Bảo vệ người dùng và tài khoản đặc quyền trước các mối đe dọa an ninh mạng do AI thúc đẩy

Bảo mật người dùng và tài khoản đặc quyền là yêu cầu nền tảng bắt buộc

Khi AI tạo sinh (Generative AI) và AI tác tử (Agentic AI) đang đẩy nhanh tốc độ cũng như quy mô của các cuộc tấn công mạng, việc bảo vệ quyền truy cập đặc quyền đã trở thành nhu cầu cấp thiết hơn bao giờ hết. Các tài khoản đặc quyền bao gồm quản trị viên hệ thống, danh tính dịch vụ (service identities) và người vận hành môi trường đám mây vẫn là mục tiêu hàng đầu của các tác nhân đe dọa. Tương tự, những người dùng thuộc cấp điều hành (C-suite), nhân sự (HR), tài chính, marketing và kinh doanh, những người có quyền truy cập vào dữ liệu quan trọng, cũng đang trở thành mục tiêu tấn công ngày càng phổ biến.

Các tác tử AI (AI Agents) đang hình thành một lớp danh tính đặc quyền mới — còn được gọi là Danh tính Phi con người (Non-Human Identities – NHIs). Tương tự như các tài khoản dịch vụ, chúng sở hữu thông tin xác thực và tương tác với các hệ thống nhạy cảm. Tuy nhiên, chúng còn có khả năng tự đưa ra quyết định với tốc độ máy tính và có thể tạo ra các tác tử con (sub-agents), làm gia tăng cả năng lực lẫn mức độ rủi ro.

Các nguyên tắc Zero Trust cần được áp dụng cho nhóm danh tính này. Tuy nhiên, chuỗi công cụ Quản lý Truy cập Đặc quyền (PAM) truyền thống không được thiết kế để xử lý các chuỗi ủy quyền nhiều bước (multi-hop delegation chains) hoặc đáp ứng yêu cầu độ trễ cực thấp của các quy trình làm việc dựa trên AI tác tử. Khoảng trống quản trị không chỉ nằm ở câu hỏi ai có quyền truy cập, mà còn ở khả năng chứng minh rằng một con người đã phê duyệt một quyết định cụ thể theo cách có thể kiểm toán và chống sửa đổi dữ liệu.

IAM và PAM có thể tạo ra những điểm mù về bảo mật

Quản lý Danh tính và Truy cập (IAM) cùng với Quản lý Truy cập Đặc quyền (PAM) có thể giúp tăng cường vệ sinh an ninh mạng (cyber hygiene), nhưng đồng thời cũng có thể tạo ra các điểm mù bảo mật:

  • Thiếu sự phân biệt rõ ràng giữa quyền truy cập (access rights) và quyền đặc quyền (privilege rights)
  • Tích hợp quyền truy cập đặc quyền với cơ chế Đăng nhập một lần (SSO) nhưng không triển khai xác thực tăng cường (step-up authentication)
  • Các tài khoản đặc quyền không được quản lý liên quan đến nhà thầu, nhân sự thời vụ, nhân viên đã nghỉ việc hoặc các tài khoản được tạo ngoài sự kiểm soát của bộ phận CNTT (Shadow IT)
  • Chia sẻ thông tin xác thực và sử dụng các phương thức xác thực truyền thống cho tài khoản quản trị

Các tổ chức nên tuân thủ nguyên tắc đặc quyền tối thiểu (Least Privilege) chỉ cấp mức truy cập tối thiểu cần thiết (ai được truy cập vào đâu) và mức đặc quyền tối thiểu cần thiết (những hành động mà người dùng được phép thực hiện).

Một giải pháp PAM hoạt động bằng cách bổ sung thêm một lớp bảo mật, thông qua việc tách biệt quyền hạn của tài khoản người dùng thông thường với quyền hạn của tài khoản quản trị viên. Các thông tin xác thực đặc quyền cần được lưu trữ trong kho bảo mật, chỉ được cấp phát tạm thời khi sử dụng và đồng thời phải được bảo vệ bằng xác thực chống phishing.

Các mối đe dọa mạng hiện đại đòi hỏi các giải pháp bảo mật hiện đại

Các phương thức xác thực truyền thống như tên đăng nhập và mật khẩu, cùng với các trình xác thực dựa trên thiết bị di động như SMS, OTP và thông báo đẩy (push notification), đều dễ bị khai thác bởi các cuộc tấn công phishing và hành vi chiếm đoạt tài khoản. Những phương thức này cũng không còn đủ khả năng chống lại các cuộc tấn công mạng quy mô lớn được hỗ trợ bởi AI.

YubiKey – khóa bảo mật phần cứng chứa passkey có mức độ bảo mật cao nhất, hiện là tiêu chuẩn hiện đại của ngành trong lĩnh vực bảo mật danh tính, cung cấp khả năng xác thực đa yếu tố chống phishing và xác thực không mật khẩu. Bằng cách yêu cầu sử dụng khóa bảo mật vật lý chống phishing kết hợp với sự phê duyệt của con người, mọi nỗ lực truy cập tài khoản trái phép từ xa đều bị ngăn chặn hiệu quả.

Bảo vệ người dùng và tài khoản đặc quyền với YubiKey

YubiKey là giải pháp duy nhất được các nhà nghiên cứu độc lập chứng minh có thể ngăn chặn 99,99% các vụ chiếm đoạt tài khoản, bao gồm cả các chiến dịch phishing hàng loạt và các cuộc tấn công phishing có chủ đích. Ngoài ra, YubiKey còn mang lại tỷ suất hoàn vốn đầu tư (ROI) tổng thể lên tới 265% và giúp tiết kiệm hơn 450.000 USD chi phí hỗ trợ kỹ thuật liên quan đến việc đặt lại mật khẩu.

Để xác thực bằng YubiKey, người dùng chỉ cần chạm hoặc nhấn một lần duy nhất để đăng nhập, từ đó giúp tăng năng suất làm việc với thời gian xác thực nhanh hơn tới 80%.

YubiKey hỗ trợ các giao thức xác thực hiện đại như FIDO2 và FIDO U2F, đồng thời vẫn hỗ trợ OTP, Smart Card và OpenPGP, bảo đảm rằng một khóa duy nhất có thể hoạt động trên cả hạ tầng và ứng dụng hiện đại lẫn hệ thống kế thừa, giúp các tổ chức từng bước chuyển đổi sang tương lai không mật khẩu.

Người dùng và tài khoản đặc quyền đang nắm giữ những “chìa khóa” quan trọng nhất của mọi tổ chức – những chìa khóa mà các tác nhân đe dọa mạng sẽ tìm mọi cách để chiếm đoạt. Hãy triển khai xác thực chống phishing để bảo vệ người dùng đặc quyền, tài khoản đặc quyền và toàn bộ tổ chức của bạn trước các mối đe dọa an ninh mạng hiện đại do AI thúc đẩy.

“Các cuộc tấn công ngày càng tập trung vào đặc quyền và danh tính, và hầu như mọi báo cáo đều khẳng định rằng danh tính chính là vấn đề số một hiện nay. Khi YubiKey bắt đầu được triển khai rộng rãi, nó nhanh chóng trở thành minh chứng rõ ràng cho cách tiếp cận đúng đắn nhằm bảo vệ tổ chức.” 

Morey J. Haber, Giám đốc An ninh Thông tin (Chief Security Officer), BeyondTrust

Mua khóa YubiKey ở đại lý chính hãng

Việc mua phải khóa YubiKey từ các nhà phân phối không rõ nguồn gốc có thể khiến bạn gặp phải hàng nhái và thiết bị không tương thích hoặc không được bảo hành chính hãng. Vì vậy, hãy lựa chọn khóa YubiKey tại DigiBit – Đại lý ủy quyền chính thức của Yubico tại Việt Nam.

Giỏ hàng0
Không có sản phẩm nào trong giỏ hàng!
Tiếp tục mua hàng