Ngoài khả năng hiển thị, giảm thiểu/khắc phục, ưu tiên và mã hóa, còn có các yếu tố bảo mật quan trọng khác như quyền truy cập/nhận dạng, lập kế hoạch, đào tạo, và hơn thế nữa.
Một cuộc phỏng vấn đã được thực hiện cùng với 50 chuyên gia bảo mật để hiểu được thực trạng hiện tại và tương lai của bối cảnh an ninh mạng. Các chuyên gia đã tham gia trả lời câu hỏi: "Các yếu tố quan trọng nhất của ứng dụng và bảo mật dữ liệu là gì?"
Trước đây, nhiều chuyên gia đã đưa ra câu trả lời về khả năng hiển thị, giảm thiểu/khắc phục, ưu tiên và mã hóa. Nhưng có nhiều yếu tố khác cần phải được xem xét:
Truy cập/Nhận dạng
Để bảo mật dữ liệu, điều quan trọng là cần đảm bảo rằng chỉ những người có thẩm quyền mới có quyền truy cập vào dữ liệu và cơ sở hạ tầng hỗ trợ dữ liệu đó. Điều này rất quan trọng để duy trì bảo mật dữ liệu, tính toàn vẹn và tính sẵn sàng. Nếu một người không được ủy quyền có được quyền truy cập, cho dù là do nhầm lẫn hoặc do lỗi thiết kế, người đó có thể khiến dữ liệu gặp rủi ro.
Để có thể đối phó với cuộc khủng hoảng bảo mật ngày càng phát triển, điều cần thiết là phải có một mô hình bảo mật mạnh mẽ hoạt động trên nhiều mô hình khác nhau của giao tiếp thiết bị. Mã hóa đầu cuối, quản lý truy cập dựa trên mã thông báo, và sự tuân thủ là chìa khóa của vấn đề.
Khi nói đến bảo mật ứng dụng và dữ liệu, bạn cần phải hiểu môi trường của mình. Bạn cần biết mình sở hữu những phần cứng nào, xem xét trí thông minh xung quanh các ứng dụng hoặc phần mềm của chúng, xem xét các cá nhân sử dụng những ứng dụng nào. Tất cả những hiểu biết này giúp bạn đánh giá rủi ro. Lấy ví dụ trong lĩnh vực kế toán. Việc cung cấp cho kế toán viên một hình ảnh tiêu chuẩn hoặc thiết bị cấu hình tiêu chuẩn không phải là vấn đề. Thay vào đó, bạn cần xem xét vai trò của kế toán viên và các ứng dụng mà họ sử dụng với một chiếc máy tính được cấu hình có mục đích. Và bạn cũng cần lưu ý đến những dữ liệu được lưu trữ trên thiết bị của kế toán viên. Các tổ chức dựa vào dữ liệu đó, nó thường chứa những thông tin nhạy cảm. Và bạn cần bảo vệ dữ liệu đó trong khi trao quyền cho người dùng truy cập dữ liệu họ cần để thực hiện công việc của mình. Các tổ chức được hưởng lợi từ cách tiếp cận dựa trên ý định này. Nó không chỉ giảm thiểu sự lãng phí, vì bạn không chi quá nhiều khi mua phần cứng và phần mềm, mà bạn còn loại bỏ nhiều rủi ro bảo mật bằng cách phân loại người dùng và mục đích kinh doanh.
Lập kế hoạch
Tìm kiếm các lỗ hổng trên mạng khiến bạn tiếp xúc với ransomware và những phần mềm độc hại khác, cũng như các lỗ hổng khác có thể dẫn đến sự xâm nhập. Bạn cần thiết lập một kế hoạch khắc phục và loại bỏ để giảm bề mặt tấn công.
Các tổ chức cần thực hiện cách tiếp cận tập trung vào rủi ro cho các vấn đề hiện có. Quản lý lỗ hổng tập trung nhiều hơn vào khía cạnh mạng của sự vật. Các tổ chức đang quản lý nhiều ứng dụng. Và đội ngũ chuyên gia hiện đang giúp đỡ các doanh nghiệp thực hiện phân tích rủi ro, dựa trên bất kỳ công cụ kiểm tra hoặc giám sát nào họ có như phân tích tĩnh, ứng dụng web động, công cụ phân tích kiểm tra phần mềm. Các doanh nghiệp cần đảm bảo họ có những tài sản phù hợp, chính xác và khả dụng. Họ cũng cần thu thập dữ liệu và xây dựng quy trình phân tích rủi ro.
