Ảnh TL minh họa

Nghiên cứu của Fortinet cho thấy khoảng hai phần ba các tổ chức hiện nay coi mối đe dọa nội bộ là vấn đề lớn hơn so với các cuộc tấn công từ bên ngoài. Các công ty dịch vụ tài chính đặc biệt dễ chịu ảnh hưởng do họ sở hữu nhiều thông tin tài chính hay dữ liệu cá nhân có giá trị bán lại rất cao trên thị trường “chợ đen”. Bởi vậy thực tế là ngành dịch vụ tài chính đã và đang phải đối mặt với nhiều vi phạm do mối đe dọa nội bộ lớn hơn nhiều nhóm ngành khác.

Các mối đe dọa nội bộ là gì?

Xét trên quan điểm bảo mật thì gần như bất kỳ ai cũng có thể trở thành mối đe dọa nội bộ và có thể chia các mối đe dọa thành ba dạng chính như sau:

• Mối đe dọa nội bộ vô ý: Các mối đe dọa nội bộ vô ý xảy ra do hành vi thiếu cẩn trọng tạo điều kiện cho tội phạm mạng có cơ hội tấn công. Đó có thể là một nhân viên sơ ý nhấp vào một email giả mạo, vô tình phát tán mã độc hại khắp hệ thống mạng; có thể là một nhân viên sử dụng mật khẩu với độ bảo mật thấp dễ đoán biết; hay một nhân viên IT chủ quan chưa kịp thời cập nhật vá bảo mật, cấu hình sai một bộ phận trong hệ thống, hoặc quên thay đổi mật khẩu mặc định cho một thiết bị của công ty…

• Mối đe dọa nội bộ cố ý: Những kẻ nội gián có động cơ đằng sau việc lục lọi khắp hệ thống và lấy trộm dữ liệu. Đó có thể là những nhân viên bất mãn hay những kẻ được trả tiền để xâm nhập vào hệ thống hoặc lợi dụng vị trí trong tổ chức để thực hiện hành vi phá hoại. Các ngân hàng hoặc tổ chức tài chính nơi cất giữ tiền bạc và nhiều thông tin cá nhân quan trọng của khách hàng nên cẩn trọng với dạng đe dọa này.

• Mối đe dọa từ nhân viên làm việc từ xa: Hình thức làm việc từ xa đã có từ nhiều thập kỷ, nhưng khi cần thực hiện giãn cách để chống dịch, số lượng nhân viên làm việc tại nhà tăng lên thì rủi ro cũng sẽ tăng. Ngoài việc kết nối vào hệ thống mạng của tổ chức thông qua mạng công cộng hoặc mạng tại nhà không an toàn, những nhân viên này cũng có thể đang sử dụng các thiết bị cá nhân không phải do đội ngũ CNTT cung cấp, cấu hình và bảo mật. Tất cả đều gia tăng nguy cơ.

Quản lý rủi ro từ các mối đe dọa nội bộ

Việc xử lý các mối đe dọa từ đội ngũ làm việc từ xa trong lĩnh vực Tài chính là rất khó khăn. Fortinet đưa ra đề xuất 6 hành động có thể giúp bảo mật cho nhân sự làm việc từ xa:

1. Bảo mật các kết nối truy cập từ xa: Cần mã hóa dữ liệu đang sử dụng.Tiêu chuẩn SSL và giao thức IPSec VPN nên được áp dụng đồng thời với hệ thống xác thực mạnh mẽ khi kết nối những người dùng từ xa vào hệ thống mạng và cho phép họ truy cập dữ liệu. Ngoài ra, nên kiểm tra lưu lượng được mã hóa, do các cổng VPN có thể được sử dụng để vận chuyển mã độc và các dữ liệu tài chính không bị phát hiện một cách dễ dàng giống như đối với lượng truy cập hợp pháp. Điều này sẽ đòi hỏi việc triển khai một giải pháp tường lửa thế hệ mới được thiết kế để quản lý các yêu cầu về quy mô và hiệu suất cho các hoạt động kiểm tra như vậy.

2. Mã hóa dữ liệu không sử dụng: Tất cả dữ liệu nhạy cảm, bao gồm cả thông tin được lưu trữ trong thiết bị của nhân viên, đều cần được mã hóa. Nếu điều đó không thực hiện được, các tổ chức tài chính – tín dụng phải đảm bảo việc nhân viên làm việc từ xa không lưu trữ dữ liệu trên các thiết bị cá nhân.

3. Kiểm soát truy cập và hiển thị: Đội ngũ IT cần sự hỗ trợ tối đa để kiểm soát và đảm bảo các nhân sự và ứng dụng đang truy cập mạng ở đúng mức độ cho phép. Công nghệ Kiểm soát truy cập mạng và truy cập Zero-touch là những giải pháp thiết yếu cần được khuyến nghị áp dụng.

4. Ưu tiên bảo mật các thiết bị đầu cuối: Các thiết bị đầu cuối chính là con đường tấn công thông dụng, và bởi vậy chúng phải được kiểm tra thường xuyên nhằm phát hiện những lỗ hổng an ninh và các mối đe dọa nâng cao. Các thiết bị này cũng phải được cài đặt những giải pháp bảo mật nâng cao, ví dụ như giải pháp phát hiện và phản hồi điểm cuối (EDR) cung cấp khả năng bảo vệ trong thời gian thực chống lại mã độc và các hành vi xâm phạm. Những giải pháp này đồng thời nên được kết hợp trong một hệ thống an ninh mạng toàn diện có thể tự động phát hiện, ứng phó và xử lý các sự cố, từ đó bảo vệ dữ liệu, giảm thời gian ngừng hoạt động của hệ thống và đảm bảo hoạt động kinh doanh liên tục.

5. Giám sát hoạt động bất thường: Sử dụng các công nghệ SIEM và SOAR để giám sát và cảnh báo những nỗ lực đăng nhập bất thường hay dấu hiệu dịch chuyển lượng dữ liệu lớn hoặc các hành vi bất thường khác.

6. Nâng cao ý thức bảo mật cho đội ngũ làm việc từ xa: Các chính sách bảo mật đặc biệt dành cho mô hình làm việc từ xa nên được truyền thông tới bất cứ nhân sự nào làm việc tại nhà hoặc các địa điểm từ xa khác. Nhân sự của ngành tài chính – hơn ai hết cần tập trung cảnh giác trước các phương thức tấn công phi kỹ thuật như các hình thức tấn công giả mạo, lừa đảo qua tin nhắn, lừa đảo bằng giọng nói…

Giải quyết các mối đe dọa nội bộ rất quan trọng trong việc đảm bảo kinh doanh liên tục, đặc biệt là đối với các tổ chức tài chính – tín dụng. Trong khi nhiều biện pháp kiểm soát an ninh đã được thiết lập nhằm ngăn cản tội phạm mạng từ bên ngoài, các phương thức bảo vệ truyền thống không phải lúc nào cũng xem xét cả các mối đe dọa vốn đã tồn tại bên trong môi trường doanh nghiệp. Bằng việc thấu hiểu các dạng đe dọa nội bộ đã xuất hiện và thực hiện theo 6 hàng động như Fortinet khuyến cáo, các tổ chức có thể tăng cường năng lực bảo vệ hệ thống mạng, khách hàng và nhân viên của mình trong giai đoạn triển khai làm việc một phần hoặc hoàn toàn từ xa../.

T.L