Bảo mật hiệu quả - DN Việt Nam cần làm gì? Bài viết cập nhật vào 10/05/2006 15:49:04 Chính sách bảo mật (security policy) có vai trò quyết định trong việc tăng cường các giải pháp an ninh mạng của DN, tổ chức. Tuy nhiên không phải DN nào cũng có các chính sách bảo mật hợp lý. Sau Indonesia, Malaysia, Philippin và Thái Lan, một hội thảo trong khuôn khổ chương trình “Asia Security roadshow” đã được tổ chức tại Hà Nội vào ngày 5/5 đề cập đến các vấn đề về chiến lược cụ thể của an ninh mạng Việt Nam. Trong buổi hội thảo, bài trình bày của ông Steve Riley (Giám đốc chương trình cấp cao Nhóm công nghệ và kinh doanh bảo mật) về nội dung Security Policy (chính sách bảo mật) cho DN được đông đảo đại biểu tham dự chú ý. Các chính sách bảo mật doanh nghiệp thường bị thất bại từ đầu. Vì sao? Có một thực tế là rất nhiều DN, tổ chức ở VN hiện nay đều có website hoặc các hệ thống ứng dụng CNTT. Các DN cũng đều biết tới bảo mật và tầm quan trọng của nó. Cũng có một số DN đã áp dụng các chính sách bảo mật và an ninh mạng, nhưng đôi khi nó không hề có tác dụng. Vì sao vậy? Stive Riley đưa ra ba nguyên nhân chính khiến các chính sách bảo mật DN thường bị thất bại: - Người xây dựng chính sách bảo mật không đánh giá được giá trị của thông tin mình đang bảo vệ. Rất nhiều người để lộ thông tin bí mật về hệ thống trong những hoàn cảnh không cần thiết và vô tâm - Người xây dựng chính sách bảo mật không đánh giá được hết các chính sách của mình vạch ra sẽ được hành động và triển khai như thế nào trong thực tế. Ông Steve Riley: "an ninh mạng là các gì đó không thuận tiện, nhưng nó có vai trò quan trọng và ảnh hưởng trực tiếp đến hoạt động nghiệp vụ của chúng ta" (Ảnh: Thế Phong) - Bảo mật luôn đặt ra những ngăn trở. Và nếu các chính sách bảo mật tạo ra sự phiền toái không đáng có, nó sẽ bị người dùng bỏ qua như thể rẽ lên vỉa hè để đi qua đoạn tắc đường vậy! Phải đơn giản hóa sao cho vẫn đảm bảo các yêu cầu bảo mật, mà không quá phiền toái. Nguy cơ trong quá trình thực hiện chính sách bảo mật? Nguy cơ đầu tiên, các quy trình an ninh mạng luôn "ngáng đường", luôn đặt ra những trở ngại để vượt qua và nhiều khi, nó bị bỏ qua một cách cố ý như người ta vượt đèn đỏ lúc vắng người. Nguy cơ thứ hai, có nhiều điều không rõ ràng trong bảo mật, chẳng hạn không có cách nào đánh giá được giá trị của việc chúng ta tham gia mạng. Nhiều khi giá trị các thông tin liên quan đến an ninh mạng bị xem nhẹ. Thứ ba, yếu tố con người luôn đặt ra những điểm yếu rất khó khắc phục trong bảo mật. Con người khi tương tác với máy tính xuất hiện nhiều khó khăn có thể trở thành các nguy cơ về bảo mật: Đánh giá rủi ro kém; Con người xử lý các tình huống ngoại lệ (không quen) tồi; Họ thường chuyển giao ý nguyện để các chương trình máy tính thực hiện và đa số tin tưởng, ỷ lại hoàn toàn vào máy tính; Nhưng máy móc có thể hỏng hóc và gặp sự cố; Ai cũng cần bảo mật hệ thống của mình, nhưng nếu phải mất thì giờ, phải khó khăn thì người ta sẽ tìm cách bỏ qua! Khi tấn công vào công nghệ ngày càng khó và phức tạp, người ta sẽ chuyển hướng tấn công vào con người để đạt mục đích. Tại sao tấn công vào con người lại dễ dàng hơn? Vì con người có rất nhiều điểm yếu: dễ dàng tin tưởng, sẵn sàng giúp