Những kĩ thuật bảo mật hiệu quả mà không phải ai cũng biết

Bảo mật là công việc rất khó khăn nhưng chúng ta có thể làm mọi thứ tốt hơn ngay từ khi bắt đầu. Hầu hết tin tặc đều lười biếng và nhắm đến các mục tiêu dễ dàng. Vì vậy bạn càng khó tấn công thì càng ít khả năng bị tấn công. Hãy cùng xem sét 6 kĩ thuật lập trình, sản phẩm và dịch vụ nhằm giảm thiểu những vẫn đề bảo mật phổ biến nhất.

Tham số hóa truy vấn SQL

Câu chuyện về SQL injection

Đây là vấn đề đáng quan tâm hàng đầu nhằm chống lại hiệu quả SQL injection, nhưng nó vẫn chưa được sử dụng rộng rãi. Bất kì lập trình viên nào sử dụng SQL mà chưa tham số hóa truy vấn của mình thì thật đáng xấu hổ. Khi chương trình của bạn chấp nhận đầu vào mà không hề kiểm tra từ người sử dụng và ghép nó thành một chuỗi kí tự thực hiện truy vấn SQL sẽ cho phép tin tặc phá hoại và đánh cắp dữ liệu từ cơ sở dữ liệu. Bất kì môi trường lập trình nào cũng cung cấp công cụ cho việc tham số hóa truy vấn SQL. Các công cụ này kiểm tra đầu vào và có thể tùy chỉnh theo ý của bạn. Hãy cùng xem một ví dụ trong PHP:

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

Xác thực đa yếu tố

Xác thực đa nhân tố khiến việc bạn mất tên tài khoản hay mật khẩu không trở thành vấn đề nghiêm trọng bởi vì bạn có thể sử dụng nhân tố xác thực thứ hai để lấy lại chúng. Xác thực hai nhân tố đã quá phổ biến từ những công ty lớn như Microsoft hay Google. Nó đã xâm nhập từ lâu vào thị thường những cũng phải tốn không ít thời gian để người dùng chấp nhận. Hiện nay, xác thực hai nhân tố đã thực sự thành công với thẻ thanh toán thông minh “chip and PIN.”

Quản lí truy cập/mật khẩu

Việc quản lí bất cẩn và sai lầm trong xác thực là nguyên nhân chính của các vấn đề bảo mật. Ở trên chúng ta đã nói về một giải pháp bảo mật hàng đầu là xác thưc đa nhân tố nhưng đây không phải là phương án cho mọi trường hợp.

Tất cả các hệ điều hành đều có IAM (Identity and Access Management) và có thể được mở rộng bởi các bên thứ 3 nhằm xác thực việc truy cập vào hệ thống. Các doanh nghiệp và nhà quản lí mạng thường sử dụng giải pháp IAM như OneLogin, IBM hay Computer Associates. Ngày càng có nhiều doanh nghiệp quan tâm đến việc chuyển đổi sang dịch vụ điện toán đám mây như Google Apps, SalesForce hay Office 365 nhằm giảm thiểu công việc xác thực. Trong những trường hợp này, một giải pháp IAM trên nền điện toán đám mây sẽ là một giải pháp lâu dài.

Thực hiện cập nhật phần mềm

Đây là một trong những việc mất cứ ai cũng biết họ nên làm nhưng vẫn là một điều gì đó khó khăn, đặc biệt là trong thời buổi các công ty lớn lại hay tung ra những bản cập nhật bị lỗi. Các nhà nghiên cứu đã nhận thấy sự giảm thiểu những vẫn đề bảo mật trong vòng 1 năm trở lại đây vì việc cập nhật hệ thống được tiến hành tự động.

Cẩn thận trước cú pháp trên HTML

XSS (cross-site scripting) cũng có thể được gọi là “HTML/Script injection” bởi vì nó chèn những mã độc vào một trang web từ một trang web trên một tên miền khác. Phương thức tấn công thường sử dụng khi trang web không kiểm tra các dữ liệu được nhập vào từ người dùng. Hình ảnh phía trên là một cảnh báo của mạng xã hội Nga. Những kĩ thuật tương tự có thể được sử dụng để chèn nhiều mã độc nguy hiểm hơn.

Bạn nên sử dụng thư viện mã hóa bảo mật như Microsoft’s AntiXSS for .NET hay OWASP Java Encoder Project.

Zdnet