Phát hiện lỗi và lỗ hổng phần mềm năm 2024
Khi một lỗ hổng bảo mật mới được công bố, các tổ chức, doanh nghiệp thường gặp khó khăn trong việc phát hiện và khắc phục chúng. Theo thống kê, năm 2018 và 2019 lần lượt phát hiện 16556 và 12174 lỗ hổng CVE mới. Trung bình một ngày có khoảng 33 lỗ hổng được công bố. Ngoài ra, còn rất nhiều lỗ hổng zero day chưa được phát hiện. Show Trong thời gian vừa qua, Cục An toàn thông tin cũng nhiều lần cảnh báo về các lỗ hổng bảo mật nguy hiểm. Cụ thể như lỗ hổng trong Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), trong Domain Controller (ZeroLogon), trong Microsoft Sharepoint (CVE-2019-0604). Các lỗ hổng bảo mật nói trên đều đặc biệt nguy hiểm bởi chúng đều tồn tại trong máy chủ. Mặc dù Microsoft đã đưa ra bản vá nhưng nhiều khách hàng vẫn chưa cập nhật. Theo các chuyên gia, nguyên nhân của sự chậm trễ này đến từ sự phức tạp của hệ thống mạng và tâm lý lo lắng của người dùng. Vậy, trong trường hợp được cảnh báo lỗ hổng mới, các doanh nghiệp cần làm gì để phát hiện và xử lý? Có 2 cách để biết lỗ hổng có tồn tại trên hệ thống hay không:
1.1. Phát hiện lỗ hổng qua phương pháp Remote CheckRemote Check là phương pháp phát hiện lỗ hổng từ xa qua các giao thức mạng. Thông thường, các doanh nghiệp sẽ sử dụng công cụ để rà quét lỗ hổng. Có thể kể tên một số công cụ mất phí như Nessus, Nexpose, Acunetix, Securitybox 4Network, Securitybox 4Website, Netsparker… Một số công cụ miễn phí thường được sử dụng như Nmap, Openvas, Nikto… Do bản chất của Remote Check là phát hiện lỗ hổng từ xa nên phương pháp này có những ưu, nhược điểm như sau:
Nguyên nhân của “false positives” hay “dương tính giả” là gì?Tỷ lệ false positives phụ thuộc vào lỗ hổng và cách phát hiện lỗ hổng của plugin. Tỷ lệ này được gọi là “Quality of Detection (QoD)” hay “Chất lượng phát hiện”. Chất lượng được xác định từ 0-100%, mô tả độ tin cậy của phát hiện lỗ hổng.
Có thể thấy, một plugin phát hiện qua banner thường có tỷ lệ dương tính giả (false positives) khá cao. Ngoài ra, có một nguyên nhận nữa là version trên banner có thể sai khác với version thực tế của giao thức, ứng dụng sau nhất là sau khi cập nhật, nâng cấp. 1.2. Phát hiện lỗ hổng qua phương pháp Local CheckLocal Check là phương pháp phát hiện lỗ hổng bằng cách trực tiếp check lỗ hổng trên thiết bị và mã nguồn ứng dụng. Thông qua kiểm tra, đọc thư viện (binary) như file exe, dll.., doanh nghiệp sẽ phát hiện ra phiên bản có chứa lỗ hổng. Thông thường, doanh nghiệp sẽ thực hiện thủ công hoặc sử dụng công cụ hỗ trợ. Do bản chất của Local Check là phát hiện lỗ hổng trực tiếp nên phương pháp này có những ưu, nhược điểm như sau:
1.2.1. Kiểm tra thủ côngSau khi một lỗ hổng mới được công bố hoặc được một đơn vị chuyên trách cảnh báo, việc đầu tiên doanh nghiệp cần làm là xác định xem đơn vị mình có dùng hệ thống, phần mềm đó không. Nếu có sử dụng, doanh nghiệp cần làm theo các bước dưới đây: Bước 1: Xác định thông tin lỗ hổng, nhà sản xuất, bản váBạn có thể google search tên lỗ hổng, cách khắc phục, cách phát hiện và làm theo hướng dẫn. Nếu hướng dẫn không có sẵn, bạn cần truy cập vào website nhà sản xuất có thông tin lỗ hổng đó và tìm kiếm các thông tin sau:
Link tham chiếu:
