Tweet
Bài báo này xem xét nhiều vấn đề chính và tập trung chú ý vào 10 hướng xử lý mà tất cả chúng ta cần áp dụng trong cách tiếp cận bảo mật của mình.
Hầu hết các vi phạm bảo mật có thể phòng ngừa, nhưng chỉ khi chúng ta học hỏi từ sai lầm của quá khứ và những kinh nghiệm thiệt hại của người khác. Vi phạm bảo mật thường thể hiện qua việc sai sót cấu hình và phơi bày những sai lầm về thiết kế mà nhiều tổ chức khác vẫn tiếp tục mắc phải.
1. Email không phải là riêng tư
Email luôn là một phương tiện giao tiếp văn bản thuần túy. Tuy nhiên, nhiều người đã quên điều đó hoặc trở nên bối rối về tính bảo mật của nó theo thời gian.
Những người sử dụng trình duyệt web để truy cập email của họ thường xem HTTPS là tiền tố của URL, có nghĩa là kết nối của họ với email của họ được bảo mật. Nhưng kết nối được mã hóa bằng TLS đó chỉ bảo vệ việc truy cập và đọc tin nhắn của bạn chứ không phải khi gửi hoặc nhận chúng. Tương tự như vậy, người dùng ứng dụng khách email có thể đã định cấu hình kết nối TLS với máy chủ email của họ tại ISP hoặc văn phòng của họ. Loại kết nối này cung cấp bảo mật cho việc gửi và nhận thư, nhưng chỉ giữa máy khách và máy chủ
email cục bộ của bạn. Tin nhắn được gửi đến những người nhận khác trên Internet và nhận được từ những người khác thường được gửi ở dạng văn bản thuần túy.
Các email được gửi và nhận qua một liên kết Internet công cộng có thể được gửi ở dạng văn bản thuần túy ban đầu của chúng. Một số nhà cung cấp dịch vụ email, chẳng hạn như Google, Microsoft và Ya-hoo, đang trong quá trình thiết lập truyền email được mã hóa cho các thư giữa họ và những người khác tham gia vào sáng kiến của họ. Tuy nhiên, có thể mất nhiều năm trước khi phần lớn các tin nhắn được mã hóa để chuyển tiếp.
Các phương pháp tiếp cận bạn phải xem xét cho email
Đầu tiên, hãy hạn chế tối đa việc truyền tải thông tin qua email có thể khiến bạn gặp sự cố (hoặc đau lòng) nếu nó bị chặn khi chuyển tiếp, cho dù là bởi chủ nhân, gia đình, chính phủ hay tin tặc. Tìm kiếm một hình thức chuyển giao thông tin an toàn hơn, chẳng hạn như trao đổi tệp được mã hóa, trò chuyện bảo mật hoặc hội nghị truyền hình, cho những mục quan trọng hoặc giá trị.
Thứ hai, hãy bắt đầu sử dụng giải pháp mã hóa email. Mặc dù các tiện ích bổ sung ứng dụng email khách độc lập đã có trong nhiều năm, nhưng hiện nay có rất nhiều tùy chọn để thêm dịch vụ mã hóa vào email dựa trên web thông qua tiện ích mở rộng của trình duyệt cũng như các dịch vụ email được mã hóa. Một số tiện ích mở rộng trình duyệt cần xem xét bao gồm Mailelope, PassLok cho Email và SendSafely. Một vài ví dụ về các dịch vụ email được mã hóa bao gồm ProtonMail và Hustmail.
Nếu bạn vẫn đang sử dụng ứng dụng email khách độc lập, bạn luôn có thể sử dụng giải pháp S/
MIME tiêu chuẩn bằng cách lấy chứng chỉ kỹ thuật số. Hoặc bạn có thể chọn thêm công cụ mã hóa độc quyền như PGP (bản thương mại), GPG (GNU được cấp phép) hoặc OpenPGP (Mã nguồn mở). Bất kể bạn triển khai giải pháp nào, nhược điểm chính của các giải pháp mã hóa email dựa trên ứng dụng khách là người nhận của bạn phải có giải pháp tương ứng để giải mã thư hoặc xác minh thư được ký điện tử của bạn.
