Lỗ hổng Zero-day (hay 0-day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các Hacker có thể tận dụng lỗ hổng này để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức để đánh cắp hoặc thay đổi dữ liệu. Một cuộc tấn công khai thác lỗ hổng zero-day gọi là zero-day exploit hoặc zero-day attack.
Tìm hiểu về Lỗ hổng Zero-day
Zero-day là gì?
Lỗ hổng zero-day (0-day vulnerability) bản chất là những lỗ hổng bảo mật của phần mềm hoặc phần cứng chưa được phát hiện. Chúng tồn tại trong nhiều môi trường như: website, ứng dụng mobile, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết bị IoT, cloud, v.v…
Sự khác nhau giữa một lỗ hổng bảo mật thông thường và một lỗ hổng zero-day nằm ở chỗ: Lỗ hổng Zero-day là những lỗ hổng chưa được biết tới bởi đối tượng sở hữu hoặc cung cấp sản phẩm chứa lỗ hổng.
Trong thuật ngữ bảo mật máy tính, ngày mà bên cung cấp sản phẩm chứa lỗ hổng biết tới sự tồn tại của lỗ hổng đó, gọi là “ngày 0”. Đó là lý do thuật ngữ lỗ hổng Zero-day (0-day) ra đời.
Thông thường ngay sau khi phát hiện ra lỗ hổng 0-day, bên cung cấp sản phẩm sẽ tung ra bản vá bảo mật cho lỗ hổng này để người dùng được bảo mật tốt hơn. Tuy nhiên trên thực tế, người dùng ít khi cập nhật phiên bản mới của phần mềm ngay lập tức. Điều đó khiến cho Zero-day được biết đến là những lỗ hổng rất nguy hiểm, có thể gây thiệt hại nghiêm trọng cho doanh nghiệp và người dùng.
Một khi được công bố rộng rãi ra công chúng, lỗ hổng 0-day trở thành lỗ hổng n-day.
Thị trường Zero-day hoạt động như thế nào?
Lỗ hổng Zero-day được coi như 1 thứ hàng hóa cực kỳ giá trị không chỉ đối với giới tin tặc, các công ty phát triển phần mềm mà còn đối với các cơ quan tình báo cấp quốc gia. Có ba phân mảng chính trong thị trường phát hiện và cung cấp Zero-day.
Đầu tiên là chợ đen (black market), nơi giới hacker mũ đen mua bán hoặc trao đổi thông tin về lỗ hổng và mã khai thác Zero-day nhằm thực hiện các cuộc xâm nhập hệ thống máy tính, đánh cắp thông tin quan trọng của người dùng như mật khẩu, số thẻ tín dụng.
Kế tiếp là thị trường ‘white market’, bao gồm các chương trình săn lỗ hổng lấy thưởng (bug bounty). Các tập đoàn công nghệ lớn như Facebook, Google, Microsoft đều tổ chức các chương trình bug bounty này. Các lỗ hổng phần mềm sau khi được phát hiện sẽ được thông báo tực tiếp tới các công ty sản xuất phần mềm, hoặc các công ty thứ ba chuyên tổ chức chương trình Bug Bounty như Hackerone, Bugcrowd, hay WhiteHub tại Việt Nam. Sau khi được thông báo và kiểm duyệt thành công, các lỗ hổng này có thể được trả giá từ vài trăm cho tới hàng chục ngàn đô.
Cuối cùng là thị trường gray market, nơi các nhà nghiên cứu bảo mật bán các đoạn mã khai thác Zero-days cho quân đội hoặc các cơ quan tình báo để phục vụ hoạt động an ninh quốc gia, hay các chương trình do thám. Các tổ chức này sẵn sàng bỏ ra cả trăm ngàn đô để có trong tay lỗ hổng ảnh hưởng tới các nền tảng phổ biến, như hệ điều hành Windows hay iOS.
Tại sao lỗ hổng Zero-day lại nguy hiểm?
