Mách bạn 10 mẹo bảo mật giữ an toàn cho dữ liệu trên NAS Synology

Theo báo cáo của tờ The New York Times, trong năm 2019 đã có hơn 200.000 tổ chức đã bị tấn công bằng ransomware, con số này vượt tới 41% so với năm trước. Đứng trước những rủi ro và khó khăn người dùng NAS có thể gặp phải khi trở thành nạn nhân của các hình thức tấn công mạng, Việt Tuấn sẽ cung cấp cho bạn đọc 10 mẹo bảo mật an toàn cho dữ liệu cá nhân trên thiết bị NAS Synology hiệu quả nhất. Bạn đọc hãy cùng tìm hiểu!

1. Hậu quả khi dữ liệu cá nhân bị xâm nhập trái phép

Khi dữ liệu quan trọng được lưu trữ trên hệ thống NAS Synology bị xâm nhập trái phép, các nhân người dùng hoặc doanh nghiệp có thể đối mặt với rất nhiều hậu quả nghiêm trọng, bao gồm:

• Rò rỉ thông tin cá nhân: Kẻ xâm nhập có thể truy cập và lấy cắp thông tin cá nhân như hình ảnh, video, tài liệu, văn bản cùng nhiều dữ liệu cá nhân khác. Các dữ liệu này có thể được sử dụng để gian lận tài chính, xâm nhập quyền riêng tư.
• Mất dữ liệu quan trọng: Khi kẻ tấn công xâm nhập được vào dữ liệu lưu trên NAS, dữ liệu có thể bị xóa hoặc mã hóa để đòi tiền chuộc. Nếu bạn không có bản sao lưu được lưu trên các nền tảng lưu trữ khác, bạn có thể mất dữ liệu quan trọng vĩnh viễn.
• Rủi ro mạng nội bộ bị xâm nhập: Kẻ tấn công có thể sử dụng NAS để xâm nhập vào hệ thống mạng của doanh nghiệp, tiếp cận vào cơ sở dữ liệu hoặc các thiết bị khác, gây ra hậu quả nghiêm trọng cho toàn bộ mạng.
• Ảnh hưởng tới danh tiếng: Máy chủ tập tin của tổ chức, doanh nghiệp bị tấn công bởi virus, ransomware, gây ra sự thất thoát về dữ liệu khách hàng, giao dịch. Điều này có thể gây ra sự tổn hại về mặt uy tín, danh tiếng của doanh nghiệp.

2. Gợi ý cho bạn 10 mẹo bảo mật giúp giữ an toàn cho dữ liệu hiệu quả

Đứng trước các rủi ro nghiêm trọng có thể xảy ra khi dữ liệu lưu trên NAS bị tấn công, Việt Tuấn đã tổng hợp 10 mẹo bảo mật giúp giữ an toàn cho dữ liệu hiệu quả, bao gồm:

2.1 Mẹo 1: Vô hiệu hóa tài khoản admin mặc định

Thiết bị NAS hay các dòng thiết bị mạng khác đều cung cấp cho người dùng tài khoản quản trị mặc định để truy cập và cấu hình. Tuy nhiên, tài khoản này (bao gồm Username và Password) có thể là lỗ hổng dễ dàng xuyên qua để tin tặc có thể truy cập. Lý do ở đây chính là việc tên người dùng (username) hay password mặc định quá phổ biến để mò ra. Bạn sẽ có khả năng bị nhắm tới bởi các cuộc tấn công brute-force sử dụng kết hợp username và password phổ biến.

Vì vậy, Việt Tuấn khuyến nghị người dùng:

• Tránh đặt các username thông thường như “admin”, “administrator”, “root”* trong bước thiết lập NAS. Bạn cần đặt mật khẩu mạnh, không dễ đoán. Ngay sau sau khi thiết lập NAS Synology hãy vô hiệu hóa tài khoản quản trị mặc định của hệ thống.
• Nếu bạn đang đăng nhập vào thiết bị NAS bằng tài khoản mặc định “admin”, hãy chuyển đến Control Panel -> User và tạo tài khoản quản trị mới. Sau đó đăng nhập bằng tài khoản mới và vô hiệu hóa user admin mặc định của hệ thống.

2.2 Mẹo 2: Thiết lập độ mạnh của mật khẩu

Mật khẩu mạnh, khó đoán là cách đơn giản và hiệu quả nhất trong việc bảo vệ hệ thống NAS của bạn khỏi bị truy cập trái phép. Bạn cần tạo một mật khẩu đủ phức tạp, có sự kết hợp giữa các chữ cái ( In hoa hoặc viết thường), chữ số và ký tự đặc biệt theo cách mà chỉ bạn mới có thể nhớ được

Việc sử dụng cùng 1 mật khẩu cho nhiều tài khoản cũng tăng rủi ro dữ liệu quan trọng của bạn bị hacker tấn công. Nếu một tài khoản bị xâm phạm, kẻ tấn công có thể nhanh chóng chiếm quyền kiểm soát các tài khoản ứng dụng khác của bạn. Việt Tuấn khuyên bạn hãy đăng ký các gói dịch vụ giám sát công cộng như Have I Been Pwned hoặc Firefox Monitor .

