chi tiết FPTCloud giải đáp như sau:

3.1.  CVE Identifier

Về cơ bản mỗi  CVE sẽ được gắn với một con số. Đây chính là CVE Identifier và gọi là mã định danh CVE.  Các CVE Identifier xem được chỉ định từ một trong khoảng hơn 100 CNA (lưu ý đây là viết tắt từ cụm CVE Numbering Authority đã hết). Trong đó CNA này sẽ được bao gồm cả:

• Các nhà cung cấp IT
• Tổ chức nghiên cứu
• Công ty bảo mật 
• Hay thậm chí là chính MITRE

Nhìn chung một CVE Identifier sẽ có dạng là CVE - [Year] - [Number]. Bạn có thể hiểu là:

• Year sẽ đại diện cho năm mà lỗ hổng bảo mật này được thông báo, báo cáo.
• Còn Number chính là một số được chỉ định bởi CNA

3.2. Tác động tích cực của CVE

Tất nhiên thực tế cho thấy CVE mang đến không nhỏ những mặt tích cực. Điều này đã được các chuyên gia và người dùng nhận định. Vậy bạn đã biết những tác động tích cực của CVE là gì hay chưa?

Cụ thể việc chia sẻ thông tin trên CVE khá linh hoạt có thể giúp các tổ chức thiết lập baseline để đánh giá mức độ phù hợp của các công cụ bảo mật mà họ có. Bên cạnh đó CVE Number còn hỗ trợ cho phép tổ chức các thành phần có trong công cụ và đánh giá phần trăm mức độ phù hợp cho doanh nghiệp.

Thậm chí CVE ID lỗ hổng cụ thể còn giúp các tổ chức có thể cập nhật và nhận thông tin chính xác về lỗ hổng một cách nhanh chóng nhất. Quá trình thực hiện thông qua nhiều nguồn thông tin khác nhau. Điều này giúp cho việc điều chỉnh kế hoạch tối ưu để có thể ưu tiên giải quyết các lỗ hổng, bảo vệ tổ chức của mình.

>>> Có thể bạn quan tâm: IPtables là gì? Toàn tập kiến thức cần biết về IPtables

4. Tổng quan về Zero-day chi tiết

Một khi bạn đã nắm rõ được CVE là gì, bạn hãy cùng tìm hiểu thêm về loại lỗ hổng zero-day. Bởi lẽ lỗ hổng này thực tế xuất hiện cũng không ít.  Việc bạn tìm hiểu được cho mình nhiều thông tin và kinh nghiệm hữu ích.

4.1. Khái niệm Zero-day

Cụ thể Zero - day là một thuật ngữ được dùng để chỉ lỗ hổng bảo mật ở trong phần mềm, phần cứng hoặc là firmware. Mà trong đó các bên chịu trách nhiệm thực hiện vá hoặc sửa lỗi sẽ không thể xác định được.

Khác với CVE, lỗ hổng Zero - day  hacker có thể để tấn công ngay vào hệ thống của người dùng. Khoảng thời gian để phát hiện ra lỗ hổng cho tới lúc đi tấn công là 0 ngày. Do đó tên gọi Zero - day  được hình thành. Sau khi lỗ hổng này được công khai trên thị trường còn sẽ được gọi với các tên khác như One - day hay n - day. 

4.2. Zero-day có nguy hiểm không?

Có thể thấy Zero - day là lỗ hổng thực tế rất nguy hiểm một khi hình thành. Cụ thể vào ngày đầu tiên nếu phát hiện lỗ hổng ở một phần mềm online hoặc offline lúc này công ty, developer thực tế vẫn chưa thể giải quyết được điều. Vì vậy lỗ hổng Zero - day exploit đảm bảo xác suất tấn công thành công là rất cao.  Loại hình exploit cực kỳ nguy hiểm cho bất kỳ cá nhân hay tổ chức nào.

Theo các chuyên gia cho rằng đa phần nhóm tội phạm mạng hoặc là những nhóm hacker chuyên nghiệp thường lưu trữ tập hợp các lỗ hổng zero-day. Mục đích lưu trữ là để chuẩn bị tấn công vào các mục tiêu có giá trị cao. Danh sách này hầu hết là gồm lỗ hổng của các website chính chủ nước ngoài hay tổ chức tài chính.

