Bạn sẽ cảm thấy thế nào khi phát hiện người bảo vệ nhà mình lại là kẻ trộm? Chính xác đó là tình huống mà ngành an ninh mạng Brazil đang đối mặt. KrebsOnSecurity vừa tiết lộ một công ty chuyên chống tấn công DDoS (Distributed Denial-of-Service) lại điều khiển botnet tấn công quy mô lớn các nhà cung cấp dịch vụ internet khác trong cùng quốc gia. Sự việc này đặt ra câu hỏi nghiêm trọng về đạo đức và an toàn trong ngành bảo mật mạng.

Khi người bảo vệ trở thành kẻ tấn công

Công ty công nghệ Brazil này đã hoạt động trong lĩnh vực bảo vệ mạng khỏi các cuộc tấn công DDoS - loại tấn công nhằm làm quá tải máy chủ bằng cách gửi hàng triệu yêu cầu giả mạo cùng lúc. Thế nhưng, thay vì chỉ phòng thủ, họ lại điều khiển một mạng botnet để thực hiện chính những cuộc tấn công mà họ tuyên bố bảo vệ khách hàng. Botnet là mạng lưới các máy tính bị nhiễm mã độc và được điều khiển từ xa để thực hiện các hoạt động bất hợp pháp.

Chiến dịch tấn công này không phải diễn ra trong thời gian ngắn mà kéo dài liên tục, nhắm vào nhiều nhà cung cấp dịch vụ internet khác nhau tại Brazil. Quy mô và tính chất có hệ thống của các cuộc tấn công cho thấy đây không phải hành vi ngẫu nhiên hay tình cờ. Chúng tôi cho rằng việc một công ty bảo mật lại trở thành nguồn gốc của các mối đe dọa mạng là một trong những vụ việc nghiêm trọng nhất trong ngành an ninh mạng năm nay.

Lời biện hộ của CEO hay chiến thuật che đậy?

Đối mặt với các bằng chứng, CEO của công ty này đưa ra lời giải thích đầy bất ngờ. Ông khẳng định hoạt động độc hại này xuất phát từ một vụ vi phạm bảo mật và có khả năng là "tác phẩm" của một đối thủ cạnh tranh nhằm làm tổn hại hình ảnh công ty. Theo lời CEO, hacker đã xâm nhập hệ thống của họ và sử dụng cơ sở hạ tầng công ty để thực hiện các cuộc tấn công.

Lời giải thích này đặt ra nhiều câu hỏi hơn là đưa ra câu trả lời. Nếu đúng như vậy, tại sao một công ty chuyên về bảo mật lại để xảy ra vi phạm nghiêm trọng đến vậy? Và quan trọng hơn, tại sao họ không phát hiện ra việc cơ sở hạ tầng của mình được sử dụng để tấn công trong thời gian dài? Chúng tôi đánh giá rằng dù lý do thực sự là gì, sự việc này đã bộc lộ những lỗ hổng nghiêm trọng trong quản lý an ninh nội bộ của chính các công ty bảo mật.

Tác động lan rộng và bài học đắt giá

Vụ việc tại Brazil không chỉ ảnh hưởng đến các nhà cung cấp internet bị tấn công mà còn gây chấn động toàn ngành an ninh mạng toàn cầu. Khách hàng hiện tại và tiềm năng của công ty này phải đối mặt với câu hỏi: liệu họ có thể tin tưởng một công ty vừa là "lá chắn" vừa có thể là "mũi dao" nhắm vào chính mình? Sự tin tưởng - yếu tố then chốt trong ngành bảo mật - đã bị phá vỡ hoàn toàn.

Tại Việt Nam, theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), năm 2023 đã ghi nhận hơn 13.000 cuộc tấn công mạng, trong đó tấn công DDoS chiếm tỷ lệ không nhỏ. Sự việc ở Brazil càng nhấn mạnh tầm quan trọng của việc lựa chọn nhà cung cấp dịch vụ bảo mật uy tín và có khả năng giám sát, kiểm soát chặt chẽ hoạt động nội bộ.

Làm thế nào để bảo vệ bản thân?

Doanh nghiệp Việt Nam cần rút ra những bài học quan trọng từ vụ việc này. Đầu tiên, hãy thực hiện due diligence kỹ lưỡng khi chọn nhà cung cấp dịch vụ bảo mật - kiểm tra lịch sử hoạt động, chứng nhận bảo mật, và danh tiếng trên thị trường. Thứ hai, không nên phụ thuộc hoàn toàn vào một nhà cung cấp duy nhất mà cần có chiến lược đa tầng với nhiều giải pháp bổ sung cho nhau.

Đồng thời, các tổ chức cần thiết lập hệ thống giám sát mạng độc lập để phát hiện sớm các hoạt động bất thường, kể cả từ chính nhà cung cấp dịch vụ bảo mật. Quan trọng nhất, hãy xây dựng kế hoạch ứng phó sự cố chi tiết, bao gồm cả trường hợp nhà cung cấp bảo mật trở thành nguồn gốc mối đe dọa. Chúng tôi khuyến nghị các doanh nghiệp nên cập nhật ngay các chính sách bảo mật và rà soát lại toàn bộ hệ thống phòng thủ hiện tại.