Tweet
Trong bài viết này chúng ta sẽ cùng nhau tìm hiểu các khái niệm về Cybersecurity và bảo mật thông tin (Information Security hay InfoSec). Chúng ta sẽ cùng đi qua tìm hiểu lần lượt về các khái niệm sau đây:
+ Định nghĩa về các mối nguy hại (Threats), các lỗ hổng bảo mật (Vulnerabilites) và các phương thức khai thác các lỗ hổng đó (Exploits).
+ Khám phá các mối nguy hại hay đe dọa phổ biến hiện nay.
+ Tìm hiểu về các lỗ hổng bảo mật phổ biến trên các phần mềm và phần cứng.
+ Tính bảo mật, toàn vẹn và sẳn sàng: trong mục này chúng ta sẽ tìm hiểu bộ ba CIA (tính bảo mật, toàn vẹn và sẳn sàng) là một khái niệm được tạo ra để định nghĩa các chính sách bảo mật để bảo vệ tài sản cho hạ tầng mạng của chúng ta. Ý tưởng là tính bảo mật, tính toàn vẹn và tính sẵn sàng phải được đảm bảo trong bất kỳ hệ thống nào được coi là bảo mật và an toàn.
+ Tìm hiểu về các mối nguy hại trong lĩnh vực bảo mật Cloud.
+ Tìm hiểu về các mối nguy hại trong lĩnh vực bảo mật IoT (Internet of Things).
+ Giới thiệu về kỹ thuật điều tra số (Digital Forensics – thuộc lĩnh vực an toàn thông tin), ứng phó khi có sự cố xảy ra (DFIR) và tự động hóa cybersecurity (CyberSecurity Operations).
Cybersecurity vs Information Security (InfoSec)
Cho đến hiện nay vẫn còn một số người nhầm lẫn về bảo mật thông tin truyền thống với an ninh mạng. Trước đây thì trong các chương trình và chính sách bảo mật thông tin được thiết kế để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có (hay sẳn sàng) của dữ liệu trong giới hạn của một tổ chức. Thật không may, điều này không còn đủ để bảo vệ hệ thống của chúng ta nữa. Cách thức hoạt động cũng như tính chất công việc của các doanh nghiệp hay tổ chức không cho phép họ thực hiện chính sách bảo vệ khép kín nữa, họ đòi hỏi phải mở rộng tính kết nối đến các đối tác cũng như người dùng và điều này cũng mở ra nhiều cách cửa xâm nhập cũng như nhiều cách thức tấn công cho các Attacker. Mọi tổ chức, bất kể về quy mô hay vị trí địa lý điều sẽ trở thành một mục tiêu tiềm năng để khai thác và tấn công. An ninh mạng là quá trình bảo vệ thông tin bằng cách ngăn chặn, phát hiện và phản ứng (hay đối phó) với các cuộc tấn công.
Các chương trình an ninh mạng nhận ra rằng các tổ chức phải luôn cảnh giác, kiên cường và sẵn sàng bảo vệ mọi kết nối truy cập cũng như dữ liệu của tổ chức ở bất cứ nơi nào nó được lưu trữ, truyền-nhận hoặc xử lý. Các chương trình và chính sách an ninh mạng đang được mở rộng dần và xây dựng dựa trên các chương trình bảo mật thông tin truyền thống và cũng bao gồm luôn các nội dung sau:
+ Quản lý rủi ro và giám sát mạng.
+ Đe dọa thông tin và chia sẻ thông tin.
+ Quản lý phụ thuộc tổ chức, phần mềm và phần cứng của bên nhà cung cấp thứ ba.
+ Ứng phó với sự cố và khả năng phục hồi (Resiliency).
Tìm hiểu một chút về NIST Cybersecurity Framework.
Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) là cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Mỹ (U.S Department of Commerce). NIST được thành lập với nhiệm vụ chính là thúc đẩy sự đổi mới và cạnh tranh công nghiệp của Mỹ bằng cách cải tiến hệ thống đo lường, tiêu chuẩn và công nghệ để nâng cao nền kinh tế và cải thiện phúc lợi xã hội. NIST Cybersecurity Framework là một tập hợp các tiêu chuẩn thuộc lĩnh vực bảo mật cụ thể và thực tiễn tốt nhất để giúp các tổ chức quản lý rủi ro an ninh mạng. Framework này được tạo ra trong sự hợp tác giữa chính phủ, tập đoàn và các cá nhân Hoa Kỳ. NIST Cybersecurity Framework được phát triển với một nguyên tắc phân loại chung và một trong những mục tiêu chính là giải quyết và quản lý rủi ro an ninh mạng theo cách hiệu quả về chi phí để bảo vệ cơ sở hạ tầng quan trọng. Mặc dù được thiết kế cho một khu vực trọng yếu cụ thể, các yêu cầu về tiêu chuẩn có thể được sử dụng như một kế hoạch chi tiết bảo mật cho bất kỳ tổ chức nào. Các bạn có thể tìm hiểu thêm về NIST tại https://www.nist.gov/cyberframework.
Tổ chức tiêu chuẩn hóa quốc tế (International Organization for Standardization - ISO)
Nếu đã tìm hiểu về NIST thì không thể bỏ qua việc tìm hiểu về Tổ chức tiêu chuẩn hóa quốc tế (International Organization for Standardization - ISO) được. ISO là một mạng lưới các viện tiêu chuẩn quốc gia của hơn 160 quốc gia. ISO đã phát triển hơn 13.000 tiêu chuẩn quốc tế về nhiều đối tượng khác nhau, từ mã quốc gia đến an toàn cho khách hàng. ISO / IEC 27000 Series (còn được gọi là Nhóm Tiêu chuẩn ISMS, hay viết tắt là ISO27k) bao gồm các tiêu chuẩn bảo mật thông tin được công bố bởi ISO và Ủy ban kỹ thuật điện quốc tế (International Electrotechnical Commission - IEC).
Sáu tài liệu đầu tiên trong Series ISO/IEC 27000 cung cấp các khuyến nghị cho việc thiết lập, thực hiện, vận hành, giám sát, đánh giá, duy trì và cải thiện Hệ thống quản lý bảo mật thông tin.
+ ISO 27001 là thông số kỹ thuật cho hệ thống quản lý bảo mật thông tin (ISMS).
+ ISO 27002 mô tả quy tắc thực hành để quản lý bảo mật thông tin.
+ ISO 27003 cung cấp hướng dẫn thực hiện chi tiết.
+ ISO 27004 phác thảo cách các tổ chức có thể giám sát và đo lường bảo mật bằng các số liệu được ISO cung cấp.
+ ISO 27005 xác định phương pháp quản lý rủi ro cấp cao do ISO khuyến nghị.
+ ISO 27006 phác thảo các yêu cầu đối với các tổ chức sẽ đo lường mức độ tuân thủ ISO 27000 để cấp chứng nhận.
Tổng cộng, có hơn 20 tài liệu trong series và một số tài liệu khác vẫn đang được phát triển. Framework này được áp dụng cho các tổ chức công và tư nhân thuộc mọi quy mô. Theo trang web ISO “tiêu chuẩn ISO đưa ra các khuyến nghị cho quản lý bảo mật thông tin để những người chịu trách nhiệm khởi xướng, thực hiện hoặc duy trì bảo mật trong tổ chức của họ sử dụng. Nó nhằm cung cấp một cơ sở chung để phát triển các tiêu chuẩn bảo mật tổ chức và thực hành quản lý an ninh hiệu quả và cung cấp sự tự tin trong các giao dịch giữa các tổ chức.”
Quay trở lại với các khái niệm được định nghĩa trong Cybersecurity cơ bản, đầu tiên chúng ta sẽ tìm hiểu về định nghĩa các mối nguy hại (Threats), Vulnerabilities và các phương thức khai thác (Exploits).
Các mối nguy hại (Threats) là gì ?
