Tổng hợp lý thuyết ôn tập chương 1 của môn An toàn mạng | Học viện Công nghệ Bưu chính Viễn thông

Tổng hợp lý thuyết ôn tập chương 1 của môn An toàn mạng của Học viện Công nghệ Bưu chính Viễn thông với những kiến thức và thông tin bổ ích giúp sinh viên tham khảo, ôn luyện và phục vụ nhu cầu học tập của mình cụ thể là có định hướng ôn tập, nắm vững kiến thức môn học và làm bài tốt trong những bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, từ đó học tập tốt và có kết quả cao cũng như có thể vận dụng tốt những kiến thức mình đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!

lOMoARcPSD|37054152
Chương 1: Giới thiệu an ninh mạng
1.1) TÌNH HÌNH AN NNINH MẠNG VIỆT NAM
Có nhiều thách thức an ninh mang tính toàn cầu như chiến tranh mạng, khủng b
mạng, tội phạm mạng, nhiễu loạn thông tin, … Cơ quan an ninh Anh đã cảnh báo
15 nhà máy hạt nhân và các sân bay trên toàn nước Anh có nguy cơ bị khủng bố,
tấn công mạng rất cao.
Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng
Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm 62,76%
dân số). Đứng đầu Đông Nam Á về số lượng tên miền quốc gia; xếp thứ 2 khu vực
Đông Nam Á, thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (tính đến
tháng 12/2016). Sự phát triển của không gian mạng cũng làm nảy sinh nhiều nguy
cơ, thách thức mới đối với an ninh quốc gia cũng như an toàn, lợi ích của các cơ
quan, doanh nghiệp và cá nhân.
Còn một số lượng lớn trang web, blog, mạng xã hội… của các tổ chức, cá nhân
trong và ngoài nước đăng tải hàng triệu thông tin, bài viết, ý kiến trao đổi, bình
luận ở tất cả các lĩnh vực của đời sống xã hội, dưới nhiều góc độ, nhiều khía cạnh,
mục đích khác nhau mà không đảm bảo tính chính xác, khách quan của thông tin.
Nhiều thông tin sai lệch được phát tán trên không gian mạng đã xúc phạm nghiêm
trọng danh dự, nhân phẩm, khủng bố tinh thần của công dân, gây hoang mang dư
luận, thậm chí đe dọa đến an ninh, trật tự; điển hình là thông tin Việt Nam đổi tiền
xuất hiện vào cuối năm 2016.
Riêng năm 2016, có tới gần 7.000 trang/cổng thông tin điện tử của Việt nam bị tấn
công. Nhiều thiết bị kết nối Internet (IoT) tồn tại lỗ hổng bảo mật dẫn đến nguy cơ
tin tặc khai thác, chiếm đoạt sử dụng làm bàn đạp cho các cuộc tấn công mạng trên
thế giới.
Hệ thống thông tin trọng yếu, nhất là hàng không, ngân hàng, viễn thông có nguy
cơ bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn
công mạng vào ngành hang không Việt Nam ngày 29/7/2016.
Các hành vi tấn công mạng, trộm cắp thông tin thẻ tín dụng, chiếm đoạt tài sản
thông qua các hoạt động thương mại điện tử, sử dụng các dịch vụ Internet, viễn
thông, mạng xã hội để lừa đảo, chiếm đoạt tài sản.
lOMoARcPSD|37054152
Tình trạng tội phạm sử dụng mạng máy tính tiếp tục gia tăng với quy mô lớn, có tổ
chức, tập trung vào lĩnh vực tài chính, ngân hàng, thương mại điện tử, thị trường
“tín dụng đen”, đánh cắp dữ liệu công dân, mã số thuế, hải quan điện tử để lừa đảo,
chiếm đoạt tài sản là một thách thức lớn mà Việt Nam phải giải quyết. Các cổng
thông tin điện tử, website, hệ thống mạng thông tin chưa được xây dựng theo một
tiêu chuẩn thống nhất, thiếu sự kiểm định về an ninh thông tin, an ninh mạng. Các
phần mềm và thiết bị phần cứng tồn tại lỗi bảo mật nhưng chưa được khắc phục
kịp thời. Tình trạng sử dụng phần mềm không có bản quyền còn phổ biến, chưa có
chính sách đảm bảo an ninh mạng, đội ngũ quản trị mạng còn hạn chế
1.2) CHỈ SỐ AN NINH MẠNG TOÀN CẦU
Mã độc hoành hành trong thời gian qua đã cho thấy lỗ hổng lớn trong hệ thống an
ninh mạng toàn cầu của 193 quốc gia trên thế giới. Chỉ số An ninh mạng toàn cầu
là một chỉ số tổng hợp đánh giá và so sánh mức độ cam kết đảm bảo an ninh mạng
của các nước thành viên dựa trên 5 yếu tố:
Công nghệ,
Tổ chức,
Luật pháp,
Hợp tác,
Tiềm năng phát triển
Mục đích chính của chỉ số an ninh mạng toàn cầu là để phân loại, xếp thứ hạng và
sau đó là đánh giá, dự báo, định hướng quá trình phát triển trong tầm khu vực cũng
như trên quy mô toàn cầu. Việt Nam đã gia nhập tổ chức này từ năm 1951.
Chỉ số an ninh mạng toàn cầu còn phân loại các quốc gia thành viên vào 3 nhóm
dựa trên thực trạng phát triển an ninh mạng. Đó là giai đoạn hình thành: 96 nước
lOMoARcPSD|37054152
(trong đó có Việt Nam), giai đoạn đang phát triển: 77 nước và giai đoạn dẫn đầu:
21 nước.
Năm 2016 và ngay trong nửa đầu năm 2017 là thời gian rất phức tạp và có nhiều
diễn biến xấu đối với tình hình an ninh mạng toàn cầu. Các quốc gia cần thực hiện
cam kết mạnh mẽ hơn nữa để phát triển và xây dựng một thế giới hiện đại an toàn
hơn, lành mạnh hơn.
1.3) MỘT SỐ THUẬT NGỮ CẦN THIẾT
Hack value (Giá trị hack) là khái niệm của các hacker rằng một thứ gì đó
đáng làm hoặc thú vị. Nó thường được sử dụng để mô tả mức độ hấp dẫn của
một cuộc tấn công tiềm năng đối với một hacker.
Zero-day attack (Tấn công zero-day) là một cuộc tấn công khai thác các lỗ
hổng bảo mật trong phần mềm mà nhà phát triển phần mềm chưa biết. Các
cuộc tấn công zero-day thường rất nguy hiểm vì không có bản vá bảo mật
nào để bảo vệ chống lại chúng.
Vulnerability (Lỗ hổng) là một sự tồn tại của một điểm yếu, thiết kế hoặc
lỗi triển khai có thể dẫn đến một sự kiện bất ngờ, làm tổn hại đến tính bảo
mật của hệ thống. Các lỗ hổng có thể được khai thác bởi các hacker để thực
hiện các cuộc tấn công.
Daisy chaining (Liên kết hoa cúc) là một kỹ thuật tấn công liên quan đến
việc truy cập vào một mạng và/hoặc máy tính và sau đó sử dụng thông tin
tương tự để truy cập vào nhiều mạng và máy tính khác chứa thông tin mong
muốn.
Exploit (Khai thác) là một đoạn mã được sử dụng để khai thác một lỗ hổng
bảo mật. Mã khai thác thường được viết bởi các hacker để thực hiện các
cuộc tấn công.
lOMoARcPSD|37054152
Payload (Tải) phần của mã khai thác thực hiện hành động độc hại dự
định, chẳng hạn như phá hủy, tạo backdoor hoặc chiếm quyền điều khiển
máy tính.
Doxing là việc công bố thông tin cá nhân có thể nhận dạng được về một cá
nhân được thu thập từ các cơ sở dữ liệu và phương tiện truyền thông xã hội
có sẵn công khai. Doxing thường được sử dụng để đe dọa hoặc quấy rối nạn
nhân.
Bot là một ứng dụng phần mềm có thể được điều khiển từ xa để thực thi
hoặc tự động hóa các tác vụ được xác định trước. Bot thường được sử dụng
để thực hiện các cuộc tấn công mạng, chẳng hạn như spam hoặc phân tán
dịch vụ từ chối truy cập (DDoS).
1.4) CÁC YẾU TỐ BẢO MẬT THÔNG TIN
Các yếu tố bảo mật thong tin được chia thành 5 yếu tố chính:
Bí mật (confidentiality): Đảm bảo rằng thông tin chỉ có thể truy cập được
bởi những người được phép. Điều này ngăn chặn những người không được
phép xem, sử dụng hoặc tiết lộ thông tin nhạy cảm.
Toàn vẹn (integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc sửa
đổi trái phép. Điều này ngăn chặn những người không được phép thay đổi
thông tin theo cách có thể gây hại hoặc gian lận.
Sẵn sàng (availability): Đảm bảo rằng thông tin có sẵn khi cần thiết. Điều
này ngăn chặn việc truy cập hoặc sử dụng thông tin bị hạn chế hoặc bị gián
đoạn.
Xác thực (authenticity): Đảm bảo rằng thông tin đến từ nguồn đáng tin cậy.
Điều này ngăn chặn những kẻ mạo danh gửi hoặc nhận thông tin giả mạo.
Không từ chối (non-repudiation): Đảm bảo rằng người gửi hoặc người
nhận thông tin không thể phủ nhận việc gửi hoặc nhận thông tin. Điều này
có thể giúp bảo vệ khỏi các vụ gian lận hoặc lạm dụng.
lOMoARcPSD|37054152
1.5) TAM GIÁC BẢO MẬT, CHỨC NĂNG VÀ KHẢ NĂNG SỬ
DỤNG
Tam giác này là một biểu tượng của sự cân bằng giữa ba yếu tố. Nếu bạn muốn
tăng cường bảo mật, bạn sẽ phải hy sinh một số chức năng hoặc khả năng sử dụng.
Ngược lại, nếu bạn muốn tăng cường chức năng hoặc khả năng sử dụng, bạn sẽ
phải hy sinh một số bảo mật.
Theo mô hình tam giác, mức độ bảo mật của bất kỳ hệ thống nào có thể được xác
định bởi sức mạnh của ba thành phần:
Bảo mật: Mức độ bảo vệ hệ thống khỏi các mối đe dọa như truy cập trái
phép, thay đổi dữ liệu hoặc phá hủy dữ liệu.
Chức năng: Số lượng và tính năng của các chức năng mà hệ thống cung
cấp.
Khả năng sử dụng: Mức độ dễ dàng và thuận tiện mà người dùng có thể sử
dụng hệ thống.
Chuyển bóng về phía bảo mật có nghĩa là ít chức năng và khả năng sử dụng hơn.
Ví dụ: nếu bạn muốn tăng cường bảo mật bằng cách thêm xác thực hai yếu tố, bạn
sẽ phải yêu cầu người dùng nhập mã xác thực từ thiết bị di động của họ. Điều này
sẽ làm cho việc sử dụng hệ thống trở nên khó khăn hơn một chút.
Tương tự, chuyển bóng về phía chức năng có nghĩa là ít bảo mật và khả năng sử
dụng hơn. Ví dụ: nếu bạn muốn thêm một tính năng mới cho hệ thống, bạn sẽ phải
mở ra các lỗ hổng bảo mật mới. Bạn cũng có thể phải thêm các điều khiển phức tạp
hơn, khiến hệ thống trở nên khó sử dụng hơn.
lOMoARcPSD|37054152
Cuối cùng, chuyển bóng về phía khả năng sử dụng có nghĩa là ít bảo mật và
chức năng hơn. Ví dụ: nếu bạn muốn đơn giản hóa giao diện người dùng của hệ
thống, bạn có thể phải loại bỏ một số tính năng bảo mật hoặc chức năng.
Mô hình tam giác bảo mật, chức năng và khả năng sử dụng là một công cụ hữu ích
để giúp các nhà phát triển hệ thống cân bằng giữa ba yếu tố quan trọng này.
1.6) RỦI RO VÀ TẤN CÔNG TRONG AN NINH THÔNG TIN
a) Động cơ, mục tiêu và mục tiêu của các cuộc tấn công an ninh thông tin.
Trong đó:
Động cơ: Là lý do tại sao kẻ tấn công muốn thực hiện cuộc tấn công. Động
cơ phổ biến nhất là tiền, danh tiếng hoặc quyền lực.
Phương thức: Cách thức, kế hoạch, công cụ để thực hiện tấn công
Lỗ hổng: Điểm yếu của hệ thống, nơi hacker sẽ lợi dụng để có thể thâm
nhập và thực hiện tấn công
Động cơ bắt nguồn từ quan niệm rằng hệ thống mục tiêu lưu trữ hoặc xử lý thứ gì
đó có giá trị và điều này dẫn đến mối đe dọa tấn công hệ thống.
Kẻ tấn công cố gắng sử dụng nhiều công cụ và kỹ thuật tấn công để khai thác các
lỗ hổng trong hệ thống máy tính hoặc chính sách bảo mật và kiểm soát để đạt được
động cơ của họ.
Có 5 động lực để thực hiện một vụ tấn công gồm:
Làm gián đoạn hoạt động kinh doanh liên tục
Tuyên truyền niềm tin tôn giáo hoặc chính trị
Thay đổi dữ liệu
Tạo ra nỗi sợ hãi và hỗn loạn bằng cách làm gián đoạn các cơ sở hạ tầng
quan trọng
Thu nhập các mục tiêu quân sự của nhà nước
Gây tổn hại danh tiếng của mục tiêu
Trả thù
lOMoARcPSD|37054152
1.7) CÁC MỐI ĐE DỌA THÔNG TIN HÀNG ĐẦU
Điện toán đám mây là một mô hình cung cấp các tài nguyên máy tính trên cơ sở
yêu cầu, bao gồm cả dữ liệu nhạy cảm của tổ chức và khách hàng. Các mối đe dọa
điện toán đám mây bao gồm:
Lỗ hổng trong đám mây ứng dụng của một khách hàng cho phép kẻ tấn công
truy cập dữ liệu của các khách hàng khác.
Sự cố trong cơ sở hạ tầng đám mây có thể dẫn đến mất dữ liệu hoặc gián
đoạn dịch vụ.
Bất cẩn của người dùng có thể dẫn đến việc rò rỉ dữ liệu.
APT là viết tắt của Advanced Persistent Threat, là một cuộc tấn công tập trung vào
việc đánh cắp thông tin từ máy nạn nhân người dùng không biết. Các mối đe dọa
APT bao gồm:
Sử dụng phần mm độc hại tinh vi để xâm nhập vào máy nạn nhân. Lừa
đảo người dùng tiết lộ thông tin nhạy cảm.
Vi-rút và sâu là các mối đe dọa mạng phổ biến nhất, có thể lây nhiễm vào mạng
trong vòng vài giây. Các mối đe dọa vi-rút và sâu bao gồm:
Lây lan qua email, tệp đính kèm hoặc các phương tiện khác. Phá hoại dữ
liệu hoặc hệ thống.
Sự gia tăng việc sử dụng thiết bị di động cho mục đích kinh doanh và cá nhân đã
khiến các thiết bị di động trở thành mục tiêu tấn công của tin tặc. Các mối đe dọa
thiết bị di động bao gồm:
Chèn mã độc vào ứng dụng di động. Trộm dữ liệu từ thiết bị di động.
Botnet là mt mạng lưới lớn các hệ thống bị xâm nhập được sử dụng bởi kẻ xâm
nhập để thực hiện các cuộc tấn công mạng khác nhau. Các mối đe dọa botnet bao
gồm:
Gửi thư rác.
Thực hiện các cuộc tấn công DDoS.
Tấn công nội bộ là một cuộc tấn công được thực hiện bởi một người được ủy
quyền truy cập vào mạng. Các mối đe dọa tấn công nội bộ bao gồm:
Trộm dữ liệu.
lOMoARcPSD|37054152
Phá hoại hệ thống.
1.8) CÁC LOẠI ĐE DỌA BẢO MẬT THÔNG TIN
Mối đe dọa mạng những mối đe dọa nhắm vào mạng máy tính, chẳng hạn như:
Thu thập thông tin: Tin tặc có thể thu thập thông tin về mạng, chẳng hạn như địa
chỉ IP, tên miền các lỗ hổng bảo mật, bằng cách sử dụng các kỹ thuật như quét
mạng và nghe trm.
Tấn công mạng: Tin tặc có thể sử dụng các kỹ thuật tấn công mng, chẳng
hạn như tấn công từ chối dịch vụ (DDoS), tấn công giả mạo (spoofing) và
tấn công Man-in-the-Middle (MITM), để gây gián đoạn hoặc chiếm quyền
kiểm soát mạng.
Mối đe dọa máy chủ là những mối đe dọa nhắm vào máy chủ, chẳng hạn như:
Malicious software: Phần mềm độc hại, chẳng hạn như virus, phần mềm
gián điệp và ransomware, có thể được sử dụng để xâm nhập vào máy chủ và
lấy cắp dữ liệu hoặc phá hủy hệ thống.
Tấn công bằng mật khẩu: Tin tặc có thể sử dụng các kỹ thuật tấn công mật
khẩu, chẳng hạn như tấn công brute-force và tấn công dictionary, để đoán
mật khẩu của người dùng và chiếm quyền truy cập vào máy chủ.
Tấn công nâng cao đặc quyền: Tin tặc có thể sử dụng các lỗ hổng bảo mật để
nâng cao đặc quyền của họ và truy cập vào các tài nguyên nhạy cảm.
Mối đe dọa ứng dụng là những mối đe dọa nhắm vào ứng dụng, chẳng hạn như:
Lỗi xác thực và ủy quyền: Các lỗi xác thực và ủy quyền có thể cho phép tin
tặc truy cập vào các tài nguyên mà họ không được phép truy cập.
Lỗi nhập liệu: Các lỗi nhập liệu có thể được sử dụng để thực thi mã độc hoặc
chiếm quyền kiểm soát ứng dụng.
Tấn công SQL injection: Tin tặc có thể sử dụng SQL injection để thực thi
mã độc hoặc lấy cắp dữ liệu từ cơ sở dữ liệu.
1.9) CÁC LOẠI TẤN CÔNG AN NINH MẠNG
Tấn công hệ điều hành (Operating System Attacks): Tin tặc tìm kiếm
các lỗ hổng trong thiết kế, cài đặt hoặc cấu hình của hệ điều hành để
khai thác và xâm nhập vào hệ thống. Các lỗ hổng hệ điều hành phổ biến
lOMoARcPSD|37054152
bao gồm buffer overflow, lỗi trong hệ điều hành, hệ điều hành chưa
được vá, v.v.
Tấn công cấu hình sai (Misconfiguration Attacks): Các lỗ hổng cấu
hình ảnh hưởng đến máy chủ web, nền tảng ứng dụng, cơ sở dữ liệu,
mạng hoặc khung công tác có thể dẫn đến truy cập trái phép hoặc có thể
chiếm quyền sở hữu hệ thống.
