Bảo mật các nhà tích hợp hệ thống liên bang bằng phương thức xác thực hiện đại, chống lừa đảo

Chi phí vi phạm dữ liệu ngày càng gia tăng và các quy định liên tục thay đổi

Chi phí trung bình của một vụ vi phạm dữ liệu trong năm 2023 đã lên tới 4,45 triệu USD, trong đó phishing và việc đánh cắp hoặc xâm phạm thông tin xác thực là hai phương thức tấn công phổ biến nhất. Mặc dù các cuộc tấn công mạng hiện đại đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, cùng với sự ra đời của các quy định liên bang như Sắc lệnh Hành pháp 14028 của Nhà Trắng (White House Executive Order 14028) và CMMC 2.0, nhiều nhà tích hợp hệ thống liên bang (Federal Systems Integrators – FSIs) vẫn tiếp tục sử dụng các phương thức xác thực đa yếu tố (MFA) truyền thống để bảo vệ quyền truy cập vào các ứng dụng và dữ liệu quan trọng của chính phủ liên bang cũng như nội bộ tổ chức.

Không phải mọi giải pháp MFA đều có mức độ bảo mật như nhau

Mặc dù bất kỳ hình thức MFA nào cũng an toàn hơn so với phương thức xác thực chỉ dựa trên tên đăng nhập và mật khẩu, nhưng không phải tất cả các giải pháp MFA đều được xây dựng với mức độ bảo mật tương đương nhau. Các hình thức MFA dựa trên thiết bị di động như SMS, OTP và thông báo đẩy rất dễ bị ảnh hưởng bởi các cuộc tấn công phishing, mã độc, hoán đổi SIM (SIM swapping), tấn công Attacker-in-the-Middle (AiTM) và chiếm đoạt tài khoản.

Bên cạnh đó, các trình xác thực trên thiết bị di động cũng không mang lại trải nghiệm người dùng tối ưu. Người dùng phải chờ nhận mã và nhập mã xác thực, đồng thời phụ thuộc vào kết nối mạng di động cũng như dung lượng pin của thiết bị. Ngoài ra, chúng cũng không phù hợp với các khu vực hạn chế sử dụng điện thoại di động như nhà máy sản xuất hoặc các khu vực vận hành máy móc hạng nặng.

MFA chống lừa đảo là gì?

Các quy trình MFA chống lừa đảo dựa trên cơ chế xác minh mật mã học giữa các thiết bị hoặc giữa thiết bị và tên miền, nhờ đó miễn nhiễm trước các nỗ lực xâm phạm hoặc can thiệp vào quá trình xác thực.

Theo Ấn phẩm Đặc biệt NIST SP 800-63 và Dự thảo NIST SP 800-63-4, hiện nay chỉ có hai hình thức xác thực đáp ứng tiêu chuẩn MFA chống lừa đảo: PIV/Smart Card và tiêu chuẩn xác thực hiện đại FIDO2/WebAuthn.

Các giải pháp bảo mật của Yubico dành cho các nhà tích hợp hệ thống liên bang

Yubico cung cấp YubiKey cho xác thực đa yếu tố hiện đại chống lừa đảo và xác thực không mật khẩu, đồng thời cung cấp YubiHSM để bảo vệ máy chủ, ứng dụng và các thiết bị điện toán. YubiKey của Yubico là khóa bảo mật phần cứng đạt chứng nhận FIPS 140-2 (Chứng nhận số #3517), được thiết kế chuyên biệt cho các yêu cầu bảo mật cấp cao nhằm ngăn chặn phishing và chiếm đoạt tài khoản ngay từ đầu, đồng thời cung cấp khả năng xác thực mạnh mẽ trên quy mô lớn. Đây cũng là giải pháp duy nhất đã được các nhà nghiên cứu độc lập chứng minh có thể ngăn chặn 100% các vụ chiếm đoạt tài khoản, bao gồm cả các chiến dịch phishing hàng loạt lẫn các cuộc tấn công có chủ đích.

YubiKey cung cấp MFA hiện đại chống lừa đảo cho nhân viên văn phòng, người dùng có đặc quyền (privileged users), nhân viên làm việc từ xa, các môi trường hạn chế thiết bị di động, các máy trạm và thiết bị dùng chung, mạng cách ly hoàn toàn (air-gapped networks), cơ sở SCIFs (Sensitive Compartmented Information Facilities) cũng như các đơn vị bên thứ ba và đối tác trong chuỗi cung ứng. YubiKey tích hợp liền mạch với các giải pháp Quản lý Danh tính và Truy cập (IAM) cũng như Nhà cung cấp Danh tính (IDP) hiện có như Microsoft, Okta, Duo, Ping và hơn 1.000 ứng dụng cùng dịch vụ khác ngay khi triển khai. Một thiết bị YubiKey duy nhất có thể hoạt động trên cả hệ thống và ứng dụng truyền thống lẫn hiện đại nhờ hỗ trợ đa giao thức bao gồm Smart Card (PIV), TOTP, OpenPGP, FIDO U2F và FIDO2/WebAuthn, giúp các tổ chức từng bước chuyển đổi sang tương lai không mật khẩu mà không cần thay thế toàn bộ hạ tầng hiện có.

Lợi ích của YubiKey

  • Đạt chứng nhận FIPS 140-2: đáp ứng các yêu cầu của Authentication Assurance Level 3 (AAL3) theo NIST SP 800-63B (Chứng nhận số #3914).
  • Hỗ trợ đa giao thức gồm Smart Card (PIV), TOTP, FIDO2/WebAuthn, FIDO U2F và OpenPGP trên cùng một thiết bị.
  • Bộ xác thực bên ngoài có tính di động cao, hoạt động trên mọi thiết bị điện toán với các tùy chọn kết nối NFC, USB-A, USB-C và Lightning.
  • Quy trình sản xuất và chuỗi cung ứng an toàn tại Hoa Kỳ, bảo đảm linh kiện đáng tin cậy và quá trình phân phối bảo mật.
  • YubiKey có khả năng chống nước, chống nghiền nát, chống bụi và chống can thiệp vật lý, đồng thời không yêu cầu pin hay kết nối mạng để hoạt động.

YubiHSM 2 mang đến khả năng bảo vệ phần cứng mật mã học (cryptographic hardware security) toàn diện cho máy chủ, ứng dụng và thiết bị điện toán với chi phí và kích thước chỉ bằng một phần nhỏ so với các HSM truyền thống. Đây là giải pháp đạt chứng nhận FIPS 140-2 Cấp độ 3 (Level 3), đồng thời cũng có phiên bản không yêu cầu FIPS nhưng vẫn sở hữu đầy đủ các tính năng tương đương. Thiết bị có thể dễ dàng triển khai thông qua bất kỳ cổng USB nào trên máy chủ, cơ sở dữ liệu, dây chuyền lắp ráp robot, ứng dụng và các thiết bị IoT.

YubiHSM 2 và YubiHSM 2 FIPs

Lợi ích của YubiHSM 2

  • Thiết kế dạng “nano” siêu nhỏ gọn và sáng tạo, cho phép triển khai linh hoạt trong nhiều môi trường khác nhau.
  • Cung cấp khả năng bảo mật mật mã học cấp doanh nghiệp với chi phí tối ưu, mang lại hiệu năng và độ an toàn cao mà không phải trả mức chi phí đắt đỏ của các HSM truyền thống.
  • Bảo vệ phần cứng mạnh mẽ, đạt chứng nhận FIPS 140-2, giúp đáp ứng những yêu cầu cao nhất về bảo vệ dữ liệu và tuân thủ quy định.
Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng