Những chính sách bảo vệ cần thiết chống lại mối đe dọa cấp tiến (Phần 1)
Cho đến nay, vấn đề các giải pháp công nghệ được áp dụng mà không hề xem xét về hệ quả của nó đến chiến lược bảo mật nhìn chung của tổ chức dường như đã xảy ra quá thường xuyên. Để tránh lỗi sai này, điều quan trọng là phải đảm bảo các chính sách của bạn hợp thời điểm và các giải pháp công nghệ bạn đang cân nhắc sử dụng có một hệ thống chiến lược bảo mật rõ ràng.
Trong bài này, ta sẽ biết thêm về các dạng chương trình quản lý nên được cân nhắc sử dụng trong các chính sách bảo mật của tổ chức.
Kích hoạt an toàn thông qua chính sách thông minh
Mục đích của các chính sách bảo mật của doanh nghiệp đó là nhằm giảm rủi ro bị xâm nhiễm bởi những mối đe dọa cấp tiến từ đầu. Nhưng ngay cả các mạng lưới an toàn nhất với các chính sách bảo mật tốt nhất, đến cùng vẫn trở thành nạn nhân của malware và các cuộc tấn công. Tương tự, bạn phải tự nhận rằng mạng lưới của bạn rồi cũng sẽ có lỗ hỗng dẫu cho chính sách của bạn có được thiết kế tốt tới đâu, và từ đó lập kế hoạch dựa trên sự nhận định đó. Trước đó, chúng ta đã nói về các kỹ thuật dò tìm và ngăn chặn lỗ hổng.
Các chính sách bảo mật nên giúp tổ chức của bạn trong công cuộc kiểm soát malware và giảm thiểu rủi ro, đồng thời phù hợp với các yêu cầu kinh doanh của công ty. Việc lập nên những chính sách bảo mật hiệu quả yêu cầu một vốn hiểu biết sâu về các rủi ro mà nhiều ứng dụng và tính năng được sử dụng trong mạng lưới đem lại, về những công việc cần thiết trong công ty, và về những yêu cầu cần thiết để làm việc của nhân viên.
Một IT cần đảm nhận vai trò chủ động trong việc quyết định lựa chọn những chính sách thông minh có thể cho phép mọi người dùng trong tổ chức sử dụng và giảm thiểu rủi ro. Tuy nhiên, quan trọng không kém, một IT cũng không nên là người sở hữu duy nhất của các chính sách này – và quan trọng nhất là cần có hệ thống hỗ trợ lãnh đạo rõ ràng. Việc thu nhận các ứng dụng mới vào tổ chức thường đến từ bản thân người dùng chứ không đến từ các chính sách. Nhưng một khi những ứng dụng này đã gia nhập vào chuỗi quy trình và quá trình làm việc của doanh nghiệp, đẩy chúng ra là một việc vô cùng khó khăn, thậm chí là bất khả thi, ngay cả khi có hệ thống hỗ trợ lãnh đạo.
Ví dụ như, trong một môi trường mạng lưới được quản lý chặt chẽ như các sàn giao dịch chứng khoán, việc sử dụng tin nhắn tức thời có thể phải tuân theo các quy tắc lưu trữ và kiểm tra âm thanh. Vai trò của IT là phải thông tin cho các nhà đầu cơ chứng khoán về những rủi ro bảo mật mà các thiết bị tin nhắn tức thời có thể đem lại, tham gia vào quá trình phát triển chín sách sử dụng chấp nhận được (AUP), và từ đó giám sát và áp dụng chúng. Trong ví dụ trên, chính sách đó có thể ngăn chặn các nhà đầu cơ không sử dụng Facebook và MSN để nhắn tin tức thời, và thay vào đó cung cấp cho họ một server dùng để nhắn tin trong nội bộ.
Nên nhớ, quản lý hoạt động tốt nhất là khi nó được dựa trên một nhóm các chính sách tổ chức thông minh đã được phát triển bởi bốn trụ cột trong cảnh quan mạng lưới tổ chức doanh nghiệp: IT, Nhân sự (HR), ban giám đốc điều hành, và bộ phận người dùng. Hiển nhiên IT có một vai trò nhất định, nhưng nó không phải là vai trò được ấn định mà vị trí IT thường có. Đồng thời IT cũng không nên xao lãng trong vai trò là bộ phận hỗ trợ và giám sát các ứng dụng và công nghệ.
Kiểm soát quản lý ứng dụng
“Sự hỗ trợ” là về việc biết và hiểu rõ người dùng và hành vi của họ, cũng như những ứng dụng và rủi ro đi kèm với chúng.Trong trường hợp là các ứng dụng nổi tiếng như mạng xã hội, người dùng từ lâu đã biết về những lợi ích của chúng, nhưng lại thường xuyên dửng dưng với những rủi ro và mối đe dọa kèm theo những lợi ích đó. Vì thế, ta cần phải ghép những ứng dụng và tính năng hợp lý nhất cho nhu cầu của người dùng, cùng lúc cũng nên thông tin cho họ về những rủi ro tiềm ẩn đến từ các ứng dụng và tính năng đó.
