Giải pháp kiểm sốt chính sách an ninh thơng tin, chuẩn hóa chính sách an ninh
thơng tin trong hệ thống;
Security Policy: Trung tâm của giải pháp là các chính sách an ninh thông tin của hệ thống;
Identity & Access Managerment: Quản lý định danh và quyền truy cập của các máy
tính trong hệ thống;
Configuration Management: Quản lý các cấu hình an ninh trong hệ thống;
Audit & Compliance: Kiểm tra và đảm bảo việc tuân thủ các chính sách an ninh
thông tin;
Continuous Monitoring: Giám sát liên tục;
Discovery & Inventory: Phát hiện các vi phạm;
Policy Enforcement: Thực thi các biện pháp để đảm bảo an ninh trong trƣờng hợp
phát hiện vi phạm;
Report & Solution: Tổng kết, báo cáo tình hình an ninh và các khuyến cáo cho quản trị.
Trong đó, đặc biệt là tính năng chống tấn cơng APT có khả năng
Hình 3.5: Các tính năng chống tấn cơng APT
Phòng ngừa nguy cơ mã độc đặc chủng tấn cơng APT
Kiểm sốt dữ liệu đầu vào của hệ thống, đảm bảo các dữ liệu này đƣợc chạy trong môi trƣờng cách ly Safe Run ( .doc, .xls, .pdf… tải về từ email);
Kiểm soát việc cài đặt phần mềm, chống bị tấn công, lây nhiễm mã độc từ việc cài
các phần mềm có gắn mã độc.
Chống nguy cơ bị nằm vùng, ăn cắp dữ liệu
Kiểm sốt, chặn các phần mềm điều khiển máy tính từ xa (remote);
Kiểm sốt việc chia sẻ dữ liệu trong mạng để tránh lây lan virus, thất thốt thơng tin;
Kiểm soát, phát hiện việc sao chép dữ liệu với dung lƣợng lớn qua USB hoặc
Một hệ thống đầy đủ trang thiết bị cần thiết là yếu tố đầu tiên để bảo đảm an ninh mạng cho doanh nghiệp.
3.3.2. Xây dựng các qui trình quản trị mạng
Cùng với việc đầu tƣ trang thiết bị là việc xây dựng các quy trình quản trị mạng, yêu cầu của tổ chức đối với mọi thành viên trong việc sử dụng các tài nguyên mạng của công ty đảm bảo an ninh mạng.
Bài học từ Vietnam Airlines và VCCorp cho thấy, một doanh nghiệp lớn khơng có quy trình quản trị mạng rõ ràng và hiệu quả, hoặc có mà khơng tn thủ, thì khơng khác gì khơng có, kể cả khi đã đầu tƣ trang thiết bị đầy đủ và con ngƣời tinh nhuệ.
Áp dụng các hệ thống tiêu chuẩn có sẵn, doanh nghiệp có thể sử dụng ISO 27002 quy định hệ thống quản lý an ninh thông tin. Ở đây, việc lấy chứng nhận hay khơng phụ thuộc vào chính sách của đơn vị, nhƣng việc rà sốt và tự nguyện tuân thủ các chính sách là điều quan trọng cốt lõi để đảm bảo an ninh mạng cho doanh nghiệp.
Hình 3.6: Quy trình quản trị mạng
Nội dung bao gồm:
- Chính sách an ninh thơng tin,
- An ninh thông tin của tổ chức: Quản lý thiết bị di động và làm việc từ xa,
- An ninh nguồn nhân lực,
- Quản lý tài sản,
- Kiểm sốt truy cập thơng tin,
- An ninh vật lý và mơi trƣờng,
- An tồn các hoạt động,
- An tồn truyền thơng,
- Tiếp nhận, phát triển và duy trì hệ thống,
- Quan hệ với các nhà cung cấp,
- Quản lý sự cố an ninh thơng tin,
- Các khía cạnh an tồn thơng tin trong quản lý tính liên tục trong kinh doanh,
- Sự tuân thủ: Tuân thủ các yêu cầu pháp luật và yêu cầu hợp đồng,
- Kiểm tra việc chuẩn hố tài liệu,
- Kiểm tra việc áp dụng chính sách về security.
Bên cạnh đó, doanh nghiệp cần thực hiện đánh giá các tài liệu trên cơ sở đối chiếu với các mục tiêu và biện pháp kiểm soát tuân theo tiêu chuẩn quản lý thông tin ISO 27001.
Sử dụng kỹ thuật Socical Engineering đối với một số quy trình thực tế có tham gia của con ngƣời:
Hình 3.7: Quy trình đánh giá thực tế
Khi đã có hệ thống trang thiết bị và các quy định sử dụng hợp lý, vấn đề cuối cùng là đảm bảo ngƣời dùng hệ thống đó tuân thủ đúng theo các yêu cầu đặt ra.
3.3.3. Xây dựng chính sách nhân sự, nâng cao năng lực quản trị mạng và đào tạo người dùng
Khi doanh nghiệp đã đƣợc đầu tƣ hệ thống hạ tầng và quy trình sử dụng đảm bảo an ninh mạng thì vấn đề cịn lại là chính con ngƣời sử dụng. Việc tn thủ của ngƣời dùng và quản trị viên quyết định tới việc hệ thống có đảm bảo an ninh hay không. Nhƣ các viện dẫn khủng hoảng trong chƣơng 2, hệ thống có trang bị, nhƣng ngƣời dùng đi tắt khơng qua FireWall, nhân viên mở mail kích hoạt vào file gửi kèm có mã độc, hay nhiều vụ khủng
hoảng cho thấy tội phạm mạng thƣờng tấn cơng xâm nhập qua máy tính, tài khoản của nhân viên để thâm nhập vào hệ thống.
Có thể nói, con ngƣời là yếu tố quan trọng nhất, nhƣng cũng là điểm yếu nhất trong hệ thống. Để đảm bảo an ninh mạng, việc đầu tƣ cho con ngƣời cần tƣơng xứng với việc đầu tƣ trang thiết bị. Phần lớn các sự cố an ninh nghiêm trọng tại các doanh nghiêp/tổ chức xuất phát từ yếu tố con ngƣời.
Yếu tố con ngƣời trong nhóm giải pháp này đầu tiên đƣợc giải quyết nhờ chính sách nhân sự. Cơng ty phải có chính sách nhân sự rõ ràng và đủ năng lực quản trị nguồn nhân lực và nhân tài. Có chế độ đãi ngộ phù hợp và các tiêu chí đánh giá chất lƣợng của nhà lãnh đạo, quản trị, điều hành và nhân viên rõ ràng: bộ tiêu chí đánh giá chất lƣợng cơng việc, đánh giá phẩm chất nhân viên, đánh giá sức khỏe thể chất, sức khỏe tinh thần94. Điều này có tác động lớn tới chất lƣợng các quyết định và cách giải quyết các vấn đề quản trị an ninh mạng, trong đó bao gồm cả quản trị rủi ro an ninh mạng và đối phó khủng hoảng an ninh mạng xảy ra.
Ngồi ra, cơng ty cần có chính sách đào tạo an ninh mạng để phát triển nguồn nhân lực quản trị an ninh mạng chất lƣợng. Cùng với chính sách nâng cao nhận thức về an ninh mạng cho nhà lãnh đạo, các cá nhân có trách nhiệm quản lý, ngƣời sử dụng mạng máy tính và thực hành các phƣơng án ứng phó xử lý sự cố khi bị tấn cơng. Trong đó, cơng tác đào tạo phải đƣợc đảm bảo tiến hành thƣờng xuyên và định kỳ.
Các khố đào tạo cần có gồm:
- Đào tạo nhận thức an ninh mạng dành cho tất cả mọi ngƣời trong cơ quan, tổ chức; - Đào tạo chuyên viên an ninh mạng dành cho đội ngũ quản trị hệ thống, chuyên
viên an ninh mạng;
- Diễn tập ứng phó sự cố an ninh mạng.
Trong đó, các khố học cần phải có các kiến thức nhƣ sau:
- Đào tạo nhận thức an ninh mạng: trang bị những kiến thức không thể thiếu về vấn đề an ninh mạng đối với nhân viên ứng dụng CNTT trong hoạt động hàng ngày thông qua các kiến thức sát thực tế và demo các kịch bản tấn công phổ biến:
o An ninh mạng và các khái niệm,
o Hacker, virus và các hiểm họa trên mạng,
o Các biện pháp bảo vệ máy tính, dữ liệu,
o Phịng chống lừa đảo trực tuyến,
94 Có thể sử dụng các bảng biểu cơng cụ đánh giá theo giáo trình Quản trị rủi ro và an ninh doanh nghiệp, khoa HSB trƣờng Đại học Quốc gia Hà Nội của tác giả PGS.TS. Hồng Đình Phi
o Hệ thống quản lý an ninh thơng tin ISO 27001.
Hình 3.8: Hệ thống quản lý thơng tin ISO 27001
- Đào tạo chuyên viên an ninh mạng: trang bị những kiến thức không thể thiếu về vấn đề an ninh mạng đối với một quản trị mạng chuyên nghiệp:
o Các phƣơng pháp thiết kế hệ thống mạng an toàn và bảo mật,
o Các kỹ thuật xâm nhập, tấn công thƣờng đƣợc hacker sử dụng, các biện pháp
phát hiện, ngăn chặn tấn công hiệu quả,
o Các phƣơng thức bảo vệ và chống hacker tấn công, đảm bảo an ninh cho
website,
o Cơ chế hoạt động của virus máy tính, các đoạn mã độc hại và giải pháp phòng
chống tổng thể,
o Các biện pháp và cách thức sử dụng hữu hiệu các công cụ giám sát hoạt động,
kiểm tra lỗ hổng của hệ thống mạng,
o Các vấn đề luật pháp liên quan đến tội phạm mạng,
o Các phƣơng pháp mã hóa phổ biến và ứng dụng mã hóa trong hệ thống mạng.
Hình 3.9: Đào tạo chuyên viên an ninh mạng
- Đào tạo ứng phó sự cố tấn cơng: Diễn tập ứng phó sự cố tấn cơng theo nhiều kịch bản tấn công khác nhau, theo từng chủ đề, xu hƣớng tấn công của các tội phạm mạng vào từng thời điểm thực tế cụ thể. Dƣới đây là ví dụ một số kịch bản tấn cơng
phổ biến nhƣ: Tấn công DoS/DDoS, tấn công web, tấn công sử dụng mã độc...Với các chủ đề nhƣ: ứng cứu sự cố website bị tấn công DdoS; điều tra và xử lý website bị tấn cơng; rà sốt và xử lý phần mềm gián điệp trên máy tính….
Hình 3.10: Đào tạo ứng phó sự cố
Cuối cùng, cơng ty cần có những buổi định kỳ thuê các tổ chức chuyên về an ninh mạng đào tạo về các chuyên đề an ninh mạng, xu hƣớng hiện nay, cập nhật thƣờng xuyên các mối đe dọa với tổ chức và những bài học an ninh mạng đang diễn ra, để lãnh đạo và toàn bộ nhân viên nâng cao nhận thức, cập nhật những định hƣớng hành động cho doanh nghiệp.
KẾT LUẬN
Từ những nội dung trình bày chi tiết 3 chƣơng, có thể kết luận nhƣ sau:
1.An ninh mạng là một khái niệm chung với nội hàm: Một là, là một quá trình liên tục, kết hợp của chuỗi các chính sách, cơng nghệ và con ngƣời; Hai là, đảm bảo an tồn các tài sản trên khơng gian mạng, bao gồm Tính sẵn sàng, Tính tồn vẹn và Tính bảo mật.
2. Các nƣớc và lãnh đạo trên thế giới đều đã nhận thức và hành động quyết liệt để đối phó với nguy cơ an ninh mạng. Các tổ chức, cá nhân tại Việt Nam cần chủ động đón nhận nguy cơ và triển khai thực tế các giải pháp đối phó với hoạt động gián điệp mạng và khủng hoảng an ninh mạng.
3. Hiện nay, gián điệp mạng sử dụng mã độc nhƣ: Virus (File, boot), Macro, Worm, Trojan, Spyware, Adware, Backdoor, Botnet, FakeAV, Ransomware… đang phát triển nhanh gây ra nhiều hậu quả nghiêm trọng trong cả hoạt động chính trị, kinh doanh và tất cả các hoạt động xã hội khác.
4. Nghiên cứu bức tranh khủng hoảng an ninh mạng trên thế giới và đặc biệt phân tích chi tiết các cuộc khủng hoảng tiêu biểu tại Việt Nam 4 năm trở lại đây cho thấy có ngun nhân lớn từ phía chủ quan của các doanh nghiệp bị tấn công, trên 3 yếu tố cơ bản là: cơ sở hạ tầng, quy trình quản trị mạng và yếu tố con ngƣời.
5. Nhìn nhận từ nguồn tài chính ni dƣỡng tội phạm mạng và tƣơng lai phát triển của công nghệ, cho thấy 06 xu hƣớng phát triển của tội phạm mạng trong thời gian tới nhƣ sau: hoạt động tấn công gián điệp mạng sử dụng mã độc vào các cơ sở hạ tầng trọng yếu; tấn cơng lấy cắp, rị rỉ dữ liệu; tấn công các thiết bị IoT và sản phẩm AI; tấn cơng trên điện tốn đám mây; xu hƣớng mã độc tống tiền và tấn công để lừa đảo, chiếm đoạt tài sản.
6. Một số giải pháp phòng chống gián điệp mạng sử dụng mã độc tiến công các doanh nghiệp đƣợc đƣa ra là:
Thứ nhất, xây dựng cơ sở hạ tầng mạng chuẩn, đảm bảo an ninh và phù hợp với tổ
chức.
Thứ hai, xây dựng các quy trình quản trị mạng theo tiêu chuẩn ISO, rà sốt và tn
thủ các chính sách bảo mật.
Thứ ba, cầ xây dựng chính sách nhân sự, nâng cao năng lực quản trị mạng và đào
DANH MỤC TÀI LIỆU THAM KHẢO
I. Tài liệu tiếng anh
1. Cyber security definitions - Douwe Korff, Associate of the Oxford Martin School of the University of Oxford’s Global Cybersecurity Capacity Centre, 2015
2. Tallinn manual on the intenational law applicable to cyber wafare - Michael N. Schmitt, Cambridge University press, 2013
3. Cybercrime: Conceptual Issues for Congress and U.S. Law Enforcement - Kristin Finklea, Specialist in Domestic Security and Catherine A. Theohary, Specialist in National Security Policy and Information Operations, 2015
4. Australian cyber security centre 2015 threat report – Australian government, ACSC
5. CNSSI 4009, NIST SP 800-53 Rev 4, NIPP, DHS National Preparedness Goal; White House Cyberspace Policy Review, May 2009
6. NIST: Guide to Malware Incident Prevention and Handling-Special Publication 800- 83”, 11/2005;
7. The sliding scale of cyber security - Robert M. Lee, SANS institute 2015
8. The UK Cyber Security Strategy, Protecting and promoting the UK in a digital world - The Rt Hon Francis Maude MP, Minister for the Cabinet Office and Paymaster General
9. US Target of Massive CyberEspionage Campaign - Ellen Nakashima, Washington post
10. National security strategy 2015, 2014, 2013- The White House
11. National security strategy and Stratgic defence and security review 2015, 2014, 2013 - A secure and prosperous United Kingdom
12. Canada’s Cyber Security Strategy - Goverment of Canada, 2015
13. The UK Cyber Security Strategy 2011-2016, Annual Report
14. Nation State Cyber Espionage and its Impacts - Dana Rubenstein, 2014
15. Comprehensive Servey of Cyber-Terrorism - George Jarvis (Prof. Raj Jai)
16. Cybersecurity and Cyberwar: What Everyone Needs to Know 1st Edition, nhà xuất bản Oxford University Press, P.W. Singer và Allan Friedman, 2014
17. Future Crimes: Inside the Digital Underground and the Battle for Our Connected World, nhà xuất bản Anchor, ấn phẩm New york times and Wall street journal bestseller, Marc Goodman, 2016
18. Các báo cáo tổng hợp, phân tích, thơng tin tham khảo chuyên sâu về tình hình an ninh mạng và gián điệp mạng trên thế giới và tại Việt Nam của Chính phủ và Tổ chức tƣ vấn các nƣớc, các tập đoàn an ninh mạng nhƣ Kaspersky, Norton, Mac Afee, Symantec…
II. Tài liệu tiếng việt
1. “Không gian mạng, tƣơng lai và hành động”, nhà xuất bản Công an nhân dân, 2015, tác giả Trần Đại Quang
2. Giáo trình cao học “Trinh sát tội phạm xâm phạm anh ninh mạng”, nhà xuất bản Công an nhân dân, 2015, tác giả Trần Văn Hịa chủ biên
3. Giáo trình cao học “Điều tra tội phạm xâm phạm an ninh mạng”, nhà xuất bản Công an nhân dân, 2015, tác giả Trần Văn Hòa chủ biên
4. “An ninh phi truyền thống: nguy cơ, thách thức, chủ trƣơng và giải pháp đối phó ở Việt Nam”, nhà xuất bản Đại học quốc gia Hà nội, 2014, tác giả Nguyễn Văn Hƣởng
5. Giáo trình Tổng quan quản trị an ninh – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015, tác giả Nguyễn Văn Hƣởng, Bùi Văn Nam, Hồng Đình Phi
6. Giáo trình Tổng quan quản trị An ninh phi truyền thống – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015, tác giả Nguyễn Văn Hƣởng, Bùi Văn Nam, Hồng Đình Phi
7. Giáo trình Hệ thống thơng tin và an ninh thơng tin – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015, tác giả Trần Văn Hịa
8. Giáo trình Quản trị rủi ro và An ninh doanh nghiệp – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015, tác giả Hồng Đình Phi
9. Quản lý khủng hoảng, “Cẩm nang Kinh doanh Harvard - Harvard Business Essentials” Nhà xuất bản Tổng hợp TP. HCM, năm 2007
10. Bộ giáo trình những kiến thức cơ bản về Cơng nghệ thơng tin và truyền thông cho lãnh đạo trong cơ quan nhà nƣớc – Trung tâm đảo tạo phát triển công nghệ thơng tin và truyền thơng Châu á – Thái Bình Dƣơng (APCICT)
11. Nhóm sách về an ninh mạng của các trƣờng đại học có chun ngành cơng nghệ thơng tin quản trị mạng
12. Sách trắng hằng niên về Công nghệ thông tin của Bộ thông tin và truyền thông từ năm 2012 trở lại đây
13. Luật An tồn thơng tin mạng năm 2015
14. Bộ luật Hình sự Việt Nam sửa đổi 2015
15. Những cơng trình nghiên cứu về An ninh mạng, đánh giá kết quả và dự đoán xu hƣớng