Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số bước cơ bản có thể được sử dụng để bảo vệ bạn trước các tấn công đến từ bên trong môi trường mạng.
Theo báo cáo của MSNBC.com, một thống kê được thực hiện bởi CSO Magazine đã phát hiện ra có đến hơn 58% tấn công được thực hiện từ bên ngoài, 21% tấn công được thực hiện bên trong; tuy nhiên mức nguy hiểm của các tấn công bên trong lại nguy hại hơn rất nhiều so với năm 2010, cụ thể là 33% so với 25%. Điều đáng lo ngại nhất là tấn công bên trong đang trở nên phức tạp hơn rất nhiều, có đến 22% tấn công bên trong có sử dụng các công cụ rootkit và công cụ hacker so với 9% vào năm ngoái, các công cụ tấn công cũng gia tăng ở mức độ đáng báo động. Bài viết này chúng tôi sẽ giới thiệu cho các bạn cách bảo vệ mạng của mình trước các tấn công bên trong ngày càng phức tạp.
Tại sao các tấn công bên trong ngày càng trở nên nguy hiểm hơn
Chúng ta có thể hiểu tấn công bên trong là tấn công được chỉ đạo bởi những người đang truy cập trái phép vào mạng và hệ thống của bạn. Họ rất có thể là một số nhân viên vì một lý do nào đó muốn chống lại công ty, một số vì động cơ muốn kiếm tiền bất chính mà sử dụng hệ thống để đánh cắp tài sản của công ty,… bất cứ ai lạm dụng đặc quyền của họ trong mạng công ty để sử dụng nó theo cách trái phép. Một số tấn công có thể là người bên trong bị đe dọa, mua chuộc bởi người bên ngoài nhằm đánh cắp các thông tin công ty, cài cắm virus hay malware để làm sập mạng của bạn,…
Một số kịch bản tấn công ở đây là:
- Tiêm nhiễm một cách có chủ tâm các máy tính và mạng công ty bằng malware hoặc virus để làm gián đoạn công việc và gây hậu quả mất năng suất.
- Cài đặt spyware, phần mềm keylogger hay các kiểu phần mềm tương tự như vậy để lấy cắp thông tin về những gì đồng nghiệp hay những người khác trong công ty đang thực hiện.
- Đánh cắp mật khẩu để đăng nhập vào mạng công ty để đội lốt trước người dùng nào đó.
- Copy các thông tin bảo mật của công ty và gửi ra bên ngoài mà không được phép .
Tại sao hầu hết các chiến lược bảo mật thường tập trung đến tấn công bên ngoài
Nếu các tấn công bên trong gây tổn hại đến công ty nhiều hơn thì tại sao hầu hết chính sách và chiến lược bảo mật thường tập trung vào bảo vệ mạng tránh các mối đe dọa đến từ bên ngoài? Có rất nhiều lý do để giải thích. Nền tảng của việc bảo mật mạng là tường lửa – một “người gác cổng” được đặt giữa các máy tính (người dùng) trong mạng bên trong và những tấn công tiềm ẩn đến từ bên ngoài. Tuy nhiên có vấn đề đối với mô hình này là nó tạo ra một giả định lớn và đôi khi không hợp lệ, đó là tất cả người dùng bên trong phải hoàn toàn được tin tưởng. Chúng ta cũng không hề ngạc nhiên khi có rất nhiều công ty đưa ra giả định này. Đó là bản tính của con người, không mấy ai nghĩ người của mình lại phản bội mình. Mặc dù vậy đây có thể là một lỗi chí tử đối với bạn.
Có lẽ nguyên nhân chính là không hề đơn giản để chống lại các tấn công từ bên trong. Các nhân viên thường phải truy cập vào thông tin nhạy cảm để thực hiện công việc của họ. Họ có các chứng chỉ hợp lệ để đăng nhập vào mạng, do đó hoàn toàn dễ dàng khai thác bất cứ lỗ hổng bảo mật có thể gây gián đoạn các dịch vụ mạng. Một số người còn cho rằng chúng ta không thể kiểm soát được những người này. Họ đưa ra quan điểm: Nếu bạn đưa cho ai đó chìa khóa để vào vương quốc, khi đó sẽ thực sự khó khăn trong việc ngăn chặn anh ta lạm dụng chúng để làm những gì anh ta muốn. Mặc dù vậy vẫn có rất nhiều bước có thể sử dụng để hạn chế những người bên trong thực hiện các hành vi phá hoại diện rộng.
Phát triển chiến lược bảo mật để bảo vệ trước các tấn công bên trong
Một số tổ chức bán lẻ đã sử dụng các chương trình tránh mất cắp để ngăn chặn nhân viên của họ lấy trộm hàng hóa cũng như tiền, một số tổ chức có liên quan với dữ liệu điện tử nhạy cảm cũng có thể sử dụng các chương trình DLP (data loss prevention). Và hiện tại có rất nhiều hãng cung cấp công nghệ DLP, tuy nhiên một chiến lược toàn diện sẽ là tốt nhất so với việc chỉ mua một thiết bị DLP và sử dụng chúng.
Có thể chúng ta sẽ không bao giờ loại bỏ hoàn toàn được rủi ro đến từ các tấn công bên trong, tuy nhiên đây là một số thứ bạn có thể làm để giảm bớt những vụ việc và sự ảnh hưởng của nó:
- Sử dụng thiết bị hay phần mềm DLP chuyên dụng: Các thiết bị hoặc phần mềm DLP cho phép bạn lần theo lưu lượng dữ liệu của công ty, có thể là theo thời gian thực hay bằng cách thu thập các thông tin và tổng kết nó trong các báo cáo hàng ngày hoặc hàng tuần. Bạn nên có một hệ thống DLP có thể chặn và đọc các tin nhắn SSL hoặc được mã hóa, bằng không người dùng sẽ có thể mã hóa dữ liệu mà họ gửi ra ngoài mạng hết sức đơn giản. Lưu ý rằng nhược điểm của DLP là nó có thể ảnh hưởng khá tiêu cực đến hiệu suất mạng.
- Cấu hình tường lửa để kiểm soát lưu lượng theo cả hai chiều: Hầu hết các tường lửa hiện đại đều có khả năng lọc lưu lượng gửi vào và gửi ra, tuy nhiên phần lớn được cấu hình chỉ để điều khiển lưu lượng gửi vào. Thiết lập các nguyên tắc gửi ra trên tường lửa của bạn sẽ khóa chặn được hoặc cho phép lưu lượng mạng phù hợp với tiêu chuẩn bạn thiết lập. Cho ví dụ, bạn có thể khóa chặn các lưu lượng gửi ra sử dụng một cổng nào đó.
- Sử dụng các bộ kiểm tra gói dữ liệu bên trong mạng: Các thiết bị DLP và tường lửa thường ưu tiên tập trung vào lưu lượng được gửi ra ngoài mạng. Tuy nhiên bạn có thể sử dụng các công cụ kiểm tra gói dữ liệu chẳng hạn như các sản phẩm Network Analysis and Visibility (NAV) để kiểm tra nội dung các gói di chuyển bên trong mạng nội bộ, cho ví dụ khi người dùng download một file từ máy chủ vào máy tính của anh ta mà người dùng này không có quyền truy cập hoặc dữ liệu này không cần thiết đối với công việc của họ. Công cụ NAV có thể kiểm tra nội dung một cách sâu sắc và tìm kiếm từ hay kiểu dữ liệu cụ thể (chẳng hạn như số phúc lợi xã hội) bên trong một tài liệu hay một file nào đó. Nhược điểm của NAV cũng như DLP đó là làm chậm hiệu suất mạng.
- Sử dụng các sản phẩm bảo mật email có bộ lọc nội dung: Bạn có thể sử dụng tính năng lọc nội dung cho các sản phẩm bảo mật email, cho ví dụ, để khóa chặn tin nhắn được gửi ra có chứa những từ khóa nào đó, hay khóa chặn không cho người dùng gửi đính kèm, ngăn chặn người bên trong gửi thông tin bảo mật ra ngoài mạng của bạn.
- Mã hóa dữ liệu: Mã hóa dữ liệu nhạy cảm sẽ gây khó khăn cho những người bên trong mạng (cũng như người bên ngoài) trong việc truy cập và đọc thông tin.
