Bạn có thể đã nghe câu nói, "Đừng bao giờ để một cuộc khủng hoảng trở nên lãng phí." Thật không may, các tin tặc đã lưu tâm đến khái niệm đó trong COVID-19. Số lượng các cuộc tấn công mạng tăng vọt khi tin tặc liên tục khai thác các cửa sau dễ bị tấn công vào các hệ thống của công ty trong bối cảnh đại dịch gây mất tập trung. Các mục tiêu bao gồm chăm sóc sức khỏe, dịch vụ tài chính và các tổ chức khu vực công như Tổ chức Y tế Thế giới. Các cuộc tấn công chống lại lĩnh vực tài chính đã tăng 238% trên toàn cầu từ tháng 2 đến tháng 4 năm 2020.
Theo Alissa Abdullah, Phó Giám đốc An ninh tại Mastercard và từng là Phó Giám đốc điều hành tại Nhà Trắng dưới thời Tổng thống Barack Obama, COVID-19 và kết quả là sự chuyển hướng sang công việc ảo “đã thay đổi cơ hội của đối thủ và chuyển trọng tâm của họ sang một số cơ hội khác công cụ mà chúng tôi đang sử dụng. ”
Tin tặc cũng tấn công các nền tảng cộng tác. Vào tháng 4 năm 2020, tin tặc đã nắm giữ hơn 500.000 tên người dùng và mật khẩu của tài khoản Zoom, và bán chúng trên các diễn đàn tội phạm web đen với giá chỉ một xu cho mỗi tài khoản; một số thông tin đã được cho đi một cách đơn giản. Các cuộc tấn công mạng liên quan đến vắc-xin COVID-19 cũng xuất hiện; vào tháng 12 năm 2020, Cơ quan Dược phẩm Châu Âu báo cáo rằng một số dữ liệu về vắc xin Pfizer / BioNTech COVID-19 đã bị đánh cắp trong một cuộc tấn công mạng. Cùng lúc đó, IBM đã gióng lên hồi chuông cảnh báo về việc tin tặc nhắm mục tiêu vào các công ty trung tâm phân phối vắc xin COVID-19.
Các cuộc tấn công mạng và chi phí liên quan của chúng sẽ chỉ tiếp tục tăng tốc. Hãy xem xét những điều sau:Cybersecurity Ventures dự đoán rằng các cuộc tấn công mạng sẽ xảy ra cứ sau 11 giây vào năm 2021, gần gấp đôi tỷ lệ năm 2019 (cứ 19 giây một lần) và gấp bốn lần tỷ lệ năm 2016 (cứ 40 giây một lần). Theo ước tính, tội phạm mạng hiện gây thiệt hại cho thế giới 6 nghìn tỷ đô la mỗi năm, gấp đôi tổng số 3 nghìn tỷ đô la của năm 2015. Đến năm 2025, tội phạm mạng được dự đoán sẽ gây thiệt hại cho thế giới 10,5 nghìn tỷ đô la mỗi năm.
Cái giá phải trả của tội phạm mạng bao gồm hành vi trộm cắp tài sản trí tuệ, dữ liệu cá nhân và tài chính, cũng như số tiền thực tế — cộng với chi phí gián đoạn sau cuộc tấn công đối với hoạt động kinh doanh, mất năng suất và tổn hại danh tiếng, trong số những thứ khác, Steve Morgan, Người sáng lập giải thích của Cybersecurity Ventures. Ngoài những hậu quả trực tiếp này, chi phí ẩn của tội phạm mạng còn bao gồm việc tăng phí bảo hiểm, xếp hạng tín dụng thấp hơn và phí pháp lý do khách hàng khởi kiện.
Một báo cáo Bảo mật của IBM năm 2020 đã khảo sát 524 tổ chức vi phạm ở 17 quốc gia trong 17 ngành công nghiệp chỉ ra rằng chi phí trung bình của một vụ vi phạm dữ liệu là 3,86 triệu đô la và mất trung bình 280 ngày để ngăn chặn. Hậu quả có thể tiếp diễn trong nhiều năm sau vụ việc.
