Mặc dù hầu hết các tổ chức vẫn sử dụng tường lửa (Firewall) như tuyến phòng thủ đầu tiên và tường lửa vẫn là yếu tố chủ chốt trong chiến dịch bảo mật của tổ chức, những thay đổi về vị trí đặt dịch vụ, người kiểm soát dịch vụ và cách sử dụng dịch vụ tiếp tục thách thức mô hình đó. Xu hướng hướng tới các dịch vụ dựa trên nền tảng đám mây (cloud-based services) ngày càng phát triển mạnh mẽ.
Nâng độ bảo mật truy cập của bạn lên cấp độ Zero-trust yêu cầu phân tích và kiểm tra liên tục
Số lượng hoạt động kinh doanh được tiến hành từ xa tăng cao đến mức chưa từng có và nhân viên đang sử dụng thiết bị của riêng họ để làm điều đó. Ít nhất, các dịch vụ dựa trên nền tảng đám mây đã tạo ra một sự thay đổi lớn cho các hoạt động công nghệ thông tin trong việc tạo các lớp bảo vệ an ninh cho các dữ liệu được quản lý.
Trong tương lai gần, các tổ chức có lộ trình Zero-trust không bao gồm kế hoạch loại bỏ tường lửa hoặc bất kỳ loại ranh giới bảo mật dựa trên chu vi nào khác, đặc biệt là những tổ chức có môi trường hỗn hợp (hybrid environment). Thay vào đó, sự thay đổi trong bảo mật mạng là chuyển hướng khỏi cách tiếp cận truyền thống, nơi các tài nguyên bên trong tường lửa được phân phối truy cập đơn giản hơn so với các tài nguyên bên ngoài.
Trọng tâm ban đầu của Zero-trust là áp dụng các biện pháp kiểm soát chặt chẽ hơn cho từng phân đoạn mạng và điểm cuối tài nguyên. Hoặc, nếu như so sánh nó giống như một tòa nhà thì đặt một nhân viên bảo vệ ở các cửa, hành lang và thang máy – và thậm chí ở mỗi lối vào văn phòng.
Tuy nhiên, bất chấp nguồn gốc mạng của Zero-trust, điều quan trọng là hiện nay, những khái niệm tương tự này đã chuyển sang lớp ứng dụng và dịch vụ. Cách tiếp cận này có nghĩa là CNTT có thể sử dụng phương pháp Zero-trust để kiểm soát các phản hồi truy cập trực tiếp vào các tài nguyên được bảo vệ. Mặc dù nó cung cấp tính linh hoạt hơn nhiều so với phương pháp tiếp cận mạng cho các dịch vụ dựa trên nền tảng đám mây, mức độ kiểm soát chi tiết này có thể sẽ tạo ra các tình huống trong đó các chính sách xác thực tĩnh làm giảm trải nghiệm của người dùng.
Nhắc lại phép so sánh về nhân viên bảo vệ ở mọi cửa, hãy tưởng tượng bạn phải xác thực trước khi bước vào mọi phòng trong tòa nhà. Thay vào đó, bảo mật bằng phương pháp Zero-trust cần một mô hình xác thực động linh hoạt hơn nhiều và ít xâm phạm hơn so với các triển khai tĩnh hiện nay.
Vẫn không có ý nghĩa bảo vệ chống lại vi phạm dữ liệu
Ngay cả trước khi thế giới kỹ thuật số chuyển hàng loạt sang các dịch vụ dựa trên nền tảng đám mây, rõ ràng là các chiến lược bảo mật hiện trạng không phụ thuộc vào nhiệm vụ bảo vệ tài nguyên của nó. Một nguồn tài liệu để nghiên cứu về xu hướng vi phạm dữ liệu là Báo cáo điều tra vi phạm dữ liệu của Verizon (Verizon Data Breach Investigations Report-DBIR).
Mỗi năm, DBIR cung cấp ảnh chụp nhanh và toàn diện nhất về bối cảnh vi phạm dữ liệu trên toàn thế giới. Báo cáo này được xây dựng từ một cuộc khảo sát trên toàn thế giới và nhiều cuộc phỏng vấn. Các báo cáo hàng năm này (có từ năm 2008) tiết lộ rằng, mặc dù có vô số dự án bảo mật với hàng tỷ đô la đầu tư, những người bên ngoài vẫn có khả năng vi phạm hệ thống phòng thủ của tổ chức ngày nay như họ đã từng cách đây một thập kỷ.
Hãy xem xét các trường hợp sau đây, trong đó, thông tin đăng nhập của người dùng có thể bị xâm phạm và các tổ chức vẫn không có cách bảo vệ hiệu quả để chống lại tình trạng đó:
- Lừa đảo qua giọng nói hoặc một cuộc tấn công kho dữ liệu của một người nào đó có thông tin đăng nhập chung
- Truy cập một trang web đã bị lỗi với mã tập lệnh giữa các trang web để lừa người dùng chuyển giao thông tin đăng nhập của mình
- Thiết bị di động của người dùng hoặc một số loại BYOD khác đã bị xâm nhập, bị đánh cắp hoặc đang chạy hệ điều hành chưa được vá lỗi dễ bị tấn công.
Với sự thiếu tiến bộ này, rõ ràng là cần phải có một sự thay đổi mô hình bảo mật đáng kể. Bắt đầu với Zero-trust.
Vai trò của xác thực liên tục trong quản lý truy cập thích ứng
Zero-trust là một sự bổ sung thích hợp vào mô hình bảo mật truy cập, tuy nhiên, nó yêu cầu sự thay đổi cơ bản đối với cách thức truy cập được phân phối. Với Zero-trust, cả thiết bị của người dùng và nguồn gốc của yêu cầu đều không tự động cấp quyền truy cập vào các dịch vụ. Tuy nhiên, nó đòi hỏi nhiều thông tin hơn về ngữ cảnh của câu hỏi, cũng như mức độ xác minh cao hơn về danh tính yêu cầu nó. Đó là mức độ bảo mật nghiêm ngặt và thích ứng.
Ngay từ những ngày đầu của thời đại máy tính, thông tin kỹ thuật số đã được bảo vệ bởi một số loại khóa, điển hình là tên người dùng và mật khẩu, luôn ở đầu phiên. Khi được bảo đảm, một lần nữa, mức bảo mật cao hơn được thiết lập bằng cách sử dụng mã thông báo hoặc xác thực hai yếu tố vào đầu phiên.
Thông thường, các cấu hình này là tĩnh. Các quy tắc thường đơn giản, có nghĩa là khi xác thực từng bước được gọi, nó thường dựa trên các tiêu chí đơn giản như người dùng ở xa hay thiết bị được biết đến. Mô hình xác định trong các tình huống này là mức độ rủi ro ban đầu được đánh giá và điều chỉnh tại thời điểm yêu cầu quyền truy cập và không được tính toán lại cho phần còn lại của phiên.
Với xác thực liên tục, đánh giá của hệ thống về việc có nên tiếp tục truy cập vào một dịch vụ hay không được đánh giá lại nhiều lần. Các chỉ số truy cập liên tục được thu thập và rủi ro thường xuyên được tính toán lại. Khi các nhóm bảo mật CNTT xác định các mô hình rủi ro phù hợp với doanh nghiệp của họ, mô hình không tin cậy là một đại diện vòng kín, không phải là một mô hình mở. Không chỉ theo dõi và kiểm soát vòng kín là một cách tiếp cận bảo mật cao hơn, mà mô hình này còn có lợi cho việc phân tích hành vi, cung cấp mức độ đo lường tập trung vượt xa các số liệu rủi ro tiêu chuẩn thường được sử dụng ngày nay.
Mô hình kiểm soát truy cập Grant and forget có vai trò trong việc thực thi các chính sách của công ty nhưng vẫn tiếp tục thiếu hụt trong thế giới kết nối ngày nay.
Như đã lưu ý trước đó, ngoài lợi thế bảo mật của việc duy trì quyền kiểm soát truy cập của mỗi phiên, theo dõi người dùng liên tục không chỉ nâng cao khả năng bảo vệ dữ liệu – nó cho phép bạn xây dựng một thư viện ngữ cảnh người dùng lớn hơn nhiều. Kho lưu trữ thông tin theo ngữ cảnh này cung cấp nền tảng từ đó có thể áp dụng phân tích hành vi của người dùng và tổ chức (UEBA) để xây dựng một mức độ thông minh rủi ro sâu hơn, vượt xa xác thực dựa trên rủi ro thông thường. Tổng quan lại, xác thực liên tục cung cấp các lợi ích bảo mật ngay lập tức cũng như bảo vệ phức tạp hơn theo thời gian, chẳng hạn như:
- Đo lường các hành động để xác định xem có nên thay đổi cấp độ ủy quyền hay không để bảo vệ tốt hơn ngay lập tức.
- Thu thập thông tin theo ngữ cảnh mỗi khi dữ liệu cần bảo vệ được truy cập sẽ xây dựng một hồ sơ hoàn chỉnh hơn về hành vi bình thường của người dùng.
