Thách thức bảo mật khi triển khai ứng dụng di động của DN bảo hiểm nhân thọ

Cuộc chạy đua số hóa trong thị trường bảo hiểm nhân thọ

Nhớ năm 2002, khi trò chuyện với CTO vùng của Manulife, anh này chia sẻ, chỉ trong một đêm anh đã bạc trắng tóc vì lo lắng. Anh nói, Manulife HongKong mới vừa đưa vào sử dụng phiên bản mới của hệ thống ứng dụng Agency Portal và Customer Portal.

Hệ thống này cho phép đại lý và khách hàng có thêm nhiều tính năng giao dịch trực truyến với công ty. Điều này đồng nghĩa với việc hệ thống bảo mật của công ty cũng phải đảm bảo để thông tin, dữ liệu của công ty và khách hàng không bị tấn công hoặc bị rò rỉ ra ngoài.

Mặc dù anh CTO này chuẩn bị rất kỹ trước khi đưa các ứng dụng này vào thực tế, tuy nhiên vẫn có khả năng vẫn còn lỗ hổng bảo mật mà hacker có thể lợi dụng để tấn công. Do đó vấn đề bảo mật cho các ứng dụng chạy trên internet rất quan trọng cho bất kỳ doanh nghiệp nào nói chung và cho doanh nghiệp bảo hiểm nhân thọ nói riêng.

Trong cuộc chạy đua số hóa, các doanh nghiệp bảo hiểm nhân thọ ở Việt Nam đang đẩy mạnh các ứng dụng web và di động để nâng cao dịch vụ hỗ trợ bán hàng và dịch vụ khách hàng. Do mong muốn đưa các ứng dụng này vào thực tế kinh doanh càng nhanh càng tốt nên việc chuẩn bị đầy đủ các quy trình kiểm soát bảo mật thường xảy ra thiếu sót.

Thứ nhất, đa số các doanh nghiệp bảo hiểm nhân thọ hoạt động trên 6 năm nên thiết bị bảo mật đã cũ, không còn phù hợp với tình hình an ninh mạng hiện tại. Chẳng hạn như thiết bị tường lửa truyền thống vẫn còn được sử dụng trong khi nó không thể đảm bảo an toàn cho hệ thống của công ty bạn như các thiết bị tường lửa thế hệ mới (NGFW).

Thứ hai, việc trang bị thiết bị tường lửa cho ứng dụng web (WAF) chưa được chú trọng. Hoặc đôi khi quá tự tin vào hệ thống tường lửa thế hệ mới (NGFW) vừa được trang bị nên không chú ý rằng NGFW không đủ chức năng để bảo vệ các ứng dụng trên Internet. Hơn nữa, việc đầu tư các thiết bị tường lửa cũng khá đắt nên không phải công ty nào cũng sẵn sàng đầu tư các thiết bị này.

Thứ ba, các ứng dụng web/di động được đưa vào sử dụng quá nhanh chóng nên chưa được đầu tư kiểm tra PENTEST đầy đủ, thường là không được kiểm tra PENTEST. Nếu có thì chỉ là tự dùng một số công cụ/phần mềm để kiểm tra lỗ hổng bảo mật, chưa thuê công ty bảo mật chuyên nghiệp để thực hiện PENTEST, có thể vì chi phí cho PENTEST khá cao hoặc đội ngũ bảo mật của công ty không chú trọng hoặc không biết rõ về yêu cầu PENTEST.

Thứ tư, đội ngũ CNTT thường thiếu người chuyên trách về bảo mật, thường là nhân viên quản trị mạng hoặc quản trị hệ thống kiêm nhiệm công việc này do thiếu ngân sách cho nhân lực. Do đó, việc có nhân viên chuyên trách về bảo mật cho ứng dụng web/di động là điều khá xa xỉ.

Hơn nữa, đội ngũ lập trình ít được đào tạo về bảo mật trong lập trình nên ít khi họ chú ý đến vấn đề bảo mật trong quá trình lập trình, họ chỉ quan tâm đến việc làm thế nào để công việc hoàn thành đúng tiến độ và chạy đúng theo yêu cầu của người sử dụng. Ngoài ra, đội ngũ chuyên trách về kiến trúc và thiết kế hệ thống cũng thiếu, thường thì cũng kiêm nhiệm.

Thứ năm, người sử dụng cuối không được đào tạo bài bản hoặc không được cảnh báo về nguy cơ bảo mật, rất dễ mắc sai lầm khi giao dịch trên Internet nên họ chính là lỗ hổng bảo mật lớn nhất đối với vấn đề an ninh mạng của công ty.

Thứ sáu, chính sách hoặc quy trình bảo mật chưa được xây dựng đầy đủ nên không ngăn chặn được các nguy cơ về an ninh mạng, nhân viên thực thi sai quy trình bảo mật hoặc đội ngũ giám sát bảo mật không đủ mạnh để kiểm soát các vấn đề an ninh mạng.

