An toàn thông tin Ngân hàng, Thương mại điện tử thông qua tuân thủ chuẩn PCI DSS và Đánh giá rủi ro
11/08/2012
Gần đây định danh đặc quyền nổi lên như một hướng tấn công vào hệ thống bảo mật doanh nghiệp. Trong tháng 3 năm 2012, Báo cáo điều tra vi phạm dữ liệu Verizon cho thấy:
· 55% là kết quả của việc khai thác các thông tin, tài liệu mặc định hoặc phỏng đoán
· 40% sử dụng thông tin đăng nhập bị đánh cắp
· 29% sử dụng cuộc tấn công brute force and dictionary attacks
Lạm dụng các tài khoản đặc quyền có thể gây ra hậu quả nghiêm trọng. Vì vậy cần có biện pháp chủ động quản lý tài khoản đặc quyền và những người truy cập chúng. Đó là vấn đề mà các ngân hàng, doanh nghiệp thanh toán phải giải quyết bằng các biện pháp an ninh để tuân thủ yêu cầu bảo vệ dữ liệu của tiêu chuẩn PCI DSS. Và một trong những yêu cầu khó khăn hơn cả trong việc tuân thủ PCI DSS liên quan đến việc quản lý định danh đặc quyền và kiểm soát quản trị viên hoặc nội gián truy cập dữ liệu nhạy cảm. Các doanh nghiệp đang tìm kiếm giải pháp giúp mình đáp ứng tiêu chuẩn PCI DSS cần tuân thủ đồng thời loại bỏ những mối nguy cơ bảo mật mới – nguy cơ lạm dụng mật khẩu đặc quyền.
Các giải pháp của Cyber-Ark đã được thực nghiệm trong tình huống yêu cầu PCI DSS cụ thể và được đánh giá khả năng giúp bảo vệ và lưu trữ dữ liệu chủ thẻ; xây dựng và duy trì hệ thống cũng như ứng dụng bảo mật; hạn chế truy cập dữ liệu chủ thẻ doanh nghiệp cần phải biết; và theo dõi, giám sát tất cả truy cập tới tài nguyên mạng và dữ liệu chủ thẻ. Chị Ngô Trần khánh Châu – công ty Misoft, chi nhánh HCM đã chia sẻ rất cụ thể về cơ chế, nguyên tắc hoạt động và các tiêu chuẩn đánh giá của các bộ giải pháp Cyber-Ark. Với nhiều ưu điểm nổi bật trong việc quản lý các định danh đặc quyền, nhất là sự toàn diện, tự động, và mức độ đảm bảo an toàn mạnh mẽ, giám sát và kiểm toán chặt chẽ, các nhà lãnh đạo có thể tin tưởng rằng các giải pháp của Cyber-Ark cung cấp một hạ tầng an ninh tổng thể, đa tầng, khả năng phòng vệ tấn công để bảo vệ thông tin chủ thẻ vừa đáp ứng các đòi hỏi tuân thủ PCI cả trong môi trường vật lý và ảo hóa.
 |
|
Chị Ngô Trần Khánh Châu - Nhân viên Công ty Misoft |
Đến với buổi Hội thảo, anh Bùi Thanh Phong – Chuyên viên Phòng thí nghiệm An ninh thông tin (IseLab), Khu Công nghệ phần mềm ĐHQG TPHCM – chia sẻ về vấn đề Tấn công thử nghiệm (Penetration Testing). Mặc dù đây không còn là vấn đề mới với giới CNTT, nhất là những người làm trong lĩnh vực đảm bảo an toàn thông tin, tuy nhiên nếu đi sâu vào phân tích thì sẽ còn rất nhiều thông tin chi tiết cần được chia sẻ và trao đổi. Trong giới hạn của buổi Hội thảo, diễn giả chỉ đề cập đến một số vấn đề của tấn công thử nghiệm, tập trung vào phần ứng dụng Web. Dựa trên những kinh nghiệm về tấn công thử nghiệm tại Phòng thí nghiệm ISeLAB, diễn giả đã trình bày qui trình, việc đào tạo và bố trí con người vào các vị trí phù hợp, hệ thống kỹ năng, thiết lập báo cáo cùng một số vấn đề liên quan. Đây thực sự là một vấn đề hay và phù hợp với các đơn vị doanh nghiệp nhằm kiểm tra xem mức độ an toàn và bảo mật của hệ thống mạng máy tính đơn vị mình, và qua đó các đơn vị doanh nghiệp cần quan tâm và đầu tư hơn nữa cho lĩnh vực đảm bảo an toàn thông tin, nhất là các đơn vị hoạt động trong ngành công nghệ thông tin.
 |
|
Ông Bùi Thanh Phong - Chuyên viên phòng thí nghiệm ANTT ISeLAB |