Mối nguy hiểm của Hubris Bảo mật CNTT

An ninh mạng của doanh nghiệp ngày càng bị xâm phạm kể từ khi các doanh nghiệp và tổ chức bắt đầu thực hiện chính sách làm việc tại nhà (WFH) vào tháng 3 khi đại dịch tiếp tục lan rộng.
Malwarebytes vào tháng 6 đã đặt ra để đo lường cách các nhà lãnh đạo CNTT của công ty phản ứng với đại dịch; và những chiến lược nào được hoạch định khi họ mong đợi. Công ty phần mềm chống phần mềm độc hại đã khảo sát hơn 200 chuyên gia CNTT tại các công ty thuộc nhiều quy mô khác nhau. Những kết quả khảo sát đó, kết hợp với đo từ xa nội bộ của công ty, cho thấy nhiều người đứng đầu CNTT có thể quá tự tin về các quy trình và giao thức an ninh mạng mà họ áp dụng.
Ví dụ: 44% số người được hỏi không cung cấp khóa đào tạo về an ninh mạng cho lực lượng lao động, 45% không thực hiện các phân tích bảo mật và quyền riêng tư trực tuyến của các công cụ phần mềm được cho là cần thiết để chuyển đổi sang WFH và 18% cho biết an ninh mạng không phải là ưu tiên của nhân viên của họ .
Mặc dù vậy, hơn 70% người trả lời cuộc khảo sát của Malwarebytes đã cho tổ chức của họ điểm 7/10 khi được yêu cầu xác định mức độ sẵn sàng của họ để chuyển đổi sang WFH.
"Đây có thể là một ví dụ về một hiện tượng thường khó đo lường mà chúng tôi gọi là kiêu ngạo an ninh, còn được gọi là quá tự tin vào các biện pháp an ninh hạn chế được triển khai", khảo sát nêu rõ.
Nhận thức so với thực tế
Không nghi ngờ gì khi xu hướng WFH đã chứng kiến sự gia tăng hoạt động từ các tin tặc.
Chloé Messdaghi, Phó chủ tịch chiến lược tại Point3 Security, nói với TechNewsWorld : “Chúng tôi đang chứng kiến sự gia tăng mạnh mẽ trong các cuộc tấn công lừa đảo do đại dịch COVID-19 .
Messdaghi cho biết: “Ví dụ, chúng tôi đang chứng kiến những nỗ lực ngày càng tăng của các kẻ đe dọa xâm nhập vào các công ty thông qua địa chỉ email cá nhân và tin nhắn SMS của nhân viên của họ. "Tất cả nhưng không thể cưỡng lại những diễn viên xấu vì đại dịch này đang khiến công việc của họ trở nên dễ dàng hơn rất nhiều."
Doanh nghiệp CNTT phải nhận thức được điều này, vậy tại sao lại có sự bất đồng giữa tự đánh giá của người được hỏi và thực tế?
David Ruiz, người ủng hộ quyền riêng tư trực tuyến tại Malwarebytes Labs, nói với TechNewsWorld: “Có một vấn đề được nhúng trong hubris bảo mật tồn tại trong nhiều lĩnh vực khác - chúng tôi không biết những gì chúng tôi không biết.
Ruiz nói: "Sự kiêu ngạo về bảo mật đang phổ biến nhưng không phải do bất kỳ mục đích xấu nào". Đôi khi, đó là do chỉ tập trung vào một khía cạnh của an ninh mạng hơn là bỏ qua vấn đề, chẳng hạn như chuyên gia CNTT tập trung vào các mối đe dọa từ bên ngoài nhưng lại quên mất các mối đe dọa từ nội bộ, hoặc ngược lại.
Andy Ellis, Giám đốc An ninh tại Akamai Technologies, một mạng lưới cung cấp nội dung toàn cầu, an ninh mạng, và công ty dịch vụ đám mây, nói với TechNewsWorld.
Ellis nói: “Các tổ chức khác có thể nghĩ rằng họ đã sẵn sàng, nhưng họ chỉ nhầm. "Vẫn còn những người khác có thể biết họ chưa sẵn sàng nhưng ai lại muốn vẽ mục tiêu sau lưng bằng cách thừa nhận điều đó?"
