Phòng vệ trước các tấn công bên trong môi trường mạng

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số bước cơ bản
có thể được sử dụng để bảo vệ bạn trước các tấn công đến từ bên trong
môi trường mạng.
Theo báo cáo gần đây của MSNBC.com, một thống kê được thực hiện
bởi CSO Magazine đã phát hiện ra có đến hơn 58% tấn công được thực
hiện từ bên ngoài, 21% tấn công được thực hiện bên trong; tuy nhiên mức
nguy hiểm của các tấn công bên trong lại nguy hại hơn rất nhiều so với
năm 2010, cụ thể là 33% so với 25%. Điều đáng lo ngại nhất là tấn công
bên trong đang trở nên phức tạp hơn rất nhiều, có đến 22% tấn công bên
trong có sử dụng các công cụ rootkit và công cụ hacker so với 9% vào
năm ngoái, các công cụ tấn công cũng gia tăng ở mức độ đáng báo động.
Bài viết này chúng tôi sẽ giới thiệu cho các bạn cách bảo vệ mạng của
mình trước các tấn công bên trong ngày càng phức tạp.
Tại sao các tấn công bên trong ngày càng trở nên nguy hiểm hơn
Chúng ta có thể hiểu tấn công bên trong là tấn công được chỉ đạo bởi
những người đang truy cập trái phép vào mạng và hệ thống của bạn. Họ
rất có thể là một số nhân viên vì một lý do nào đó muốn chống lại công
ty, một số vì động cơ muốn kiếm tiền bất chính mà sử dụng hệ thống để
đánh cắp tài sản của công ty,… bất cứ ai lạm dụng đặc quyền của họ
trong mạng công ty để sử dụng nó theo cách trái phép. Một số tấn công có
thể là người bên trong bị đe dọa, mua chuộc bởi người bên ngoài nhằm
đánh cắp các thông tin công ty, cài cắm virus hay malware để làm sập
mạng của bạn,…

Một số kịch bản tấn công ở đây là:
 Tiêm nhiễm một cách có chủ tâm các máy tính và mạng công ty
bằng malware hoặc virus để làm gián đoạn công việc và gây hậu
quả mất năng suất.
 Cài đặt spyware, phần mềm keylogger hay các kiểu phần mềm

tương tự như vậy để lấy cắp thông tin về những gì đồng nghiệp hay
những người khác trong công ty đang thực hiện.
 Đánh cắp mật khẩu để đăng nhập vào mạng công ty để đội lốt
trước người dùng nào đó.
 Copy các thông tin bảo mật của công ty và gửi ra bên ngoài mà
không được phép .
Tại sao hầu hết các chiến lược bảo mật thường tập trung đến tấn
công bên ngoài
Nếu các tấn công bên trong gây tổn hại đến công ty nhiều hơn thì tại sao
hầu hết chính sách và chiến lược bảo mật thường tập trung vào bảo vệ
mạng tránh các mối đe dọa đến từ bên ngoài? Có rất nhiều lý do để giải
thích. Nền tảng của việc bảo mật mạng là tường lửa – một “người gác
cổng” được đặt giữa các máy tính (người dùng) trong mạng bên trong và
những tấn công tiềm ẩn đến từ bên ngoài. Tuy nhiên có vấn đề đối với mô
hình này là nó tạo ra một giả định lớn và đôi khi không hợp lệ, đó là tất cả
người dùng bên trong phải hoàn toàn được tin tưởng. Chúng ta cũng
không hề ngạc nhiên khi có rất nhiều công ty đưa ra giả định này. Đó là
bản tính của con người, không mấy ai nghĩ người của mình lại phản bội
mình. Mặc dù vậy đây có thể là một lỗi chí tử đối với bạn.
Có lẽ nguyên nhân chính là không hề đơn giản để chống lại các tấn công
từ bên trong. Các nhân viên thường phải truy cập vào thông tin nhạy cảm
để thực hiện công việc của họ. Họ có các chứng chỉ hợp lệ để đăng nhập
vào mạng, do đó hoàn toàn dễ dàng khai thác bất cứ lỗ hổng bảo mật có
thể gây gián đoạn các dịch vụ mạng. Một số người còn cho rằng chúng ta
không thể kiểm soát được những người này. Họ đưa ra quan điểm: Nếu
bạn đưa cho ai đó chìa khóa để vào vương quốc, khi đó sẽ thực sự khó
khăn trong việc ngăn chặn anh ta lạm dụng chúng để làm những gì anh ta
muốn. Mặc dù vậy vẫn có rất nhiều bước có thể sử dụng để hạn chế
những người bên trong thực hiện các hành vi phá hoại diện rộng.
Phát triển chiến lược bảo mật để bảo vệ trước các tấn công bên trong

