HƯỚNG DẪN VỀ AN NINH MẠNG CHO DOANH NGHIỆP NHỎ Hướng dẫn bổ sung Hướng dẫn bổ sung Muốn có thêm biện pháp an ninh mạng để giúp doanh nghiệp giữ an toàn, quý vị xem loạt An ninh Mạng cho Doanh nghiệp nhỏ cyber.gov.au Step-by-Step Guide Backing Up & Restoring Your Computer (For Mac) HƯỚNG DẪN TỪNG BƯỚC cyber.gov.au HƯỚNG DẪN THẮNG NHANH Quick Wins for your End of Support Quick Wins for your Portable Devices Quick Wins for your Website Every software product has a lifecycle Knowing key dates in a program’s lifecycle can help you make informed decisions about the products your small business relies on every day This guide helps small businesses understand what end of support is, why it is important to be prepared and when to update, upgrade or make other changes Mobile technology is an essential part of modern business While these devices may be small, the cyber threats associated with transporting them outside of the office are huge This guide helps small businesses understand what represents a portable device, why it is important to manage their usage and who is responsible for keeping data secure Small businesses account for over 95 per cent of all businesses in Australia Whilst 72 per cent of small businesses have a website, only 36% check for updates every week, with websites increasingly being targeted by cyber criminals These three quick wins will help small businesses with websites protect their money, data and reputation cyber.gov.au cyber.gov.au cyber.gov.au Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Mục lục LỜI MỞ ĐẦU ���������������������������������������������������������������������������������������������������������������������������� MỐI ĐE DỌA MẠNG: CÁC LĨNH VỰC MẤU CHỐT������������������������������������������� Phần mềm độc hại (Malware) ��������������������������������������������������������������������������������������� Tin nhắn lừa đảo (Phishing)���������������������������������������������������������������������������������������� Phần mềm tống tiền (Ransomware)������������������������������������������������������������������������ CÂN NHẮC PHẦN MỀM: CÁC LĨNH VỰC MẤU CHỐT����������������������������������� Cập nhật tự động������������������������������������������������������������������������������������������������������������������ 10 Sao lưu tự động��������������������������������������������������������������������������������������������������������������������� 11 Xác thực đa yếu tố��������������������������������������������������������������������������������������������������������������� 12 CON NGƯỜI VÀ THỦ TỤC: CÁC LĨNH VỰC MẤU CHỐT������������������������� 13 Kiểm soát tiếp cận������������������������������������������������������������������������������������������������������������� 14 Cụm mật ��������������������������������������������������������������������������������������������������������������������� 15 Huấn luyện nhân viên ����������������������������������������������������������������������������������������������������� 16 BẢNG KIỂM TRA TÓM LƯỢC������������������������������������������������������������������������������������ 17 