Vì chưa được biết đến bởi cộng đồng và nhà phát triển, nên không có một bản vá bảo mật hay phần mềm bảo mật nào chống lại được lỗ hổng zero-day.
Điều đó cũng dẫn tới tỉ lệ khai thác thành công lỗ hổng 0-day cao hơn hẳn so với các lỗ hổng n-day thông thường. Một khi cuộc tấn công 0-day diễn ra, nó có nguy cơ ảnh hưởng tới hàng chục ngàn tới hàng triệu người dùng, tùy thuộc vào mức độ phổ biến của sản phẩm chứa lỗ hổng.
Nguy hiểm là vậy, Zero-day không phải là mối lo ngại chính đối với phần lớn người sử dụng, mà nó là mối đe dọa đối với nhà cung cấp phần mềm/dịch vụ. Theo thống kê của Verizon Enterprise Solution, hơn 95% các lỗi bảo mật bị khai thác đều dựa trên các công bố phát hành trước đó ít nhất 1 năm. Các lỗ hổng này được công khai và gán với một số ID nhất định theo một hệ thống quy chuẩn chung trên toàn thế giới, đó là CVE.
CVE là gì?
CVE (Common Vulnerabilities and Exposures) là 1 chương trình được khởi xướng vào năm 1999 bởi MITRE. Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa qui trình xác thực các lỗ hổng đã được biết. Những lỗ hổng này có thể dẫn đến các vụ tấn công an ninh mạng dưới các hình thức như chiếm quyền điều khiển hệ thống mục tiêu, đọc các dữ liệu quan trọng của người dùng như địa chỉ, số điện thoại, mã thẻ ngân hàng.
Như vậy, có thể coi CVE như 1 cơ sở dữ liệu về các lỗ hổng bảo mật, tạo thuận lợi cho việc đối chiếu thông tin giữa các công cụ và dịch vụ bảo mật khác nhau. Danh sách CVE chứa số ID, thông báo trạng thái, mô tả ngắn gọn và tài liệu tham khảo liên quan đến lỗ hổng bảo mật. Bằng việc tham chiếu CVE ID của 1 lỗ hổng nhất định, các tổ chức có thể thu thập thông tin nhanh gọn và chính xác từ nhiều nguồn tin khác nhau.
Các biện pháp chống lại lỗ hổng Zero-day
Lỗ hổng phần mềm, dù là Zero-day hay đã được công bố, luôn tạo ra những rủi ro bảo mật nghiêm trọng cho người dùng. Bất kể bạn là người dùng máy tính thông thường hay là quản trị viên cho một hệ thống phần mềm, bạn nên chủ động thực hiện các biện pháp bảo mật website, bảo mật Mobile, bảo mật mạng nội bộ, bảo mật IoT, bảo mật sản phẩm SaaS và những thành phần khác.
Cập nhật phần mềm và hệ điều hành
Đầu tiên, bạn nên tiến hành cài đặt các bản cập nhật phần mềm từ nhà sản xuất. Điều này giúp giảm thiểu nguy cơ lây nhiễm phần mềm độc hại và rủi ro bị tin tặc khai thác lỗ hổng. Các bản cập nhật phần mềm thường bao gồm các bản vá lỗ hổng bảo mật quan trọng nhất mới được phát hiện gần đây từ nhà sản xuất.
Ngoài ra, cần liên tục cập nhật hệ điều hành máy trạm và máy chủ (windows, macOS, linux,…) để tránh những rủi ro tấn công zero-day và n-day có thể xảy ra. Điều này đồng nghĩa với việc không sử dụng phần mềm và hệ điều hành không có bản quyền, bởi sẽ rất khó khăn trong quá trình cập nhật.
Triển khai giám sát bảo mật theo thời gian thực
Với công nghệ học máy (machine-learning), các giải pháp giám sát thông minh có thể phát hiện và cảnh báo những hoạt động đáng ngờ hoặc các mối đe dọa (threats) theo thời gian thực. Từ đó bảo vệ máy chủ, máy trạm, và hệ thống của bạn khỏi các mối đe dọa từ zero-day attack.
