Bảo vệ hệ thống khi tin tặc là... “người nhà”

[nod32]

Có thể hệ thống mạng máy tính của cơ quan bạn đã được bảo vệ rất tốt từ các nguy cơ xâm nhập bên ngoài, nhưng đã bao giờ bạn nghĩ đến khả năng bị đột nhập từ bên trong hay chưa?

Khi đó, kẻ xâm nhập có thể là chính nhân viên trong công ty, những người vì một lý do nào đó, hay cũng có thể là do bất mãn, đã thực hiện điều này.

Theo báo cáo mới nhất của Viện bảo mật máy tính, những đe dọa nội bộ trong năm qua đã tăng 17%, và hầu hết các trường hợp xâm nhập đều để lại những hậu quả nghiêm trọng.

Các doanh nghiệp phải chi ra một khoản tiền rất lớn để khắc phục hậu quả, cũng như chịu thiệt hại về sản xuất, và quan trọng hơn là hình ảnh công ty bị ảnh hưởng.

Sau đây là 5 phương pháp thông dụng mà một hacker “tay trong” có thể truy cập trái phép tới tài nguyên mạng, và một số biện pháp đơn giản có thể áp dụng để ngăn chặn các nguy cơ này.

Lợi dụng Modem

Việc thiếu một mô hình quản lý tập trung kết hợp với việc đặt mật khẩu đơn giản rất dễ khiến cho modem trở thành điểm bắt đầu lý tưởng cho những “tay trong” (có hiểu biết về mạng) tiến hành công đoạn đột nhập vào mạng.

Rất nhiều doanh nghiệp đã đối phó với vấn đề này bằng cách ngắt modem khi không sử dụng.

Tuy nhiên, việc ngắt modem như vậy cũng khiến cho họ không thể sử dụng được mạng trong những trường hợp cần kíp như khôi phục hệ thống từ xa khi xảy ra thảm họa. Nếu coi modem là một điểm quan trọng thì doanh nghiệp cần phải áp dụng những biện pháp bảo mật và xác thực như những thiết bị mạng từ xa quan trọng khác.

Việc triển khai các biện pháp xác thực hai nhân tố đối với modem hoặc thay thế modem bằng những model mới hơn và an toàn hơn sẽ mang lại giải pháp bảo vệ thích hợp hơn và tiết kiệm chi phí hơn.

Truyền file mở

Hầu hết các doanh nghiệp đều sử dụng hình thức truyền file mở để sửa chữa hạ tầng mạng. Tuy nhiên, phương pháp này thường được sử dụng một cách rất không an toàn. Việc truy cập đều được mở một cách không hạn chế để sửa chữa cài đặt bản sửa lỗi và khắc phục các vấn đề phát sinh.

Tuy nhiên, cũng có thể lợi dụng khả năng này để thay đổi tệp tin, loại bỏ các thành phần quan trọng hoặc làm hỏng hóc hệ thống, khiến cho hệ thống không thể hoạt động được, hoặc có thể xóa nội dung website, đánh cắp dữ liệu hoặc thực hiện các hành vi phá hoại khác.

Một nhân viên cũ hoặc bất mãn có kiến thức hoàn toàn có thể thực hiện những hành vi nguy hiểm này.

Doanh nghiệp có thể kiểm soát những hành vi trên bằng cách cho phép hoặc không cho phép người nào đó có thể tải file lên (upload) và tải xuống (download); và có thể ghi lại tất cả những thay đổi đã diễn ra trong hệ thống, cũng như ai là người đã thực hiện sự thay đổi đó.

Mở cổng telnet và SSH

Nếu do đặc thù công việc mà doanh nghiệp cho phép bên thứ ba truy cập từ xa để sửa chữa hệ thống thì cần phải có những biện pháp bảo vệ thích hợp, chẳng hạn như đóng các cổng telnet và SSH. Còn nếu không, thì một chuyên viên kỹ thuật có thể “chu du” khắp mạng mà bạn không thể kiểm soát được.

Doanh nghiệp cần phải hạn chế bên thứ ba truy cập vào hệ thống thông qua cổng telnet hoặc SSH trừ khi phiên làm việc đó được ghi lại, hoặc do một nhân viên chuyên trách theo dõi.

Ngoài ra, cũng có thể sử dụng các hệ thống trung gian để tạo lập một proxy cho các phiên làm việc này, để bổ sung thêm một cơ chế kiểm soát và theo dõi.

Lợi dụng cổng máy chủ

Các chuyên viên kỹ thuật thường kết nối tới các cổng serial trên router hoặc trên các máy chủ Linux/Unix. Để kết nối rộng hơn, các công ty thường sử dụng máy chủ “terminal” để kết nối tới nhiều cổng serial. Tuy nhiên, theo mặc định, các máy chủ terminal thường không an toàn.

Chỉ cần tiếp cận được một máy chủ terminal thì nhân viên có thể truy xuất và vô hiệu hóa hàng nghìn hệ thống. Chính vì thế, các công ty phải thường xuyên đánh giá lại khả năng bảo mật của máy chủ terminal, và cài đặt các thiết bị bảo mật cho những hệ thống chứa thông tin nhạy cảm như bản ghi tài chính, dữ liệu khách hàng, và thông tin về nhân sự.

Lợi dụng mạng extranet không an toàn

Mạng extranet mang lại rất nhiều tiện dụng cho những doanh nghiệp, chẳng hạn như cho phép đối tác, khách hàng, và nhà cung cấp có thể kết nối với mạng của mình để nhận được sự hỗ trợ theo thời gian thực.

Mạng extranet (chẳng hạn như IPSec, SSL, remote desktop) chỉ hợp lý khi số lượng hệ thống cần chia sẻ với bên ngoài nhỏ và mức độ cấp phép cho những hệ thống này có thể được kiểm soát chặt chẽ.

Tuy nhiên, những mạng extranet điển hình thường liên quan tới nhiều hệ thống và mức độ cấp phép phải rất chặt chẽ, và đây chính là cốt lõi của vấn đề.

Thường thì việc cấp phép cho quá nhiều truy cập sẽ khiến cho công tác theo dõi và kiểm soát hệ thống không được thực hiện sát sao. Khi khách hàng có quyền truy cập và kiểm soát hệ thống thì hạ tầng mạng của doanh nghiệp cần phải tăng cường thêm lớp bảo vệ để tránh sự phá hoại và đánh cắp dữ liệu.

Đối với “người nhà” thì nguy cơ lạm dụng, sử dụng sai, hoặc đánh cắp dữ liệu vẫn rất cao. Doanh nghiệp cần nâng cao cảnh giác, kết hợp với một số biện pháp bảo vệ là có thể giảm thiểu được nguy cơ.




Theo Gia Nguyễn - Báo Tiền Phong