Ngày nay, các tổ chức thường cho phép nhân viên sử dụng thiết bị cá nhân của họ cho mục đích công việc, một hoạt động được gọi là BYOD (mang theo thiết bị của riêng bạn). BYOD mang lại sự linh hoạt và tiện lợi, nhưng cũng gây ra rủi ro về bảo mật vì thiết bị cá nhân không có các biện pháp bảo vệ nghiêm ngặt như phần cứng của công ty.
Bảo mật BYOD là gì?
Định nghĩa và phạm vi của bảo mật BYOD
Chính sách bảo mật BYOD nhằm mục đích thiết lập các hướng dẫn và khuôn khổ để quản lý và kiểm soát việc sử dụng các thiết bị cá nhân của nhân viên như máy tính xách tay, điện thoại thông minh và máy tính bảng. Có những rủi ro bảo mật bất lợi khi để các thiết bị không được quản lý truy cập vào các tài nguyên được bảo vệ, chẳng hạn như mất dữ liệu hoặc nhiễm phần mềm độc hại.
Một số khía cạnh chính của cơ sở hạ tầng CNTT phải được xác định rõ ràng trong phạm vi sử dụng BYOD của họ. Ví dụ, các tổ chức phải quyết định loại thiết bị nào được phép sử dụng cho mục đích kinh doanh, loại ứng dụng hoặc quyền truy cập vào tài nguyên nội bộ, cũng như nhân sự đủ điều kiện sử dụng thiết bị cá nhân.
Tầm quan trọng của việc bảo mật thiết bị của nhân viên.
Theo số liệu thống kê gần đây, 83% công ty có chính sách BYOD nhất định và 75% nhân viên sử dụng điện thoại di động cá nhân để làm việc. Các công ty có nhân viên làm việc từ xa và kết hợp thường phải thích ứng với việc sử dụng thiết bị cá nhân, đặc biệt là trong những tình huống mà việc cung cấp phần cứng kịp thời là một thách thức.
Chính sách BYOD chứng minh có lợi cho các tổ chức, vì nó thúc đẩy năng suất và sự hài lòng trong công việc của nhân viên thông qua việc sắp xếp công việc linh hoạt. Các công ty cũng có thể cắt giảm chi phí liên quan đến việc cung cấp máy tính xách tay hoặc điện thoại thông minh làm việc, vì họ có thể cho phép nhân viên sử dụng các thiết bị cá nhân của họ.
Rủi ro bảo mật BYOD
Bảo mật truy cập
Khi làm việc từ xa, nhân viên có thể kết nối thiết bị cá nhân của mình với mạng Wi-Fi không an toàn, dễ bị tấn công, đặc biệt là khi nhân viên chấp nhận chia sẻ tệp và thư mục được truy cập trong mạng công cộng.
Secure Duyệt
Nhân viên có thể sử dụng thiết bị của mình để truy cập và tương tác với các trang web độc hại hoặc lừa đảo nếu không có công cụ hiệu quả để chặn quyền truy cập vào các trang web có hại và đảm bảo kết nối được mã hóa.
Secure Tải xuống tệp
Các tệp chưa quét được tải xuống từ các trang web hoặc ứng dụng nhắn tin có thể bao gồm phần mềm độc hại có thể lây lan khi nhân viên kết nối máy tính xách tay của họ với mạng của công ty. Cho phép tải xuống tệp không an toàn có nguy cơ rất lớn vì nó có thể dẫn đến rò rỉ dữ liệu quan trọng.
Truy cập trái phép
Khi nhân viên sử dụng thiết bị cá nhân để thực hiện công việc, bảo mật không đầy đủ có thể khiến mạng lưới và dữ liệu của công ty bị truy cập trái phép. Rủi ro còn tăng thêm khi các thành viên trong gia đình của nhân viên cũng sử dụng các thiết bị này hoặc USB ổ đĩa để truyền dữ liệu.