Triển khai hệ thống IDS và IPS
Hệ thống phát hiện xâm nhập (IDS) và Hệ thống ngăn chặn xâm nhập (IPS) có thể bảo vệ hệ thống của bạn chống lại những kẻ xâm nhập đã biết và chưa biết. Chúng có thể không phát hiện ra các mối đe dọa mọi lúc, nhưng chúng sẽ cảnh báo về các hoạt động đáng ngờ của tin tặc.
Sử dụng phần mềm quét lỗ hổng bảo mật
Lớp phòng thủ thứ hai bạn nên có là các phần mềm bảo mật chuyên dụng. Việc có một ứng dụng bảo mật tự động giúp giảm thiểu chi phí đáng kể so với các dịch vụ tư vấn từ chuyên gia. Quan trọng hơn, các ứng dụng này giúp bạn sớm phát hiện lỗ hổng bảo mật trên website và đưa ra những khuyến cáo phù hợp để giải quyết chúng kịp thời.
Triển khai bộ công cụ kiểm soát truy cập mạng
Kiểm soát truy cập mạng (NAC) là một phương pháp để triển khai các chính sách bảo mật hoặc ngăn chặn trên network. Nó giúp bảo vệ các hệ thống quan trọng nhất của bạn tách biệt khỏi các hệ thống khác. Vì vậy, NAC có thể cấm các hệ thống bị tấn công truy cập vào các hệ thống quan trọng để phòng tránh rủi ro bị tấn công zero-day cho toàn hệ thống.
Giải pháp chống lại Zero-day cho doanh nghiệp
Với các doanh nghiệp kinh doanh dựa trên nền tảng Website, ứng dụng desktop, mobile hay SaaS, việc ứng dụng tồn tại lỗ hổng Zero-day để tin tặc khai thác là một điểm yếu chí mạng. Những công cụ quét lỗ hổng tự động không còn đáp ứng được nhu cầu, do hacker luôn sáng tạo và phát hiện ra những lỗ hổng mới nhanh hơn tốc độ cập nhật của phần mềm bảo mật. Khi đó, một chương trình Bug Bounty sẽ giải quyết vấn đề.
Bug Bounty giúp doanh nghiệp kết nối với cộng đồng hàng trăm chuyên gia/pentester/hacker mũ trắng để kiểm thử bảo mật cho sản phẩm. Khi đó, các chuyên gia sẽ tìm lỗ hổng bảo mật zero-day trong sản phẩm công nghệ của doanh nghiệp.
Các doanh nghiệp sẽ trả tiền thưởng (gọi là bounty) cho bất kỳ chuyên gia nào tìm ra những lỗ hổng 0-day nguy hiểm, có thể ảnh hưởng tới doanh nghiệp hoặc người dùng.
Hiện nay tại Việt Nam, WhiteHub là một đơn vị tin cậy để tổ chức một chương trình Bug Bounty với những ưu điểm sau:
- Cộng đồng lớn mạnh với hơn 500+ chuyên gia bảo mật, pen-tester và hacker mũ trắng có chuyên môn và tay nghề cao, giúp phát hiện lỗ hổng zero-day nhanh và hiệu quả.
- Hỗ trợ kiểm thử website, mobile app, SAAS, API, IoT,… tùy theo nhu cầu của doanh nghiệp.
- Doanh nghiệp chỉ trả tiền khi có lỗ hổng zero-day được tìm thấy. Giúp tiết kiệm chi phí và tối ưu hiệu quả đầu tư bảo mật.
Quý doanh nghiệp có nhu cầu tìm hiểu chương trình Bug Bounty vui lòng để lại thông tin ở link đăng ký tư vấn, đội ngũ chuyên gia WhiteHub sẽ liên hệ và tư vấn giải pháp tốt nhất, phù hợp với doanh nghiệp của bạn.
