ThS. Đào Thương Hưởng
Ngân hàng TMCP Hàng Hải Việt Nam
(Quanlynhanuoc.vn) – Trong bối cảnh số hóa mạnh mẽ, các công ty chứng khoán tại Việt Nam ngày càng trở thành mục tiêu tấn công của các nhóm tin tặc thông qua các kỹ thuật, như: SQL Injection, Cross-site Scripting (XSS) và DDoS. Do đó, việc tăng cường bảo vệ hệ thống web trở thành ưu tiên hàng đầu. Bài viết tập trung đánh giá hiệu quả của giải pháp Web Application Firewall (WAF) thông qua mô phỏng triển khai BIG-IP ASM tại Công ty cổ phần Chứng khoán Tân Việt (TVSI) trên môi trường giả lập EVE-NG. Các kết quả nghiên cứu và đề xuất có thể làm cơ sở cho các công ty chứng khoán triển khai hệ thống WAF một cách hiệu quả và phù hợp với đặc thù ngành.
Từ khóa: An ninh mạng, bảo mật, BIG-IP ASM, công ty chứng khoán, Web Application Firewall.
1. Đặt vấn đề
Trong kỷ nguyên số hóa, lĩnh vực tài chính – chứng khoán đang đối mặt với nguy cơ tấn công mạng ngày càng tinh vi, đặc biệt qua các lỗ hổng của ứng dụng web như SQL Injection, XSS hay DDoS. Các công ty chứng khoán tại Việt Nam ngày càng phụ thuộc vào nền tảng giao dịch trực tuyến, khiến hệ thống Web Server trở thành mục tiêu hấp dẫn của tội phạm mạng. Mặc dù đã triển khai các biện pháp bảo mật truyền thống như tường lửa lớp mạng và hệ thống giám sát, nhiều doanh nghiệp vẫn chưa đủ năng lực phòng thủ trước các hình thức tấn công ở tầng ứng dụng – vốn chiếm tỷ lệ cao nhất trong tổng số các sự cố an ninh mạng. Trong bối cảnh đó, Web Application Firewall (WAF) nổi lên như một giải pháp chiến lược giúp bảo vệ hệ thống giao dịch trực tuyến khỏi các mối đe dọa phổ biến. Tuy nhiên, hiệu quả thực tế của WAF tại các công ty chứng khoán Việt Nam vẫn chưa được kiểm chứng toàn diện. Vì vậy, việc nghiên cứu, mô phỏng và đánh giá triển khai giải pháp BIG-IP ASM trong môi trường giả lập là cần thiết nhằm đề xuất cơ sở kỹ thuật và thực tiễn cho việc ứng dụng WAF một cách phù hợp và hiệu quả.
2. Nội dung nghiên cứu
Bảo mật là một vấn đề lớn đối với các tổ chức cung cấp các dịch vụ tài chính (Thạch Ngọc Nam và cộng sự, 2021; Eggert, 2001). Nguyên nhân của vấn đề này là: tất cả các tổ chức này đều cung cấp dịch vụ liên quan đến tiền và nếu không bảo vệ người sử dụng, trước hết, khách hàng sẽ bị “hack” tài khoản và sau đó, ảnh hưởng trực tiếp đến danh tiếng của doanh nghiệp (Bùi Kiên Trung và cộng sự, 2019). Trong thời đại số hóa, các ứng dụng web đóng vai trò quan trọng trong hoạt động của doanh nghiệp và tổ chức. Tuy nhiên, theo khảo sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NSCS), hơn 50% doanh nghiệp đã từng bị tấn công trang web, với phần lớn các cuộc tấn công xảy ra ở tầng ứng dụng (Layer 7 – OSI). Điều này đặt ra một thách thức lớn trong việc bảo vệ hệ thống web trước các mối đe dọa an ninh mạng, như: SQL Injection, XSS (Cross-Site Scripting), DdoS (Alkhwaldi, 2024; Gomber, Koch và Siering, 2017).