Vấn đề cho phép sử dụng ứng dụng thường bao gồm ngăn cấm sử dụng những ứng dụng không cần thiết và có rủi ro cao, song song với việc quản lý những ứng dụng được thông qua nhằm giảm tải các rủi ro mà chúng có thể đem đến. Xác định những chính sách hiệu quả yêu cầu giao tiếp rõ ràng giữa người dùng, bộ phận IT, và bộ phận quản lý để có thể hiểu rõ được ứng dụng nào có giá trị và lợi ích kinh doanh. Một vài ứng dụng nổi tiếng là đường dẫn đến malware, cả trong mảng xâm nhiễm và mảng điều khiển. Một ví dụ điển hình đó là các ứng dụng mạng ngang hàng P2P, như BitTorrent.
Ở mặt khác, nhiều ứng dụng thường không chính xác là tốt hoặc xấu (trắng hoặc đen), mà chúng sẽ thường ở trong vùng xám của chính sách bảo mật của tổ chức. Những ứng dụng này có thể có giá trị cho kinh doanh nhưng cũng mang theo những rủi ro đáng kể. Việc cho phép thông qua một cách cẩn trọng sẽ là mục tiêu chính khi đối mặt với những ứng dụng này. Trong trường hợp trên, các ứng dụng có thể được cho phép sử dụng nhưng sẽ với những tính năng nhất định thực sự cần thiết trong khi các tính năng có rủi ro cao hơn bị chặn. Ví dụ như, một tổ chức doanh nghiệp có thể cho phép sử dụng một ứng dụng họp trên mạng nhưng sẽ không cho phép sử dụng chức năng truy cập máy từ xa, thứ có thể sẽ dẫn đến kẻ tấn công từ xa chiếm quyền kiểm soát máy. Thông qua các chính sách cũng giới hạn các ứng dụng và tính năng nhất định đối với những người dùng nhất định, hoặc có thể quét ứng dụng để đảm bảo không có thư mục hoặc nội dung chưa được thông qua nào đang được chuyển đi. Mục tiêu chính là để tấn công nhắm vào các rủi ro trong ứng dụng chứ không phải bản thân ứng dụng đó.
Việc kiểm soát ứng dụng nên là một phần của chính sách bảo mật công ty bao quát. Như một phần trong quá trình thực thi một chính sách kiểm soát ứng dụng, IT nên nỗ lực phối hợp để học hỏi về các ứng dụng Web 2.0 mới và ngày càng tiến hóa. Điều này bao gồm việc nắm được bao quát mọi ý đồ của chúng, và nếu cần thiết, chủ động cài đặt và kích hoạt chúng trong môi trường phòng lab để quan sát cách chúng hoạt động. Thảo luận ngang hàng, bảng tin, blog, và cộng đồng những người phát triển cũng là những nguồn cung cấp thông tin có giá trị.
Kiểm soát quản lý người dùng
Hầu hết công ty đều có vài chính sách sử dụng ứng dụng, trong đó nêu ra những ứng dụng nào được cho phép sử dụng và ứng dụng nào thì không. Mọi nhân viên đều phải biết rõ chính sách sử dụng ứng dụng này và những rắc rối theo sauviệc không tuân thủ nó, nhưng có một số câu hỏi chưa được giải đáp, bao gồm
- Danh sách ứng dụng không được phép sử dụng nên được cập nhật như thế nào, và ai đảm bảo rằng các nhân viên biết được danh sách này đã thay đổi?
- Điều gì cấu thành việc vi phạm chính sách?
- Hệ quả của việc vi phạm chính sách là gì? Chỉ khiển trách hay bị chấm dứt hợp đồng?
Sự phát triển của việc hướng dẫn chính sách thường là một quá trình phân cực và đầy thách thức. Xác định cái gì nên được cho phép và cái nào nên bị cấm trong khi phải cân bằng rủi ro và khuyến khích thưởng cho những ý kiến táo bạo từ các bên liên quan chính.
Sự thật làm phức tạp hóa quá trình này làcác ứng dụng và công nghệ mới thường được sử dụng bởi tổ chức từ rất lâu trước khi xuất hiện những chính sách hợp lý quản lý két sắt của họ, trước cả việc sử dụng hợp lý đượcxem xét hay phát triển.
Văn bản chính sách dành cho nhân viên phải là mảnh ghép then chốt trong câu đố kiểm soát ứng dụng này. Nhưng sử dụng chính sách kiểm soát nhân sự như một cơ chế độc lập phần lớn vẫn không hiệu quả trong việc kích hoạt an toàn các ứng dụng mới và đang phát triển.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
Thegioibantin.com | Vina-Aspire News
Nguồn: Cybersecurity for Dummies
(Dịch bởi Vina Aspire)