Thiết kế kiến trúc bảo mật đa lớp, từ tường lửa đến trung tâm giám sát, Zero Trust, đánh giá tuân thủ. Phù hợp với yêu cầu của Ngân hàng Nhà nước và Bộ Thông tin Truyền thông.
Bối cảnh an ninh mạng tại Việt Nam đã thay đổi căn bản trong ba năm gần đây. Các cuộc tấn công có chủ đích nhằm vào ngân hàng, doanh nghiệp sản xuất lớn, cơ quan nhà nước ngày càng tinh vi và có nguồn lực. Cùng với đó, khung pháp lý cũng được siết chặt. Nghị định 13/2023 về bảo vệ dữ liệu cá nhân, Thông tư 09/2020 của Ngân hàng Nhà nước về an toàn thông tin, các quy định mới của Bộ Thông tin và Truyền thông đặt ra nhiều yêu cầu cụ thể mà doanh nghiệp phải tuân thủ.
Với doanh nghiệp không có đội an ninh mạng nội bộ đủ mạnh, câu hỏi không còn là có cần đầu tư bảo mật hay không, mà là đầu tư ở mức nào và ưu tiên hạng mục nào trước.
Triển khai tường lửa Palo Alto, Fortinet, Check Point với khả năng kiểm tra sâu gói tin, lọc ứng dụng, phòng chống xâm nhập, lọc nội dung web, phòng chống phần mềm độc hại. Thiết kế chính sách theo nguyên tắc cho phép tối thiểu.
Thiết kế và vận hành trung tâm giám sát an ninh mạng 24/7 với hệ thống quản lý sự kiện an ninh, phân tích hành vi người dùng và thực thể, kịch bản phản ứng tự động. Phù hợp với doanh nghiệp phải đáp ứng yêu cầu tuân thủ của Ngân hàng Nhà nước hoặc có rủi ro an ninh mạng cao.
Triển khai giải pháp phát hiện và phản ứng điểm cuối thế hệ mới trên toàn bộ máy tính và máy chủ, thay thế phần mềm diệt virus truyền thống. Phát hiện hành vi bất thường thay vì chỉ dựa trên chữ ký virus, giúp phát hiện các tấn công chưa từng có.
Chuyển đổi từ mô hình mạng nội bộ tin cậy sang mô hình xác thực liên tục mọi truy cập. Bao gồm quản lý danh tính, xác thực đa yếu tố, truy cập theo ngữ cảnh, phân đoạn mạng vi mô. Đặc biệt phù hợp với doanh nghiệp có nhân viên làm việc phân tán.
Đánh giá mức độ tuân thủ theo khung ISO 27001, Thông tư 09 Ngân hàng Nhà nước, khung an toàn thông tin của Bộ Thông tin và Truyền thông. Kiểm thử xâm nhập định kỳ với đội kỹ sư có chứng chỉ CEH, OSCP. Báo cáo chi tiết kèm lộ trình khắc phục.
Triển khai giải pháp ngăn ngừa rò rỉ dữ liệu, mã hóa dữ liệu nhạy cảm tại lớp lưu trữ và lớp truyền, sao lưu bất biến chống ransomware. Đáp ứng yêu cầu của Nghị định 13 về bảo vệ dữ liệu cá nhân.
Không phải doanh nghiệp nào cũng cần triển khai toàn bộ các hạng mục an ninh mạng cùng một lúc. Chúng tôi phân chia lộ trình theo ba mức độ trưởng thành để khách hàng tham khảo.
Phù hợp với doanh nghiệp nhỏ và vừa chưa có đội an ninh mạng nội bộ, đang dùng phần mềm diệt virus thông thường và tường lửa cấp thấp. Hạng mục ưu tiên: tường lửa thế hệ mới, phát hiện và phản ứng điểm cuối, sao lưu bất biến, xác thực đa yếu tố cho các ứng dụng quan trọng. Chi phí đầu tư ban đầu thường nằm trong khoảng vài trăm triệu đến trên một tỷ đồng tùy quy mô.
Phù hợp với doanh nghiệp phải đáp ứng khung tuân thủ cụ thể như ISO 27001, Thông tư 09 Ngân hàng Nhà nước, PCI DSS. Bổ sung thêm trung tâm giám sát an ninh mạng (có thể tự vận hành hoặc thuê ngoài), quản lý định danh và truy cập tập trung, mã hóa dữ liệu nhạy cảm, kiểm thử xâm nhập định kỳ. Doanh nghiệp ở mức này thường đã có một đến hai nhân sự chuyên trách an ninh mạng.
Phù hợp với ngân hàng, công ty tài chính, tập đoàn lớn, doanh nghiệp có dữ liệu nhạy cảm quy mô lớn. Bao gồm toàn bộ các hạng mục ở mức tuân thủ, cộng với kiến trúc Zero Trust hoàn chỉnh, trung tâm giám sát an ninh mạng 24/7 với phân tích hành vi, săn tìm mối đe dọa chủ động, tích hợp tình báo mối đe dọa. Yêu cầu đội an ninh mạng nội bộ có chuyên môn cao.
Trong thực tế, nhiều doanh nghiệp chọn thuê ngoài trung tâm giám sát an ninh mạng (SOC as a Service) thay vì tự xây dựng. Cách này giúp tiết kiệm chi phí tuyển dụng và giữ chân chuyên gia an ninh mạng vốn khan hiếm tại Việt Nam, đồng thời tiếp cận được năng lực phân tích cao hơn so với đội nội bộ vài người.
Tường lửa truyền thống chủ yếu bảo vệ ở lớp mạng với chính sách dựa trên địa chỉ IP và cổng. Các tấn công hiện đại phần lớn đi qua các giao thức hợp lệ như HTTPS, nên tường lửa lớp mạng không phát hiện được. Ngoài ra, các tấn công thông qua email (lừa đảo, phần mềm độc hại), tấn công qua thiết bị đầu cuối (nhân viên dùng máy cá nhân), và tấn công nội bộ không bị chặn bởi tường lửa.
Một kiến trúc bảo mật hiện đại thường có ít nhất năm lớp: bảo mật email, bảo mật điểm cuối, bảo mật mạng (tường lửa thế hệ mới), bảo mật ứng dụng và dữ liệu, giám sát và phản ứng sự cố. Có tường lửa chỉ là một trong năm lớp.
Trung tâm giám sát an ninh mạng 24/7 tự xây dựng cho ngân hàng quy mô trung bình thường cần đầu tư vài tỷ đến hàng chục tỷ đồng cho phần công nghệ (hệ thống quản lý sự kiện an ninh, phân tích hành vi, quản lý mối đe dọa, cấp phép hàng năm), cộng với chi phí nhân sự cho đội từ 6 đến 12 người làm ba ca, mỗi người có mức lương cạnh tranh do an ninh mạng là lĩnh vực khan hiếm nhân lực.
Lựa chọn thay thế là thuê ngoài dịch vụ giám sát an ninh mạng với chi phí thường từ vài trăm triệu đến vài tỷ mỗi năm tùy số lượng thiết bị và mức độ dịch vụ. Nhiều ngân hàng đã chuyển sang mô hình lai: giữ đội nội bộ nhỏ xử lý sự cố nghiêm trọng, thuê ngoài giám sát 24/7.
Có hai cách tiếp cận bổ sung lẫn nhau. Thứ nhất là quét lỗ hổng tự động bằng công cụ chuyên dụng, thực hiện định kỳ hàng tuần hoặc hàng tháng. Quét tự động phát hiện được các lỗ hổng đã biết, thiếu bản vá, cấu hình sai phổ biến. Chi phí thấp, có thể triển khai nhanh.
Thứ hai là kiểm thử xâm nhập có kiểm soát, do kỹ sư an ninh mạng thực hiện thủ công theo các kịch bản tấn công thực tế. Kiểm thử xâm nhập phát hiện được các lỗ hổng kết hợp, điểm yếu trong quy trình, lỗi lập trình ứng dụng tùy chỉnh. Chi phí cao hơn, thường thực hiện một đến hai lần mỗi năm.
Khuyến nghị là dùng cả hai: quét tự động thường xuyên để duy trì, kiểm thử xâm nhập định kỳ để đánh giá sâu.
Thông tư 09/2020/TT-NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, áp dụng cho các tổ chức tín dụng và chi nhánh ngân hàng nước ngoài. Các yêu cầu chính bao gồm: phân loại hệ thống thông tin theo cấp độ rủi ro, thiết lập chính sách và quy trình an toàn thông tin, quản lý truy cập và định danh, bảo vệ vật lý, giám sát và phát hiện sự cố, sao lưu và phục hồi, đánh giá rủi ro định kỳ, kiểm thử xâm nhập hàng năm cho các hệ thống quan trọng.
Tổ chức chưa tuân thủ có thể bị xử phạt hành chính và yêu cầu khắc phục. Chi phí tuân thủ đầy đủ Thông tư 09 cho một ngân hàng quy mô trung bình thường nằm trong khoảng vài tỷ đến trên chục tỷ đồng cho giai đoạn ban đầu.
Zero Trust không phải là một sản phẩm mà là một cách tiếp cận kiến trúc, với nguyên tắc không tin cậy mặc định bất kỳ truy cập nào, dù từ bên trong hay bên ngoài mạng nội bộ. Mô hình này trở nên thiết thực khi hai yếu tố thay đổi: nhân viên ngày càng làm việc phân tán, và dữ liệu ngày càng nằm ngoài trung tâm dữ liệu của doanh nghiệp (trên đám mây).
Với doanh nghiệp có toàn bộ nhân viên làm việc tại văn phòng và dữ liệu nằm hoàn toàn trong trung tâm dữ liệu, mô hình truyền thống vẫn hoạt động tốt và chưa cần Zero Trust. Với doanh nghiệp có nhân viên làm việc từ xa, nhiều ứng dụng SaaS, thiết bị cá nhân truy cập hệ thống, thì Zero Trust thực sự cần thiết để quản lý rủi ro.
TES thực hiện đánh giá sơ bộ không tính phí theo khung tham chiếu quốc tế và khuyến nghị lộ trình phù hợp.
Gửi yêu cầu tư vấn