ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VIỆT DŨNG
NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội - 2021
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VIỆT DŨNG
NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN
Ngành: Công nghệ thông tin
Chuyên ngành: Quản lý hệ thống thông tin Mã số : 8480205.01
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
HƯỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN NGỌC HÓA
Hà Nội - 2021
Lời cảm ơn
LỜI CẢM ƠN
Qua quá trình nghiên cứu rèn luyện tại Trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, với sự hướng dẫn, giảng dạy tận tụy của các Giáo sư, Tiến sĩ đã tạo điều kiện cho tác giá hoàn thành chương trình học tập và Luận văn tốt nghiệp của mình. Bằng tất cả lòng kính trọng và biết ơn, tác giả xin gửi lời cảm ơn đến Ban Giám hiệu, các khoa, phòng và các thầy đã nhiệt tình giúp đỡ. Đặc biệt, tác giả xin gửi lời cảm ơn đến Thầy hướng dẫn PGS.TS Nguyễn Ngọc Hóa đã nhiệt tình giúp đỡ tôi trong quá trình học tập và nghiên cứu, để tôi có thể hoàn thành tốt bài luận văn của mình. Mặc dù đã cố gắng để hoàn thành luận văn, nhưng với điều kiện về thời gian và trình độ của mình còn hạn chế nên sẽ không tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp thầy, cô và các bạn để hoàn thành tốt hơn bài luận văn của mình.
Tôi xin chân thành cảm ơn!
Hà Nội, tháng 10 năm 2021
Học viên
Nguyễn Việt Dũng
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn tốt nghiệp “Nghiên cứu phát triển giải pháp dò quét lỗ hổng trong các hệ thống thông tin” là công trình nghiên cứu thực sự của của bản thân, được xây dựng và thực hiện trên các cơ sở khảo sát, nghiên cứu tình hình thực tiễn và dưới sự hướng dẫn khoa học của PGS.TS. Nguyễn Ngọc Hóa. Những tham chiếu từ các nghiên cứu liên quan đều được nêu rõ trong tài liệu tham khảo. Các kết quả số liệu trình bày trong luận văn là hoàn toàn trung thực. Nếu sai tôi xin chịu hoàn toàn trách nhiệm và chịu mọi kỷ luật của khoa và nhà trường đề ra.
Hà Nội, tháng 10 năm 2021 Học viên
Nguyễn Việt Dũng
Mục lục
MỤC LỤC
LỜI CẢM ƠN ... II LỜI CAM ĐOAN... II DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ... IV DANH MỤC BẢNG BIỂU ... V DANH MỤC HÌNH VẼ ... VI
MỞ ĐẦU ... 1
CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG ... 3
1.1. Quy trình đánh giá rủi ro ... 3
1.1.1. Tổng quan về đánh giá rủi ro ... 3
1.1.2. Quy trình đánh giá rủi ro ATTT ... 3
1.1.3. Quy trình quản lý rủi ro an toàn thông tin ... 4
1.1.3.1. Thiết lập ngữ cảnh ... 4
1.1.3.2. Đánh giá rủi ro ... 5
1.2. Đánh giá rủi ro hệ thống thông tin ... 6
1.2.1. Tại sao phải đánh giá rủi ro lỗ hổng bảo mật ... 6
1.2.1.1. Xác đinh mức độ an ninh của hệ thống ... 7
1.2.1.2. Phòng ngừa, giảm thiểu rủi ro trong tương lai ... 7
1.2.2. Phương pháp tiếp cận ... 7
1.2.3. Khó khăn trong đánh giá rủi ro ... 8
1.2.4. Các tiêu chí trong quản lý rủi ro ... 9
1.2.4.1. Tiêu chí ước lượng ... 9
1.2.4.2. Tiêu chí tác động ... 9
1.2.4.3. Tiêu chí chấp nhận rủi ro ... 9
1.2.5. Quy trình thực hiện đánh giá rủi ro ... 10
1.2.5.1. Phương pháp đánh giá ... 10
1.2.5.2. Quy trình thực hiện đánh giá ... 11
1.3. Tổng kết chương ... 13
CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT ... 14
2.1. Bài toán đặt ra ... 14
2.2. Phương pháp giải quyết bài toán ... 14
2.2.1. Hướng đi cho bài toán ... 14
2.2.2. Xây dựng phần mềm dò quét các lỗ hổng ... 15
2.3. Kỹ thuật phân tích, đánh giá rủi ro ATTT ... 17
2.3.1. Phương pháp đánh giá rủi ro OWASP ... 17
2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS ... 22
2.3.2.1. Giới thiệu ... 22
2.3.2.2. Đánh giá mức độ nghiêm trọng ... 24
2.3.2.3. Chuỗi Vector ... 25
2.3.2.4. Thuật toán tính CVSS v3.1 ... 26
2.4. Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin ... 29
2.4.1. Kỹ thuật dò quét mạng ... 30
2.4.2. Dò quét lỗ hổng bảo mật ... 31
2.5. Đánh giá lựa chọn công nghệ xây dựng công cụ dò quét ... 34
2.5.1. OpenVAS ... 34
2.5.2. Metasploit Framework ... 35
2.5.3. Nessus ... 36
2.5.4. Lựa chọn giải pháp ... 37
2.6. Tổng kết chương ... 38
CHƯƠNG 3: XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ, DÒ QUYÉT LỖ HỔNG ... 39
3.1. Xây dựng hệ thống ... 39
3.1.1. Môi trường phát triển ... 39
3.1.2. Cài đặt thư viện nền tảng ... 39
3.2. Xây dựng các mô-đun với các thư viện nền tảng hệ thống ... 44
3.2.1. Mô-đun phát hiện nguy cơ, lỗ hổng dựa trên CSDL mẫu thử ... 44
3.2.2. Mô-đun dò quét lỗ hổng hệ thống CNTT ... 46
3.3. Xây dựng mô-đun quản lý tác vụ xác định rủi ro ... 47
3.4. Kết luận chương ... 56
CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ ... 57
4.1. Thực nghiệm rà quét lỗ hổng bảo mật ... 57
4.1.1. Môi trường thực nghiệm ... 57
4.1.2. Thông tin chung trên hệ thống ... 57
4.2. Kiểm thử đánh giá rủi ro ATTT hệ thống ... 59
4.2.1. Danh mục hệ thống tham gia kiểm thử ... 59
4.2.2. Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn ... 61
4.2.3. Kịch bản thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn ... 64
4.3. Thử nghiệm so sánh, đánh giá kết quả so với Nessus ... 67
Mục lục
4.4. Kết luận chương ... 67 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ... 68 TÀI LIỆU THAM KHẢO ... 69
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Kí hiệu
Giải thích
Tiếng Anh Tiếng Việt
ATTT An toàn thông tin
CVE Common Vulnerabilities and Exposures Các lỗ hổng bảo mật thông dụng
CNTT Công nghệ thông tin
CVSS Common Vulnerability Scoring System Hệ thống chấm điểm lỗ hổng bảo mật phổ biến
Framework Khung phát triển ứng dụng
GVM Greenbone Vulnerability Management Trình quản lý lỗ hổng Greenbone
ISO International Organization for
Standardization Tổ chức Quốc tế về Tiêu chuẩn hóa NIST National Institute of Standards and
Technology
Viện Tiêu chuẩn và Công nghệ Quốc gia
NVT Network vulnerability test Tệp các mẫu dò quét lỗ hổng NASL Nessus Attack Scripting Language Ngôn ngữ tấn công dạng kịch bản
Nessus OpenVAS Open Vulnerability Assessment
Scanner
Hệ thống quét và đánh giá các lỗ hổng mở
OSP Open scanner protocol Giao thức dò quét mở
