
Đối thoại cùng nhà cung cấp dịch vụ an ninh xuất sắc Web3: Cuộc chiến tấn công và phòng thủ trong điện toán đám mây
Tuyển chọn TechFlowTuyển chọn TechFlow

Đối thoại cùng nhà cung cấp dịch vụ an ninh xuất sắc Web3: Cuộc chiến tấn công và phòng thủ trong điện toán đám mây
Khi năm 2023 dần khép lại, các tín hiệu của thị trường tăng giá ngày càng rõ ràng, số lượng dự án Web3 triển khai máy chủ đám mây sẽ gia tăng nhanh chóng, vai trò của điện toán đám mây như một tầng cơ sở hạ tầng ngày càng trở nên quan trọng.
Tác giả: CrossSpace
Hệ sinh thái Web3 được xây dựng dựa trên công nghệ Blockchain (sổ cái phân tán) đang nhanh chóng phát triển. Những đổi mới trong công nghệ chuỗi khối lớp L1 và L2 đã làm cho mạng lưới tính toán thế hệ tiếp theo trở nên khả thi, các cơ sở hạ tầng khác nhau liên tục được hoàn thiện như những mảnh ghép Lego, và các nhà BUIDLers Web3 không ngừng xây dựng nhiều dApp phong phú trên nhiều lĩnh vực ứng dụng khác nhau.

Dịch vụ đám mây là một phần thiết yếu và không thể thiếu trong toàn bộ hệ sinh thái Web3, hàng chục ngàn chương trình chạy mỗi năm trên máy chủ đám mây. Theo báo cáo công khai từ tổ chức an ninh Immunefi, báo cáo này chỉ ra rằng “trong các sự cố an ninh năm 2022, 46,5% thiệt hại tài sản đến từ hạ tầng cơ bản, trong đó quản lý khóa riêng, thực hành và kế hoạch ứng phó sự cố là quan trọng nhất.” An ninh đám mây Web3 luôn đối mặt với thách thức, rò rỉ khóa riêng, truy cập trái phép, phân tích và kiểm toán Smart Contract, tấn công DDoS, mối đe dọa nội bộ, vấn đề tuân thủ và ổn định liên tục gây khó khăn cho các nhà BUIDLers Web3, đồng thời cũng đặt ra thử thách mới cho các nhà cung cấp dịch vụ đám mây và an ninh.
Là công ty tiên phong cung cấp dịch vụ đám mây, Amazon Web Services (AWS), luôn dẫn đầu trong lĩnh vực dịch vụ đám mây. Hiện nay AWS còn tích cực đón nhận hệ sinh thái Web3, hợp tác cùng thương hiệu cộng đồng Web3 hàng đầu CrossSpace tổ chức chuỗi hội thảo trực tuyến và trực tiếp về “An ninh Web3”, đi sâu vào lĩnh vực an ninh dịch vụ đám mây, lắng nghe những thách thức thực tiễn về an ninh từ các sàn giao dịch, chuỗi công khai, hạ tầng và dApps, thảo luận các giải pháp khả thi.
Trong phần phỏng vấn của chuỗi thảo luận này, chúng tôi vinh dự được phỏng vấn bốn tổ chức an ninh Web3 xuất sắc gồm Beosin, CertiK, MetaTrust và SlowMist (Mạn Vụ) cùng chuyên gia an ninh đám mây AWS, cùng nhau thảo luận về các thách thức hiện tại của an ninh đám mây và cách giải quyết vấn đề.
Tại sao an ninh đám mây Web3 lại quan trọng đến vậy?
An ninh là điều tối quan trọng với mọi doanh nghiệp. Dịch vụ đám mây và Web3 có mối quan hệ hỗ trợ lẫn nhau. Từ khi Bitcoin chính thức lên mainnet năm 2009, Ethereum lên mainnet năm 2015, các sự cố an ninh và tổn thất tài sản ngày càng tăng theo từng năm, vì vậy an ninh càng cần được coi trọng như nền tảng của thế giới Web3. Dù là sàn giao dịch tập trung hay các trường hợp phi tập trung như DeFi, GameFi, NFT, DAO, Social, Bridge,... đều liên quan đến các ứng dụng dựa trên token. Làm sao đảm bảo an toàn cho toàn bộ quy trình xử lý token là điều mà các nhà BUIDLers Web3 cần cân nhắc kỹ lưỡng. AWS với tư cách là chuyên gia trong lĩnh vực an ninh đám mây và đơn vị phục vụ nhiều dự án Web3, luôn theo sát tình hình an ninh trong lĩnh vực Blockchain và Web3, tích cực trao đổi với các bên phát triển dự án, tổ chức nhiều hình thức chia sẻ và đào tạo an ninh Web3.
