Tôi đã kiểm tra mạng lưới hơn mười năm nay rồi, và tôi cần nói rõ điều này: NFT không thể bảo vệ mạng của bạn. Tôi biết bạn đã thấy các tiêu đề. Có thể ai đó đã đề xuất cho bạn đăng nhập dựa trên NFT. Có thể bạn đã đọc về bảo mật blockchain trên Twitter. Nhưng đây là những gì tôi thực sự thấy làm hỏng mạng—các router cấu hình sai, mật khẩu dùng đi dùng lại, firmware chưa được vá lỗi chạy từ năm 2021. Chưa từng có NFT nào là vấn đề. Chưa từng có NFT nào là giải pháp.

Cụm từ "cách giữ an toàn cho mạng của bạn với các giải pháp NFT" không phải là lời khuyên thực sự. Đó là một cái bẫy từ khóa. Đó là khi ai đó nhầm lẫn "blockchain" với "bảo mật." Chúng không giống nhau. Thậm chí còn xa nhau.

Hãy để tôi nói rõ về những gì tôi đã chứng kiến xảy ra năm ngoái. Một ngân hàng trung bình trì hoãn triển khai MFA trong bốn tháng vì CTO của họ đã chạy theo đăng nhập dựa trên NFT. Bốn tháng. Trong khi mạng của họ đã bị phơi bày. Trong khi đó, tôi đã thấy các nhà cung cấp tuyên bố sản phẩm của họ được bảo vệ bằng NFT, token hóa, xác minh bằng blockchain—và khi hỏi nơi lưu trữ khóa mã hóa thực sự, họ im lặng. Tôi đã kiểm tra ba nền tảng NFT an toàn giả định vào tháng trước. Không nền nào có báo cáo SOC 2. Không có kết quả kiểm thử thâm nhập công khai nào. Một whitepaper chỉ đơn thuần là ba trang ẩn dụ.

Đây là những gì thực sự hiệu quả. Những gì tôi triển khai trên mọi mạng lưới. Những gì ngăn chặn các cuộc tấn công thực sự:

Mật khẩu mạnh cộng với MFA. Không phải một trong hai. Cả hai. Và đừng dùng xác thực SMS 2FA—nó bị chặn bắt. Dùng Microsoft Authenticator hoặc chìa khóa phần cứng. Tôi vô hiệu hóa SMS trên mọi mạng khách hàng.

Vá tất cả mọi thứ. Router của bạn chạy firmware năm 2021? Đã bị xâm nhập theo ba cách rõ ràng. Hệ điều hành của bạn? Cũng vậy. Không ngoại lệ.

Phân đoạn mạng. Nếu VLAN của bộ phận nhân sự có thể nói chuyện với Wi-Fi khách, nếu máy in của bạn có thể truy cập vào máy chủ bảng lương, bạn đã thua rồi. Phòng chống xâm nhập không phải lý thuyết khi bạn phân đoạn đúng—nó tự động.

DNS mã hóa. DoH hoặc DoT. Ngăn chặn nghe lén cục bộ. Chặn chuyển hướng malware DNS. Không tốn thêm phí. Chỉ cần bật lên.

Trước giờ ăn trưa hôm nay, hãy làm điều này: tắt UPnP, đổi tên tài khoản quản trị mặc định của bạn (thật nghiêm túc, đổi "admin"/"password"), xác minh cập nhật tự động thực sự được bật và hoạt động.

Bạn không cần AI. Bạn không cần blockchain. Bạn cần kỷ luật.

Tôi đã xây dựng một kế hoạch bảo mật thực sự cho một công ty luật nhỏ vào năm ngoái. Tuần đầu tiên, tôi tắt Telnet và SMBv1. Tuần thứ ba, MFA ở mọi nơi. Từ tuần thứ năm đến tám, chúng tôi phân đoạn mạng đúng cách. Tuần thứ chín, chúng tôi tổ chức diễn tập mô phỏng—giả vờ firewall logs cho thấy Cobalt Strike, xem ai thực sự biết nơi lưu trữ bản sao lưu. Thành công không đo bằng các công cụ đắt tiền. Nó đo bằng những gì không xảy ra: không có CVE nào bị vá lỗi trong 30 ngày, không có click phishing nào sau tháng thứ hai.

Tôi đã đọc 47 bản trình bày của nhà cung cấp trong năm nay. Tất cả đều dùng các cụm từ như "truy cập bảo vệ bằng NFT" hoặc "tường lửa token hóa" hoặc "sở hữu khóa mạng của bạn qua NFT." Bạn biết ý nghĩa thực sự của chúng là gì không? Một tra cứu cơ sở dữ liệu kèm theo một API gọi thêm. Một tệp cấu hình đổi tên thành firewall.json. Bạn giữ một token trỏ đến một khóa mà người khác kiểm soát. FTC đã phạt một công ty 2,5 triệu đô la năm ngoái vì tuyên bố VPN xác thực bằng NFT của họ đáp ứng FIPS 140-2. Thật ra thì không.

Nếu nhà cung cấp bắt đầu bằng bảo mật NFT trước khi đề cập đến TLS 1.3 hoặc vá lỗi CVE, hãy rút lui. Nếu buổi trình diễn không cho thấy một module bảo mật phần cứng hoặc tạo khóa cách ly, hãy coi đó là sân khấu.

Blockchain làm tốt một việc: làm cho các nhật ký khó giả mạo. Điều đó hữu ích. Nó không phải là ma thuật. Nó không phải là tường lửa. Nó là sổ cái. Tường lửa của bạn vẫn cần các quy tắc. Người dùng của bạn vẫn cần đào tạo. CISO của bạn vẫn cần ngủ.

Bảo mật thực sự nhàm chán. Đó là cập nhật firmware. Đó là kiểm tra router của bạn ngay bây giờ. Đó là thay đổi mật khẩu mặc định đó.

Đừng chạy theo các token sáng bóng. Danh sách Shields Up của CISA là miễn phí. NIST SP 800-207 là miễn phí. CIS Controls v8 là miễn phí. Hãy sử dụng chúng. Sự nhất quán luôn vượt trội hơn sự mới lạ từng lần một.

MFA cho mọi tài khoản quản trị và đám mây. Làm ngay trước ngày mai. Không phải tuần tới. Không phải sau cuộc họp. Trước khi bạn đóng trình này lại. Mạng của bạn không an toàn vì nó trông có vẻ an toàn. Nó an toàn vì bạn đã thực sự làm công việc đó.