Vì sao nhiều ngân hàng đang áp dụng phương pháp tiếp cận hiện đại với an ninh mạng—mô hình Zero Trust
Ngày nay, nhiều ngân hàng vẫn dựa vào phương pháp “thành cao hào sâu”—hay còn gọi là “bảo mật vành đai”—để bảo vệ dữ liệu khỏi các cuộc tấn công gây hại. Giống như lâu đài thời Trung cổ được bảo vệ bằng cơ man tường đá, hào và cổng, các ngân hàng sử dụng phương pháp bảo mật vành đai đầu tư mạnh tay vào việc củng cố vành đai mạng của mình bằng tường lửa, máy chủ proxy, mắt ong và các công cụ ngăn chặn xâm nhập khác. Phương pháp bảo mật vành đai bảo vệ các điểm vào và ra của mạng bằng cách xác minh các gói dữ liệu và danh tính của những người dùng ra vào mạng của tổ chức, rồi giả định rằng hoạt động bên trong vành đai kiên cố là tương đối an toàn.
Các tổ chức tài chính am hiểu vấn đề hiện đang vượt khỏi mô hình này để triển khai phương pháp tiếp cận hiện đại với an ninh mạng—mô hình Zero Trust. Nguyên lý cốt lõi của mô hình Trust Zero là mặc định không tin tưởng bất kỳ ai—dù là nội bộ hay bên ngoài tổ chức—và yêu cầu xác minh nghiêm ngặt đối với tất cả mọi người hoặc thiết bị trước khi cấp quyền truy nhập.
Vành đai của lâu đài vẫn quan trọng nhưng thay vì chỉ chú tâm đầu tư ngày càng mạnh tay để xây nên những bức tường và con hào kiên cố hơn thì mô hình Zero Trust lại có cách tiếp cận tinh vi hơn về việc quản lý quyền truy nhập vào danh tính, dữ liệu và thiết bị trong tòa lâu đài điển hình. Vậy nên dù là người dùng nội bộ có hành động với dụng ý xấu hay vô tình bất cẩn hoặc kẻ tấn công ngụy trang vượt qua được bức tường thành thì họ cũng sẽ không tự động được cấp quyền truy nhập.
Các hạn chế của phương pháp thành cao hào sâu
Do sự ra đời của các mối đe dọa an ninh mạng đã làm đảo lộn ý nghĩa của việc giám sát và bảo vệ, phương pháp thành cao hào sâu dần bộc lộ nhiều hạn chế nghiêm trọng trong việc bảo vệ tài sản kỹ thuật số của doanh nghiệp ngày nay. Các tổ chức lớn, bao gồm ngân hàng, phải xử lý các mạng dữ liệu và ứng dụng phân tán được nhân viên, khách hàng và đối tác truy nhập tại chỗ hoặc trực tuyến. Điều này khiến việc bảo vệ vành đai lâu đài càng trở nên khó khăn hơn. Và ngay cả khi tỏ ra hiệu quả trong việc giữ chân kẻ thù, con hào vành đai cũng không có tác dụng gì đối với người dùng bị xâm phạm danh tính hoặc những mối đe dọa từ người dùng nội bộ khác ẩn núp bên trong tường thành của tòa lâu đài.
Các hoạt động thực tiễn dưới đây đều là ngọn nguồn của những tình thế nguy hiểm và thường xuất hiện trong các ngân hàng phó thác việc bảo mật cho phương pháp thành cao hào sâu:
- Đánh giá quyền truy nhập ứng dụng của nhân viên một năm một lần.
- Chính sách về quyền truy nhập không rõ ràng, thiếu nhất quán, phụ thuộc vào ý kiến riêng của người quản lý và không có đủ khả năng quản trị khi nhân viên thuyên chuyển.
- Bộ phận CNTT lạm dụng tài khoản đặc quyền quản trị.
- Lưu trữ dữ liệu khách hàng ở nhiều vùng chia sẻ tệp và không nắm rõ những người có quyền truy nhập vào đó.
- Quá phụ thuộc vào xác thực người dùng bằng mật khẩu.
- Thiếu sự phân loại và báo cáo về dữ liệu để nắm rõ vị trí của dữ liệu.
- Thường xuyên sử dụng ổ đĩa flash USB để truyền tệp chứa dữ liệu mang tính nhạy cảm cao.
