Advanced Cyber security awareness training trong công ty sao cho hiệu quả
🌳 Advanced Cyber security awareness training trong công ty sao cho hiệu quả – Written By Vincent Nguyen – IT Security in Canada.
Chào các bạn,
Tối hôm qua mình có post một thảo luận về cybersecurity training với câu hỏi:
“Bạn được sếp yêu cầu training cho nhân viên trong công ty về cybersecurity. Vậy bạn sẽ đặt mục tiêu như thế nào và training những gì?”
Có hai bạn đã góp ý thảo luận về chủ đề này. Một cách tóm tắt, các bạn đã nêu các ý như khuyến khích nhân viên trong công ty sử dụng mật khẩu mạnh, nêu ra tác hại/hậu quả nếu hệ thống công ty bị tấn công, v.v. Hầu hết các ý này đều đúng cả.
Hôm nay trong bài viết này, mình xin chia sẻ góc nhìn cá nhân đi kèm kinh nghiệm của mình trong việc tập huấn nâng cao nhận thức về an ninh mạng trong công ty sao cho hiệu quả.
🟥 Với mình, mỗi khi tập huấn, mình sẽ tập trung vào 3 biện pháp bảo vệ người dùng cuối chính mà công ty đang áp dụng đó là:
– password policy: các quy định về mật khẩu
– MFA: bảo mật đa lớp để bảo vệ account
– Quy định của công ty về cybersecurity
Mình sẽ giải thích một cách tóm lượt nhất tại sao những giải pháp này được áp dụng và nó hiệu quả như thế nào. Một cách cụ thể, mình sẽ dùng các trang test mật khẩu như Password Strength meter để cho người dùng thấy với các mật khẩu ngắn, có đính kèm các cụm từ khóa phổ biến như iloveyou, password, v.v. sẽ bị bẻ khóa nhanh như thế nào.
Đồng thời, mình cũng liệt kê top 10 mật khẩu kém an toàn phổ biến nhất trong năm. Đi kèm với việc kiểm tra xem tài khoản mạng xã hội hay email cá nhân của họ có bị lộ trong các vụ tấn công các công ty lớn hay không với trang Haveibeenpwned.
Với MFA, mình giải thich tác hại của việc mất account và account bị mất sẽ bị lợi dụng để lừa đảo người thân của mình như thế nào. Mình lấy ví dụ luôn chính bản thân mình từng suýt bị lừa khi account FB của bạn thân mình bị lấy mất khoản 6 năm về trước, sau đó hacker lại gửi tin cho mình hỏi mượn tiền.
Cuối cùng, ở phần quy định công ty, mình sơ lược lại quy định, trách nhiệm của mỗi thành viên trong công ty và chế tài nếu vi phạm các quy định về cybersecurity.
⚠️Đồng thời mình nhấn mạnh điểm này “nếu thấy hiện tượng gì bất thường, xin báo ngay cho IT”
Tóm lại, mình thường tránh đi quá sâu vào kỹ thuật hay giải thích quá nhiều các khái niệm chuyên môn vì mình biết chắc chắn người nghe sẽ không hiểu, không nhớ hoặc thậm chí họ chẳng quan tâm.
🟥 Bạn có nhớ những lần đi sửa xe, thợ sửa nói với bạn rằng nếu bạn không thay đổi a, b, c trong cách sử dụng xe thì về lâu về dài xe bạn sẽ bị giảm tuổi thọ và dễ hư hao hơn. Bạn có thể cố nghe nhưng cũng chẳng hiểu và sau 2 ngày bạn chỉ còn nhớ tầm 20%. Sau 1 tuần thì bạn lại lái xe như cũ theo thói quen.
Hay chắc hẳn đã nhiều lần bạn nghe các bác sĩ khuyên nên sống lành mạnh bằng cách a, b, c, bạn nghe theo chỉ được vài ngày rồi lại sống như cũ.
Mình dùng hai ví dụ trên để trả lời câu hỏi cho tính hiệu quả của những buổi tập huấn cybersecurity training.
Nói cách khác, người dùng cuối có xu hướng sẽ sử dụng máy tính công ty theo thói quen sẵn có của họ và chỉ nghĩ đến cybersecurity policy khi họ nghĩ là họ đã vi phạm. Bạn cũng không thể ở đó canh chừng họ, và đó chính là lí do chúng ta không nên cho người dùng quyền admin máy tính họ đang sử dụng, vì khả năng họ kéo malware về máy và làm cả công ty bị nhiễm malware là khá cao
🔺Vì thế, theo ý kiến cá nhân mình, các buổi tập huấn bên cạnh việc nêu lên các ảnh hưởng của các cuộc tấn công mạng đồng thời khuyến khích các thói quen tốt như dùng mật khẩu mạnh, thì nên chú trọng nhiều vào việc yêu cầu người dùng cuối cộng tác bằng cách báo cáo cho IT nếu thấy điều bất thường trong máy tính của họ.
