Làm thế nào chúng ta có thể đảm bảo hoạt động kinh doanh liên tục trước các cuộc tấn công mạng?

Ghi chú của biên tập viên: Nội dung này được tài trợ bởi Radius Telecoms, Inc. và được sản xuất bởi BrandRap, bộ phận bán hàng và tiếp thị của Rappler. Không có thành viên nào của đội ngũ tin tức và biên tập tham gia vào việc xuất bản bài viết này.

Một nền tảng nhắn tin đa thế hệ, một gã khổng lồ công nghệ và một công ty dịch vụ tài chính đa quốc gia có một điểm chung, ngoài những đóng góp nổi bật của họ. Tất cả đều đã từng trải qua các cuộc tấn công mạng. Nếu ngay cả những tổ chức uy tín nhất cũng không hoàn toàn thoát khỏi mối đe dọa này, liệu sự tự mãn có phải là một lựa chọn? 

Dù đó là một Email giả mạo được tạo ra tinh vi hay phần mềm độc hại đánh cắp thông tin, việc khắc phục những rắc rối như thế này không chỉ tốn công sức mà còn tốn kém. Nếu thay vì liên tục lo lắng về cách phục hồi khi khủng hoảng xảy ra, bạn có khả năng bảo vệ công ty khỏi rơi vào tình huống này ngay từ đầu - và thậm chí thích nghi với bối cảnh kỹ thuật số đang phát triển nhanh chóng? Hội nghị thượng đỉnh về Khả năng phục hồi sau tấn công mạng đầu tiên của Radius Telecoms, Inc., cùng với VST ECS Phils., Inc., đã mở ra khả năng này.  

Vào ngày 18 tháng 11, các giám đốc điều hành và chuyên gia từ nhiều ngành khác nhau, bao gồm quản lý dữ liệu, bảo mật mạng và công nghệ, đã tụ họp trong một buổi chiều để chia sẻ những lời khuyên hữu ích về cách xây dựng khả năng phục hồi sau tấn công mạng, cũng như cách nhìn nhận khái niệm này với tư cách là thành viên của tổ chức để sau đó truyền cảm hứng hành động.

"Mọi kết nối chúng ta tạo ra, mọi thiết bị chúng ta triển khai, mọi dịch vụ chúng ta cung cấp đều phụ thuộc vào tính toàn vẹn, khả năng hiển thị và bảo mật của mạng lưới. Vì vậy, khi chúng ta bắt đầu phiên họp hôm nay, hãy tận dụng cơ hội này để kết nối một cách có ý nghĩa nhằm thách thức quan điểm," Alfredo Solis, Jr., Phó Chủ tịch và COO của Radius cho biết.

Arlene Singzon, Tổng Giám đốc Kinh doanh Chiến lược tại VST ECS Phils, Inc., cũng đề cập đến việc bảo mật mạng thiên về phòng ngừa nhiều hơn. "Tuy nhiên, khả năng phục hồi sau tấn công mạng vượt xa khỏi phòng ngừa. Chúng ta ở đây để thích nghi, đổi mới và về cơ bản là sẵn sàng," cô nói thêm.

Để đào sâu hơn vào tầm quan trọng của khả năng phục hồi sau tấn công mạng, chúng tôi đã ghi chép nhanh từ các chuyên gia ngành được mời và xác định những điểm chung trong lời khuyên của họ.

Thiếu khả năng hiển thị cản trở khả năng phục hồi sau tấn công mạng

"Con người và dữ liệu - chúng đang di chuyển. [Chúng] có thể nằm rải rác trên các nền tảng đám mây khác nhau và trên các thiết bị. Và một trong những mối quan tâm lớn, tôi có thể nói, là thiếu khả năng hiển thị. Điều đó có nghĩa là dữ liệu đã được thu thập nhưng không được phân loại[...]" Cyril Villanueva, Chuyên gia tư vấn Bảo mật tại Forcepoint cho biết. 

Theo Villanueva, ví dụ về những điều này là dữ liệu chỉ tồn tại trong Email, ứng dụng nhắn tin hoặc máy chủ bị bỏ hoang. Thông tin nhạy cảm có thể nằm rải rác trên các máy chủ không còn được sử dụng nữa. 

