Các sáng kiến ​​mới của Mỹ nhằm mục đích bảo vệ tốt hơn trước các cuộc tấn công mạng

Trong những gì có thể thuộc loại “muộn còn hơn không”, chính phủ Mỹ và ngành công nghiệp máy tính đang tăng cường nỗ lực giải quyết các vấn đề an ninh mạng dường như đang bùng phát.

Vào ngày 18 tháng 08, Bộ An ninh Nội địa Hoa Kỳ đã thông báo rằng Ủy ban Đánh giá An toàn Mạng (CSRB) sẽ tiến hành đánh giá về bảo mật đám mây liên quan đến việc nhắm mục tiêu độc hại vào môi trường đám mây.

Sáng kiến ​​này sẽ tập trung vào việc cung cấp các đề xuất cho chính phủ, ngành và các nhà cung cấp dịch vụ đám mây (CSP) để cải thiện việc quản lý danh tính và xác thực trên đám mây.

Những nỗ lực ban đầu sẽ xem xét vụ hack đám mây Microsoft vào tháng trước, trong đó các nhà nghiên cứu phát hiện ra rằng tin tặc Trung Quốc đã giả mạo mã thông báo xác thực bằng cách sử dụng khóa ký doanh nghiệp Azure Active Directory bị đánh cắp để đột nhập vào hộp thư đến email M365. Vụ hack đã dẫn đến việc đánh cắp email của khoảng 25 tổ chức.

Sau đó, hội đồng sẽ mở rộng sang các vấn đề liên quan đến cơ sở hạ tầng xác thực và nhận dạng dựa trên đám mây ảnh hưởng đến các CSP hiện hành và khách hàng của họ. Phần đánh giá này có thể còn có tầm quan trọng rộng rãi hơn trong việc khắc phục các quy trình an ninh mạng bị hỏng.

Hoa Kỳ tăng cường các biện pháp bảo mật đám mây
Vai trò của CSRB là đánh giá các sự cố nghiêm trọng và lỗ hổng hệ sinh thái, đồng thời đưa ra khuyến nghị dựa trên các bài học kinh nghiệm. Theo các quan chức chính phủ, hội đồng này tập hợp những kiến ​​thức chuyên môn tốt nhất từ ​​ngành công nghiệp và chính phủ.

Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) Jen Easterly cho biết: “Những phát hiện và đề xuất của Hội đồng từ đánh giá này sẽ thúc đẩy các hoạt động an ninh mạng trên các môi trường đám mây và đảm bảo rằng chúng ta có thể duy trì niềm tin chung vào các hệ thống quan trọng này”.

Trong một thông báo liên quan vào ngày 08 tháng 08, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã công bố bản dự thảo khung an ninh mạng mở rộng phiên bản 1.0 được giới thiệu lần đầu tiên vào năm 2014. Khung an ninh mạng (CSF) 2.0 là bản sửa đổi đầu tiên của công cụ đánh giá an ninh mạng kể từ đó.

Sau hơn một năm xem xét ý kiến ​​phản hồi của cộng đồng, NIST đã phát hành phiên bản dự thảo mới của Khung An ninh mạng (CSF) 2.0 để giúp các tổ chức hiểu, giảm thiểu và truyền đạt về rủi ro an ninh mạng. Nó phản ánh những thay đổi trong bối cảnh an ninh mạng và giúp mọi tổ chức dễ dàng triển khai khuôn khổ an ninh mạng hơn.

Cherilyn Pascoe, nhà phát triển chính của khung, cho biết: “Với bản cập nhật này, chúng tôi đang cố gắng phản ánh việc sử dụng Khung an ninh mạng hiện tại cũng như dự đoán việc sử dụng trong tương lai”.

“CSF được phát triển cho cơ sở hạ tầng quan trọng như ngành ngân hàng và năng lượng, nhưng nó đã tỏ ra hữu ích ở mọi nơi, từ trường học, doanh nghiệp nhỏ đến chính quyền địa phương và nước ngoài. Chúng tôi muốn đảm bảo rằng đây là một công cụ hữu ích cho tất cả các lĩnh vực, không chỉ những lĩnh vực được coi là quan trọng,” cô nói thêm.

Kết hợp các chiến lược an toàn mạng trước đó

Nhà Trắng vào ngày 10 tháng 08 đã mở một yêu cầu cung cấp thông tin để lấy ý kiến ​​​​công chúng về bảo mật phần mềm nguồn mở và các ngôn ngữ lập trình an toàn cho bộ nhớ.

Mục tiêu là xây dựng cam kết đầu tư vào phát triển phần mềm an toàn và các kỹ thuật phát triển phần mềm. Yêu cầu lấy ý kiến ​​công chúng cũng nhằm mục đích thúc đẩy sáng kiến ​​4.1.2 của Kế hoạch thực hiện Chiến lược An ninh mạng Quốc gia mà Nhà Trắng đưa ra nhằm bảo đảm nền tảng của Internet.

