KUNGFU TECH

0
0
Lập trình
Sơn Tùng Lê
Sơn Tùng Lê103931498422911686980

Nguy Hiểm từ Checkbox: Tại Sao Tuân Thủ Không Tương Đương An Ninh

Đăng vào 3 tháng trước

• 7 phút đọc

Chủ đề:

#discuss#security#management

Nguy Hiểm từ Checkbox: Tại Sao Tuân Thủ Không Tương Đương An Ninh

Nếu bạn làm việc trong lĩnh vực công nghệ, quản lý rủi ro hoặc lãnh đạo, bạn biết rằng việc vượt qua các cuộc kiểm toán là một công việc lớn. Các nhóm nỗ lực rất nhiều để đáp ứng các quy tắc của những tiêu chuẩn như SOC 2, ISO 27001, HIPAA hoặc PCI DSS. Mọi người đều cảm thấy tuyệt vời khi nhận được chứng chỉ đó. Nhóm bán hàng giờ đây có thể tự hào thông báo với thế giới: "Chúng tôi đã tuân thủ!"

Điều này thực sự là một thành tựu. Nó cho thấy bạn nghiêm túc, xây dựng lòng tin với khách hàng, và thường là điều cần thiết để giành được hợp đồng. Nhưng điều này dẫn đến một ý tưởng sai lầm nguy hiểm và hấp dẫn: niềm tin rằng nếu bạn tuân thủ, thì bạn an toàn.

Tại Sao Nói "Tuân Thủ = An Ninh" Là Sai Lầm và Nguy Hiểm

1. Tuân Thủ Nhìn Về Quá Khứ. Mối Đe Dọa Đến Từ Tương Lai.

Các quy tắc tuân thủ dựa trên những gì chúng ta đã biết. Chúng được viết ra từ những thực tiễn tốt nhất trong quá khứ, thường là phản ứng với cuộc tấn công lớn nhất gần đây. Chúng rất hiệu quả trong việc giải quyết các vấn đề của ngày hôm qua.

Nhưng kẻ tấn công sống trong hiện tại và tương lai. Họ luôn phát minh ra các phương pháp mới, tìm ra các lỗ hổng chưa biết (zero-days), và tạo ra những chiêu trò tinh vi để đánh lừa mọi người. Những mối đe dọa mới này sẽ không có trong bất kỳ danh sách kiểm tra tuân thủ nào.

  • Tuân thủ hỏi: "Bạn có quy định về tường lửa không?" và "Bạn có bắt buộc thay đổi mật khẩu mỗi 90 ngày không?"
  • An ninh hỏi: "Tường lửa của chúng ta có được cấu hình để ngăn chặn phương thức đánh cắp dữ liệu mới này không?" và "Nhân viên của chúng ta đã chuẩn bị cho email lừa đảo mới nhất có thể vượt qua xác thực hai yếu tố (MFA) chưa?"

Tuân thủ kiểm tra gương chiếu hậu. An ninh phải theo dõi con đường phía trước để phát hiện những mối nguy hiểm không có trong bản đồ.

2. Tuân Thủ Là Tối Thiểu, Không Phải Là Mục Tiêu

Các tiêu chuẩn tuân thủ được thiết lập để nhiều công ty khác nhau có thể đáp ứng. Chúng thiết lập một mức tối thiểu, một điểm khởi đầu, chứ không phải là điểm kết thúc. Chúng là mức độ an ninh thấp nhất cần có để tồn tại trong ngành.

Nếu bạn biến mức tối thiểu này thành mục tiêu chính, bạn không đặt ra tiêu chuẩn đủ cao. Bạn đang xây dựng một bức tường chỉ đủ cao để vượt qua kiểm tra, trong khi kẻ tấn công lại xây dựng những cái thang cao hơn.

An ninh thực sự là một nền văn hóa luôn cải thiện. Nó có nghĩa là thêm các lớp bảo vệ, lên kế hoạch cho một cuộc xâm nhập, chủ động tìm kiếm các mối đe dọa và sử dụng các công cụ tiên tiến mà các quy tắc tuân thủ có thể không đề cập đến, như Zero-Trust hoặc Phát hiện và Phản hồi Điểm Cuối (EDR).

3. Tâm Trạng Checkbox so với Tâm Trạng An Ninh

Đây là cốt lõi của vấn đề. Quy trình vượt qua một cuộc kiểm toán khuyến khích một "tâm trạng checkbox". Mục tiêu trở thành chứng minh bạn có một biện pháp kiểm soát, không phải để đảm bảo rằng biện pháp đó thực sự hoạt động tốt.

  • Tâm trạng Checkbox: "Có, chúng tôi có một kế hoạch cho những gì cần làm trong một cuộc tấn công mạng." (Kế hoạch này là một tài liệu dài mà không ai đã đọc hoặc thực hành).
  • Tâm trạng An ninh: "Hãy thực hành phản ứng của chúng tôi đối với một cuộc tấn công ransomware trong một buổi diễn tập. Hãy xem liệu đội ngũ của chúng tôi có biết phải làm gì khi gặp áp lực thực sự không."

