Các mối đe dọa gia tăng và các biện pháp kiểm soát bảo mật ngày càng chặt chẽ
Các ngành công nghiệp như lĩnh vực sản xuất thuộc Cơ sở Công nghiệp Quốc phòng (Defense Industrial Base – DIB) đang là mục tiêu hàng đầu của các cuộc tấn công mạng. Thông tin xác thực bị đánh cắp thông qua các cuộc tấn công phishing hoặc các quy trình xác thực truyền thống, lạc hậu thường trở thành điểm xâm nhập của các tác nhân đe dọa. Những kẻ tấn công ngày nay không còn phải “hack” để đột nhập hệ thống nữa; chúng chỉ đơn giản là đăng nhập bằng thông tin xác thực hợp lệ.
Mặc dù tồn tại nhiều rào cản đối với quá trình chuyển đổi như hạ tầng kế thừa, môi trường sản xuất công nghiệp phức tạp và có tính hạn chế cao, cùng với chi phí gián đoạn vận hành rất lớn, DIB vẫn đang đứng trước yêu cầu cấp bách phải vượt qua mô hình mật khẩu truyền thống để chuyển sang các giải pháp xác thực hiện đại.
Các nhà thầu chính phủ bắt buộc phải triển khai các biện pháp kiểm soát đối với Thông tin Được Kiểm soát nhưng Không Mật (Controlled Unclassified Information – CUI) theo quy định trong tiêu chuẩn NIST SP 800-171 của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST). Dự thảo NIST SP 800-171 Revision 3 sẽ yêu cầu chuyển đổi sang xác thực đa yếu tố (MFA), cụ thể là xác thực chống lừa đảo (còn được gọi là Replay-Resistant Authentication), đối với việc truy cập tài khoản hệ thống, thay vì chỉ áp dụng cho các tài khoản đặc quyền. Trên thực tế, phương pháp tự đánh giá mới nhất đã áp dụng cơ chế trừ điểm nếu MFA chỉ được triển khai cho người dùng từ xa và người dùng đặc quyền thay vì toàn bộ người dùng. Đồng thời, doanh nghiệp sẽ được cộng thêm điểm nếu MFA được triển khai theo hình thức chống lừa đảo.
Cybersecurity Maturity Model Certification (CMMC) 2.0 là tiêu chuẩn thống nhất của Bộ Quốc phòng Hoa Kỳ (DoD) về chứng nhận và xác thực việc triển khai an ninh mạng trong toàn bộ hệ sinh thái công nghiệp quốc phòng, bao gồm 14 miền kiểm soát và 3 cấp độ trưởng thành phù hợp với các tiêu chuẩn của NIST.
Hướng dẫn triển khai khung An ninh mạng cho Cơ sở Công nghiệp Quốc phòng (DIB)
Việc hiện đại hóa các hệ thống Công nghệ Thông tin (IT) và Công nghệ Vận hành (OT) hiện hữu là một quá trình đầy thách thức và phức tạp.
Những rào cản chính bao gồm công nghệ kế thừa vốn không hỗ trợ các biện pháp bảo mật hiện đại, môi trường công nghiệp đa dạng cùng các khu vực sản xuất có tính hạn chế cao, sự phụ thuộc quá mức vào mô hình truy cập cục bộ và tại chỗ (On-Premises) thay vì điện toán đám mây, cũng như việc quản lý các kết nối từ xa của bên thứ ba tới các thiết bị OT kết nối với mạng nội bộ ngày càng trở nên khó khăn hơn. Bên cạnh đó còn là sự thay đổi về tư duy từ nhận thức và chấp nhận rủi ro sang cách tiếp cận chủ động phòng ngừa rủi ro.
Tất cả những yếu tố này dẫn đến sự cạnh tranh giữa các ưu tiên kinh doanh khác nhau và làm gia tăng khó khăn trong quá trình chuyển đổi sang trạng thái công nghệ hiện đại hơn.
