Các mối đe dọa an toàn thông tin gây thiệt hại nhất hiện nay không bắt nguồn từ những người bên ngoài hay phần mềm độc hại mà từ những người trong cuộc đáng tin cậy có quyền truy cập vào hệ thống và dữ liệu nhạy cảm. Báo cáo Mối đe dọa nội bộ năm 2020 (Insider Threat Report) [1] tiết lộ các xu hướng và thách thức mới nhất mà các tổ chức phải đối mặt, cách các chuyên gia CNTT và bảo mật đối phó với mối đe dọa nội bộ và cách các tổ chức đang chuẩn bị để bảo vệ tốt hơn dữ liệu quan trọng và cơ sở hạ tầng CNTT của họ. Theo số liệu của [1], 68% tổ chức cho rằng hệ thống của họ dễ bị tấn công bởi yếu tố nội bộ, 63% tổ chức cho rằng người dùng CNTT khi được trao đặc quyền sẽ gây ra rủi ro bảo mật lớn nhất đến các tổ chức.
Tháng 4/2018, Facebook đã sa thải một kỹ sư bảo mật với cáo buộc sử dụng đặc quyền khai thác thông tin trong công việc để theo dõi phụ nữ trực tuyến [4]. Trong vụ vi phạm dữ liệu Capital One năm 2019, một cựu kỹ sư của Amazon đã truy xuất hơn 100 triệu hồ sơ khách hàng. Năm 2020, một cựu giám đốc điều hành của Google đã bị kết án 18 tháng tù vì ăn cắp bí mật thương mại từ bộ phận xe tự lái của Google và giao chúng cho Uber, công ty mới của anh ta.
Có thể thấy, nhân sự nội bộ đặc biệt nguy hiểm vì không giống như những người bên ngoài cần xâm nhập vào tổ chức, họ thường có quyền truy cập hợp pháp vào hệ thống mạng và máy tính mà họ cần để thực hiện công việc hàng ngày. Nếu việc ủy quyền này bị lạm dụng hoặc bị lợi dụng để gây hại cho hệ thống CNTT của cơ quan, tổ chức, hậu quả có thể rất nghiêm trọng, ảnh hưởng đến uy tín và chi phí khắc phục của cơ quan.
Nhân sự nội bộ (Insider) [3] là bất kỳ người nào có kiến thức hoặc có quyền truy cập đến các nguồn lực của cơ quan, tổ chức, bao gồm cơ sở vật chất, thông tin, thiết bị, mạng và hệ thống.
Một số ví dụ về nhân sự nội bộ có thể kể đến như: Người mà cơ quan, tổ chức tin cậy, bao gồm nhân viên, thành viên tổ chức và những người mà tổ chức đã cung cấp thông tin nhạy cảm cũng như quyền truy cập vào một hoặc nhiều hệ thống nội bộ; Người phát triển các sản phẩm và dịch vụ của tổ chức; Người hiểu biết về nguyên tắc cơ bản, chiến lược và mục tiêu kinh doanh của tổ chức, được giao phó các kế hoạch trong tương lai hoặc các phương tiện để duy trì và cung cấp phúc lợi cho nhân sự của tổ chức.
Trong phạm vi chức năng của chính phủ, nhân sự nội bộ có thể là người có quyền truy cập vào thông tin được bảo vệ, nếu các thống tin bị xâm phạm có thể gây thiệt hại cho an ninh quốc gia và trật tự, an toàn xã hội.
Mối đe dọa nội bộ [3] là khả năng nhân sự nội bộ sử dụng quyền truy cập hoặc hiểu biết được ủy quyền của họ về một tổ chức để gây hại cho tổ chức đó. Tác hại này có thể bao gồm các hành vi ác ý, cố tình hoặc vô ý ảnh hưởng tiêu cực đến tính toàn vẹn, tính bảo mật, tính khả dụng của tổ chức, dữ liệu, nhân sự hoặc cơ sở của tổ chức. Mối đe dọa này không nhất thiết phải bắt nguồn từ nhân viên hoặc viên chức hiện tại trong tổ chức. Nó có thể bắt nguồn từ các nhân viên, nhà thầu hiện tại hay trước đây, hoặc bất kỳ đối tác kinh doanh nào khác có hoặc đã có quyền truy cập vào dữ liệu và hệ thống tin học của tổ chức.
Các mối đe dọa nội bộ là nguyên nhân của hầu hết các vụ vi phạm dữ liệu. Các chiến lược, chính sách, thủ tục và hệ thống an ninh mạng truyền thống thường tập trung vào các mối đe dọa từ bên ngoài, khiến tổ chức dễ bị tấn công từ bên trong. Vì người trong cuộc đã có quyền hợp lệ đối với dữ liệu và hệ thống, các chuyên gia bảo mật và ứng dụng sẽ khó phân biệt giữa hoạt động bình thường và hoạt động có hại.
Căn cứ vào ý định và động cơ của các nhân sự liên quan đến mối đe dọa nội bộ, có thể phân loại như sau:
- Mối đe dọa nội bộ đến từ nhân sự với bản tính “cẩu thả” có thể không có ý định đặt hệ thống CNTT của cơ quan, tổ chức vào tình thế rủi ro, nhưng với thói quen và lề lối làm việc theo những cách không an toàn có thể dẫn đến nhiều nguy cơ theo các kịch bản khác nhau. Nhân sự dạng này có thể không đáp ứng các bài huấn luyện và nâng cao nhận thức về bảo mật hoặc có thể mắc các lỗi đơn giản như đưa ra các phán đoán không chuẩn xác khi xử lý các tác vụ phát sinh.
- Mối đe dọa nội bộ đến từ nhân sự thông đồng với các tác nhân đe dọa độc hại từ bên ngoài để làm tổn hại cho hệ thống CNTT và dữ liệu cơ quan, tổ chức. Trước đây, phân loại nhân sự dạng này tương đối hiếm gặp. Tuy nhiên, mối đe dọa nội bộ này đang trở nên phổ biến hơn khi tội phạm mạng chuyên nghiệp đẩy mạnh việc sử dụng mạng lưới ngầm để tuyển dụng nhân sự kỹ thuật của các nhà thầu cho các cơ quan nhà nước, tổ chức có tài sản quan trọng làm đồng minh.
- Mối đe dọa nội bộ đến từ nhân sự có ý đồ xấu lấy cắp dữ liệu hoặc thực hiện các hành vi tiêu cực khác chống lại cơ quan với mục tiêu phần thưởng tài chính hoặc lợi ích cá nhân khác. Những nhân sự dạng này thường đang tìm kiếm nguồn thu nhập thứ hai và có xu hướng chuyển dữ liệu từ từ vào hệ thống lưu trữ cá nhân để tránh bị phát hiện trong một thời gian dài.
- Một loại mối đe dọa nội bộ đến từ nhân sự khác có thể kể đến là nhân sự bất mãn, họ sẽ cố tình phá hoại cơ quan, tổ chức hoặc ăn cắp tài sản trí tuệ của cơ quan, tổ chức trong quá trình làm việc. Nhân sự dạng này thường có xu hướng thu thập thông tin nhạy cảm của cơ quan, tổ chức, đặc biệt là vào khoảng thời gian họ từ chức hoặc trước khi hoàn tất các thủ tục nghỉ việc.
Vì nhân sự nội bộ có quyền truy cập hệ thống mạng và hiện diện trực tiếp tại trụ sở cơ quan, tổ chức mà không cần phải xâm nhập thông qua vòng ngoài, các mối đe dọa từ bên trong thường khó phát hiện hơn các cuộc tấn công từ bên ngoài. Họ cũng khó bị phát hiện hơn vì các động thái đe dọa nội bộ thường hòa nhập với các hành vi hợp lý trong quá trình làm việc, hỗ trợ kỹ thuật tại cơ quan.
Xác suất phát hiện mối đe dọa nội bộ và các thời điểm trong vòng đời tấn công mà họ có khả năng bị phát hiện là khác nhau đối với từng loại mối đe dọa nội bộ. Nhân sự nội bộ “cẩu thả” có thể bị phát hiện bằng cách xác định các lỗ hổng hiện có của họ trước khi chúng bị xâm phạm, hay khi có những lưu lượng truy cập bất thường đến từ tài khoản người dùng này. Những nhân sự nội bộ thông đồng thường bị phát hiện khi họ giao tiếp hoặc chuyển dữ liệu cho các đối tác bên ngoài của họ. Những nhân sự nội bộ ác ý có thể cho thấy một kiểu truy cập đặc trưng hoặc chọn lọc các thông tin mà họ không cần hoặc không nên có quyền truy cập.
Hầu hết các công cụ tình báo về mối đe dọa tập trung vào việc phân tích dữ liệu mạng, máy tính và ứng dụng trong khi chú ý ít đến việc hành động của những người được ủy quyền có thể sử dụng sai đặc quyền của họ. Để bảo vệ không gian mạng an toàn trước mối đe dọa nội bộ, cần theo dõi hành vi bất thường và hoạt động kỹ thuật số. Vì các mối đe dọa nội bộ có thể xen lẫn với hoạt động quản trị, vận hành và hỗ trợ kỹ thuật hợp lý, đơn vị giám sát an ninh mạng hay đơn vị chuyên trách về an toàn thông tin của cơ quan, tổ chức phải có khả năng nhìn xa hơn các sự kiện riêng lẻ để phát hiện ra các hành vi và các mô hình khác nhau có thể chỉ ra việc xâm phạm.
Hình 1: Phòng chống các mối đe dọa nội bộ
Có một số dấu hiệu khác nhau về hành vi của nhân sự nội bộ cần được chú ý, cụ thể: Nhân sự nội bộ không hài lòng hoặc tỏ thái độ bất mãn với tổ chức; Các nỗ lực phá vỡ rào cản bảo mật, xác thực từ nội bộ; Thường xuyên làm việc ngoài giờ; Thể hiện sự bất bình đối với đồng nghiệp; Thường xuyên vi phạm các quy định, quy chế, chính sách của tổ chức; Thường xuyên suy nghĩ về vấn đề nghỉ việc hoặc thảo luận về các cơ hội mới.
Các dấu hiệu kỹ thuật có thể kể đến như: Việc đăng nhập vào các ứng dụng và mạng của cơ quan, tổ chức vào những thời điểm bất thường; Lưu lượng mạng tăng bất thường (trong các trường hợp chuyển dữ liệu ra ngoài); Truy cập các tài nguyên không được phép; Truy cập các dữ liệu không liên quan đến chức năng công việc; Sử dụng các thiết bị trái phép như ổ cứng, USB; Thu thập thông tin mạng và cố tình tìm kiếm thông tin nhạy cảm; Gửi email thông tin nhạy cảm bên ngoài tổ chức.
Phòng chống các mối đe dọa nội bộ
Các mối đe dọa nội bộ khó có thể xác định hoặc ngăn chặn hơn các cuộc tấn công bên ngoài và chúng vô hình đối với các giải pháp bảo mật truyền thống như tường lửa và hệ thống phát hiện xâm nhập, vốn tập trung vào các mối đe dọa bên ngoài. Hơn nữa, những nhân sự nội bộ ác ý có thể dễ dàng tránh bị phát hiện hơn nếu họ quen thuộc với các biện pháp bảo mật của tổ chức.
Để giảm thiểu các nguy cơ mất an toàn, an ninh thông tin liên quan đến nhân sự nội bộ, một số biện pháp có thể thực thi như:
- Xác định và bảo vệ các tài sản quan trọng: những tài sản này bao gồm sơ đồ thiết kế hệ thống CNTT, cơ sở vật chất, dữ liệu, ứng dụng và con người. Cần hình thành sự hiểu biết toàn diện về các tài sản quan trọng của hệ thống CNTT tại cơ quan, tổ chức cũng như đặt ra những câu hỏi: Chúng ta sở hữu những tài sản quan trọng nào? Mức độ ưu tiên hoặc quan tâm của chúng ta đối với tài sản đó là gì? Chúng ta hiểu gì về trạng thái hiện tại của từng tài sản? Từ đó xếp hạng các tài sản theo thứ tự ưu tiên và xác định tình trạng hiện tại của từng tài sản cần bảo vệ. Các tài sản có mức độ ưu tiên cao nhất phải được bảo vệ ở mức cao nhất khỏi các mối đe dọa đến từ nội bộ.
