Virtual Patching là gì? Tại sao cần “vá ảo” lỗ hổng bảo mật?

Dữ liệu cho thấy 99% các cuộc tấn công mạng thành công lợi dụng các lỗ hổng đã công khai trong ít nhất một năm. Khi tiến tới mục tiêu chuyển đổi số, ngoài 2 triệu ứng dụng có sẵn, chúng ta viết hơn 111 tỷ dòng code phần mềm mỗi năm. Tốc độ tạo ra các ứng dụng, phần mềm và trang web mới đang tạo ra sự gia tăng lớn về số lượng lỗ hổng bảo mật cho những kẻ tấn công khai thác. Nhiều lỗ hổng trong số này không thể được khắc phục và sửa chữa ngay lập tức, đó là lí do chúng ta cần virtual patching.

Virtual patching là gì?

Virtual patching (hay vá nóng, vá ảo) là biện pháp cấp bách ngăn chặn tấn công và thực hiện khẩn cấp các chính sách bảo mật. Nó tạo ra một lớp bảo mật tạm thời để đảm bảo rằng những kẻ tấn công không thể khai thác lỗ hổng đã biết.

Còn được gọi là vá bên ngoài (external patching), bản thân virtual patching không sửa đổi mã nguồn cũng như không sửa chữa các lỗ hổng. Nó chỉ cung cấp một lớp bảo mật bằng cách phân tích lưu lượng truy cập web, chặn các cuộc tấn công ở giai đoạn đầu và chặn các tác nhân độc hại và các bad request phục vụ khai thác lỗ hổng. Về cơ bản, nó hoạt động như một lá chắn giữa lưu lượng truy cập và ứng dụng, và nếu hiệu quả, sẽ ngăn chặn các cuộc tấn công xảy ra

Tại sao việc vá ảo lại quan trọng?

Một trong những câu hỏi phổ biến nhất là:

Tại sao không sửa code và khắc phục lỗ hổng thay vì vá ảo?

Trong thực tế, không phải trường hợp nào cũng có thể nhanh chóng sửa code cũng như phát hành bản cập nhật kịp thời. Dữ liệu cho thấy rằng phải mất từ ​​50 đến 140 ngày để khắc phục các lỗ hổng nghiêm trọng. Để các lỗ hổng tồn tại trong một thời gian dài như vậy tạo ra cơ hội cho tin tặc tấn công trang web/ứng dụng.

Ngoài ra còn có các lý do khác khiến các lỗ hổng không thể được sửa chữa khắc phục ngay lập tức.

• Mã nguồn không thể được sửa bởi khách hàng; nhà phát triển phải sửa mã. Đây là trường hợp khi doanh nghiệp đi thuê ngoài coding (outsource) hoặc tổ chức đang sử dụng phần mềm hoặc dịch vụ của bên thứ ba.
• Nhà cung cấp không thể tung ra bản vá lỗ hổng kịp thời, và có thể mất nhiều thời gian hơn để chính thức phát hành bản cập nhật.
• Không phải tất cả các lỗ hổng có thể được sửa chữa do các hạn chế về ngân sách và tài chính. Có rất nhiều lỗ hổng và việc khắc phục tất cả chúng sẽ là một gánh nặng tài chính lớn. Vì vậy, các tổ chức có xu hướng ưu tiên và khắc phục các lỗ hổng nghiêm trọng và rủi ro cao trước tiên.
• Tổ chức có thể đang sử dụng code cũ hoặc một sản phẩm mà nhà cung cấp không còn hoạt động, vì vậy không thể có bản sửa lỗi. Việc nâng cấp/di chuyển từ các hệ thống hoặc ứng dụng cũ có thể tốn kém và mất thời gian, và sự gián đoạn do quá trình đó gây tổn thất quá lớn đến doanh thu.

Đó là những trường hợp mà vá ảo – virtual patching trở nên quan trọng. Mặc dù chỉ là lớp bảo về bên ngoài, nhưng nó giúp bảo vệ ứng dụng/trang web khỏi các cuộc tấn công, giúp các tổ chức và nhà phát triển có thời gian để khắc phục lỗ hổng.

Các lợi ích khác của việc vá ảo

• Hạn chế “thời gian chết”, giúp cho các thành phần quan trọng liên tục online trong khi tổ chức phát triển một bản sửa lỗi vĩnh viễn.
• Vá ảo có thể mở rộng vì nó không cần phải được cài đặt trên tất cả các máy chủ, mà chỉ cần thực hiện từ một vài vị trí.
• Trong trường hợp lỗ hổng rủi ro thấp, virtual patching giúp tiết kiệm thời gian, tiền bạc và công sức của tổ chức.
• Nó giúp các tổ chức duy trì chu kỳ vá bình thường.
• Vá ảo cung cấp một footprint của ý định tấn công và có thể là một điểm dữ liệu để cải thiện hơn nữa tư thế phòng thủ cho tương lai (chặn người dùng vĩnh viễn, chặn IP).

Nhược điểm của Virtual Patching

• Vá ảo là một phương pháp sửa chữa tạm thời và ở bên ngoài, không sửa chữa hoàn toàn vấn đề. Nó không khắc phục lỗ hổng/cấu hình sai/mã hóa cơ bản. Nó chỉ ngăn chặn cuộc khủng hoảng trước mắt, cho các nhà phát triển thêm thời gian để khắc phục các lỗ hổng.
• Bản vá ảo chỉ giải quyết một số cách mà lỗ hổng có thể bị khai thác, nó có thể không ngăn chặn được tất cả các điểm vào khác nhau. Tức là trong một vài trường hợp chỉ giảm thiểu rủi ro chứ không chặn hoàn toàn lỗ hổng, và kẻ xấu vẫn có thể tấn công bằng một đầu vào khác.

Lời kết

Trong môi trường năng động ngày nay, việc theo kịp và sửa chữa được tất cả các lỗ hổng là rất khó khăn thì Virtual Patching là một giải pháp cứu cánh. Tuy nhiên, cũng cần lưu ý rằng vá ảo chỉ là giải pháp khẩn cấp để giảm rủi ro mà không phải là giải pháp thực tế. Bản vá ảo cần phải là một phần của giải pháp bảo mật toàn diện để đảm bảo an ninh thông tin cho tổ chức.