"Không tin bất cứ ai": Chiến thuật nghi ngờ tất cả nhân viên của các gã khổng lồ công nghệ

Tin tặc là một vấn nạn khiến nhiều công ty lớn trên thế giới, đặc biệt là các hãng công nghệ điêu đứng. Theo thời gian, họ đã xác định được rằng điểm yếu bảo mật lớn nhất chính là con người. Chính vì thế, hàng loạt gã khổng lồ công nghệ hiện nay đã áp dụng chiến thuật “không tin ai cả”.

“Zero-trust architecture” là mô hình giả định rằng dù mọi hệ thống được bảo mật mạnh mẽ đến mức nào thì vẫn có thể bị hacker xâm nhập. Trong đó, mối liên kết yếu nhất trong hệ thống này là con người. Với chiến thuật này, các công ty cần đảm bảo rằng ngay cả những người thuộc mạng lưới nội bộ cũng không thể gây ra thiệt hại nghiêm trọng.

Tuần trước, Uber và Rockstar Games đã tiết lộ những vụ hack lớn làm gián đoạn hoạt động của họ. Trước đó, một số hãng công nghệ lớn như Microsoft, Nvidia và Okta cũng bị hacker tấn công.

Điểm chung của những vụ hack này là thủ phạm đã lừa nhân viên nội bộ để kích hoạt việc xác thực truy cập mạng hoặc trao thông tin quan trọng khác. Kiểu tấn công này gọi là phi kỹ thuật (social engineering). Ví dụ, trong trường hợp của Uber, nhân viên của họ đã bị lừa để cấp quyền truy cập cho hacker.

Kẻ tấn công đã sử dụng tài khoản nhà thầu bị lừa để truy cập vào các hệ thống nội bộ, đăng thông báo trên Slack (kênh trao đổi thông tin) toàn công ty và chiếm đoạt một tài khoản được sử dụng để liên lạc với các nhà nghiên cứu bảo mật. Sau đó, Uber đã phải tạm dừng quyền truy cập vào hệ thống liên lạc nội bộ.

Các chuyên gia an ninh mạng và FBI cho biết khi các công ty lớn phát triển công nghệ để bảo vệ hệ thống của mình, “social engineering” ngày càng trở nên phổ biến hơn bởi nó đánh vào yếu tố con người. Theo Wall Street Journal, suy cho cùng, nâng cấp máy tính vẫn dễ hơn nâng cấp trí óc con người.

Trong thời đại mà một công ty có nhiều nhân viên và nhà thầu có kết nối với hệ thống của công ty thông qua máy tính, điện thoại và dịch vụ đám mây như hiện nay, việc bảo mật lại càng trở nên khó khăn hơn. Mọi thứ sẽ biến thành thảm họa vì hacker chỉ phải xâm nhập một cổng duy nhất để truy cập vào toàn bộ “vương quốc”, một chuyên gia bảo mật nhận xét.

“Zero-trust architecture” được coi là cách đơn giản để hạn chế thảm họa đó. “Nó dựa trên ý tưởng rằng bạn không tin vào bất kỳ thứ gì và bất kỳ ai trong hệ thống của mình nữa”, Anshu Sharma - CEO của Skyflow – công ty sử dụng chiến thuật “không tin ai cả” để bảo vệ dữ liệu cho các doanh nghiệp khác, cho biết.

Một trong những biện pháp bảo vệ của “Zero-trust architecture” là nếu một người đăng nhập muộn vào hệ thống công ty, họ chỉ được cấp một số quyền nhất định. Ý tưởng là ngay cả khi hacker xâm nhập được vào tài khoản của người đó, chúng sẽ bị giới hạn tính năng cũng như thời gian tấn công.

Một biện pháp khác là “phân tích hành vi”. Kỹ sư bảo mật sẽ dùng phần mềm theo dõi hành vi của những người trên mạng và gắn cờ cảnh báo khi bất cứ ai làm điều gì đó bất thường, chẳng hạn như cố rút một khoản tiền rất lớn từ ngân hàng.

Ảnh: Internet.

Trọng tâm của “Zero-trust architecture” là mọi thành phần của hệ thống đều bị hoài nghi, ngay cả khi nhân viên đã xác định danh tính, có quyền truy cập và làm đúng nhiệm vụ của mình.

Tuy nhiên, điều này có thể gây ra xung đột không đáng có giữa nhân viên và hệ thống. Bảo mật luôn là sự cân bằng giữa việc cung cấp cho mọi người quyền truy cập họ cần và yêu cầu chứng minh danh tính.

Do thiết kế, một khái niệm đã được tạo ra mang tên “nguyên tắc ít đặc quyền nhất”. Theo đó, mọi người chỉ được tiếp cận những gì họ cần vào thời điểm họ cần. Nó được đánh giá là đi ngược với ưu tiên của nhiều doanh nghiệp, những công ty vốn tập trung nhiều hơn vào tối đa hóa hiệu quả hoạt động hơn là đảm bảo sự an toàn của hệ thống.

Trong khi nhiều doanh nghiệp mới biết đến và áp dụng “Zero-trust architecture”, ngành công nghiệp bảo mật đã áp dụng chiến thuật này trong hơn 1 thập kỷ qua, đặc biệt là các công ty lớn.

Một trong số đó là Google. Năm 2009, khi máy chủ Gmail ở Trung Quốc bị tấn công, công ty đã triển khai phiên bản “Zero-trust architecture” của riêng mình. Theo đó, phiên bản này áp dụng cho mọi thành phần của hệ thống công nghệ thông tin, từ người dùng, thiết bị, ứng dụng, dịch vụ, cho đến quyền sở hữu, vị trí thực hoặc mạng. Tất cả đều bị nghi ngờ.

Theo đại diện của Google, sự thay đổi này đã giúp nhân viên làm việc từ mọi nơi dễ dàng hơn mà không cần VPN. Sau đó, Google đã biến phiên bản trên thành sản phẩm dành cho những công ty trả tiền cho các dịch vụ đám mây của mình.

Microsoft cho biết một cuộc tấn công vào hệ thống của họ vào tháng 3 vừa qua chỉ xâm phạm được một tài khoản và nhanh chóng bị phát hiện cũng như xử lý kịp thời, không dẫn tới bất kỳ vụ rò rỉ dữ liệu khách hàng nào.

Bà Vasu Jakkal - phó Chủ tịch phụ trách bảo mật của công ty, cho biết nếu không có “Zero-trust architecture”, kẻ tấn công có thể di chuyển từ việc truy cập vào một hệ thống sang việc xâm nhập vào các phần nhạy cảm chỉ trong hơn 1 giờ.

Theo ông Justin Boitano, Phó chủ tịch mảng máy tính doanh nghiệp của Nvidia, “Zero-trust architecture” không phải không có nhược điểm. Việc tạo sự cân bằng giữa bảo mật và khả năng truy cập đồng nghĩa với việc các đội bảo mật và nhân viên phải trao đổi liên tục với nhau trong khi điều đó không dễ để thực hiện.

Ông chia sẻ thêm: “Thế giới mới là như vậy. Bạn phải nghĩ rằng sẽ luôn có kẻ xấu xung quanh. Câu hỏi đặt ra là làm cách nào để bảo vệ tài nguyên của mình và tài sản trí tuệ của công ty”.

Nguồn: WSJ, BI