Đối với sản phẩm quản lý và phân tích sự kiện an toàn thông tin (SIEM), các cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển; đánh giá, lựa chọn sản phẩm SIEM khi đưa vào sử dụng trong các hệ thống thông tin được khuyến nghị áp dụng 37 yêu cầu theo 7 nhóm bao gồm: yêu cầu về tài liệu, quản trị hệ thống, kiểm soát lỗi, yêu cầu về log, hiệu năng xử lý, chức năng tự bảo vệ, chức năng phân tích tương quan sự kiện và cảnh báo.

Với mỗi yêu cầu cho từng sản phẩm WAF hay SIEM, Bộ TT&TT cũng nêu rõ các tiêu chí, điều kiện mà sản phẩm cần đáp ứng để đảm bảo chất lượng. Đơn cử như, về yêu cầu quản lý xác thực và phân quyền, theo khuyến nghị, WAF cần cho phép quản lý cấu hình tài khoản xác thực và phân quyền người dùng đáp ứng: hỗ trợ phương thức xác thực bằng tài khoản - mật khẩu, trong đó quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu; hỗ trợ phân nhóm tài khoản tối thiểu theo 2 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.

Hay với yêu cầu bảo vệ dữ liệu log của sản phẩm SIEM, trong trường hợp phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), SIEM phải đảm bảo dữ liệu log đã được lưu lại phải không bị thay đổi trong lần khởi động kế tiếp. Đối với yêu cầu xử lý đồng thời nhiều sự kiện, SIEM phải đáp ứng việc cho phép xử lý và lưu trữ dữ liệu đồng thời 5.000 sự kiện trong khoảng thời gian 1 phút.

Tạo chuẩn mực chung với các sản phẩm an toàn thông tin nội

Theo đại diện Cục An toàn thông tin, việc ban hành các yêu cầu kỹ thuật cơ bản đối với 2 sản phẩm WAF và SIEM là một nội dung thực hiện nhiệm vụ đã được lãnh đạo Bộ TT&TT chỉ đạo, đó là đưa ra các yêu cầu kỹ thuật cơ bản cho 11 sản phẩm an toàn thông tin trong nước.

Những yêu cầu kỹ thuật cơ bản đối với các sản phẩm WAF và SIEM cũng nhằm khuyến nghị cơ quan, tổ chức có liên quan đến hoạt động nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm an toàn thông tin trong nước; tạo chuẩn mực chung đối với các sản phẩm an toàn thông tin trong nước, hướng tới chuẩn mực quốc tế.

Đồng thời, thí điểm, đánh giá thực tế việc áp dụng yêu cầu kỹ thuật làm cơ sở xây dựng, ban hành tiêu chuẩn, quy chuẩn kỹ thuật cho từng sản phẩm trong giai đoạn tiếp theo.

Cũng theo chia sẻ của đại diện Cục An toàn thông tin, để xây dựng yêu cầu kỹ thuật cơ bản cho từng sản phẩm cụ thể, cơ quan này đã nghiên cứu, lựa chọn các tiêu chuẩn quốc tế như ISO/IEC, bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới như NIST, Gartner, ICSA Labs, ECSEC Laboratory.

Với việc lựa chọn tài liệu tham chiếu, Cục An toàn thông tin ưu tiên lựa chọn các tiêu chuẩn quốc tế. Trường hợp không có tiêu chuẩn quốc tế phù hợp, Cục An toàn thông tin sử dụng bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới được đề cập ở trên.

Song song đó, nhằm bảo đảm tính phù hợp và khả thi áp yêu cầu kỹ thuật đối với sản phẩm an toàn thông tin trong nước, Cục An toàn thông tin đã tổ chức làm việc với các doanh nghiệp trong nước để lựa chọn các yêu cầu an toàn phù hợp.

“Các yêu cầu an toàn được lựa chọn trên cơ sở bảo đảm tính khả thi, thống nhất giữa các doanh nghiệp trong nước và bảo đảm chuẩn mực nhất định theo tiêu chuẩn quốc tế hoặc tương đương”, đại diện Cục An toàn thông tin nhấn mạnh.

Vân Anh

Doanh nghiệp Việt đã đáp ứng được 70% chủng loại sản phẩm ATTT quan trọng

Tính đến tháng 10/2020, hệ sinh thái sản phẩm an toàn, an ninh mạng Việt Nam đã có 68 sản phẩm do các doanh nghiệp Việt Nam sản xuất, cung ứng ra thị trường, đáp ứng khoảng 70% chủng loại sản phẩm an toàn thông tin quan trọng.

Đặc biệt, phát triển trường cao đẳng chất lượng cao theo hướng “mở”. Nhà nước sẽ có cơ chế, chính sách đặc thù, hỗ trợ đầu tư cho các trường được lựa chọn để đạt tiêu chí của trường cao đẳng chất lượng cao; đồng thời khuyến khích, đẩy mạnh xã hội hóa để những trường cao đẳng khác được đánh giá, công nhận là trường cao đẳng chất lượng cao.

Thầy trò Trường CĐ Cơ khí Nông nghiệp (Vĩnh Phúc) tập sử dụng robot. Ảnh: Hạ Anh.

Mục tiêu tổng quát của Đề án là phấn đấu đến năm 2020 có khoảng 40 trường cao đẳng chất lượng cao và đến năm 2025 có khoảng 70 trường đủ năng lực đào tạo một số ngành, nghề được các nước tiên tiến trong khu vực ASEAN hoặc quốc tế công nhận, đáp ứng yêu cầu nhân lực chất lượng cao cho hội nhập, phát triển kinh tế - xã hội của đất nước, góp phần đổi mới căn bản, toàn diện giáo dục nghề nghiệp ở Việt Nam.