Một số tổ chức bán lẻ đã sử dụng các chương trình tránh mất cắp để ngăn
chặn nhân viên của họ lấy trộm hàng hóa cũng như tiền, một số tổ chức
có liên quan với dữ liệu điện tử nhạy cảm cũng có thể sử dụng các
chương trình DLP (data loss prevention). Và hiện tại có rất nhiều hãng
cung cấp công nghệ DLP, tuy nhiên một chiến lược toàn diện sẽ là tốt
nhất so với việc chỉ mua một thiết bị DLP và sử dụng chúng.
Có thể chúng ta sẽ không bao giờ loại bỏ hoàn toàn được rủi ro đến từ các
tấn công bên trong, tuy nhiên đây là một số thứ bạn có thể làm để giảm
bớt những vụ việc và sự ảnh hưởng của nó:
 Sử dụng thiết bị hay phần mềm DLP chuyên dụng: Các thiết bị
hoặc phần mềm DLP cho phép bạn lần theo lưu lượng dữ liệu của
công ty, có thể là theo thời gian thực hay bằng cách thu thập các
thông tin và tổng kết nó trong các báo cáo hàng ngày hoặc hàng
tuần. Bạn nên có một hệ thống DLP có thể chặn và đọc các tin
nhắn SSL hoặc được mã hóa, bằng không người dùng sẽ có thể mã
hóa dữ liệu mà họ gửi ra ngoài mạng hết sức đơn giản. Lưu ý rằng
nhược điểm của DLP là nó có thể ảnh hưởng khá tiêu cực đến hiệu
suất mạng.
 Cấu hình tường lửa để kiểm soát lưu lượng theo cả hai chiều:
Hầu hết các tường lửa hiện đại đều có khả năng lọc lưu lượng gửi
vào và gửi ra, tuy nhiên phần lớn được cấu hình chỉ để điều khiển
lưu lượng gửi vào. Thiết lập các nguyên tắc gửi ra trên tường lửa
của bạn sẽ khóa chặn được hoặc cho phép lưu lượng mạng phù hợp
với tiêu chuẩn bạn thiết lập. Cho ví dụ, bạn có thể khóa chặn các
lưu lượng gửi ra sử dụng một cổng nào đó.
 Sử dụng các bộ kiểm tra gói dữ liệu bên trong mạng: Các thiết
bị DLP và tường lửa thường ưu tiên tập trung vào lưu lượng được
gửi ra ngoài mạng. Tuy nhiên bạn có thể sử dụng các công cụ kiểm
tra gói dữ liệu chẳng hạn như các sản phẩm Network Analysis and
Visibility (NAV) để kiểm tra nội dung các gói di chuyển bên trong

mạng nội bộ, cho ví dụ khi người dùng download một file từ máy
chủ vào máy tính của anh ta mà người dùng này không có quyền
truy cập hoặc dữ liệu này không cần thiết đối với công việc của họ.
Công cụ NAV có thể kiểm tra nội dung một cách sâu sắc và tìm
kiếm từ hay kiểu dữ liệu cụ thể (chẳng hạn như số phúc lợi xã hội)
bên trong một tài liệu hay một file nào đó. Nhược điểm của NAV
cũng như DLP đó là làm chậm hiệu suất mạng.
 Sử dụng các sản phẩm bảo mật email có bộ lọc nội dung: Bạn
có thể sử dụng tính năng lọc nội dung cho các sản phẩm bảo mật
email, cho ví dụ, để khóa chặn tin nhắn được gửi ra có chứa những
từ khóa nào đó, hay khóa chặn không cho người dùng gửi đính
kèm, ngăn chặn người bên trong gửi thông tin bảo mật ra ngoài
mạng của bạn.
 Mã hóa dữ liệu: Mã hóa dữ liệu nhạy cảm sẽ gây khó khăn cho
những người bên trong mạng (cũng như người bên ngoài) trong
việc truy cập và đọc thông tin.
 Chính sách đặc quyền tối thiểu: Để bảo mật và phòng vệ tốt nhất
đối với những mối đe dọa đến từ bên trong, bạn luôn phải thực hiện
một chính sách cho phép người dùng có các đặc quyền ở mức hạn
chế nhất, tuy nhiên vẫn đảm bảo họ vẫn thực hiện tốt các công việc
cần làm. Sử dụng chính sách như vậy khi cấu hình sản phẩm DLP
của bạn hay các chính sách gửi ra đối với tường lửa bắt đầu bằng
cách khóa chặn mọi thứ và sau đó cho phép những thứ nào cần
thiết nhất, phương pháp này sẽ trái ngược hoàn toàn với việc bắt
đầu cho phép mọi thứ và sau đó hạn chế những gì bạn cảm thấy
cần thiết sau. Tương tự như vậy, các khóa để truy cập vào dữ liệu
được mã hóa cũng chỉ nên cung cấp sẵn cho những người mà công
việc của họ yêu cầu truy cập vào dữ liệu đó, không cung cấp cho
tất cả các nhân viên.
 Thẩm định truy cập file: Thực thi thẩm định sự truy cập đối với