Tại Vương quốc Anh vào năm 2019, 90% các vụ vi phạm dữ liệu là do lỗi của con người. Trong đại dịch, nhân viên luôn bận tâm đến căng thẳng cá nhân và tài chính gia tăng, khiến họ dễ bị lừa đảo hơn - một loại lừa đảo nhắm mục tiêu vào những người hoặc nhóm cụ thể trong một tổ chức - và các cuộc tấn công "kỹ thuật xã hội" được thiết kế để thao túng tâm lý các cá nhân tiết lộ thông tin nhạy cảm.
Cụ thể hơn, các cuộc tấn công kỹ thuật xã hội nhằm mục đích đánh lừa nhân viên làm điều gì đó có vẻ hợp pháp nhưng không phải vậy. Mặc dù các công ty thường đào tạo nhân viên để xác định các yêu cầu gian lận, nhưng trong bối cảnh bất thường của đại dịch, nhân viên trở nên khó phân biệt lừa đảo với các yêu cầu hợp pháp.
Thomas Ruland, chuyên gia tài chính của Toptal cho biết:“Mọi người đều biết bạn không thể lấy USB ở bãi đậu xe [và đặt nó vào máy tính] mạng và Giám đốc Tài chính và Hoạt động tại Decentriq, một công ty chuyên về chia sẻ và cộng tác dữ liệu an toàn. “Khi bạn không ở cùng một văn phòng, việc chia sẻ dữ liệu ngẫu nhiên có thể xảy ra thường xuyên hơn. Khi mọi người làm việc trong cùng một văn phòng, bạn chỉ có thể hỏi, "Này, bạn có thực sự gửi cái này không?", Nhưng khó phân tích cú pháp hơn khi làm việc tại nhà. "
Vấn đề "nhìn thấy" - lừa đảo qua hóa đơn - cũng đã trở nên trầm trọng hơn do đại dịch, với những kẻ tấn công sử dụng các cuộc gọi để lấy thông tin đăng nhập VPN hoặc thông tin nhạy cảm khác từ nhân viên. Các trò lừa đảo qua mạng thường cố gắng tỏ ra hợp pháp bằng cách cung cấp cho các nạn nhân tiềm năng một phần thông tin cá nhân chính xác, chẳng hạn như số An sinh xã hội hoặc số tài khoản ngân hàng của một cá nhân. Một lượng lớn thông tin cá nhân đáng ngạc nhiên khác được công bố công khai cho những kẻ tấn công, những kẻ chỉ cần tìm kiếm các nền tảng truyền thông xã hội hoặc các trang web liên quan khác để truy cập các chi tiết đó.
COVID-19 đã thúc đẩy việc áp dụng vội vàng các công nghệ mới khi các tổ chức thiết lập các quy trình kỹ thuật số mới trong bối cảnh công việc tại văn phòng bị gián đoạn. Trong giai đoạn trước của đại dịch, nhiều công ty không có lựa chọn nào khác ngoài việc chấp nhận những rủi ro mới, bao gồm cả việc giảm tiêu chuẩn kiểm soát, để duy trì hoạt động.
Một trong những kết quả chính của những thay đổi nhanh chóng và mạnh mẽ đó là việc áp dụng đám mây rộng rãi. Trong Báo cáo về đám mây trạng thái năm 2021, Flexera nhận thấy rằng nhu cầu làm việc từ xa đã thúc đẩy hơn một nửa số nhóm được khảo sát tăng mức sử dụng đám mây của họ ngoài những gì đã được lên kế hoạch. Những người được hỏi khác chỉ ra rằng các tổ chức của họ có thể đẩy nhanh quá trình di cư do gặp khó khăn trong việc truy cập các trung tâm dữ liệu truyền thống và sự chậm trễ trong chuỗi cung ứng của họ. Trong khi 20% doanh nghiệp tiết lộ chi tiêu cho đám mây hàng năm của họ vượt quá 12 triệu đô la, tăng 7% so với năm trước, 74% báo cáo rằng chi phí của họ vượt quá 1,2 triệu đô la, tăng từ 50% của năm trước.
Thật không may, các hành động được thực hiện trong thời gian khắc nghiệt và áp lực hoạt động chắc chắn đã dẫn đến những lỗ hổng trong an ninh mạng. Và 75% số người được hỏi trong Báo cáo bảo mật đám mây năm 2020 của Cybersecurity Insiders chỉ ra rằng họ “rất quan tâm” hoặc “cực kỳ lo lắng” về bảo mật đám mây công cộng. Mối lo ngại về bảo mật đám mây càng trở nên trầm trọng hơn khi các tổ chức sử dụng hai hoặc nhiều nhà cung cấp đám mây công cộng, như 68% số người được hỏi làm.
Các chuyên gia bảo mật và nhà tuyển dụng chủ yếu lo ngại về ba thách thức bảo mật đám mây. Đầu tiên, định cấu hình sai đám mây và vùng chứa, khi quản trị viên vô tình triển khai cài đặt cho hệ thống đám mây xung đột với chính sách bảo mật của tổ chức. Một vấn đề khác là khả năng hiển thị mạng hạn chế, trong đó một tổ chức không chắc chắn về phần cứng và phần mềm nào được kết nối với mạng và những sự kiện mạng nào đang diễn ra. Và mối quan tâm lớn thứ ba là môi trường thời gian chạy trên đám mây không được bảo vệ, tạo cơ hội cho những kẻ tấn công làm mồi cho một tổ chức.
COVID-19 và sự chuyển đổi sang công việc ảo đã thúc đẩy việc áp dụng rộng rãi các chương trình mang thiết bị của riêng bạn. Đặc biệt là trong giai đoạn đầu của đại dịch, nhiều công nhân không có lựa chọn nào khác ngoài việc sử dụng các thiết bị cá nhân, Wi-Fi công cộng hoặc mạng gia đình để làm việc từ xa. Những trường hợp như vậy tạo cơ hội cho tin tặc tiếp cận các tài nguyên của tổ chức; khi thiết bị cá nhân bị xâm phạm, chúng có thể đóng vai trò là bệ phóng vào mạng công ty.
“Một trong những rủi ro an ninh mạng lớn nhất là thiết bị cá nhân,” Trina Glass, luật sư của Stark &Stark nói với Hiệp hội Quản lý Nguồn nhân lực. “Dù là điện thoại thông minh hay máy tính xách tay, đều có những vấn đề nghiêm trọng đặt ra khi sử dụng công nghệ cá nhân trong môi trường làm việc liên quan đến thông tin nhạy cảm. Nhân viên có thể lưu tài liệu vào máy tính để bàn của họ hoặc gửi bản nháp tài liệu đến email cá nhân của họ. Họ có thể không có phần mềm chống vi-rút cập nhật hoặc họ có thể sử dụng bảo vệ bằng mật khẩu cá nhân đã lỗi thời. ”
Vào tháng 12 năm 2020, có tin tức cho biết SolarWinds, một công ty quản lý CNTT lớn, đã phải chịu một cuộc tấn công mạng mà không bị phát hiện trong nhiều tháng. Đầu năm đó, tin tặc nước ngoài đã đột nhập vào hệ thống của SolarWinds và chèn mã độc. Sau đó, khi SolarWinds gửi các bản cập nhật phần mềm cho 33.000 khách hàng của mình, mã của những kẻ tấn công đã đi cùng với nó và tạo ra một cửa sau cho hệ thống CNTT của khách hàng. Các tin tặc đã sử dụng các cửa sau này để cài đặt thêm phần mềm độc hại gián điệp. Cuối cùng, khoảng 18.000 khách hàng của SolarWinds đã cài đặt các bản cập nhật này, bao gồm các cơ quan của Hoa Kỳ như Bộ An ninh Nội địa và Kho bạc và các công ty tư nhân như Intel, Microsoft và Cisco.
