Những gì VPN thực sự bảo vệ (và những gì nó không)

Những gì VPN thực sự bảo vệ (và những gì nó không)

VPN là một trong những công cụ bảo mật được khuyên dùng rộng rãi nhất, và điều đó có lý do chính đáng. Nhưng tiếp thị xung quanh VPN thường hứa hẹn quá mức, khiến người dùng có cảm giác an toàn sai lầm. Hiểu được những gì VPN thực sự bảo vệ khỏi, và khi nào nó không còn tác dụng, thực sự quan trọng đối với bất kỳ ai đang xây dựng hệ thống bảo mật cá nhân.

Phiên bản ngắn gọn: VPN hoạt động xuất sắc trong một tập hợp nhiệm vụ hẹp, cụ thể. Ngoài những nhiệm vụ đó, nó hầu như không làm gì để bảo vệ bạn khỏi tin tặc.

Những gì VPN thực sự bảo vệ bạn khỏi

VPN hoạt động bằng cách mã hóa lưu lượng truy cập internet của bạn và định tuyến nó qua một máy chủ che giấu địa chỉ IP thực của bạn. Hai chức năng đó trực tiếp giải quyết một số mối đe dọa thực tế.

Nghe lén trên Wi-Fi công cộng là trường hợp sử dụng thiết thực nhất đối với hầu hết mọi người. Khi bạn kết nối với mạng không bảo mật tại quán cà phê, sân bay hoặc khách sạn, những người dùng khác trên cùng mạng có thể chặn bắt lưu lượng không mã hóa. VPN mã hóa lưu lượng đó trước khi nó rời khỏi thiết bị của bạn, khiến nó không thể đọc được với bất kỳ ai đang rình mò trên mạng cục bộ. Điều này ngày nay ít quan trọng hơn trước đây vì hầu hết các trang web đều sử dụng HTTPS theo mặc định, nhưng vẫn có những tình huống dữ liệu không mã hóa truyền qua mạng công cộng.

Lộ địa chỉ IP là một lĩnh vực khác mà VPN mang lại sự bảo vệ thực sự. Địa chỉ IP của bạn có thể tiết lộ vị trí địa lý gần đúng và trong một số trường hợp, có thể dùng để nhận dạng bạn trên các dịch vụ. Việc che nó bằng IP của máy chủ VPN giới hạn những gì nhà quảng cáo, trang web và một số tác nhân đe dọa có thể suy đoán về bạn.

Nhắm mục tiêu DDoS là mối đe dọa ít phổ biến hơn nhưng có thực, đặc biệt đối với game thủ, streamer và nhà sáng tạo nội dung. Tấn công từ chối dịch vụ phân tán (DDoS) làm ngập địa chỉ IP của mục tiêu bằng lưu lượng rác để khiến họ mất kết nối. Nếu IP thực của bạn bị ẩn sau máy chủ VPN, kẻ tấn công không thể nhắm vào kết nối thực của bạn. Thay vào đó, máy chủ VPN sẽ hứng chịu lượng truy cập đó.

Đây là những sự bảo vệ thực sự. Chỉ là chúng không toàn diện.

Những giới hạn của VPN

VPN không thể kiểm tra, chặn hoặc lọc những gì bạn chọn làm với kết nối của mình. Điều đó có nghĩa là toàn bộ các loại tấn công có thể vượt qua nó hoàn toàn.

Lừa đảo (phishing) có lẽ là lỗ hổng quan trọng nhất. Nếu bạn nhấp vào liên kết độc hại trong email và nhập thông tin đăng nhập của mình trên một trang đăng nhập giả mạo, VPN không làm gì để ngăn chặn điều đó. Đường hầm mã hóa trung thành đưa bạn đến trang lừa đảo. Cuộc tấn công thành công bất kể có VPN.

Phần mềm độc hại hoạt động theo cách tương tự. Nếu bạn tải xuống và thực thi tệp độc hại, VPN không có cơ chế để phát hiện hoặc chặn nó. Phần mềm độc hại hoạt động ở tầng ứng dụng, cao hơn nhiều so với khả năng bảo vệ tầng mạng mà VPN cung cấp.

Xâm phạm tài khoản thông qua việc dồn mã xác thực (credential stuffing), dùng lại mật khẩu hoặc chiếm quyền phiên làm việc cũng không bị ảnh hưởng. Nếu kẻ tấn công có được tên người dùng và mật khẩu của bạn từ cơ sở dữ liệu bị lộ, chúng có thể đăng nhập tài khoản của bạn từ bất kỳ đâu. VPN không bảo vệ các thông tin đăng nhập đó.

Khai thác lỗ hổng zero-day nhắm vào trình duyệt, hệ điều hành hoặc ứng dụng của bạn không liên quan gì đến địa chỉ IP hay mã hóa lưu lượng mạng của bạn. Chúng khai thác các lỗ hổng trong chính phần mềm.