Một kiến trúc bảo mật mạnh mẽ đòi hỏi sự bảo vệ theo cách tiếp cận chuyên sâu đối với ứng dụng và bảo mật dữ liệu. Điều này bao gồm bảo vệ an ninh phân lớp để giảm thiểu thiệt hại do vi phạm hoặc lỗ hổng, chẳng hạn như mã hóa và giảm thiểu dữ liệu để duy trì bảo mật nếu dữ liệu bị lộ cũng như các biện pháp chủ động như quét lỗ hổng và kiểm tra thâm nhập để tìm và khắc phục lỗ hổng.
Các tổ chức cần hiểu những rủi ro họ phải đối mặt và lập bản đồ danh mục các giải pháp bảo mật cho các trường hợp sử dụng. Họ cũng cần đánh giá mọi giai đoạn của vòng đời thông tin và biết nơi dữ liệu được lưu trữ tạm thời hoặc lưu trữ lâu dài. Mặt khác, các tổ chức cần có khả năng giải quyết vấn đề một cách toàn diện cùng với quản trị dữ liệu. Một giải pháp tích hợp được đưa ra chính là sự tuân thủ và bảo mật.
Có nhiều lĩnh vực quan trọng đối với ứng dụng và bảo mật dữ liệu. Chúng bao gồm:
Không có một viên đạn bạc nào có thể giải quyết tất cả các vấn đề về bảo mật. Ví dụ, khi xem xét bảo mật ứng dụng, cần xem xét đến các yếu tố phản ứng và yếu tố chủ động để thực hiện. Các tổ chức nên tiến hành đánh giá bảo mật ứng dụng nội bộ. Tuy nhiên, mặc dù đó là yếu tố chủ động, nhưng điều quan trọng là tổ chức cần lập kế hoạch khi bảo mật ứng dụng nội bộ đã bỏ qua một lỗ hổng. Đối với các biện pháp phản ứng, tổ chức nên có một chương trình tiền thưởng công khai dành cho những người khám phá ra lỗ hổng, cũng như xây dựng một đội ngũ bao gồm các chuyên gia nội bộ và các chuyên gia đánh giá an ninh bên ngoài. Một nhóm bảo mật cũng nên xem xét các yếu tố bảo mật mạng, vì các lỗ hổng mã nguồn không phải là phương tiện duy nhất mà bọn tội phạm nhắm đến.
Các tổ chức đang trong một cuộc đua tạo và đưa ra thị trường các ứng dụng và dịch vụ mang tính cách mạng, để tạo sự khác biệt với đối thủ và mang lại trải nghiệm đặc biệt cho khách hàng. Và điều may mắn là, việc áp dụng các công nghệ biến đổi - như DevOps, trí tuệ nhân tạo, học máy và tự động hóa quá trình robot - làm cho điều này trở nên khả thi. Tuy nhiên, các công nghệ này cũng mở rộng bề mặt tấn công của tổ chức, tạo ra mức độ rủi ro cao mà những kẻ tấn công rất muốn khai thác. Các tổ chức như Uber có thể đã phát triển thành những doanh nghiệp trị giá hàng tỷ đô la, bằng cách áp dụng các sáng kiến như DevOps để tăng quy mô và tăng trưởng đáng kể, nhưng chính sự đổi mới này là nguyên nhân của việc vi phạm dữ liệu lớn tại Uber, khiến công ty phải trả hơn 150 triệu đô la tiền phạt. Giải pháp cho vấn đề đang gia tăng này không phải là tránh xa các công nghệ hiện đại, mà là tính đến những rủi ro mà các công nghệ này mang đến và biến chúng thành một phần của giải pháp. Những kẻ tấn công thường thích theo đuổi các công nghệ cũ hơn với các lỗ hổng nổi tiếng. Chuyển đổi kỹ thuật số thực sự có thể đưa tổ chức của bạn đi trước một bước so với những kẻ tấn công - miễn là bạn có kế hoạch phù hợp. Tài khoản đặc quyền và tài khoản quản trị trong môi trường đám mây cần được quản lý, bảo vệ và giám sát giống như các tài khoản đặc quyền trong trung tâm dữ liệu truyền thống. Các tổ chức nên thiết lập một điểm kiểm soát duy nhất để quản lý thông tin đăng nhập của quản trị viên đám mây, nhà phát triển và người dùng khác truy cập bảng điều khiển quản lý và cổng của các nền tảng đám mây khác nhau.
Đào tạo
Mã hóa dữ liệu mạnh mẽ và kiểm soát truy cập điểm cuối là điều cần thiết để bảo vệ bất kỳ tổ chức và dữ liệu nhạy cảm nào của tổ chức. Tuy nhiên, hành vi không phù hợp của nhân viên có khả năng đánh bại ngay cả các biện pháp phòng vệ an ninh mạng được áp dụng cẩn thận nhất. Do đó, chế độ đào tạo nhân viên các thực hành an toàn tốt nhất - chẳng hạn như không bao giờ để các phiên chứng thực không được giám sát, cách nhận biết các hành vi lừa đảo và thực hành thay đổi mật khẩu mạnh - nên được coi là yếu tố cơ bản quan trọng trong bất kỳ chiến lược bảo mật nào.
Trong đám mây, các chính sách bảo mật và tuân thủ tương tự từ trung tâm dữ liệu vẫn được áp dụng. Nhưng nếu bạn sử dụng các dịch vụ gốc trên đám mây, cấu hình của các dịch vụ đó sẽ trở thành mối quan tâm bảo mật và tuân thủ chính của bạn. Trong trung tâm dữ liệu, bạn có trách nhiệm bảo mật cả cơ sở hạ tầng cơ bản và các ứng dụng của mình. Với Mô hình Trách nhiệm được chia sẻ cho bảo mật đám mây, Nhà cung cấp dịch vụ đám mây (CSP) chịu trách nhiệm bảo mật cho cơ sở hạ tầng bên dưới. Tổ chức có trách nhiệm đối với cách họ sử dụng các tài nguyên đó, và điều này phụ thuộc vào cách họ cấu hình. Các vi phạm dữ liệu liên quan đến đám mây hầu như luôn bắt nguồn từ việc cấu hình sai tài nguyên đám mây và điều đó luôn luôn là lỗi của khách hàng đám mây. Các tổ chức nên tập trung vào việc thiết lập các đường cơ sở cấu hình đám mây, tuân thủ các chính sách nội bộ và tuân thủ, tự động hóa để hoàn nguyên cấu hình cho các tài nguyên quan trọng trở lại đường cơ sở, để bảo vệ dữ liệu và đảm bảo tính tuân thủ liên tục.
Các vấn đề khác
Các tổ chức nên bắt đầu tạo một kho lưu trữ để hiểu tài sản của họ là gì và được lưu trữ tại đâu, để có thể tiến hành bảo mật chúng. Các công ty lớn thường có những dấu chân bất động sản lớn, nhiều đám mây và dữ liệu quan trọng. Họ phải bảo vệ dữ liệu của người dùng, dữ liệu thương mại và dữ liệu của doanh nghiệp. Các công ty khác nhau muốn hợp tác cùng nhau. Các ngân hàng muốn chia sẻ dữ liệu để cải thiện trí tuệ nhân tạo /học máy để ngăn chặn vấn đề rửa tiền. Mã hóa thời gian chạy cho phép hai bên cộng tác và chia sẻ dữ liệu, để làm phong phú thuật toán trí tuệ nhân tạo / học máy. Các tổ chức cần biết các tài sản kỹ thuật số có giá trị nhất và các tài sản có nguy cơ cao hơn bị xâm phạm để có thể bảo vệ chúng. Luật bảo vệ dữ liệu chung (GDPR) yêu cầu các thông tin nhận dạng cá nhân phải được bảo vệ.
Khi nhìn vào lịch sử bảo mật, tổ chức có thể biết về việc xây dựng một môi trường cứng. Thực tế là mọi thứ trong môi trường đều đã cũ và chúng không có phạm vi bảo hiểm đầy đủ. Các tổ chức nên tập trung vào các silo dữ liệu.
Các tổ chức cần chú ý đến dữ liệu khi nghỉ ngơi và trên mạng. An ninh không thể bị lơi là. Bạn phải chú ý đến cách dữ liệu được bảo mật an toàn và được truyền qua dây và tới đám mây. Dữ liệu trước kia chỉ cư trú tại chỗ và trong các trung tâm dữ liệu. Giờ đây các tổ chức sử dụng máy chủ của bên thứ ba để dữ liệu trên dây có thể được bảo mật. Sử dụng các công nghệ tốt nhất phù hợp với khả năng tài chính của mình. Các tổ chức nên để ý đến các công nghệ và nền tảng sắp ra mắt để bảo mật dữ liệu của mình.
