Mỗi công ty có quy trình riêng để làm việc với các thiết bị của công ty và đảm bảo an ninh cho chúng. Đồng thời, một bộ quy tắc chung bất thành văn đã được phát triển mà tất cả mọi người, không có ngoại lệ, phải tuân thủ.
- Giới thiệu
- Tại sao điều này là cần thiết?
- Các hệ thống quan trọng phải có khóa truy cập vật lý dự phòng
- Các tùy chọn duy nhất để bảo vệ mọi thiết bị
- Tìm kiếm lỗ hổng trong thiết bị sao lưu
- Ngăn chặn quay trở lại các phiên bản phần mềm trước đó
- Tăng sự chú ý đến chứng chỉ
- Không lưu trữ mật khẩu ở dạng văn bản rõ ràng
- Kiểm soát chặt chẽ việc truy cập từ xa
- Xuất dữ liệu
- Thuật toán mật mã được chứng nhận
- Chỉ kết nối các chức năng cần thiết
- Thay đổi cài đặt mặc định
- Định dạng thông báo lỗi cần chú ý
- Chọn đặc quyền tối thiểu
- Sử dụng các biện pháp bảo vệ tích hợp
- Giám sát thường xuyên các lỗ hổng mới
- kết luận
Giới thiệu
Các ấn phẩm về chủ đề bảo vệ khỏi mối đe dọa thường có thể được xếp vào một trong hai nhóm lớn: truyện kinh dị và truyện về chiếc chìa khóa vàng. Trong trường hợp đầu tiên, bạn có thể tìm hiểu nhiều chi tiết khác nhau về việc sống đáng sợ như thế nào, trong trường hợp thứ hai – những gì cần thiết để có được hạnh phúc trọn vẹn.
Có thể kết hợp các thể loại này?
Trong tài liệu này, chúng tôi đã thu thập các quy tắc khác nhau sẽ giúp đảm bảo an ninh khi sử dụng các thiết bị của công ty, đặc biệt là thiết bị di động, mà không đi sâu vào chi tiết về cách hoạt động của các chức năng cụ thể.
Tất nhiên, nhiều người muốn được hướng dẫn, chẳng hạn như cách bảo vệ điện thoại thông minh của họ khỏi sự theo dõi không mong muốn của những kẻ xâm nhập. Chúng ta sẽ nói về điều này sau. Đầu tiên, hãy chạm vào các quy tắc an toàn chung.
Tại sao điều này là cần thiết?
“Không có nhà thì không sợ cháy…” Nhưng đây không phải là trường hợp của chúng tôi. Nó là cần thiết để sử dụng các thiết bị công ty và di động. Công cụ này là cần thiết cho thông tin liên lạc đầy đủ. Nhưng việc sử dụng phải an toàn và phải hết sức chú ý đến điều này.
Theo Igor Pecherkin, kiến trúc sư dự án tích hợp tại Solar Group, “việc sử dụng thiết bị cá nhân trong môi trường công ty có thể dẫn đến xâm phạm tài khoản công ty và rò rỉ dữ liệu. Đồng thời, thị trường Nga hiện đang thiếu các giải pháp toàn diện để đảm bảo an ninh và kiểm soát các thiết bị cá nhân cũng như các nhà sản xuất linh kiện và thiết bị đáng tin cậy.
Cách đây một thời gian, người ta tin rằng nhân viên nên có cơ hội sử dụng thiết bị cá nhân để thực hiện các nhiệm vụ công việc hoặc kết nối với môi trường công ty. Với sự bùng phát của đại dịch, điều này càng trở nên phù hợp hơn. Nhưng ngay khi nhân viên bắt đầu chuyển sang làm việc từ xa hàng loạt, các rò rỉ bắt đầu, phạm vi bảo mật bị mờ và việc kiểm soát các thiết bị của công ty trở nên phức tạp hơn đáng kể, chưa kể đến các thiết bị cá nhân.
