Phải coi các mối đe dọa rủi ro cao của không gian mạng thành ưu tiên hàng đầu

Quan chức Bộ Anninh Quốc nội Mỹ: Các cơ quan phải coi các mối đe dọarủi ro cao của không gian mạng thành ưu tiên hàng đầu

DHSofficial: Agencies must make high-risk cyber threats top priority

By JillR. Aitoro 08/25/2009

Theo:http://www.nextgov.com/nextgov/ng_20090825_7424.php?oref=topstory

Bài được đưa lênInternet ngày: 25/08/2009

Lờingười dịch: Làm thế nào để phân phối các nguồn lựcrất hữu hạn cho một loạt các vấn đề liên quan tớian ninh thông tin là một công việc khó khăn của các cơquan. Vì thế, họ cần phân biệt những hành động tấncông nào là thực sự nguy hiểm, hành động tấn công nàochỉ mang tính “ồn ào gây sự chú ý” trong bối cảnhmà số lượng các vụ tấn công bằng phần mềm độchại chỉ trong năm 2008 tăng 500% và bằng tổng các cuộctấn công của 5 năm trước đó cộng lại, trong đó 80%các cuộc tấn công là nhằm vào việc ăn cắp các dữliệu cá nhân vì mục đích kiếm lợi nhuận, còn lại20% là vì các mục đích có liên quan tới tôn giáo, giánđiệp, khủng bố và chính trị.

Các cơ quan liên bangphải ưu tiên cho các yêu cầu an ninh thông tin của họ đểđảm bảo các hoạt động mang tính sống còn được bảovệ trước tiên, và vạch kế hoạch giữa “điều mà nóđang làm trầm trọng thêm và điều mà nó thực sự nguyhiểm”, giám đốc không gian mạng của Bộ An ninh Quốcnội Greg Schaffer nói trong một hội nghị hôm thứ ba.

Các cuộc tấn côngđang tiến triển tinh vi phức tạp hơn nhiều, một phầnvì chúng khó bị phát hiện ra hơn, Schaffer nói, người đãđược chỉ định là cố vấn bộ trưởng của Văn phòngvề An ninh không gian mạng và Truyền thông của Bộ Anninh Quốc nội vào tháng 06. Schaffer và Dave DeWalt, giám đốcđiều hành của nhà cung cấp an ninh McAfee, đã nói vàosáng thứ ba tại hội nghị Gfirst được tổ chức bởiĐội Cứu hộ Khẩn cấp Máy tính Mỹ (US CERT).

“Ngày càng có nhiềuhơn các cuộc tấn công tinh vi phức tạp... là thấp vàchậm, được thiết kế không phải để gây sự chú ý,mà âm thầm lẳng lặng lấy các dữ liệu và các tàinguyên”, Schaffer nói “Vâng cùng lúc, mức độ ầm ĩ từcác cuộc tấn công ít tinh vi phức tạp hơn tiếp tụcgia tăng. Điều này tạo nên một một trường nơi mà dễdàng tập trung vào những mẩu giải đố sai lầm trong khinhững điều tồi tệ xảy ra nằm ngoài sự theo dõi.Chúng ta cần thận trọng cảnh giác và tập trung”.

Theonhà cung cấp an ninh McAfee, đã có 500% sự gia tăng trongnăm 2008 về số lượng các cuộc tấn công bằng phầnmềm độc hại mà nó đã sử dụng mã nguồn độc hạiđể thâm nhập hoặc gây hại cho một hệ thống máy tính– tương đương với tổng cộng của 5 năm trước đócộng lại, DeWalt nói. Trong 80% tất cả các cuộc tấncông bằng phần mềm độc hại, thì động lực là tàichính, với những kẻ tấn công cố ăn cắp thông tin dữliệu cá nhân vì lợi nhuận. 20% các cuộc tấn công cònlại được nhắc tới bởi “các lý do tôn giáo”, nhưgián điệp hoặc khủng bố chính trị.

McAfeecũng nói rằng 1.5 triệu site độc hại, mà chúng lâynhiễm cho các máy tính của những khách viếng thăm bằngcác mã nguồn độc hại, sẽ được tạo ra mỗi tháng,và spam, mà ngày một ràng buộc tới sự lan truyền củacác phần mềm độc hại, gia tăng 10% hàng năm.

Federalagencies should prioritize their information security requirements toensure mission-critical operations are protected first, and delineatebetween "that which is aggravating and that which is trulydangerous," the Homeland Security Department's cyber chief GregSchaffer said during a conference on Tuesday.

Cyberattacksare growing far more sophisticated, in part because they're moredifficult to detect, said Schaffer, who was appointed assistantsecretary of DHS' Office of Cybersecurity and Communications in June.Schaffer and Dave DeWalt, chief executive officer of security vendorMcAfee, spoke Tuesday morning at the GFirst conference in Atlantahosted by the department's U.S. Computer Emergency Readiness Team.

"Themore sophisticated attacks ...are low and slow, designed to not drawattention, but insidiously get at data and resources," Schaffersaid "Yet at the same time, the level of noise f-rom lesssophisticated attacks continues to grow. This makes for anenvironment whe-re it is easy to focus on the wrong pieces of thepuzzle while bad things happen under the radar. We need to bevigilant and focused."

