7 suy nghĩ sai lầm về an ninh mạng của doanh nghiệp

Dù cho thực tế đến đâu, doanh nghiệp cũng không tránh khỏi việc có những suy nghĩ sai lầm trong bất kỳ lĩnh vực nào đòi hỏi hàm lượng tri thức nhất định. Lĩnh vực an ninh thông tin cũng không là ngoại lệ. Bài viết sau đây của hãng bảo mật Kaspersky Labs (Nga) sẽ liệt kê 7 suy nghĩ sai lầm phổ biến nhất của doanh nghiệp về công tác bảo vệ an ninh cơ sở hạ tầng và toàn vẹn dữ liệu:

Sai lầm 1: “Doanh nghiệp sẽ không bị tấn công vì không nổi tiếng. Lĩnh vực hoạt động của doanh nghiệp không có gì hứng thú đối với tin tặc”.

Trái lại, tin tặc hoàn toàn có thể tấn công bất cứ lúc nào. Một khi bạn trưng bày cái gì đó ra công khai, tin tặc sẽ để ý đến và tìm cách khai thác kiếm lời từ đó. Các tin tặc thường không quan tâm đến một mục tiêu nào cụ thể. Thực tế là tin tặc lựa chọn mục tiêu một cách hoàn toàn ngẫu nhiên, ví dụ như chỉ cần tìm ra các lỗ hổng có trong hệ thống mạng hay khả năng có thể truy cập vào dữ liệu nội bộ.

Theo đó, cách tiếp cận xa rời an ninh CNTT của doanh nghiệp chính là điều tạo ra rủi ro, nói cách khác, sự chủ quan trước các mối đe dọa sẽ dẫn tới sự bất cẩn và lơ là. Tại sao phải cài đặt các bản vá hay cập nhật phần mềm trong khi hệ thống đang hoạt động hoàn hảo? Suy nghĩ này sẽ còn tiếp diễn cho đến khi xảy ra sự cố thực sự, lúc đó doanh nghiệp mới nhận ra việc sai lầm chết người của mình.

Sai lầm 2: “Tội phạm mạng thường nhằm vào một mục tiêu lớn hơn là một doanh nghiệp nhỏ không đáng kể”.

Đây là một lý lẽ sai lầm. Như đã đề cập ở trên, đôi khi tin tặc chọn nạn nhân bằng cách quét ngẫu nhiên nhiều hệ thống mạng hoặc máy chủ và lựa chọn một “lối vào” khả thi bất kỳ. Những doanh nghiệp lớn thường nhận thức được họ là đối tượng hấp dẫn của tin tặc, ít nhất là về mặt lý thuyết. Đây cũng là lý do các doanh nghiệp lớn thường rất kỹ lưỡng trong công tác bảo vệ cơ sở hạ tầng của họ. Tuy nhiên, những doanh nghiệp nhỏ thường hy vọng rằng họ không phải đối tượng bị tin tặc nhắm đến, do đó rất hà tiện chi tiêu cho những công tác bảo vệ cơ bản. Suy nghĩ này đã và đang bị những kẻ tấn công nhìn thấu, khiến các doanh nghiệp nhỏ ngày càng trở thành mục tiêu thường xuyên hơn so với các doanh nghiệp lớn.

Sai lầm 3: “Phần mềm chống virus tốt sẽ giải quyết mọi vấn đề”.

Thật không may là điều này đã không còn đúng nữa. Phần mềm chống virus có thể là nền tảng vững chắc cho hệ thống bảo mật của mạng doanh nghiệp, nhưng không thể chủ quan nghĩ rằng nó có khả năng ngăn chặn mọi rủi ro. Các mối đe dọa ngày nay rất đa dạng, vì vậy việc phụ thuộc hoàn toàn vào phần mềm chống virus chẳng khác nào trốn tránh vũ khí hiện đại sau hàng rào thép gai. Một phần mềm chống virus, thậm chí thuộc loại tốt nhất cũng không thể đảm bảo khỏi việc bị khai thác các lỗ hổng zero-day (lỗ hổng chưa được công bố và khắc phục), tấn công hệ thống, gian lận trực tuyến (phishing), tấn công dò mật khẩu (bruteforcing) như nhiều mối đe doạ khác. Tuy nhiên, điều này không có nghĩa là phần mềm chống virus là không cần thiết.

Sai lầm 4: “Giải pháp an ninh cho mạng doanh nghiệp chỉ là chống virus”.

Việc nhìn nhận công cụ chống virus như một giải pháp an ninh nói chung là một sự cố gắng đánh đồng. Chúng ta nói về công tác “an ninh” nhưng lại ngầm hiểu là “chống virus”. Thực ra, các giải pháp ở cấp độ doanh nghiệp cần rất nhiều tính năng đa dạng như lọc lưu lượng truy cập web, bảo vệ trước sự tấn công của tin tặc, chống lừa đảo, bảo vệ việc khai thác lỗ hổng zero-day, kiểm soát ứng dụng, quét lỗ hổng phần mềm,… Tất cả những công cụ này được phát triển để bảo vệ mạng doanh nghiệp tránh các mối đe dọa thực sự.

Sai lầm 5: “Các nhà phát triển giải pháp an ninh chỉ cung cấp công nghệ phát hiện dựa trên dấu hiệu nhận biết là chưa đủ”.

