Thế giới điện toán di động đang chuyển biến nhanh chóng. Là một quản trị hệ thống IT, bạn hãy chuẩn bị vũ khí đối phó với những hiểm nguy rình rập từ mọi phía. Dưới đây là 5 xu hướng bảo mật đang nổi lên trong thời mới.
Web 2.0: Web hóa mọi thứ
Mặc dù hiện nay, có thể bạn và một số lập trình viên vẫn cho rằng Web không phải là thích hợp cho mọi ứng dụng, nhưng việc sử dụng ngôn ngữ lập trình truyền thống, không dựa trên Web, có vẻ không còn hợp thời nữa.
Đúng là Web không phải là lựa chọn tốt nhất cho mọi ứng dụng, thậm chí còn chạy chậm hơn và khó xây dựng hơn. Nhưng vấn đề ở đây là tính tiện dụng. Và thực tế là, cả thế giới đang chuyển sang Web 2.0, mọi ứng dụng hầu như đều hướng tới nền tảng Web 2.0.
Người dùng trong tương lai đều mong muốn truy cập ứng dụng của bạn thông qua trình duyệt Web hoặc một dịch vụ Web, cho dù là sử dụng với PC, smartphone, máy tính bảng, hay một thiết bị di động nào khác. Nếu ứng dụng của bạn không sẵn sàng cho trình duyệt Web, nó sẽ không được sử dụng hoặc rút cục sẽ phải bỏ đi hay viết lại. Là một lập trình viên, bạn hãy nhớ kỹ điều đó.
Tuy vậy, không phải là bạn chỉ cần tạo các ứng dụng có khả năng chạy bằng trình duyệt Web, mà phải tính dài hơi hơn. Các công nghệ ảo hóa truyền thống ngày nay, như mạng riêng ảo non-Web và các cổng ra ứng dụng chỉ mang tính ngắn hạn. Trong tương lai, để ứng dụng tồn tại lâu dài, ứng dụng phải được Webified (ứng dụng được kích hoạt từ một trình duyệt Web hay một ứng dụng Web khác) ngay trong lõi của nó.
“Loạn” thiết bị cá nhân tính năng cao cấp
Rồi đây, các quản trị viên IT có trách nhiệm về bảo mật sẽ phải giám sát thiết bị cá nhân nhiều hơn chứ không phải là máy tính. Smartphone và iPad (hoặc các máy tính bảng khác) đang xâm nhập vào các doanh nghiệp/tổ chức một cách nhanh chóng, trong khi việc bảo đảm an toàn thông tin khi sử dụng thiết bị di động trong mạng doanh nghiệp lại không theo kịp. Trong nhiều trường hợp, các quản trị viên còn không có cơ hội để giám sát thiết bị.
Hãy khoan đề cập đến vấn đề mật khẩu phức tạp hay đơn giản, thực tế là ngay cả mật khẩu có được người dùng sử dụng hay không, bạn cũng không thể biết. Thêm nữa, bạn sẽ không thể giám sát được tình trạng cập nhật các bản vá đến đâu, cài đặt các phần mềm chống malware và Trojan thế nào, và có tường lửa hay không. Bạn quen nghĩ rằng các thiết bị không được quản lý không thể truy cập những thông tin quan trọng và có giá trị nhất, nhưng với các thiết bị cá nhân, họ có thể. Bạn cũng thường cho rằng người dùng sẽ tuân thủ các chính sách hiện hành, nhưng không phải vậy. Đó là thực tế hiển hiện: trách nhiệm gắn với bạn, nhưng không hề có quyền hạn.
Token: Thiết bị sinh mã ngẫu nhiên dùng một lần
Web và các loại hình đám mây riêng, đám mây chung, hay đám mây lai sẽ yêu cầu người dùng đăng nhập một lần, theo cơ chế gọi là SSO (single sign-on), để xác thực quyền đầy đủ sử dụng mọi tài nguyên và dịch vụ. Điều này đem đến thuận tiện và tăng tính bảo mật cho người dùng thông qua một tên đăng nhập và mật khẩu hoặc mã sinh ra một lần bởi thiết bị chuyên dụng, gọi là Token.