Do đó để giải mã được các khó khăn và thách thức trên, chúng ta cần kiểm tra và thực hiện các bước sau trước khi đưa ứng dụng web/di động vào hoạt động chính thức:

Trình bày rõ cho ban giám đốc về các nguy cơ an ninh mạng của công ty, tình trạng hiện tại của hệ thống và giải pháp khắc phục, ngăn ngừa các nguy cơ đó nhằm lên kế hoạch và xin ngân sách đầu tư cho an ninh và bảo mật cho toàn hệ thống của công ty.

Nên thay các thiết bị tường lửa truyền thống bằng thiết bị tường lửa thế hệ mới (NGFW) có hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) vì thiết bị tường lửa truyền thống chỉ có thể đóng cổng không cần thiết, áp dụng quy tắc định tuyến cho các gói tin và chống lại những tấn công từ chối dịch vụ, nhưng không thể phát hiện những gì bên trong gói tin để phát hiện phần mềm độc hại, xác định các hoạt động của hacker hoặc giúp quản lý người dùng cuối đang làm những gì trên Internet.

Về cơ bản, một khi một cổng được mở (như cổng 80 cho lưu thông Internet) thì bất cứ gói tin nào cũng có thể đi qua thông qua sự ngụy trang như lưu thông hợp pháp. Thiết bị tường lửa truyền thống chỉ cung cấp sự bảo vệ chủ yếu tại lớp 3 (tầng mạng) và lớp 4 (tầng vận chuyển) của mô hình OSI.

Trong khi đó thiết bị tường lửa thế hệ mới còn có thể dựa trên việc xác thực người dùng (User-ID), xác thực dựa trên ứng dụng (App-ID) và xác thực thông qua nội dung (Content-ID) giúp cho người quản trị dễ dàng nhận dạng các ứng dụng, nội dung bên trong luồng dữ liệu cùng với các mức độ nguy hiểm, từ đó có thể ngăn chặn kịp thời, có khả năng xác định rõ các mối nguy cơ đe dọa xuất phát từ người sử dụng nào.

Để đảm bảo an toàn, cần có ít nhất hai lớp tường lửa với hai thương hiệu khác nhau (ví dụ 1 lớp tường lửa Palo Alto và lớp tường lửa khác là Checkpoint) nhằm gây khó khăn cho hacker nếu 1 lớp tường lửa bị tấn công.

Tuy nhiên, 2 lớp tường lửa thế hệ mới này chưa đủ bởi các tường lửa mạng và các hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) không cung cấp đầy đủ bảo vệ cho các ứng dụng web/di động trên Internet, các ứng dụng kinh doanh nội bộ quan trọng và các dịch vụ Web.

Bức tường lửa ứng dụng web (WAF) là một thiết bị an ninh có nhiệm vụ chính là bảo vệ các web portal và ứng dụng web bằng cách kiểm tra ngữ nghĩa XML/ SOAP/REST dựa trên ứng dụng của các luồng lưu thông trên mạng và cũng kiểm tra HTTP/HTTPS cho các cuộc tấn công điển hình ở lớp 7 (tầng ứng dụng) bao gồm OWASP 10 lỗ hổng hàng đầu - chẳng hạn như SQL Injections, Buffer Overflow, Cross-Site Scripting (XSS), File Inclusion, Cookie Poisoning, Schema Poisoning, Defacements, v.v...

WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác không làm được. Xem sự khác nhau WAF, IPS/IDS và NGFW đối với bảo mật ứng dụng web/di động ở hình 1 bên dưới

Chúng ta đã có 2 lớp tường lửa thế hệ mới và WAF, nhưng vẫn chưa đủ. Cần phải kiểm tra lỗ hổng an ninh của toàn bộ hệ thống mạng, máy chủ, ứng dụng web/di động, và chính sách bảo mật, v.v.v….

Do đó, cần phải tiến hành PENTEST hộp đen (black-box: người kiểm tra biết rất ít hoặc không có thông tin gì về hệ thống mạng trước khi kiểm tra) hoặc hộp trắng (white-box: người kiểm tra được công bố thông tin đầy đủ về hệ thống mạng trước khi thử nghiệm thâm nhập, bao gồm địa chỉ IP, mã nguồn, các giao thức mạng và sơ đồ mạng) hoặc hộp xám (gray-box: người kiểm tra sẽ được cung cấp chi tiết từng phần về cơ sở hạ tầng mạng).

PENTEST hộp đen sẽ kích thích các kết quả chính xác hơn, vì người kiểm tra không có thông tin về mạng của bạn nên sẽ cung cấp cho bạn những dấu hiệu thực tế nhất của các mối đe dọa tiềm năng vào mạng của bạn. Tuy nhiên, PENTEST hộp đen không thể quét mạng toàn bộ mạng của bạn để tìm triệt để các lỗ hổng an ninh như là hộp trắng. Do đó, nếu là tôi, tôi sẽ chọn PENTEST hộp trắng cho doanh nghiệp của mình.