Mục tiêu cụ thể là đến năm 2020, thí điểm đào tạo 34 ngành, nghề theo các chương trình đào tạo được chuyển giao từ nước ngoài theo Đề án đã được Thủ tướng phê duyệt. Ưu tiên hỗ trợ đầu tư tập trung, đồng bộ cho những trường được lựa chọn có năng lực đào tạo tốt để đến năm 2020 có khoảng 40 trường được đánh giá, công nhận trường cao đẳng chất lượng cao.

Giai đoạn 2021 - 2025, từng bước mở rộng đào tạo các ngành, nghề đã thí điểm, có học sinh, sinh viên tốt nghiệp được các tổ chức giáo dục đào tạo quốc tế có uy tín đánh giá, công nhận văn bằng, chứng chỉ. Phấn đấu đến năm 2025 có khoảng 70 trường được đánh giá, công nhận trường cao đẳng chất lượng cao, trong đó 3 trường tiếp cận trình độ các nước phát triển trong nhóm G20, 40 trường tiếp cận trình độ các nước ASEAN-4.

Về cơ chế, chính sách phát triển trường cao đẳng chất lượng cao, sẽ đẩy mạnh xã hội hóa, khuyến khích các trường cao đẳng (công lập và tư thục) tăng cường các điều kiện bảo đảm chất lượng, nâng cao năng lực đào tạo theo tiêu chí của trường cao đẳng chất lượng cao. Cụ thể, sẽ ưu đãi về tín dụng đầu tư cơ sở vật chất, thiết bị đào tạo; ưu đãi về thuế đối với hoạt động sản xuất, kinh doanh, dịch vụ gắn với đào tạo; hỗ trợ đào tạo cán bộ giáo dục nghề nghiệp; thí điểm đặt hàng, giao nhiệm vụ đào tạo các ngành, nghề trọng điểm từ ngân sách nhà nước; 

Khuyến khích, ưu tiên các doanh nghiệp trực tiếp cùng với nhà trường tổ chức đào tạo một số ngành, nghề trọng điểm gắn với lĩnh vực sản xuất, kinh doanh của doanh nghiệp.

Các trường được công nhận là trường cao đẳng chất lượng cao được Nhà nước ưu tiên đặt hàng, giao nhiệm vụ thực hiện các dịch vụ đào tạo giáo dục nghề nghiệp từ ngân sách nhà nước.

Thanh Hùng

“Thầy không giỏi nghề, sao đào tạo được học viên?”

- Nhiều đại biểu thẳng thắn chỉ ra hạn chế của các cơ sở giáo dục nghề nghiệp Việt Nam, trong đó nhấn mạnh đến năng lực và kinh nghiệm thực tế của đội ngũ giảng viên.

Sợi cáp gốc dùng kết nối USB-A được giới thiệu vào năm 2019. Ảnh: Hak5.

Dây cáp có tên OMG do công ty an ninh mạng Hak5 phát triển. Thiết bị này trông giống hệt như cáp Apple Lightning và đầu kết nối USB-C hoặc USB-A, được gắn một con chip ẩn và cho phép hacker lấy cắp dữ liệu hoặc triển khai mã độc trên iPhone, iPad và MacBook.

Theo Vice, sản phẩm được ra mắt lần đầu tại hội nghị mạng DEFCON vào năm 2019 với công dụng kiểm tra thâm nhập thiết bị điện tử. Phiên bản nâng cấp được giới thiệu gần đây, hỗ trợ chuẩn USB-C và nhiều tính năng hack mới.

Sau khi được cắm vào thiết bị, cáp OMG sẽ thiết lập một điểm phát sóng Wi-Fi để hacker có thể kết nối từ xa. Từ đó, một giao diện trực tuyến đi kèm với sản phẩm cho hacker ghi lại các hoạt động trên thiết bị iOS đang kết nối, như thông tin hoặc mật khẩu người dùng gõ vào.

“Cáp OMG được xây dựng để sử dụng bí mật, với các tính năng tăng cường khả năng thực thi lệnh từ xa”, công ty Hak5 mô tả.

Ảnh chụp con chip bên trong sợi cáp Lightning giả mạo. Ảnh: MG.

Tất nhiên, hacker cũng gặp một số khó khăn để xâm nhập vào thiết bị điện tử. Những gì hacker cần làm là đợi bạn đi vệ sinh tại một quán cà phê, sau đó lén lút tráo dây cáp Lightning bằng cáp OMG. Từ đó, họ có thể lấy tất cả dữ liệu của bạn.

Do sử dụng sóng không dây, phạm vi hoạt động của sợi cáp cũng khá hạn chế. Tuy nhiên, trong phiên bản mới khoảng cách hoạt động đã được cải thiện.

“Chúng tôi đã thử nghiệm điều này ở trung tâm thành phố Oakland và có thể kích hoạt ở khoảng cách 1,6 km”, công ty Hak5 chia sẻ.

Ở phiên bản mới, các chức năng được bổ sung bao gồm thay đổi phím của thiết bị, giả mạo thiết bị đang kết nối. Hak5 cũng phát triển xong một sợi dây cáp với 2 đầu là USB-C, có thể hack vào nhiều loại thiết bị khác nhau.

Theo Zing/Gizmodo

Tính năng gọi điện không cần mạng trên iPhone 13 có thật hữu ích?

Khả năng kết nối vệ tinh của iPhone 13 chỉ cho phép người dùng liên hệ trong trường hợp khẩn cấp. Tuy nhiên, tính năng này có thể chưa ra mắt trong năm nay.