Accordingto security vendor McAfee, there was a 500 percent increase in 2008in the number of malware attacks that used hostile code to infiltrateor damage a computer system -- equal to the combined total for thefive years prior, DeWalt said. In 80 percent of all malware attacks,the motive is financial, with attackers trying to steal identitiesand data for profit. The other 20 percent of attacks are prompted by"religious reasons," such as political espionage orterrorism.

McAfeealso reported that 1.5 million malicious sites, which infectcomputers of visitors with malicious code, are cre-ated each month,and spam, which is increasingly tied to the spread of malware,increases 10 percent annually.

Thách thức đối vớicác cơ quan là việc xác định đâu là nơi tập trungnhững tài nguyên hạn chế của họ vào trong một môitrường thù địch như thế này, Schffer nói trong một cuộcphỏng vấn với Nextgov.com sau bài phát biểu của ông.

“Chúngta phải đặt một mức phù hợp về các tài nguyên chonhững vấn đề như thế này” mà chúng là ít mang tínhsống còn, ông nói, như một cuộc tấn công từ chốidịch vụ mà nó tạm thời khóa việc truy cập tới mộtmạng của một cơ quan nào đó hoặc việc làm mất thểdiện một Web nào đó mà nó sửa các nội dung trựctuyến. “Cùng lúc, chúng ta cần nhận thức được rằngnhững thứ này không phải là những cuộc tấn công thựcsự nguy hiểm. Đây là một vấn đề về [phân phối] cáctài nguyên; khi bạn có quá nhiều sự tập trung vào nhữnglĩnh vực này mà chúng không phải là mang tính sống còn,thì những cuộc tấn công ít ầm ĩ hơn lại có thể”được tiến hành mà không bị để ý tới.

Các cơ quan chỉ cóthể ưu tiên cho những nỗ lực an ninh thông tin dựa trênnhững nhiệm vụ riêng rẽ của họ, Shaffer nói. Các cơquan cũng phải cân bằng giữa an ninh và hiệu quả, hoặctối thiểu hóa những chỗ hay bị tổn thương của mạng,mà không phải hy sinh năng suất lao động.

“[DHS] có thể giúpthiết lập một số yêu cầu và hỗ trợ trong việc đẩyquả bóng tiến lên, nhưng các cơ quan bản thân họ phảihiểu những vấn đề rủi ro của họ và hành động theonhiệm vụ của họ”, Shaffer nói. “Bạn sẽ tiếp tụcthế nào để duy trì tính hiệu quả mà công nghệ thểhiện, trong khi cùng một lúc kết hợp một mức độ phùhợp về an ninh sao cho chúng ta không bị thiệt hại nhỉ?”

Các cơ quan phải ápdụng những gì mà Shaffer gọi là các mức xếp hàng cóthứ tự về an ninh, nơi mà mức độ an ninh được ápdụng được xác định bởi mức độ rủi ro có liênquan với thông tin được duy trì trong hệ thống máy tính.Sự phân tích đó sẽ khác nhau giữa các cơ quan.

“Cáccơ quan cần bắt đầu hiểu về các mạng trong đó chúngta sống, sao cho họ có thể nhìn vào môi trường của họvà nói, 'tôi biết điều này sẽ không gây ra ảnh hưởnglớn, nên tôi sẽ không tập trung các nỗ lực của tôivào đó', Randy Vickers, người được DHS chỉ định nhưlà quyền giám đốc của US CERT hôm thứ ba. Người tiềnnhiệm của ông ta, Mischel Kwon, đã từ chức đầu thángnày”.

“Chúng ta có xu hướngtập trung vào toàn cầu, hơn là vào những vùng trọngđiểm mà chúng có thể giữ cho chúng ta hoàn thành đượccác nhiệm vụ của chúng ta”, Vickers nói.

Thechallenge for agencies is determining whe-re to focus their limitedresources in such a hostile environment, said Shaffer in an interviewwith Nextgov.com after his speech.

"Wehave to put an appropriate level of resources to those issues"that are less critical, he said, such as a denial-of-service attackthat temporarily blocks access to an agency's network or Webdefacement that al-ters online content. "At the same time, weneed to recognize that those are not the really dangerous attacks.It's a resource [allocation] issue; when you have so much attentionfocused on these areas that are not as critical, the less noisyattacks can" go unnoticed.

Onlyagencies can prioritize information security efforts based upon theirindividual missions, Shaffer said. Agencies also must strike abalance between security and efficiency, or minimizing networkvulnerabilities, without sacrificing productivity.

"[DHS]can help set some requirements and assist in moving the ball forward,but the agencies themselves have to understand their risk profilesand execute against their mission," Shaffer said. "How doyou continue to maintain the efficiency gains that the technologypresents, while at the same time incorporating an appropriate levelof security so we don't get damaged?"

Agenciesshould apply what Shaffer called tiered-levels of security, whe-re thedegree of security applied is determined by the level of riskassociated with the information maintained on the computer system.That analysis will vary f-rom agency to agency.

"Agenciesneed to start understanding the networks in which they live, so theycan look at their environment and say, 'I know this isn't going tohave a heavy impact, so I won't focus my efforts there,' " saidRandy Vickers, whom DHS named as acting director of US-CERT onTuesday. His predecessor, Mischel Kwon, resigned earlier this month.

"Wetend to focus all over the map, rather than on the key areas thatcould keep us f-rom accomplishing our missions," Vickers said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com