Gửi bình luận
Các chuyên gia của VSEC đã thống kê Top 5 lỗ hổng bảo mật phổ biến chia theo đối tượng đánh giá.
Công ty CP An ninh mạng Việt Nam (VSEC) đã công bố Báo cáo thường niên An toàn thông tin. Dựa trên số liệu được thống kê từ các dự án An toàn thông tin được thực hiện trong năm 2021 của VSEC, các chuyên gia đã thống kê Top 5 lỗ hổng bảo mật phổ biến chia theo đối tượng đánh giá.
5 lỗ hổng bảo mật phổ biến nhất đối với Website, bao gồm Improper Access Control; Exposure of Sensitive Information to an Unauthorized Actor
(Information Exposure); Improper Restriction of Excessive Authentication Attempts; Security misconfiguration; Week/default credential.
Các chuyên gia của VSEC nhận định, phần lớn các lỗ hổng phát hiện được trên ứng dụng web đều xuất phát từ việc lập trình. Hiện tại các framework sử dụng trong lập trình đã hỗ trợ phần lớn việc hạn chế các lỗ hổng thường gặp như SQLi, XSS… Tuy nhiên, đối với các lỗ hổng liên quan đến logic ứng dụng thì không đáp ứng được.
Các lỗ hổng này có thể dẫn tới việc lộ dữ liệu, hoặc thậm chí thay đổi dữ liệu trái phép trên các ứng dụng.
"Do đó, nhận thức về ATTT của lập trình viên và kỹ năng lập trình an toàn là vô cùng quan trọng. Việc đào tạo các lập trình viên có kiến thức về ATTT là biện pháp cần thiết để hạn chế các lỗ hổng này trong tương lai", VSEC nhấn mạnh.
Đối với mobile, 5 lỗ hổng phổ biến nhất được chuyên gia VSEC gọi tên, bao gồm Broken Object Level Authorization; Insufficient Session Expiration; Information Exposure; Improper Certificate Validation; Weak Password Requirements.
Các lỗ hổng trên ứng dụng mobile phần lớn liên quan đến việc phân quyền người dùng. Các lỗ hổng này có thể bị lợi dụng để đọc, sửa thông tin trái phép. Ngoài ra, việc bảo vệ dữ liệu người dùng trên thiết bị client vẫn chưa được chú trọng, dẫn tới việc các dữ liệu nhạy cảm có thể bị đánh cắp bằng cách khai thác lỗ hổng từ phía client.
Ngoài website và mobile, các kỹ sư của VSEC đặc biệt lưu tâm đến các lỗ hổng bảo mật phổ biến nhất đối với Thiết bị mạng và máy chủ. Cụ thể, 5 lỗ hổng này gồm, Week/default credential; Vulnerable and Outdated Components; Improper Restriction of Excessive Authentication Attempts; Security misconfiguration; Cleartext Transmission of Sensitive Information.
Các chuyên gia cho biết, các lỗ hổng tồn tại trên hạ tầng CNTT thường xuất phát từ việc cấu hình chưa tuân theo các tiêu chuẩn bảo mật. Ngoài ra, do đặc thù của từng hệ thống, việc cập nhật các bản vá thường xuyên rất khó thực hiện, do đó nhiều lỗ hổng bảo mật đã tồn tại từ lâu nhưng không được xử lý.
“Các lỗ hổng rất đa dạng, khi khai thác thành công có thể lấy được những thông tin nhạy cảm từ hệ thống, chiếm quyền tài khoản người dùng, thậm chí chiếm quyền điều khiển của thiết bị”, chuyên gia VSEC đánh giá.
Tại Việt Nam, trong bối cảnh dịch bệnh, nhiều hệ thống thông tin quan trọng của Việt Nam trở thành mục tiêu tấn công của tin tặc. Thống kê trong năm 2021, Bộ Công an ghi nhận 8 triệu cảnh báo tấn công mạng.
Qua kiểm tra, 26 cơ quan đơn vị địa phương phát hiện nhiều lỗ hổng bảo mật nghiêm trọng; hệ thống bị lây nhiễm vi rút và phần mềm gián điệp nguy hiểm gây nguy cơ mất an ninh, an toàn hệ thống thông tin mạng...
.jpg "ĐBSCL khát khô giữa mùa hạn - Bài 3: Nỗ lực giải cơn 'khát' cho từng nhà")