TỪ ĐIỂN THUẬT NGỮ���������������������������������������������������������������������������������������������������� 18 cyber.gov.au 3 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Lời mở đầu Bản hướng dẫn xây dựng nhằm hỗ trợ doanh nghiệp nhỏ bảo vệ sở phòng ngừa cố an ninh mạng phổ biến Sự cố an ninh mạng gây thảm khốc cho doanh nghiệp nhỏ Thật không may, Trung tâm An ninh Mạng Úc (Australian Cyber Security Centre - ACSC), ngày chứng kiến tác động cố an ninh mạng gây cho cá nhân, doanh nghiệp nhỏ công ty lớn Chúng nhận nhiều chủ nhân người điều hành doanh nghiệp nhỏ khơng có thời gian điều kiện vật chất để trọng vấn đề an ninh mạng Tuy nhiên, cần áp dụng số biện pháp đơn giản giúp doanh nghiệp nhỏ tránh cố an ninh mạng phổ biến Bản Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ soạn thảo riêng cho doanh nghiệp nhỏ để họ nắm thực để nâng cao khả bảo toàn an ninh mạng trước mối đe dọa biến hóa khơng ngừng Hướng dẫn soạn riêng cho doanh nghiệp nhỏ với lời văn mạch lạc dẫn việc thực cách đơn giản dễ hiểu Nếu muốn nắm cách khái quát an ninh mạng, hướng dẫn điểm khởi đầu lý tưởng Nếu muốn hiểu biết sâu vấn đề an ninh mạng q vị tìm hiểu thêm chi tiết lời khuyên khác trang nhà Trung tâm ACSC tại: cyber.gov.au Công việc Trung tâm ACSC giúp làm cho nước Úc trở thành nơi an toàn kết nối mạng Trung tâm An ninh Mạng Úc (Australian Cyber Security Centre - ACSC), trực thuộc Tổng cục Tín hiệu Úc (Australian Signals Directorate - ASD), cung cấp hướng dẫn, hỗ trợ an tồn mạng ứng phó tức thời nhằm phòng tránh, phát hiện, xử lý mối đe dọa mạng nước Úc Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Mối đe dọa mạng: Các lĩnh vực mấu chốt Đối với doanh nghiệp nhỏ, cố an ninh mạng nhỏ gây thảm khốc Phần soạn thảo nhằm giúp doanh nghiệp nhỏ nâng cao cảnh giác chuẩn bị sẵn sàng Phần này xác định giải thích loại đe dọa an ninh mạng phổ biến biện pháp quý vị thực để bảo vệ doanh nghiệp cyber.gov.au 5 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Phần mềm độc hại (Malware) Là gì? Là phần mềm trái phép nhằm mục đích gây hại Malware thuật ngữ bao trùm để phần mềm độc hại bao gồm phần mềm tống tiền (ransomware), vi rút, phần mềm gián điệp (spyware) phần mềm trojan Vì sao? Gây gián đoạn Làm hại Lừa đảo Malware cung cấp cho tội phạm cách tiếp cận thông tin quan trọng số trương mục ngân hàng số thẻ tín dụng mật Malware kiểm sốt thám máy tính người dùng Những hành động tội phạm chúng xâm nhập chiếm liệu để chúng: • Lừa đảo • Đánh cắp danh tính • Gây gián đoạn cho doanh nghiệp • Đánh cắp liệu nhậy cảm tài sản trí tuệ • Chuyển liệu máy tính cho hoạt động tội phạm diện rộng Ai? Bất ai, đâu Tội phạm sản xuẩt malware trú ngụ đâu giới Tất chúng cần đơn giản máy tính, kỹ cơng nghệ ý định bất Tội phạm dễ dàng tiếp cận công cụ rẻ tiền để sử dụng malware chống lại quý vị Tội phạm quăng lưới rộng nhắm vào nơi sơ hở để chúng dễ gây tổn thương Thông qua việc áp dụng biện pháp an ninh mạng nâng cao cảnh giác mối đe dọa, quý vị bảo vệ doanh nghiệp tránh để sở trở thành mục tiêu dễ dàng cho chúng BẢO VỆ CHỐNG LẠI MALWARE Cập nhật tự động hệ thống vận hành, phần mềm ứng dụng quý vị Thường xuyên lưu liệu quan trọng