Theo báo cáo Cost of a Data Breach 2022 của IBM Security, 4.35 triệu USD là mức thiệt hại trung bình của mỗi doanh nghiệp trong một vụ lộ lọt dữ liệu ở năm 2022. Báo cáo còn đưa ra so sánh chi phí thiệt hại giữa các doanh nghiệp áp dụng các giải pháp bảo mật và những bên không áp dụng chúng (Ví dụ: 3.05 triệu USD là số tiền mà bên ứng dụng công nghệ bảo mật AI tự động tiết kiệm được được so với bên không áp dụng công nghệ này khi xảy ra các sự vụ lộ lọt dữ liệu). Từ đây chúng ta thấy được vai trò quan trọng của một chiến lược bảo mật toàn diện trong việc ngăn ngừa và giảm thiểu thiệt hại của tấn công mạng đối với doanh nghiệp.

Rò rỉ dữ liệu hiện nay đã trở nên thường xuyên hơn bao giờ hết. Để chống lại những cuộc tấn công mạng tinh vi là một thách thức khó khăn, đặc biệt là đối với các công ty startup có ngân sách an ninh mạng còn hạn chế.

Mặc dù vậy, vẫn có những biện pháp bảo mật tiết kiệm chi phí, phù hợp với các công ty đang hoạt động với ngân sách eo hẹp. Dưới đây là các hướng dẫn bảo mật dựa trên kinh nghiệm làm việc cùng các startup của chúng tôi, tập trung vào các lựa chọn phù hợp với từng giai đoạn tăng trưởng của doanh nghiệp và sẽ không xung đột với các yếu tố được bổ sung thêm trong tương lai.

Để đạt được hiệu quả bảo mật cao và tối ưu chi phí, chúng tôi chia thành bốn giai đoạn phát triển của startup. Mỗi giai đoạn khác nhau sẽ có chiến thuật nâng cao an ninh mạng khác nhau:

• Tiền MVP
• MVP tới Seeding Round
• Seeding tới Series A
• Sau Series A.

Giai đoạn 1: trước khi có MVP

Ở giai đoạn này, bạn có thể chưa chắc chắn được là doanh nghiệp của mình có thu hút được khoản đầu tư nào không. Vì vậy, sự lựa chọn tốt nhất của bạn là các dịch vụ giá rẻ hoặc miễn phí.

• Đối với ứng dụng: sử dụng kỹ thuật “hashing” với thông tin đăng nhập của người dùng ở giai đoạn này là điều cần thiết. Ngoài ra, ở thời điểm hiện tại bạn có thể không nên lưu trữ thông tin thẻ tín dụng. Việc đó nằm trong phạm vi tuân thủ PCI (tiêu chuẩn an ninh thông tin bắt buộc), một bộ quy định quá khó để đáp ứng được với một số tiền hạn chế. Mặt khác, càng nhiều thông tin nhạy cảm thì càng đối mặt với nhiều rủi ro mất an ninh.

• Đối với cơ sở hạ tầng: Bạn nên khai thác các dịch vụ được quản lý như Google Cloud, Microsoft Azure hoặc Amazon Web Services và thiết lập cấu hình đúng cách. Hãy sử dụng các tài khoản riêng cho môi trường production và các môi trường khác, đưa mọi thứ vào đám mây ảo (VPC) và giới hạn số lượng IP có thể truy cập vào môi trường đó.

Các biện pháp khác nên làm là chuyển cấu hình production của bạn ra khỏi code và đưa vào một kho lưu trữ riêng và thực hiện xác thực đa hệ số (MFA) trên tất cả các dịch vụ mà các kỹ sư làm việc.

Ngoài ra, đừng quên hạn chế quyền truy cập vào máy chủ production và cơ sở dữ liệu, bởi bạn sẽ khó lòng quản lý điều này khi số lượng nhân viên tăng dần.

• Đối với yếu tố con người: Hãy thuê một DevOps đáng tin cậy để đảm bảo rằng các quyền truy cập thông tin nhạy cảm được giao phó cho đúng người. Việc đào tạo mã hóa an toàn cho các kỹ sư của doanh nghiệp cũng sẽ có ích, vì một ngày nào đó điều ấy có thể cứu cánh cho công ty của bạn. Ngoài ra, bạn cũng nên xem xét các biện pháp cơ bản như cung cấp phần mềm diệt virus & mã hóa cho máy tính cá nhân của các vị trí chủ chốt. (Khi có nhiều thiệt bị hơn, hãy cân nhắc sử dụng các biện pháp mạnh mẽ hơn như Endpoint Security để nắm quyền kiểm soát an ninh triệt để.)

Giai đoạn 2: Từ MVP đến Seeding Round

Bạn hiện vẫn còn thiếu kinh phí nhưng đã có khách hàng và bạn mong muốn bảo mật dữ liệu khách hàng cẩn thận. Chúng tôi nghĩ rằng bạn nên tiếp tục tập trung vào các biện pháp ít tốn kém nhưng có hiệu quả cao.

• Đối với ứng dụng: Bạn nên áp dụng chính sách mật khẩu cho người dùng của mình và chạy ít nhất một bài kiểm thử xâm nhập, điều này có thể giúp bạn phát hiện ra các vi phạm bảo mật tiềm ẩn. Một biện pháp hiệu quả nữa là đảm bảo duy trì theo tiêu chuẩn OWASP TOP 10. Đây là một danh sách được cập nhật thường xuyên về những mối lo ngại đối với bảo mật web.

• Đối với cơ sở hạ tầng: Hãy sao lưu cơ sở dữ liệu của bạn, mã hóa dữ liệu routing và chỉ cho phép truy cập các tài nguyên quan trọng thông qua VPN. Các bước này tuy đơn giản nhưng hiệu quả bảo mật cao, và không tốn nhiều chi phí.

• Đối với yếu tố con người: Mục tiêu của bạn ở giai đoạn này là thiết lập các quy trình cơ bản về đào tạo nhập môn cho nhân viên mới và bàn giao công việc từ nhân viên cũ. Bạn cần thu hồi tất cả quyền truy cập vào dữ liệu nhạy cảm khi có nhân viên rời công ty; thực thi chính sách quản lý mật khẩu; đào tạo nâng cao nhận thức về bảo mật theo hướng kỹ thuật.

Giai đoạn 3: Từ Seeding đến sau Series A

Bạn đang trong giai đoạn phát triển tích cực, có thể đã sở hữu một số vốn lớn và có thể có tới 15 kỹ sư tại doanh nghiệp. Đây là thời điểm tuyệt vời để thiết lập các chính sách và quy trình bảo mật mà không mất đi tính linh hoạt.

• Đối với ứng dụng: Ở giai đoạn này bạn nên có thói quen chạy kiểm thử xâm nhập trên ứng dụng, nhưng đôi khi đừng ngần ngại thay đổi nhà cung cấp kiểm thử của bạn nhé. Điều này sẽ giúp cho bạn có góc nhìn mới về vấn đề bảo mật tại chính doanh nghiệp của mình. Ngoài ra, bạn nên khuyến khích các kỹ sư của mình tuân thủ theo Quy trình phát triển bảo mật (Secure Development Lifecycle). Từ giai đoạn này trở đi, bảo mật sẽ là ưu tiên hàng đầu và là trọng tâm của doanh nghiệp.

• Đối với cơ sở hạ tầng: Ở giai đoạn này bạn có thể sẽ cần phải luôn đề cao cảnh giác vì công ty của bạn có thể đã bắt đầu thu hút sự chú ý của những kẻ xấu, vì vậy hãy ngừng chia sẻ bất kỳ tài khoản nào. Mỗi người truy cập vào tài nguyên nên có một tài khoản riêng với các quyền tối thiểu. Bạn cũng cần chạy kiểm thử xâm nhập đối với cơ sở hạ tầng thường xuyên và thực hiện quy trình khắc phục sự cố. Điều quan trọng là luôn phải có kế hoạch nếu có điều không hay xảy ra.

Ngoài ra, bạn cần phải nắm được mọi thủ đoạn truy cập trái phép vào máy chủ của mình. Hệ thống phát hiện xâm nhập tại máy chủ sẽ giúp bạn điều đó, và trình quét lỗ hổng sẽ giúp phát hiện ra các điểm yếu trong máy chủ của bạn và nhắc nhở bạn cập nhật phần mềm.

• Đối với yếu tố con người: Đây là lúc để đội ngũ kỹ sư của bạn trải qua cuộc “huấn luyện”. Hãy thiết lập chính sách ứng phó sự cố và luyện tập bằng cách mô phỏng kịch bản “ngày tận thế”. Ngoài ra, hãy tập đánh giá rủi ro và thực hiện chương trình nâng cao nhận thức bảo mật trên toàn công ty. Ngay cả nhân viên phi kỹ thuật của bạn cũng cần phải biết “email lừa đảo” nghĩa là gì.

Bạn cũng cần kiểm soát mọi máy trạm trong công ty và đảm bảo rằng chúng đều có chương trình chống vi-rút, cập nhật bảo mật mới nhất, thời gian chờ khóa màn hình, v.v. Các phần mềm quản lý trên thiết bị di động sẽ giúp ích cho bạn rất nhiều.

Giai đoạn 4: Sau series A

Bạn hiện đã có một đội ngũ nhân viên lớn và rất nhiều khách hàng trung thành. Do đó, bạn đã trở thành một “miếng mồi ngon” cho những kẻ tội phạm mạng. Theo kinh nghiệm thì đây chính là lúc thích hợp nhất để củng cố thêm các biện pháp bảo mật.

• Đối với ứng dụng: các chương trình bug bounty là điều bắt buộc phải có ở giai đoạn này. Những người giỏi tìm kiếm lỗ hổng trong phần mềm nhất (ngoài các hacker bình thường) chính là các hacker mũ trắng. Để phát hiện kịp thời các hoạt động độc hại trên thực tế, hãy sử dụng các công cụ giám sát hiệu suất ứng dụng có hiệu quả cao. Bạn cũng có thể thực thi quy trình quản lý thay đổi trong ứng dụng. Bất kỳ thay đổi nào trong hệ thống production và cơ sở hạ tầng của bạn sẽ phải nhận được sự chấp thuận từ một người nữa.

• Đối với cơ sở hạ tầng: Hãy sử dụng công cụ quản lý sự kiện và thông tin bảo mật. Hãy thiết lập cấu hình cho công cụ đó để nhận về tất cả các thông báo bảo mật từ máy chủ, trình quét lỗ hổng, hệ thống phát hiện xâm nhập, v.v.

• Đối với yếu tố con người: Sẽ rất hiệu quả nếu bạn thuê một nhóm CNTT và trang bị cho họ công cụ giám sát sự kiện an ninh để quản lý và kiểm soát tất cả các máy trạm của các nhân viên.

Cuối cùng, hãy quản lý tài khoản tập trung để cung cấp và thu hồi quyền truy cập hệ thống trong quá trình nhân viên gia nhập và rút khỏi công ty.

Trong thời đại hiện nay, bạn sẽ có rất nhiều phương tiện để bảo vệ doanh nghiệp của mình và nhiều phương tiện cũng không đòi hỏi phải đầu tư gì nhiều ngoài thời gian. Khó khăn duy nhất ở đây là sử dụng được đúng thời điểm mà thôi.

Bạn không bao giờ có thể miễn nhiễm với tất cả những mối nguy hiểm đang rình rập ngoài kia, nhưng giảm thiểu khả năng bị tấn công lại là một điều hoàn toàn nằm trong tầm tay.