IoT trở thành "điểm yếu chết người" trong hệ thống mạng doanh nghiệp

10:58, Thứ Tư, 26/10/2016 (GMT+7)

(XHTT) - Sau một số vụ việc tin tặc giành kiểm soát chiếc máy tính, khai thác lỗ hổng trong hệ điều hành của máy, tiến tới cài đặt phần mềm độc hại và bắt đầu điều khiển máy từ xa… các chuyên gia cho rằng các thiết bị IoT cũng dễ dàng bị tấn công như thế nếu không được trang bị giải pháp bảo mật mạnh.

Nhiều người vẫn cho rằng điện ảnh là hư cấu, nhưng mới đây những thước phim trong bộ phim Mr Robot đã phần nào trở thành hiện thực, trong phim hình ảnh các thiết bị IoT (Internet of things) trở thành vật dụng không chỉ phổ biến trong gia đình mà còn ở cả các cơ quan tổ chức, cung cấp các điểm truy cập mạng tới các dịch vụ quan trọng.

Với khoảng 6,4 tỷ thiết bị IoT hiện nay, các nhà nghiên cứu ước tính rằng có khoảng hơn 20 tỷ, thậm chí là cao hơn nữa thiết bị IoT sẽ được kết nối mạng vào năm 2020. Trong đó, doanh nghiệp sẽ là đối tượng chính ứng dụng các giải pháp IoT để cắt giảm chi phí hoạt động, tăng năng suất và mở rộng thị trường, phát triển các sản phẩm mới. Ngoài ra khu vực chính phủ cũng ứng dụng để cắt giảm chi phí hoạt động và người tiêu dùng sử dụng tăng năng suất lao động.

Đó là lý do tại sao nhiều chuyên gia bảo mật cho rằng đã đến lúc các vấn đề liên quan đến bảo mật IoT phải được thực hiện nghiêm túc trước khi quá muộn.

Với nhiều người thì lại cho rằng đã quá muộn để làm điều này và đưa ra các dẫn chứng về các vụ tấn công từ chối dịch vụ phân tán - DDoS gần đây nhắm vào các hệ thống của OVH, KrebsOnSecurity và Dyn. Nếu tin tặc triển khai mạng botnet trên các thiết bị IoT không được bảo vệ thì tổn thất sẽ vô cùng nặng nề.

Có thể những thông tin về tin tặc tấn công các thiết bị IoT còn quá mới mẻ với các phương tiện truyền thông, nhưng việc cướp quyền kiểm soát thiết bị IoT thông qua các cuộc tấn công DDoS chỉ là một trong nhiều cách mà tin tặc có thể triển khai để đánh vào mục tiêu chính. Hiện nay, thiết bị IoT đang trở thành “điểm yếu chết người” của hệ thống mạng doanh nghiệp.

Nhưng những gì mà hãng bảo mật IoT hàng đầu thế giới - ForeScout giải thích, tin tặc có thể sử dụng các thiết bị IoT như điểm trục trong các hệ thống mạng của doanh nghiệp, biến chúng thành các cổng vào để tiếp cận các máy chủ nhạy cảm và đánh cắp dữ liệu mà không bị phát hiện.

Các hacker nổi tiếng trong lĩnh vực này như Samy Kamkar, ForeScout cho biết thông thường để một kẻ xâm nhập bất hợp pháp vào một thiết bị IoT phải mất đến 3 phút.

Trong hầu hết các trường hợp này, các lỗ hổng xuất hiện ở chính các mật khẩu mặc định trên giao diện quản lý thiết bị. Ngay cả khi thiết bị đó không kết nối Internet, người quản trị hệ thống phải thay đổi những mặc định này.

Trên thực tế, một trong những lời khuyên về bảo mật tốt nhất đó là phải thay đổi mật khẩu mặc định cho thiết bị bất kỳ, không nhất thiết phải là các thiết bị IoT. Ngay cả khi đã thay đổi mật khẩu đăng nhập, các thiết bị IoT vẫn cần được bảo vệ.

Mặc dù, các chuyên gia bảo mật cho rằng để tấn công một thiết bị IoT, tin tặc phải cần đến 3 phút, nhưng cuối cùng những lỗ hổng bảo mật mà tin tặc có thể khai thác phần lớn lại là do thiếu các quy định trong lĩnh vực IoT, nơi mà nhiều doanh nghiệp đã bị phạt vì không sửa chữa nâng cấp phần mềm của mình.

Đây cũng là lý do vì sao các doanh nghiệp nên đặt các hệ thống thiết bị của mình đằng sau các giải pháp bảo mật mạnh như firewall, hệ thống phát hiện xâm nhập, hệ thống phòng chống xâm nhập hoặc các hệ thống kiểm soát truy cập mạng

Trong khi một số trang mạng tiếp tục nhấn mạnh rằng chính những thiết bị IoT không được bảo mật là nguyên nhân chính dẫn đến các cuộc tấn công DDoS, nhưng sự thật là cuộc tấn công DDoS chỉ coi thiết bị IoT là công cụ trung gian.

Để biết thêm thông tin chi tiết về cách mà một số tin tặc có thể khai thác lỗ hổng bảo mật trên IoT, bạn nên theo dõi các báo cáo về cảnh báo rủi ro bảo mật doanh nghiệp IoT của các hãng bảo mật uy tín trên thế giới.

Theo các chuyên gia, IoT là một cuộc cách mạng hứa hẹn đem lại những cơ hội rất lớn, nhưng cũng đi kèm không ít rủi ro cho mọi tổ chức, doanh nghiệp và người tiêu dùng trên toàn thế giới. Do đó, các cá nhân, tổ chức cần phải nâng cao nhận thức vì lợi ích quốc gia, xây dựng và tuân thủ những chính sách cũng như khuyến cáo về an toàn bảo mật để hạn chế tối đa những rủi ro không đáng có.

 

Hoàng Thanh

.
.
.

.
.
.