Tin tặc thường nhắm mục tiêu và tấn công các yếu tố không an toàn của chuỗi cung ứng phần mềm hoặc phần cứng. Accenture phát hiện ra rằng 40% các cuộc tấn công an ninh mạng bắt nguồn từ chuỗi cung ứng mở rộng. Những kẻ tấn công thường tìm kiếm các liên kết yếu nhất, chẳng hạn như các nhà cung cấp nhỏ với ít kiểm soát an ninh mạng hoặc các thành phần nguồn mở. Thường xuyên hơn không, sau khi xác định mục tiêu của chúng, tin tặc thêm cửa sau vào phần mềm hợp pháp và được chứng nhận hoặc các hệ thống xâm nhập được sử dụng bởi các nhà cung cấp bên thứ ba. Do đó, các cuộc tấn công vào chuỗi cung ứng phơi bày sự thật rằng các biện pháp kiểm soát an ninh mạng của một tổ chức chỉ mạnh bằng mắt xích yếu nhất của chuỗi.
Giờ đây, thế giới đã trải qua hơn một năm đại dịch, các công ty phải vượt ra khỏi việc chỉ đơn giản là thiết lập các biện pháp ngăn chặn và thay vào đó là dự đoán “bình thường tiếp theo”. Giám đốc an ninh thông tin, giám đốc tài chính và nhóm an ninh mạng phải tìm ra cách thức đội ngũ làm việc, khách hàng, chuỗi cung ứng và các đồng nghiệp trong ngành của họ sẽ làm việc cùng nhau để cung cấp đầy đủ an ninh mạng. Dưới đây là năm cách để bắt đầu:
An ninh mạng CNTT truyền thống dựa trên khái niệm lâu đài và hào quang:Mọi người bên trong mạng đều được tin cậy theo mặc định và những người bên ngoài mạng khó có thể truy cập. Các cuộc tấn công mạng diễn ra trong đại dịch COVID-19 đã bộc lộ những hạn chế của chiến lược này. Các công ty nên xem xét việc áp dụng chiến lược không tin cậy nhằm duy trì các kiểm soát truy cập nghiêm ngặt và không tin tưởng bất kỳ cá nhân, thiết bị hoặc ứng dụng nào theo mặc định — ngay cả những người đã có trong chu vi mạng. Mô hình không tin cậy yêu cầu xác minh danh tính và ủy quyền cho mọi người và thiết bị cố gắng truy cập tài nguyên trên mạng riêng. Vào năm 2019, Gartner dự đoán rằng vào năm 2023, 60% doanh nghiệp sẽ chuyển từ VPN sang các sáng kiến không tin tưởng.
Hơn nữa, doanh nghiệp nên ủy thác xác thực hai yếu tố cho nhân viên. Xác thực hai yếu tố yêu cầu người dùng cung cấp hai loại thông tin khác nhau để truy cập vào tài khoản trực tuyến hoặc hệ thống CNTT; thông thường, điều này bao gồm một cặp tên người dùng / mật khẩu (xác thực một yếu tố) và một bằng chứng nhận dạng khác, chẳng hạn như mã được gửi đến điện thoại hoặc địa chỉ email của nhân viên.
Diễn đàn Kinh tế Thế giới khuyến nghị rằng các doanh nghiệp cũng nên bắt đầu quá trình chuyển đổi sang xác thực đa yếu tố sinh trắc học bằng cách sử dụng dấu vân tay, khuôn mặt, hành vi đánh máy hoặc các yếu tố khác để xác minh danh tính của người dùng. Trái ngược với các công ty lưu trữ mật khẩu của khách hàng trên máy chủ của họ, sinh trắc học của người dùng được lưu trữ trên thiết bị của người dùng và do đó, không có điểm thu thập dữ liệu duy nhất để tội phạm mạng truy cập và nguy cơ gian lận trực tuyến và đánh cắp danh tính giảm đáng kể. . Quy mô thị trường hệ thống sinh trắc học toàn cầu dự kiến sẽ tăng từ 36,6 tỷ đô la vào năm 2020 lên 68,6 tỷ đô la vào năm 2025.