OWASP Open Web Application Security Project Dự án an toàn ứng dụng Web mở
Danh mục bảng biểu
DANH MỤC BẢNG BIỂU
Bảng 1.1 - Bảng tổng hợp các nhiệm vụ đánh giá rủi ro ... 13
Bảng 2.1 - Xác định mức độ nghiêm trọng của rủi ro ... 21
Bảng 2.2 - Xác định khả năng xảy ra ... 22
Bảng 2.3 - Xác định tác động ... 22
Bảng 2.4 - Xác định mức độ nghiêm trọng ... 22
Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng ... 25
Bảng 2.6 - Các vectơ Cơ sở, Tạm thời và Môi trường ... 26
Bảng 2.7 - Giá trị các số liệu ... 29
Bảng 3.1 - Bảng các ca sử dụng mô-đun quản lý tác vụ ... 49
Bảng 3.2 - Lược đồ cơ sở dữ liệu ... 51
Bảng 3.3 - Ca sử dụng Tạo mới tác vụ xác định rủi ro ... 52
Bảng 3.4 - Ca sử dụng hiển thị danh sách tác vụ dò quét xác định rủi ro ... 53
Bảng 3.5 - Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro ... 53
Bảng 3.6 - Ca sử dụng Xóa tác vụ dò quét rủi ro ... 54
Bảng 3.7 - Ca sử dụng Khởi động tiến trình dò quét rủi ro trong hệ thống ... 55
Bảng 3.8 - Ca sử dụng Tạm dừng tiến trình dò quét rủi ro trong hệ thống ... 55
Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dò quét rủi ro trong hệ thống ... 56
Bảng 4.1 - Tổng hợp kết quả so sánh đánh giá rủi ro ATTT giữa Nessus và vScanner .... 67
DANH MỤC HÌNH VẼ
Hình 1.1 - Sơ đồ thể hiện quy trình quản lý rủi ro ... 4
Hình 1.2 - Các bước đánh giá rủi ro ... 5
Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro ... 7
Hình 2.1 - Mô hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT ... 15
Hình 2.2 - Mô hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT ... 16
Hình 2.3- Kiến trúc của HostScanner ... 17
Hình 2.4- Các nhóm số liệu của CVSS ... 23
Hình 2.5- Các số liệu và phương trình CVSS ... 24
Hình 2.6- Các bước kỹ thuật thực hiện dò quét lỗ hổng bảo mật ... 30
Hình 2.7- Phần mềm Zenmap sử dụng công cụ Nmap để dò quét mạng ... 31
Hình 2.8- Kiến trúc của OpenVAS ... 35
Hình 2.9- Minh hoạ kết quả dò quét sử dụng Metaspoit Nexpose ... 36
Hình 3.1 - Cài đặt Python ... 42
Hình 3.2 - Cài đặt pip3 ... 42
Hình 3.3 - Cài đặt các thư viện nền tảng ... 42
Hình 3.4 - Cài đặt ospd_scanner ... 43
Hình 3.5 - Cài đặt ospd-ikeprobe ... 44
Hình 3.6 - Minh hoạ một số mẫu thử lỗ hổng của OpenVAS ... 45
Hình 3.7 - Kết quả thi hành các mẫu dò quét NVTs ... 47
Hình 3.8 - Biểu đồ tuần tự minh hoạ chức năng quản lý tác vụ ... 50
Hình 3.9 – các chức năng quản lý danh mục dò quét rủi ro ... 51
Hình 3.10 - Các chức năng Quản lý tác vụ dò quét xác định rủi ro ATTT ... 54
Hình 4.1 - Màn hình thống kê các dữ liệu NVTs, CVEs ... 57
Hình 4.2 - Chi tiết các mẫu thử lỗ hổng NVTs ... 58
Hình 4.3 - Danh mục chi tiết các tập lỗ hổng CVEs ... 58
Hình 4.4 - Màn hình thống kê các lỗ hổng đã được phát hiện ... 58
Hình 4.5 - Danhmục hệ thống tham gia kiểm thử ... 59
Hình 4.6 - Khởi tạo hệ thống đánh giá ... 60
Hình 4.7 - Khởi tạo tác vụ dò quét lỗ hổng ... 60
Danh mục hình vẽ
Hình 4.8- Tiến trình thực hiện dò quét lỗ hổng ... 61
Hình 4.9 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn ... 61
Hình 4.10 - Thông tin chi tiết rủi ro SSL/TLS: Certificate Expired ... 62
Hình 4.11 - Thông tin kết quả đánh giá hệ thống máy chủ web vnptsmartads.vn ... 62
Hình 4.12 - Báo cáo chi tiết lỗ hổng FTP Unencrypted Cleartext Login ... 63
Hình 4.13 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn ... 64
Hình 4.14 - Thông tin chi tiết rủi ro SSL/TLS ... 65
Hình 4.15- Thông tin kết quả đánh giá hệ thống web smartcloud.vn ... 65
Hình 4.16 - Báo cáo chi tiết lỗ hổng SSL/TLS... 66
Hình 4.17 - Thông tin kết quả đánh giá hệ thống vnptsmartads.vn trên Nessus ... 67
MỞ ĐẦU
Với sự phát triển mạnh mẽ về công nghệ thông tin trên toàn thế giới, con người đang được giải phóng dần sức lao động trong hầu hết các lĩnh vực. Điều đó cũng chính là thách thức mà con người phải đối diện khi bước vào kỹ nguyên số, đó là mọi thông tin đều được lưu trữ và có thể truyền tải đến bất kỳ đâu, bất kể khi nào. Cũng chí vì vậy, vấn đề về an toàn bảo mật thông tin đang được đặt lên hàng đầu, và là vấn đề cấp thiết với mọi tổ chức, mọi quốc gia trên toàn thế giới, trong đó có Việt Nam.
Theo kết quả thống kê được công bố từ “Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu” do tổ chức Global Cyber-security - GCI năm 2020 thì Việt Nam vươn lên vị trí 25 trong danh sách 194 quốc giá trên thế giới, xếp thứ 7 trong khu vực Châu Á và thứ 4 khu vực Đông Nam Á. Mặc dù đã được cải thiện về thứ bậc so với các nước trên thế giới, Việt Nam vẫn cần phải nổ lực hơn nữa để duy trì và cải thiện thứ bậc hiện tại, cũng như hiện thực hóa mục tiêu trở thành quốc gia về an ninh mạng. Trong đó công tác đảm bảo an toàn thông tin vẫn cần phải được chú trọng và đầu tư thích đáng.
Bên cạnh đó, các tổ chức tội phạm ngày càng tinh vi và nguy hiểm khi luôn tìm cách áp dụng các công nghệ cao vào các mục đích phá hoại, đánh cắp thông tin, gián điệp… gây nên hậu quả ngày càng nghiêm trọng, nguy cơ mất ATTT là hiện hữu và ngày càng trở nên nguy hiểm.
Luận văn tập trung hướng đến nghiên cứu, tìm hiểu các công nghệ và kỹ thuật dò quét lỗ hổng ATTT, từ đó phát triển hệ thống thử nghiệm phát hiện những lỗ hổng bảo mật của hệ thống bao gồm cả thiết bị mạng và phần mềm ứng dụng. Việc dò quét lỗ hổng sẽ được kết hợp cả phương pháp kiểm thử hộp trắng lẫn kiểm thử hộp đen và sử dụng tập dữ liệu mẫu dò quét đã được cộng đồng nghiên cứu về ATTT công bố. Dựa trên các kết quả dò quét lỗ hổng, hệ thống có thể đưa ra được bản đánh giá chi tiết các nguy cơ tiềm ẩn mà hệ thống có thể gặp phải, giúp các tổ chức giảm thiểu rủi ro và nguy cơ về ATTT.
Chương 1: Cơ sở lý thuyết phục vụ công tác đánh giá, quản lý rủi ro ATTT, bao gồm các bộ tiêu chuẩn cả trong nước và một số chuẩn quốc tế.
Nghiên cứu đánh giá bao gồm các chuẩn quốc tế về đánh giá ATTT trong đó tập trung nghiên cứ khái quát bộ tiêu chuẩn ISO/IEC 2700x, trên cơ sở đó, trực tiếp đi sâu nghiên cứu về các chuẩn ISO/IEC 27001:2013 – Các yêu cầu về hệ thống quản lý ATTT, chuẩn
Mở đầu
ISO/IEC 27005:2011 – Quản lý rủi ro ATTT. Nghiên cứu, đánh giá và quản lý rủi ro theo các tiêu chuẩn của NIST.