Không phải mọi giải pháp MFA đều giống nhau
Xác thực đa yếu tố (MFA) nên là tuyến phòng thủ đầu tiên trong mọi chiến lược an ninh mạng nhằm bảo vệ dữ liệu quan trọng cũng như các môi trường IT và OT. Tuy nhiên, mặc dù bất kỳ hình thức MFA nào cũng tốt hơn mật khẩu đơn thuần, không phải tất cả các giải pháp MFA đều mang lại cùng mức độ bảo mật hoặc trải nghiệm người dùng liền mạch.
Các hình thức MFA truyền thống như tin nhắn SMS, mật khẩu dùng một lần (OTP) và ứng dụng thông báo đẩy (Push Notification) rất dễ bị khai thác bởi các cuộc tấn công phishing hiện đại. Để luôn đi trước các mối đe dọa mạng đang ngày càng tinh vi, bao gồm cả các cuộc tấn công phishing được hỗ trợ bởi trí tuệ nhân tạo (AI), việc bảo vệ dữ liệu nhạy cảm và cơ sở hạ tầng trọng yếu bằng MFA chống lừa đảo hiện đại là điều thiết yếu.
MFA chống lừa đảo là gì? MFA chống lừa đảo hoạt động dựa trên cơ chế xác minh mật mã trực tiếp giữa các thiết bị hoặc giữa thiết bị và tên miền đích, giúp chống lại hiệu quả các nỗ lực xâm phạm hoặc thao túng quy trình xác thực. Hiện nay, chỉ có hai công nghệ đáp ứng tiêu chuẩn tối thiểu này là PIV/Smart Card và MFA dựa trên tiêu chuẩn FIDO2/WebAuthn.
Bảo vệ hệ sinh thái IT và OT của DIB bằng các giải pháp chống lừa đảo của Yubico
 |
Các giải pháp của Yubico được thiết kế để đồng hành cùng tổ chức ở bất kỳ giai đoạn nào trên hành trình nâng cao an ninh mạng, đồng thời mở đường cho việc xây dựng hạ tầng xác thực chống lừa đảo hiện đại và thúc đẩy quá trình triển khai mô hình Zero Trust.
Với các giải pháp của Yubico, doanh nghiệp có thể tự tin rằng dữ liệu và tài sản sở hữu trí tuệ luôn được bảo vệ, đồng thời tính toàn vẹn của sản phẩm luôn được đảm bảo. |
 |
Môi trường sản xuất sạch và môi trường vô trùng
Xác thực là một dịch vụ có vai trò sống còn trong hoạt động sản xuất. Nếu nhân viên không thể đăng nhập vào các ứng dụng hoặc cổng thông tin phục vụ công việc, họ sẽ không thể thực hiện nhiệm vụ của mình. Vậy làm thế nào để bảo vệ các thiết bị đầu cuối và máy trạm dùng chung với nhiều người dùng luân phiên thường xuất hiện trong các khu vực sản xuất sạch và môi trường vô trùng, đồng thời bảo đảm rằng tài khoản người dùng luôn an toàn và chỉ được phép truy cập vào đúng ứng dụng, dịch vụ và dữ liệu được phân quyền?
Ngoài ra, trong môi trường sản xuất, giải pháp xác thực cũng không được tạo ra các rủi ro mới liên quan đến an toàn lao động hoặc an ninh vận hành. YubiKey không chỉ cung cấp khả năng xác thực mạnh mẽ mà còn có tính di động cao và cực kỳ dễ sử dụng. Một khóa bảo mật duy nhất có thể hoạt động trên nhiều thiết bị như máy tính để bàn, máy tính xách tay, điện thoại di động, máy tính bảng và notebook mà không cần pin hoặc kết nối Internet. Người dùng chỉ cần chạm hoặc nhấn nhẹ để xác thực, bao gồm cả khả năng sử dụng NFC kết hợp với thiết bị đeo, mang lại trải nghiệm vừa đơn giản vừa an toàn nhất có thể.
Điều này đặc biệt quan trọng trong các môi trường sản xuất sạch hoặc vô trùng, nơi điện thoại di động thường không được phép sử dụng. YubiKey còn có khả năng chống va đập, đạt chứng nhận IP68, chống bụi và chống nước hiệu quả.