2. Không có mạng nào được bảo mật hoàn toàn
Nếu bạn đã tham gia bất kỳ khóa đào tạo bảo mật nào, tôi chắc chắn rằng bạn đã được thông báo về sự thật rằng bảo mật không bao giờ là một dự án hoàn thành, nó luôn là một hành trình có đích đến thường xuyên thay đổi.
Không có mạng hoàn toàn an toàn cũng như không thể xây dựng nó. Luôn có những phương tiện để vi phạm bảo mật, cho dù là thông qua khai thác kỹ thuật, vi phạm thực tế hoặc kỹ thuật xã hội (social engi-neering). Tuy nhiên, nhiều tổ chức dường như hoạt động như thể bảo mật của họ đã hoàn tất, rằng mạng của họ không thể truy cập được và rằng môi trường của họ có thể hoàn toàn đáng tin cậy. Nhưng hàng năm, hàng trăm tổ chức học được cách khó khăn rằng mạng của họ không được bảo mật hoàn hảo khi tin tặc đột nhập để gây thiệt hại và đánh cắp thông tin bí mật.
Tất cả chúng ta cần nhận ra rằng hầu hết công nghệ chúng ta sử dụng đều còn non trẻ và nó chưa có thời gian để trưởng thành. Chúng tôi thường cố gắng lấy tiện ích mới nhất và tốt nhất hoặc nâng cấp lên phiên bản mới nhất của sản phẩm. Tuy nhiên, “mới” có nghĩa là chưa được kiểm tra và do đó các sai sót và khai thác của nó chưa được biết đến. Chúng ta đang đặt quá nhiều niềm tin vào các nhà phát triển, nhà sản xuất và lập trình phần cứng và phần mềm của chúng ta. Tôi không đề nghị chúng ta thoát khỏi công nghệ và quay lại với bút và giấy, nhưng tôi đề nghị chúng ta nên có cách tiếp cận thận trọng hơn khi sử dụng công nghệ để lưu trữ và bảo vệ thông tin và tài sản quan trọng nhất của chúng ta.
Chúng ta cần có những bản sao lưu đáng tin cậy hơn. Một bản sao lưu là vô giá trị nếu bạn không thể khôi phục dữ liệu từ nó và một bản sao lưu duy nhất chỉ bảo vệ bạn khỏi mất dữ liệu nếu sự kiện gây hại không phá hủy bản sao lưu. Mọi người cần tuân thủ quy tắc sao lưu 3-2-1:
3) Luôn có ba bản sao dữ liệu của bạn, bản gốc và hai bản sao lưu;
2) Sử dụng hai loại phương tiện khác nhau để lưu trữ bản gốc, các bản sao lưu, chẳng hạn như ổ cứng và lưu trữ đám mây
1) Không lưu trữ cả hai bản sao lưu ở cùng một vị trí địa lý / thực tế.
Chúng tôi cần thêm các lớp bảo mật bổ sung vào cơ sở hạ tầng hiện có bao gồm mã hóa lưu trữ, sử dụng xác thực đa yếu tố, theo dõi/ kiểm tra tất cả các nỗ lực truy cập, có tường lửa kiểm tra trạng thái (stateful) và giám sát tất cả bằng hệ thống phát hiện và ngăn chặn xâm nhập (IPDS).
3. Các tổ chức lớn không phải lúc nào cũng an toàn nhất
Chỉ vì một công ty đã thành công và phát triển thành một tập đoàn lớn không có nghĩa là nó cung cấp sự bảo mật tốt nhất cho khách hàng của mình. Thông thường, các ưu tiên và nghĩa vụ của một tổ chức lớn đi ngược lại với mong muốn và lợi ích của khách hàng.
