Quay lại

Bảo mật website tài chính khỏi các lỗ hổng OWASP mới nhất

Cập Nhật Lần Cuối: 20/10/2023

Bảo mật website tài chính khỏi các lỗ hổng OWASP mới nhất

Nửa đầu năm nay, ngành tài chính đang là điểm nóng tấn công của bọn tội phạm mạng. Sự gia tăng dữ liệu cá nhân của các dịch vụ ngân hàng trực tuyến chính là “miếng bánh hấp dẫn” đối với chúng. Hiểu được điều đó, bài viết sau đây sẽ chia sẻ về các lỗ hổng OWASP hàng đầu hiện nay. Và những phương pháp giúp doanh nghiệp bảo mật website an toàn.

OWASP – Dự án bảo mật website an toàn

Open Web Application Security Project (OWASP) là một tổ chức phi lợi nhuận giúp các chuyên gia bảo vệ website khỏi các cuộc tấn công mạng. OWASP hiện có 32.000 tình nguyện viên trên toàn thế giới. Họ là những người đánh giá bảo mật website và nghiên cứu về các mối đe dọa an ninh mạng. Đưa ra những vấn đề mà cộng đồng an ninh mạng cần phải chú ý.

Top 10 OWASP là danh sách các lỗ hổng bảo mật website quan trọng nhất. Tất nhiên, trên thực tế, rủi ro bảo mật website không chỉ dừng lại ở con số 10. Top 10 OWASP chỉ đưa ra những rủi ro hàng đầu mà các chuyên gia bảo mật cần chú ý. Để họ có thể kịp thời đưa ra các kế hoạch giảm thiểu và ngăn chặn chúng, bảo mật website an toàn.

OWASP đánh giá các rủi ro tấn công mạng theo định kỳ. Các đánh giá dựa trên bốn tiêu chí sau: tính dễ khai thác, mức độ phổ biến, khả năng phát hiện và tác động kinh doanh. Dựa vào đó, họ xác định 10 rủi ro tấn công nghiêm trọng nhất.

Các rủi ro bảo mật website hàng đầu OWASP

3 rủi ro tấn công OWASP hàng đầu theo khối lượng đã ảnh hưởng mạnh mẽ đến lĩnh vực dịch vụ tài chính kể từ đầu năm 2021 là rò rỉ dữ liệu, RCE/RFI và Cross-site scripting (XSS).

Rò rỉ dữ liệu

Rò rỉ dữ liệu thuộc loại OWASP A3: 2017 - Rò rỉ dữ liệu nhạy cảm. Tổ chức OWASP tóm tắt “Nhiều ứng dụng web và API không bảo vệ dữ liệu nhạy cảm đúng cách. Chẳng hạn như các thông tin tài chính, chăm sóc sức khỏe và PII. Những kẻ tấn công có thể đánh cắp hoặc sửa đổi những dữ liệu có bảo mật yếu. Sau đó chúng thực hiện các hành vi gian lận thẻ tín dụng, đánh cắp danh tính hoặc gây ra các hành động phạm pháp khác”.

Dữ liệu nhạy cảm có thể bị xâm phạm nếu không có các biện pháp bảo vệ bổ sung. Như mã hóa chúng ở trạng thái nghỉ hoặc khi đang chuyển. Và các biện pháp bảo vệ chúng khi trao đổi với trình duyệt khác là hết sức cần thiết.

Lỗi chèn mã độc

OWASP phân loại RCE / RFI là A1: 2017 - Injection. Theo OWASP, “Các lỗ hổng bảo mật website Injection như SQL, NoSQL, OS và LDAP xảy ra khi dữ liệu không đáng tin được gửi đến trình thông dịch như một phần của lệnh hoặc truy vấn. Các dữ liệu thù địch của kẻ tấn công có thể đánh lừa trình thông dịch. Sau đó, trình thông dịch sẽ thực hiện các lệnh ngoài ý muốn. Hoặc truy cập trái phép các dữ liệu mà không có sự cho phép”.

bảo mật website an toàn

Lỗ hổng Injection

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) có riêng một danh mục rủi ro đó là A7: 2017 - Cross-Site Scripting XSS. OWASP giải thích, “Lỗi XSS xảy ra khi một ứng dụng hoặc dữ liệu không đáng tin cậy xuất hiện trong một trang web mới mà không được xác thực. Hoặc cập nhật website hiện có với dữ liệu do người dùng cung cấp bằng cách sử dụng trình duyệt API để tạo HTML hoặc JavaScript. XSS cho phép những kẻ tấn công thực thi các tập lệnh trong trình duyệt của nạn nhân. Chúng có thể chiếm quyền điều khiển các phiên của người dùng. Sau đó phá bề mặt các trang web hoặc chuyển hướng người dùng đến các trang web độc hại”.

lỗ hổng bảo mật website

Lỗ hổng Cross-Site Scripting (XSS)

Tóm lược các lỗ hổng bảo mật website OWASP hàng đầu trong lĩnh vực tài chính

| Kiểu tấn công | Danh mục OWASP | Phần trăm các cuộc tấn công | Rủi ro chính đối với lĩnh vực dịch vụ tài chính |   | Rò rỉ dữ liệu | A3: Rò rỉ dữ liệu nhạy cảm năm 2017 | 21,9% |

Những kẻ tấn công đánh cắp hoặc sửa đổi dữ liệu tài chính nhạy cảm có giá trị. Do lớp bảo mật yếu nên hacker dễ dàng xâm nhập và gian lận thẻ tín dụng, đánh cắp danh tính hoặc gây ra các hành vi phạm pháp khác.