"Chúng ta không thể bảo vệ những gì chúng ta không thể thấy. Nhưng những kẻ tấn công có thể. Hãy nhớ rằng, những kẻ tấn công - họ rất giỏi [trong việc] khai thác [các] điểm mù."

Vì lý do này, điều quan trọng là phải hiểu rõ dữ liệu của chúng ta, bao gồm cả việc nhận thức được mức độ rủi ro của điều này trong kinh doanh của chúng ta. Một số câu hỏi chúng ta có thể đặt ra là, "Liệu những người, thiết bị hoặc ứng dụng không đúng có thể truy cập dữ liệu của chúng ta không? Các tệp có thể được chia sẻ quá dễ dàng không? Có bản sao dư thừa của dữ liệu bị lộ không?"

Villanueva cũng giải thích các bước ngữ cảnh hóa dữ liệu thông qua việc nhận dạng (ví dụ: Mã số thuế, địa chỉ, mã sản phẩm), phân loại, phân loại (ví dụ: nhạy cảm, bí mật, riêng tư) và gắn nhãn (ví dụ: pháp lý, mã nguồn, sở hữu trí tuệ).

Khả năng phục hồi sau tấn công mạng có thể phát triển mạnh nhờ hợp nhất và đơn giản hóa

Ryan Shane Dagdag, Kỹ sư Bán hàng khu vực Châu Á-Thái Bình Dương tại iboss, cũng đề cập đến "thiếu khả năng hiển thị" như một điểm khởi đầu của vấn đề, đặc biệt là với cách sắp xếp làm việc kết hợp hiện đại. 

"Khi bạn di chuyển ra khỏi mạng của mình, bạn không còn [bị ràng buộc] với các tính năng bảo mật của mình nữa. Vì vậy, chúng ta cần một hệ thống bảo mật theo dõi người dùng và theo dõi kiến trúc ứng dụng, vì vậy vị trí hiện không còn liên quan," anh nói.

Dagdag đề cập đến việc một số công ty vẫn đang đối mặt với thách thức trong việc triển khai các giải pháp khác nhau, thay vì có một hệ thống đơn giản hóa: "Làm thế nào [bạn có thể] diễn giải các tính năng bảo mật với các nền tảng khác?"

Điều này dẫn anh đến thảo luận về lợi ích của Nền tảng Zero Trust SASE của iboss, nơi toàn bộ ngăn xếp bảo mật cũ được thay thế bằng một nền tảng thống nhất duy nhất. 

"Hiện tại, vì chúng ta có thể đơn giản hóa [và] hợp nhất, chúng ta cũng có thể giảm nguy cơ tiếp xúc. Bởi vì zero trust SASE là một hệ thống bảo mật theo dõi vị trí của mọi người dùng [...] Chúng ta có thể cung cấp nền tảng một cách an toàn và hiệu quả."

Khả năng phục hồi sau tấn công mạng có nghĩa là bảo mật theo bạn đi khắp mọi nơi

"Kapag lumabas na ng office 'yung employee, how can [they] be protected?" (Khi nhân viên rời khỏi văn phòng, làm thế nào để [họ] được bảo vệ?)

Việc liên tục kết nối với bảo mật dù bạn đi đâu cũng là một điểm được Jon Louis Fernandez, Kỹ sư Hệ thống tại Fortinet nêu ra. "May instances kasi na, 'Ah, dito naman sa firewall ko, naba-block ko. Pero dito with this other newly adopted solution, hind ko na siya ma-block." (Bởi vì có những trường hợp ai đó nhận thấy, "Ah, khi sử dụng tường lửa này, tôi có thể chặn nó. Nhưng với giải pháp mới mua này, tôi không thể chặn nó.)

Trong cuộc trò chuyện với khán giả, anh nhấn mạnh giá trị của giải pháp Fortinet SASE và FortiGate, không chỉ là một tường lửa, mà là một cấu trúc bảo mật toàn diện. "Có một tiêu chuẩn hóa các chính sách bảo mật," anh nói. 

