TẠP CHÍ ĐIỆN TỬ
Làm gì để phát hiện và ngăn chặn gián điệp kinh tế?
Một số mánh khóe thông thường và các biện pháp phòng chống có thể sử dụng để phát hiện và ngăn chặn gián điệp kinh tế
Ngày nay, các gián điệp kinh tế thường quan tâm đến dữ liệu tài chính, sở hữu trí tuệ và dữ liệu khách hàng.
Chúng có thể đánh cắp thông tin nhằm mục đích tống tiền, nhưng “động lực xâm nhập thông thường nhất là do thám công nghiệp”.
Dưới đây là một số mánh khóe thông thường và các biện pháp phòng chống có thể sử dụng để phát hiện và ngăn chặn những hành vi bất minh trên.
Bám đuôi
Một trong những cách dễ thành công nhất cho người ngoài thâm nhập vào một tổ chức lại không hề có kỹ thuật cao gì cả : theo chân một nhân viên có thẩm quyền vào cửa trước. Để làm được điều này, tên gián điệp chỉ cần mặc đồng phục hay mang huy hiệu giả.
Một khi đã vào được bên trong, gián điệp có nhiều cách để xâm nhập những thông tin nhạy cảm. Chúng có thể giả dạng nhân viên công nghệ thông tin để photocopy các giấy tờ tìm thấy ở các bàn trống. Hoặc chúng có thể vào một phòng họp trống, mở laptop và lấy cắp dữ liệu từ hệ thống. Theo kịch bản này, gián điệp thường đi thành cặp để dễ thuyết phục, một giả làm nhân viên tư vấn và một làm nhân viên.
Làm thế nào để ngăn chặn ? Phải tăng cường các quy định nhằm cấm nhân viên bảo vệ, tiếp tân và những nhân viên khác cho phép người không phải là nhân viên vào công ty.
Giả dạng nhân viên
Bọn gián điệp thường giả dạng nhân viên trợ giúp công nghệ thông tin vì điều này giúp chúng có vẻ hợp pháp lúc ngồi vào máy tính. Chiến thuật thường được sử dụng là tìm các văn phòng trống hoặc yêu cầu nhân viên rời khỏi bàn làm việc để chúng nâng cấp phần mềm chống virus chẳng hạn. Chúng cũng có thể giả dạng nhân viên vệ sinh để xâm nhập sau giờ làm việc.
Làm thế nào để ngăn chặn ? Tăng cường ý thức cảnh giác của nhân viên. “Hầu hết các tổ chức ít quan tâm đến việc trang bị ý thức cho nhân viên. Con người có khuynh hướng cho rằng một khi ai đó đã vào trong công ty thì hẳn đó là người hợp lệ, và bọn tội phạm đã lợi dụng triệt để giả định này. Cần có tiêu chuẩn cho những gì hợp và không hợp rồi củng cố bằng cách nghi ngờ những ai không tuân thủ những giới hạn này,” Ira Winkler, tác giả của Spies Among Us (Wiley, 2005) và là Chủ tịch của Internet Security Advisors Group, nhóm tạo các mô phỏng gián điệp và cung cấp các dịch vụ khác, nói.
Tuyến phòng thủ thứ hai là sử dụng các công cụ bảo vệ như chương trình bảo vệ màn hình với mật khẩu, mã hóa dữ liệu và yêu cầu các mật khẩu khó đối với những nhân viên có quyền truy cập, như nhân viên quản trị mạng chẳng hạn.
Cuối cùng, theo Peter Wood của Công ty First Base Technologies, một công ty tư vấn Anh chuyên thi hành các dịch vụ về hacking, phải phân loại thông tin và lưu trữ chúng theo giá trị. Việc áp dụng mã hóa và mật khẩu đối với nhân viên quản trị mạng và các thành viên cao cấp cũng có thể giải quyết được 70% vấn đề.
Giả dạng khách
Một cách khác để thâm nhập một công ty là giả làm khách như nhân viên bảo trì điện hoặc điện thoại, giám sát máy báo trộm hoặc người từ sở cứu hỏa đến kiểm tra thiết bị báo cháy.
Làm thế nào để ngăn chặn ? Theo Wood, người ngoài muốn vào công ty phải được kiểm tra đầy đủ các loại giấy tờ. Nhân viên nên hỏi khách về chủ nhân và nên kiểm tra thông tin trên Internet, kèm theo một cuộc gọi đến công ty của khách để xác nhận tính hợp pháp.
Các ứng dụng web
Dĩ nhiên không phải mọi gián điệp đều áp dụng tiếp cận kỹ thuật thấp. Ngày càng nhiều tên lợi dụng tính không an toàn của các ứng dụng web, theo báo cáo của Viện SANS (SysAdmin, Audit, Networking, and Security) về Top 20 nguy cơ an ninh Internet trong năm 2007.
