Quản lý cấu hình trong bảo mật thông tin

Sự phức tạp và mối đe dọa ngày càng tăng

Cài đặt và cấu hình bảo mật không chính xác ẩn chứa những rủi ro khôn lường đối với bảo mật thông tin. Trước sự phức tạp ngày càng tăng của môi trường CNTT hiện đại, quản lý cấu hình - tức là định nghĩa, tài liệu, triển khai, giám sát và xem xét cấu hình bảo mật liên tục và có hệ thống - đang trở thành một nhiệm vụ đầy thách thức, mở rộng sang quản lý tuân thủ của một tổ chức.

Đối với người ngoài, cơ sở hạ tầng CNTT là một mạng lưới phức tạp, khó hiểu gồm các ứng dụng, thiết bị, thành phần mạng và dịch vụ, cho dù được lưu trữ nội bộ hay trên đám mây. Đặc biệt, việc sử dụng dịch vụ đã tăng lên đáng kể trong đại dịch coronavirus. Tuy nhiên, đối với các nhóm CNTT, việc định cấu hình một số lượng thành phần hệ thống, đồng thời liên tục giám sát và điểu chỉnh cấu hình của chúng, đồi hỏi khối lượng công việc khổng lồ, thường khiến nhân viên quá tải. Nếu không quản lý cấu hình có hệ thống, điều này có thể dẫn đến rủi ro bảo mật đáng kể và nguy cơ mất hoặc sử dụng sai dữ liệu (bao gồm cả dữ liệu cá nhân).

Nghiên cứu của Đức năm 2022 cho thấy 81% nhà quản lý an ninh thừa nhận lỗ hổng và sai sót cấu hình không xác định là nguyên  nhân gây ra các vấn đề bảo mật lớn nhất trong cơ sở hạ tầng của họ. Điều này co thấy mức độ phổ biến và nghiêm trọng của những sai sót này.  Bên cạnh đó, nghiên cứu  Pandemic Eleven , một nghiên cứu của Liên minh bảo mật đám mây về các lỗ hổng nghiêm trọng nhất của điện toán đám mây trong thời kỳ đại dịch, cấu hình sai cũng đứng ở vị trí thứ ba nổi bật.

Do sự phức tạp ngày càng tăng của hệ thống IT trong những năm gần đây, việcà phải tập trung  nhiều hơn đến quản lý cấu hình trong công nghệ thông tin là điều hoàn toàn hơp lý và tất yếu, ví dụ như trong bối cảnh truy cập trái phép. Vì vậy, Tiêu chuẩn ISO/IEC 27001 :2022 đã dành riêng một biện pháp kiểm soát bảo mật thông tin là một bước tiến tất yếu. 

Quản lý cấu hình theo tiêu chuẩn ISO 27001:2022

Phụ lục A được cơ cấu lại của ISO 27001 từ năm 2022 bao gồm 93 biện pháp (kiểm soát) bảo mật thông tin, trong đó có 11 biện pháp mới. Với bản cập nhật, các biện pháp kiểm soát này được sắp xếp theo chủ đề theo bốn phần:

• Biện pháp tổ chức
• Các biện pháp cá nhân
• Các biện pháp vật lý
• Biện pháp công nghệ

Quản lý cấu hình an toàn trong công nghệ thông tin thuộc lĩnh vực chủ đề của các biện pháp công nghệ hoặc kỹ thuật và được liệt kê trong Phụ lục A trong phần 8.9. Đây là một trong những công cụ phòng ngừa hỗ trợ cả ba mục tiêu bảo vệ an ninh thông tin (bảo mật, toàn vẹn và sẵn sàng).

Mẫu chuẩn

Việc xác định các mẫu tiêu chuẩn giúp các tổ chức hệ thống hóa việc quản lý cấu hình của mình. Trong quá trình phát triển này, các khía cạnh cơ bản sau đây cần được tính đến:

• Hướng dẫn có sẵn công khai, ví dụ từ nhà cung cấp hoặc cơ quan bảo mật độc lập
• Mức độ bảo vệ cần thiết để đảm bảo an ninh đầy đủ
• Hỗ trợ chính sách bảo mật thông tin nội bộ, hướng dẫn, tiêu chuẩn theo chủ đề cụ thể và các yêu cầu bảo mật khác
• Tính khả thi và khả năng áp dụng của các cấu hình trong bối cảnh của tổ chức

Các mẫu tiêu chuẩn đã phát triển cần được xem xét và cập nhật thường xuyên, đặc biệt khi cần giải quyết các mối đe dọa hoặc lỗ hổng mới hoặc khi các phiên bản phần mềm hoặc phần cứng mới được đưa vào tổ chức.