Một mối đe dọa cũng có thể tạo ra nhiều mối nguy hiểm tiềm tàng đối với một cá nhân, doanh nghiệp hay tổ chức. Nếu một lỗ hổng tồn tại nhưng chưa được khai thác hoặc quan trọng hơn, nó vẫn chưa được biết đến công khai (Zero-Day), thì mối đe dọa này đang tiềm ẩn và chưa được nhận ra. Nếu ai đó đang tích cực thực hiện một cuộc tấn công để phá hoại hệ thống của bạn và truy cập thành công một cái gì đó (dữ liệu, hình ảnh, tài liệu,…) hoặc làm tổn hại đến tính bảo mật của hệ thống bạn, mối đe dọa được nhận ra. Các attacker lợi dụng lỗ hổng được gọi là các attacker nguy hiểm và có hai loại múc đích tấn công bao gồm các attacker mang tính đe dọa hoặc tấn công có chủ đích.
Vulnerability là gì?
Một lỗ hổng là một điểm yếu trong thiết kế hệ thống, triển khai, phần mềm, mã nguồn hoặc thiếu một cơ chế trọng điểm trong chính sách bảo mật. Một lỗ hổng cụ thể có thể biểu hiện như bất cứ điều gì từ một điểm yếu trong thiết kế hệ thống đến việc thực hiện một quy trình vận hành. Việc thực hiện đúng các biện pháp bảo vệ và biện pháp đối phó an ninh có thể giảm thiểu lỗ hổng và giảm nguy cơ khai thác. Các lỗ hổng và điểm yếu luôn là phổ biến, chủ yếu là do không có phần mềm hay mã nguồn nào hoàn hảo nào tồn tại. Một số lỗ hổng có tác động hạn chế và dễ dàng giảm nhẹ đi tính sát thương.
Các lỗ hổng có thể được tìm thấy trong những phần sau của một hệ thống:
+ Applications: Phần mềm và ứng dụng đi kèm với hàng tấn chức năng. Các ứng dụng có thể được cấu hình để sử dụng hơn là bảo mật. Các ứng dụng có thể cần một bản vá hoặc cập nhật có thể có hoặc không có sẵn. Những kẻ tấn công nhắm vào các ứng dụng có môi trường giàu mục tiêu để tìm lỗ hổng. Chỉ cần nghĩ về tất cả các ứng dụng chạy trên máy tính ở nhà hoặc nơi làm việc của bạn, chúng điều nguy hiểm và có thể bị khai thác và tấn công.
+ Hệ điều hành: Hệ điều hành được cài trên máy trạm và máy chủ. Kẻ tấn công có thể tìm kiếm các lỗ hổng trong hệ điều hành chưa được vá hoặc cập nhật để khai thác, tấn công và chiếm quyền điều khiển.
+ Phần cứng: Lỗ hổng cũng có thể được tìm thấy trong phần cứng. Giảm thiểu lỗ hổng phần cứng có thể yêu cầu các bản vá cho microcode (firmware) cũng như hệ điều hành hoặc phần mềm hệ thống khác. Các ví dụ điển hình về các lỗ hổng dựa trên phần cứng nổi tiếng là Spectre và Meltdown. Những lỗ hổng này tận dụng lợi thế của một tính năng gọi là “speculative execution” phổ biến đối với hầu hết các kiến trúc bộ xử lý hiện đại.
+ Cấu hình sai: Tệp cấu hình và thiết lập cấu hình cho thiết bị hoặc phần mềm có thể bị cấu hình sai hoặc có thể được triển khai ở trạng thái không bảo mật. Điều nay mở ra một cánh cửa vô cùng thuận lợi cho attacker, dịch vụ dễ bị tấn công hoặc do thiết bị mạng bị cấu hình sai. Chỉ cần xem xét về mạng không dây, bạn có thể phát hiện bất kỳ thiết bị không dây nào trong vùng lân cận đã tắt mã hóa không?
+ Phần mềm Shrinkwrap: Đây là tệp thực thi của ứng dụng được chạy trên máy trạm hoặc máy chủ. Khi được cài đặt trên một thiết bị, nó có thể có hàng tấn chức năng hoặc tập lệnh mẫu hoặc mã có sẵn.