Chương 2: Giải pháp phân tích, đánh giá rủi ro ATTT
Dựa trên đánh giá nhu cầu thực tế, luận văn nêu ra yêu cầu bài toán về xây dựng bộ giải pháp về đánh giá, dò quét lỗ hổng về ATTT của các hệ thống. Từ đó đặt ra giải pháp xây dựng phần mềm với các chức năng dò quét từ xa lỗ hổng dẫn đến rủi ro ATTT. Mô tả khung kiến trúc tổng thể giải pháp và chi tiết các thành phần. Bên cạnh đó cũng có đánh giá, so sánh với các giải pháp hiện đang có làm sở cứ lựa chọn nền tảng cho ứng dụng.
Chương 3: Xây dựng hệ thống đánh giá, dò quét lỗ hổng bảo mật vScanner.
Từ các nội dung đã mô tả về khung giải pháp và các thành phần trong chương 2, trong chương này trình bày chi tiết về xây dựng hệ thống triển khai, bao gồm môi trường phát triển, các thư viện nền tảng nhằm giải quyết được yêu cầu đặt ra. Bên cạnh đó, nhóm nghiên cứu chúng tôi thực hiện phối hợp, xây dựng các module trong bộ hệ thống tổng thể có khả năng thực hiện dò quét, đánh giá lỗ hổng dẫn đến rủi ro ATTT.
Chương 4: Thực nghiệm và so sánh.
Trong chương này trình bày chi tiết về thực nghiệm và đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển và các thông tin chung trên hệ thống.
Tiến hành thực nghiệm dò quét trên một số máy chủ web, từ đó đưa ra được kết quả và đánh giá giải pháp. Bên cạnh đó cũng thực hiện so sánh với một số sản phẩm thương mại đang cung cấp trên thị trường hiện nay.
Kết quả của luân văn thể hiện được tính hiểu biết về các quy trình đánh giá không chi trong nước và cả quốc tế, dựa trên nhưng cơ sở lý thuyết cùng với sự hướng dẫn tận tình của thầy, nhóm nghiên cứu đã xây dựng bộ giải pháp dùng cho dò quét và đánh giá rủi ro ATTT của các hệ thống. Mặc dù đã cố gắng hoàn thiện luận văn một cách tốt nhất, nhưng do năng lực và trình độ hiểu biết còn hạn chế, nên trong luận văn có những thiếu sót không thể tránh khỏi. Rất mong được sự góp ý chỉ bảo từ thầy cô trong khoa Công nghệ thông tin và các bạn để tôi có thể hoàn thiện hơn luận văn của mình.
CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG
1.1. Quy trình đánh giá rủi ro 1.1.1. Tổng quan về đánh giá rủi ro
Mọi thông tin và các hệ thống, quy trình, cán bộ liên quan đều là tài sản của tổ chức (Theo ISO/IEC 27001:2013). Tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức và cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau, nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.
Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.
Hệ thống quản lý ATTT giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Việc Hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.
1.1.2. Quy trình đánh giá rủi ro ATTT
Quản trị rủi ro với tài sản của tổ chức được chú trọng và được ưu tiên cao nhất bao gồm các tài sản của tổ chức: Con người, vật lý, thông tin. Các nhóm này được đưa vào diện kiểm soát chặt chẽ, đảm bảo các vấn đề về quy trình, nghiệp vụ của tổ chức hoạt động ổn định, tuân thủ các nguyên tác và pháp luật của quốc gia.
Để xây dựng các bộ quy trình xử lý, đánh giá về các vấn đề rủi ro trong các tổ chức, cần phải định nghĩa các nguyên tắc, áp dụng vào các quy trình trong hoạt động. Từ đó yêu cầu các đơn vị tổ chức phải xây dựng và thiết lập các chỉ số hoặc mục tiêu đảm bảo hệ an toàn thông tin hệ thống.
Để đánh giá được rủi ro ATTT cho hệ thống trong các tổ chức, cần thực hiện các bước như sau:
Bước 1: Xây dựng bộ tiêu chí, tiêu chuẩn về an toàn thông tin.
Bước 2: Thực hiện nhận diện, xác định các rủi ro có thể.
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống Bước 3: Phân tích trên cơ sở các rủi ro đã nhận diện.
Bước 4: Cần phải xem xet, đánh giá theo cơ sở các rủi ro đã phân tích
Để xử lý các vấn đề về rủi ro các hệ thống thông tin của tổ chức, cần thực hiện các bước chính như sau:
Bước 1: Trên danh mục các biện pháp xử lý, cần phải xác định tính phù hợp, có thể cần phải xem xét các báo cáo đánh giá đã thực hiện.
Bước 2: Cần xây dựng và xác định các kiểm soát cho rủi ro hệ thống, đảm bảo mức cần thiết cho các bước có thể thực hiện.
Bước 3: Bắt buộc phải có kế hoạch cụ thể để có thể rà soát, xử lý các về đề về ATTT.
1.1.3. Quy trình quản lý rủi ro an toàn thông tin
Khái niệm quả lý và xác định rủi ro các hệ thống của tổ chức được hiểu như là việc áp dụng các biện pháp xử lý, nhằm tiết giảm đầu tư vào nguồn lực, đảm bảo dự phòng, đánh giá và kiểm soát các rủi ro có thể. Với mục tiêu về các nghiệp vụ của tổ chức không bị ảnh hưởng, sai lệch. Kết quả mong muốn cho quản lý rủi ro là kiểm soát và điều hành tốt các hoạt động của tổ chức.
Sơ đồ các luồng quản lý rủi ro theo bộ tiêu chuẩn ISO/IEC 27005:2011:
Hình 1.1 - Sơ đồ thể hiện quy trình quản lý rủi ro 1.1.3.1. Thiết lập ngữ cảnh
Thiết lập ngữ cảnh (có thể gọi thiết lập bối cảnh) bao gồm cả bối cảnh bên ngoài và bối cảnh nội bộ của tổ chức cần đánh giá rủi ro ATTT:
Đầu vào: Bảo gồm Toàn bộ thông tin trong tổ chức, đơn vị có liên quan tới quản lý rủi ro an toàn thông tin.
Đầu ra: Tài liệu đặc tả chi tiết về kỹ thuât và các phạm vi, tiêu chí trong quy trình quản trị rủi ro hệ thống.
Phương án thực hiện: Công tác quản lý rủi ro an toàn thông tin hệ thống cũng cần phải thiết lập trong và thiết lập ngoài, trong đó bao gồm các tiêu chí cơ bản cần thiết.
Thiết lập ngoài: Các tác nhân bên ngoài, bao gồm các vấn đề về yếu tố xã hội, chính trị, kinh tế, môi trường văn hóa trong nước hoặc quốc tế; những yếu tố tác động để đơn vị, tổ chứ; các quan hệ của tổ chức với bên ngoài.
Thiết lập trong: Các yếu tố, tác nhân mang tính bên trong của tổ chức, trong đó: Các chính sách, chiến lược, cơ cấu thành phần, môi trường quản lý, nhằm đạt được mục đích của mình; năng lực của tổ chức như con người, các định chế, quy định, quy trình; các tương quan về giao tiếp, quan hệ trong tổ chức và giữa các bên liên quan trong tổ chức đó.
1.1.3.2. Đánh giá rủi ro
Nhằm xác định các nguy cơ có thể xảy ra với hệ thống, xác định các điểm yếu đang tồn tại, đánh giá mức độ tiềm ẩn, rủi ro có thể gặp phải. Từ đó, có thể phân loại và đánh giá mức độ theo thự tự các rủi ro.
Đầu vào: Bao gồm tiêu chí, phạm vi, giới hạn thực hiện quản lý rủi ro.
Hành động: Cần xác định định tính hoặc định lượng, sắp xếp các tiêu chí theo mức độ ưu tiên và các mục tiêu liên quan.
Đầu ra: Danh sách những rủi ro đã được sắp xếp theo thứ tự ưu tiên theo các tiêu chí.
