Phiên bản đầu tiên của Khung An ninh mạng (Cybersecurity Framework - CSF) do Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) Mỹ xuất bản năm 2014 nhằm cung cấp hướng dẫn cho các tổ chức củng cố các biện pháp an ninh mạng, hiện tại đã được cập nhật lên phiên bản 1.1. CSF được các chuyên gia an ninh mạng thuộc chính phủ, học viện, ban, ngành xây dựng, dưới sự chỉ đạo của Tổng thống Barack Obama (nay là cựu Tổng thống) và sau đó được chính quyền mới đưa vào chính sách chính phủ liên bang.
Trong khi phần lớn các tổ chức nhìn nhận giá trị của CSF như một nỗ lực phối hợp chung, được đề nghị phổ biến nhằm cải thiện an ninh mạng với mọi quy mô tổ chức, thì việc áp dụng và triển khai CSF là một vấn đề không đơn giản. Các bước giúp các tổ chức đưa CSF vào thực tế bao gồm 5 bước như sau:
Bước 1: Thiết lập các mục tiêu cần đạt được
Trước khi triển khai CSF, các tổ chức phải tập trung vào việc thiết lập các mục tiêu cần đạt được. Rào cản điển hình đầu tiên của bước này là đạt được sự nhất trí xuyên suốt tổ chức về các mức độ chấp nhận rủi ro. Thông thường, bộ phận công nghệ thông tin (IT) và cấp quản lý cao hơn sẽ thiếu đồng thuận trong việc xác định mức độ rủi ro chấp nhận được.
Để bắt đầu, cần phác thảo một bản thỏa thuận nhất quán để làm rõ chính xác đâu là mức độ rủi ro chấp nhận được. Trước khi tiến hành, tất cả mọi người đều phải đồng thuận với bản này. Thảo luận về vấn đề ngân sách, đặt ra các ưu tiên cao cho việc triển khai, đồng thời chọn ra những bộ phận muốn tập trung triển khai đều là những công việc quan trọng.
Tổ chức có thể bắt đầu với một bộ phận hoặc một nhóm bộ phận nhỏ trực thuộc. Tiến hành chương trình thí điểm để biết chương trình nào có thể khả thi, sau đó tìm ra những công cụ và giải pháp phù hợp cho việc triển khai rộng hơn. Điều này sẽ giúp xây dựng cho các triển khai sau này và ước tính chi phí một cách chính xác.
Bước 2: Tạo bản hồ sơ chi tiết
Bước tiếp theo là đi sâu hơn để điều chỉnh việc đưa CSF vào thực tế sao cho phù hợp với các nhu cầu nghiệp vụ cụ thể của tổ chức. Các Cấp độ Triển khai Khung (Framework Implementation Tiers) của NIST sẽ giúp tổ chức hiểu rõ hơn về tình trạng hiện tại và những gì cần đạt được, được chia thành 3 lĩnh vực:
Như hầu hết các khung CSF của NIST, những lĩnh vực này không cần thiết phải áp dụng một cách máy móc mà hoàn toàn có thể theo phương thức phù hợp với tổ chức. Có thể phân chia những lĩnh vực này thành các thể loại như con người, quá trình, công cụ, hoặc tự thêm những thể loại riêng vào CSF.
Mỗi lĩnh vực được triển khai từ cấp độ 1 đến cấp độ 4:
Cấp độ 1 – Một phần: biểu thị quan điểm an ninh mạng không nhất quán và có tính phản ứng.
Cấp độ 2 – Rủi ro được nắm bắt: nhận thức các rủi ro, nhưng việc lên kế hoạch là nhất quán.
Cấp độ 3 – Có thể lặp lại: áp dụng các khung CSF trên toàn bộ tổ chức và chính sách nhất quán.
Cấp độ 4 – Thích ứng: đề cập đến việc chủ động phát hiện và dự đoán mối đe dọa.
Cấp độ càng cao thì sự triển khai khung CSF càng hoàn thiện hơn, tuy nhiên nên tùy chỉnh những cấp độ này để phù hợp với mục tiêu. Sử dụng những cấp độ đã được tùy chỉnh để đặt ra những mục tiêu nhưng hãy đảm bảo các cổ đông chủ chốt đều nhất trí trước khi tiến hành. Triển khai sẽ có hiệu quả nhất khi được tùy chỉnh sát với những nghiệp vụ cụ thể của tổ chức.
Bước 3: Đánh giá tình trạng hiện tại của tổ chức
Bước tiếp theo là tiến hành đánh giá rủi ro một cách chi tiết để biết được tình trạng hiện tại của tổ chức. Nên tiến hành cả đánh giá từ bên trong các lĩnh vực chức năng cụ thể và đánh giá độc lập xuyên suốt tổ chức. Tìm kiếm các phần mềm, công cụ mã nguồn mở và thương mại có thể giúp đánh giá được những lĩnh vực mục tiêu và đào tạo nhân viên sử dụng chúng, hoặc thuê một bên thứ ba giúp đánh giá rủi ro, ví dụ như các chương trình quét lỗ hổng, kiểm tra cho tiêu chuẩn của CIS (Center for Internet Security - Trung tâm An toàn thông tin), kiểm tra tấn công lừa đảo, phân tích hành vi,…. Đáng chú ý, không để những người tiến hành đánh giá rủi ro biết được những kết quả đánh giá của tổ chức.
Đội ngũ triển khai CSF cùng tập hợp và kiểm tra những kết quả đánh giá cuối cùng trước khi trình bày với các cổ đông chủ chốt. Mục tiêu sau cùng của quá trình này là giúp tổ chức hiểu rõ những rủi ro an ninh đối với quá trình vận hành tổ chức (bao gồm nhiệm vụ, chức năng, hình ảnh, uy tín), tài sản của tổ chức và các cá nhân. Các lỗ hổng và mối nguy cơ cần được xác định và báo cáo tài liệu đầy đủ.
Biểu đồ đánh giá tình trạng hiện tại của tổ chức (Nguồn: “The Cybersecurity Framework In Action: An Intel Usecase”)
Trong biểu đồ trên, tổ chức đã xác định 3 lĩnh vực chức năng: Chính sách, Mạng và Ứng dụng. Những lĩnh vực này có thể trải trên đám mây lai (hybrid cloud) hoặc chia nhỏ ra những môi trường khác nhau để có thể theo dõi với mức độ chi tiết hơn, trong đó có sự xem xét những sự chỉ đạo, hướng đi chức năng khác nhau sẽ chịu trách nhiệm cho giải pháp tại chỗ hay đám mây.
Bên trái biểu đồ liệt kê các chức năng khác nhau của CSF và có thể được mở rộng tới các mức độ chi tiết hơn. Các chức năng được đánh giá trên thang điểm 4, màu xanh – đã tốt, màu vàng – cần làm việc thêm, màu đỏ – yêu cầu phân tích, sửa chữa kỹ càng. Ở đây, chức năng trọng tâm “Xác định” được chia nhỏ với mục đích so sánh kết quả đánh giá của từng chức năng với nhóm đơn vị hội tụ nghiệp vụ nòng cốt. Điểm cho bởi các chuyên gia của riêng 3 lĩnh vực (subject matter expert) và điểm cho bởi nhóm nòng cốt (core group) được tính trung bình, so sánh với mục tiêu của tổ chức, sau đó tính toán khoảng cách rủi ro. Khoảng cách lớn hơn yêu cầu giải pháp nhanh hơn. Từ bảng cho thấy, lĩnh vực “Bảo vệ” và “Ứng phó” của tổ chức là yếu nhất.
Bước 4: Lên kế hoạch hành động phân tích khoảng cách
Khi đã được trang bị kiến thức sâu hơn về những rủi ro và nhân tố tiềm tàng ảnh hưởng tới nghiệp vụ, có thể tiến tới phân tích khoảng cách. Ý tưởng là so sánh kết quả đánh giá thực tế với mục tiêu đặt ra. Có thể sẽ cần tạo một biểu đồ nhiệt để minh họa kết quả một cách dễ hiểu và thấu đáo. Các khác biệt, khoảng cách lớn ngay lập tức sẽ nhấn mạnh những lĩnh vực mà tổ chức cần tập trung vào.
Tìm hiểu xem tổ chức cần thực hiện những hành động gì để xóa bỏ khoảng cách giữa kết quả đánh giá thực tế và mục tiêu đặt ra. Xác định các hành động có thể áp dụng để cải thiện tình trạng hiện tại và ưu tiên thảo luận chúng với các cổ đông chủ chốt. Những yêu cầu đề án chi tiết, quyết định chi tiêu, biên chế nhân viên đều có thể ảnh hưởng đến kế hoạch của tổ chức.
Bước 5: Thực hiện kế hoạch hành động
Với một bức tranh rõ ràng về tình trạng hiện tại về các giải pháp phòng vệ, một tập hợp các mục tiêu được sắp xếp có tổ chức, các phân tích khoảng cách một cách toàn diện, và một tập hợp các giải pháp ứng phó, tổ chức sẽ sẵn sàng triển khai CSF của NIST. Lần đầu triển khai sẽ là cơ hội để lưu lại quá trình thực hiện và xây dựng các tài liệu đào tạo cho việc triển khai rộng hơn sau này.
Việc thực hiện kế hoạch hành động vẫn chưa phải là kết thúc. Tổ chức cần thiết lập thước đo để kiểm tra mức độ hiệu quả, đồng thời liên tục đánh giá lại CSF để đảm bảo đạt được kết quả mong đợi. Thước đo cần bao gồm quá trình lặp lại và xác nhận liên tục với những người ra quyết định chính. Để đạt được lợi ích tối đa, tổ chức cần ngày càng hoàn thiện quá trình thực hiện và điều chỉnh hơn nữa việc triển khai CSF của NIST để phù hợp với yêu cầu nghiệp vụ của tổ chức.
Đỗ Đoàn Kết
Theo Dark Reading
09:00 | 22/08/2018
14:00 | 30/12/2018
15:00 | 18/09/2014
13:00 | 12/05/2021
10:00 | 14/06/2022
16:00 | 05/09/2013
17:00 | 22/11/2024
Trong bối cảnh thế giới số, chuỗi cung ứng trở thành huyết mạch cho thương mại toàn cầu, kết nối các nhà sản xuất với các nhà phân phối, bán lẻ. Tuy nhiên, điều này cũng khiến chuỗi cung ứng phải đối mặt với nhiều rủi ro an ninh mạng tiềm ẩn, đe dọa nghiêm trọng đến tính toàn vẹn và độ tin cậy. Dưới đây là 5 rủi ro an ninh mạng hàng đầu mà chuỗi cung ứng đang phải đối mặt, đồng thời đề xuất các chiến lược thiết yếu nhằm giảm thiểu các mối đe dọa này.
16:00 | 09/08/2024
Hiện nay, lĩnh vực thương mại điện tử đang trở nên phổ biến và phát triển mạnh mẽ, phục vụ nhu cầu mua sắm, trao đổi hàng hóa và dịch vụ cho hàng tỉ người dùng trên toàn cầu thông qua phương tiện điện tử và Internet. Những thách thức chính mà thương mại điện tử phải đối mặt hiện nay đó là các hình thức lừa đảo qua mạng và đánh cắp thông tin người dùng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và những giải pháp an toàn cơ bản cho hệ thống thương mại điện tử hiện nay.
09:00 | 18/07/2024
Mới đây, Bộ Công an đã thông tin về tình trạng tin nhắn tin nhắn thương hiệu (SMS Brandname) giả mạo phần lớn xuất phát từ việc các đối tượng sử dụng trạm phát sóng BTS giả mạo để gửi hàng loạt tin nhắn lừa đảo tới người dùng với mục đích nhằm chiếm đoạt tài sản.
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024