Các mối đe dọa an toàn thông tin gây thiệt hại nhất hiện nay không bắt nguồn từ những người bên ngoài hay phần mềm độc hại mà từ những người trong cuộc đáng tin cậy có quyền truy cập vào hệ thống và dữ liệu nhạy cảm. Báo cáo Mối đe dọa nội bộ năm 2020 (Insider Threat Report) [1] tiết lộ các xu hướng và thách thức mới nhất mà các tổ chức phải đối mặt, cách các chuyên gia CNTT và bảo mật đối phó với mối đe dọa nội bộ và cách các tổ chức đang chuẩn bị để bảo vệ tốt hơn dữ liệu quan trọng và cơ sở hạ tầng CNTT của họ. Theo số liệu của [1], 68% tổ chức cho rằng hệ thống của họ dễ bị tấn công bởi yếu tố nội bộ, 63% tổ chức cho rằng người dùng CNTT khi được trao đặc quyền sẽ gây ra rủi ro bảo mật lớn nhất đến các tổ chức.

Tháng 4/2018, Facebook đã sa thải một kỹ sư bảo mật với cáo buộc sử dụng đặc quyền khai thác thông tin trong công việc để theo dõi phụ nữ trực tuyến [4]. Trong vụ vi phạm dữ liệu Capital One năm 2019, một cựu kỹ sư của Amazon đã truy xuất hơn 100 triệu hồ sơ khách hàng. Năm 2020, một cựu giám đốc điều hành của Google đã bị kết án 18 tháng tù vì ăn cắp bí mật thương mại từ bộ phận xe tự lái của Google và giao chúng cho Uber, công ty mới của anh ta.

Có thể thấy, nhân sự nội bộ đặc biệt nguy hiểm vì không giống như những người bên ngoài cần xâm nhập vào tổ chức, họ thường có quyền truy cập hợp pháp vào hệ thống mạng và máy tính mà họ cần để thực hiện công việc hàng ngày. Nếu việc ủy quyền này bị lạm dụng hoặc bị lợi dụng để gây hại cho hệ thống CNTT của cơ quan, tổ chức, hậu quả có thể rất nghiêm trọng, ảnh hưởng đến uy tín và chi phí khắc phục của cơ quan.

MỘT SỐ KHÁI NIỆM VÀ THUẬT NGỮ

 Nhân sự nội bộ (Insider) [3] là bất kỳ người nào có kiến thức hoặc có quyền truy cập đến các nguồn lực của cơ quan, tổ chức, bao gồm cơ sở vật chất, thông tin, thiết bị, mạng và hệ thống.

Một số ví dụ về nhân sự nội bộ có thể kể đến như: Người mà cơ quan, tổ chức tin cậy, bao gồm nhân viên, thành viên tổ chức và những người mà tổ chức đã cung cấp thông tin nhạy cảm cũng như quyền truy cập vào một hoặc nhiều hệ thống nội bộ; Người phát triển các sản phẩm và dịch vụ của tổ chức; Người hiểu biết về nguyên tắc cơ bản, chiến lược và mục tiêu kinh doanh của tổ chức, được giao phó các kế hoạch trong tương lai hoặc các phương tiện để duy trì và cung cấp phúc lợi cho nhân sự của tổ chức.

Trong phạm vi chức năng của chính phủ, nhân sự nội bộ có thể là người có quyền truy cập vào thông tin được bảo vệ, nếu các thống tin bị xâm phạm có thể gây thiệt hại cho an ninh quốc gia và trật tự, an toàn xã hội.

Mối đe dọa nội bộ [3] là khả năng nhân sự nội bộ sử dụng quyền truy cập hoặc hiểu biết được ủy quyền của họ về một tổ chức để gây hại cho tổ chức đó. Tác hại này có thể bao gồm các hành vi ác ý, cố tình hoặc vô ý ảnh hưởng tiêu cực đến tính toàn vẹn, tính bảo mật, tính khả dụng của tổ chức, dữ liệu, nhân sự hoặc cơ sở của tổ chức. Mối đe dọa này không nhất thiết phải bắt nguồn từ nhân viên hoặc viên chức hiện tại trong tổ chức. Nó có thể bắt nguồn từ các nhân viên, nhà thầu hiện tại hay trước đây, hoặc bất kỳ đối tác kinh doanh nào khác có hoặc đã có quyền truy cập vào dữ liệu và hệ thống tin học của tổ chức.

