Thách thức đầu tiên mà các nhà lãnh đạo an ninh mạng trong mỗi tổ chức/doanh nghiệp phải đối mặt là việc thống kê chính xác được tất cả các công cụ SaaS mà nhân viên của họ đang sử dụng. Với bối cảnh SaaS luôn thay đổi liên tục như hiện nay thì những thách thức này không bao giờ dừng lại.
Thách thức tiếp theo là việc bảo mật các công cụ SaaS bằng cách sử dụng kết hợp các công cụ bảo mật với quản lý cấu hình như đăng nhập một lần (SSO). Đây là bước cần thiết để quản lý rủi ro của ứng dụng SaaS mà không kiểm soát tất cả các hành động mà người dùng thực hiện trong ứng dụng.
Mặc dù các chuyên gia an ninh mạng vẫn thường xuyên đưa ra các cảnh bao rủi ro, nhưng các nhân viên hàng ngày vẫn thực hiện một số hành động nhất định trong các ứng dụng SaaS có liên quan đến bảo mật và quyền riêng tư. Không phải tất cả các hành động này đều dẫn đến vi phạm dữ liệu hay thậm chí là sự cố bảo mật nhưng đều có nguy cơ gây lộ lọt thông tin của công ty. Do vậy, bắt buộc phải có một cách tiếp cận mới để đo lường và giảm thiểu những rủi ro đó.
Một số hoạt động SaaS có liên quan đến rủi ro bao gồm:
- Xuất bản danh sách người dùng: Trong nhiều giải pháp SaaS, người dùng có thể xuất bản hoặc tải xuống danh sách người dùng chứa thông tin nhận dạng cá nhân (PII). Chức năng này thường có trong các công cụ hỗ trợ.
- Chia sẻ tệp: Không chỉ dành riêng cho các bộ nhớ dùng chung như Google, Dropbox và Box, người dùng trong các ứng dụng SaaS như Slack có thể chia sẻ các tệp nhạy cảm và thậm chí đặt chúng ở chế độ công khai.
- Mời những người dùng bên ngoài: Những người dùng nội bộ có thể mời người dùng bên ngoài vào hầu hết các ứng dụng SaaS.
- Tích hợp SaaS: Một số ứng dụng SaaS được chấp nhận theo các quy tắc dữ liệu nhất định, chẳng hạn như GDPR hoặc HIPAA, nhưng dữ liệu này có thể dễ dàng được chia sẻ tới các ứng dụng SaaS mà không có các biện pháp hoặc cam kết bảo vệ dữ liệu phù hợp.
Bước đầu tiên trong việc quản lý rủi ro khi sử dụng ứng dụng SaaS là đo lường rủi ro của việc sử dụng các ứng dụng đó. Khoảng 10% ứng dụng SaaS có nguy cơ rủi ro chiếm đến 90%, do đó, nhắm mục tiêu 10% này là bước đầu tiên. Các ứng dụng phổ biến nhất trong 10% này là những giải pháp quản lý quan hệ khách hàng (CRM), các nền tảng hỗ trợ, các công cụ kết nối và thúc đẩy năng xuất.
Các chuyên gia bảo mật có thể đo lường rủi ro SaaS bằng cách coi SaaS cũng như bất kỳ loại cơ sở hạ tầng khác, ghi lại các sự kiện ứng dụng SaaS và tốt nhất là đưa vào nền tảng quản lý bảo mật tập trung. Bước này cung cấp khả năng hiển thị và cách thức việc đo lường rủi ro được diễn ra liên tục. Sau đó, với các sự kiện ứng dụng SaaS này có thể chỉ kích hoạt một số hoạt động nhất định sẽ giúp ích trong việc quản lý rủi ro của SaaS.
Nếu rủi ro của SaaS bắt nguồn từ các hành động cần thiết của người dùng, chẳng hạn như chia sẻ tài liệu quan trọng thông qua giải pháp SaaS thì rủi ro này có thể được quản lý như thế nào? Vì SaaS trao quyền tự chủ nhiều hơn cho người dùng cuối nên đòi hỏi họ phải có trách nhiệm hơn về bảo mật.
Tư duy bảo mật trong một tổ chức là yếu tố mang tính then chốt quan trọng, nhưng đây không phải là một nhiệm vụ dễ dàng, đặc biệt là khi các ứng dụng SaaS cho phép quy trình làm việc từ bất kỳ vị trí và thiết bị nào.
Do đó, cần đào tạo nâng cao nhận thức về bảo mật, cách tiếp cận mới để xây dựng tư duy bắt buộc này. Rủi ro từ các ứng dụng SaaS không thể giảm thiểu bằng cách đào tạo nhân viên về mật khẩu mạnh hay chuyên gia về ransomware. Quy trình làm việc của SaaS dành riêng cho các ứng dụng SaaS, vì vậy, quá trình đào tạo cần được cập nhật liên tục và phù hợp với từng phần mềm cụ thể đang được sử dụng.
Nhiều công ty đang bắt đầu việc đo lường và quản lý rủi ro từ các hành động của nhân viên trong ứng dụng SaaS. Bước đầu tiên trong việc quản lý rủi ro này là kiểm kê và xếp hạng rủi ro của các ứng dụng này. Cùng với đó, phải có một chương trình nâng cao nhận thức bảo mật thì mới có khả thi trong việc giảm thiểu rủi ro.
Trên thế giới, các nhà thống kê ước tính tốc độ tăng trưởng của thị trường SaaS sẽ đạt con số 17% vào năm 2022. Điều này cho thấy tiềm năng và cơ hội phát triển của ngành công nghệ dựa vào mô hình SaaS là vô cùng lớn. Ứng dụng SaaS được coi là mũi nhọn phát triển của ngành công nghệ. Chúng không chỉ dừng lại ở mục đích chia sẻ dữ liệu nhanh chóng mà còn được nâng cấp và mở rộng thành các phần mềm đặc thù với rất nhiều tiện ích và SaaS đang tiếp tục được mở rộng và phát triển không ngừng để đáp ứng nhu cầu ngày càng tăng của người sử dụng.
Trần Thanh Tùng
11:00 | 27/01/2023
15:00 | 06/05/2022
10:00 | 25/08/2021
13:00 | 14/03/2018
16:00 | 13/12/2022
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
09:00 | 28/02/2023
Hiện nay, việc nghiên cứu, ứng dụng các giải pháp trí tuệ nhân tạo để khai phá thông tin từ dữ liệu và hỗ trợ ra quyết định đang phát triển mạnh mẽ. Văn phòng Trung ương Đảng (TƯ Đảng) đã và đang triển khai hiệu quả hai hệ thống phần mềm tìm kiếm, tổng hợp thông tin dùng chung cho các cơ quan Đảng trong mạng thông tin diện rộng của Đảng và Phần mềm hệ thống thu thập, tổng hợp thông tin trên Internet hỗ trợ công tác tham mưu, thẩm định các đề án. Bài báo này sẽ mô tả các bước xây dựng, triển khai việc ứng dụng mô hình QAC (Query Auto Completion) cho việc tìm kiếm thông tin trong hai hệ thống nói trên, đồng thời đánh giá tính hiệu quả khi áp dụng hệ thống cho các phần mềm.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024