Cơ quan Kiểm toán Nhà nước Israel Vạch Trần Những Lỗ Hổng An Ninh Làm Việc Từ Xa của Chính Phủ

Cơ quan Kiểm toán Nhà nước Israel Vạch Trần Những Lỗ Hổng An Ninh Làm Việc Từ Xa của Chính Phủ

Một báo cáo từ Cơ quan Kiểm toán Nhà nước Israel đã tiết lộ những lỗ hổng an ninh nghiêm trọng về VPN làm việc từ xa tại nhiều bộ và cơ quan khẩn cấp của chính phủ. Kết quả cho thấy một bức tranh đáng lo ngại: hệ thống xác thực manh mún, dữ liệu nhạy cảm nằm trong các ổ đĩa dùng chung được bảo vệ kém, và các thiết lập truy cập từ xa khiến hạ tầng trọng yếu bị phơi bày trước các tác nhân đe dọa, đặc biệt là các nhóm liên kết với nhà nước Iran. Tuy báo cáo này đặc thù với Israel, những lỗ hổng được mô tả hoàn toàn không phải là duy nhất ở bất kỳ quốc gia hay tổ chức nào.

Báo cáo của Cơ quan Kiểm toán Israel thực sự đã phát hiện những gì

Cuộc kiểm toán của Cơ quan Kiểm toán Nhà nước xác định ba nhóm sai sót cốt lõi. Thứ nhất, hệ thống xác thực trên các cơ quan bị phân mảnh, nghĩa là các bộ khác nhau sử dụng những phương thức không nhất quán hoặc không tương thích để xác minh danh tính người dùng. Cách tiếp cận chắp vá này tạo ra những lỗ hổng mà kẻ tấn công có thể khai thác để di chuyển ngang qua các hệ thống sau khi có được chỗ đứng ban đầu.

Thứ hai, các thiết lập làm việc từ xa được phát hiện là dễ bị tổn thương một cách nguy hiểm. Khi các chính phủ trên khắp thế giới nhanh chóng mở rộng truy cập từ xa trong và sau giai đoạn đại dịch, nhiều cơ quan đã làm vậy mà không áp dụng các tiêu chuẩn an ninh nhất quán. Báo cáo của Israel phản ánh điều mà các nhà nghiên cứu bảo mật đã ghi nhận rộng rãi: áp lực kích hoạt năng suất làm việc từ xa thường vượt trước việc triển khai các biện pháp kiểm soát an ninh phù hợp.

Thứ ba, dữ liệu nhạy cảm được tìm thấy lưu trữ trên các ổ đĩa dùng chung mà không có kiểm soát truy cập thỏa đáng. Khi các tệp chứa dữ liệu chính phủ hoặc dữ liệu vận hành có thể được truy cập bởi những nhóm người dùng rộng với sự giám sát tối thiểu, một tài khoản bị xâm phạm duy nhất cũng có thể làm lộ một khối lượng tài liệu khổng lồ.

Tại sao xác thực phân mảnh và ổ đĩa dùng chung là mối đe dọa phổ quát

Những sai sót được xác định trong báo cáo này không phải là vấn đề riêng của Israel. Chúng phản ánh các mô hình từng thấy ở các tổ chức thuộc mọi lĩnh vực. Xác thực phân mảnh đặc biệt phổ biến tại những tổ chức lớn phát triển qua sáp nhập, các chu kỳ ngân sách hoặc mở rộng nhanh chóng. Mỗi phòng ban áp dụng công cụ một cách độc lập, và không có lớp quản lý danh tính thống nhất nào được áp đặt xuyên suốt tổ chức.

Điều này quan trọng bởi vì xác thực là tuyến phòng thủ đầu tiên. Khi nhân viên sử dụng mật khẩu yếu hoặc dùng lại mật khẩu trên nhiều hệ thống, hoặc khi xác thực đa yếu tố được áp dụng không nhất quán, toàn bộ mạng lưới chỉ mạnh bằng thông tin đăng nhập yếu nhất của nó. Quy mô phơi lộ thông tin xác thực ngoài thực địa là đáng kinh ngạc. Vụ rò rỉ RockYou2024, làm lộ hơn 19 tỷ mật khẩu bị xâm phạm, cho thấy kho mật khẩu có thể bị khai thác sẵn có cho kẻ tấn công rộng lớn đến mức nào. Bất kỳ tổ chức nào chỉ dựa vào mật khẩu mà không có các lớp xác thực bổ sung đều đang đánh bạc với dữ liệu nhạy cảm nhất của mình.

Ổ đĩa dùng chung còn khuếch đại rủi ro này đáng kể. Ngay cả khi có an ninh vành đai tốt, một người dùng có quyền truy cập hợp pháp vào thư mục dùng chung chứa tệp nhạy cảm cũng trở thành véc-tơ tấn công ngoài ý muốn ngay khi thông tin đăng nhập của họ bị xâm phạm.

