Nhiều hãng công nghệ lớn như Google, Nvidia xác định điểm yếu bảo mật lớn nhất là con người nên áp dụng chiến thuật: không tin ai.
Được gọi là Kiến trúc Zero-Trust, chiến thuật này giả định bất kể hệ thống được bảo mật mạnh mẽ như thế nào vẫn có thể bị xâm nhập bởi tin tặc. Mắt xích yếu nhất trong hệ thống phòng thủ là con người.
Thực tế thời gian qua, hàng loạt công ty lớn bị hacker tấn công đánh vào yếu tố con người. Uber và Rockstar Games là hai nạn nhân mới nhất. Trước đó, các công ty công nghệ hàng đầu như Microsoft, Nvidia hay Okta cũng bị tấn công và bị đánh cắp hàng loạt dữ liệu quan trọng.
Bên ngoài trụ sở chính của Uber tại San Francisco. Hình ảnh: Bloomberg
Điểm chung của các vụ hack trên là kẻ tấn công đã lừa được người điều hành hệ thống hoặc nhân viên nội bộ công ty, khiến họ nhầm lẫn và kích hoạt xác thực truy cập mạng hoặc đưa thông tin quan trọng khác vào hệ thống. Tin tặc. Loại tấn công này được gọi là kỹ thuật xã hội.
Trong trường hợp của Uber, tin tặc đã lừa nhân viên lấy thông tin đăng nhập mạng riêng ảo (VPN), từ đó có thể cho phép họ xâm nhập vào mạng nội bộ của công ty. Trên thực tế, social engineering là một hình thức tấn công khá phổ biến hiện nay. Phương pháp này tuy đơn giản nhưng các chuyên gia cho rằng nó sẽ tồn tại trong nhiều năm nữa vì “nâng cấp máy tính dễ hơn nâng cấp trí óc con người”. Các cuộc thi hack hiện tại cũng không đưa kỹ thuật xã hội vào danh mục được chấp nhận.
Trong cách tiếp cận truyền thống đối với an ninh mạng, các kỹ sư thường xây dựng càng nhiều lớp phòng thủ càng tốt. Boe Hartman, cựu giám đốc công nghệ của Goldman Sachs và là cựu giám đốc cơ sở hạ tầng xây dựng cho biết: “Chúng tôi đã xây dựng một con hào khổng lồ xung quanh lâu đài. Chỉ khi bạn phá vỡ con hào đó thì bạn mới vào trong”. xây dựng Thẻ Apple, cho biết.
Tuy nhiên, cách làm đó được đánh giá là chỉ có ý nghĩa trong quá khứ. Trong thời đại mà một công ty có rất nhiều nhân viên và nhà thầu đều có máy tính hoặc thiết bị cá nhân kết nối với hệ thống của công ty, việc bảo mật càng trở nên khó khăn hơn.
“Thật thảm khốc. Kẻ tấn công chỉ cần bước qua một cổng duy nhất là có thể xâm nhập vào toàn bộ vương quốc”, Hartman nhận xét.
Sức mạnh của ‘sự ngờ vực’
Kiến trúc Zero-Trust hiện được coi là cách đơn giản nhất và gần như duy nhất để bảo vệ chống lại các cuộc tấn công phi kỹ thuật. Anshu Sharma, Giám đốc điều hành của Skyflow, một công ty khởi nghiệp sử dụng nguyên tắc không tin tưởng để bảo vệ nó: “Mất lòng tin dựa trên ý tưởng rằng bạn không còn tin tưởng bất cứ thứ gì và bất kỳ ai trong hệ thống của mình. bảo vệ dữ liệu cá nhân cho các doanh nghiệp, cho biết.
Gần đây, các kỹ sư hệ thống thông tin đã bắt đầu xây dựng cơ sở hạ tầng bảo mật theo nhiều lớp nhất có thể. Ví dụ, nếu một người đăng nhập muộn vào hệ thống của công ty, họ chỉ được phép sử dụng một số quyền hạn chế. Ý tưởng ở đây là: ngay cả khi tin tặc xâm nhập vào bên trong, chúng vẫn sẽ bị giới hạn về chức năng và thời gian tấn công.
Một nguyên tắc khác của sự không tin tưởng được gọi là phân tích hành vi. Trong hệ thống, kỹ sư sẽ sử dụng phần mềm theo dõi hành vi của mọi người trên mạng và đánh dấu nếu bất kỳ ai làm điều gì đó bất thường, chẳng hạn như cố gắng thực hiện một khoản rút tiền ngân hàng khổng lồ hoặc tải xuống một lượng dữ liệu bất thường.