Bảo mật quyền truy cập thực tế tăng cường
Công nghệ thực tế tăng cường đang ngày càng được ứng dụng rộng rãi để hỗ trợ đào tạo y tế cho Bộ Quốc phòng, huấn luyện y khoa từ xa, huấn luyện chiến đấu ảo, bảo trì kỹ thuật, mô phỏng bay và nhiều lĩnh vực khác. Đối với lĩnh vực quốc phòng, bảo mật luôn là yếu tố then chốt. Các giải pháp hoạt động trên thiết bị đeo đầu (Head Mounted Device – HMD) hoặc các nền tảng điện toán không gian (Spatial Computing) sử dụng nhiều camera, cảm biến và kết nối mạng có thể tạo ra các rủi ro an ninh mạng nếu không bảo đảm đầy đủ an toàn cho dữ liệu khi lưu trữ và trong quá trình truyền tải.
Truy cập tài nguyên doanh nghiệp trong các khu vực bảo mật
Nhiều nhân viên doanh nghiệp cần truy cập an toàn vào tài nguyên công ty từ các khu vực bảo mật như SCIF, căn cứ quân sự, địa điểm ở nước ngoài hoặc các môi trường có yêu cầu bảo mật cao khác. Khả năng hỗ trợ đa giao thức của YubiKey bảo đảm cung cấp các phương thức MFA chống lừa đảo hoạt động hiệu quả trong các khu vực bảo mật, mạng cô lập và môi trường hạn chế thiết bị di động. Do YubiKey không yêu cầu kết nối mạng, kết nối di động hoặc pin để hoạt động, thiết bị này đặc biệt phù hợp với những môi trường có yêu cầu bảo mật nghiêm ngặt.
Ngoài ra, YubiKey còn tương thích với các giải pháp Cross Domain Solution (CDS) và Multi-Level Security (MLS), cho phép xác thực người dùng giữa các khu vực bảo mật khác nhau mà không cần truyền tải dữ liệu giữa các miền bảo mật.
Bảo mật chuỗi cung ứng
Chuỗi cung ứng không chỉ bao gồm các loại hàng hóa vật lý và linh kiện từ bên thứ ba được sử dụng trong quá trình sản xuất sản phẩm, mà còn phụ thuộc vào mã nguồn của bên thứ ba được sử dụng để phát triển sản phẩm cũng như hỗ trợ hoạt động kinh doanh vận hành trơn tru.Việc bảo vệ chuỗi cung ứng đòi hỏi phải bảo vệ cả quyền truy cập của người dùng lẫn mọi đầu vào của quy trình sản xuất (bao gồm linh kiện vật lý, phần mềm hoặc dữ liệu), nhằm bảo đảm chất lượng và tính toàn vẹn của sản phẩm, ngăn chặn hành vi đánh cắp tài sản sở hữu trí tuệ (IP) cũng như hạn chế tổn thất do gián đoạn sản xuất.
Thách thức lớn nhất đối với các doanh nghiệp thuộc Cơ sở Công nghiệp Quốc phòng (DIB) là việc bảo vệ chuỗi cung ứng của các nhà thầu phụ ở hạ nguồn không hề đơn giản, do có hàng trăm, thậm chí hàng nghìn điểm truy cập cần được giám sát trong toàn bộ quy trình. Các tổ chức DIB phải xác định và xác thực mọi người dùng có quyền truy cập vào các đầu vào sản xuất, tài sản sở hữu trí tuệ hoặc các hệ thống tham gia vào chuỗi cung ứng. Các nhà thầu chính trong hệ sinh thái DIB có thể sử dụng YubiKey để triển khai xác thực chống lừa đảo hiện đại trên quy mô lớn cho toàn bộ chuỗi cung ứng từ đầu đến cuối.
YubiKey cung cấp cho các nhà cung cấp, nhà thầu phụ hoặc bất kỳ người dùng nào có quyền truy cập từ thượng nguồn vào hệ thống mạng, hoặc tham gia vào các giai đoạn chuyển giao tài sản sở hữu trí tuệ quan trọng, một phương thức xác thực chống lừa đảo vừa an toàn vừa dễ sử dụng.
Đảm bảo tính toàn vẹn cao nhất cho các linh kiện sản phẩm
Các doanh nghiệp trong lĩnh vực DIB hiểu rõ rằng việc bảo đảm mọi thành phần tham gia vào quy trình sản xuất từ đầu đến cuối đều là thành phần chính hãng là yếu tố vô cùng quan trọng. Điều này không chỉ giúp ngăn chặn hành vi sao chép trái phép và đánh cắp sản phẩm, mà còn bảo đảm chất lượng sản xuất, bởi dây chuyền lắp ráp chỉ nên sử dụng các linh kiện có nguồn gốc xác thực và đáng tin cậy. Do đó, luôn cần có các giải pháp bảo vệ tính toàn vẹn và tài sản sở hữu trí tuệ của tất cả các thành phần trong suốt vòng đời sản phẩm, từ giai đoạn sản xuất và lắp ráp cho đến sửa chữa và thay thế.
Phương pháp truyền thống để bảo vệ tài sản sở hữu trí tuệ (IP) và ngăn chặn hàng giả trong ngành sản xuất là sử dụng các khóa mật mã số và công nghệ mã hóa. Các khóa mật mã thường được lưu trữ trong phần mềm hoặc trong thiết bị HSM (Hardware Security Module). Tuy nhiên, việc lưu trữ khóa trong phần mềm tiềm ẩn rất nhiều rủi ro bảo mật. Trong khi đó, các thiết bị HSM truyền thống dạng tủ rack hoặc dạng card phần cứng thường có kích thước lớn và chi phí triển khai cao, khiến chúng trở nên không thực tế đối với các dây chuyền sản xuất, trung tâm dữ liệu có kiểm soát vật lý nghiêm ngặt hoặc các thiết bị IoT.
Giảm thiểu rủi ro tuân thủ về bảo vệ dữ liệu trong ngành sản xuất
Mọi doanh nghiệp đều sở hữu dữ liệu cá nhân chịu sự điều chỉnh của các quy định nghiêm ngặt về quyền riêng tư và an ninh mạng. Bên cạnh đó, nhiều doanh nghiệp sản xuất còn phải đạt chứng nhận ISO hoặc tuân thủ các tiêu chuẩn cao hơn nhằm đáp ứng các yêu cầu hợp đồng, đặc biệt là trong lĩnh vực liên bang và quốc phòng. YubiKey và YubiHSM 2 có thể hỗ trợ các nhà sản xuất đáp ứng cả các tiêu chuẩn bảo mật dữ liệu bắt buộc lẫn tự nguyện.
Danh mục kiểm tra dưới đây sẽ giúp doanh nghiệp đánh giá cách các sản phẩm của Yubico có thể đáp ứng dễ dàng các yêu cầu tuân thủ:
Lộ trình tiến tới MFA chống lừa đảo trên quy mô lớn
Dù tổ chức của bạn đang ở bất kỳ giai đoạn nào trên hành trình triển khai MFA, chúng tôi đều có thể đồng hành và hỗ trợ phù hợp. Bạn có thể đẩy nhanh chiến lược Zero Trust của mình, đồng thời xây dựng cầu nối hướng tới tương lai không mật khẩu (Passwordless Future). Với quy trình triển khai đã được kiểm chứng bởi hàng trăm tổ chức trên toàn thế giới, cùng mô hình dịch vụ “YubiKey as a Service”, thành công không còn là câu hỏi liệu có đạt được hay không, mà chỉ còn là vấn đề thời gian. Thông qua việc áp dụng các khóa bảo mật phần cứng hiện đại, doanh nghiệp có thể nâng cao đáng kể mức độ bảo mật tổng thể của mình.
Đây là một khoản đầu tư xứng đáng không chỉ thể hiện sự quan tâm đến tính an toàn trong trải nghiệm xác thực của nhân viên và an ninh mạng trên toàn bộ chuỗi cung ứng, mà còn giúp doanh nghiệp tạo ra lợi thế cạnh tranh khác biệt và khẳng định vị thế tiên phong trong lĩnh vực an toàn thông tin.