các đối tượng hệ thống file sẽ giúp bạn phát hiện lúc nào người bên
trong truy cập các thông tin không liên quan đến công việc của họ.
 Vùng có liên quan đến công việc: Đây là một chính sách nhằm
bảo đảm rằng không cá nhân nào có thể tiến hành một phiên giao
dịch quan trọng (chẳng hạn như chuyển tiền tệ) một mình. Một cá
nhân có thể khởi tạo quá trình đó nhưng nó không thể kết thúc mà
không có sự xác thực của ai khác. Điều này sẽ cho phép kiểm tra
nhiều lần và tạo sự cân bằng trong việc bảo vệ chống lại các nhân
viên phản bội hay kẻ xâm nhập nào đó.
 Kiểm soát các thiết bị USB: DLP, tường lửa và lọc nội dung
email sẽ giúp ngăn chặn được người bên trong tổ chức gửi các
thông tin nhạy cảm của công ty ra ngoài mạng thông qua Internet.
Tuy nhiên, các thiết bị như ổ USB ngoài rất hay được sử dụng bởi
những người bên trong công ty nhằm giúp họ copy các thông tin
nhạy cảm và mang nó ra ngoài công ty. Để tránh điều này, bạn có
thể vô hiệu hóa các cổng USB trên hệ thống của những người
không cần thiết sử dụng. Bạn có thể sử dụng chính sách nhóm của
Windows hay phần mềm nào đó của hãng thứ ba để hạn chế hay
khóa chặn việc cài đặt các thiết bị USB. Các phần mềm như GFI
Endpoint Security có thể được sử dụng để quản lý sự truy cập
người dùng, ghi lại các hành động của thiết bị USB, thẻ nhớ, CD, ổ
mềm, iPod cũng như các thiết bị nghe nhạc MP3, điện thoại di
động, PDA và bất cứ thứ gì có thể kết nối với máy tính thông qua
đường USB.
 Các dịch vụ quản lý quyền hạn: Quản lý quyền hạn cho phép bạn
cung cấp sự truy cập dữ liệu đối với người dùng nhưng sẽ giúp bạn
ngăn chặn được việc những người này chia sẻ dữ liệu với những
người không có thẩm quyền. Windows Rights Management
Services (RMS) cho phép bạn khóa chặn việc copy hoặc in ấn các
tài liệu, khóa chặn việc chuyển tiếp hoặc copy nội dung email,…

Windows cũng cho phép khóa chặn hàng vi chụp toàn màn hình để
bảo vệ các tài liệu và email. Tuy vẫn còn rất nhiều cách mà người
dùng trong công ty bạn có thể khai thác (cho ví dụ như sử dụng
máy ảnh từ điện thoại di động của họ để chụp ảnh màn hình) nhưng
điềi này sẽ khiến họ khó khăn hơn trong việc biển thủ các thông tin
được bảo mật.
 Quản lý sự thay đổi: Các công cụ quản lý cấu hình và quản lý
thay đổi, Configuration and Change Management, có thể giúp bạn
nhận dạng thời điểm người dùng bên trong tổ chức thực hiện
những thay đổi đối với cấu hình hệ thống nhằm tăng quyền truy
cập đến các thông tin mà họ không cần thiết. Có rất nhiều sản
phẩm trên thị trường có thể được sử dụng để tìm kiếm sự thay đổi
trong mạng.
 Quản lý nhận dạng: Do các đặc quyền truy cập được phép dựa
trên sự nhận dạng của người dùng nên cấp bách bạn phải có một hệ
thống quản lý nhận dạng tốt. Điều này càng trở nên quan trọng hơn
trong các môi trường mạng ngày nay, nơi công ty liên doanh và di
rời một số hay tất cả dữ liệu vào đám mây, điều khiến mọi thứ trở
nên phức tạp hơn bao giờ hết.