Cách đơn giản để tránh trở thành nạn nhân các mối đe dọa bảo mật
Xu hướng - Dự báo - Ngày đăng : 16:09, 09/11/2018
Một trong sự những phát triển gây phiền toái của thập kỷ qua là tốc độ mà các mối đe dọa bảo mật công nghệ thông tin, thường nhắm vào các doanh nghiệp lớn, đã lan rộng sang các doanh nghiệp vừa và nhỏ.
Ngày nay, các doanh nghiệp vừa và nhỏ không còn là mục tiêu thứ cấp nữa, và đang chống lại chính xác các mối đe doạ mạng tương tự với cùng mức độ tinh tế như các tổ chức lớn hơn. Tội phạm đã phát triển, nền kinh tế mà họ làm việc đã trở nên chuyên nghiệp hơn, và sự hiểu biết của chúng về các doanh nghiệp vừa và nhỏ cũng thay đổi theo thời gian.
Các doanh nghiệp vừa và nhỏ chiếm một phần lớn trong tổng chi tiêu công nghệ thông tin - 40% theo Gartner, và các doanh nghiệp có quy mô khiêm tốn đã đầu tư không nhỏ vào các hệ thống an ninh. Khoảng hai phần ba số doanh nghiệp đã báo cáo về điều này trong một cuộc khảo sát mới về các doanh nghiệp vừa và nhỏ tại Hoa Kỳ. Cuộc khảo sát được thực hiện bởi viện nghiên cứu Osterman Research. Tuy nhiên, số tiền này dường như không có tác động đáng kể đến các giám đốc điều hành, vốn đã lo lắng về khả năng của doanh nghiệp của mình khi chống lại những cuộc tấn công. Họ vẫn cảm thấy dễ bị phơi nhiễm.
Theo truyền thống, an ninh mạng doanh nghiệp vừa và nhỏ là một phiên bản thu nhỏ của cấp doanh nghiệp, được điều chỉnh cho phù hợp với mạng lưới máy tính Windows, máy in, mạng LAN, máy chủ và phần mềm tương đối thông thường.
Khi thời gian thay đổi, những mối đe dọa đang nổi lên là gì và các doanh nghiệp vừa và nhỏ nên chi tiêu như thế nào để giữ an toàn nếu các phiên bản cắt giảm chung của các biện pháp phòng thủ cũ đang gặp vấn đề trong việc đối phó với các cuộc tấn công?
Dưới đây là một số hướng dẫn đơn giản về các vấn đề và cạm bẫy đối với cơ quan công nghệ thông tin tại các doanh nghiệp vừa và nhỏ; đây là một điểm khởi đầu để các doanh nghiệp có thể tiếp tục nghiên cứu và lập kế hoạch.
Nhắm mục tiêu tống tiền, email yếu
Mối đe dọa nổi bật chính là sự gia tăng nhanh chóng các cuộc tấn công dựa trên việc tống tiền, được thiết kế để buộc một công ty phải trả một khoản tiền chuộc để lấy lại quyền truy cập vào hệ thống dữ liệu, hệ thống nội bộ, hoặc trả cho tin tặc để chúng không tung ra các cuộc tấn công từ chối dịch vụ phân tán chống lại máy chủ web công cộng. Theo Osterman, cứ một trong năm doanh nghiệp vừa và nhỏ của Mỹ lại báo cáo rằng họ phải trải qua một cuộc tấn công ransomware, và cứ một trong ba doanh nghiệp lại báo cáo họ trải qua các cuộc tấn công dạng lừa đảo.
Lừa đảo (Phishing) được nhắm mục tiêu cao tới Business Email Compromise (BEC) - lừa nhân viên thực hiện thanh toán cho những kẻ lừa đảo bằng cách mạo danh và giả mạo - cũng là một cuộc tấn công khác được báo cáo. Thông thường, một miscreant đóng giả là một nhà cung cấp để đánh lừa nhân viên thực hiện thanh toán hóa đơn vào tài khoản ngân hàng của kẻ lừa đảo. Ngoài ra, tin tặc tấn công tài khoản email của công ty của người quản lý cấp cao hoặc mạo danh người đó và yêu cầu bộ phận tài chính gửi các tệp chứa thông tin nhạy cảm, chẳng hạn như biểu mẫu thuế, có thể được sử dụng để đánh cắp nhận dạng.
Loại gian lận này đã bùng nổ trong năm ngoái, và công ty bảo mật đám mây AppRiver đã báo cáo rằng họ đã cách ly một triệu email BEC trong nửa đầu năm 2018, tăng 55% trong nửa đầu năm trước.
