Thách thức đầu tiên mà các nhà lãnh đạo an ninh mạng trong mỗi tổ chức/doanh nghiệp phải đối mặt là việc thống kê chính xác được tất cả các công cụ SaaS mà nhân viên của họ đang sử dụng. Với bối cảnh SaaS luôn thay đổi liên tục như hiện nay thì những thách thức này không bao giờ dừng lại.
Thách thức tiếp theo là việc bảo mật các công cụ SaaS bằng cách sử dụng kết hợp các công cụ bảo mật với quản lý cấu hình như đăng nhập một lần (SSO). Đây là bước cần thiết để quản lý rủi ro của ứng dụng SaaS mà không kiểm soát tất cả các hành động mà người dùng thực hiện trong ứng dụng.
Mặc dù các chuyên gia an ninh mạng vẫn thường xuyên đưa ra các cảnh bao rủi ro, nhưng các nhân viên hàng ngày vẫn thực hiện một số hành động nhất định trong các ứng dụng SaaS có liên quan đến bảo mật và quyền riêng tư. Không phải tất cả các hành động này đều dẫn đến vi phạm dữ liệu hay thậm chí là sự cố bảo mật nhưng đều có nguy cơ gây lộ lọt thông tin của công ty. Do vậy, bắt buộc phải có một cách tiếp cận mới để đo lường và giảm thiểu những rủi ro đó.
Một số hoạt động SaaS có liên quan đến rủi ro bao gồm:
- Xuất bản danh sách người dùng: Trong nhiều giải pháp SaaS, người dùng có thể xuất bản hoặc tải xuống danh sách người dùng chứa thông tin nhận dạng cá nhân (PII). Chức năng này thường có trong các công cụ hỗ trợ.
- Chia sẻ tệp: Không chỉ dành riêng cho các bộ nhớ dùng chung như Google, Dropbox và Box, người dùng trong các ứng dụng SaaS như Slack có thể chia sẻ các tệp nhạy cảm và thậm chí đặt chúng ở chế độ công khai.
- Mời những người dùng bên ngoài: Những người dùng nội bộ có thể mời người dùng bên ngoài vào hầu hết các ứng dụng SaaS.
- Tích hợp SaaS: Một số ứng dụng SaaS được chấp nhận theo các quy tắc dữ liệu nhất định, chẳng hạn như GDPR hoặc HIPAA, nhưng dữ liệu này có thể dễ dàng được chia sẻ tới các ứng dụng SaaS mà không có các biện pháp hoặc cam kết bảo vệ dữ liệu phù hợp.
Bước đầu tiên trong việc quản lý rủi ro khi sử dụng ứng dụng SaaS là đo lường rủi ro của việc sử dụng các ứng dụng đó. Khoảng 10% ứng dụng SaaS có nguy cơ rủi ro chiếm đến 90%, do đó, nhắm mục tiêu 10% này là bước đầu tiên. Các ứng dụng phổ biến nhất trong 10% này là những giải pháp quản lý quan hệ khách hàng (CRM), các nền tảng hỗ trợ, các công cụ kết nối và thúc đẩy năng xuất.
Các chuyên gia bảo mật có thể đo lường rủi ro SaaS bằng cách coi SaaS cũng như bất kỳ loại cơ sở hạ tầng khác, ghi lại các sự kiện ứng dụng SaaS và tốt nhất là đưa vào nền tảng quản lý bảo mật tập trung. Bước này cung cấp khả năng hiển thị và cách thức việc đo lường rủi ro được diễn ra liên tục. Sau đó, với các sự kiện ứng dụng SaaS này có thể chỉ kích hoạt một số hoạt động nhất định sẽ giúp ích trong việc quản lý rủi ro của SaaS.
Nếu rủi ro của SaaS bắt nguồn từ các hành động cần thiết của người dùng, chẳng hạn như chia sẻ tài liệu quan trọng thông qua giải pháp SaaS thì rủi ro này có thể được quản lý như thế nào? Vì SaaS trao quyền tự chủ nhiều hơn cho người dùng cuối nên đòi hỏi họ phải có trách nhiệm hơn về bảo mật.
Tư duy bảo mật trong một tổ chức là yếu tố mang tính then chốt quan trọng, nhưng đây không phải là một nhiệm vụ dễ dàng, đặc biệt là khi các ứng dụng SaaS cho phép quy trình làm việc từ bất kỳ vị trí và thiết bị nào.
Do đó, cần đào tạo nâng cao nhận thức về bảo mật, cách tiếp cận mới để xây dựng tư duy bắt buộc này. Rủi ro từ các ứng dụng SaaS không thể giảm thiểu bằng cách đào tạo nhân viên về mật khẩu mạnh hay chuyên gia về ransomware. Quy trình làm việc của SaaS dành riêng cho các ứng dụng SaaS, vì vậy, quá trình đào tạo cần được cập nhật liên tục và phù hợp với từng phần mềm cụ thể đang được sử dụng.
Nhiều công ty đang bắt đầu việc đo lường và quản lý rủi ro từ các hành động của nhân viên trong ứng dụng SaaS. Bước đầu tiên trong việc quản lý rủi ro này là kiểm kê và xếp hạng rủi ro của các ứng dụng này. Cùng với đó, phải có một chương trình nâng cao nhận thức bảo mật thì mới có khả thi trong việc giảm thiểu rủi ro.
Trên thế giới, các nhà thống kê ước tính tốc độ tăng trưởng của thị trường SaaS sẽ đạt con số 17% vào năm 2022. Điều này cho thấy tiềm năng và cơ hội phát triển của ngành công nghệ dựa vào mô hình SaaS là vô cùng lớn. Ứng dụng SaaS được coi là mũi nhọn phát triển của ngành công nghệ. Chúng không chỉ dừng lại ở mục đích chia sẻ dữ liệu nhanh chóng mà còn được nâng cấp và mở rộng thành các phần mềm đặc thù với rất nhiều tiện ích và SaaS đang tiếp tục được mở rộng và phát triển không ngừng để đáp ứng nhu cầu ngày càng tăng của người sử dụng.
Trần Thanh Tùng
11:00 | 27/01/2023
15:00 | 06/05/2022
10:00 | 25/08/2021
13:00 | 14/03/2018
16:00 | 13/12/2022
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
15:00 | 26/05/2023
Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.
10:00 | 21/12/2022
Hôm 9/12, chính phủ Vương quốc Anh vừa công bố quy tắc thực hành tự nguyện thúc giục các nhà điều hành cửa hàng ứng dụng và nhà phát triển ứng dụng nâng cấp các biện pháp bảo mật và quyền riêng tư của họ. Hướng dẫn này là kết quả của một cuộc tham vấn cộng đồng được đưa ra hồi tháng 5, với 59 phản hồi, phần lớn trong số đó là tích cực. Hướng dẫn mới sẽ được theo dõi để đảm bảo tuân thủ.
15:00 | 15/11/2022
Cùng với sự phát triển của internet, số lượng người dùng trực tuyến tại Việt Nam gia tăng nhanh chóng, cho phép người dùng chia sẻ, trao đổi thông tin, kết nối toàn cầu. Điều này kéo theo việc tội phạm trên không gian mạng gia tăng lừa đảo trực tuyến với các phương thức thủ đoạn, đa dạng, tinh vi, gây hậu quả khó lường. Trong quá trình chuyển đổi số phát triển công nghệ thông tin luôn song hành cùng an toàn, an ninh mạng. Việc nâng cao nhận thức về sử dụng internet an toàn sẽ là cách tốt nhất để hạn chế rủi ro tấn công lừa đảo trực tuyến.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
18:00 | 22/09/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
