Tweet
7. Mã nhà cung cấp có thể có backdoors
Backdoor (cửa hậu) là một phương tiện để truy cập vào một hệ thống bỏ qua hoặc tránh cửa trước. Front door (cửa trước) là xác thực thông thường bình thường bằng thông tin đăng nhập tài khoản hợp lệ. Back-door chủ yếu được biết đến như là do một tin tặc cài đặt sau khi chúng xâm nhập hệ thống thông qua một số phương tiện khác. Tuy nhiên, chúng tôi đã biết rằng một số sản phẩm và dịch vụ được sử dụng rộng rãi tình cờ có các backdoor trong đó được các nhà cung cấp cố ý tạo hoặc bởi một thành viên vô đạo đức trong nhóm phát triển của họ.
Đã có một số lượng không thể đếm được các khám phá về các backdoor hiện diện trong các sản phẩm của nhà cung cấp. Đôi khi những back-door đó là những cơ chế phát triển còn sót lại đã bị bỏ qua khi chuẩn bị sản phẩm để phát hành và phân phối. Nhưng cũng đã có những trường hợp các nhà phát triển nội bộ thêm vào trái phép backdoor, quyền truy cập từ xa hoặc mã “chế độ thần thánh” của chính họ mà có thể bị chính họ hoặc những người
khác lạm dụng.
Vấn đề mà mã của nhà cung cấp có thể có các backdoor là một vấn đề khó giải quyết. Vì đây là những vấn đề thường không được biết đến cho đến khi chúng được phát hiện và công khai. Tôi khuyên bạn nên theo dõi kỹ hơn các cuộc thảo luận về bảo mật và các bài đăng về lỗ hổng bảo mật. Và hãy lưu ý rằng hệ thống bạn tin tưởng và dựa vào ngày hôm nay có thể bị thiếu sót và không an toàn vào ngày mai. Đừng đặt tất cả niềm tin của bạn vào một nhà cung cấp hoặc biện pháp bảo vệ an ninh duy nhất. Có một môi trường không đồng nhất và an ninh được thiết kế với mục tiêu chuyên sâu về quốc phòng là điều cần thiết để chuẩn bị cho những điều chưa biết.
8. Phân đoạn/phân chia mạng lưới là điều cần thiết
Đơn giản hơn là thiết lập một mạng riêng như một nhóm nội bộ. Một tập hợp các máy khách và máy chủ dễ quản lý hơn nhiều và việc truy cập tài nguyên cũng thuận tiện hơn nhiều. Tuy nhiên, sự cởi mở, tự do và thuận tiện này cũng là một lỗ hổng. Chúng ta phải nhìn nhận quan điểm rằng một lúc nào đó bảo mật của công ty chúng ta sẽ thất bại. Khi điều đó xảy ra, chúng ta đã tạo môi trường dễ dàng như thế nào để khám phá và tiếp cận các tài sản quý giá nhất của mình? Các công ty cần xem xét lại việc triển khai mạng của họ.
Phân đoạn hoặc ngăn cách là chìa khóa để hạn chế thiệt hại và khả năng truy cập khi phần mềm độc hại đã có chỗ đứng hoặc khi một Trojan truy cập từ xa đã cho phép một tin tặc từ xa xâm nhập vào tổ chức của bạn. Các phòng ban, nhóm xử lý hoặc hệ thống được cấp giá trị / độ nhạy khác nhau nên được tách biệt với nhau trong mạng con với các chỉ định địa chỉ IP duy nhất, được thực thi bởi tường lửa và được giám sát bởi IPDS.
Khái niệm này là một lập trường bảo mật nổi tiếng được gọi là Zero Trust. Nó dựa trên quan điểm rằng không có gì có thể tin cậy được, ngay cả các phần tử là một phần của mạng Internet hoặc đã được sử dụng trong nhiều năm. Mỗi và mọi tương tác hoặc trao đổi dữ liệu phải được xác thực, ủy quyền và kiểm tra mọi lúc.
Mặc dù cách tiếp cận này có vẻ hơi khó thực hiện, nhưng nó thường ít rắc rối hơn nhiều so với việc khôi phục sau một vụ vi phạm do thiếu sự bảo vệ và cơ chế phòng vệ chủ động.
9. Làm rõ về ứng phó sự cố
Nhiều công ty đã trải qua các vụ xâm nhập đã phát hiện ra rằng họ không chuẩn bị tốt để ứng phó với các vi phạm. Điều này dẫn đến các cuộc tấn công kéo dài hơn mức cần thiết, cho phép nhiều hệ thống bị xâm nhập, khiến việc truy tìm thủ phạm trở nên khó khăn hơn.
Tổ chức của bạn có thể giải quyết vấn đề này bằng cách nỗ lực làm rõ phản ứng sự cố của bạn. Bạn cần có một chính sách bằng văn bản, một nhóm phản ứng được đào tạo (incident response team (IRT)), và thực hiện các cuộc diễn tập và mô phỏng thường xuyên. Chúng tôi
phải hiểu rằng chúng tôi hoạt động trong một thế giới mà vi phạm an ninh là không thể tránh khỏi. Vì vậy, ngoài việc củng cố khả năng phòng thủ của mình để giảm cơ hội thỏa hiệp, chúng ta cũng phải chuẩn bị để đối phó với một thỏa hiệp nếu và khi nó xảy ra. Một quy trình ứng phó sự cố được quản lý tốt là cơ chế của sự sẵn sàng đó.
10. Tôn trọng các báo cáo và cảnh báo từ các sản phẩm bảo mật của bạn
Nhiều xâm nhập được phát hiện từ rất lâu trước khi phần lớn thiệt hại hoặc rò rỉ thông tin xảy ra. Các cuộc tấn công được phép tiếp tục khi các báo cáo về các vi phạm được phát hiện này bị xem thường hoặc bị bỏ qua.
Thường thì các thỏa hiệp ban đầu hoặc thậm chí các sự kiện thăm dò hệ thống ban đầu được phát hiện hàng tháng trước khi cuộc tấn công chính của một cuộc tấn công diễn ra. Nếu các nhân viên trong tổ chức của chúng tôi tôn trọng các báo cáo và cảnh báo từ các sản phẩm và nhóm bảo mật thì có thể tránh được một phần đáng kể các tổn hại mà chúng tôi có thể gặp phải.
Tất nhiên, chúng ta sẽ có những kết quả giả. Nhưng cách thích hợp để giải quyết các trường hợp giả là phản hồi và điều tra mọi cảnh báo. Sau đó, điều chỉnh và cấu hình hệ thống phát hiện để tránh bị kích hoạt bởi cùng một sự kiện sai.
Khi thông tin nhận dạng cá nhân (PII), thông tin tài chính, danh tiếng của công ty và hàng triệu đô la của hàng triệu khách hàng gặp rủi ro, điều cần thiết là phải tôn trọng các báo cáo và cảnh báo từ các giải pháp cảnh báo sớm.
Hành động
Có những bài học vững chắc để rút ra từ mọi sai lầm, tai nạn, xâm nhập và tấn công. Sẽ khôn ngoan khi học hỏi từ những thất bại của người khác hơn là phạm những sai lầm giống nhau và trải qua cùng một mất mát.
Cho dù trong cuộc sống cá nhân và các hoạt động trực tuyến của chúng ta hoặc liên quan đến một tập đoàn toàn cầu, chúng ta cần phải trở nên trưởng thành hơn trong việc quản lý bảo mật của mình. Chúng ta phải tự mình thực hiện những thay đổi này.
Bây giờ bạn đã biết thêm về các quan điểm và phương pháp tiếp cận an ninh mạng, bạn nên nhận ra rằng đây chỉ là một điểm khởi đầu của việc thu thập kiến thức bảo mật. Có nhiều mối quan tâm bảo mật quan trọng khác mà bạn cần phải lưu ý. Bởi vì chỉ có kiến thức, bạn mới có thể thay đổi để tốt hơn. Mọi người đều có trách nhiệm bảo mật, cho cả bản thân và cho người sử dụng lao động của họ. Trách nhiệm đó bắt đầu từ việc hiểu biết nhiều hơn và tìm kiếm các phương tiện để có thêm kiến thức.
Một nguồn bổ sung kiến thức là các tài liệu giáo dục được cung cấp từ Global Knowl-edge. Global Knowledge cung cấp vô số tài nguyên trực tuyến như bài báo này và các tài liệu trực tuyến khác. Global Knowl-edge cũng là công ty hàng đầu thế giới về đào tạo, cả các khóa học trực tiếp và theo yêu cầu.
Anh Vũ
Backdoor (cửa hậu) là một phương tiện để truy cập vào một hệ thống bỏ qua hoặc tránh cửa trước. Front door (cửa trước) là xác thực thông thường bình thường bằng thông tin đăng nhập tài khoản hợp lệ. Back-door chủ yếu được biết đến như là do một tin tặc cài đặt sau khi chúng xâm nhập hệ thống thông qua một số phương tiện khác. Tuy nhiên, chúng tôi đã biết rằng một số sản phẩm và dịch vụ được sử dụng rộng rãi tình cờ có các backdoor trong đó được các nhà cung cấp cố ý tạo hoặc bởi một thành viên vô đạo đức trong nhóm phát triển của họ.
Đã có một số lượng không thể đếm được các khám phá về các backdoor hiện diện trong các sản phẩm của nhà cung cấp. Đôi khi những back-door đó là những cơ chế phát triển còn sót lại đã bị bỏ qua khi chuẩn bị sản phẩm để phát hành và phân phối. Nhưng cũng đã có những trường hợp các nhà phát triển nội bộ thêm vào trái phép backdoor, quyền truy cập từ xa hoặc mã “chế độ thần thánh” của chính họ mà có thể bị chính họ hoặc những người
khác lạm dụng.
Vấn đề mà mã của nhà cung cấp có thể có các backdoor là một vấn đề khó giải quyết. Vì đây là những vấn đề thường không được biết đến cho đến khi chúng được phát hiện và công khai. Tôi khuyên bạn nên theo dõi kỹ hơn các cuộc thảo luận về bảo mật và các bài đăng về lỗ hổng bảo mật. Và hãy lưu ý rằng hệ thống bạn tin tưởng và dựa vào ngày hôm nay có thể bị thiếu sót và không an toàn vào ngày mai. Đừng đặt tất cả niềm tin của bạn vào một nhà cung cấp hoặc biện pháp bảo vệ an ninh duy nhất. Có một môi trường không đồng nhất và an ninh được thiết kế với mục tiêu chuyên sâu về quốc phòng là điều cần thiết để chuẩn bị cho những điều chưa biết.
8. Phân đoạn/phân chia mạng lưới là điều cần thiết
Đơn giản hơn là thiết lập một mạng riêng như một nhóm nội bộ. Một tập hợp các máy khách và máy chủ dễ quản lý hơn nhiều và việc truy cập tài nguyên cũng thuận tiện hơn nhiều. Tuy nhiên, sự cởi mở, tự do và thuận tiện này cũng là một lỗ hổng. Chúng ta phải nhìn nhận quan điểm rằng một lúc nào đó bảo mật của công ty chúng ta sẽ thất bại. Khi điều đó xảy ra, chúng ta đã tạo môi trường dễ dàng như thế nào để khám phá và tiếp cận các tài sản quý giá nhất của mình? Các công ty cần xem xét lại việc triển khai mạng của họ.
Phân đoạn hoặc ngăn cách là chìa khóa để hạn chế thiệt hại và khả năng truy cập khi phần mềm độc hại đã có chỗ đứng hoặc khi một Trojan truy cập từ xa đã cho phép một tin tặc từ xa xâm nhập vào tổ chức của bạn. Các phòng ban, nhóm xử lý hoặc hệ thống được cấp giá trị / độ nhạy khác nhau nên được tách biệt với nhau trong mạng con với các chỉ định địa chỉ IP duy nhất, được thực thi bởi tường lửa và được giám sát bởi IPDS.
Khái niệm này là một lập trường bảo mật nổi tiếng được gọi là Zero Trust. Nó dựa trên quan điểm rằng không có gì có thể tin cậy được, ngay cả các phần tử là một phần của mạng Internet hoặc đã được sử dụng trong nhiều năm. Mỗi và mọi tương tác hoặc trao đổi dữ liệu phải được xác thực, ủy quyền và kiểm tra mọi lúc.
Mặc dù cách tiếp cận này có vẻ hơi khó thực hiện, nhưng nó thường ít rắc rối hơn nhiều so với việc khôi phục sau một vụ vi phạm do thiếu sự bảo vệ và cơ chế phòng vệ chủ động.
9. Làm rõ về ứng phó sự cố
Nhiều công ty đã trải qua các vụ xâm nhập đã phát hiện ra rằng họ không chuẩn bị tốt để ứng phó với các vi phạm. Điều này dẫn đến các cuộc tấn công kéo dài hơn mức cần thiết, cho phép nhiều hệ thống bị xâm nhập, khiến việc truy tìm thủ phạm trở nên khó khăn hơn.
Tổ chức của bạn có thể giải quyết vấn đề này bằng cách nỗ lực làm rõ phản ứng sự cố của bạn. Bạn cần có một chính sách bằng văn bản, một nhóm phản ứng được đào tạo (incident response team (IRT)), và thực hiện các cuộc diễn tập và mô phỏng thường xuyên. Chúng tôi
phải hiểu rằng chúng tôi hoạt động trong một thế giới mà vi phạm an ninh là không thể tránh khỏi. Vì vậy, ngoài việc củng cố khả năng phòng thủ của mình để giảm cơ hội thỏa hiệp, chúng ta cũng phải chuẩn bị để đối phó với một thỏa hiệp nếu và khi nó xảy ra. Một quy trình ứng phó sự cố được quản lý tốt là cơ chế của sự sẵn sàng đó.
10. Tôn trọng các báo cáo và cảnh báo từ các sản phẩm bảo mật của bạn
Nhiều xâm nhập được phát hiện từ rất lâu trước khi phần lớn thiệt hại hoặc rò rỉ thông tin xảy ra. Các cuộc tấn công được phép tiếp tục khi các báo cáo về các vi phạm được phát hiện này bị xem thường hoặc bị bỏ qua.
Thường thì các thỏa hiệp ban đầu hoặc thậm chí các sự kiện thăm dò hệ thống ban đầu được phát hiện hàng tháng trước khi cuộc tấn công chính của một cuộc tấn công diễn ra. Nếu các nhân viên trong tổ chức của chúng tôi tôn trọng các báo cáo và cảnh báo từ các sản phẩm và nhóm bảo mật thì có thể tránh được một phần đáng kể các tổn hại mà chúng tôi có thể gặp phải.
Tất nhiên, chúng ta sẽ có những kết quả giả. Nhưng cách thích hợp để giải quyết các trường hợp giả là phản hồi và điều tra mọi cảnh báo. Sau đó, điều chỉnh và cấu hình hệ thống phát hiện để tránh bị kích hoạt bởi cùng một sự kiện sai.
Khi thông tin nhận dạng cá nhân (PII), thông tin tài chính, danh tiếng của công ty và hàng triệu đô la của hàng triệu khách hàng gặp rủi ro, điều cần thiết là phải tôn trọng các báo cáo và cảnh báo từ các giải pháp cảnh báo sớm.
Hành động
Có những bài học vững chắc để rút ra từ mọi sai lầm, tai nạn, xâm nhập và tấn công. Sẽ khôn ngoan khi học hỏi từ những thất bại của người khác hơn là phạm những sai lầm giống nhau và trải qua cùng một mất mát.
Cho dù trong cuộc sống cá nhân và các hoạt động trực tuyến của chúng ta hoặc liên quan đến một tập đoàn toàn cầu, chúng ta cần phải trở nên trưởng thành hơn trong việc quản lý bảo mật của mình. Chúng ta phải tự mình thực hiện những thay đổi này.
Bây giờ bạn đã biết thêm về các quan điểm và phương pháp tiếp cận an ninh mạng, bạn nên nhận ra rằng đây chỉ là một điểm khởi đầu của việc thu thập kiến thức bảo mật. Có nhiều mối quan tâm bảo mật quan trọng khác mà bạn cần phải lưu ý. Bởi vì chỉ có kiến thức, bạn mới có thể thay đổi để tốt hơn. Mọi người đều có trách nhiệm bảo mật, cho cả bản thân và cho người sử dụng lao động của họ. Trách nhiệm đó bắt đầu từ việc hiểu biết nhiều hơn và tìm kiếm các phương tiện để có thêm kiến thức.
Một nguồn bổ sung kiến thức là các tài liệu giáo dục được cung cấp từ Global Knowl-edge. Global Knowledge cung cấp vô số tài nguyên trực tuyến như bài báo này và các tài liệu trực tuyến khác. Global Knowl-edge cũng là công ty hàng đầu thế giới về đào tạo, cả các khóa học trực tiếp và theo yêu cầu.
Anh Vũ