I. Tổng quan

1. Security control là gì

Security controls là các biện pháp phòng ngừa hoặc bảo vệ được sử dụng để giảm khả năng xảy ra cũng mức độ ảnh ảnh một mối đe dọa hay một lỗ hổng an ninh thông tin. Security controls (các biện pháp kiểm soát an ninh thông tin) bao gồm: technical controls (các biện pháp kỹ thuật), administrative controls (các biện pháp quản lý) và physical controls (các biện pháp vật lý). Mục tiêu chính khi triển khai một biện pháp kiểm soát an ninh có thể là ngăn chặn, phát hiện, sửa chữa hoặc đóng vai tròn ngăn chặn các nguy cơ bảo mật đe dọa tới hệ thống. Các biện pháp kiểm soát cũng được sử dụng để bảo vệ người dùng như đào tạo nhận thức hoặc áp dụng các chính sách an ninh thông tin. Sự thiếu hụt các biện pháp kiểm soát an ninh có thể đe dọa tới các tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin. Những nguy cơ này nếu không được ngăn chặn kịp thời có thể đe dọa đến sự an toàn của con người và tài sản trong tổ chức.

Trong bài viết này, chúng ta sẽ cũng tìm hiểu các biện pháp kiểm soát an ninh và sự khác biệt giữa mỗi loại cũng như sẽ thảo luận về mục tiêu mà mỗi biện pháp kiểm soát được thiết kế để đạt được, cùng với các ví dụ đi kèm.

Ví dụ, một công ty có thể triển khai chương trình đào tạo nhận thức về an ninh trên toàn công ty để giảm thiểu nguy cơ của một cuộc tấn công social engineering vào các thành viên trong công ty và hệ thống thông tin.

2. Mục tiêu của Security Controls

Các mục tiêu chính của các biện pháp kiểm soát an ninh như đã được đề cập trước đó là giúp giảm thiểu các rủi ro trong một tổ chức. Nói cách khác, mục tiêu chính của việc triển khai các biện pháp kiểm soát an ninh là ngăn chặn hoặc giảm thiểu tác động của một sự cố an ninh. Việc triển khai hiệu quả của một biện pháp kiểm soát an ninh dựa trên việc phân loại của nó liên quan đến sự cố an ninh.

• Preventive controls: Các biện pháp kiểm soát ngăn chặn sự cố khỏi xảy ra.
• Detective controls: Các biện pháp kiểm soát phát hiện sự cố sau khi chúng đã xảy ra.
• Corrective controls: Các biện pháp kiểm soát sửa lỗi giúp giảm tác động của một sự cố.

Ngoài 3 biện pháp triển khai trên chúng ta có thể bổ sung thêm

• Deterrent controls: Các biện pháp kiểm soát răn đe ngăn chặn cá nhân từ việc gây ra một sự cố.
• Compensating controls: Các biện pháp kiểm soát bù đắp hoặc thay thế được sử dụng khi một biện pháp kiểm soát chính không khả thi.

3. Giảm thiểu rủi ro

Việc giảm thiểu rủi ro cũng được gọi là risk mitigation

Giảm thiểu rủi ro được đạt được bằng cách triển khai các loại biện pháp kiểm soát an ninh khác nhau tùy thuộc vào:

• Mục tiêu của biện pháp phòng ngừa hoặc bảo vệ.
• Mức độ cần giảm thiểu rủi ro.
• Mức độ nghiêm trọng của sự tổn thất mà mối đe dọa có thể gây ra.

