Những yếu tố bảo mật nào là quan trọng nhất?

Một cuộc phỏng vấn đã được thực hiện cùng với 50 chuyên gia bảo mật để hiểu được thực trạng hiện tại và tương lai của bối cảnh an ninh mạng. Các chuyên gia đã tham gia trả lời câu hỏi: "Các yếu tố quan trọng nhất của ứng dụng và bảo mật dữ liệu là gì?"

Trước đây, nhiều chuyên gia đã đưa ra câu trả lời về khả năng hiển thị, giảm thiểu/khắc phục, ưu tiên và mã hóa. Nhưng có nhiều yếu tố khác cần phải được xem xét:

Truy cập/Nhận dạng

Để bảo mật dữ liệu, điều quan trọng là cần đảm bảo rằng chỉ những người có thẩm quyền mới có quyền truy cập vào dữ liệu và cơ sở hạ tầng hỗ trợ dữ liệu đó. Điều này rất quan trọng để duy trì bảo mật dữ liệu, tính toàn vẹn và tính sẵn sàng. Nếu một người không được ủy quyền có được quyền truy cập, cho dù là do nhầm lẫn hoặc do lỗi thiết kế, người đó có thể khiến dữ liệu gặp rủi ro.

Để có thể đối phó với cuộc khủng hoảng bảo mật ngày càng phát triển, điều cần thiết là phải có một mô hình bảo mật mạnh mẽ hoạt động trên nhiều mô hình khác nhau của giao tiếp thiết bị. Mã hóa đầu cuối, quản lý truy cập dựa trên mã thông báo, và sự tuân thủ là chìa khóa của vấn đề.

• Với mã hóa đầu cuối, Bảo mật lớp vận chuyển (TLS - Transportation Layer Security) là lớp giao tiếp tiêu chuẩn công nghiệp để gửi dữ liệu được mã hóa qua mạng diện rộng (WAN), có thể được ghép nối với mã hóa AES để cung cấp bảo mật đầu cuối thực sự. TLS/SSL bảo vệ mức truyền dữ liệu giữa các thiết bị, mã hóa dữ liệu từ thiết bị này sang thiết bị khác ở điểm cuối khi dữ liệu được truyền. Mặc dù TLS/SSL là biện pháp phù hợp để bảo mật truyền dữ liệu, dữ liệu được tạo từ các thiết bị vẫn dễ bị tổn thương qua mạng trừ khi chúng được mã hóa. Để bảo mật đầu cuối thực sự, dữ liệu phải được mã hóa bằng thông số mã hóa Tiêu chuẩn mã hóa nâng cao (AES - Advanced Encryption Standard).
• Một thách thức lớn khác là việc kiểm soát truy cập đối với các đối tượng và thiết bị có thể truyền và nhận dữ liệu. Với hàng triệu thiết bị có khả năng cố gắng tiếp cận các kênh và chủ đề chính xác, việc yêu cầu các thiết bị cuối cùng lọc ra các chủ đề mà chúng không đăng ký theo dõi thật sự không hiệu quả và không an toàn. Thay vào đó, mạng nên xử lý phần lớn nhiệm vụ này. Trong mô hình xuất bản/đăng ký, cách tiếp cận kiểm soát truy cập dựa trên mã thông báo có thể được sử dụng, để phân phối mã thông báo cho các thiết bị, để cấp quyền truy cập vào các kênh dữ liệu cụ thể. Cách tiếp cận này cho phép kiểm soát chi tiết về các mã thông báo được tạo, thiết bị nào nhận được các mã thông báo đó và dữ liệu nào được các mã thông báo cấp quyền truy cập. Nó cũng cho phép sự kiểm soát tập trung vào thời điểm và cách thu hồi mã thông báo, ví dụ như cắt quyền truy cập luồng dữ liệu từ các khách hàng không trả tiền. Khi làm như vậy, mạng sẽ hoạt động hiệu quả như một cảnh sát giao thông, thực hiện kể cả ủy quyền truy cập thiết bị và quản lý thiết bị nào có thể nói và nghe trên mạng dựa trên mã thông báo mà mạng phân phối.
• Cuối cùng, sự tuân thủ là một yếu tố quan trọng của ứng dụng và bảo mật dữ liệu. Chẳng hạn, việc tuân thủ HIPAA cho thấy cơ sở hạ tầng của bạn đã sẵn sàng để xử lý sự phức tạp của bảo mật liên quan đến lĩnh vực chăm sóc sức khỏe. SOC2 là một chỉ số cho thấy doanh nghiệp của bạn bảo mật dữ liệu nội bộ và khách hàng. Chứng nhận Privacy Shield là một cơ chế cho các yêu cầu bảo vệ dữ liệu giữa EU và Hoa Kỳ. Mỗi trong số những tuân thủ này bổ sung thêm một lớp thực tiễn và cơ sở hạ tầng bảo mật tốt nhất để xử lý dữ liệu nhạy cảm một cách an toàn hơn.

Khi nói đến bảo mật ứng dụng và dữ liệu, bạn cần phải hiểu môi trường của mình. Bạn cần biết mình sở hữu những phần cứng nào, xem xét trí thông minh xung quanh các ứng dụng hoặc phần mềm của chúng, xem xét các cá nhân sử dụng những ứng dụng nào. Tất cả những hiểu biết này giúp bạn đánh giá rủi ro. Lấy ví dụ trong lĩnh vực kế toán. Việc cung cấp cho kế toán viên một hình ảnh tiêu chuẩn hoặc thiết bị cấu hình tiêu chuẩn không phải là vấn đề. Thay vào đó, bạn cần xem xét vai trò của kế toán viên và các ứng dụng mà họ sử dụng với một chiếc máy tính được cấu hình có mục đích. Và bạn cũng cần lưu ý đến những dữ liệu được lưu trữ trên thiết bị của kế toán viên. Các tổ chức dựa vào dữ liệu đó, nó thường chứa những thông tin nhạy cảm. Và bạn cần bảo vệ dữ liệu đó trong khi trao quyền cho người dùng truy cập dữ liệu họ cần để thực hiện công việc của mình. Các tổ chức được hưởng lợi từ cách tiếp cận dựa trên ý định này. Nó không chỉ giảm thiểu sự lãng phí, vì bạn không chi quá nhiều khi mua phần cứng và phần mềm, mà bạn còn loại bỏ nhiều rủi ro bảo mật bằng cách phân loại người dùng và mục đích kinh doanh.

Lập kế hoạch

Tìm kiếm các lỗ hổng trên mạng khiến bạn tiếp xúc với ransomware và những phần mềm độc hại khác, cũng như các lỗ hổng khác có thể dẫn đến sự xâm nhập. Bạn cần thiết lập một kế hoạch khắc phục và loại bỏ để giảm bề mặt tấn công.

Các tổ chức cần thực hiện cách tiếp cận tập trung vào rủi ro cho các vấn đề hiện có. Quản lý lỗ hổng tập trung nhiều hơn vào khía cạnh mạng của sự vật. Các tổ chức đang quản lý nhiều ứng dụng. Và đội ngũ chuyên gia hiện đang giúp đỡ các doanh nghiệp thực hiện phân tích rủi ro, dựa trên bất kỳ công cụ kiểm tra hoặc giám sát nào họ có như phân tích tĩnh, ứng dụng web động, công cụ phân tích kiểm tra phần mềm. Các doanh nghiệp cần đảm bảo họ có những tài sản phù hợp, chính xác và khả dụng. Họ cũng cần thu thập dữ liệu và xây dựng quy trình phân tích rủi ro.

• Có kế hoạch: Các tổ chức cần tự hỏi liệu đây có phải là điều quan trọng nhất để dành thời gian và tiền bạc của mình? Có thứ tự ưu tiên. Các tổ chức cần thực hiện theo kế hoạch và không nên mua sắm những thiết bị không cần thiết.
• Có cái nhìn về những vấn đề đã xảy ra: Nếu một thiết bị hoặc phần mềm hoạt động không đúng cách, bạn có thể sẽ bị tấn công. Tổ chức cần khả năng có thể quay lại và xem xét những vấn đề đã xảy ra và nguyên nhân của nó.