|   | RCE / RFI | A1:2017-Injection | 20,5% |

Đặc biệt, đối với các dịch vụ tài chính, những kẻ tấn công từ xa sẽ chạy mã độc trên máy chủ để lấy cắp dữ liệu. Dữ liệu thường là dữ liệu cá nhân quan trọng. Những kẻ tấn công sử dụng phương pháp này để thực hiện hành vi gian lận thẻ tín dụng, đánh cắp danh tính,…

|   | Cross-Site Scripting | A7: 2017-Cross-Site Scripting XSS | 19,4% |

Tội phạm mạng chèn các tập lệnh phía máy khách vào các trang web. Vì tập lệnh độc hại nằm ở phía máy khách, nó không nhắm vào website mà nhắm đến người dùng website. Điều này gây ra rủi ro đáng kể cho ngành dịch vụ tài chính. Vì tội phạm mạng có thể sử dụng phương pháp này để trích xuất thông tin có giá trị (ví dụ: cookie). Sau đó, sử dụng chúng để chiếm đoạt tài khoản của khách hàng trên các trang web dịch vụ tài chính.

|   | |   |

Mức độ rủi ro bảo mật website của ngành dịch vụ tài chính

Ngành tài chính trở thành điểm nóng tấn công trong nửa đầu 2021. Số lượng các sự cố theo kiểu tấn công của ngành tài chính phần lớn giống với các ngành khác. Nhưng riêng sự cố XSS của ngành này lại cao hơn các ngành khác gần 8%. Có thể là do số lượng người dùng ngân hàng trực tuyến tăng lên kể từ năm 2020.

Tình hình dịch bệnh đã thúc đẩy sự phát triển mạnh mẽ của dịch vụ ngân hàng trực tuyến. Theo phân tích của Fidelity National Information Services, vào tháng 4/2020, số lượng đăng ký dịch vụ mobile banking đã tăng 200%. Theo công ty dữ liệu ngân hàng Novantas của Mỹ, sự gia tăng đó đã làm giảm 50% lưu lượng truy cập ngân hàng trong cùng tháng.

Rò rỉ dữ liệu là loại rủi ro bảo mật website có số lượng nhiều nhất trong các dịch vụ tài chính với 22%. Một lần nữa, nguyên nhân có thể là do sự gia tăng số lượng người dùng ngân hàng trực tuyến. Họ dùng các dịch vụ này để quản lý tài chính. Vì giá trị khổng lồ của các dữ liệu đó mà các tổ chức tài chính trở thành mục tiêu của tội phạm mạng.

Làm thế nào để bảo mật website an toàn?

Để ngăn chặn việc rò rỉ dữ liệu cá nhân nhạy cảm, bạn nên xem xét:

  • Xác định các dữ liệu nhạy cảm và thực hiện các biện pháp kiểm soát bảo mật thích hợp.

  • Không lưu trữ dữ liệu nhạy cảm trừ khi thực sự cần thiết. Loại bỏ hoặc mã hoá chúng.

  • Mã hóa tất cả dữ liệu nhạy cảm dù chúng ở trạng thái nghỉ bằng các thuật toán, giao thức và khóa mã hóa mạnh.

  • Mã hóa dữ liệu kể cả khi truyền bằng các giao thức an toàn như TLS và HTTP HSTS.

  • Tắt bộ nhớ đệm cho dữ liệu nhạy cảm.

  • Lưu trữ mật khẩu bằng các hash function mạnh như Argon2, scrypt và bcrypt.

Để giảm thiểu các cuộc tấn công Injection, VNETWORK khuyến nghị:

  • Sử dụng API an toàn để tránh sử dụng trình thông dịch

  • Sử dụng xác thực đầu vào phía máy chủ tích cực hoặc “whitelist”

  • Thoát các ký tự đặc biệt

  • Sử dụng LIMIT và các điều khiển SQL khác trong các truy vấn để tránh tiết lộ bản ghi trong trường hợp chèn SQL.

VNIS – Giải pháp bảo mật website tối ưu

  • Tường lửa Cloud WAF: sẽ lọc mọi request độc hại và ngăn chặn các cuộc tấn công DDoS Layer 7 và bảo vệ website khỏi top 10 lỗ hổng bảo mật của OWASP.

  • Multi CDN: kết hợp nhiều nhà cung cấp CDN hàng đầu thế giới như Akamai, Cloudflare, AWS… với hơn 2.300 PoP và dung lượng 2.600 Tbps từ tất cả các đối tác CDN. Do đó, khi bất kỳ nhà cung cấp CDN nào gặp sự cố sẽ có ngay một CDN khác thay thế. Ngoài ra, Multi CDN còn bảo vệ Layer 3/4 khỏi các tấn công DDoS traffic lên đến hàng Tbps.

  • Cân bằng tải AI (trí tuệ nhân tạo): giúp giám sát hiệu suất website theo thời gian thực. Cân bằng tải lưu lượng truy cập khi có biến động đột ngột về traffic.

Nếu bạn muốn đăng ký trải nghiệm thử dịch vụ bảo mật website toàn diện, vui lòng để lại thông tin liên hệ bên dưới hoặc gọi ngay vào hotline: (028) 7306 8789 để được tư vấn thêm.

VNIS - Chấm dứt nỗi lo bảo mật website cho các doanh nghiệp

CÁC BÀI VIẾT LIÊN QUAN

Sitemap HTML