Huấn luyện nhân viên để họ phát đường dẫn tài liệu đính kèm đáng ngờ Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Tin nhắn lừa đảo (Phishing) Là gì? Là email, tin nhắn hay gọi đáng ngờ nhằm lừa người ta tiền bạc liệu Tội phạm thường dùng email, mạng xã hội, gọi điện thoại tin nhắn để tìm cách lừa đảo doanh nghiệp Úc Những tội phạm giả làm cá nhân tổ chức mà quý vị cho có biết họ nghĩ nên tin tưởng họ Tin nhắn gọi chúng tìm cách lừa doanh nghiệp để doanh nghiệp làm số việc như: • Thanh tốn hóa đơn giả mạo thay đổi chi tiết tốn hóa đơn hợp pháp • Tiết lộ chi tiết trương mục ngân hàng, mật khẩu, số thẻ tín dụng (đơi gọi lừa đảo qua mạng (phishing), tội phạm mạng bắt chước thương hiệu biểu tượng thức ngân hàng trang mạng để trơng hợp pháp) Ai? Doanh nghiệp Úc Một số tin nhắn gửi cho hàng ngàn người, nhắm vào người cụ thể Tuy vậy, biết tội phạm hay sử dụng số phương pháp phổ biến để tìm cách lừa đảo nhân viên quý vị Tin nhắn bao gồm: • Người có thẩm quyền: Tin nhắn có tự nhận người viên chức hay nhân viên cấp cao doanh nghiệp khơng? • Khẩn cấp: Người ta có bảo có vấn đề q vị có thời gian để hồi âm hay để trả tiền khơng? • Tình cảm: Tin nhắn có làm cho q vị cảm thấy hoảng hốt, hi vọng tò mò khơng? • Khan hiếm: Tin nhắn có chào mời q vị khan hiếm, hay hứa hẹn làm ăn hời khơng? • Sự kiện tại: Tin nhắn có liên quan đến câu chuyện thời diễn kiện lớn không? •C  ho phép việc tiếp cận từ xa vào máy tính máy chủ q vị • Mở tài liệu đính kèm, thể chứa malware • Mua phiếu quà tặng gửi phiếu cho bọn lừa đảo SCAM@LINK.COM Ở đâu? Email, mạng xã hội, gọi điện thoại, tin nhắn điện thoại CẢM THẤY KHÔNG CHẮC? CARD 123 Lừa đảo phishing không giới hạn email Chúng ngày trở nên tinh vi khó phát Hãy cẩn trọng với yêu cầu khẩn cấp tiền bạc, thay đổi tài khoản ngân hàng, tài liệu đính kèm bất ngờ yêu cầu kiểm tra khẳng định chi tiết đăng nhập Vào trang scamwatch.gov.au để trình báo lừa đảo 56 78 Nếu quý vị cho tin nhắn gọi thật Scam Emails từ tổ chức quý vị tin tưởng (như ngân hàng nhà cung cấp quý vị), tìm phương pháp liên lạc mà q vị tin tưởng Tìm trang mạng thức gọi số điện thoại mà họ quảng cáo Không dùng đường dẫn chi tiết liên lạc ghi tin nhắn mà họ gửi cho quý vị báo cho quý vị qua điện thoại chi tiết giả mạo cyber.gov.au 7 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Phần mềm tống tiền (Ransomware) Là gì? Đó loại phần mềm độc hại (malware) nhằm khóa máy tính hồ sơ q vị quý vị phải trả tiền chuộc cho chúng Ransomware hoạt động cách khóa lại mã hóa hồ sơ làm cho q vị khơng thể sử dụng tiếp cận Đơi cịn làm cho máy ngưng hoạt động Ransomware nhiễm vào máy giống malware khác Ví dụ như: KHƠNG BAO GIỜ TRẢ TIỀN CHUỘC Việc trả tiền chuộc không đảm bảo lấy lại hồ sơ nạn nhân, không đảm bảo ngăn cản chúng xuất liệu bị lấy cắp rao bán liệu để sử dụng vào hành động tội phạm khác Nó làm tăng khả nạn nhân trở thành mục tiêu bị làm hại lần Nếu quý vị gặp phải cố ransomware cần hỗ trợ, gọi cho Đường dây nóng 24/7 Trung tâm ACSC qua số 1300 CYBER1 (1300 292 371) Bất kể định nạn nhân việc trả tiền chuộc chúng tơi khuyến khích nạn nhân trình báo cố ransomware cho Trung tâm ACSC cyber.gov.au • Vào trang mạng khơng an tồn