🟥 Tuy nhiên, người làm cybersecurity trong một doanh nghiệp phải ở thế chủ động bảo vệ hệ thống chứ không nên dựa hoàn toàn vào báo cáo của người dùng cuối. Đó là lí do tại sao chúng ta có SIEM, có EDR, có AV, v.v
Vì sao không nên dựa hoàn toàn vào người dùng cuối? Vì người dùng cuối nhiều lúc không đủ khả năng nhận ra là máy họ đã bị nhiễm malware. Hoặc có thể họ sẽ che giấu việc máy họ bị nhiễm nếu như họ đã cố tình dùng máy công ty để vào web đen chẳng hạn, và họ sẽ chỉ báo IT nếu máy họ không chạy nổi nữa với lý do “máy tự nhiên chạy chậm”.
🟥Thêm một điều cực kỳ quan trọng đóng góp vào sự thành bại của các cybersecurity policies đó là người lãnh đạo phải đứng về phía team IT để bảo vệ các policies đã đưa ra.
Nếu ngay cấp lãnh đạo mà cũng mô hồ, không nhận thức được tầm quan trọng của các policies này và còn có thái độ lạm dụng quyền lực để vi phạm thì việc hệ thống của công ty đó bị tấn công chỉ là điều sớm muộn.
Có sự ủng hộ của lãnh đạo doanh nghiệp, việc bảo vệ hệ thống sẽ thuận lợi hơn. Tuy nhiên đôi khi các bạn sẽ phải đối mặt với các nhân sự lâu năm trong công ty và không xem trọng các policies đã được đưa ra.
Chính bản thân team IT bên mình đã từng bị một nhân viên lâu năm tố cáo “lạm dụng quyền lực để xâm phạm quyền riêng tư cá nhân” khi bên mình đưa ra yêu cầu tất cả nhân viên phải cài đặt ứng dụng MFA (xác thực đa lớp trên điện thoại) mặc dù bên mình đã giải thích đây là điều cần thiết để nâng cao sự an toàn của cả hệ thống, và nhân viên sẽ cần đến ứng dụng MFA để có thể xác thực khi làm việc online tại nhà.
Một nhân viên lâu năm khác cũng yêu cầu bên IT phải cài đặt một phần mềm mà anh này đã dùng trong nhiều năm lên máy tính công ty của anh ta để phục vụ cho công việc. Tuy nhiên, khi vừa cắm USB có chứa phần mềm vào máy tính công ty, AV đã ngay lập tức xác nhận file cài đặt là mã độc Trojan.
Mặc dù đã giải thích, tuy nhiên anh nhân viên này vẫn tin rằng phần mềm này hoàn toàn bình thường và anh ta đã dùng nó nhiều năm rồi, đồng thời vẫn giữ nguyên ý định yêu cầu IT phải cài đặt phần mềm này vào máy công ty cho anh ta.
Một nhân sự lâu năm khác thẳng thừng yêu cầu IT cung cấp cho chị ấy các quyền hạn sử dụng máy tính công ty theo ý chị ấy muốn đồng thời cho phép chị ấy truy cập vào các website bị tường lửa công ty khóa với lý do chị ấy đã làm cho công ty hơn 10 năm và đem lại cho công ty rất nhiều tiền.
🔺3 ví dụ mà mình đã trải qua ở trên cho các bạn thấy rằng, làm cybersecurity không chỉ làm về lỗ hổng của hệ thống, mà còn phải giải quyết các vấn đề liên quan đến con người vốn là mắc xích yếu nhất của chuỗi bảo mật nữa.
Rất nhiều người dùng không thể xác định được sự khác biệt giữa hệ thống máy tính dùng trong doanh nghiệp với chiếc máy tính họ dùng tại nhà, nên họ cứ mặc định ở nhà họ có thể làm gì thì trong công ty họ có thể làm điều tương tự và các quy định về cybersecurity đang kìm hãm sự tự do của họ.
Vì lẽ đó, nếu không có sự ủng hộ của chủ doanh nghiệp, chắc chắn sẽ rất khó để bảo vệ công ty khỏi sự tấn công của các hackers.
Hy vọng chia sẻ của mình có thể phần nào giúp ích cho các bạn trong công việc hàng ngày.
Hẹn gặp lại ở các post sau.
Vincent Nguyen Canada IT SecDevOp & Co-Founders Khoaamita.com
Admin blog: https://tuhocnetworksecurity.business.blog
System – Cyber online Class 24/24:
https://dao-tao-legal-hacking.khoaamita.com
• Các chuyên đề Cyber Security có học bổng đang triển khai tập trung vào chất lượng nội dung, mình không chạy theo số lượng, không chạy Ads, chỉ muốn ra sức hỗ trợ thành viên thực sự cần cho công việc và nâng cao kiến thức chuyên môn liên quan đến Penetration Testing | Legal Hacking | Cyber Digital Forensic | Security Solutions | Blue Team & Red Team từ căn bản đến nâng cao.
Khi nhận được email bạn gửi đến, mình sẽ gửi lại cho bạn 1 tài khoản có thời hạn vĩnh viễn, Mã kích hoạt, material liên quan và link truy cập hệ thống Cyber lớp học online 24/24.
Email Liên hệ: dang.ky.hoc.it.sec@gmail.com
(Khung giờ phản hồi: 9AM-8PM VIETNAM – 9PM – 8AM CANADA ).
🌳Save Trees🌳 , Save Our Environment🌳 , Save Life🌳🌳..
