Bạn đã dành cả buổi chiều để cắt cỏ làm đẹp cho sân trước của mình. Nhưng trong vòng một giờ, ba đứa trẻ, hàng xóm của bạn và anh chàng shipper đều lần lượt dẫm nát nó để đến cửa nhà bạn, mặc dù đã cắm biển báo KEEP OFF ở giữa bãi cỏ. Vì vậy, bạn có cắm hai dấu hiệu… rồi ba… rồi bốn… cũng chỉ một kết quả.
Các nhóm bảo mật CNTT của doanh nghiệp có thể gặp phải trường hợp tương tự khi làm việc để quản lý danh tính và bảo vệ quyền truy cập đặc quyền trên các khu CNTT kết hợp đang ngày càng mở rộng đó.
Các rào cản logic và vật lý đơn giản không thể ngăn những kẻ tấn công mạng xâm nhập vào mạng lưới. Những dấu hiệu cảnh báo đã không ngừng những người lao động chỉ muốn: Làm. Cho. Xong. Việc. Để nhìn lại phép ẩn dụ về sân cỏ, các dấu hiệu đe dọa đã không giữ chân vị khách không mời khỏi bãi cỏ của bạn. Vậy bạn có thể làm gì? Dừng cắm bảng đuổi đi, chủ động và toàn diện hơn về chế độ chăm sóc cỏ – Bảo mật danh tính của bạn.
Suy nghĩ lại về ai cùng cái gì cần đến và đi. Bạn muốn những con ong mật len lỏi qua những bụi hoa hồng quý giá của bạn. Những chú thỏ được chào đón đến bất cứ lúc nào, miễn là chúng ở ngoài khu vườn. Nhưng mấy con chuột chũi trốn nhui trốn nhủi dưới lòng đất? Không. Vấn đề là những sinh vật này không thể đọc các biển cấm của bạn.
Khái niệm “danh tính” đã phát triển. Trước đây, thật dễ dàng để xác định một nhóm quản trị viên CNTT cần quyền truy cập đặc quyền. Đã từng có thời gian, những người dùng này làm việc trong các văn phòng chuyên dụng được bảo vệ bởi tường vật lý và tường lửa. Nhưng ngày nay, nhiều người không sử dụng CNTT có quyền truy cập trực tiếp vào dữ liệu và hệ thống riêng tư, thường thông qua các ứng dụng web mà họ truy cập từ nhiều thiết bị và vị trí. “Danh tính” cũng bao hàm điều phi logic: nó không chỉ là để bảo vệ quyền truy cập của con người. Trong môi trường chu vi bằng không, danh tính máy cần được bảo vệ; ứng dụng phải được xác thực; và bí mật DevOps phải được quản lý an toàn. Trong bối cảnh này, bất kỳ danh tính nào – con người hay máy móc – đều có thể trở thành đặc quyền trong một số trường hợp nhất định.
Những cân nhắc này yêu cầu kiểm soát sâu hơn về phòng thủ chi tiết hơn đối với danh tính cá nhân. Bước đầu tiên cần thiết là hợp nhất các cơ chế xác thực mạnh – chẳng hạn như đăng nhập một lần thích ứng (SSO) và xác thực đa yếu tố (MFA) – với Quản lý truy cập đặc quyền (PAM) để thực thi nhất quán các biện pháp kiểm soát bảo mật đặc quyền ít nhất trên tất cả danh tính, thiết bị và Tài sản CNTT.
Hãy nhớ “các quy tắc” của bạn đôi khi thay đổi. Con chó hàng xóm của bạn là một mối đe dọa đào lỗ và thường bị chặn khỏi sân của bạn. Nhưng chủ của nó là những người bạn tuyệt vời, những người thường ghé qua, đôi khi đưa chó của chúng đến để chơi với bạn. Vì vậy, cho dù bạn muốn hay không, đôi khi “quyền truy cập” của con chó láng giềng vào sân của bạn sẽ thay đổi.
Các quy trình bảo mật CNTT phải năng động như các quy trình CNTT mà chúng hướng tới để bảo vệ. Ví dụ: cung cấp quyền truy cập đúng lúc (JIT) giúp bạn có thể cấp quyền truy cập nâng cao danh tính cho chỉ tài nguyên phù hợp, vào đúng thời điểm – khiến nó trở thành nền tảng của các sáng kiến truy cập Zero Trust. Quyền truy cập JIT có thể đặc biệt hữu ích trong các môi trường đám mây và hỗn hợp: bằng cách sử dụng các chính sách kiểm soát truy cập dựa trên thuộc tính (ABAC) từ các nhà cung cấp đám mây công cộng, các khả năng của JIT có thể cung cấp quyền truy cập một cách thông minh chỉ vào cơ sở hạ tầng được chỉ định với một thẻ cụ thể.
Các giải pháp cung cấp các biện pháp kiểm soát Bảo mật danh tính chi tiết cho tất cả các hình thức truy cập – được chia sẻ và liên kết, thường trực và đúng lúc – có thể giúp nâng cao hiệu quả hoạt động cho các chương trình bảo mật. Khi kết hợp với phân tích dựa trên hành vi, chúng có thể giúp loại bỏ các bước xác thực không cần thiết để tối ưu hóa trải nghiệm người dùng cho tất cả danh tính con người – nhân viên nội bộ và bên thứ ba bên ngoài.
Dự đoán các khu vực có lượng người qua lại cao trong sân của bạn. Hãy dành phần lớn thời gian và ngân sách của Home Depot để củng cố cỏ ở những phần này để làm cho cỏ dẻo dai hơn.
Một ví dụ về an ninh mạng chính: những kẻ tấn công tìm kiếm những người dùng có đặc quyền, không chỉ quản trị viên CNTT mà còn cả các nhà phát triển và người dùng doanh nghiệp khác có mức độ truy cập cao, như một con đường ít bị kháng cự nhất. Điều quan trọng trước tiên là xác định các bên nội bộ và bên ngoài liên quan trực tiếp đến hệ thống và dữ liệu có giá trị của công ty. Sau đó, tập trung vào việc tăng cường bảo vệ xung quanh những người dùng đặc quyền này với quản lý thông tin xác thực dựa trên rủi ro và kiểm soát quản lý phiên, đào tạo về an ninh mạng được nhắm mục tiêu và các cân nhắc về Quản lý truy cập đặc quyền khác.
Tăng cường bãi cỏ của bạn từ gốc rễ bằng cách bón phân, làm giảm lớp cỏ và xới cỏ trên cao.
Duy trì một hệ thống gốc khỏe mạnh cũng giống như bảo vệ một môi trường CNTT. Ở quy mô doanh nghiệp, Identity Security phải chuyên sâu về quốc phòng. Có những thực tiễn cơ bản về an ninh mạng mà bạn không thể bỏ qua, chẳng hạn như khóa các điểm cuối – từ máy trạm của nhân viên đến máy chủ – bằng cách xóa quyền quản trị cục bộ hoặc thêm các chính sách kiểm soát ứng dụng và bảo vệ máy ảo đánh cắp thông tin xác thực để chặn những kẻ tấn công đạt được mục tiêu của chúng.
Đánh giá lại cảnh quan liên tục. Có thể năm ngoái hệ thống lưới hàng rào và vườn của bạn hoạt động tốt, nhưng mùa xuân năm nay, chồn hôi đã tìm ra những cách mới và đang đào lỗ khắp nơi để tìm kiếm những con nhộng ngon.
Các biện pháp kiểm soát bảo mật mà bạn đã triển khai cách đây ba năm có thể không phù hợp để xử lý bối cảnh CNTT hỗn hợp của bạn ngày nay. Xây dựng trong các quy trình cho phép bạn liên tục đánh giá lại các chính sách và cân nhắc về Bảo mật danh tính cho tất cả danh tính – từ nhân viên mới đến nhà cung cấp bên thứ ba không hoạt động – trên các hệ thống tại chỗ, SaaS và môi trường đám mây công cộng. Nếu không, bạn có thể nhanh chóng tìm thấy nhiều kẻ xâm nhập đang đào bới xung quanh.
Đem về cuối tuần cho bạn. Bạn muốn có một bãi cỏ nguyên sơ, khỏe mạnh. Nhưng bạn không muốn dành thời gian rảnh để đẩy máy cắt cỏ và canh chừng trước hiên nhà. Tìm cách làm cho cuộc sống dễ dàng hơn bằng cách tự động hóa công việc khó khăn: hướng camera lên luống hoa của bạn, lắp đặt hệ thống tưới — bạn sẽ tiết kiệm thời gian và tài nguyên về lâu dài.
Bảo mật toàn diện không có nghĩa là phải làm việc nhiều hơn. Tìm kiếm mọi cơ hội để tự động hóa các tác vụ bảo mật thủ công, tốn nhiều thời gian. Tương tự, đưa khả năng phát hiện mối đe dọa vào màn hình đầu tiên có thể tự động cảnh báo về hành vi nguy hiểm như nỗ lực đăng nhập bất thường, nhập lệnh nhạy cảm trong phiên đặc quyền hoặc tạo tài khoản IAM đám mây mới với đặc quyền quản trị. Các quy trình này có thể giúp giữ cho chương trình và nhóm Bảo mật danh tính của bạn tập trung và hiệu quả.
Trong bối cảnh đang thay đổi, hãy tránh “rạp hát an ninh”. Việc đặt thêm biển báo trong sân của bạn sẽ không thay đổi hành vi – cũng như việc đảm bảo danh tính và quản lý quyền truy cập đặc quyền không thể mang tính phản ứng hoặc từng phần. Nó phải được tiếp cận như một nỗ lực tổng thể với triết lý nhất quán bao gồm tất cả các bản sắc, từ điểm cuối đến đám mây, trong suốt vòng đời của chúng. Nếu không, bạn cũng có thể hét lên “Ra khỏi bãi cỏ của tôi!” trên màn hình máy tính của bạn.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.cyberark.com/resources/blog/identity-security-tips-to-protect-your-turf