Fernandez cũng giải thích cách mà nhờ Fortinet, người dùng có thể chứng kiến nguyên tắc đặc quyền tối thiểu, hoặc chỉ được cấp quyền truy cập bảo mật cần thiết tùy thuộc vào chức năng của họ trong tổ chức, giảm thiểu các vi phạm tiềm ẩn.

Sự hiện diện của các bản sao lưu không phải lúc nào cũng đảm bảo khả năng phục hồi sau tấn công mạng

Trong cuộc sống hàng ngày thông thường của chúng ta, chúng ta thường được khuyên nên có nhiều bản sao lưu. Nhưng liệu đó có phải là tất cả về an toàn? Chee Wai Yeong, Phó Chủ tịch Khu vực của Rubrik, lập luận rằng chúng ta nên vượt ra ngoài suy nghĩ này.

"Trong một thảm họa bình thường, bản sao tốt nhất luôn là bản sao mới nhất. Nếu đó là bản sao lưu, đó là bản sao lưu đêm qua. Nếu đó là ảnh chụp nhanh, đó là ảnh chụp nhanh mới nhất. Nếu đó là bản sao, đó là bản sao cuối cùng. Nhưng trong một cuộc tấn công mạng, bản sao mới nhất gần như luôn là bản sao sai," anh giải thích.

Bước quan trọng đầu tiên để đạt được khả năng phục hồi sau tấn công mạng, theo anh, là xác định phạm vi của cuộc tấn công. "Nếu không biết phạm vi, bạn không thể phục hồi vì bạn không biết điều gì đã bị tác động," anh nhắc nhở người tham dự.

Sau đó, bạn nên tìm và cách ly phần mềm độc hại, đánh giá bất kỳ vi phạm dữ liệu nào và tính toán điểm phục hồi.

"Tệp nào đã bị mã hóa? Hệ thống nào đã bị nhiễm? Tất cả những khám phá này sau đó được tích hợp vào quá trình phục hồi, để chỉ với một vài cú nhấp chuột, bạn bắt đầu một quá trình phục hồi hàng loạt," anh nhấn mạnh.

"Rubrik chịu trách nhiệm - và chúng tôi tự coi mình là người dẫn đầu - cho tuyến phòng thủ cuối cùng, đó là phần phục hồi."

Trong khả năng phục hồi sau tấn công mạng, đừng đánh giá thấp sức mạnh của AI

Brian Cotaz, một chuyên gia bảo mật mạng từ Cisco, đã cho khán giả thấy một trường hợp khác về trí tuệ nhân tạo là một con dao hai lưỡi. 

"Các tác nhân đe dọa - họ đang sử dụng AI như thế nào? Thực ra, họ không sử dụng AI để phát triển các cuộc tấn công mới. Không, họ không làm vậy. Họ đang sử dụng AI để nâng cao cuộc tấn công hiện tại của họ," Cotaz nói.

"[Như thế nào?] Đầu tiên là Email giả mạo đó; thứ hai là mã; và cuối cùng, một [phần] phần mềm độc hại là một mã, phải không? [Có] những phần mềm độc hại đang hoạt động. Có những phần mềm độc hại không hoạt động. Vì vậy, bây giờ, họ đang sử dụng AI để nâng cao mã của họ. Tiếp theo, tin tặc là con người. Có những tin tặc rất tiên tiến, có những tin tặc không tiên tiến lắm. Bây giờ, bạn đưa vào AI, [thì] những tin tặc không tiên tiến lắm trở nên rất tiên tiến."

Nhưng đồng thời, AI có thể được sử dụng để phân tích sự cố và xử lý mối đe dọa thông qua giải pháp Splunk của Cisco.