Bước 2: Kiểm tra phiên bản của hệ điều hành, ứng dụngViệc kiểm tra thực hiện bằng cách check version của thiết bị, ứng dụng, hệ điều hành. Đối với hệ điều hành Linux kiểm tra, tìm trong các thư mục bin hoặc đường dẫn mặc định khi cài. Nếu gói cài qua repository thì có thể tìm thông tin phiên bản qua rpm, apt,… Phiên bản hệ điều hành thì đọc file /etc/os-release. Phiên bản HĐH UbuntuĐối với hệ điều hành Windows, kiểm tra phiên bản hệ điều hành bằng cách kiểm tra lịch sử cập nhật. Với ứng dụng kiểm tra trong registry hoặc thư mục cài đặt Kiểm tra bằng registry được thực hiện như sau:
Ngoài ra, doanh nghiệp có thể kiểm tra trong thư mục cài đặt: C:\Program Files (x86), C:\Program Files Thư mục cài đặtKiểm tra phiên bản phần mềm bằng file cài đặtKiểm tra phiên bản hệ điều hành bằng windows updateBước 3. Xác nhận lỗ hổng có tồn tạiNếu phiên bản hiện tại nhỏ hơn phiên bản vá lỗi thì doanh nghiệp có thể xác nhận sự tồn tại của lỗ hổng. Khi thấy thời gian cập nhật lần cuối nhỏ hơn thời gian phát hành phiên bản vá lỗi thì cũng đồng nghĩa với việc lỗ hổng đó có tồn tại. 1.2.2. Kiểm tra Local Check bằng phần mềm, công cụ hỗ trợCó nhiều phần mềm hỗ trợ kiểm tra lỗ hổng của máy tính, hệ điều hành, ví dụ như:
Với ưu điểm nhanh, độ chính xác cao, đây là sự lựa chọn tối ưu cho doanh nghiệp. 2. Cách vá, khắc phục lỗ hổng bảo mậtViệc khắc phục lỗ hổng luôn là vấn đề đối với mọi doanh nghiệp. Sau nhiều năm làm trong ngành an toàn thông tin, Securitybox đã đúc kết được một số nguyên tắc sau:
Để cập nhật phần mềm, doanh nghiệp cần vào website của nhà sản xuất và theo dõi bản cập nhật. Việc cập nhật được thực hiện bằng cách update tự động hoặc tải cài đặt thủ công bản vá. Đối với trường hợp nhà sản xuất không hỗ trợ bản vá lỗ hổng hoặc việc cập nhật ảnh hưởng đến hoạt động, doanh nghiệp có thể làm theo một số cách sau:
Doanh nghiệp cũng cần có kế hoạch ghi lại lịch sử khắc phục khi khắc phục lỗ hổng. Việc lập kế hoạch cũng cần đảm bảo những yếu tố sau:
Với kinh nghiệm của mình, Securitybox đã phát triển quy trình khắc phục tối ưu trên thiết bị Securitybox 4Network và Securitybox 4Website. Quy trình khắc phục lỗ hổng trên thiết bị Securitybox 4Network3. Kiểm tra, xác nhận lỗ hổng đã được khắc phục hay chưaSau khi đã khắc phục lỗ hổng trên, doanh nghiệp cần kiểm tra lại xem hệ thống đã khắc phục hay chưa. Doanh nghiệp có thể kiểm tra giống như cách phát hiện lỗ hổng hoặc sử dụng chức năng quét lại trên Securitybox 4Network và Securitybox 4Website. Chức năng quét lại trong tác vụ khắc phụcNếu quét lại hoặc lần quét Remote Check tiếp theo vẫn tồn tại lỗ hổng, doanh nghiệp cần kiểm tra bằng Local Check. Việc quét lại mà vẫn tồn tại lỗ hổng và Local Check không còn tồn tại, doanh nghiệp có thể xác nhận lỗ hổng đấy là false positives. Nguyên nhân có thể là do sau khi cập nhật thành công nhưng việc thay đổi banner trên ứng dụng chưa thay đổi hoặc chưa chạy lại ứng dụng. Việc này không quá đáng ngại, doanh nghiệp có thể dùng chức năng bỏ qua lỗ hổng trên thiết bị đó ở lần quét tiếp theo. Bạn có thể chọn phạm vi bỏ qua nếu cần thiết. Bỏ qua lỗ hổng nếu được xác định là false positivesSecurityBox là thiết bị rà quét và phát hiện lỗ hổng bảo mật đang tồn tại trên hệ thống. Sau khi gửi cảnh báo dấu hiệu bất thường đến quản trị viên, SecurityBox sẽ đề xuất cách khắc phục phù hợp để đảm bảo an ninh hệ thống. Nếu muốn hiểu thêm về thiết bị SecurityBox; doanh nghiệp hãy để lại thông tin tại form bên dưới để nhận tư vấn miễn phí. |