BeCyberSmart: Sử dụng mạng thông minh với những mẹo bảo mật từ Microsoft

Vasu Jakkal, Phó Chủ tịch phụ trách Bảo mật, Tuân thủ và Danh tính

Tháng 10 là tháng nâng cao nhận thức về an ninh mạng và tôi rất tự hào về những đóng góp của Microsoft và các đối tác trong ngành trong việc giúp người dùng sử dụng mạng thông minh hơn. So với sự gấp rút chuyển đổi hình thức làm việc trong năm 2020 và 2021, tới năm nay, các doanh nghiệp đã có nhiều thời gian chuẩn bị hơn cho lực lượng lao động từ xa và kết hợp. Tuy nhiên, việc sử dụng các thiết bị cá nhân ngày càng tăng kéo theo số lượng điểm cuối cần quản lý và bảo mật cũng lớn hơn. Như thực tế đã chứng minh, cuộc tấn công vào Shields Health Care Group¹ hồi tháng 3 năm 2022 đã ảnh hưởng đến hai triệu người, hay cuộc tấn công ransomware vào tháng 4 đã được chính phủ Costa Rica ban bố tình trạng khẩn cấp quốc gia². Do đó, mỗi người trong chúng ta đều phải là một chiến binh trong cuộc chiến không gian mạng.

Vai trò của công nghệ dù có lớn đến đâu cũng chỉ dừng ở một giới hạn, đối với Microsoft, con người mới là nguồn sức mạnh lớn nhất. Nhân tháng nâng cao nhận thức về an ninh mạng, chúng tôi muốn hỗ trợ các chuyên gia bảo mật tuyên truyền và giáo dục cho nhân viên của họ về các nguyên tắc bảo mật cơ bản được Liên minh An ninh mạng Quốc gia (National Cyber Security Alliance) nhấn mạnh như: bảo vệ danh tính, cập nhật phần mềm và thiết bị, và không trở thành con mồi cho các âm mưu lừa đảo.³ Hãy truy cập trang web Cybersecurity Awareness Month của chúng tôi để khám phá các tài nguyên và khóa học, chẳng hạn như bộ tài liệu #BeCyberSmart – bao gồm các nội dung giúp mọi người bảo vệ dữ liệu của họ cả ở cơ quan và ở nhà.

Con người đã trở thành con đường tấn công chính mà những kẻ tấn công mạng trên khắp thế giới nhắm vào, vì vậy con người, chứ không phải công nghệ, mới là nguy cơ lớn nhất đối với các tổ chức.

Bảo mật bắt đầu từ nhận thức

Tại nơi làm việc không biên giới ngày nay, việc áp dụng các biện pháp bảo mật toàn diện là điều cần thiết. Để xây dựng được tấm chắn bảo vệ “360 độ”, các doanh nghiệp cần giáo dục và nâng cao nhận thức của con người trong việc bảo vệ danh tính, dữ liệu và thiết bị. Các chương trình nâng cao nhận thức giúp các nhóm bảo mật kiểm soát rủi ro đến từ yếu tố con người bằng cách thay đổi quan điểm của mọi người về an ninh mạng và giúp họ thực hành các nguyên tắc an toàn. Báo cáo Nhận thức về Bảo mật SANS 2022 đã phân tích dữ liệu từ hơn một nghìn chuyên gia bảo mật từ khắp nơi trên thế giới để xác định phương thức các tổ chức đang quản lý rủi ro con người của họ. Báo cáo cho thấy hơn 69% các chuyên gia nâng cao nhận thức bảo mật đang làm việc bán thời gian, có nghĩa là họ dành ít hơn một nửa thời gian làm việc của mình cho các nhiệm vụ liên quan đến nâng cao nhận thức về bảo mật.

Theo báo cáo của SANS, các chuyên gia nâng cao nhận thức về an ninh mạng nên tập trung vào những nhiệm vụ sau:

• Thúc đẩy sự chủ động tham gia của nhân viên bằng cách tập trung vào các điều khoản quen thuộc với họ và thể hiện sự ủng hộ đối với các ưu tiên chiến lược của họ. “Đừng nói về những điều bạn đang làm, hãy nói về lý do bạn làm điều đó.”
• Cân nhắc tỷ lệ 10-1, tức là cứ 10 chuyên gia bảo mật tập trung vào mảng kỹ thuật – 1 chuyên gia bảo mật tập trung vào mảng con người.
• Hợp tác với các bộ phận khác trong tổ chức — như bộ phận truyền thông, nhân sự và vận hành kinh doanh — để truyền tải thông điệp đến gần hơn với lực lượng lao động.
• Xây dựng nội dung đào tạo đơn giản để người học dễ hiểu và dễ làm theo. “Cũng giống như tập thể dục, duy trì tần suất đào tạo là điều quan trọng.” Và dành thời gian để thu thập phản hồi về các chương trình nâng cao nhận thức.

Chúng ta chính là người quyết định sự an toàn của bản thân

Trong năm 2022, nguyên nhân phổ biến nhất dẫn tới các cuộc tấn công mạng vẫn là phần mềm độc hại – malware (22%) và giả mạo – phishing (20%).⁴ Ngay cả khi phương thức tấn công sử dụng ransomware như một dịch vụ (RaaS) và các công cụ tinh vi khác đang ngày càng được ưa chuộng, con người vẫn là con đường tấn công chi phí thấp, dễ thành công nhất đối với tội phạm mạng trên toàn thế giới. Do đó, mỗi người trong chúng ta cần được giáo dục về cách ngăn chặn các vi phạm và tự bảo vệ mình, cả ở cơ quan và ở nhà.