Các nhà cung cấp, nhà nghiên cứu bảo mật và các trung tâm điều phối lỗ hổng thường chỉ định các lỗ hổng bảo mật mà công bố thông tin công khai. Mã định danh này được gọi là các lỗ hổng và CVE. CVE là một tiêu chuẩn về các lỗ hổng bảo mật. CVE được tài trợ bởi US-CERT, văn phòng An ninh mạng và Truyền thông tại Hoa Kỳ, Bộ An ninh Nội địa. Hoạt động với tư cách là nghiên cứu được tài trợ bởi Liên bang và trung tâm phát triển (FFRDC), MITRE đã đăng ký bản quyền danh sách CVE vì lợi ích của cộng đồng để đảm bảo nó vẫn là một tiêu chuẩn miễn phí và mở, cũng như bảo vệ hợp pháp việc sử dụng liên tục và bất kỳ nội dung kết quả nào của chính phủ, nhà cung cấp hoặc người dùng. MITER duy trì danh sách CVE và trang web công cộng của mình, quản lý Chương trình tương thích CVE, giám sát các Cơ quan đặt tên CVE (CNAs) và cung cấp hướng dẫn kỹ thuật vô tư cho Ban biên tập CVE trong suốt quá trình để đảm bảo CVE phục vụ lợi ích cho cộng đồng.
Mục tiêu của CVE là làm cho nó dễ dàng hơn để chia sẻ dữ liệu trên các công cụ, kho lưu trữ lỗ hổng và dịch vụ bảo mật. Để biết thêm nhiều thông tin hơn về CVE các bạn có thể tìm hiểu qua đường link sau :
Exploit là gì?
Exploit đề cập đến một phần mềm, công cụ, kỹ thuật hoặc quy trình lợi dụng lỗ hổng dẫn đến truy cập, leo thang đặc quyền, mất tính toàn vẹn hoặc từ chối dịch vụ (DDOS) trên hệ thống máy tính. Exploit là một phương thức tấn công nguy hiểm vì tất cả các phần mềm đều chứa lỗ hổng tìm tàng, tin tặc và thủ phạm biết rằng chắc chắn sẽ có những lỗ hổng bảo mật nào đó tồn tại và tìm cách để có thể tìm ra lỗ hổng đó đồng thời lợi dụng chúng cho các mục đích tấn công. Mặc dù hầu hết các tổ chức cố gắng tìm và sửa các lỗ hổng, một số tổ chức rất chịu chi về kinh phí để bảo vệ cho hệ thống mạng của họ. Đôi khi không ai có thể biết lỗ hổng tồn tại và nó bị khai thác. Điển hình nhất là các lỗ hổng bảo mật mang tên Zero-day (chúng là những lỗ hổng chưa được công bố hay biết đến và thường được vận hành bằng cách buôn bán ngầm trên dark-web nhầm sử dụng cho các mục đích tấn công lợi nhuận và phi lợi nhuận).
Ngay cả khi bạn biết có vấn đề, các nhà cung cấp dịch vụ thông báo về việc có tồn tại lỗ hổng được tiết lộ và sẽ có bản vá để ngăn chặn việc khai thác nhưng bạn sẽ luôn trong trạng thái không an tâm và áp lực công việc sẽ đè lên bạn. Máy chủ càng quan trọng, nó thường được cung cấp các bản vá chậm hơn, vì các quản trị viên có thể sợ làm gián đoạn máy chủ hoặc sợ rằng bản vá có thể ảnh hưởng đến sự ổn định hoặc hiệu suất của công việc mà máy chủ đang cung cấp. Cuối cùng, thời gian cần thiết để triển khai và cài đặt bản vá phần mềm trên các máy chủ sản xuất và máy trạm làm cho cơ sở hạ tầng CNTT của một số tổ chức phải chịu thêm rủi ro cho hạ tầng của mình.