Chúng ta nên thuê công ty bên ngoài để thực hiện PENTEST ít nhất 1 lần/năm hoặc khi có thay đổi lớn trong cơ sở hạ tầng bởi vì các công ty bên ngoài có thể thực hiện một số kiểm tra đòi hỏi kiến ​​thức sâu rộng trên nền tảng mà đội ngũ CNTT của bạn có thể không biết rõ, hoặc những kiểm tra mà đội ngũ CNTT của bạn không có khả năng thực hiện vì số lý do khác.

Trước tiên, thuê công ty bên ngoài sẽ tránh được việc bỏ lỡ các lỗ hổng bảo mật tiềm tàng do bạn quá quen và quá biết rõ chi tiết về hệ thống mạng hoặc ứng dụng của mình nên chủ quan. Thứ hai, thuê công ty bên ngoài giúp bạn có thể nhận được một góc độ khác nhau từ một loạt PENTEST, họ sẽ cung cấp cho bạn các kỹ năng và phương pháp tiếp cận riêng của họ vào việc PENTEST cho bạn, giúp bạn đánh giá lại các chính sách bảo mật.

Nói chung, với nhiều cách nhìn nhận và kiểm tra khác nhau trên hệ thống của bạn, bạn có thể tìm thấy nhiều vấn đề bảo mật tiềm tàng hơn, thay vì chỉ có nhìn nhận duy nhất từ đội ngũ của bạn. Hơn nữa, bạn không nên luôn mong chờ vào PENTEST từ công ty bên ngoài, mà nên tự kiểm tra hệ thống của mình ít nhất 1 tháng 1 lần để phát hiện ngay các lỗ hổng bảo mật để có giải pháp khắc phục tức thì.

Các công cụ kiểm tra sau có thể giúp đội ngũ CNTT phân tích tổng hợp và báo cáo về lỗ hổng bảo mật như INSIGHT Core từ Core Security và Metasploit Pro từ Rapid 7, UltimateLAMP, LAMPSecurity, Damn Vulnerable Web Application (DVWA), OWASP WebGoat, và Mutillidae từ Adrian Crenshaw. Để kiểm tra các ứng dụng di động, có thể sử dụng OWASP iGoat, GoatDroid và ExploitMe Mobile Labs cho iPhone và Android.

Đào tạo an ninh mạng và hệ thống là việc không thể thiếu cho đội ngũ CNTT của bạn, bao gồm đào tạo nội bộ và thậm chí là đào tạo ở nước ngoài. Việc đào tạo này sẽ giúp doanh nghiệp tránh được phần nào những lỗ hổng của các hệ điều hành; lỗi trong kiến trúc, cấu hình và thiết kế mạng; lỗi trong cấu hình, thiết kế và lập trình ứng dụng; hoặc rủi ro từ hành vi của người dùng cuối, từ chính sách bảo mật không đủ hoặc không tốt.

Hơn nữa, việc đào tạo những kiến thức căn bản về bảo mật cho toàn bộ người sử dụng cũng là vấn đề cấp thiết vì họ là những người thực hiện giao dịch chính trên Internet. Có kiến thức căn bản này sẽ giúp họ tránh được những rủi ro có thể xảy ra khi sử dụng ứng dụng trên Internet.

Việc đánh giá rủi ro hệ thống CNTT và chính sách bảo mật phải được tiến hành bởi CSO ít nhất 6 tháng 1 lần, và phải được báo cáo cụ thể cho ban giám đốc của công ty hoặc bộ phận Quản lý rủi ro của vùng. Sau đó phải có kế hoạch giảm thiểu nhưng rủi ro đó.

Ngày nay, các ứng dụng web và di động ngày càng phổ biến nên xu hướng tấn công vào các ứng dụng này ngày càng nhiều. Các kỹ thuật tấn công được sử dụng chủ yếu là SQL Injections, Buffer Overflow, Cross-Site Scripting (XSS). Các lỗ hổng trong ứng dụng web và di động chủ yếu xảy ra do người lập trình không kiểm tra kỹ các tham số hay ký tự do người dùng nhập vào để tương tác với ứng dụng web.

Việc viết đoạn mã sao cho “bảo mật” nhất thường khó thực hiện, bởi các lẽ sau: Thứ nhất, các nhóm trình thường không có hoặc thiếu đội ngũ chuyên trách về việc kiểm tra và sửa lỗi bảo mật mã nguồn ứng dụng. Thứ hai, đôi khi áp lực phải hoàn thành ứng dụng web hoặc di dộng trong thời gian ngắn khiến cho các ứng dụng web/di động được đưa vào vận hành mà không qua các khâu kiểm thử. Thứ ba, việc dùng các phầm mềm miễn phí kiểm tra lỗi ứng dụng web/di động cũng không tìm ra hết các lỗi.

Do vậy, việc bảo mật một ứng dụng web và di động đó là một quá trình phòng thủ theo chiều sâu bao gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và có một đội ngũ chuyên trách vấn đề bảo mật riêng cho web và di động. Và điều quan trọng cuối cùng là phải thực hiện PENTEST cả trước và sau khi đưa ứng dụng web và di động vào sử dụng.