Những thiết lập làm việc từ xa dễ bị tổn thương khiến dữ liệu nhạy cảm gặp rủi ro ra sao

Làm việc từ xa thay đổi cơ bản mô hình đe dọa đối với bất kỳ tổ chức nào. Trong môi trường văn phòng, lưu lượng truy cập thường đi qua các mạng được quản lý tập trung, nơi các đội an ninh có khả năng quan sát. Người làm việc từ xa kết nối từ mạng gia đình, thiết bị cá nhân, và đôi khi là Wi-Fi công cộng, tất cả đều đưa vào những biến số khó kiểm soát ở quy mô lớn.

Khi truy cập từ xa được cấu hình mà không có đường hầm VPN an toàn, lưu lượng giữa nhân viên và các hệ thống nội bộ có thể bị chặn bắt hoặc theo dõi. Nghiêm trọng hơn, nếu truy cập VPN không đi kèm với xác thực mạnh, một thông tin đăng nhập bị đánh cắp là tất cả những gì kẻ tấn công cần để xuất hiện như một người dùng hợp pháp bên trong vành đai mạng.

Báo cáo của Israel nhấn mạnh rằng ngay cả các cơ quan chính phủ, về lý thuyết có nguồn lực an ninh mạng chuyên trách và các quy định pháp lý, cũng gặp khó khăn trong việc triển khai bảo mật truy cập từ xa nhất quán. Đối với các tổ chức tư nhân với ít nguồn lực hơn, thách thức còn lớn hơn. Khoảng cách giữa việc có triển khai VPN và việc VPN được cấu hình đúng cách, thực thi đồng nhất trên từng người dùng từ xa, chính là nơi nhiều tổ chức bị phơi bày.

Kiến trúc Zero-Trust và VPN: Những bài học thực tiễn cho người làm việc từ xa

Cuộc kiểm toán của Israel ngầm chỉ ra một tập hợp các nguyên tắc mà các chuyên gia bảo mật đã ủng hộ trong nhiều năm dưới ngọn cờ kiến trúc zero-trust. Ý tưởng cốt lõi rất đơn giản: không tự động tin tưởng bất kỳ người dùng hay thiết bị nào, kể cả những thứ bên trong mạng. Mỗi yêu cầu truy cập phải được xác minh, mỗi kết nối được ghi nhật ký, và quyền truy cập chỉ nên giới hạn ở những gì thực sự cần thiết cho vai trò tương ứng.

Đối với người làm việc từ xa và các tổ chức hỗ trợ họ, điều này chuyển thành một vài thực hành cụ thể. VPN vẫn là lớp nền tảng để mã hóa lưu lượng giữa các điểm cuối từ xa và hệ thống nội bộ, nhưng không nên coi đó là giải pháp hoàn chỉnh. Chúng cần được kết hợp với xác thực đa yếu tố, kiểm tra tình trạng thiết bị, và các biện pháp kiểm soát truy cập chi tiết để ngăn một tài khoản bị xâm phạm duy nhất có thể chạm tới mọi thứ.

Các ổ đĩa dùng chung nên được kiểm toán thường xuyên, với quyền truy cập được giới hạn trên cơ sở cần biết. Những tệp nhạy cảm không nên mặc định cho phép mọi người trong tổ chức truy cập chỉ vì họ làm việc ở đó.

Điều này có ý nghĩa gì với bạn

Những phát hiện của Cơ quan Kiểm toán Nhà nước Israel đóng vai trò như một danh sách kiểm tra thực tế cho bất kỳ tổ chức hay cá nhân làm việc từ xa nào muốn đánh giá tư thế an ninh của chính mình. Nếu thiết lập truy cập từ xa của bạn chỉ dựa vào mật khẩu mà không có yếu tố xác thực thứ hai, đó là một lỗ hổng đã được biết đến. Nếu nhóm của bạn lưu trữ tài liệu nhạy cảm trong các thư mục dùng chung có thể truy cập rộng rãi, sự phơi bày đó là có thật.

Hãy bắt đầu bằng việc kiểm tra các thực hành xác thực của chính bạn. Thông tin đăng nhập yếu vẫn là một trong những điểm xâm nhập phổ biến nhất cho kẻ tấn công, và những vụ rò rỉ dữ liệu xác thực như RockYou2024 có nghĩa là mật khẩu được dùng lại từ những vụ xâm phạm khác đã nằm trong tay các tác nhân đe dọa. Hãy bật xác thực đa yếu tố ở mọi nơi có thể, sử dụng một VPN có uy tín cho tất cả các kết nối từ xa đến hệ thống công việc, và thúc đẩy việc xem xét ai thực sự có quyền truy cập vào các tệp nhạy cảm được chia sẻ trong tổ chức của bạn.

Những thất bại ở cấp chính phủ là lời nhắc nhở rằng không tổ chức nào quá lớn hay quá chính quy để tránh khỏi những lỗ hổng an ninh cơ bản. Tin tốt là các biện pháp giảm thiểu đã được hiểu rõ. Hành động dựa trên chúng mới là phần đòi hỏi nỗ lực có chủ đích.