Nhà Trắng ngày 13/7 đã ban hành Kế hoạch thực hiện chiến lược an ninh mạng quốc gia (“NCSIP”). Nó xác định 65 sáng kiến ​​do 18 bộ và cơ quan khác nhau dẫn đầu, được thiết kế làm lộ trình thực hiện Chiến lược an ninh mạng quốc gia của Hoa Kỳ được công bố vào tháng 3.

Hạn chót trả lời là 5 giờ chiều EDT ngày 9 tháng 10 năm 2023. Để biết thông tin về cách gửi nhận xét, hãy xem Tờ thông tin : Văn phòng Giám đốc Mạng Quốc gia Yêu cầu Nhận xét Công khai về Ngôn ngữ Lập trình An toàn Bộ nhớ và Bảo mật Phần mềm Nguồn Mở.

Phản hồi của Microsoft có thể đặt tiền lệ

Theo Claude Mandy, nhà truyền giáo chính về bảo mật dữ liệu tại Symmetry Systems, vụ vi phạm đám mây của Microsoft được đề cập ở trên đã nêu bật hai vấn đề.

Đầu tiên, nó tiết lộ gói sản phẩm thương mại của Microsoft cần có các tính năng bảo mật như thế nào với các sản phẩm khác. Ông cho biết mục đích là hạn chế khách hàng lựa chọn các sản phẩm cạnh tranh trên cơ sở thương mại.

Điều đó hạn chế các công ty có được các tính năng bảo mật thiết yếu mà không phải trả nhiều hơn mức cần thiết. Theo Mandy, trong trường hợp này, nó liên quan đến nhật ký trong quá trình xác thực.

Tiết lộ thứ hai là thông tin chi tiết về cách thức vi phạm xảy ra cũng như tác động và dữ liệu tiềm ẩn nào có thể bị ảnh hưởng vẫn còn mơ hồ và không có sự chắc chắn nào được cung cấp bởi Microsoft, Mandy đề xuất. Điều đó xảy ra bất chấp sự tập trung và đầu tư từ Microsoft vào an ninh mạng như một nguồn doanh thu.

Ông nói với TechNewsWorld: “Là một ngành, chúng tôi đang yêu cầu sự minh bạch hơn.

Ông lưu ý, bài học quan trọng nhất từ ​​​​sự vi phạm này đối với các tổ chức là việc ghi nhật ký và giám sát các sự kiện dữ liệu – hoặc phát hiện và phản hồi dữ liệu – là đòn bẩy lớn nhất mà một tổ chức có trong đám mây để phát hiện, điều tra và ứng phó với các sự cố bảo mật, đặc biệt là những liên quan đến bên thứ ba.

Ông nói: “Điều thú vị nhất trong ngắn hạn từ đánh giá này sẽ là tiền lệ mà Microsoft đã đặt ra trong việc cam kết cung cấp các nhật ký này với chi phí bằng 0 sẽ được áp dụng hoặc thực thi đối với các nhà cung cấp dịch vụ đám mây khác đến mức nào”.

Một nửa số lỗi bảo mật đám mây bị bỏ qua

Đơn vị nghiên cứu mối đe dọa Qualys đã phân tích tình trạng bảo mật đám mây và công bố kết quả vào đầu tháng này.

Theo Travis Smith, Phó Chủ tịch – Đơn vị Nghiên cứu Mối đe dọa tại Qualys, các nhà nghiên cứu phát hiện ra rằng cấu hình sai trong các nhà cung cấp bảo mật đám mây đã mang lại nhiều cơ hội cho các tác nhân đe dọa nhắm mục tiêu vào các tổ chức, đặc biệt là khi kết hợp với các lỗ hổng bên ngoài vẫn lộ diện và khiến các tổ chức gặp rủi ro.

“Trên ba nhà cung cấp bảo mật đám mây lớn, cài đặt cấu hình được thiết kế để tăng cường kiến ​​trúc và khối lượng công việc trên đám mây chỉ được bật chính xác trong khoảng 50% thời gian. Một lưu ý tương tự, 50,85% lỗ hổng bên ngoài vẫn chưa được vá,” ông nói với TechNewsWorld.

Smith tâm sự, mặc dù việc đánh giá sẽ cung cấp khả năng hiển thị về những rủi ro khi di chuyển tài nguyên máy tính lên đám mây, nhưng có vẻ như các tổ chức không chú ý đến cảnh báo đó.

Phát hiện đó không phải là điềm báo tốt cho an ninh mạng tốt hơn. Đánh giá đầu tiên của các nhà nghiên cứu tập trung vào các lỗ hổng trong Log4J. Các chuyên gia mạng nhận thấy rằng Log4Shell vẫn phổ biến rộng rãi trong môi trường đám mây, với các bản vá lỗi được tìm thấy trong 30% thời gian, ông đưa ra lời khuyên.

Không có giải pháp cho bảo mật đám mây dựa trên khóa

Bảo mật dựa trên khóa sẽ luôn gặp phải vấn đề vi phạm này. Theo một nghĩa nào đó, luôn có một chìa khóa chính, một chìa khóa để thống trị tất cả, Krishna Vishnubhotla, Phó Giám đốc chiến lược sản phẩm tại Zimperium. Vì vậy, chỉ chọn các thuật toán và sơ đồ mã hóa mạnh mẽ là chưa đủ.

“Mối quan tâm quan trọng hơn là việc bảo vệ chìa khóa khỏi bị lấy cắp và lạm dụng. Ông nói với TechNewsWorld: Giữ khóa an toàn không phải là một phương pháp đúng đắn ở hầu hết các doanh nghiệp.

Multicloud và hybrid cloud có sức lan tỏa khắp doanh nghiệp, từ điện toán đến xác thực. Do đó, khóa chính thể hiện quyền truy cập vào tất cả các hệ thống doanh nghiệp.

Ông đề xuất: “Việc doanh nghiệp nên giao phó khóa chính của mình cho Nhà cung cấp đám mây hay doanh nghiệp nên đảm nhận trách nhiệm này là một câu hỏi thực sự”.

Khung an ninh mạng mới hứa hẹn

Những nỗ lực cập nhật các khuyến nghị bảo mật có thể là một cuộc chiến khó khăn ngoài tầm với của các chuyên gia mạng thực sự. John Bambenek, chuyên gia săn lùng mối đe dọa chính tại Netenrich, cho biết: Một trong những vấn đề lâu năm trong an ninh mạng là làm thế nào để nói về vấn đề bảo mật với lãnh đạo và hội đồng quản trị một cách định lượng .

Ông nói với TechNewsWorld: “Việc mở rộng các khuôn khổ này cho tất cả các tổ chức chứ không chỉ cơ sở hạ tầng quan trọng sẽ mở ra cơ hội để có thể thực hiện điều đó một cách nhất quán trên toàn nền kinh tế và hy vọng sẽ dẫn đến việc mua nhiều hơn việc sử dụng bảo mật để giảm rủi ro kinh doanh”.

Giám đốc điều hành Viakoo Bud Broomhead ca ngợi việc bổ sung chức năng thứ sáu, “quản trị”, là một thông điệp rõ ràng tới các tổ chức rằng để thành công, cũng phải có các chính sách và quy trình được quản lý tích cực làm nền tảng cho các lĩnh vực chức năng khác.

Ví dụ, quản trị phải đảm bảo rằng tất cả các hệ thống đều hiển thị và hoạt động được cũng như các quy trình và chính sách bảo mật cấp doanh nghiệp được áp dụng.

Broomhead giải thích, việc mở rộng phạm vi của khuôn khổ NIST cho tất cả các hình thức tổ chức, không chỉ cơ sở hạ tầng quan trọng, thừa nhận cách mọi tổ chức phải đối mặt với các mối đe dọa trên mạng và cần phải có sẵn kế hoạch để quản lý vệ sinh mạng và ứng phó sự cố.

Ông nói với TechNewsWorld: “Điều này đã xảy ra với bảo hiểm mạng và bản cập nhật gần đây của NIST sẽ giúp các tổ chức không chỉ giảm bớt bối cảnh mối đe dọa mà còn có vị thế tốt hơn để đáp ứng các yêu cầu tuân thủ, kiểm toán và bảo hiểm về an ninh mạng”.

Bước đi đúng hướng

Broomhead kêu gọi, bản cập nhật của NIST cũng sẽ thúc đẩy nhiều tổ chức hơn hợp tác với các nhà cung cấp dịch vụ được quản lý về quản lý an ninh mạng và vệ sinh mạng của họ.

Do NIST mở rộng phạm vi của mình để bao gồm các tổ chức nhỏ hơn, nhiều người sẽ thấy rằng nhà cung cấp dịch vụ được quản lý là cách tốt nhất để giúp tổ chức của họ tuân thủ Khung bảo mật mạng NIST v2.0.

Joseph Carson, nhà khoa học bảo mật trưởng và cố vấn CISO tại Delinea, cho biết bản cập nhật mới nhất cho Khung an ninh mạng là một bản làm mới tuyệt vời của một trong những khung rủi ro an ninh mạng tốt nhất .

Ông nói với TechNewsWorld: “Thật tuyệt khi thấy khuôn khổ này chuyển từ chỉ tập trung vào các tổ chức cơ sở hạ tầng quan trọng và thích ứng với các mối đe dọa an ninh mạng bằng cách cung cấp hướng dẫn cho tất cả các lĩnh vực”.

“Điều này bao gồm trụ cột quản trị mới thừa nhận những thay đổi trong cách các tổ chức hiện nay ứng phó với các mối đe dọa nhằm hỗ trợ chiến lược an ninh mạng tổng thể của họ.”

(Theo Technewsworld)