Một kiến ​​trúc bảo mật mạnh mẽ đòi hỏi sự bảo vệ theo cách tiếp cận chuyên sâu đối với ứng dụng và bảo mật dữ liệu. Điều này bao gồm bảo vệ an ninh phân lớp để giảm thiểu thiệt hại do vi phạm hoặc lỗ hổng, chẳng hạn như mã hóa và giảm thiểu dữ liệu để duy trì bảo mật nếu dữ liệu bị lộ cũng như các biện pháp chủ động như quét lỗ hổng và kiểm tra thâm nhập để tìm và khắc phục lỗ hổng.

Các tổ chức cần hiểu những rủi ro họ phải đối mặt và lập bản đồ danh mục các giải pháp bảo mật cho các trường hợp sử dụng. Họ cũng cần đánh giá mọi giai đoạn của vòng đời thông tin và biết nơi dữ liệu được lưu trữ tạm thời hoặc lưu trữ lâu dài. Mặt khác, các tổ chức cần có khả năng giải quyết vấn đề một cách toàn diện cùng với quản trị dữ liệu. Một giải pháp tích hợp được đưa ra chính là sự tuân thủ và bảo mật.

Có nhiều lĩnh vực quan trọng đối với ứng dụng và bảo mật dữ liệu. Chúng bao gồm:

• Thiết kế an toàn: Tích hợp bảo mật trong toàn bộ vòng đời phát triển hệ thống (SDLC - systems development life cycle) là điều cực kỳ quan trọng đối với sự thành công của bảo mật ứng dụng. Việc tích hợp không chỉ cho phép các kiến ​​trúc sư bảo mật cung cấp các giải pháp kinh doanh và có cái nhìn toàn diện về chức năng của ứng dụng, mà các thực hành SDLC an toàn cũng làm giảm chi phí phát triển phần mềm bảo mật.
• DevSecOps: Việc tích hợp các kiểm soát bảo mật trong quy trình DevOps cung cấp cho nhóm phát triển khả năng tự động hóa các quy trình kiểm tra bảo mật, đồng thời cũng ảnh hưởng đến văn hóa và đo lường bảo mật thông qua các phương pháp phát triển tinh gọn, để chia sẻ trên toàn doanh nghiệp. Cấu trúc của DevSecOps cung cấp cho các nhà phát triển các bảo vệ an ninh cần thiết thông qua sự tích hợp liên tục trên toàn bộ đường ống phát triển. Điều này cho phép các nhóm ứng dụng đáp ứng nhu cầu của khách hàng, đồng thời phù hợp với tốc độ triển khai. Các công nghệ bảo mật mới như Kiểm tra bảo mật ứng dụng tích hợp (IAST), Phân tích thành phần phần mềm (SCA) và Tự bảo vệ ứng dụng thời gian chạy (RASP) có thể mang lại lợi ích cho doanh nghiệp so với một số công cụ và kỹ thuật kiểm tra bảo mật lỗi thời
• Hoạt động hướng dịch vụ: Các hoạt động trong bảo mật ứng dụng tập trung vào việc đảm bảo các phương pháp đánh giá tự động và thủ công được đo lường bằng các thỏa thuận cấp dịch vụ được chấp nhận (SLA -service-level agreements). Mục tiêu là để thúc đẩy các hoạt động này một cách nhất quán trong danh mục đầu tư rộng và giảm rủi ro của tổ chức. Các hoạt động này cũng nên được tích hợp với các hệ thống Quản trị, Rủi ro và Tuân thủ, các cơ chế theo dõi lỗi và hệ thống trong tổ chức.
• Phát triển đào tạo: Các thành viên trong nhóm phát triển được đào tạo không chỉ mắc ít lỗi hơn mà còn thúc đẩy ý thức bảo mật cao hơn cho tổ chức. Khi được kết hợp với các đối tác bảo mật trong doanh nghiệp và được đào tạo đầy đủ, các hành vi bảo mật phù hợp sẽ được tích hợp trong toàn tổ chức và giảm tần suất lỗi bảo mật.

