Những yếu tố khiến người dùng trở nên kém an toàn
Diễn đàn - Ngày đăng : 14:53, 12/07/2019
Có lẽ vẫn có một bộ phận người dùng vẫn nghĩ rằng họ đã ẩn danh, và một hacker sẽ không thể tìm thấy những thông tin chúng cần. Đáng buồn thay, điều đó hoàn toàn không đúng sự thật. Và các chuyên gia biết được điều này vì họ đã đưa lý thuyết đó vào thử nghiệm tại một sự kiện an ninh mạng được tổ chức bởi Probrand. Tại đây các chuyên gia đã thấy mức độ sẵn sàng mà người dùng có thể cung cấp các dữ liệu nhạy cảm.
Thử nghiệm “data for donut”.
Sự kiện này có sự tham gia chủ yếu của các chuyên gia an ninh Vương quốc Anh. Để bắt đầu, các chuyên gia đã hỏi người được phỏng vấn những câu hỏi đối thoại thông thường, nhưng kết thúc bằng việc mọi người vô tình chia sẻ những thông tin nhạy cảm của bản thân.
Các câu hỏi như “Bạn đã làm việc trong ngành an ninh mạng được bao lâu rồi?” có thể dẫn đến các câu hỏi tiếp theo như “Bạn đã làm được khá lâu, vậy bạn bao nhiêu tuổi? Ngày sinh của bạn là gì?”
Hoặc: “Làm thế nào bạn biết đến hội nghị này? Sau đó, bạn có kế hoạch gì không?”. Nếu có người đề cập rằng họ phải đến đón con tại trường, các chuyên gia sẽ hỏi tên của bọn trẻ là gì, bao nhiêu tuổi. Một người trả lời thậm chí còn cho chuyên gia xem ảnh của con họ.
Các chuyên gia cũng đã hỏi người tham gia nhiều câu hỏi trực tiếp hơn như một phần của một cuộc khảo sát chính thức, cung cấp cho họ một chiếc bánh donut để đổi lấy việc trả lời các câu hỏi như: Bạn yêu thích hay ủng hộ đội bóng đá nào?
Cho dù là đặt câu hỏi một cách minh bạch như một phần của một cuộc khảo sát, hoặc cố gắng áp dụng các phương pháp để lấy thông tin như tin tặc, các chuyên gia cho thấy tình trạng đáng báo động khi việc lấy dữ liệu của một cá nhân dễ dàng như thế nào. Nếu đây là phản hồi nhận được từ các chuyên gia bảo mật công nghệ thông tin, thì cơ hội nào cho doanh nghiệp hoặc nhân viên tầm trung có thể bảo vệ mình?
Vượt qua mật khẩu
Mặc dù có một số yếu tố đã được dàn dựng tại hội chợ, nhưng điều này không là gì so với các phương thức mà tin tặc sẽ áp dụng để truy cập thông tin nhạy cảm. Và nó chỉ trở nên tồi tệ hơn. Một phần lý do cho điều này là vì người dùng hiện đang sử dụng các loại thiết bị và công nghệ khác nhau. Nó không chỉ là PC Windows, người dùng còn sử dụng máy Mac, iPad, iPhone, các thiết bị Android, Chromebooks. Cách con người sử dụng các thiết bị này có nghĩa là chúng trực tuyến vĩnh viễn - và điều đó cũng ảnh hưởng đến cách truy cập phần mềm và dữ liệu.
Ví dụ, hầu hết các doanh nghiệp hiện sử dụng đám mây để lưu trữ dữ liệu của họ và đây là cơ hội tuyệt vời để tội phạm mạng truy cập tất cả các tệp nhạy cảm tại một điểm. Thông thường, tất cả những gì tội phạm cần để truy cập chỉ là một mật khẩu.
Nhiều người có thể nghĩ rằng việc đoán mật khẩu là khó khăn và tốn thời gian. Nhưng điều đó dễ dàng hơn nhiều so với việc cố gắng vượt qua thứ gì đó như Tường lửa của Microsoft, công cụ có khả năng phòng thủ mạnh hơn nhiều.
Tất nhiên, điều đáng lo ngại là tin tặc sẽ làm gì khi chúng có được mật khẩu đó. Một chiến thuật mà các chuyên gia nhận thấy ngày càng nhiều chính là việc thiết lập một quy tắc email – thiết lập này sẽ gửi cho tin tặc một bản sao của email cùng lúc bạn nhận được nó. Điều này có nghĩa là tin tặc đã nhận được quyền truy cập thời gian thực vào những dữ liệu như quy trình kinh doanh và hóa đơn. Khía cạnh tức thời có nghĩa là tin tặc có thể thay thế một hóa đơn bằng một bản sao giống hệt nhau về diện mạo và cảm nhận - nhưng có thông tin chi tiết về ngân hàng của hacker thay vì của đối tác của doanh nghiệp.
Sử dụng chính sách Zero trust (không tin cậy)
Có quá nhiều cạm bẫy trong không gian mạng hiện nay. Doanh nghiệp - và nhân viên - có thể làm gì để có thể tự bảo vệ mình? Bước đầu tiên cần hiểu rằng, ngay cả khi bạn thực hiện những biện pháp phòng ngừa tốt nhất, thì chưa chắc người khác có được những biện pháp phòng ngừa tương tự. Trước đây, dữ liệu của bạn tương đối an toàn khi nó nằm bên trong mạng của bạn và không ai có thể chạm vào nó. Nhưng với dữ liệu của người dùng hiện được lưu trữ ở các địa điểm khác nhau, sự an toàn trước đây đơn giản là không còn nữa.
Nhân viên hiện trường và đội bán hàng sử dụng điện thoại thông minh cá nhân để đăng nhập vào CRM của công ty (Customer Relationship Management – Quản lý quan hệ khách hàng), trong khi xu hướng làm việc BYOD (Bring your own device – mang thiết bị cá nhân đi làm) và xu hướng làm việc linh hoạt có nghĩa là khách hàng và nhân viên rất có thể mang thiết bị vào và ra khỏi một doanh nghiệp. Nó có thể là những thiết bị đơn giản như USB, nhưng sẽ không thể biết tình trạng của những thiết bị đó. Vùng an toàn mạng của công ty đã không còn được áp dụng
Đây là nơi mà khái niệm về Zero trust bắt đầu len vào – khái niệm mà các chuyên gia nhìn mọi việc từ góc độ giả định vi phạm. Một khía cạnh cốt lõi ở đây là quản lý hồ sơ rủi ro và các yếu tố khác nhau trong công nghệ thông tin của doanh nghiệp - bao gồm cả cách người dùng suy nghĩ và hành xử, cũng như các thiết bị họ sử dụng.
Người dùng và ứng dụng
Khi nói về người dùng, các chuyên gia không thực sự nói về những người sử dụng điện thoại hoặc máy tính bảng của họ. Những gì họ thực sự sử dụng là phần mềm. Nhân viên cần phải đăng nhập vào phần mềm đó mỗi sáng để thực hiện công việc của mình và đây là lúc nguy cơ bị tấn công do mật khẩu yếu lại tăng lên.
Các giải pháp đăng nhập một lần trở nên tuyệt vời vì chúng cho phép người dùng mở khóa nhiều ứng dụng chỉ với một tên người dùng và mật khẩu duy nhất. Nhưng việc đưa thêm dữ liệu của mình vào các ứng dụng đám mây nổi tiếng như Office 365 cũng gặp rủi ro vì các ứng dụng này đã trở thành địa điểm để tin tặc nhắm mục tiêu (đó là nơi các chiến thuật lén lút, như chuyển tiếp email, có thể xảy ra).
Một cách đơn giản để nâng cao bảo mật quá trình đăng nhập lên một tiêu chuẩn cao hơn là triển khai xác thực hai bước mà nhiều công cụ kinh doanh đã tích hợp miễn phí. Ví dụ: sử dụng mật khẩu để đăng nhập vào Dropbox, theo sau là lời nhắc nhập mã bảo mật gồm 6 chữ số được gửi đến điện thoại của người dùng.
Thiết bị
Mặc dù mật khẩu yếu chắc chắn rất hấp dẫn đối với tin tặc, nhưng chúng không phải là cách duy nhất mà tin tặc có thể tiếp cận. Các tổ chức cũng nên xem xét trạng thái của thiết bị. Một điểm khởi đầu tốt là thiết lập đường cơ sở để đo lường các thiết bị. Các thiết bị có được cập nhật hay không? Có phần mềm chống vi-rút và phần mềm chống độc hại đang chạy trên thiết bị đó? Tường lửa có hoạt động hay không? Mã hóa có được kích hoạt hay không?
Hồ sơ cơ sở này có thể được tinh chỉnh cho các thiết bị khác nhau trong các tình huống khác nhau. Các thiết bị thuộc sở hữu doanh nghiệp, BYOD, các thiết bị trên hoặc ngoài mạng, ở nước ngoài, v.v…
Nếu các thiết bị không thể đo lường theo tiêu chuẩn đó, các doanh nghiệp cần đảm bảo rằng họ có cách đáp ứng, tốt nhất là tự động hóa.
Hãy tự hỏi bản thân rằng bạn có vui lòng chấp nhận mức rủi ro cao hơn không hoặc liệu bạn có muốn làm gì để giảm thiểu nó hay không.
Các chuyên gia không thể dồn hết mọi thứ vào một bài viết, nhưng những chiến thuật được nêu ra ở đây là điều mà mọi doanh nghiệp nên làm ở mức tối thiểu. Các cuộc đối thoại về mật khẩu và an ninh mạng có thể không phải là hấp dẫn nhất, nhưng cách duy nhất để kết thúc nó chính là bằng các biện pháp tốt hơn và sớm hơn.