Software Điểm yếu
Thiết bị cá nhân có thể không có cùng mức độ bảo mật và cập nhật bản vá như thiết bị do công ty cấp, khiến chúng dễ bị phần mềm độc hại và vi-rút tấn công hơn. Người dùng có quyền truy cập BYOD có thể vô tình tạo cơ hội cho những kẻ xấu khai thác thông qua các thiết bị có phần mềm bị xâm phạm truy cập vào tài nguyên của công ty.
Rò rỉ dữ liệu
Một hậu quả đáng kể khác của việc mất, bị đánh cắp hoặc bị xâm phạm thiết bị là rò rỉ dữ liệu. Khi những cá nhân không được phép truy cập vào thiết bị BYOD, các tổ chức phải đối mặt với nguy cơ thông tin và dữ liệu nhạy cảm bị rò rỉ.
Các vấn đề tuân thủ
Các thiết bị cá nhân không có mã hóa, kiểm soát truy cập và bảo vệ dữ liệu có thể dẫn đến những thách thức trong việc tuân thủ các tiêu chuẩn như GDPR, HIPAA và PCI DSS. Hậu quả pháp lý đặc biệt gây tổn hại cho các tổ chức tài chính và y tế phải bảo vệ dữ liệu nhạy cảm.
Các nghiên cứu trường hợp và ví dụ
Truy cập trái phép vào kho lưu trữ mã riêng tư của Slack
Các hoạt động đáng ngờ đã được phát hiện trên một số kho lưu trữ GitHub của Slack vào tháng 12 năm 2022. Sau khi điều tra, người ta phát hiện ra rằng một cá nhân không xác định đã truy cập vào mã thông báo truy cập của nhân viên, được sử dụng để truy cập vào các kho lưu trữ mã riêng tư. Sau khi phân tích dữ liệu, người ta phát hiện ra rằng người dùng trái phép đã tải xuống một số kho lưu trữ riêng tư của nền tảng cộng tác.
Rò rỉ dữ liệu nền tảng trao đổi tiền điện tử
Vào năm 2017, sàn giao dịch tiền điện tử Bithumb của Hàn Quốc đã vô tình làm rò rỉ thông tin cá nhân của 30.000 khách hàng khi máy tính tại nhà của một nhân viên bị hack. Kẻ tấn công đã thu thập dữ liệu như tên khách hàng, mobile số điện thoại và địa chỉ email, sau đó được sử dụng cho các cuộc gọi lừa đảo. Sàn giao dịch tiền điện tử sau đó đã phải nộp phạt và hoàn trả cho tất cả khách hàng có thông tin cá nhân bị tiết lộ và bị thiệt hại tài chính.
Trojan Malware được ngụy trang thành hợp pháp Mobile Ứng dụng
Vào năm 2016, phần mềm độc hại trojan DressCode đã được phát hiện trong các trò chơi, chủ đề và trình tăng cường hiệu suất điện thoại thông minh trên Cửa hàng Google Play. Sau khi ứng dụng độc hại mang DressCode được cài đặt, nó sẽ giao tiếp với máy chủ lệnh có thể gửi hướng dẫn để xâm nhập vào mạng mà thiết bị bị nhiễm được kết nối. Các nhà nghiên cứu đã nhận dạng được hơn 400 trường hợp ứng dụng nhúng phần mềm độc hại DressCode có sẵn trên Google Play. Các mối đe dọa đã biết hoặc chưa biết khác được nhúng trong ứng dụng có thể gây ra rủi ro đáng kể cho các tổ chức có chính sách BYOD.
Làm cách nào để Secure BYOD
Thiết lập chính sách BYOD
Bước quan trọng đầu tiên để có một môi trường BYOD an toàn là thiết lập chính thức các yếu tố cần thiết của chính sách bảo mật BYOD:
- Thỏa thuận người dùng: Phác thảo tất cả những gì được mong đợi ở nhân viên về việc bảo mật thiết bị cá nhân của họ. Các yếu tố thỏa thuận người dùng điển hình bao gồm chính sách sử dụng được chấp nhận, yêu cầu tuân thủ bảo mật và trách nhiệm pháp lý, đặc biệt là đối với các trường hợp chấm dứt và tháo thiết bị.
