Trong thế giới làm việc từ xa sau đại dịch Covid, các nhóm bảo mật doanh nghiệp vẫn luôn tìm cách mở rộng biện pháp bảo mật qua nhiều hướng khác nhau. Một trong số ấy đang nhận được nhiều sự quan tâm liên quan đến các thiết bị không được quản lý: Khả năng kiểm soát các loại thiết bị truy cập vào tài nguyên dữ liệu của công ty!
Phần lớn thiết bị truy cập vào tài sản số của tổ chức là các thiết bị được quản lý như máy tính/ điện thoại/ máy tính bảng do tổ chức cung cấp và kiểm soát. Các thiết bị được quản lý tuân thủ các chính sách và tiêu chuẩn của tổ chức, cho phép quản lý tập trung, kiểm soát bảo mật và cập nhật phần mềm. Từ đó đảm bảo mức độ bảo mật cao hơn. Nhưng trong những năm gần đây, tỷ lệ lưu lượng truy cập đến từ các thiết bị không được quản lý đang tăng lên đều đặn, làm dấy lên mối lo ngại về bảo mật hơn bao giờ hết.
Tình hình thực tế
Nghiên cứu gần đây chỉ ra rằng việc mang theo thiết bị cá nhân (Bring your own device – BYOD) là chuẩn mực. Một số lượng đáng kể các công ty cho phép sử dụng thiết bị cá nhân (hoặc không được quản lý) tại nơi làm việc. Các thiết bị không được quản lý bao gồm các thiết bị thuộc sở hữu cá nhân được nhân viên sử dụng cũng như thiết bị từ nhà cung cấp, đối tác bên thứ ba và các tổ chức bên ngoài khác.
Nhân viên có thể cảm thấy thoải mái hơn khi sử dụng các thiết bị cá nhân cho công việc và thậm chí tiết kiệm tiền cho công ty khi làm như vậy, nhưng có một sự đánh đổi tốn kém: Bảo mật.
Các thiết bị không được quản lý hoạt động ngoài tầm kiểm soát của tổ chức và có thể gây ra các lỗ hổng bảo mật và rủi ro tiềm ẩn cho mạng và dữ liệu. Bất chấp những lo ngại về bảo mật, các doanh nghiệp vẫn cho phép họ làm như vậy vì chúng làm tăng thêm giá trị cho doanh nghiệp. Chẳng hạn như:
- Giúp nhân viên duy trì năng suất khi không thể truy cập các thiết bị được quản lý.
- Tạo điều kiện thuận lợi cho việc hợp tác với các đối tác, nhà cung cấp và nhà thầu, những người đóng vai trò quan trọng đối với hoạt động của nhiều tổ chức.
Tuy nhiên, thực tế là các thiết bị ấy vẫn thường xuyên truy cập vào ứng dụng đám mây của công ty. Vì vậy, làm thế nào để bảo vệ dữ liệu trong các ứng dụng SaaS được phê duyệt như OneDrive, Salesforce, Google Workspace, Slack hoặc ServiceNow chính là mối quan tâm hàng đầu của nhóm bảo mật!
Ví dụ: Nếu một nhân viên hợp đồng đang truy cập tài liệu của công ty trên OneDrive từ một thiết bị cá nhân thì tổ chức cần đảm bảo rằng họ không tải xuống bất kỳ tài liệu kế hoạch hoặc thông tin nội bộ nhạy cảm nào. Hoặc, tổ chức muốn đảm bảo rằng một nhân viên trong nhóm Bán hàng sắp chuyển sang công ty khác không tải xuống dữ liệu báo cáo bán hàng hoặc thông tin liên hệ khách hàng từ Salesforce.
Để giải quyết những mối lo ngại này, các nhóm bảo mật đã sử dụng giải pháp Security Services Edge (SSE) để thực thi các biện pháp kiểm soát và bảo vệ khỏi các thiết bị không được quản lý. Cùng Mi2 tìm hiểu bên dưới bài viết này nhé!
