Các yêu cầu của bảo hiểm an ninh mạng đang nâng cao tiêu chuẩn bảo mật

Sự phát triển của bảo hiểm an ninh mạng và mức phí bảo hiểm ngày càng leo thang

Năm 1995, khi hợp đồng bảo hiểm an ninh mạng đầu tiên xuất hiện trên thị trường, ngoài những người trong lĩnh vực CNTT, rất ít người thực sự hiểu rõ mức độ rủi ro và tác động chi phí mà các thảm họa số có thể gây ra. Nhưng hiện nay điều đó đã hoàn toàn thay đổi. Kể từ đó, các cuộc tấn công mạng đã trở nên phổ biến, tinh vi, gây chú ý lớn và trong nhiều trường hợp còn để lại hậu quả nghiêm trọng. Hiếm có tháng nào trôi qua mà không xuất hiện một cuộc tấn công lớn chiếm lĩnh các tiêu đề tin tức và làm thay đổi kỳ vọng về an ninh mạng. Và với sự gia tăng gần đây của ransomware, mức độ rủi ro chưa bao giờ cao đến vậy — riêng trong năm 2021, tội phạm mạng đã gây thiệt hại tới 6 nghìn tỷ USD, với tốc độ tăng trưởng 15% theo từng năm.

Không quá bất ngờ khi kết quả là nhu cầu về bảo hiểm an ninh mạng tăng mạnh. Tuy nhiên, cũng giống như việc các doanh nghiệp gặp khó khăn trong việc bảo vệ tài sản CNTT trước những cuộc tấn công liên tục tiến hóa, các công ty bảo hiểm cũng gặp khó khăn trong việc đánh giá và bảo lãnh rủi ro an ninh mạng một cách hiệu quả. Một số công ty cho rằng mức tổn thất tiềm tàng là quá lớn và đã ngừng hoàn toàn việc cung cấp bảo hiểm an ninh mạng. Những đơn vị vẫn tiếp tục cung cấp dịch vụ đã tăng mức phí bảo hiểm từ 150–300% trong nhiều trường hợp. Mức phí bảo hiểm cao hơn giúp giảm thiểu rủi ro cho các nhà cung cấp bảo hiểm an ninh mạng, nhưng vẫn chưa đủ nhiều. Để biến bảo hiểm an ninh mạng trở thành một sản phẩm khả thi trong bối cảnh rủi ro mạng tăng vọt, xác suất xảy ra các cuộc tấn công thành công phải được giảm xuống đáng kể.

Quay trở lại năm 1995, khi rủi ro lớn nhất chủ yếu là lỗi phần cứng, gần như bất kỳ ai có khả năng thanh toán đều có thể mua bảo hiểm. Nhưng hiện nay, các doanh nghiệp cần chứng minh rằng họ đáp ứng các tiêu chuẩn an ninh mạng tối thiểu và thực sự nghiêm túc trong việc duy trì vệ sinh an ninh mạng cũng như khả năng phục hồi trước sự cố. Khả năng được cấp bảo hiểm ở bất kỳ mức giá nào, đều phụ thuộc vào điều đó. Vì vậy, bất kỳ doanh nghiệp nào muốn sở hữu hoặc duy trì bảo hiểm an ninh mạng đều cần đánh giá và có thể phải nâng cấp trạng thái bảo mật của chính mình.

Các biện pháp bảo mật tối thiểu sẽ không còn đủ để được cấp bảo hiểm an ninh mạng

Mỗi nhà cung cấp bảo hiểm sẽ xây dựng bộ yêu cầu riêng cho bảo hiểm an ninh mạng, nhưng phần lớn đều yêu cầu tối thiểu phải có các cơ chế bảo mật email, công cụ phát hiện và phản hồi điểm cuối (EDR), giải pháp antivirus thế hệ mới và khả năng sao lưu cũng như khôi phục dữ liệu. Tuy nhiên, dù những yếu tố này quan trọng, ngành bảo hiểm an ninh mạng vẫn xem xác thực đa yếu tố (MFA) là lớp phòng thủ quan trọng nhất. Trên thực tế, việc sở hữu bảo hiểm an ninh mạng gần như không thể nếu chưa triển khai MFA. Những yêu cầu bảo mật mới và nghiêm ngặt hơn này hoàn toàn hợp lý. Không có biện pháp bảo mật nào khác giúp giảm rủi ro mạng hiệu quả hơn MFA, bởi nó không chỉ giảm thiểu rủi ro từ bối cảnh tấn công mạng ngày càng tinh vi mà còn hạn chế các nguy cơ xuất phát từ hành vi người dùng kém an toàn hoặc sai sót của con người.

