Phòng thủ Chuyên sâu: góc nhìn chuyên gia về xây dựng chiến lược an ninh mạng nhiều lớp

Trước bối cảnh các mối đe dọa không ngừng tăng lên và quy định ngày một thắt chặt, thiết lập các tầng bảo mật chuyên sâu không còn chỉ là mục tiêu lý tưởng, mà đã trở thành yêu cầu thiết yếu với các tổ chức. Do đó mà khái niệm Phòng thủ Chuyên sâu chưa bao giờ phù hợp với thời thế đến vậy.

Trước kia, chúng ta từng thảo luận với chuyên gia an ninh mạng lão luyện – David Clarke – để tìm hiểu những thay đổi trong hành vi liên quan đến thiết bị lưu trữ mã hóa và nghe chia sẻ của ông về Chỉ thị NIS2 và Đạo luật về khả năng phục hồi hoạt động kỹ thuật số (DORA) và những tác động đi kèm.

Trong dịp lần này, chúng ta sẽ cùng nghe David chia sẻ góc nhìn chuyên gia về khái niệm Phòng thủ Chuyên sâu và những mục tiêu mà tổ chức nên hướng đến để triển khai được một chiến lược bảo mật mạng đa tầng và vững chãi.

Clarke có kinh nghiệm dày dặn khi từng quản lý bảo mật cho các mạng lưới giao dịch tài chính lớn nhất thế giới và điều hành một trong những trung tâm hoạt động bảo mật lớn nhất châu Âu. Dưới đây là tổng quan những điều chủ chốt mà ông quan sát thấy, cùng video về toàn bộ cuộc phỏng vấn bổ ích này.

Khái niệm Phòng thủ Chuyên sâu

Phòng thủ Chuyên sâu là một phương thức bảo mật đa tầng, hướng đến bảo vệ thông tin bằng cách lập ra một vài tầng phòng thủ. Theo Clarke giải thích, khái niệm này đã ra đời hàng thế kỷ, từ tận thời xa xưa khi mà người ta xây dựng lâu đài với rất nhiều lớp bảo vệ, như thành và hào. Thời nay, khái niệm này chuyển dịch trở thành một tập hợp các biện pháp bảo mật, cùng phối hợp để bảo vệ hệ thống và dữ liệu của một tổ chức.

Quản lý rủi ro và lỗ hổng

Một trong những khía cạnh quan trọng trong Phòng thủ chuyên sâu là quản lý lỗ hổng. Clarke nhấn mạnh tầm quan trọng của việc phải vá bảo mật thường xuyên để tránh bị khai thác. Dưới đây là một ví dụ mà ông chia sẻ từ chính kinh nghiệm của mình trong lĩnh vực tài chính:

Hồi đó, môi trường mà chúng tôi vận hành bắt buộc không được ngừng hoạt động quá 24 giây một năm hay cụ thể hơn là không quá 2 giây mỗi tháng. Do đó, chúng tôi phải thiết kế môi trường sao cho có thể vá từng phần, mà những phần khác vẫn chạy bình thường.

Cách này đảm bảo chúng tôi xử lý các lỗ hổng liên tục và kịp thời, không làm gián đoạn hoạt động kinh doanh.

Trong quản lý bảo mật, đánh giá rủi ro hữu hiệu song song với các hoạt động giảm tổn thất là những biện pháp chủ chốt để triển khai thành công một chiến lược Phòng thủ Chuyên sâu mạnh.

Thường xuyên đánh giá rủi ro sẽ cho phép tổ chức xác định và hiểu được lỗ hổng của mình, để từ đó phân bổ ưu tiên cho các nguồn lực khắc phục. Ngoài ra, khi đưa khâu đánh giá rủi ro và giảm thiểu tác động vào quy trình quản lý lỗ hổng chung, tổ chức có thể chủ động quản lý rủi ro và nâng cao khả năng chống chịu trước các mối đe dọa an ninh mạng.

Tầm quan trọng của một hệ thống nhiều lớp bảo vệ

Clarke nhấn mạnh rằng chỉ trông cậy vào một biện pháp bảo mật duy nhất là không đủ. Ví dụ như chỉ dùng tường lửa có thể khiến tổ chức của bạn dễ dàng bị tấn công. Ngược lại, khi có nhiều lớp chồng lên nhau, chẳng hạn như dùng tường lửa của nhiều nhà cung cấp khác nhau, sẽ giúp giảm bớt rủi ro trước tình huống lớp bảo vệ duy nhất bị chọc thủng, cả hệ thống cũng sập theo. Chiến thuật này đảm bảo rằng nếu một lớp bị xâm phạm, vẫn còn những lớp khác bảo vệ hệ thống hoặc quy trình.

Quản lý siêu người dùng

Siêu người dùng, hay cá nhân có nhiều đặc quyền truy cập hơn, là nguồn rủi ro tiềm ẩn rất lớn nếu bị xâm phạm. Clarke giải thích:

Một khi lấy được siêu người dùng, kẻ xấu có thể tắt tính năng ghi nhật ký, xóa nhật ký hay trích xuất dữ liệu mà bạn không hề hay biết. Nhưng nếu bạn lập ra nhiều điểm truy cập, đặc biệt với siêu người dùng, thì để tấn công được đến mức độ kể trên sẽ trở nên gian nan hơn rất nhiều.

Hơn nữa, Clarke cũng kêu gọi thắt chặt kiểm soát với tài khoản siêu người dùng, như giới hạn thời gian truy cập và xác thực nhiều lớp. Các biện pháp này sẽ giảm thiểu rủi ro truy cập trái phép, đồng thời có thể nhanh chóng phát hiện và xử lý mọi tình huống xâm phạm tiềm tàng.

Đào tạo nhân viên và thực hành bảo mật tổng thể

Đào tạo nhân viên là yếu tố sống còn để làm nên một chiến lược Phòng thủ chuyên sâu mạnh mẽ. Clarke nhấn mạnh tầm quan trọng của việc trang bị kiến thức cho nhân viên về cách nhận diện và báo cáo sự cố bảo mật tiềm ẩn. Tổ chức các chương trình đào tạo hiệu quả trong khuôn khổ hệ thống thực hành bảo mật tổng quát có thể giúp giảm đáng kể thời gian ứng phó sự cố, qua đó giảm tác động lên tổ chức.

Ứng phó và khôi phục sau sự cố

Clarke nhấn mạnh rằng cần vạch sẵn một kế hoạch ứng phó và khôi phục sau sự cố rõ ràng. Các tổ chức cần đảm bảo rằng mọi nhân viên đều hiểu cách báo cáo sự cố khi có nghi ngờ, đồng thời, các bên liên quan chính đều biết cách phân loại theo độ nghiêm trọng và ứng phó hiệu quả. Phản ứng mau lẹ và hiệu quả là chìa khóa để giảm thiểu thiệt hại và cho phép phục hồi nhanh chóng.

Vai trò của mã hóa bằng phần cứng

Mã hóa bằng phần cứng giữ vai trò nền tảng trong mọi chiến lược Phòng thủ Chuyên sâu. Clarke đã chỉ ra rằng SSD ngoài và ổ đĩa USB được mã hóa phần cứng đem lại một số ưu điểm vượt trội hơn so với loại mã hóa bằng phần mềm. Cụ thể, ông nói như sau:

Nếu hệ thống của bạn dùng mã hóa phần mềm được quản lý tập trung và lớp này bị xâm phạm, thì coi như bạn mất sạch tính năng mã hóa!

Lý do khiến mã hóa dựa trên phần cứng thường bảo mật hơn là vì thiết bị sẽ không bị lỗ hổng phần mềm ảnh hưởng. Quá trình mã hóa được bộ vi xử lý bảo mật chuyên dụng trong ổ xử lý, tách biệt với hệ điều hành của máy tính. Kiến trúc cách ly này khiến phần mềm độc hại hoặc tin tặc khó có thể xâm nhập vào mã hóa hơn rất nhiều.

Thiết bị mã hóa bằng phần cứng cũng được thiết kế để ngăn không cho tấn công đoán mật khẩu. Nếu ai đó cố tình tìm cách đoán mật khẩu để vào ổ, cơ chế xóa bằng mật mã sẽ kích hoạt để xóa sạch toàn bộ ổ đĩa và khiến dữ liệu không còn có thể truy cập. Chưa hết, tính năng “luôn bật”, còn gọi là bảo vệ chống tấn công mật khẩu Brute Force, bổ sung thêm một tầng bảo vệ để chống lại tấn công vật lý.

Nhờ đó, thiết bị lưu trữ mã hóa phần cứng có thể giúp các tổ chức đáp ứng yêu cầu về tuân thủ, quy định và chứng minh cam kết bảo mật dữ liệu của mình. Việc này đặc biệt quan trọng trong những ngành chuyên xử lý thông tin nhạy cảm, như tài chính, y tế, chính phủ và chuỗi cung ứng. USB được mã hóa phần cứng Kingston IronKey đem lại khả năng mã hóa phần cứng mạnh mẽ, đảm bảo dữ liệu nhạy cảm được bảo vệ an toàn, đồng thời tuân thủ theo tiêu chuẩn ngành và quy định pháp lý.

Cụ thể trong đó, Kingston IronKey D500S và Keypad 200 với chứng nhận FIPS 140-3 Cấp độ 3 (đang chờ cấp) sẽ giúp các tổ chức an tâm rằng những dữ liệu nhạy cảm nhất của họ sẽ được canh giữ bằng khả năng bảo vệ và mã hóa cấp quân sự do cơ quan bảo mật hàng đầu thế giới là NIST lập ra. Với những đơn vị cần nhiều dung lượng, ổ SSD ngoài Vault Privacy 80 đạt chứng nhận FIPS 197 có các mức dung lượng lên tới 8 TB, đem đến một giải pháp an toàn để lưu trữ dữ liệu nhạy cảm ở trạng thái hoàn toàn cách ly với mạng Internet (air-gapped).

Kết luận

Phòng thủ Chuyên sâu là một phương pháp bảo mật toàn diện và bao quát nhiều khía cạnh, gồm hệ thống nhiều lớp phòng thủ, thường xuyên quản lý lỗ hổng, kiểm soát nghiêm ngặt siêu người dùng và đào tạo nhân viên hiệu quả.

Clarke nhấn mạnh rằng đây là một chiến lược quan trọng để bảo vệ tổ chức khỏi những mối đe dọa an ninh mạng đang không ngừng biến đổi, mà trong đó, thiết bị mã hóa phần cứng giữ vị trí trọng yếu. Khi triển khai chiến lược Phòng thủ Chuyên sâu toàn diện, các tổ chức sẽ có thể nâng cao vị thế bảo mật và giữ gìn tốt hơn các hệ thống, dữ liệu quan trọng của mình.

Xem video