Các biện pháp thực hiện giảm thiểu rủi ro (reduce risk) bao gồm:

• Risk acceptance: là việc không thực hiện bất kỳ hành động nào để giảm khả năng xảy ra của một rủi ro. Chúng ta có thể lựa chọn tiếp tục tiến hành các chức năng kinh doanh liên quan đến rủi ro mà không có bất kỳ hành động tiếp theo nào từ phía tổ chức. Nguyên nhân vì tác động hoặc khả năng xảy ra của rủi ro là không đáng kể, hoặc là vì chi phí từ việc xử lý đó lớn hơn việc chấp nhận rủi ro.
• Risk avoidance: là quyết định cố gắng loại bỏ hoàn toàn rủi ro. Điều này có thể bao gồm ngừng hoạt động cho một số hoặc tất cả các hoạt động của tổ chức đang có nguy cơ rủi ro cụ thể. Hành động này thực hiện khi tác động của rủi ro quá cao hoặc khả năng xảy ra rủi ro là quá dễ.
• Risk transference: là việc chuyển giao rủi ro cho một bên thứ ba, bên thứ ba sẽ chấp nhận và đứng ra chi trả cho tác động tài chính của hậu quả từ một rủi ro xảy ra. Thông thường, điều này có thể thông qua việc kí một hợp đồng bảo hiểm với bên bảo hiểm.

4. Một số khái niệm cơ bản về nguy cơ và rủi ro

Risks: Các rủi ro trong an ninh mạng là khả năng một mối đe dọa sẽ lợi dụng một lỗ hổng dẫn đến mất mát. Mất mát có thể là thông tin, tài chính, tổn thương danh tiếng và thậm chí là làm ảnh hưởng niềm tin của khách hàng.

Threats: Mối đe dọa là bất kỳ sự kiện nào có tiềm năng đe dọa đến tính bảo mật, tính toàn vẹn và tính khả dụng (CIA) của thông tin. Mối đe dọa có thể đến từ bên ngoài tổ chức và từ bất kỳ nơi nào trên thế giới kết nối với internet. Những người bên trong có quá nhiều quyền truy cập, hoặc một người dùng bên trong mạng nội bộ có ý đồ xấu cũng đều đe dọa đến doanh nghiệp. Mối đe dọa cũng có thể là một dạng thảm họa tự nhiên: bão, lũ, động đất, núi lửa hoặc do con người tạo ra như: malware...

Vulnerabilities: Các lỗ hổng là một điểm yếu hoặc lỗi trong phần mềm, phần cứng hoặc quy trình tổ chức, khi bị mối đe dọa bị lợi dụngtấn công có thể dẫn đến một sự cố an ninh.

(Nguồn: https://www.bmc.com/)

Security Incidents: Các sự cố an ninh là sự kiện đã xảy ra có thể đe dọa tính bảo mật, tính toàn vẹn hoặc tính khả dụng của một hệ thống thông tin hoặc thông tin mà hệ thống xử lý, lưu trữ hoặc truyền tải hoặc đe dọa vi phạm các chính sách an ninh, các quy trình an ninh hoặc các chính sách an ninh thông tin

II. Các biện pháp Security controls

1. Physical Security Controls

Các biện pháp kiểm soát vật lý giải quyết các nhu cầu an ninh dựa trên quy trình bằng cách sử dụng các thiết bị phần cứng vật lý, chẳng hạn như đầu đọc thẻ, các đặc điểm kiến trúc của các tòa nhà và cơ sở, và các hành động an ninh cụ thể mà chúng ta phải thực hiện. Thông thường, physical security controls cung cấp các cách để kiểm soát, điều hướng hoặc ngăn chặn sự di chuyển của người và thiết bị trong một vị trí vật lý cụ thể, như một bộ phận văn phòng, nhà máy hoặc cơ sở khác.

Các biện pháp kiểm soát vật lý cũng cung cấp sự bảo vệ và kiểm soát đối với việc vào ra trên phạm vi xung quanh các tòa nhà, bãi đậu xe hoặc các khu vực khác nằm trong sự kiểm soát của tổ chức. Trong hầu hết các tình huống, các biện pháp kiểm soát vật lý được hỗ trợ bởi các biện pháp kiểm soát kỹ thuật như một phương tiện để tích hợp chúng vào một hệ thống an ninh tổng thể.