- Tận dụng công nghệ UEBA, thực hiện phân tích dữ liệu theo ngữ cảnh một cách thường xuyên cung cấp bức tranh chính xác hơn về hành vi được mong đợi, cải thiện khả năng xác định các tình huống rủi ro.
- Hiện nay, hơn bao giờ hết, việc theo dõi tất cả các loại Nguồn đầu vào (Input Sources) khác nhau để phát hiện rủi ro là điều cần thiết. Ví dụ: các tương tác API như microservices chiếm phần lớn chuyển động dữ liệu hàng ngày. Nếu tổ chức của bạn chỉ dựa vào kiểm tra bảo mật API để bảo mật theo chương trình, bạn sẽ dễ bị tấn công.
- Hầu hết các chỉ số được cung cấp cho Công cụ rủi ro (Risk Engine) đều mang tính quy định, tuy nhiên, Tham số bên ngoài (External Parameters) bao gồm thông tin ngữ cảnh phức tạp hơn, chẳng hạn như các chỉ số dựa trên UEBA. Xác thực liên tục cho phép chấm điểm liên tục và kiểm soát phiên hoạt động.
- Không phải tất cả Tài nguyên hoặc Ứng dụng (Resource or Applications) của bạn hoặc các tài nguyên kỹ thuật số khác đều yêu cầu chi phí bảo mật Zero-trust hoặc thậm chí là bảo vệ dựa trên rủi ro. Để giảm chi phí, hãy giới hạn các mô hình bảo mật Zero-trust chỉ những tài nguyên cần nó.
- Việc mở rộng khả năng đo lường bối cảnh của người dùng giúp cải thiện khả năng xác định hành vi rủi ro và đưa ra hành động phù hợp (yêu cầu thực hiện, gọi xác thực bổ sung hoặc chấm dứt phiên) dựa trên Mức độ rủi ro được tính toán (Calculated Levels of Risk).
Quản lý quyền truy cập thích ứng cho cơ sở hạ tầng bảo mật của bạn
Như đã đề cập trước đó, các biện pháp phòng thủ truyền thống như tường lửa, chính sách và cấu hình truy cập tĩnh không đạt hiệu quả cao khi chống lại những tin tặc “tiên tiến” ngày nay. Thay vào đó, việc nâng cấp lên xác thực liên tục cung cấp mức độ thông minh cơ bản (bối cảnh người dùng nâng cao) và các điều khiển cần thiết để cung cấp năng lượng quản lý truy cập thích ứng. Xác thực liên tục áp dụng các loại đánh giá rủi ro tương tự như xác thực dựa trên rủi ro cơ bản nhưng vẫn hoạt động trong suốt phiên. Cách tiếp cận toàn diện để quản lý truy cập này bảo vệ chống lại cả những người bên ngoài, những người có công cụ yêu thích là thông tin đăng nhập bị xâm phạm (lừa đảo hoặc bị tấn công) và các cuộc tấn công trung gian, cũng như những người trong cuộc lạm dụng các quyền được cấp của họ hoặc những người lợi dụng thông tin đăng nhập được chia sẻ để đạt được quyền truy cập chưa được phê duyệt.
Để cơ sở hạ tầng bảo mật thích ứng hoạt động hiệu quả, bảo mật cần vượt ra ngoài các chính sách rủi ro theo quy định và dựa nhiều hơn vào phân tích hành vi và bối cảnh người dùng sâu hơn. Các nhóm bảo mật rất có thể thấy rằng sử dụng phương pháp kết hợp trong đó các chính sách truy cập theo quy định được thực thi theo mặc định nhưng được cung cấp ít trọng lượng hơn cho từng cá nhân do thông tin hành vi được tích lũy đến mức độ tin cậy cao cho một người dùng cụ thể. Để đáp ứng các tình huống đa dạng, các tổ chức có thể cần kết hợp các phương pháp xác thực thụ động và mạnh mẽ để áp dụng phương pháp xác thực phù hợp nhất dựa trên tình huống và rủi ro, tức là mức độ nhạy cảm của thông tin và bối cảnh truy cập.
Quản lý quyền truy cập thích ứng cho doanh nghiệp của bạn
Một trong những thách thức chính của việc mở rộng quyền truy cập của người dùng với xác thực liên tục là khả năng sử dụng. Đôi khi, sẽ có các chính sách hoặc sự kiện bảo mật hành vi làm gián đoạn người dùng hợp pháp. Vì vậy, trong khi mức độ thông minh theo ngữ cảnh cao hơn là cốt lõi của việc quản lý truy cập thích ứng, thì xác thực không có ma sát mới là thứ làm cho nó trở nên có giá trị. Giảm yêu cầu xác thực mạnh khi một sự kiện rủi ro được kích hoạt sẽ giúp người dùng làm việc hiệu quả và giúp loại bỏ các giải pháp thay thế không mong muốn.
