I. Tổng Quan Về Quản Lý Truy Cập Đặc Quyền CyberArk
Ngày nay, các tổ chức dành nhiều nguồn lực cho an toàn bảo mật hệ thống CNTT. Các hình thức tấn công ngày càng tinh vi, gây khó khăn trong việc phát hiện và ngăn chặn mối nguy hại. Các tài khoản đặc quyền là chìa khóa cho mọi hoạt động. Việc quản lý và giám sát các tài khoản này cực kỳ quan trọng. Các tài khoản đặc quyền do người dùng nắm giữ là mục tiêu chính của các cuộc tấn công vi phạm dữ liệu. Việc bảo vệ chống vi phạm dữ liệu, quyền riêng tư người dùng là một cuộc chiến dai dẳng. Rủi ro tiềm ẩn, nguy cơ trộm cắp dữ liệu luôn rình rập trên môi trường mạng. Lộ lọt dữ liệu đã trở thành cuộc đấu tranh hàng ngày của doanh nghiệp và là thách thức thường trực cho chuyên gia an toàn thông tin mạng. Đề án này nghiên cứu và đánh giá giải pháp quản lý truy cập đặc quyền CyberArk.
1.1. Tầm Quan Trọng Của Quản Lý Tài Khoản Đặc Quyền
Trong tổ chức, mỗi người có thể quản lý từ vài đến hàng trăm hệ thống, mỗi hệ thống được kiểm soát bởi tài khoản đặc quyền. Các tài khoản này chính là chìa khóa cho mọi hoạt động. Theo dõi mọi hoạt động của các loại tài khoản đặc quyền sẽ làm giảm thiểu nguy cơ bảo mật và cung cấp các quy định để đảm bảo quá trình hoạt động của tổ chức liên tục. Quản lý không tốt các tài khoản này dẫn đến nguy cơ về an ninh, an toàn hệ thống và mất thời gian tiếp cận thông tin phục vụ điều hành, kinh doanh trong tổ chức.
1.2. Các Phương Pháp Tấn Công Nhắm Vào Tài Khoản Đặc Quyền
Các cuộc tấn công thường bắt nguồn từ bên ngoài tổ chức, được khởi xướng bởi tác nhân đe dọa bên ngoài. Kẻ tấn công thường thực hiện chiến dịch thông qua tấn công cấu hình sai tài nguyên với các tài khoản đặc quyền bị xâm phạm, hoặc khởi động cuộc tấn công lừa đảo để xâm phạm quyền của người dùng hệ thống và thiết lập một vị trí ẩn bên trong một môi trường. Mục tiêu là làm xuất hiện các mối đe dọa trong hệ thống mà vô hình dưới hệ thống phòng thủ an ninh và duy trì một sự hiện diện dai dẳng.
II. Phân Tích Các Vấn Đề Quản Lý Truy Cập Đặc Quyền Hiện Tại
Các tổ chức CNTT lớn có số lượng đáng kể các tài khoản đặc quyền. Các hệ thống có thể chứa hàng nghìn máy chủ, hàng trăm thiết bị mạng. Hầu hết quyền truy cập vào hệ thống cần tài khoản dựa vào tên người dùng và mật khẩu. Việc quản lý các tài khoản này rất quan trọng. Người dùng có thể truy cập tài nguyên hệ thống mà không cần bất kỳ giám sát và hạn chế. Nếu một tài khoản người dùng với đặc quyền không giới hạn bị xâm phạm, nó sẽ cung cấp cho kẻ tấn công truy cập vào hệ thống quan trọng và dữ liệu nhạy cảm. Năm 2019, số vụ vi phạm dữ liệu ở Hoa Kỳ lên tới 1.473, và khoảng 80% trường hợp vi phạm liên quan đến các tài khoản đặc quyền cao bị xâm phạm.
2.1. Các Lỗi Kiểm Soát Và Nguy Cơ An Ninh
Các tài khoản đặc quyền chính là chìa khóa cho mọi hoạt động truy cập đến các hệ thống của tổ chức. Việc quản lý yếu kém dẫn đến lỗi kiểm soát, loại bỏ các mật khẩu không được thay đổi và không được kiểm soát để tuân thủ quy định (ví dụ: PCI DSS, Basel II, ISO 27001…). Nguy cơ từ chính bên trong tổ chức cũng rất lớn. Ví dụ, nhân viên IT không được thưởng công xứng đáng có thể gây ra tổn thất lớn cho tổ chức.