Cách mô hình Zero Trust hỗ trợ nhân viên ngân hàng và khách hàng
Người ta đã ghi nhận được không ít lợi ích của phương pháp Zero Trust và sự gia tăng không ngừng của các ví dụ thực tiễn cho thấy phương pháp này hoàn toàn đủ khả năng ngăn chặn các cuộc tấn công qua mạng tinh vi. Tuy nhiên, nhiều ngân hàng hiện nay vẫn tuân thủ những biện pháp trái với nguyên tắc của Zero Trust.
Nhờ áp dụng mô hình Zero Trust, các ngân hàng có thể tăng cường tình hình bảo mật, từ đó tự tin hỗ trợ các sáng kiến mang đến cho nhân viên và khách hàng sự linh hoạt cao hơn. Ví dụ: Nhà điều hành ngân hàng muốn giải phóng các nhân viên làm việc trực tiếp với khách hàng—chẳng hạn như người quản lý mối quan hệ và tư vấn viên tài chính—khỏi bàn làm việc để họ gặp gỡ khách hàng ở bên ngoài ngân hàng. Ngày nay, nhiều tổ chức tài chính hỗ trợ sự linh hoạt về mặt địa lý này bằng các công cụ phi số hóa như bản in giấy hoặc dạng xem tĩnh cho hoạt động tư vấn. Tuy nhiên, cả nhân viên và khách hàng của ngân hàng đều mong đợi một trải nghiệm linh động hơn, sử dụng dữ liệu theo thời gian thực.
Các ngân hàng dựa vào phương pháp thành cao hào sâu để bảo mật rất ngại phải phân tán dữ liệu ra khỏi mạng vật lý. Như vậy, chỉ khi gặp gỡ khách hàng tại ngân hàng, nhân viên ngân hàng và tư vấn viên tài chính mới có thể khai thác các mô hình linh động của chiến lược đầu tư bài bản đã được chứng minh.
Từ trước đến nay, các nhân viên ngân hàng hay tư vấn viên tài chính di động luôn gặp phải khó khăn khi chia sẻ thông tin cập nhật từ mô hình theo thời gian thực hoặc chủ động cộng tác với các nhân viên ngân hàng hay nhà giao dịch khác, ít nhất là khi không có VPN. Còn nữa, sự linh hoạt này là một yếu tố thúc đẩy quan trọng cho những quyết định đầu tư sáng suốt và sự hài lòng của khách hàng. Mô hình Zero Trust cho phép người quản lý mối quan hệ hoặc nhà phân tích khai thác thông tin chuyên sâu từ các nhà cung cấp dữ liệu thị trường, tổng hợp với mô hình của riêng họ và giải quyết linh động các kịch bản khách hàng khác nhau ở mọi lúc, mọi nơi.
Tin tốt: Giờ là kỷ nguyên mới của bảo mật thông minh—hoạt động trên nền tảng kiến trúc đám mây và Zero Trust—có thể hợp lý hóa và hiện đại hóa hoạt động bảo mật cũng như tuân thủ của các ngân hàng.
Microsoft 365 giúp chuyển đổi sự bảo mật của ngân hàng
Với Microsoft 365, các ngân hàng có thể ngay lập tức chuyển sang bảo mật Zero Trust bằng cách triển khai ba chiến lược chính:
- Danh tính và xác thực—Đầu tiên và quan trọng nhất, các ngân hàng cần đảm bảo người dùng chính là những người mà họ tự nhận và cấp quyền truy nhập theo vai trò của họ. Với Azure Active Directory (Azure AD), các ngân hàng có thể sử dụng đăng nhập một lần (SSO) để cho phép người dùng được xác thực kết nối với các ứng dụng từ mọi nơi, tạo điều kiện cho nhân viên di động truy nhập tài nguyên một cách bảo mật mà không làm ảnh hưởng đến năng suất của họ.
Các ngân hàng cũng có thể triển khai những phương pháp xác thực mạnh mẽ, như Multi-Factor Authentication (MFA) không sử dụng mật khẩu hoặc gồm hai bước, giúp giảm 99,9% nguy cơ xảy ra vi phạm. Microsoft Authenticator hỗ trợ thông báo đẩy, mật khẩu một lần và sinh trắc học cho mọi ứng dụng được kết nối với Azure AD.