Các mối đe dọa nội bộ là nguyên nhân của hầu hết các vụ vi phạm dữ liệu. Các chiến lược, chính sách, thủ tục và hệ thống an ninh mạng truyền thống thường tập trung vào các mối đe dọa từ bên ngoài, khiến tổ chức dễ bị tấn công từ bên trong. Vì người trong cuộc đã có quyền hợp lệ đối với dữ liệu và hệ thống, các chuyên gia bảo mật và ứng dụng sẽ khó phân biệt giữa hoạt động bình thường và hoạt động có hại.

PHÂN LOẠI CÁC MỐI ĐE DỌA NỘI BỘ

Căn cứ vào ý định và động cơ của các nhân sự liên quan đến mối đe dọa nội bộ, có thể phân loại như sau:

 - Mối đe dọa nội bộ đến từ nhân sự với bản tính “cẩu thả” có thể không có ý định đặt hệ thống CNTT của cơ quan, tổ chức vào tình thế rủi ro, nhưng với thói quen và lề lối làm việc theo những cách không an toàn có thể dẫn đến nhiều nguy cơ theo các kịch bản khác nhau. Nhân sự dạng này có thể không đáp ứng các bài huấn luyện và nâng cao nhận thức về bảo mật hoặc có thể mắc các lỗi đơn giản như đưa ra các phán đoán không chuẩn xác khi xử lý các tác vụ phát sinh.

- Mối đe dọa nội bộ đến từ nhân sự thông đồng với các tác nhân đe dọa độc hại từ bên ngoài để làm tổn hại cho hệ thống CNTT và dữ liệu cơ quan, tổ chức. Trước đây, phân loại nhân sự dạng này tương đối hiếm gặp. Tuy nhiên, mối đe dọa nội bộ này đang trở nên phổ biến hơn khi tội phạm mạng chuyên nghiệp đẩy mạnh việc sử dụng mạng lưới ngầm để tuyển dụng nhân sự kỹ thuật của các nhà thầu cho các cơ quan nhà nước, tổ chức có tài sản quan trọng làm đồng minh.

- Mối đe dọa nội bộ đến từ nhân sự có ý đồ xấu lấy cắp dữ liệu hoặc thực hiện các hành vi tiêu cực khác chống lại cơ quan với mục tiêu phần thưởng tài chính hoặc lợi ích cá nhân khác. Những nhân sự dạng này thường đang tìm kiếm nguồn thu nhập thứ hai và có xu hướng chuyển dữ liệu từ từ vào hệ thống lưu trữ cá nhân để tránh bị phát hiện trong một thời gian dài.

 - Một loại mối đe dọa nội bộ đến từ nhân sự khác có thể kể đến là nhân sự bất mãn, họ sẽ cố tình phá hoại cơ quan, tổ chức hoặc ăn cắp tài sản trí tuệ của cơ quan, tổ chức trong quá trình làm việc. Nhân sự dạng này thường có xu hướng thu thập thông tin nhạy cảm của cơ quan, tổ chức, đặc biệt là vào khoảng thời gian họ từ chức hoặc trước khi hoàn tất các thủ tục nghỉ việc.

PHÁT HIỆN VÀ PHÒNG CHỐNG

Phát hiện các mối đe dọa nội bộ

Vì nhân sự nội bộ có quyền truy cập hệ thống mạng và hiện diện trực tiếp tại trụ sở cơ quan, tổ chức mà không cần phải xâm nhập thông qua vòng ngoài, các mối đe dọa từ bên trong thường khó phát hiện hơn các cuộc tấn công từ bên ngoài. Họ cũng khó bị phát hiện hơn vì các động thái đe dọa nội bộ thường hòa nhập với các hành vi hợp lý trong quá trình làm việc, hỗ trợ kỹ thuật tại cơ quan.

