Penetration Testing, hay còn gọi là pentest, kiểm thư thâm nhập, là một cuộc tấn công mô phỏng được cho phép trên một hệ thống máy tính nhằm mục đính đánh giá tính bảo mật của hệ thống.
Compliance Audits là một quá trình đánh giá toàn diện tập trung vào cam kết của tổ chức đối với một bộ nguyên tắc quy định hoặc tuân thủ một hợp đồng cụ thể hoặc các điều khoản thỏa thuận.
Tất nhiên, cũng như dòng nước, chúng ta nhận thức rõ ràng từ khi còn rất nhỏ rằng nước của chúng ta cần phải tinh khiết, được lọc và có thể được bảo vệ, do đó, điều này đặt ra các câu hỏi:
Làm cách nào để xử lý chính xác dữ liệu của doanh nghiệp, các quy trình và bảo mật?
Giá trị của thông tin cá nhân là vô cùng lớn, hãy tưởng tượng số an ninh xã hội, hóa đơn y tế, tiền lương của bạn bị lộ, điều này là rất đáng lo ngại. Nó sẽ tiếp tục đặt ra các câu hỏi:
Dữ liệu sẽ đi đâu? Ai có thể nhìn thấy nó? Tại sao họ giữ nó?… Liệu nó có an toàn?
Giống như mọi thứ khác, cách tốt nhất để hiểu điều này là cùng nhau đưa ra một ví dụ, cùng nhau đánh giá một chuyến đi của bạn tới bệnh viện.
Bạn check in. Thực sự bạn đã làm những gì? Bạn đã cung cấp số an sinh xã hội, địa chỉ, thông tin sinh học và tình trạng tài chính của bạn.
Bạn đã dừng lại và nghĩ rằng nếu bệnh viện thực sự cần tất cả các thông tin đó hoặc họ chỉ tích trữ nó không có lý do? Tất nhiên là bạn đã không làm thế. Bởi vì bạn đang lo lắng cho sức khỏe của mình và không quan tâm tới dữ liệu mà bệnh viện đã lưu.
Để trả lời câu hỏi này, chúng ta sẽ gặp người đang hàng ngày đối mặt và xử lý những tình huống về dữ liệu. Những người này nằm trong nhiều lĩnh vực khác nhau, từ các kỹ sư bảo mật, kiểm tra thâm nhập, kiểm toán viên, nhân viên nhân sự, v.v.
Chúng ta cùng quay trở lại sự việc xảy ra tại bệnh viện, sau khi bạn rời đi, điều gì sẽ xảy ra? Tất cả thông tin sẽ được lưu trữ ở đâu đó, có thể là kỹ thuật số. Đối với giấy tờ chúng ta có tủ khóa, với tiền chúng ta có két và chúng được bảo vệ 24/7. Vậy đối với dữ liệu chúng ta đã làm gì?
Chúng ta nhìn thấy rằng một người tại bệnh viện sẽ nhập chúng vào máy tính của họ. Điều này có nghĩa là giờ tất cả thông tin đó đang nằm trên máy chủ của họ tại cơ sở địa phương hoặc đã được gửi đến các node ngẫu nhiên nào đó trên toàn cầu. Vậy chúng được bảo vệ như thế nào? Liệu ai đó có thể đánh cắp nó?
Trong nhiều trường hợp thì điều này không thể xảy ra và có phần nào đó khó khăn. Nhưng, hầu hết các ví dụ không phải là tất cả các trường hợp, và như mọi Kỹ sư An ninh sẽ chứng thực, họ nhận được nhiều vi phạm như vậy. Vậy chúng xảy ra như thế nào?
Đầu tiên, họ có thể đánh cắp dữ liệu vì hệ thống lưu trữ nó không tốt, không được kiểm tra và có lỗ hổng. Đây là lúc bạn cần đến dịch vụ Pentest.
Thứ hai, họ có thể đánh cắp nó vì ngay từ đâu tiên, dữ liệu đã ở nơi mà chúng không nên ở. Đây là lúc cần tới Compliance Auditing.
Kiểm thử thâm nhập, là hành động cố gắng vi phạm bảo mật của một đối tượng và ăn cắp dữ liệu có giá trị chính xác như kẻ tấn công sẽ làm. Điều này có nghĩa là sử dụng phương pháp và chiến thuật của tội phạm mạng. Nhưng sự khác biệt là gì? Pentest được thực hiện bởi các tổ chức hoặc cá nhân chuyên môn và được ủy quyền để giúp các doanh nghiệp xác định các rủi ro tiềm ẩn trong hệ thống của họ.