Không có một viên đạn bạc nào có thể giải quyết tất cả các vấn đề về bảo mật. Ví dụ, khi xem xét bảo mật ứng dụng, cần xem xét đến các yếu tố phản ứng và yếu tố chủ động để thực hiện. Các tổ chức nên tiến hành đánh giá bảo mật ứng dụng nội bộ. Tuy nhiên, mặc dù đó là yếu tố chủ động, nhưng điều quan trọng là tổ chức cần lập kế hoạch khi bảo mật ứng dụng nội bộ đã bỏ qua một lỗ hổng. Đối với các biện pháp phản ứng, tổ chức nên có một chương trình tiền thưởng công khai dành cho những người khám phá ra lỗ hổng, cũng như xây dựng một đội ngũ bao gồm các chuyên gia nội bộ và các chuyên gia đánh giá an ninh bên ngoài. Một nhóm bảo mật cũng nên xem xét các yếu tố bảo mật mạng, vì các lỗ hổng mã nguồn không phải là phương tiện duy nhất mà bọn tội phạm nhắm đến.

Các tổ chức đang trong một cuộc đua tạo và đưa ra thị trường các ứng dụng và dịch vụ mang tính cách mạng, để tạo sự khác biệt với đối thủ và mang lại trải nghiệm đặc biệt cho khách hàng. Và điều may mắn là, việc áp dụng các công nghệ biến đổi - như DevOps, trí tuệ nhân tạo, học máy và tự động hóa quá trình robot - làm cho điều này trở nên khả thi. Tuy nhiên, các công nghệ này cũng mở rộng bề mặt tấn công của tổ chức, tạo ra mức độ rủi ro cao mà những kẻ tấn công rất muốn khai thác. Các tổ chức như Uber có thể đã phát triển thành những doanh nghiệp trị giá hàng tỷ đô la, bằng cách áp dụng các sáng kiến ​​như DevOps để tăng quy mô và tăng trưởng đáng kể, nhưng chính sự đổi mới này là nguyên nhân của việc vi phạm dữ liệu lớn tại Uber, khiến công ty phải trả hơn 150 triệu đô la tiền phạt. Giải pháp cho vấn đề đang gia tăng này không phải là tránh xa các công nghệ hiện đại, mà là tính đến những rủi ro mà các công nghệ này mang đến và biến chúng thành một phần của giải pháp. Những kẻ tấn công thường thích theo đuổi các công nghệ cũ hơn với các lỗ hổng nổi tiếng. Chuyển đổi kỹ thuật số thực sự có thể đưa tổ chức của bạn đi trước một bước so với những kẻ tấn công - miễn là bạn có kế hoạch phù hợp. Tài khoản đặc quyền và tài khoản quản trị trong môi trường đám mây cần được quản lý, bảo vệ và giám sát giống như các tài khoản đặc quyền trong trung tâm dữ liệu truyền thống. Các tổ chức nên thiết lập một điểm kiểm soát duy nhất để quản lý thông tin đăng nhập của quản trị viên đám mây, nhà phát triển và người dùng khác truy cập bảng điều khiển quản lý và cổng của các nền tảng đám mây khác nhau.

Đào tạo

Mã hóa dữ liệu mạnh mẽ và kiểm soát truy cập điểm cuối là điều cần thiết để bảo vệ bất kỳ tổ chức và dữ liệu nhạy cảm nào của tổ chức. Tuy nhiên, hành vi không phù hợp của nhân viên có khả năng đánh bại ngay cả các biện pháp phòng vệ an ninh mạng được áp dụng cẩn thận nhất. Do đó, chế độ đào tạo nhân viên các thực hành an toàn tốt nhất - chẳng hạn như không bao giờ để các phiên chứng thực không được giám sát, cách nhận biết các hành vi lừa đảo và thực hành thay đổi mật khẩu mạnh - nên được coi là yếu tố cơ bản quan trọng trong bất kỳ chiến lược bảo mật nào.

Trong đám mây, các chính sách bảo mật và tuân thủ tương tự từ trung tâm dữ liệu vẫn được áp dụng. Nhưng nếu bạn sử dụng các dịch vụ gốc trên đám mây, cấu hình của các dịch vụ đó sẽ trở thành mối quan tâm bảo mật và tuân thủ chính của bạn. Trong trung tâm dữ liệu, bạn có trách nhiệm bảo mật cả cơ sở hạ tầng cơ bản và các ứng dụng của mình. Với Mô hình Trách nhiệm được chia sẻ cho bảo mật đám mây, Nhà cung cấp dịch vụ đám mây (CSP) chịu trách nhiệm bảo mật cho cơ sở hạ tầng bên dưới. Tổ chức có trách nhiệm đối với cách họ sử dụng các tài nguyên đó, và điều này phụ thuộc vào cách họ cấu hình. Các vi phạm dữ liệu liên quan đến đám mây hầu như luôn bắt nguồn từ việc cấu hình sai tài nguyên đám mây và điều đó luôn luôn là lỗi của khách hàng đám mây. Các tổ chức nên tập trung vào việc thiết lập các đường cơ sở cấu hình đám mây, tuân thủ các chính sách nội bộ và tuân thủ, tự động hóa để hoàn nguyên cấu hình cho các tài nguyên quan trọng trở lại đường cơ sở, để bảo vệ dữ liệu và đảm bảo tính tuân thủ liên tục.