Nếu bạn gặp khó khăn khi phải ghi nhớ các mật khẩu phức tạp cho từng tài khoản khác nhau, bạn có thể sử dụng trình quản lý mật khẩu như 1Password, LastPass hoặc Bitwarden… Các ứng dụng này có thể là giải pháp tốt nhất dành cho bạn trong việc lưu trữ mật khẩu của nhiều tài khoản. 

Nếu bạn đang sử dụng NAS Synology, bạn có thể tùy chỉnh chính sách mật khẩu người dùng để thắt chặt hiệu quả bảo mật đối với tất cả tài khoản người dùng mới. Hãy đi tới Control Panel > User > Advanced và đánh dấu vào hộp kiểm Apply password strength rules checkbox trong phần Cài đặt mật khẩu. Chính sách này sẽ được áp dụng cho bất kỳ người dùng nào tạo tài khoản mới.

2.3 Mẹo 3: Luôn cập nhật và bật thông báo

Synology là thương hiệu hàng đầu về NAS, đặc biệt thế mạnh của hãng là hệ điều hành DSM và kho ứng dụng được tối ưu tốt, thường xuyên phát hành các bản cập nhật để cung cấp các cải tiến về tính năng và hiệu suất hoạt động, đồng thời giải quyết các lỗ hổng bảo mật có thể là rủi ro cho các cuộc tấn công trong tương lai.

Bất cứ khi nào xảy ra lỗ hổng bảo mật, Product Security Incident Response Team (PSIRT) hay Nhóm ứng phó sự cố bảo mật sản phẩm của Synology sẽ tiến hành đánh giá và điều tra trong vòng 8 giờ đồng hồ và nhanh chóng phát hành bản vá lỗi trong vòng 15 giờ tiếp theo. Qua đó, hỗ trợ ngăn ngừa thiệt hại tiềm ẩn do các cuộc tấn công zero-day.

Đối với hầu hết người dùng NAS Synology hiện nay, Việt Tuấn khuyến khích bạn nên bật tính năng automatic updates để hệ thống tự động tải xuống và cài đặt các bản cập nhật DSM mới nhất.

Bạn không thích danh sách thông báo dài dằng dặc trên thanh trạng thái. Tuy nhiên việc nhận thông báo trên NAS Synology là một việc vô cùng cần thiết để bạn có thể cập nhật mọi sự kiện an ninh khi chúng xảy ra. 

Hệ điều hành DSM cho phép người dùng thiết lập việc nhận thông báo qua email, SMS, trên thiết bị di động hoặc thông qua trình duyệt web khi xảy ra sự kiện hoặc lỗi bảo mật cụ thể. Nếu sử dụng dịch vụ DDNS của Synology, bạn có thể cài đặt nhận thông báo ngay khi mất kết nối mạng bên ngoài. 

Tìm hiểu thêm các thông tin về DDNS qua bài viết DDNS là gì? Tổng quan cách thức hoạt động, ứng dụng thực tiễn

Việc hành động ngay tức thì khi có thông báo về dung lượng lưu trữ sắp hết hay các tác vụ sao lưu và khôi phục không thành công hoặc phát hiện đối tượng cố gắng đăng nhập nhiều lần sẽ đóng 1 vai trò quan trọng trong việc đảm bảo hiệu suất và tính bảo mật lâu dài cho dữ liệu của bạn.

2.4 Mẹo 4: Xác minh 2 bước

Nếu bạn muốn bổ sung thêm một lớp bảo mật bổ sung cho tài khoản của mình, chúng tôi khuyên bạn nên sử dụng tính năng Xác minh 2 bước. Để thiết lập tính năng Xác minh 2 bước trên tài khoản Synology, bạn sẽ cần một thiết bị di động và ứng dụng xác thực hỗ trợ cung cấp mật khẩu sử dụng một lần dựa trên thời gian (TOTP). 

Việc đăng nhập sẽ yêu cầu bạn cung cấp đầy đủ thông tin xác thực người dùng và chuỗi xác thực gồm 6 chữ số bị giới hạn thời gian, cung cấp từ Microsoft Authenticator, Authy hoặc các ứng dụng xác thực khác.

Đối với Tài khoản Synology, nếu bạn bị mất điện thoại có chứa ứng dụng xác thực, bạn có thể sử dụng các mã dự phòng được cung cấp trong quá trình thiết lập xác thực 2 bước để đăng nhập. Điều quan trọng ở đây là bạn cần lưu giữ an toàn cho các mã dự phòng này bằng cách tải xuống và lưu trữ cục bộ trên các thiết bị cá nhân.