Nếu không có MFA, các tài khoản cá nhân và tài sản nhạy cảm sẽ cực kỳ dễ bị tấn công bất kể doanh nghiệp đã triển khai bao nhiêu lớp bảo vệ khác. Bằng cách yêu cầu thêm các lớp xác thực, doanh nghiệp có thể ngăn chặn các cuộc tấn công phishing và ransomware – điều đủ để khiến nhiều hacker lựa chọn mục tiêu dễ dàng hơn. Và đối với những đối tượng tấn công quyết liệt hơn, việc vượt qua từ hai lớp xác thực trở lên sẽ trở thành rào cản vô cùng khó khăn.

Đối với bất kỳ tổ chức nào muốn mua bảo hiểm an ninh mạng, ưu tiên hàng đầu là triển khai MFA trên toàn bộ doanh nghiệp. Và mặc dù các giải pháp tưởng chừng nhanh nhất, rẻ nhất hoặc dễ triển khai nhất như SMS hoặc xác thực qua điện thoại di động có vẻ đủ dùng, các nhà bảo hiểm có thể nhìn nhận hoàn toàn khác. Họ muốn bảo hiểm cho những doanh nghiệp có khả năng chống chịu tấn công cao nhất, đặc biệt khi các công ty bảo hiểm ngày càng thận trọng với rủi ro. Vì vậy, lựa chọn MFA đúng đắn phải là giải pháp mang lại mức bảo vệ tốt nhất hiện tại cũng như trong tương lai. Bất kỳ giải pháp nào kém hơn đều làm gia tăng rủi ro cho cả doanh nghiệp và nhà cung cấp bảo hiểm — và theo thời gian, những giải pháp đó sẽ ngày càng không được chấp nhận để cấp hoặc duy trì bảo hiểm an ninh mạng.

MFA chống phishing hiện quan trọng hơn bao giờ hết

Nhiều yếu tố xác thực luôn an toàn hơn so với chỉ sử dụng một yếu tố duy nhất. Tuy nhiên, một số hình thức MFA lại kém an toàn hơn đáng kể so với các giải pháp khác.

Ví dụ, các sản phẩm MFA gửi mật khẩu dùng một lần (OTP) tới điện thoại hoặc email của người dùng, dù an toàn hơn mật khẩu đơn thuần vẫn dễ bị tấn công phishing. Hacker chỉ cần lừa người dùng xác thực trên một website giả mạo có giao diện giống hệt website thật để thu thập thông tin đăng nhập và mã MFA. Sau khi có được các thông tin đó, chúng có thể dễ dàng xác thực danh tính và tiếp tục thực hiện cuộc tấn công dưới danh nghĩa người dùng hợp lệ, khiến việc phát hiện bị trì hoãn cho đến khi đã quá muộn và gây ra hậu quả nghiêm trọng.

MFA chống phishing hoạt động theo cách hoàn toàn khác. Thay vì xác thực dựa trên “thứ người dùng biết” như OTP, giải pháp này xác thực dựa trên “thứ người dùng sở hữu”, chẳng hạn như khóa bảo mật cắm trực tiếp vào cổng USB của thiết bị. Việc đánh cắp từ xa các bí mật bảo mật lưu trên khóa bảo mật phần cứng gần như bất khả thi, trái ngược với việc mã SMS và các phương thức khác có thể dễ dàng bị đánh chặn thông qua các cuộc tấn công từ xa hoặc man-in-the-middle, điều này đã được chứng minh qua rất nhiều sự cố thực tế. Do đó, MFA chống phishing thực sự là phương thức cực kỳ khó bị xâm phạm, giúp doanh nghiệp cũng như các nhà cung cấp bảo hiểm an tâm rằng chỉ những người dùng hợp lệ mới có thể truy cập vào tài nguyên nhạy cảm.

Gần đây, tất cả các cơ quan Liên bang đã được yêu cầu triển khai MFA chống phishing, và xu hướng này cũng đang trở thành yêu cầu bắt buộc đối với các cơ quan cấp bang, địa phương cũng như khu vực tư nhân. Để thực sự đạt chuẩn chống phishing, các tổ chức được khuyến nghị triển khai MFA dựa trên giao thức FIDO/WebAuthn hoặc Smart Card/PIV. Bất kỳ giải pháp nào thấp hơn đều không được xem là chống phishing và không đáp ứng tiêu chuẩn chấp nhận được đối với các tổ chức chú trọng bảo mật. Các doanh nghiệp áp dụng phương pháp bảo mật hiện đại này sẽ giảm đáng kể nguy cơ bị tấn công mạng thành công. Vì vậy, họ không chỉ trở thành đối tượng hấp dẫn hơn đối với các công ty bảo hiểm, thậm chí có thể nhận mức phí bảo hiểm thấp hơn mà còn được bảo vệ tốt hơn trước các thiệt hại tài chính, pháp lý và danh tiếng mà không khoản bảo hiểm nào có thể bù đắp hoàn toàn.

