6 phương pháp giúp quản lý Admin IT “rởm”

Quản Trị Mạng - Một trong những mối lo ngại lớn nhất các doanh nghiệp đang phải đối mặt là việc mất những dữ liệu quan trọng – ví như thẻ thanh toán hoặc thông tin nhận dạng cá nhân của khách hàng và nhân viên – từ chính nhân viên của công ty. Mối lo ngại này tập trung nhiều nhất ở những người quản lý hệ thống và quản lý mạng, những người có quyền truy cập tới hầu hết các dữ liệu của doanh nghiệp và chịu trách nhiệm ghi lại hầu hết các cuộc tấn công trong các trường hợp nội bộ.

Jason Benedict, một CISO thuộc Fordham University nói: “Giờ đây, điều mà tôi lo ngại nhất là “trộm nội bộ” hơn là hacker bởi đó chính là nơi yếu nhất của chúng ta. Chúng ta có firewall. Chúng ta có các biện pháp bảo vệ. Chúng ta có chương trình diệt virus. Chúng tôi đã chống lại các nguy cơ tấn công từ bên ngoài khá thành công. Lỗ hổng bên trong trường chính là nguy cơ tấn công bên trong. Tôi không nghĩ rằng chúng tôi có một người trong nội bộ đã trở thành trộm và đánh cắp dữ liệu rồi bán chúng. Tuy nhiên chúng tôi thường thấy… có người tìm duyệt dữ liệu mà họ không có quyền được xem. Những ai có thẩm quyền cao được biết tới là những người hay tìm duyệt mức lương của nhân viên bởi họ có thể làm như vậy”. (CISO là nhân viên phụ trách bảo mật, an toàn thông tin).

Câu hỏi bảo mật: bạn hiểu được bao nhiêu về “trộm nội bộ”?

Heather Wyson, phó giám đốc thuộc BITS Financial Services Roundtable, cho biết ngày càng có nhiều “tai nạn” bên trong các dịch vụ tài chính ở Mỹ.

Wyson nói: “Bạn có thể phải đối mặt với nguy cơ tấn công có chủ ý như tội phạm tài chính hoặc thông tin thích đáng và sự bố trí những quả bom logic cùng với malware, nhưng bạn cũng có thể có những tấn công không chủ ý được gây ra bởi chính những người nội bộ bên trong, ví như nhân viên công ty tình cờ mở được một file bị lây nhiễm, cài đặt một phần mềm không được phép dùng hoặc những nguy cơ tấn công từ các phương tiện truyền thông. Chúng tôi đã thấy được sự gia tăng của cả nguy cơ tấn công có chủ ý và không chủ ý từ những tấn công bên trong."

Khi trao đổi với các chuyên gia bảo mật CISO và IT về các bước thực tế các phòng IT có thể thực hiện để tối thiểu hóa nguy cơ tấn công nội bộ, họ đã đưa ra lời khuyên:

1. Hạn chế và quản lý người dùng với một số quyền đặc biệt.

Dựa theo dữ liệu báo cáo của Veziron, có tới gần 48% dữ liệu bị mất xuất phát từ những người bên trong. Những người nội bộ công ty bạn cần phải chú ý nhiều nhất là những ai có quyền đặc biệt. Verizon khuyến cáo rằng CIO nên sử dụng các màn hình theo dõi để loại bỏ những nhân viên “có tiềm năng” khi họ vi phạm các luật sử dụng trước đây. BITS cung cấp thành viên của họ dịch vụ chống lừa đảo, nơi họ có thể chia sẻ thông tin về những nhân viên trước đây đã bị phát hiện có dấu hiệu phạm tội nhưng không bị khởi tố. Ngoài ra, nhân viên không nên có quá nhiều quyền so với nhu cầu cho công việc hiện tại, và trách nhiệm nên được chia sẻ để không xảy ra việc có quá nhiều quyền được tập trung cho một người. Veziron khuyến cáo rằng: “Các quyền được sử dụng nên được ghi lại và tạo thành bản thông báo để có thể quản lý tốt hơn. Các quyền sử dụng không nằm trong kế hoạch rất đáng báo động và nên điều tra lại chúng.”

2. Giữ nguyên những truy cập và đặc quyền của người dùng, nhất là trong suốt thời gian họ thực hiện công việc.

Verizon phát hiện ra rằng 24% các vụ tấn công từ bên trong đều liên quan tới nhân viên vừa mới thực hiện xong một công việc. Một nửa trong số họ đã bị sa thải, trong khi những người khác đã tự xin nghỉ hoặc được gán làm một công việc khác trong công ty. Các vi phạm xảy ra khi tài khoản của một nhân viên không được loại bỏ nhanh chóng hoặc nhân viên này được phép kết thúc ngày làm việc sau khi bị giới hạn. Đó chính là lý do tại sao Veziron khuyến cáo các công ty nên có kế hoạch giới hạn hợp lý và bao gồm tất cả những khu vực truy cập.

3. Quản lý nhân viên có dấu hiệu phạm lỗi

Verizon đã phát hiện rằng những nhân viên có “tiền sử” trong việc có hành động xấu trực tuyến thường có khả năng trở thành những tên tội phạm lớn hơn như tham ô hoặc ăn cắp sở hữu trí tuệ. CIO cũng nên chú ý tới những nhân viên đã từng vi phạm các điều khoản trực tuyến và các hành động không hợp pháp khác như xem các nội dung đồi trụy, không hợp pháp trên hệ thống của họ, bởi đây là dấu hiệu phạm tội sau này. Veziron đã nghiên cứu và thấy được những nhân viên có hành động ăn trộm dữ liệu, trước đây đã từng bị phát hiện có những hành động không tốt nêu trên.

4. Sử dụng phần mềm để phân tích các file bản ghi và thông báo cho bạn ngay khi có bất cứ điều gì khác thường xảy ra.

Khi Veziron điều tra về một vi phạm bảo mật, chứng có được phát hiện trong các file bản ghi chiếm tới 86% các trường hợp. Hãng này đã chỉ ra 3 dấu hiệu bất thường có thể thấy trong các dữ liệu ghi lại: sự gia tăng bất thường của dữ liệu ghi lại; các dòng dài bất thường trong các bản ghi; sự thiếu vắng hoặc giảm bất thường của dữ liệu bản ghi. Veziron cho rằng họ đã từng thấy các bản ghi tăng lên 500% khi theo dõi dấu hiệu phạm tội, và bản ghi cũng hoàn toàn mất đi sau khi kẻ tấn công bị loại bỏ. SQL injection - một kỹ thuật điền vào những đoạn mã SQL bất hợp pháp – và các kiểu tấn công khác thường để lại các dòng trong bản ghi dài hơn so với các hành động bình thường. Có rất nhiều phòng quản trị CNTT đã cài đặt công cụ quản lý sự kiện và phân tích để rồi quên mất nó, thay vì thường xuyên theo dõi đầu ra của chúng. Veziron khuyến cáo bạn nên cài đặt những công cụ này để có thể theo dõi các hành động. Điều này dễ dàng như một script giúp tính toán các dòng bản ghi và gửi thông báo rất hiệu quả.

5. Xem xét việc triển khai công nghệ chống mất dữ liệu.

Ngày nay, CIO đang phải đối mặt với vấn đề sở hữu trí tuệ đang dần rời khỏi công ty họ. Vì vậy, họ phải cài đặt phần mềm để có thể quản lý và lọc lưu lượng đi ra từ mạng nội bộ. Ví dụ, Unisys đã có một dự án thử nghiệm công nghệ chống mất dữ liệu nhằm chống lại sự tổn thất sở hữu trí tuệ của công ty. Benedict tiết lộ rằng Fordham có kế hoạch đầu tư $500,000 vào phần mềm DLP ngay khi ngân sách có khả năng đáp ứng. Veziron khuyến cáo các tổ chức nên lọc lưu lượng đi ra từ mạng, cũng như lưu lượng đi vào mạng. Bằng cách quản lý, hiểu và kiểm soát lưu lượng đi ra, một tổ chức sẽ được lợi rất nhiều từ đó trong việc giảm bớt những hành động xấu.

6. Phổ biến kiến thức về “trộm nội bộ” cho các nhân viên.

Nhân viên CISO nên thường xuyên có những buổi phổ biến kiến thức cho toàn bộ cán bộ nhân viên – đặc biệt là nhân viên IT – về các nguy cơ tấn công bảo mật và cách để nhận dạng đồng nghiệp – những người có hành động xấu như đánh cắp dữ liệu quý. Titus nói rằng đồng minh lớn nhất của CISO trong mặt trận chống lại những tên “trộm nội bộ” là đồng nghiệp của họ. Trong khi đó, Wyson lại khuyến khích các công ty một đường dây nóng để các nhân viên có thể báo cáo ẩn danh những hành động xấu mà họ biết được hoặc cho rằng đang xảy ra. Benedict không chỉ thường xuyên mở các khóa huấn luyện cảnh giác bảo mật mà còn cung cấp các bản báo cáo, các cuốn sách nhỏ cho nhân viên của mình về các nguy cơ tấn công bảo mật cập nhật nhất. Fordham cũng khuyến cáo các dịch vụ truyền thông, bao gồm Facebook, Twitter, và các trang blog, trong việc tiếp tục phổ biến kiến thức cho các nhân viên đại học về nguy cơ tấn công bảo mật.