Khái niệm và sức mạnh của xếp hạng bảo mật

10:32 | 15/08/2021
Quốc Trung (Tạp chí Security)

Xếp hạng bảo mật hoặc xếp hạng an ninh mạng là một phép đo dựa trên dữ liệu, khách quan và chính xác về tình hình và hiệu suất an ninh mạng của một tổ chức. Để tìm hiểu thêm về lợi ích của xếp hạng bảo mật, Maria Henriquez, Phóng viên của Tạp chí Security (PV) đã có cuộc phỏng vấn “5 phút” với Christos Kalantzis, Giám đốc Công nghệ tại SecurityScorecard. Trước đây, Kalantzis đã xây dựng và lãnh đạo các nhóm kỹ thuật cho FireEye, Tenable, Netflix và YouSendIt. Kalantzis lớn lên ở Montreal, Canada, bắt đầu sự nghiệp phân tích cơ sở dữ liệu cho các công ty như Matrox, CGI, Sync và InterTrade. Tạp chí An toàn thông tin giới thiệu bài phỏng vấn nói trên.

PV: Khái niệm về xếp hạng bảo mật được hiểu như thế nào?

Kalantzis: Xếp hạng bảo mật đánh giá hiệu suất bảo mật của tổ chức rằng tổ chức đó bảo vệ thông tin tốt như thế nào đồng thời cung cấp các chỉ số về rủi ro nội bộ và bên thứ ba của họ, cho phép các công ty có khả năng nhanh chóng phục hồi hoạt động mạng.

Tương tự như trường hợp cơ quan báo cáo tín dụng tiêu dùng xem xét tài chính để chỉ định điểm tín dụng, thì các tổ chức xếp hạng bảo mật có cái nhìn “bên ngoài” về tình hình an ninh mạng của công ty và ấn định điểm bảo mật bằng cách đánh giá xem công ty có thể bảo vệ tài sản dữ liệu của mình trước nguy cơ xâm phạm dữ liệu như thế nào. Các tổ chức có xếp hạng bảo mật cao hơn có hồ sơ rủi ro thấp hơn và tổ chức có xếp hạng thấp cần giảm thiểu rủi ro tiềm ẩn để tăng điểm. Để chuyển hiệu quả bảo mật của tổ chức thành điểm số có thể định lượng, các tổ chức xếp hạng bảo mật sử dụng kết hợp các điểm dữ liệu được thu thập trực tiếp hoặc được mua từ các nguồn công cộng và tư nhân, sau đó áp dụng các thuật toán học máy.

Ví dụ: Tại SecurityScorecard, chúng tôi liên tục theo dõi 10 nhóm yếu tố rủi ro để đưa ra xếp hạng từ A đến F cho hơn 1.000 công ty hàng ngày. Các yếu tố rủi ro bao gồm bảo mật ứng dụng, bảo mật mạng, tình trạng DNS, biện pháp vá lỗi, bảo mật điểm cuối, danh tiếng IP, bảo mật ứng dụng web, điểm cubit, trò chuyện của hacker, thông tin đăng nhập bị rò rỉ và kỹ nghệ xã hội.

Sử dụng học máy, chúng tôi có thể tối ưu hóa mối tương quan giữa xếp hạng bảo mật của chúng tôi và khả năng xảy ra vi phạm dữ liệu tương đối. Điều này cung cấp điểm số với thông tin chi tiết về rủi ro có ý nghĩa hơn để người dùng của chúng tôi có thể đưa ra các quyết định kinh doanh và bảo mật thông minh hơn.

PV: Sức mạnh của xếp hạng bảo mật là gì?

Kalantzis: Bảo mật là một bối cảnh luôn thay đổi và việc giám sát liên tục công việc an ninh mạng của một tổ chức và hệ sinh thái chuỗi cung ứng luôn luôn giữ vai trò quan trọng. Mặc dù phần lớn các vụ vi phạm dữ liệu doanh nghiệp hiện nay là do bên thứ ba (như cuộc tấn công SolarWinds gần đây và vụ vi phạm FireEye), hầu hết các nhóm bảo mật và rủi ro vẫn không có các công cụ cần thiết để liên tục theo dõi và cộng tác quản lý tình hình bảo mật của các nhà cung cấp và đối tác của họ. 

Trên thực tế, trong thời gian gần đây, Cơ quan An ninh mạng và An ninh Thông tin (CISA) đã xác định xếp hạng bảo mật là một thước đo rủi ro mạng quan trọng như một phần của sáng kiến giảm thiểu rủi ro hệ thống mới của họ. Điều này rất quan trọng vì CISA được coi là “bộ phận an ninh mạng” và vai trò của nó là cung cấp các phương pháp tốt nhất hoặc “mức độ duy trì an ninh mạng tiêu chuẩn trên thực tế” cho các tổ chức, cụ thể là CSO, CISO và các đối tác của họ.

Công nghệ này cho phép các tổ chức giám sát tình hình an ninh mạng của họ một cách liên tục và có thể đảm bảo chủ động giải quyết rủi ro mạng nếu xuất hiện. Với việc tăng cường thông báo kịp thời của họ, các tổ chức có thể đưa ra các quyết định sáng suốt hơn và thực hiện trách nhiệm giải trình an ninh mạng phù hợp. Quan trọng nhất, xếp hạng bảo mật giúp các doanh nghiệp quản lý rủi ro của bên thứ ba, bằng cách cho phép họ xác định và giải quyết các lỗ hổng bảo mật mạng thích hợp trong hệ sinh thái của nhà cung cấp của họ.

PV: Xếp hạng bảo mật có thể giúp ích cho việc quy định theo quyền riêng tư mới không?

Kalantzis: Các công ty bị thu hút bởi xếp hạng bảo mật vì chính lý do này. Bối cảnh mối đe dọa ngày càng phát triển và mở rộng thì yêu cầu giám sát liên tục tình trạng an ninh mạng của doanh nghiệp và đối tác để đảm bảo tuân thủ chính xác các quy định thay đổi.

Các doanh nghiệp có thể sử dụng nền tảng của chúng tôi để cho các kiểm toán viên thấy cách họ liên tục theo dõi sự tuân thủ và phát hiện những lỗ hổng tiềm ẩn với các nhiệm vụ hiện tại. Những thông tin tham chiếu của chúng tôi thực sự phản ánh các vấn đề liên quan đến các điểm kiểm tra cụ thể của các tiêu chuẩn bảo mật - bao gồm PCI, NIST, ISO, SIG, HIPAA GDPR. Người dùng có thể chứng minh cách họ quản lý sự tuân thủ bằng cách sử dụng nền tảng để nắm bắt, báo cáo và khắc phục các rủi ro bảo mật của nhà cung cấp và đối tác theo thời gian thực.

PV: Xếp hạng bảo mật có thể giúp CISO thông báo các chiến lược an ninh mạng và rủi ro cho Hội đồng quản trị và doanh nghiệp được không?

Kalantzis: Các CISO và người quản lý bảo mật có thể sử dụng xếp hạng bảo mật để theo dõi hiệu quả của các quy trình và kiểm soát của họ theo thời gian, đánh giá hiệu suất của nhóm và hiển thị ROI của chi tiêu bảo mật ở cấp hội đồng quản trị. Họ có thể sử dụng xếp hạng bảo mật giữa các cuộc kiểm toán để chứng minh rằng các biện pháp an ninh mới hoạt động. Và với việc giám sát liên tục các lỗ hổng và tín hiệu rủi ro, ngay sau khi các biện pháp bảo vệ mới được tích hợp, công cụ phân tích dữ liệu sẽ hiệu chỉnh lại điểm số.

Hơn nữa, các doanh nghiệp thuê bên thứ ba có thể kết hợp đánh giá tương tự để có được niềm tin vào nhà cung cấp. Nếu nhà cung cấp của doanh nghiệp gặp rủi ro, thì khả năng cao là doanh nghiệp đang gặp rủi ro. Tuy nhiên, nếu doanh nghiệp không thể phá vỡ hợp đồng đó ngay lập tức, thì doanh nghiệp cần phải có ngay những phương án về bảo mật của tổ chức và khách hàng của doanh nghiệp. Sử dụng xếp hạng bảo mật cho phép CISO chứng minh sự thẩm định liên tục của họ với khách hàng, Hội đồng quản trị và cơ quan quản lý.