Hiện nay, phần lớn các hệ thống thông tin quan trọng đã được trang bị rất nhiều giải pháp, thiết bị an ninh giúp ngăn chặn các tấn công, bảo vệ hệ thống trước các mối đe dọa từ bên ngoài. Chính vì vậy, xu hướng tấn công hiện nay của hacker đang chuyển sang tấn công vào mắt xích yếu nhất của hệ thống là con người. Sự hiểu biết và việc tuân thủ các quy trình bảo đảm ATTT chưa đầy đủ của người dùng chính là những “lỗ hổng” để hacker xâm nhập vào hệ thống thông tin của tổ chức. Trong trường hợp này, mức độ rủi ro tác động đến hệ thống và tài sản thông tin khi bị tấn công khai thác từ bên trong còn lớn hơn rất nhiều so với các tấn công từ bên ngoài.
Bởi vậy, đào tạo chuyên môn ATTT cho nhân lực vận hành hệ thống CNTT và đào tạo nâng cao nhận thức và kỹ năng ATTT cho người dùng là nhu cầu cấp thiết. Đây cũng là một trong những nội dung cơ bản được đề cập đến nhiều trong các chính sách, chiến lược về ATTT. Tuy nhiên, tùy thuộc vào môi trường hoạt động của từng tổ chức mà nhu cầu đào tạo về ATTT cũng khác nhau. Để quá trình đào tạo ATTT đạt được hiệu quả cao thì chương trình đào tạo cần được xây dựng phù hợp với từng loại tổ chức khác nhau.
Xây dựng chương trình đào tạo nhận thức và các kỹ năng ATTT
Có nhiều yếu tố cần được quan tâm khi chuẩn bị chương trình đào tạo như:
- Quy mô hệ thống CNTT của tổ chức.
- Các ứng dụng, nghiệp vụ liên quan đến CNTT mà tổ chức đang sử dụng.
- Mức độ, kỹ năng sử dụng máy tính và trình độ kiến thức bảo mật hiện tại của người dùng trong tổ chức.
- Chính sách về ATTT đang được sử dụng hiện tại của tổ chức.
- Các tiêu chuẩn về ATTT (ISO, PCI...) mà tổ chức đang tuân theo.
- Trình độ năng lực chuyên môn và khối lượng công việc của các cán bộ phụ trách ATTT.
- Ngân sách đầu tư cho ATTT nói chung và đào tạo ATTT nói riêng.
Với những nội dung trên, ở mỗi tổ chức, nhu cầu đào tạo là khác nhau và lượng kiến thức, trình độ, cách thức đào tạo của mỗi tổ chức cũng sẽ khác nhau. Tuy nhiên, các chương trình này cần dựa trên một khung chương trình đào tạo chung đã được thẩm định hoặc có sự tư vấn từ các đơn vị chuyên môn có uy tín. Với mỗi tổ chức, nội dung đào tạo cần được thay đổi cho phù hợp và việc tổ chức các khóa đào tạo ATTT riêng biệt sẽ tạo ra sự linh hoạt để đảm bảo rằng chương trình đào tạo này đáp ứng nhu cầu đặc biệt của tổ chức.
Tại Việt Nam, nhiều tổ chức đào tạo về ATTT đã triển khai xây dựng các chuyên đề đào tạo về ATTT từ cơ bản đến chuyên sâu dành cho các đối tượng như: Cán bộ lãnh đạo, quản lý, chuyên viên công nghệ thông tin, người dùng cuối....
Một số chuyên đề đã được triển khai như:
1. Đào tạo tổng quan về ATTT
Đây là khóa học dành cho những người mới bắt đầu tìm hiểu về lĩnh vực ATTT. Khóa học cung cấp các kiến thức cơ bản nhất về ATTT cho học viên. Nội dung khóa học là những kiến thức nền tảng nhưng quan trọng, giúp người học bắt đầu tiếp cận với ATTT để bảo vệ hệ thống công nghệ thông tin của tổ chức. Người học được cung cấp kiến thức tổng quát nhất về ATTT, các nguy cơ thách thức về ATTT, cách thức kiểm soát và quản lý ATTT... Sau khóa học, học viên có thể tự mô tả được bức tranh ATTT của tổ chức đang làm việc và bắt đầu lên kế hoạch để từng bước bảo đảm ATTT cho tổ chức.
2. Đào tạo nâng cao nhận thức ATTT cho cán bộ Lãnh đạo, quản lý
Để các biện pháp bảo đảm ATTT phát huy được hiệu quả tốt nhất cần sự quyết tâm của tổ chức và quan trọng nhất là từ các cán bộ lãnh đạo của đơn vị. Mục tiêu của khóa học là giúp cho các cán bộ lãnh đạo và quản lý của tổ chức hiểu về tầm quan trọng của ATTT và tầm nhìn về bảo đảm ATTT trong tổ chức. Nội dung khóa học sẽ nêu tổng quan về ATTT, các nguy cơ thách thức mà tổ chức phải đối mặt, các rủi ro có thể xảy ra với tổ chức khi mất ATTT, đến cách thức xây dựng chiến lược chung, từng bước bảo đảm ATTT trong tổ chức.
