Được gọi là Mô hình Không tin tưởng ai (Zero-trust Architecture), chiến thuật này giả định mọi hệ thống được bảo mật mạnh mẽ cỡ nào vẫn có thể bị hacker xâm nhập. Mối liên kết yếu nhất trong hệ thống phòng thủ chính là con người.
Thực tế, thời gian qua, hàng loạt công ty lớn đã bị tấn công do hacker đánh vào yếu tố con người. Uber và Rockstar Games là hai nạn nhân mới nhất. Trước đó, những công ty công nghệ hàng đầu như Microsoft, Nvidia hay Okta cũng bị tấn công và bị lấy đi rất nhiều dữ liệu quan trọng.
Bên ngoài trụ sở Uber tại San Francisco. Ảnh: Bloomberg
Điểm chung của những vụ hack trên là kẻ tấn công đã tìm cách lừa nhân viên điều hành hệ thống hoặc nhân viên nội bộ công ty, khiến họ nhầm tưởng và kích hoạt việc xác thực truy cập mạng hoặc trao thông tin quan trọng khác cho tin tặc. Kiểu tấn công này gọi là phi kỹ thuật (social engineering).
Trong trường hợp của Uber, hacker đã lừa nhân viên để lấy thông tin đăng nhập mạng riêng ảo (VPN), từ đó có thể vào bên trong mạng nội bộ công ty. Thực tế, social engineering là hình thức tấn công khá phổ biến hiện nay. Cách này đơn giản nhưng được giới chuyên gia đánh giá sẽ tồn tại rất nhiều năm nữa vì "nâng cấp máy tính dễ hơn nâng cấp trí óc con người". Các cuộc thi hack hiện nay cũng không đưa social engineering vào danh mục được chấp nhận.
Theo cách tiếp cận truyền thống đối với an ninh mạng, các kỹ sư thường xây dựng nhiều lớp phòng thủ càng tốt. "Chúng tôi đã xây dựng một con hào khổng lồ xung quanh lâu đài. Chỉ khi phá vỡ con hào đó, bạn mới ở bên trong", Boe Hartman, cựu giám đốc công nghệ tại Goldman Sachs và từng lãnh đạo mảng hạ tầng xây dựng thẻ Apple Card, cho biết.
Dù vậy, cách làm đó được đánh giá chỉ có ý nghĩa trước đây. Trong thời đại mà một công ty có rất nhiều nhân viên và nhà thầu, những người này lại có máy tính hoặc các thiết bị cá nhân có kết nối với hệ thống công ty, việc bảo mật trở nên khó khăn hơn.
"Đó là thảm họa. Kẻ tấn công chỉ cần bước qua một cổng duy nhất để xâm nhập vào toàn bộ vương quốc", Hartman nhận xét.
Sức mạnh của sự 'không tin tưởng'
Zero-trust Architecture hiện được xem là cách đơn giản và gần như duy nhất để chống lại các cuộc tấn công phi kỹ thuật. "Không tin tưởng dựa trên ý tưởng rằng bạn không còn tin vào bất cứ thứ gì và bất cứ ai trong hệ thống của mình nữa", Anshu Sharma, CEO Skyflow - một công ty khởi nghiệp sử dụng nguyên tắc không tin tưởng để bảo vệ dữ liệu cá nhân cho các doanh nghiệp, cho biết.
Gần đây, các kỹ sư hệ thống thông tin bắt đầu xây dựng hạ tầng bảo mật theo nhiều lớp nhất có thể. Chẳng hạn, nếu một người đăng nhập muộn vào hệ thống công ty, họ chỉ được phép sử dụng giới hạn một số quyền nhất định. Ý tưởng ở đây là: kể cả khi hacker vào được bên trong, chúng vẫn sẽ bị giới hạn tính năng lẫn thời gian tấn công.
Một nguyên tắc không tin tưởng khác được gọi là phân tích hành vi. Trong hệ thống, kỹ sư sẽ sử dụng phần mềm theo dõi hành vi của những người trên mạng và gắn cờ nếu bất kỳ ai làm điều gì đó bất thường, chẳng hạn cố gắng thực hiện một khoản rút tiền ngân hàng cực lớn, hoặc tải về một lượng dữ liệu khác thường.