Tấn công cấp ứng dụng (Application-Level Attacks): Tin tặc khai
thác các lỗ hổng trong các ứng dụng đang chạy trên hệ thống thông tin
của tổ chức để có được quyền truy cập trái phép và đánh cắp hoặc thao
túng dữ liệu. Các cuộc tấn công cấp ứng dụng phổ biến bao gồm buffer
overflow, cross-site scripting, SQL injection, man-in-the-middle, session
hijacking, denial-of-service, v.v.
Tấn công mã nguồn gói (Shrink-Wrap Code Attacks): Tin tặc khai
thác cấu hình mặc định và cài đặt của các thư viện và mã có sẵn.
1.10) CHIẾN TRANH THÔNG TIN
Chiến tranh thông tin là việc sử dụng thông tin và ng nghệ tng tin (ICT) để
đạt được lợi thế cạnh tranh so với đối thủ. Sơ đchia chiến tranh thông tin thành
hai loại chính: chiến tranh thông tin phòng thủ và chiến tranh thông tin tấn công.
Chiến tranh thông tin phòng thủ đề cập đến tất cả các chiến lược và hành động
để bảo vệ chống lại các cuộc tấn công vào tài sản ICT. Điều này có thể bao gồm
các biện pháp như:
Phòng ngừa: Các biện pháp được thực hiện để ngăn chặn các cuộc tấn công
xảy ra ngay từ đầu.
Dissuasion: Các biện pháp được thực hiện để ngăn chặn kẻ tấn công thực
hiện các cuộc tấn công.
Sự cảnh báo: Các biện pháp được thực hiện để phát hiện các cuộc tấn công
đang diễn ra.
Phát hiện: Các biện pháp được thực hiện để xác định xem một cuộc tấn công
đã xảy ra hay chưa.
lOMoARcPSD|37054152
Phản ứng: Các biện pháp được thực hiện để ngăn chặn hoặc giảm thiểu tác
động của các cuộc tấn công đang diễn ra.
Chiến tranh thông tin tấn công đề cập đến thông tin chiến tranh liên quan đến
các cuộc tấn công vào tài sản ICT của đối thủ. Điều này có thể bao gồm các hoạt
động như:
Tấn công ứng dụng web: Các cuộc tấn công nhắm vào các ứng dụng web
của đối phương.
Tấn công máy chủ web: Các cuộc tấn công nhắm vào các máy chủ web của
đối phương.
Tấn công phần mềm độc hại: Các cuộc tấn công nhắm vào các hệ thống của
đối phương bằng cách cài đặt phần mềm độc hại.
Tấn công mạng: Các cuộc tấn công nhắm vào mạng của đối phương.
Tấn công xen giữa (MITM): Một loại tấn công mạng mà kẻ tấn công bí mật
chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ
đang trực tiếp giao tiếp với nhau.
Hack hệ thống: Quá trình xâm nhập vào hệ thống máy tính hoặc mạng để
giành quyền truy cập trái phép.
1.11) KHÁI NIỆM HACKING VÀ HACKER
Hack là việc khai thác các lỗ hổng hệ thống và xâm phạm các biện pháp bảo mật
để truy cập trái phép hoặc không phù hợp vào tài nguyên hệ thống. Nó bao gồm
việc sửa đổi các tính năng hệ thống hoặc ứng dụng để đạt được mục tiêu ngoài mc
đích ban đầu của người tạo. Hack có thể được sử dụng để đánh cắp, lấy cắp và
phân phối lại tài sản trí tuệ dẫn đến tổn thất kinh doanh.
lOMoARcPSD|37054152
Hacker, một người có kỹ năng máy tính xuất sắc và có khả năng tạo và khám phá
sâu vào phần mềm và phần cứng của máy tính. Hackers nổi tiếng với khả năng của
họ để tạo và khám phá sâu vào phần mềm và phần cứng của máy tính. Đối với một
số hacker, hack là một sở thích để xem họ có thể xâm phạm bao nhiêu máy tính
hoặc mạng. Đối với những người khác, mục đích của hack là để thu thập thông tin
hoặc thực hiện các hoạt động bất hợp pháp. Một số hacker hack với ý định xấu xa
đằng sau các chuyến đi ca họ, chẳng hạn như đánh cắp dữ liệu kinh doanh, thông
tin thẻ tín dụng, số an sinh xã hội, mật khẩu email, v.v.
1.12) PHÂN LOẠI HACKER
Hacker được chia làm 8 loại chính:
- Black Hats (Mũ đen): Black Hats (còn được gọi là hacker ác độc, hacker
xấu) là những cá nhân hoặc nhóm hacker sử dụng kỹ năng và kiến thức v
công nghệ thông tin để thực hiện các hoạt động bất hợp pháp hoặc tấn công
vào hệ thống mạng mà không có sự cho phép ca chủ sở hữu hay người
quản lý hệ thống.
- White Hats (Mũ trắng): White Hats (còn được gọi là hacker thiện chí,
hacker trắng) là những chuyên gia bảo mật mạng hoặc những người sử dụng
kỹ năng và kiến thức về công nghệ thông tin để tìm ra và khắc phục các l
hổng bảo mật trong hệ thống mạng.
- Gray Hats (Mũ xám): Gray Hats (còn được gọi là hacker xám) là những cá
nhân hoặc nhóm hacker có hành vi và hoạt động không rõ ràng hoặc không
hoàn toàn hợp pháp. Hacker Gray Hats có thể thực hiện các hoạt động không
phép hoặc vi phạm pháp luật, nhưng với mục đích thiện chí hoặc vì lợi ích
chung.
- Suicide Hacker (Hacker liều chết): Suicide hackers là những hacker thực
hiện các cuộc tấn công mạng có mục đích tự sát. Họ có thể là những người
đang gặp phải các vấn đề về tâm lý, chẳng hạn như trầm cảm, rối loạn lưỡng
cực, hoặc rối loạn nhân cách borderline. Những cuộc tấn công này thường có
quy mô lớn và gây ra thiệt hại nghiêm trọng.
- Script Kiddies: Script Kiddies (còn được gọi là skids) là những cá nhân
không có kiến thức sâu về an ninh mạng nhưng sử dụng các công cụ và kịch
bản (scripts) đã được tạo sẵn để thực hiện các cuộc tấn công mạng. Họ
không phải là những hacker chuyên nghiệp hoặc có khả năng phát triển các
lOMoARcPSD|37054152
công cụ mới, mà thay vào đó, họ tìm kiếm các công cụ và kịch bản từ nguồn
công cộng hoặc nhóm hacker khác.
- Cyber Terorists: Cyber Terrorists (khủng bố mạng) là những cá nhân hoặc
nhóm sử dụng công nghệ thông tin và mạng máy tính để thực hiện các hoạt
động tấn công điện tử nhằm gây ra sự kinh hoàng, tạo ra sự hoang mang và
tạo ra hậu quả nghiêm trọng cho xã hội. Họ sử dụng các phương pháp tấn
công mạng nhằm vào các hệ thống, cơ sở hạ tầng, tổ chức hoặc cá nhân với
mục tiêu tạo ra sự sợ hãi, tàn phá, hoặc gây ảnh hưởng đến sự ổn định, an
ninh và kinh tế của mt quốc gia hoặc cộng đồng.
- State Sponsored Hackers: State-sponsored hackers (kẻ tấn công được tài
trợ bởi nhà nước) là những hacker hoặc nhóm hacker được một quốc gia
hoặc tổ chức chính phủ cụ thể tài trợ, hỗ trợ hoặc bảo hộ. Điều này có nghĩa
là những kẻ tấn công này thực hiện các hoạt động tấn công mạng với sự ủy
quyền và hỗ trợ của mt quốc gia hoặc tổ chức chính phủ.
- Hacktivist: Hacktivist (từ ghép giữa hacker và activist) là một người hoặc
một nhóm hacker sử dụng kỹ thuật hacking và hoạt động trên mạng để thực
hiện các hoạt động chính trị, xã hội hoặc tôn giáo nhằm thúc đẩy hoặc chống
lại một vấn đề cụ thể. Hacktivist thường sử dụng kỹ năng công nghệ thông
tin để tiếp cận và tấn công vào các trang web, hệ thống mạng hoặc cơ sở dữ
liệu của các t chức, chính phủ hoặc các cá nhân có liên quan đến vấn đề họ
quan tâm.
1.13) CÁC GIAI ĐOẠN TẤN CÔNG
Có tổng cộng 5 giai đoạn khi thực hiện một cuộc tấn công, từng bước được thực
hiện một cách có tuần tự.
a) Giai đoạn thăm dò
Giai đoạn trinh sát: Đây là giai đoạn quan trọng nhất trong tấn công mạng. Trong
giai đoạn này, kẻ tấn công sẽ tìm kiếm thông tin về mục tiêu, chẳng hạn như:
- Mạng lưới của mục tiêu
- Hệ thống máy tính của mc tiêu
- Ứng dụng của mục tiêu
- Nhân viên của mục tiêu
- Chính sách bảo mật của mục tiêu
lOMoARcPSD|37054152
Thông tin này sẽ giúp kẻ tấn công xác định điểm yếu của mục tiêu và lựa chọn
phương thức tấn công phù hợp.
Loại hình trinh sát:
- Triển khai thụ động: Kẻ tấn công thu thập thông tin mà không tương tác
trực tiếp với mục tiêu. Ví dụ: kẻ tấn công có thể tìm kiếm thông tin trên
mạng, sử dụng các công cụ quét mạng hoặc theo dõi các hoạt động trên
mạng xã hội của mục tiêu.
lOMoARcPSD|37054152
Triển khai chủ động: Kẻ tấn công tương tác trực tiếp với mục tiêu để thu
thập thông tin. Ví dụ: kẻ tấn công có thể sử dụng các cuộc tấn công xã hội,
chẳng hạn như lừa đảo qua email, để thu thập thông tin từ nhân viên của
mục tiêu.
Giai đoạn triển khai: Trong giai đoạn này, kẻ tấn công sẽ sử dụng thông tin thu
thập được trong giai đoạn trinh sát để thực hiện cuộc tấn công. Có nhiều loại hình
tấn công mạng khác nhau, chẳng hạn như:
- Tấn công mạng truy cập trái phép
- Tấn công mạng từ chối dịch v
- Tấn công mạng lừa đảo - Tấn công mạng đánh cắp dữ liệu
b) Giai đoạn tiền tấn công (Scanning)
"Scanning" đề cập đến giai đoạn tiền tấn công khi hacker quét mạng để tìm thông
tin cụ thể dựa trên thông tin thu thập được trong giai đoạn trinh sát. Quét có thể
bao gồm sử dụng các công cụ như dialer, máy quét cổng, lập bản đồ mạng, công cụ
ping, máy quét lỗ hổng bảo mật, v.v.
Có nhiều loại quét khác nhau mà hacker có thể sử dụng, bao gồm:
- Quét cổng: Quét cổng là một loại quét phổ biến được sử dụng để xác định
các cổng đang mở trên hệ thống đích. Điều này có thể giúp hacker xác định
các dịch vụ đang chạy trên hệ thống và các lỗ hổng bảo mật tiềm ẩn.
- Quét mạng: Quét mạng là một loại quét được sử dụng để xác định các máy
tính và thiết bị khác nhau được kết nối với mng. Điều này có thể giúp
hacker xác định các mục tiêu tiềm năng cho các cuộc tấn công.
- Quét lỗ hổng: Quét lỗ hổng là một loại quét được sử dụng để xác định các
lỗ hổng bảo mật trong hệ thống đích. Điều này có thể giúp hacker khai thác
các lỗ hổng để giành quyền truy cập vào hệ thống.
c) Gaining Access
Gaining access là giai đoạn mà kẻ tấn công có thể truy cập vào hệ thống máy tính
hoặc mạng của nạn nhân khi đã tìm ra một lỗ hổng để thâm nhập. Kẻ tấn công có
thể truy cập ở cấp độ hệ điều hành, ứng dụng hoặc mạng, và có thể tăng quyền để
kiểm soát toàn bộ hệ thống. Có nhiều kỹ thuật được sử dụng để gaining access,
như password cracking, buffer overflows, denial of service, session hijacking, v.v.
Gaining access là một giai đoạn quan trọng và nguy hiểm trong hacking, vì nó cho
lOMoARcPSD|37054152
phép kẻ tấn công thực hiện các hành động xấu như đánh cắp dữ liệu, phá hoại hệ
thống, lây nhiễm mã độc, v.v.
d) Duy trì (Maintaining Access)
"Maintaining Access" đề cập đến giai đoạn mà kẻ tấn công cố gắng duy trì quyền
sở hữu hệ thống của mình. Điều này có nghĩa là kẻ tấn công có thể ngăn hệ thống
bị sở hữu bởi những kẻ tấn công khác bằng cách bảo mật quyền truy cập độc quyền
của họ bằng các backdoor, rootkit hoặc trojan.
Cụ thể, kẻ tấn công có thể thực hiện các hành động sau trong giai đoạn
Maintaining Access:
- Tạo các backdoor: Backdoor là một lỗ hổng bảo mật được tạo ra bởi kẻ tấn
công cho phép họ truy cập hệ thống mà không cần phải sử dụng phương
pháp ban đầu ca họ. Backdoor có thể được tạo ra bằng cách khai thác lỗ
hổng phần mềm hoặc bằng cách cài đặt mã độc.
- Cài đặt rootkit: Rootkit là một phần mềm độc hại cho phép kẻ tấn công có
quyền truy cập cao vào hệ thống, bao gồm cả quyền truy cập root. Rootkit có
thể được cài đặt bằng cách khai thác lỗ hổng phần mm hoặc bằng cách cài
đặt mã độc.
- Cài đặt trojan: Trojan là một loại phần mm độc hại được ngụy trang thành
phần mềm hợp pháp. Trojan có thể được sử dụng để cài đặt backdoor hoặc
rootkit hoặc để thực hiện các hành động độc hại khác.
Việc duy trì quyền truy cập là một giai đoạn quan trọng trong quá trình tấn công
của kẻ tấn công. Nếu kẻ tấn công có thể duy trì quyền truy cập vào hệ thống, họ có
thể tiếp tục thực hiện các hành động độc hại, chẳng hạn như đánh cắp dữ liệu, cài
đặt phần mm độc hại hoặc sử dụng hệ thống để tấn công các hệ thống khác.
e) Xóa dấu vết (Clearing Tracks)
Giai đoạn mà kẻ tấn công xóa dấu vết của mình sau khi xâm nhập thành công vào
hệ thống của nạn nhân. Mục đích của giai đoạn này là để kẻ tấn công tránh bị phát
hiện và truy tố.
Cụ thể, kẻ tấn công có thể thực hiện các hành động sau trong giai đoạn Clear track:
- Xóa các tệp và thông tin liên quan đến cuộc tấn công, chẳng hạn như tệp
thực thi, mã độc, nhật ký hệ thống, v.v.
lOMoARcPSD|37054152
- Thay đổi cấu hình hệ thống để che giấu dấu vết ca cuộc tấn công, chẳng
hạn như sửa đổi nhật ký, xóa thông tin đăng nhập, v.v.
Sử dụng các kỹ thuật ẩn danh để che giấu vị trí và danh tính của mình, chẳng
hạn như sử dụng VPN, proxy, v.v.
Các kỹ thuật cụ thể mà kẻ tấn công sử dụng trong giai đoạn Clear track sẽ phụ
thuộc vào mức độ xâm nhập của họ vào hệ thống và khả năng của họ. Tuy
nhiên, nhìn chung, kẻ tấn công luôn cố gắng xóa bỏ mọi dấu vết của mình để
tránh bị phát hiện.
1.14) ĐIỀU KHIỂN AN NINH THÔNG TIN
a) Quá trình đảm bảo thông tin (Information Assurance)
Quá trình đảm bảo thông tin (IA), một tập hợp các thực tiễn và kỹ thuật được sử
dụng để bảo vệ tính toàn vẹn, tính sẵn có, tính bảo mật và tính xác thực của thông
tin. Quá trình IA bao gồm các bước sau:
- Xây dựng chính sách, quy trình và hướng dẫn địa phương: Bước này xác
định các mc tiêu IA và các biện pháp kiểm soát cần thiết để đạt được các
mục tiêu đó.
- Thiết kế chiến lược xác thực mạng và người dùng: Bước này đảm bảo rằng
chỉ những người được ủy quyền mới có thể truy cập thông tin.
- Xác định các lỗ hổng và mối đe dọa mạng: Bước này giúp xác định các điểm
yếu trong hệ thống thông tin mà kẻ tấn công có thể khai thác.
- Xác định các vấn đề và yêu cầu tài nguyên: Bước này đảm bảo rằng các
nguồn lực cần thiết có sẵn để thực hiện các biện pháp kiểm soát IA.
- Lập kế hoạch cho các yêu cầu tài nguyên đã xác định: Bước này xác định
thời gian và ngân sách cần thiết để triển khai các biện pháp kiểm soát IA.
- Áp dụng các biện pháp kiểm soát đảm bảo thông tin thích hợp: Bước này
triển khai các biện pháp kiểm soát IA đã xác định.
- Thực hiện chứng nhận và phê duyệt: Bước này xác minh rằng các biện pháp
kiểm soát IA đã được triển khai đúng cách và hiệu quả.
- Cung cấp đào tạo đảm bảo thông tin: Bước này đảm bảo rằng người dùng
hiểu các biện pháp kiểm soát IA và cách sử dụng chúng một cách an toàn.
b) Chương trình qun lý an ninh thông tin
Các chương trình quản lý an ninh thông tin này được thiết kế để giúp doanh
nghiệp hoạt động trong trạng thái giảm thiểu rủi ro. Chúng bao gồm tất cả các
lOMoARcPSD|37054152
quy trình tổ chức và vận hành, và các bên tham gia liên quan đến an ninh thông
tin. Chương trình quản lý an ninh thông tin bao gồm một số thành phần chính,
bao gồm:
lOMoARcPSD|37054152
-
Chính sách an ninh: Chính sách an ninh là các hướng dẫn chung về cách bảo
vệ thông tin.
- Vai trò và trách nhiệm: Vai trò và trách nhiệm xác định ai chịu trách nhiệm
cho các khía cạnh khác nhau của an ninh thông tin.
- Hướng dẫn và khung an ninh: Hướng dẫn và khung an ninh cung cấp các
thực tiễn tốt nhất để bảo vệ thông tin.
- Quản lý rủi ro: Quản lý rủi ro là quá trình xác định, đánh giá và giảm thiểu
các rủi ro đối với thông tin.
- Quản lý tài sản: Quản lý tài sản là quá trình xác định, phân loại và bảo vệ
các tài sản thông tin.
- Quản lý kỹ thuật: Quản lý kỹ thuật là quá trình áp dụng các biện pháp kỹ
thuật để bảo vệ thông tin.
- Quản lý hoạt động: Quản lý hoạt động là quá trình thực hiện các biện pháp
an ninh thông tin trong hoạt động hàng ngày của doanh nghiệp.
- Quản lý khả năng phục hồi kinh doanh: Quản lý khả năng phục hồi kinh
doanh là quá trình đảm bảo rằng doanh nghiệp có thể tiếp tục hoạt động
ngay cả khi xảy ra sự cố.