Vào năm 2022–2023, một số chuyên gia đã rời Nga với tất cả quyền truy cập và dữ liệu có tổ chức. Điều này đã ảnh hưởng lớn đến các công ty, hiệu suất và danh tiếng của họ. Thông tin đăng nhập của công ty và được lưu trữ trên thiết bị cá nhân sau đó có thể được sử dụng để tấn công có chủ đích vào các công ty và toàn bộ ngành công nghiệp của Nga. Vì vậy, nhiều người sử dụng lao động đã kết luận rằng không nên khuyến khích việc sử dụng thiết bị cá nhân để thực hiện nhiệm vụ công việc.”
Tình hình hiện tại không có lợi cho sự thanh thản. Bất kỳ thiết bị di động nào, kể cả thiết bị không bị nhiễm virus hoặc là mục tiêu của một cuộc tấn công mạng có chủ đích, đều được cấu hình tại nhà máy để các dịch vụ ứng dụng của nó có thể bị xâm phạm nếu không thực hiện các biện pháp bảo vệ và thẩm định. Khi các thiết bị như vậy tiếp cận các công ty và trở thành thiết bị doanh nghiệp, cần phải cấu hình lại bổ sung để loại bỏ “các lỗ hổng” của chúng.
Dưới đây chúng tôi liệt kê một số quy tắc an toàn cần được tuân thủ khi thực hiện công việc đó.
Các hệ thống quan trọng phải có khóa truy cập vật lý dự phòng
Các kỹ sư bảo mật thông tin thường muốn thiết lập quyền kiểm soát tất cả các đường xâm nhập vào hệ thống. Ví dụ: bẫy kẻ xâm nhập được tạo trong mạng cục bộ. Chúng được tạo ra theo cách “làm nổi bật những lỗ hổng bị lãng quên”. Vì lý do này, các mật khẩu đơn giản hoặc khiêu khích được đặt để truy cập chúng, đôi khi để lại những mật khẩu được đặt mặc định. Ý tưởng rất đơn giản: tạo ra sự phấn khích cho kẻ tấn công và giảm bớt sự thận trọng của anh ta. Điều này cho phép đội phòng thủ dễ dàng xác định mối nguy hiểm hơn và theo dõi các mối đe dọa mới nổi để ngăn chặn chúng kịp thời.
Nhưng nếu kẻ tấn công tiếp cận được những nơi được bảo vệ trong hệ thống, thì tất cả các rào cản được lắp đặt sẽ gây trở ngại không chỉ cho bên tấn công mà còn cho cả bên phòng thủ. Một cuộc cạnh tranh nảy sinh xem ai có thể là người đầu tiên nắm thế chủ động và ngăn chặn hành động của bên kia.
Trong trường hợp này, phải có phương án dự phòng, bảo vệ khẩn cấp trong hệ thống. Thông thường, đây là khóa vật lý cho phép bạn thực hiện các hành động phòng thủ và chặn mọi thao tác tấn công, ngay cả khi kẻ tấn công đã vào được trung tâm điều khiển.
Các tùy chọn duy nhất để bảo vệ mọi thiết bị
Nhiều quản trị viên hệ thống, không bị các dịch vụ bảo mật thông tin chú ý, sử dụng một quy tắc bất thành văn: họ tạo một mật khẩu duy nhất hoặc khóa mật mã bí mật để sử dụng nó nhằm quản lý bất kỳ thiết bị nào trong khu vực được kiểm soát. Nếu kẻ tấn công lấy được khóa truy cập như vậy, hắn có thể thử sử dụng nó ở những nơi khác trong hệ thống. Để làm điều này, không nhất thiết phải biết trước rằng mật khẩu là phổ biến.
Theo cách tương tự, những kẻ tấn công xử lý rò rỉ dữ liệu. Vì người dùng thường sử dụng cùng một mật khẩu trên các tài nguyên web khác nhau nên việc rò rỉ dữ liệu từ một nơi sẽ tự động trở thành chìa khóa truy cập vào các tài nguyên khác. Bằng cách này, có thể xâm nhập vào những nơi an toàn hơn nhiều, nơi không thể có được nếu không có thông tin nội bộ.