- Chính sách đặc quyền tối thiểu: Để bảo mật và phòng vệ tốt nhất đối với những mối đe dọa đến từ bên trong, bạn luôn phải thực hiện một chính sách cho phép người dùng có các đặc quyền ở mức hạn chế nhất, tuy nhiên vẫn đảm bảo họ vẫn thực hiện tốt các công việc cần làm. Sử dụng chính sách như vậy khi cấu hình sản phẩm DLP của bạn hay các chính sách gửi ra đối với tường lửa bắt đầu bằng cách khóa chặn mọi thứ và sau đó cho phép những thứ nào cần thiết nhất, phương pháp này sẽ trái ngược hoàn toàn với việc bắt đầu cho phép mọi thứ và sau đó hạn chế những gì bạn cảm thấy cần thiết sau. Tương tự như vậy, các khóa để truy cập vào dữ liệu được mã hóa cũng chỉ nên cung cấp sẵn cho những người mà công việc của họ yêu cầu truy cập vào dữ liệu đó, không cung cấp cho tất cả các nhân viên.
- Thẩm định truy cập file: Thực thi thẩm định sự truy cập đối với các đối tượng hệ thống file sẽ giúp bạn phát hiện lúc nào người bên trong truy cập các thông tin không liên quan đến công việc của họ.
- Vùng có liên quan đến công việc: Đây là một chính sách nhằm bảo đảm rằng không cá nhân nào có thể tiến hành một phiên giao dịch quan trọng (chẳng hạn như chuyển tiền tệ) một mình. Một cá nhân có thể khởi tạo quá trình đó nhưng nó không thể kết thúc mà không có sự xác thực của ai khác. Điều này sẽ cho phép kiểm tra nhiều lần và tạo sự cân bằng trong việc bảo vệ chống lại các nhân viên phản bội hay kẻ xâm nhập nào đó.
- Kiểm soát các thiết bị USB: DLP, tường lửa và lọc nội dung email sẽ giúp ngăn chặn được người bên trong tổ chức gửi các thông tin nhạy cảm của công ty ra ngoài mạng thông qua Internet. Tuy nhiên, các thiết bị như ổ USB ngoài rất hay được sử dụng bởi những người bên trong công ty nhằm giúp họ copy các thông tin nhạy cảm và mang nó ra ngoài công ty. Để tránh điều này, bạn có thể vô hiệu hóa các cổng USB trên hệ thống của những người không cần thiết sử dụng. Bạn có thể sử dụng chính sách nhóm của Windows hay phần mềm nào đó của hãng thứ ba để hạn chế hay khóa chặn việc cài đặt các thiết bị USB. Các phần mềm như GFI Endpoint Security có thể được sử dụng để quản lý sự truy cập người dùng, ghi lại các hành động của thiết bị USB, thẻ nhớ, CD, ổ mềm, iPod cũng như các thiết bị nghe nhạc MP3, điện thoại di động, PDA và bất cứ thứ gì có thể kết nối với máy tính thông qua đường USB.
- Các dịch vụ quản lý quyền hạn: Quản lý quyền hạn cho phép bạn cung cấp sự truy cập dữ liệu đối với người dùng nhưng sẽ giúp bạn ngăn chặn được việc những người này chia sẻ dữ liệu với những người không có thẩm quyền. Windows Rights Management Services (RMS) cho phép bạn khóa chặn việc copy hoặc in ấn các tài liệu, khóa chặn việc chuyển tiếp hoặc copy nội dung email,… Windows cũng cho phép khóa chặn hàng vi chụp toàn màn hình để bảo vệ các tài liệu và email. Tuy vẫn còn rất nhiều cách mà người dùng trong công ty bạn có thể khai thác (cho ví dụ như sử dụng máy ảnh từ điện thoại di động của họ để chụp ảnh màn hình) nhưng điềi này sẽ khiến họ khó khăn hơn trong việc biển thủ các thông tin được bảo mật.
- Quản lý sự thay đổi: Các công cụ quản lý cấu hình và quản lý thay đổi, Configuration and Change Management, có thể giúp bạn nhận dạng thời điểm người dùng bên trong tổ chức thực hiện những thay đổi đối với cấu hình hệ thống nhằm tăng quyền truy cập đến các thông tin mà họ không cần thiết. Có rất nhiều sản phẩm trên thị trường có thể được sử dụng để tìm kiếm sự thay đổi trong mạng.
- Quản lý nhận dạng: Do các đặc quyền truy cập được phép dựa trên sự nhận dạng của người dùng nên cấp bách bạn phải có một hệ thống quản lý nhận dạng tốt. Điều này càng trở nên quan trọng hơn trong các môi trường mạng ngày nay, nơi công ty liên doanh và di rời một số hay tất cả dữ liệu vào đám mây, điều khiến mọi thứ trở nên phức tạp hơn bao giờ hết.
- Theo Windowsecurity/QTM
0 nhận xét:
Đăng nhận xét