10 lời khuyên để giảm thiểu mối đe doạ an ninh nội bộ

909

Mối đe doạ nội bộ có thể gây rủi ro lớn hơn cho dữ liệu của công ty hơn các cuộc tấn công đến từ. Dưới đây là một số kỹ thuật giúp bạn phát hiện và giảm thiểu chúng càng nhanh càng tốt.

Một báo cáo gần đây được phát hành bởi Viện Critical Infrastructure Technology (ICIT) đã chỉ ra rằng hầu hết các sự cố cybersecurity (cố ý và tình cờ) là kết quả của một số hoạt động nội bộ.

Đầu năm nay, tôi đã giới thiệu một số cách để làm giảm nguy hiểm nội bộ. Là một người quan sát, tôi luôn muốn xem xét thêm các chiến lược có thể giúp người quản trị hệ thống nhanh chóng phát hiện và giảm nguy cơ rủi ro nội bộ – một yêu cầu quan trọng cho một thực  tế rằng một số vi phạm an ninh nội bộ đã không bị phát hiện ra trong 1 tuần, 1 tháng hay có thể là cả 1 năm.

Dưới đây là 10 lời khuyên để giảm thiểu mối đe doạ nội bộ.

1.Thành lập đội ngũ an ninh và phản ứng

Thậm chí nếu nó chỉ là 1 cá nhân, một đội ngũ chuyên dụng là điều cần thiết cho bảo mật thông tin. Nhóm này phải có trách nhiệm phát hiện, ngăn chặn và xử lý sự cố, cần phải có tài liệu, kế hoạch và thủ tục cho mỗi sự cố này. Đào tạo cho họ cũng như các nhân viên khác về an ninh để theo kịp trên các chiến thuật mới nhất cùng các mối đe dọa, đó là một yếu tố quan trọng trong việc xác định sớm các mối đe dọa.

  1. Sử dụng tài khoản tạm thời

Thiết lập cho các nhân viên của bên thứ ba (như các nhà thầu hoặc thực tập sinh) các tài khoản tạm thời. Với thời gian hiệu lực kết thúc vào ngày hết hạn hợp đồng hoặc dự án của họ. Điều này đảm bảo rằng các tài khoản này không thể tiếp cận khi các cá nhân rời đi. Bạn có thể gia hạn thêm thời gian tài khoản của họ nếu cần thiết.

  1. Tiến hành kiểm tra thường xuyên

Kiểm tra các tài khoản không sử dụng để vô hiệu hoá hoặc gỡ bỏ chúng nếu có thể

Cách đơn giản nhất là dùng lệnh ”dsquery” trên Windows Active Directory Domain Controller.

Giả sử bạn có một domain tên là company.com và bạn muốn kiểm tra tài khoản không được sử dụng trong 12 tuần vừa rồi. Gõ:

dsquery user dc=company,dc=com -inactive 12

Bạn có thể kiểm tra rõ ràng OU bằng cách chỉnh sửa lệnh trên. Ví dụ: Nếu tài khoản người dùng được lưu trữ tại CompanyUsers OU, bạn chỉ cần:

dsquery user ou=CompanyUsers,dc=company,dc=com -inactive 12

Bạn cũng có thể dẫn nó đến một tập tin văn bản nếu bạn muốn đề cập đến nó hoặc ghi lại tài liệu của bạn:

dsquery user ou=CompanyUsers,dc=company,dc=com -inactive 12 >> c:inactive.txt
  1. Thực hiện nguyên tắc chấm dứt hợp đồng một cách cẩn thận.

Xoá quyền truy cập và vô hiệu hóa tài khoản càng sớm càng tốt khi nhân viên rời đi. HR và nhân viên nên tiếp xúc trực tiếp với các tài khoản khi nhân viên rời khỏi hoặc có một kế hoạch từ trước. Nhiều công ty tài chính cảnh báo với nhân viên IT trước về kế hoạch chấm dứt những nhân viên chủ chốt, để truy cập bị chặn lại khi họ chỉ vừa bước ra khỏi cửa.

  1. Xác định nhân viên không hài lòng

Nhân viên bất mãn có nhiều khả năng đưa ra mối đe dọa nội bộ với mong muốn để trả thù, một kế hoạch để ăn cắp dữ liệu và bán cho các đối thủ cạnh tranh, hoặc chỉ là sự tham. Không chỉ phải theo dõi, bạn nên nỗ lực để giảm bớt nguồn gốc của việc không hài lòng của họ, để cải thiện tình hình.