Báo cáo nêu tên các ứng dụng web không được trang bị các đầy đủ công cụ bảo mật là những nguy cơ hàng đầu, khiến dữ liệu dễ bị đánh cắp và các máy tính bị điều khiển. Báo cáo cũng cho rằng các cuộc tấn công vào các ứng dụng web sẽ tăng nhiều trong năm 2008.
Làm thế nào để ngăn chặn? Các công cụ quét web có thể giúp tìm các ứng dụng dễ bị xâm nhập, đặc biệt là khi kết hợp với những công cụ xem mã nguồn và các thử nghiệm xâm nhập ứng dụng. Viện SANS cũng đề nghị kiểm tra cấu hình của khung ứng dụng web và củng cố nó.
Tên trộm nội ứng
Một cách gián điệp hiệu quả là chi tiền cho nhân viên nội bộ để đánh cắp thông tin. Theo Winkler, thủ đoạn này không cần công nghệ cao, nhân viên chỉ cần sử dụng quyền truy cập để tải lượng dữ liệu nhiều hơn mức bình thường.
Làm thế nào để ngăn chặn ? Theo Winkler sử dụng kết hợp giữa kiểm soát truy cập và kiểm toán trước. Ví dụ : đại diện dịch vụ khách hàng thường truy cập 30 hồ sơ mỗi ngày, bỗng nhiên một ngày nào đó truy cập đến 100 lần, vậy là đáng báo động. Ken van Wyck, chuyên viên tư vấn về an ninh, thêm rằng cũng đáng báo động khi đột nhiên một nhân viên bắt đầu truy cập dữ liệu từ nhà riêng.
Theo báo cáo của Viện SANS, một cách ngăn chặn khác là vô hiệu hóa các cổng USB thông qua BIOS được bảo vệ bằng mật khẩu hoặc sử dụng các công cụ để hạn chế sử dụng các cổng và thiết bị ngoại vi để lấy cắp dữ liệu.
Công cụ đánh cắp thông tin gõ phím
Bọn gián điệp một khi đã vào bên trong có thể gây nguy hại bằng cách sử dụng công cụ đánh cắp thông tin gõ phím (keystroke logger).
Một số các thiết bị này gửi e-mail về thông tin gõ phím của người sử dụng máy tính đến một địa chỉ e-mail đã định trước trong khi các thiết bị khác lưu trữ các thông tin này vào bộ nhớ. Các thiết bị này hầu như không thể bị phát hiện. Wood biết một trường hợp bọn gián điệp giả làm nhân viên vệ sinh đã sử dụng kỹ thuật này để đánh cắp gần 300 triệu bảng Anh từ một ngân hàng.
Làm thế nào để ngăn chặn ? Theo Wood, phải tăng cường kiểm tra cơ học máy tính là cách duy nhất để phát hiện công cụ đánh cắp thông tin bàn phím.
Phishing
Wikipedia định nghĩa phishing là một hình thức ứng dụng mà bọn gián điệp sử dụng một loạt các kỹ thuật để làm người ta tiết lộ thông tin (như mật khẩu) hoặc tiết lộ các dữ liệu mật bằng cách nhấp vào các đường dẫn cho phép người khác có thể kiểm soát máy tính từ xa. Thật vậy, Viện SANS xem phishing là một trong những nguy cơ an ninh Internet lớn nhất.
Ví dụ: một gián điệp có thể gọi từ điện thoại di động trả trước đến văn phòng, tuyên bố rằng mình đang làm việc ở nhà và yêu cầu gửi một tên đăng nhập và mật khẩu dưới dạng tin nhắn đến điện thoại của mình. Một số khác sử dụng cách mà Viện SANS gọi là “spear phishing” trong đó chúng gửi những tin nhắn e-mail được mong đợi nhất cho nhân viên, bao gồm cả thông tin cụ thể nhằm làm cho các tin nhắn có vẻ thật (yêu cầu tên đăng nhập và mật khẩu được gửi từ trưởng phòng nhân sự chẳng hạn).
Làm thế nào để ngăn chặn ? Wood đề nghị huấn luyện cho nhân viên tính thận trọng và cách để phát hiện các ứng dụng phishing này. Họ phải từ chối không cung cấp thông tin khi người gọi tỏ ra vội vã, không xưng tên, đe dọa, hỏi những câu kỳ cục hay yêu cầu các thông tin bị cấm. Cũng nên có chính sách rõ ràng để báo cáo về sự cố cho người có trách nhiệm giải quyết.