- Quản lý khôi phục sau thảm họa: Quản lý khôi phục sau thảm họa là quá
trình khôi phục thông tin và hệ thống sau khi xảy ra sự cố.
- Đào tạo và nhận thức: Đào tạo và nhận thức là quá trình đảm bảo rằng nhân
viên hiểu các chính sách và quy trình an ninh thông tin.
- Thốngvà báo cáo: Thống kê và báo cáo là quá trình theo dõi hiệu quả của
chương trình quản lý an ninh thông tin.
Chương trình quản lý an ninh thông tin là mt thành phần quan trọng của bất kỳ
doanh nghiệp nào muốn bảo vệ thông tin của mình. Bằng cách thiết lập và thực thi
chương trình hiệu quả, doanh nghiệp có thể giảm thiểu rủi ro đối với thông tin và
đảm bảo rằng thông tin được bảo vệ khỏi các cuộc tấn công mạng.
c) EISA
EISA là một tập hợp các yêu cầu, quy trình, nguyên tắc và mô hình xác định cấu
trúc và hành vi của hệ thống thông tin của một tổ chức. Mục tiêu của EISA bao
gồm như sau:
lOMoARcPSD|37054152
-
- Giúp giám sát và phát hiện hành vi mạng trong thời gian thực, thực hiện các
biện pháp bảo mật nội bộ và bên ngoài.
- Giúp tổ chức phát hiện và phục hồi từ các vi phạm bảo mật.
- Giúp tổ chức ưu tiên các nguồn lực và chú ý đến các mối đe dọa khác nhau.
Mang lại lợi ích cho tổ chức về mặt chi phí khi được tích hợp vào các biện
pháp bảo mật như ứng phó sự cố, khôi phục thảm họa, phối hợp sự kiện, v.v.
- Giúp phân tích thủ tục cần thiết cho bộ phận CNTT hoạt động bình thường
và xác định tài sản.
- Giúp thực hiện đánh giá rủi ro tài sản CNTT của tổ chức với sự hợp tác của
nhân viên CNTT.
Nói chung, EISA là một khuôn khổ quan trọng để giúp các tổ chức bảo vệ thông
tin của họ khỏi các mối đe dọa. Bằng cách đạt được các mục tiêu của EISA, các tổ
chức có thể cải thiện khả năng bảo mật của họ và giảm thiểu rủi ro bị tấn công.
d) Phân vùng bảo mật mạng
- Vùng Internet: Đây là vùng không được kiểm soát, vì nó nằm ngoài ranh
giới của tổ chức. Nó thường chứa các trang web công khai, máy chủ thư và
các dịch vụ khác có thể truy cập được từ Internet.
- Vùng DMZ: Đây là vùng kiểm soát, vì nó cung cấp một vùng đệm giữa
mạng nội bộ và Internet. Nó thường chứa các máy chủ Web, máy chủ email
và các dịch vụ khác cần truy cập từ Internet.
- Vùng mạng sản xuất: Đây là vùng bị hạn chế, vì nó kiểm soát chặt chẽ
quyền truy cập trực tiếp từ các mạng không được kiểm soát. Nó thường chứa
các máy chủ ứng dụng, cơ sở dữ liệu và các dịch vụ khác cần bảo mật cao.
- Vùng mạng nội bộ: Đây là vùng kiểm soát với không có hạn chế nặng nề.
Nó thường chứa các máy tính của nhân viên, máy chủ in và các dịch vụ khác
được sử dụng nội bộ bởi tổ chức.
- Vùng mạng quản lý: Đây là vùng được bảo mật với các chính sách nghiêm
ngặt. Nó thường chứa các máy chủ quản lý, hệ thống giám sát và các dịch vụ
khác cần được bảo vệ khỏi truy cập trái phép.
Việc phân vùng mạng theo các vùng bảo mật khác nhau giúp các tổ chức quản lý
môi trường mạng an toàn hơn. Bằng cách phân loại các máy tính và dịch vụ theo
mức độ rủi ro, các tổ chức có thể áp dụng các biện pháp bảo mật phù hợp để bảo vệ
chúng.
lOMoARcPSD|37054152
-
e) Chính sách bảo mật thông tin
Chính sách bảo mật thông tin là nền tảng của cơ sở hạ tầng bảo mật, là tập hợp các
yêu cầu và quy tắc cơ bản cần được thực hiện để bảo vệ và an toàn hệ thống thông
tin của tổ chức. Các mục tiêu của chính sách bảo mật thông tin bao gồm:
Duy trì khuôn khổ cho việc quản lý và điều hành an ninh mạng. Chính sách
bảo mật thông tin cung cấp các hướng dẫn và quy tắc về cách thức quản lý
và điều hành an ninh mạng, bao gồm các vấn đề như xác định tài sản thông
tin, phân tích rủi ro, kiểm soát truy cập, kiểm soát dữ liệu, v.v.
- Bảo vệ tài nguyên tính toán của tổ chức. Chính sách bảo mật thông tin giúp
bảo vệ các tài nguyên tính toán ca tổ chức khỏi các mối đe dọa bảo mật,
bao gồm tấn công mạng, mất mát dữ liệu, v.v.
- Loại bỏ trách nhiệm pháp lý phát sinh từ nhân viên hoặc bên thứ ba. Chính
sách bảo mật thông tin giúp tổ chức giảm thiểu trách nhiệm pháp lý phát sinh
từ việc vi phạm bảo mật thông tin, chẳng hạn như vi phạm quyền riêng tư, vi
phạm bản quyền, v.v.
- Ngăn chặn lãng phí tài nguyên tính toán của công ty. Chính sách bảo mật
thông tin giúp tổ chức sử dụng tài nguyên tính toán một cách hiệu quả và an
toàn, tránh lãng phí.
- Bảo vệ thông tin bí mật, độc quyền của tổ chức khỏi trộm cắp, sử dụng sai
mục đích, tiết l trái phép. Chính sách bảo mật thông tin giúp tổ chức bảo v
các thông tin bí mật, độc quyền của mình khỏi các mối đe dọa bảo mật.
f) Các loại chính sách bảo mật
4 loại chính sách bảo mật chính:
- Chính sách cởi mở (Promiscuous Policy): không có hạn chế nào đối với việc
sử dụng hệ thống và tài nguyên.
- Chính sách cho phép (Permissive Policy): chính sách bắt đầu rộng mở và chỉ
chặn các dịch vụ/tấn công hoặc hành vi nguy hiểm đã biết.
- Chính sách thận trọng (Prudent Policy): cung cấp mức độ bảo mật tối đa
trong khi vẫn cho phép các nguy cơ đã biết nhưng cần thiết.
- Chính sách hoang tưởng (Paranoid Policy): cấm mi thứ, không có kết nối
Internet hoặc hạn chế nghiêm ngặt việc sử dụng Internet.
lOMoARcPSD|37054152
-
Mỗi loại chính sách có những ưu điểm và nhược điểm riêng. Chính sách cởi mở là
đơn giản nhất để triển khai nhưng cũng dễ bị tấn công nhất. Chính sách cho phép
cung cấp một mức độ bảo mật tốt mà không quá hạn chế. Chính sách thận trọng
cung cấp mức độ bảo mật cao hơn nhưng có thể ảnh hưởng đến tính khả dụng của
hệ thống. Chính sách hoang tưởng cung cấp mức độ bảo mật cao nhất nhưng cũng
rất khó sử dụng.
lOMoARcPSD|37054152
Chọn loại chính sách bảo mật phù hợp phụ thuộc vào nhiều yếu tố, bao gồm mức
độ rủi ro mà tổ chức phải đối mặt, mức độ bảo mật cần thiết và chi phí triển khai
và duy trì chính sách.
g) Bảo mật cơ bn tại nơi làm việc
Các quy tắc này nhằm bảo vệ quyền riêng tư của nhân viên và đảm bảo rằng thông
tin cá nhân của họ được sử dụng một cách hợp pháp và có trách nhiệm. Các quy
tắc cụ thể được liệt kê như sau:
- Thông báo cho nhân viên về những gì bạn thu thập, tại sao và bạn sẽ làm
với nó. Điều này bao gồm việc liệt kê tất cả các loại thông tin cá nhân mà
bạn thu thập từ nhân viên, chẳng hạn như tên, địa chỉ, thông tin liên hệ,
thông tin sức khỏe, v.v. Bạn cũng nên giải thích lý do tại sao bạn thu thập
thông tin này và cách bạn sẽ sử dụng nó.
- Giữ thông tin cá nhân của nhân viên chính xác, đầy đủ và cập nhật. Bạn nên
có quy trình để cập nhật thông tin cá nhân của nhân viên khi có thay đổi.
- Giới hạn việc thu thập thông tin và thu thập thông tin bằng các phương tiện
hợp pháp và công bằng. Bạn chỉ nên thu thập thông tin cá nhân cần thiết cho
các mục đích kinh doanh hợp pháp.
- Thông báo cho nhân viên về khả năng thu thập, sử dụng và tiết lộ thông tin
cá nhân. Bạn nên cung cấp cho nhân viên thông tin về cách họ có thể truy
cập và sửa đổi thông tin cá nhân của họ.
- Giữ thông tin cá nhân của nhân viên an toàn. Bạn nên có các biện pháp bảo
mật thích hợp để bảo vệ thông tin cá nhân của nhân viên khỏi bị truy cập trái
phép hoặc bị sử dụng sai mục đích.
Các quy tắc bảo mật cơ bản tại nơi làm việc là quan trọng để bảo vệ quyền riêng tư
của nhân viên và đảm bảo rằng họ cảm thấy thoải mái khi làm việc cho công ty của
bạn.
h) Các bước tạo và triển khai chính sách bảo mật Bước 1: Thực hiện đánh
giá rủi ro
Bước đầu tiên là xác định các rủi ro đối với tài sản của tổ chức. Điều này có th
được thực hiện thông qua đánh giá rủi ro, trong đó các chuyên gia sẽ xem xét các
tài sản của tổ chức, các mối đe dọa đối với các tài sản đó và khả năng xảy ra của
các mối đe dọa đó.
lOMoARcPSD|37054152
Bước 2: Học hỏi từ các hướng dẫn tiêu chuẩn và các tổ chức khác
Sau khi xác định các rủi ro, tổ chức có thể học hỏi từ các hướng dẫn tiêu chuẩn và
các tổ chức khác để phát triển các chính sách bảo mật phù hợp. Các hướng dẫn tiêu
chuẩn phổ biến bao gồm ISO/IEC 27001 và NIST SP 800-53.
Bước 3: Bao gồm cấp quản lý cao cấp và tất cả nhân viên kc trong quá
trình phát triển chính sách
Cấp quản lý cao cấp và tất cả nhân viên khác trong tổ chức nên được bao gồm
trong quá trình phát triển chính sách. Điều này sẽ giúp đảm bảo rằng chính sách
được hỗ trợ và thực thi hiệu quả.
Bước 4: Đặt ra các nh phạt rõ ràng và thực thi chúng
Các chính sách bảo mật phải có các hình phạt rõ ràng cho những vi phạm. Điều
này sẽ giúp đảm bảo rằng các nhân viên tuân thủ các chính sách.
Bước 5: Tạo phiên bản cuối cùng có sẵn cho tất cả nhân viên trong tổ chức
Phiên bản cuối cùng của chính sách bảo mật phải có sẵn cho tất cả nhân viên trong
tổ chức. Điều này sẽ giúp đảm bảo rằng tất cả nhân viên đều biết về các chính sách
và cách tuân thủ chúng.
Bước 6: Đảm bảo rằng tất cả thành viên trong nhóm của bạn đọc, ký và hiểu
chính sách
Tất cả các thành viên trong tổ chức phải đọc, ký và hiểu chính sách bảo mật. Điều
này sẽ giúp đảm bảo rằng tất cả nhân viên đều tuân thủ các chính sách.
Bước 7: Triển khai các công cụ để thực thi chính sách
Các công cụ có thể được triển khai để giúp thực thi chính sách bảo mật. Các công
cụ này có thể bao gồm các hệ thống kiểm soát truy cập, hệ thống phát hiện xâm
nhập và hệ thống báo cáo.
Bước 8: Đào tạo nhân viên của bạn giáo dục họ về chính sách
Nhân viên của bạn cần được đào tạo và giáo dục về chính sách bảo mật. Điều này
sẽ giúp họ hiểu cách tuân thủ các chính sách và cách bảo vệ tài sản ca tổ chức.
Bước 9: Đánh giá và cập nhật chính sách bảo mt thường xuyên
Chính sách bảo mật cần được đánh giá và cập nhật thường xuyên để đảm bảo rằng
chúng vẫn phù hợp với các rủi ro và nhu cầu của tổ chức.
lOMoARcPSD|37054152
Ngoài ra, ta cũng có thông tin về nhóm phát triển chính sách bảo mật. Nhóm này
thường bao gồm các thành viên từ nhóm bảo mật thông tin, nhân viên kỹ thuật, cố
vấn pháp lý, nhân viên nhân sự, nhóm kiểm toán và tuân thủ và các nhóm người
dùng.
i) Tác động pháp lý của việc thực thi chính sách bảo mật Tác
động về mặt nhân sự
- Bộ phận nhân sự chịu trách nhiệm làm cho nhân viên nhận thức được các
chính sách bảo mật và đào tạo họ về các thực tiễn tốt nhất được xác định
trong chính sách.
- Bộ phận nhân sự làm việc với ban quản lý để giám sát việc thực thi chính
sách và giải quyết bất kỳ vấn đề vi phạm chính sách nào. Tác động về mặt
pháp lý
- Các chính sách bảo mật doanh nghiệp nên được phát triển có tham khảo ý
kiến của các chuyên gia pháp lý và phải tuân thủ luật pháp địa phương có
liên quan.
- Việc thực thi chính sách bảo mật có thể vi phạm quyền của người dùng nếu
không được thực hiện một cách hợp pháp. Ví dụ: việc theo dõi nhân viên mà
không có sự đồng ý của họ có thể vi phạm quyền riêng tư của họ.
Các tổ chức cần đảm bảo rằng các chính sách bảo mật của họ tuân thủ luật pháp
địa phương và được thực thi một cách hợp pháp để tránh các vấn đề pháp lý tiềm
ẩn.
j) An ninh vật lý
An ninh vật lý là lớp bảo vệ đầu tiên của mt tổ chức, giúp bảo vệ các tài sản của
tổ chức khỏi các mối đe dọa từ môi trường và con người. Mt số mi đe dọa an
ninh vật lý phổ biến, bao gồm:
- Mối đe dọa từ môi trường: lũ lụt, hỏa hoạn, động đất, bụi, v.v.
- Mối đe dọa do con người gây ra: gián điệp, phá hoại, trộm cắp, chiến tranh,
nổ mìn, v.v.
An ninh vật lý giúp ngăn chặn các truy cập trái phép vào các tài nguyên hệ thống,
ngăn chặn việc can thiệp hoặc đánh cắp dữ liệu từ các hệ thống máy tính, bảo vệ
nhân viên khỏi các cuộc tấn công kỹ thuật xã hội và ngăn chặn các hành vi p
lOMoARcPSD|37054152
hoại. Dưới đâymột số ví dụ về các biện pháp an ninh vật lý có thể được áp dụng
để bảo vệ một tổ chức:
- Kiểm soát truy cập vật lý: sử dụng cổng, hàng rào, chốt bảo vệ, hệ thng
nhận dạng, v.v. để kiểm soát ai có thể vào và ra khỏi một khu vực.
- Giám sát video: sử dụng camera để giám sát các khu vực nhạy cảm.
- An ninh nhân viên: đào tạo nhân viên về cách nhận biết và báo cáo các mối
đe dọa an ninh.
- An ninh vật chất: sử dụng vật liệu và thiết bị chống trộm.
- An ninh vật lý là mt thành phần quan trọng của bất kỳ chương trình bảo
mật nào. Bằng cách thực hiện các biện pháp an ninh vật lý thích hợp, các t
chức có thể giảm thiểu rủi ro bị tấn công và bảo vệ các tài sản của mình.
k) Kiểm soát an ninh vật lý
Một số biện pháp kiểm soát an ninh vật lý phổ biến, bao gồm:
- Các biện pháp an ninh bên ngoài: Các biện pháp này nhằm ngăn chặn kẻ
xâm nhập tiếp cận cơ sở vật chất của tổ chức. Chúng bao gồm hàng rào,
tường, cổng, bảo vệ, báo động, camera CCTV, hệ thống xâm nhập, nút nhấn
khẩn cấp, báo động trộm, thanh chắn cửa sổ và cửa, khóa chết, v.v.
- Các biện pháp an ninh tại khu vực tiếp tân: Các biện pháp này nhằm bảo
vệ các tài liệu và tài sản quan trọng trong khu vực tiếp tân. Chúng bao gồm
khóa các tài liệu và tài sản quan trọng, khóa thiết bị khi không sử dụng.
- Các biện pháp an ninh tại khu vực máy chủ và máy trạm: Các biện pháp
này nhằm bảo vệ các máy chủ và máy trạm của tổ chức. Chúng bao gồm
khóa các máy tính khi không sử dụng, tắt hoặc tránh sử dụng phương tiện
tháo rời và ổ DVD-ROM, lắp đặt camera CCTV, thiết kế bố cục máy trạm.
- Các biện pháp an ninh đối với các thiết bị kc như fax, modem
phương tiện tháo rời: Các biện pháp này nhằm bảo vệ các thiết bị khác n
fax, modem và phương tiện tháo rời. Chúng bao gồm khóa các máy fax khi
không sử dụng, lưu trữ các bản fax thu được đúng cách, tắt chế độ trả lời tự
động cho modem, không đặt phương tiện tháo rời ở những nơi công cộng và
phá hủy vật lý phương tiện tháo rời bị hỏng.
- Các biện pháp kiểm soát truy cập: Các biện pháp này nhằm kiểm soát ai
có thể truy cập vào cơ sở vật chất của tổ chức. Chúng bao gồm phân tách các
khu vực làm việc, triển khai các biện pháp kiểm soát truy cập sinh trắc học
(như nhận dạng vân tay, quét võng mạc, quét mống mắt, nhận dạng cấu trúc
lOMoARcPSD|37054152
tĩnh mạch, nhận dạng khuôn mặt, nhận dạng giọng nói), thẻ vào cửa, bẫy
người, thủ tục đăng ký giáo sư, thẻ nhận dạng, v.v.
- Bảo trì thiết bị máy tính: Các biện pháp này nhằm bảo vệ các thiết bị máy
tính của tổ chức khỏi bị hư hỏng hoặc mất mát. Chúng bao gồm chỉ định mt
người để phụ trách bảo trì thiết bị máy tính, thường xuyên kiểm tra tất cả các
dây cáp truyền dữ liệu, bảo vệ dây cáp bằng cáp bọc kim loại, không để bất
kỳ dây nào bị lộ ra ngoài.
- Nghe lén: Các biện pháp này nhằm ngăn chặn kẻ xâm nhập nghe lén các
cuộc trò chuyện hoặc thông tin nhạy cảm khác. Chúng bao gồm kiểm tra
thường xuyên tất cả các dây cáp truyền dữ liệu, bảo vệ dây cáp bằng cáp bọc
kim loại, không để bất kỳ dây nào bị lộ ra ngoài.
- Kiểm soát môi trường: Các biện pháp này nhằm bảo vệ các thiết bị và tài
sản của tổ chức khỏi bị hư hỏng do thời tiết, cháy nổ, v.v. Chúng bao gồm
độ ẩm và điều hòa không khí, HVAC, dập lửa, chắn nhiễu điện từ và các dãy
nóng và lạnh.
l) Quản lý sự cố an ninh mạng
Quy trình này bao gồm các bước sau:
- Phát hiện và phân loại: Bước đầu tiên là phát hiện sự cố an ninh mạng. Điều
này có thể được thực hiện thông qua các biện pháp giám sát, chẳng hạn n
hệ thống giám sát an ninh mạng (SIEM), hệ thống quản lý sự kiện bảo mật
(SIEM), hoặc thông qua các báo cáo của nhân viên. Sau khi phát hiện sự cố,
cần phân loại sự cố theo mức độ nghiêm trọng để xác đnh ưu tiên xử .
- Phân tích và điều tra: Bước tiếp theo là phân tích và điều tra sự cố. Mục đích
của bước này là xác định nguyên nhân gây ra sự cố, phạm vi ảnh hưởng của
sự cố, và các dữ liệu, tài sản bị ảnh hưởng.
- Phản ứng: Bước này là thực hiện các biện pháp để ứng phó với sự cố. Các
biện pháp này có thể bao gồm ngăn chặn sự cố lây lan, thu thập bằng chứng,
khôi phục hệ thống, và thông báo cho các bên liên quan.
- Khắc phục: Bước cuối cùng là khắc phục sự cố. Mục đích của bước này là
ngăn chặn sự c tái diễn.
Quy trình quản lý sự cố an ninh mạng được chia thành các giai đoạn chính sau:
- Giai đoạn 1: Phát hiện và phân loại
- Giai đoạn 2: Phân tích và điều tra
- Giai đoạn 3: Phản ứng
lOMoARcPSD|37054152
- Giai đoạn 4: Khắc phục
Mỗi giai đoạn trong quy trình này đều có vai trò quan trọng trong việc đảm bảo
hiệu quả xử lý sự cố an ninh mạng. Các tổ chức cần xây dựng và triển khai quy
trình quản lý sự cố hiệu quả để có thể kịp thời phát hiện, xử lý và ngăn chặn các sự
cố an ninh mạng.
m)Quy trình quản lý sự cố
Quy trình này bao gồm 7 bước chính:
- Chuẩn bị cho sự cố: Bước này bao gồm việc xây dựng kế hoạch, chính sách
và quy trình quản lý sự cố, đồng thời đào tạo nhân viên về các quy trình này.
- Phát hiện và phân tích: Bước này bao gồm việc phát hiện sự cố, phân tích
nguyên nhân và phạm vi của sự cố.
- Phân loại và ưu tiên: Bước này bao gồm việc phân loại mức độ nghiêm trọng
của sự cố và ưu tiên các sự cố cần được xử lý trước.
- Thông báo: Bước này bao gồm việc thông báo cho các bên liên quan về sự
cố, bao gồm khách hàng, nhân viên và các cơ quan chức năng.
- Kiềm chế và ứng phó: Bước này bao gồm việc thực hiện các biện pháp để
ngăn chặn sự c lan rộng và gây thiệt hại thêm.
- Điều tra pháp y: Bước này bao gồm việc điều tra nguyên nhân gốc rễ của sự
cố để ngăn chặn sự cố tái diễn.
- Xóa bỏ và phục hồi: Bước này bao gồm việc xóa bỏ tác hại của sự cố và
khôi phục hệ thống hoạt đng bình thường.
n) Trách nhiệm của nhóm ứng phó sự cố
- Quản các vấn đề bảo mật bằng cách tiếp cận chủ động đối với các lỗ hổng
bảo mật của khách hàng và bằng cách đáp ứng hiệu quả với các sự cố bảo
mật thông tin tiềm ẩn.
- Cung cấp một điểm liên hệ duy nhất để báo cáo các sự cố bảo mt và vấn đề.
- Xây dựng hoặc xem xét lại các quy trình và thủ tục cần phải tuân theo trong
phản ứng với một sự cố.
- Quản lý phản ứng với một sự cố và đảm bảo rằng tất cả các thủ tục được
tuân theo đúng cách để giảm thiểu và kiểm soát thiệt hại.
- Xác định và phân tích những gì đã xảy ra trong một sự cố, bao gồm tác động
và mối đe dọa, đồng thời thiết lập mi quan hệ với cơ quan thực thi pháp
luật địa phương, cơ quan chính phủ, đối tác chính và nhà cung cấp.
lOMoARcPSD|37054152
o) Đánh giá lỗ hổng bảo mật
Đánh giá lỗ hổng bảo mật là quá trình kiểm tra, tìm tòi, nhận diện các lỗ hổng bảo
mật của hệ thống và ứng dụng. Các hệ thống và ứng dụng được kiểm tra để nhận
định tính hiệu quả của các tầng bảo mật hiện thời trong việc chống lại các tấn công
và lạm dụng.
Mục đích của việc đánh giá l hổng bảo mật được sử dụng để:
- Xác định các lỗ hổng bảo mật có thể bị khai thác
- Đánh giá hiệu quả của các biện pháp bảo mật hiện tại - Xây dựng kế
hoạch khắc phục các lỗ hổng bảo mật p) Các loại đánh giá lỗ hổng bảo
mật Đánh giá lỗ hổng thành năm loại chính:
- Active assessment: Sử dụng máy quét mạng để tìm máy chủ, dịch vụ và lỗ
hổng.
- Passive assessment: Sử dụng kỹ thuật sniffer để tìm ra các hệ thống hoạt
động, dịch vụ mạng, ứng dụng và lỗ hổng hiện diện.
- Host-based assessment: Xác định các lỗ hổng trong một máy trạm hoặc máy
chủ cụ thể.
- Network assessment: Xác định các cuộc tấn công mạng tiềm ẩn có thể xảy ra
trên hệ thống của tổ chức.
- Internal assessment: Sử dụng kỹ thuật quét cơ sở hạ tầng nội bộ để tìm ra các
lỗ hổng và khai thác.
Mỗi loại đánh giá lỗ hổng có những ưu điểm và nhược điểm riêng. Active
assessment có thể cung cấp độ phủ rộng hơn, nhưng nó cũng có thể gây ra sự gián
đoạn cho hệ thống. Passive assessment ít gây gián đoạn hơn, nhưng nó có thể
không phát hiện ra tất cả các lỗ hổng. Host-based assessment có thể cung cấp độ
chính xác cao hơn, nhưng nó có thể không phát hiện ra các lỗ hổng liên quan đến
mạng. Network assessment có thể cung cấp cái nhìn tổng quan về các lỗ hổng bảo
mật, nhưng nó có thể không phát hiện ra các lỗ hổng cụ thể. Internal assessment có
thể cung cấp độ sâu chi tiết hơn, nhưng nó có thể khó thực hiện hơn. Chọn loại
đánh giá lỗ hổng nào phụ thuộc vào các yêu cầu cụ thể của tổ chức.
q) Quy trình đánh giá lỗ hổng mạng
Quy trình này được chia thành ba giai đoạn:
- Giai đoạn 1: Thu thập dữ liệu: Trong giai đoạn này, người đánh giá sẽ thu
thập thông tin về mạng, bao gồm các tài liệu liên quan đến an ninh mạng,
lOMoARcPSD|37054152
luật và quy trình liên quan đến đánh giá lỗ hổng mạng, và danh sách các lỗ
hổng đã được phát hiện trước đó.
- Giai đoạn 2: Xác định: Trong giai đoạn này, người đánh giá sẽ thực hiện
các cuộc phỏng vấn với khách hàng và nhân viên liên quan đến thiết kế,
quản trị hệ thống, và xác định thông tin kỹ thuật về tất cả các thành phần
mạng. Người đánh giá cũng sẽ xác định các tiêu chuẩn ngành mà hệ thống
bảo mật mạng tuân thủ.
- Giai đoạn 3: Phân tích: Trong giai đoạn này, người đánh giá sẽ phân tích
các kết quả của các cuộc phỏng vấn, thông tin kỹ thuật thu thập được, và
danh sách các lỗ hổng đã được phát hiện trước đó. Người đánh giá cũng sẽ
phân tích hiệu quả của các biện pháp kiểm soát bảo mật hiện tại và xác định
các lỗ hổng bảo mật và rủi ro.
- Giai đoạn 4: Đánh giá mức độ nghiêm trọng: Trong giai đoạn này, người
đánh giá sẽ đánh giá mức độ nghiêm trọng của các lỗ hổng đã được xác
định. Mức độ nghiêm trọng của một lỗ hổng được xác định dựa trên các yếu
tố như: Khả năng khai thác lỗ hổng, Ảnh hưởng của việc khai thác lỗ hổng,
Khả năng phát hiện lỗ hổng,...
- Giai đoạn 5: Trình bày báo cáo: Trong giai đoạn này, người đánh giá sẽ
trình bày báo cáo về kết quả của đánh giá. Báo cáo sẽ bao gồm các thông tin
sau: Danh sách các lỗ hổng đã được xác định, Mức độ nghiêm trọng của các
lỗ hổng, Khuyến nghị về cách khắc phục các lỗ hổng,...
r) Nghiên cứu lỗ hổng bảo mật
Quá trình này bao gồm việc tìm kiếm các lỗ hổng và sai sót trong thiết kế có thể
khiến hệ điều hành và ứng dụng của nó bị tấn công hoặc lạm dụng. Clỗ hổng bảo
mật được phân loại dựa trên mức độ nghiêm trọng (thấp, trung bình hoặc cao) và
phạm vi khai thác (nội bộ hoặc từ xa).
Một quản trị viên cần nghiên cứu lỗ hổng bảo mật:
- Để thu thập thông tin về xu hướng bảo mật, mối đe dọa và tấn công,
- Để tìm ra điểm yếu, cảnh báo quản trị viên mạng trước khi xảy ra tấn công
mạng,
- Để biết cách khôi phục sau một cuộc tấn công mạng, - Để có thông tin
giúp ngăn chặn các vấn đề bảo mật.
1.15) KIỂM THỬ XÂM NHẬP
a) Kiểm thử thâm nhập là gì?
lOMoARcPSD|37054152
Kiểm thử xâm nhập là mt phương pháp đánh giá bảo mật của hệ thống thông tin
hoặc mạng bằng cách mô phỏng một cuộc tấn công để tìm ra các lỗ hổng mà một
kẻ tấn công có thể khai thác. Quy trình kiểm thử xâm nhập bao gồm bốn bước:
- Tiền kiểm tra: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ thu thập
thông tin về hệ thống thông tin hoặc mạng cần kiểm tra, bao gồm kiến trúc
hệ thống, cấu hình mạng, các ứng dụng đang chạy, v.v.
- Phân tích hệ thống: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ
phân tích hệ thống để xác định các lỗ hổng tiềm ẩn. Các lỗ hổng này có thể
bao gồm các lỗ hổng trong thiết kế hệ thống, các lỗi kỹ thuật hoặc các cài đặt
không an toàn.
- Tấn công hệ thống: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ cố
gắng khai thác các lỗ hổng đã xác định để xâm nhập vào hệ thống.
- i liệu và báo cáo: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ lập
báo cáo tổng hợp về kết quả kiểm tra, bao gồm danh sách các lỗ hổng đã tìm
thấy, mức độ nghiêm trọng của các lỗ hổng và đề xuất cách khắc phục các lỗ
hổng.
b) Tại sao lại cần kiểm thử thâm nhập?
- Xác định các mối đe dọa đối với tài sản tng tin của tổ chức: Kiểm tra
xâm nhập có thể giúp xác định các lỗ hổng bảo mật mà kẻ tấn công có thể
khai thác. Điều này giúp tổ chức hiểu rõ hơn về những mối đe dọa mà họ
đang phải đối mặt và đưa ra các biện pháp khắc phục phù hợp.
- Giảm chi phí bảo mật: Kiểm tra xâm nhập có thể giúp giảm chi phí bảo
mật bằng cách xác định và khắc phục các lỗ hổng bảo mật trước khi chúng bị
kẻ tấn công khai thác. Điều này có thể giúp tổ chức tiết kiệm tiền cho các
biện pháp bảo mật bổ sung, chẳng hạn như bảo hiểm bảo mật.
- ng lợi nhuận đầu tư bảo mật (ROSI): Kiểm tra xâm nhập có thể giúp
tăng lợi nhuận đầu tư bảo mật (ROSI) bằng cách xác định và khắc phục các
lỗ hổng bảo mật trước khi chúng gây ra thiệt hại. Điều này có thể giúp tổ
chức tiết kiệm tiền bằng cách giảm chi phí khắc phục sự cố bảo mật và bồi
thường thiệt hại.
- Cung cấp sự đảm bảo với đánh giá toàn diện về bảo mt của tổ chức:
Kiểm tra xâm nhập có thể cung cấp sự đảm bảo cho t chức rằng hệ thống
mạng và ứng dụng của họ được bảo vệ khỏi các mi đe dọa. Điều này có thể
giúp tổ chức cải thiện lòng tin của khách hàng và đối tác.
lOMoARcPSD|37054152
- Nhận và duy trì chứng nhận theo quy định: Một số quy định yêu cầu các
tổ chức thực hiện kiểm tra xâm nhập định kỳ. Việc đáp ứng các yêu cầu này
có thể giúp tổ chức tránh bị phạt và duy trì danh tiếng của mình.
- Tuân thủ các thực tiễn tốt nhất về bảo mật: Kiểm tra xâm nhập có thể
giúp tổ chức tuân thủ các thực tiễn tốt nhất về bảo mật. Điều này có thể giúp
tổ chức giảm thiểu rủi ro bảo mật và cải thiện hình ảnh của h với các bên
liên quan.
c) Các loại kiểm thử thâm nhập
Các loại kiểm tra thâm nhập được phân loại dựa trên mức độ hiểu biết mà người
kiểm tra có về cơ sở hạ tầng cần kiểm tra.
- Black box testing hình thức kiểm tra thâm nhập mà người kiểm tra không
có bất kỳ kiến thức nào về cơ sở hạ tầng cần kiểm tra. Người kiểm tra sẽ bắt
đầu từ đầu và cố gắng tìm ra các lỗ hổng bảo mật bằng cách sử dụng các kỹ
thuật như quét lỗ hổng và khai thác.
- White box testing là hình thức kiểm tra thâm nhập mà người kiểm tra có
kiến thức đầy đủ về cơ sở hạ tầng cần kiểm tra. Điều này bao gồm kiến thức
về mã nguồn, cấu hình hệ thống và kiến trúc mạng. Người kiểm tra sẽ sử
dụng kiến thức này để tìm ra các lỗ hổng bảo mật mà người kiểm tra black
box không thể tìm thấy.
- Grey box testing là sự kết hợp giữa black box testing và white box testing.
Người kiểm tra sẽ có một số kiến thức về cơ sở hạ tầng cần kiểm tra, nhưng
không phải là tất cả.
Ngoài ra, kiểm tra thâm nhập cũng có thể được phân loại dựa trên mức độ tương
tác giữa người kiểm tra và chủ sở hữu cơ sở hạ tầng.
- Blind testing hình thức kiểm tra thâm nhập mà người kiểm tra không
tương tác với chủ sở hữu cơ sở hạ tầng. Người kiểm tra sẽ thực hiện kiểm tra
và sau đó báo cáo kết quả cho chủ sở hữu.
- Double blind testing là hình thức kiểm tra thâm nhập mà cả người kiểm tra
và chủ sở hữu cơ sở hạ tầng đều không biết nhau. Người kiểm tra thực hiện
kiểm tra và sau đó báo cáo kết quả cho mt bên thứ ba, người sẽ báo cáo kết
quả cho cả hai bên.
d) Các giai đoạn kiểm thử xâm nhập
Kiểm thử xâm nhập được chia thành ba giai đoạn:
lOMoARcPSD|37054152
- Giai đoạn trước tấn công: Giai đoạn này bao gồm việc lập kế hoạch và
chuẩn bị cho cuộc tấn công. Các hoạt động trong giai đoạn này bao gồm việc
thu thập thông tin về mục tiêu, thiết kế phương pháp luận và xác định các lỗ
hổng tiềm ẩn.
- Giai đoạn tấn công: Giai đoạn này bao gồm việc thực hiện các cuộc tấn
công vào hệ thống mục tiêu. Các hoạt động trong giai đoạn này bao gồm
việc xâm nhập vào ranh giới mạng, thu thập thông tin mạng, mở rộng đặc
quyền và thực thi các tác nhân.
- Giai đoạn sau tấn công: Giai đoạn này bao gồm việc báo cáo các lỗ hổng
được tìm thấy và thực hiện các biện pháp khắc phục. Các hoạt động trong
giai đoạn này bao gồm việc ghi lại các hoạt động tấn công, xác định các lỗ
hổng và đề xuất các biện pháp khắc phục.
e) Phương pháp kiểm thử bảo mật
Phương pháp kiểm thử bảo mật là một cách tiếp cận có hệ thống để phát hiện và
xác minh các l hổng trong các cơ chế bảo mật của hệ thống thông tin. Điều này
cho phép quản trị viên áp dụng các biện pháp kiểm soát bảo mật phù hợp để bảo vệ
dữ liệu quan trọng và chức năng kinh doanh. Các ví dụ về phương pháp kiểm tra
bảo mật:
- OWASP: Open Web Application Security Project (OWASP) là một dự án
bảo mật ứng dụng mã nguồn mở hỗ trợ các tổ chức trong việc mua, phát
triển và duy trì các công cụ phần mm, ứng dụng phần mềm và tài liệu dựa
trên kiến thức về bảo mật ứng dụng web.
- OSSTMM: Open Source Security Testing Methodology Manual
(OSSTMM) là một phương pháp luận được đánh giá ngang hàng để thực
hiện các bài kiểm tra bảo mật chất lượng cao như kiểm tra phương pháp
luận: kiểm tra dữ liệu, kiểm soát gian lận và xã hội kỹ thuật, mức độ kiểm
soát mạng máy tính, thiết bị không dây, thiết bị di động, bảo mật vật lý
quyền truy cập và các quy trình bảo mật khác nhau.
- ISSAF: Information Systems Security Assessment Framework (ISSAF) là
một dự án mã nguồn mở nhằm cung cấp sự hỗ trợ bảo mật cho các chuyên
gia. Sứ mệnh của ISSAF là "nghiên cứu, phát triển, xuất bản và thúc đẩy một
khuôn khổ đánh giá an ninh hệ thống thông tin hoàn chỉnh và thực tế được
chấp nhận rộng rãi."
