Báo cáo Magic Quadrant™ 2023 của Gartner® về Quản lý Truy cập Đặc quyền

Theo báo cáo “Xu hướng bảo mật danh tính kỹ thuật số năm 2022 của IDSA”: 98% chuyên gia bảo mật đã báo cáo sự gia tăng đột biến số lượng danh tính mà họ quản lý, chủ yếu do việc áp dụng đám mây, mối quan hệ với bên thứ ba và danh tính máy mới. Danh tính kỹ thuật số là phương tiện cần thiết để truy cập phần mềm dưới dạng dịch vụ (SaaS) và các ứng dụng được lưu trữ trên đám mây. Hiện nay, việc sử dụng các dịch vụ như Google, Microsoft, Apple hoặc Facebook để đăng ký và xác thực danh tính kỹ thuật số vào tài nguyên của bên thứ ba là vô cùng phổ biến. Tuy nhiên, điều đó cũng khiến cho nguy cơ các cuộc tấn công ngày càng tăng và nhiều rủi ro tiềm tàng khác. Hãy cùng Mi2 và BeyondTrust tìm hiểu sâu hơn về danh tính kỹ thuật số và những phương pháp hay nhất để bảo vệ chúng nhé! Danh tính kỹ thuật số là gì? Danh tính kỹ thuật số (Digital Identity) thường được định nghĩa là mối quan hệ một - một giữa người dùng và...

Khi Varonis bắt đầu sứ mệnh bảo vệ dữ liệu doanh nghiệp vào năm 2005, Cloud chỉ mới bắt đầu hình thành. Những công ty tiên phong trong lĩnh vực SaaS như Salesforce đã cung cấp phần mềm qua internet, nhưng những nhà cung cấp lớn chuyên cung cấp nền tảng đám mây thậm chí vẫn chưa hề tồn tại. Dịch vụ Amazon Web Services (AWS) phải một năm sau mới được phát hành. App Engine của Google được ra mắt vào ba năm tiếp sau đó. Azure thì khoảng gần 5 năm sau đó. Tất cả quyền riêng tư và quy định đối với dữ liệu như CCPA, GDPR hoặc CMMC mà chúng ta hiện đang coi như điều hiển nhiên và quen thuộc, còn phải đợi thêm hàng thập kỷ nữa. Giờ đây - gần 20 năm kể từ khi Varonis ra đời, cách chúng ta tạo ra dữ liệu, sử dụng và bảo mật dữ liệu đã thay đổi đáng kể. Để đáp ứng những thách thức về bảo mật dữ liệu trong thế giới ưu tiên Cloud và mang lại trải nghiệm tốt nhất cho khách hàng, Varonis đã đầu tư một khoản tiền khổng lồ để...

Nghị định 13/2023/NĐ-CP - hay còn gọi là "Nghị định về bảo vệ dữ liệu cá nhân" đánh dấu một bước quan trọng trong việc bảo vệ thông tin cá nhân và đảm bảo an ninh mạng của Việt Nam. Được chính phủ thông qua vào ngày 17/4/2023 và có hiệu lực từ ngày 01/7/2023, Nghị định 13 là một phần trong chuỗi các biện pháp pháp lý nhằm tăng cường quản lý và bảo vệ thông tin cá nhân của công dân trong thời đại số hóa ngày càng phát triển. Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định này không chỉ đặt ra các yêu cầu cơ bản về bảo vệ dữ liệu cá nhân mà còn tập trung vào việc điều chỉnh các hoạt động liên quan đến an ninh mạng. Nó cung cấp các hướng dẫn chi tiết về việc bảo vệ thông tin cá nhân và các biện pháp đảm bảo an ninh mạng trong quá trình xử lý dữ liệu cá nhân. Ai cần phải tuân thủ? Nghị định...