Xác suất phát hiện mối đe dọa nội bộ và các thời điểm trong vòng đời tấn công mà họ có khả năng bị phát hiện là khác nhau đối với từng loại mối đe dọa nội bộ. Nhân sự nội bộ “cẩu thả” có thể bị phát hiện bằng cách xác định các lỗ hổng hiện có của họ trước khi chúng bị xâm phạm, hay khi có những lưu lượng truy cập bất thường đến từ tài khoản người dùng này. Những nhân sự nội bộ thông đồng thường bị phát hiện khi họ giao tiếp hoặc chuyển dữ liệu cho các đối tác bên ngoài của họ. Những nhân sự nội bộ ác ý có thể cho thấy một kiểu truy cập đặc trưng hoặc chọn lọc các thông tin mà họ không cần hoặc không nên có quyền truy cập.

Hầu hết các công cụ tình báo về mối đe dọa tập trung vào việc phân tích dữ liệu mạng, máy tính và ứng dụng trong khi chú ý ít đến việc hành động của những người được ủy quyền có thể sử dụng sai đặc quyền của họ. Để bảo vệ không gian mạng an toàn trước mối đe dọa nội bộ, cần theo dõi hành vi bất thường và hoạt động kỹ thuật số. Vì các mối đe dọa nội bộ có thể xen lẫn với hoạt động quản trị, vận hành và hỗ trợ kỹ thuật hợp lý, đơn vị giám sát an ninh mạng hay đơn vị chuyên trách về an toàn thông tin của cơ quan, tổ chức phải có khả năng nhìn xa hơn các sự kiện riêng lẻ để phát hiện ra các hành vi và các mô hình khác nhau có thể chỉ ra việc xâm phạm.

Hình 1: Phòng chống các mối đe dọa nội bộ

Có một số dấu hiệu khác nhau về hành vi của nhân sự nội bộ cần được chú ý, cụ thể: Nhân sự nội bộ không hài lòng hoặc tỏ thái độ bất mãn với tổ chức; Các nỗ lực phá vỡ rào cản bảo mật, xác thực từ nội bộ; Thường xuyên làm việc ngoài giờ; Thể hiện sự bất bình đối với đồng nghiệp; Thường xuyên vi phạm các quy định, quy chế, chính sách của tổ chức; Thường xuyên suy nghĩ về vấn đề nghỉ việc hoặc thảo luận về các cơ hội mới.

 Các dấu hiệu kỹ thuật có thể kể đến như: Việc đăng nhập vào các ứng dụng và mạng của cơ quan, tổ chức vào những thời điểm bất thường; Lưu lượng mạng tăng bất thường (trong các trường hợp chuyển dữ liệu ra ngoài); Truy cập các tài nguyên không được phép; Truy cập các dữ liệu không liên quan đến chức năng công việc; Sử dụng các thiết bị trái phép như ổ cứng, USB; Thu thập thông tin mạng và cố tình tìm kiếm thông tin nhạy cảm; Gửi email thông tin nhạy cảm bên ngoài tổ chức.

Phòng chống các mối đe dọa nội bộ

 Các mối đe dọa nội bộ khó có thể xác định hoặc ngăn chặn hơn các cuộc tấn công bên ngoài và chúng vô hình đối với các giải pháp bảo mật truyền thống như tường lửa và hệ thống phát hiện xâm nhập, vốn tập trung vào các mối đe dọa bên ngoài. Hơn nữa, những nhân sự nội bộ ác ý có thể dễ dàng tránh bị phát hiện hơn nếu họ quen thuộc với các biện pháp bảo mật của tổ chức.

Để giảm thiểu các nguy cơ mất an toàn, an ninh thông tin liên quan đến nhân sự nội bộ, một số biện pháp có thể thực thi như:

- Xác định và bảo vệ các tài sản quan trọng: những tài sản này bao gồm sơ đồ thiết kế hệ thống CNTT, cơ sở vật chất, dữ liệu, ứng dụng và con người. Cần hình thành sự hiểu biết toàn diện về các tài sản quan trọng của hệ thống CNTT tại cơ quan, tổ chức cũng như đặt ra những câu hỏi: Chúng ta sở hữu những tài sản quan trọng nào? Mức độ ưu tiên hoặc quan tâm của chúng ta đối với tài sản đó là gì? Chúng ta hiểu gì về trạng thái hiện tại của từng tài sản? Từ đó xếp hạng các tài sản theo thứ tự ưu tiên và xác định tình trạng hiện tại của từng tài sản cần bảo vệ. Các tài sản có mức độ ưu tiên cao nhất phải được bảo vệ ở mức cao nhất khỏi các mối đe dọa đến từ nội bộ.

- Tạo đường cơ sở về hành vi bình thường của người dùng và thiết bị: Có nhiều hệ thống phần mềm khác nhau có thể theo dõi các mối đe dọa nội bộ. Các hệ thống này hoạt động bằng cách tập trung thông tin hoạt động của người dùng dựa trên nhật ký truy cập, xác thực, thay đổi tài khoản, các điểm đầu cuối và mạng riêng ảo (VPN). Các dữ liệu này được sử dụng để lập mô hình và xác định điểm rủi ro cho hành vi của người dùng gắn với các sự kiện cụ thể như tải dữ liệu nhạy cảm xuống phương tiện di động hoặc người dùng đăng nhập từ một vị trí bất thường. Tạo đường cơ sở về hành vi bình thường cho từng người dùng và thiết bị cá nhân cũng như cho từng vai trò phù hợp với vị trí công việc. Với đường cơ sở này, các sai lệch có thể được gắn cờ và phân tích, điều tra.

 - Tăng khả năng hiển thị: Trong một cuộc khảo sát của SANS năm 2019 về các mối đe dọa nâng cao, hơn một phần ba số người được hỏi thừa nhận thiếu khả năng hiển thị trước việc lạm dụng nội bộ. Do đó, điều quan trọng là phải triển khai các công cụ liên tục theo dõi hoạt động của người dùng cũng như tổng hợp và tương quan thông tin hoạt động từ nhiều nguồn.

- Thực thi các chính sách: xác định cụ thể các chính sách, quy định, quy chế của cơ quan, tổ chức có thể triển khai, thực thi và tránh gây hiểu nhầm. Mọi người dùng cũng như nhân sự vận hành, quản trị phải quen thuộc với các thủ tục bảo mật, quy chế, quy định của pháp luật cũng như hiểu về các quyền, trách nhiệm và nghĩa vụ của họ đối với công việc hiện tại.

- Thúc đẩy thay đổi văn hóa: đảm bảo an ninh, bảo mật không chỉ về giải pháp kỹ thuật, quy định, quy chế mà còn về thái độ và niềm tin. Để chống lại sự cẩu thả và giải quyết các tác nhân gây ra hành vi xấu, cần có giải pháp đào tạo, giáo dục phù hợp các nhân sự nội bộ về các vấn đề bảo mật và làm việc để cải thiện sự hài lòng của nhân sự cũng như hình thành thói quen làm việc đảm bảo an toàn, an ninh và bảo mật thông tin.

 KẾT LUẬN

Để bảo vệ tất cả tài sản CNTT của cơ quan, tổ chức, cần đa dạng hóa chiến lược phát hiện mối đe dọa nội bộ thay vì chỉ dựa vào một giải pháp duy nhất. Một hệ thống phát hiện mối đe dọa nội bộ hiệu quả kết hợp một số công cụ để không chỉ theo dõi hành vi của nhân sự nội bộ mà còn lọc qua số lượng lớn các cảnh báo và loại bỏ các kết quả dương tính giả. Các công cụ như ứng dụng Học máy, cập nhật tri thức các mối đe dọa an toàn thông tin có thể giúp phân tích luồng dữ liệu và ưu tiên các cảnh báo phù hợp nhất. Có thể sử dụng các công cụ phân tích và điều tra số như Phân tích hành vi người dùng và sự kiện để giúp phát hiện, phân tích và cảnh báo cho nhóm bảo mật về bất kỳ mối đe dọa nội bộ tiềm ẩn nào. Phân tích hành vi của người dùng có thể thiết lập đường cơ sở cho hoạt động truy cập dữ liệu bình thường, trong khi giám sát hoạt động cơ sở dữ liệu có thể giúp xác định các vi phạm chính sách.