Đáp ứng các yêu cầu về Zero Trust và MFA chống phishing trong bản ghi nhớ M-22-09

Tác động của Sắc lệnh hành pháp (Executive Order) 14028 và OMB M-22-09

Theo hướng dẫn từ Sắc lệnh hành pháp 14028 của Nhà Trắng ban hành ngày 12 tháng 5 năm 2021 về việc tăng cường an ninh mạng quốc gia, vào ngày 26 tháng 1 năm 2022, Văn phòng Quản lý và Ngân sách Hoa Kỳ (OMB) đã ban hành bản ghi nhớ M-22-09, thiết lập chiến lược kiến trúc Zero Trust (ZTA) cho liên bang, yêu cầu các cơ quan đáp ứng các tiêu chuẩn và mục tiêu an ninh mạng cụ thể, bao gồm một nền tảng kiểm soát truy cập mới trên toàn chính phủ với ưu tiên phòng vệ trước các cuộc tấn công phishing tinh vi.

Bản ghi nhớ yêu cầu nhân viên, nhà thầu và đối tác của các cơ quan liên bang phải sử dụng xác thực đa yếu tố (MFA) chống phishing nhằm giảm thiểu nguy cơ từ các cuộc tấn công tinh vi. MFA chống phishing bắt buộc phải được áp dụng cho mọi hình thức xác thực, dù trên nền tảng đám mây hay hạ tầng mạng truyền thống. Ngoài ra, bản ghi nhớ cũng yêu cầu các cơ quan sử dụng hạ tầng dựa trên đám mây và cung cấp các tùy chọn MFA chống phishing cho các dịch vụ số hướng tới công chúng. Những tiêu chuẩn an ninh mạng này phải được triển khai hoàn tất trước khi kết thúc năm tài chính 2024.

Mặc dù OMB M-22-09 chủ yếu hướng tới các cơ quan liên bang, các tổ chức chính quyền tiểu bang và địa phương, lĩnh vực giáo dục cũng như doanh nghiệp tư nhân cũng cần nhanh chóng áp dụng theo để đảm bảo an ninh mạng quốc gia được bảo vệ toàn diện.

Tầm quan trọng của MFA chống phishing trong M-22-09

Lý do của yêu cầu bắt buộc này là bởi các tác nhân tấn công tinh vi có thể đánh chặn những hình thức xác thực truyền thống, chẳng hạn như các trình xác thực dựa trên thiết bị di động, vốn rất dễ bị ảnh hưởng bởi phishing, malware, SIM swap và các cuộc tấn công man-in-the-middle (MiTM). Bản ghi nhớ nhấn mạnh hai phương thức MFA chống phishing có khả năng phòng vệ trước các cuộc tấn công này:

Tiêu chuẩn Personal Identity Verification (PIV) của Chính phủ Liên bang Hoa Kỳ — nền tảng để xây dựng các smart card, vốn từ lâu đã được sử dụng để cung cấp quyền truy cập vào các môi trường on-premises và hiện được hỗ trợ rộng rãi. Tiêu chuẩn WebAuthn/FIDO2 hiện được hỗ trợ bởi gần như mọi thiết bị tiêu dùng phổ biến cùng ngày càng nhiều dịch vụ đám mây thông dụng. FIDO2 là thuật ngữ tổng quát cho bộ đặc tả của FIDO Alliance, trong đó WebAuthn là một đặc tả cốt lõi. WebAuthn có thể được sử dụng kết hợp với khóa bảo mật FIDO2 nhằm cung cấp MFA chống phishing. PIV và WebAuthn/FIDO2 là những tiêu chuẩn đã được kiểm chứng trong việc cung cấp MFA chống phishing.

Đáp ứng các hướng dẫn MFA chống phishing trong M-22-09

1. Các yếu tố cần cân nhắc về Authenticator

Một thành phần quan trọng của các giao thức chống phishing là việc sử dụng mật mã khóa công khai/khóa riêng và tầm quan trọng của việc bảo vệ vật liệu khóa (key material). Các thiết bị authenticator đóng vai trò then chốt trong việc bảo vệ vật liệu khóa này. Vì vậy, đối với môi trường chính phủ, smart card sử dụng tiêu chuẩn PIV và khóa bảo mật sử dụng tiêu chuẩn WebAuthn phải đạt chứng nhận FIPS.

