Những yếu tố an ninh tiềm ẩn từ công nghệ Blockchain

Công nghệ Chuỗi khối (Blockchain) không còn đơn thuần chỉ liên quan tới những đồng tiền ảo. Tỷ lệ ứng dụng công nghệ này hiện đang gia tăng cực nhanh, mở rộng tầm ảnh hưởng của nó ở nhiều ngành công nghiệp và lĩnh vực kinh tế trên toàn cầu. Một báo cáo của IDC công bố gần đây đã dự đoán một tỷ lệ tăng trưởng lũy kế hàng năm (CAGR) toàn cầu của ngân sách dành cho các giải pháp Blockchain lên đến 73,2% từ năm 2017 đến năm 2022. Điều này đồng nghĩa với việc mức chi tiêu dành cho công nghệ này sẽ tăng từ 1,5 tỷ đô la năm 2018 lên đến 11,7 tỷ đô la vào năm 2022.

Trong khu vực châu Á - Thái Bình Dương (không bao gồm Nhật Bản) sự phát triển của Blockchain sẽ ở mức tương đồng so với các khu vực còn lại trên thế giới với tỷ lệ 72,6% CAGR. Tuy nhiên, Nhật Bản được kỳ vọng sẽ dẫn đầu thế giới về ngân sách dành cho công nghệ Blockchain, dự đoán ở mức 108,7% CAGR.

Ông Matthew Kuan - Giám đốc Giải pháp & Tiếp thị Đông Nam Á & Hong Kong - Công ty Fortinet chia sẻ thông tin về công nghệ Blockchain.

Công nghệ không dành cho các giao dịch tiền ảo gây tranh cãi

Tài chính đang là “thị trường” chính để triển khai công nghệ Blockchain, xếp ngay sau đó là ngành vận tải, hậu cần. Điều quan trọng cần lưu ý là các công ty dịch vụ tài chính đang triển khai công nghệ Blockchain để hỗ trợ các quy trình xử lý tiền tệ có chủ quyền chính thống, không phải các giao dịch tiền ảo gây tranh cãi mà ban đầu đã khiến công nghệ Blockchain trở nên nổi tiếng. Mức chi tiêu dành cho công nghệ Blockchain trên toàn thế giới ở các mảng dịch vụ chuyên nghiệp và các doanh nghiệp sản xuất theo quy trình cũng đang có dấu hiệu gia tăng.

Khu vực châu Á Thái Bình Dương đã trở thành nơi nuôi dưỡng cho các ứng dụng Blockchain tân tiến. Các dự án dựa trên nền tảng Blockchain đang được thí điểm hoặc đã được đưa vào ứng dụng trong các tổ chức chính phủ, nhà máy điện, bảo mật chuỗi cung ứng và các dự án môi trường. Sự gia tăng đột biến trong ngân sách dành cho công nghệ Blockchain được dự đoán ở khu vực châu Á - Thái Bình Dương cũng chỉ ra rằng không có dấu hiệu nào cho thấy các trường hợp sử dụng này sẽ giảm dần trong tương lai. Tuy nhiên, do nhiều ngành công nghiệp ở khu vực châu Á - Thái Bình Dương và Nhật Bản đã áp dụng công nghệ Blockchain, việc những người chịu trách nhiệm bảo mật chú trọng tới các quy trình bảo vệ an toàn cho các dự án công nghệ Blockchain mới sẽ hết sức quan trọng.

Nhiều yếu tố an ninh tiềm ẩn

Mỗi công nghệ mới phát triển đều kéo theo những mối nguy hại tiềm tàng, và công nghệ Blockchain cũng không ngoại lệ. Thậm chí những dự án triển khai công nghệ Blockchain sớm đã lọt vào tầm ngắm của những phần tử chống phá an ninh mạng. Do việc phát triển Blockchain đóng vai trò quan trọng đối với nền kinh tế, hiển nhiên chúng sẽ trở thành những đối tượng hấp dẫn cho các hành vi phá hoại an ninh mạng.

Đầu tiên, có rất nhiều lỗ hổng trong công nghệ Blockchain và Sổ cái phân tán (DLT: Distributed Ledger) mà chúng ta cần phải nhận thức được, những vấn đề này sẽ gây ảnh hưởng tới cách triển khai và nơi chúng ta ứng dụng Blockchain.

Thứ nhất, đó là kiểm soát sự đồng thuận. Trong các mạng lưới phân tán với quyền truy cập hạn chế, sự đồng thuận được hình thành thông qua sự đồng ý của đa số, việc kiểm soát một số lượng lớn khách hàng tham gia có thể cho phép kẻ tấn công phá rối quá trình xác nhận.

Thứ hai, tấn công DDoS. Do tính chất phân tán của Sổ cái Blockchain, chúng có khả năng bị tổn hại trước các cuộc tấn công từ chối dịch vụ phân tán (DDoS) qua thư rác. Ngay cả khi các cuộc tấn công này không hoàn toàn đóng quyền truy cập vào Blockchain, chúng vẫn có thể khiến thời gian chờ xử lý quy trình tăng lên, vì các điểm nút hoạt động sẽ bận kiểm tra tính hợp lệ của các giao dịch gian lận.

Thứ ba, lỗ hổng trong Sidechain. Những lỗ hổng này có thể gây thiệt hại đến các cổng ra được sử dụng để chuyển các tài sản và tin nhắn giữa Blockchain chính và sidechain thông qua chốt hai chiều. Ở đây, nếu một giao dịch khóa ban đầu được coi là không hợp lệ, thì các giao dịch tiếp theo cũng sẽ bị ảnh hưởng.