Tuy nhiên, phần quan trọng nhất của phương pháp hoài nghi là suy nghĩ luôn hoài nghi. “Ngay cả khi cần xác định ai đang xâm nhập vào hệ thống, các kỹ sư vẫn cần theo dõi mọi thứ. Trong khi đó, mỗi nhân viên cũng cần nhận thức được quyền của mình, làm những gì nên làm và trong phạm vi quyền hạn được phép”. Sharma nói.
Tuy nhiên, Kiến trúc Zero-trust có thể gây ra những xung đột không cần thiết giữa nhân viên và hệ thống. Bảo mật luôn là sự cân bằng giữa việc cung cấp cho mọi người quyền truy cập họ cần và yêu cầu họ chứng minh danh tính của mình. Đó là vấn đề thiết kế, một khái niệm được gọi là “nguyên tắc của đặc quyền ít nhất”, chỉ cho phép mọi người tiếp cận những gì họ cần. Nhưng nó đi ngược lại với ưu tiên của nhiều doanh nghiệp, vốn tập trung vào việc tối đa hóa hiệu quả hoạt động của họ hơn là đảm bảo chúng.
Một thập kỷ ‘mất lòng tin’
Trong khi nhiều doanh nghiệp chỉ mới biết đến Kiến trúc Zero-Trust gần đây, thì ngành bảo mật đã áp dụng chiến lược này trong hơn một thập kỷ, đặc biệt là các công ty lớn.
Một trong những công ty sớm nhận ra rằng các bức tường bảo mật không an toàn 100% là Google. Năm 2009, khi máy chủ Gmail ở Trung Quốc liên tục bị tấn công, công ty đã triển khai hệ thống BeyondCorp. BeyondCorp áp dụng cho tất cả các thành phần của hệ thống công nghệ thông tin, bao gồm người dùng, thiết bị, ứng dụng và dịch vụ, bất kể quyền sở hữu, vị trí thực tế hoặc mạng. Tất cả sẽ được xử lý nếu có sự nghi ngờ cố hữu. Theo đại diện của Google, thay đổi này thực sự giúp nhân viên dễ dàng làm việc từ mọi nơi mà không cần VPN.
Okta là một công ty chuyên về hệ thống xác minh danh tính con người không đáng tin cậy. Cho đến khi bị tấn công vào giữa năm, công ty đã cung cấp giải pháp Kiến trúc Zero-trust cho nhiều công ty lớn. Tuy nhiên, trớ trêu thay, chính Okta lại trở thành nạn nhân. Tương tự, Nividia cũng sử dụng công cụ lấy dấu vân tay kỹ thuật số Morpheus dựa trên AI để kiểm soát ai xâm nhập vào hệ thống, nhưng vẫn bị tấn công.
Theo Hartman, người hiện là đồng sáng lập của công ty chăm sóc sức khỏe Nomi, việc xây dựng một hệ thống dựa trên Kiến trúc Zero-trust tốn rất nhiều thời gian và nhân lực. Ông nói: “Ngoài sự cam kết của các cấp lãnh đạo cao nhất, mô hình này còn đòi hỏi sự tuân thủ của nhân viên.
Zero-trust Architecture cũng không phải là không có mặt trái của nó. Justin Boitano, Phó chủ tịch mảng điện toán doanh nghiệp tại Nvidia cho biết: “Tạo ra sự cân bằng giữa bảo mật và khả năng truy cập có nghĩa là có các cuộc trò chuyện liên tục giữa các đội bảo mật và nhân viên. Điều này không dễ để thực hiện.”
Hiện tại, Lapsus $ được coi là nhóm hacker nổi tiếng nhất chuyên áp dụng các hình thức tấn công phi kỹ thuật vào các công ty lớn, như Rockstar Games, Uber, Nvidia, Samsung, Apple, Microsoft … Nhóm này tập hợp những kẻ tấn công. thiếu niên. Theo dõi Bloomberg, một thành viên chủ chốt của nhóm 16 tuổi, sống ở Oxford. Cảnh sát Anh hồi đầu năm cũng bắt giữ 7 người từ 16 đến 21 tuổi, bị tình nghi là thành viên của Lapsus $.
Theo Boitano, trong thế giới kỹ thuật số mới, luôn có những kẻ rình rập không gian mạng. “Trong đầu bạn, bạn phải luôn nghĩ rằng có kẻ xấu xung quanh. Câu hỏi luôn xuất hiện trong đầu là làm thế nào để bảo vệ tài nguyên của bạn và tài sản trí tuệ của công ty mọi lúc”, ông nói.
Bảo Lâm (theo WSJ)