Một kỹ thuật tương tự cũng có hiệu quả trong các cuộc tấn công mạng nhằm vào các thiết bị IoT. Thông thường, chúng được phân bổ cùng một khóa mật mã được bảo vệ tốt trong cùng một lãnh thổ được kiểm soát. Có vẻ như khả năng bảo vệ được xây dựng ở mức cao, nhưng việc một thiết bị bị xâm phạm ngay lập tức khiến nhiều thiết bị tương tự khác gặp rủi ro.
Kết luận: Nên sử dụng khóa mật mã duy nhất cho từng thiết bị hoặc ứng dụng.
Tìm kiếm lỗ hổng trong thiết bị sao lưu
Thông thường, khi cài đặt thiết bị mới, tất cả các bản cập nhật bảo mật được phát hành cho đến thời điểm đó đều được tính đến, do đó không cần xác minh bổ sung. Tuy nhiên, nếu một trong các thiết bị đã cài đặt trước đó bị lỗi trên mạng, thiết bị đó thường được thay thế tạm thời bằng thiết bị dự phòng. Tại thời điểm này, nó thường đã tương đối lỗi thời, vì vậy điều quan trọng là phải kiểm tra lại nó để tìm các lỗ hổng. Thông thường, chính những sự thay thế tạm thời này sẽ trở thành nguyên nhân dẫn đến sự xâm nhập bất hợp pháp vào mạng của công ty.
Ngăn chặn quay trở lại các phiên bản phần mềm trước đó
Cho dù phần mềm đã được phát triển hoặc thử nghiệm tốt đến đâu thì vẫn luôn có thể tìm thấy lỗi và lỗ hổng trong đó. Do đó, các bản cập nhật thường xuyên cho phép bạn khắc phục các sự cố mới nổi khi chúng được phát hiện.
Nhưng bạn nên tính đến chức năng tích hợp sẵn để quay lại phiên bản trước, chức năng này sẽ được kích hoạt, chẳng hạn như nếu phát hiện thấy sự không tương thích với phiên bản hệ điều hành đã cài đặt hoặc các sự cố kỹ thuật phát sinh sau khi cập nhật. Kẻ tấn công có thể cố gắng kích hoạt các trình kích hoạt như vậy một cách giả tạo để khôi phục về phiên bản phần mềm dễ bị tấn công.
Theo đó, đôi khi điều quan trọng là phải ngăn chặn việc cài đặt chương trình cơ sở hoặc bản dựng cũ hơn để quy trình như vậy không cho phép khôi phục các lỗ hổng đã được sửa.
Tăng sự chú ý đến chứng chỉ
Đối với các kết nối từ xa và không dây, các giao thức bảo mật tiêu chuẩn TLS hoặc WPA2 thường được sử dụng. Điều quan trọng cần lưu ý là việc sử dụng chúng có thể không an toàn nếu được định cấu hình không chính xác. Thông thường, điều này thể hiện ở việc sử dụng các chứng chỉ chưa được xác minh.
Không lưu trữ mật khẩu ở dạng văn bản rõ ràng
Một yêu cầu quan trọng đối với việc lưu trữ mật khẩu là cấm hoàn toàn việc lưu trữ chúng ở dạng văn bản rõ ràng. Nên sử dụng phần mềm để lưu trữ (mặc dù tùy chọn này có thể bị xâm phạm).
Người dùng cũng thích sử dụng tùy chọn ghi lại mật khẩu một cách bí mật (ví dụ: trong một tệp văn bản ở đâu đó sâu trong ổ cứng). Thật khó để ngăn chặn điều này và thậm chí còn khó hơn để theo dõi.