Xếp hạng bảo mật (còn được gọi là xếp hạng an ninh mạng) là phép đo có thể định lượng về tình trạng bảo mật mạng của tổ chức. Từ đó, tổ chức dễ dàng đưa ra các quyết định sáng suốt dựa trên dữ liệu về hiệu suất bảo mật của tổ chức và nhà cung cấp bên thứ ba. Khi nền kinh tế dần chuyển từ môi trường vật lý sang môi trường kỹ thuật số, các tổ chức/doanh nghiệp cần cẩn thận cân nhắc khi hợp tác với các nhà cung cấp, đối tác và những người khác trong chuỗi cung ứng hoặc hệ sinh thái của họ - nhằm tránh ảnh hưởng đến dữ liệu/ứng dụng/tài sản số của doanh nghiệp. Hiện nay nhiều tổ chức/doanh nghiệp đang đặt câu hỏi: Điểm bảo mật tốt là như thế nào và làm thế nào để cải thiện điểm số ấy? Cùng Mi2 JSC và SecurityScorecard tìm hiểu về xếp hạng điểm số bảo mật cho tổ chức/doanh nghiệp nhé! SecurityScorecard cung cấp trình xếp hạng bảo mật từ A-F dễ hiểu dựa trên mười nhóm yếu tố rủi ro Xếp hạng an ninh mạng là gì? Xếp hạng bảo mật là...

Hiện nay, những kẻ đe dọa có thể tận dụng các công cụ AI như ChatGPT, PaLM 2 của Google, AI TensorFlow,... để hỗ trợ cho các cuộc tấn công mạng nhắm mục tiêu vào công nghệ vận hành (Operational Technology - OT) và các thiết bị không được quản lý. Trong bài viết hôm nay, Mi2 và Forescout sẽ nhấn mạnh lý do tại sao các tổ chức y tế & chăm sóc sức khỏe nên đặc biệt lo lắng về vấn đề này. Tình hình vi phạm dữ liệu trong lĩnh vực y tế & chăm sóc sức khỏe Ngày nay, khi các tổ chức y tế và chăm sóc sức khỏe ngày càng phát triển và dần phụ thuộc vào công nghệ thông tin y tế, họ cũng tăng khả năng tiếp xúc với các rủi ro an ninh mạng mới, chẳng hạn như các cuộc tấn công ransomware, phishing, SQL Injection,... Theo Verizon - một tập đoàn đa quốc gia của Mỹ về lĩnh vực truyền thông và mạng cho biết: Vi phạm dữ liệu trong lĩnh vực chăm sóc sức khỏe đang đạt mức cao nhất mọi thời đại. Cụ thể vào năm 2023, với 67% sự cố...

Khung MITRE ATT&CK là một tài nguyên công nghệ quan trọng! MITRE ATT&CK giúp tổ chức/doanh nghiệp đánh giá các biện pháp bảo mật một cách có hệ thống trước những mối đe dọa tiềm ẩn mà tổ chức có thể gặp phải.Hiểu được những điểm yếu trong tình hình bảo mật an ninh mạng hiện tại của tổ chức là bước cần thiết trong quá trình bảo vệ tài sản số của toàn bộ tổ chức. Vậy hãy cùng Mi2 JSC tìm hiểu một số trường hợp quan trọng cần ứng dụng khung MITRE ATT&CK khiến nó trở thành lựa chọn hấp dẫn trong kế hoạch bảo mật mạng dành cho các tổ chức/doanh nghiệp thuộc mọi quy mô. Mô hình MITRE ATT&CK là gì? MITRE ATT&CK - Adversarial Tactics, Techniques, and Common Knowledge là một khung làm việc được phát triển bởi tổ chức MITRE Corporation để mô tả các kỹ thuật, chiến thuật và kiến thức chung liên quan đến các cuộc tấn công của những thực thể độc hại (như hacker, malware, kẻ tấn công mạng) trong môi trường công nghệ thông tin của tổ chức/doanh nghiệp. Cụ thể, ATT&CK mô tả các "tactics" (chiến thuật) mà kẻ tấn công...

