Kalantzis: Xếp hạng bảo mật đánh giá hiệu suất bảo mật của tổ chức rằng tổ chức đó bảo vệ thông tin tốt như thế nào đồng thời cung cấp các chỉ số về rủi ro nội bộ và bên thứ ba của họ, cho phép các công ty có khả năng nhanh chóng phục hồi hoạt động mạng.
Tương tự như trường hợp cơ quan báo cáo tín dụng tiêu dùng xem xét tài chính để chỉ định điểm tín dụng, thì các tổ chức xếp hạng bảo mật có cái nhìn “bên ngoài” về tình hình an ninh mạng của công ty và ấn định điểm bảo mật bằng cách đánh giá xem công ty có thể bảo vệ tài sản dữ liệu của mình trước nguy cơ xâm phạm dữ liệu như thế nào. Các tổ chức có xếp hạng bảo mật cao hơn có hồ sơ rủi ro thấp hơn và tổ chức có xếp hạng thấp cần giảm thiểu rủi ro tiềm ẩn để tăng điểm. Để chuyển hiệu quả bảo mật của tổ chức thành điểm số có thể định lượng, các tổ chức xếp hạng bảo mật sử dụng kết hợp các điểm dữ liệu được thu thập trực tiếp hoặc được mua từ các nguồn công cộng và tư nhân, sau đó áp dụng các thuật toán học máy.
Ví dụ: Tại SecurityScorecard, chúng tôi liên tục theo dõi 10 nhóm yếu tố rủi ro để đưa ra xếp hạng từ A đến F cho hơn 1.000 công ty hàng ngày. Các yếu tố rủi ro bao gồm bảo mật ứng dụng, bảo mật mạng, tình trạng DNS, biện pháp vá lỗi, bảo mật điểm cuối, danh tiếng IP, bảo mật ứng dụng web, điểm cubit, trò chuyện của hacker, thông tin đăng nhập bị rò rỉ và kỹ nghệ xã hội.
Sử dụng học máy, chúng tôi có thể tối ưu hóa mối tương quan giữa xếp hạng bảo mật của chúng tôi và khả năng xảy ra vi phạm dữ liệu tương đối. Điều này cung cấp điểm số với thông tin chi tiết về rủi ro có ý nghĩa hơn để người dùng của chúng tôi có thể đưa ra các quyết định kinh doanh và bảo mật thông minh hơn.
Kalantzis: Bảo mật là một bối cảnh luôn thay đổi và việc giám sát liên tục công việc an ninh mạng của một tổ chức và hệ sinh thái chuỗi cung ứng luôn luôn giữ vai trò quan trọng. Mặc dù phần lớn các vụ vi phạm dữ liệu doanh nghiệp hiện nay là do bên thứ ba (như cuộc tấn công SolarWinds gần đây và vụ vi phạm FireEye), hầu hết các nhóm bảo mật và rủi ro vẫn không có các công cụ cần thiết để liên tục theo dõi và cộng tác quản lý tình hình bảo mật của các nhà cung cấp và đối tác của họ.
Trên thực tế, trong thời gian gần đây, Cơ quan An ninh mạng và An ninh Thông tin (CISA) đã xác định xếp hạng bảo mật là một thước đo rủi ro mạng quan trọng như một phần của sáng kiến giảm thiểu rủi ro hệ thống mới của họ. Điều này rất quan trọng vì CISA được coi là “bộ phận an ninh mạng” và vai trò của nó là cung cấp các phương pháp tốt nhất hoặc “mức độ duy trì an ninh mạng tiêu chuẩn trên thực tế” cho các tổ chức, cụ thể là CSO, CISO và các đối tác của họ.
Công nghệ này cho phép các tổ chức giám sát tình hình an ninh mạng của họ một cách liên tục và có thể đảm bảo chủ động giải quyết rủi ro mạng nếu xuất hiện. Với việc tăng cường thông báo kịp thời của họ, các tổ chức có thể đưa ra các quyết định sáng suốt hơn và thực hiện trách nhiệm giải trình an ninh mạng phù hợp. Quan trọng nhất, xếp hạng bảo mật giúp các doanh nghiệp quản lý rủi ro của bên thứ ba, bằng cách cho phép họ xác định và giải quyết các lỗ hổng bảo mật mạng thích hợp trong hệ sinh thái của nhà cung cấp của họ.
Kalantzis: Các công ty bị thu hút bởi xếp hạng bảo mật vì chính lý do này. Bối cảnh mối đe dọa ngày càng phát triển và mở rộng thì yêu cầu giám sát liên tục tình trạng an ninh mạng của doanh nghiệp và đối tác để đảm bảo tuân thủ chính xác các quy định thay đổi.
Các doanh nghiệp có thể sử dụng nền tảng của chúng tôi để cho các kiểm toán viên thấy cách họ liên tục theo dõi sự tuân thủ và phát hiện những lỗ hổng tiềm ẩn với các nhiệm vụ hiện tại. Những thông tin tham chiếu của chúng tôi thực sự phản ánh các vấn đề liên quan đến các điểm kiểm tra cụ thể của các tiêu chuẩn bảo mật - bao gồm PCI, NIST, ISO, SIG, HIPAA và GDPR. Người dùng có thể chứng minh cách họ quản lý sự tuân thủ bằng cách sử dụng nền tảng để nắm bắt, báo cáo và khắc phục các rủi ro bảo mật của nhà cung cấp và đối tác theo thời gian thực.
PV: Xếp hạng bảo mật có thể giúp CISO thông báo các chiến lược an ninh mạng và rủi ro cho Hội đồng quản trị và doanh nghiệp được không?
Kalantzis: Các CISO và người quản lý bảo mật có thể sử dụng xếp hạng bảo mật để theo dõi hiệu quả của các quy trình và kiểm soát của họ theo thời gian, đánh giá hiệu suất của nhóm và hiển thị ROI của chi tiêu bảo mật ở cấp hội đồng quản trị. Họ có thể sử dụng xếp hạng bảo mật giữa các cuộc kiểm toán để chứng minh rằng các biện pháp an ninh mới hoạt động. Và với việc giám sát liên tục các lỗ hổng và tín hiệu rủi ro, ngay sau khi các biện pháp bảo vệ mới được tích hợp, công cụ phân tích dữ liệu sẽ hiệu chỉnh lại điểm số.
Hơn nữa, các doanh nghiệp thuê bên thứ ba có thể kết hợp đánh giá tương tự để có được niềm tin vào nhà cung cấp. Nếu nhà cung cấp của doanh nghiệp gặp rủi ro, thì khả năng cao là doanh nghiệp đang gặp rủi ro. Tuy nhiên, nếu doanh nghiệp không thể phá vỡ hợp đồng đó ngay lập tức, thì doanh nghiệp cần phải có ngay những phương án về bảo mật của tổ chức và khách hàng của doanh nghiệp. Sử dụng xếp hạng bảo mật cho phép CISO chứng minh sự thẩm định liên tục của họ với khách hàng, Hội đồng quản trị và cơ quan quản lý.
Quốc Trung (Tạp chí Security)
16:00 | 06/10/2020
10:00 | 07/06/2021
14:00 | 24/08/2023
Các chuyên gia nghiên cứu bảo mật thuộc Đại học Cornell (Vương quốc Anh) đã phát triển một hình thức lấy cắp mật khẩu đăng nhập tài khoản của người dùng theo cách ít ai ngờ đến.
12:00 | 23/09/2022
Sự kiện Trường hè mật mã do Hiệp hội Quốc tế về Nghiên cứu mật mã (International Association for Cryptographic Research - IACR) phối hợp cùng Viện Nghiên cứu cao cấp về Toán (International Association for Cryptographic Research - VIASM) tổ chức thành công vào cuối tháng 8 vừa qua đã đem lại một môi trường học thuật đa dạng để khơi dậy việc đào tạo nguồn nhân lực chất lượng cao trong lĩnh vực mật mã. Từ đó góp phần xây dựng nền tảng kiến thức cho nhiều bạn trẻ đi theo các hướng nghiên cứu chủ chốt và hiện đại về mật mã của thế giới.
23:00 | 02/09/2022
Trong các ứng dụng mật mã, việc đánh giá chất lượng của bộ sinh số ngẫu nhiên và giả ngẫu nhiên đóng vai trò cực kỳ quan trọng, và việc đánh giá tính ngẫu nhiên theo thống kê là một yêu cầu cơ bản nhất trong quá trình đánh giá đó. NIST SP 800-22 đã được đưa ra và trở thành một công cụ hữu ích, phổ biến nhất cho việc đánh giá tính ngẫu nhiên theo thống kê đối với các bộ sinh trên. Tuy nhiên, cho đến nay dù được sử dụng khá rộng rãi nhưng vẫn còn những điểm bất cập trong bộ kiểm tra này, khi một số kiểm tra thống kê còn chưa chính xác. Trong nội dung của bài báo, chúng tôi sẽ đưa ra một góc nhìn chung về bộ kiểm tra tính ngẫu nhiên theo thống kê NIST SP 800-22 cho các bộ tạo số ngẫu nhiên và giả ngẫu nhiên, đồng thời trình bày các vấn đề còn tồn tại và đưa ra một vài lưu ý đối với việc sử dụng công cụ này.
17:00 | 17/12/2021
Hệ mật có xác thực AEGIS là một trong hai hệ mật được đánh giá cao nhất trong cuộc thi CAESAR[1] diễn ra trên toàn thế giới từ năm 2012 – 2019. Ngoài các ưu điểm của hệ mật đã được đánh giá trong cuộc thi thì hệ mật AEGIS cũng nổi bật về mặt thời gian thực thi trên thẻ thông minh so với các hệ mật khác như ACORN, ASCON, CLOC và MORUS [7][8]. Bài báo này sẽ giới thiệu hệ mật và cách triển khai hệ mật trên thẻ thông minh.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