đáng ngờ • Mở đường dẫn, email hồ sơ khơng rõ nguồn gốc • Kém an tồn mạng lưới thiết bị (kể máy chủ) quý vị $ RD CA 123 456 78 Vì sao? Vì tiền Ransomware cho tội phạm mạng có thu nhập cao mà rủi ro Loại phần mềm dễ làm dễ phân tán Mọi người thường phải trả tiền chuộc cách sử dụng tiền điện tử tiền mã hố Bitcoin, làm cho khó truy tìm dấu vết Ngồi ra, tội phạm mạng lại có lợi phần lớn doanh nghiệp nhỏ khơng chuẩn bị sẵn sàng đối phó với cơng ransomware Ai? Doanh nghiệp nhỏ, trung bình lớn Doanh nghiệp nhỏ đặc biệt dễ bị tổn thương, họ thực biện pháp an ninh mạng để phịng tránh khơi phục từ ransomware PHỊNG NGỪA VÀ KHƠI PHỤC TỪ RANSOMWARE Thường xuyên lưu liệu quan trọng quý vị Tự động cập nhật hệ thống vận hành, phần mềm ứng dụng Khi có thể, đặt chức xác thực đa yếu tố để tiếp cận dịch vụ (trang 12) Kiểm tra giữ an toàn thiết bị (kể máy chủ có) dịch vụ trưng bày mạng hệ thống quý vị (Máy tính điều khiển từ xa, Chia sẻ hồ sơ, Webmail) Thảo luận vấn đề với chuyên viên IT quý vị không rõ Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Cân nhắc phần mềm: Các lĩnh vực mấu chốt Quản lý phần mềm, liệu tài khoản mạng gia tăng bảo vệ lên nhiều cho doanh nghiệp loại đe dọa mạng phổ biến Ví dụ như, hệ thống vận hành mảnh phần mềm quan trọng máy tính quý vị Hệ thống quản lý phần cứng tất chương trình nằm phần cứng, cần phải cập nhật thường xuyên để đảm bảo quý vị sử dụng phiên an toàn Tăng cường vững chắc, cập nhật giữ an toàn với cân nhắc phần mềm cho doanh nghiệp nhỏ cyber.gov.au 9 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Cập nhật tự động Là gì? Cập nhật phần mềm Cập nhật phiên phần mềm nâng cấp (chương trình, ứng dụng hệ thống vận hành) quý vị cài đặt máy chủ, máy tính thiết bị di động Cập nhật tự động đặt mặc định ‘đặt sẵn để không cần nhớ’ để cập nhật phần mềm quý vị có phiên Vì sao? Vì an tồn • Giữ hệ thống vận hành ứng dụng cập nhật cách tốt bảo vệ quý vị tránh cố an ninh mạng • Thường xuyên cập nhật phần mềm giảm hội cho tin tặc khai thác điểm yếu biết để chúng chạy malware xâm nhập vào thiết bị quý vị • Tiết kệm thời gian khơng phải lo lắng, cập nhật tự động việc quan trọng nhằm giữ an toàn cho thiết bị liệu q vị Khi nào? Hơm & ngày • Bật cập nhật tự động, hệ thống vận hành • Thường xuyên kiểm tra cập nhật trường hợp khơng có cập nhật tự động • Nếu nhận lời nhắc cập nhật hệ thống vận hành phần mềm khác, quý vị nên cài đặt cập nhật sớm tốt •Đ  ặt thuận tiện cho cập nhật tự động để tránh cơng việc kinh doanh thường ngày bị gián đoạn • Nếu quý vị sử dụng phần mềm chống vi rút, đảm bảo có bật cập nhật tự động 10 LƯU Ý: Nếu phần cứng phần mềm quý vị q cũ có khả khơng cập nhật làm cho doanh nghiệp quý vị dễ bị tổn thương vấn đề an toàn Trung tâm ACSC khuyến nghị cập nhật thiết bị hay phần mềm sớm tốt Đến năm 2020, hệ thống Windows 7, Microsoft Office 2010 Windows Server 2008 hết hạn hỗ trợ khơng cịn an tồn Muốn biết thêm chi tiết, đọc hướng dẫn tiêu đề Thắng Nhanh Trung tâm ACSC Hết hạn Hỗ trợ trang cyber.gov.au Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Sao lưu Tự động Là gì? Sao lưu liệu Khi nào? Hôm & ngày Sao lưu lưu điện tử cho liệu quan trọng doanh nghiệp, ví dụ chi tiết