Đánh giá an toàn thông tin tại doanh nghiệp cung cấp dịch vụ truyền hình trả tiền

Tóm tắt

Khách hàng của chúng tôi kinh doanh trong lĩnh vực truyền hình, chuyên cung cấp các dịch vụ truyền hình trả tiền như truyền hình cáp, truyền hình số và truyền hình theo yêu cầu. Với đặc thù công việc gần như gắn liền với mạng, cộng với lưu lượng truy cập khổng lồ và liên tục từ nhiều người, khách hàng rất lo lắng về sự an toàn của hệ thống thông tin cùng những rủi ro bảo mật có thể gặp phải. Và VSEC đã mang đến dịch vụ đánh giá an toàn thông tin VCHECK để giúp khách hàng yên tâm trong hoạt động kinh doanh.

Về khách hàng

Khách hàng là nhà cung cấp dịch vụ truyền hình lâu đời và danh tiếng. Với hơn 20 năm hoạt động, hiện tại khách hàng là đơn vị truyền hình trả tiền có số lượng chi nhánh, văn phòng đại diện, phòng trưng bày cùng số thuê bao lớn nhất Việt Nam. Tổng giá trị tài sản của khách hàng hàng lên đến hơn 4.000 tỷ đồng.

Thách thức

Trong thời đại số hiện nay, song song với việc tiếp cận thông tin qua tivi, ngày càng nhiều người dùng xem tin tức, chương trình truyền hình qua những thiết bị di động. Đây vừa là cơ hội vừa là thách thức cho những đơn vị cung cấp dịch vụ truyền hình trả tiền như khách hàng. Số lượt truy cập, lượt xem tăng chóng mặt kéo theo lượng đăng ký tài khoản sử dụng dịch vụ tăng lên. Tuy nhiên, việc khách hàng được nhiều người biết và quan tâm cũng đồng nghĩa với việc gia tăng những mối đe dọa cùng đối tượng xấu âm mưu tấn công ngày một nhiều.

Thêm vào đó, website là cổng thông tin mở, trực tiếp dẫn tới kho lưu trữ thông tin người dùng và ai cũng có thể truy cập. Thông qua website, đối tượng xấu có thể truy cập được tới hệ thống nội bộ của khách hàng – nơi chứa những tin mật, thông tin các cá nhân đang làm việc cho doanh nghiệp, những nội dung truyền hình độc quyền, các nghiên cứu cho dịch vụ mới, v.v… Nếu bị tấn công, khách hàng sẽ chịu thiệt hại rất nặng nề.

Ngoài ra, việc khách hàng liên tục mở rộng hợp tác kinh doanh liên kết với các đơn vị truyền thông, truyền hình khác cũng dẫn tới nguy cơ mất an toàn cho bên thứ ba. Bởi nếu xâm nhập được hệ thống của Khách hàng thì việc tấn công sang các đối tác cũng là điều dễ xảy ra.

Giải pháp

Sau khi nắm được những khó khăn, thách thức mà khách hàng đang phải đối mặt, VSEC nhanh chóng tiến hành đánh giá an toàn thông tin cho hai đối tượng chính trong hệ thống của khách hàng là các ứng dụng và hệ thống mạng.

Đối với các ứng dụng, VSEC sử dụng hai phương pháp chủ yếu:

  • Một là phương pháp đánh giá từ bên ngoài (Blackbox) cho Website, Mail, FTP. Khi xác định được lỗi trên hệ thống, các kỹ sư thử nghiệm việc khai thác thông tin thông qua lỗi tìm thấy, được gọi là giả lập tấn công. Từ đó xác định mức độ của nguy cơ mất an toàn trên hệ thống và đánh giá được sự ảnh hưởng của những rủi ro tiềm ẩn từ hệ thống Web đến các hệ thống khác (Mail, Cơ sở dữ liệu, Kế toán, Quản trị khách hàng…).
  • Hai là phương pháp đánh giá mã nguồn. Để chuẩn bị cho việc đánh giá mã nguồn, VSEC nghiên cứu kỹ lưỡng ứng dụng, sau đó lập hồ sơ toàn diện về các nguy cơ. Tiếp theo, các kỹ sư của VSEC nghiên cứu bố cục của mã nguồn để lập kế hoạch đánh giá mã nguồn cụ thể, sử dụng phương pháp kết hợp quét tự động và đánh giá thủ công tùy chỉnh. Trong quá trình phân tích, VSEC kiểm tra tính bảo mật của mã nguồn trong 7 lĩnh vực sau: xác thực dữ liệu, xử lý lỗi, xác thực, cấp quyền, quản lý phiên làm việc, ghi nhật ký, mã hóa.