Một ví dụ điển hình như Mozilla Firefox đã từng gặp phải 2 lỗ hổng Zero - day không thể xác định được vào tháng 6 năm 2019. Cụ thể đó là Type confusion in Array.pop cùng Sandbox escape using Prompt:Open. Thật không may đã có một nhóm hacker phát hiện ra và sử dụng chúng để thực hiện tấn công vào các sàn giao dịch tiền điện tử khác nhau. 

4.3. Cách ngăn chặn Zero-day

Zero - day exploit Đã được chứng minh có thể gây tác động nghiêm trọng kinh khủng đến vấn đề bảo mật.  Lỗ hổng xuất hiện dẫn đến việc bị rò rỉ các dữ liệu nhạy cảm và quan trọng là điều không thể tránh khỏi. Và hơn hết là hiện nay vẫn chưa có một biện pháp bảo vệ toàn diện để chống lại các cuộc tấn công của lỗ hổng Zero - day.  Tuy nhiên thực tế vẫn có một số biện pháp bảo mật chủ động nhằm giúp hệ thống phát hiện và bảo vệ lỗ hổng Zero -day exploit. Cụ thể là:

•  Triển khai hệ thống giải pháp bảo mật toàn diện

Một bộ bảo mật đảm bảo tính tiên tiến hiện đại với khả năng bảo vệ toàn diện là biện pháp bảo vệ hàng đầu có thể chống lại các mối đe dọa trong zero-day.Cơ chế hoạt động của các giải pháp bảo mật này là kìm kẹp các hoạt động và những mối đe dọa đáng ngờ thông qua thuật toán Machine learning. Đồng thời hỗ trợ bảo vệ hệ thống tối đa. 

• Cập nhật ứng dụng cũng như hệ điều hành

Một thực tế cho thấy hầu hết các cuộc tấn Zero -day  nêu nhắm vào các lỗ hổng không xác định. Vì vậy điều cần làm là bạn cần giữ cho các ứng dụng và hệ thống luôn được cập nhật và có các bản vá mới nhất. Đây sẽ là biện pháp  giúp chúng ta đảm bảo an toàn ở các cuộc tấn công lỗ hổng n - days.

• Triển khai hệ thống IDS và IPS

Bạn có thể hiểu IDS chính là hệ thống phát hiện xâm nhập và được viết tắt từ cụm Intrusion Detection System. Trong khi đó IPS chính là hệ thống bảo vệ xâm nhập được viết tắt từ cụm Intrusion Prevention System. Hai hệ thống này hoạt động cùng nhau có thể cải thiện đáng kể tính năng bảo mật của hệ thống. Mặc dù không thể chắc chắn việc áp dụng có thể luôn tìm thấy các mối đe dọa. Thế nhưng thực tế IDS và IPS  hoàn toàn có thể cảnh báo về các hoạt động đáng ngờ của hacker. 

• Thực hiện quét lỗ hổng bảo mật thường xuyên

Một trong những cách ngăn chặn Zero - day tiếp theo là bạn cần thực hiện quét các lỗ hổng định kỳ.Đây là việc làm vô cùng cần thiết để tìm ra các lỗ hổng bảo mật. Sau đó bạn có thể nhanh chóng đưa ra các bản vá hoặc thực hiện cách ly bug này để có thể giảm thiểu quá trình tấn công.

• Triển khai NAC

Bạn có thể hiểu NAC chính là bộ công cụ kiểm soát truy cập mạng. Sử dụng phương pháp này có nghĩa là bạn triển khai các sách hay hạn chế bảo mật áp dụng trên toàn mạng. Điều bạn cần làm là nhất định phải cô lập những hệ thống quan trọng khỏi các hệ thống còn lại. Như vậy mới có thể ngăn chặn tấn công vào những thông tin quan trọng. 

