Template eway-draft (1)

v
PERSONAL SECURITY
SonDN – 10rd

Contents
1. Personal Security là gì ?
2. Personal Security trong cuộc
sống hang ngày.
3. Personal Security trong doanh
nghiệp.

• An toàn cá nhân
• An toàn là gì ?
 Có thể coi an toàn là sự vắng mặt của
rủi ro, nguy hiểm hoặc tin tưởng vào
một cái gì đó hoặc ai đó.

• An toàn cá nhân là gì ?
 Là một thuật ngữ mô tả tính an toàn
của một cá nhân trong cuộc sống hàng
ngày
• Chúng ta có thực sự an toàn ?
 Cách chúng ta trở nên an toàn hơn chỉ
đơn giản bằng cách nhận thức được các
mối đe dọa mà chúng ta gặp phải trong
cuộc sống, sau đó chúng ta tiếp tục sử
dụng các phương pháp và kỹ thuật
khác để giảm bớt các mối đe dọa đó.

2. Personal Security trong cuộc sống hàng ngày.
 Các mối đe dọa cụ thể ngày nay:
 Bạo lực, tấn công tình dục
 Bắt giữ, tạm giam
 Bắt giữ con tin
 Biểu tình chống đối
 Vũ khí, thuốc nổ, bom mìn
 Cướp giật, trộm cắp

3. Personal Security trong doanh nghiệp
1. Tập cho nhân viên thói quen khóa máy tính
2. Mã hóa dữ liệu máy tính, điện thoại
3. Thực hiện các checklist Onboarding / Offboarding
4. Sử dụng xác thực hai yếu tố khi đăng nhập
5. Sử dụng Password Manager để đảm bảo chỉ sử dụng
mật khẩu mạnh

6. Sử dụng các ứng nhắn tin được mã hóa khi chia sẻ thông
tin nhạy cảm
7. Bảo mật điện thoại thông minh
8. Sử dụng quản lý tài khoản tập trung
9. Không chia sẻ tài khoản người dùng
10. Tập cho mọi người thực hiện tốt việc bảo mật cá nhân
11. Thuê kỹ sư bảo mật

12. Giám sát máy tính người dùng trong mạng
13. Sử dụng DNS 1.1.1.1 hoặc 9.9.9.9
14. Sử dụng VPN
15. Xem lại vị trí, camera và các quyền thiết bị nhạy cảm
khác
16. Bảo vệ khoảng không gian riêng tư
17. Review hoặc xóa metadata được đính kèm trong những
bức ảnh

3.1 Tập cho nhân viên
thói quen khóa máy tính
 Khóa máy tính khi rời khỏi chỗ ngồi:
 Giúp bạn cảm thấy yên tâm hơn
 Gây một chút khó khăn cho hacker trong việc
ByPass
 Tránh nhấn phải các phím có thể làm mất
hoặc xóa dữ liệu
 Khách hàng sẽ có một cái nhìn tốt về uy tín,
tính bảo mật của công ty
 Giảm thiểu rủi ro dữ liệu bị đánh cắp, sửa đổi

3.2 Mã hóa dữ liệu máy
tính, điện thoại
 Mã hóa dữ liệu máy tính, điện thoại sẽ giúp
bảo vệ được tập tin dữ liệu trong trường hợp
máy tính, điện thoại bị đánh cắp.

3.2 Mã hóa dữ liệu máy tính, điện thoại
 On Macbook
 Sử dụng FileVault để mã hóa startup disk
o FileVault sử dụng mã hóa XTS-AES-128 với 256 bit nhị phân
o Sau khi khởi động, toàn bộ ổ đĩa được mở khóa bằng cách đăng nhập vào tài khoản người
dùng được ủy quyền, và sẽ được mở khóa cho đến khi tắt máy

 On Macbook
 Cơ chế mã hóa của XTS-AES-128
o XTS là chế độ mã hóa mới nhất, loại bỏ lỗ hổng tiềm ẩn

 On Macbook
 Kích hoạt FileVault
1. Vào System Preferences >
Security & Privacy > FileVault.
2. Nhấn Turn On FileVault

 On Macbook
1. Vào System Preferences > Security &
Privacy > FileVault.
3. Chọn người dùng có quyền mở khóa ổ đĩa
sau khi khởi động

 On Macbook
3. Chọn người dùng có quyền mở khóa ổ đĩa
4. Người dùng sẽ được cung cấp khóa khôi
phục với dãy chữ số dài trong trường hợp
quên mật khẩu thông thường.