đỡ, dễ bị kích thích Riley cho rằng bộ phận hỗ trợ, dịch vụ khách hàng luôn là bộ phận dễ bị tấn công để lấy thông tin nhất trong các DN và tổ chức. Ông đưa ra nhiều giải thích và trình bày những kiểu "tấn công vào lòng người" phổ biến: Đánh vào trách nhiệm: "Sếp anh đã đồng ý rồi, anh không phải lo"; Dùng sự dụ dỗ:" Làm điều này, anh sẽ có nhiều cái lợi " Tranh thủ lòng tin: "Tôi là người vẫn thường làm việc với cơ quan anh hàng tháng, có gì nguy hiểm khi tôi đang vội không kịp đưa giấy xuất trình đâu?"; Đánh vào trách nhiệm tinh thần: "Nếu không giúp tôi, lỡ có chuyện gì anh gánh chịu được chứ?"; Làm cho người ta xấu hổ nếu không giúp mình; Cũng có thể dùng cách lợi dụng các điểm chung nào đó để nhờ làm cùng, chiến thuật lợi hại khác là "cầu xin". Cuối cùng, Riley nói - các nguy cơ xuất hiện trên mạng hoàn toàn không có gì là mới, tất cả đều đã có rất lâu trong lịch sử. Nhưng công nghệ mới giúp cho các nguy cơ này thêm mạnh và có những cách thể hiện khác đi. "Phising ư? Tội phạm ăn cắp định danh chính là giả mạo và đã có từ lâu rồi!" - Riley lấy ví dụ. Làm sao để có một chính sách bảo mật tốt? Đầu tiên, Riley nói: "Đó là vấn đề nhận thức!", những người lãnh đạo cần hiểu rằng, "bảo mật là các gì đó không thuận tiện, nhưng nó có vai trò quan trọng. Không có nó bạn có thể đi nhanh hơn, nhưng cũng có thể không bao giờ đến đích." "Không có công cụ hay phần mềm bảo mật nào giải quyết được tất cả các vấn đề của bạn". Để có thể làm bảo mật tốt, không chỉ dựa vào thiết bị, công cụ mạnh hay nhân lực dồi dào, mà còn cần một quy trình hợp lý, một chính sách tối ưu để vận hành quy trình đó. Chính sách bảo mật tốt phải quan tâm khắc phục được các yếu điểm trong mã chương trình, trong khi cấu hình hệ thống sai, hay có sẵn các phương án khắc phục lỗi tình huống. "Thực tế là có nhiều chính sách bảo mật tồi đến mức, người ta chỉ tìm cách bỏ qua các công đoạn sau của nó. Như vậy chính sách bảo mật cần tạo điều kiện cho các đơn vị nghiệp vụ hoạt động tốt. Nhưng nó cũng phải khiến cho lãnh đạo và nhân viên nhìn thấy các giá trị thông tin mà chúng ta có." Để đảm bảo rằng chính sách bảo mật phản ánh đúng nhu cầu của các dịch vụ, bạn phải chắc chắn rằng Chính sách cho phép ta xử lý những trường hợp không rõ ràng, và phải được phổ biến rộng rãi đến mọi người. Thường xuyên thử nghiệm tấn công chính hệ thống của mình! Đồng thời giáo dục, đào tạo liên tục cho người sử dụng. Giáo dục cho bộ phận hỗ trợ dịch vụ, chăm sóc khách hàng về các vụ "tấn công vào lòng người" để lấy thông tin. Đồng thời cần có sự hỗ trợ của lãnh đạo cấp cao để các bộ phận này có thể nói "không" khi cảm thấy mình đang bị tấn công như vậy. "Việt Nam có thể trở thành trung tâm lớn bảo mật lớn của khu vực!" PV VietNamNet đã có cuộc trao đổi với bốn chuyên gia bảo mật và an ning mạng của Microsoft, gồm: ông Steve Riley, Giám đốc chương trình cấp cao Nhóm công nghệ và kinh doanh bảo mật), Bà Jacqueline Peterson Javis, trưởng nhóm phát triển sáng kiến bảo mật - Security Mobilization Initiative Lead), ông Mathew Hardman, Chuyên viên ISV Developer Evangelist), ông Simon Piff, Giám đốc giải pháp khu vực châu Á - TBD). - Các vị có nhận xét ban đầu thế nào về vấn đề an ninh mạng của Việt Nam hiện nay? - Chúng tôi hơi bất ngờ vì cuộc hội thảo lần này của chúng tôi tại Hà Nội có tới hơn 800 người tham dự. Điều đó cho thấy bảo mật, an ninh mạng là vấn đề nóng và đang rất được giới CNTT Việt Nam quan tâm. Chúng tôi cũng nhận thấy, các bạn bắt nhịp CNTT muộn, nhưng đổi lại, có một hệ thống cơ sở hạ tầng xuất phát điểm tương đối hiện đại và tiệm cận các công nghệ mới nhất. Điều đó khiến chúng tôi nhìn thấy ở Việt Nam những cơ sở để trở thành trung tâm lớn về an ninh mạng và bảo mật của khu vực. Tuy nhiên, nhận thức của số đông dường như luôn là vấn đề lớn ở mọi nơi?! Chúng tôi nghĩ đã đến lúc đặt vấn đề giáo dục và đào tạo lên hàng đầu. Nhất là với những người nắm giữ kỹ thuật các hệ thống, không thể giả định rằng họ nắm rõ hệ thống, chính sách và quy trình bảo mật, mà phải chắc chắn họ đã nắm rõ! - Tại sao các phần mềm Firewall, Security center của Microsoft trên PC không có các tính năng lọc gói tin đi, để hạn chế các vấn đề như máy tính zombie có thể bị điều khiển tham gia tấn công DDoS? - Chức năng chính của tường lửa là chặn các gói tin đến. Một số người cũng làm firewall với cơ chế kiểm soát gói tin đi, nhưng như thế sẽ tạo ra nhiều khó khăn trong đầu ra của thông tin mà chúng ta khó giải quyết được. Ngoài ra, thực tế là có rất nhiều công nghệ có thể “đánh lừa” được tường lửa, nên nếu có tích hợp các tính năng này cũng hầu như vô nghĩa. Tuy nhiên, trong firewall mới của Windows Vista, chúng tôi có tích hợp tính năng kiểm soát thông tin đầu ra, nhưng theo một cơ chế tổng thể. Chẳng hạn khi máy tính của bạn thuộc một miền, hay một nhóm nào đó (trong mạng nội bộ của DN chẳng hạn) thì sẽ không được dùng một số phần mềm, hay truy cập vào một số địa chỉ (có nguy cơ đến vấn đề bảo mật) mà người nắm giữ hệ thống quy định. Ví dụ: Một số tổ chức Các diễn giả của Microsoft : “Việt Nam có những cơ sở để trở thành một trung tâm hàng đầu về an ninh mạng trong khu vực” (ảnh Thế Phong) không cho các máy tính thành viên sử dụng Yahoo! Messenger (chat) nhằm đảm bảo không bị lây lan virus hoặc không thất thoát thông tin - ActiveX vốn vẫn được coi là điểm yếu trong cơ chế bảo mật của Microsoft, nhưng nó được đề cập rất sơ sài trong phiên bản ISA Server 2004? - ActiveX là một cơ chế cho phép chạy các chương trình trên đó, nếu giả định ActiveX gây ra lỗi là không chính xác. Mà có lẽ do bản thân các chương trình chạy trên nó viết kém thì đúng hơn. Chúng ta cũng có thể tắt tính năng ActiveX đi, nhưng như thế sẽ có một số chương trình không thể chạy được. Vấn đề này liên quan đến việc bạn phải lựa chọn giữa tính an toàn tuyết đối của công nghệ và tính đơn giản tiện dụng cho người dùng. - Xin cảm ơn các vị! vietnamnet . Bảo mật hiệu quả - DN Việt Nam cần làm gì? Bài viết cập nhật vào 10/05/2006 15:49:04 Chính sách bảo mật (security policy) có vai trò quyết định trong. cao Nhóm công nghệ và kinh doanh bảo mật) về nội dung Security Policy (chính sách bảo mật) cho DN được đông đảo đại biểu tham dự chú ý. Các chính sách bảo mật doanh nghiệp thường bị thất bại. các chính sách bảo mật DN thường bị thất bại: - Người xây dựng chính sách bảo mật không đánh giá được giá trị của thông tin mình đang bảo vệ. Rất nhiều người để lộ thông tin bí mật về hệ thống