- Hoạt động được phép và bị cấm: Xác định các nhiệm vụ liên quan đến công việc mà nhân viên có thể thực hiện trên thiết bị cá nhân của họ, chẳng hạn như các ứng dụng được phép, truy cập email hoặc truy cập tài liệu nội bộ. Các hoạt động có thể gây rủi ro cho công ty phải bị cấm, chẳng hạn như lưu trữ dữ liệu nhạy cảm trên thiết bị cá nhân hoặc tải xuống các tệp không được phép.
- Thiết bị được phép: Chỉ định những thiết bị cá nhân được phép, chẳng hạn như điện thoại thông minh, máy tính bảng, máy tính xách tay, bao gồm các kiểu máy, thương hiệu, hệ điều hành cụ thể (ví dụ: iOS, Android, macOS, Windows) để đảm bảo các thiết bị tương thích với cấu hình bảo mật của công ty.
Mobile Quản lý thiết bị (MDM)
Công nghệ MDM cung cấp, quản lý và kiểm soát các thiết bị được sử dụng để làm việc tại các doanh nghiệp. Bên cạnh việc kiểm soát các thiết bị của công ty, chương trình MDM cũng có thể đăng ký các thiết bị cá nhân của nhân viên. Phần mềm MDM tích hợp các thiết bị với dữ liệu hồ sơ, VPN, các ứng dụng và tài nguyên cần thiết, cũng như các công cụ để giám sát hoạt động của thiết bị.
Thiết lập một di động Media Chính sách
Sử dụng phương tiện di động, chẳng hạn như USB và ổ cứng ngoài, để truyền dữ liệu gây ra rủi ro bảo mật đáng kể. Các thiết bị như vậy có thể đưa phần mềm độc hại vào mạng, có thể dẫn đến vi phạm dữ liệu hoặc gián đoạn hệ thống. Một giải pháp vật lý, như MetaDefender Kiosk™ , có thể quét phương tiện di động bằng nhiều trình quét phòng chống mã độc để đảm bảo an toàn.
Triển khai các giải pháp bảo mật
Các thiết bị BYOD có thể được bảo vệ bằng các giải pháp bảo mật điểm cuối như MetaDefender Endpoint™ . Chương trình bảo mật điểm cuối này thực thi các biện pháp bảo mật quan trọng trên các thiết bị để ngăn chặn các mối đe dọa.
Bảo vệ tính bảo mật bằng cách yêu cầu người dùng cung cấp nhiều lớp xác minh như mật khẩu, mã OTP của thiết bị thứ hai hoặc dữ liệu sinh trắc học.
Bảo vệ dữ liệu nhạy cảm cả khi lưu trữ và khi truyền tải. Bằng cách mã hóa dữ liệu có thể đọc được trong suốt vòng đời của nó, các tổ chức có thể đảm bảo thông tin không bị người dùng trái phép đọc được trong trường hợp thiết bị bị mất, bị đánh cắp hoặc bị xâm phạm.
Thực thi chính sách, đảm bảo thiết bị tuân thủ trước khi truy cập tài nguyên của công ty. Các chính sách này thường bao gồm lịch trình quét phần mềm độc hại, quản lý lỗ hổng và bản vá, trình chặn keylogging và ngăn chặn chụp màn hình.
Một số yêu cầu tuân thủ không cho phép cài đặt phần mềm trên các thiết bị tạm thời của bên thứ ba, cấm cài đặt các giải pháp điểm cuối. Để đảm bảo tuân thủ các yêu cầu như vậy, một giải pháp như MetaDefender Drive™ có thể được triển khai để thực hiện quét bare-metal mà không cần khởi động từ hệ điều hành của các thiết bị tạm thời.
Biện pháp bảo mật mạng
Bảo mật mạng cho phép quản lý và kiểm soát truy cập từ các điểm cuối đến mạng công ty, đảm bảo chỉ những thiết bị được ủy quyền và tuân thủ mới có thể kết nối.
Bảo mật truy cập
Thực thi các chính sách bảo vệ kết nối từ điểm cuối đến mạng như tường lửa, VPN an toàn để truy cập từ xa và quyền dựa trên vai trò để truy cập tệp và dữ liệu.
