Bảo mật trên đám mây và những rủi ro tiềm ẩn

Vẫn là những nguy cơ cũ

Nhóm Bảo mật của IBM vừa công bố dữ liệu mới bao gồm các thách thức và mối đe dọa hàng đầu ảnh hưởng đến bảo mật đám mây, trong đó, việc dễ dàng kết nối cũng như tốc độ của các công cụ đám mây mới là hai trong những yếu tố làm giảm thiểu khả năng kiểm soát việc ứng dụng đám mây của doanh nghiệp (DN). 

Theo báo cáo, các vấn đề giám sát an ninh cơ bản, bao gồm quản trị, lỗ hổng và cấu hình sai, vẫn là các yếu tố hàng đầu mà các tổ chức phải giải quyết để bảo đảm các hoạt động ngày càng dựa trên đám mây. Ngoài ra, phân tích về các sự cố bảo mật trong năm qua đã làm sáng tỏ cách thức tội phạm mạng đang nhắm mục tiêu vào môi trường đám mây với những phần mềm độc hại tùy chỉnh, ransomware, v.v.

Để có được bức tranh rõ ràng hơn về thực tế bảo mật mới khi các công ty nhanh chóng thích nghi với các môi trường đám mây lai, và đa đám mây, Viện nghiên cứu Giá trị DN của IBM (IBV) và Nhóm nghiên cứu độc lập IBM X-Force về các Dịch vụ thông minh và ứng phó sự cố (IRIS) đã nghiên cứu các thách thức ảnh hưởng đến hoạt động bảo mật trong đám mây, cũng như các mối đe dọa hàng đầu nhắm vào môi trường đám mây. Những phát hiện hàng đầu bao gồm:

Quyền sở hữu phức tạp: 66% số người được hỏi (tổng số người được phỏng vấn gồm 930 quản lý DN cấp cao và chuyên gia CNTT) nói rằng họ dựa vào các nền tảng bảo mật cơ bản của các nhà cung cấp dịch vụ đám mây. Tuy nhiên, nhận thức về quyền sở hữu bảo mật rất khác nhau trên các ứng dụng và nền tảng đám mây cụ thể.

Ứng dụng đám mây mở cánh cửa cho tội phạm an ninh mạng: Con đường phổ biến nhất để tội phạm mạng xâm phạm môi trường đám mây là thông qua các ứng dụng dựa trên đám mây, chiếm tới 45% các sự cố được IRIS nghiên cứu. Tội phạm mạng đã lợi dụng các lỗi cấu hình cũng như các lỗ hổng trong các ứng dụng, thường không bị phát hiện do các nhân viên tự ý đưa lên đám mây, bên ngoài các kênh đã được phê duyệt.

Tấn công khuếch đại: Mặc dù hành vi trộm cắp dữ liệu là tác nhân hàng đầu của các cuộc tấn công trên đám mây, tin tặc cũng nhắm mục tiêu vào đám mây để mã hóa và ransomware - sử dụng tài nguyên đám mây để khuếch đại hiệu ứng của các cuộc tấn công này.

Các mối đe dọa bảo mật vốn có do bản chất siêu kết nối của đám mây phải được đánh giá và xử lý khi dữ liệu và hoạt động được chuyển sang đám mây. Có tầm nhìn rõ ràng, toàn cảnh về đe dọa an ninh đám mây có thể giúp các tổ chức bảo vệ bản thân tốt hơn và ứng phó trước các sự cố bảo mật tiềm năng.

Trách nhiệm không rõ ràng giữa các bên về bảo mật trên đám mây

Theo khảo sát của IBV, các tổ chức phụ thuộc rất nhiều vào khả năng bảo mật của các nhà cung cấp dịch vụ đám mây. Tuy nhiên, thực tế cho thấy, có đến 85% các vi phạm về lỗ hổng dữ liệu liên quan tới việc cấu hình của chính những người sử dụng (là nhân viên của các tổ chức đó).

Ngoài ra, nhận định về trách nhiệm bảo mật trên đám mây cũng khác nhau giữa các nền tảng và ứng dụng. Ví dụ, đa số những người tham gia khảo sát (lên tới 73%) cho rằng các nhà cung cấp dịch vụ đám mây công cộng là đơn vị chịu trách nhiệm chính cho bảo mật trên nền tảng phần mềm dạng dịch vụ (SaaS), trong khi đó, 42% người được hỏi tin rằng các đơn vị cung cấp dịch vụ trên nền tảng cơ sở hạ tầng dạng dịch vụ (IaaS) phải chịu trách nhiệm về bảo mật.

Việc ngày càng nhiều DN sử dụng đa dạng các hình thức dịch vụ đám mây, đặc biệt trong các môi trường đa đám mây và đám mây lai, rất dễ dẫn tới việc không phân định rõ ràng các trách nhiệm bảo mật cũng như làm giảm hiệu năng của các môi trường đám mây.

Các mối đe dọa hàng đầu

Để có được bức tranh rõ hơn về cách những kẻ tấn công nhằm vào môi trường đám mây, các chuyên gia ứng phó sự cố IRIS của X-Force đã tiến hành phân tích sâu về các sự cố liên quan đến đám mây. Phân tích cho thấy các hoạt động đánh cắp dữ liệu, trộm tiền điện tử (cryptomining) và ransomware là những nguy cơ mất an toàn thông tin (ATTT) chính.

Tội phạm mạng có động cơ tài chính: là nhóm mối đe dọa phổ biến nhất nhắm vào môi trường đám mây trong các trường hợp ứng phó sự cố X-Force của IBM.

Khai thác các ứng dụng đám mây: Nhiều cuộc tấn công mạng được thực hiện thông qua các ứng dụng đám mây, bao gồm các chiến thuật như khai thác lỗ hổng và cấu hình sai. Tùy thuộc vào tổ chức bị ảnh hưởng và loại ứng dụng chạy trong đám mây, việc xâm nhập của tin tặc có thể gây thiệt hại nặng nề. Bên cạnh đó, việc cấu hình sai môi trường đám mây đã dẫn đến hơn một tỷ hồ sơ bị mất trong năm 2019.

Ransomware trong đám mây: Ransomware được triển khai nhiều hơn 3 lần so với bất kỳ loại phần mềm độc hại nào khác trong môi trường đám mây, tiếp theo là tiền điện tử và phần mềm độc hại botnet.

Đánh cắp dữ liệu: Ngoài triển khai phần mềm độc hại, đánh cắp dữ liệu là hoạt động đe dọa phổ biến nhất mà IBM quan sát thấy trong môi trường đám mây bị vi phạm trong năm qua, từ thông tin nhận dạng cá nhân (PII) đến email liên quan đến máy khách.

Khuếch đại tấn công: Các tác nhân đe dọa đã sử dụng tài nguyên đám mây để khuếch đại hiệu ứng của các cuộc tấn công như tiền điện tử và DDoS.

Người dùng phải làm chủ bảo mật đám mây

Khi đám mây trở nên thiết yếu cho các hoạt động kinh doanh và lực lượng lao động từ xa, Nhóm Bảo mật của IBM khuyến nghị các tổ chức tập trung vào các yếu tố sau để cải thiện an ninh mạng cho môi trường đa đám mây lai:

Thiết lập quản trị và văn hóa hợp tác: Áp dụng chiến lược hợp nhất kết hợp các hoạt động bảo mật và đám mây - thông qua các nhà phát triển ứng dụng, các đơn vị điều hành CNTT và bảo mật. DN cần xác định rõ ràng các chính sách và trách nhiệm đối với các tài nguyên đám mây hiện có cũng như đối với việc mua các tài nguyên đám mây mới.

Thực hiện nghiên cứu về mức độ rủi ro: Đánh giá loại công việc và dữ liệu mà DN dự định chuyển sang đám mây và xác định các chính sách bảo mật phù hợp. Bắt đầu với đánh giá dựa trên rủi ro về khả năng hiển thị trên toàn môi trường và tạo lộ trình cho việc ứng dụng đám mây theo từng giai đoạn.

Áp dụng quản lý truy cập đa tầng: Tận dụng các chính sách và công cụ quản lý để truy cập vào tài nguyên đám mây, bao gồm xác thực đa yếu tố, để ngăn chặn việc xâm nhập bằng thông tin đăng nhập. Hạn chế các tài khoản đặc quyền và đặt tất cả các nhóm người dùng thành các đặc quyền ít yêu cầu nhất để giảm thiểu thiệt hại từ thỏa hiệp tài khoản (mô hình không tin cậy).

Có các công cụ phù hợp: Đảm bảo các công cụ giám sát an ninh, khả năng hiển thị và phản hồi có hiệu quả trên tất cả các tài nguyên trên nền tảng đám mây và tại chỗ. Xem xét chuyển sang các công nghệ và tiêu chuẩn mở, cho phép khả năng tương tác lớn hơn giữa các công cụ.

Tự động hóa các quy trình bảo mật: Thực hiện tự động hóa bảo mật hiệu quả trong hệ thống của bạn có thể cải thiện khả năng phát hiện và phản hồi của bạn, thay vì dựa vào phản ứng thủ công trước các sự kiện.

Sử dụng mô phỏng chủ động để diễn tập các tình huống tấn công khác nhau. Điều này có thể giúp xác định vi trí mà các điểm mù có thể tồn tại, cũng như giải quyết bất kỳ vấn đề tiềm ẩn nào có thể phát sinh trong quá trình điều tra tấn công.

Điện toán đám mây là một kỷ nguyên mới đối với nhiều tổ chức. Hầu hết các DN ngày nay đã chuyển khoảng 20% sang đám mây. Khi các công ty tiếp tục hiện đại hóa cơ sở hạ tầng CNTT cốt lõi của họ và chuyển dữ liệu, ứng dụng quan trọng đến đám mây, các tổ chức cũng phải thích ứng với những thách thức ninh mạng hoàn toàn mới tạo ra từ môi trường đám mây lai hoặc đa đám mây. Việc đảm bảo ATTT trên hạ tầng phức tạp này, giải quyết các mối quan tâm về quyền riêng tư, quy định và tuân thủ dữ liệu… tất cả đều yêu cầu một cách tiếp cận mới và phù hợp với các thực tiễn tốt nhất có thể.