Đừng bao giờ cho rằng bạn là mối quan tâm hàng đầu của công ty. Hãy suy nghĩ kỹ về việc đưa thông tin cá nhân hoặc quan trọng nhất của bạn lên mạng. Dù là mạng xã hội, giải pháp lưu trữ đám mây hay
trang thương mại điện tử, bạn đang tự đặt mình vào nguy cơ khi đăng thông tin riêng tư, nhạy cảm hoặc có giá trị trực tuyến.
Luôn đặt thông tin tài khoản của bạn thành riêng tư (private) khi được lựa chọn. Chỉ cung cấp lượng thông tin tối thiểu khi tạo tài khoản trực tuyến, đặc biệt đối với các dịch vụ mới mà bạn có thể không tiếp tục sử dụng. Cân nhắc có một địa chỉ email riêng để sử dụng với các trang web mới để bạn không làm lộ địa chỉ email chính của mình trước khi hiểu thêm về một trang web hoặc dịch vụ trực tuyến. Có riêng thẻ tín dụng được sử dụng chủ yếu để mua hàng trực tuyến. Thường xuyên theo dõi tài khoản này để biết bất kỳ hoạt động nào có vấn đề.
Tự động hóa thanh toán hóa đơn, tiền gửi ngân phiếu và đầu tư hưu trí có thể là một cách tiết kiệm thời gian rất lớn và giúp bạn tiết kiệm tiền cho thời gian nghỉ hưu. Tuy nhiên, bạn cần phải kiểm tra các hệ thống đó thường xuyên để đảm bảo các con số là chính xác và các quy trình đang hoạt động như bạn đã xác định.
Nếu bạn phát hiện ra một sai lầm hoặc một lỗi ngay sau khi nó xảy ra, nó có thể được sửa chữa với một ít hậu quả. Nhưng việc không nhận thấy vấn đề sau nhiều tháng hoặc nhiều năm có thể khiến bạn mất nhiều thời gian. Bạn phải tự vận động cho chính mình.
Hầu hết các vi phạm bảo mật có thể phòng ngừa, nhưng chỉ khi chúng ta học hỏi từ sai lầm của quá khứ và những kinh nghiệm thiệt hại của người khác. Vi phạm bảo mật thường thể hiện qua việc sai sót cấu hình và phơi bày những sai lầm về thiết kế mà nhiều tổ chức khác vẫn tiếp tục mắc phải.
1. Email không phải là riêng tư
Email luôn là một phương tiện giao tiếp văn bản thuần túy. Tuy nhiên, nhiều người đã quên điều đó hoặc trở nên bối rối về tính bảo mật của nó theo thời gian.
Những người sử dụng trình duyệt web để truy cập email của họ thường xem HTTPS là tiền tố của URL, có nghĩa là kết nối của họ với email của họ được bảo mật. Nhưng kết nối được mã hóa bằng TLS đó chỉ bảo vệ việc truy cập và đọc tin nhắn của bạn chứ không phải khi gửi hoặc nhận chúng. Tương tự như vậy, người dùng ứng dụng khách email có thể đã định cấu hình kết nối TLS với máy chủ email của họ tại ISP hoặc văn phòng của họ. Loại kết nối này cung cấp bảo mật cho việc gửi và nhận thư, nhưng chỉ giữa máy khách và máy chủ
email cục bộ của bạn. Tin nhắn được gửi đến những người nhận khác trên Internet và nhận được từ những người khác thường được gửi ở dạng văn bản thuần túy.
Các email được gửi và nhận qua một liên kết Internet công cộng có thể được gửi ở dạng văn bản thuần túy ban đầu của chúng. Một số nhà cung cấp dịch vụ email, chẳng hạn như Google, Microsoft và Ya-hoo, đang trong quá trình thiết lập truyền email được mã hóa cho các thư giữa họ và những người khác tham gia vào sáng kiến của họ. Tuy nhiên, có thể mất nhiều năm trước khi phần lớn các tin nhắn được mã hóa để chuyển tiếp.
Các phương pháp tiếp cận bạn phải xem xét cho email
Đầu tiên, hãy hạn chế tối đa việc truyền tải thông tin qua email có thể khiến bạn gặp sự cố (hoặc đau lòng) nếu nó bị chặn khi chuyển tiếp, cho dù là bởi chủ nhân, gia đình, chính phủ hay tin tặc. Tìm kiếm một hình thức chuyển giao thông tin an toàn hơn, chẳng hạn như trao đổi tệp được mã hóa, trò chuyện bảo mật hoặc hội nghị truyền hình, cho những mục quan trọng hoặc giá trị.
Thứ hai, hãy bắt đầu sử dụng giải pháp mã hóa email. Mặc dù các tiện ích bổ sung ứng dụng email khách độc lập đã có trong nhiều năm, nhưng hiện nay có rất nhiều tùy chọn để thêm dịch vụ mã hóa vào email dựa trên web thông qua tiện ích mở rộng của trình duyệt cũng như các dịch vụ email được mã hóa. Một số tiện ích mở rộng trình duyệt cần xem xét bao gồm Mailelope, PassLok cho Email và SendSafely. Một vài ví dụ về các dịch vụ email được mã hóa bao gồm ProtonMail và Hustmail.
Nếu bạn vẫn đang sử dụng ứng dụng email khách độc lập, bạn luôn có thể sử dụng giải pháp S/
MIME tiêu chuẩn bằng cách lấy chứng chỉ kỹ thuật số. Hoặc bạn có thể chọn thêm công cụ mã hóa độc quyền như PGP (bản thương mại), GPG (GNU được cấp phép) hoặc OpenPGP (Mã nguồn mở). Bất kể bạn triển khai giải pháp nào, nhược điểm chính của các giải pháp mã hóa email dựa trên ứng dụng khách là người nhận của bạn phải có giải pháp tương ứng để giải mã thư hoặc xác minh thư được ký điện tử của bạn.
2. Không có mạng nào được bảo mật hoàn toàn
Nếu bạn đã tham gia bất kỳ khóa đào tạo bảo mật nào, tôi chắc chắn rằng bạn đã được thông báo về sự thật rằng bảo mật không bao giờ là một dự án hoàn thành, nó luôn là một hành trình có đích đến thường xuyên thay đổi.
Không có mạng hoàn toàn an toàn cũng như không thể xây dựng nó. Luôn có những phương tiện để vi phạm bảo mật, cho dù là thông qua khai thác kỹ thuật, vi phạm thực tế hoặc kỹ thuật xã hội (social engi-neering). Tuy nhiên, nhiều tổ chức dường như hoạt động như thể bảo mật của họ đã hoàn tất, rằng mạng của họ không thể truy cập được và rằng môi trường của họ có thể hoàn toàn đáng tin cậy. Nhưng hàng năm, hàng trăm tổ chức học được cách khó khăn rằng mạng của họ không được bảo mật hoàn hảo khi tin tặc đột nhập để gây thiệt hại và đánh cắp thông tin bí mật.
Tất cả chúng ta cần nhận ra rằng hầu hết công nghệ chúng ta sử dụng đều còn non trẻ và nó chưa có thời gian để trưởng thành. Chúng tôi thường cố gắng lấy tiện ích mới nhất và tốt nhất hoặc nâng cấp lên phiên bản mới nhất của sản phẩm. Tuy nhiên, “mới” có nghĩa là chưa được kiểm tra và do đó các sai sót và khai thác của nó chưa được biết đến. Chúng ta đang đặt quá nhiều niềm tin vào các nhà phát triển, nhà sản xuất và lập trình phần cứng và phần mềm của chúng ta. Tôi không đề nghị chúng ta thoát khỏi công nghệ và quay lại với bút và giấy, nhưng tôi đề nghị chúng ta nên có cách tiếp cận thận trọng hơn khi sử dụng công nghệ để lưu trữ và bảo vệ thông tin và tài sản quan trọng nhất của chúng ta.