Theo báo cáo “Phân tích rủi ro và an ninh nguồn mở” (OSSRA) năm 2023 của Synopsys, 96% cơ sở mã mà Synopsys đánh giá vào năm 2022 chứa mã nguồn mở. Và trên thực tế, trong mỗi cơ sở mã có đến 76% mã nguồn là mã nguồn mở do Black Duck® Audit Services đã quét vào năm 2022. Mã nguồn mở sẽ tạo ra rủi ro không cần thiết cho các tổ chức nếu không được xử lý kịp thời. Điều đáng chú ý, có đến 84% cơ sở mã được quét chứa ít nhất một lỗ hổng mã nguồn mở đã biết và gần một nửa trong số đó (48%) chứa các lỗ hổng rủi ro cao (High-risk vulnerabilities). [gallery columns="2" link="none" size="medium" ids="5289,5290"] Lỗ hổng rủi ro cao là gì? Lỗ hổng rủi ro cao (viết tắt là High-risk vulnerabilities) là những điểm yếu trong phần mềm hoặc hệ thống mà nếu bị tấn công có thể gây ra hậu quả nghiêm trọng và tiềm ẩn nguy cơ lớn cho dự án hoặc hệ thống của tổ chức/doanh nghiệp. Những lỗ hổng bảo mật này thường cho phép tin tặc thực hiện các cuộc tấn công như thâm nhập vào...

Định nghĩa xác thực đa yếu tố Xác thực đa yếu tố (Multi-Factor Authentication - MFA) là một hình thức xác thực người dùng bằng cách yêu cầu họ cung cấp ít nhất hai hoặc nhiều yếu tố xác thực khác nhau để chứng minh danh tính của mình trước khi truy cập vào hệ thống hoặc tài khoản. Các yếu tố xác thực này bao gồm thông tin mật khẩu, mã xác thực tạm thời (OTP), dấu vân tay, xác nhận khuôn mặt và nhiều yếu tố khác. Khi kết hợp các yếu tố này, MFA mang lại một tầng bảo mật cao hơn, giúp ngăn chặn hiệu quả các cuộc tấn công đánh cắp thông tin hay tài khoản trái phép. Bối cảnh của xác thực đa yếu tố Trong hàng thập kỷ, những cuộc tấn công thành công chống lại  các phương pháp xác thực đơn yếu tố, như tên đăng nhập và mật khẩu, đang thúc đẩy một phong trào lớn và ngày càng gia tăng đối với các giải pháp xác thực đa yếu tố để đảm bảo an toàn hơn, trong doanh nghiệp và trên khắp các trang web. Xu hướng này được minh chứng bởi việc trong...

Trong kỷ nguyên của công nghệ đám mây ngày nay, việc sử dụng các dịch vụ và ứng dụng đám mây trở nên ngày càng phổ biến. Tuy nhiên, đi kèm với sự phát triển bùng nổ của điện toán đám mây là mối lo ngại về việc bảo mật lượng dữ liệu khổng lồ mà con người đang tạo ra. Để giải quyết vấn đề này, Trình Thực Thi Chính Sách Bảo Mật Truy Cập Đám Mây (Cloud Access Security Broker - gọi tắt là CASB) ra đời. CASB đã trở thành một phần quan trọng trong quá trình bảo mật an ninh mạng giúp tổ chức/doanh nghiệp sử dụng Cloud một cách an toàn đồng thời bảo vệ dữ liệu nhạy cảm của tổ chức, nhân viên, đối tác, khách hàng,... Trong bài viết này, hãy cùng Mi2 JSC tìm hiểu xem CASB là gì và nó hoạt động như thế nào trong hệ thống bảo mật của tổ chức/doanh nghiệp nhé! Trình thực thi chính sách bảo mật truy cập đám mây (CASB) Giới thiệu về Cloud Access Security Broker (CASB) CASB có thể là phần mềm lưu trữ trên đám mây hoặc phần mềm/phần cứng on-premises. CASB đóng vai trò...