Trong quy trình đánh giá rủi ro, có ba hoạt động như sau:
Hình 1.2 - Các bước đánh giá rủi ro
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống a) Bước 1: Nhận biết, xác định
Nhận biết rủi ro nhằm xác định nguy cơ cho hệ thống, các mỗi đe dọa tiềm ẩn, các điểm yếu đang tồn tại bên trong hệ thống, có thể lợi dụng cho các mục địch xấu. Từ đó xác định được phương thức, các mối đe dọa và tác động có thể anh hưởng thiết hại đến tài sản, hệ thống của tổ chức.
Mục đích là xác định nguyên nhân có thể gây ra thiệt hại tiềm ẩn và hiểu được lí do, phương thức, thời điểm, không gian mà thiệt hại có thể xảy ra. Các hoạt động gồm:
b) Bước 2: Phân tích
Phân tích rủi ro nhằm xác định, đánh giá mức độ ảnh hưởng đến hệ thống, xác định nguyên nhân và bản chất rủi ro. Xác định đánh giá tác động về an toàn bảo mật thông tin từ các nguy cơ đã dự báo từ trước. Từ đó đánh giá mức độ tác động đến tổ chức hoặc tài sản của tổ chức.
c) Bước 3: Ước lượng
Ước lượng được căn cứ trên các bộ tiêu chí để đối chiếu quy trình phần tích nhằm xác định mức độ rủi ro, đánh giá mức độ rủi ro có nguy cao hay không.
1.2. Đánh giá rủi ro hệ thống thông tin
Thông qua phân tích hiện trạng của hệ thống bao gồm mô tả hệ thống, những lần bị
tấn công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa ra giải pháp nhằm giảm thiểu rủi ro.
Mục đích của đánh giá rủi ro ATTT là thông báo cho những người ra quyết định và hỗ trợ các phản ứng rủi ro bằng cách xác định:
- Các mối đe dọa liên quan đến các tổ chức hoặc các mối đe dọa được chỉ đạo thông qua các tổ chức chống lại các tổ chức khác
- Các lỗ hổng cả bên trong và bên ngoài đối với các tổ chức
- Tác động (tức là gây hại) cho các tổ chức có thể xảy ra do khả năng đe dọa khai thác lỗ hổng
- Khả năng gây hại sẽ xảy ra.
1.2.1. Tại sao phải đánh giá rủi ro lỗ hổng bảo mật
Các doanh nghiệp, tổ chức ở mọi quy mô, lĩnh vực sản xuất, cơ quan quản lý nhà nước… đều có nguy cơ về tấn công mạng, đánh cắp dữ liệu, mã hóa, lộ thông tin khách hàng hoặc thông tin nội bộ, dẫn đến phải đối mặt với những rủi ro phức tạp và lớn hơn.
Không những thế, việc khắc phục hậu quả sẽ rất tốn kém về nhân lưc, thời gian, tiền bạc và uy tín của đơn vị. Vì vậy, tại sao phải đánh giá rủi ro ATTT? Có 2 lý do chính như sau: Xác định mức độ an ninh của hệ thống thông tin, phòng ngừa giảm thiểu rủi ro trong tương lại
của tổ chức.
1.2.1.1. Xác đinh mức độ an ninh của hệ thống
- Có đánh giá tổng quan toàn bộ hệ thống thông tin của đơn vị, bao gồm các thành phần về Phần cứng, Mạng, Ứng dụng …
- Đưa ra được các giải pháp khắc phục, nâng cấp và cập nhật các bản nâng cấp hệ thống thông tin có nguy cơ.
1.2.1.2. Phòng ngừa, giảm thiểu rủi ro trong tương lai
- Xác định và đánh giá được các mức độ rủi ro về ứng dụng của hệ thống. Giúp đơn vị có thể quyết định nâng cấp trong tương lai.
- Hệ thống thông tin hiện tại đã triển khai giải pháp đảm bảo an ninh nào, đánh giá tính hình và đề xuất triển khai nếu chưa đáp ứng được yêu cầu.
- Phân loại mức độ rủi ro của hệ thống thông tin đơn vị, từ đó xác định các mục tiêu chính cho việc phòng ngừa, giảm thiểu rủi ro trong tương lai.
1.2.2. Phương pháp tiếp cận
Để tích hợp quy trình quản lý rủi ro trong toàn tổ chức, cách tiếp cận theo cấp độ nhằm giải quyết nguy cơ về ATTT:
- Mức 1: Cấp độ tổ chức.
- Mức 2: Cấp độ nhiệm vụ/quy trình nghiệp vụ.
- Mức 3: Cấp hệ thống quản lý thông tin đơn vị.
Hình sau minh họa phương pháp tiếp cận theo cấp độ để quản lý rủi ro ATTT cùng với một số đặc điểm chính của nó.
Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống
Cấp độ 1 (Tổ chức) giải quyết rủi ro từ góc độ tổ chức, thực hiện thành phần đầu tiên quản lý rủi ro (nghĩa là thiết lập khung rủi ro), cung cấp bối cảnh cho tất cả các hoạt động quản lý rủi ro được thực hiện bởi các tổ chức.
Cấp độ 2 (Quy trình nghiệp vụ) bao gồm các hoạt động quản lý rủi ro:
- Xác định các nhiệm vụ/quy trình kinh doanh cần thiết để hỗ trợ các nhiệm vụ và chức năng kinh doanh của tổ chức.
- Ưu tiên các nhiệm vụ/quy trình nghiệp vụ liên quan đến các mục tiêu chiến lược và mục tiêu của các tổ chức.
- Xác định các loại thông tin cần thiết để thành công thực hiện các nhiệm vụ/quy trình nghiệp vụ, mức độ quan trọng/độ nhạy cảm của thông tin và luồng thông tin cả bên trong và bên ngoài cho các tổ chức.
- Kết hợp thông tin yêu cầu bảo mật vào các quy trình nhiệm vụ/kinh doanh.
- Thành lập doanh nghiệp kiến trúc với kiến trúc bảo mật thông tin nhúng thúc đẩy hiệu quả chi phí và giải pháp công nghệ thông tin hiệu quả phù hợp với mục tiêu và mục tiêu chiến lược của tổ chức và các biện pháp thực hiện.
Cấp độ 3 (Hệ thống thông tin và Dữ liệu) giải quyết rủi ro từ góc độ hệ thống thông tin và được hướng dẫn bởi bối cảnh rủi ro, quyết định rủi ro và hoạt động rủi ro ở Cấp độ 1, 2:
- Phân loại hệ thống thông tin tổ chức.
- Phân bổ kiểm soát an ninh cho tổ chức hệ thống thông tin và môi trường mà các hệ thống đó hoạt động phù hợp với kiến trúc doanh nghiệp được thành lập và kiến trúc bảo mật thông tin nhúng.
- Quản lý việc lựa chọn, thực hiện, đánh giá, ủy quyền và đang diễn ra giám sát các kiểm soát an ninh được phân bổ như là một phần của hệ thống có kỷ luật và có cấu trúc quá trình phát triển vòng đời thực hiện trên toàn tổ chức.
1.2.3. Khó khăn trong đánh giá rủi ro
Với sự phát triển mạnh mẽ về công nghệ thông tin trên thế giới, đã giúp các tổ chức, đơn vị giảm thiểu được sức người trong hầu hết các lĩnh vực. Nhưng bên cạnh đó, các tổ chức tội phạm công nghệ cao ngày càng tinh vi và nguy hiểm khi liên tục sử dụng công nghệ cao để sử dụng cho mục đích phá hoại, đánh cắp thông tin, gián điệp... Đòi hỏi các đơn vị cần phải tập trung đầu tư nhiều vào công tác đảm bảo an toàn thông tin của các hệ thống nội bộ. Để thực hiện được điều đó, cần phải thực hiện công tác thường xuyên dò quét, xác định các nguy cơ tiềm ẩn để có biện pháp khắc phục, tăng cường an toàn thông tin hệ thống. Vì vậy, các tổ chức đơn vị cần phải có những đầu tư chi phí cho quản trị rủi ro về an toàn thông tin cho hệ thống của mình, trong đó bao gồm các chi phí về: Phần mềm, con
người, quy trình ... những thách thức không nhỏ đổi với các đơn vị khi gặp khó khăn trong việc lựa chọn nhà cung cấp về giải pháp đảm bảo an ninh hệ thống. Trong khi đó các tội phạm công nghệ cao ngày càng tinh vi, đòi hỏi các giải pháp dò quét cũng phải chủ động trong việc xác định các nguy cơ tiềm ẩn, hỗ trợ người đứng đầu đơn vị có thể ra những quyết định, chính sách phù hợp. Công nghệ không ngừng phát triển, việc quản lý rủi ro an toàn thông tin đối với các tổ chức, đơn vị luôn gặp nhiều khó khăn vì các nguy cơ luôn có thể xảy ra, điều tốt nhất các đơn vị cần phải có nhứng đâu tư nghiêm túc và xây dựng những bộ tiêu chí phù hợp với tình hình thực tế.