Khám phá 04 biện pháp hàng đầu bảo vệ khỏi các thiết bị không được quản lý
Khả năng hiển thị và bảo vệ dữ liệu đối với các thiết bị không được quản lý đang truy cập các ứng dụng SaaS được phê duyệt
Khi nhân viên hoặc người dùng bên thứ ba truy cập vào ứng dụng của công ty thông qua các thiết bị không được quản lý, nhóm bảo mật muốn đảm bảo rằng có thể xem các hoạt động được thực hiện và một bản ghi các biện pháp kiểm soát của tổ chức đã áp dụng như thế nào đối với quyền truy cập này.
Một ví dụ như sau: việc phát hiện hành vi truy cập bất thường sẽ không bị cản trở chỉ vì một nhân viên không tiện truy cập vào máy tính xách tay của cô ấy đã quyết định sử dụng iPad cá nhân của mình để cập nhật bản trình bày trên SharePoint. Khách hàng sử dụng giải pháp Skyhigh Security SSE có khả năng hiển thị toàn diện về mọi hoạt động từ các thiết bị không được quản lý đến các ứng dụng của công ty nhờ tích hợp API, mà không phụ thuộc vào loại thiết bị.
Vì vậy, khách hàng có thể áp dụng các biện pháp kiểm soát toàn diện bao gồm:
- Chống thất thoát dữ liệu (DLP)
- Phân tích pháp y (thông qua khả năng quan sát các hoạt động)
- Phát hiện các mối đe dọa
- Xác định cấu hình sai
- Kiểm soát các ứng dụng được kết nối từ bên thứ ba.
Bằng cách cung cấp danh sách tích hợp API mở rộng nhất trên thị trường SSE, Skyhigh Security cho phép khách hàng áp dụng các biện pháp kiểm soát bảo mật này cho một loạt ứng dụng Phần mềm dưới dạng dịch vụ (SaaS) được phê chuẩn.
Skyhigh Security cung cấp danh sách tích hợp API mở rộng nhất trên thị trường SSE
Đọc thêm: Security Service Edge (SSE) là gì?
Chặn việc trích xuất dữ liệu của công ty từ các ứng dụng SaaS được phê duyệt sang các thiết bị không được quản lý
Mối lo ngại lớn nhất mà các nhóm bảo mật gặp phải khi các thiết bị không được quản lý truy cập vào các ứng dụng đám mây được công ty phê chuẩn là họ có thể tải dữ liệu xuống thiết bị, sau đó công ty mất toàn bộ quyền kiểm soát đối với những gì họ làm với dữ liệu.
Để ngăn chặn điều này, họ muốn áp dụng các biện pháp kiểm soát để ngăn tải xuống bất kỳ tệp nào nếu quyền truy cập đến từ một thiết bị không được quản lý. Vì vậy, người dùng có thể xem và chỉnh sửa tệp nhưng không thể tải xuống. Tuy nhiên, việc lấy cắp dữ liệu không phải lúc nào cũng xảy ra khi tải xuống; người dùng có thể trích xuất dữ liệu thông qua các phương tiện khác, chẳng hạn như sao chép-dán hoặc in. Vì vậy, những hành động này cũng cần phải được kiểm soát.
Khách hàng của Skyhigh Security có một giải pháp độc đáo để giải quyết vấn đề này. Sử dụng kết hợp Trình thực thi bảo mật truy cập đám mây (CASB) và Công nghệ cách ly trình duyệt từ xa (RBI), Skyhigh Security có thể chuyển hướng lưu lượng truy cập từ thiết bị không được quản lý sang phiên RBI và thực thi các biện pháp kiểm soát chi tiết nhằm ngăn chặn các hành động như tải lên, tải xuống, sao chép và in có thể lấy cắp dữ liệu nhạy cảm.
Đọc thêm: Trình thực thi bảo mật truy cập đám mây (CASB) là gì?