Cách dễ nhất để ngăn chặn các cuộc tấn công lừa đảo là không bao giờ nhận được chúng, đó là công việc của nhà cung cấp dịch vụ email hoặc cổng dịch vụ email. Tất cả các nhà cung cấp dịch vụ phải thực thi kiểm soát giả mạo và xác thực email, từ chối các thư không đạt các tiêu chuẩn như Khung chính sách người gửi (SPF - Sender Policy Framework), Thư xác định khóa miền (DKIM - Domain Keys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting and Conformance - Domain- dựa trên Xác thực Thư, Báo cáo và Tuân thủ). Lý tưởng nhất, nhân viên nên có cách báo cáo các email đáng ngờ.
Sao lưu dữ liệu
Các thói quen sao lưu của các doanh nghiệp vừa và nhỏ trở nên cực kỳ quan trọng để đánh bại phần mềm ransomware. Chia sẻ trực tuyến và việc sao lưu phải được bảo vệ để ngăn chặn phần mềm ransomware nhắm mục tiêu này, trong khi sao lưu ngoại tuyến được coi là kế hoạch B. Có rất nhiều cách để bảo vệ các thư mục có giá trị, bao gồm cả chính Windows, như là việc truy cập thư mục được kiểm soát cũng như các phương pháp tiếp cận trên toàn mạng như vậy dưới dạng VLAN. Quan trọng nhất là phải kiểm tra các bản sao lưu.
Thật không may, ransomware không phải lúc nào cũng đi sau dữ liệu và có thể được triển khai để khóa toàn bộ các máy chủ đang chạy các ứng dụng, quản lý các hệ thống sản xuất và cơ sở dữ liệu. SMB endpoint suites thường bao gồm việc tăng cường bảo vệ máy chủ có thể với phân đoạn mạng cẩn thận
Ứng dụng văn phòng
Ngoài email, các ứng dụng văn phòng thường là mục tiêu tiếp theo. Bất kỳ tệp đính kèm nào có thể bị chặn bởi mã độc hại lẻn qua - đặc biệt là PDF và Word - sẽ bị giới hạn bởi, ví dụ như chế độ xem được bảo vệ của Microsoft Office, tắt macro và quét phần mềm độc hại đã biết. Các khả năng cũ như Object Linking và Embedding (OLE) nên được vô hiệu hóa trong khi các giao diện mạnh mẽ như Powershell, VBScript và Jscript scripting cần được quan tâm và chú ý.
Backdoor RDP và sự xác thực
Một mục tiêu mới nổi khác dành cho tin tặc là Giao thức bàn làm việc từ xa của Microsoft (RDP - Remote Desktop Protocol), mà nhiều doanh nghiệp vừa và nhỏ đã khởi động để bật hỗ trợ từ xa. Việc khám phá các cổng RDP còn mở trên internet không khó, và tất cả những kẻ lừa đảo cần là một mật khẩu để sử dụng nó như một cánh cửa để xâm nhập vào các doanh nghiệp vừa và nhỏ bình thường.
Phần đáng buồn là, nhiều quản trị viên không nhận thấy rằng điểm yếu này thậm chí còn tồn tại bởi vì nó không phải là điều đầu tiên mà họ nghĩ đến. Được trang bị một RDP mở, những kẻ tấn công đã tìm thấy một cách hiệu quả để vượt qua tất cả các trình điều khiển, tắt bất kỳ quy trình nào - bao gồm cả các máy chủ bảo vệ an ninh. Trò chơi kết thúc. Điểm yếu cấu hình thường đổ lỗi cho lỗ hổng RDP và nó có thể được giảm nhẹ trong nhiều trường hợp bằng cách đầu tư đơn giản trong vấn đề xác thực tốt hơn cho các tài khoản quản trị, điều nên luôn luôn được thực thi bảo mật này.
Bạn cũng đừng quên tường lửa - chúng không còn là lá chắn ma thuật nữa nhưng vẫn là những người bạn tuyệt vời, chẳng hạn như đóng cửa RDP để ngăn sự truy cập từ bên ngoài. Tường lửa cũng khóa các mạng Wi-Fi của khách truy cập từ các phần khác của doanh nghiệp, phát hiện các kết nối đáng ngờ - chẳng hạn như phần mềm độc hại hoặc nhân viên giả mạo, những thông tin nhạy cảm, và nhiều hơn nữa.
Sử dụng quyền điều khiển truy cập và tường lửa để giới hạn và sắp xếp tổ chức của bạn, do đó, các nhóm chỉ truy cập thông tin họ cần và dữ liệu nhạy cảm không thể rời khỏi các khu vực đó.
Trộm cắp dữ liệu
Vi phạm an ninh công nghệ thông tin dẫn đến việc trộm cắp dữ liệu là một mối đe dọa từ lâu. Mười năm trước, dữ liệu khách hàng không được phép xuất hiện là sự việc chỉ xảy ra với những doanh nghiệp lớn như công ty TJX của Mỹ có lượng dữ liệu khổng lồ đáng để trộm cắp. Phân tích điều tra vi phạm dữ liệu năm 2018 của Verizon về 2.216 vụ trộm dữ liệu đã biết đã phát hiện ra rằng 58% các vi phạm đó đã được báo cáo tại các doanh nghiệp vừa và nhỏ.
Trong khi những người trong cuộc nhận định lừa đảo là một mối đe dọa an ninh mà các nhà quản lý công nghệ thông tin cần phải chú ý, việc khai thác các lỗ hổng trong phần mềm nằm ở gốc rễ của nhiều cuộc tấn công mạng thành công.
Bạn không nên đọc quá nhiều từ tổng số lỗi có nhãn CVE - nhiều lỗ hổng được tìm thấy có nghĩa là chúng ta đang tìm kiếm và sửa chữa chúng tốt hơn – đồng thời cũng có nghĩa là có nhiều việc phải làm trước khi những lỗ hổng được khai thác và sử dụng trong tự nhiên.
Các doanh nghiệp vừa và nhỏ thiếu nhân viên an ninh chuyên dụng tại doanh nghiệp cần phải tự động hóa quản lý bản vá càng nhiều càng tốt. Bí quyết đầu tiên là giảm số lượng phần mềm cần vá ngay từ đầu bằng cách xóa các ứng dụng và plugin cũ như Flash và Java và chuẩn hóa trên một trình duyệt và bộ ứng dụng văn phòng. Các nhà cung cấp dịch vụ sẽ thực hiện một số công việc vá lỗi trong khi các bộ bảo mật đầu cuối thường sẽ có một mô-đun để quản lý các nhu cầu chuyên biệt hơn.
Bảo mật dữ liệu
Các tổ chức nhỏ đang gặp khó khăn trong việc bảo vệ dữ liệu nhạy cảm thường gắn liền với khó khăn trong việc sử dụng mã hóa một cách hợp lý và hiệu quả. Nhiều doanh nghiệp vừa và nhỏ kết thúc với sự chắp vá của các hệ thống và các mức bảo vệ khác nhau. Nó quá dễ dàng để xảy ra sai sót, và để lại khối thông tin không được bảo vệ. Giải pháp hợp lý là sử dụng một sản phẩm có thể được kiểm soát tập trung, nhưng việc tìm sự xác thực trên một hệ thống được xây dựng để sử dụng cho các doanh nghiệp vừa và nhỏ có thể là một thách thức.
Mã hóa email bên ngoài đang trở nên phổ biến hơn nhưng có thể không thực tế đối với tất cả các doanh nghiệp vừa và nhỏ. Tuy nhiên, việc mã hóa các tệp khi không sử dụng cũng là điều phải làm. Mọi thiết bị di động phải được mã hóa trong khi BitLocker của Microsoft có thể được sử dụng để bảo mật tệp cục bộ trên PC Windows.
Xem xét đám mây
Các doanh nghiệp vừa và nhỏ ngày càng sử dụng nhiều các dịch vụ đám mây để lưu trữ dữ liệu và ứng dụng, thực sự đám mây có thể sẽ sớm trở thành nơi chính của nhiều hệ thống công nghệ thông tin của họ. Có thể cho rằng, điều này sẽ thúc đẩy an ninh vì nó sẽ hợp lý hóa nhiều vấn đề đã được đề cập trong một loạt các quy trình bảo mật theo một hoặc một số lượng nhỏ các dịch vụ. Hầu hết các doanh nghiệp vừa và nhỏ chưa sẵn sàng để tin tưởng nền tảng đám mây, nhưng khi họ sử dụng đám mây, nó có khả năng có thể cải thiện an ninh của doanh nghiệp chỉ đơn giản bởi vì nó sẽ làm việc quản lý trở nên dễ dàng hơn.
Thách thức an ninh mạng cho các doanh nghiệp vừa và nhỏ luôn là họ phải đối phó với các mối đe dọa an ninh tương tự như các công ty lớn hơn nhưng không có cùng một mức tài nguyên. Tội phạm mạng biết điều này, đó là lý do tại sao - theo một nghĩa nào đó - các chiến dịch cho các doanh nghiệp vừa và nhỏ cụ thể luôn là một hình thức kỹ thuật xã hội khai thác các điểm áp lực, chẳng hạn như thiếu hiểu biết, thời gian và quy trình yếu kém.
Không phụ thuộc vào kích thước, không phải lúc nào cũng có một sự cố giải thích tại sao những điều này xảy ra nhiều như một tập hợp các điểm yếu bao gồm vá, kiểm soát dữ liệu và mã hóa, bảo mật đám mây, xác thực, quản lý đặc quyền cũng như khó khăn trong việc bảo vệ hệ thống email.
Các quy tắc cho mọi doanh nghiệp vừa và nhỏ khá rõ ràng: đơn giản hóa tài sản công nghệ thông tin càng nhiều càng tốt, xóa những phần mềm không mong muốn, các lớp kiểm soát truy cập và chọn đối tác an ninh tốt.