Tuy nhiên, quan trọng nhất trong phương pháp không tin tưởng là suy nghĩ luôn hoài nghi. "Ngay cả khi xác định được người đang vào hệ thống, các kỹ sư vẫn cần theo dõi mọi thứ. Trong khi đó, mỗi nhân viên cũng cần ý thức được quyền của mình, đang làm những thứ nên làm và trong quyền hạn cho phép", Sharma nói.
Dù vậy, Zero-trust Architecture có thể gây ra những xung đột không đáng có giữa nhân viên và hệ thống. Bảo mật luôn là sự cân bằng giữa việc cung cấp cho mọi người những quyền truy cập họ cần và yêu cầu họ chứng minh danh tính của mình. Vấn đề do thiết kế, một khái niệm được gọi là "nguyên tắc ít đặc quyền nhất", tức chỉ cho phép mọi người tiếp cận những thứ họ cần. Nhưng nó đi ngược với các ưu tiên của nhiều doanh nghiệp, những công ty vốn tập trung nhiều hơn vào việc tối đa hóa hiệu quả hoạt động của họ hơn là đảm bảo chúng.
Một thập kỷ 'không tin tưởng'
Trong khi nhiều doanh nghiệp gần đây mới biết tới Zero-trust Architecture, ngành công nghiệp bảo mật đã áp dụng chiến lược này trong hơn một thập kỷ qua, nhất là các công ty lớn.
Một trong những công ty sớm nhận ra các bức tường bảo mật không đảm bảo an toàn 100% cho họ là Google. Năm 2009, khi máy chủ Gmail ở Trung Quốc liên tục bị tấn công, hãng đã triển khai hệ thống BeyondCorp. BeyondCorp áp dụng cho tất cả các thành phần của hệ thống công nghệ thông tin, gồm người dùng, thiết bị, ứng dụng và dịch vụ, bất kể quyền sở hữu, vị trí thực hoặc mạng. Tất cả sẽ cùng xử lý nếu có một sự nghi ngờ cố hữu. Theo đại diện Google, sự thay đổi này thực sự giúp nhân viên làm việc từ mọi nơi dễ dàng hơn mà không cần VPN.
Okta là công ty chuyên về hệ thống xác minh danh tính con người không tin cậy. Cho đến trước khi bị tấn công vào giữa năm, hãng đã cung cấp giải pháp Zero-trust Architecture cho rất nhiều công ty lớn. Dù vậy, trớ trêu là chính Okta lại trở thành nạn nhân. Tương tự, Nividia cũng sử dụng công cụ lấy dấu vân tay kỹ thuật số Morpheus dựa trên AI để kiểm soát người ra vào hệ thống, nhưng vẫn bị tấn công.
Theo Hartman, người hiện là đồng sáng lập của công ty chăm sóc sức khỏe Nomi, việc xây dựng một hệ thống dựa trên Zero-trust Architecture mất rất nhiều thời gian và nhân lực. "Bên cạnh sự cam kết của các cấp lãnh đạo cao nhất, mô hình còn đòi hỏi sự tuân thủ của nhân viên", ông nói.
Zero-trust Architecture cũng không phải là không có nhược điểm. Justin Boitano , Phó chủ tịch mảng máy tính doanh nghiệp của Nvidia, cho biết: "Tạo sự cân bằng giữa bảo mật và khả năng truy cập có nghĩa là phải có các cuộc trò chuyện liên tục giữa các đội bảo mật và nhân viên. Điều này không dễ để thực hiện".
Hiện, Lapsus$ được xem là nhóm hacker nổi tiếng nhất chuyên vận dụng tấn công phi kỹ thuật nhằm vào công ty lớn, như Rockstar Games, Uber, Nvidia, Samsung, Apple, Microsoft... Nhóm này tập hợp những kẻ tấn công tuổi teen. Theo Bloomberg, một thành viên chủ chốt của nhóm mới 16 tuổi, sống tại Oxford. Cảnh sát Anh đầu năm nay cũng bắt 7 người từ 16 đến 21 tuổi, bị nghi là các thành viên Lapsus$.
Theo Boitano, trong thế giới kỹ thuật số mới, luôn có những kẻ rình rập trên mạng. "Trong tư tưởng, bạn phải luôn nghĩ có kẻ xấu xung quanh. Câu hỏi luôn trong đầu là làm cách nào để bảo vệ tài nguyên của mình và tài sản trí tuệ của công ty mọi lúc", ông nói.
Bảo Lâm (theo WSJ)