Ngoài ra còn có một số điểm khác cần xem xét khi tạo mẫu. Tất cả những điều này đều giúp ngăn chặn những thay đổi trái phép hoặc không chính xác đối với cấu hình:

• Giảm thiểu số lượng danh tính có quyền truy cập đặc quyền hoặc quản trị
• Vô hiệu hóa các danh tính không cần thiết, không được sử dụng hoặc không an toàn
• Vô hiệu hóa hoặc hạn chế các chức năng và dịch vụ không cần thiết
• Hạn chế quyền truy cập vào các tiện ích mạnh mẽ và cài đặt tham số máy chủ
• Đồng bộ hóa đồng hồ
• Thay đổi dữ liệu xác thực mặc định và mật khẩu mặc định của nhà sản xuất ngay sau khi cài đặt và kiểm tra các thông số quan trọng liên quan đến bảo mật
• Gọi các phương tiện hết phiên đăng nhập tự động đăng xuất thiết bị máy tính sau một thời gian không hoạt động nhất định
• Kiểm tra xem các yêu cầu về giấy phép có được đáp ứng hay không

Quản lý và giám sát cấu hình

Tất cả các cấu hình phải được ghi lại và các thay đổi được ghi lại một cách đáng tin cậy để loại trừ các cấu hình sai sau khi xảy ra sự cố. Thông tin này phải được lưu trữ an toàn, ví dụ như trong cơ sở dữ liệu cấu hình hoặc mẫu.

Tất cả các thay đổi được thực hiện theo Biện pháp kiểm soát 8.32 "Kiểm soát thay đổi", mô tả hướng dẫn thay đổi các nguyên tắc xử lý thông tin và hệ thống thông tin. Bản ghi cấu hình phải chứa tất cả thông tin cần thiết để theo dõi cả trạng thái của hệ thống hoặc tài sản CNTT cũng như mọi thay đổi được thực hiện đối với nó bất kỳ lúc nào. Điều này bao gồm, ví dụ, các thông tin sau

• Thông tin hiện tại về tài sản được đề cập - Ai là chủ sở hữu hoặc đầu mối liên hệ?
• Ngày thay đổi cấu hình gần đây nhất
• Phiên bản của mẫu cấu hình
• Các kết nối và mối quan hệ với cấu hình của các tài sản khác

Một bộ công cụ quản lý hệ thống toàn diện - như chương trình bảo trì, hỗ trợ từ xa, công cụ quản lý doanh nghiệp và phần mềm sao lưu và khôi phục - giúp giám sát và kiểm tra cấu hình thường xuyên. Với sự trợ giúp của những công cụ này, người quản lý có thể xác minh cài đặt cấu hình, đánh giá độ mạnh của mật khẩu và đánh giá các hoạt động được thực hiện.

Các trạng thái thực tế cũng có thể được so sánh với các mẫu mục tiêu đã xác định và có thể bắt đầu phản hồi thích hợp trong trường hợp có sai lệch - bằng cách tự động thực thi cấu hình mục tiêu đã xác định hoặc bằng cách phân tích thủ công độ lệch và các biện pháp khắc phục tiếp theo. Tự động hóa, ví dụ như thông qua cơ sở hạ tầng dưới dạng mã (cơ sở hạ tầng có thể lập trình), cho phép quản lý cấu hình bảo mật trong môi trường ảo hóa và điện toán đám mây một cách hiệu quả và an toàn.

Quản lý cấu hình trong bảo mật thông tin - Kết luận

Quản lý cấu hình trong bảo mật thông tin là một công cụ bảo mật quan trọng và góp phần lâu dài trong việc giảm đáng kể các lỗ hổng bảo mật do cấu hình sai gây ra. Cách tiếp cận có hệ thống của nó giúp giảm bớt gánh nặng cho các nhóm nội bộ và góp phần vận hành CNTT hiệu quả cũng như củng cố hệ thống và tính sẵn có của thông tin và dữ liệu bí mật. Ví dụ, những tác động tích cực đến việc bảo vệ dữ liệu cá nhân cũng rất rõ ràng.

