Bảo vệ trước các mối đe dọa an ninh mạng
Việc bảo vệ hạ tầng trọng yếu trước các cuộc tấn công mạng là một nhiệm vụ phức tạp, bởi nó phụ thuộc rất lớn vào khả năng bảo mật cả công nghệ thông tin (IT) lẫn công nghệ vận hành (OT). Mỗi lĩnh vực đều đặt ra những thách thức riêng, chẳng hạn như bảo vệ hạ tầng cũ/hệ thống hiện hữu, quản lý rủi ro từ bên thứ ba, cũng như đảm bảo bộ ba nguyên tắc CIA (Confidentiality, Integrity, Availability – tính bảo mật, toàn vẹn và khả dụng của thông tin) luôn được duy trì.
Phishing cần được xem là một trong những rủi ro hàng đầu khi các mối đe dọa đang ngày càng tinh vi hơn, và hạ tầng trọng yếu bao gồm cả lĩnh vực sản xuất đã trở thành mục tiêu số một của các hình thức tấn công này trong suốt ba năm liên tiếp. Ngoài ra, số lượng các cuộc tấn công mạng sử dụng thông tin xác thực bị đánh cắp hoặc bị xâm phạm cũng đã tăng 71% theo từng năm. Đồng thời, sự phát triển của công nghệ tạo sinh văn bản còn khiến việc phân biệt email phishing với giao tiếp hợp pháp trở nên khó khăn hơn bao giờ hết.
Một khi tài khoản bị xâm nhập, các tác nhân độc hại có thể đánh cắp dữ liệu, phá hoại các hệ thống trọng yếu hoặc gây hỗn loạn bằng ransomware. Trong bối cảnh mô hình Zero Trust ngày càng phổ biến, các phương thức bảo mật truyền thống dựa trên “vành đai phòng thủ” (perimeter-oriented approaches) đã không còn đủ hiệu quả.
Tác động của NSM-22
Hoa Kỳ đã có thêm một bước tiến quan trọng khi ban hành Bản ghi nhớ An ninh Quốc gia về Bảo mật và Khả năng phục hồi của Hạ tầng trọng yếu (National Security Memorandum on Critical Infrastructure Security and Resilience – NSM-22). Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) xác định 16 lĩnh vực mà tài sản, hệ thống và mạng lưới — dù là vật lý hay ảo — đều được xem là tối quan trọng. Bản ghi nhớ nêu rõ rằng các Cơ quan Quản lý Rủi ro Ngành (Sector Risk Management Agencies – SRMAs) sẽ đóng vai trò là đầu mối liên bang thường trực cho từng lĩnh vực hạ tầng trọng yếu được chỉ định, đồng thời thực hiện các hoạt động quản lý rủi ro và tăng cường khả năng phục hồi theo từng ngành bằng cách phối hợp chặt chẽ với các chủ sở hữu và đơn vị vận hành.
Kết nối các mắt xích bảo mật
Vài năm trước, Bản ghi nhớ OMB M-22-09 của Văn phòng Quản lý và Ngân sách Hoa Kỳ đã nhấn mạnh tầm quan trọng của MFA chống phishing (phishing-resistant MFA). Lý do cho yêu cầu này là bởi các tác nhân tấn công tinh vi có thể đánh chặn các hình thức xác thực truyền thống, chẳng hạn như trình xác thực trên thiết bị di động, vốn rất dễ bị phishing, mã độc, hoán đổi SIM (SIM swap) và các cuộc tấn công attacker-in-the-middle. Bên cạnh đó, khuôn khổ Enduring Security Framework (ESF) cũng đưa ra các khuyến nghị về thực tiễn tốt nhất trong quản lý định danh và truy cập (Identity and Access Management – IAM), trong đó nhấn mạnh việc triển khai MFA chống phishing cho tất cả các lĩnh vực hạ tầng trọng yếu.
Đạt được khả năng chống phishing
Để giảm thiểu rủi ro an ninh mạng này, doanh nghiệp cần triển khai các công nghệ chống phishing. Hiện tại chỉ có hai phương pháp MFA chống phishing thực sự có khả năng bảo vệ trước các cuộc tấn công hiện đại:
- Tiêu chuẩn Personal Identity Verification (PIV) của Chính phủ Liên bang Hoa Kỳ — nền tảng cho các thẻ thông minh (smart card) — vốn từ lâu đã được sử dụng để truy cập môi trường on-premises thông qua Common Access Card (CAC) do chính phủ cấp và hiện được hỗ trợ rộng rãi.
- Tiêu chuẩn WebAuthn/FIDO2 hiện đã được hỗ trợ trên gần như mọi thiết bị tiêu dùng phổ biến cũng như ngày càng nhiều dịch vụ đám mây lớn. FIDO2 là thuật ngữ tổng quát cho bộ đặc tả của FIDO Alliance, trong đó WebAuthn là một thành phần cốt lõi. WebAuthn có thể được sử dụng kết hợp với khóa bảo mật FIDO2 nhằm cung cấp MFA chống phishing.