Ngày nay, công nghệ phát hiện mã độc dựa trên dấu hiệu nhận dạng là công nghệ phát triển nhất và hiệu quả nhất về thời gian và nguồn lực, nhưng cũng không có nghĩa các phương pháp khác không cần được sử dụng. Các giải pháp của Kaspersky cho phép phân tích khám phá (heuristic analysis) và đưa ra các công nghệ chủ động, nếu thiếu các giải pháp này sẽ không thể ngăn chặn những cuộc tấn công của các loại mã độc chưa từng được biết đến trước đây.

Ví dụ, công nghệ Phòng chống Khai thác Tự động (Automatic Exploit Prevention) của Kaspersky giúp ngăn chặn hoạt động khai thác ngay cả khi chưa được cập nhật dấu hiệu nhận dạng. Việc này được thực hiện bằng cách phân tích hoạt động của phần mềm hợp pháp và sẽ lập tức ngăn chặn các hành vi trái phép như nỗ lực khai thác các lỗ hổng bảo mật. Bên cạnh đó, mạng lưới của Kaspersky liên tục thu thập dữ liệu về các cuộc tấn công mới nhất trên thế giới để giúp ứng phó kịp thời với các mối đe dọa mới nổi.

Sai lầm 6: “Mã hóa dữ liệu chỉ dành cho kẻ hoang tưởng”.

Nhận định này xứng đáng là một sự hưởng ứng với câu châm ngôn: người hoang tưởng sống lâu hơn.

Trong vài năm qua, đã có rất nhiều vụ rò rỉ dữ liệu cá nhân quy mô lớn xuất phát từ việc hệ thống máy chủ của các doanh nghiệp đa quốc gia bị tấn công mạng. Trường hợp lớn nhất là vụ đánh cắp dữ liệu cá nhân của hàng triệu người dùng trên mạng giải trí trực tuyến Sony Playstation Network. Dữ liệu đã được lưu trữ trên các máy chủ không mã hóa, giúp cho những kẻ tấn công có thể làm bất cứ điều gì chúng muốn.

Theo báo cáo của Văn phòng Tổng Chưởng lý California (California General Attorney’s Office), năm 2012, dữ liệu cá nhân của hơn 2,5 triệu người ở California có nguy cơ bị đánh cắp bởi nhiều nguyên nhân khác nhau. Theo ước tính từ cơ quan này, nếu tất cả các doanh nghiệp khi xử lý dữ liệu có tiến hành mã hóa thì khả năng xảy ra các mối đe dọa rò rỉ sẽ giảm bớt 50%. Theo đó, Văn phòng đề nghị thiết lập quy định về sự cần thiết của việc mã hóa trong các trường hợp xử lý thông tin cá nhân người dân.

Sai lầm 7: “Doanh nghiệp đã chuyển tất cả các dữ liệu quan trọng lên dịch vụ lưu trữ đám mây. Các nhà cung cấp dịch vụ này đảm bảo họ có khả năng phòng thủ bất khả xâm phạm, vì vậy doanh nghiệp cảm thấy an tâm hơn”.

Mặc dù không muốn dập tắt niềm tin này, nhưng có một số vấn đề không thể tránh khỏi. Trước hết, không ai biết chính xác những giải pháp an ninh mà nhà cung cấp dịch vụ điện toán đám mây đang sử dụng. Không ai đảm bảo có toàn quyền kiểm soát dữ liệu khi đang sử dụng cơ sở hạ tầng của một bên khác. Và liệu có một bản sao lưu dự phòng ở một nơi nào khác hay không.

Theo đó, điều quan trọng là việc sử dụng các giải pháp bảo mật thông tin khác nhau cho từng thành phần khác nhau của cơ sở hạ tầng (bao gồm cả những tài nguyên nội bộ và bên ngoài) là một rủi ro dẫn đến bị xâm phạm an ninh.

Đối với bất kỳ công việc nào thuê mướn bên ngoài thì điều quan trọng là phải liên tục kiểm soát dữ liệu đi vào từ các dịch vụ bên ngoài. Mặc dù mã độc lẽ ra không nên xuất hiện trên đám mây, nhưng Kaspersky đã theo dõi và nhiều lần phát hiện mã độc từ hạ tầng đám mây lây lan vào mạng của doanh nghiệp.

Nếu doanh nghiệp không thể tự thiếp lập một cơ chế phòng vệ cơ bản, tập trung cho các hệ thống mạng và các dịch vụ web, doanh nghiệp nên đặt ra một rào cản giữa các thành phần và kiểm tra từng tập tin gửi đến, ngăn chặn mã độc truy cập vào thông tin nhạy cảm trong các nguồn tài nguyên nội bộ.

Tóm lại, những suy nghĩ sai lầm về an ninh mạng không chỉ giới hạn trong 7 điều nêu trên. Đây chỉ là những định kiến phổ biến và ngoan cố nhất. Phần lớn những lý lẽ trên được đưa ra như một lý do chính đáng để doanh nghiệp tiết kiệm chi tiêu cho các biện pháp an ninh mạng, nhưng chính suy nghĩ này là một sai lầm cơ bản. Rất nhiều sự cố xảy ra đều do nạn nhân lơ là việc áp dụng các biện pháp bảo vệ cơ bản, đồng thời cho rằng những sự cố như vậy sẽ không ảnh hưởng đến họ.

(CyberTime)

Advertisements

Posted on April 13, 2014, in Tin học. Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: