Chia sẻ quan điểm về vấn đề an toàn, an ninh mạng, ông Keith Bromley, chuyên gia của Keysight Technologies cho rằng: Hệ thống mạng nào cũng tồn tại lỗ hổng bảo mật. Một trong những câu hỏi thường xuyên nhất của các chuyên gia bảo mật là "tôi phải làm như thế nào để giảm nhẹ rủi ro bảo mật?". Câu hỏi này cũng quan trọng cả với các tổ chức nhỏ vì hệ thống mạng nào cũng có điểm yếu, vấn đề đặt ra là cơ quan, tổ chức có biết điểm yếu bảo mật của đơn vị mình nằm ở đâu hay không? Có muốn giải quyết vấn đề trước khi bị tin tặc lợi dụng hay không?
Ông Keith Bromley, chuyên gia Keysight Technologies |
Ông Keith Bromley cũng đưa ra kế hoạch nhằm mục tiêu phát hiện các cuộc xâm nhập và giảm thiểu rủi ro bảo mật mạng, gồm 3 điểm: Phòng ngừa (Prevention) - Giảm tối đa số cuộc tấn công xâm nhập được vào mạng; Phát hiện (Detection) - Tìm và nhanh chóng xử lý các vụ xâm nhập được phát hiện trong mạng; Cảnh báo (Vigilance) - Định kỳ kiểm thử hệ thống phòng thủ của bạn để bảo đảm khả năng phát hiện và ngăn chặn các mối đe dọa.
Bảo mật mạng - khởi đầu từ phòng ngừa
Theo phân tích của chuyên gia Keysight, các giải pháp bảo mật nội tuyến là những kỹ thuật có tác động mạnh mà các doanh nghiệp có thể triển khai để xử lý các mối đe dọa bảo mật. Những giải pháp này có thể loại bỏ tới hơn 90% các mối đe dọa bảo mật trước khi chúng có thể xâm nhập vào hệ thống mạng của bạn. Mặc dù không thể tạo ra được cơ cấu phòng thủ chắc chắn chống lại mọi mối đe dọa với mạng, nhưng kiến trúc bảo mật nội tuyến này có thể cung cấp khả năng tiếp cận dữ liệu thiết yếu mà các nhóm vận hành bảo mật (SecOps) cần để quản lý các loại tải công việc bảo mật trong thế giới thực.
Các cơ quan, tổ chức cũng cần lưu ý rằng các giải pháp bảo mật nội tuyến không chỉ là bổ sung thêm một thiết bị bảo mật chuyên dụng, chẳng hạn như hệ thống phòng ngừa xâm nhập trái phép (IPS) hoặc tường lửa ứng dụng web (WAF). Giải pháp này cần có các thiết bị chuyển mạch bypass ngoài và các thiết bị quản lý giám sát lưu lượng mạng (NPB) để truy cập và cung cấp khả năng hiển thị giám sát dữ liệu toàn diện. Khả năng này cho phép kiểm tra toàn bộ dữ liệu để tìm kiếm lưu lượng mạng khả nghi.
Truy tìm các vụ xâm nhập trái phép
Mặc dù các giải pháp bảo mật nội tuyến có vai trò vô cùng thiết yếu để giảm thiểu rủi ro xâm nhập bảo mật, nhưng trên thực tế, sẽ vẫn có khả năng mạng của bạn bị kẻ xấu xâm nhập. Do đó bạn cần có một phòng tuyến thứ hai, giúp bạn chủ động tìm kiếm các mối đe dọa. Để hoàn thành nhiệm vụ này, bạn cần có khả năng hiển thị giám sát đầy đủ tới tất cả các phân đoạn trong mạng của bạn.
Nhưng tính năng của các thiết bị hiển thị giám sát khác nhau cũng tương đối khác nhau. Chẳng hạn, các công cụ bảo mật của bạn có quan sát được tất cả những gì chúng cần giám sát? Bạn có thể bỏ qua hơn 60% các mối đe dọa bảo mật mà không hề nghi ngờ gì về điều đó. Lý do là một số nhà sản xuất cho phép các thiết bị hiển thị giám sát, chẳng hạn thiết bị NPB, loại bỏ một số gói tin (mà không cảnh báo cho bạn) trước khi dữ liệu đến được với các công cụ bảo mật trọng yếu, chẳng hạn hệ thống phát hiện xâm nhập trái phép (IDS). Dữ liệu bị loại bỏ này khiến nâng cao đáng kể xác suất thành công của các mối đe dọa bảo mật.
Chuyên gia Keysight khuyến nghị: Sử dụng kết hợp các bộ chuyển mạch bypass, trích xuất dữ liệu (taps) và các thiết bị NPB, các đơn vị sẽ có khả năng giám sát mạng và tự tin cần thiết để giám sát được toàn bộ hệ thống mạng - tới từng bit, từng byte và từng gói tin. Mức độ hiển thị giám sát này cho phép các công cụ truy tìm mối đe dọa, các hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) có thể chủ động tìm kiếm các dấu hiệu cho thấy mạng bị xâm nhập (indicators of compromise – IOC).
Luôn cảnh giác và thường xuyên xác minh kiến trúc bảo mật của bạn
Tuyến phòng thủ thứ ba, theo chuyên gia Keysight, chính là thường xuyên xác minh rằng kiến trúc bảo mật của đơn vị hoạt động theo đúng thiết kế. Đây là hoạt động sử dụng giải pháp mô phỏng xâm nhập và tấn công (BAS) để kiểm tra khả năng chống lại các mối đe dọa thực tế của các hệ thống phòng thủ của bạn.
Cùng với đó, cần thường xuyên áp dụng các bản vá và kiểm tra khả năng chống xâm nhập định kỳ hàng năm là các thực hành bảo mật tốt nhất. “Tuy nhiên các hoạt động này không thể thay thế được việc thực hiện chức năng BAS hàng tuần hoặc hàng tháng”, chuyên gia Keysight chia sẻ thêm.
Chẳng hạn, có thể có một bản vá chưa được áp dụng hay áp dụng không đúng cách, làm thế nào để bạn biết được điều đó? Hơn nữa, kiểm thử xâm nhập chỉ có tác dụng cho một thời điểm cụ thể. Sau vài tuần hoặc vài tháng, các điểm yếu bảo mật mới có thể sẽ xuất hiện. Và khi một lỗ hổng bảo mật được phát hiện, có hay không các bản vá phù hợp? Vì những lý do đó, cùng với nhiều lý do khác, các cơ quan, tổ chức cần sử dụng một giải pháp BAS để xác định sức mạnh hiện tại của hệ thống phòng thủ của đơn vị mình.
Ngoài ra, trong khi cập nhật các công cụ bảo mật là việc nên làm, thường xuyên cảnh giác cũng sẽ có vai trò quan trọng trong việc đảm bảo bảo mật cho tổ chức. Kế hoạch ba điểm này có thể giúp các cơ quan, tổ chức chắc chắn rằng mình đã khai thác tối đa các công cụ bảo mật để bảo vệ tổ chức của mình ngay từ bây giờ và trong tương lai.
Phạm Trang