Thách thức đầu tiên mà các nhà lãnh đạo an ninh mạng trong mỗi tổ chức/doanh nghiệp phải đối mặt là việc thống kê chính xác được tất cả các công cụ SaaS mà nhân viên của họ đang sử dụng. Với bối cảnh SaaS luôn thay đổi liên tục như hiện nay thì những thách thức này không bao giờ dừng lại.
Thách thức tiếp theo là việc bảo mật các công cụ SaaS bằng cách sử dụng kết hợp các công cụ bảo mật với quản lý cấu hình như đăng nhập một lần (SSO). Đây là bước cần thiết để quản lý rủi ro của ứng dụng SaaS mà không kiểm soát tất cả các hành động mà người dùng thực hiện trong ứng dụng.
Mặc dù các chuyên gia an ninh mạng vẫn thường xuyên đưa ra các cảnh bao rủi ro, nhưng các nhân viên hàng ngày vẫn thực hiện một số hành động nhất định trong các ứng dụng SaaS có liên quan đến bảo mật và quyền riêng tư. Không phải tất cả các hành động này đều dẫn đến vi phạm dữ liệu hay thậm chí là sự cố bảo mật nhưng đều có nguy cơ gây lộ lọt thông tin của công ty. Do vậy, bắt buộc phải có một cách tiếp cận mới để đo lường và giảm thiểu những rủi ro đó.
Một số hoạt động SaaS có liên quan đến rủi ro bao gồm:
- Xuất bản danh sách người dùng: Trong nhiều giải pháp SaaS, người dùng có thể xuất bản hoặc tải xuống danh sách người dùng chứa thông tin nhận dạng cá nhân (PII). Chức năng này thường có trong các công cụ hỗ trợ.
- Chia sẻ tệp: Không chỉ dành riêng cho các bộ nhớ dùng chung như Google, Dropbox và Box, người dùng trong các ứng dụng SaaS như Slack có thể chia sẻ các tệp nhạy cảm và thậm chí đặt chúng ở chế độ công khai.
- Mời những người dùng bên ngoài: Những người dùng nội bộ có thể mời người dùng bên ngoài vào hầu hết các ứng dụng SaaS.
- Tích hợp SaaS: Một số ứng dụng SaaS được chấp nhận theo các quy tắc dữ liệu nhất định, chẳng hạn như GDPR hoặc HIPAA, nhưng dữ liệu này có thể dễ dàng được chia sẻ tới các ứng dụng SaaS mà không có các biện pháp hoặc cam kết bảo vệ dữ liệu phù hợp.
Bước đầu tiên trong việc quản lý rủi ro khi sử dụng ứng dụng SaaS là đo lường rủi ro của việc sử dụng các ứng dụng đó. Khoảng 10% ứng dụng SaaS có nguy cơ rủi ro chiếm đến 90%, do đó, nhắm mục tiêu 10% này là bước đầu tiên. Các ứng dụng phổ biến nhất trong 10% này là những giải pháp quản lý quan hệ khách hàng (CRM), các nền tảng hỗ trợ, các công cụ kết nối và thúc đẩy năng xuất.
Các chuyên gia bảo mật có thể đo lường rủi ro SaaS bằng cách coi SaaS cũng như bất kỳ loại cơ sở hạ tầng khác, ghi lại các sự kiện ứng dụng SaaS và tốt nhất là đưa vào nền tảng quản lý bảo mật tập trung. Bước này cung cấp khả năng hiển thị và cách thức việc đo lường rủi ro được diễn ra liên tục. Sau đó, với các sự kiện ứng dụng SaaS này có thể chỉ kích hoạt một số hoạt động nhất định sẽ giúp ích trong việc quản lý rủi ro của SaaS.
Nếu rủi ro của SaaS bắt nguồn từ các hành động cần thiết của người dùng, chẳng hạn như chia sẻ tài liệu quan trọng thông qua giải pháp SaaS thì rủi ro này có thể được quản lý như thế nào? Vì SaaS trao quyền tự chủ nhiều hơn cho người dùng cuối nên đòi hỏi họ phải có trách nhiệm hơn về bảo mật.
Tư duy bảo mật trong một tổ chức là yếu tố mang tính then chốt quan trọng, nhưng đây không phải là một nhiệm vụ dễ dàng, đặc biệt là khi các ứng dụng SaaS cho phép quy trình làm việc từ bất kỳ vị trí và thiết bị nào.
Do đó, cần đào tạo nâng cao nhận thức về bảo mật, cách tiếp cận mới để xây dựng tư duy bắt buộc này. Rủi ro từ các ứng dụng SaaS không thể giảm thiểu bằng cách đào tạo nhân viên về mật khẩu mạnh hay chuyên gia về ransomware. Quy trình làm việc của SaaS dành riêng cho các ứng dụng SaaS, vì vậy, quá trình đào tạo cần được cập nhật liên tục và phù hợp với từng phần mềm cụ thể đang được sử dụng.
Nhiều công ty đang bắt đầu việc đo lường và quản lý rủi ro từ các hành động của nhân viên trong ứng dụng SaaS. Bước đầu tiên trong việc quản lý rủi ro này là kiểm kê và xếp hạng rủi ro của các ứng dụng này. Cùng với đó, phải có một chương trình nâng cao nhận thức bảo mật thì mới có khả thi trong việc giảm thiểu rủi ro.
Trên thế giới, các nhà thống kê ước tính tốc độ tăng trưởng của thị trường SaaS sẽ đạt con số 17% vào năm 2022. Điều này cho thấy tiềm năng và cơ hội phát triển của ngành công nghệ dựa vào mô hình SaaS là vô cùng lớn. Ứng dụng SaaS được coi là mũi nhọn phát triển của ngành công nghệ. Chúng không chỉ dừng lại ở mục đích chia sẻ dữ liệu nhanh chóng mà còn được nâng cấp và mở rộng thành các phần mềm đặc thù với rất nhiều tiện ích và SaaS đang tiếp tục được mở rộng và phát triển không ngừng để đáp ứng nhu cầu ngày càng tăng của người sử dụng.
Trần Thanh Tùng
11:00 | 27/01/2023
15:00 | 06/05/2022
10:00 | 25/08/2021
13:00 | 14/03/2018
16:00 | 13/12/2022
15:00 | 04/08/2023
Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.
10:00 | 21/02/2023
Khi khối lượng và sự đa dạng của dữ liệu có thể được thu thập thì việc lưu trữ và phân tích đã tăng vọt trong hơn một thập kỷ qua. Cùng với đó, những vấn đề về bảo mật ngày càng trở nên quan trọng, đặc biệt là việc bảo vệ dữ liệu cá nhân của người dùng.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
09:00 | 12/09/2022
Active Directory – AD được biết đến là một dịch vụ thư mục của Windows cho phép các cán bộ, quản trị viên công nghệ thông tin (CNTT) có thể quản lý quyền truy cập người dùng, ứng dụng, dữ liệu và nhiều khía cạnh khác trong mạng của các tổ chức/doanh nghiệp (TC/DN). Tuy nhiên, bởi AD chứa rất nhiều dữ liệu quan trọng nên đây chính là đối tượng thường được các tin tặc khai thác để thực hiện các cuộc tấn công chiếm quyền điều khiển và các hành vi độc hại khác. Bài báo này sẽ gửi tới quý độc giả 11 bước tăng cường bảo vệ dịch vụ AD trong môi trường mạng doanh nghiệp.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
