Một doanh nghiệp có môi trường an ninh mạng tốt sẽ giúp bảo vệ an toàn dữ liệu hiệu quả. Nhưng vì nhiều lí do, việc truyền dữ liệu nhạy cảm an toàn giữa các thiết bị, giữa các phòng, văn phòng hoặc thậm chí giữa các quốc gia là rất cần thiết. Khi dữ liệu rời khỏi hệ sinh thái CNTT nội bộ của doanh nghiệp hoặc tổ chức, dữ liệu đó không còn được bảo vệ bởi tường lửa hoặc kiểm soát truy cập đã thiết lập trước đó. Kể cả là người dùng sử dụng cloud để trao đổi dữ liệu hay sử dụng các thiết bị lưu trữ di động như USB, ổ cứng hay SSD – phổ biến nhất là sử dụng cloud và USB.
Các lựa chọn thay thế và những thiếu sót của chúng
Có rất nhiều phương pháp để bảo mật dữ liệu, tuy có lợi thế về chi phí thấp hơn nhưng luôn đi kèm với những rủi ro riêng. Ví dụ, lưu trữ đám mây cung cấp khả năng tải lên và tải xuống nhanh chóng các tệp giữa các thiết bị bất kể khoảng cách vật lý, nhưng sự tiện lợi đó phải trả giá. Dữ liệu được chia sẻ thông qua các nhà cung cấp đám mây có thể dễ bị lộ trên các mạng WiFi không bảo mật và chính các nhà cung cấp đám mây đó có thể bị tấn công. Các doanh nghiệp buộc phải lựa chọn nhà cung cấp phù hợp và có khả năng bảo vệ đầy đủ chống lại các tấn công cũng như có khả năng phát hiện sớm, ngăn chặn vi phạm dữ liệu. Nhà cung cấp cloud phải áp dụng nhanh chóng, toàn diện các bản cập nhật bảo mật – một thách thức lớn đối với bất kỳ tổ chức CNTT nào.
Nói chung, thiết bị lưu trữ di động (chẳng hạn như ổ USB và SSD) có thể là một phương án rất an toàn để di chuyển dữ liệu, nhưng có những rủi ro đáng kể cần được giải quyết trước khi đặt niềm tin vào thiết bị lưu trữ di động. Nghiêm trọng nhất, các thiết bị USB bị mất hoặc bị đánh cắp có thể khiến dữ liệu nhạy cảm gặp rủi ro. Nếu dữ liệu được lưu trữ trực tiếp trên ổ đĩa mà không mã hóa, thì bất kỳ ai cắm thiết bị vào máy tính của họ đều có thể truy cập nội dung của nó. Nếu dữ liệu được lưu trữ trên thiết bị đã được mã hóa thì không thể truy cập dữ liệu đó ngay lập tức nhưng mức độ bảo mật tùy thuộc vào loại mã hóa.
Mã hóa phần cứng khác mã hóa phần mềm
Mã hóa có thể cung cấp khả năng bảo vệ vô hạn cho dữ liệu nhạy cảm, có vô số cách lưu trữ dữ liệu mã hóa trên bộ nhớ ngoài. Phương pháp ít tốn kém nhất là mã hóa dữ liệu trước khi lưu trữ trên USB thông thường. Đây là phương pháp lưu trữ an toàn hơn so với việc lưu trữ dữ liệu dạng bản rõ, tuy nhiên vẫn khiến dữ liệu dễ bị tin tặc xác định. Mặc dù không thể có được dữ liệu dễ dàng nhưng vẫn có khả năng đọc được từ việc tấn công Brute-force mật khẩu mã hóa.
Mã hóa phần cứng hoạt động khác nhau. Bộ xử lý mật mã được tích hợp trong thiết bị sẽ thực hiện mã hóa dữ liệu, thiết lập một lớp bảo vệ tích hợp và không thể phá bỏ thông qua tấn công vét cạn hoặc tắt thiết bị. Đây là lớp bảo vệ vĩnh viễn, trái ngược với các ổ đĩa được mã hóa bằng phần mềm, có thể bị xóa và định dạng lại để loại bỏ việc mã hóa.
Do các thành phần bảo mật trong ổ mã hóa phần cứng được cố định vào thiết bị nên chúng cung cấp bảo mật ở cả cấp độ mật mã và vật lý. Ổ đĩa được mã hóa bằng phần cứng cấp độ quân sự, cao cấp có thiết kế chống giả mạo sử dụng epoxy để ngăn chặn việc tháo gỡ các thành phần bên trong mà không làm hỏng chúng. Cấu trúc này bảo vệ các thành phần ổ đĩa được mã hóa khỏi bị truy cập thông qua quá trình tháo gỡ. Một số ổ đĩa có chip mã hóa đặc biệt có thể phát hiện các cuộc tấn công và xâm nhập và tự hủy hoặc xóa sạch dữ liệu được lưu trữ.
Mức độ bảo vệ mà mã hóa phần cứng cung cấp
Hầu hết các ổ đĩa mang dữ liệu được mã hóa không có cách tích hợp sẵn để theo dõi các lần đăng nhập, nghĩa là kẻ xấu đã đánh cắp hoặc tìm thấy ổ đĩa có thể chạy phần mềm bẻ khóa mật khẩu trên ổ đĩa. Các chương trình tấn công vét cạn có thể mở rộng quy mô từ chạy trên một máy tính đến khai thác sức mạnh của hàng nghìn máy tính thông qua kết nối mạng. Nhiều chương trình trong số này cũng có thể sử dụng GPU của card đồ họa mạnh mẽ. Kẻ xấu sử dụng các công cụ này có khả năng đoán hàng triệu mật khẩu chỉ trong vài giây và khoảng thời gian trước khi mật khẩu của một số dữ liệu được mã hóa bằng phần mềm bị bẻ khóa có thể tính bằng ngày hoặc giờ. Với ổ đĩa flash USB được mã hóa bằng phần cứng, bộ vi xử lý mật mã có thể theo dõi số lần đăng nhập đã thử và khi đạt đến ngưỡng, ổ đĩa có thể xóa khóa mã hóa của nó.