Các tổ chức nên sử dụng trí tuệ nhân tạo vào kho lưu trữ và tạo các nhóm với sự tương tác người dùng tối thiểu. Sau đó, họ có thể điều chỉnh những gì họ tìm thấy với chính sách người dùng để đảm bảo dữ liệu được bảo vệ chính xác. Khách hàng sau đó có thể cung cấp các danh mục với độ nhạy được xác định hoặc phân loại vào DLP (Data loss prevention – Ngăn chặn mất dữ liệu) để tăng tính hiệu quả. Các tổ chức nên đưa ra quyết định dựa trên những phát hiện và kiến thức từ trí tuệ nhân tạo.
Một cách tiếp cận toàn diện là điều cần thiết, với sự chú ý đến từng chi tiết và một tư duy thừa nhận khả năng và sự khéo léo của các tác nhân mạng.
Tích hợp bảo mật vào quy trình DevOps. DevSecOps đang dần trở thành một vấn đề quan trọng. Thật đáng ngạc nhiên khi các tổ chức phải mất nhiều thời gian như vậy để nhận thấy tình trạng khủng hoảng an ninh. Hiện nay, cứ mỗi 100 nhà phát triển mới có một người bảo mật. Cách cổ điển của các ứng dụng sàng lọc sẽ không mở rộng theo bất kỳ cách nào. Điều thực sự quan trọng là bất kỳ bảo mật nào tổ chức muốn áp dụng cho phần mềm đều được tích hợp trong SDLC, được mã hóa trong các quy trình và được xác minh từng bước. Điều thực sự quan trọng trong các giai đoạn khác nhau của SDLC, cách bạn áp dụng bảo mật sẽ khác nhau theo từng giai đoạn. An ninh đã đóng vai trò là người gác cổng, nhưng hiện nay, các tổ chức sẽ không chấp nhận điều này. Tích hợp bảo mật vào môi trường phát triển của nhà phát triển, để họ nhận được phản hồi khi họ đang viết mã và thêm các phụ thuộc.
Yếu tố quan trọng nhất là tính nhất quán. Là một ngành công nghiệp, các chuyên gia dành nhiều thời gian để theo đuổi những tiêu đề bảo mật mới nhất, nhưng họ không thể thực hiện việc ngăn chặn và giải quyết cơ bản trên cơ sở nhất quán - dẫn đến những lỗ hổng mà kẻ tấn công có thể dễ dàng khai thác. Trong báo cáo Vi phạm dữ liệu của Verizon gần đây đã phân tích hàng trăm vi phạm dữ liệu, một trong những kết luận liên quan đến vá lỗi là cách tiếp cận phương pháp nhấn mạnh tính nhất quán và phạm vi bảo hiểm quan trọng hơn so với việc vá lỗi nhanh chóng.
Xây dựng mạng SD WAN phân đoạn tại một thời điểm, xây dựng mạng WAN cho mỗi ứng dụng. Mạng vi phân đoạn để thanh toán, POS, WIFI trên một ứng dụng dựa trên ứng dụng để giảm rủi ro vi phạm như của Target. Mở rộng quy mô bảo mật khi đưa dịch vụ lên đám mây thay vì thực hiện ở mọi trang web sẽ mang lại hiệu quả hơn. Các tổ chức nên xây dựng một mạng ứng dụng ảo kết nối với đám mây. Điều này cho phép bạn đặt các cổng của mình gần hơn với nơi ứng dụng khách hàng cư trú trên đám mây.
Các tổ chức phụ thuộc vào các ứng dụng phần mềm để phát triển kinh doanh của họ. Nhưng thách thức của bảo mật phần mềm là nó không mở rộng quy mô với sự tăng trưởng này, do đó tạo ra những rủi ro kinh doanh đáng kể. Để đối phó với vấn đề này, các tổ chức cần truy cập vào dịch vụ thử nghiệm bảo mật ứng dụng, cung cấp độ chính xác, phạm vi và tốc độ, thông qua sự kết hợp giữa tự động hóa, trí tuệ nhân tạo và con người.