Nhưng ngay cả trong những trường hợp đặc biệt, quy tắc sau phải được sử dụng: mật khẩu được viết dưới dạng văn bản phải được lưu trữ ở dạng đã sửa đổi. Thông thường, một số quy tắc chuyển đổi bí mật hoặc cá nhân sẽ được sử dụng – từ một phương pháp chỉ người dùng biết đến việc sử dụng thuật toán phần mềm. Điều chính là văn bản của mật khẩu không được trùng với nội dung thực của nó.
Kiểm soát chặt chẽ việc truy cập từ xa
Để ngăn chặn sự truy cập của những người không có thẩm quyền, cần phải có một quy trình xác thực. Thông thường, xác thực hai yếu tố được sử dụng để truy cập mạng cục bộ hoặc hệ thống đám mây. Mật khẩu một lần dựa trên SMS cũng thường được sử dụng, nhưng phương pháp này không đủ tin cậy và thường xuyên bị tấn công mạng. Đối với các kết nối bên ngoài tới mạng cục bộ, bạn cũng có thể sử dụng đường hầm VPN hoặc TLS để định tuyến.
Xuất dữ liệu
Gần đây, hình thức lưu trữ dữ liệu đám mây đã được sử dụng rộng rãi. Sự khác biệt cơ bản của nó là nhiều hệ thống đám mây cung cấp các chức năng riêng để xử lý thông tin, bao gồm cả việc bảo vệ thông tin đó. Điều này dẫn đến thực tế là các quy tắc trao đổi dữ liệu trên đám mây có thể được cấu trúc khác với các quy tắc trong công ty.
Điều quan trọng là phải tiến hành kiểm tra sớm việc lưu trữ và kiểm soát dữ liệu tại chỗ. Khi đưa thông tin vào đám mây, cần phải tính toán thứ tự các thao tác với nó. Nếu bạn không làm điều này và kết nối các công cụ lưu trữ đám mây với cài đặt mặc định, bạn có thể bị mất khả năng kiểm soát. Trước hết, điều này liên quan đến dữ liệu cá nhân, cũng như các đối tượng bản quyền.
Thuật toán mật mã được chứng nhận
Cách duy nhất để tự tin vào thuật toán mật mã mà bạn đang sử dụng là đưa nó vào nghiên cứu của nhiều chuyên gia và thực hiện việc này thường xuyên trong nhiều năm. Nhưng ngay cả trong trường hợp này, các nghiên cứu mới có thể xuất hiện ở những nơi sẽ phát hiện ra các lỗ hổng mới.
Hệ thống chứng nhận giải quyết những vấn đề này. Việc chứng nhận các thuật toán mật mã ở nước ta được thực hiện dưới sự lãnh đạo của FSTEC và FSB của Nga.
Chỉ kết nối các chức năng cần thiết
Bất kỳ chương trình nào cũng có thể gặp lỗi tạo ra lỗ hổng tiềm ẩn. Sản phẩm càng có nhiều tính năng phần mềm thì khả năng xảy ra lỗi càng cao. Họ cố gắng giảm thiểu chúng, tích cực tiến hành thử nghiệm, loại bỏ các vấn đề đã xác định, nhưng vẫn có thể không phát hiện ra lỗi.
Đồng thời, các nhà cung cấp cố gắng triển khai danh sách chức năng phong phú nhất trong sản phẩm của họ, vì điều này mang lại cho họ sức hấp dẫn về mặt thương mại. Để cân bằng các tính năng này, nên tắt các chức năng phức tạp nhất nếu chúng không được sử dụng trong thực tế.
Ví dụ: đối với các sản phẩm di động, bạn nên tắt tính năng truy cập từ xa, kết nối không dây và các tính năng liên lạc nâng cao (email, v.v.), thường được bật theo mặc định. Tốt hơn là chỉ kích hoạt chúng trong thời gian sử dụng.
Thay đổi cài đặt mặc định
Có ý kiến cho rằng nhà cung cấp đặt mặc định những cài đặt thường được sử dụng nhất trong thực tế. Nhưng trên thực tế, lý do có thể rất khác nhau. Ví dụ: đôi khi cấu hình phần mềm được xây dựng để giúp người dùng làm quen với một số chức năng nhất định nhằm thúc đẩy các trường hợp sử dụng mới cho thiết bị.