YubiKey – MFA chống phishing giúp doanh nghiệp sẵn sàng đáp ứng các yêu cầu bảo hiểm an ninh mạng mới

Yubico đã là đơn vị tiên phong và đổi mới trong lĩnh vực xác thực mạnh suốt hơn một thập kỷ. YubiKey, được nhiều chuyên gia bảo mật và các nhà cung cấp bảo hiểm an ninh mạng đánh giá là giải pháp hàng đầu thị trường.

“Vai trò của Yubico trong ngành là hoàn toàn khác biệt; các giải pháp mà Yubico cung cấp hiện nay chính là thế hệ tiếp theo của bảo mật danh tính. Phần còn lại của thế giới cần bắt kịp Yubico chứ không phải ngược lại.”

Steve Brasen, Giám đốc Nghiên cứu, Enterprise Management Associates

  • Bảo mật hiện đại: Thời gian cùng nhiều nghiên cứu thực tiễn đã chứng minh rằng YubiKey có thể ngăn chặn hiệu quả phishing và các hình thức chiếm đoạt tài khoản khác. YubiKey hỗ trợ nhiều giao thức xác thực trên cùng một khóa bảo mật, bao gồm các giao thức truyền thống như OTP, đồng thời hỗ trợ các giao thức bảo mật hiện đại mang lại khả năng chống phishing thực sự như FIDO U2F, FIDO2/WebAuthn và Smart Card/PIV. Nhờ hỗ trợ đa giao thức, YubiKey giúp nâng cao trạng thái bảo mật cho tổ chức ở bất kỳ giai đoạn nào trên hành trình chuyển đổi xác thực, đồng thời tương thích với cả hạ tầng on-premises truyền thống lẫn môi trường cloud hiện đại.
  • Trải nghiệm người dùng nhanh chóng và đơn giản: Tính đơn giản là một trong những điểm khác biệt lớn của YubiKey. YubiKey không yêu cầu cài đặt phần mềm máy khách, không cần pin hay kết nối di động. Người dùng chỉ cần cắm khóa vào cổng USB và chạm nút, hoặc sử dụng NFC để xác thực nhanh chóng và an toàn. Khả năng tự phục vụ giúp doanh nghiệp dễ dàng cho phép người dùng tự cấu hình YubiKey mà không cần quá nhiều sự can thiệp từ đội ngũ CNTT hoặc yêu cầu người dùng phải đến văn phòng. MFA chống phishing có thể được thiết lập chỉ trong vài phút và YubiKey hoạt động liền mạch trên laptop, máy tính bảng và điện thoại thông minh, thậm chí có thể vận hành như Smart Card tùy theo nhu cầu và chính sách truy cập hệ thống của doanh nghiệp.
  • Giảm rủi ro tài chính, pháp lý và danh tiếng: Chi phí toàn cầu do tội phạm mạng gây ra được dự báo sẽ đạt 10,5 nghìn tỷ USD vào năm 2025, bất chấp việc doanh nghiệp đang chi hàng trăm tỷ USD để tăng cường trạng thái an ninh mạng.

YubiKey mang đến lớp bảo vệ toàn diện với khả năng chống phishing mạnh mẽ nhất nhờ khóa bảo mật phần cứng được thiết kế chuyên biệt nhằm bảo vệ doanh nghiệp và người dùng khỏi các rủi ro mạng hiện đại.

Nghiên cứu từ Google, NYU và UCSD dựa trên 350.000 vụ tấn công chiếm đoạt tài khoản thực tế. Kết quả hiển thị dành cho các cuộc tấn công có chủ đích.

Tóm tắt: Một sự cố vi phạm an ninh mạng có thể gây ra hậu quả thảm khốc đối với tổ chức bị ảnh hưởng. Điều đó đồng nghĩa với thời gian gián đoạn hoạt động, mất cơ hội kinh doanh và tác động nghiêm trọng tới cả các nhà cung cấp bảo hiểm an ninh mạng.

Hãy chủ động bảo vệ doanh nghiệp và đặt mình vào vị thế tốt nhất bằng cách lựa chọn phương thức MFA đủ khả năng chống lại các mối đe dọa hiện tại, đồng thời có tính “future-proof” để đối phó với các hình thức tấn công ngày càng tinh vi hơn.

YubiKey bảo vệ nhiều môi trường khác nhau và mang lại sự tiện lợi cần thiết để hỗ trợ mô hình làm việc trực tiếp, hybrid và từ xa hiện đại ngày nay. Đồng thời, giải pháp này cung cấp phương thức MFA chống phishing mạnh mẽ và nhất quán, phù hợp với cách các tổ chức và người dùng hiện đại vận hành công việc.

Mua khóa YubiKey ở đại lý chính hãng

Việc mua phải khóa YubiKey từ các nhà phân phối không rõ nguồn gốc có thể khiến bạn gặp phải hàng nhái và thiết bị không tương thích hoặc không được bảo hành chính hãng. Vì vậy, hãy lựa chọn khóa YubiKey tại DigiBit – Đại lý ủy quyền chính thức của Yubico tại Việt Nam.

Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng