CHƯƠNG 1 TỔNG QUAN
4.4 Giảm thiểu các mối đe dọa
4.4 Giảm thiểu các mối đe dọa
Việc xác định và liệt kê các mối đe dọa cần phải được bổ sung bằng cách đánh giá sự tồn tại và mức độ của mối đe dọa (các hình từ 4.5 đến 4.7). Trích dẫn danh sách mối đe dọa được tạo tự động thực hiện các biện pháp giảm thiểu có liên quan, nếu khơng nguy cơ gây ra bởi các mối đe dọa nhất định có thể khơng được ước tính một cách chính xác. Nhìn vào các mối đe dọa điển hình từ phần trước, có thể xác định một số biện pháp giảm thiểu đã được hầu hết các ngân hàng đưa ra hoặc có thể được thực hiện trong tương lai.
Các mối đe dọa giả mạo chống lại yếu tố khách hàng có thể giảm nhẹ bằng cách tránh các bề mặt tấn công vì kỹ thuật xã hội, ví dụ: thơng qua trình tạo mật khẩu ngẫu nhiên thay vì mật khẩu đơn giản, đồng thời cung cấp các chương trình đào tạo và nhận thức người dùng. Các cuộc tấn công bằng phần mềm độc hại có thể được giảm thiểu bằng cách sử dụng bảo vệ chống vi-rút và phần mềm gián điệp cũng như hệ thống ngân hàng trực tuyến chống lại các cuộc tấn cơng này, ví dụ: bàn phím ảo hoặc các ký tự được chọn ngẫu nhiên từ các mật khẩu bí mật. Việc mất mát hoặc đánh cắp thơng tin xác thực có thể được giảm thiểu bằng một số khuyến nghị bảo mật cho người dùng và thiết kế bảo mật khơng khuyến khích bạo lực đối với người dùng. Các cuộc tấn công theo dõi và mật khẩu của người dùng có thể được giảm thiểu bằng cách ẩn mật khẩu ở giai đoạn đầu vào và thực thi việc sử dụng mật khẩu mạnh. Việc từ chối ở giai đoạn này chỉ có thể được giải quyết bằng cách sử dụng một chính sách khả thi để xử lý gian lận và các xung đột khác cũng như các tệp nhật ký tự động cho
tất cả các hành động của người dùng. Trong khi hầu hết các ngân hàng đã áp dụng một số biện pháp này trong quá khứ, các vấn đề từ chối cũng như các vấn đề bảo mật từ phía khách hàng vẫn tồn tại.
Để khắc phục các mối đe dọa từ chối đối với cơ sở dữ liệu, cũng như chống lại các yếu tố khác của hệ thống ngân hàng trực tuyến, cần phải thiết lập các cơ sở ghi nhật ký toàn diện cung cấp mức độ bằng chứng thích hợp trong trường hợp gian lận hoặc xung đột. Vì các mối đe dọa này thường dựa trên việc giả mạo trước đó, nên các trình giám sát tham chiếu, danh sách kiểm sốt truy cập (ACL) cũng như các biện pháp giảm thiểu được đề cập đối với các mối đe dọa giả mạo, có thể giúp đảm bảo an ninh. Các yêu cầu pháp lý cũng như chức năng kiểm toán nội bộ của ngân hàng cũng sẽ ảnh hưởng đến các biện pháp phòng ngừa được thực hiện trong bối cảnh này.
Việc tiết lộ thông tin về dữ liệu được truyền qua các luồng dữ liệu có thể được giảm thiểu bằng cách sử dụng các giao thức chuẩn như SSL / TLS và chứng chỉ SSL xác thực mở rộng do các tổ chức chứng nhận cụ thể cung cấp để xác định chính xác các trang web của ngân hàng. Hầu hết các ngân hàng ở các nước trên thế giới đã sử dụng các biện pháp HTTPS cho toàn bộ nền tảng web của họ. Và các ngân hàng tại việt nam hiện nay cũng thế.