 On Macbook
3. Chọn người dung có quyền mở khóa ổ đĩa
4. Người dung sẽ được cung cấp khóa khôi
phục với dãy chữ số dài trong trường hợp
quên mật khẩu thông thường.
5. Cuối cùng, máy tính sẽ nhắc người dùng
khởi động lại để bắt đầu quá trình mã hóa
với hiệu suất tốt nhất.

 On Ubuntu
 Sử dụng dm-crypt Tool
o dm-crypt là một cơ chế mã hoá ở mức kernel
o Tập tin mã hóa sẽ sẵn sàng hoạt động ngay sau
khi mount, do đó nó có thể hoạt động như 1 ổ
lưu trữ dữ liệu bình thường.

 On Ubuntu
 Sử dụng dm-crypt Tool
 Hướng dẫn cài đặt dm-crypt trên Ubuntu:
https://www.dinhvanhung.me/huong-dan-cai-dat-dm-crypt-de-ma-hoa-o-dia-tren-
ubuntu-vps/

 On Windows
 Kích hoạt tính năng Device Encryption
1. Chọn nút Start > Settings > Update &
Security > Device encryption.
 Sử dụng công cụ mã hóa tiêu chuẩn
BitLocker (Nếu không có tính năng Device
Encryption )
1. Chọn ổ đĩa cần mã hóa > Chuột phải chọn
“Turn on Bitlocker”

 On Windows
2. Lựa chọn phương thức để giải mã ổ
cứng hoặc USB, chúng ta sẽ sử dụng
cách thứ nhất

 On Windows
3. Thông báo lưu khóa dự phòng sẽ hiện
lên, chúng ta sẽ chọn 1 trong 3 cách trên
tùy ý

 On Windows
4. Sau khi đã lưu khóa dự phòng, ta sẽ
chọn mức độ mã hóa.

 On Windows
5. Và cuối cùng là bắt đầu mã hóa ổ cứng.

3.3 Thực hiện các Checklist
Onboarding/Offboarding
 Onboarding:
 Là quá trình cần thiết để giúp nhân
viên mới tiếp xúc, làm quen, hòa hợp
với văn hóa doanh nghiệp lẫn công
việc
 Offboarding:
 Thực hiện các quy trình bao giao công
việc, thủ tục pháp lý, quyền hạn truy
cập để tránh những rắc rối phát sinh
sau này

 Onboarding:
o Một quy trình onboarding hiệu quả sẽ đem lại rất
nhiều lợi ích thực tế cho doanh nghiệp, chẳng hạn
như:
 Tiết kiệm chi phí hoạt động
 Giảm thiểu lo âu và stress cho nhân viên
 Giảm turnover rate

 Onboarding:
o Quy trình onboarding hiệu quả
1. Xác định giá trị cốt lõi của quy trình onboarding
2. Chuẩn bị Pre-boarding
3. Ngày làm việc đầu tiên của nhân viên
4. Sau khi nhân viên đã vào làm việc

 Offboarding:
o #Bước đầu tiên: Xử lý thông tin xin nghỉ việc
o #Bước thứ 2: Chuẩn bị các giấy tờ, tài liệu liên quan
o #Bước thứ 3: Lập kế hoạch và bắt đầu quá trình bàn giao
công việc
o #Bước thứ 4: Thực hiện một cuộc phỏng vấn thôi việc
(exit interview)
o #Bước thứ 5: Hủy bỏ quyền truy cập, thu hồi các tài
khoản nội bộ công ty
o #Bước thứ 6: Lưu trữ thông tin nhân viên và các kênh
mở để liên lạc thêm

 Offboarding:
o Quy trình Offboarding hiệu quả
1. #Bước đầu tiên: Xử lý thông tin xin nghỉ việc
• Cân nhắc thông báo tin họ chuẩn bị nghỉ việc với một số đối tượng cần thiết:
a. Các bộ phận hỗ trợ có liên quan
b. Đối tác, khách hàng
c. Cổ đông (trường hợp nhân viên xin nghỉ có vai trò quan trọng)

 Offboarding:
2. #Bước thứ 2: Chuẩn bị các giấy tờ, tài liệu liên quan
a. Mẫu thư xin nghỉ việc / từ chức hoặc một hình thức văn bản khác thể hiện việc nhân viên
quyết định muốn chủ động nghỉ việc.
b. Cam kết bảo mật thông tin
c. Biên bản bàn giao công việc
d. Biên bản bàn giao trang thiết bị
e. Các tài liệu liên quan tới thuế và bảo hiểm