1.2.4. Các tiêu chí trong quản lý rủi ro
Trong quy trình quản lý rủi ro của đơn vị, việc thiết lập các tiêu chí cơ bản cần thiết trong hoạt động quản lý rủi ro. Từ đo xây dựng được những đặc tả cơ bản về phạm vi, giới hạn và tổ chức thực hiện.
1.2.4.1. Tiêu chí ước lượng
Các tổ chức đơn vị cần phát triển các tiêu chí dùng cho ước lượng rủi ro, nó liên quan đến các nội dung sau:
- Giá trị chiến lược của quy trình nghiệp vụ - Mức độ quan trọng của tài sản thông tin
- Các yêu cầu pháp lý, trách nhiệm, quy định tron hợp đồng
- Tính sẵn sàng, toàn vẹn, bí mật trong các hoạt động nghiệp vụ, vận hành - Uy tín của đơn vị, tổ chức và nhận thức của các bên liên quan
Các tiêu chí dùng cho ước lượng rủi ro cũng dùng cho việc xác định các mức độ ưu tiên trong đánh giá và xử lý rủi ro.
1.2.4.2. Tiêu chí tác động
Cần phải xác định các tiêu chí tác động theo mức độ thiệt hại từ các nguyên nhân về an toàn thông tin có liên quan gây ra cho tổ chức.
- Phân loại tài sản bị tác động theo mức độ - Vi phạm an toàn thông tin
- Mức độ yếu kém trong quản trị, vận hành - Thiệt hại về tài chính, nghiệp vụ
- Ảnh hưởng kế hoạch và thời hạn - Ảnh hưởng đến uy tín của đơn vị
- Vị phạm hợp đồng hoặc các yêu cầu về pháp lý, quy định 1.2.4.3. Tiêu chí chấp nhận rủi ro
Tiêu chí chấp nhận rủi ro phụ thuộc vào các chính sách, mục tiêu của các bên liên quan. Mỗi đơn vị cần xác định cho mình bộ tiêu chí riêng theo các nội dung sau:
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống
- Bao gồm các ngưỡng cho từng tiêu chí, dựa trên mong muốn chấp nhận rủi ro. Ngoài ra cũng cần căn cứ trên điều kiện cụ thể của đơn vị theo tình hình thức tế để lãnh đạo đơn vị có thể căn cứ mức rủi ro cụ thể.
- Có thể thể hiện như lợi nhuận ước lượng trên rủi ro ước lượng.
- Mỗi tiêu chí khác nhau có thể áp dụng cho các loại rủi ro khác nhau.
- Có thể bao gồm những yêu bổ sung trong tương lai.
Chấp nhận rủi ro với từng thời điểm khác nhau thì có thể khác nhau, tùy thuộc vào thời gian tồn tại của rủi ro.
1.2.5. Quy trình thực hiện đánh giá rủi ro
Thông qua phân tích hiện trạng của hệ thống bao gồm mô tả hệ thống, những lần bị
tấn công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa ra giải pháp nhằm giảm thiểu rủi ro.
Để xây dựng một phương pháp đánh giá rủi do cho một tổ chức sẽ thường bao gồm:
- Xây dựng và ban hành quy trình đánh giá rủi ro.
- Phương pháp đánh giá, chỉ định phạm vi giá trị mà các yếu tố rủi ro có thể giả định trong quá trình đánh giá rủi ro và cách kết hợp phân tích các yếu tố rủi ro để các giá trị của các yếu tố đó có thể được kết hợp chức năng để đánh giá rủi ro.
- Xác định các thuật ngữ và các yêu tố có thể đánh giá được, mối quan hệ của các yếu tốt đó.
- Mô tả chi tiết các yếu tố để đảm bảo sự phù hợp và tính nhất quán của vấn đề. Phương pháp phấn tích đánh giá rủi ro được xác định trong các cơ quan, tổ chức và nằm trong chiến lược của mỗi đơn vị trong việc quản lý rủi ro.
1.2.5.1. Phương pháp đánh giá
Rủi ro và các yếu tố của nó có thể được đánh giá theo nhiều cách khác nhau, bao gồm cả định lượng, định tính hoặc bán định lượng.
Đánh giá định lượng: Thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên việc sử dụng các con số, trong đó ý nghĩa và tỷ lệ của các giá trị được duy trì bên trong và bên ngoài bối cảnh của đánh giá. Loại đánh giá này hỗ trợ hiệu quả nhất cho các phân tích lợi ích chi phí của các phản ứng rủi ro thay thế hoặc các khóa học hành động.
Đánh giá định tính: Thường sử dụng một bộ phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro dựa trên các danh mục hoặc cấp độ không số lượng (ví dụ: Rất thấp, Thấp, Trung bình, Cao, Rất cao). Loại đánh giá này hỗ trợ truyền đạt kết quả rủi ro cho những người ra quyết định.
Đánh giá bán định lượng: Thường sử dụng một tập hợp các phương pháp, nguyên tắc hoặc quy tắc để đánh giá rủi ro sử dụng khoảng (bins), thang đo (scales) hoặc số đại diện (representative numbers) có giá trị và ý nghĩa không được duy trì trong các bối cảnh khác. Loại đánh giá này có thể kế thừa những ưu điểm của đánh giá định lượng và định tính.
1.2.5.2. Quy trình thực hiện đánh giá
Bao gồm 4 bước, mỗi bước được chia thành một nhóm các nhiệm vụ. Đối với mỗi nhiệm vụ, hướng dẫn bổ sung cung cấp thông tin bổ sung cho các tổ chức thực hiện đánh giá rủi ro. Hình sau minh họa các bước cơ bản trong quy trình đánh giá rủi ro và các nhiệm vụ cụ thể để thực hiện đánh giá.
Hình 1.5 - Các bước cơ bản trong quy trình đánh giá rủi ro Bảng dưới đây là tổng hợp các nhiệm vụ đánh giá rủi ro:
Nhiệm vụ (Task) Mô tả nhiệm vụ (Task description) Bước 1: Chuẩn bị đánh giá (Prepare for Risk Assessment)
Nhiệm vụ 1-1: Xác định mục đích
Xác định mục đích của đánh giá rủi ro theo thông tin mà đánh giá được dự định đưa ra và các quyết định mà đánh giá nhằm hỗ trợ.
Nhiệm vụ 1-2: Xác định phạm vi
Xác định phạm vi đánh giá rủi ro về khả năng áp dụng của tổ chức, khung thời gian được hỗ trợ và cân nhắc về kiến trúc / công nghệ
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống
Nhiệm vụ 1-3: Xác định các đánh giá và hạn chế
Xác định các giả định và ràng buộc cụ thể theo đó đánh giá rủi ro được thực hiện.
Nhiệm vụ 1-4: Xác định nguồn thông tin
Xác định các nguồn thông tin mô tả, đe dọa, dễ bị tổn thương và tác động sẽ được sử dụng trong đánh giá rủi ro.
Nhiệm vụ 1-5: Xác định mô hình rủi ro và tiếp cận phân tích
Xác định mô hình rủi ro và phương pháp phân tích được sử dụng trong đánh giá rủi ro.
