Justin Jett – giám đốc kiểm toán (director of audit) và giám đốc tuân thủ (director of compliance) của Plixer, thảo luận về độ thành công của các yếu tố bảo mật nâng cao.
Xem xét các thông báo gần đây về các cuộc tấn công lớn do các tác nhân độc hại bên ngoài gây ra. Bao gồm cả cuộc tấn công ransomware vào đường ống dẫn dầu của Mỹ, có thể thấy rằng nhu cầu tăng cường bảo mật là quan trọng hơn bao giờ hết và bảo mật nhiều lớp vẫn là chìa khóa chính.
Với các cuộc tấn công ransomware tràn lan và các sự cố an ninh mạng khác đang chiếm sóng trên các tiêu đề. Các tổ chức và chính phủ đã quan tâm nhiều hơn và nhiều người sẵn sàng chi số tiền cần thiết, để khắc phục những lỗ hổng giúp những kẻ đe dọa dễ dàng xâm nhập vào hệ thống máy tính hoặc mạng. Tổng thống Joe Biden đã ký một sắc lệnh trong tuần này bao gồm các sáng kiến nhằm cải thiện an ninh mạng của quốc gia, xuyên Đại Tây Dương. Một báo cáo gần đây của trung tâm an ninh mạng Quốc gia của UK cho thấy Vương quốc Anh đang tăng cường các biện pháp phòng thủ an ninh mạng.
Trong khi đó, theo báo cáo Cisco Future of Secure Remote Work được công bố gần đây, khảo sát hơn 3.000 người ra quyết định về IT toàn cầu trong 30 ngành công nghiệp, 85% số người được hỏi nói rằng an ninh mạng đã trở nên cực kỳ quan trọng kể từ khi đại dịch bắt đầu. Điều này phần lớn là do các tổ chức phải nhanh chóng chuyển sang mô hình làm việc từ xa.
Multi-Layered Security (bảo mật nhiều lớp) không bị lỗi thời
Áp dụng Multi-Layered Security là cách tốt nhất để giảm khả năng vi phạm trong vấn đề bảo mật. Tuy một số lớp bảo mật trông có vẻ bình thường, nhưng các chức năng của chúng đều quan trọng như nhau.
Nó tương tự như một hệ thống lọc nước. Lớp lọc nước đầu tiên sẽ loại bỏ các phần tử độc hại. Tương tự, lớp đầu tiên của an ninh mạng có thể chỉ đơn giản là một bức tường lửa chặn những traffic truy cập độc hại.
Với mỗi layer thêm vào mạng của mình, bạn có thể loại bỏ nhiều yếu tố độc hại. Vì vậy, việc bổ sung tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập cũng như chống virus chống phần mềm độc hại luôn là một cách tốt để giảm nguy cơ bị tấn công.
Nhưng đôi khi bạn cần phân tích thêm về dữ liệu này. Cũng giống như nước, không thể biết nó là tác nhân độc hại nếu không có sự phân tích kỹ càng.
Cách phân tích đúng lưu lượng mạng (Network Traffic) của bạn
Cố gắng phân tích Network Traffic trong thời gian thực là một việc không hề dễ dàng, giống như cố gắng kiểm tra toàn bộ lượng nước đang chảy khi nó thoát ra khỏi vòi phun. Điều khiến mọi thứ trở nên khó khăn hơn là các tác nhân độc hại hầu như luôn tìm ra những chiến thuật mới để không dễ bị phát hiện. Bao gồm cả việc sử dụng phương pháp truyền dữ liệu chậm để có thể đạt được mục tiêu.
Để chống lại các yếu tố độc hại này, dữ liệu mạng (network data) cần được thu thập và phân tích trong một thời gian dài để xác định nguồn traffic độc hại đến từ đâu. Cụ thể, các hệ thống máy học thông qua phát hiện và phản hồi mạng (NDR) hầu như luôn phải được triển khai để hỗ trợ các nhóm security và network trong việc xác định lưu lượng độc hại.
Bảo mật cho các mô hình công việc kết hợp
Với việc nhiều tổ chức cho phép nhân viên đã tiêm chủng trở lại văn phòng và cho phép họ tự quyết định khi nào hoặc nếu quay trở lại, việc chuyển sang mô hình bảo mật hỗn hợp gần như chắc chắn. Điều này làm tăng nhu cầu về NDR vì nhu cầu bảo mật của tổ chức sẽ thay đổi khi nhân viên thay đổi nơi họ làm việc. Các tổ chức sẽ khó tạo ra các quy tắc xung quanh các kết nối mạng khi nhân viên liên tục thay đổi IP hoặc vị trí.
Mặc dù một số tổ chức sẽ buộc nhân viên kết nối với VPN của công ty, nhưng điều này không phải lúc nào cũng thực tế, đặc biệt là khi dung lượng băng thông ở nhà bị hạn chế. Thay vào đó, việc xem xét cách traffic truy cập qua mạng theo thời gian, cho phép các nhóm bảo mật phát hiện đúng các điểm bất thường.
Khi tính chất công việc thay đổi, các loại kết nối và dữ liệu mà họ sử dụng có thể sẽ thay đổi thường xuyên. Việc sử dụng các hệ thống hỗ trợ NDR mang lại cho các tổ chức thông tin chi tiết mà họ cần, để phát hiện khi các thành viên trong nhóm bán hàng bắt đầu tải nội dung lên thông qua kết nối SSH hoặc khi HR bắt đầu thực hiện các kết nối đi qua FTP. Điều này đặc biệt đúng khi không phải lúc nào người dùng cũng kết nối với mạng. Sau khi kết nối đó hoạt động trở lại, dữ liệu lịch sử là rất quan trọng để xác định các thiết bị có khả năng bị nhiễm mã độc hay không.
Con người: Liên kết bảo mật yếu nhất
Thật không may, con người là liên kết yếu nhất. Vì vậy, việc xác định hành vi cơ bản và traffic truy cập đi chệch hướng là một phương pháp hay nhất để phát hiện các hoạt động độc hại. Bằng phương pháp tiếp cận multi-layer, với phân tích về traffic mạng, các tổ chức có thể đảm bảo họ có phương án bảo mật ở mức cao nhất ngay cả khi nhân viên liên tục thay đổi nơi làm việc.
Thực hiện cách tiếp cận multi-layer này thực sự là cách duy nhất để bảo vệ khỏi các cuộc tấn công. Mặc dù không phải tất cả các cuộc tấn công đều có thể chống lại, nhưng thiệt hại mà chúng gây ra sẽ được giảm đến mức tối thiểu.