Blockchain (công nghệ chuỗi khối) được phát minh ra từ năm 2008, và sau đó được hiện thực hóa như là một phần cốt lõi của Bitcoin, đóng vai trò như là một cuốn sổ cái cho tất cả các giao dịch. Nhưng đến nay, với những tính năng mở, giao dịch chính xác, chi phí thấp,… đã khiến Blockchain không chỉ được biết đến trong lĩnh vực tài chính, ngân hàng mà công nghệ này đã trở thành nguồn cảm hứng cho một loạt các ứng dụng khác. Tỷ lệ ứng dụng công nghệ này hiện nay đang gia tăng cực nhanh, mở rộng tầm ảnh hưởng của nó ở nhiều ngành công nghiệp và lĩnh vực kinh tế trên toàn cầu. Tuy nhiên, việc gia tăng các ứng dụng trên một nền tảng công nghệ không độc lập cũng sẽ có những kẽ hở cho các cuộc tấn công, đòi hỏi phải bảo mật.

Trong bài viết về vấn đề Bảo vệ tương lai của công nghệ Blockchain tại châu Á - Thái Bình Dương, ông Matthew Kuan, Giám đốc Giải pháp và Tiếp thị Fortinet Đông Nam Á và Hồng Kong đã phân tích: Tài chính hiện đang là “thị trường” chính để triển khai công nghệ Blockchain, xếp ngay sau đó là ngành vận tải, hậu cần. Điều quan trọng cần lưu ý là các công ty dịch vụ tài chính đang triển khai công nghệ Blockchain để hỗ trợ các quy trình xử lý tiền tệ có chủ quyền chính thống, không phải các giao dịch tiền ảo gây tranh cãi mà ban đầu đã khiến công nghệ Blockchain trở nên nổi tiếng. Mức chi tiêu dành cho công nghệ Blockchain trên toàn thế giới ở các mảng dịch vụ chuyên nghiệp và các doanh nghiệp sản xuất theo quy trình cũng đang có dấu hiệu gia tăng.

Cuối tháng 3 vừa qua, tại Hà Nội, ông Matthew Kuan đã có buổi chia sẻ về tiềm năng ứng dụng Blockchain cũng như các nguy cơ cần bảo mật cho việc ứng dụng công nghệ này

Khu vực châu Á - Thái Bình Dương đã trở thành nơi nuôi dưỡng cho các ứng dụng Blockchain tân tiến. Các dự án dựa trên nền tảng Blockchain đang được thí điểm hoặc đã được đưa vào ứng dụng trong các tổ chức chính phủ, nhà máy điện, bảo mật chuỗi cung ứng và các dự án môi trường. Sự gia tăng đột biến trong ngân sách dành cho công nghệ Blockchain được dự đoán ở khu vực này cũng chỉ ra rằng không có dấu hiệu nào cho thấy các trường hợp sử dụng này sẽ giảm dần trong tương lai. Tuy nhiên, do nhiều ngành công nghiệp ở khu vực châu Á - Thái Bình Dương và Nhật Bản đã áp dụng công nghệ Blockchain, việc những người chịu trách nhiệm bảo mật chú trọng tới các quy trình bảo vệ an toàn cho các dự án công nghệ Blockchain mới sẽ hết sức quan trọng.

NHỮNG YẾU TỐ AN NINH TIỀM ẨN

Theo ông Matthew Kuan, mỗi công nghệ mới phát triển đều kéo theo những mối nguy hại tiềm tàng, và công nghệ Blockchain cũng không ngoại lệ. Các giao dịch hiện nay đều phải qua bên thứ 3, có mạng lưới thông tin. Nhờ công nghệ Blockchain mà góp phần giải quyết sự tin tưởng trong các giao dịch. Bản thân Blockchain có nhiều ưu điểm, tuy nhiên Blockchain không độc lập mà cần nền tảng kết nối, bao gồm cả thiết bị phần cứng và phần mềm, đặc biệt là qua mạng lưới internet cho nên vẫn tiềm ẩn nguy cơ mất an toàn.

Thậm chí những dự án triển khai công nghệ Blockchain sớm đã lọt vào tầm ngắm của những phần tử chống phá an ninh mạng. Do việc phát triển Blockchain đóng vai trò quan trọng đối với nền kinh tế, hiển nhiên chúng sẽ trở thành những đối tượng hấp dẫn cho các hành vi phá hoại an ninh mạng. Đầu tiên, có rất nhiều lỗ hổng trong công nghệ Blockchain và sổ cái phân tán (DLT: Distributed Ledger) là thứ chúng ta cần phải nhận thức được. Những vấn đề này sẽ gây ảnh hưởng tới cách triển khai và nơi chúng ta ứng dụng Blockchain:

Kiểm soát sự đồng thuận. Trong các mạng lưới phân tán với quyền truy cập hạn chế, sự đồng thuận được hình thành thông qua sự đồng ý của đa số, việc kiểm soát một số lượng lớn khách hàng tham gia có thể cho phép kẻ tấn công phá rối quá trình xác nhận.

Tấn công DDoS. Do tính chất phân tán của Sổ cái Blockchain, chúng có khả năng bị tổn hại trước các cuộc tấn công từ chối dịch vụ phân tán (DDoS) qua thư rác. Ngay cả khi các cuộc tấn công này không hoàn toàn đóng quyền truy cập vào Blockchain, chúng vẫn có thể khiến thời gian chờ xử lý quy trình tăng lên, vì các điểm nút hoạt động sẽ bận kiểm tra tính hợp lệ của các giao dịch gian lận.

Lỗ hổng trong Sidechain. Những lỗ hổng này có thể gây thiệt hại đến các cổng ra được sử dụng để chuyển các tài sản và tin nhắn giữa Blockchain chính và sidechain thông qua chốt hai chiều. Ở đây, nếu một giao dịch khóa ban đầu được coi là không hợp lệ, thì các giao dịch tiếp theo cũng sẽ bị ảnh hưởng.

Hợp đồng thông minh (Smart Contract). Đây là các chương trình giao dịch tự động chạy trên sổ cái phân tán, thường được xây dựng theo tư duy kinh doanh như chính sách bảo hiểm tự thực hiện và các hợp đồng tương lai về tài chính. Điều này khiến chúng có thể bị lỗi mã hóa, thường liên quan đến các ngôn ngữ lập trình chuyên dụng được dùng để xây dựng những hợp đồng thông minh. Cụ thể, hiện tượng này đã được quan sát thấy trong các hợp đồng thông minh sử dụng công nghệ Blockchain Etherium được viết bằng các ngôn ngữ hướng tới đối tượng “Serpent” hoặc “Solidity”.

Lỗ hổng Blockchain riêng tư. Một số doanh nghiệp đã triển khai các Blockchain riêng bằng cách sử dụng cơ sở hạ tầng mạng sẵn có, dịch vụ dựa trên nền tảng đám mây và đặc quyền truy cập của người dùng. Cấu hình này giúp bảo vệ họ khỏi những can thiệp từ bên ngoài. Từ quan điểm của kẻ thù địch, việc phát hiện ra sự tồn tại của một Blockchain riêng có thể tăng thêm động cơ đột nhập bởi kể phá hoại sẽ suy đoán rằng phải có thứ gì giá trị ở đó thì người ta mới xây dựng hệ thống an ninh như vậy để bảo vệ nó.

THIẾT KẾ BẢO MẬT NGAY KHI XÂY DỰNG BLOCKCHAIN

Bất luận những cường điệu và lời lẽ hoa mỹ như thế nào đang được dành cho Blockchain trong những cuộc đối thoại, đối với các chuyên gia an ninh mạng, công nghệ Blockchain là một loại tài sản doanh nghiệp cần được bảo vệ khỏi sự can thiệp của những phần tử thù địch. May mắn thay, ở giai đoạn phát triển hiện tại của công nghệ, hầu hết mọi dự án Blockchain đều hoàn toàn mới. Điều này mang đến cho các nhà thiết kế ứng dụng cơ hội để xây dựng hệ thống bảo mật cho dự án ngay từ giai đoạn khởi đầu trong chu kỳ phát triển của nó. Việc coi bảo mật là một mục tiêu thiết kế chính của dự án Blockchain giúp chúng ta có thể tiến hành phân tích theo cấu trúc các yêu cầu bảo mật và các ưu tiên đầu tư. Các giai đoạn trong quá trình này bao gồm:

Xác định Tài sản quan trọng nhất của công ty cần được bảo vệ. Điều gì có thể bị đe dọa trong các sáng kiến Blockchain? Điều gì sẽ là động cơ kích thích kẻ tấn công?