2.2. Mất Năng Suất Do Quản Lý Mật Khẩu Thủ Công
Mật khẩu được thiết lập thủ công bởi nhân viên IT, người không thông báo cho đồng nghiệp, có thể gây chậm trễ trong việc tiếp cận thông tin phục vụ điều hành, kinh doanh. Với các tổ chức lớn, có hàng trăm thiết bị mạng, máy chủ thì sẽ tốn rất nhiều thời gian để khắc phục sự cố. Do đó, người quản lý hệ thống chỉ giám sát được log truy cập vào các thiết bị, máy chủ hệ thống, không giám sát được các tác động đến hệ thống dịch vụ, không lưu được log các tác động này.
2.3. Phương Thức Truy Cập Hệ Thống Dịch Vụ Phổ Biến
Các kết nối từ người quản trị tới các hệ thống dịch vụ có thể được chia theo 2 hình thức: Kết nối trực tiếp thông qua PC có kết nối trực tiếp tới các máy chủ, thiết bị trong hệ thống doanh nghiệp và Kết nối từ xa, người quản trị sử dụng các công cụ VPN từ Internet vào nội bộ hệ thống, từ đó kết nối tới các máy chủ, thiết bị trong doanh nghiệp. Việc quản lý kết nối đa số đều thực hiện thông qua các yếu tố như chính sách của tường lửa, nội bộ hệ thống, thông tin khai báo VPN, ….
III. Cách Giải Quyết Bằng CyberArk PAM Privileged Access
Các nghiên cứu cho thấy nhiều tổ chức không bảo vệ được tài khoản đặc quyền cao. Các tài khoản này có thể bị hack dễ dàng, dẫn đến vi phạm dữ liệu. Các tổ chức tìm kiếm một dịch vụ có thể giúp quản lý tất cả các tài khoản đặc quyền cao bên trong một giải pháp. Vì vậy, cần có giải pháp quản lý tài khoản đặc quyền cao để dễ dàng quản trị viên trong việc xử lý các tài khoản đặc quyền cao. Giải pháp CyberArk PAM giúp quản lý và giám sát các tài khoản đặc quyền, giảm thiểu các rủi ro về an ninh thông tin như đánh cắp thông tin do người sử dụng tài khoản đặc quyền lạm dụng quyền truy cập.
3.1. PAM Privileged Access Management Là Gì
Quản lý truy cập đặc quyền (PAM) là một lĩnh vực của ngành bảo mật CNTT. Nó cung cấp các dịch vụ kiểm soát, quản lý và báo cáo về mức độ đặc quyền của người dùng (quản trị viên hệ thống) truy cập hệ thống hoặc tài nguyên, thông qua một tập hợp các chức năng và quy trình bảo mật. Mục tiêu chính của PAM là giữ cho tổ chức, doanh nghiệp an toàn khỏi hoặc cố tình bị lạm dụng thông tin xác thực và quyền truy cập đặc quyền.
3.2. Kiến Trúc Và Chức Năng Của PAM Trong CyberArk
Với kiến trúc PAM, người quản trị có thể quản lý và giám sát các tài khoản đặc quyền, giảm thiểu các rủi ro về an ninh thông tin như đánh cắp thông tin do người sử dụng tài khoản đặc quyền lạm dụng quyền truy cập. Giải pháp PAM CyberArk giúp kiểm soát, quản lý và báo cáo về mức độ đặc quyền của người dùng (quản trị viên hệ thống) truy cập hệ thống hoặc tài nguyên, thông qua một tập hợp các chức năng và quy trình bảo mật.
IV. Tìm Hiểu Hệ Thống Quản Lý Truy Cập Đặc Quyền CyberArk
Ngày nay, các tổ chức, doanh nghiệp dành nhiều thời gian và tiền bạc cho công tác đảm bảo an toàn bảo mật cho các hệ thống công nghệ thông tin của đơn vị. Có rất nhiều hình thức tấn công đang ngày càng tinh vi và gây nhiều khó khăn cho các tổ chức để phát hiện và ngăn chặn các mối nguy hại từ bên ngoài và bên trong. Với một tổ chức, doanh nghiệp lớn, có thể có hàng ngàn con người và mỗi một người có thể quản lý từ một vài đến hàng trăm hệ thống. Mỗi hệ thống đều được kiểm soát bởi các tài khoản đặc quyền. Có thể nói rằng tài khoản đặc quyền chính là chìa khóa cho mọi hoạt động của tổ chức, việc quản lý và giám sát các tài khoản này là cực kỳ quan trọng. Bên cạnh đó, các tài khoản đặc quyền do người dùng nắm giữ là mục tiêu chính của các cuộc tấn công vi phạm dữ liệu. Việc bảo vệ chống vi phạm dữ liệu, quyền riêng tư của người dùng là một cuộc chiến dai dẳng và không dễ dàng khi chúng ta chuyển sang nền kinh tế số, chính phủ số. Những rủi ro tiềm ẩn, nguy cơ trộm cắp dữ liệu luôn rình rập trên môi trường mạng. Các vấn đề an ninh liên quan đến lộ lọt dữ liệu đã trở thành cuộc đấu tranh hàng ngày của các doanh nghiệp, và là thách thức thường trực cho các chuyên gia an toàn thông tin mạng. Vì vậy, nhận thấy tính thiết thực của đề án, học viên xin chọn hướng nghiên cứu “Nghiên cứu và đánh giá giải pháp quản lý truy cập đặc quyền CyberArk” làm đề án tốt nghiệp thạc sỹ của mình.