Như vậy, bạn sẽ được yêu cầu để hệ thống vận hành theo cơ chế SSO, kể cả với các hệ thống bạn không giám sát. Bạn sẽ thực hiện bằng cách sử dụng các tiêu chuẩn hiện hành qui định cho Web, các gateway của đám mây, và các hệ thống yêu cầu xác định danh tính. Thay vì lo lắng về các giao thức xác thực và các kiểu mật khẩu phức tạp, bạn sẽ bảo vệ các Token SAML (Security Assertion Markup Language) dựa trên XML.
Tin tặc trở thành kẻ cướp đoạt tài sản
Trước đây, bọn tội phạm chuyên nghiệp đột nhập công ty để lấy cắp tiền bạc và “chuồn” nhanh. Bây giờ chúng bám dai dẳng hơn với các mối đe dọa ngày càng nguy hiểm.
Mục đích của các cuộc tấn công này là đánh cắp để sở hữu lâu dài mọi tài sản trí tuệ và bí mật của công ty. Thủ phạm muốn cướp mọi thành quả của công ty bạn để biến thành cái của chúng hoặc bán cho các đối thủ cạnh tranh. Chúng có thể có tất cả các mật khẩu với quyền cao nhất. Nếu bạn bắt quả tang chúng, chúng sẽ không làm bất cứ điều gì khác.
Vấn đề nằm ở chỗ, bọn tội phạm đang ở một quốc gia khác, nên bạn khó có thể tiến hành các thủ tục pháp lý để khởi kiện chúng. Thêm nữa, không thể diệt trừ tận gốc những mối hiểm nguy tiềm tàng mà chúng giăng ra, bởi chúng đã len lỏi bám sâu vào các hệ thống của tổ chức bạn trong cả một quá trình dài. Đây là mối đe dọa nguy hiểm hơn rất nhiều lần so với các loại virus macro hay virus khởi động có thể gây ra trong những năm qua.
DMZ là “xưa” rồi
DMZ thường bị rò rỉ. Kẻ xấu khi đột nhập được vào máy tính của người dùng hợp pháp, sẽ bắt đầu dùng máy làm bàn đạp để khai thác mạng doanh nghiệp. Chúng sử dụng thuật toán AES để mã hóa dữ liệu đánh cắp chuyển qua cổng 443, do vậy bạn không thể thấy những gì mà chúng đang làm.
Thay vì tạo ra một hoặc hai vành đai rò rỉ, bạn cần tạo ra vùng cách li đảm bảo an toàn tuyệt đối. Nếu các máy trạm không cần giao tiếp với các máy trạm khác, đừng cho phép chúng. Bạn cũng đừng cho phép máy chủ này giao tiếp với máy chủ khác, nếu không cần thiết. Hầu hết các quản trị mạng không cần truy cập vào mọi máy chủ, vậy thì đừng cho phép họ quyền thoải mái truy cập mọi nơi.
Để xây dựng rào chắn của bạn, lên sơ đồ tất cả các luồng thông tin lưu chuyển trên mạng hợp pháp và chặn các phần còn lại, bằng cách huy động mọi thiết bị giám sát truy cập, router, firewall, đặt chế độ proxy, cấu hình IPSec… tóm lại là bất cứ thứ gì bạn có thể sử dụng.
Để phòng chống mọi nguy cơ, bảo đảm an toàn thông tin cho doanh nghiệp, bạn sẽ cần nghiên cứu kỹ về các cuộc tấn công Web, những rủi ro có thể, và các giao thức dịch vụ Web… các tiêu chuẩn về an toàn thông tin cần được áp dụng, phải xây dựng những qui định, chính sách, giám sát sự tuân thủ…
Trong thế giới máy tính đang phát triển nhanh, đặc biệt là lĩnh vực an toàn thông tin, bạn cần cập nhật kiến thức liên tục. Bạn chỉ tường tận những gì bạn biết hoặc đã làm trong hai năm qua, nhưng tương lai lại có quá nhiều cạm bẫy đón chờ. Cập nhật liên tục kiến thức của bạn nếu không bạn sẽ nhanh chóng trở nên lạc hậu.
NGUYỄN QUẾ HOA 