Phương pháp phổ biến nhất để loại bỏ hoặc giảm thiểu những gián đoạn này là xác minh danh tính của người dùng thông qua xác thực thụ động. Xác thực thụ động có thể là sinh trắc học, đặc điểm hành vi (ví dụ: cách nhập độc nhất của một người) hoặc thứ gì đó mà người dùng có (chẳng hạn như thiết bị di động hỗ trợ Bluetooth gần với thiết bị đang được sử dụng yêu cầu). Thư viện các phương pháp xác thực thụ động có sẵn để sử dụng càng lớn, bạn càng phải linh hoạt hơn để so khớp phương pháp phù hợp với tình huống, hoặc khả năng linh hoạt gọi nhiều loại để tăng độ tin cậy xác minh của bạn. Một cách khác để sử dụng thiết bị di động để xác minh người dùng một cách thụ động là thông qua Hệ thống toàn cầu dành cho truyền thông di động (GSM), hệ thống này có độ chính xác đáng ngạc nhiên Một số thiết bị FIDO cũng hoàn toàn thụ động.
Mỗi phương pháp đều có điểm mạnh và điểm yếu, và không có phương pháp nào đáp ứng được nhu cầu của bạn. Nếu bạn yêu cầu xác thực không ma sát hoặc nếu bạn cần kết hợp các phương pháp không ma sát và ít ma sát cho các tình huống, điểm rủi ro hoặc sự kiện hành vi khác nhau, thì đây là một số tùy chọn để xem xét:
- Chất lượng tốt, đầu đọc dấu vân tay cảm ứng rộng
- Bản in bằng giọng nói
- Các thiết bị có độ ma sát thấp do FIDO cung cấp chỉ cần một cú chạm đơn giản hoặc một cái vẫy tay trên điện thoại thông minh
- Nhận dạng khuôn mặt di động bằng camera selfie của điện thoại thông minh
Ngoài ra còn có các tùy chọn khác, nhưng nhiều tùy chọn có độ ma sát cao hơn những tùy chọn được liệt kê ở trên. Có các tùy chọn giữ cho quyền truy cập thích ứng vô hình đối với người dùng hợp pháp là điều tối thiểu quan trọng để quản lý quyền truy cập thích ứng thành công.
Quản lý quyền truy cập thích ứng là cốt lõi của Zero Trust
Tóm lại, các tổ chức cần các cách tiếp cận quản lý quyền truy cập mới để đạt được mức độ bảo mật Zero-trust — mức độ bảo mật mà hành vi bảo mật mặc định giả định là một môi trường thù địch. Xác thực liên tục này tạo ra quyền truy cập thích ứng thực sự bằng cách:
- Mở rộng giám sát và kiểm soát trong suốt phiên
- Phát hiện khi mức độ rủi ro đã thay đổi kể từ khi bắt đầu phiên và sau đó bắt đầu một yêu cầu xác thực
- Điều chỉnh (giảm hoặc tăng) mức ủy quyền dựa trên rủi ro đã xác định và xác minh danh tính sẵn có
Các tổ chức ngày nay cần phát hiện rủi ro vượt ra ngoài các chính sách đã xác định để đưa vào phân tích hành vi. Cách duy nhất để đạt được các chỉ số với độ sâu cần thiết là thu thập các chỉ số ngữ cảnh phong phú hơn và áp dụng công nghệ máy học cho chúng.
Xác thực không có ma sát hoặc ma sát thấp là điều cần thiết để truy cập thích ứng. Nếu sự gián đoạn của người dùng không được giảm thiểu, thì xác thực liên tục sẽ không khả thi đối với doanh nghiệp. Mặc dù mức độ gián đoạn người dùng có thể chấp nhận được thay đổi theo từng tổ chức, nhưng càng gần mức 0, bạn càng phải linh hoạt hơn để cung cấp quyền truy cập thông tin nhạy cảm một cách an toàn.
Sử dụng Dòng sản phẩm NetIQ để xây dựng Quản lý truy cập thích ứng
Khi các tổ chức hiện đại hóa kiến trúc quản lý danh tính và quyền truy cập, họ nhận ra rằng Micro Focus cung cấp bộ giải pháp phong phú nhất để thực thi đặc quyền ít nhất, quản lý danh tính và quyền truy cập cũng như xây dựng môi trường Zero-trust. Đọc tiếp để tìm hiểu về các sản phẩm NetIQ mà nhóm bảo mật CNTT đang sử dụng để đạt được quản lý truy cập thích ứng.