Bước 2: Thực hiện đánh giá rủi ro Nhiệm vụ 2-1: Xác
định nguồn gốc
Xác định và mô tả các nguồn đe dọa, bao gồm khả năng, ý định và đặc điểm nhắm mục tiêu cho các mối đe dọa đối nghịch và phạm vi ảnh hưởng đối với các mối đe dọa không đối nghịch
Nhiệm vụ 2-2: Xác định sự kiện
Xác định các sự kiện đe dọa tiềm ẩn, mức độ liên quan của các sự kiện và các nguồn đe dọa có thể bắt đầu các sự kiện.
Nhiệm vụ 2-3: Xác định nhiệm vụ và điều kiện bảo đảm
Xác định các lỗ hổng và các điều kiện có xu hướng ảnh hưởng đến khả năng các mối quan tâm đe dọa dẫn đến các tác động bất lợi
Nhiệm vụ 2-4: Xác định khả năng xảy ra
Xác định khả năng các sự kiện đe dọa gây ra các tác động bất lợi, xem xét: (i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện; (ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và (iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-5: Xác định các tác động
Xác định các tác động bất lợi từ các sự kiện đe dọa đáng quan tâm, xem xét: (i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện; (ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và (iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-6: Xác định rủi ro
Xác định rủi ro cho tổ chức từ các sự kiện đe dọa cần quan tâm: (i) tác động sẽ xảy ra từ các sự kiện; và (ii) khả năng xảy ra sự kiện
Bước 3: Truyền thông và chia sẻ kết quả đánh giá rủi ro Nhiệm vụ 3-1: Truyền
đạt kết quả đánh giá rủi ro
Truyền đạt kết quả đánh giá rủi ro cho những người ra quyết định tổ chức để hỗ trợ các phản ứng rủi ro
Nhiệm vụ 3-2: Chia sẻ thông tin liên quan
Chia sẻ thông tin liên quan đến rủi ro được tạo ra trong quá trình đánh giá rủi ro với nhân viên tổ chức phù hợp
Bước 4: Duy trì đánh giá rủi ro
Nhiệm vụ 4-1: Giám sát các yếu tố rủi ro
Tiến hành giám sát liên tục các yếu tố rủi ro góp phần thay đổi rủi ro đối với hoạt động của tổ chức và tài sản, cá nhân, tổ chức khác hoặc quốc gia Nhiệm vụ 4-2: Cập
nhật đánh giá rủi ro
Cập nhật đánh giá rủi ro hiện có
Bảng 1.1 - Bảng tổng hợp các nhiệm vụ đánh giá rủi ro 1.3. Tổng kết chương
Các cuộc tấn công mạng, tội phạm công nghệ cao, gián điệp không ngừng gia tăng nhằm mục đích phá hoại, lấy cắp dữ liệu, bí mật của tổ chức doanh nghiệp và cả của nhà nước. Chúng có thể gây ra những hậu quả vô cùng nghiêm trọng đến các đơn vị, tổ chức ở
mọi vùng miền, quốc gia, lãnh thổ trên thế giới. Trong thời gian tới, dự báo về tinh hình an ninh mạng, an ninh thông tin có những diễn biến khó lường, đặc biệt là các tội phạm công nghệ cao sử dụng trí tuệ nhân tạo trong lây nhiếm mã độc, tấn công với mục đích xấu nhằm đánh cắp, mã hóa thông tin. Vì vậy, để có thể phòng ngừa, giảm thiểu rủi ro ATTT, đòi hỏi các tổ chức doanh nghiệp phải quan tâm đến công tác đầu tư các hệ thống dò quét lỗ hổng bảo mật dùng cho nhận biết, đánh giá, phân loại… Từ đó có thể có thể phát hiện các lỗ hổng, điểm yếu của hệ thống, kết xuất báo cáo đánh giá chi tiết và mức độ nghiêm trọng phục vụ công tác đảm bảo an toàn bảo mật thông tin đơn vị. Trên các cơ sở lý thuyết đó, chúng tôi sẽ trình bày chi tiết trong chương tiếp theo về bài toán đặt ra và hướng giải quyết.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT 2.1. Bài toán đặt ra
Trong khuôn khổ luận văn, đánh giá rủi ro về hệ thống được xác định trên các tập những lỗ hổng và nguy cơ có thể khai thác lỗ hổng hệ thống CNTT. Trong đó không bao gồm các yếu tố về quy trình, con người và các lỗ hổng chưa được khai tác. Căn cứ để xác định rủi ro ATTT theo các tiêu chuẩn chung là ISO/IEC 15408 [4] và tiêu chuẩn ISO/IEC 27005:2011 [5]. Từ đó, xác định bài toán đặt ra là xây dựng hệ thống có thể dò quét các lỗ hổng bảo mất qua các cổng port trên máy chủ mà có dẫn đến nguy cơ mất ATTT.
Ngoài ra, yêu cầu thiết kế mô-đun của hệ thống dò quét phải đảm bảo những phương pháp, kỹ thuật sau:
- Quản lý các mẫu thử lỗ hổng đã được công bố Network Vulnerability Tests - NVT.
- Kỹ thuật dò quét lỗ hổng mạng để xác định rủi ro ATTT.
Trong các các nội dung tiếp theo chúng tôi đưa ra các vấn đề liên quan và phương pháp giải quyết bài toán để có thể dùng để xây dựng hệ thống dò quét lỗ hổng bảo mật.
2.2. Phương pháp giải quyết bài toán 2.2.1. Hướng đi cho bài toán
Từ yêu cầu bài toán đặt ra, chúng tôi xây dựng hệ thống có thể thực hiện được các nhiệm vụ dò quét, xác định rủi ro lỗ hổng bảo mật, trong đó dựa theo phương pháp kiểm trả dựa trên tập dữ liệu về lỗ hổng CVEs. Có thể xác định được rủi ro từ bên ngoài hoặc xác định từ bên trong hệ thống khi đã được cấp tài khoản.
Mô hình đề xuất triển khai của hệ thống đánh giá, quản lý rủi ro an toàn bảo mật tại cơ quan, tổ chức được thể hiện như sau:
Hình 2.1 - Mô hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT Mô hình triển khai hệ thống dò quét có thể tùy biến, phụ thuộc vào quy mô, phạm vi của các đơn vị, cơ quan, tổ chức. Trong đó có thể triển khai theo mô hình tập trung tại một điểm hoặc mô hình phân tán trong các mạng nội bộ của các đơn vị con.
Yêu cầu về đối tượng nghiên cứu:
- Đối tượng đánh giá rủi ro ATTT bao gồm các hệ thống của các đơn vị tổ chức, các cơ quan nhà nước và các doanh nghiệp.
- Đánh giá dò quét lỗ hổng bảo mật các hệ thống máy chủ phần cứng và các dịch vụ phần mềm đang chạy trên đó.
Yêu cầu về tiêu chí đánh giá rủi ro ATTT:
Bộ tiêu chí để đánh giá rủi ro dựa trên các tiêu chuẩn đã được công bố ISO 27005 và NIST SP800-30:
- Xác định hệ thống có nguy cơ về mất an toàn thông tin, nguy cơ về tính dễ tổn thương để đánh giá.
- Xác định các nguy cơ rủi ro về các lỗ hổng có thể bị khai thác.
2.2.2. Xây dựng phần mềm dò quét các lỗ hổng
Từ các yêu cầu về đối tượng và tiêu chí đánh giá, chúng tôi xây dựng hệ thống dò quét các lỗ hổng dân đến rủi ro an toàn thông tin vScanner, phần mềm sẽ có nhiệm vụ dò quét thiết bị mạng, các máy tính và các phần mềm trên máy tính đó. Để có thể linh hoạt triển khai dò quét, hệ thống phần mềm vScanner được xây dựng theo hướng tiếp cận dịch vụ, có
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin thể thực hiện dò quét từ xa.
