‘Lười’ vá các lỗi phần mềm đã xuất hiện từ lâu, doanh nghiệp có thể phải nếm trái đắng

/in /by

Một thống kê gần đây đã chỉ ra rằng có tới xấp xỉ 2/3 số lỗ hổng tồn tại trong các hệ thống mạng doanh nghiệp đã từng được được ghi nhận trước đó từ hai năm trở lên, nhưng cho đến nay vẫn chưa hề được vá mặc dù đã có những bản sửa lỗi được phát hành. Thực trạng này khiến các doanh nghiệp ngày càng có nguy cơ phải hứng chịu các cuộc tấn công mà nếu chăm chỉ áp dụng các bản cập nhật bảo mật thường xuyên theo định kỳ, họ hoàn toàn có thể tránh được.

Cụ thể hơn, một phân tích chuyên sâu mới được công bố của Bitdefender đã chỉ ra rằng có tới 64% trong tổng số các lỗ hổng chưa được vá ghi nhận trong nửa đầu năm 2020 có liên quan đến những sự cố đã từng được biết đến từ năm 2018 hoặc lâu hơn. Nói cách khác, đa số các lỗ hổng được báo cáo mới trên thực tế lại là những lỗ hổng “già” mà đáng ra nên được vá từ lâu. Và tất nhiên sự nguy hiểm mà chúng chứa đựng vẫn còn nguyên vẹn đối với các tổ chức, doanh nghiệp.

“Phần lớn hệ thống của các tổ chức, doanh nghiệp được khảo sát vẫn chứa đựng những lỗ hổng chưa được vá mà vốn đã từng được biết đến trong khoảng thời gian từ năm 2002 đến năm 2018”, báo cáo của Bitdefender lưu ý.

Bảo mật doanh nghiệp

Việc triển khai cũng như áp dụng các bản vá lỗi theo định kỳ có thể nói là một công việc nhàm chán và rất mất thời gian, nhưng có ý nghĩa cực kỳ quan trọng về lâu dài. Trong mắt tội phạm mạng, các lỗ hổng chưa được vá hiện lên như những cây cầu nối giúp chúng dễ dàng triển khai các cuộc tấn công mạng cũng như lây lan phần mềm độc hại. Nhưng trong khi các nhà cung cấp dịch vụ phần mềm và giới bảo mật luôn “ra rả” khuyến nghị các tổ chức, doanh nghiệp và cả người dùng cá nhân nên áp dụng các bản vá bảo mật cho những lỗ hổng mới được phát hiện càng sớm càng tốt, số liệu trong báo cáo Business Threat Landscape Report 2020 của Bitdefender lại cho thấy rằng có không ít tổ chức vẫn rất “lười” cập nhật, bảo trì hệ thống. Điều này hoàn toàn có thể khiến họ phải nếm trái đắng trong tương lai.

Cá biệt trong một số trường hợp, các tổ chức “làm ngơ” trước các bản vá bảo mật vì họ sợ rằng nó có thể tác động tiêu cực đến cách thức vận hành hệ thống của mình – và do đó, nguy cơ bị tấn công mạng lại càng tăng thêm.

“Khả năng tương thích ngược đóng một vai trò quan trọng trong quyết định của doanh nghiệp về việc có nên áp dụng bản vá đối một số ứng dụng nhất định hay không. Ví dụ: Hành động áp dụng bản vá hoặc nâng cấp một ứng dụng, dịch vụ có thể phá vỡ khả năng tương thích với các phần mềm khác trong hệ thống, khiến hoạt động chung bị ảnh hưởng. Trong trường hợp này, việc không áp dụng bản vá có thể không phải là một quyết định an ninh mà mang tính kinh doanh nhiều hơn”, Liviu Arsene, nhà nghiên cứu an ninh mạng toàn cầu tại Bitdefender, nhận định.

Bằng cách tự trang bị cho mình kiến thức tốt về vấn đề an ninh mạng và có kế hoạch áp dụng bản vá bảo mật theo lộ trình cụ thể, các tổ chức có thể tự xây dựng lộ trình bảo vệ mình khỏi nguy cơ trở thành nạn nhân của các cuộc tấn công mạng được thiết kế để tận dụng các lỗ hổng đã tồn tại từ lâu trên hệ thống của chính họ.