khách hàng sổ sách tài Bản lưu lưu thiết bị lưu trữ bên ngồi đám mây • Lựa chọn hệ thống lưu phù hợp với doanh nghiệp Hãy cân nhắc q vị có đủ khả bị tình xấu để giúp hướng dẫn cho quý vị chọn yêu cầu đặt chẳng hạn quý vị phải lưu liệu lần Sao lưu tự động hệ thống mặc định ‘đặt sẵn để nhớ’ nhằm tự động lưu liệu mà khơng cần người can thiệp • Thường xun kiểm tra hệ thống lưu cách thử khôi phục liệu Khi ngưng kết nối tháo thiết bị trữ lưu cách an toàn sau lần lưu đảm bảo thiết bị an toàn xảy cố an ninh mạng • Ln ln giữ lưu không kết nối với thiết bị quý vị, tốt cất ngồi doanh nghiệp đề phịng tình bị thiên tai trộm cắp Vì sao? Khơi phục đơn giản • Khơng kết nối lưu quý vị với thiết bị bị nhiễm ransomware bị nhiễm vi rút • Sao lưu biện pháp cẩn trọng, quý vị tiếp cận liệu trường hợp liệu bị mất, bị đánh cắp bị hư hại • Cho phép doanh nghiệp quý vị khôi phục sau cố mạng (chẳng hạn ransomware) giảm thiểu thời gian ngừng hoạt động • Bảo vệ đáng tin cậy doanh nghiệp quý vị giúp đáp ứng trách nhiệm pháp lý^ Hoàn tất lưu ^Một số ngành cụ thể có nghĩa vụ phải giữ hồ sơ khoảng thời gian định Hãy đảm bảo quý vị nắm yêu cầu việc lưu liệu cyber.gov.au 11 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Xác thực đa yếu tố Là gì? Là biện pháp an tồn địi hỏi có từ hai chứng trở lên danh tính trước cho phép quý vị tiếp cận Xác thực đa yếu tố (Multi-factor authentication – MFA) thường yêu cầu phải có kết hợp giữa: • điều q vị biết (mật khẩu/cụm mật khẩu, PIN, câu hỏi bí mật) • điều quý vị có (thẻ smartcard, thiết bị xác thực, ứng dụng xác thực) • điều riêng quý vị (vân tay đặc điểm sinh trắc học khác) Vì sao? Sự an tồn mạnh nhiều MFA cách bảo vệ hiệu chống lại tiếp cận trái phép thông tin tài khoản giá trị quý vị Có nhiều lớp xác thực làm cho việc tin tặc cơng doanh nghiệp q vị bị khó nhiều Chúng xoay xở đánh cắp chứng danh tính mật quý vị, chúng cần phải lấy sử dụng chứng danh tính khác tiếp cận tài khoản quý vị Ở đâu? Tiếp cận vào tài khoản quan trọng Doanh nghiệp nhỏ nên thực MFA cho tài khoản quan trọng có thể, ưu tiên tài khoản tài email Một số phương án MFA bao gồm, khơng giới hạn bởi: • Thiết bị xác thực • Pin • Đặc điểm sinh trắc học/vân tay • Ứng dụng xác thực • Email • SMS 12 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Con người Thủ tục: Các Lĩnh vực mấu chốt Doanh nghiệp, dù nhỏ tới mức nào, cần phải cảnh giác chủ động áp dụng biện pháp an ninh mạng tất tầng lớp Quy trình nội lực lượng lao động tuyến phòng thủ cuối cùng, tuyến phòng thủ quan trọng để bảo vệ doanh nghiệp trước mối đe dọa an ninh mạng Do doanh nghiệp nhỏ thường thiếu điều kiện để có nhân viên chuyên IT, phần đề cập cách quý vị quản lý việc tiếp cận thơng tin doanh nghiệp, giữ an tồn tài khoản kinh doanh, huấn luyện nhân viên cách phịng ngừa, phát trình báo cố an ninh mạng cyber.gov.au 13 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Kiểm sốt tiếp cận Là gì? Là kiểm soát tiếp cận nội dung mơi trường máy tính doanh nghiệp Kiểm soát tiếp cận cách giới hạn việc tiếp cận hệ thống máy tính Việc giúp bảo vệ doanh nghiệp giới hạn việc tiếp cận: • Hồ sơ thư mục văn • Các ứng dụng • Cơ sở liệu • Hộp thư • Tài khoản mạng • Mạng