Mặc dù hầu hết các giao thức an ninh mạng đều tập trung vào việc ngăn chặn dữ liệu nhạy cảm bị rò rỉ, nhưng việc bảo vệ chống lại việc để dữ liệu lạ xâm nhập cũng quan trọng không kém. Tường lửa có thể cung cấp một số biện pháp ngăn chặn rủi ro này. Tuy nhiên việc cài đặt các giải pháp chống mã độc truyền thống không thể phát hiện một số dạng phần mềm độc hại phát tán qua bộ lưu trữ di động – như BadUSB khét tiếng. Phần mềm như Keylogger, gián điệp và ransomware có thể bị dưa vào hệ thống và phát tán trong mạng qua cách này.
USB được mã hóa bằng phần cứng có thể được thiết kế để ngăn chặn các loại tấn công này, vì chúng thường không thể bị tấn công bởi phần mềm độc hại. Mặc dù các thiết bị lưu trữ flash điển hình có thể bị ghi đè bí mật bằng phần mềm độc hại (ở cấp độ firmware hoặc cấp độ phần mềm), ổ USB được mã hóa bằng phần cứng được thiết kế tốt sẽ sử dụng chương trình cơ sở được ký số (sử dụng RSA 2048-bit) được kiểm tra bởi bộ xử lý mật mã. Nếu chương trình cơ sở không vượt qua quy trình kiểm tra chữ ký, bộ xử lý mật mã sẽ khiến ổ đĩa không hoạt động, vô hiệu hóa thiết bị một cách hiệu quả.
Giá trị của việc đầu tư vào mã hóa phần cứng
Các thiết bị có mã hóa phần cứng có giá cao hơn so với thiết bị lưu trữ không được mã hóa do chi phí của các thành phần và kỹ thuật tiên tiến. Trong một số trường hợp sử dụng, chênh lệch giá có vẻ cao, nhưng người mua thường không đánh giá được chi phí tuyệt đối của vi phạm dữ liệu hoặc tấn công ransomware. Sự khác biệt về giá cho một thiết bị được mã hóa bằng phần cứng chiếm một phần nhỏ so với chi phí phải trả cho một cuộc tư vấn vấn với luật sư sở hữu trí tuệ, chưa kể đến các vụ kiện cuối cùng và tiền phạt của chính phủ. Ổ USB được mã hóa bằng phần cứng cung cấp bảo hiểm chống vi phạm và phí bảo hiểm cho mỗi thiết bị rất thấp so với rủi ro mất dữ liệu qua mỗi và mọi ổ USB tiêu chuẩn vận chuyển dữ liệu nhạy cảm.
Có thể tránh được hoàn toàn các hậu quả tốn kém và gây tổn hại đến danh tiếng sau các vụ tấn công. Nếu một nhân viên làm mất ổ USB được mã hóa bằng phần cứng, các nhà lãnh đạo doanh nghiệp có thể yên tâm rằng dữ liệu được lưu trữ trên thiết bị đó không có nguy cơ bị rò rỉ nhờ mã hóa phần cứng chống hack được cung cấp. Ngoài khả năng bảo mật của bộ xử lý mật mã, nhiều ổ đĩa được mã hóa bằng phần cứng còn có các tính năng nâng cao như nhiều Mật khẩu hoặc mã PIN cho quản trị viên và người dùng, cũng như bàn phím vật lý hoặc màn hình cảm ứng để sử dụng độc lập với hệ điều hành bên ngoài hệ sinh thái Windows/macOS/Linux. Các tính năng này cải thiện trải nghiệm người dùng và cung cấp tính linh hoạt, nhưng tất cả chúng đều hỗ trợ bảo mật cơ bản, cố định vốn có của thiết bị được mã hóa bằng phần cứng.
Sự khác biệt về chi phí giữa thiết bị lưu trữ thông thường với một thiết bị được mã hóa phần cứng có cùng dung lượng có thể khiến cho các thiết bị này trông có vẻ cao cấp và chỉ phù hợp với những người chuyên dùng – tuy nhiên thực tế là các tổ chức có nguy cơ phải gánh chịu hậu quả lớn hơn gấp nhiều lần do phụ thuộc vào thiết bị lưu trữ thông thường. Lợi ích của ổ mã hóa vượt xa sự so sánh đơn giản về tính năng phong phú và “an toàn hơn”. Các thiết bị này bảo vệ dữ liệu theo một cách cơ bản khác cung cấp mức độ bảo mật nâng cao đến mức các thiết bị bị mất không còn khiến dữ liệu nhạy cảm gặp rủi ro nữa. Việc đầu tư vào các thiết bị được mã hóa bằng phần cứng sẽ bảo vệ chống lại các mối đe dọa trên mạng có thể khiến các tổ chức phải trả hàng triệu đô la. Trong một môi trường có số lượng các cuộc tấn công mạng ngày càng leo thang, mã hóa phần cứng không phải là một thứ xa xỉ mà là một mức độ bảo vệ cần thiết. Hãy nghĩ về nó như một bảo hiểm chống mất dữ liệu.
Nguồn: https://www.securitymagazine.com/