Có một số nơi người ta buôn bán các lỗ hổng đã được khai thác cho mục đích xấu. Phổ biến nhất là dark web. Deep web là không gian mạng bị ẩn trên các công cụ tìm kiếm thông thường và dark web là một phần của deep web, để truy cập được vào Dark web (hoặc darknet) thì phải cần phần mềm và cấu hình cụ thể để truy cập nó. Deep web là một tập hợp các thông tin và hệ thống trên Internet không được lập chỉ mục bởi các công cụ tìm kiếm web. Mọi người thường nhầm lẫn giữa thuật ngữ dark web và deep web.
Không phải tất cả các exploit được chia sẻ cho mục đích độc hại. Ví dụ, nhiều nhà nghiên cứu bảo mật chia sẻ exploits bằng proof-of-concept (POC) trong các trang web công cộng như là cơ sở dữ liệu khai thác (hoặc exploits DB) và GitHub. Cơ sở dữ liệu khai thác là một trang web được duy trì bởi Offensive Security nơi mà các nhà nghiên cứu bảo mật và các cá nhân khác đăng bài khai thác cho các lỗ hổng đã biết. Cơ sở dữ liệu khai thác có thể được truy cập tại https://www.exploit-db.com/.
Hình 1: Cơ sở dữ liệu về các lỗ hổng đã được khai thác (Exploit-DB)
Có một công cụ dòng lệnh gọi là searchsploit cho phép bạn tải xuống một bản sao của cơ sở dữ liệu khai thác (Exploit-DB) để bạn có thể sử dụng nó khi đang di chuyển. Hình 2 cho thấy một ví dụ về cách bạn có thể sử dụng searchsploit để tìm kiếm các khai thác cụ thể. Trong ví dụ minh họa trong Hình 2, searchsploit được sử dụng để tìm kiếm các khai thác liên quan đến các lỗ hổng SMB.
Hình 2: searchsploit được sử dụng để tìm kiếm các khai thác liên quan đến các lỗ hổng SMB
Risk, Assets, Threats, and Vulnerabilities
Như với bất kỳ chủ đề công nghệ mới nào, để hiểu rõ hơn về lĩnh vực bảo mật, bạn phải tìm hiểu thuật ngữ được sử dụng. Để trở thành một chuyên gia bảo mật, bạn cần hiểu mối quan hệ giữa rủi ro, mối đe dọa, tài sản (Assets) và lỗ hổng.
Rủi ro là xác suất hoặc khả năng xảy ra hoặc nhận ra mối đe dọa. Có ba yếu tố cơ bản của rủi ro: tài sản, mối đe dọa và lỗ hổng. Để đối phó với rủi ro thì nước Mỹ chính phủ liên bang đã áp dụng quản lý rủi ro thông qua Framwork (risk management framework - RMF). Quá trình RMF dựa trên các khái niệm chính về bảo mật hệ thống thông tin doanh nghiệp và dựa trên rủi ro, hiệu quả về chi phí và bảo mật. Ấn bản đặc biệt của NIST 800-37 đã hướng dẫn về cách áp dụng RMF cho các hệ thống thông tin liên bang, đã biến đổi quá trình chứng nhận truyền thống (Traditional Certification) và Accreditation (C&A) sang 6 bước RMF. Hãy cùng xem xét các thành phần khác nhau liên quan đến rủi ro bao gồm tài sản, các mối đe dọa và các lỗ hổng.
Một tài sản là bất kỳ mục nào có giá trị kinh tế thuộc sở hữu của một cá nhân hoặc công ty. Các tài sản có thể là thực tế, chẳng hạn như bộ định tuyến, máy chủ, ổ cứng và máy tính xách tay, hoặc tài sản có thể là ảo, chẳng hạn như các công thức, cơ sở dữ liệu, bảng tính, bí mật thương mại và quá trình xử lí sản phẩm. Bất kể loại tài sản nào được thảo luận, nếu tài sản bị mất, bị hư hỏng hoặc bị xâm phạm, có thể gây tổn hại đến chi phí kinh tế cho tổ chức.
Không có tổ chức nào có thể an toàn 100%, sẽ luôn có một số rủi ro còn sót lại. Đây được gọi là rủi ro tồn dư, là mức rủi ro còn lại sau khi các biện pháp bảo vệ và kiểm soát đã được đưa ra để bảo vệ tài sản. về vấn đề này thì tôi đã từng nghe một câu nói rất hay “No system is safe” có nghĩa là không hệ thống hay hạ tầng nào là không thể xâm nhập được.
Một mối đe dọa sẽ tạo tiền đề cho rủi ro và là bất kỳ tác nhân, điều kiện hoặc tình huống nào có khả năng gây tổn hại, mất mát hoặc gây thiệt hại hoặc làm tổn hại đến tài sản CNTT hoặc tài sản dữ liệu. Từ góc độ chuyên nghiệp về bảo mật, các mối đe dọa có thể được phân loại thành các sự kiện có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của tài sản của tổ chức. Những mối đe dọa này có thể dẫn đến sự phá hủy, tiết lộ, sửa đổi, tham nhũng dữ liệu hoặc tấn công từ chối dịch vụ.
Ví dụ về các loại mối đe dọa mà một tổ chức có thể gặp phải bao gồm:
+ Thiên tai, thời tiết và thiệt hại thảm khốc: Bão, mất thời tiết, hỏa hoạn, lũ lụt, động đất và các sự kiện tự nhiên khác là mối đe dọa đang diễn ra.
+ Cuộc tấn công của tin tặc: Một người trong cuộc hoặc người ngoài cuộc không được phép và cố tình tấn công một tổ chức cơ sở hạ tầng, các thành phần, hệ thống hoặc dữ liệu của tổ chức.
+ Tấn công mạng: Những kẻ tấn công nhắm vào các cơ sở hạ tầng quan trọng của quốc gia như nhà máy nước, nhà máy điện, nhà máy khí đốt, nhà máy lọc dầu, nhà máy điện hạt nhân, nhà máy quản lý chất thải, v.v. Stuxnet là một ví dụ về một công cụ như vậy được thiết kế cho mục đích tấn công trên.
+ Virus và phần mềm độc hại: Toàn bộ danh mục các công cụ phần mềm độc hại và được thiết kế để làm hỏng hoặc phá hủy hệ thống hoặc dữ liệu của cá nhân, các tổ chức hoặc doanh nghiệp.
+ Tiết lộ thông tin bí mật: Bất cứ khi nào việc tiết lộ thông tin bí mật xảy ra, nó có thể là mối đe dọa nghiêm trọng đối với tổ chức nếu việc tiết lộ đó gây mất doanh thu, gây ra các khoản nợ tiềm tàng hoặc mang lại lợi thế cạnh tranh cho kẻ thù. Ví dụ: nếu tổ chức của bạn gặp phải vi phạm và thông tin chi tiết về khách hàng bị lộ (ví dụ: thông tin nhận dạng cá nhân), việc vi phạm đó có thể có trách nhiệm pháp lý và mất niềm tin từ khách hàng của bạn. Một ví dụ khác là khi một tác nhân đe dọa đánh cắp mã nguồn hoặc tài liệu thiết kế và bán chúng cho đối thủ của bạn.
+ Các cuộc tấn công từ chối dịch vụ (DOS) và tấn công từ chối dịch vụ phân tán (DDOS): Một cuộc tấn công từ chối dịch vụ hay tấn công từ chối dịch vụ phân tán là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers. Ngày nay, hầu hết các cuộc tấn công DOS được khởi chạy thông qua các botnet, trong khi trước đây, các công cụ như Ping of Death hay Teardrop có thể đã được sử dụng. Giống như phần mềm độc hại, tin tặc liên tục phát triển các công cụ mới như Storm và Mariposa.
Nếu tổ chức dễ bị tấn công trước bất kỳ mối đe dọa nào trong số này, sẽ gia tăng nguy cơ tấn công thành công cho attacker.
Tín Phan
Link phần 2: https://www.forum.vnpro.org/forum/cc...ph%E1%BA%A7n-2