Gần cuối năm 2023, tín hiệu thị trường tăng giá dần rõ ràng, số lượng dự án Web3 triển khai máy chủ đám mây sẽ tăng nhanh chóng, vai trò của đám mây với tư cách là lớp hạ tầng ngày càng quan trọng, do đó an ninh đám mây là yếu tố an ninh mà mọi lập trình viên và BUIDLers đều phải chú ý.
Hiện tại an ninh đám mây đang đối mặt với những thách thức lớn nào?
Trong cuộc phỏng vấn này, công ty an ninh Beosin cho biết: "Tấn công vào nhà cung cấp dữ liệu dịch vụ đám mây là một trong những loại tấn công chính gần đây, chủ yếu thông qua các phương pháp như tấn công DDoS, chiếm quyền tài khoản, cài mã độc, nhằm vào dịch vụ tính toán và lưu trữ của nhà cung cấp đám mây, hậu quả là rò rỉ dữ liệu nhạy cảm và gián đoạn dịch vụ." Nhóm chia sẻ thêm: "Gần đây, Mixin Network và Fortress IO lần lượt bị mất 200 triệu USD và 15 triệu USD do nhà cung cấp dịch vụ đám mây bị tấn công."
Rò rỉ dữ liệu nhạy cảm, đặc biệt là rò rỉ khóa riêng, là nguyên nhân được các chuyên gia an ninh nhắc đến nhiều lần trong cuộc phỏng vấn này. Báo cáo an ninh quý III của CertiK cũng cho biết: "Rò rỉ khóa riêng là một trong những nguyên nhân gây ra tổn thất lớn trong quý này. 14 sự kiện đánh cắp khóa riêng đã gây ra tổng thiệt hại 204 triệu USD."
Ngoài rò rỉ dữ liệu, nhóm SlowMist (Mạn Vụ) cũng đưa ra một số hạng mục khác về mối đe dọa an ninh đám mây, bao gồm:
-
Rò rỉ tài khoản và truy cập trái phép: Hacker có thể sử dụng bẻ khóa mật khẩu, kỹ thuật xã hội hoặc tấn công mật khẩu yếu để lấy được tài khoản và chứng thực người dùng, từ đó truy cập trái phép.
-
Tấn công DDoS: Tấn công từ chối dịch vụ phân tán (DDoS) có thể khiến dịch vụ đám mây không khả dụng, làm tê liệt dịch vụ bằng cách chiếm dụng tài nguyên hoặc tràn ngập lưu lượng mạng, dẫn đến gián đoạn hoạt động kinh doanh.
-
Mối đe dọa nội bộ ác ý: Người dùng nội bộ hoặc nhân viên có thể lạm dụng quyền hạn để đánh cắp dữ liệu, phá hủy thông tin hoặc thực hiện các hành vi ác ý khác.
-
Tuân thủ và quản lý dữ liệu: Các dự án trong quá trình xử lý dữ liệu trên nền tảng nhà cung cấp dịch vụ đám mây không sử dụng hiệu quả các công cụ để bảo vệ dữ liệu, dẫn đến nhầm lẫn hoặc mất dữ liệu.
Trước các góc tấn công đa chiều của hacker và rủi ro an ninh nội bộ tiềm tàng, các chuyên gia an ninh Web3 kêu gọi mọi người nhận thức rằng an ninh đám mây đòi hỏi chiến lược an ninh tổng hợp, do đó không thể chỉ áp dụng biện pháp phòng thủ đơn giản, một chiều.
Cuộc chiến "tấn công - phòng thủ" an ninh đám mây, làm sao phá vỡ thế cục?
Đối mặt với những thách thức liên tục về an ninh đám mây, làm thế nào để phòng thủ tốt, hỗ trợ bảo vệ dữ liệu riêng tư và an toàn tài chính cho người dùng? Các chuyên gia và nhóm từ các tổ chức an ninh đã đưa ra quan điểm của họ.
Nhóm Beosin:
"Các sự cố rò rỉ dữ liệu nhạy cảm xảy ra thường xuyên, chúng tôi khuyến nghị kỹ thuật viên mã hóa dữ liệu khi lưu trữ và truyền tải, tránh bị truy cập bởi bên thứ ba không được ủy quyền. Đối với dữ liệu nhạy cảm như khóa riêng, nên sử dụng tính toán riêng tư và công nghệ mã hóa đồng dạng để tránh rò rỉ khóa riêng.
Đồng thời, các dự án cần xác nhận chỉ cho phép client truy cập dịch vụ đám mây qua API an toàn, tránh các hoạt động ác ý như tấn công chèn mã, script chéo trang. Việc sử dụng API còn giúp xác thực client và kiểm tra dữ liệu trước khi truy cập dịch vụ đám mây, đảm bảo an toàn truy cập và an toàn dữ liệu. Do máy tính cá nhân với tư cách là client có năng lực bảo vệ an ninh yếu, chúng tôi không khuyến nghị truy cập và vận hành dữ liệu hệ thống trực tiếp qua máy tính cá nhân, mà nên hoàn thành các truy cập liên quan thông qua màn hình ảo trên đám mây hoặc máy nhảy (jump server) an toàn."
Giám đốc An ninh Chính của CertiK, Giáo sư Li Kang:
"Chúng tôi chủ yếu nhận thấy hai loại rủi ro phổ biến khi sử dụng nền tảng đám mây, đó là cấu hình sai dữ liệu đám mây của người dùng và rủi ro khi người dùng ẩn dịch vụ nền tảng đám mây vào dApp. Hầu hết thời gian đám mây cung cấp rất nhiều tài nguyên bảo vệ và kiểm soát dữ liệu, nhưng thường do người dùng cấu hình sai, khiến người ngoài có cơ hội xâm nhập vào nền tảng người dùng. Loại rủi ro thứ hai bắt nguồn từ việc các nhà phát triển dự án ẩn dịch vụ nền tảng đám mây vào dApp —— một số nhà phát triển vì tiện lợi tự thiết kế một giao diện chỉ dùng nội bộ, cho phép dApp truy cập trực tiếp từ ứng dụng di động mà không cần công khai bên ngoài. Mặc dù API đám mây của dự án có kiểm soát chuyên biệt, điều này vẫn dẫn đến tương tác nhiều giữa dApp và nền tảng."
"Đối với hai loại rủi ro này, CertiK đã xây dựng dịch vụ an ninh cho đám mây và dApp chạy trên đám mây, bao gồm kiểm toán mã, đánh giá rủi ro, xác minh danh tính và điều tra lý lịch đội ngũ. Giáo sư Li Kang bổ sung: 'Nếu bạn không thể đảm bảo đội ngũ phát triển hoàn toàn đáng tin cậy, thì việc nhờ chuyên gia kiểm toán thực hiện kiểm toán toàn diện cho dApp vẫn là điều rất cần thiết.'"
Giáo sư Liu Yang, Đồng sáng lập MetaTrust:
"An ninh đám mây với tư cách là lớp hạ tầng cần đảm bảo an toàn dữ liệu và bảo vệ quyền riêng tư người dùng. Cần xây dựng hệ thống bảo vệ an ninh toàn diện từ đầu đến cuối, đặc biệt chú ý bảo vệ dữ liệu. Thiết lập quyền truy cập tương ứng cho các loại dữ liệu khác nhau, ngăn chặn truy cập trái phép. Cơ chế dịch vụ đám mây khá phức tạp, các loại dữ liệu khác nhau cần có cơ chế truy cập độc lập riêng.
Ngoài ra, cần coi trọng tuân thủ dữ liệu. Hiện nay, nhiều dữ liệu nằm trong cùng một đám mây, có thể do khác khu vực mà dẫn đến hạn chế truy cập dữ liệu. Nếu không hiểu rõ tình trạng này, dễ dẫn đến vấn đề tuân thủ do rò rỉ dữ liệu xuyên biên giới. Vì vậy, kiểm soát truy cập và xác thực danh tính cũng rất quan trọng. Chúng ta cần xây dựng cơ chế kiểm soát truy cập và xác thực danh tính nghiêm ngặt, chi tiết, ngăn chặn truy cập trái phép."
Nhóm SlowMist (Mạn Vụ):
"An ninh đám mây cần chiến lược an ninh tổng hợp, bao gồm kiểm soát truy cập phù hợp, mã hóa, giám sát liên tục, mời tổ chức an ninh chuyên nghiệp kiểm toán toàn diện, đào tạo giáo dục và các biện pháp khác, nhằm đảm bảo tính an toàn và ổn định của môi trường đám mây. Ví dụ, mã hóa đầu cuối cho dữ liệu quan trọng, nếu dùng mã hóa thì quản lý an toàn khóa mã hóa là rất quan trọng, hãy lưu bản sao khóa, tốt nhất không nên lưu trên đám mây. Ví dụ phòng ngừa các lỗ hổng cơ bản như cấu hình sai, rủi ro an ninh đám mây sẽ giảm đáng kể. Cuối cùng, dù là người dùng cá nhân, doanh nghiệp vừa và nhỏ hay người dùng đám mây quy mô lớn, đảm bảo mạng và thiết bị an toàn nhất có thể là rất quan trọng."
AWS: An ninh là lớp bảo vệ nhiều tầng kiểu hành tây
Dù ở Web2 hay Web3, AWS đều tích cực cung cấp dịch vụ điện toán đám mây và an ninh cho nhiều loại dự án. Với tư cách là doanh nghiệp dẫn đầu trong điện toán đám mây và là người tham gia tích cực, các chuyên gia công nghệ Web3 của AWS cho rằng an ninh không phải là mô hình trứng một lớp, mà là mô hình hành tây nhiều lớp bảo vệ, từng lớp từng lớp mở rộng. Cụ thể, lớp đầu tiên là phát hiện mối đe dọa và phản hồi sự cố, lớp thứ hai là xác thực danh tính và kiểm soát truy cập, lớp thứ ba là an ninh mạng và hạ tầng, lớp thứ tư là bảo vệ dữ liệu và quyền riêng tư, lớp thứ năm là kiểm soát rủi ro và tuân thủ. AWS cung cấp giải pháp đầy đủ cho từng lớp, giúp các dự án Web3 quản lý hệ thống ứng dụng một cách an toàn hơn.
Kết luận: Muốn giành chiến thắng trong cuộc chiến an ninh đám mây Web3, cần sự nỗ lực chung của tất cả các bên
An ninh hệ sinh thái Web3 không thể tách rời khỏi an ninh hạ tầng đám mây, và các bên tham gia liên quan đến hạ tầng đám mây bao gồm các dự án, nhà cung cấp dịch vụ đám mây và nhà cung cấp dịch vụ an ninh đều cần xây dựng chiến lược an ninh tổng hợp, định kỳ kiểm toán, tự kiểm tra an ninh để đảm bảo mức độ an toàn cao nhất.
Đối với các nhà phát triển Web3, ngoài việc nâng cao đạo đức nghề nghiệp, cần không ngừng rèn luyện kỹ năng an ninh liên quan, có thể tích cực tham gia các hoạt động và đào tạo dành cho nhà phát triển của AWS, ví dụ như Web3 Ethical Hacking and Security Best Practice, để nhận diện các rủi ro hợp đồng phổ biến.
Mục tiêu chung của chúng ta là xây dựng hệ sinh thái Web3 an toàn, thúc đẩy sự phát triển bền vững của ngành, hy vọng bạn có thể rút ra bài học từ cuộc phỏng vấn này và tích cực áp dụng vào thực tiễn hàng ngày.
Nếu các dự án Web3 muốn tìm hiểu cách xây dựng ứng dụng đám mây an toàn, vui lòng nhấn vào liên kết để biết thêm chi tiết.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