Để tăng cường an ninh mạng, các tổ chức phải kiểm tra các công cụ và yêu cầu bảo mật của họ đối với việc chia sẻ và duy trì thông tin cá nhân với các nhà cung cấp. Các tổ chức nên bắt đầu bằng cách xem xét tất cả các nhà cung cấp và các dịch vụ tiềm ẩn của bên thứ ba; chỉ định các cấp độ rủi ro cho các nhà cung cấp, xác định những cấp độ rủi ro quan trọng nhất đối với hoạt động và có quyền truy cập lớn nhất vào thông tin quan trọng; và sau đó hiệu chỉnh phạm vi đánh giá tương ứng.
Sau đó, doanh nghiệp nên cập nhật các biện pháp kiểm soát và hạn chế truy cập cho các bên thứ ba, đồng thời phát triển các biện pháp kiểm soát mất mát dữ liệu mạnh mẽ hơn. Các tổ chức cũng phải đảm bảo rằng các nhà cung cấp hiện chưa được chuẩn bị cho rủi ro mạng cao cam kết phát triển các kế hoạch sẵn sàng về mạng để xử lý an toàn thông tin và tương tác với mạng công ty của tổ chức. Hơn nữa, nếu có thể, các doanh nghiệp nên tích hợp nhật ký quan trọng của bên thứ ba vào giám sát an ninh doanh nghiệp và tạo hệ thống cảnh báo để phối hợp giám sát và phản ứng. Thực hiện tất cả các bước này sẽ giúp xây dựng khả năng phục hồi trên không gian mạng trên các chuỗi cung ứng.
Khi các tổ chức rời xa các giải pháp an ninh mạng tại chỗ truyền thống và hướng tới các kiến trúc lấy đám mây làm trung tâm, họ phải học cách bảo vệ đám mây.
Định cấu hình sai đám mây và vùng chứa có thể là một vấn đề bởi vì, trái ngược với mạng tại chỗ, nơi chỉ các chuyên gia CNTT mới có thể thiết lập và triển khai cơ sở hạ tầng mạng, trong môi trường đám mây, nhiều người có thể làm như vậy hơn. Những kẻ tấn công thường tận dụng các cấu hình sai để truy cập mạng vì chúng rất dễ bị phát hiện. Các tổ chức có thể giúp quản lý các cấu hình sai bằng cách làm theo Hướng dẫn thị trường của Gartner về Nền tảng bảo vệ khối lượng công việc trên đám mây để thiết lập đường cơ sở cho các nội dung được kết nối với mạng. (Báo cáo đầy đủ có sẵn để mua tại đây.) Từ đó, các tổ chức nên theo dõi những sai lệch đó và có khả năng sử dụng các biện pháp phòng thủ tự động để bảo vệ hệ thống của họ trước các cuộc tấn công.
Đối với khả năng hiển thị mạng, các công cụ khám phá nội dung cung cấp khả năng khám phá thiết bị và nhận biết không chỉ những gì có trong mạng mà còn cả những nội dung nào không được bảo vệ. Các công cụ này cung cấp sự minh bạch về mối quan hệ giữa các nội dung, việc sử dụng chúng, mạng và các thiết bị khác, bao gồm cả mô-đun phần mềm nào được cài đặt trên mạng.
Cuối cùng, các tổ chức có thể bảo vệ khỏi môi trường thời gian chạy đám mây không được bảo vệ cho khối lượng công việc được chứa. Khi một thiết bị cố gắng chạy một ứng dụng, môi trường thời gian chạy hoạt động như một trung gian giữa ứng dụng và hệ điều hành.
Mặc dù các nhà phân tích an ninh con người đã sử dụng các công cụ tự động hóa để trích xuất các cảnh báo khẩn cấp nhất từ các bộ dữ liệu khổng lồ và kích hoạt con người thực hiện hành động, nhưng các công cụ trí tuệ nhân tạo (AI) và máy học (ML) đang ngày càng trở nên tinh vi.
“Chúng tôi đang tiến xa hơn các thuật toán chỉ xem xét các chỉ số của bạn và yêu cầu con người làm điều gì đó đối với một ngoại lệ nhất định”, Phó Chủ tịch Kỹ thuật và Trưởng bộ phận Máy học của Splunk, Ram Sriharsha, cho biết trong Báo cáo Bảo mật Dữ liệu năm 2021 của công ty. “Về quy mô, chúng tôi cần các thuật toán và tự động hóa để thực hiện hành động. Trong lĩnh vực bảo mật, chúng tôi sẽ không chỉ đào tạo các mô hình về các tác nhân và hành vi xấu trong quá khứ để xác định hành vi mới, tương tự. Chúng ta sẽ thấy các thuật toán chỉ xem xét những gì đang xảy ra — xem lưu lượng truy cập, xem dữ liệu — để xác định các dạng xấu và thực hiện hành động né tránh. ”
Các tổ chức nên xem xét việc sử dụng các hệ thống quản lý an ninh mạng dựa trên AI tự học hỏi. Tuy nhiên, khi các giải pháp an ninh mạng AI / ML phát triển, thì những kẻ tấn công cũng vậy. Sử dụng phương pháp học đối thủ, những kẻ xấu thu thập đủ thông tin về mô hình AI / ML để thiết kế các cách đầu độc hệ thống và khiến nó trở nên vô hiệu để phòng thủ. Học đối phương giống như lừa một chiếc xe tự hành hiểu sai một biển báo dừng. Và theo nghiên cứu của Gartner, 30% trong số tất cả các cuộc tấn công mạng bằng AI sẽ tận dụng việc nhiễm độc dữ liệu đào tạo, đánh cắp mô hình AI hoặc các mẫu đối thủ để tấn công các hệ thống được hỗ trợ bởi AI cho đến năm 2022. Tuy nhiên, bất chấp những mối đe dọa này đối với hệ thống AI / ML, một cuộc khảo sát gần đây của Microsoft đã tiết lộ rằng 25 trong số 28 doanh nghiệp cho biết họ không có các công cụ phù hợp để bảo mật hệ thống AI / ML của mình. Đừng là một trong số họ.
Mặc dù có vẻ đơn giản, nhưng điều quan trọng đối với các tổ chức là tăng cường đào tạo nhân viên về các biện pháp an ninh mạng. Các tổ chức nên thiết kế các chương trình đào tạo và bài tập dựa trên vai trò để nâng cao nhận thức về các rủi ro mạng mới trong môi trường từ xa, bao gồm các mối đe dọa mới, quy tắc sử dụng thiết bị đã được phê duyệt và quy trình báo cáo sự cố mạng.
Các nhóm quản lý cũng nên cung cấp các mô phỏng và hướng dẫn các tình huống tấn công mạng để nhân viên tích cực tham gia. Ban quản lý cũng nên cung cấp các hướng dẫn rõ ràng về các hành động bắt buộc và khi nào các quyết định nên được báo cáo.
Cuối cùng, nhân viên nên được nhắc nhở không sử dụng mạng Wi-Fi công cộng hoặc máy in và không lưu trữ tài liệu trên máy tính gia đình.
Để đối phó với các cuộc tấn công mạng ngày càng leo thang dưới dạng tấn công kỹ thuật xã hội và tấn công chuỗi cung ứng, cũng như gia tăng CNTT bóng tối và các biện pháp stopgap dễ bị tấn công, các doanh nghiệp nên tập trung vào việc điều chỉnh cho “bình thường tiếp theo”. Đó là, ban quản lý phải hợp tác với các nhóm an ninh mạng để tăng cường cảnh giác về truy cập, xem xét lại chuỗi cung ứng và rủi ro của bên thứ ba, phát triển bộ kỹ năng bảo mật đám mây, tận dụng các công cụ AI và ML, đồng thời tăng cường đào tạo nhân viên tương tác. Tạo môi trường an toàn cho khách hàng mang lại cho doanh nghiệp lợi thế cạnh tranh và xây dựng lòng tin cũng như lòng trung thành với khách hàng hiện tại và tương lai của họ.