Cho dù là hacker mũ trắng, mũ đen hay loại gì đi chăng nữa thì đa phần đều đồng ý rằng không có mật khẩu nào là an toàn. Tại hội nghị Black Hat USA 2016 tại Las Vegas (Mỹ) hồi đầu tháng Chín, Thycotic - Công ty chuyên về các giải pháp quản trị tài khoản PAM (priviledged account management) - đã khảo sát hơn 250 người tham dự tự cho mình là hacker (đa phần phản hồi nặc danh).
84% phản hồi cho rằng họ là hacker mũ trắng, là các nhà nghiên cứu bảo mật giúp doanh nghiệp nhận diện và vá những lỗ hổng nghiêm trọng trong hệ thống; và 15% trong số này cho rằng họ là hacker mũ đen, chuyên tập trung vào tấn công hệ thống mạng với ý đồ xấu.
Tuy vậy, hacker mũ xám lại không có khảo sát riêng. Nhóm này thường bán hoặc tiết lộ thông tin bảo mật cho các cơ quan chính quyền mà họ phát hiện được. Nhưng tóm lại, cả ba nhóm hacker này đã thống nhất năm biện pháp bảo mật quan trọng mà họ cho rằng người dùng cần ưu tiên hơn cả.
1. Giới hạn quyền truy cập hệ thống
Đầu tiên và trước hết là cần đảm bảo hệ thống mạng phải được cấp đúng quyền hạn sử dụng cho từng tài khoản. Quyền sử dụng là "chìa khóa của hệ thống", là đích ngắm hàng đầu của bất kỳ kẻ tấn công nào muốn chiếm được quyền và xâm nhập hệ thống mạng.
Như công ty bảo mật Thycotic giải thích trong cuốn "Black Hat 2016: Hacker Survey Report" rằng: "Đầu tiên, kẻ tấn công cố gắng vào được hệ thống mạng bằng mọi giá, thường là qua một lỗ hổng bảo mật trên máy tính nào đó của người dùng cuối, sau đó sẽ tìm cách chiếm tài khoản có quyền hạn cao để xâm nhập mọi ngóc ngách trên hệ thống".
Để ngừa việc này, doanh nghiệp nên đưa ra được chính sách cấp quyền, nghĩa là quyền hạn cao nhất chỉ được cấp khi có yêu cầu và được chấp thuận, từ đó sẽ tránh được trường hợp kẻ tấn công có thể chiếm quyền toàn bộ hệ thống bằng cách tấn công tài khoản có quyền cao nhất.
Đơn giản nhất là cấp quyền Standard User cho người dùng cuối, chỉ có thể chạy những ứng dụng được cấp phép mà thôi. Còn đối với quyền quản trị (admin), sử dụng tính năng quản lý truy cập và thiết lập Super User Privilege Management cho Windows và UNIX để ngăn ngừa kẻ tấn công chạy các ứng dụng độc hại, các công cụ truy cập hệ thống từ xa và các lệnh nguy hiểm.
Ngoài ra, nhà quản trị CNTT nên sử dụng quyền cao nhất chỉ khi cần thiết mà thôi, còn thông thường nên dùng quyền Standard.
2. Bảo vệ mật khẩu tài khoản cấp quyền
Thường có suy nghĩ cho rằng một tài khoản cấp quyền (privileged account) gắn liền với người dùng cụ thể sở hữu tài khoản đó. Nhưng tài khoản cấp quyền cũng còn được coi là máy tính và hệ thống cho phép họ tương tác.
Doanh nghiệp thường có gấp hai đến ba lần tài khoản cấp quyền so với số nhân viên thực có. Mỗi máy tính triển khai thường có một tài khoản mặc định, và những hệ thống này kết nối với những tài khoản dịch vụ khác nhau để bảo trì chúng.
Mỗi máy ảo (VM) cũng có những quyền khác nhau mà không hề cấp hạn sử dụng. Và nếu một máy ảo được clone (sao chép) thì những tài khoản quyền này cũng được clone theo. Kết quả là doanh nghiệp thường nhiều tài khoản cấp quyền truy cập đến hệ thống.
Do vậy, khi chiếm được tài khoản cấp quyền thì kẻ tấn công có khả năng truy cập và tải về những dữ liệu quan trọng, nhạy cảm nhất của doanh nghiệp và có thể phát tán malware, vượt mặt các công cụ bảo mật và xóa đi dấu vết để che dấu hành vi.
Nên điều tối quan trọng là cần quản lý, giám sát và điều khiển truy cập của tài khoản cấp quyền cao. Những tài khoản như vậy cần được đảm bảo an toàn vì chúng rất quan trọng.
