Tài khoản Twitter của Jack Dorsey (đồng sáng lập và là Giám đốc điều hành của Twitter) đã bị hack. Tin tặc đã chuyển số điện thoại của Jack sang tài khoản khác mà anh không hề hay biết. Và đây là một lời cảnh tỉnh cho mọi người về việc các thiết bị di động ngày nay dễ bị tổn thương như thế nào. Các tin tặc đã dựa vào việc hoán đổi SIM và thuyết phục nhà cung cấp dịch vụ viễn thông cho Jack Dorsey, bỏ qua việc yêu cầu mật mã để sửa đổi tài khoản của mình. Với số điện thoại được chuyển, tin tặc đã truy cập vào tài khoản của người sáng lập Twitter. Nếu nhà cung cấp dịch vụ viễn thông không chấp nhận mức độ tin cậy ở cấp độ thiết bị di động của khách hàng, thì vụ hack sẽ không bao giờ xảy ra.
Tài khoản của Giám đốc điều hành của Twitter bị hack là vụ việc mới nhất trong một loạt các sự cố, phản ánh mức độ dễ dàng khi truy cập vào mạng doanh nghiệp dựa trên đám mây bằng thiết bị di động. Chỉ số bảo mật di động Verizon 2019 tiết lộ rằng phần lớn các doanh nghiệp, 67%, ít tin tưởng nhất vào bảo mật tài sản di động của họ hơn bất kỳ thiết bị nào khác.
Thiết bị di động là một trong những mối đe dọa nguy hiểm nhất mà một doanh nghiệp sở hữu. Chúng cũng là bề mặt đe dọa phát triển nhanh nhất, vì mọi nhân viên giờ đây đều dựa vào điện thoại thông minh của mình làm ID. Cuộc khảo sát gần đây của IDG đã hoàn thành với sự hợp tác của MobileIron, có tiêu đề “Say Goodbye to Passwords” (Nói lời tạm biệt với mật khẩu) cho thấy: 89% các nhà lãnh đạo bảo mật tin rằng các thiết bị di động sẽ sớm đóng vai trò là ID kỹ thuật số của người dùng, để truy cập dữ liệu và dịch vụ doanh nghiệp.
Bởi vì chúng dễ bị tổn thương, sinh sôi nảy nở và biến thành các dạng ID kỹ thuật số chính, thiết bị di động và mật khẩu của người dùng là một ứng dụng yêu thích cho các tin tặc muốn truy cập vào các hệ thống và dữ liệu của công ty trên đám mây. Đã đến lúc từ bỏ mật khẩu và dập tắt nhiều nỗ lực vi phạm nhằm vào các nền tảng đám mây và dữ liệu quý giá mà chúng lưu trữ.
Từ bỏ mật khẩu cải thiện bảo mật đám mây bằng cách:
Loại bỏ lạm dụng quyền truy cập đặc quyền. Thông tin truy cập đặc quyền là những món hàng tốt nhất trên Dark Web, nơi tin tặc đấu thầu thông tin đăng nhập vào hệ thống quản lý tài chính, thẻ tín dụng và ngân hàng hàng đầu thế giới. Forrester ước tính rằng 80% các vụ vi phạm dữ liệu liên quan đến thông tin đặc quyền bị xâm phạm, và một cuộc khảo sát gần đây của Centrify cho thấy 74% tất cả các vi phạm liên quan đến lạm dụng truy cập đặc quyền. Từ bỏ mật khẩu sẽ loại bỏ các kỹ thuật phổ biến nhất mà các tin tặc sử dụng để truy cập các hệ thống đám mây.
Loại bỏ mối đe dọa của các thiết bị di động trái phép truy cập các dịch vụ đám mây kinh doanh và làm mất dữ liệu. Có được thông tin truy cập đặc quyền và khởi chạy các nỗ lực vi phạm từ thiết bị di động là chiến lược tin tặc phổ biến nhất hiện nay. Bằng cách từ bỏ mật khẩu và thay thế chúng bằng khuôn khổ bảo mật zero trust framework, các nỗ lực vi phạm được khởi chạy từ bất kỳ thiết bị di động nào sử dụng thông tin truy cập đặc quyền bất hợp pháp có thể bị cản trở. Các nhà lãnh đạo trong lĩnh vực bảo mật tin cậy không tập trung vào thiết bị di động bao gồm MobileIron, người có cách tiếp cận sáng tạo “zero signin” đã giải quyết các vấn đề về mật khẩu ở quy mô lớn. Khi mọi thiết bị di động được bảo mật thông qua nền tảng zero trust, được xây dựng trên nền tảng các khả năng quản lý điểm cuối thống nhất (UEM), lần đầu tiên tính năng zero signin từ các dịch vụ được quản lý và không được quản lý có thể thành công.
Cho phép các tổ chức tự do thực hiện một cách tiếp cận ít đặc quyền nhất để cấp quyền truy cập vào các ứng dụng và nền tảng đám mây có giá trị nhất của họ. Danh tính là vành đai bảo mật mới và các thiết bị di động là bề mặt đe dọa phát triển nhanh nhất của chúng. Các phương pháp truyền thống lâu đời đối với an ninh mạng, bao gồm cả cách tiếp cận “trust but verify” (tin tưởng nhưng vẫn cần xác minh), đã chứng minh chúng không mang lại hiệu quả trong việc ngăn chặn các vi phạm. Chúng cũng đã thể hiện sự thiếu quy mô khi nói đến việc bảo vệ một doanh nghiệp có quy mô cực lớn. Điều cần thiết là một mạng zero trust, xác nhận từng thiết bị di động, thiết lập bối cảnh người dùng, kiểm tra ủy quyền ứng dụng, xác minh mạng và phát hiện và khắc phục các mối đe dọa trước khi cấp quyền truy cập an toàn cho bất kỳ thiết bị hoặc người dùng nào. Nếu nhà cung cấp dịch vụ viễn thông của Jack Dorsey có mạng lưới zero trust này, thì hàng ngàn người dùng khác sẽ được an toàn ngay hôm nay.
Kết luận
Các tổ chức càng sớm tránh xa việc phụ thuộc vào mật khẩu thì càng tốt. Ba lý do tại sao việc từ bỏ mật khẩu để cải thiện bảo mật đám mây mới chỉ là khởi đầu. Hãy tưởng tượng các nhóm DevOps được phân phối hiệu quả hơn sẽ như thế nào khi bảo mật không còn là vấn đề đau đầu đối với họ nữa, và họ có thể truy cập vào các tài nguyên dựa trên đám mây mà họ cần để xây dựng ứng dụng.
Với nhiều tổ chức áp dụng chiến lược phát triển đầu tiên trên thiết bị di động, sẽ rất có ý nghĩa khi có một mạng zero trust tập trung vào thiết bị di động được tích hợp trong các bước chính của quy trình DevOps. Đó là tương lai của bảo mật đám mây, bắt đầu với các nhóm DevOps tạo ra thế hệ ứng dụng tiếp theo ngày hôm nay.