Viện SANS cho rằng cần phải liên tục nâng cao ý thức của nhân viên, có thể bằng cách tập luyện với các kỹ thuật phishing. Ngoài ra, các công ty cần tránh tiết lộ nhiều thông tin như logo và địa chỉ e-mail của nhân viên trên các trang web công cộng.
Chúng có thể đánh cắp thông tin nhằm mục đích tống tiền, nhưng “động lực xâm nhập thông thường nhất là do thám công nghiệp”.
Dưới đây là một số mánh khóe thông thường và các biện pháp phòng chống có thể sử dụng để phát hiện và ngăn chặn những hành vi bất minh trên.
Bám đuôi
Một trong những cách dễ thành công nhất cho người ngoài thâm nhập vào một tổ chức lại không hề có kỹ thuật cao gì cả : theo chân một nhân viên có thẩm quyền vào cửa trước. Để làm được điều này, tên gián điệp chỉ cần mặc đồng phục hay mang huy hiệu giả.
Một khi đã vào được bên trong, gián điệp có nhiều cách để xâm nhập những thông tin nhạy cảm. Chúng có thể giả dạng nhân viên công nghệ thông tin để photocopy các giấy tờ tìm thấy ở các bàn trống. Hoặc chúng có thể vào một phòng họp trống, mở laptop và lấy cắp dữ liệu từ hệ thống. Theo kịch bản này, gián điệp thường đi thành cặp để dễ thuyết phục, một giả làm nhân viên tư vấn và một làm nhân viên.
Làm thế nào để ngăn chặn ? Phải tăng cường các quy định nhằm cấm nhân viên bảo vệ, tiếp tân và những nhân viên khác cho phép người không phải là nhân viên vào công ty.
Giả dạng nhân viên
Bọn gián điệp thường giả dạng nhân viên trợ giúp công nghệ thông tin vì điều này giúp chúng có vẻ hợp pháp lúc ngồi vào máy tính. Chiến thuật thường được sử dụng là tìm các văn phòng trống hoặc yêu cầu nhân viên rời khỏi bàn làm việc để chúng nâng cấp phần mềm chống virus chẳng hạn. Chúng cũng có thể giả dạng nhân viên vệ sinh để xâm nhập sau giờ làm việc.
Làm thế nào để ngăn chặn ? Tăng cường ý thức cảnh giác của nhân viên. “Hầu hết các tổ chức ít quan tâm đến việc trang bị ý thức cho nhân viên. Con người có khuynh hướng cho rằng một khi ai đó đã vào trong công ty thì hẳn đó là người hợp lệ, và bọn tội phạm đã lợi dụng triệt để giả định này. Cần có tiêu chuẩn cho những gì hợp và không hợp rồi củng cố bằng cách nghi ngờ những ai không tuân thủ những giới hạn này,” Ira Winkler, tác giả của Spies Among Us (Wiley, 2005) và là Chủ tịch của Internet Security Advisors Group, nhóm tạo các mô phỏng gián điệp và cung cấp các dịch vụ khác, nói.
Tuyến phòng thủ thứ hai là sử dụng các công cụ bảo vệ như chương trình bảo vệ màn hình với mật khẩu, mã hóa dữ liệu và yêu cầu các mật khẩu khó đối với những nhân viên có quyền truy cập, như nhân viên quản trị mạng chẳng hạn.
Cuối cùng, theo Peter Wood của Công ty First Base Technologies, một công ty tư vấn Anh chuyên thi hành các dịch vụ về hacking, phải phân loại thông tin và lưu trữ chúng theo giá trị. Việc áp dụng mã hóa và mật khẩu đối với nhân viên quản trị mạng và các thành viên cao cấp cũng có thể giải quyết được 70% vấn đề.
Giả dạng khách
Một cách khác để thâm nhập một công ty là giả làm khách như nhân viên bảo trì điện hoặc điện thoại, giám sát máy báo trộm hoặc người từ sở cứu hỏa đến kiểm tra thiết bị báo cháy.
Làm thế nào để ngăn chặn ? Theo Wood, người ngoài muốn vào công ty phải được kiểm tra đầy đủ các loại giấy tờ. Nhân viên nên hỏi khách về chủ nhân và nên kiểm tra thông tin trên Internet, kèm theo một cuộc gọi đến công ty của khách để xác nhận tính hợp pháp.
Các ứng dụng web
Dĩ nhiên không phải mọi gián điệp đều áp dụng tiếp cận kỹ thuật thấp. Ngày càng nhiều tên lợi dụng tính không an toàn của các ứng dụng web, theo báo cáo của Viện SANS (SysAdmin, Audit, Networking, and Security) về Top 20 nguy cơ an ninh Internet trong năm 2007.
