Những quan niệm bảo mật sai lầm thường gặp

Không ít người cho rằng an ninh mạng hiện nay như những cơn ác mộng. Khi các tổ chức phụ thuộc quá nhiều vào mạng điện toán và Internet trở thành phương tiện kết nối dữ liệu quan trọng, họ phải luôn chuẩn bị tinh thần để đối phó với những cuộc tấn công bất cứ lúc nào.

Ước muốn kinh doanh "thuận buồn xuôi gió" của nhiều công ty bị phá tan bởi hacker, sâu mạng, virus...Ngoài ra, một nguyên nhân khác, đơn giản nhưng không kém phần "khốc liệt", chính là lỗi do con người tạo nên. Có rất nhiều vấn đề trong thế giới số xảy ra mà người sử dụng không thể ngờ tới và một số trong đó nảy sinh từ những hiểu lầm dưới đây.

Những quan niệm bảo mật sai lầm thường gặp.

Bản vá luôn khắc phục được lỗ hổng bảo mật

Các tổ chức bảo mật có xu hướng ưu tiên vá những lỗ hổng mới xuất hiện trên hệ thống, trong khi tin tặc thường thảo luận về những lỗ hổng đã tồn tại trong hơn 6 tháng sau thời điểm bị phát hiện.

Thậm chí các lỗ hổng cũ đã phát hiện trong nhiều năm nhưng chưa được vá cũng thu hút rất nhiều sự chú ý của tin tặc và trở thành mục tiêu tấn công gây thiệt hại nặng nề trong nhiều tình huống.

Tình trạng bảo mật lỏng lẻo này sẽ được cải thiện khi mọi người chuyển sang một cấu trúc mới, như IPv6. Quá trình thay đổi toàn diện sang phiên bản TCP/IP mới sẽ được thúc đẩy do một làn sóng những cuộc tấn công từ chối dịch vụ khó tránh khỏi.

SSL luôn an toàn

SSL là từ viết tắt của cụm Secure Sockets Layer - nghĩa là tiêu chuẩn an ninh công nghệ mang tính toàn cầu nhằm tạo ra một sự liên kết giữa hai đối tượng là trình duyệt và máy chủ web.

SSL giữ nhiệm vụ chính đảm bảo chắc chắn rằng tất cả dữ liệu được trao đổi giữa trình duyệt và máy chủ web luôn luôn được bảo mật với độ an toàn cao nhất.

Hay nói một cách khác tất cả dữ liệu đó khi thông qua SSL đều được mang tính chất riêng tư, tách rời. SSL đạt chuẩn công nghệ, chính vì thế hàng triệu website trên toàn cầu đã sử dụng nó để bảo vệ quá trình giao dịch trực tuyến với khách hàng.

Thực tế, SSL là lớp bảo mật trung gian, sử dụng hai khóa để mã hóa dữ liệu, trong đó một khóa công khai với tất cả mọi người và khóa còn lại chỉ được cung cấp cho đối tượng nhận dữ liệu.

Tuy nhiên, khi có trục trặc, nó chỉ hiện cảnh báo đơn giản dưới dạng một cửa sổ pop-up. "Bắt cóc" SSL là khá dễ bởi mọi người quá tin tưởng vào sự an toàn của chứng chỉ số này. Một vấn đề khác là SSL vẫn hỗ trợ mã hóa 40 bit và các giao dịch SSL có thể thỏa hiệp để hạ xuống mức mã hóa chung thấp nhất.

Lỗ hổng giả thuyết không gây nguy hiểm

Các chuyên gia an ninh mạng thường nêu ra những lỗ hổng giả định và mô tả bằng các đoạn mã mang tính lý thuyết. Trong trường hợp này, mọi người cần chuẩn bị sẵn tinh thần đối phó. Nếu không, họ sẽ mất thời gian lâu gấp 6 lần để sửa lỗi bởi không biết bắt đầu từ đâu.

Các nhóm phát triển phần mềm bảo mật có xu hướng ưu tiên dựa trên dữ liệu có sẵn như thang điểm đánh giá mức độ nghiêm trọng của lỗ hổng (CVSS), mức độ dễ khắc phục và thời điểm lỗ hổng được tìm thấy để đưa đến quyết định có nên tung ra bản vá ngay lập tức cho lỗ hổng này hay không. Tuy nhiên, giới tin tặc lại không nhắm đến các mục tiêu dựa trên những thông số này.

Mạng không dây vốn đã không bảo mật

Mạng không dây luôn phải nhận lời cáo buộc không hay. Người ta quan niệm rằng Wi-Fi kém an toàn hơn mạng thông thường bởi ngay từ những ngày đầu, chuẩn WEP (Wired Equivalency Privacy) - giao thức bảo mật cho mạng LAN không dây - đã chứa nhiều lỗ hổng.

Song công nghệ bảo mật đã tiến xa so với WEP. Nhiều người bị ‘tẩy não’ để tin rằng không dây đồng nghĩa với không an toàn. Nếu được cấu hình đúng và bật WPA (truy cập Wi-Fi được bảo vệ), không dây thực ra còn đảm bảo hơn cả mạng dây nối.

Mặt khác, chuẩn bảo mật 802.11i hiện nay đã được phê duyệt và những tin đồn không hay về Wi-Fi sẽ sớm được dẹp sang một bên.

Theo ICT News