Mô hình này cũng mở rộng sang các mối đe dọa tinh vi hơn. Như đã đề cập trong phân tích gần đây về các cuộc tấn công APT cấp quốc gia của Singapore, các tác nhân đe dọa dai dẳng tiên tiến sử dụng các kỹ thuật như lừa đảo có chủ đích (spear phishing), xâm phạm chuỗi cung ứng và khai thác thiết bị đầu cuối mà VPN đơn giản không được thiết kế để chống lại. Những kẻ tấn công cấp quốc gia không cần phải chặn bắt lưu lượng Wi-Fi của bạn.

Bộ công cụ bảo mật bổ sung

Vì VPN chỉ bảo vệ mối đe dọa ở tầng mạng và hầu như không làm gì khác, bảo mật nghiêm túc đòi hỏi phải phân lớp thêm các công cụ khác.

Trình quản lý mật khẩu với mật khẩu ngẫu nhiên, duy nhất cho mỗi tài khoản sẽ vô hiệu hóa các cuộc tấn công dồn mã xác thực. Mật khẩu dùng lại là một trong những vectơ xâm phạm tài khoản phổ biến nhất, và không có VPN nào giải quyết được điều đó.

Xác thực đa yếu tố (MFA) bổ sung thêm một rào cản thứ hai ngay cả khi thông tin đăng nhập bị đánh cắp. Khóa bảo mật phần cứng cung cấp hình thức MFA mạnh nhất, mặc dù các ứng dụng tạo mã xác thực cũng là một cải tiến đáng kể so với mã dựa trên SMS.

Phần mềm bảo vệ thiết bị đầu cuối xử lý phần mềm độc hại, ransomware và một số nỗ lực khai thác ở cấp độ thiết bị. Kết hợp với việc cập nhật và vá lỗi hệ điều hành và ứng dụng của bạn, điều này giải quyết bề mặt lỗ hổng phần mềm mà VPN không thể chạm tới.

Thói quen email chống lừa đảo và tiện ích mở rộng trình duyệt đánh dấu URL đáng ngờ làm giảm hiệu quả của các cuộc tấn công kỹ thuật xã hội. Rèn luyện bản thân xem xét kỹ các liên kết trước khi nhấp vào, tuy không hào nhoáng, lại là một trong những biện pháp bảo mật hiệu quả nhất hiện có.

Cần lưu ý rằng ngay cả các ứng dụng nhắn tin mã hóa đầu cuối cũng không miễn nhiễm với thỏa hiệp ở cấp độ người dùng. Một phân tích gần đây về lý do người dùng Signal bị hack dù ứng dụng có mã hóa mạnh minh họa rõ điểm này: kẻ tấn công nhắm vào con người, thiết bị hoặc cài đặt tài khoản thay vì chính giao thức mã hóa. VPN cũng không giúp ích được gì trong những trường hợp đó.

Khung trường hợp sử dụng thực tế

Thay vì hỏi liệu bạn có nên dùng VPN hay không, câu hỏi hay hơn là khi nào nó hữu ích và khi nào bạn cần đến thứ khác.

Sử dụng VPN khi kết nối với mạng Wi-Fi công cộng hoặc không đáng tin cậy, khi bạn muốn hạn chế theo dõi và lập hồ sơ dựa trên IP, khi địa chỉ IP thực của bạn có thể tiết lộ vị trí vật lý cho một bên thù địch, hoặc khi bạn muốn giảm nguy cơ bị nhắm mục tiêu DDoS trong các trò chơi trực tuyến hoặc luồng phát.

Sử dụng các công cụ khác khi bạn đang đánh giá liên kết email trước khi nhấp vào (dùng trình quét liên kết hoặc chỉ cần trực tiếp điều hướng đến trang web đó), khi bạn đang đánh giá liệu tài khoản của mình có an toàn không (dùng trình quản lý mật khẩu và bật MFA), khi bạn muốn bảo vệ khỏi phần mềm độc hại (dùng phần mềm bảo mật thiết bị đầu cuối và cập nhật hệ thống thường xuyên), hoặc khi bạn đối phó với một cuộc tấn công có chủ đích bởi kẻ thù tinh vi đã nhận dạng bạn là mục tiêu.

Điều này có ý nghĩa gì với bạn

VPN là một công cụ hữu ích và hợp pháp. Nó có vị trí trong hệ thống bảo mật cá nhân, nhưng nó không nên là thứ duy nhất trong hệ thống đó, và không nên kỳ vọng nó làm những việc mà nó vốn không được thiết kế để làm.

Các mối đe dọa gây ra nhiều thiệt hại thực tế nhất — lừa đảo, phần mềm độc hại, chiếm đoạt tài khoản và khai thác có chủ đích — đều hoạt động ở phía trên tầng mạng. Mã hóa và che giấu IP của VPN không liên quan đến tất cả những điều đó.

Cách tiếp cận hiệu quả nhất là phân lớp: sử dụng VPN cho những tình huống cụ thể mà nó hữu ích, và sử dụng các công cụ chuyên biệt cho những mối đe dọa mà nó không thể giải quyết. Hiểu được công cụ nào xử lý mối đe dọa nào chính là nền tảng của một thế trận bảo mật thực sự đứng vững trước áp lực. Khám phá các kịch bản tấn công thực tế cụ thể là bước tiếp theo tốt để áp dụng khung này vào thực hành.