Báo cáo nêu tên các ứng dụng web không được trang bị các đầy đủ công cụ bảo mật là những nguy cơ hàng đầu, khiến dữ liệu dễ bị đánh cắp và các máy tính bị điều khiển. Báo cáo cũng cho rằng các cuộc tấn công vào các ứng dụng web sẽ tăng nhiều trong năm 2008.
Làm thế nào để ngăn chặn? Các công cụ quét web có thể giúp tìm các ứng dụng dễ bị xâm nhập, đặc biệt là khi kết hợp với những công cụ xem mã nguồn và các thử nghiệm xâm nhập ứng dụng. Viện SANS cũng đề nghị kiểm tra cấu hình của khung ứng dụng web và củng cố nó.
Tên trộm nội ứng
Một cách gián điệp hiệu quả là chi tiền cho nhân viên nội bộ để đánh cắp thông tin. Theo Winkler, thủ đoạn này không cần công nghệ cao, nhân viên chỉ cần sử dụng quyền truy cập để tải lượng dữ liệu nhiều hơn mức bình thường.
Làm thế nào để ngăn chặn ? Theo Winkler sử dụng kết hợp giữa kiểm soát truy cập và kiểm toán trước. Ví dụ : đại diện dịch vụ khách hàng thường truy cập 30 hồ sơ mỗi ngày, bỗng nhiên một ngày nào đó truy cập đến 100 lần, vậy là đáng báo động. Ken van Wyck, chuyên viên tư vấn về an ninh, thêm rằng cũng đáng báo động khi đột nhiên một nhân viên bắt đầu truy cập dữ liệu từ nhà riêng.
Theo báo cáo của Viện SANS, một cách ngăn chặn khác là vô hiệu hóa các cổng USB thông qua BIOS được bảo vệ bằng mật khẩu hoặc sử dụng các công cụ để hạn chế sử dụng các cổng và thiết bị ngoại vi để lấy cắp dữ liệu.
Công cụ đánh cắp thông tin gõ phím
Bọn gián điệp một khi đã vào bên trong có thể gây nguy hại bằng cách sử dụng công cụ đánh cắp thông tin gõ phím (keystroke logger).
Một số các thiết bị này gửi e-mail về thông tin gõ phím của người sử dụng máy tính đến một địa chỉ e-mail đã định trước trong khi các thiết bị khác lưu trữ các thông tin này vào bộ nhớ. Các thiết bị này hầu như không thể bị phát hiện. Wood biết một trường hợp bọn gián điệp giả làm nhân viên vệ sinh đã sử dụng kỹ thuật này để đánh cắp gần 300 triệu bảng Anh từ một ngân hàng.
Làm thế nào để ngăn chặn ? Theo Wood, phải tăng cường kiểm tra cơ học máy tính là cách duy nhất để phát hiện công cụ đánh cắp thông tin bàn phím.
Phishing
Wikipedia định nghĩa phishing là một hình thức ứng dụng mà bọn gián điệp sử dụng một loạt các kỹ thuật để làm người ta tiết lộ thông tin (như mật khẩu) hoặc tiết lộ các dữ liệu mật bằng cách nhấp vào các đường dẫn cho phép người khác có thể kiểm soát máy tính từ xa. Thật vậy, Viện SANS xem phishing là một trong những nguy cơ an ninh Internet lớn nhất.
Ví dụ: một gián điệp có thể gọi từ điện thoại di động trả trước đến văn phòng, tuyên bố rằng mình đang làm việc ở nhà và yêu cầu gửi một tên đăng nhập và mật khẩu dưới dạng tin nhắn đến điện thoại của mình. Một số khác sử dụng cách mà Viện SANS gọi là “spear phishing” trong đó chúng gửi những tin nhắn e-mail được mong đợi nhất cho nhân viên, bao gồm cả thông tin cụ thể nhằm làm cho các tin nhắn có vẻ thật (yêu cầu tên đăng nhập và mật khẩu được gửi từ trưởng phòng nhân sự chẳng hạn).
Làm thế nào để ngăn chặn ? Wood đề nghị huấn luyện cho nhân viên tính thận trọng và cách để phát hiện các ứng dụng phishing này. Họ phải từ chối không cung cấp thông tin khi người gọi tỏ ra vội vã, không xưng tên, đe dọa, hỏi những câu kỳ cục hay yêu cầu các thông tin bị cấm. Cũng nên có chính sách rõ ràng để báo cáo về sự cố cho người có trách nhiệm giải quyết.
Viện SANS cho rằng cần phải liên tục nâng cao ý thức của nhân viên, có thể bằng cách tập luyện với các kỹ thuật phishing. Ngoài ra, các công ty cần tránh tiết lộ nhiều thông tin như logo và địa chỉ e-mail của nhân viên trên các trang web công cộng.