Thậm chí, tệ hơn nữa khi nhiều doanh nghiệp thường dựa vào các công cụ đơn giản để quản lý tài khoản như danh sách Excel. Cách làm này không hiệu quả vì những hệ thống như vậy rất dễ bị hack và có rủi ro bảo mật rất cao.
Giải pháp bảo vệ mật khẩu cho tài khoản cấp quyền cao cần tự động phát hiện và lưu trữ thông tin của tài khoản, lên lịch xoay vòng đổi mật khẩu, theo dõi, phân tích và quản lý từng phiên làm việc của tài khoản và giám sát thường xuyên để nhanh chóng phát hiện những hành vi khả nghi. Cách làm này sẽ tạo thêm một lớp bảo mật mới để bảo vệ các tài khoản cấp quyền cao trong hệ thống.
3. Đào tạo nhận thức về bảo mật
Hầu hết chuyên gia bảo mật đều cho rằng yếu tố con người chính là kết nối yếu nhất trong bất kỳ hệ thống bảo mật của tổ chức, doanh nghiệp nào.
Khi các kiểu tấn công dạng lừa đảo tinh vi càng ngày càng nhiều trong vài năm qua thì các doanh nghiệp cần nghiêm túc xem xét mở rộng các chương trình mở rộng nhận thức về an toàn, bảo mật cho nhân viên, như thử nghiệm kiến thức trực tuyến hay khảo sát các chính sách bảo mật.
Đặc biệt khi các thiết bị di động cá nhân đang được đưa vào sử dụng nhiều cho mục đích công việc thì việc đào tạo nhân viên về bảo mật là rất cần thiết.
Đào tạo về nhận thức bảo mật đã chứng minh mang lại nhiều giá trị tốt. Theo kinh nghiệm, một chương trình đào tạo nhận thức bảo mật trong doanh nghiệp có thể biến nhân viên từ điểm bảo mật yếu nhất thành tuyến phòng vệ đầu tiên.
Nhưng đôi khi bản thân cách làm này cũng có thể gặp vấn đề do hệ thống hiện thời của doanh nghiệp phức tạp, hoặc quy trình làm việc quá rườm rà, gây khó cho việc đào tạo.
Cũng cần ghi nhận rằng hacker mũ trắng ủng hộ mạnh mẽ cho việc đào tạo nhận thức của nhân viên về bảo mật hơn hacker mũ đen.
Như khảo sát từ diễn đàn cho thấy cả hacker mũ trắng lẫn mũ đen đều xếp hạng 5 biện pháp bảo mật quan trọng theo gần cùng một thứ tự giống nhau, ngoại trừ mũ đen không cho rằng đào tạo nhận thức là quan trọng.
Nhìn chung, hacker mũ đen xếp giải pháp đào tạo nhận thức chỉ ở thứ 4, và mục thứ 4 là thứ 3. Điều này cho thấy hacker mũ đen xem con người là yếu tố khó đoán được, là điểm yếu so với một giải pháp mang tính công nghệ.
4. Hạn chế ứng dụng lạ
Bạn không thể bảo vệ gì được nếu không biết thứ đó ở đâu. Bạn cần biết ứng dụng nào được cấp quyền để chạy trên hệ thống và đảm bảo mật khẩu cũa chúng luôn được bảo vệ.
Tài khoản ứng dụng cần được cất giữ và áp dụng mật khẩu mạnh, truy cập tài khoản và thời hạn sử dụng. Quản lý tập trung và báo cáo thường xuyên tình trạng của những tài khoản này là điều quan trọng để bảo vệ dữ liệu tối quan trọng của doanh nghiệp.
5. Bảo vệ mật khẩu người dùng bằng thói quen sử dụng
Cuối cùng, không chỉ những tài khoản có quyền hạn cao, mà cả những tài khoản của người dùng cuối cũng có thể tạo tiền đề để kẻ xấu tấn công. 77% phản hồi từ khảo sát không tin bất kỳ mật khẩu nào là an toàn đối với hacker.
Chuyên gia bảo mật cho rằng bảo vệ mật khẩu người dùng cuối được đánh giá thấp nhất trong những bước bảo mật quan trọng, và điều này là tin tốt đối với doanh nghiệp bởi vì thay đổi thói quen sử dụng của người dùng là rất khó.
Tuy nhiên, khi đặt vấn đề bảo mật cho mật khẩu người dùng thì cần tìm giải pháp áp dụng chính sách bảo mật như đặt mật khẩu khó đoán và định kỳ thay đổi mật khẩu mới.
Và điều đáng nói là những nhân viên thường xuyên thay đổi mật khẩu mới lại ít phải nhờ nhân viên kỹ thuật thiết lập lại (reset) mật khẩu vì quên mật khẩu cũ.