Khảo sát bề mặt tấn công. Các điểm tiềm năng của cuộc tấn công và khả năng thất bại trên toàn bộ bề mặt mạng?

Bảo vệ chống lại các mối đe dọa đã biết. Xác định các yêu cầu về thông tin mối nguy hại, chỉ định các quy trình và công nghệ để đẩy lùi các mối đe dọa đã biết.

Xác định và phát hiện các mối đe dọa chưa biết. Truy cập các nguồn thông tin về những mối đe dọa thực sự, đồng thời sử dụng các phát hiện này để thông báo và điều chỉnh các biện pháp ngăn chặn và phòng ngừa.

Nhanh chóng giải quyết các lỗ hổng, hành vi khai thác lỗ hổng và vi phạm an ninh. Thời gian là điều cốt yếu trong mọi hoạt động phản ứng và khắc phục. Không chỉ bởi thời gian mang đến cho kẻ tấn công cơ hội rộng mở để khám phá và khai thác tài nguyên của bạn, sẽ xấu hổ khi phải giải thích với thế giới tại sao phải mất đến hàng tuần/tháng/năm để tổ chức của bạn phát hiện và dập tắt hành vi vi phạm gây thiệt hại.

Liên tục đánh giá lại, điều chỉnh và cải thiện tư thế bảo mật. Công tác phòng thủ không bao giờ được tạm ngừng hay ngơi nghỉ vì những kẻ tấn công cũng sẽ như vậy.

Mặc dù có rất nhiều lợi ích đến từ công nghệ Blockchain, vẫn còn nhiều việc cần phải làm theo quan điểm của an ninh mạng. Khi kinh nghiệm làm việc với công nghệ Blockchain tăng lên, các chuyên gia CNTT và an ninh mạng chắc chắn sẽ phải đối mặt với những bất ngờ không mấy dễ chịu khác trong quá trình làm việc. Dù vậy, các chuyên gia bảo vệ an ninh mạng vẫn có thể thực hiện tốt công việc của mình bằng cách đưa những hệ thống bảo mật phù hợp vào các sáng kiến xây dựng trên nền tảng Blockchain ngay từ giai đoạn lập kế hoạch và thiết kế ban đầu.

Fortinet đã nghiên cứu rất nhiều về vấn đề an ninh mạng trong xu thế chuyển đổi số (DX) mà công nghệ Blockchain là một phần trong đó. Sách trắng - một tài liệu quan trọng của Fortinet mang tên “Chuyển đổi bảo mật cần phải có kiến trúc bảo mật Security Fabric” là một tài liệu khởi đầu tốt giúp các chuyên gia an ninh mạng hiểu rõ hơn về cách triển khai an ninh mạng trong một thế giới đang hướng tới xu thế chuyển đổi số. Chắc chắn rằng công nghệ Blockchain sẽ có một tương lai tuyệt vời phía trước. “Ngoài những ưu điểm to lớn của bản thân công nghệ, chúng ta sẽ có lợi thế hơn khi bước vào kỷ nguyên công nghệ Blockchain với nhận thức rõ rệt hơn về các yếu tố rủi ro an ninh mạng khi đối mặt với bất kỳ xu thế công nghệ mới nào. “Biết trước là sẵn sàng trước”, như thành người xưa vẫn nói”. Ông Matthew Kuan khuyến cáo.

Một báo cáo của IDC công bố gần đây đã dự đoán tỷ lệ tăng trưởng lũy kế hàng năm (CAGR) toàn cầu của ngân sách dành cho các giải pháp Blockchain lên đến 73,2% từ năm 2017 đến năm 2022. Điều này đồng nghĩa với việc mức chi tiêu dành cho công nghệ này sẽ tăng từ 1,5 tỷ đô la năm 2018 lên đến 11,7 tỷ đô la vào năm 2022. Trong khu vực Châu Á Thái Bình Dương (không bao gồm Nhật Bản) sự phát triển của Blockchain sẽ ở mức tương đồng so với các khu vực còn lại trên thế giới với tỷ lệ 72,6% CAGR. Tuy nhiên, Nhật Bản được kỳ vọng sẽ dẫn đầu thế giới về ngân sách dành cho công nghệ Blockchain, dự đoán ở mức 108,7% CAGR.

Theo tác giả Matthew Kuan, Fortinet. Tạp chí Tự động hóa ngày nay, số tháng 4/2019