• Các chuyên gia nhận thấy rằng yếu tố quan trọng nhất chính là việc đào tạo của các nhà thiết kế và phát triển. Việc đào tạo không chỉ là về các cơ chế, các thư viện, các khung bảo mật. Mà nó còn là việc cách con người đưa ra quyết định thực tế - các quyết định thiết kế lớn và thay đổi mã nhỏ - để giữ an toàn cho hệ thống.
• Các chuyên gia biết rằng trong những sản phẩm thực tế, các vấn đề bảo mật bắt nguồn từ các thư viện bảo mật và cơ chế bảo mật chỉ chiếm không đến 10%. Hầu hết các vấn đề nằm ở mã thông thường, chúng không thực sự thực hiện các chức năng liên quan đến bảo mật nhưng được viết một cách không chính xác và có thể bị kẻ tấn công khai thác.
• Các tổ chức cũng nên thực hiện các đánh giá, máy quét tự động và kiểm tra thâm nhập. Các vấn đề không thường xuyên đòi hỏi chuyên môn về bảo mật và hiểu biết sâu sắc về phần mềm. Các nhà phát triển phải hiểu các kỹ thuật viết mã bảo mật, và bảo mật trước khi bắt đầu phát triển. Nắm được các kiến ​​thức cơ bản về bảo mật giúp cải thiện tính bảo mật của mã viết, và cũng có tác động tích cực đến chất lượng của mã. Đào tạo nhà phát triển là bước hiệu quả và quan trọng nhất để cải thiện an ninh.

Các vấn đề khác

Các tổ chức nên bắt đầu tạo một kho lưu trữ để hiểu tài sản của họ là gì và được lưu trữ tại đâu, để có thể tiến hành bảo mật chúng. Các công ty lớn thường có những dấu chân bất động sản lớn, nhiều đám mây và dữ liệu quan trọng. Họ phải bảo vệ dữ liệu của người dùng, dữ liệu thương mại và dữ liệu của doanh nghiệp. Các công ty khác nhau muốn hợp tác cùng nhau. Các ngân hàng muốn chia sẻ dữ liệu để cải thiện trí tuệ nhân tạo /học máy để ngăn chặn vấn đề rửa tiền. Mã hóa thời gian chạy cho phép hai bên cộng tác và chia sẻ dữ liệu, để làm phong phú thuật toán trí tuệ nhân tạo / học máy. Các tổ chức cần biết các tài sản kỹ thuật số có giá trị nhất và các tài sản có nguy cơ cao hơn bị xâm phạm để có thể bảo vệ chúng. Luật bảo vệ dữ liệu chung (GDPR) yêu cầu các thông tin nhận dạng cá nhân phải được bảo vệ.

Khi nhìn vào lịch sử bảo mật, tổ chức có thể biết về việc xây dựng một môi trường cứng. Thực tế là mọi thứ trong môi trường đều đã cũ và chúng không có phạm vi bảo hiểm đầy đủ. Các tổ chức nên tập trung vào các silo dữ liệu.

Các tổ chức cần chú ý đến dữ liệu khi nghỉ ngơi và trên mạng. An ninh không thể bị lơi là. Bạn phải chú ý đến cách dữ liệu được bảo mật an toàn và được truyền qua dây và tới đám mây. Dữ liệu trước kia chỉ cư trú tại chỗ và trong các trung tâm dữ liệu. Giờ đây các tổ chức sử dụng máy chủ của bên thứ ba để dữ liệu trên dây có thể được bảo mật. Sử dụng các công nghệ tốt nhất phù hợp với khả năng tài chính của mình. Các tổ chức nên để ý đến các công nghệ và nền tảng sắp ra mắt để bảo mật dữ liệu của mình.