lưới Ai? Nguyên tắc đặc quyền tối thiểu Tùy thuộc vào tính chất doanh nghiệp, nguyên tắc đặc quyền tối thiểu cách an toàn cho phần lớn doanh nghiệp nhỏ Nguyên tắc cho phép người dùng mức tối thiểu cần thiết để thực thi nhiệm vụ Điều giảm thiểu nguy người ‘nội bộ’ bất cẩn cố ý gây nguy hiểm cho doanh nghiệp Vì sao? Để giảm thiểu nguy xảy việc tiếp cận trái phép thông tin quan trọng Thông thường, nhân viên thực thi vai trị mình, họ khơng cần phải tiếp cận hồn tồn tất liệu, tài khoản hệ thống doanh nghiệp Tiếp cận nên giới hạn có thể, để nhân viên nhà cung cấp bên ngồi khơng gây nguy hiểm cho doanh nghiệp q vị cách bất cẩn ác ý Hệ thống kiểm soát thủ tục tiếp cận cho phép chủ doanh nghiệp người điều hành: • Quyết định cho tiếp cận hồ sơ, sở liệu hộp thư cụ thể •K  iểm sốt tiếp cận phép cho nhà cung cấp bên ngồi chẳng hạn nhân viên kế tốn, nhà cung cấp nơi lưu trữ trang mạng •G  iới hạn cho tiếp cận vào tài khoản trang mạng nhà cung cấp mạng xã hội • Giảm thiểu khả bị tổn hại tình tài khoản, thiết bị hay hệ thống bị xâm phạm • Rút quyền tiếp cận hệ thống liệu nhân viên thay đổi vị trí làm việc rời doanh nghiệp 14 NGUYÊN TẮC KIỂM SOÁT TIẾP CẬN Chuyển nhân viên quý vị từ tài khoản ‘quản trị viên’ sang tài khoản tiêu chuẩn thiết bị doanh nghiệp Xét duyệt lại việc cho phép tiếp cận hồ sơ thư mục điện tử Không chia sẻ tài khoản hay cụm mật khẩu/ mật nhân viên với Cần nhớ phải rút quyền tiếp cận, xóa tài khoản và/ thay đổi cụm mật khẩu/mật nhân viên rời doanh nghiệp, quý vị thay đổi nhà cung cấp Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Cụm mật Là gì? Là phiên an toàn Ở đâu? Tài khoản thiết bị của mật quý vị Xác thực đa yếu tố (Multi-factor authentication - MFA, xem trang 12) cách hiệu để bảo vệ tài khoản quý vị chống lại tin tặc Tuy nhiên khơng có MFA, q vị nên sử dụng cụm mật để bảo vệ tài khoản Nếu quý vị không sử dụng MFA cho tài khoản thiết bị mình, điều quan trọng dùng cụm mật để giữ an toàn Trong hoàn cảnh này, cụm mật an tồn vật cản ngăn chặn kẻ xấu vào thông tin giá trị quý vị Cụm mật sử dụng bốn từ trở lên làm mật Chẳng hạn ‘pha lê củ hành đất sét bánh xoắn’ Nhớ làm cụm mật độc nhất, việc tái sử dụng mật làm cho tin tặc dễ xâm nhập vào nhiều tài khoản Vì sao? Vì an tồn dễ nhớ Muốn có thêm hướng dẫn cách tạo cụm mật khẩu, xem hướng dẫn ACSC Tạo Cụm mật mạnh có cyber.gov.au Cụm mật khó cho tin tặc luận ra, lại dễ nhớ quý vị Tạo cụm mật cho: • Dài Cụm mật quý vị dài tốt nhiêu Hãy làm cụm mật có độ dài tối thiểu 14 chữ • Khó đốn Hãy sử dụng hỗn hợp từ khơng liên quan với Khơng dùng cụm từ, câu trích dẫn lời hát tiếng • Độc Không tái sử dụng cụm mật cho nhiều tài khoản Nếu trang mạng dịch vụ yêu cầu phải có mật phức hợp bao gồm dấu hiệu, chữ hoa số, quý vị cho vào cụm mật Cụm mật nên dài, khó đốn độc để có an tồn cao CÂN NHẮC SỬ DỤNG CHỨC NĂNG QUẢN LÝ MẬT KHẨU Chức quản lý mật (cũng dùng để cất giữ cụm mật khẩu) tạo điều kiện để có thói quen tốt an ninh mạng Có cụm mật độc cho tài khoản giá trị nghe khó; nhiên, việc sử dụng chức quản lý mật để lưu cụm mật giải phóng quý vị khỏi gánh nặng phải nhớ cụm mật dùng đâu Đảm bảo chức quản lý mật quý vị dùng có nguồn gốc đáng tin cậy có uy tín