Đẩy mạnh an ninh ứng dụng đám mây: 04 biện pháp bảo vệ khỏi các thiết bị không được quản lý
+

Đẩy mạnh an ninh ứng dụng đám mây: 04 biện pháp bảo vệ khỏi các thiết bị không được quản lý
02/10/2023 11:05

​​Trong thế giới làm việc từ xa sau đại dịch Covid, các nhóm bảo mật doanh nghiệp vẫn luôn tìm cách mở rộng biện pháp bảo mật qua nhiều hướng khác nhau. Một trong số ấy đang nhận được nhiều sự quan tâm liên quan đến các thiết bị không được quản lý: Khả năng kiểm soát các loại thiết bị truy cập vào tài nguyên dữ liệu của công ty!  Phần lớn thiết bị truy cập vào tài sản số của tổ chức là các thiết bị được quản lý như máy tính/ điện thoại/ máy tính bảng do tổ chức cung cấp và kiểm soát. Các thiết bị được quản lý tuân thủ các chính sách và tiêu chuẩn của tổ chức, cho phép quản lý tập trung, kiểm soát bảo mật và cập nhật phần mềm. Từ đó đảm bảo mức độ bảo mật cao hơn. Nhưng trong những năm gần đây, tỷ lệ lưu lượng truy cập đến từ các thiết bị không được quản lý đang tăng lên đều đặn, làm dấy lên mối lo ngại về bảo mật hơn bao giờ hết. Tình hình thực tế Nghiên cứu gần đây chỉ ra rằng việc mang theo thiết...
Read more >
“Xếp hạng” Bảo hiểm phần mềm có thể hưởng lợi từ Xếp hạng Bảo mật
+

“Xếp hạng” Bảo hiểm phần mềm có thể hưởng lợi từ Xếp hạng Bảo mật
20/09/2023 08:00

Vào ngày 12 tháng 5 năm 2021, Tổng thống Biden đã ban hành một sắc lệnh hành pháp (EO) nhằm tăng cường tính minh bạch trong chuỗi cung ứng phần mềm thông qua các phương pháp tốt nhất được đề xuất và một chương trình thí điểm ghi nhãn sản phẩm phần mềm dành cho tiêu dùng nhằm cải thiện đảm bảo về phần mềm. Sau khi các hacker tấn công vào hệ thống mạng của Colonial Pipene, bao gồm cả ransomware, có một sự lo ngại rất lớn về sự an toàn của phần mềm hỗ trợ cơ sở hạ tầng quan trọng của các tổ chức. Đã đến lúc, Tổng thống phải đưa ra hành động. Executive Order (EO) chủ yếu tập trung vào việc cải thiện tính bảo mật của phần mềm được sử dụng bởi chính phủ liên bang. Mặt khác, nó cũng chỉ đạo cơ quan quản lý phát triển một tập hợp các phương pháp tốt nhất trong việc phát triển mã nguồn. Thông qua công ty SecurityScorecard – chuyên về xếp hạng  bảo mật hàng đầu thế giới – chúng tôi biết rằng để thành công, chính phủ cần phải tập trung vào việc...
Read more >
KHÁM PHÁ: Chương trình kiểm tra bảo mật ứng dụng có gì hay?
+

KHÁM PHÁ: Chương trình kiểm tra bảo mật ứng dụng có gì hay?
18/09/2023 11:00

Chương trình kiểm tra bảo mật ứng dụng là gì? "Chương trình kiểm tra bảo mật ứng dụng" là một quy trình nhằm phát hiện và xử lý các rủi ro bảo mật đối với mỗi ứng dụng máy tính trong tổ chức. Điều này bao gồm việc xác định và giải quyết mối đe dọa, sự cố và những vấn đề ảnh hưởng đến ứng dụng nội bộ cũng như bên ngoài tổ chức, và các giao diện lập trình ứng dụng (API). Trong bối cảnh các vụ vi phạm bảo mật ngày càng nhiều và các cơ quan chính phủ đặt ra những quy định đối vấn đề này, nhiều tổ chức đã quyết định triển khai "Chương trình kiểm tra bảo mật ứng dụng" để có cái nhìn chi tiết hơn về các rủi ro có thể đang tồn tại. Bảo mật ứng dụng đòi hỏi sự hợp tác chặt chẽ giữa các bộ phận trong công ty, từ các nhóm bảo mật, phát triển phần mềm, đến người làm kiểm toán, quản lý cấp cao và các bộ phận kinh doanh khác. Để đạt được kết quả tốt nhất, tổ chức nên tích hợp bảo mật ứng dụng từ...
Read more >
Những khó khăn khi tích hợp AppSec cho DevOps │ Đâu là giải pháp?
+

Những khó khăn khi tích hợp AppSec cho DevOps │ Đâu là giải pháp?
16/09/2023 10:30

Trong bối cảnh các phần mềm đang phát triển ngày càng nhanh chóng, DevOps đã trở thành lựa chọn hàng đầu khi các tổ chức muốn tăng tốc quá trình triển khai ứng dụng của họ. Việc tích hợp Bảo mật ứng dụng (AppSec) cho DevOps là vô cùng quan trọng nhằm thiết lập các tiêu chuẩn an ninh đồng nhất và có kiểm soát, tối ưu hoá khả năng tự động và đảm bảo hỗ trợ tốt nhất cho các nhóm bảo mật. Tuy nhiên, để đảm bảo tính bảo mật của các ứng dụng trong môi trường DevOps không phải là điều dễ dàng. Trong bài viết này, hãy cùng Mi2 JSC tìm hiểu những khó khăn khi tích hợp AppSec cho DevOps, cũng như các giải pháp tiềm năng để giải quyết chúng một cách hiệu quả! Những khó khăn khi tích hợp AppSec cho DevOps Quy trình và luồng làm việc của DevOps rất đa dạng và phức tạp Một trong những thách thức khi tích hợp AppSec cho DevOps là tính đa dạng và phức tạp của các quy trình và luồng làm việc (pipeline) trong DevOps. Các ứng dụng khác nhau có các yêu cầu khác nhau, tất...
Read more >
Chìa khoá tạo nên Văn Hoá Bảo Mật mạnh mẽ trong tổ chức
+

Chìa khoá tạo nên Văn Hoá Bảo Mật mạnh mẽ trong tổ chức
14/09/2023 16:30

Khái niệm văn hóa bảo mật đang ngày càng phổ biến trong các tổ chức, thường xuất hiện trong các cuộc trò chuyện giữa những chuyên gia về an ninh và trên các phương tiện truyền thông đại chúng. Tuy nhiên định nghĩa của thuật ngữ này chưa thực sự rõ ràng và còn thiếu những hướng dẫn cụ thể về cách bắt đầu xây dựng một văn hóa bảo mật tích cực. Các tổ chức chỉ mới chớm những ý tưởng mơ hồ về mức độ văn hóa bảo mật mà họ cần và cách thức thực hiện nó. Bài viết này cung cấp cái nhìn tổng quan về cách bắt đầu xây dựng văn hóa bảo mật tích cực trong tổ chức của bạn. Bạn biết không, sự thay đổi văn hóa không xảy ra chỉ sau một đêm, bởi điều này đòi hỏi sự tập trung và kiên nhẫn. Và một khi văn hóa an toàn thông tin được thiết lập vững chắc, thì công tác duy trì sẽ dễ dàng hơn, các nhân viên mới sẽ hòa nhập và gắn bó với nó nhanh hơn. Chúng ta thường có thói quen học hỏi các hành vi từ môi...
Read more >
Danh tính kỹ thuật số là gì – Làm thế nào để bảo vệ danh tính kỹ thuật số?
+

Danh tính kỹ thuật số là gì – Làm thế nào để bảo vệ danh tính kỹ thuật số?
12/09/2023 09:00

Theo báo cáo “Xu hướng bảo mật danh tính kỹ thuật số năm 2022 của IDSA”: 98% chuyên gia bảo mật đã báo cáo sự gia tăng đột biến số lượng danh tính mà họ quản lý, chủ yếu do việc áp dụng đám mây, mối quan hệ với bên thứ ba và danh tính máy mới. Danh tính kỹ thuật số là phương tiện cần thiết để truy cập phần mềm dưới dạng dịch vụ (SaaS) và các ứng dụng được lưu trữ trên đám mây. Hiện nay, việc sử dụng các dịch vụ như Google, Microsoft, Apple hoặc Facebook để đăng ký và xác thực danh tính kỹ thuật số vào tài nguyên của bên thứ ba là vô cùng phổ biến. Tuy nhiên, điều đó cũng khiến cho nguy cơ các cuộc tấn công ngày càng tăng và nhiều rủi ro tiềm tàng khác. Hãy cùng Mi2 và BeyondTrust tìm hiểu sâu hơn về danh tính kỹ thuật số và những phương pháp hay nhất để bảo vệ chúng nhé! Danh tính kỹ thuật số là gì? Danh tính kỹ thuật số (Digital Identity) thường được định nghĩa là mối quan hệ một - một giữa người dùng và...
Read more >
Các khuôn khổ khôi phục mạng phổ biến nhất cần biết
+

Các khuôn khổ khôi phục mạng phổ biến nhất cần biết
10/09/2023 20:00

Khuôn khổ khôi phục mạng giúp tổ chức chuẩn bị và bảo vệ hệ thống thông tin khỏi các cuộc tấn công mạng, cung cấp hướng dẫn về cách ứng phó, phục hồi và thích nghi sau khi xảy ra sự cố, như tấn công mạng - có thể làm gián đoạn hoạt động kinh doanh hoặc đe dọa tính ổn định của tổ chức. Nhưng hiện có những khuôn khổ khôi phục mạng nào? Chúng cung cấp những gì? Và làm thế nào các khuôn khổ khôi phục mạng liên quan với các nguồn tài liệu chuyên sâu như cơ sở kiến thức MITRE ATT&CK? Mời bạn khám phá bài viết để có câu trả lời cho những câu hỏi quan trọng này và những câu hỏi khác về việc triển khai một khuôn khổ khôi phục mạng trong tổ chức của bạn. Khả năng khôi phục mạng là gì? Trước khi tìm hiểu các khuôn khổ khôi phục mạng, hãy xem xét về khái niệm khôi phục mạng là gì và nó khác biệt như thế nào so với bảo mật mạng. Bảo mật tập trung vào ngăn chặn các cuộc tấn công mạng, các sự cố bảo mật và giảm thiểu thiệt...
Read more >
ISO 27001 là gì? Mọi điều cần biết về ISO 27001:2022
+

ISO 27001 là gì? Mọi điều cần biết về ISO 27001:2022
08/09/2023 07:00

ISO 27001, còn được gọi là ISO/IEC 27001, là một tiêu chuẩn quốc tế được công nhận rộng rãi, xác định các phương pháp thực tiễn tốt nhất để triển khai và quản lý bảo mật thông tin cho Hệ thống Quản lý an ninh thông tin hay còn gọi là ISMS.  Tiêu chuẩn này dựa trên nguyên tắc quản lý rủi ro đã được công bố bởi ủy ban kỹ thuật chung gồm Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) vào năm 2005 và đã được sửa đổi từ đó, bao gồm sửa đổi vào năm 2013 và mới nhất là năm 2022. Phiên bản này, được phát hành vào tháng 10, được biết đến với tên ISO 27001:2022.  Hãy cùng Mi2 JSC tìm hiểu bài viết dưới đây để hiểu biết đầy đủ thông tin cần biết về ISO 27001. ISO 27001 dành cho ai? Mặc dù tiêu chuẩn này không bắt buộc, nhưng nó được xem là phương pháp tốt nhất cho bất kỳ tổ chức nào mong muốn bảo vệ dữ liệu quan trọng của mình và tuân thủ các luật và quy định bảo vệ dữ liệu đang thay...
Read more >
Varonis trên Cloud: Xây dựng một nền tảng bảo mật dữ liệu an toàn và mở rộng
+

Varonis trên Cloud: Xây dựng một nền tảng bảo mật dữ liệu an toàn và mở rộng
06/09/2023 14:00

Khi Varonis bắt đầu sứ mệnh bảo vệ dữ liệu doanh nghiệp vào năm 2005, Cloud chỉ mới bắt đầu hình thành. Những công ty tiên phong trong lĩnh vực SaaS như Salesforce đã cung cấp phần mềm qua internet, nhưng những nhà cung cấp lớn chuyên cung cấp nền tảng đám mây thậm chí vẫn chưa hề tồn tại. Dịch vụ Amazon Web Services (AWS) phải một năm sau mới được phát hành. App Engine của Google được ra mắt vào ba năm tiếp sau đó. Azure thì khoảng gần 5 năm sau đó. Tất cả quyền riêng tư và quy định đối với dữ liệu như CCPA, GDPR hoặc CMMC mà chúng ta hiện đang coi như điều hiển nhiên và quen thuộc, còn phải đợi thêm hàng thập kỷ nữa. Giờ đây - gần 20 năm kể từ khi Varonis ra đời, cách chúng ta tạo ra dữ liệu, sử dụng và bảo mật dữ liệu đã thay đổi đáng kể. Để đáp ứng những thách thức về bảo mật dữ liệu trong thế giới ưu tiên Cloud và mang lại trải nghiệm tốt nhất cho khách hàng, Varonis đã đầu tư một khoản tiền khổng lồ để...
Read more >
Nghị định 13 về Bảo vệ Dữ liệu Cá nhân đã được ban hành
+

Nghị định 13 về Bảo vệ Dữ liệu Cá nhân đã được ban hành
04/09/2023 10:00

Nghị định 13/2023/NĐ-CP - hay còn gọi là "Nghị định về bảo vệ dữ liệu cá nhân" đánh dấu một bước quan trọng trong việc bảo vệ thông tin cá nhân và đảm bảo an ninh mạng của Việt Nam. Được chính phủ thông qua vào ngày 17/4/2023 và có hiệu lực từ ngày 01/7/2023, Nghị định 13 là một phần trong chuỗi các biện pháp pháp lý nhằm tăng cường quản lý và bảo vệ thông tin cá nhân của công dân trong thời đại số hóa ngày càng phát triển. Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định này không chỉ đặt ra các yêu cầu cơ bản về bảo vệ dữ liệu cá nhân mà còn tập trung vào việc điều chỉnh các hoạt động liên quan đến an ninh mạng. Nó cung cấp các hướng dẫn chi tiết về việc bảo vệ thông tin cá nhân và các biện pháp đảm bảo an ninh mạng trong quá trình xử lý dữ liệu cá nhân. Ai cần phải tuân thủ? Nghị định...
Read more >