Kalantzis: Xếp hạng bảo mật đánh giá hiệu suất bảo mật của tổ chức rằng tổ chức đó bảo vệ thông tin tốt như thế nào đồng thời cung cấp các chỉ số về rủi ro nội bộ và bên thứ ba của họ, cho phép các công ty có khả năng nhanh chóng phục hồi hoạt động mạng.
Tương tự như trường hợp cơ quan báo cáo tín dụng tiêu dùng xem xét tài chính để chỉ định điểm tín dụng, thì các tổ chức xếp hạng bảo mật có cái nhìn “bên ngoài” về tình hình an ninh mạng của công ty và ấn định điểm bảo mật bằng cách đánh giá xem công ty có thể bảo vệ tài sản dữ liệu của mình trước nguy cơ xâm phạm dữ liệu như thế nào. Các tổ chức có xếp hạng bảo mật cao hơn có hồ sơ rủi ro thấp hơn và tổ chức có xếp hạng thấp cần giảm thiểu rủi ro tiềm ẩn để tăng điểm. Để chuyển hiệu quả bảo mật của tổ chức thành điểm số có thể định lượng, các tổ chức xếp hạng bảo mật sử dụng kết hợp các điểm dữ liệu được thu thập trực tiếp hoặc được mua từ các nguồn công cộng và tư nhân, sau đó áp dụng các thuật toán học máy.
Ví dụ: Tại SecurityScorecard, chúng tôi liên tục theo dõi 10 nhóm yếu tố rủi ro để đưa ra xếp hạng từ A đến F cho hơn 1.000 công ty hàng ngày. Các yếu tố rủi ro bao gồm bảo mật ứng dụng, bảo mật mạng, tình trạng DNS, biện pháp vá lỗi, bảo mật điểm cuối, danh tiếng IP, bảo mật ứng dụng web, điểm cubit, trò chuyện của hacker, thông tin đăng nhập bị rò rỉ và kỹ nghệ xã hội.
Sử dụng học máy, chúng tôi có thể tối ưu hóa mối tương quan giữa xếp hạng bảo mật của chúng tôi và khả năng xảy ra vi phạm dữ liệu tương đối. Điều này cung cấp điểm số với thông tin chi tiết về rủi ro có ý nghĩa hơn để người dùng của chúng tôi có thể đưa ra các quyết định kinh doanh và bảo mật thông minh hơn.
Kalantzis: Bảo mật là một bối cảnh luôn thay đổi và việc giám sát liên tục công việc an ninh mạng của một tổ chức và hệ sinh thái chuỗi cung ứng luôn luôn giữ vai trò quan trọng. Mặc dù phần lớn các vụ vi phạm dữ liệu doanh nghiệp hiện nay là do bên thứ ba (như cuộc tấn công SolarWinds gần đây và vụ vi phạm FireEye), hầu hết các nhóm bảo mật và rủi ro vẫn không có các công cụ cần thiết để liên tục theo dõi và cộng tác quản lý tình hình bảo mật của các nhà cung cấp và đối tác của họ.
Trên thực tế, trong thời gian gần đây, Cơ quan An ninh mạng và An ninh Thông tin (CISA) đã xác định xếp hạng bảo mật là một thước đo rủi ro mạng quan trọng như một phần của sáng kiến giảm thiểu rủi ro hệ thống mới của họ. Điều này rất quan trọng vì CISA được coi là “bộ phận an ninh mạng” và vai trò của nó là cung cấp các phương pháp tốt nhất hoặc “mức độ duy trì an ninh mạng tiêu chuẩn trên thực tế” cho các tổ chức, cụ thể là CSO, CISO và các đối tác của họ.
Công nghệ này cho phép các tổ chức giám sát tình hình an ninh mạng của họ một cách liên tục và có thể đảm bảo chủ động giải quyết rủi ro mạng nếu xuất hiện. Với việc tăng cường thông báo kịp thời của họ, các tổ chức có thể đưa ra các quyết định sáng suốt hơn và thực hiện trách nhiệm giải trình an ninh mạng phù hợp. Quan trọng nhất, xếp hạng bảo mật giúp các doanh nghiệp quản lý rủi ro của bên thứ ba, bằng cách cho phép họ xác định và giải quyết các lỗ hổng bảo mật mạng thích hợp trong hệ sinh thái của nhà cung cấp của họ.
Kalantzis: Các công ty bị thu hút bởi xếp hạng bảo mật vì chính lý do này. Bối cảnh mối đe dọa ngày càng phát triển và mở rộng thì yêu cầu giám sát liên tục tình trạng an ninh mạng của doanh nghiệp và đối tác để đảm bảo tuân thủ chính xác các quy định thay đổi.
Các doanh nghiệp có thể sử dụng nền tảng của chúng tôi để cho các kiểm toán viên thấy cách họ liên tục theo dõi sự tuân thủ và phát hiện những lỗ hổng tiềm ẩn với các nhiệm vụ hiện tại. Những thông tin tham chiếu của chúng tôi thực sự phản ánh các vấn đề liên quan đến các điểm kiểm tra cụ thể của các tiêu chuẩn bảo mật - bao gồm PCI, NIST, ISO, SIG, HIPAA và GDPR. Người dùng có thể chứng minh cách họ quản lý sự tuân thủ bằng cách sử dụng nền tảng để nắm bắt, báo cáo và khắc phục các rủi ro bảo mật của nhà cung cấp và đối tác theo thời gian thực.
PV: Xếp hạng bảo mật có thể giúp CISO thông báo các chiến lược an ninh mạng và rủi ro cho Hội đồng quản trị và doanh nghiệp được không?
Kalantzis: Các CISO và người quản lý bảo mật có thể sử dụng xếp hạng bảo mật để theo dõi hiệu quả của các quy trình và kiểm soát của họ theo thời gian, đánh giá hiệu suất của nhóm và hiển thị ROI của chi tiêu bảo mật ở cấp hội đồng quản trị. Họ có thể sử dụng xếp hạng bảo mật giữa các cuộc kiểm toán để chứng minh rằng các biện pháp an ninh mới hoạt động. Và với việc giám sát liên tục các lỗ hổng và tín hiệu rủi ro, ngay sau khi các biện pháp bảo vệ mới được tích hợp, công cụ phân tích dữ liệu sẽ hiệu chỉnh lại điểm số.
Hơn nữa, các doanh nghiệp thuê bên thứ ba có thể kết hợp đánh giá tương tự để có được niềm tin vào nhà cung cấp. Nếu nhà cung cấp của doanh nghiệp gặp rủi ro, thì khả năng cao là doanh nghiệp đang gặp rủi ro. Tuy nhiên, nếu doanh nghiệp không thể phá vỡ hợp đồng đó ngay lập tức, thì doanh nghiệp cần phải có ngay những phương án về bảo mật của tổ chức và khách hàng của doanh nghiệp. Sử dụng xếp hạng bảo mật cho phép CISO chứng minh sự thẩm định liên tục của họ với khách hàng, Hội đồng quản trị và cơ quan quản lý.
Quốc Trung (Tạp chí Security)
16:00 | 06/10/2020
10:00 | 07/06/2021
09:00 | 03/03/2023
Hệ thống mật mã RSA (thuật toán mã hóa khóa công khai, lược đồ chữ ký số) cũng như tất cả các nguyên thuỷ mật mã khác, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã trong hệ thống mật mã RSA là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ thống mật mã này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức, các nhà khoa học quan tâm nghiên cứu. Trong bài viết này chúng tôi tổng hợp và giới thiệu về các kết quả và dự đoán về khả năng thám mã RSA dựa trên phân tích RSA mô đun lô, các độ dài RSA mô đun lô hiện tại được cho là an toàn, từ đó đưa ra khuyến cáo về độ dài mô đun lô RSA dùng cho các ứng dụng bảo mật và an toàn thông tin.
16:00 | 30/11/2022
Ngày 23/4/2021, trên trang web của Hiệp hội mật mã thế giới xuất hiện bài báo “On One-way Functions from NP-Complete Problems” của Yanyi Liu và Rafael Pass [1]. Liu và Pass đã chứng minh rằng sự tồn tại của tất cả các hệ mật khóa công khai phụ thuộc vào một trong những câu hỏi lâu đời nhất của lý thuyết độ phức tạp tính toán. Trong bài báo này, tác giả sẽ giới thiệu nội dung bài viết của Erica Klarreich [2] bình luận về kết quả trong nghiên cứu [1] của Liu và Pass.
10:00 | 25/05/2021
Theo thông tin từ Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ), hoạt động cấp phép mật mã dân sự (MMDS) trong quý I/2021 tăng 15% so với cùng kỳ năm 2020.
10:00 | 22/01/2021
Theo báo cáo của Check Point (Israel), chỉ trong 2 tháng cuối năm 2020, các cuộc tấn công nhằm vào các bệnh viện và các tổ chức y tế, chăm sóc sức khỏe đã tăng 45%.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