Từ những yêu cầu và hướng đi nêu trên, mô hình kiến trúc dự kiến đề xuất phục vụ đánh giá, dò quét lỗ hổng được thể hiện như sau:
Hình 2.2 - Mô hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT Trong mô hình kiến trúc này, vScanner thực hiện nhiệm vụ dò quét lỗ lổng bảo mật các hệ thống mà có nguy cơ về rủi ro an toàn thông tin. Phần mềm có chức năng dò quét theo kỹ thuật kiểm tra từ bên ngoài và cả kỹ thuật dò quét từ bên trong thông qua việc cấp tài khoản vào hệ thống.
Hệ thống được xây dựng theo hướng triển khai môi trường web, để có thể dễ dàng cho việc đánh giá và quản trị từ xa các hệ thống, linh hoạt trong việc thực hiện các nhiệm vụ đánh giá các hệ thống của các đơn vị, cơ quan tổ chức.
Trong phạm vi nghiên cứu của luận văn, chúng tôi sẽ tập trung xây dựng bộ dò quét lỗ hổng hệ thống, là một trong các thành phần của hệ thống vScanner (được gọi tắt là HostScanner) với các mô-đun chính như sau:
- Mô-đun phát hiện nguy cơ lỗ hổng của hệ thống dựa trên các mẫu thử NVTs được cung cấp từ cộng đồng.
- Mô-đun dò quét lỗ hổng mạng, nhằm phát hiện các thành phần của một mạng máy tính, thiết bị có nguy cơ.
Ngoài ra, chúng tôi sẽ tập tiếp cận theo hướng kế thừa giải pháp mã nguồn mở
OpenVAS như đã giới thiệu để xây dựng HostScanner với các tính năng dò quét, phát hiện những lỗ hổng bảo mật trong hệ thống của một đơn vị tổ chức.
Kiến trúc của HostScanner như sau:
Hình 2.3- Kiến trúc của HostScanner 2.3. Kỹ thuật phân tích, đánh giá rủi ro ATTT
2.3.1. Phương pháp đánh giá rủi ro OWASP
Phương pháp đánh giá rủi ro OWASP (Open Web Application Security Project) [11]
dựa trên các phương pháp tiêu chuẩn và được tùy chỉnh để đảm bảo tính bảo mật ứng dụng.
Tiêu chuẩn xác định rủi ro như sau:
Risk = Likelihood * Impact Trong đó các yếu tố:
- Risk: Mức độ rủi ro - Likelihood: Khả năng - Impact: Tác động
Các bước đánh giá rủi ro được thực hiện như sau:
Bước 1: Xác định rủi ro
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Xác định rủi ro cần được đánh giá. Khi đó cần thu thập đẩy đủ các thông tin như: Tác nhân, cuộc tấn công, lỗ hổng và tác động đối với đơn vị, tổ chức. Có thể có nhiều tác động và nhiều nhóm tấn công.
Bước 2: Ước tính khả năng dựa trên các yếu tố
Khi đã xác định các rủi ro tiềm ần của hệ thống, người thực hiện đánh giá cấn xác định mức độ nghiệm trọng thì đầu tiên xác định khả năng xảy ra. Đây được xác định là thước đô về khả năng lỗ hổng sẽ bị phát hiện và kể tấn công có thể khai thác. Có thể chưa cần quá chính xác trong việc ước tính như trên, chỉ cần xác định mức khả năng: Thấp, trung bình, cao.
Các yếu tố có thể dụng cho việc xác định khả năng.
Có một số yếu tố có thể giúp xác định khả năng. Mỗi yếu tố có một bộ tùy chọn và mỗi tùy chọn được đánh số khả năng từ 0 đến 9.
Tác nhân đe dọa: Yếu đố liên quan tác nhân đe dọa. Có thể ước tính khả năng tấn công thành công của nhóm tác nhân này.
Cấp độ kỹ năng: Kỹ năng của nhóm tác nhân đe dọa này được xác đinh như nào?
- 1: Không có kỹ năng - 3: Có một số kỹ năng
- 5: Người dùng máy tính có kỹ năng nâng cao - 6: Có kỹ năng lập trình và mạng
- 9: Có kỹ năng bảo mật xâm nhập
Động cơ, lý do phạm tội: Động cơ của nhóm tác nhân đe dọa này tìm và khai thác lỗ hổng như nào?
- 1: Phần thưởng thấp hoặc không có phần thưởng.
- 4: Có giải thưởng.
- 9: Giải thưởng cao.
Cơ hội: Cơ hội nào cần thiết cho nhóm tác nhân đe dọa để khai thác lỗ hổng?
- 0: Truy cập đầy đủ hoặc tài nguyên giá trị.
- 4: Yêu cầu truy cập đặc biệt hoặc tài nguyên.
- 7: Một số quyền truy cập hoặc tài nguyên cần thiết.
- 9: Không cần truy cập hoặc tài nguyên cần thiết.
Kích thước: Quy mô nhóm các tác nhân đe dọa này như nào?
- 2: Nhà phát triển.
- 2: Quản trị hệ thống.
- 4: Người dùng nội bộ.
- 5: Đối tác.
- 6: Người dùng được xác thực.
- 9: Người dùng ẩn danh.
Yếu tố dễ bị tổn thương: Các yếu tố tiếp theo có liên quan đến lỗ hổn. Mục tiêu là ước tính khả năng của lỗ hổng, đặc biệt là liên quan đến việc phát hiện và khai thác lỗ hổng.
Dễ khám phá: Làm thế nào nhóm các tác nhân đe dọa này có thể dễ dàng để khai thác lỗ hổng?
- 1: Không thể.
- 3: Khó.
- 7: Dễ.
- 9: Công cụ có sẵn.
Dễ khai thác: Làm thế nào cho nhóm các tác nhân đe dọa dễ dàng khai thác lỗ hổng này?
- 1: Lý thuyết.
- 3: Khó.
- 5: Dễ.
- 9: Công cụ tự động có sẵn.
Nhận thức: Làm thế nào cho nhóm tác nhân đe dọa này là lỗ hổng?
- 1: Không biết.
- 4: Ẩn.
- 6: Hiển nhiên.
- 9: Kiến thức công cộng.
Phát hiện xâm nhập: Làm thế nào là một khai thác có thể được phát hiện?
- 1: Phát hiện hoạt động trong ứng dụng.
- 3: Ghi nhật ký và đánh giá.
- 8: Ghi nhật ký mà không xem xét.
- 9: Không đăng nhập.
Bước 3: Các yếu tố để ước tính tác động
Khi đánh giá tác động của một cuộc tấn công, cần xem xet hai loại tác động: Đầu tiên là "tác động kỹ thuật" đối với ứng dụng, dữ liệu được sử dụng và các chức năng mà đượccung cấp. Tiếp theo là "tác động nghiệp vụ" đối với đơn vị, cơ quan tổ chức vận hành ứng dụng. Trong đó, tác động nghiệp vụ là quan trọng hơn.
Mỗi yếu tố có một tập hợp các tùy chọn và mỗi tùy chọn có xếp hạng tác động từ 0 đến 9.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Yếu tố tác động kỹ thuật: Các yêu tố liên quan tác động kỹ thuật được chia ra thành:
Mất tính bảo mật: Bao nhiêu dữ liệu đã bị tiết lộ và mức độ nhạy cảm?
- 2: Dữ liệu không nhạy cảm.
- 6: Dữ liệu quan trọng tối thiểu.
- 6: Dữ liệu không nhạy cảm bị lộ rộng rãi.
- 7: Dữ liệu quan trọng bi lộ.
- 9: Tất cả dữ liệu được tiết lộ.
Mất tính toàn vẹn: Bao nhiêu dữ liệu có thể bị hỏng và nó bị hư hại như thế nào?
- 1: Dữ liệu bị hỏng nhẹ tối thiểu.
- 3: Dữ liệu bị hỏng nghiêm trọng tối thiểu - 5: Dữ liệu bị hỏng nhẹ.
- 7: Dữ liệu bị hỏng nghiêm trọng.
- 9: Dữ liệu bị hỏng hoàn toàn.
Mất tính khả dụng: Bao nhiêu dịch vụ có thể bị mất và mức độ quan trọng như thế nào?
- 1: Các dịch vụ thứ cấp tối thiểu bị gián đoạn.
- 5: Các dịch vụ chính tối thiểu bị gián đoạn.