Thứ tư, hợp đồng thông minh (Smart Contract). Đây là các chương trình giao dịch tự động chạy trên Sổ cái phân tán, thường được xây dựng theo tư duy kinh doanh như chính sách bảo hiểm tự thực hiện và các hợp đồng tương lai về tài chính. Điều này khiến chúng có thể bị lỗi mã hóa, thường liên quan đến các ngôn ngữ lập trình chuyên dụng được dùng để xây dựng những hợp đồng thông minh. Cụ thể, hiện tượng này đã được quan sát thấy trong các hợp đồng thông minh sử dụng công nghệ Blockchain Etherium được viết bằng các ngôn ngữ hướng tới đối tượng “Serpent” hoặc “Solidity”.

Thứ năm, lỗ hổng Blockchain riêng tư. Một số doanh nghiệp đã triển khai các Blockchain riêng bằng cách sử dụng cơ sở hạ tầng mạng sẵn có, dịch vụ dựa trên nền tảng đám mây và đặc quyền truy cập của người dùng. Cấu hình này giúp bảo vệ họ khỏi những can thiệp từ bên ngoài. Từ quan điểm của kẻ thù địch, việc phát hiện ra sự tồn tại của một Blockchain riêng có thể tăng thêm động cơ đột nhập bởi kể phá hoại sẽ suy đoán rằng phải có thứ gì giá trị ở đó thì người ta mới xây dựng hệ thống an ninh như vậy để bảo vệ nó.

Thiết kế bảo mật ngay từ khâu bắt đầu xây dựng Blockchain

Đối với các chuyên gia an ninh mạng, công nghệ Blockchain chỉ là một loại tài sản doanh nghiệp cần được bảo vệ khỏi sự can thiệp của những phần tử thù địch. May mắn thay, ở giai đoạn phát triển hiện tại của công nghệ, hầu hết mọi dự án Blockchain đều hoàn toàn mới. Điều này mang đến cho các nhà thiết kế ứng dụng cơ hội để xây dựng hệ thống bảo mật cho dự án ngay từ giai đoạn khởi đầu trong chu kỳ phát triển của nó.

Việc coi bảo mật là một mục tiêu thiết kế chính của dự án Blockchain giúp chúng ta có thể tiến hành phân tích theo cấu trúc các yêu cầu bảo mật và các ưu tiên đầu tư. Quá trình này bao gồm các giai đoạn.

Xác định Tài sản quan trọng nhất của công ty cần được bảo vệ. Điều gì có thể bị đe dọa trong các sáng kiến Blockchain? Điều gì sẽ là động cơ kích thích kẻ tấn công?

Khảo sát bề mặt tấn công. Các điểm tiềm năng của cuộc tấn công và khả năng thất bại trên toàn bộ bề mặt mạng?

Bảo vệ chống lại các mối đe dọa đã biết. Xác định các yêu cầu về thông tin mối nguy hại, chỉ định các quy trình và công nghệ để đẩy lùi các mối đe dọa đã biết.

Xác định và phát hiện các mối đe dọa chưa biết. Truy cập các nguồn thông tin về những mối đe dọa thực sự, đồng thời sử dụng các phát hiện này để thông báo và điều chỉnh các biện pháp ngăn chặn và phòng ngừa.

Nhanh chóng giải quyết các lỗ hổng, hành vi khai thác lỗ hổng và vi phạm an ninh. Thời gian là điều cốt yếu trong mọi hoạt động phản ứng và khắc phục. Không chỉ bởi thời gian mang đến cho kẻ tấn công cơ hội rộng mở để khám phá và khai thác tài nguyên của bạn, sẽ xấu hổ khi phải giải thích với thế giới tại sao phải mất đến hàng tuần/tháng/năm để tổ chức của bạn phát hiện và dập tắt hành vi vi phạm gây thiệt hại.

Liên tục đánh giá lại, điều chỉnh và cải thiện tư thế bảo mật. Công tác phòng thủ không bao giờ được tạm ngừng hay ngơi nghỉ vì những kẻ tấn công cũng sẽ như vậy.

Mặc dù có rất nhiều lợi ích đến từ công nghệ Blockchain, vẫn còn nhiều việc cần phải. Khi kinh nghiệm làm việc với công nghệ Blockchain tăng lên, các chuyên gia CNTT và an ninh mạng chắc chắn sẽ phải đối mặt với những bất ngờ không mấy dễ chịu khác trong quá trình làm việc. Dù vậy, các chuyên gia bảo vệ an ninh mạng vẫn có thể thực hiện tốt công việc của mình bằng cách đưa những hệ thống bảo mật phù hợp vào các sáng kiến xây dựng trên nền tảng Blockchain ngay từ giai đoạn lập kế hoạch và thiết kế ban đầu.

Fortinet đã nghiên cứu rất nhiều về vấn đề an ninh mạng trong xu thế chuyển đổi số (DX) mà công nghệ Blockchain là một phần trong đó. Sách trắng - một tài liệu quan trọng của Fortinet mang tên “Chuyển đổi bảo mật cần phải có kiến trúc bảo mật Security Fabric” là một tài liệu khởi đầu tốt giúp các chuyên gia an ninh mạng hiểu rõ hơn về cách triển khai an ninh mạng trong một thế giới đang hướng tới xu thế chuyển đổi số. Chắc chắn rằng công nghệ Blockchain sẽ có một tương lai tuyệt vời phía trước. Ngoài những ưu điểm to lớn của bản thân công nghệ, chúng ta sẽ có lợi thế hơn khi bước vào kỷ nguyên công nghệ Blockchain với nhận thức rõ rệt hơn về các yếu tố rủi ro an ninh mạng khi đối mặt với bất kỳ xu thế công nghệ mới nào.

Hiền Mai