Biên giới mối đe dọa mới
Có thể là các chuyên gia CNTT đã không có đủ thời gian để đối phó với khía cạnh bao phủ mới mà hiện tượng WFH đã thêm vào, vì các doanh nghiệp chuyển sang WFH rất nhanh chóng.
Akamai nhận thấy rằng mức tiêu thụ dịch vụ Internet qua các thiết bị kết nối doanh nghiệp đã tăng 40% trong tháng 3 và lưu lượng truy cập vào các trang web liên quan đến phần mềm độc hại tăng 400%. "Cả hai thay đổi quan sát được này được coi là kết quả của những thay đổi trong thói quen duyệt web của người dùng sau khi làm việc tại nhà", nó kết luận.
Mọi thứ không thay đổi kể từ đó, Ellis lưu ý. "Sự gia tăng mà chúng tôi thấy khi phần lớn thế giới chuyển sang làm việc từ xa tại nhà vẫn nhất quán trong những tháng kể từ đó."
Các mối nguy hiểm của WFH "không nhất thiết phải khác nhau về cấu trúc, nhưng thay vào đó có thể đại diện cho sự thay đổi trọng lượng của các cuộc tấn công," ông giải thích. Ví dụ: các cuộc tấn công lừa đảo luôn tồn tại, nhưng giờ đây "có nhiều lừa đảo hơn và đồng thời, một trong những biện pháp phòng thủ được đánh giá thấp hơn chống lại lừa đảo - hỏi đồng nghiệp của bạn xem email có lạ không - không còn nữa."
Hơn nữa, nhiều giải pháp chống lừa đảo mang tính phản ứng, tìm kiếm các kiểu tấn công đã biết, thay vì xác định một cách thích ứng các cuộc tấn công đang thay đổi hoặc thực hiện một cách tiếp cận cấu trúc bằng cách loại bỏ những cách kẻ thù có thể khai thác một cuộc tấn công lừa đảo thành công, theo Ellis.
Mối đe dọa đã thêm từ thiết bị di động
Matias Katz, Giám đốc điều hành của Byos , nói với TechNewsWorld : “Việc triển khai bảo mật thích hợp để đảm bảo một môi trường WFH an toàn đòi hỏi một khoản đầu tư đắt đỏ và đại diện cho số đô la mới chưa bao giờ được đưa vào bất kỳ ngân sách nào cho đến nay .
"Trên hết, nhiều công ty vẫn phủ nhận và nghĩ rằng điều này sẽ sớm kết thúc; và do đó, họ không muốn đầu tư."
WFH ở đây để tồn tại, Katz nói "Các công ty cần phải nhận ra rằng, cho dù thế nào đi nữa, họ sẽ phải củng cố cơ sở hạ tầng của mình để giữ an toàn trong kỷ nguyên mới."
Các công ty ngày càng cho phép nhân viên WFH sử dụng thiết bị di động của riêng họ, và điều này góp phần vào vấn đề.
Gần 70% trong số 303 chuyên gia CNTT trả lời cuộc khảo sát tháng 6 do công ty bảo mật đám mây Bitglass thực hiện cho biết các công ty của họ cho phép nhân viên sử dụng thiết bị cá nhân để thực hiện công việc của họ và một số cho biết công ty của họ cho phép các nhà thầu, đối tác, khách hàng và nguồn cung ứng mang theo thiết bị của riêng họ .
Tuy nhiên, họ không thực hiện các bước thích hợp để bảo vệ dữ liệu của công ty - ví dụ khoảng một nửa số người được hỏi cho biết tổ chức của họ không có khả năng hiển thị các ứng dụng chia sẻ tệp. Truy cập trái phép vào dữ liệu và hệ thống cũng như nhiễm phần mềm độc hại là những mối quan tâm chính về bảo mật đối với khoảng một nửa số người được hỏi.
Phòng CNTT Spread Thin
Theo Malwarebytes Labs 'Ruiz, việc chuyển đổi nhanh chóng sang WFH có thể đã thay đổi các ưu tiên đối với nhiều doanh nghiệp. "Điều đó có thể có nghĩa là, thứ nhất, đảm bảo rằng một doanh nghiệp có thể tiếp tục thành công và thứ hai, đảm bảo rằng nó có thể thành công một cách an toàn."