3. Đào tạo nâng cao nhận thức và kỹ năng ATTT cho người dùng cuối
Mỗi người dùng là một mắt xích quan trọng trong tổ chức, do vậy việc bảo đảm cho các cá nhân trong tổ chức hiểu biết về ATTT cũng như có các kỹ năng về ATTT sẽ giúp giảm thiểu được các nguy cơ rủi ro mất ATTT.
Đối tượng của khóa học này là những người dùng cuối của tổ chức. Nội dung khóa học giúp người tham gia tiếp cận với ATTT, từ việc nêu ra các rủi ro và nguy cơ an ninh khi sử dụng máy tính và mạng; các hình thức, phương pháp mà kẻ tấn công, lừa đảo thường sử dụng để tấn công người dùng; các kỹ năng cơ bản để bảo vệ an toàn cho máy tính cá nhân; cách thức truy cập internet, lướt web an toàn; kỹ năng sử dụng email an toàn.
4. Khóa học kỹ năng bảo vệ hệ thống công nghệ thông tin
Ngoài việc đầu tư các hệ thống bảo vệ ATTT như Firewall, IDPS, Anti- virus... thì vấn đề quan trọng vẫn là kỹ năng, kiến thức bảo đảm ATTT cho các nhân sự chuyên trách. Một cuộc tấn công vào hệ thống có thể xảy ra từ bên trong hoặc từ bên ngoài, với nhiều cách thức tấn công như chiếm quyền điều khiển, nghe lén, lây lan mã độc,... nhằm vào mục tiêu là hệ thống mạng, ứng dụng, hay các máy tính cá nhân, máy chủ.... Do vậy, để bảo vệ được hệ thống thông tin cần nhiều kỹ năng, kinh nghiệm của cán bộ ATTT, kết hợp với các công cụ và giải pháp an toàn hiện có. Nội dung của chương trình đào tạo này sẽ đi sâu vào việc bổ sung cho người học các kỹ năng và kinh nghiệm trong việc bảo vệ hệ thống CNTT.
Các kiến thức bảo vệ hệ thống bắt đầu đi từ việc phân tích thiết kế ATTT cho hệ thống. Nội dung này sẽ cung cấp cho học viên các kiến thức liên quan đến cơ sở hạ tầng mạng, các thành phần – điểm yếu dễ bị khai thác tấn công, cách thức xây dựng một hệ thống bảo đảm an toàn, các công nghệ, giải pháp có thể sử dụng kết hợp để bảo vệ hệ thống và cuối cùng là có thể phân tích, thiết kế được một hệ thống mạng vừa đảm bảo ngăn chặn các tấn công và khả năng sớm phục hồi sau khi bị tấn công.
Khóa học này phù hợp với những người làm quản trị mạng, quản trị hệ thống, chuyên viên ATTT....
5. Khóa học đánh giá ATTT
Khóa học đánh giá ATTT được xây dựng nhằm cung cấp cho người học cách nhìn tổng quan về ATTT và phương pháp đánh giá mức độ ATTT trong hệ thống của tổ chức. Nội dung khóa học cũng cung cấp các kiến thức, kỹ năng và công cụ cần thiết giúp cho người học có thể đánh giá được mức độ ATTT trong hệ thống của tổ chức, thông qua các công việc cụ thể như: Đánh giá tổng thể hệ thống từ thiết kế, quy hoạch, phân vùng; Đánh giá chung về chính sách ATTT; Xác định và nhận diện các điểm yếu, lỗ hổng bảo mật trên các hệ thống khác nhau; Nắm bắt trước được những rủi ro tiềm ẩn trong hệ thống và có giải pháp phòng tránh trước khi bị lợi dụng để khai thác.
6. Khóa học về kiểm tra, đánh giá bảo mật cho ứng dụng Web
Ứng dụng Web là ứng dụng phổ biến nhất trên Internet và đang ngày càng phát triển. Trước đây các ứng dụng Web chỉ đơn thuần là các trang thông tin giới thiệu, tin tức, thì ngày nay đã được phát triển thành nhiều ứng dụng thương mại và ứng dụng nội bộ... để tạo điều kiện thuận lợi cho quy trình hoạt động, quản lý thông tin khách hàng, thu thập dữ liệu và tương tác trực tuyến.
Sự phát triển nhanh chóng của các ứng dụng Web dẫn đến sự xuất hiện hàng loạt lỗ hổng nghiêm trọng, cùng nhiều loại tấn công nguy hiểm, phổ biến như SQL Injection, Cross - Site Scripting.... Việc tấn công vào các ứng dụng Web trở nên phổ biến, bởi đó là cách thức dễ dàng và trực tiếp để thâm nhập vào bên trong mạng lưới nội bộ tổ chức (vì hầu hết các chính sách bảo mật của tất cả các loại Firewall đều cho phép lưu lượng TCP đi vào cổng 80 và 443).
Nội dung khóa học tập trung vào việc đánh giá riêng cho ứng dụng Web, giúp học viên hiểu rõ về tổng quan ứng dụng Web, các bước cần thiết để tiến hành đánh giá ứng dụng web theo phương pháp đánh giá quốc tế OWASP như: Khảo sát nội dung ứng dụng Web; Đánh giá quản lý cấu hình và quản lý triển khai; Kiểm tra cơ chế xác thực; Kiểm tra cơ chế quản lý phiên; Kiểm tra phân quyền tài khoản; Kiểm tra tính an toàn của các quy trình nghiệp vụ; Đánh giá các kiểm soát thẩm định tính hợp lệ của dữ liệu; Kiểm tra dịch vụ web - Web Services; Kiểm tra Client Side; Kiểm tra AJAX....
7. Khóa học phân tích mã độc hại
Mã độc hại là nguy cơ mà các tổ chức phải đối mặt nhiều nhất trong bảo đảm ATTT. Trước đây, các mã độc hại chỉ tập trung vào phá hoại hoạt động trên các hệ thống, thì ngày nay, chúng còn được sử dụng để đánh cắp dữ liệu nhạy cảm, tấn công DDoS.... với mục đích liên quan đến lợi ích về kinh tế, chính trị. Các tấn công phổ biến tại Việt Nam trong thời gian gần đây như tấn công APT, DDoS đều sử dụng mã độc hại làm công cụ hỗ trợ.
Nội dung khóa học trang bị cho học viên các kiến thức từ tổng quát đến chi tiết về mã độc, cách nhận diện và phân loại, các cách thức mã độc có thể lây nhiễm vào hệ thống... Ngoài ra, các học viên sẽ được tiếp thu các kỹ năng phân tích các mã độc hại đang hoạt động để tấn công vào hệ thống của tổ chức. Qua đó xác định được các đặc tính cơ bản của mã độc để lên phương án, kế hoạch chống lây lan lên hệ thống và tìm cách tiêu diệt.
8. Khóa học về các phương pháp tấn công và phòng thủ
Hiểu được các phương pháp tấn công vào hệ thống là cách thức tốt nhất để phòng thủ. Mục đích chính của khóa học này không phải là đào tạo cho học viên cách thức tấn công vào một hệ thống CNTT với mục đích phá hoại mà là giúp học viên tiếp cận với các phương pháp, kỹ thuật tấn công, qua đó học viên sẽ nắm bắt được các điểm mấu chốt để có thể chống lại các tấn công đó.
Kinh nghiệm tổ chức khóa học về ATTT
Để các khóa đào tạo ATTT đạt hiệu quả cao, cần lưu ý một số điểm sau:
- Phân chia đối tượng đào tạo ATTT một cách phù hợp, mỗi đối tượng tương ứng với các chương trình đào tạo: Cán bộ lãnh đạo quản lý, người dùng cuối, cán bộ CNTT, cán bộ chuyên trách về ATTT.
- Phân chia theo nhiệm vụ, công việc thực tế: Cán bộ quản lý mạng, hạ tầng trước hết tập trung vào các khóa học liên quan đến bảo đảm ATTT cho mạng, hạ tầng. Cán bộ quản lý Website thì nên tham gia các khóa học về đánh giá ứng dụng Web....
- Chuẩn bị tốt về kiến thức chuyên môn cho học viên. Các khóa học chuyên sâu về ATTT thường tập trung vào rèn luyện các kỹ năng nâng cao. Do vậy, các học viên tham gia cần phải có các kiến thức nền tảng về CNTT. Ví dụ: kiến thức về TCP/IP, hệ thống mạng cho các khóa học Đánh giá ATTT hệ thống; kiến thức về lập trình cho các khóa học về Web, phân tích mã độc hại.... Các học viên nên được trang bị kiến thức tổng quan về ATTT trước khi tham gia tiếp các khóa học chuyên sâu.
- Đối với các khóa học chuyên sâu, tập trung nhiều vào kỹ năng tác nghiệp thì thời lượng thực hành chiếm tỷ lệ lớn trong thời gian của khóa học. Do vậy, việc chuẩn bị cơ sở vật chất đủ để đáp ứng cho khóa học là điểm cần lưu ý (Cấu hình máy, hệ thống mạng, đường truyền internet...). Ngoài ra, để đảm bảo chất lượng thì các khóa học chuyên sâu chỉ nên giới hạn số lượng học viên từ 15 - 20 người một khóa.