Đối với các thiết bị Windows, nhân viên ngân hàng có thể sử dụng Windows Hello, tính năng nhận diện khuôn mặt bảo mật và thuận tiện để đăng nhập vào thiết bị. Cuối cùng, các ngân hàng có thể sử dụng Truy nhập có điều kiện của Azure AD để bảo vệ tài nguyên khỏi các yêu cầu đáng ngờ thông qua việc áp dụng các chính sách truy nhập phù hợp. Microsoft Intune và Azure AD kết hợp cùng nhau để đảm bảo chỉ những thiết bị được quản lý và tuân thủ mới có thể truy nhập các dịch vụ của Office 365, bao gồm email và các ứng dụng tại chỗ. Bạn cũng có thể đánh giá trạng thái tuân thủ của thiết bị thông qua Intune. Chính sách truy nhập có điều kiện được thực thi tùy theo trạng thái tuân thủ của thiết bị vào lúc người dùng tìm cách truy nhập dữ liệu.
Minh họa về truy nhập có điều kiện.
- Bảo vệ chống mối đe dọa—Với Microsoft 365, các ngân hàng cũng có thể củng cố khả năng bảo vệ, phát hiện và ứng phó trước các cuộc tấn công nhờ cơ chế bảo mật tích hợp và tự động của Bảo vệ chống Mối đe dọa của Microsoft. Giải pháp này tận dụng một trong những tín hiệu về mối đe dọa đồ sộ nhất thế giới đến từ Microsoft Intelligent Security Graph và khả năng tự động hóa tiên tiến hoạt động trên nền tảng trí thông minh nhân tạo (AI) để tăng cường việc xác định và ứng phó sự cố, giúp các nhóm bảo mật giải quyết mối đe dọa chính xác, hiệu quả và tức thời. Trung tâm bảo mật Microsoft 365 cung cấp một hub tập trung và không gian làm việc chuyên dụng để quản lý và tận dụng tối đa các giải pháp bảo mật thông minh của Microsoft 365 dành cho quản lý danh tính và quyền truy nhập, bảo vệ chống mối đe dọa, bảo vệ thông tin cũng như quản lý bảo mật.
Trung tâm bảo mật Microsoft 365.
- Bảo vệ thông tin—Dù danh tính và thiết bị là những đối tượng trung gian chính dễ bị tổn thương trước các cuộc tấn công qua mạng nhưng dữ liệu mới là mục tiêu cuối cùng của những kẻ phạm tội trên mạng. Với Microsoft Information Protection, các ngân hàng có thể cải thiện việc bảo vệ thông tin nhạy cảm—ở mọi vị trí bất kể thông tin đang được lưu trữ hay di chuyển. Microsoft 365 giúp khách hàng 1) xác định và phân loại dữ liệu nhạy cảm; 2) áp dụng các chính sách bảo vệ linh hoạt và 3) giám sát cũng như khắc phục dữ liệu nhạy cảm đang gặp rủi ro.
Ví dụ về một kịch bản phân loại và bảo vệ.
Đơn giản hóa việc quản lý bảo mật với Zero Trust
Microsoft 365 giúp đơn giản hóa việc quản lý bảo mật trong kiến trúc Zero Trust hiện đại, tận dụng khả năng quan sát, quy mô và trí thông minh cần thiết để chống lại tội phạm mạng.
Khi bạn cân nhắc cách bảo vệ “tòa lâu đài” hiện đại của mình, môi trường Zero Trust sẽ là sự lựa chọn tối ưu để đối phó với các mối đe dọa an ninh mạng hiện đại. Môi trường Zero Trust yêu cầu giám sát sát sao ai đang truy nhập nội dung gì, ở đâu và khi nào—cũng như người đó có nên được cấp quyền truy nhập hay không.
Các chức năng bảo mật và tuân thủ của Microsoft 365 giúp các tổ chức xác minh trước khi tin tưởng người dùng hoặc thiết bị. Microsoft 365 cũng cung cấp một giải pháp làm việc nhóm và năng suất hoàn chỉnh. Tựu chung lại, Microsoft 365 mang đến một giải pháp toàn diện để giúp nhà điều hành ngân hàng tập trung vào khách hàng và sự đổi mới.