Mặc dù các hệ điều hành, máy chủ web và công cụ mã hóa đã có những cải tiến về bảo mật, nhưng các ứng dụng web vẫn chứa nhiều lỗ hổng nghiêm trọng. Theo OWASP (n.d.), hơn 47,9% ứng dụng web có lỗ hổng bảo mật nghiêm trọng, khiến chúng trở thành mục tiêu tấn công phổ biến. Đặc biệt, các trang web của các cơ quan nhà nước, doanh nghiệp lớn cũng không tránh khỏi các cuộc tấn công này (Khúc Thế Anh và cộng sự, 2025; Pan, Xie, Wang và Ma, 2022).
Web Application Firewall (WAF) đã được nghiên cứu và phát triển như một giải pháp bảo vệ hiệu quả cho các doanh nghiệp. Trong đó, BIG-IP F5 Advanced WAF là một trong những công nghệ hàng đầu giúp bảo vệ hệ thống trước các mối đe dọa mạng hiện đại (F5 Networks, 2018). Hiện nay, các công ty chứng khoán đang vận hành hệ thống Web Server phục vụ giao dịch chứng khoán trực tuyến, với số lượng người dùng và giao dịch ngày càng tăng. Tuy nhiên, hệ thống đang đối mặt với nguy cơ bị tấn công mạng như SQL Injection, Cross-site Scripting (XSS) và tấn công từ chối dịch vụ (DDoS), gây rủi ro lớn đến tính toàn vẹn và bảo mật dữ liệu (BIG-IP, n.d.; IPA, 2020; OWASP, n.d.). Trong bối cảnh lĩnh vực tài chính – chứng khoán là mục tiêu thường xuyên của tin tặc, việc triển khai giải pháp Web Application Firewall (WAF) là cấp thiết để tăng cường phòng thủ, bảo đảm an toàn hệ thống và tuân thủ các quy định về bảo mật thông tin. Nhưng mô phỏng triển khai BIG-IP F5 WAF trên môi trường giả lập EVE-NG để đánh giá hiệu quả bảo mật có thực sự tốt? Câu trả lời là nội dung nghiên cứu trình bày trong bài báo này.
Trong bối cảnh chuyển đổi số mạnh mẽ của thị trường tài chính, các công ty chứng khoán tại Việt Nam ngày càng phụ thuộc vào nền tảng công nghệ để cung cấp dịch vụ giao dịch, quản lý tài sản và bảo mật thông tin khách hàng. Tuy nhiên, sự phụ thuộc này cũng khiến các công ty trở thành mục tiêu hấp dẫn cho các cuộc tấn công mạng. Theo Báo cáo của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), riêng năm 2023, Việt Nam ghi nhận hơn 13.900 sự cố tấn công mạng gây ra bởi các hình thức như phishing, malware và DDoS, trong đó lĩnh vực tài chính – ngân hàng – chứng khoán chiếm hơn 30% tổng số vụ (NCSC, 2023).
Một số vụ tấn công nghiêm trọng gần đây đã bộc lộ những lỗ hổng đáng lo ngại trong hệ thống của các công ty chứng khoán. Điển hình là sự cố bảo mật tại Công ty Cổ phần Chứng khoán VPS vào tháng 6/2023, khi hàng loạt nhà đầu tư báo cáo bị truy cập trái phép vào tài khoản, dẫn đến mất quyền kiểm soát giao dịch và nghi ngờ rò rỉ thông tin cá nhân. Mặc dù công ty đã nhanh chóng khóa truy cập và cam kết bồi thường, sự cố này đã tạo ra một làn sóng mất niềm tin trong cộng đồng nhà đầu tư, đồng thời gây gián đoạn hoạt động kinh doanh trong nhiều ngày (Tuổi trẻ, 2023). Trường hợp của Công ty VPS không phải là cá biệt; nhiều công ty chứng khoán vừa và nhỏ cũng đối mặt với rủi ro tương tự nhưng không đủ năng lực đầu tư cho hệ thống phòng thủ an ninh mạng.
Thiệt hại từ các cuộc tấn công mạng gây ra những thiệt hại trực tiếp về tiền mặt cũng như lòng tin của khách hàng. Theo báo cáo của Deloitte Việt Nam (2023), một cuộc tấn công mạng có thể khiến công ty chứng khoán mất trung bình từ 1 – 3% tổng doanh thu hằng năm do chi phí xử lý sự cố, bồi thường khách hàng và giảm sút niềm tin thị trường. Trong dài hạn, hậu quả lớn nhất chính là thiệt hại về uy tín thương hiệu – yếu tố sống còn trong ngành tài chính vốn nhạy cảm với rủi ro niềm tin. Ngoài ra, việc mất dữ liệu khách hàng cũng tạo áp lực pháp lý và đạo đức, đặc biệt trong bối cảnh Luật An ninh mạng năm 2018 và Luật Bảo vệ dữ liệu cá nhân bắt đầu siết chặt hơn từ năm 2024.
Để phòng, chống tình trạng đó, Web Application Firewall (WAF) được sử dụng. WAF là một giải pháp bảo mật ở lớp ứng dụng (Layer 7) có chức năng bảo vệ máy chủ web khỏi các cuộc tấn công phổ biến như SQL Injection, Cross-Site Scripting (XSS), bằng cách phân tích và lọc lưu lượng HTTP/HTTPS giữa người dùng và máy chủ. Khác với tường lửa truyền thống vốn chỉ hoạt động ở lớp mạng (Layer 3–4), WAF có khả năng kiểm tra gói sâu (Deep Packet Inspection) và nhận diện các mối đe dọa dựa trên chữ ký (signature-based) hoặc hành vi bất thường (anomaly-based). WAF có thể phát hiện và ngăn chặn thông tin cá nhân được truyền đến kẻ tấn công bằng các quy tắc. Tuy nhiên, việc lọc máy móc này đôi khi gây ra lỗi, dẫn đến cho phép các cuộc tấn công hoặc chặn người dùng hợp pháp. Vấn đề đặt ra là: làm thế nào để kiểm định được WAF có phù hợp với môi trường tại các công ty chứng khoán hay không; có thể giảm thiệt hại cho các công ty này tới mức nào; và, nên ứng dụng ra sao trong điều kiện hiện tại?.
3. Phương pháp nghiên cứu
Nghiên cứu được triển khai thử nghiệm tại Công ty cổ phần Chứng khoán Tân Việt (TVSI). TVSI đã có một số biện pháp bảo mật như tường lửa truyền thống, hệ thống giám sát an ninh, nhưng các giải pháp này chưa đủ mạnh để chống lại các cuộc tấn công ứng dụng web tinh vi như SQL Injection, Cross-Site Scripting (XSS), và các cuộc tấn công từ chối dịch vụ (DoS, DDoS).
Giải pháp WAF được triển khai theo mô hình HA (High Availability) với hai thiết bị hoạt động ở chế độ Active-Standby nhằm bảo đảm khả năng sẵn sàng cao và không có điểm lỗi đơn. Lưu lượng từ Internet qua hai nhà mạng chính (FPT-AS184 và VNPT-AS131125) được điều hướng thông qua router đến dải địa chỉ IP 202.103.54.0/24, đi qua cặp thiết bị WAF. Hệ thống WAF đảm nhận việc lọc và kiểm tra lưu lượng trước khi chuyển tiếp đến các switch lõi, từ đó phân phối đến các cụm máy chủ ứng dụng và cơ sở dữ liệu nội bộ.
Chúng tôi tiến hành triển khai thử nghiệm WAF trong môi trường mô phỏng tại TVSI trong vòng 7 ngày liên tục (từ ngày 10/3 – 17/3/2025). Các cuộc tấn công bao gồm SQL Injection (Thử các payload chèn câu truy vấn SQL vào tham số URL); Cross-Site Scripting (XSS) (tức là gửi các đoạn mã JavaScript vào form và URL); Remote File Include (RFI) (tức là gửi yêu cầu chèn file từ xa để chiếm quyền điều khiển) và Brute Force Login (Dò đoán mật khẩu tài khoản đăng nhập).
Mục đích khi tiến hành các vụ tấn công thử nghiệm vào hệ thống của TVSI là kiểm tra xem WAF có thích ứng được với các cấu hình của hệ thống hay không và nó có khả năng xử lý các vấn đề liên quan đến bảo mật của các công ty chứng khoán, bao gồm: bảo mật thông tin khách hàng, bảo mật hệ thống dữ liệu giao dịch cũng như giảm thiểu tổn thất khi có các vụ tấn công hay không. Ngoài ra, những yêu cầu về cảnh báo sớm các gian lận cũng được đưa ra để giúp kiểm toán an toàn thông tin trong giao dịch chứng khoán.
4. Kết quả nghiên cứu
Hệ thống WAF hoạt động ở chế độ Blocking đối với các mẫu tấn công phổ biến và chế độ Logging đối với các hành vi nghi ngờ (xem Bảng 1). WAF có hiệu suất chặn >93% với hầu hết các dạng tấn công, tuy nhiên brute – force login vẫn cần giải pháp bổ sung như captcha.
Bảng 1. Kết quả và số cảnh báo ghi nhận
| Hình thức tấn công | Số lần thử | Cảnh báo ghi nhận | Hành động WAF | Ghi chú |
| SQL Injection | 60 | 58 | Blocked | 2 request hợp lệ bị cảnh báo nhầm |
| Cross-Site Scripting | 45 | 42 | Blocked | Một số form không bị ảnh hưởng do có mã hóa HTML |
| Remote File Include | 30 | 28 | Blocked | Hầu hết các payload RFI bị ngăn tại lớp proxy |
| Brute Force Login | 100 | 95 | Alerted + Captcha | Cảnh báo hành vi bất thường, chưa chặn hoàn toàn |
Kết quả nghiên cứu cho thấy:
– WAF cho thấy khả năng chặn tấn công cao (>93%) và hỗ trợ ghi nhận chi tiết log để truy vết. Các sự kiện cảnh báo đều được gửi đến SIEM để lưu trữ và phân tích thêm;
– Tăng cường bảo vệ hệ thống, phát hiện và chặn hiệu quả các hình thức tấn công phổ biến;
– Bảo đảm giao dịch an toàn và liên tục, giảm rủi ro gián đoạn hệ thống;
– Tăng uy tín doanh nghiệp, nâng cao niềm tin cho khách hàng và các đối tác;
– Phù hợp với tiêu chuẩn bảo mật ngành, hỗ trợ tuân thủ các tiêu chuẩn như PCI DSS, ISO 27001;
– Dễ tích hợp, dễ vận hành, hệ thống có cấu hình linh hoạt, tương thích với các công cụ giám sát hiện có.
Sau khi hoàn tất xây dựng và triển khai hệ thống, trên Hình 1, 2 hiển thị lưu lượng gói tin Client và Server qua thiết bị BIG-IP, giúp theo dõi các gói tin HTTP/HTTPS trước và sau WAF để phân tích sự thay đổi và kiểm soát lưu lượng. Còn trên Hình 3 cho thấy, khối lượng các yêu cầu web từ Client đến Server được WAF xử lý trong ngày.
Kết quả báo cáo tổng quan về bảo mật trên hệ thống.
Những dữ liệu hiển thị tổng quan về những gì xảy ra trên hệ thống, số liệu thống kê liên quan đến các loại tấn công, vi phạm và bất thường, tóm tắt lưu lượng truy cập và loại yêu cầu. Nhật ký ghi lại trên hệ thống cũng có thể xuất số liệu thống kê thành file PDF và gửi qua email dưới dạng tệp đính kèm. Từ đó ta sẽ thu được bản báo cáo trực quan nhất, nhanh chóng nhất để phân tích các mối đe dọa ngay lập tức. Hình 4 mô tả số lượng Request và tỷ lệ Blocked trên BIG-IP trong 1 ngày giúp Admin nhận diện nhanh thời điểm có lượng tấn công tăng cao để có biện pháp xử lý tức thời.
Từ những biểu đồ trên ta có thể đọc được những thông tin mà hệ thống đã đưa ra về mối đe dọa trong từng mốc thời gian khác nhau. Điều này sẽ giúp cho người quản trị có được những báo cáo dễ hình dung, cập nhật nhanh chóng về tình hình hoạt động tấn công tại thời điểm đó thay vì phải rà soát hệ thống một cách thủ công.
5. Phân tích kết quả và kết luận
BIG-IP cung cấp công cụ cho người dùng có thể quản lý thông tin chi tiết về một yêu cầu, bao gồm xem xếp hạng vi phạm, toàn bộ yêu cầu và mọi vi phạm liên quan đến yêu cầu đó. Kết quả phân tích được thể hiện như trên Hình 5. Khi có một tác nhân tấn công khai thác cơ sở dữ liệu, hệ thống sẽ chặn yêu cầu đó và hiển thị chi tiết về mối đe dọa để người dùng kịp thời phát hiện và xử lý. Điều này đảm bảo cho các cơ sở dữ liệu luôn an toàn và hoạt động tốt.
Như trên Hình 5 cung cấp thông tin đầy đủ về từng yêu cầu bị chặn: IP nguồn, loại tấn công, trạng thái xử lý… hỗ trợ điều tra an ninh mạng nhanh chóng, ta có thể thấy xếp hạng hành vi của cuộc tấn công này là 4. Quan sát IP nguồn là 192.168.10.2, trạng thái chấp nhận not Accepted và ID hỗ trợ “10259001321797451860”. Chúng ta có thể xác định loại tấn công là SQL Injection và thông tin chi tiết ở mục Decoded Request.
Từ kết quả thu được có thể thấy các cuộc tấn công được bắt đầu từ phía người dùng đến BIG-IP đã được phát hiện, xử lý và phân tích chi tiết để đưa ra các báo cáo cụ thể cho vấn đề bảo mật. Bên cạnh đó, kết quả quá trình làm việc trên BIG-IP cũng cho ta thấy, được những ưu điểm của việc ứng dụng giải pháp BIG-IP ASM vào việc xử lý các bài toán bảo mật.
Bên cạnh những ưu điểm về mặt kỹ thuật, chi phí, thông qua các bước thực hiện được đề cập đến trong bài viết, ta có thể thấy việc thực hiện xây dựng hệ thống trên BIG-IP là rất dễ dàng, chỉ cần bám sát các tài liệu được cung cấp bởi F5 và các kỹ thuật cốt lõi của WAF là có thể xây dựng được các hệ thống phòng thủ. Giải pháp WAF mang lại khả năng bảo vệ hiệu quả cho Web Server trước các mối đe dọa an ninh mạng tinh vi. Thông qua việc triển khai đúng quy trình, kết hợp với việc giám sát liên tục và tối ưu hóa cấu hình, hệ thống của TVSI sẽ có khả năng phản ứng nhanh với các nguy cơ và bảo đảm hoạt động giao dịch không bị gián đoạn.
Đối với khía cạnh tài chính, khi triển khai WAF, TVSI có thể tiết kiệm được những khoản chi phí như sau:
Thứ nhất, giảm thời gian ngừng hoạt động. Trường hợp của VND đã bị ngừng hoạt động trong một khoảng thời gian đã làm các nhà đầu tư mất hàng triệu USD. Nếu áp dụng vào các công ty chứng khoán – lấy điển hình tại TVSI – sẽ làm giảm thiệt hại của các bên tham gia.
Thứ hai, WAF giúp bảo đảm tuân thủ các quy định bảo mật, như ISO/IEC 27001, Nghị định về bảo vệ dữ liệu cá nhân, từ đó giảm rủi ro tài chính do xử phạt. Việc lộ thông tin cá nhân trong thời gian vừa qua đã gây ra phản ứng khác nhau trên thị trường. Các doanh nghiệp kinh doanh chứng khoán mới nổi, như TVSI chiếm lĩnh thị phần khác nhau trên thị trường. Điều này có thể giúp các nhà đầu tư yên tâm hơn khi tham gia vào thị trường chứng khoán.
Thứ ba, không có WAF, công ty sẽ cần nhiều nhân lực và thời gian để phân tích log, vá lỗ hổng, khôi phục hệ thống. WAF giúp giảm tải cho đội IT, tiết kiệm chi phí khẩn cấp và vận hành, nhất là khi kết hợp với tự động cảnh báo và cập nhật mẫu tấn công. Như vậy, việc tính toán chi phí giữa thuê ngoài và chi phí đền bù thiệt hại, WAF đang chứng minh được rằng công nghệ rẻ hơn.
Mặc dù giải pháp WAF đã chứng minh được tính hiệu quả trong môi trường thử nghiệm và mô phỏng thực tế, nhưng để mở rộng khả năng ứng dụng và thích nghi với các tình huống an ninh mạng ngày càng phức tạp, chúng tôi đề xuất một số hướng phát triển, như sau:
Một là, tích hợp trí tuệ nhân tạo (AI) và học máy (Machine Learning). Phát triển thêm các thuật toán học để tự động phân tích hành vi truy cập, phát hiện các cuộc tấn công chưa từng thấy (zero-day) và dự đoán tỷ lệ false positive/false negative;
Hai là, tăng cường tích hợp với hệ thống SIEM. Phối hợp WAF với các nền tảng giám sát như Splunk, IBM QRadar để tự động hóa việc phân tích log, cảnh báo và phản ứng sự cố;
Ba là, phát triển Dashboard trực quan. Xây dựng giao diện giám sát bảo mật thân thiện, cập nhật theo thời gian thực để quản trị viên dễ dàng theo dõi và đánh giá tình trạng an toàn hệ thống;
Bốn là, tự động hóa quy trình cập nhật chính sách bảo mật. Tích hợp các công cụ DevSecOps để cập nhật signature, rule và chính sách ứng với các CVE mới được phát hiện;
Năm là, mở rộng triển khai trên đa nền tảng. Ngoài BIG-IP, có thể thử nghiệm với các giải pháp khác, như AWS WAF, Azure Front Door WAF hoặc Cloudflare WAF để đánh giá hiệu quả và tính linh hoạt trong các môi trường cloud hybrid.
Các đề xuất này sẽ là nền tảng cho những nghiên cứu tiếp theo, góp phần nâng cao năng lực phòng thủ mạng và bảo vệ hệ thống Web Server trong tương lai. Ngoài ra, nghiên cứu thừa nhận không có công ty chứng khoán nào đồng ý cung cấp các thông tin về chi phí sử dụng WAF cũng như các chi phí cụ thể có liên quan. Các báo cáo cần phải được bảo mật.
Tài liệu tham khảo:
1. Alkhwaldi, A. F. (2024). Digital transformation in financial industry: antecedents of fintech adoption, financial literacy and quality of life. International Journal of Law and Management, ahead-of-print, ahead-of-print. https://doi.org/10.1108/IJLMA-11-2023-0249
2. Bùi Kiên Trung, Phạm Bích Liên & Khúc Thế Anh (2019). Các nhân tố tác động đến tiếp cận dịch vụ tài chính qua ngân hàng số: Bằng chứng thực nghiệm tại Việt Nam. Tạp chí Kinh tế & Phát triển, số 261/2019, tr. 20 – 29.
3. Eggert, K. (2001). Held up in Due Course: Predatory Lending, Securization, and the Holder in Due Course Doctrine. Creighton L. Rev., 35, 503-545.
4. Gomber, P., Koch, J.-A., & Siering, M. (2017). Digital Finance and FinTech: current research and future research directions. Journal of Business Economics, 87(5), 537-580. https://doi.org/10.1007/s11573-017-0852-x
5. Khuc, A. T., Nguyen, P. T. H., Nguyen, C. M., & Le, H. T. (2025). Perceived risks of financial misconduct and fintech in crowdfunding of Vietnamese individual investors. Emerging Markets Review, 64, 101229. https://doi.org/10.1016/j.ememar.2024.101229
6. Pan, W., Xie, T., Wang, Z., & Ma, L. (2022). Digital economy: An innovation driver for total factor productivity. Journal of Business Research, 139, 303-311. https://doi.org/10.1016/j.jbusres.2021.09.061
7. Technology quality management of the industry 4.0 and cybersecurity risk management on current banking activities in emerging markets-the case in Vietnam. International Journal for Quality Research, 15(3), 845 – 856. https://doi.org/10.24874/IJQR15.03-10