Các tổ chức nên sử dụng trí tuệ nhân tạo vào kho lưu trữ và tạo các nhóm với sự tương tác người dùng tối thiểu. Sau đó, họ có thể điều chỉnh những gì họ tìm thấy với chính sách người dùng để đảm bảo dữ liệu được bảo vệ chính xác. Khách hàng sau đó có thể cung cấp các danh mục với độ nhạy được xác định hoặc phân loại vào DLP (Data loss prevention – Ngăn chặn mất dữ liệu) để tăng tính hiệu quả. Các tổ chức nên đưa ra quyết định dựa trên những phát hiện và kiến ​​thức từ trí tuệ nhân tạo.

Một cách tiếp cận toàn diện là điều cần thiết, với sự chú ý đến từng chi tiết và một tư duy thừa nhận khả năng và sự khéo léo của các tác nhân mạng.

Tích hợp bảo mật vào quy trình DevOps. DevSecOps đang dần trở thành một vấn đề quan trọng. Thật đáng ngạc nhiên khi các tổ chức phải mất nhiều thời gian như vậy để nhận thấy tình trạng khủng hoảng an ninh. Hiện nay, cứ mỗi 100 nhà phát triển mới có một người bảo mật. Cách cổ điển của các ứng dụng sàng lọc sẽ không mở rộng theo bất kỳ cách nào. Điều thực sự quan trọng là bất kỳ bảo mật nào tổ chức muốn áp dụng cho phần mềm đều được tích hợp trong SDLC, được mã hóa trong các quy trình và được xác minh từng bước. Điều thực sự quan trọng trong các giai đoạn khác nhau của SDLC, cách bạn áp dụng bảo mật sẽ khác nhau theo từng giai đoạn. An ninh đã đóng vai trò là người gác cổng, nhưng hiện nay, các tổ chức sẽ không chấp nhận điều này. Tích hợp bảo mật vào môi trường phát triển của nhà phát triển, để họ nhận được phản hồi khi họ đang viết mã và thêm các phụ thuộc.

Yếu tố quan trọng nhất là tính nhất quán. Là một ngành công nghiệp, các chuyên gia dành nhiều thời gian để theo đuổi những tiêu đề bảo mật mới nhất, nhưng họ không thể thực hiện việc ngăn chặn và giải quyết cơ bản trên cơ sở nhất quán - dẫn đến những lỗ hổng mà kẻ tấn công có thể dễ dàng khai thác. Trong báo cáo Vi phạm dữ liệu của Verizon gần đây đã phân tích hàng trăm vi phạm dữ liệu, một trong những kết luận liên quan đến vá lỗi là cách tiếp cận phương pháp nhấn mạnh tính nhất quán và phạm vi bảo hiểm quan trọng hơn so với việc vá lỗi nhanh chóng.

Xây dựng mạng SD WAN phân đoạn tại một thời điểm, xây dựng mạng WAN cho mỗi ứng dụng. Mạng vi phân đoạn để thanh toán, POS, WIFI trên một ứng dụng dựa trên ứng dụng để giảm rủi ro vi phạm như của Target. Mở rộng quy mô bảo mật khi đưa dịch vụ lên đám mây thay vì thực hiện ở mọi trang web sẽ mang lại hiệu quả hơn. Các tổ chức nên xây dựng một mạng ứng dụng ảo kết nối với đám mây. Điều này cho phép bạn đặt các cổng của mình gần hơn với nơi ứng dụng khách hàng cư trú trên đám mây.

Các tổ chức phụ thuộc vào các ứng dụng phần mềm để phát triển kinh doanh của họ. Nhưng thách thức của bảo mật phần mềm là nó không mở rộng quy mô với sự tăng trưởng này, do đó tạo ra những rủi ro kinh doanh đáng kể. Để đối phó với vấn đề này, các tổ chức cần truy cập vào dịch vụ thử nghiệm bảo mật ứng dụng, cung cấp độ chính xác, phạm vi và tốc độ, thông qua sự kết hợp giữa tự động hóa, trí tuệ nhân tạo và con người.