Các thiết bị đạt chuẩn FIPS là những thiết bị đã được một phòng thí nghiệm được NIST chỉ định kiểm định độc lập nhằm xác nhận đáp ứng các yêu cầu bảo mật cụ thể, đồng thời được liệt kê trên trang Cryptographic Module Validation Program của NIST. Nếu sản phẩm không xuất hiện trên trang này, đồng nghĩa sản phẩm đó chưa đạt chứng nhận FIPS.

Dòng sản phẩm YubiKey 5 FIPS

Yubico cung cấp YubiKey – giải pháp bảo mật tối ưu chống lại các cuộc tấn công phishing và hành vi chiếm đoạt tài khoản, với cả module PIV và WebAuthn trên cùng một khóa bảo mật. YubiKey đạt chứng nhận FIPS 140-2 nhằm đáp ứng các yêu cầu cao nhất về mức đảm bảo xác thực cấp độ 3 (AAL3) theo hướng dẫn NIST SP800-63B. YubiKey tuân thủ DFARS/NIST SP 800-171 và được phê duyệt sử dụng trong các môi trường DOD Non-Classified và Secret Classified.

YubiKey đơn giản trong triển khai và sử dụng có thể hoạt động trên cả ứng dụng, dịch vụ và thiết bị truyền thống lẫn hiện đại, với khả năng hỗ trợ đa giao thức cho SmartCard, OTP, OpenPGP, FIDO U2F và WebAuthn/FIDO2 trên cùng một khóa bảo mật. YubiKey được hỗ trợ nguyên bản bởi các giải pháp quản lý danh tính, thông tin xác thực và truy cập (ICAM) hàng đầu như Axiad, Duo, Google Cloud, Microsoft Azure Active Directory, Okta Workforce Identity, OneLogin, nền tảng Ping Identity và RSA SecurID® Suite, đồng thời cung cấp mức độ bảo mật cao nhất cho nhân viên và nhà thầu không đủ điều kiện sử dụng PIV/CAC, nhân sự làm việc từ xa, dịch vụ đám mây, mạng cô lập/mạng kín, dịch vụ công dân số và người dùng thiết bị di động.

2. Quyết định giữa PIV và WebAuthn/FIDO2

Để triển khai MFA chống phishing trên mọi điểm truy cập được sử dụng bởi nhân viên, nhà thầu và đối tác — dù làm việc trực tiếp, hybrid hay từ xa — trong khung thời gian được quy định trong bản ghi nhớ, các cơ quan có thể triển khai PIV và/hoặc WebAuthn/FIDO2. Các tiêu chuẩn này cũng cần được cung cấp như một tùy chọn dành cho khách hàng cuối sử dụng các dịch vụ số hướng tới công chúng. Việc tận dụng các giải pháp dựa trên PIV và WebAuthn/FIDO2 sẽ giúp bạn dễ dàng đáp ứng yêu cầu hơn nhờ tính tương thích giữa các tiêu chuẩn, so với việc sử dụng các giải pháp độc quyền (proprietary). Tùy theo giải pháp từ nhà cung cấp, WebAuthn/FIDO2 có thể được sử dụng cho truy cập on-premises, trong khi PIV cũng có thể được dùng cho truy cập đám mây.

Bước đầu tiên của bạn nên là đánh giá các điểm truy cập hiện có và khả năng hỗ trợ các tiêu chuẩn này nhằm đảm bảo mức độ bao phủ MFA chống phishing cần thiết. Nhiều điểm truy cập phổ biến hiện nay như VPN (Virtual Private Network), IDP (Identity Provider), nền tảng đám mây, đăng nhập máy tính để bàn và truy cập web đều đã hỗ trợ WebAuthn, PIV hoặc cả hai. Biểu đồ bên dưới minh họa ví dụ về các điểm truy cập phổ biến hỗ trợ MFA chống phishing thông qua WebAuthn/FIDO2 hoặc PIV, cũng như khả năng hỗ trợ YubiKey. Hãy làm việc với các đối tác công nghệ của bạn để xác thực đầy đủ năng lực hỗ trợ của họ.

Mua khóa YubiKey ở đại lý chính hãng

Việc mua phải khóa YubiKey từ các nhà phân phối không rõ nguồn gốc có thể khiến bạn gặp phải hàng nhái và thiết bị không tương thích hoặc không được bảo hành chính hãng. Vì vậy, hãy lựa chọn khóa YubiKey tại DigiBit – Đại lý ủy quyền chính thức của Yubico tại Việt Nam.

Giỏ hàng1
Yubico YubiKey 5C FIPS
-
+
Tạm tính
3.490.000
Tiếp tục mua hàng