Quản lý cấu hình cũng có thể được tích hợp vào quy trình quản lý tài sản và các công cụ liên quan. Việc quản lý tập trung các cài đặt bảo mật giúp có thể phản ứng nhanh chóng với các mối đe dọa và lỗ hổng mới về tính khả dụng của hệ thống và bảo vệ dữ liệu, từ đó giúp giảm thiểu các bề mặt tấn công tiềm ẩn trong hệ thống. Biện pháp kiểm soát bảo mật thông tin mới 8.9 của ISO 27001 mang lại sự đóng góp quan trọng về bảo mật cho các tổ chức và ban quản lý của họ.

Giá trị gia tăng này phải được các công ty, tổ chức thực hiện. Các yêu cầu từ Biện pháp kiểm soát 8.9 phải được so sánh với trạng thái hiện tại và được tối ưu hóa hơn nữa thông qua quy trình thay đổi được kiểm soát. Với hơn 35 năm kinh nghiệm chuyên môn về đánh giá và chứng nhận, chúng tôi là đối tác lý tưởng của bạn và có thể cung cấp cho bạn lời khuyên cũng như hỗ trợ về chủ đề bảo mật thông tin.

Bản cập nhật ISO 27001:2022 có ý nghĩa gì đối với chứng nhận của bạn?

ISO/IEC 27001:2022 được ban hành  vào ngày 25 tháng 10 năm 2022.

Điều này dẫn đến thời hạn và khoảng thời gian chuyển đổi sau đây cho người dùng

Ngày cuối cùng cho các cuộc đánh giá lần đầu/tái chứng nhận theo tiêu chuẩn ISO 27001 "cũ"

• Sau ngày 30/4/2024, DQS sẽ chỉ thực hiện đánh giá lần đầu và đánh giá chứng nhận lại theo tiêu chuẩn ISO/IEC 27001:2022 mới

Chuyển đổi toàn bộ chứng chỉ hiện có theo ISO/IEC 27001:2013 “cũ” sang phiên bản mới 2022

• Thời gian chuyển tiếp 3 năm áp dụng từ ngày 31/10/2022
• Các chứng chỉ được cấp theo tiêu chuẩn ISO/IEC 27001:2013 hoặc DIN EN ISO/IEC 27001:2017 có hiệu lực chậm nhất đến ngày 31 tháng 10 năm 2025 hoặc phải bị thu hồi vào ngày này

ISO/IEC 27001:2022 - An toàn thông tin, an ninh mạng và bảo vệ quyền riêng tư - Hệ thống quản lý an toàn thông tin - Yêu cầu

DQS - Lựa chọn Đơn giản Tối ưu Bảo mật

Các tổ chức vẫn còn thời gian để chuyển đổi sang phiên bản mới của ISO/IEC 27001. Các chứng chỉ hiện tại dựa trên tiêu chuẩn cũ sẽ mất hiệu lực vào ngày 31 tháng 10 năm 2025. Tuy nhiên, họ nên giải quyết các yêu cầu đã thay đổi đối với một Hệ thống quản lý bảo mật thông tin (ISMS) ở giai đoạn đầu, hãy bắt đầu các quy trình thay đổi phù hợp và triển khai chúng một cách phù hợp.

Với tư cách là chuyên gia trong đánh giá và chứng nhận với hơn ba thập kỷ kinh nghiệm, chúng tôi có thể hỗ trợ bạn triển khai ISO 27001:2022 mới. Hãy tìm hiểu từ nhiều chuyên gia giàu kinh nghiệm của chúng tôi về những thay đổi quan trọng nhất, cũng như mức độ liên quan của chúng đối với công ty của bạn - và đặt niềm tin vào chuyên môn của chúng tôi. Chúng tôi mong muốn được hợp tác với bạn.

Lòng tin và Chuyên môn

Các bài viết và sách trắng của chúng tôi được viết độc quyền bởi các chuyên gia về tiêu chuẩn hoặc các chuyên gia lâu năm. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc dịch vụ vui lòng liên hệ với chúng tôi.