Ngày 19 tháng 12 năm 2022Tin tức về hacker Chính sách mật khẩu / Bảo mật dữ liệu
Các tác nhân đe dọa tiếp tục thích ứng với các công nghệ, phương pháp thực hành mới nhất và thậm chí cả luật về quyền riêng tư dữ liệu—và việc đi trước một bước bằng cách triển khai các biện pháp và chương trình an ninh mạng mạnh mẽ là tùy thuộc vào các tổ chức.
Sau đây là thông tin về tội phạm mạng sẽ phát triển như thế nào vào năm 2023 và những việc bạn có thể làm để đảm bảo an toàn và bảo vệ tổ chức của mình trong năm tới.
Gia tăng các cuộc tấn công chuỗi cung ứng kỹ thuật số
Với tốc độ hiện đại hóa và số hóa nhanh chóng của chuỗi cung ứng, các rủi ro bảo mật mới xuất hiện. Gartner dự đoán rằng đến năm 2025, 45% tổ chức trên toàn thế giới sẽ phải hứng chịu các cuộc tấn công vào chuỗi cung ứng phần mềm của họ—con số này tăng gấp ba lần so với năm 2021. Trước đây, các loại tấn công này thậm chí không có khả năng xảy ra do chuỗi cung ứng không hoạt động. Đa kêt nôi internet. Nhưng hiện tại, chuỗi cung ứng cần phải được bảo đảm đúng cách.
Việc giới thiệu công nghệ mới xung quanh chuỗi cung ứng phần mềm có nghĩa là có thể có những lỗ hổng bảo mật chưa được xác định, nhưng cần phải phát hiện để bảo vệ tổ chức của bạn vào năm 2023.
Nếu bạn đã giới thiệu chuỗi cung ứng phần mềm mới cho hệ thống công nghệ của mình hoặc dự định thực hiện điều đó vào một thời điểm nào đó trong năm tới, thì bạn phải tích hợp các cấu hình an ninh mạng được cập nhật. Sử dụng những người và quy trình có kinh nghiệm với chuỗi cung ứng kỹ thuật số để đảm bảo rằng các biện pháp bảo mật được triển khai chính xác.
Các mối đe dọa mạng dành riêng cho thiết bị di động đang gia tăng
Không có gì ngạc nhiên khi với việc sử dụng điện thoại thông minh ngày càng nhiều ở nơi làm việc, các thiết bị di động đang trở thành mục tiêu tấn công mạng lớn hơn. Trên thực tế, tội phạm mạng liên quan đến thiết bị di động đã tăng 22% trong năm ngoái, theo Chỉ số Bảo mật Di động của Verizon (MSI) 2022 và không có dấu hiệu chậm lại trước thềm năm mới.
Khi tin tặc tấn công thiết bị di động, xác thực dựa trên SMS chắc chắn sẽ trở nên kém an toàn hơn. Ngay cả những công ty có vẻ an toàn nhất cũng có thể dễ bị tấn công thiết bị di động. Trường hợp cụ thể, một số công ty lớn, bao gồm Uber và Okta đã bị ảnh hưởng bởi các vi phạm an ninh liên quan đến mật mã một lần chỉ trong năm qua.
Điều này đòi hỏi cần phải tránh xa việc dựa vào xác thực dựa trên SMS và thay vào đó là xác thực đa yếu tố (MFA) an toàn hơn. Điều này có thể bao gồm một ứng dụng xác thực sử dụng mã thông báo nhạy cảm với thời gian hoặc nhiều trình xác thực trực tiếp hơn dựa trên phần cứng hoặc thiết bị.
Các tổ chức cần thực hiện các biện pháp phòng ngừa bổ sung để ngăn chặn các cuộc tấn công bắt đầu từ tuyến đầu bằng cách triển khai phần mềm giúp xác minh danh tính người dùng. Theo Báo cáo Rủi ro Toàn cầu năm 2022 của Diễn đàn Kinh tế Thế giới, 95% sự cố an ninh mạng là do lỗi của con người. Thực tế này một mình nhấn mạnh sự cần thiết của một quy trình phần mềm giúp giảm khả năng xảy ra lỗi của con người khi xác minh. Việc triển khai một công cụ như Bàn dịch vụ bảo mật của Specops giúp giảm các lỗ hổng từ các cuộc tấn công được thiết kế theo kiểu xã hội đang nhắm mục tiêu vào bàn trợ giúp, cho phép xác minh người dùng an toàn tại bàn dịch vụ mà không có rủi ro do lỗi của con người.
