Với việc dữ liệu nhạy cảm được lưu trữ trên đám mây nhiều hơn bao giờ hết, các doanh nghiệp cần biết cách giữ cho thông tin liên quan đến TC/DN và khách hàng của họ an toàn.
Các nhà cung cấp dịch vụ đám mây có thể bảo vệ thành công dữ liệu về mặt vật lý và công nghệ khi ở trên đám mây, nhưng thông tin đó rất dễ bị tấn công ngay khi nó rời khỏi đám mây để tương tác với hệ thống khác. Ngay cả khi các TC/DN triển khai những hệ thống hoàn toàn dựa trên đám mây, họ vẫn thường sử dụng sao lưu dữ liệu và lưu trữ tại chỗ theo một cách nào đó. Các hệ thống này cũng thuộc trách nhiệm của TC/DN.
Có thể kể đến vụ vi phạm dữ liệu tại công ty bất động sản StreetEasy xảy ra vào tháng 2/2019, tin tặc đã đánh cắp thành công thông tin từ một triệu tài khoản không phải từ các hoạt động hàng ngày của công ty này. Thay vào đó, chúng đánh cắp những thông tin đó bằng cách sử dụng bản sao lưu cơ sở dữ liệu từ năm 2016. Thông tin cá nhân từ các tài khoản bị tấn công - bao gồm địa chỉ email, tên người dùng, bốn chữ số cuối của thẻ tín dụng, ngày hết hạn và hơn thế nữa. Tất cả là đủ để có thể rao bán trên các trang web đen.
Điều này dẫn đến việc, ngoài những lợi ích của việc lưu trữ dữ liệu dựa trên đám mây mang lại thì nó cũng có thể trở thành rủi ro nếu các TC/DN không cẩn thận. Yêu cầu dữ liệu giao dịch có thể được thực hiện và hoàn thành từ hầu hết mọi nơi trên thế giới bằng cách sử dụng bất kỳ thiết bị được kết nối. Ví dụ như khi văn phòng bác sĩ yêu cầu quyền truy cập vào hồ sơ nhập viện của bệnh nhân, hoặc khi khách hàng mua giày trực tuyến. Những lợi ích này giúp cho hoạt động kinh doanh diễn ra thuận tiện hơn, nhanh hơn và hiệu quả hơn rất nhiều nhưng điều đó cũng có nghĩa là dữ liệu có thể bị lộ trừ khi chúng được thực hiện các biện pháp ngăn chặn thích hợp để có thể đảm bảo an toàn khi thực hiện các giao dịch. Dưới đây sẽ trình bày một số phương pháp để đảm bảo an toàn cho dữ liệu khi rời khỏi đám mây.
An toàn trên internet
Cần sử dụng kết hợp mạng riêng ảo (VPN) và giao thức TLS (Transport Layer Security)/SSL (Secure Sockets Layer) (đây là giao thức bảo mật và xác thực tính toàn vẹn của dữ liệu thông qua mã xác thực), để đảm bảo kết nối internet của bạn không khiến bạn bị lộ khi thực hiện việc truyền dữ liệu từ hệ thống này sang hệ thống khác.
Trong đó, VPN giúp kết nối của bạn ở chế độ riêng tư và giữ cho hoạt động trực tuyến, địa chỉ IP và thông tin thiết bị của bạn ẩn danh. Sử dụng VPN để truy cập máy tính hoặc mạng từ xa, đặc biệt nếu bạn hoặc nhân viên của bạn đang sử dụng Wi-Fi công cộng.
Còn SSL/TLS giúp mã hóa và bảo vệ dữ liệu nhạy cảm khi được chuyển giữa hai hệ thống (như máy khách/máy chủ hoặc giỏ hàng/trình duyệt), ngăn chặn tội phạm đọc và sửa đổi thông tin. Khi thực hiện mua sắm trực tuyến, hãy đảm bảo địa chỉ trang web bạn truy cập bắt đầu bằng "https" (Hyper Text Transfer Protocol Secure - giao thức truyền tải siêu văn bản bảo mật). Điều này là minh chứng của việc trang web này đang mã hóa và ẩn dữ liệu của bạn khỏi những con mắt tò mò.
Mã hóa các thiết bị được kết nối
Các quy trình mã hóa của bạn cần được mở rộng chứ không chỉ với cthông tin bạn lưu trữ trên đám mây, đặc biệt là với rất nhiều các thiết bị kết nối và các thiết bị bên ngoài được sử dụng trong hoạt động kinh doanh thông thường. Lãnh đạo các TC/DN cần phải đảm bảo việc mã hóa cho mọi thiết bị được kết nối như đĩa cứng, ổ USB và các thiết bị liên quan. Bất kỳ dữ liệu không được mã hóa được lưu trữ trên các thiết bị này đều gây nguy hiểm cho quyền riêng tư, tài chính, danh tính và khách hàng của TC/DN.
Một số vi phạm dữ liệu quốc tế lớn nhất trong lịch sử có liên quan đến các ổ USB bị nhiễm virus, đáng chú ý là vi phạm của Bộ Quốc phòng Hoa Kỳ vào năm 2008. Ví dụ, thông tin về khách hàng chăm sóc sức khỏe được bảo vệ theo Đạo luật HIPAA và bất kỳ thiết bị nào có thể chứa sức khỏe bệnh nhân thông tin (PHI) cũng nằm trong phạm vi quy định của đạo luật này. Thật không may, nếu ai đó đã đánh cắp máy tính xách tay không được mã hóa của bác sĩ có chứa hồ sơ bệnh nhân từ xe của anh ấy trong giờ nghỉ trưa, đây sẽ bị coi là vi phạm và dẫn đến một khoản tiền phạt khổng lồ (vi phạm HIPAA có thể dao động từ 100 đến 1,5 triệu đô la).
Dữ liệu không được mã hóa giống như giao ví của bạn cho người lạ, bao gồm thẻ tín dụng, thẻ bảo hiểm và các hình thức nhận dạng khác. Bằng cách mã hóa thiết bị của mình, bạn đảm bảo rằng mọi người không thể truy xuất dữ liệu nhạy cảm từ ổ cứng bị đánh cắp hoặc bị mất mà không có khóa giải mã.
Nhiều yếu tố tốt hơn một yếu tố
TC/DN của bạn hiện đang đào tạo gì cho nhân viên về việc tạo, lưu trữ và bảo vệ mật khẩu của họ? Công ty của bạn đang cung cấp tài khoản khách hàng được bảo vệ bằng mật khẩu như thế nào? Thực tế là hầu hết các mật khẩu đều không được bảo mật - dễ nhớ thường có nghĩa là dễ đoán, bị đánh cắp.
Các TC/DN nên sử dụng xác thực đa yếu tố (MFA) như là một yêu cầu tối thiểu. Nguyên tắc đằng sau MFA là không có yếu tố xác thực duy nhất nào là hoàn hảo. Một yếu tố thứ hai hoặc thứ ba có thể bù đắp những điểm yếu của những yếu tố còn lại. Bổ sung mật khẩu của bạn bằng một hoặc hai yếu tố xác thực mà người khác không thể dễ dàng đoán ra, ví dụ như sử dụng trình xác thực trên thiết bị di động hoặc các yếu tố sinh trắc học như vân tay hay giọng nói.
Bảo vệ các bản sao lưu khi đối mặt với mã độc tống tiền
Khi mã độc tống tiền, hay còn gọi là ransomware, tấn công một thiết bị, sao lưu thường là tuyến phòng thủ cuối cùng. Đây là lý do tại sao những kẻ tấn công hiện đại đang sử dụng các chương trình tinh vi hơn để phá vỡ biện pháp bảo vệ này. Vào tháng 3 năm 2018, thế giới an ninh mạng đã chạm trán với mã độc tống tiền Zenis. Mã độc này không chỉ mã hóa các tệp mà còn cố tình xóa các bản sao lưu cho đến khi nạn nhân đáp ứng nhu cầu của kẻ tấn công.
Báo cáo Malwarebytes 2017 cho thấy các phát hiện mã độc tống tiền đã tăng tương ứng 90% và 93% cho doanh nghiệp và người tiêu dùng, các cuộc tấn công này đang trở nên phổ biến hơn. Luôn bảo vệ phần cứng và phần mềm bằng các ứng dụng chống vi-rút và chống phần mềm độc hại, hoặc bạn sẽ trở thành một mục tiêu dễ dàng.
Với số lượng lớn thiết bị được kết nối, truyền dữ liệu và sao lưu cần thiết để thực hiện các hoạt động kinh doanh thông thường, các công ty cần bảo vệ dữ liệu trong mỗi bước. Ngay cả với lưu trữ đám mây hoặc hệ thống điện toán đám mây, dữ liệu có thể dễ bị tấn công khi đang lưu thông, trong các bản sao lưu hoặc được lưu trữ trên các thiết bị không được mã hóa. Thực hiện các bước trên để bảo vệ dữ liệu và thông tin của khách hàng của TC/DN.
Nguyệt Thu
Theo entrepreneur.com
10:00 | 06/11/2019
09:00 | 25/09/2017
14:00 | 14/10/2023
14:33 | 15/09/2017
10:00 | 09/04/2020
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