Khi truy cập vào Synology DSM, nếu bạn không thể đăng nhập thông qua trình xác thực 2 bước thì bạn có thể đặt lại cài đặt này như phương án cuối cùng. Bạn có thể nhờ người dùng có tài khoản mặc định, có thể truy cập để đặt lại cấu hình.

Trong trường hợp xấu nhất khi tất cả tài khoản quản trị viên đều không thể truy cập được nữa, bạn sẽ cần đặt lại thông tin xác thực và cài đặt lại thiết bị. Bạn cần giữ nút RESET tại mặt sau thiết bị trong khoảng 4 giây (bạn sẽ nghe thấy tiếng bíp) rồi khởi chạy Synology Assistant để cấu hình lại thiết bị.

2.5 Mẹo 5: Chạy Security Advisor

Security Advisor là ứng dụng tích hợp sẵn trong hệ điều hành DSM, cung cấp cơ chế phân tích, quét thiết bị NAS của bạn để phát hiện ra các sự cố cấu hình DSM phổ biến. Từ đó, ứng dụng sẽ cung cấp cho người dùng các đề xuất về cách thức giải quyết để bạn có thể giữ an toàn cho thiết bị NAS Synology của mình. 

Security Advisor có thể phát hiện xâm nhập trái phép trong việc mở quyền truy cập SSH hay các tệp hệ thống DSM có bị sửa đổi hay không.

2.6 Mẹo 6: Thiết lập các tính năng bảo mật DSM cơ bản

Bạn có thể định cấu hình một số cài đặt bảo mật trong tab Control Panel > Security để bảo mật tài khoản người dùng của mình. Có thể kể đến 1 số tính năng bảo mật như:

Tự động chặn IP

Mở tab Control Panel > Security > Auto Block. Tính năng Auto Block giúp tự động chặn địa chỉ IP của khách hàng đăng nhập không thành công trong một số lần nhất định hay khoảng thời gian được chỉ định. Quản trị viên cũng có thể đưa các địa chỉ IP của người dùng vào danh sách đen để ngăn chặn các cuộc tấn công trái phép hoặc từ chối dịch vụ phân tán.

Quản trị viên có thể thiết lập số lần thử dựa trên môi trường triển khai và hình thức người dùng thường xuyên truy cập. Thực tế cho thấy: Hầu hết các gia đình và doanh nghiệp hiện nay chỉ dùng duy nhất 1 địa chỉ IP bên ngoài cho người dùng của họ. Địa chỉ IP này là Dynamic IP và sẽ bị thay đổi sau một thời gian nhất định.

Bảo vệ tài khoản

Bên cạnh việc sử dụng Auto Block để phân loại các địa chỉ IP thất bại nhiều lần trong việc đăng nhập vào danh sách đen. Bạn cũng có thể sử dụng Account Protection để bảo vệ tài khoản bằng cách chặn quyền truy cập của các ứng dụng khách không đáng tin cậy.

Hãy vào Control Panel > Security > Account Protection Bạn có thể bật tính năng này để bảo vệ tài khoản cá nhân khỏi các máy khách không tin cậy sau số lần đăng nhập không thành công.

Kích hoạt HTTPS

Như các bạn đã biết HTTS là phiên bản nâng cấp bảo mật của giao thức HTTP cũ. Chữ 'S' ở cuối HTTPS là viết tắt của "Secure" (Bảo mật), đồng nghĩa với việc tất cả các lưu lượng mạng giữa NAS Synology và các máy khách được kết nối sẽ được mã hóa an toàn, giúp bảo vệ khỏi các hình thức nghe lén hoặc tấn công trung gian phổ biến.

Bạn cần đi tới Control Panel > Network > DSM Settings. Nhấn tích chọn vào hộp Automatically redirect HTTP connections to HTTPS. Bây giờ bạn sẽ kết nối với DSM thông qua giao thức bảo mật HTTPS. 

Nâng cao: Tùy chỉnh quy tắc Tường lửa

Tường lửa hay Firewall đóng vai trò là lớp phòng thủ hữu hiệu, hỗ trợ việc lọc lưu lượng mạng từ bên ngoài vào mạng nội bộ của gia đình và doanh nghiệp theo một bộ quy tắc. Bạn đi tới Control Panel > Security > Firewall để thiết lập các quy tắc tường lửa nhằm ngăn chặn việc đăng nhập trái phép và kiểm soát truy cập dịch vụ. 

Bạn có thể chủ động việc cho phép hoặc từ chối quyền truy cập vào một số cổng mạng nhất định theo từng địa chỉ IP cụ thể.

Xem thêm: Tường lửa là gì? Những thông tin chuyên sâu về tường lửa

2.7 Mẹo 7: HTTPS nâng cấp – Let's Encrypt

Chứng chỉ kỹ thuật số đóng vai trò quan trọng trong việc kích hoạt HTTPS tuy nhiên lại có mức giá khá đắt tiền và khó tiếp cận, đặc biệt đối với những người dùng không phải là doanh nghiệp. DSM có hỗ trợ tích hợp cho Let's Encrypt - Một tổ chức cấp chứng chỉ tự động và hoàn toàn miễn phí, giúp người dùng NAS Synology có thể dễ dàng bảo mật kết nối của họ.

Nếu bạn đã đăng ký tên miền hoặc đang sử dụng DDNS, hãy truy cập Control Panel > Security > Certificate . Nhấp vào  Add a new certificate > Get a certificate from Let’s Encrypt Bạn nên lựa chọn Set as default certificate. Cuối cùng nhập tên miền của bạn để nhận chứng chỉ.

2.8 Mẹo 8: Thay đổi cổng mặc định

Việc thay đổi cổng HTTP (5000) và HTTPS (5001) mặc định của Synology DSM thành cổng tùy chỉnh không thể ngăn chặn các cuộc tấn công có chủ đích. Tuy nhiên việc này có thể ngăn chặn các mối đe dọa phổ biến nhắm vào các dịch vụ được xác định trước. 

Để thay đổi các cổng mặc định, bạn cần truy cập vào Control Panel > Network > DSM Settings và tùy chỉnh số cổng. Bạn cũng nên thay đổi cổng SSH mặc định (22) nếu thường xuyên sử dụng quyền truy cập shell.

Bạn cũng có thể triển khai proxy ngược để giảm thiểu tối đa các vectơ tấn công tiềm ẩn nhắm vào các dịch vụ web cụ thể nhằm tăng cường bảo mật. Proxy ngược hoạt động như một cầu nối trung gian giữa máy chủ nội bộ và máy khách từ xa, ẩn một số thông tin quan trọng của máy chủ có thể kể đến như địa chỉ IP thực.

2.9 Mẹo 9: Tắt SSH/telnet khi không sử dụng

Nếu bạn là người dùng thành thạo thường yêu cầu quyền truy cập shell, đừng quên tắt tùy chọn SSH/telnet khi không sử dụng. Vì quyền truy cập Root sẽ được bật theo mặc định và giao thức SSH/telnet chỉ hỗ trợ đăng nhập từ tài khoản quản trị viên mặc định. Vì vậy, tin tặc có thể tấn công dò mật khẩu của bạn để có được quyền truy cập trái phép vào hệ thống của bạn. 

Việt Tuấn khuyên bạn nên đặt mật khẩu mạnh hoặc thay đổi số cổng SSH mặc định (22) để tăng cường tính bảo mật. Bạn cũng có thể xem xét việc sử dụng các ứng dụng VPN và giới hạn quyền truy cập SSH đối với các IP cục bộ hoặc IP đáng tin cậy đã được xác thực.

2.10 Mẹo 10: Mã hóa thư mục chia sẻ

Hệ điều hành Synology DSM hỗ trợ công nghệ mã hóa AES-256 cho các thư mục chia sẻ của bạn để ngăn chặn việc xâm nhập hay đánh cắp dữ liệu khỏi các mối đe dọa bị đánh cắp ổ cứng vật lý. Quản trị viên có thể mã hóa các thư mục chia sẻ mới được tạo hoặc các thư mục đã được tạo từ trước..

Để mã hóa các thư mục chia sẻ hiện có, bạn Control Panel > Shared Folder và vào phần chỉnh sửa thư mục. Thiết lập khóa mã hóa trong tab Mã hóa Encryption và hệ điều hành DSM sẽ bắt đầu mã hóa thư mục. 1 yếu tố tiên quyết là bạn cần lưu tệp khóa mã hóa được tạo ở một vị trí an toàn. Nếu không có tệp khóa mã hóa, bạn sẽ không thể khôi phục dữ liệu được mã hóa và dữ liệu quan trọng có thể bị mất hoàn toàn nếu không thể giải mã.

3. Tổng kết

Các mối đe dọa trực tuyến luôn phát triển và bảo mật dữ liệu cần phải đa diện như nhau. Trong xu hướng ngày càng có nhiều thiết bị kết nối được sử dụng tại nhà riêng và tại văn phòng làm việc, những kẻ tấn công trên không gian mạng sẽ dễ dàng khai thác các lỗ hổng bảo mật và xâm nhập vào mạng nội bộ hay các dữ liệu quan trọng của bạn. Việc giữ an toàn cho dữ liệu không phải là việc chỉ làm 1 lần, đây là cả một quá trình lâu dài mà cá nhân người dùng hay doanh nghiệp sẽ cần phải luôn chú trọng.