PIV và WebAuthn/FIDO2 chính là những tiêu chuẩn đã được kiểm chứng cho MFA chống phishing. Đồng thời, Passkey là tên gọi mới dành cho các thông tin xác thực không mật khẩu (passwordless-enabled credentials) dựa trên FIDO2.

Dòng sản phẩm YubiKey 5 FIPS là bộ khóa xác thực đa giao thức đầu tiên hỗ trợ FIDO2/WebAuthn đạt chứng nhận FIPS.
Theo thứ tự từ trái sang phải gồm: YubiKey 5C NFC FIPS, YubiKey 5 NFC FIPS, YubiKey 5Ci FIPS, YubiKey 5C FIPS, YubiKey 5 Nano FIPS và YubiKey 5C Nano FIPS.
YubiKey rất dễ triển khai và sử dụng, YubiKey có thể hoạt động xuyên suốt trên cả ứng dụng, dịch vụ và thiết bị cũ lẫn hiện đại, với khả năng hỗ trợ đa giao thức bao gồm Smart Card, OTP, OpenPGP, FIDO U2F và WebAuthn/FIDO2 trên cùng một thiết bị khóa bảo mật. YubiKey giúp doanh nghiệp xây dựng lực lượng người dùng có khả năng chống phishing, mang lại trải nghiệm xác thực liền mạch theo người dùng bất kể họ làm việc như thế nào và xuyên suốt toàn bộ vòng đời xác thực.
Điểm truy cập
| Điểm truy cập | Hỗ trợ đăng nhập với WebAuthn | Hỗ trợ đăng nhập với PIV/Smart Card | YubiKey (WebAuthn/FIDO và/hoặc PIV) | |
| On-premise (Active Directory) | Đăng nhập Windows 10+ | ✅ / Bên thứ ba | ✅ | ✅ |
| Đăng nhập các phiên bản Windows cũ hơn | Bên thứ ba | ✅ | ✅ | |
| Đăng nhập macOS trong miền Windows | Bên thứ ba | ✅ | ✅ | |
| Truy cập VPN | Tùy thuộc hệ thống | ✅ | ✅ | |
| Secure Proxy Gateways | ✅ | Tùy thuộc hệ thống | ✅ | |
| Nền tảng đám mây | Microsoft Azure | ✅ | ✅ / Mạng liên kết | ✅ |
| Amazon Web Services (AWS) | ✅ | Mạng liên kết | ✅ | |
| Google Cloud | ✅ | Mạng liên kết | ✅ | |
| Oracle Cloud | ✅ | Mạng liên kết | ✅ | |
| IBM Cloud | ✅ | Mạng liên kết | ✅ | |
| Nhà cung cấp định danh (IDPs) | Okta | ✅ | ✅ | ✅ |
| Ping Identity | ✅ | ✅ | ✅ | |
| Duo | ✅ | Không áp dụng | ✅ | |
| Entra ID | ✅ | ✅ | ✅ | |
Nhà tiên phong đáng tin cậy trong lĩnh vực xác thực
Yubico là đơn vị phát minh chủ chốt của các tiêu chuẩn xác thực WebAuthn/FIDO2 và U2F được FIDO Alliance thông qua, đồng thời cũng là công ty đầu tiên phát triển khóa bảo mật U2F và trình xác thực FIDO2 đa giao thức.
Khi sẵn sàng triển khai, Yubico tập trung hỗ trợ doanh nghiệp tiếp cận các sản phẩm và dịch vụ bảo mật theo cách linh hoạt và tối ưu chi phí nhằm nâng cao mức độ an toàn:
- Với YubiKey as a Service, doanh nghiệp có thể sử dụng mô hình dịch vụ linh hoạt và tiết kiệm chi phí để triển khai YubiKey phù hợp với yêu cầu công nghệ và ngân sách, đồng thời nhận được hỗ trợ khách hàng ưu tiên, lựa chọn kiểu dáng thiết bị dễ dàng, ưu đãi khóa dự phòng và chính sách thay thế linh hoạt.
- Với YubiEnterprise Delivery, doanh nghiệp được cung cấp dịch vụ triển khai trọn gói bao gồm vận chuyển nội địa và quốc tế, giao tới cả địa chỉ nhà riêng, theo dõi vận chuyển, quản lý tồn kho và hoàn trả sản phẩm Yubico — tất cả đều được xử lý an toàn bởi các chuyên gia logistics.
Chúng tôi được tin tưởng bởi các cơ quan quản lý, tổ chức chính phủ cùng nhiều doanh nghiệp, cá nhân và ngành công nghiệp có yêu cầu bảo mật khắt khe nhất trên toàn thế giới.