Trình quản lý truy cập NetIQ (NetIQ Access Manager)
Cho dù đó là thông qua Danh mục trình kết nối gồm các trình kết nối được tạo sẵn hay thông qua công cụ tự cấu hình Connector Studio, NetIQ Access Manager được chú ý vì tính đơn giản trong việc hỗ trợ SSO và liên kết. Bạn cũng có quyền truy cập vào nhóm Nhà máy kết nối (Connector Factory team) cho các trang web công khai nếu bạn cần trợ giúp cắm đúng siêu dữ liệu.
Access Manager cũng đi kèm với proxy ngược của riêng nó, phục vụ như một cổng ứng dụng và dịch vụ. Cổng giúp các ứng dụng có thể truy cập được trên nhiều tài nguyên và có thể được định cấu hình để đơn giản hóa trải nghiệm người dùng. Và mặc dù nó thường được sử dụng để thêm lớp bảo mật cho các ứng dụng kế thừa, bạn cũng có thể sử dụng nó kết hợp với đăng nhập một lần được liên kết để mang lại trải nghiệm người dùng tốt nhất.
Dựa trên mức độ rủi ro, Access Manager có thể thay đổi quyền của người dùng đối với các dịch vụ và giúp người dùng có thể phản ứng ngay lập tức với mối đe dọa. Khả năng của Access Manager trong việc thực thi xác thực ngay lập tức hoặc cắt quyền truy cập khiến nó trở thành yếu tố cần thiết để tạo môi trường truy cập thích ứng.
Dịch vụ Rủi ro NetIQ (NetIQ Risk Service)
NetIQ Risk Service là một công cụ rủi ro thế hệ tiếp theo được thiết kế để tích hợp trên toàn bộ dòng sản phẩm NetIQ. Dịch vụ rủi ro hiện hỗ trợ tích hợp với Xác thực nâng cao NetIQ (NetIQ Advanced Authentication) và Trình quản lý truy cập NetIQ (NetIQ Access Manager), với nhiều tích hợp hơn đang được triển khai. Ngoài việc cung cấp tính năng chấm điểm rủi ro dựa trên chính sách quy định, NetIQ Risk Service cũng hỗ trợ tích hợp với các giải pháp Phân tích hành vi của người dùng và thực thể (UEBA) như Micro Focus Interset. Những tích hợp này cung cấp tính điểm rủi ro theo thời gian thực trên tất cả các tài nguyên được bảo vệ, cũng như phân tích rủi ro có thể được chi tiết cho từng người dùng.
Bộ lấy nét siêu nhỏ (Micro Focus Interset)
Mặc dù Interset không phải là một phần của dòng sản phẩm NetIQ, nhưng nó là giải pháp Micro Focus để áp dụng công nghệ máy học hiện đại nhằm tạo ra phân tích hành vi người dùng nâng cao. Interset tập hợp các số liệu của người dùng trong toàn bộ phiên, từ đó nó phát triển các tiêu chí đánh giá rủi ro chi tiết ở cấp độ người dùng. Được sử dụng cùng với công cụ tích hợp của Dịch vụ rủi ro (Risk Service’s built-in engine), Interset mang đến khả năng độc đáo để tăng khả năng sử dụng trong khi tăng cường bảo mật.
Xác thực nâng cao NetIQ (NetIQ Advanced Authentication)
Xác thực nâng cao NetIQ là một khuôn khổ kiến trúc mở, dựa trên các tiêu chuẩn được thiết kế để trở thành điểm tích hợp duy nhất cho toàn bộ tổ chức. Nó cung cấp hàng tá kiểu xác thực gốc, bao gồm cả kiểu thụ động. Ngoài lợi thế bảo mật mà nó cung cấp bằng cách có tất cả các chính sách xác thực ở một vị trí trung tâm, khung của Advanced Authentication là cơ sở hạ tầng hoàn hảo để xây dựng một thư viện các phương pháp (thụ động và khác) khi cần thiết. Nó cung cấp một số cơ hội để người dùng xác minh danh tính của họ trước khi bị chặn truy cập. Xác thực thích ứng cũng cung cấp độ tin cậy bằng không kết hợp với nhiều loại xác thực của nó.
—————————
CÔNG TY CỔ PHẦN CYBERLOTUS
Tổng đài CSKH: 1900 2038
Hotline: 0938.2620.38
Website: cyberlotus.com
Email: info@cyberlotus.com