4.4. Một số dạng tấn công Zero-day

CVE là gì, Zero - day là gì ngoài việc ghi nhớ khái niệm cẩn thận bạn cũng đừng bỏ thông tin tổng hợp về các dạng tấn công Zero - day. Điều này sẽ giúp bạn có cái nhìn kỹ càng hơn một khi gặp phải. Đặc biệt là có thể nhận thức được các cách mà hacker có thể triển khai, khai thác từ Zero - day. Theo như phân tích thì loại  hình tấn công liên quan tới Zero - day cơ bản như:

• Spear Phishing: Đây là dạng tấn công mà các hacker chọn mục tiêu là những cá nhân cụ thể có thẩm quyền.  Mục tiêu của Hacker là lừa những mục tiêu này để tạo nên các email độc hại. Các hacker có thể nghiên cứu mục tiêu đồng thời thu thập các thông tin dựa vào những chiến thuật Social Engineering.
• Phishing: Những kẻ tấn công sẽ bắt đầu thực hiện chiến dịch gửi email spam đến nhiều người  trong một tổ chức bất kỳ nào. Mục tiêu là lừa họ click vào những link độc hại.
• Exploit Kid: Các hacker thực hiện chiếm quyền sử dụng của một trang web. Thông qua đó hacker sẽ nhúng các code độc hai hay các quảng cáo nhằm chuyển hướng khách hàng truy cập tới Exploit kit server.
• Brute force: Những kẻ tấn công sử dụng phương thức Brute force để  tấn công vào các server, hệ thống. Hoặc họ sẽ tấn công vào mạng và Exploit. 

5. Ba cuộc tấn công Zero-day lớn nhất trong lịch sử 

Để hiểu hơn về sự nguy hiểm của lỗ hổng Zero - day, bạn hãy điểm qua một số cuộc tấn công Zero -day  tiêu biểu nhất tính đến thời điểm hiện nay. Trong đó có thể kể tới 3 cuộc tấn công Zero - day lớn nhất  trong lịch sử là:

• Stuxnet

Đây là worm độc hại nhắm vào hệ thống máy tính được sử dụng cho mục đích sản xuất. Cụ thể Iran Ấn Độ và Indonesia là các  khu vực chịu ảnh hưởng lớn của đợt tấn công này. Mục đích của Stuxnet đó chính là làm gián đoạn chương trình hạt nhân của Iran thông qua việc  lây nhiễm đến các nhà máy uranium. Loại worn này lây nhiễm các lỗ hổng Zero - day ở hệ thống bộ PLC chạy trong máy tính thông nghiệp qua lỗ hổng bảo mật của phần mềm Siemens.

• RSA

Cuộc tấn công này được diễn ra bằng việc lợi dụng một lỗ hổng chưa được vá  ở Adobe Flash Player. Các hacker đã giành được quyền truy cập vào mạng của RSA. Quá trình thực hiện bằng cách sử dụng phương pháp spam và Phishing gửi email cùng file đính kèm tạo thành một bảng tính Microsoft Excel tới một số nhân viên của RSA. Thông qua đó có thể khai thác các lỗ hổng Zero - day ở trong Adobe Flash Player. 

• Aurona

Đây là chiến dịch nhằm tấn công vào các lỗ hổng Zero - day ở trong Internet Explorer và Perforce. Vào khoảng thời gian này Google đã từng sử dụng Perforce để quản lý Source code của mình. Chiến dịch này cũng đã tấn công tới các tài sản trí tuệ của nhiều doanh nghiệp lớn điển hình như: Adobe, Yahoo, Dow Chemicals.

Như vậy CVE là gì? Zero - day là gì? Sự ảnh hưởng của lỗ hổng bảo mật ra sao? Chi tiết đã FPT Cloud được làm sáng tỏ ở trên. Mong rằng dựa vào những giải đáp ấy bạn sẽ note được nhiều thông tin hữu ích vào sổ tay để có cái nhìn cụ thể hơn.

Liên hệ với chúng tôi để biết thêm thông tin chi tiết về dịch vụ của FPT Smart Cloud

• Website: https://fptcloud.com/
• Fanpage: https://www.facebook.com/fptsmartcloud
• Email: [email protected]
• Hotline: 1900 638 399