- 5: Các dịch vụ thứ cấp mở rộng bị gián đoạn.
- 7: Các dịch vụ chính mở rộng bị gián đoạn.
- 9: Tất cả các dịch vụ bị mất hoàn toàn.
Mất trách nhiệm: Là hành động của các tác nhân đe dọa có thể ảnh hưởng đối với một cá nhân?
- 1: Hoàn toàn có thể theo dõi.
- 7: Có thể theo dõi.
- 9: Hoàn toàn ẩn danh.
Yếu tố tác động kinh doanh: Tác động này bắt nguồn từ tác động kỹ thuật, nhưng đòi hỏi sự hiểu biết về những gì là quan trọng đối với đơn vị. Rủi ro kinh doanh là những gì biện minh cho đầu tư trong việc khắc phục các vấn đề bảo mật.
Thiệt hại tài chính: Thiệt hại tài chính là bao nhiêu từ hậu quả của một khả năng khai thác?
- 1: Ít hơn chi phí để khắc phục lỗ hổng.
- 3: Ảnh hưởng nhỏ đến lợi nhuận hàng năm.
- 7: Ảnh hưởng đáng kể đến lợi nhuận hàng năm.
- 9: Phá sản.
Thiệt hại danh tiếng: Một khả năng khai thác dẫn đến thiệt hại danh tiếng gây tổn hại cho doanh nghiệp như thế nào?
- 1: Thiệt hại tối thiểu.
- 4: Mất tài khoản lớn.
- 5: Mất thiện chí.
- 9: Thiệt hại thương hiệu.
Không tuân thủ: Không tuân thủ sẽ gây ra vi phạm nào?
- 2: Vi phạm nhỏ.
- 5: Vi phạm rõ ràng.
- 7: Vi phạm hồ sơ cao.
Vi phạm quyền riêng tư: Bao nhiêu thông tin cá nhân bị tiết lộ?
- 3: Một cá nhân.
- 5: Hàng trăm người.
- 7: Hàng nghìn người.
- 9: Hàng triệu người.
Bước 4: Xác định mức độ nghiêm trọng
Trong bước này, ước tính khả năng và mức độ tác động được kết hợp để tính toán mức độ nghiêm trọng chung cho rủi ro này.
Khả năng và mức độ tác động
0 đến <3 Thấp
3 đến <6 Trung bình
6 đến 9 Cao
Bảng 2.1 - Xác định mức độ nghiêm trọng của rủi ro
Phương pháp không chính thức: Trong nhiều môi trường, không có gì sai khi xem xét các yếu tố và chỉ đơn giản là có câu trả lời.
Phương pháp lặp lại: Chỉ cần lấy trung bình của điểm số để tính khả năng tổng thể.
Các tác nhân nguy cơ Các tác nhân lỗ hổng Kỹ
năng Động cơ Cơ hội Kích thước Dễ dàng tìm ra
Dễ dàng
khai phá Nhận thức Phát hiện xâm nhập
5 2 7 1 3 6 9 2
Khả năng tổng thể = 4.375 (Trung bình)
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin Bảng 2.2 - Xác định khả năng xảy ra
Tiếp theo, cần phải tìm ra tác động tổng thể. Có thể ước tính dựa trên các yếu tố hoặc có thể tính trung bình điểm cho từng yếu tố.
Tác động kỹ thuật Tác động kinh doanh
Mất tính bảo mật
Mất tính toàn vẹn
Mất tính khả dụng
Mất tính trách nhiệm
Thiệt hại tài chính
Thiệt hại danh tiếng
Không tuân thủ
Vi phạm quyền riêng tư
9 7 5 8 1 2 1 5
Tác động kỹ thuật =7.25 (Cao) Tác động kinh doanh =2.25 (Thấp) Bảng 2.3 - Xác định tác động
Xác định mức độ nghiêm trọng
Kết hợp các yếu tố để xác định được mức độ nghiêm trọng cuối cùng cho rủi ro này.
Mức độ rủi ro
Tác động
CAO Trung bình Cao Nguy cấp
TRUNG BÌNH Thấp Trung bình Cao
THẤP Ghi chú Thấp Trung bình
THẤP TRUNG BÌNH CAO
Khả năng
Bảng 2.4 - Xác định mức độ nghiêm trọng Bước 5: Quyết định cách khắc phục
Sau khi các rủi ro cho ứng dụng đã được phân loại, sẽ có một danh sách ưu tiên những gì cần khắc phục. Các rủi ro nghiêm trọng nhất cần được khắc phục trước tiên.
Bước 6: Tùy chỉnh mô hình xếp hạng rủi ro
Khung xếp hàng rủi ro đối với một đơn vị, cơ quan, tổ chức doanh nghiệp là rất quan trọng.
2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS 2.3.2.1. Giới thiệu
Tiêu chuẩn CVSS (Common Vulnerability Scoring System) [12] là phương pháp chấm điểm cho các lỗ hổng và phơi nhiễm chung CVE (Common Vulnerabilities and Exposures). Kết quả đầu ra của là điểm số cho thấy mức độ nghiêm trọng của lỗ hổng.
a) Số liệu
Bao gồm 3 nhóm số liệu:
- Số liệu cơ sở.
- Số liệu tạm thời.
- Số liệu môi trường.
Hình 2.4- Các nhóm số liệu của CVSS
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Cơ sở (Base metric group): bao gồm hai bộ số liệu: Số liệu về Khả năng khai thác và số liệu Tác động.
Các số liệu Khả năng khai thác phản ánh mức độ dễ dàng và phương tiện kỹ thuật mà lỗ hổng có thể bị khai thác. Danh mục số liệu gồm: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi.
Các số liệu Tác động phản ánh của việc lỗ hổng bị khai thác và thể hiện việc chịu tác động. Trong bộ số liệu này có danh mục số liệu phụ gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh sau bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Tạm thời (Temporal metric group): phản ánh lỗ hổng có thể thay đổi theo thời gian nhưng không phải trên các môi trường người dùng.
Trong bộ số liệu này có danh mục số liệu phụ gồm: Khả năng khai thác mã đáo hạn, mức độ khắc phục, bảo mật báo cáo.
- Nhóm số liệu Môi trường (Environmental metric group): đại diện cho các đặc điểm của lỗ hổng có liên quan và duy nhất đối với môi trường người dùng cụ thể.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Trong bộ số liệu này có danh mục số liệu phụ gồm: Số liệu cơ sở sửa đổi, Yêu cầu bảo mật, Yêu cầu toàn vẹn, Yêu cầu tính khả dụng.
b) Chấm điểm
Khi các số liệu Cơ sở được chỉ định, phương trình cơ sở sẽ tính toán trong khoảng từ 0 đến 10:
Hình 2.5- Các số liệu và phương trình CVSS
Phương trình Cơ sở có nguồn gốc từ 2 phương trình phụ: Phương trình điểm Khả năng khai thác và phương trình điểm Tác động. Phương trình điểm Khả năng khai thác được lấy từ các số liệu Khả năng khai thác cơ sở (Base Exploitability metrics), trong khi phương trình điểm Tác động được lấy từ các số liệu Tác động cơ sở (Base Impact metrics).
Điểm cơ sở (Base Score) được tinh chỉnh bằng cách chấm điểm các số liệu Tạm thời và môi trường để phản ánh tính chính xác mức độ nghiêm trọng do lỗ hổng tại một thời điểm cụ thể. Chấm điểm các số liệu Tạm thời và Môi trường là không bắt buộc.
Kết quả đầu ra sau khi chấm điểm CVSS là chuổi vector, thể hiện dưới dạng văn bản giá trị số liệu để đánh giá mức độ dễ bị tổng thương. Chuỗi này được định dạng cụ thể chứa giá trị gán cho từng số liệu.
2.3.2.2. Đánh giá mức độ nghiêm trọng
Có thể phân loại các điểm đánh giá tương ứng với mức độ xếp hạng định tính như bảng dưới đây:
Xếp hạng Điểm CVSS
None 0.0
Low 0.1 - 3.9
Medium 4.0 - 6.9
