Trong Ngày An toàn thông tin Việt Nam diễn ra vào tháng trước, các chuyên gia bảo mật cho biết tấn công có chủ đích đang trở thành vấn đề nhức nhối của các doanh nghiệp lớn và các cơ quan nhà nước. Theo thống kê, trong năm 2014 có 14 ngàn cuộc tấn công vào các doanh nghiệp lớn và cơ quan nhà nước, dẫn đến nguy cơ mất mát dữ liệu rất lớn. Hầu hết các cuộc tấn công có chủ đích rất bài bản và thông qua việc nghiên cứu rất kỹ nạn nhân, từ đó tìm ra lỗ hổng bảo mật và tấn công vào hệ thống mạng của nạn nhân để lấy cắp hoặc phá hoại dữ liệu... Việc tấn công có chủ đích không chỉ gây thiệt hại đến doanh nghiệp mà còn có thể uy hiếp an ninh quốc gia.

Từ các nghiên cứu chuyên sâu về những cuộc tấn công có chủ đích, hãng bảo mật Trend Micro (Nhật Bản) đã phát hành một loạt các báo cáo về các cuộc tấn công và tác hại của chúng đối với doanh nghiệp. Báo cáo còn chỉ ra biện pháp đối phó và những hành động đúng đắn trong trường hợp xảy ra một cuộc tấn công có chủ đích.

Tấn công có chủ đích diễn ra thế nào?

Tấn công có chủ đích sẽ xảy ra khi tin tặc xác định được một công ty hoặc một nhóm nhân viên cụ thể để đánh cắp thông tin và thực hiện âm mưu đe dọa. Đây thường là những cuộc tấn công lâu dài, được duy trì liên tục mà nạn nhân không hề hay biết. Một khi kẻ chủ mưu có được quyền truy cập vào hệ thống mạng của toàn công ty, chúng sẽ tìm cách đột nhập sâu hơn nữa để tìm kiếm nhiều dữ liệu. Toàn bộ quá trình này có thể mất vài tháng để hoàn thành, với mục tiêu chính là đánh cắp thông tin. Nếu thành công, cuộc tấn công có chủ đích sẽ đánh cắp tài sản trí tuệ, làm gián đoạn hoạt động kinh doanh, gây thiệt hại về tài chính và danh tiếng của doanh nghiệp.

Vậy làm thế nào để bảo vệ dữ liệu trước những tấn công có chủ đích? Các chuyên gia của hãng bảo mật Trend Micro đã thực hiện nhiều cuộc nghiên cứu và đưa ra những biện pháp hữu ích cho doanh nghiệp để khắc phục tình trạng này.

Phân loại dữ liệu

Những kẻ chủ mưu đứng đằng sau các cuộc tấn công có chủ đích thường dành một khối lượng lớn thời gian và công sức cho việc tìm kiếm dữ liệu cần thiết mà chúng có thể đánh cắp, bán đi, hoặc lợi dụng trong tương lai. Phân loại dữ liệu sẽ là bước bảo vệ đầu tiên cho bạn.

Những dữ liệu nhạy cảm cần phải được lưu trữ riêng biệt, trong vị trí được thiết lập bảo đảm an ninh chặt chẽ hơn trước khi người dùng được quyền truy cập vào. Các doanh nghiệp có thể áp dụng thêm nhiều tầng lưu trữ dữ liệu truy cập và đặt chúng trong một mạng riêng biệt hoặc mạng không kết nối.

Phân mạng thành nhiều đoạn, cấp quyền khác nhau tùy theo từng cá nhân trong doanh nghiệp, đảm bảo không phải ai cũng có thể truy cập vào các máy móc quan trọng. Điều này gây trở ngại cho những tác nhân tấn công, đòi hỏi chúng phải vượt qua vô số máy móc hoặc có được đặc quyền mạnh mẽ hơn để di chuyển dễ dàng giữa các mạng. Đây là một biện pháp hiệu quả giúp giảm thiểu tác hại của một cuộc tấn công có chủ đích.

Đào tạo kĩ năng và cung cấp thông tin về mối đe dọa bảo mật

Nhân viên công ty bất kể sở hữu chuyên môn hay vị trí nào đều phải nắm được thông tin cơ bản về các mối đe dọa bảo mật. Công ty có thể tiến hành những buổi hội thảo miễn phí hoặc đào tạo bài bản cho nhân viên về những công cụ, chiến thuật và các phương thức của những kẻ tấn công. Họ cũng có thể tham khảo thêm về những vụ tấn công đã xảy ra để ý thức được sự nghiêm trọng của vấn đề. Tích lũy được những kiến thức này có thể giảm thiểu rủi ro bởi lỗi bất cẩn của nhân viên.

Bảo vệ tài khoản người dùng

Sẽ rất an toàn nếu mỗi công ty cung cấp cho nhân viên tài khoản và quyền truy cập riêng vào mạng của họ. Tuy nhiên, các tài khoản cần được cấu hình để hạn chế quyền truy cập không cần thiết của nhân viên. Tương tự như vậy, cần hạn chế số lượng người dùng truy cập dữ liệu nhạy cảm sẽ hạn chế và ngăn chặn việc xâm nhập. Các tài khoản nên được duy trì cẩn thận, chẳng hạn như nên thường xuyên thay thế mật khẩu đảm bảo độ mạnh và giám sát đều đặn từ bộ phận IT.

Phân tích nhật ký

Thật sự rất khó để nhận biết một cuộc tấn công hiện vẫn còn đang tiếp diễn, nhưng thông qua việc phân tích nhật ký những kẻ đột nhập sẽ bị lộ diện. Hợp tác với các nhóm quản lý sự kiện và thông tin bảo mật (SIEM - Security Information and Event Management) hay nhóm quản lý sự kiện an ninh (SEM - Security Event Manager), các công ty sẽ có thể dễ dàng lập ra những biện pháp đối phó với các mối đe dọa.