bảo vệ cụm mật mạnh dễ nhớ riêng cyber.gov.au 15 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Huấn luyện nhân viên Là gì? Là việc giáo dục để bảo vệ nhân viên doanh nghiệp chống lại mối đe dọa mạng Quý vị tự học để biết dạy cho nhân viên cách phòng ngừa, phát trình báo tội phạm mạng Huấn luyện nhân viên kiến thức an ninh mạng, kể việc phải cập nhật thiết bị giữ an toàn cho tài khoản họ, nhận tin nhắn lừa đảo Quý vị nên cân nhắc thực kế hoạch ứng phó với cố an ninh mạng để hướng dẫn cho doanh nghiệp nhân viên tình xảy cố mạng Việc giúp quý vị nắm thiết bị quy trình quan trọng, liên lạc chủ chốt mà quý vị cần dùng để ứng phó khơi phục “Q vị tự học để biết dạy cho nhân viên cách phịng ngừa, phát trình báo tội phạm mạng.” Vì sao? Nhân viên tuyến phịng thủ cuối chống lại mối đe dọa an ninh mạng Việc huấn luyện làm thay đổi thói quen hành vi nhân viên tạo nên trách nhiệm chung để giữ cho doanh nghiệp an toàn An ninh mạng trách nhiệm người Khi nào? Thường xuyên nâng cao nhận thức huấn luyện an ninh mạng An ninh mạng liên tục biến hóa Giữ cho tất người cập nhật mối đe dọa an ninh mạng khác biệt việc tin tặc có xâm nhập vào tiền bạc, tài khoản liệu quý vị không 16 CHỈ DẪN VỀ NHẬN THỨC AN NINH MẠNG Huấn luyện nhân viên phát đường dẫn tài liệu đính kèm đáng ngờ Định kỳ tổ chức huấn luyện cập nhật an ninh mạng Lập kế hoạch ứng phó cố an ninh mạng Khuyến khích văn hóa an ninh mạng mạnh mẽ Chia sẻ ví dụ tin nhắn lừa đảo để giúp nhân viên phát mối đe dọa an ninh mạng Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Bảng kiểm tra tóm lược Cân nhắc phần mềm T  ự động cập nhật hệ thống vận hành, phần mềm ứng dụng • Nếu nhận nhắc nhở cập nhật hệ thống vận hành phần mềm khác, quý vị nên cài đặt cập nhật sớm tốt • Đặt thời gian thuận tiện để cập nhật tự động nhằm tránh gián đoạn cho hoạt động bình thường doanh nghiệp Con người Thủ tục Thường xuyên lưu liệu quan trọng • hường xuyên kiểm tra lưu cách thử khơi phục liệu • Ln ln giữ lưu khơng kết nối vào thiết bị T  hực chức MFA cho tài khoản quan trọng • MFA cách hiệu để bảo vệ thông tin tài khoản giá trị quý vị • Ư  u tiên tài khoản tài email để bảo đảm cơng hiệu tối đa Kiểm sốt việc cho tiếp cận H  ãy huấn luyện nhân viên quý vị kiến thức an ninh mạng • Á p dụng nguyên tắc đặc quyền tối thiểu đối việc • H  uấn luyện bao gồm cập nhật thiết bị, giữ an toàn cho tài khoản phát tin nhắn lừa đảo nội doanh nghiệp quý vị việc cho phép tiếp cận • Nhớ xóa tài khoản và/hoặc đổi cụm mật khẩu/mật nhân viên việc K  hi không làm chức MFA, dùng cụm mật để bảo vệ tài khoản thiết bị • Đ  ịnh kỳ tổ chức huấn luyện cập nhật cho nhân viên an ninh mạng • Hãy dùng cụm mật gồm có bốn từ trở lên làm mật • Cụm mật hữu hiệu dài, khó đoán độc cyber.gov.au 17 Hướng dẫn An ninh Mạng cho Doanh nghiệp nhỏ Từ điển thuật ngữ Phầm mềm chống vi rút Mạng lưới Chương trình phần mềm nhằm mục đích bảo vệ máy tính mạng lưới quý vị chống lại vi rút Tập hợp máy tính, máy chủ, máy tính lớn, thiết bị mạng lưới, phần ngoại vi thiết bị khác kết nối với phép chia sẻ liệu Ứng dụng Cũng gọi ứng dụng di động, ứng dụng thuật ngữ phần mềm thường dùng cho điện thoại thông minh hay máy tính bảng Tài liệu