Tăng gấp đôi về bảo mật đám mây
Khi ngày càng có nhiều công ty lựa chọn các hoạt động dựa trên đám mây, thì bảo mật đám mây—bất kỳ công nghệ, chính sách hoặc dịch vụ nào bảo vệ thông tin được lưu trữ trên đám mây—phải là ưu tiên hàng đầu vào năm 2023 và hơn thế nữa. Tội phạm mạng trở nên tinh vi hơn và phát triển các chiến thuật của chúng khi công nghệ phát triển, điều đó có nghĩa là bảo mật đám mây là điều cần thiết khi bạn sử dụng nó thường xuyên hơn trong tổ chức của mình.
Biện pháp bảo vệ đáng tin cậy nhất chống lại tội phạm mạng dựa trên đám mây là triết lý không tin cậy. Nguyên tắc chính đằng sau sự tin tưởng bằng không là tự động xác minh mọi thứ—và về cơ bản là không tin tưởng bất kỳ ai mà không có một số loại ủy quyền hoặc kiểm tra. Biện pháp bảo mật này rất quan trọng khi nói đến việc bảo vệ dữ liệu và cơ sở hạ tầng được lưu trữ trên đám mây khỏi các mối đe dọa.
Ransomware-as-a-Service vẫn ở đây
Các cuộc tấn công ransomware tiếp tục gia tăng với tốc độ đáng báo động. Dữ liệu từ Verizon đã phát hiện ra rằng số vụ vi phạm mã độc tống tiền tăng 13% so với năm trước. Theo FBI, các cuộc tấn công của ransomware cũng ngày càng trở thành mục tiêu – các lĩnh vực như chăm sóc sức khỏe, thực phẩm và nông nghiệp chỉ là những ngành mới nhất trở thành nạn nhân.
Với sự gia tăng các mối đe dọa ransomware kéo theo việc sử dụng Ransomware-as-a-Service (RaaS) ngày càng nhiều. Hiện tượng đang gia tăng này là khi bọn tội phạm ransomware cho các nhóm hoặc tội phạm mạng khác thuê cơ sở hạ tầng của chúng. Bộ công cụ RaaS giúp các tác nhân đe dọa dễ dàng triển khai các cuộc tấn công của chúng một cách nhanh chóng và hợp lý hơn, đây là một sự kết hợp nguy hiểm để chống lại bất kỳ ai dẫn đầu các quy trình và giao thức an ninh mạng. Để tăng cường bảo vệ chống lại các tác nhân đe dọa sử dụng RaaS, hãy tranh thủ sự trợ giúp của người dùng cuối của bạn.
Người dùng cuối là tuyến đầu của tổ chức bạn chống lại các cuộc tấn công bằng mã độc tống tiền, nhưng họ cần được đào tạo thích hợp để đảm bảo họ được bảo vệ. Đảm bảo các quy trình an ninh mạng của bạn được ghi lại rõ ràng và được thực hành thường xuyên để người dùng có thể nhận thức và cảnh giác trước các vi phạm an ninh. Sử dụng các biện pháp dự phòng như phần mềm chính sách mật khẩu, MFA bất cứ khi nào có thể và các công cụ bảo mật email trong tổ chức của bạn cũng có thể giảm thiểu gánh nặng đối với an ninh mạng của người dùng cuối.
Luật bảo mật dữ liệu ngày càng chặt chẽ hơn—hãy sẵn sàng
Chúng ta không thể nói về an ninh mạng vào năm 2023 mà không đề cập đến luật bảo mật dữ liệu. Với luật bảo mật dữ liệu mới sẽ có hiệu lực ở một số tiểu bang trong năm tới, giờ là lúc để đánh giá các thủ tục và hệ thống hiện tại của bạn để đảm bảo chúng tuân thủ. Những luật mới dành riêng cho tiểu bang này chỉ là bước khởi đầu; các công ty sẽ là khôn ngoan khi xem xét việc tuân thủ của họ vì nhiều tiểu bang có thể sẽ phát triển các luật mới về quyền riêng tư trong những năm tới.
Luật về quyền riêng tư dữ liệu thường yêu cầu các thay đổi đối với cách các công ty lưu trữ và xử lý dữ liệu và việc triển khai những thay đổi mới này có thể khiến bạn gặp thêm rủi ro nếu chúng không được triển khai cẩn thận. Đảm bảo tổ chức của bạn tuân thủ các giao thức bảo mật mạng phù hợp, bao gồm cả việc không tin tưởng, như đã đề cập ở trên.