4.1. Các Thành Phần Và Tính Năng Chính Của CyberArk
Giải pháp CyberArk bao gồm các thành phần như: Enterprise Password Vault (EPV) - Máy chủ Vault, Central Policy Manager (CPM) - Trung tâm quản lý chính sách, Privileged Session Manager (PSM) - Quản lý phiên đặc quyền và Password Vault Web Access (PWVA) - Cổng truy cập Web. Các tính năng chính bao gồm: Quản lý mật khẩu, Kiểm soát truy cập, Giám sát phiên, Báo cáo và kiểm toán.
4.2. Nguyên Lý Hoạt Động Và Cơ Chế Bảo Mật CyberArk
Giải pháp hoạt động dựa trên nguyên lý Vaulting, bảo vệ mật khẩu trong kho lưu trữ an toàn. Truy cập được kiểm soát thông qua chính sách. Phiên làm việc được giám sát và ghi lại. CyberArk áp dụng các cơ chế bảo mật như mã hóa, xác thực đa yếu tố (Multi-Factor Authentication - MFA), và kiểm soát truy cập dựa trên vai trò (Role Based Access Control - RBAC).
V. Triển Khai Đánh Giá Giải Pháp CyberArk Hướng Dẫn Chi Tiết
Chương 3 của đề án tập trung vào việc xây dựng và đánh giá giải pháp quản lý truy cập đặc quyền CyberArk. Mô hình triển khai thử nghiệm được xây dựng. Các kịch bản triển khai được thực hiện. Hệ thống được vận hành thử nghiệm và đánh giá kết quả thu được. Mục tiêu là chứng minh hiệu quả của giải pháp trong việc bảo vệ tài khoản đặc quyền.
5.1. Mô Hình Triển Khai Thử Nghiệm CyberArk Thực Tế
Mô hình triển khai thử nghiệm bao gồm các thành phần chính của CyberArk: Vault, CPM, PSM và PVWA. Các hệ thống đích được cấu hình để tích hợp với CyberArk. Người dùng được tạo và phân quyền. Các chính sách mật khẩu được thiết lập.
5.2. Vận Hành Thử Nghiệm Và Đánh Giá Hiệu Quả CyberArk
Hệ thống được vận hành thử nghiệm với các kịch bản khác nhau: truy cập tài khoản đặc quyền, thay đổi mật khẩu, giám sát phiên làm việc. Kết quả thu được cho thấy CyberArk giúp kiểm soát truy cập, bảo vệ mật khẩu và giám sát phiên làm việc hiệu quả.
VI. Kết Luận Hướng Phát Triển Nghiên Cứu Về CyberArk
Đề án đã nghiên cứu và đánh giá giải pháp quản lý truy cập đặc quyền CyberArk. Kết quả cho thấy CyberArk là một giải pháp hiệu quả trong việc bảo vệ tài khoản đặc quyền. Tuy nhiên, vẫn còn nhiều hướng phát triển nghiên cứu tiếp theo: Tích hợp CyberArk với các hệ thống khác, Tự động hóa quy trình quản lý tài khoản, Sử dụng trí tuệ nhân tạo để phát hiện các hành vi bất thường.
6.1. Tóm Tắt Kết Quả Nghiên Cứu Về Giải Pháp CyberArk PAM
Giải pháp CyberArk giúp quản lý và giám sát các tài khoản đặc quyền, giảm thiểu các rủi ro về an ninh thông tin như đánh cắp thông tin do người sử dụng tài khoản đặc quyền lạm dụng quyền truy cập. Việc triển khai thử nghiệm CyberArk cho thấy khả năng kiểm soát truy cập, bảo vệ mật khẩu và giám sát phiên làm việc hiệu quả.
6.2. Hướng Nghiên Cứu Và Ứng Dụng CyberArk Trong Tương Lai
Hướng nghiên cứu trong tương lai có thể tập trung vào việc tích hợp CyberArk với các hệ thống khác (ví dụ: SIEM), tự động hóa quy trình quản lý tài khoản và sử dụng trí tuệ nhân tạo để phát hiện các hành vi bất thường. Cần tập trung vào DevOps Security, Cloud Security và Hybrid Cloud Security.