Khả năng phục hồi sau tấn công mạng là một quá trình nhiều lớp với những lợi ích đáng giá

Năm nay, Bài tập SG Ready đã phát hiện ra rằng 17 phần trăm trong số 4,500 nhân viên đã nhấp vào các liên kết Email giả mạo, do đó không vượt qua bài kiểm tra bảo mật mạng. Đây là một câu chuyện được Ginnwann Teo, Giám đốc Kỹ thuật Cấp cao tại Menlo Security nhắc lại, nhắc nhở mọi người về việc cần phải làm nhiều việc hơn nữa trong việc xây dựng các tổ chức có khả năng phục hồi. Trong lượt phát biểu của mình tại micro, anh đã nhấn mạnh cách khả năng phục hồi sau tấn công mạng được đặc trưng bởi các bước rất có chủ đích, có thể được thực hiện dễ dàng hơn thông qua sự trợ giúp của các chức năng bảo vệ trình duyệt và khử trùng tệp của Menlo Security.

Thông qua Công nghệ Lựa chọn Tích cực của Menlo Security, các doanh nghiệp được bảo vệ khỏi nhiễm phần mềm độc hại ngay từ khi các tệp đến hệ thống. Sau đó, chúng được phân tích để tìm bất kỳ yếu tố quan trọng nào và các hạn chế về quyền riêng tư, trong số những thứ khác. 

Anh đề cập đến một trường hợp mà chúng ta đều quá quen thuộc: nhận vé concert lừa đảo qua Email.

"Chúng tôi tạo vé, chúng tôi sao chép vào mẫu sạch của chúng tôi, bạn nhận được mã QR miễn phí của mình[...] Đây chính xác là những gì chúng tôi làm cho mọi tệp đơn lẻ bạn tải xuống, khi nó đi qua giải pháp CDR (giải trừ và tái tạo nội dung) của chúng tôi."

Điều kiện tiên quyết để có khả năng phục hồi sau tấn công mạng là chấp nhận sự thay đổi nhanh chóng

Tất nhiên, việc tăng cường chống lại các rủi ro mạng có nghĩa là hoàn toàn chấp nhận thế giới đang phát triển nhanh chóng. Phó chủ tịch Meralco và giám đốc an ninh thông tin Marilene Tayag, người điều hành cuộc thảo luận của hội đồng, đã thiết lập bầu không khí này bằng cách khơi mào cuộc trò chuyện về những rủi ro bị bỏ qua nhiều nhất của thực tế đa đám mây kết hợp mới, mà Fernandez đã đề cập là chi phí và một môi trường mới.

Trong khi đó, chủ tịch và CEO của Radius Exequiel Delgado đã cố gắng gợi lại ký ức của mọi người bằng cách chia sẻ cách mà, vào những năm 1980 khi ông làm việc như một quản lý tài khoản, tất cả các liên lạc đều tập trung trong phòng liên lạc.

"Nhưng đó không phải là trường hợp ngày nay. Giao tiếp được trải rộng. Nếu các mạch mà bạn đang cung cấp cho nhà cung cấp viễn thông gặp sự cố, mọi người đều bị ảnh hưởng. Năng suất của tất cả nhân viên đều bị ảnh hưởng. Đó là lý do tại sao mạng doanh nghiệp trong tương lai phải có tính khả dụng cao." 

Theo ông, hai đặc điểm bổ sung của mạng doanh nghiệp là độ trễ thấp—"ngay cả khi dịch vụ của bạn hoạt động, nếu nó chậm lại, điều đó không có nghĩa lý gì"—và bảo mật mạnh mẽ—"khi các doanh nghiệp trải qua quá trình chuyển đổi kỹ thuật số, họ tiếp xúc tài sản của mình với các tác nhân và tội phạm mạng."

"Các bạn, chúng ta đang sống trong thời đại của cơ hội lớn, khả năng lớn, được thúc đẩy bởi dữ liệu, đổi mới, kết nối. Nhưng với kết nối lớn đi kèm trách nhiệm lớn hơn," ông thúc giục khán giả.

"Đối với tôi, khả năng phục hồi sau tấn công mạng không chỉ là về phòng thủ. Bảo mật mạng là tất cả về trao quyền - trang bị cho nhân viên của chúng ta để đảm bảo họ trở nên năng suất dù họ ở đâu, nhưng giữ cho mạng lưới của chúng ta an toàn trong quá trình đó. Đó là tất cả về việc bảo vệ các doanh nghiệp khi họ cố gắng trở nên phù hợp hơn, tiến bộ hơn." – Rappler.com