Đính kèm Hồ sơ gửi kèm theo email Ứng dụng xác thực Ứng dụng dùng để khẳng định danh tính người sử dụng máy tính phép tiếp cận thơng qua chức xác thực đa yếu tố (MFA) Sinh trắc học Nhận dạng người số đo đặc điểm sinh học vân tay giọng nói Bitcoin Tiền điện tử (tiền mã hóa) dùng Internet cho dịch vụ khác Brute Force Attack (Tấn công bẻ khố mật khẩu) Một loại cơng phát hàng triệu tổ hợp chữ giây Tấn công hiệu chống lại mật ngắn mật có từ Phần mềm cài đặt ổ cứng máy tính để giúp cho phần cứng máy tính giao tiếp với chạy chương trình máy tính Chẳng hạn như: Microsoft Windows, Apple macOS, iOS, Android Phần mềm Thường gọi chương trình, tập hợp dẫn để tạo điều kiện cho người sử dụng giao diện với máy tính, với phần cứng máy tính để thực thi công việc Phần mềm gián điệp (spyware) Một chương trình soạn để bí mật thu thập thông tin hoạt động người dùng thiết bị họ Thiết bị xác thực (token) Mã an toàn phát thiết bị cụ thể ứng dụng xác thực để dùng cho chức xác thực đa yếu tố Thiết bị xác thực để việc thiết bị phát mã an tồn đủ nhỏ để vừa móc chìa khóa (keychain) có hình thù giống thẻ tín dụng Trojans Đám mây Một dạng phần mềm độc hại thường giả dạng làm phần mềm hợp pháp, có chứa mã độc tin tặc sử dụng để tiếp cận vào hệ thống người dùng Mạng lưới máy chủ từ xa cung cấp khả lưu trữ phân phối sức mạnh xử lý cực lớn Vi rút Tội phạm mạng Bất cá nhân xâm nhập trái phép vào hệ thống máy tính để làm tổn hại đánh cắp thông tin Dữ liệu Dữ liệu thông tin bao gồm hồ sơ, văn bản, số, hình ảnh, âm video Cài đặt mặc định Điều mà máy tính, hệ thống vận hành chương trình xác định từ trước cho người sử dụng Tấn công từ điển Một loại công phát hàng triệu lần công dựa quy tắc sở liệu Kiểu công đạt hiệu cụm mật phức tạp sử dụng phổ biến Mã hóa Q trình làm cho người khác khơng đọc liệu nhằm mục đích ngăn ngừa người khác xâm nhập vào nội dung liệu 18 Hệ thống vận hành Chương trình soạn để gây tổn hại, lấy cắp thông tin cá nhân, chỉnh sửa liệu, gửi email, hiển thị tin nhắn kết hợp hành động Miễn trách nhiệm Bản hướng dẫn gồm nội dung mang tính tổng qt khơng nên coi hướng dẫn pháp lý dựa vào để giúp đỡ hoàn cảnh cụ thể tình khẩn cấp Trong vấn đề quan trọng nào, quý vị nên tìm hướng dẫn chuyên nghiệp, độc lập, phù hợp, liên quan tới hoàn cảnh riêng q vị Chính phủ Liên bang khơng chịu trách nhiệm nghĩa vụ tổn hại, tổn thất chi phí phát sinh hậu việc dựa vào thông tin hướng dẫn Bản quyền © Commonwealth of Australia 2021 (Chính phủ Liên bang Úc 2021) Trừ trường hợp có Quốc huy nêu khác đi, toàn nội dung trình bày tài liệu cung cấp chiểu theo giấy phép Quốc tế Sáng tạo Công cộng (Creative Commons Attribution) 4.0 (www.creativecommons.org/licenses) Để tránh nghi ngờ, điều có nghĩa giấy phép áp dụng cho nội dung ghi tài liệu mà Chi tiết điều kiện giấy phép liên quan có trang mạng Sáng tạo Cơng cộng mã hợp pháp tồn phần giấy phép CC BY 4.0 (www.creativecommons.org/licenses) Sử dụng Quốc huy Chi tiết điều kiện sử dụng Quốc huy nêu trang mạng Bộ Thủ tướng Nội (www.pmc.gov.au/government/commonwealth-coat-arms) cyber.gov.au 19 Muốn biết thêm thông tin trình báo cố an ninh mạng, liên lạc với tại: cyber.gov.au | 1300 CYBER1 (1300 292 371)