Vì vậy, bạn không nên lấy cài đặt mặc định làm cài đặt tối ưu. Hơn nữa, nên tránh lưu cài đặt mặc định của hệ thống bất cứ khi nào có thể, vì chúng thường không ưu tiên bảo mật (và đó là lý do tại sao chúng là mục tiêu của những kẻ tấn công xây dựng kịch bản tấn công của chúng dựa trên giả thuyết rằng người dùng đã để lại cài đặt mặc định).
Việc lựa chọn các giá trị mặc định chỉ hợp lý cho chứng chỉ bảo mật và các yếu tố tương tự khác: ở đó cấu hình được thiết kế để cung cấp chế độ an toàn nhất, tức là đây là tập hợp các tham số hệ thống bảo mật thận trọng nhất.
Định dạng thông báo lỗi cần chú ý
Nhiều hệ thống cung cấp thông báo lỗi ở định dạng giúp bạn hiểu lý do tại sao chúng xảy ra và thực hiện các sửa chữa cần thiết. Những thông tin như vậy cũng sẽ hữu ích cho tin tặc khi chúng cố gắng xâm nhập vào hệ thống.
Vì vậy, bạn nên chú ý xem những tin nhắn đó có tiết lộ thông tin bí mật về hệ thống hay không.
Chọn đặc quyền tối thiểu
Trong các hệ điều hành thuộc họ Linux, bạn có thể quản lý các quyền. Việc sử dụng các đặc quyền nâng cao, chẳng hạn như siêu người dùng (root), nên được giữ ở mức tối thiểu bất cứ khi nào có thể.
Đồng thời, khi làm việc với dữ liệu bí mật (ví dụ: khóa mật mã), bạn nên yêu cầu mức đặc quyền cao nhất để gây khó khăn nhất có thể cho kẻ tấn công truy cập dữ liệu này.
Sử dụng các biện pháp bảo vệ tích hợp
Nhiều cuộc tấn công mạng được thực hiện thông qua điều khiển từ xa nhằm mục đích thực thi mã mà kẻ tấn công đã gửi đến hệ thống người dùng bằng cách này hay cách khác. Để tránh những rủi ro như vậy, cần xây dựng biện pháp bảo vệ bằng cách giảm số lượng các tình huống như vậy.
Ví dụ: nhiều bộ xử lý cung cấp các chức năng chỉ có thể được thực thi khi mã nằm trong một vùng bộ nhớ cụ thể. Trong trường hợp này, bạn không thể chuyển mã qua liên kết. Các cơ chế bảo vệ tương tự được sử dụng, ví dụ, ở cấp độ bảo vệ hệ điều hành, đảm bảo rằng các chức năng của nhân hệ thống không thể bị thay thế.
Một số bộ xử lý thậm chí có thể cung cấp các phân đoạn bộ nhớ khác nhau cho mã nhà và dữ liệu. Điều này khiến các cuộc tấn công mạng không thể đưa trực tiếp mã thực thi vào dữ liệu.
Giám sát thường xuyên các lỗ hổng mới
Không có hệ thống nào an toàn 100%. Sự lỗi thời bắt đầu từ thời điểm cài đặt. Vì vậy, cần phải liên tục theo dõi và cập nhật hệ thống bảo mật.
Nên thực hiện chương trình quản lý lỗ hổng, thường xuyên theo dõi và khắc phục các lỗ hổng. Cũng cần có một quy trình gửi cảnh báo và phân phối các bản vá trong nội bộ.
kết luận
Chúng tôi đã nêu ra một số nguyên tắc bạn nên tuân theo để đảm bảo an toàn cho nhóm thiết bị của công ty bạn. Tiếp theo, chúng tôi dự định xem xét việc bảo vệ các thiết bị khỏi các mối đe dọa cụ thể, chẳng hạn như giám sát vị trí của người dùng.
