Nhiều khái niệm an ninh mạng rất phức tạp và thường khó giải thích cho những người không am hiểu về kỹ thuật. Kerberoasting? Golden SAML? Điều này có thể gây khó khăn cho các nhà lãnh đạo bảo mật trong việc thúc đẩy giao tiếp và giành được hậu thuẫn của các bên liên quan cho các dự án quan trọng.
Giáo dục các doanh nghiệp liên quan và người tiêu dùng về tầm quan trọng của việc bảo mật danh tính kỹ thuật số cá nhân và nghề nghiệp chính là lý do tại sao Ngày quản lý danh tính (#IDMgmtDay2022) ra đời bởi Liên minh bảo mật do xác định danh tính (IDSA) và Liên minh an ninh mạng quốc gia. Khi bạn bắt tay vào các sáng kiến nâng cao nhận thức vào ngày 12 tháng 4 này, hãy cân nhắc việc định hình vấn đề nhận dạng kỹ thuật số đang gia tăng dưới dạng “nợ” – một khái niệm được mọi người hiểu là đáng sợ.
Dựa trên những phát hiện từ Báo cáo cảnh quan về mối đe dọa bảo mật danh tính CyberArk 2022, được công bố hôm nay, nhiều tổ chức đang hướng sâu hơn vào khoản nợ an ninh mạng bằng cách ưu tiên các sáng kiến kỹ thuật số, chẳng hạn như tăng tốc di chuyển đám mây, phát triển các dịch vụ kỹ thuật số mới và hỗ trợ công việc từ bất kỳ mô hình nào, trong khi tắt các biện pháp bảo vệ an ninh tập trung vào danh tính.
Cybersecurity Debt gia tăng có thể cản trở sự đổi mới và thành công trong tương lai
Cho dù đó là chi tiêu trong một kỳ nghỉ lớn, mua một ngôi nhà mới hay tung ra một ứng dụng tương tác mới cho khách hàng của bạn, bạn phải gánh nợ để có được thứ bạn cần (hoặc muốn) ngay hôm nay bằng cách hoãn “thanh toán” cho đến ngày mai. Nhưng, như người ta đã nói, “Nợ cũng giống như bất kỳ cái bẫy nào khác: đủ dễ để mắc vào nhưng đủ khó để thoát ra”.
Nợ bảo mật mạng (Cybersecurity Debt) là một loại nợ kỹ thuật – một thuật ngữ được nhà lập trình máy tính Ward Cunningham đưa ra lần đầu tiên để giải thích chi phí trong tương lai của việc làm lại một giải pháp không được thiết kế hoàn toàn hoặc đúng cách ngay từ đầu. Nợ an ninh mạng đề cập cụ thể đến các lỗ hổng bảo mật chưa được khắc phục tích tụ trong môi trường CNTT của tổ chức khi các hệ thống và công nghệ mới được thêm vào theo thời gian. Khi khoản nợ an ninh mạng không được thanh toán kịp thời (nói cách khác, nếu các vấn đề bảo mật không được giải quyết ngay lập tức), “lãi suất” có thể nhanh chóng tăng lên, gây khó khăn và tốn kém cho việc sửa chữa các lối tắt đó.
Việc sa lầy vào nợ an ninh mạng cuối cùng khiến ít nguồn lực chuyên dụng hơn để duy trì hoạt động kinh doanh năng suất và hiệu quả.
Đánh đổi chuyển đổi kỹ thuật số doanh nghiệp
Mặc dù biến động vẫn là một thách thức kinh doanh hàng đầu, nhưng đứng yên không phải là một lựa chọn. Gần như mọi tổ chức được khảo sát (99%) đã tăng tốc một sáng kiến kinh doanh hoặc CNTT trong vòng 12 tháng qua nhằm thúc đẩy khả năng phục hồi liên tục và sự khác biệt trong cạnh tranh.
Nhưng các dự án chuyển đổi hiếm khi đạt được mà không tạo ra làn sóng, đặc biệt là khi đề cập đến các sáng kiến công nghệ quy mô lớn. Mỗi cái tạo ra một loạt các danh tính kỹ thuật số được kết nối với nhau mới – các thẻ ID ảo của không gian mạng – mỗi thẻ chứa thông tin xác thực của con người hoặc máy móc được liên kết với nó. Các danh tính kỹ thuật số này được sử dụng để tạo điều kiện thuận lợi cho các tương tác và truy cập môi giới, thường là đối với dữ liệu nhạy cảm của công ty và các tài sản cần thiết để thực hiện một công việc hoặc chức năng.