- Tạo đường cơ sở về hành vi bình thường của người dùng và thiết bị: Có nhiều hệ thống phần mềm khác nhau có thể theo dõi các mối đe dọa nội bộ. Các hệ thống này hoạt động bằng cách tập trung thông tin hoạt động của người dùng dựa trên nhật ký truy cập, xác thực, thay đổi tài khoản, các điểm đầu cuối và mạng riêng ảo (VPN). Các dữ liệu này được sử dụng để lập mô hình và xác định điểm rủi ro cho hành vi của người dùng gắn với các sự kiện cụ thể như tải dữ liệu nhạy cảm xuống phương tiện di động hoặc người dùng đăng nhập từ một vị trí bất thường. Tạo đường cơ sở về hành vi bình thường cho từng người dùng và thiết bị cá nhân cũng như cho từng vai trò phù hợp với vị trí công việc. Với đường cơ sở này, các sai lệch có thể được gắn cờ và phân tích, điều tra.
- Tăng khả năng hiển thị: Trong một cuộc khảo sát của SANS năm 2019 về các mối đe dọa nâng cao, hơn một phần ba số người được hỏi thừa nhận thiếu khả năng hiển thị trước việc lạm dụng nội bộ. Do đó, điều quan trọng là phải triển khai các công cụ liên tục theo dõi hoạt động của người dùng cũng như tổng hợp và tương quan thông tin hoạt động từ nhiều nguồn.
- Thực thi các chính sách: xác định cụ thể các chính sách, quy định, quy chế của cơ quan, tổ chức có thể triển khai, thực thi và tránh gây hiểu nhầm. Mọi người dùng cũng như nhân sự vận hành, quản trị phải quen thuộc với các thủ tục bảo mật, quy chế, quy định của pháp luật cũng như hiểu về các quyền, trách nhiệm và nghĩa vụ của họ đối với công việc hiện tại.
- Thúc đẩy thay đổi văn hóa: đảm bảo an ninh, bảo mật không chỉ về giải pháp kỹ thuật, quy định, quy chế mà còn về thái độ và niềm tin. Để chống lại sự cẩu thả và giải quyết các tác nhân gây ra hành vi xấu, cần có giải pháp đào tạo, giáo dục phù hợp các nhân sự nội bộ về các vấn đề bảo mật và làm việc để cải thiện sự hài lòng của nhân sự cũng như hình thành thói quen làm việc đảm bảo an toàn, an ninh và bảo mật thông tin.
Để bảo vệ tất cả tài sản CNTT của cơ quan, tổ chức, cần đa dạng hóa chiến lược phát hiện mối đe dọa nội bộ thay vì chỉ dựa vào một giải pháp duy nhất. Một hệ thống phát hiện mối đe dọa nội bộ hiệu quả kết hợp một số công cụ để không chỉ theo dõi hành vi của nhân sự nội bộ mà còn lọc qua số lượng lớn các cảnh báo và loại bỏ các kết quả dương tính giả. Các công cụ như ứng dụng Học máy, cập nhật tri thức các mối đe dọa an toàn thông tin có thể giúp phân tích luồng dữ liệu và ưu tiên các cảnh báo phù hợp nhất. Có thể sử dụng các công cụ phân tích và điều tra số như Phân tích hành vi người dùng và sự kiện để giúp phát hiện, phân tích và cảnh báo cho nhóm bảo mật về bất kỳ mối đe dọa nội bộ tiềm ẩn nào. Phân tích hành vi của người dùng có thể thiết lập đường cơ sở cho hoạt động truy cập dữ liệu bình thường, trong khi giám sát hoạt động cơ sở dữ liệu có thể giúp xác định các vi phạm chính sách.
|
TÀI LIỆU THAM KHẢO 1. Holger Schulze, Insider Threat Report 2020, Cybersecurity Insider, 2020. 2. Matt Ambro, Ahmed Humadi, Jarred Jallah, Jason Lemonds, Insider Threat Prevention Strategic Plan, George Washington University, 2021. |
ThS. Phạm Sỹ Nguyên, Văn phòng Chính phủ
16:00 | 19/02/2021
09:00 | 28/12/2020
10:00 | 10/04/2020
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
