Phòng vệ trước các tấn công bên trong môi trường mạng

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn một số bước cơ bản
có thể được sử dụng để bảo vệ bạn trước các tấn công đến từ bên trong
môi trường mạng.
Theo báo cáo gần đây của MSNBC.com, một thống kê được thực hiện
bởi CSO Magazine đã phát hiện ra có đến hơn 58% tấn công được thực
hiện từ bên ngoài, 21% tấn công được thực hiện bên trong; tuy nhiên mức
nguy hiểm của các tấn công bên trong lại nguy hại hơn rất nhiều so với
năm 2010, cụ thể là 33% so với 25%. Điều đáng lo ngại nhất là tấn công
bên trong đang trở nên phức tạp hơn rất nhiều, có đến 22% tấn công bên
trong có sử dụng các công cụ rootkit và công cụ hacker so với 9% vào
năm ngoái, các công cụ tấn công cũng gia tăng ở mức độ đáng báo động.
Bài viết này chúng tôi sẽ giới thiệu cho các bạn cách bảo vệ mạng của
mình trước các tấn công bên trong ngày càng phức tạp.
Tại sao các tấn công bên trong ngày càng trở nên nguy hiểm hơn
Chúng ta có thể hiểu tấn công bên trong là tấn công được chỉ đạo bởi
những người đang truy cập trái phép vào mạng và hệ thống của bạn. Họ
rất có thể là một số nhân viên vì một lý do nào đó muốn chống lại công
ty, một số vì động cơ muốn kiếm tiền bất chính mà sử dụng hệ thống để
đánh cắp tài sản của công ty,… bất cứ ai lạm dụng đặc quyền của họ
trong mạng công ty để sử dụng nó theo cách trái phép. Một số tấn công có
thể là người bên trong bị đe dọa, mua chuộc bởi người bên ngoài nhằm
đánh cắp các thông tin công ty, cài cắm virus hay malware để làm sập
mạng của bạn,…

Một số kịch bản tấn công ở đây là:
 Tiêm nhiễm một cách có chủ tâm các máy tính và mạng công ty
bằng malware hoặc virus để làm gián đoạn công việc và gây hậu
quả mất năng suất.
 Cài đặt spyware, phần mềm keylogger hay các kiểu phần mềm

Một số tổ chức bán lẻ đã sử dụng các chương trình tránh mất cắp để ngăn
chặn nhân viên của họ lấy trộm hàng hóa cũng như tiền, một số tổ chức
có liên quan với dữ liệu điện tử nhạy cảm cũng có thể sử dụng các
chương trình DLP (data loss prevention). Và hiện tại có rất nhiều hãng
cung cấp công nghệ DLP, tuy nhiên một chiến lược toàn diện sẽ là tốt
nhất so với việc chỉ mua một thiết bị DLP và sử dụng chúng.
Có thể chúng ta sẽ không bao giờ loại bỏ hoàn toàn được rủi ro đến từ các
tấn công bên trong, tuy nhiên đây là một số thứ bạn có thể làm để giảm
bớt những vụ việc và sự ảnh hưởng của nó:
 Sử dụng thiết bị hay phần mềm DLP chuyên dụng: Các thiết bị
hoặc phần mềm DLP cho phép bạn lần theo lưu lượng dữ liệu của
công ty, có thể là theo thời gian thực hay bằng cách thu thập các
thông tin và tổng kết nó trong các báo cáo hàng ngày hoặc hàng
tuần. Bạn nên có một hệ thống DLP có thể chặn và đọc các tin
nhắn SSL hoặc được mã hóa, bằng không người dùng sẽ có thể mã
hóa dữ liệu mà họ gửi ra ngoài mạng hết sức đơn giản. Lưu ý rằng
nhược điểm của DLP là nó có thể ảnh hưởng khá tiêu cực đến hiệu
suất mạng.
 Cấu hình tường lửa để kiểm soát lưu lượng theo cả hai chiều:
Hầu hết các tường lửa hiện đại đều có khả năng lọc lưu lượng gửi
vào và gửi ra, tuy nhiên phần lớn được cấu hình chỉ để điều khiển
lưu lượng gửi vào. Thiết lập các nguyên tắc gửi ra trên tường lửa
của bạn sẽ khóa chặn được hoặc cho phép lưu lượng mạng phù hợp
với tiêu chuẩn bạn thiết lập. Cho ví dụ, bạn có thể khóa chặn các
lưu lượng gửi ra sử dụng một cổng nào đó.
 Sử dụng các bộ kiểm tra gói dữ liệu bên trong mạng: Các thiết
bị DLP và tường lửa thường ưu tiên tập trung vào lưu lượng được
gửi ra ngoài mạng. Tuy nhiên bạn có thể sử dụng các công cụ kiểm
tra gói dữ liệu chẳng hạn như các sản phẩm Network Analysis and
Visibility (NAV) để kiểm tra nội dung các gói di chuyển bên trong

các đối tượng hệ thống file sẽ giúp bạn phát hiện lúc nào người bên
trong truy cập các thông tin không liên quan đến công việc của họ.
 Vùng có liên quan đến công việc: Đây là một chính sách nhằm
bảo đảm rằng không cá nhân nào có thể tiến hành một phiên giao
dịch quan trọng (chẳng hạn như chuyển tiền tệ) một mình. Một cá
nhân có thể khởi tạo quá trình đó nhưng nó không thể kết thúc mà
không có sự xác thực của ai khác. Điều này sẽ cho phép kiểm tra
nhiều lần và tạo sự cân bằng trong việc bảo vệ chống lại các nhân
viên phản bội hay kẻ xâm nhập nào đó.
 Kiểm soát các thiết bị USB: DLP, tường lửa và lọc nội dung
email sẽ giúp ngăn chặn được người bên trong tổ chức gửi các
thông tin nhạy cảm của công ty ra ngoài mạng thông qua Internet.
Tuy nhiên, các thiết bị như ổ USB ngoài rất hay được sử dụng bởi
những người bên trong công ty nhằm giúp họ copy các thông tin
nhạy cảm và mang nó ra ngoài công ty. Để tránh điều này, bạn có
thể vô hiệu hóa các cổng USB trên hệ thống của những người
không cần thiết sử dụng. Bạn có thể sử dụng chính sách nhóm của
Windows hay phần mềm nào đó của hãng thứ ba để hạn chế hay
khóa chặn việc cài đặt các thiết bị USB. Các phần mềm như GFI
Endpoint Security có thể được sử dụng để quản lý sự truy cập
người dùng, ghi lại các hành động của thiết bị USB, thẻ nhớ, CD, ổ
mềm, iPod cũng như các thiết bị nghe nhạc MP3, điện thoại di
động, PDA và bất cứ thứ gì có thể kết nối với máy tính thông qua
đường USB.
 Các dịch vụ quản lý quyền hạn: Quản lý quyền hạn cho phép bạn
cung cấp sự truy cập dữ liệu đối với người dùng nhưng sẽ giúp bạn
ngăn chặn được việc những người này chia sẻ dữ liệu với những
người không có thẩm quyền. Windows Rights Management
Services (RMS) cho phép bạn khóa chặn việc copy hoặc in ấn các
tài liệu, khóa chặn việc chuyển tiếp hoặc copy nội dung email,…