Chúng ta cần có những bản sao lưu đáng tin cậy hơn. Một bản sao lưu là vô giá trị nếu bạn không thể khôi phục dữ liệu từ nó và một bản sao lưu duy nhất chỉ bảo vệ bạn khỏi mất dữ liệu nếu sự kiện gây hại không phá hủy bản sao lưu. Mọi người cần tuân thủ quy tắc sao lưu 3-2-1:
3) Luôn có ba bản sao dữ liệu của bạn, bản gốc và hai bản sao lưu;
2) Sử dụng hai loại phương tiện khác nhau để lưu trữ bản gốc, các bản sao lưu, chẳng hạn như ổ cứng và lưu trữ đám mây
1) Không lưu trữ cả hai bản sao lưu ở cùng một vị trí địa lý / thực tế.
Chúng tôi cần thêm các lớp bảo mật bổ sung vào cơ sở hạ tầng hiện có bao gồm mã hóa lưu trữ, sử dụng xác thực đa yếu tố, theo dõi/ kiểm tra tất cả các nỗ lực truy cập, có tường lửa kiểm tra trạng thái (stateful) và giám sát tất cả bằng hệ thống phát hiện và ngăn chặn xâm nhập (IPDS).
3. Các tổ chức lớn không phải lúc nào cũng an toàn nhất
Chỉ vì một công ty đã thành công và phát triển thành một tập đoàn lớn không có nghĩa là nó cung cấp sự bảo mật tốt nhất cho khách hàng của mình. Thông thường, các ưu tiên và nghĩa vụ của một tổ chức lớn đi ngược lại với mong muốn và lợi ích của khách hàng.
Đừng bao giờ cho rằng bạn là mối quan tâm hàng đầu của công ty. Hãy suy nghĩ kỹ về việc đưa thông tin cá nhân hoặc quan trọng nhất của bạn lên mạng. Dù là mạng xã hội, giải pháp lưu trữ đám mây hay
trang thương mại điện tử, bạn đang tự đặt mình vào nguy cơ khi đăng thông tin riêng tư, nhạy cảm hoặc có giá trị trực tuyến.
Luôn đặt thông tin tài khoản của bạn thành riêng tư (private) khi được lựa chọn. Chỉ cung cấp lượng thông tin tối thiểu khi tạo tài khoản trực tuyến, đặc biệt đối với các dịch vụ mới mà bạn có thể không tiếp tục sử dụng. Cân nhắc có một địa chỉ email riêng để sử dụng với các trang web mới để bạn không làm lộ địa chỉ email chính của mình trước khi hiểu thêm về một trang web hoặc dịch vụ trực tuyến. Có riêng thẻ tín dụng được sử dụng chủ yếu để mua hàng trực tuyến. Thường xuyên theo dõi tài khoản này để biết bất kỳ hoạt động nào có vấn đề.
Tự động hóa thanh toán hóa đơn, tiền gửi ngân phiếu và đầu tư hưu trí có thể là một cách tiết kiệm thời gian rất lớn và giúp bạn tiết kiệm tiền cho thời gian nghỉ hưu. Tuy nhiên, bạn cần phải kiểm tra các hệ thống đó thường xuyên để đảm bảo các con số là chính xác và các quy trình đang hoạt động như bạn đã xác định.
Nếu bạn phát hiện ra một sai lầm hoặc một lỗi ngay sau khi nó xảy ra, nó có thể được sửa chữa với một ít hậu quả. Nhưng việc không nhận thấy vấn đề sau nhiều tháng hoặc nhiều năm có thể khiến bạn mất nhiều thời gian. Bạn phải tự vận động cho chính mình.
Comment