Phân đoạn mạng
Tách các thiết bị BYOD khỏi các phân đoạn mạng quan trọng của công ty. Bằng cách cô lập lưu lượng BYOD, trong trường hợp có bất kỳ thiết bị nào bị xâm phạm, kẻ tấn công sẽ không thể truy cập vào các phần nhạy cảm khác của mạng.
Kiểm toán và giám sát thường xuyên
Thiết lập khả năng hiển thị vào tất cả các thiết bị được kết nối, cho phép giám sát liên tục hoạt động của mạng. Bằng cách tiến hành đánh giá lỗ hổng thường xuyên, các tổ chức có thể chủ động xác định các bất thường và lỗ hổng bảo mật.
Thực hành tốt nhất cho bảo mật BYOD
Đào tạo và nâng cao nhận thức về nhân viên
Các buổi đào tạo thường xuyên
Đào tạo nhân viên về các biện pháp bảo mật BYOD tốt nhất, chẳng hạn như quản lý mật khẩu, cài đặt bảo mật thiết bị, thói quen duyệt web an toàn và giảm thiểu các mối đe dọa mạng mới nhất.
Mô phỏng lừa đảo
Thực hiện các cuộc tấn công lừa đảo giả lập để kiểm tra nhận thức của người dùng, giúp nhân viên nhận biết và ứng phó với các nỗ lực lừa đảo.
Kế hoạch ứng phó sự cố
Phát triển Kế hoạch ứng phó sự cố
Xác định vai trò và trách nhiệm, xác định hậu quả có thể xảy ra và quy định các bước hành động trước, trong và sau sự cố bảo mật BYOD. Một kế hoạch ứng phó toàn diện bao gồm chuỗi chỉ huy rõ ràng, từ nhóm bảo mật đến các bên liên quan khác và các giao thức truyền thông để giảm thiểu hậu quả từ sự cố bảo mật.
Duy trì một cách tiếp cận toàn diện
Chính sách BYOD mang lại những lợi ích đáng kể cho các tổ chức, chẳng hạn như sự hài lòng của nhân viên cao hơn thông qua tính linh hoạt và cân bằng giữa công việc và cuộc sống, cũng như tiết kiệm chi phí từ việc giảm mua sắm thiết bị. Những thách thức đi kèm, chẳng hạn như truy cập trái phép, tuân thủ quy định và các điểm xâm nhập dễ bị tấn công của các tác nhân đe dọa, không thể bị đánh giá thấp.
Các tổ chức áp dụng BYOD phải có cách tiếp cận toàn diện, giải quyết rủi ro ở mọi khía cạnh, từ việc thiết lập chính sách chính thức và thỏa thuận của người dùng, đến thực thi bảo mật điểm cuối và cung cấp đào tạo để nâng cao nhận thức của nhân viên. Thông qua việc thực hiện toàn diện và cải tiến liên tục, các doanh nghiệp có thể tận dụng đầy đủ lợi ích của BYOD trong khi vẫn đi trước các mối đe dọa đối với cơ sở hạ tầng tổ chức của họ.
Bảo mật BYOD với OPSWAT MetaDefender IT Access ™
Giải quyết các thách thức BYOD, MetaDefender IT Access là nền tảng quản lý bảo mật điểm cuối thống nhất, đảm bảo tuân thủ bảo mật, khả năng hiển thị và kiểm soát cho người dùng BYOD truy cập vào các tài nguyên doanh nghiệp. Sử dụng SDP (công nghệ chu vi được xác định bằng phần mềm), công nghệ này thực hiện các kiểm tra toàn diện về trạng thái thiết bị, bao gồm đánh giá rủi ro và lỗ hổng, và có thể phát hiện gần 10.000 ứng dụng của bên thứ ba. MetaDefender IT Access , được xây dựng dựa trên triết lý ZTNA (truy cập mạng không tin cậy), đảm bảo chỉ những danh tính được ủy quyền mới có thể truy cập mạng, mang đến môi trường làm việc an toàn mà không cản trở quy trình làm việc.