Dưới đây là một số nguyên tắc an toàn mạng cơ bản mà tất cả chúng ta có thể tự thực hiện:

Tấn công giả mạo: Email, trang web, tin nhắn giả mạo — những hình thức lừa đảo này chiếm 30% các cuộc tấn công vào năm 2021.⁵ Trong sự kiện Gone Phishing Tournament thường niên tổ chức bởi Terranova năm ngoái, 19,8% người tham gia đã nhấp vào liên kết email giả mạo, 14,4% tải xuống tài liệu giả mạo.⁶ Vậy làm thế nào chúng ta có thể tránh được những chiếc bẫy này?

• Kiểm tra địa chỉ email của người gửi để xem địa chỉ đó có chính xác không. Các email lừa đảo thường được gửi từ một địa chỉ sai chính tả hoặc có vẻ không liên quan đến nội dung. Nếu nghi ngờ, đừng trả lời. Thay vào đó, hãy tạo một email mới để trả lời.
• Không nhấp vào liên kết hoặc mở tệp đính kèm email khi bạn chưa xác minh được người gửi.
• Để biết thêm mẹo phòng tránh nội dung giả mạo, hãy tham khảo bài viết của Ủy ban Thương mại Liên bang.

Thiết bị và phần mềm: Các thiết bị và phần mềm chưa được cập nhật, lỗi thời là mục tiêu tấn công hàng đầu của tội phạm mạng. Đó là lý do tại sao việc thực hành các nguyên tắc an ninh mạng đóng vai trò quan trọng trong việc ngăn chặn các phần mềm độc hại lấy cắp thông tin cá nhân của người dùng trên phạm vi rộng. Để bảo vệ thiết bị của bạn, hãy tuân thủ những nguyên tắc sau:

• Bật tính năng khóa màn hình trên tất cả các thiết bị di động của bạn.
• Kích hoạt xác thực đa yếu tố trên các ứng dụng và tài khoản nhạy cảm của bạn.
• Sử dụng phần mềm chống vi-rút và cài đặt các bản cập nhật hệ thống ngay khi nó được phát hành.

Lừa đảo: Tội phạm mạng thường sẽ liên hệ với bạn để tìm cách “giải quyết” một vấn đề không tồn tại. Email hoặc tin nhắn văn bản sẽ chứa những nội dung mang tính cấp bách, chẳng hạn như “Hãy hành động ngay không tài khoản của bạn sẽ bị khóa!” Nếu bạn thấy những nội dung dạng này, đừng nhấp vào liên kết. Và hãy nhớ luôn báo cáo những email, tin nhắn đáng nghi cho bộ phận an ninh mạng của tổ chức để họ có thể có những hành động ngăn chặn kịp thời. Một số mẹo cần nhớ:

• Cảnh giác trước các cuộc gọi hỗ trợ kỹ thuật mà bạn không yêu cầu hoặc các thông báo lỗi và yêu cầu hành động khẩn cấp.
• Không tải xuống phần mềm từ bất kỳ trang web của bên thứ ba nào qua các gợi ý xuất hiện trên màn hình.
• Khi nghi ngờ, hãy mở một trang trình duyệt riêng và truy cập trực tiếp vào trang web của công ty.

Mật khẩu: Mật khẩu là hàng rào phòng thủ đầu tiên ngăn chặn các truy cập trái phép vào tài khoản, thiết bị và tệp. Tuy nhiên, khi mà một người hiện có trung bình hơn 150 tài khoản trực tuyến và không thể ghi nhớ quá nhiều mật khẩu, thì việc dùng những mật khẩu đơn giản hay lặp đi lặp lại sẽ là một mối nguy hiểm tiềm tàng. Dưới đây là một số mẹo liên quan đến mật khẩu dành cho bạn:

• Sử dụng trình tạo mật khẩu của trình duyệt của bạn để tạo mật khẩu mạnh hơn.
• Không truy cập dữ liệu cá nhân hoặc tài chính bằng mạng không dây công cộng.
• Sử dụng trình quản lý mật khẩu, hoặc cân nhắc các phương thức xác thực không mật khẩu.

Tìm hiểu thêm

Để tìm hiểu thêm về các giải pháp Bảo mật của Microsoft, vui lòng truy cập website của chúng tôi. Ngoài ra, hãy bookmark trang blog Bảo mật của chúng tôi để cập nhật các vấn đề bảo mật từ chuyên gia cũng như theo dõi chúng tôi tại @MSFTSecurity để nhận những tin tức mới nhất về an ninh mạng.

 

¹Tấn công dữ liệu tại Shields Health Care Group ảnh hưởng đến 2 triệu bệnh nhân, Bill Toulas. 7 tháng 6, 2022.

²Cuộc tấn công mạng phạm vi rộng ở Costa Rica gây nhiều thiệt hại cho người dân, Carla Rosch. 1 tháng 6, 2022.

³Liên minh An ninh mạng Quốc gia.

⁴Các số liệu thống kê đáng báo động nửa đầu năm 2022 mà bạn cần biết, Chuck Brooks. 3 tháng 6, 2022.

⁵Báo cá điều tra vi phạm dữ liệu Verizon 2021, Verizon. 2021.

⁶Gone Phishing Tournament, Terranova Security.

⁷Báo cáo việc làm ngành an ninh mạng: 3.5 triệu vị trí thiếu nhân sự vào năm 2025, Cybersecurity Ventures. 9 tháng 11, 2021.