Ba biện pháp bảo mật di động thiết yếu

Các chiến lược chuyên sâu có thể bảo vệ tốt nhất cho tổ chức của bạn khỏi các mối đe dọa về bảo mật, quyền riêng tư và sự tuân thủ, xuất phát từ các lỗ hổng ứng dụng di động. Một khi các lớp bảo mật thiết yếu được thiết lập, một số người cho rằng các giải pháp chuyên biệt chỉ giải quyết các trường hợp không phổ biến. Và điều cần biết rằng, các sáng kiến ​​bổ sung như vậy thường có lợi nhuận giảm dần. Điều tồi tệ hơn, các doanh nghiệp bị phân tâm bởi những quảng cáo bảo mật di động mới nhất hoặc thông dụng nhất, có thể sẽ bỏ qua những xử lý cơ bản mà có thể loại bỏ phần lớn rủi ro di động của họ

Với ý nghĩ đó, các chuyên gia khuyên bạn nên tập trung phần lớn các nỗ lực bảo mật di động của mình vào ba biện pháp chủ động, giúp tổ chức của bạn vượt qua rủi ro thay vì cố gắng để đối phó với sự cố hoặc cảnh báo. Chúng bao gồm chọn các thiết bị di động doanh nghiệp và hệ điều hành phù hợp để hỗ trợ; triển khai quản lý thiết bị di động; và thử nghiệm và kiểm tra mọi ứng dụng di động và cập nhật trước khi người dùng cài đặt chúng.

1. Chọn một thiết bị di động và hệ điều hành an toàn hơn.

Khi bạn đánh giá các thiết bị để hỗ trợ, chẳng hạn như trong các chương trình di động COPE (corporate owned, personally enable) hoặc (CYOD – choose your own device), trước tiên, hãy chọn nhà sản xuất và hệ điều hành di động để cập nhật bảo mật ngay khi chúng được phát hành. Điều đó có nghĩa là iPhone của Apple có iOS hoặc Google Pixel chạy Android. Quyết định này đặt nền tảng cho hầu hết mọi thứ khác bạn làm.

COPE (kích hoạt cá nhân thuộc sở hữu doanh nghiệp) là mô hình trong đó một tổ chức cung cấp cho nhân viên của mình các thiết bị máy tính di động và cho phép nhân viên sử dụng chúng như thể chúng thuộc sở hữu của mình.

CYOD (lựa chọn thiết bị của riêng mình) là một mô hình lựa chọn, theo đó các doanh nghiệp có thể cung cấp cho nhân viên của họ một lựa chọn về các thiết bị được sử dụng trong công việc.

Các nhà quản lý bảo mật lựa chọn chương trình BYOD (bring your own devices – sử dụng thiết bị công nghệ cá nhân cho công việc) sẽ không thể có ý kiến về hệ điều hành của thiết bị, nhưng vẫn có thể có được sự bảo vệ vững chắc bằng cách thực hiện hai bước tiếp theo.

2. Định cấu hình thiết bị với quản lý thiết bị di động (MDM -mobile device management).

Đôi khi được gọi là các công cụ quản lý di động doanh nghiệp (EMM -enterprise mobility management), các công cụ MDM quản lý các thiết bị di động của nhân viên và thiết lập và thực thi các chính sách. Một vài giải pháp hàng đầu bao gồm BlackBerry/Good, Citrix XenMobile, IBM MaaS360, Microsoft Intune, MobileIron và VMWare Airwatch, và một số những giải pháp khác.

Mặc dù các chức năng có thể khác nhau tùy thuộc vào các nhà cung cấp, các khả năng MDM quan trọng bao gồm định cấu hình các thiết bị để tuân thủ chính sách của công ty, cách ly các thiết bị bị xâm phạm hoặc không tuân thủ, thực thi danh sách trắng và danh sách đen, bắt buộc mã PIN/mật mã của thiết bị, duy trì hàng tồn kho.

Danh sách đen (blacklist) là một cơ chế kiểm soát truy cập cơ bản cho phép mọi người truy cập, ngoại trừ các thành viên của danh sách đen (tức là danh sách các truy cập bị từ chối). Ngược lại  một danh sách trắng (whitelist), có nghĩa là không cho phép, ngoại trừ các thành viên của danh sách trắng được truy cập.

Mặc dù MDM cho phép quản trị viên định cấu hình thiết bị một cách an toàn và thiết lập chính sách cấp thiết bị, chẳng hạn như yêu cầu mật mã và mã hóa, nhưng nó không cung cấp khả năng hiển thị các rủi ro ứng dụng di động. Và đó là lý do tại sao các tổ chức phải dựa vào các biện pháp phòng ngừa tiếp theo, kiểm tra ứng dụng.

3. Thực hiện kiểm tra ứng dụng di động để chọn các ứng dụng an toàn.

Một số tổ chức có tới 50.000 ứng dụng được kiểm kê trong hệ thống MDM của họ. Nhưng làm thế nào để họ biết ứng dụng nào là an toàn, có lỗ hổng rủi ro cao hoặc phơi nhiễm quyền riêng tư và quốc gia nào mà dữ liệu của họ đi qua? Nhập kiểm tra ứng dụng di động, thường được cung cấp dưới dạng dịch vụ đăng ký đám mây của bên thứ ba.

Các dịch vụ kiểm tra ứng dụng di động như vậy giúp người quản lý thực thi chính sách, bằng cách cung cấp cho các hệ thống EMM dữ liệu về ứng dụng và danh sách trắng hoặc danh sách đen. Kiểm tra ứng dụng di động tập trung vào việc kiểm tra và xác định các ứng dụng di động rủi ro, ngăn ngừa rủi ro và mất dữ liệu như rò rỉ dữ liệu nhạy cảm, tấn công trung gian, thất bại trong việc xác thực chứng chỉ, thực thi mã từ xa và các ứng dụng được tải mà vượt qua các bảo vệ của cửa hàng ứng dụng.

Một nhà phân tích bảo mật lành nghề với các công cụ phù hợp có thể đánh giá từ một đến hai ứng dụng di động mỗi tuần. Điều đó tương đương với 50 đến 100 trong số các ứng dụng quan trọng nhất của doanh nghiệp mỗi năm, khiến hơn 99% ứng dụng được cài đặt chưa được kiểm tra cho các lỗi bảo mật. Và đừng quên sự cần thiết phải kiểm tra từng phiên bản. Các chuyên gia đã thấy các trường hợp của một ứng dụng có điểm bảo mật giảm mạnh khi bổ sung một bộ công cụ phát triển phần mềm (SDK - software development kit) duy nhất, có một lỗ hổng thực thi mã từ xa.

Theo kịp với quy mô ứng dụng là điều không tưởng. Khoảng 194 tỷ ứng dụng đã được tải xuống trên toàn cầu vào năm 2018, theo báo cáo của AppAnnie Phiên bản của Mobile 2019. Trong khi đó, AppBot báo cáo rằng số ngày trung bình giữa các lần cập nhật cho các ứng dụng hàng đầu trên App Store là 18 ngày cho các ứng dụng miễn phí và 55 ngày cho các ứng dụng phải trả tiền, điều đó có nghĩa là thời gian chu kỳ thậm chí còn nhanh hơn khoảng một nửa số ứng dụng. Cách duy nhất để kiểm tra khối lượng này là sử dụng tự động hóa.

Giảm thiểu rủi ro

Trừ khi các doanh nghiệp triển khai dịch vụ kiểm tra ứng dụng di động của bên thứ ba hoặc kiểm tra bảo mật ứng dụng di động tự động, họ sẽ không thể lường trước những rủi ro lớn về bảo mật, tuân thủ và các vấn đề riêng tư. Chủ động kiểm tra và thử nghiệm một ứng dụng trước khi bạn triển khai nó là cách duy nhất để thực sự giảm thiểu rủi ro.

Nhu cầu thích hợp

Khi các biện pháp bảo vệ cơ bản được áp dụng, một số doanh nghiệp có thể lựa chọn các công nghệ bổ sung để thực hiện các trường hợp đặc biệt. Chẳng hạn, những người có nhân viên đi du lịch quốc tế có thể muốn xem xét việc khám phá phát hiện các mối đe dọa di động (MTD - mobile threat detection) để theo dõi các điểm truy cập SMS lừa đảo và các điểm truy cập Wi-Fi không an toàn.

Nhưng những biện pháp này lại không mang lại hiệu quả trong việc bảo vệ chống lại phần lớn các mối đe dọa. Nó giống như cài đặt một camera an ninh Internet of Things ở cửa trước nhưng bạn lại không khóa cửa. Chắc chắn đoạn phim trong camera an ninh có thể giúp bắt kẻ đột nhập, nhưng không phải trước khi kẻ đó ăn trộm nhà bạn.

Nó rất giống với bảo mật ứng dụng di động và tại sao các chuyên gia nhấn mạnh tầm quan trọng của việc thực hiện các biện pháp bảo vệ chủ động thay vì phản ứng với các mối đe dọa sau khi xảy ra sự cố.