Trong suốt năm 2020, các doanh nghiệp nói chung đã phải đương đầu với những thách thức về CNTT. Họ phải gấp rút để thích nghi với sự thay đổi đột ngột để làm việc từ xa. Sau đó, họ phải điều hướng việc áp dụng nhanh chóng các công nghệ tự động hóa.
Và khi năm này kết thúc, nhiều doanh nghiệp bắt đầu cố gắng lắp ráp cơ sở hạ tầng an toàn cần thiết để trở lại một số hoạt động bình thường vào năm 2021.
Nhưng vào cuối năm, tin tức về một vụ vi phạm lớn của nhà cung cấp phần mềm giám sát CNTT SolarWinds đã giới thiệu một phức tạp mới – khả năng xảy ra làn sóng vi phạm dữ liệu thứ cấp và các cuộc tấn công mạng. Và bởi vì các sản phẩm của SolarWinds có mặt trong rất nhiều mạng lưới kinh doanh, nên quy mô của mối đe dọa là rất lớn.
Tuy nhiên, cho đến nay, hầu hết sự chú ý đang đổ dồn vào các doanh nghiệp lớn như Microsoft và Cisco (và Chính phủ Hoa Kỳ), những đối tượng chính của vụ vi phạm SolarWinds. Điều mà không ai nói đến là những người còn lại trong số 18.000 khách hàng của SolarWinds có thể đã bị ảnh hưởng. Đối với họ, đồng hồ đang tích tắc để thử và đánh giá nguy cơ bị tấn công và thực hiện các bước để bảo vệ bản thân.
Và bởi vì một số doanh nghiệp bị ảnh hưởng không có nguồn lực của các ông lớn, đó là một thứ tự cao ngay bây giờ.
Vì vậy, điều tốt nhất mà nhiều công ty có thể làm để hành động ngay bây giờ là biến mạng của họ trở thành mục tiêu khó hơn một chút – hoặc ít nhất là để giảm thiểu khả năng họ bị vi phạm lớn. Đây là cách thực hiện:
Bắt đầu với các bước bảo mật cơ bản
Điều đầu tiên mà các doanh nghiệp nên làm là đảm bảo rằng mạng của họ càng an toàn nội bộ càng tốt. Điều đó có nghĩa là cấu hình lại các tài sản mạng sao cho càng tách biệt càng tốt.
Một nơi tốt để bắt đầu là đảm bảo rằng bất kỳ hồ dữ liệu kinh doanh chính nào cũng tuân theo tất cả các phương pháp bảo mật tốt nhất và vẫn hoạt động tách biệt với nhau. Làm như vậy có thể hạn chế việc xâm nhập dữ liệu nếu người dùng trái phép có quyền truy cập do vi phạm bảo mật.
Nhưng đó chỉ là sự khởi đầu. Bước tiếp theo là phân đoạn phần cứng mạng thành các VLANS bảo mật hợp lý và dựng các hàng rào tường lửa để ngăn chặn giao tiếp giữa chúng (nếu có thể). Sau đó, xem lại cài đặt bảo mật của từng nhóm và thực hiện các điều chỉnh khi cần thiết. Cũng tăng cường hệ thống VoIP đáng làm, vì bạn không bao giờ biết phần nào của mạng sẽ được sử dụng làm điểm vào cho một cuộc tấn công rộng lớn hơn.
Và cuối cùng nhưng không kém phần quan trọng, hãy xem xét các thủ tục và quy trình bảo mật của nhân viên. Điều này đặc biệt quan trọng sau khi các chính sách làm việc tại nhà được triển khai gấp rút. Hãy để ý rằng mọi nhân viên đang hoạt động theo các tiêu chuẩn bảo mật đã thiết lập và không có bất kỳ thói quen bảo mật hoạt động kém nào. Ví dụ, có ai không bắt đầu sử dụng VPN miễn phí, tin rằng họ đang cải thiện an ninh mạng gia đình của họ?
Nếu vậy, họ cần dừng lại và được đào tạo để đưa ra các phán đoán bảo mật tốt hơn trong khi họ vẫn đang làm việc từ xa.
Tiến hành Kiểm tra Bảo mật Giới hạn
Một trong những vấn đề mà các doanh nghiệp gặp phải khi cố gắng bảo mật lại sau khi có thể xảy ra vi phạm mạng là không có cách nào dễ dàng để biết những gì – nếu có – những kẻ tấn công đã thay đổi sau khi có được quyền truy cập. Để chắc chắn, một cuộc khám nghiệm pháp y kéo dài và phức tạp là lựa chọn thực sự duy nhất. Nhưng điều đó có thể mất hàng tháng và có thể tốn rất nhiều tiền để tiến hành. Tuy nhiên, đối với các doanh nghiệp nhỏ hơn thậm chí không chắc chắn rằng vi phạm đã xảy ra với họ, có một cách tiếp cận tốt hơn.