Một cái là về việc có giấy tờ. Cái kia là về việc sẵn sàng hành động. Bạn có thể đánh dấu mọi ô và vẫn có một chương trình an ninh hoàn toàn thất bại trong một cuộc tấn công thực sự.

4. Phạm Vi Kiểm Toán của Bạn so với Bề Mặt Tấn Công Thực Sự

Một cuộc kiểm toán tuân thủ có một "phạm vi" được xác định. Điều này thường bao gồm máy chủ đám mây chính và máy tính xách tay làm việc của bạn. Nó thường loại trừ các hệ thống thử nghiệm, ứng dụng bên thứ ba, phần mềm không được ủy quyền hoặc mạng gia đình của nhân viên.

Một kẻ tấn công không quan tâm đến phạm vi kiểm toán của bạn. Mục tiêu của họ là toàn bộ bề mặt tấn công của bạn. Họ sẽ dễ dàng tấn công một điểm yếu trong một công cụ tiếp thị, tìm ra một sai sót trong môi trường thử nghiệm, hoặc lừa một nhân viên trên máy tính cá nhân của họ. Nếu bạn chỉ bảo vệ những gì có trong phạm vi kiểm toán của bạn, bạn đã để nhiều cánh cửa khác mở.

Cách Xây Dựng Một Chương Trình An Ninh Thực Sự

Vậy nếu tuân thủ không phải là an ninh, bạn nên làm gì? Có nên ngừng kiểm toán không? Không. Tuân thủ vẫn rất quan trọng. Bạn chỉ cần sử dụng nó theo cách đúng đắn.

  1. Sử Dụng Tuân Thủ Là Nền Tảng, Không Phải Là Điểm Kết Thúc. Hãy để các tiêu chuẩn như SOC 2 cung cấp cho chương trình an ninh của bạn một cấu trúc cơ bản. Hãy coi chứng chỉ như một tấm vé cho phép bạn tham gia vào trò chơi, không phải là phần thưởng cho việc chiến thắng nó.

  2. Tập Trung Vào Việc Luôn Cải Thiện. Thay đổi câu hỏi trong công ty bạn từ "Chúng ta có tuân thủ không?" thành "Chúng ta có an toàn không?" Tự kiểm tra bản thân dựa trên các kịch bản tấn công thực tế, không chỉ một danh sách các biện pháp kiểm soát. Đầu tư vào đào tạo, thông tin về mối đe dọa và chủ động tìm kiếm hackers.

  3. Tập Trung Vào Kết Quả, Không Phải Quy Định. Đừng chỉ thiết lập một biện pháp kiểm soát an ninh; hãy kiểm tra xem nó hoạt động tốt như thế nào. MFA của chúng ta có thực sự ngăn chặn được các cuộc tấn công không? Chúng ta có thể khôi phục các bản sao lưu của mình nhanh chóng sau một cuộc tấn công không? Điều này chuyển mục tiêu từ việc chứng minh bạn một công cụ sang việc chứng minh nó hoạt động.

  4. Giả Định Bạn Đã Bị Hack. Đây là thay đổi tư duy lớn nhất. Hoạt động như thể một kẻ tấn công đã ở bên trong mạng của bạn. Điều này khiến bạn đầu tư vào những gì quan trọng nhất: tìm kiếm mối đe dọa nhanh chóng, phản ứng hiệu quả và phục hồi nhanh chóng. Những kỹ năng này thường bị bỏ qua trong các quy tắc tuân thủ nhưng là điều thiết yếu cho sự sống còn.

Kết Luận: Bản Đồ và Lãnh Thổ

Hãy nghĩ về tuân thủ như một bản đồ. Nó là một công cụ rất hữu ích. Nó cho bạn thấy những con đường đã biết, các cột mốc và mối nguy hiểm. Bạn sẽ rất dại dột nếu bắt đầu một chuyến đi mà không có nó.

Nhưng an ninh là lãnh thổ thực tế. Đó là vùng đất hoang dã, không thể đoán trước với điều kiện thay đổi và những mối đe dọa mới không có trên bất kỳ bản đồ nào. Nếu bạn chỉ nhìn vào bản đồ mà không nhìn vào thế giới thực, bạn sẽ bị lạc.

Hãy sử dụng bản đồ. Hãy nghiên cứu nó. Nhưng luôn nhớ rằng mục tiêu thực sự của bạn không phải là làm theo bản đồ một cách hoàn hảo. Mục tiêu của bạn là di chuyển an toàn qua lãnh thổ nguy hiểm, bất kể bạn tìm thấy điều gì. Đó là sự khác biệt thực sự giữa tuân thủ và an ninh. Hiểu điều này là rất quan trọng cho sự sống còn của công ty bạn.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào