Tương lai của công việc là “ít hơn về một địa điểm và nhiều hơn về tiềm năng của mọi người”, một nghiên cứu gần đây của Accenture chỉ ra rằng, 63% các công ty tăng trưởng cao đã áp dụng “năng suất ở bất cứ đâu”.
Các tổ chức trên khắp thế giới đang nhanh chóng áp dụng mô hình lực lượng lao động kết hợp này, đặt các máy trạm của nhân viên ở rìa, vượt xa các “bức tường” của mạng lưới công ty truyền thống. Gần như tất cả các cam kết gần đây đều phản ánh thực tế này: máy trạm hiện là một trong những cách dễ nhất để kẻ tấn công xâm phạm danh tính, khởi chạy các cuộc tấn công ransomware, khai thác thông tin đăng nhập đặc quyền và bắt đầu chuyển sang các hệ thống CNTT nhạy cảm và thâm nhập dữ liệu bí mật.
Vào thời điểm các chuyên gia ứng phó sự cố tham gia, những kẻ tấn công đã sinh sôi nảy nở khắp môi trường. Nhiều tổ chức tin rằng việc triển khai các biện pháp bảo vệ an ninh điểm cuối trong một cuộc tấn công mạng giống như đặt cửa sổ bão vào ngôi nhà của bạn giữa cơn bão. Các cam kết dịch vụ khắc phục của chúng tôi đã liên tục nhận thấy rằng các tổ chức có thể đẩy nhanh nỗ lực khôi phục bằng cách triển khai các biện pháp kiểm soát Bảo mật Danh tính (CyberArk) nền tảng tại điểm cuối sau đây trước một cuộc tấn công không thể tránh khỏi. Các biện pháp kiểm soát nền tảng này bao gồm:
- Xóa quyền quản trị viên cục bộ. Tài khoản quản trị viên Microsoft Windows, macOS và Linux được sử dụng để cài đặt và cập nhật phần mềm máy trạm, định cấu hình cài đặt hệ thống và quản lý tài khoản người dùng. Những kẻ tấn công nhắm mục tiêu vào các tài khoản đặc quyền này để vô hiệu hóa phần mềm chống vi-rút hoặc các công cụ khôi phục sau thảm họa và khởi chạy ransomware và các loại phần mềm độc hại khác. Di chuyển quyền quản trị cục bộ ra khỏi người dùng tiêu chuẩn và vào một kho tiền kỹ thuật số an toàn với xoay vòng thông tin xác thực là bước nhanh nhất và đơn giản nhất để củng cố các máy trạm của nhân viên. Nó hạn chế đáng kể phạm vi tiếp cận của đối thủ, đồng thời giảm thiểu tác động của các lỗi nhân viên không chủ ý (nhưng không thể tránh khỏi), chẳng hạn như nhấp vào liên kết lừa đảo.
- Thực thi đặc quyền tối thiểu. Nhân viên thường có nhu cầu chính đáng để thực hiện một hành động yêu cầu các đặc quyền hành chính. Quyền truy cập đặc quyền tức thời cho phép nhân viên thực hiện một số tác vụ được chỉ định, dựa trên chính sách, vào đúng thời điểm vì lý do phù hợp – mà không yêu cầu hành động của người dùng cuối hoặc sự can thiệp của bộ phận trợ giúp có thể cản trở năng suất.
- Chính sách kiểm soát ứng dụng. Chặn ransomware và các cuộc tấn công khác tại điểm cuối đòi hỏi nhiều hơn là chỉ khả năng cho phép và từ chối các ứng dụng đã biết. Các tổ chức phải có khả năng:
-
- Các ứng dụng “Greylist”, chẳng hạn như sandbox một ứng dụng không xác định và cho phép nó chạy nhưng không truy cập internet để giảm rủi ro ransomware.
- Triển khai các chính sách có điều kiện nâng cao để nhân viên có thể sử dụng các ứng dụng đáng tin cậy một cách an toàn. Ví dụ: cho phép Excel chạy nhưng cấm nó khởi chạy PowerShell để bảo vệ chống lại phần mềm độc hại BazarBackdoor.
- Tạo các quy tắc toàn diện bao gồm các tệp thực thi cụ thể (tức là bằng cách xem xét hàm băm, tên tệp, đường dẫn tệp) cũng như các nhóm tệp thực thi (tức là các ứng dụng cho phép mặc định được ký bởi một nhà cung cấp cụ thể, có một tên sản phẩm cụ thể được liên kết với chúng và bắt nguồn từ một nguồn cập nhật đáng tin cậy được chỉ định).
- Bảo vệ thông tin đăng nhập được lưu trong bộ nhớ cache. Trộm cắp thông tin xác thực là lĩnh vực rủi ro số 1 đối với các tổ chức hiện nay. Nhiều ứng dụng kinh doanh phổ biến cho phép thông tin đăng nhập được lưu trữ trong bộ nhớ và nhiều trình duyệt web và trình quản lý mật khẩu lưu trữ ứng dụng và thông tin đăng nhập trang web cục bộ. Sau khi đăng nhập bằng các thông tin đăng nhập bị đánh cắp này, những kẻ tấn công cũng có thể cố gắng phá vỡ các giải pháp đăng nhập một lần (SSO). Vì các tác nhân đe dọa thường có thể truy xuất thông tin đăng nhập được lưu trong bộ nhớ cache mà không cần đặc quyền quản trị viên, nên việc có khả năng tự động phát hiện và chặn các nỗ lực thu thập thông tin xác thực là một lớp bảo mật điểm cuối quan trọng.
- Thiết lập bẫy. Và nói về phát hiện, các công cụ bảo vệ điểm cuối hỗ trợ chức năng lừa dối đặc quyền – chẳng hạn như có thể tạo các tài khoản đặc quyền “honeypot” giả mạo – có thể giúp gắn cờ những kẻ tấn công sẽ là kẻ tấn công ngay lập tức.
- Giám sát các hoạt động đặc quyền. Những kẻ tấn công thường trốn dưới radar, thăm dò phòng thủ và lên kế hoạch cho các bước di chuyển tiếp theo của chúng. Bằng cách chủ động giám sát hoạt động của máy trạm đặc quyền, các tổ chức có thể tự động xác định và ngăn chặn đối thủ trước khi họ có thể di chuyển ngang, leo thang đặc quyền và gây ra thiệt hại nghiêm trọng. Có hồ sơ đầy đủ về hoạt động của máy trạm đặc quyền cũng là chìa khóa trong việc hợp lý hóa các cuộc kiểm tra tuân thủ và tăng tốc độ điều tra pháp y.
Các máy trạm của nhân viên được bảo vệ không đầy đủ thể hiện một lỗ hổng bảo mật phổ biến – một lỗ hổng mà tôi đã thấy quá nhiều lần trong công việc ứng phó sự cố của mình. Nếu tôi có thể đưa ra một lời khuyên cho các tổ chức đang tìm cách tăng cường bảo mật chống lại ransomware và các cuộc tấn công gây tổn hại khác, thì đó là: đừng chờ đợi – hãy cư xử như thể bạn vừa bị vi phạm. Bằng cách làm theo các bước chính tập trung vào Bảo mật Danh tính (CyberArk) để giảm thiểu rủi ro, cũng như tách các máy trạm khỏi máy chủ và áp dụng chiến lược chuyên sâu về phòng thủ theo lớp, tổ chức của bạn sẽ được trang bị tốt hơn để cô lập hoạt động của kẻ tấn công, giảm thiểu tác động, giành lại quyền kiểm soát môi trường của bạn và khôi phục niềm tin một cách nhanh chóng và hiệu quả.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