Tình thế tiến thoái lưỡng nan về Nợ nhận dạng kỹ thuật số có lãi suất cao
Chỉ cần một danh tính bị xâm phạm là tác nhân đe dọa hoặc nội gián độc hại có thể thực hiện một cuộc tấn công và bắt đầu leo thang các đặc quyền để tiến sâu hơn vào một môi trường nhằm tìm kiếm tài sản có giá trị. Đây có thể là lý do tại sao những người được hỏi xếp hạng truy cập thông tin xác thực là lĩnh vực rủi ro số 1 của họ. Tuy nhiên, 79% cho biết tổ chức của họ không ưu tiên bảo vệ dữ liệu và tài sản quan trọng. Thay vào đó, họ đang tiến lên toàn diện với những sáng kiến mà những người được hỏi cho rằng có thể gây ra rủi ro đáng kể.
Sự bất hòa này đã tạo ra khoản nợ đáng kể về an ninh mạng tiếp tục tăng lên khi “lãi suất” tích tụ dưới dạng các danh tính mới không được quản lý trên mọi thành phần cơ sở hạ tầng CNTT chính.
Ngày quản lý danh tính này giúp tạo ra một kế hoạch hoàn trả khả thi để giải quyết nợ bảo mật mạng
Như trong cuộc sống cá nhân của chúng ta, một mức nợ nhất định đôi khi là cần thiết. Nếu chiếc xe của bạn bị chết máy và bạn cần một chiếc xe để đến và đi làm, bạn có thể buộc phải vay một khoản tiền. Tương tự như vậy, nhiều tổ chức không có lựa chọn nào khác ngoài việc theo dõi nhanh các dự án có thể duy trì hoạt động trong bối cảnh các thách thức do đại dịch gây ra, thực hiện một số đánh đổi an ninh trong quá trình thực hiện.
Chìa khóa bây giờ là giải quyết khoản nợ này một cách có trách nhiệm trước khi số dư trở nên quá khó sử dụng, hoặc tệ hơn, các tổ chức phải đối mặt với “phá sản” vì không phát triển được với tốc độ thay đổi công nghệ do các quyết định bảo mật kém.
Trước sự tín nhiệm của họ, một số người được hỏi đã cam kết sẽ xoay chuyển tình thế. Đáng chú ý, hầu như tất cả những người được hỏi đều áp dụng các mô hình an ninh mạng của Zero Trust là “không tin tưởng gì cả; xác minh mọi thứ ”, với một nửa (50%) trong số họ ưu tiên triển khai công cụ Bảo mật danh tính như một trong ba sáng kiến mở đường hàng đầu của họ.
Đối mặt với các cuộc tấn công Ransomware liên tục và các mối đe dọa mới nổi khác, họ đang tiếp cận khoản nợ an ninh mạng và nỗ lực giảm thiểu rủi ro một cách tổng thể hơn – không chỉ nhấn mạnh vào các biện pháp kiểm soát kỹ thuật quan trọng như xác thực đa yếu tố (MFA) và ít đặc quyền nhất mà còn cả các sáng kiến lấy con người làm trung tâm chẳng hạn như đào tạo nhận thức về an ninh để đưa hành vi có ý thức về an ninh vào nền văn hóa của họ. Phương pháp bảo vệ chuyên sâu này phản ánh tâm lý “cho rằng vi phạm” phổ biến, mà 82% người được hỏi nói rằng họ đã chấp nhận.
Việc xử lý nợ an ninh mạng cần nhiều thời gian và đối với nhiều tổ chức, còn nhiều việc phải làm. Việc tạo ra một kế hoạch dựa trên rủi ro có thể giúp họ xác định các cách để thực hiện các “khoản thanh toán” nhanh chóng, mang lại lợi nhuận cao và sau đó tuân theo một mốc thời gian khả thi để giảm khoản nợ an ninh mạng còn lại. Với một kế hoạch rủi ro tập trung vào danh tính vững chắc được áp dụng, các tổ chức có thể tăng cường hiệu quả khả năng phòng thủ chống lại các mối đe dọa mới nổi trong khi thúc đẩy các sáng kiến quan trọng để thúc đẩy doanh nghiệp của họ phát triển.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.cyberark.com/resources/blog/how-digital-identities-drive-cybersecurity-debt-the-hidden-transformation-trade-off