Đó là lấy một mẫu hạn chế của các hệ thống có khả năng bị ảnh hưởng và tiến hành một cuộc kiểm toán hạn chế rủi ro đơn giản. Bắt đầu với ít nhất hai máy tính hoặc thiết bị đại diện từ mỗi đơn vị hoặc bộ phận kinh doanh. Sau đó, kiểm tra từng dấu hiệu của sự cố.
Nói chung, bạn sẽ tìm kiếm:
- Phần mềm chống vi-rút và bảo mật bị vô hiệu hóa hoặc thay đổi
- Các sự kiện nhật ký hệ thống bất thường
- Kết nối mạng đi không giải thích được
- Thiếu các bản vá bảo mật hoặc sự cố với cập nhật phần mềm tự động
- Cài đặt phần mềm không xác định hoặc không được phê duyệt
- Quyền đối với hệ thống tệp đã thay đổi
Mặc dù việc kiểm tra kiểu này sẽ không đảm bảo không có gì sai với mọi thiết bị trên mạng của bạn, nhưng nó sẽ phát hiện ra các dấu hiệu của bất kỳ sự xâm nhập lớn nào đã diễn ra. Đối với hầu hết các doanh nghiệp vừa và nhỏ, điều đó là đủ trong những tình huống không có bằng chứng rõ ràng về một cuộc tấn công đang hoạt động ngay từ đầu.
Tham gia vào các biện pháp phòng thủ
Sau khi xử lý mạng và người dùng, việc tiếp theo cần làm là triển khai một số biện pháp phòng thủ để giúp theo dõi liên tục và phát hiện tấn công. Một nơi tuyệt vời để bắt đầu là thiết lập một honeypot trong mạng để cung cấp cho những kẻ tấn công tiềm năng một mục tiêu không thể cưỡng lại. Điều này không chỉ giúp họ bận rộn theo dõi một hệ thống không phải là nhiệm vụ quan trọng mà còn đóng vai trò như một hệ thống cảnh báo sớm cho quản trị viên khi một cuộc tấn công thực sự xảy ra.
Có nhiều cách khác nhau để thực hiện điều này, từ hình ảnh hệ thống được xây dựng trước cho đến triển khai tùy chỉnh phức tạp hơn. Cũng có giải pháp đám mây có sẵn đối với các tình huống trong đó phần cứng tại chỗ không phù hợp hoặc không mong muốn. Điều quan trọng là phải xây dựng một hệ thống giám sát loại hành vi chính xác có thể chỉ ra một vấn đề trong môi trường của nó.
Tuy nhiên, một lời cảnh báo. Mặc dù honeypot được xây dựng để trở thành mục tiêu, nhưng điều đó không có nghĩa là nó hoàn toàn dễ bị tổn thương. Ý tưởng là biến nó thành một mục tiêu hấp dẫn, không phải là một mục tiêu dễ dàng. Và, điều quan trọng là phải đảm bảo rằng nó không thể được sử dụng làm bàn đạp cho một cuộc tấn công lớn hơn vào các hệ thống sản xuất thực tế.
Vì lý do đó, rất đáng để sử dụng dịch vụ của một chuyên gia an ninh mạng được đào tạo để giúp đảm bảo hệ thống không biến thành trách nhiệm bảo mật thay vì một biện pháp phòng thủ có giá trị.
Vẫn thận trọng
Sau khi thực hiện các bước trên, bạn không thể làm gì hơn ngoài việc chờ đợi và xem. Thật không may, không có cách nào tốt hơn để duy trì an ninh mạng bằng cách luôn cảnh giác. Và trong một tình huống như trường hợp bị tấn công bởi SolarWinds, nói chung, các doanh nghiệp và tổ chức CNTT đang gặp bất lợi đáng kể.
Đó là bởi vì họ đang đối mặt với kẻ thù có thể đã hoặc chưa có trong cổng, có nghĩa là họ không thể quay lại với các phương pháp tiếp cận an ninh vườn có tường bao quanh điển hình.
Vì vậy, khi năm 2021 đang được tiến hành, điều tốt nhất mà bất kỳ doanh nghiệp nào có thể làm là sắp xếp nhà an ninh của họ và cố gắng hạn chế thiệt hại nếu chúng đã bị vi phạm.
Nó đáng để nỗ lực hơn trong mọi trường hợp bởi vì môi trường đe dọa hiện tại sẽ chỉ trở nên tồi tệ hơn chứ không phải tốt hơn. Và vụ hack SolarWinds, nghiêm trọng và trên diện rộng, sẽ không phải là cuộc khủng hoảng bảo mật lớn cuối cùng mà các doanh nghiệp phải đối mặt.
Vì vậy, đã đến lúc thắt dây an toàn vì thập kỷ mới sẽ là một chặng đường dài, về mặt an ninh mạng – và bạn sẽ phải trả tiền để sẵn sàng cho nó.