- LPT: LPT Methodology là một khuôn khổ kiểm toán bảo mật hệ thống
thông tin toàn diện được chấp nhận trong ngành của EC-Council.
lOMoARcPSD|37054152
1.16) NGUYÊN TẮC TRUYỀN THÔNG TIN
TRONG GIAO THỨC TCP/IP
lOMoARcPSD|37054152
lOMoARcPSD|37054152
lOMoARcPSD|37054152
lOMoARcPSD|37054152
lOMoARcPSD|37054152
| 1/38

Preview text:

lOMoARcPSD| 37054152
Chương 1: Giới thiệu an ninh mạng
1.1) TÌNH HÌNH AN NNINH MẠNG VIỆT NAM
Có nhiều thách thức an ninh mang tính toàn cầu như chiến tranh mạng, khủng bố
mạng, tội phạm mạng, nhiễu loạn thông tin, … Cơ quan an ninh Anh đã cảnh báo
15 nhà máy hạt nhân và các sân bay trên toàn nước Anh có nguy cơ bị khủng bố, tấn công mạng rất cao.
Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng
Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm 62,76%
dân số). Đứng đầu Đông Nam Á về số lượng tên miền quốc gia; xếp thứ 2 khu vực
Đông Nam Á, thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (tính đến
tháng 12/2016). Sự phát triển của không gian mạng cũng làm nảy sinh nhiều nguy
cơ, thách thức mới đối với an ninh quốc gia cũng như an toàn, lợi ích của các cơ
quan, doanh nghiệp và cá nhân.
Còn một số lượng lớn trang web, blog, mạng xã hội… của các tổ chức, cá nhân
trong và ngoài nước đăng tải hàng triệu thông tin, bài viết, ý kiến trao đổi, bình
luận ở tất cả các lĩnh vực của đời sống xã hội, dưới nhiều góc độ, nhiều khía cạnh,
mục đích khác nhau mà không đảm bảo tính chính xác, khách quan của thông tin.
Nhiều thông tin sai lệch được phát tán trên không gian mạng đã xúc phạm nghiêm
trọng danh dự, nhân phẩm, khủng bố tinh thần của công dân, gây hoang mang dư
luận, thậm chí đe dọa đến an ninh, trật tự; điển hình là thông tin Việt Nam đổi tiền
xuất hiện vào cuối năm 2016.
Riêng năm 2016, có tới gần 7.000 trang/cổng thông tin điện tử của Việt nam bị tấn
công. Nhiều thiết bị kết nối Internet (IoT) tồn tại lỗ hổng bảo mật dẫn đến nguy cơ
tin tặc khai thác, chiếm đoạt sử dụng làm bàn đạp cho các cuộc tấn công mạng trên thế giới.
Hệ thống thông tin trọng yếu, nhất là hàng không, ngân hàng, viễn thông có nguy
cơ bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn
công mạng vào ngành hang không Việt Nam ngày 29/7/2016.
Các hành vi tấn công mạng, trộm cắp thông tin thẻ tín dụng, chiếm đoạt tài sản
thông qua các hoạt động thương mại điện tử, sử dụng các dịch vụ Internet, viễn
thông, mạng xã hội để lừa đảo, chiếm đoạt tài sản. lOMoARcPSD| 37054152
Tình trạng tội phạm sử dụng mạng máy tính tiếp tục gia tăng với quy mô lớn, có tổ
chức, tập trung vào lĩnh vực tài chính, ngân hàng, thương mại điện tử, thị trường
“tín dụng đen”, đánh cắp dữ liệu công dân, mã số thuế, hải quan điện tử để lừa đảo,
chiếm đoạt tài sản là một thách thức lớn mà Việt Nam phải giải quyết. Các cổng
thông tin điện tử, website, hệ thống mạng thông tin chưa được xây dựng theo một
tiêu chuẩn thống nhất, thiếu sự kiểm định về an ninh thông tin, an ninh mạng. Các
phần mềm và thiết bị phần cứng tồn tại lỗi bảo mật nhưng chưa được khắc phục
kịp thời. Tình trạng sử dụng phần mềm không có bản quyền còn phổ biến, chưa có
chính sách đảm bảo an ninh mạng, đội ngũ quản trị mạng còn hạn chế
1.2) CHỈ SỐ AN NINH MẠNG TOÀN CẦU
Mã độc hoành hành trong thời gian qua đã cho thấy lỗ hổng lớn trong hệ thống an
ninh mạng toàn cầu của 193 quốc gia trên thế giới. Chỉ số An ninh mạng toàn cầu
là một chỉ số tổng hợp đánh giá và so sánh mức độ cam kết đảm bảo an ninh mạng
của các nước thành viên dựa trên 5 yếu tố: • Công nghệ, • Tổ chức, • Luật pháp, • Hợp tác,
• Tiềm năng phát triển
Mục đích chính của chỉ số an ninh mạng toàn cầu là để phân loại, xếp thứ hạng và
sau đó là đánh giá, dự báo, định hướng quá trình phát triển trong tầm khu vực cũng
như trên quy mô toàn cầu. Việt Nam đã gia nhập tổ chức này từ năm 1951.
Chỉ số an ninh mạng toàn cầu còn phân loại các quốc gia thành viên vào 3 nhóm
dựa trên thực trạng phát triển an ninh mạng. Đó là giai đoạn hình thành: 96 nước lOMoARcPSD| 37054152
(trong đó có Việt Nam), giai đoạn đang phát triển: 77 nước và giai đoạn dẫn đầu: 21 nước.
Năm 2016 và ngay trong nửa đầu năm 2017 là thời gian rất phức tạp và có nhiều
diễn biến xấu đối với tình hình an ninh mạng toàn cầu. Các quốc gia cần thực hiện
cam kết mạnh mẽ hơn nữa để phát triển và xây dựng một thế giới hiện đại an toàn hơn, lành mạnh hơn.
1.3) MỘT SỐ THUẬT NGỮ CẦN THIẾT
Hack value (Giá trị hack) là khái niệm của các hacker rằng một thứ gì đó
đáng làm hoặc thú vị. Nó thường được sử dụng để mô tả mức độ hấp dẫn của
một cuộc tấn công tiềm năng đối với một hacker.
Zero-day attack (Tấn công zero-day) là một cuộc tấn công khai thác các lỗ
hổng bảo mật trong phần mềm mà nhà phát triển phần mềm chưa biết. Các
cuộc tấn công zero-day thường rất nguy hiểm vì không có bản vá bảo mật
nào để bảo vệ chống lại chúng.
Vulnerability (Lỗ hổng) là một sự tồn tại của một điểm yếu, thiết kế hoặc
lỗi triển khai có thể dẫn đến một sự kiện bất ngờ, làm tổn hại đến tính bảo
mật của hệ thống. Các lỗ hổng có thể được khai thác bởi các hacker để thực
hiện các cuộc tấn công.
Daisy chaining (Liên kết hoa cúc) là một kỹ thuật tấn công liên quan đến
việc truy cập vào một mạng và/hoặc máy tính và sau đó sử dụng thông tin
tương tự để truy cập vào nhiều mạng và máy tính khác chứa thông tin mong muốn.
Exploit (Khai thác) là một đoạn mã được sử dụng để khai thác một lỗ hổng
bảo mật. Mã khai thác thường được viết bởi các hacker để thực hiện các cuộc tấn công. lOMoARcPSD| 37054152
Payload (Tải) là phần của mã khai thác thực hiện hành động độc hại dự
định, chẳng hạn như phá hủy, tạo backdoor hoặc chiếm quyền điều khiển máy tính.
Doxing là việc công bố thông tin cá nhân có thể nhận dạng được về một cá
nhân được thu thập từ các cơ sở dữ liệu và phương tiện truyền thông xã hội
có sẵn công khai. Doxing thường được sử dụng để đe dọa hoặc quấy rối nạn nhân.
Bot là một ứng dụng phần mềm có thể được điều khiển từ xa để thực thi
hoặc tự động hóa các tác vụ được xác định trước. Bot thường được sử dụng
để thực hiện các cuộc tấn công mạng, chẳng hạn như spam hoặc phân tán
dịch vụ từ chối truy cập (DDoS).
1.4) CÁC YẾU TỐ BẢO MẬT THÔNG TIN
Các yếu tố bảo mật thong tin được chia thành 5 yếu tố chính:
Bí mật (confidentiality): Đảm bảo rằng thông tin chỉ có thể truy cập được
bởi những người được phép. Điều này ngăn chặn những người không được
phép xem, sử dụng hoặc tiết lộ thông tin nhạy cảm.
Toàn vẹn (integrity): Đảm bảo rằng thông tin không bị thay đổi hoặc sửa
đổi trái phép. Điều này ngăn chặn những người không được phép thay đổi
thông tin theo cách có thể gây hại hoặc gian lận.
Sẵn sàng (availability): Đảm bảo rằng thông tin có sẵn khi cần thiết. Điều
này ngăn chặn việc truy cập hoặc sử dụng thông tin bị hạn chế hoặc bị gián đoạn.
Xác thực (authenticity): Đảm bảo rằng thông tin đến từ nguồn đáng tin cậy.
Điều này ngăn chặn những kẻ mạo danh gửi hoặc nhận thông tin giả mạo.
Không từ chối (non-repudiation): Đảm bảo rằng người gửi hoặc người
nhận thông tin không thể phủ nhận việc gửi hoặc nhận thông tin. Điều này
có thể giúp bảo vệ khỏi các vụ gian lận hoặc lạm dụng. lOMoARcPSD| 37054152
1.5) TAM GIÁC BẢO MẬT, CHỨC NĂNG VÀ KHẢ NĂNG SỬ DỤNG
Tam giác này là một biểu tượng của sự cân bằng giữa ba yếu tố. Nếu bạn muốn
tăng cường bảo mật, bạn sẽ phải hy sinh một số chức năng hoặc khả năng sử dụng.
Ngược lại, nếu bạn muốn tăng cường chức năng hoặc khả năng sử dụng, bạn sẽ
phải hy sinh một số bảo mật.
Theo mô hình tam giác, mức độ bảo mật của bất kỳ hệ thống nào có thể được xác
định bởi sức mạnh của ba thành phần:
Bảo mật: Mức độ bảo vệ hệ thống khỏi các mối đe dọa như truy cập trái
phép, thay đổi dữ liệu hoặc phá hủy dữ liệu.
Chức năng: Số lượng và tính năng của các chức năng mà hệ thống cung cấp.
Khả năng sử dụng: Mức độ dễ dàng và thuận tiện mà người dùng có thể sử dụng hệ thống.
Chuyển bóng về phía bảo mật có nghĩa là ít chức năng và khả năng sử dụng hơn.
Ví dụ: nếu bạn muốn tăng cường bảo mật bằng cách thêm xác thực hai yếu tố, bạn
sẽ phải yêu cầu người dùng nhập mã xác thực từ thiết bị di động của họ. Điều này
sẽ làm cho việc sử dụng hệ thống trở nên khó khăn hơn một chút.
Tương tự, chuyển bóng về phía chức năng có nghĩa là ít bảo mật và khả năng sử
dụng hơn. Ví dụ: nếu bạn muốn thêm một tính năng mới cho hệ thống, bạn sẽ phải
mở ra các lỗ hổng bảo mật mới. Bạn cũng có thể phải thêm các điều khiển phức tạp
hơn, khiến hệ thống trở nên khó sử dụng hơn. lOMoARcPSD| 37054152
Cuối cùng, chuyển bóng về phía khả năng sử dụng có nghĩa là ít bảo mật và
chức năng hơn. Ví dụ: nếu bạn muốn đơn giản hóa giao diện người dùng của hệ
thống, bạn có thể phải loại bỏ một số tính năng bảo mật hoặc chức năng.
Mô hình tam giác bảo mật, chức năng và khả năng sử dụng là một công cụ hữu ích
để giúp các nhà phát triển hệ thống cân bằng giữa ba yếu tố quan trọng này.
1.6) RỦI RO VÀ TẤN CÔNG TRONG AN NINH THÔNG TIN
a) Động cơ, mục tiêu và mục tiêu của các cuộc tấn công an ninh thông tin. Trong đó:
Động cơ: Là lý do tại sao kẻ tấn công muốn thực hiện cuộc tấn công. Động
cơ phổ biến nhất là tiền, danh tiếng hoặc quyền lực.
Phương thức: Cách thức, kế hoạch, công cụ để thực hiện tấn công
Lỗ hổng: Điểm yếu của hệ thống, nơi hacker sẽ lợi dụng để có thể thâm
nhập và thực hiện tấn công
Động cơ bắt nguồn từ quan niệm rằng hệ thống mục tiêu lưu trữ hoặc xử lý thứ gì
đó có giá trị và điều này dẫn đến mối đe dọa tấn công hệ thống.
Kẻ tấn công cố gắng sử dụng nhiều công cụ và kỹ thuật tấn công để khai thác các
lỗ hổng trong hệ thống máy tính hoặc chính sách bảo mật và kiểm soát để đạt được động cơ của họ.
Có 5 động lực để thực hiện một vụ tấn công gồm:
• Làm gián đoạn hoạt động kinh doanh liên tục
• Tuyên truyền niềm tin tôn giáo hoặc chính trị • Thay đổi dữ liệu
• Tạo ra nỗi sợ hãi và hỗn loạn bằng cách làm gián đoạn các cơ sở hạ tầng quan trọng
• Thu nhập các mục tiêu quân sự của nhà nước
• Gây tổn hại danh tiếng của mục tiêu • Trả thù lOMoARcPSD| 37054152
1.7) CÁC MỐI ĐE DỌA THÔNG TIN HÀNG ĐẦU
Điện toán đám mây là một mô hình cung cấp các tài nguyên máy tính trên cơ sở
yêu cầu, bao gồm cả dữ liệu nhạy cảm của tổ chức và khách hàng. Các mối đe dọa
điện toán đám mây bao gồm:
• Lỗ hổng trong đám mây ứng dụng của một khách hàng cho phép kẻ tấn công
truy cập dữ liệu của các khách hàng khác.
• Sự cố trong cơ sở hạ tầng đám mây có thể dẫn đến mất dữ liệu hoặc gián đoạn dịch vụ.
• Bất cẩn của người dùng có thể dẫn đến việc rò rỉ dữ liệu.
APT là viết tắt của Advanced Persistent Threat, là một cuộc tấn công tập trung vào
việc đánh cắp thông tin từ máy nạn nhân mà người dùng không biết. Các mối đe dọa APT bao gồm:
• Sử dụng phần mềm độc hại tinh vi để xâm nhập vào máy nạn nhân. Lừa
đảo người dùng tiết lộ thông tin nhạy cảm.
Vi-rút và sâu là các mối đe dọa mạng phổ biến nhất, có thể lây nhiễm vào mạng
trong vòng vài giây. Các mối đe dọa vi-rút và sâu bao gồm:
• Lây lan qua email, tệp đính kèm hoặc các phương tiện khác. Phá hoại dữ liệu hoặc hệ thống.
Sự gia tăng việc sử dụng thiết bị di động cho mục đích kinh doanh và cá nhân đã
khiến các thiết bị di động trở thành mục tiêu tấn công của tin tặc. Các mối đe dọa
thiết bị di động bao gồm:
• Chèn mã độc vào ứng dụng di động. Trộm dữ liệu từ thiết bị di động.
Botnet là một mạng lưới lớn các hệ thống bị xâm nhập được sử dụng bởi kẻ xâm
nhập để thực hiện các cuộc tấn công mạng khác nhau. Các mối đe dọa botnet bao gồm: • Gửi thư rác.
• Thực hiện các cuộc tấn công DDoS.
Tấn công nội bộ là một cuộc tấn công được thực hiện bởi một người được ủy
quyền truy cập vào mạng. Các mối đe dọa tấn công nội bộ bao gồm: • Trộm dữ liệu. lOMoARcPSD| 37054152 • Phá hoại hệ thống.
1.8) CÁC LOẠI ĐE DỌA BẢO MẬT THÔNG TIN
Mối đe dọa mạng
là những mối đe dọa nhắm vào mạng máy tính, chẳng hạn như:
Thu thập thông tin: Tin tặc có thể thu thập thông tin về mạng, chẳng hạn như địa
chỉ IP, tên miền và các lỗ hổng bảo mật, bằng cách sử dụng các kỹ thuật như dò quét mạng và nghe trộm.
• Tấn công mạng: Tin tặc có thể sử dụng các kỹ thuật tấn công mạng, chẳng
hạn như tấn công từ chối dịch vụ (DDoS), tấn công giả mạo (spoofing) và
tấn công Man-in-the-Middle (MITM), để gây gián đoạn hoặc chiếm quyền kiểm soát mạng.
Mối đe dọa máy chủ là những mối đe dọa nhắm vào máy chủ, chẳng hạn như:
• Malicious software: Phần mềm độc hại, chẳng hạn như virus, phần mềm
gián điệp và ransomware, có thể được sử dụng để xâm nhập vào máy chủ và
lấy cắp dữ liệu hoặc phá hủy hệ thống.
• Tấn công bằng mật khẩu: Tin tặc có thể sử dụng các kỹ thuật tấn công mật
khẩu, chẳng hạn như tấn công brute-force và tấn công dictionary, để đoán
mật khẩu của người dùng và chiếm quyền truy cập vào máy chủ.
• Tấn công nâng cao đặc quyền: Tin tặc có thể sử dụng các lỗ hổng bảo mật để
nâng cao đặc quyền của họ và truy cập vào các tài nguyên nhạy cảm.
Mối đe dọa ứng dụng là những mối đe dọa nhắm vào ứng dụng, chẳng hạn như:
• Lỗi xác thực và ủy quyền: Các lỗi xác thực và ủy quyền có thể cho phép tin
tặc truy cập vào các tài nguyên mà họ không được phép truy cập.
• Lỗi nhập liệu: Các lỗi nhập liệu có thể được sử dụng để thực thi mã độc hoặc
chiếm quyền kiểm soát ứng dụng.
• Tấn công SQL injection: Tin tặc có thể sử dụng SQL injection để thực thi
mã độc hoặc lấy cắp dữ liệu từ cơ sở dữ liệu.
1.9) CÁC LOẠI TẤN CÔNG AN NINH MẠNG
Tấn công hệ điều hành (Operating System Attacks):
Tin tặc tìm kiếm
các lỗ hổng trong thiết kế, cài đặt hoặc cấu hình của hệ điều hành để
khai thác và xâm nhập vào hệ thống. Các lỗ hổng hệ điều hành phổ biến lOMoARcPSD| 37054152
bao gồm buffer overflow, lỗi trong hệ điều hành, hệ điều hành chưa được vá, v.v.
Tấn công cấu hình sai (Misconfiguration Attacks): Các lỗ hổng cấu
hình ảnh hưởng đến máy chủ web, nền tảng ứng dụng, cơ sở dữ liệu,
mạng hoặc khung công tác có thể dẫn đến truy cập trái phép hoặc có thể
chiếm quyền sở hữu hệ thống.
Tấn công cấp ứng dụng (Application-Level Attacks): Tin tặc khai
thác các lỗ hổng trong các ứng dụng đang chạy trên hệ thống thông tin
của tổ chức để có được quyền truy cập trái phép và đánh cắp hoặc thao
túng dữ liệu. Các cuộc tấn công cấp ứng dụng phổ biến bao gồm buffer
overflow, cross-site scripting, SQL injection, man-in-the-middle, session
hijacking, denial-of-service, v.v.
Tấn công mã nguồn gói (Shrink-Wrap Code Attacks): Tin tặc khai
thác cấu hình mặc định và cài đặt của các thư viện và mã có sẵn. 1.10)
CHIẾN TRANH THÔNG TIN
Chiến tranh thông tin là việc sử dụng thông tin và công nghệ thông tin (ICT) để
đạt được lợi thế cạnh tranh so với đối thủ. Sơ đồ chia chiến tranh thông tin thành
hai loại chính: chiến tranh thông tin phòng thủ và chiến tranh thông tin tấn công.
Chiến tranh thông tin phòng thủ đề cập đến tất cả các chiến lược và hành động
để bảo vệ chống lại các cuộc tấn công vào tài sản ICT. Điều này có thể bao gồm các biện pháp như:
• Phòng ngừa: Các biện pháp được thực hiện để ngăn chặn các cuộc tấn công xảy ra ngay từ đầu.
• Dissuasion: Các biện pháp được thực hiện để ngăn chặn kẻ tấn công thực
hiện các cuộc tấn công.
• Sự cảnh báo: Các biện pháp được thực hiện để phát hiện các cuộc tấn công đang diễn ra.
• Phát hiện: Các biện pháp được thực hiện để xác định xem một cuộc tấn công đã xảy ra hay chưa. lOMoARcPSD| 37054152
• Phản ứng: Các biện pháp được thực hiện để ngăn chặn hoặc giảm thiểu tác
động của các cuộc tấn công đang diễn ra.
Chiến tranh thông tin tấn công đề cập đến thông tin chiến tranh liên quan đến
các cuộc tấn công vào tài sản ICT của đối thủ. Điều này có thể bao gồm các hoạt động như:
• Tấn công ứng dụng web: Các cuộc tấn công nhắm vào các ứng dụng web của đối phương.
• Tấn công máy chủ web: Các cuộc tấn công nhắm vào các máy chủ web của đối phương.
• Tấn công phần mềm độc hại: Các cuộc tấn công nhắm vào các hệ thống của
đối phương bằng cách cài đặt phần mềm độc hại.
• Tấn công mạng: Các cuộc tấn công nhắm vào mạng của đối phương.
• Tấn công xen giữa (MITM): Một loại tấn công mạng mà kẻ tấn công bí mật
chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ
đang trực tiếp giao tiếp với nhau.
• Hack hệ thống: Quá trình xâm nhập vào hệ thống máy tính hoặc mạng để
giành quyền truy cập trái phép. 1.11)
KHÁI NIỆM HACKING VÀ HACKER
Hack là việc khai thác các lỗ hổng hệ thống và xâm phạm các biện pháp bảo mật
để truy cập trái phép hoặc không phù hợp vào tài nguyên hệ thống. Nó bao gồm
việc sửa đổi các tính năng hệ thống hoặc ứng dụng để đạt được mục tiêu ngoài mục
đích ban đầu của người tạo. Hack có thể được sử dụng để đánh cắp, lấy cắp và
phân phối lại tài sản trí tuệ dẫn đến tổn thất kinh doanh. lOMoARcPSD| 37054152
Hacker, một người có kỹ năng máy tính xuất sắc và có khả năng tạo và khám phá
sâu vào phần mềm và phần cứng của máy tính. Hackers nổi tiếng với khả năng của
họ để tạo và khám phá sâu vào phần mềm và phần cứng của máy tính. Đối với một
số hacker, hack là một sở thích để xem họ có thể xâm phạm bao nhiêu máy tính
hoặc mạng. Đối với những người khác, mục đích của hack là để thu thập thông tin
hoặc thực hiện các hoạt động bất hợp pháp. Một số hacker hack với ý định xấu xa
đằng sau các chuyến đi của họ, chẳng hạn như đánh cắp dữ liệu kinh doanh, thông
tin thẻ tín dụng, số an sinh xã hội, mật khẩu email, v.v. 1.12) PHÂN LOẠI HACKER
Hacker được chia làm 8 loại chính:
- Black Hats (Mũ đen): Black Hats (còn được gọi là hacker ác độc, hacker
xấu) là những cá nhân hoặc nhóm hacker sử dụng kỹ năng và kiến thức về
công nghệ thông tin để thực hiện các hoạt động bất hợp pháp hoặc tấn công
vào hệ thống mạng mà không có sự cho phép của chủ sở hữu hay người quản lý hệ thống.
- White Hats (Mũ trắng): White Hats (còn được gọi là hacker thiện chí,
hacker trắng) là những chuyên gia bảo mật mạng hoặc những người sử dụng
kỹ năng và kiến thức về công nghệ thông tin để tìm ra và khắc phục các lỗ
hổng bảo mật trong hệ thống mạng.
- Gray Hats (Mũ xám): Gray Hats (còn được gọi là hacker xám) là những cá
nhân hoặc nhóm hacker có hành vi và hoạt động không rõ ràng hoặc không
hoàn toàn hợp pháp. Hacker Gray Hats có thể thực hiện các hoạt động không
phép hoặc vi phạm pháp luật, nhưng với mục đích thiện chí hoặc vì lợi ích chung.
- Suicide Hacker (Hacker liều chết): Suicide hackers là những hacker thực
hiện các cuộc tấn công mạng có mục đích tự sát. Họ có thể là những người
đang gặp phải các vấn đề về tâm lý, chẳng hạn như trầm cảm, rối loạn lưỡng
cực, hoặc rối loạn nhân cách borderline. Những cuộc tấn công này thường có
quy mô lớn và gây ra thiệt hại nghiêm trọng.
- Script Kiddies: Script Kiddies (còn được gọi là skids) là những cá nhân
không có kiến thức sâu về an ninh mạng nhưng sử dụng các công cụ và kịch
bản (scripts) đã được tạo sẵn để thực hiện các cuộc tấn công mạng. Họ
không phải là những hacker chuyên nghiệp hoặc có khả năng phát triển các lOMoARcPSD| 37054152
công cụ mới, mà thay vào đó, họ tìm kiếm các công cụ và kịch bản từ nguồn
công cộng hoặc nhóm hacker khác.
- Cyber Terorists: Cyber Terrorists (khủng bố mạng) là những cá nhân hoặc
nhóm sử dụng công nghệ thông tin và mạng máy tính để thực hiện các hoạt
động tấn công điện tử nhằm gây ra sự kinh hoàng, tạo ra sự hoang mang và
tạo ra hậu quả nghiêm trọng cho xã hội. Họ sử dụng các phương pháp tấn
công mạng nhằm vào các hệ thống, cơ sở hạ tầng, tổ chức hoặc cá nhân với
mục tiêu tạo ra sự sợ hãi, tàn phá, hoặc gây ảnh hưởng đến sự ổn định, an
ninh và kinh tế của một quốc gia hoặc cộng đồng.
- State Sponsored Hackers: State-sponsored hackers (kẻ tấn công được tài
trợ bởi nhà nước) là những hacker hoặc nhóm hacker được một quốc gia
hoặc tổ chức chính phủ cụ thể tài trợ, hỗ trợ hoặc bảo hộ. Điều này có nghĩa
là những kẻ tấn công này thực hiện các hoạt động tấn công mạng với sự ủy
quyền và hỗ trợ của một quốc gia hoặc tổ chức chính phủ.
- Hacktivist: Hacktivist (từ ghép giữa hacker và activist) là một người hoặc
một nhóm hacker sử dụng kỹ thuật hacking và hoạt động trên mạng để thực
hiện các hoạt động chính trị, xã hội hoặc tôn giáo nhằm thúc đẩy hoặc chống
lại một vấn đề cụ thể. Hacktivist thường sử dụng kỹ năng công nghệ thông
tin để tiếp cận và tấn công vào các trang web, hệ thống mạng hoặc cơ sở dữ
liệu của các tổ chức, chính phủ hoặc các cá nhân có liên quan đến vấn đề họ quan tâm. 1.13)
CÁC GIAI ĐOẠN TẤN CÔNG
Có tổng cộng 5 giai đoạn khi thực hiện một cuộc tấn công, từng bước được thực
hiện một cách có tuần tự.
a) Giai đoạn thăm dò
Giai đoạn trinh sát: Đây là giai đoạn quan trọng nhất trong tấn công mạng. Trong
giai đoạn này, kẻ tấn công sẽ tìm kiếm thông tin về mục tiêu, chẳng hạn như:
- Mạng lưới của mục tiêu
- Hệ thống máy tính của mục tiêu
- Ứng dụng của mục tiêu
- Nhân viên của mục tiêu
- Chính sách bảo mật của mục tiêu lOMoARcPSD| 37054152
Thông tin này sẽ giúp kẻ tấn công xác định điểm yếu của mục tiêu và lựa chọn
phương thức tấn công phù hợp. Loại hình trinh sát:
- Triển khai thụ động: Kẻ tấn công thu thập thông tin mà không tương tác
trực tiếp với mục tiêu. Ví dụ: kẻ tấn công có thể tìm kiếm thông tin trên
mạng, sử dụng các công cụ quét mạng hoặc theo dõi các hoạt động trên
mạng xã hội của mục tiêu. lOMoARcPSD| 37054152
Triển khai chủ động: Kẻ tấn công tương tác trực tiếp với mục tiêu để thu
thập thông tin. Ví dụ: kẻ tấn công có thể sử dụng các cuộc tấn công xã hội,
chẳng hạn như lừa đảo qua email, để thu thập thông tin từ nhân viên của mục tiêu.
Giai đoạn triển khai: Trong giai đoạn này, kẻ tấn công sẽ sử dụng thông tin thu
thập được trong giai đoạn trinh sát để thực hiện cuộc tấn công. Có nhiều loại hình
tấn công mạng khác nhau, chẳng hạn như:
- Tấn công mạng truy cập trái phép
- Tấn công mạng từ chối dịch vụ
- Tấn công mạng lừa đảo - Tấn công mạng đánh cắp dữ liệu
b) Giai đoạn tiền tấn công (Scanning)
"Scanning" đề cập đến giai đoạn tiền tấn công khi hacker quét mạng để tìm thông
tin cụ thể dựa trên thông tin thu thập được trong giai đoạn trinh sát. Quét có thể
bao gồm sử dụng các công cụ như dialer, máy quét cổng, lập bản đồ mạng, công cụ
ping, máy quét lỗ hổng bảo mật, v.v.
Có nhiều loại quét khác nhau mà hacker có thể sử dụng, bao gồm:
- Quét cổng: Quét cổng là một loại quét phổ biến được sử dụng để xác định
các cổng đang mở trên hệ thống đích. Điều này có thể giúp hacker xác định
các dịch vụ đang chạy trên hệ thống và các lỗ hổng bảo mật tiềm ẩn.
- Quét mạng: Quét mạng là một loại quét được sử dụng để xác định các máy
tính và thiết bị khác nhau được kết nối với mạng. Điều này có thể giúp
hacker xác định các mục tiêu tiềm năng cho các cuộc tấn công.
- Quét lỗ hổng: Quét lỗ hổng là một loại quét được sử dụng để xác định các
lỗ hổng bảo mật trong hệ thống đích. Điều này có thể giúp hacker khai thác
các lỗ hổng để giành quyền truy cập vào hệ thống. c) Gaining Access
Gaining access là giai đoạn mà kẻ tấn công có thể truy cập vào hệ thống máy tính
hoặc mạng của nạn nhân khi đã tìm ra một lỗ hổng để thâm nhập. Kẻ tấn công có
thể truy cập ở cấp độ hệ điều hành, ứng dụng hoặc mạng, và có thể tăng quyền để
kiểm soát toàn bộ hệ thống. Có nhiều kỹ thuật được sử dụng để gaining access,
như password cracking, buffer overflows, denial of service, session hijacking, v.v.
Gaining access là một giai đoạn quan trọng và nguy hiểm trong hacking, vì nó cho lOMoARcPSD| 37054152
phép kẻ tấn công thực hiện các hành động xấu như đánh cắp dữ liệu, phá hoại hệ
thống, lây nhiễm mã độc, v.v.
d) Duy trì (Maintaining Access)
"Maintaining Access" đề cập đến giai đoạn mà kẻ tấn công cố gắng duy trì quyền
sở hữu hệ thống của mình. Điều này có nghĩa là kẻ tấn công có thể ngăn hệ thống
bị sở hữu bởi những kẻ tấn công khác bằng cách bảo mật quyền truy cập độc quyền
của họ bằng các backdoor, rootkit hoặc trojan.
Cụ thể, kẻ tấn công có thể thực hiện các hành động sau trong giai đoạn Maintaining Access:
- Tạo các backdoor: Backdoor là một lỗ hổng bảo mật được tạo ra bởi kẻ tấn
công cho phép họ truy cập hệ thống mà không cần phải sử dụng phương
pháp ban đầu của họ. Backdoor có thể được tạo ra bằng cách khai thác lỗ
hổng phần mềm hoặc bằng cách cài đặt mã độc.
- Cài đặt rootkit: Rootkit là một phần mềm độc hại cho phép kẻ tấn công có
quyền truy cập cao vào hệ thống, bao gồm cả quyền truy cập root. Rootkit có
thể được cài đặt bằng cách khai thác lỗ hổng phần mềm hoặc bằng cách cài đặt mã độc.
- Cài đặt trojan: Trojan là một loại phần mềm độc hại được ngụy trang thành
phần mềm hợp pháp. Trojan có thể được sử dụng để cài đặt backdoor hoặc
rootkit hoặc để thực hiện các hành động độc hại khác.
Việc duy trì quyền truy cập là một giai đoạn quan trọng trong quá trình tấn công
của kẻ tấn công. Nếu kẻ tấn công có thể duy trì quyền truy cập vào hệ thống, họ có
thể tiếp tục thực hiện các hành động độc hại, chẳng hạn như đánh cắp dữ liệu, cài
đặt phần mềm độc hại hoặc sử dụng hệ thống để tấn công các hệ thống khác.
e) Xóa dấu vết (Clearing Tracks)
Giai đoạn mà kẻ tấn công xóa dấu vết của mình sau khi xâm nhập thành công vào
hệ thống của nạn nhân. Mục đích của giai đoạn này là để kẻ tấn công tránh bị phát hiện và truy tố.
Cụ thể, kẻ tấn công có thể thực hiện các hành động sau trong giai đoạn Clear track:
- Xóa các tệp và thông tin liên quan đến cuộc tấn công, chẳng hạn như tệp
thực thi, mã độc, nhật ký hệ thống, v.v. lOMoARcPSD| 37054152
- Thay đổi cấu hình hệ thống để che giấu dấu vết của cuộc tấn công, chẳng
hạn như sửa đổi nhật ký, xóa thông tin đăng nhập, v.v.
Sử dụng các kỹ thuật ẩn danh để che giấu vị trí và danh tính của mình, chẳng
hạn như sử dụng VPN, proxy, v.v.
Các kỹ thuật cụ thể mà kẻ tấn công sử dụng trong giai đoạn Clear track sẽ phụ
thuộc vào mức độ xâm nhập của họ vào hệ thống và khả năng của họ. Tuy
nhiên, nhìn chung, kẻ tấn công luôn cố gắng xóa bỏ mọi dấu vết của mình để tránh bị phát hiện. 1.14)
ĐIỀU KHIỂN AN NINH THÔNG TIN
a) Quá trình đảm bảo thông tin (Information Assurance)
Quá trình đảm bảo thông tin (IA), một tập hợp các thực tiễn và kỹ thuật được sử
dụng để bảo vệ tính toàn vẹn, tính sẵn có, tính bảo mật và tính xác thực của thông
tin. Quá trình IA bao gồm các bước sau:
- Xây dựng chính sách, quy trình và hướng dẫn địa phương: Bước này xác
định các mục tiêu IA và các biện pháp kiểm soát cần thiết để đạt được các mục tiêu đó.
- Thiết kế chiến lược xác thực mạng và người dùng: Bước này đảm bảo rằng
chỉ những người được ủy quyền mới có thể truy cập thông tin.
- Xác định các lỗ hổng và mối đe dọa mạng: Bước này giúp xác định các điểm
yếu trong hệ thống thông tin mà kẻ tấn công có thể khai thác.
- Xác định các vấn đề và yêu cầu tài nguyên: Bước này đảm bảo rằng các
nguồn lực cần thiết có sẵn để thực hiện các biện pháp kiểm soát IA.
- Lập kế hoạch cho các yêu cầu tài nguyên đã xác định: Bước này xác định
thời gian và ngân sách cần thiết để triển khai các biện pháp kiểm soát IA.
- Áp dụng các biện pháp kiểm soát đảm bảo thông tin thích hợp: Bước này
triển khai các biện pháp kiểm soát IA đã xác định.
- Thực hiện chứng nhận và phê duyệt: Bước này xác minh rằng các biện pháp
kiểm soát IA đã được triển khai đúng cách và hiệu quả.
- Cung cấp đào tạo đảm bảo thông tin: Bước này đảm bảo rằng người dùng
hiểu các biện pháp kiểm soát IA và cách sử dụng chúng một cách an toàn.
b) Chương trình quản lý an ninh thông tin
Các chương trình quản lý an ninh thông tin này được thiết kế để giúp doanh
nghiệp hoạt động trong trạng thái giảm thiểu rủi ro. Chúng bao gồm tất cả các lOMoARcPSD| 37054152
quy trình tổ chức và vận hành, và các bên tham gia liên quan đến an ninh thông
tin. Chương trình quản lý an ninh thông tin bao gồm một số thành phần chính, bao gồm: lOMoARcPSD| 37054152 -
Chính sách an ninh: Chính sách an ninh là các hướng dẫn chung về cách bảo vệ thông tin.
- Vai trò và trách nhiệm: Vai trò và trách nhiệm xác định ai chịu trách nhiệm
cho các khía cạnh khác nhau của an ninh thông tin.
- Hướng dẫn và khung an ninh: Hướng dẫn và khung an ninh cung cấp các
thực tiễn tốt nhất để bảo vệ thông tin.
- Quản lý rủi ro: Quản lý rủi ro là quá trình xác định, đánh giá và giảm thiểu
các rủi ro đối với thông tin.
- Quản lý tài sản: Quản lý tài sản là quá trình xác định, phân loại và bảo vệ các tài sản thông tin.
- Quản lý kỹ thuật: Quản lý kỹ thuật là quá trình áp dụng các biện pháp kỹ
thuật để bảo vệ thông tin.
- Quản lý hoạt động: Quản lý hoạt động là quá trình thực hiện các biện pháp
an ninh thông tin trong hoạt động hàng ngày của doanh nghiệp.
- Quản lý khả năng phục hồi kinh doanh: Quản lý khả năng phục hồi kinh
doanh là quá trình đảm bảo rằng doanh nghiệp có thể tiếp tục hoạt động
ngay cả khi xảy ra sự cố.
- Quản lý khôi phục sau thảm họa: Quản lý khôi phục sau thảm họa là quá
trình khôi phục thông tin và hệ thống sau khi xảy ra sự cố.
- Đào tạo và nhận thức: Đào tạo và nhận thức là quá trình đảm bảo rằng nhân
viên hiểu các chính sách và quy trình an ninh thông tin.
