Kalantzis: Xếp hạng bảo mật đánh giá hiệu suất bảo mật của tổ chức rằng tổ chức đó bảo vệ thông tin tốt như thế nào đồng thời cung cấp các chỉ số về rủi ro nội bộ và bên thứ ba của họ, cho phép các công ty có khả năng nhanh chóng phục hồi hoạt động mạng.
Tương tự như trường hợp cơ quan báo cáo tín dụng tiêu dùng xem xét tài chính để chỉ định điểm tín dụng, thì các tổ chức xếp hạng bảo mật có cái nhìn “bên ngoài” về tình hình an ninh mạng của công ty và ấn định điểm bảo mật bằng cách đánh giá xem công ty có thể bảo vệ tài sản dữ liệu của mình trước nguy cơ xâm phạm dữ liệu như thế nào. Các tổ chức có xếp hạng bảo mật cao hơn có hồ sơ rủi ro thấp hơn và tổ chức có xếp hạng thấp cần giảm thiểu rủi ro tiềm ẩn để tăng điểm. Để chuyển hiệu quả bảo mật của tổ chức thành điểm số có thể định lượng, các tổ chức xếp hạng bảo mật sử dụng kết hợp các điểm dữ liệu được thu thập trực tiếp hoặc được mua từ các nguồn công cộng và tư nhân, sau đó áp dụng các thuật toán học máy.
Ví dụ: Tại SecurityScorecard, chúng tôi liên tục theo dõi 10 nhóm yếu tố rủi ro để đưa ra xếp hạng từ A đến F cho hơn 1.000 công ty hàng ngày. Các yếu tố rủi ro bao gồm bảo mật ứng dụng, bảo mật mạng, tình trạng DNS, biện pháp vá lỗi, bảo mật điểm cuối, danh tiếng IP, bảo mật ứng dụng web, điểm cubit, trò chuyện của hacker, thông tin đăng nhập bị rò rỉ và kỹ nghệ xã hội.
Sử dụng học máy, chúng tôi có thể tối ưu hóa mối tương quan giữa xếp hạng bảo mật của chúng tôi và khả năng xảy ra vi phạm dữ liệu tương đối. Điều này cung cấp điểm số với thông tin chi tiết về rủi ro có ý nghĩa hơn để người dùng của chúng tôi có thể đưa ra các quyết định kinh doanh và bảo mật thông minh hơn.
Kalantzis: Bảo mật là một bối cảnh luôn thay đổi và việc giám sát liên tục công việc an ninh mạng của một tổ chức và hệ sinh thái chuỗi cung ứng luôn luôn giữ vai trò quan trọng. Mặc dù phần lớn các vụ vi phạm dữ liệu doanh nghiệp hiện nay là do bên thứ ba (như cuộc tấn công SolarWinds gần đây và vụ vi phạm FireEye), hầu hết các nhóm bảo mật và rủi ro vẫn không có các công cụ cần thiết để liên tục theo dõi và cộng tác quản lý tình hình bảo mật của các nhà cung cấp và đối tác của họ.
Trên thực tế, trong thời gian gần đây, Cơ quan An ninh mạng và An ninh Thông tin (CISA) đã xác định xếp hạng bảo mật là một thước đo rủi ro mạng quan trọng như một phần của sáng kiến giảm thiểu rủi ro hệ thống mới của họ. Điều này rất quan trọng vì CISA được coi là “bộ phận an ninh mạng” và vai trò của nó là cung cấp các phương pháp tốt nhất hoặc “mức độ duy trì an ninh mạng tiêu chuẩn trên thực tế” cho các tổ chức, cụ thể là CSO, CISO và các đối tác của họ.
Công nghệ này cho phép các tổ chức giám sát tình hình an ninh mạng của họ một cách liên tục và có thể đảm bảo chủ động giải quyết rủi ro mạng nếu xuất hiện. Với việc tăng cường thông báo kịp thời của họ, các tổ chức có thể đưa ra các quyết định sáng suốt hơn và thực hiện trách nhiệm giải trình an ninh mạng phù hợp. Quan trọng nhất, xếp hạng bảo mật giúp các doanh nghiệp quản lý rủi ro của bên thứ ba, bằng cách cho phép họ xác định và giải quyết các lỗ hổng bảo mật mạng thích hợp trong hệ sinh thái của nhà cung cấp của họ.
Kalantzis: Các công ty bị thu hút bởi xếp hạng bảo mật vì chính lý do này. Bối cảnh mối đe dọa ngày càng phát triển và mở rộng thì yêu cầu giám sát liên tục tình trạng an ninh mạng của doanh nghiệp và đối tác để đảm bảo tuân thủ chính xác các quy định thay đổi.
Các doanh nghiệp có thể sử dụng nền tảng của chúng tôi để cho các kiểm toán viên thấy cách họ liên tục theo dõi sự tuân thủ và phát hiện những lỗ hổng tiềm ẩn với các nhiệm vụ hiện tại. Những thông tin tham chiếu của chúng tôi thực sự phản ánh các vấn đề liên quan đến các điểm kiểm tra cụ thể của các tiêu chuẩn bảo mật - bao gồm PCI, NIST, ISO, SIG, HIPAA và GDPR. Người dùng có thể chứng minh cách họ quản lý sự tuân thủ bằng cách sử dụng nền tảng để nắm bắt, báo cáo và khắc phục các rủi ro bảo mật của nhà cung cấp và đối tác theo thời gian thực.
PV: Xếp hạng bảo mật có thể giúp CISO thông báo các chiến lược an ninh mạng và rủi ro cho Hội đồng quản trị và doanh nghiệp được không?
Kalantzis: Các CISO và người quản lý bảo mật có thể sử dụng xếp hạng bảo mật để theo dõi hiệu quả của các quy trình và kiểm soát của họ theo thời gian, đánh giá hiệu suất của nhóm và hiển thị ROI của chi tiêu bảo mật ở cấp hội đồng quản trị. Họ có thể sử dụng xếp hạng bảo mật giữa các cuộc kiểm toán để chứng minh rằng các biện pháp an ninh mới hoạt động. Và với việc giám sát liên tục các lỗ hổng và tín hiệu rủi ro, ngay sau khi các biện pháp bảo vệ mới được tích hợp, công cụ phân tích dữ liệu sẽ hiệu chỉnh lại điểm số.
Hơn nữa, các doanh nghiệp thuê bên thứ ba có thể kết hợp đánh giá tương tự để có được niềm tin vào nhà cung cấp. Nếu nhà cung cấp của doanh nghiệp gặp rủi ro, thì khả năng cao là doanh nghiệp đang gặp rủi ro. Tuy nhiên, nếu doanh nghiệp không thể phá vỡ hợp đồng đó ngay lập tức, thì doanh nghiệp cần phải có ngay những phương án về bảo mật của tổ chức và khách hàng của doanh nghiệp. Sử dụng xếp hạng bảo mật cho phép CISO chứng minh sự thẩm định liên tục của họ với khách hàng, Hội đồng quản trị và cơ quan quản lý.
Quốc Trung (Tạp chí Security)
16:00 | 06/10/2020
10:00 | 07/06/2021
10:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
09:00 | 10/07/2023
“Hầu hết chúng ta đều nhớ Y2K, sự hoảng loạn đã bao trùm những năm cuối cùng của thiên niên kỷ trước. Cả thế giới lo sợ rằng, khi đồng hồ quay ngược từ năm 1999 sang năm 2000, các hệ thống kỹ thuật số chi phối cuộc sống của chúng ta sẽ sụp đổ. Khủng hoảng đã được ngăn chặn 22 năm trước nhưng bây giờ chúng ta phải tránh một cuộc khủng hoảng khác. Gọi nó là “YQK” ngoại trừ lần này, chữ 'Q' là viết tắt của 'lượng tử'.
10:00 | 14/04/2023
Sau 5 năm ban hành và triển khai, Nghị định số 53/2018/NĐ-CP ngày 16/4/2018 của Chính phủ sửa đổi, bổ sung Nghị định số 58/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự đã cho thấy nhiều bất cập cần sửa đổi, bổ sung.
23:00 | 02/09/2022
Trong các ứng dụng mật mã, việc đánh giá chất lượng của bộ sinh số ngẫu nhiên và giả ngẫu nhiên đóng vai trò cực kỳ quan trọng, và việc đánh giá tính ngẫu nhiên theo thống kê là một yêu cầu cơ bản nhất trong quá trình đánh giá đó. NIST SP 800-22 đã được đưa ra và trở thành một công cụ hữu ích, phổ biến nhất cho việc đánh giá tính ngẫu nhiên theo thống kê đối với các bộ sinh trên. Tuy nhiên, cho đến nay dù được sử dụng khá rộng rãi nhưng vẫn còn những điểm bất cập trong bộ kiểm tra này, khi một số kiểm tra thống kê còn chưa chính xác. Trong nội dung của bài báo, chúng tôi sẽ đưa ra một góc nhìn chung về bộ kiểm tra tính ngẫu nhiên theo thống kê NIST SP 800-22 cho các bộ tạo số ngẫu nhiên và giả ngẫu nhiên, đồng thời trình bày các vấn đề còn tồn tại và đưa ra một vài lưu ý đối với việc sử dụng công cụ này.