Nói cách khác, trước tiên hãy đảm bảo rằng doanh nghiệp vẫn duy trì hoạt động, sau đó mới xử lý các vấn đề về bảo mật.
Sự thiếu hụt nhân viên CNTT có thể là một nguyên nhân khác. Việc sa thải đang phổ biến vì đại dịch và một số người bị sa thải có thể là nhân viên CNTT và an ninh mạng.
Một lý do khác có thể là, ngày nay, nhiều công ty không có nhân viên CNTT chuyên trách tại chỗ và hầu hết các nhân viên CNTT từ xa hầu như luôn làm việc quá sức, Ruiz gợi ý. "Đơn giản là có thể không có thời gian để xây dựng và triển khai một khóa đào tạo trực tuyến cho tất cả nhân viên tham gia."
Căng thẳng đối với nhân viên CNTT, những người có bộ phận thiếu nhân lực và thiếu kinh phí, đã tăng lên cùng với đại dịch và điều này có thể góp phần vào cả việc thiếu các biện pháp phòng ngừa an ninh mạng và việc không nhận ra liệu các biện pháp phòng ngừa đó có đầy đủ hay không.
Messdaghi của Point3 Security chỉ ra rằng “Trong thời kỳ đại dịch này, các đội bảo mật đang làm việc chăm chỉ hơn bao giờ hết và cô lập”, đồng thời cho biết thêm rằng các giám đốc điều hành của C-suite nên đầu tư vào sức khỏe tinh thần của các đội đó.
Các nhân viên CNTT vốn đã rất căng thẳng trước đại dịch - tác động của căng thẳng lên sức khỏe tâm thần đã tăng gấp đôi vào năm 2020, theo một báo cáo từ Nominet UK, cơ quan đăng ký tên miền .uk ở Anh.
Nominet đã phỏng vấn 800 giám đốc an ninh thông tin và giám đốc điều hành C-suite về những thách thức đối với vai trò của CISO. Những người được hỏi, chia đều giữa Vương quốc Anh và Hoa Kỳ, đã làm việc tại các công ty có ít nhất 3.000 nhân viên trong nhiều lĩnh vực công và tư.
Báo cáo được công bố vào tháng 2 cho biết 88% CISO vẫn bị căng thẳng ở mức độ vừa phải hoặc rất căng thẳng; và 48% số người được hỏi cho biết điều này ảnh hưởng đến sức khỏe tâm thần của họ - gấp đôi con số của năm trước. Sự căng thẳng ảnh hưởng đến mối quan hệ của họ với bạn đời và con cái, cũng như khả năng thực hiện vai trò của họ và dẫn đến kiệt sức. Nhiệm kỳ trung bình của một CISO chỉ là 26 tháng.
Những người được hỏi thuộc bộ C đồng ý rằng các CISO đang làm việc thêm giờ, nhưng 97% trong số họ tin rằng nhóm bảo mật có thể cải thiện việc mang lại giá trị đồng tiền dựa trên ngân sách của họ.
Ngăn chặn Hubris bảo mật
"Một bài tập tốt để chứng minh toàn bộ tầm ảnh hưởng của sự kiêu ngạo về bảo mật là hãy tự hỏi bản thân, trên thang điểm từ 1 đến 10, mức độ an toàn của bạn là gì?" Ruiz đề nghị. "Bây giờ, hãy tự hỏi bản thân một số câu hỏi khác:
- Bạn đang kết nối với một bộ định tuyến gia đình vẫn sử dụng mật khẩu mặc định của nó?
- Bạn có đang sử dụng lại mật khẩu trên một số tài khoản trong nhà mình không?
- Công ty của bạn có yêu cầu sử dụng VPN để truy cập tài nguyên của công ty không?
- Bạn có nhấp vào liên kết trong email từ các liên hệ mới, hay bạn nhấp vào liên kết trong văn bản? Còn nếu liên kết đó được cho là từ FedEx, và cuối cùng thì bạn đã đặt hàng trực tuyến? "
Ruiz nói: “Những câu hỏi kiểu này sẽ loại bỏ đánh giá bảo mật của hầu hết mọi người sau một thời gian.
"Không ai cố gắng để sai, nhưng rất khó để theo dõi tất cả những cách chúng ta nên đúng."
Không có nhận xét nào