Các tổ chức hoặc cá nhân chuyên biệt này sẽ cố gắng đột nhập, sử dụng tất cả các mẹo và thủ thuật mà kẻ tấn thường sử dụng, và sau đó họ sẽ báo cáo các lỗ hổng bảo mật và cách khắc phục. Về cơ bản, nếu Pentest có thể đánh cắp thông tin có giá trị, thì hacker cũng có thể làm được điều này. Bằng cách khắc phục tất cả các lỗ hổng mà pentest team tìm thấy, doanh nghiệp, dữ liệu của bạn sẽ gần như an toàn trước những kẻ tấn công.
Chúng ta sẽ tiếp tục quay trở lại ví dụ tại bệnh viện.
Chúng ta để lại thông tin cá nhân (dữ liệu) trong bệnh viện, và họ có thể lưu trữ nó. Những “kẻ xấu” sẽ cố gắng đột nhập và đánh cắp chúng. Một trong hai điều sẽ xảy ra, hoặc là họ sẽ thành công (bệnh viện chưa sử dụng dịch vụ kiểm thử xâm nhập). Hoặc hacker phát hiện ra rằng hầu hết những cách mà họ biết để đột nhập đều đã được vá lại, họ không thể làm gì và lấy được gì.
Bây giờ thử tưởng tượng những kẻ tấn công đã đột nhập thành công (do thiếu các biện pháp an ninh và kiểm thử thâm nhập), vậy họ có thể đánh cắp những gì?
Compliance Audit là đánh giá đầy đủ và toàn diện của tổ chức (bệnh viện trong trường hợp chúng ta đang nói) tuân thủ các luật và nguyên tắc được quy định bởi cơ quan quản lý tương ứng của ngành cụ thể đó.
Tuân thủ chủ yếu là một tập hợp các checklist bảo mật, ví dụ, một công ty nên tuân theo tùy thuộc vào loại hình kinh doanh của họ.
Ví dụ, nếu nó là một bệnh viện tư nhân, họ sẽ phải tuân thủ một loại tuân thủ y tế. Nếu nó là một công ty môi giới, họ sẽ phải tuân theo một loại tài chính tuân thủ.
Loại tuân thủ y tế, trong trường hợp này, sẽ nói rằng có thể không cần lưu trữ số thẻ tín dụng, gộp chung với tất cả các loại thông tin khác và mỗi loại dữ liệu có danh sách kiểm tra bảo vệ riêng của họ.
Vì vậy trong trường hợp trên, số thẻ tín dụng sẽ không được lưu ngay từ đâu, vì nó là không cần thiết. Và khi đó cho dù kẻ tấn công có đột nhập được vào hệ thống thì cũng không thể đánh cắp được thông tin này. Đây cũng là một cách để giảm thiểu nguy cơ bảo mật.
Về cơ bản, chỉ cần lưu trữ thông tin hoàn toàn. Tương tự, các doanh nghiệp không thể giữ hồ sơ của nhân viên của họ mãi mãi nếu họ đã rời đi. Mỗi doanh nghiệp nên thuê một compliance auditor để hiểu các quy tắc và quy định của doanh nghiệp của họ và thực hiện một cách hợp pháp.
Mặt khác, không hoàn toàn phụ thuộc vào các kiểm toán viên để thực hiện tìm kiếm toàn diện, nó phụ thuộc vào công ty và ý thức bảo mật chung nhân viên để xây dựng mọi thứ đúng đắn.
Các cuộc tấn công cũng có thể đến từ bên trong một công ty. Chủ yếu là từ các nhân viên bị khiêu khích, làm việc quá sức hoặc không hài lòng. Đây là những loại tấn công nguy hiểm nhất bởi vì các nhân viên đã có quyền truy cập vào mọi thứ. Về cơ bản, việc tạo cho nhân viên một tâm trang tốt là cực kỳ quan trọng!
Hy vọng những điều trên đây sẽ giúp bạn hiểu rõ hơn về tầm quan trọng của Penetration Testing & Compliance trong việc bảo vệ dữ liệu của doanh nghiệp.
Trong bối cảnh kỹ thuật số ngày nay, DevOps là một cách tiếp cận thiết yếu để phát triển và triển khai phần mềm. Nó cho phép các tổ chức tăng cường sự linh hoạt và tốc độ phân phối, đồng thời cải thiện sự hợp tác giữa các nhóm phát triển và vận hành. […]
Giải pháp quản lý truy cập đặc quyền (PAM – Privileged Access Management) là một công cụ được sử dụng để quản lý và bảo vệ các tài khoản có quyền truy cập đặc biệt trong hệ thống của một doanh nghiệp. PAM cho phép quản lý và kiểm soát quyền truy cập đặc quyền […]
DLP là gì? Ngăn ngừa mất dữ liệu (DLP), theo Gartner, có thể được định nghĩa là các công nghệ thực hiện cả kiểm tra nội dung và phân tích dữ liệu theo ngữ cảnh được gửi qua các ứng dụng nhắn tin như email và nhắn tin tức thời, chuyển động qua mạng, được […]