 Offboarding:
3. #Bước thứ 3: Lập kế hoạch và bắt đầu quá trình bàn giao công việc
o Đối với thành viên cũ
o Tuyển dụng người mới

 Offboarding:
4. #Bước thứ 4: Thực hiện một cuộc phỏng vấn thôi
việc (exit interview)
• Hỏi han về tình hình công việc, cảm nghĩ của nhân
viên trong hiện tại
• Bày tỏ nguyện vọng muốn biết lý do thực sự tại sao
nhân viên rời đi
• Góp ý của nhân viên dành cho công ty, đội nhóm, cá
nhân,..
• Nguyện vọng của nhân viên sau khi nghỉ việc

 Offboarding:
5. #Bước thứ 5: Hủy bỏ quyền truy cập, thu hồi các tài khoản nội bộ công ty
• Có nhiều phương án khác nhau cho từng loại tài khoản, ví dụ như:
a. Thay đổi mật khẩu và mã đăng nhập các tài khoản được dùng lại cho người khác: tài
khoản Dropbox, email có danh xưng là bộ phận Customer Success,...
b. Xoá người dùng khỏi các group chat
c. Điều hướng thông tin email và cuộc gọi liên hệ tới nhân viên đó sang contact mới
d. Huỷ kích hoạt các tài khoản dùng trong hệ thống nội bộ: tài khoản G-suite, tài khoản trên
hệ thống phần mềm cộng tác, hệ thống lưu trữ tài liệu,...

 Offboarding:
6. #Bước thứ 6: Lưu trữ thông tin nhân viên và các kênh mở để liên lạc thêm
• Đồng minh luôn tốt hơn kẻ thù
• Khuyến khích nhân viên cũ của bạn giữ liên lạc
• Đảm bảo rằng hồ sơ nghỉ việc cho nhân viên đó đã hoàn thiện và được lưu trữ tại công ty
bạn theo đúng quy định

3.4 Sử dụng xác thực hai yếu
tố khi đăng nhập
 Xác thực hai yếu tố:
 Đảm bảo an toàn cho tài khoản ngay
cả khi tài khoản và mật khẩu bị đánh
cắp
 Tuy nhiên có thể bị đánh cắp mã số
xác thực bằng cách tân công MIMD

3.4 Sử dụng xác thực hai yếu
tố khi đăng nhập
 Xác thực hai yếu tố:
o Các loại xác thực 2 yếu tố
a. Security keys
b. Google Prompt
c. Google Authenticator
d. Backup codes
e. Text message and phone call

3.5 Sử dụng Password Manager để đảm
bảo chỉ sử dụng mật khẩu mạnh
 Dễ dàng quản lý nhiều mật khẩu với
độ phức tạp cao
 Chỉ cần nhớ duy nhất một mật khẩu
để quản trị các mật khẩu còn lại
 Các phần mềm quản lý mật khẩu sẽ
thực hiện tự động đăng nhập vào tài
khoản khi được cho phép

3.5 Sử dụng Password Manager để đảm
bảo chỉ sử dụng mật khẩu mạnh

3.6 Sử dụng các ứng dụng nhắn tin được
mã hóa khi chia sẻ thông tin nhạy cảm
 Từ đầu đến cuối, tin nhắn khi
gửi qua mạng sẽ được mã hóa,
chỉ có người nhận tin nhắn có
key để xác thực mới có thể đọc
được nội dung tin nhắn ở dạng
plaintext
 Phòng chống tấn công MIMD

3.6 Sử dụng các ứng dụng nhắn tin được mã hóa
khi chia sẻ thông tin nhạy cảm
 Telegram là ứng dụng nhắn tin và gọi điện
miễn phí qua internet, được xây dựng và sáng
lập bởi Pavel Durov, người đứng sau
Vkontakte, mạng xã hội lớn nhất tại nước Nga
 Ngay từ khi ra đời vào năm 2013, Telegram
được nhiều trang công nghệ lớn đánh giá là
“dịch vụ nhắn tin miễn phí tốt nhất thế giới”.
 Hỗ trợ gửi không giới hạn các loại file với dung
lượng tối đa mỗi file lên đến 1.5GB.
 Khả năng bảo mật với cơ chế mã hóa
 Hoàn toàn tách biệt và chỉ lưu trữ trên thiết bị
của người dùng

3.6 Sử dụng các ứng dụng nhắn tin được mã hóa
khi chia sẻ thông tin nhạy cảm
 Keybase là ứng dụng trò chuyện thay thế các ứng dụng
khác như Slack, WhatsApp, Telegram,..
 Các cuộc trò chuyện sẽ được mã hóa
 Điều kiện để có thể nhận được Airdrop 2 tỉ XLM là có tài
khoản Github hoặc HackerNews tạo trước ngày
09/09/2019
 Keybase là một key directory ánh xạ phương tiện truyền
thông xã hội thành các encryption keys theo cách có thể
kiểm tra công khai
 Cung cấp một hệ thống lưu trữ đám mây và trò chuyện
được mã hóa từ đầu đến cuối

3.7 Bảo mật điện thoại thông minh
 Sử dụng mật mã dài trên điện thoại của bạn - 12 ký tự, tốt nhất là chữ và số
 Yêu cầu mật mã ngay sau khi tắt màn hình
 Bật “Find My Iphone” hoặc “Android Device Manager để xóa dữ liệu điện
thoại từ xa khi bị mất

 IPHONE:
 Backup toàn bộ dữ liệu
 Cho phép xóa dữ liệu sau 10 lần nhập sau mật khẩu
 Don’t enable Touch ID
 Cài đặt và kích hoạt Ka-Block! cho Safari di động để bật chặn nội
dung (chặn quảng cáo) trên điện thoại của bạn. Sử dụng Safari với
Ka-Block! thay vì ứng dụng Chrome iOS để duyệt web trên thiết bị di
động an toàn hơn.
 Cài đặt và sử dụng Firefox Focus để bật bảo vệ theo dõi và giúp dễ
dàng xóa lịch sử duyệt web của bạn

 ANDROID:
 Không sử dụng các mẫu khóa màn hình dễ đoán
 Mã hóa ổ cứng điện thoại
 Thường xuyên sao lưu và mã hóa các bản sao
lưu
 Cài đặt và kích hoạt tiện ích bổ sung uBlock
Origin cho Firefox trên Android để duyệt web
trên thiết bị di động an toàn hơn
 Thường xuyên cập nhật hệ điều hành và ứng
dụng của bạn, đặc biệt là các bản vá bảo mật

3.8 Sử dụng quản lý tài khoản
tập trung
 Tập trung được tất cả các ủy quyền của
người dùng để không bỏ sót bất cứ điều
gì khi cần cập nhật hồ sơ người dung
 Xác định nhanh chóng quy trình tạo tài
khoản tiêu chuẩn cần thiết cho một
người dùng nhất định
 Những giải pháp đáng chú ý hiện nay là
SSO và AAA, OpenID

tập trung
 Bài toán SSO ( Single Sign On)
 Giả sử: Bạn đã phát triển một ứng dụng tại domain X và bây giờ bạn muốn phát triển
một ứng dụng mới tại domain Y sử dụng các thông tin đăng nhập giống với domain
X.
 Trong thực tế, bạn muốn nhiều hơn thế: nếu người dùng đã đăng nhập vào domain
X họ cũng sẽ tự động đăng nhập vào domain Y. Đây là cái SSO giải quyết.

tập trung
 Ứng dụng SAML của Google
 Security Assertion Markup Language - Ngôn ngữ đánh dấu xác nhận bảo mật
 Là một "chuẩn mở" cho phép nhà cung cấp định danh (Identity Provider - IdP) xác
thực và ủy quyền cho người dùng sử dụng một dịch vụ nào đó của nhà cung cấp dịch
vụ (Service Provider - SP) mà không bắt buộc người dùng phải tạo tài khoản đăng
nhập vào dịch vụ đó.

3.8 Sử dụng quản lý
tài khoản tập trung
 Cách hoạt động của SAML
1. User login
2. SP tạo SAML Request gửi tới IdP
3. IdP xác thực SAML Request
4. IdP trích xuất thông tin người
dung, tạo SAML Response và gửi
cho SP dưới dạng mã hóa
5. SP xác thực SAML Response để
lấy thông tin người dùng

3.9 Không chia sẻ tài khoản
người dùng
 Chia sẻ tài khoản người dùng làm cho các dịch
vụ hoạt động không theo ý muốn, xung đột
session
 Việc xóa quyền truy cập đối với người dùng
được chia sẻ tài khoản gặp khó khăn
 Người được chia sẻ tài khoản có thể lạm dụng
quyền hạn của tài khoản để thực hiện hành vi
phá hoại

3.10 Tập cho mọi người thực hiện tốt việc bảo mật
cá nhân
 Theo thống kê, khoảng 58% các cuộc tấn công vào
doanh nghiệp có nguyên nhân bắt nguồn từ nội bộ
doanh nghiệp
• Nhân viên vô tình để lộ thông tin mật của doanh
nghiệp
 Tổ chức các khóa đào tạo giải thích cách kẻ tấn công
thực hiện khai thác thông tin
• Nhân viên không hài lòng với chính sách công ty,
với sếp nên sẵn sàng phá hoại doanh nghiệp từ bên
trong
 Thực hiện theo luật về an toàn thông tin của doanh
nghiệp và chính phủ

3.11 Thuê kỹ sư bảo mật
 Thuê kỹ sư bảo mật sẽ giúp cho việc bảo mật
các ứng dụng, hệ thống được tốt hơn
 Phát hiện được các lỗ hổng bảo mật trong hệ
thống
 Kiểm tra được khả năng đề phòng các mối
nguy hại của nhân viên về mã độc
 Kiểm tra, đánh giá các rủi ro có thể bị hacker
bên ngoài khai thác
 Yên tâm trong việc bảo vệ dữ liệu

3.12 Giám sát máy tính của người
dung trong mạng
 Nhanh chóng phát hiện thiết bị của người
dùng đang làm ảnh hưởng đến chất lượng
của hệ thống
 Ngăn chặn, giảm thiểu các rủi ro kịp thời
nếu có một máy tính bị nhiễm mã độc,
tránh lây lan cho toàn bộ mạng doanh
nghiệp
 Đề xuất sử dụng hệ thống HIPS trên mỗi
máy tính cá nhân để tự chủ động phát hiện
kịp thời các mối nguy hại

3.13 Sử dụng DNS 1.1.1.1 hoặc 9.9.9.9
• Theo mặc định, DNS chậm và không an toàn. Nhiều nhà cung cấp
dịch vụ internet theo dõi và ghi nhật ký dữ liệu đi qua DNS Server,
• Trong một số trường hợp sẽ bán lại dữ liệu cho các nhà quảng cáo
 DNS 1.1.1.1, 9.9.9.9
 Được phát hành bởi Cloudflare và Quad9, tập trung vào quyền
riêng tư và bảo mật lưu lượng truy cập internet
 Tăng tốc độ truy cập internet
 Ngăn chặn các tên miền độc hại đã biết và không thu thập dữ liệu
nhận dạng nào trên hệ thống

3.14 Sử dụng VPN
 Giúp bảo mật kết nối Internet
 Đảm bảo dữ liệu đang gửi và nhận
được mã hóa, ngăn chặn hacker
MIMD chặn bắt sửa đổi thông tin
 Các VPN tốt đều tính phí, chứng tỏ
việc kinh doanh của nhà cung cấp
không phụ thuộc vào việc bán lại dữ
liệu khách hành

3.15 Xem lại vị trí, camera và các quyền thiết bị
nhạy cảm khác
 Tránh để lộ thông tin ví trí nhà riêng,
cơ quan
 Ngăn chặn khả năng nghe lén người
dung của ứng dụng

3.16 Bảo vệ khoảng không gian riêng tư
 Dán camera để tránh hacker khi tấn
công vào máy tính điện thoại có thể
theo dõi bằng hình ảnh
 Sử dụng các tấm nền lọc màn hình,
để khi người khác nhìn vào điện
thoại, máy tính sẽ khó nhìn hơn

3.17 Xem lại / xóa metadata được đính kèm
trong những bức ảnh
• Gắn thẻ địa lý là quá trình thêm nhận dạng
địa lý vào các tệp phương tiện (ví dụ: ảnh và
video).
• Bất cứ ai có quyền truy cập vào các tệp
phương tiện được gắn thẻ này đều có thể đọc
dữ liệu này và tìm hiểu nơi ảnh được chụp
• Hầu hết các trang web truyền thông xã hội
loại bỏ dữ liệu EXIF khỏi ảnh, nhưng nếu bạn
đang lưu trữ ảnh của riêng mình, hãy lưu ý
rằng vị trí địa lý có thể cho đi vị trí chính xác
của bạn.

Template eway-draft (1)

Recommended

Recommended

More Related Content

Similar to Template eway-draft (1)

Similar to Template eway-draft (1) (20)

Recently uploaded

Recently uploaded (15)

Template eway-draft (1)