Ngăn chặn việc rò rỉ dữ liệu nhạy cảm từ các ứng dụng riêng tư
Các ứng dụng doanh nghiệp tự phát triển hoặc riêng tư đang ngày càng trở thành trọng tâm của các biện pháp kiểm soát bảo mật doanh nghiệp. Khi các doanh nghiệp đang tìm cách thực thi các biện pháp kiểm soát quyền truy cập Zero Trust, họ chỉ cho phép những người dùng cần quyền truy cập vào các ứng dụng này.
Trong nhiều trường hợp, các công ty cũng yêu cầu người dùng bên thứ ba truy cập vào các ứng dụng này. Vì chúng bao gồm các ứng dụng mua sắm, trả lương hoặc phát triển. Điều này yêu cầu tổ chức cần cho phép họ truy cập thông qua các thiết bị không được quản lý. Do đó cũng áp dụng các biện pháp bảo vệ cần thiết.
Khách hàng của Skyhigh Security sử dụng Skyhigh Private Access để áp dụng các biện pháp kiểm soát an toàn bao gồm kiểm soát truy cập và DLP. Đối với các thiết bị không được quản lý, khách hàng có thể sử dụng tùy chọn Clientless Access cho phép người dùng cuối xác thực và thiết lập kết nối an toàn tới các ứng dụng riêng tư chỉ bằng trình duyệt web. Các nhóm bảo mật cũng có tùy chọn chuyển hướng lưu lượng truy cập từ các thiết bị không được quản lý thông qua phiên RBI giống như với ứng dụng SaaS.
Với tùy chọn Clientless Private Access, quy trình cài đặt và quản lý phần mềm bổ sung sẽ bị loại bỏ, hợp lý hóa việc truy cập vào các tài nguyên quan trọng. Điều này giúp ích rất nhiều trong việc cung cấp quyền truy cập và kiểm soát các ứng dụng riêng tư cho người dùng trên các thiết bị không được quản lý.
Ngăn chặn tải phần mềm độc hại lên ứng dụng SaaS của công ty
Các thiết bị không được quản lý thường không có các biện pháp kiểm soát bảo mật cần thiết và yêu cầu người dùng tải xuống dữ liệu từ bất kỳ phương tiện truyền thông xã hội và ứng dụng không được kiểm soát nào. Khi các thiết bị này được sử dụng để tải tệp lên ứng dụng SaaS được công ty phê duyệt, thì việc lây nhiễm phần mềm độc hại có thể lây lan sang phiên bản đám mây và có khả năng lây lan sang các thiết bị được đồng bộ hóa.
Bằng cách đẩy lưu lượng truy cập từ các thiết bị không được quản lý vào phiên RBI, khách hàng của Skyhigh Security có thể thực hiện kiểm tra phần mềm độc hại toàn diện trên dữ liệu này để lọc ra mọi tệp có khả năng gây hại.
Nhu cầu cấp phép truy cập từ các thiết bị cá nhân của doanh nghiệp là rõ ràng, nhưng mối đe dọa bảo mật từ các thiết bị không được quản lý là có thật. Nghiên cứu gần đây cho thấy phần lớn nhân viên có hành vi nguy hiểm trên thiết bị di động cá nhân – 71% lưu trữ mật khẩu công việc nhạy cảm trên điện thoại của họ và 66% sử dụng ứng dụng nhắn tin cá nhân cho mục đích công việc.
71% nhân viên lưu trữ mật khẩu công việc nhạy cảm trên điện thoại cá nhân của họ.
Vì vậy, tổ chức/doanh nghiệp cần đảm bảo chống lại mối đe dọa này bằng cách áp dụng các biện pháp kiểm soát cần thiết. Để làm được điều này, các giải pháp SSE hàng đầu như Skyhigh Security để có thể cho phép nhân viên và đối tác truy cập các ứng dụng đám mây của công ty mà không ảnh hưởng đến các yêu cầu về bảo mật và tuân thủ.