Ví dụ, khách và khách truy cập vào nơi làm việc, thường phải vào cơ sở qua một lối vào và lối ra được chỉ định, nơi họ có thể được nhận diện và đánh giá về mục đích ghé thăm của khách đó. Sau đó, người đó sẽ được quyết định là được cho phép hoặc từ chối vào. Nhân viên có thể đi vào thông qua các lối vào khác, sử dụng thẻ nhận diện được cấp bởi công ty để khẳng định danh tính của họ và có quyền truy cập. Điều này đòi hỏi các biện pháp kiểm soát kỹ thuật để tích hợp đầu đọc thẻ hoặc token, các cơ chế mở cửa và hệ thống quản lý danh tính và kiểm soát truy cập vào một hệ thống an ninh một cách mạch lạc hơn.

Một số ví dụ về các biện pháp kiểm soát vật lý bao gồm:

• Camera giám sát hệ thống ngắt kết nối
• Hệ thống báo động, cảnh báo chuyển động hoặc nhiệt
• Bảo vệ an ninh
• Thẻ ID có hình ảnh
• Cửa có khóa và cửa quay
• Công nghệ nhận dạng sinh học (bao gồm vân tay, giọng nói, khuôn mặt, mắt, chữ viết và các phương pháp tự động khác được sử dụng để nhận dạng cá nhân)

2. Technical Security Controls

Các biện pháp kiểm soát kỹ thuật (còn được gọi là các biện pháp kiểm soát logic) là các biện pháp kiểm soát an ninh mà các hệ thống máy tính và mạng triển khai trực tiếp. Những biện pháp kiểm soát này có thể cung cấp bảo vệ tự động khỏi truy cập không được ủy quyền hoặc truy cập trái phép, hỗ trợ phát hiện vi phạm an ninh và hỗ trợ các yêu cầu về an ninh cho ứng dụng và dữ liệu.

Các biện pháp kiểm soát kỹ thuật có thể là cài đặt cấu hình hoặc thông số được lưu trữ dưới dạng dữ liệu, được quản lý thông qua giao diện người dùng đồ họa (GUI) của phần mềm, hoặc chúng có thể là các cài đặt phần cứng được thực hiện bằng cách sử dụng switches, jumper plugs hoặc các phương tiện khác. Tuy nhiên, việc triển khai các biện pháp kiểm soát kỹ thuật luôn đòi hỏi các yếu tố vận hành quan trọng và nên phù hợp với quản lý an ninh trong tổ chức

Các ví dụ về các biện pháp kiểm soát kỹ thuật bao gồm:

• Mã hóa
• Phần mềm diệt virus và chống malware
• Tường lửa
• Hệ thống quản lý thông tin và sự kiện an ninh (SIEM)
• Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS)

Ví dụ cách thức triển khai Technical Security Controls

Access Control Lists (ACL) – Là các bộ lọc lưu lượng mạng có thể kiểm soát lưu lượng vào hoặc ra. ACLs thường được sử dụng trong các thiết bị định tuyến hoặc tường lửa, nhưng chúng cũng có thể được cấu hình trong bất kỳ thiết bị nào chạy trong mạng, từ máy chủ, thiết bị mạng đến máy chủ.

Configuration Rules (Quy tắc cấu hình) – Là các đoạn mã hướng dẫn hướng dẫn việc thực thi của hệ thống khi thông tin đang đi qua nó. Các nhà cung cấp thiết bị mạng có quy tắc cấu hình độc quyền quản lý hoạt động của các đối tượng ACL của họ.

3. Administrative Security Controls

Các biện pháp kiểm soát quản lý là các chỉ thị, hướng dẫn hoặc lời khuyên dành cho những người trong tổ chức. Chúng cung cấp các khuôn khổ, ràng buộc và tiêu chuẩn cho hành vi của con người . Nó còn bao gồm toàn bộ phạm vi hoạt động của tổ chức và các tương tác của nó với các bên ngoại và các bên liên quan.

Các biện pháp kiểm soát quản lý có thể là các công cụ mạnh mẽ, hiệu quả để đạt được an ninh thông tin. Ngay cả những chính sách nhận thức về an ninh đơn giản nhất cũng có thể là một biện pháp kiểm soát hiệu quả, nếu bạn có thể giúp tổ chức triển khai chúng một cách đầy đủ thông qua việc đào tạo và thực hành có hệ thống.

Nhiều tổ chức đang cải thiện tổng thể về tư duy an ninh của mình bằng cách tích hợp các biện pháp kiểm soát quản lý vào các hoạt động như một nhiệm vụ và quyết định vận hành mà nhân viên sử dụng trong suốt cả ngày. Điều này có thể được thực hiện bằng cách cung cấp chúng như là các nguồn tài liệu tham khảo và lời khuyên ngay tại chỗ, hoặc bằng cách liên kết chúng trực tiếp vào các hoạt động đào tạo. Những kỹ thuật này và các kỹ thuật khác đưa các chính sách đến một cấp độ trung lập hơn và rời xa khỏi quyết định chỉ của các nhà lãnh đạo cấp cao. Điều này cũng khiến chúng trở nên ngay lập tức, hữu ích và hoạt động hàng ngày và từng nhiệm vụ.

Một số ví dụ về các biện pháp kiểm soát an ninh quản lý:

• Information Security Policy (Chính sách an ninh thông tin): Định rõ các quy định và hướng dẫn về việc bảo vệ thông tin nhạy cảm của tổ chức, bao gồm việc xử lý, lưu trữ và truy cập vào thông tin.
• Acceptable Use Policy(Chính sách chấp nhận sử dụng): Xác định các hành vi được chấp nhận và không được chấp nhận từ người dùng khi sử dụng tài nguyên thông tin của tổ chức, bao gồm cấm truy cập vào các trang web độc hại hoặc sử dụng tài nguyên mạng cá nhân cho mục đích cá nhân.
• Access Management Policy (Chính sách quản lý quyền truy cập): Định rõ cách quản lý quyền truy cập vào hệ thống và dữ liệu, bao gồm việc gán và thu hồi quyền truy cập cho người dùng và nhóm người dùng.
• Physical Access Control Policy (Chính sách kiểm soát truy cập vật lý): Đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào các khu vực nhạy cảm của tổ chức bằng cách sử dụng các biện pháp như thẻ ID hoặc hệ thống kiểm soát truy cập vật lý.
• Security Training Program (Chương trình đào tạo an ninh): Cung cấp đào tạo định kỳ cho nhân viên về các nguy cơ an ninh, biện pháp phòng ngừa và các quy tắc an ninh cụ thể mà họ cần tuân thủ.

Triển khai Administrative Security Controls

• Management controls (Các biện pháp kiểm soát quản lý): Là các biện pháp kiểm soát an ninh tập trung vào quản lý rủi ro và quản lý an ninh hệ thống thông tin.
• Operational controls (Các biện pháp kiểm soát vận hành): Là các biện pháp kiểm soát an ninh được triển khai và thực thi chủ yếu bởi con người (so với hệ thống).

III. Tổng kết

Ở phần 1 này, chúng ta đã cùng tìm hiểu và làm rõ một số khái niệm cơ bản, ví dụ cũng như lợi ích của một số biện pháp kiểm soát bảo mật: Security Controls. Ở phần tiếp theo, chúng ta sẽ cùng tìm hiểu thêm về một số các thức triển khai thực tế của Security Controls như thế nào và lợi ích của chúng ra sao.

IV. Link tham khảo bài viết

• https://purplesec.us/security-controls/
• https://www.infosectrain.com/blog/types-of-security-controls/