  1. Sử dụng xác thực 2 lần

Thường được mô tả như là “một cái gì đó bạn có và một cái gì đó bạn có biết”, ví dụ phổ biến nhất là sử dụng một RSA token mà hiển thị một chuỗi quay số mà bao gồm một mã xác thực. Người dùng cần phải gõ mật khẩu hoặc mã PIN thay đổi liên tục để được truy cập vào một hệ thống, vì vậy bất cứ ai có được mật khẩu hoặc token (nhưng không phải cả hai) sẽ bị chặn.

  1. Sử dụng mã hoá các dữ liệu

Cái này rất đơn giản; dữ liệu mã hóa sử dụng bất cứ phần mềm hoặc phần cứng công nghệ phù hợp với bạn, và chắc chắn rằng nó được lưu trữ hoặc chuyển đổi trên mạng. Bằng cách đó, nếu ai đó đang hack lưu lượng truy cập, đánh cắp một ổ cứng từ máy chủ, hoặc có được file sao lưu họ sẽ không thể có được các dữ liệu liên quan.

  1. Xem xét sản phẩm của bên thứ 3

Một trong những loại sản phẩm mà có thể giúp quản lý là giải pháp nhận dạng, nó có thể cung cấp các quyền truy cập qua việc nhận dạng cá nhân.

Công tác phòng chống mất mát dữ liệu và giám sát hoạt động của người dùng của được tham chiếu trong báo cáo của ICIT là hai giải pháp quan trọng để giảm thiểu rủi ro nội bộ.

Theo kinh nghiệm, một sản phẩm như Tripwire cũng có thể là một món quà ở đây. Tripwire kiểm soát hệ thống và thông báo cho bạn khi có thay đổi bất kỳ yếu tố nào trên chúng, chẳng hạn như một tập tin mật khẩu, một bảng tính bí mật hoặc một khoá SSH. Bây giờ, nhiều tập tin có thể và thay đổi mỗi ngày, vì vậy có thể có một tỉ lệ cao các tín hiệu nhiễu lúc đầu, nhưng bạn sẽ có thể để lọc ra các hoạt động bình thường từ các hoạt động bất thường sau khi thiết lập các cơ sở mẫu của các hoạt động để phát hiện các hành vi đáng ngờ.

  1. Đừng quên bảo vệ từ phía ngoài

Còn nhớ bộ phim “When a Stanger Call”? Trong phim một người giữ trẻ giữ nhận được cuộc gọi điện thoại đe dọa và có cảnh sát theo dõi họ, sau đó đã nói, “chúng tôi đã tìm ra… cuộc gọi nó đến từ bên trong nhà!” Bạn có thể tranh luận rằng điều này là mối đe dọa nội bộ cuối cùng, nhưng phải luôn suy nghĩ rằng các đối thủ đã trà trộn vào bằng cách nào đó. Đừng nghĩ rằng bạn chỉ bảo vệ phần mạng nội bộ; tập trung các sáng kiến an ninh và các nỗ lực trên tất cả các thiết bị bên ngoài.

  1. Hãy xem xét đầu tư vào các sản phẩm và đội ngũ nhân viên nhiều, hơn chỉ là “bảo hiểm”

Đây thực sự là một suy nghĩ hơn là một lời khuyên, nhưng nó có giá trị thảo luận. Quá nhiều giám đốc điều hành dường như nghĩ rằng các sản phẩm an ninh là chỉ bảo hiểm, họ phải trả tiền cho nó hoặc nếu không thì điều gì tồi tệ có thể xảy ra. Đó là cách tiếp cận sai lầm và có thể ảnh hưởng ngân sách. Chắc chắn chúng tôi không xem cảnh sát như một sự lãng phí trong ngân sách thành phố, đặc biệt là khi chúng tôi cần sự giúp đỡ của họ.

Nhiều công nghệ và sản phẩm tôi đã thảo luận rằng có thể làm nhiều hơn là chỉ cung cấp bảo mật. Ví dụ như Splunk,có thể gửi các thông báo liên quan đến tất cả các loại vấn đề hệ thống như sự hư hại phần cứng hoặc khả năng vượt quá ngưỡng. Thực hiện tốt về bảo mật có thể làm giảm giám sát (hoặc hình phạt) từ kiểm toán cho công ty. Và điều quan trọng là hãy nhớ rằng chi tiêu một chút (hoặc nhiều) về bảo mật có thể giúp ngăn ngừa các chi phí lớn hơn xuất hiện, chẳng hạn như doanh thu bị mất trong sự phát tán dữ liệu công cộng.

Nguồn: techrepublic.com