Qua quá trình rà soát, các kỹ sư kết luận có tới 14 lỗi trong kiểm thử ứng dụng, trong đó có:

  • 2 lỗi rất nguy hiểm
  • 1 lỗi nguy hiểm
  • 11 lỗi trung bình

Còn với đối tượng thứ hai là hệ thống mạng, VSEC tiến hành đánh giá bảo mật từ bên trong. Đầu tiên, các kỹ sư tiến hành đánh giá mô hình kiến trúc, kết nối của mạng. Tiếp đó là đánh giá các lỗi bảo mật cho hệ điều hành (OS), các ứng dụng, dịch vụ chạy trên thiết bị mạng và máy chủ. Cùng với việc phân tích cấu hình của các thiết bị mạng (thiết bị định tuyến, chuyển mạch, tường lửa) và các điểm yếu tìm thấy thông qua quá trình rà soát, các kỹ sư tiến hành việc giả lập tấn công, khai thác thông tin và thử kiểm soát toàn bộ hệ thống mạng. Quá trình này được thực hiện bằng cách sử dụng kết hợp công cụ dò quét tự động và đánh giá thủ công. Tất cả các thiết bị quét mà chúng tôi sử dụng đều là sản phẩm của các nhà cung cấp hàng đầu thế giới như Rapid7, Core Security… nên khách hàng hoàn toàn yên tâm và tin tưởng.

Kết thúc quá trình, chúng tôi thu được kết quả như sau:

Có tổng cộng 66 lỗ hổng được phát hiện trên thiết bị mạng, trong đó:

  • 2 lỗ hổng rất nguy hiểm
  • 43 lỗ hổng nguy hiểm
  • 21 lỗ hổng trung bình

Tổng hợp các thống kê cho thấy, số lượng máy chủ có lỗ hổng chiếm 47% tổng số máy chủ rà soát, trong đó số máy chủ có lỗ hổng rất nguy hiểm chiếm tới 33%. Điều này cho thấy việc bổ sung các bản vá bảo mật là hết sức cấp thiết.

Có tổng cộng 18 lỗ hổng được phát hiện trên các máy chủ, trong đó

  • 10 lỗ hổng rất nguy hiểm
  • 3 lỗ hổng nguy hiểm
  • 5 lỗ hổng trung bình

Đề xuất khắc phục

Sau khi đánh giá toàn bộ hệ thống, VSEC đã lập báo cáo và chuyển giao toàn bộ quá trình thực hiện cho khách hàng, cùng với đó đưa ra các khuyến nghị và phương pháp phòng chống. Việc cần thiết nhất hiện tại là khách hàng phải nhanh chóng vá hoàn toàn các lỗ hổng vì chúng đặc biệt nguy hiểm. VSEC đã đưa ra một số đề xuất:

Về ứng dụng

  • Đối với ứng dụng web, đội ngũ phát triển ứng dụng cần thực hiện:
    • Kiểm tra chặt chẽ toàn bộ dữ liệu nhập vào của người dùng để tránh rủi ro và phòng ngừa các nguy cơ khác.
    • Kiểm soát chặt quyền truy cập của người dùng để tránh việc người dùng truy cập tài nguyên hoặc sử dụng chức năng không nằm trong quyền hạn của mình.
  • Đối với các ứng dụng Mail, FTP:
    • Cần có chính sách tạo mật khẩu mạnh.
    • Sử dụng giao thức mã hóa TLS với thuật toán mã hóa mạnh để truyền dữ liệu.
    • Có cơ chế phát hiện tấn công dò mật khẩu khi thấy số lượng yêu cầu đăng nhập không thành công tăng đột biến.
    • Về lâu dài, khách hàng có thể trang bị giải pháp tường lửa ứng dụng để phòng ngừa các tấn công liên tục từ bên ngoài và giải pháp pháp phát hiện lỗi bảo mật trước khi ứng dụng chính thức được khai thác.

Về hệ thống hạ tầng mạng và máy chủ:

  • Đối với thiết bị bảo mật cần hoàn thiện thêm một số thành phần phòng chống các tấn công thường trực.
  • Đối với máy chủ:
    • Các lỗ hổng ở mức độ nguy hiểm cần vá ngay trong thời gian sớm nhất.
    • Các lỗ hổng của Windows cần cập nhật bản vá từ Microsoft.
    • Lỗ hổng liên quan đến tài khoản quản trị của các hệ thống giám sát, cơ sở dữ liệu cần thay đổi, không đặt mật khẩu mặc định, mật khẩu dễ đoán.
    • Các máy chủ sử dụng hệ điều hành cũ không còn được hỗ trợ cần thay đổi, nâng cấp phiên bản hệ điều hành mới hơn để được hỗ trợ các bản vá bảo mật.
    • Tách biệt máy chủ cơ sở dữ liệu ra ngoài vùng DMZ.
  • Về lâu dài, khách hàng cần quản trị tập trung các tài khoản đặc quyền, tài khoản người dùng để thiết lập chính sách người dùng và cấu hình an toàn nhất.

Lợi ích của dịch vụ

Nâng cao bảo mật và an toàn dữ liệu bằng việc chủ động nhận diện các vấn đề bảo mật.
Cân bằng nhu cầu kinh doanh với yêu cầu kỹ thuật về bảo mật và tuân thủ.
Khắc phục các rủi ro vận hành qua phân tích đáng tin cậy và đem đến giải pháp khả thi.
Tiết kiệm chi phí duy trì chuyên gia bảo mật nội bộ.

Xem thêm các Case Study