- Thống kê và báo cáo: Thống kê và báo cáo là quá trình theo dõi hiệu quả của
chương trình quản lý an ninh thông tin.
Chương trình quản lý an ninh thông tin là một thành phần quan trọng của bất kỳ
doanh nghiệp nào muốn bảo vệ thông tin của mình. Bằng cách thiết lập và thực thi
chương trình hiệu quả, doanh nghiệp có thể giảm thiểu rủi ro đối với thông tin và
đảm bảo rằng thông tin được bảo vệ khỏi các cuộc tấn công mạng. c) EISA
EISA là một tập hợp các yêu cầu, quy trình, nguyên tắc và mô hình xác định cấu
trúc và hành vi của hệ thống thông tin của một tổ chức. Mục tiêu của EISA bao gồm như sau: lOMoARcPSD| 37054152 -
- Giúp giám sát và phát hiện hành vi mạng trong thời gian thực, thực hiện các
biện pháp bảo mật nội bộ và bên ngoài.
- Giúp tổ chức phát hiện và phục hồi từ các vi phạm bảo mật.
- Giúp tổ chức ưu tiên các nguồn lực và chú ý đến các mối đe dọa khác nhau.
Mang lại lợi ích cho tổ chức về mặt chi phí khi được tích hợp vào các biện
pháp bảo mật như ứng phó sự cố, khôi phục thảm họa, phối hợp sự kiện, v.v.
- Giúp phân tích thủ tục cần thiết cho bộ phận CNTT hoạt động bình thường và xác định tài sản.
- Giúp thực hiện đánh giá rủi ro tài sản CNTT của tổ chức với sự hợp tác của nhân viên CNTT.
Nói chung, EISA là một khuôn khổ quan trọng để giúp các tổ chức bảo vệ thông
tin của họ khỏi các mối đe dọa. Bằng cách đạt được các mục tiêu của EISA, các tổ
chức có thể cải thiện khả năng bảo mật của họ và giảm thiểu rủi ro bị tấn công.
d) Phân vùng bảo mật mạng
- Vùng Internet: Đây là vùng không được kiểm soát, vì nó nằm ngoài ranh
giới của tổ chức. Nó thường chứa các trang web công khai, máy chủ thư và
các dịch vụ khác có thể truy cập được từ Internet.
- Vùng DMZ: Đây là vùng kiểm soát, vì nó cung cấp một vùng đệm giữa
mạng nội bộ và Internet. Nó thường chứa các máy chủ Web, máy chủ email
và các dịch vụ khác cần truy cập từ Internet.
- Vùng mạng sản xuất: Đây là vùng bị hạn chế, vì nó kiểm soát chặt chẽ
quyền truy cập trực tiếp từ các mạng không được kiểm soát. Nó thường chứa
các máy chủ ứng dụng, cơ sở dữ liệu và các dịch vụ khác cần bảo mật cao.
- Vùng mạng nội bộ: Đây là vùng kiểm soát với không có hạn chế nặng nề.
Nó thường chứa các máy tính của nhân viên, máy chủ in và các dịch vụ khác
được sử dụng nội bộ bởi tổ chức.
- Vùng mạng quản lý: Đây là vùng được bảo mật với các chính sách nghiêm
ngặt. Nó thường chứa các máy chủ quản lý, hệ thống giám sát và các dịch vụ
khác cần được bảo vệ khỏi truy cập trái phép.
Việc phân vùng mạng theo các vùng bảo mật khác nhau giúp các tổ chức quản lý
môi trường mạng an toàn hơn. Bằng cách phân loại các máy tính và dịch vụ theo
mức độ rủi ro, các tổ chức có thể áp dụng các biện pháp bảo mật phù hợp để bảo vệ chúng. lOMoARcPSD| 37054152 -
e) Chính sách bảo mật thông tin
Chính sách bảo mật thông tin là nền tảng của cơ sở hạ tầng bảo mật, là tập hợp các
yêu cầu và quy tắc cơ bản cần được thực hiện để bảo vệ và an toàn hệ thống thông
tin của tổ chức. Các mục tiêu của chính sách bảo mật thông tin bao gồm:
Duy trì khuôn khổ cho việc quản lý và điều hành an ninh mạng. Chính sách
bảo mật thông tin cung cấp các hướng dẫn và quy tắc về cách thức quản lý
và điều hành an ninh mạng, bao gồm các vấn đề như xác định tài sản thông
tin, phân tích rủi ro, kiểm soát truy cập, kiểm soát dữ liệu, v.v.
- Bảo vệ tài nguyên tính toán của tổ chức. Chính sách bảo mật thông tin giúp
bảo vệ các tài nguyên tính toán của tổ chức khỏi các mối đe dọa bảo mật,
bao gồm tấn công mạng, mất mát dữ liệu, v.v.
- Loại bỏ trách nhiệm pháp lý phát sinh từ nhân viên hoặc bên thứ ba. Chính
sách bảo mật thông tin giúp tổ chức giảm thiểu trách nhiệm pháp lý phát sinh
từ việc vi phạm bảo mật thông tin, chẳng hạn như vi phạm quyền riêng tư, vi phạm bản quyền, v.v.
- Ngăn chặn lãng phí tài nguyên tính toán của công ty. Chính sách bảo mật
thông tin giúp tổ chức sử dụng tài nguyên tính toán một cách hiệu quả và an toàn, tránh lãng phí.
- Bảo vệ thông tin bí mật, độc quyền của tổ chức khỏi trộm cắp, sử dụng sai
mục đích, tiết lộ trái phép. Chính sách bảo mật thông tin giúp tổ chức bảo vệ
các thông tin bí mật, độc quyền của mình khỏi các mối đe dọa bảo mật.
f) Các loại chính sách bảo mật
4 loại chính sách bảo mật chính:
- Chính sách cởi mở (Promiscuous Policy): không có hạn chế nào đối với việc
sử dụng hệ thống và tài nguyên.
- Chính sách cho phép (Permissive Policy): chính sách bắt đầu rộng mở và chỉ
chặn các dịch vụ/tấn công hoặc hành vi nguy hiểm đã biết.
- Chính sách thận trọng (Prudent Policy): cung cấp mức độ bảo mật tối đa
trong khi vẫn cho phép các nguy cơ đã biết nhưng cần thiết.
- Chính sách hoang tưởng (Paranoid Policy): cấm mọi thứ, không có kết nối
Internet hoặc hạn chế nghiêm ngặt việc sử dụng Internet. lOMoARcPSD| 37054152 -
Mỗi loại chính sách có những ưu điểm và nhược điểm riêng. Chính sách cởi mở là
đơn giản nhất để triển khai nhưng cũng dễ bị tấn công nhất. Chính sách cho phép
cung cấp một mức độ bảo mật tốt mà không quá hạn chế. Chính sách thận trọng
cung cấp mức độ bảo mật cao hơn nhưng có thể ảnh hưởng đến tính khả dụng của
hệ thống. Chính sách hoang tưởng cung cấp mức độ bảo mật cao nhất nhưng cũng rất khó sử dụng. lOMoARcPSD| 37054152
Chọn loại chính sách bảo mật phù hợp phụ thuộc vào nhiều yếu tố, bao gồm mức
độ rủi ro mà tổ chức phải đối mặt, mức độ bảo mật cần thiết và chi phí triển khai và duy trì chính sách.
g) Bảo mật cơ bản tại nơi làm việc
Các quy tắc này nhằm bảo vệ quyền riêng tư của nhân viên và đảm bảo rằng thông
tin cá nhân của họ được sử dụng một cách hợp pháp và có trách nhiệm. Các quy
tắc cụ thể được liệt kê như sau:
- Thông báo cho nhân viên về những gì bạn thu thập, tại sao và bạn sẽ làm gì
với nó. Điều này bao gồm việc liệt kê tất cả các loại thông tin cá nhân mà
bạn thu thập từ nhân viên, chẳng hạn như tên, địa chỉ, thông tin liên hệ,
thông tin sức khỏe, v.v. Bạn cũng nên giải thích lý do tại sao bạn thu thập
thông tin này và cách bạn sẽ sử dụng nó.
- Giữ thông tin cá nhân của nhân viên chính xác, đầy đủ và cập nhật. Bạn nên
có quy trình để cập nhật thông tin cá nhân của nhân viên khi có thay đổi.
- Giới hạn việc thu thập thông tin và thu thập thông tin bằng các phương tiện
hợp pháp và công bằng. Bạn chỉ nên thu thập thông tin cá nhân cần thiết cho
các mục đích kinh doanh hợp pháp.
- Thông báo cho nhân viên về khả năng thu thập, sử dụng và tiết lộ thông tin
cá nhân. Bạn nên cung cấp cho nhân viên thông tin về cách họ có thể truy
cập và sửa đổi thông tin cá nhân của họ.
- Giữ thông tin cá nhân của nhân viên an toàn. Bạn nên có các biện pháp bảo
mật thích hợp để bảo vệ thông tin cá nhân của nhân viên khỏi bị truy cập trái
phép hoặc bị sử dụng sai mục đích.
Các quy tắc bảo mật cơ bản tại nơi làm việc là quan trọng để bảo vệ quyền riêng tư
của nhân viên và đảm bảo rằng họ cảm thấy thoải mái khi làm việc cho công ty của bạn.
h) Các bước tạo và triển khai chính sách bảo mật Bước 1: Thực hiện đánh giá rủi ro
Bước đầu tiên là xác định các rủi ro đối với tài sản của tổ chức. Điều này có thể
được thực hiện thông qua đánh giá rủi ro, trong đó các chuyên gia sẽ xem xét các
tài sản của tổ chức, các mối đe dọa đối với các tài sản đó và khả năng xảy ra của các mối đe dọa đó. lOMoARcPSD| 37054152
Bước 2: Học hỏi từ các hướng dẫn tiêu chuẩn và các tổ chức khác
Sau khi xác định các rủi ro, tổ chức có thể học hỏi từ các hướng dẫn tiêu chuẩn và
các tổ chức khác để phát triển các chính sách bảo mật phù hợp. Các hướng dẫn tiêu
chuẩn phổ biến bao gồm ISO/IEC 27001 và NIST SP 800-53.
Bước 3: Bao gồm cấp quản lý cao cấp và tất cả nhân viên khác trong quá
trình phát triển chính sách
Cấp quản lý cao cấp và tất cả nhân viên khác trong tổ chức nên được bao gồm
trong quá trình phát triển chính sách. Điều này sẽ giúp đảm bảo rằng chính sách
được hỗ trợ và thực thi hiệu quả.
Bước 4: Đặt ra các hình phạt rõ ràng và thực thi chúng
Các chính sách bảo mật phải có các hình phạt rõ ràng cho những vi phạm. Điều
này sẽ giúp đảm bảo rằng các nhân viên tuân thủ các chính sách.
Bước 5: Tạo phiên bản cuối cùng có sẵn cho tất cả nhân viên trong tổ chức
Phiên bản cuối cùng của chính sách bảo mật phải có sẵn cho tất cả nhân viên trong
tổ chức. Điều này sẽ giúp đảm bảo rằng tất cả nhân viên đều biết về các chính sách và cách tuân thủ chúng.
Bước 6: Đảm bảo rằng tất cả thành viên trong nhóm của bạn đọc, ký và hiểu chính sách
Tất cả các thành viên trong tổ chức phải đọc, ký và hiểu chính sách bảo mật. Điều
này sẽ giúp đảm bảo rằng tất cả nhân viên đều tuân thủ các chính sách.
Bước 7: Triển khai các công cụ để thực thi chính sách
Các công cụ có thể được triển khai để giúp thực thi chính sách bảo mật. Các công
cụ này có thể bao gồm các hệ thống kiểm soát truy cập, hệ thống phát hiện xâm
nhập và hệ thống báo cáo.
Bước 8: Đào tạo nhân viên của bạn và giáo dục họ về chính sách
Nhân viên của bạn cần được đào tạo và giáo dục về chính sách bảo mật. Điều này
sẽ giúp họ hiểu cách tuân thủ các chính sách và cách bảo vệ tài sản của tổ chức.
Bước 9: Đánh giá và cập nhật chính sách bảo mật thường xuyên
Chính sách bảo mật cần được đánh giá và cập nhật thường xuyên để đảm bảo rằng
chúng vẫn phù hợp với các rủi ro và nhu cầu của tổ chức. lOMoARcPSD| 37054152
Ngoài ra, ta cũng có thông tin về nhóm phát triển chính sách bảo mật. Nhóm này
thường bao gồm các thành viên từ nhóm bảo mật thông tin, nhân viên kỹ thuật, cố
vấn pháp lý, nhân viên nhân sự, nhóm kiểm toán và tuân thủ và các nhóm người dùng.
i) Tác động pháp lý của việc thực thi chính sách bảo mật Tác
động về mặt nhân sự
- Bộ phận nhân sự chịu trách nhiệm làm cho nhân viên nhận thức được các
chính sách bảo mật và đào tạo họ về các thực tiễn tốt nhất được xác định trong chính sách.
- Bộ phận nhân sự làm việc với ban quản lý để giám sát việc thực thi chính
sách và giải quyết bất kỳ vấn đề vi phạm chính sách nào. Tác động về mặt pháp lý
- Các chính sách bảo mật doanh nghiệp nên được phát triển có tham khảo ý
kiến của các chuyên gia pháp lý và phải tuân thủ luật pháp địa phương có liên quan.
- Việc thực thi chính sách bảo mật có thể vi phạm quyền của người dùng nếu
không được thực hiện một cách hợp pháp. Ví dụ: việc theo dõi nhân viên mà
không có sự đồng ý của họ có thể vi phạm quyền riêng tư của họ.
Các tổ chức cần đảm bảo rằng các chính sách bảo mật của họ tuân thủ luật pháp
địa phương và được thực thi một cách hợp pháp để tránh các vấn đề pháp lý tiềm ẩn. j) An ninh vật lý
An ninh vật lý là lớp bảo vệ đầu tiên của một tổ chức, giúp bảo vệ các tài sản của
tổ chức khỏi các mối đe dọa từ môi trường và con người. Một số mối đe dọa an
ninh vật lý phổ biến, bao gồm:
- Mối đe dọa từ môi trường: lũ lụt, hỏa hoạn, động đất, bụi, v.v.
- Mối đe dọa do con người gây ra: gián điệp, phá hoại, trộm cắp, chiến tranh, nổ mìn, v.v.
An ninh vật lý giúp ngăn chặn các truy cập trái phép vào các tài nguyên hệ thống,
ngăn chặn việc can thiệp hoặc đánh cắp dữ liệu từ các hệ thống máy tính, bảo vệ
nhân viên khỏi các cuộc tấn công kỹ thuật xã hội và ngăn chặn các hành vi phá lOMoARcPSD| 37054152
hoại. Dưới đây là một số ví dụ về các biện pháp an ninh vật lý có thể được áp dụng
để bảo vệ một tổ chức:
- Kiểm soát truy cập vật lý: sử dụng cổng, hàng rào, chốt bảo vệ, hệ thống
nhận dạng, v.v. để kiểm soát ai có thể vào và ra khỏi một khu vực.
- Giám sát video: sử dụng camera để giám sát các khu vực nhạy cảm.
- An ninh nhân viên: đào tạo nhân viên về cách nhận biết và báo cáo các mối đe dọa an ninh.
- An ninh vật chất: sử dụng vật liệu và thiết bị chống trộm.
- An ninh vật lý là một thành phần quan trọng của bất kỳ chương trình bảo
mật nào. Bằng cách thực hiện các biện pháp an ninh vật lý thích hợp, các tổ
chức có thể giảm thiểu rủi ro bị tấn công và bảo vệ các tài sản của mình.
k) Kiểm soát an ninh vật lý
Một số biện pháp kiểm soát an ninh vật lý phổ biến, bao gồm:
- Các biện pháp an ninh bên ngoài: Các biện pháp này nhằm ngăn chặn kẻ
xâm nhập tiếp cận cơ sở vật chất của tổ chức. Chúng bao gồm hàng rào,
tường, cổng, bảo vệ, báo động, camera CCTV, hệ thống xâm nhập, nút nhấn
khẩn cấp, báo động trộm, thanh chắn cửa sổ và cửa, khóa chết, v.v.
- Các biện pháp an ninh tại khu vực tiếp tân: Các biện pháp này nhằm bảo
vệ các tài liệu và tài sản quan trọng trong khu vực tiếp tân. Chúng bao gồm
khóa các tài liệu và tài sản quan trọng, khóa thiết bị khi không sử dụng.
- Các biện pháp an ninh tại khu vực máy chủ và máy trạm: Các biện pháp
này nhằm bảo vệ các máy chủ và máy trạm của tổ chức. Chúng bao gồm
khóa các máy tính khi không sử dụng, tắt hoặc tránh sử dụng phương tiện
tháo rời và ổ DVD-ROM, lắp đặt camera CCTV, thiết kế bố cục máy trạm.
- Các biện pháp an ninh đối với các thiết bị khác như fax, modem và
phương tiện tháo rời: Các biện pháp này nhằm bảo vệ các thiết bị khác như
fax, modem và phương tiện tháo rời. Chúng bao gồm khóa các máy fax khi
không sử dụng, lưu trữ các bản fax thu được đúng cách, tắt chế độ trả lời tự
động cho modem, không đặt phương tiện tháo rời ở những nơi công cộng và
phá hủy vật lý phương tiện tháo rời bị hỏng.
- Các biện pháp kiểm soát truy cập: Các biện pháp này nhằm kiểm soát ai
có thể truy cập vào cơ sở vật chất của tổ chức. Chúng bao gồm phân tách các
khu vực làm việc, triển khai các biện pháp kiểm soát truy cập sinh trắc học
(như nhận dạng vân tay, quét võng mạc, quét mống mắt, nhận dạng cấu trúc lOMoARcPSD| 37054152
tĩnh mạch, nhận dạng khuôn mặt, nhận dạng giọng nói), thẻ vào cửa, bẫy
người, thủ tục đăng ký giáo sư, thẻ nhận dạng, v.v.
- Bảo trì thiết bị máy tính: Các biện pháp này nhằm bảo vệ các thiết bị máy
tính của tổ chức khỏi bị hư hỏng hoặc mất mát. Chúng bao gồm chỉ định một
người để phụ trách bảo trì thiết bị máy tính, thường xuyên kiểm tra tất cả các
dây cáp truyền dữ liệu, bảo vệ dây cáp bằng cáp bọc kim loại, không để bất
kỳ dây nào bị lộ ra ngoài.
- Nghe lén: Các biện pháp này nhằm ngăn chặn kẻ xâm nhập nghe lén các
cuộc trò chuyện hoặc thông tin nhạy cảm khác. Chúng bao gồm kiểm tra
thường xuyên tất cả các dây cáp truyền dữ liệu, bảo vệ dây cáp bằng cáp bọc
kim loại, không để bất kỳ dây nào bị lộ ra ngoài.
- Kiểm soát môi trường: Các biện pháp này nhằm bảo vệ các thiết bị và tài
sản của tổ chức khỏi bị hư hỏng do thời tiết, cháy nổ, v.v. Chúng bao gồm
độ ẩm và điều hòa không khí, HVAC, dập lửa, chắn nhiễu điện từ và các dãy nóng và lạnh.
l) Quản lý sự cố an ninh mạng
Quy trình này bao gồm các bước sau:
- Phát hiện và phân loại: Bước đầu tiên là phát hiện sự cố an ninh mạng. Điều
này có thể được thực hiện thông qua các biện pháp giám sát, chẳng hạn như
hệ thống giám sát an ninh mạng (SIEM), hệ thống quản lý sự kiện bảo mật
(SIEM), hoặc thông qua các báo cáo của nhân viên. Sau khi phát hiện sự cố,
cần phân loại sự cố theo mức độ nghiêm trọng để xác định ưu tiên xử lý.
- Phân tích và điều tra: Bước tiếp theo là phân tích và điều tra sự cố. Mục đích
của bước này là xác định nguyên nhân gây ra sự cố, phạm vi ảnh hưởng của
sự cố, và các dữ liệu, tài sản bị ảnh hưởng.
- Phản ứng: Bước này là thực hiện các biện pháp để ứng phó với sự cố. Các
biện pháp này có thể bao gồm ngăn chặn sự cố lây lan, thu thập bằng chứng,
khôi phục hệ thống, và thông báo cho các bên liên quan.
- Khắc phục: Bước cuối cùng là khắc phục sự cố. Mục đích của bước này là
ngăn chặn sự cố tái diễn.
Quy trình quản lý sự cố an ninh mạng được chia thành các giai đoạn chính sau:
- Giai đoạn 1: Phát hiện và phân loại
- Giai đoạn 2: Phân tích và điều tra
- Giai đoạn 3: Phản ứng lOMoARcPSD| 37054152
- Giai đoạn 4: Khắc phục
Mỗi giai đoạn trong quy trình này đều có vai trò quan trọng trong việc đảm bảo
hiệu quả xử lý sự cố an ninh mạng. Các tổ chức cần xây dựng và triển khai quy
trình quản lý sự cố hiệu quả để có thể kịp thời phát hiện, xử lý và ngăn chặn các sự cố an ninh mạng.
m)Quy trình quản lý sự cố
Quy trình này bao gồm 7 bước chính:
- Chuẩn bị cho sự cố: Bước này bao gồm việc xây dựng kế hoạch, chính sách
và quy trình quản lý sự cố, đồng thời đào tạo nhân viên về các quy trình này.
- Phát hiện và phân tích: Bước này bao gồm việc phát hiện sự cố, phân tích
nguyên nhân và phạm vi của sự cố.
- Phân loại và ưu tiên: Bước này bao gồm việc phân loại mức độ nghiêm trọng
của sự cố và ưu tiên các sự cố cần được xử lý trước.
- Thông báo: Bước này bao gồm việc thông báo cho các bên liên quan về sự
cố, bao gồm khách hàng, nhân viên và các cơ quan chức năng.
- Kiềm chế và ứng phó: Bước này bao gồm việc thực hiện các biện pháp để
ngăn chặn sự cố lan rộng và gây thiệt hại thêm.
- Điều tra pháp y: Bước này bao gồm việc điều tra nguyên nhân gốc rễ của sự
cố để ngăn chặn sự cố tái diễn.
- Xóa bỏ và phục hồi: Bước này bao gồm việc xóa bỏ tác hại của sự cố và
khôi phục hệ thống hoạt động bình thường.
n) Trách nhiệm của nhóm ứng phó sự cố
- Quản lý các vấn đề bảo mật bằng cách tiếp cận chủ động đối với các lỗ hổng
bảo mật của khách hàng và bằng cách đáp ứng hiệu quả với các sự cố bảo mật thông tin tiềm ẩn.
- Cung cấp một điểm liên hệ duy nhất để báo cáo các sự cố bảo mật và vấn đề.
- Xây dựng hoặc xem xét lại các quy trình và thủ tục cần phải tuân theo trong
phản ứng với một sự cố.
- Quản lý phản ứng với một sự cố và đảm bảo rằng tất cả các thủ tục được
tuân theo đúng cách để giảm thiểu và kiểm soát thiệt hại.
- Xác định và phân tích những gì đã xảy ra trong một sự cố, bao gồm tác động
và mối đe dọa, đồng thời thiết lập mối quan hệ với cơ quan thực thi pháp
luật địa phương, cơ quan chính phủ, đối tác chính và nhà cung cấp. lOMoARcPSD| 37054152
o) Đánh giá lỗ hổng bảo mật
Đánh giá lỗ hổng bảo mật là quá trình kiểm tra, tìm tòi, nhận diện các lỗ hổng bảo
mật của hệ thống và ứng dụng. Các hệ thống và ứng dụng được kiểm tra để nhận
định tính hiệu quả của các tầng bảo mật hiện thời trong việc chống lại các tấn công và lạm dụng.
Mục đích của việc đánh giá lỗ hổng bảo mật được sử dụng để:
- Xác định các lỗ hổng bảo mật có thể bị khai thác
- Đánh giá hiệu quả của các biện pháp bảo mật hiện tại - Xây dựng kế
hoạch khắc phục các lỗ hổng bảo mật p) Các loại đánh giá lỗ hổng bảo
mật
Đánh giá lỗ hổng thành năm loại chính:
- Active assessment: Sử dụng máy quét mạng để tìm máy chủ, dịch vụ và lỗ hổng.
- Passive assessment: Sử dụng kỹ thuật sniffer để tìm ra các hệ thống hoạt
động, dịch vụ mạng, ứng dụng và lỗ hổng hiện diện.
- Host-based assessment: Xác định các lỗ hổng trong một máy trạm hoặc máy chủ cụ thể.
- Network assessment: Xác định các cuộc tấn công mạng tiềm ẩn có thể xảy ra
trên hệ thống của tổ chức.
- Internal assessment: Sử dụng kỹ thuật quét cơ sở hạ tầng nội bộ để tìm ra các lỗ hổng và khai thác.
Mỗi loại đánh giá lỗ hổng có những ưu điểm và nhược điểm riêng. Active
assessment có thể cung cấp độ phủ rộng hơn, nhưng nó cũng có thể gây ra sự gián
đoạn cho hệ thống. Passive assessment ít gây gián đoạn hơn, nhưng nó có thể
không phát hiện ra tất cả các lỗ hổng. Host-based assessment có thể cung cấp độ
chính xác cao hơn, nhưng nó có thể không phát hiện ra các lỗ hổng liên quan đến
mạng. Network assessment có thể cung cấp cái nhìn tổng quan về các lỗ hổng bảo
mật, nhưng nó có thể không phát hiện ra các lỗ hổng cụ thể. Internal assessment có
thể cung cấp độ sâu chi tiết hơn, nhưng nó có thể khó thực hiện hơn. Chọn loại
đánh giá lỗ hổng nào phụ thuộc vào các yêu cầu cụ thể của tổ chức.
q) Quy trình đánh giá lỗ hổng mạng
Quy trình này được chia thành ba giai đoạn:
- Giai đoạn 1: Thu thập dữ liệu: Trong giai đoạn này, người đánh giá sẽ thu
thập thông tin về mạng, bao gồm các tài liệu liên quan đến an ninh mạng, lOMoARcPSD| 37054152
luật và quy trình liên quan đến đánh giá lỗ hổng mạng, và danh sách các lỗ
hổng đã được phát hiện trước đó.
- Giai đoạn 2: Xác định: Trong giai đoạn này, người đánh giá sẽ thực hiện
các cuộc phỏng vấn với khách hàng và nhân viên liên quan đến thiết kế,
quản trị hệ thống, và xác định thông tin kỹ thuật về tất cả các thành phần
mạng. Người đánh giá cũng sẽ xác định các tiêu chuẩn ngành mà hệ thống
bảo mật mạng tuân thủ.
- Giai đoạn 3: Phân tích: Trong giai đoạn này, người đánh giá sẽ phân tích
các kết quả của các cuộc phỏng vấn, thông tin kỹ thuật thu thập được, và
danh sách các lỗ hổng đã được phát hiện trước đó. Người đánh giá cũng sẽ
phân tích hiệu quả của các biện pháp kiểm soát bảo mật hiện tại và xác định
các lỗ hổng bảo mật và rủi ro.
- Giai đoạn 4: Đánh giá mức độ nghiêm trọng: Trong giai đoạn này, người
đánh giá sẽ đánh giá mức độ nghiêm trọng của các lỗ hổng đã được xác
định. Mức độ nghiêm trọng của một lỗ hổng được xác định dựa trên các yếu
tố như: Khả năng khai thác lỗ hổng, Ảnh hưởng của việc khai thác lỗ hổng,
Khả năng phát hiện lỗ hổng,...
- Giai đoạn 5: Trình bày báo cáo: Trong giai đoạn này, người đánh giá sẽ
trình bày báo cáo về kết quả của đánh giá. Báo cáo sẽ bao gồm các thông tin
sau: Danh sách các lỗ hổng đã được xác định, Mức độ nghiêm trọng của các
lỗ hổng, Khuyến nghị về cách khắc phục các lỗ hổng,...
r) Nghiên cứu lỗ hổng bảo mật
Quá trình này bao gồm việc tìm kiếm các lỗ hổng và sai sót trong thiết kế có thể
khiến hệ điều hành và ứng dụng của nó bị tấn công hoặc lạm dụng. Clỗ hổng bảo
mật được phân loại dựa trên mức độ nghiêm trọng (thấp, trung bình hoặc cao) và
phạm vi khai thác (nội bộ hoặc từ xa).
Một quản trị viên cần nghiên cứu lỗ hổng bảo mật:
- Để thu thập thông tin về xu hướng bảo mật, mối đe dọa và tấn công,
- Để tìm ra điểm yếu, cảnh báo quản trị viên mạng trước khi xảy ra tấn công mạng,
- Để biết cách khôi phục sau một cuộc tấn công mạng, - Để có thông tin
giúp ngăn chặn các vấn đề bảo mật. 1.15)
KIỂM THỬ XÂM NHẬP
a) Kiểm thử thâm nhập là gì? lOMoARcPSD| 37054152
Kiểm thử xâm nhập là một phương pháp đánh giá bảo mật của hệ thống thông tin
hoặc mạng bằng cách mô phỏng một cuộc tấn công để tìm ra các lỗ hổng mà một
kẻ tấn công có thể khai thác. Quy trình kiểm thử xâm nhập bao gồm bốn bước:
- Tiền kiểm tra: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ thu thập
thông tin về hệ thống thông tin hoặc mạng cần kiểm tra, bao gồm kiến trúc
hệ thống, cấu hình mạng, các ứng dụng đang chạy, v.v.
- Phân tích hệ thống: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ
phân tích hệ thống để xác định các lỗ hổng tiềm ẩn. Các lỗ hổng này có thể
bao gồm các lỗ hổng trong thiết kế hệ thống, các lỗi kỹ thuật hoặc các cài đặt không an toàn.
- Tấn công hệ thống: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ cố
gắng khai thác các lỗ hổng đã xác định để xâm nhập vào hệ thống.
- Tài liệu và báo cáo: Trong bước này, chuyên gia kiểm thử xâm nhập sẽ lập
báo cáo tổng hợp về kết quả kiểm tra, bao gồm danh sách các lỗ hổng đã tìm
thấy, mức độ nghiêm trọng của các lỗ hổng và đề xuất cách khắc phục các lỗ hổng.
b) Tại sao lại cần kiểm thử thâm nhập?
- Xác định các mối đe dọa đối với tài sản thông tin của tổ chức: Kiểm tra
xâm nhập có thể giúp xác định các lỗ hổng bảo mật mà kẻ tấn công có thể
khai thác. Điều này giúp tổ chức hiểu rõ hơn về những mối đe dọa mà họ
đang phải đối mặt và đưa ra các biện pháp khắc phục phù hợp.
- Giảm chi phí bảo mật: Kiểm tra xâm nhập có thể giúp giảm chi phí bảo
mật bằng cách xác định và khắc phục các lỗ hổng bảo mật trước khi chúng bị
kẻ tấn công khai thác. Điều này có thể giúp tổ chức tiết kiệm tiền cho các
biện pháp bảo mật bổ sung, chẳng hạn như bảo hiểm bảo mật.
- Tăng lợi nhuận đầu tư bảo mật (ROSI): Kiểm tra xâm nhập có thể giúp
tăng lợi nhuận đầu tư bảo mật (ROSI) bằng cách xác định và khắc phục các
lỗ hổng bảo mật trước khi chúng gây ra thiệt hại. Điều này có thể giúp tổ
chức tiết kiệm tiền bằng cách giảm chi phí khắc phục sự cố bảo mật và bồi thường thiệt hại.
- Cung cấp sự đảm bảo với đánh giá toàn diện về bảo mật của tổ chức:
Kiểm tra xâm nhập có thể cung cấp sự đảm bảo cho tổ chức rằng hệ thống
mạng và ứng dụng của họ được bảo vệ khỏi các mối đe dọa. Điều này có thể
giúp tổ chức cải thiện lòng tin của khách hàng và đối tác. lOMoARcPSD| 37054152
- Nhận và duy trì chứng nhận theo quy định: Một số quy định yêu cầu các
tổ chức thực hiện kiểm tra xâm nhập định kỳ. Việc đáp ứng các yêu cầu này
có thể giúp tổ chức tránh bị phạt và duy trì danh tiếng của mình.
- Tuân thủ các thực tiễn tốt nhất về bảo mật: Kiểm tra xâm nhập có thể
giúp tổ chức tuân thủ các thực tiễn tốt nhất về bảo mật. Điều này có thể giúp
tổ chức giảm thiểu rủi ro bảo mật và cải thiện hình ảnh của họ với các bên liên quan.
c) Các loại kiểm thử thâm nhập
Các loại kiểm tra thâm nhập được phân loại dựa trên mức độ hiểu biết mà người
kiểm tra có về cơ sở hạ tầng cần kiểm tra.
- Black box testing là hình thức kiểm tra thâm nhập mà người kiểm tra không
có bất kỳ kiến thức nào về cơ sở hạ tầng cần kiểm tra. Người kiểm tra sẽ bắt
đầu từ đầu và cố gắng tìm ra các lỗ hổng bảo mật bằng cách sử dụng các kỹ
thuật như quét lỗ hổng và khai thác.
- White box testing là hình thức kiểm tra thâm nhập mà người kiểm tra có
kiến thức đầy đủ về cơ sở hạ tầng cần kiểm tra. Điều này bao gồm kiến thức
về mã nguồn, cấu hình hệ thống và kiến trúc mạng. Người kiểm tra sẽ sử
dụng kiến thức này để tìm ra các lỗ hổng bảo mật mà người kiểm tra black box không thể tìm thấy.
- Grey box testing là sự kết hợp giữa black box testing và white box testing.
Người kiểm tra sẽ có một số kiến thức về cơ sở hạ tầng cần kiểm tra, nhưng không phải là tất cả.
Ngoài ra, kiểm tra thâm nhập cũng có thể được phân loại dựa trên mức độ tương
tác giữa người kiểm tra và chủ sở hữu cơ sở hạ tầng.
- Blind testing là hình thức kiểm tra thâm nhập mà người kiểm tra không
tương tác với chủ sở hữu cơ sở hạ tầng. Người kiểm tra sẽ thực hiện kiểm tra
và sau đó báo cáo kết quả cho chủ sở hữu.
- Double blind testing là hình thức kiểm tra thâm nhập mà cả người kiểm tra
và chủ sở hữu cơ sở hạ tầng đều không biết nhau. Người kiểm tra thực hiện
kiểm tra và sau đó báo cáo kết quả cho một bên thứ ba, người sẽ báo cáo kết quả cho cả hai bên.
d) Các giai đoạn kiểm thử xâm nhập
Kiểm thử xâm nhập được chia thành ba giai đoạn: lOMoARcPSD| 37054152
- Giai đoạn trước tấn công: Giai đoạn này bao gồm việc lập kế hoạch và
chuẩn bị cho cuộc tấn công. Các hoạt động trong giai đoạn này bao gồm việc
thu thập thông tin về mục tiêu, thiết kế phương pháp luận và xác định các lỗ hổng tiềm ẩn.
- Giai đoạn tấn công: Giai đoạn này bao gồm việc thực hiện các cuộc tấn
công vào hệ thống mục tiêu. Các hoạt động trong giai đoạn này bao gồm
việc xâm nhập vào ranh giới mạng, thu thập thông tin mạng, mở rộng đặc
quyền và thực thi các tác nhân.
- Giai đoạn sau tấn công: Giai đoạn này bao gồm việc báo cáo các lỗ hổng
được tìm thấy và thực hiện các biện pháp khắc phục. Các hoạt động trong
giai đoạn này bao gồm việc ghi lại các hoạt động tấn công, xác định các lỗ
hổng và đề xuất các biện pháp khắc phục.
e) Phương pháp kiểm thử bảo mật
Phương pháp kiểm thử bảo mật là một cách tiếp cận có hệ thống để phát hiện và
xác minh các lỗ hổng trong các cơ chế bảo mật của hệ thống thông tin. Điều này
cho phép quản trị viên áp dụng các biện pháp kiểm soát bảo mật phù hợp để bảo vệ
dữ liệu quan trọng và chức năng kinh doanh. Các ví dụ về phương pháp kiểm tra bảo mật:
- OWASP: Open Web Application Security Project (OWASP) là một dự án
bảo mật ứng dụng mã nguồn mở hỗ trợ các tổ chức trong việc mua, phát
triển và duy trì các công cụ phần mềm, ứng dụng phần mềm và tài liệu dựa
trên kiến thức về bảo mật ứng dụng web.
- OSSTMM: Open Source Security Testing Methodology Manual
(OSSTMM) là một phương pháp luận được đánh giá ngang hàng để thực
hiện các bài kiểm tra bảo mật chất lượng cao như kiểm tra phương pháp
luận: kiểm tra dữ liệu, kiểm soát gian lận và xã hội kỹ thuật, mức độ kiểm
soát mạng máy tính, thiết bị không dây, thiết bị di động, bảo mật vật lý
quyền truy cập và các quy trình bảo mật khác nhau.
- ISSAF: Information Systems Security Assessment Framework (ISSAF) là
một dự án mã nguồn mở nhằm cung cấp sự hỗ trợ bảo mật cho các chuyên
gia. Sứ mệnh của ISSAF là "nghiên cứu, phát triển, xuất bản và thúc đẩy một
khuôn khổ đánh giá an ninh hệ thống thông tin hoàn chỉnh và thực tế được chấp nhận rộng rãi."
- LPT: LPT Methodology là một khuôn khổ kiểm toán bảo mật hệ thống
thông tin toàn diện được chấp nhận trong ngành của EC-Council. lOMoARcPSD| 37054152 1.16)
NGUYÊN TẮC TRUYỀN THÔNG TIN
TRONG GIAO THỨC TCP/IP lOMoARcPSD| 37054152 lOMoARcPSD| 37054152 lOMoARcPSD| 37054152 lOMoARcPSD| 37054152 lOMoARcPSD| 37054152