Giáo trình An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội (Chủ biên)

Thông tin tài liệu

Giáo trình An toàn và bảo mật thông tin được biên soạn nhằm cung cấp kiến thức về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin. Giáo trình kết cấu gồm 7 chương và chia thành 2 phần, phần 1 trình bày những nội dung về: tổng quan an toàn và bảo mật thông tin; quy trình đảm bảo an toàn và bảo mật thông tin; các kiểu tấn công và các mối đe dọa đối với an toàn và bảo mật thông tin;... Mời các bạn cùng tham khảo!

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI THUONGMAI UNIVERSITY Chủ biên: PGS.TS Đàm Gia Mạnh - TS Nguyễn Thị Hội AN TOÀN VÀ BẢO MẬT THÔNG TIN LỜI NÓI ĐẦU Từ xưa đến nay, thông tin loại tài sản quý giá có vai trò quan trọng cá nhân, tổ chức, quốc gia Trong lĩnh vực hoạt động nào của đời sống xã hội, việc nắm bắt thông tin cách nhanh chóng, kịp thời và chính xác giúp cho tổ chức, cá nhân có chiến lược hoạt động đắn, giúp họ đứng vững phát triển trước thay đổi thường xuyên của thị trường đời sống xã hội Với phát triển mạnh mẽ của công nghệ thông tin và đặc biệt là của mạng Internet, người đã có môi trường thuận lợi để có thể nắm bắt thông tin cách nhanh chóng tạo khả trao đổi thông tin dễ dàng Tuy nhiên, ngoài mang lại lợi ích to lớn, mạng Internet còn tiềm ẩn nó nhiều nguy mối hiểm họa Đó chính là công vào chính hệ thống thông tin qua mạng Internet với mục đích không tốt đẹp, gây an toàn thông tin, làm ảnh hưởng đến toàn hoạt động của tổ chức, cá nhân và có thể gây tổn hại đến lợi ích kinh tế uy tín của tổ chức, cá nhân Sự gia tăng không ngừng và ngày càng tinh vi của các hành động xâm phạm vào thông tin của các cá nhân, tổ chức gây an toàn của thông tin là vấn đề nóng, nan giải rình rập, đe dọa, đặt các chủ thể thông tin trước hội và thách thức, rủi ro Vì vậy, đảm bảo an tồn và bảo mật thơng tin có vai trò quan trọng chiến lược phát triển bền vững của quốc gia, tổ chức cá nhân Giáo trình “An toàn và bảo mật thông tin” này biên soạn theo chương trình học phần “An toàn và bảo mật thông tin doanh nghiệp” thuộc chương trình đào tạo ngành Hệ thống thông tin kinh tế Hiệu trưởng Trường Đại học Thương mại phê chuẩn ngày 22 tháng 12 năm 2017 Hiệu trưởng phê duyệt làm tài liệu thức dùng cho giảng dạy, học tập ở Trường Đại học Thương mại Đối tượng phục vụ của giáo trình là sinh viên đại học chính quy chuyên ngành Quản trị Hệ thống thông tin và chuyên ngành Quản trị Thương mại điện tử của Trường Đại học Thương mại Ngoài ra, giáo trình dùng cho sinh viên đại học chính quy thuộc các chuyên ngành khác của Trường Đại học Thương mại và có ích cho muốn tìm hiểu vận dụng kiến thức về đảm bảo an toàn và bảo mật thông tin đời sống, hoạt động sản xuất, kinh doanh Giáo trình gồm chương, trình bày về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin hệ thống thông tin, bao gồm các nội dung: xác định và nhận dạng các rủi ro, các nguy gây an toàn và bảo mật thông tin; phân tích, đánh giá và đo lường các nguy (bao gồm các giải pháp khắc phục hậu rủi ro gây ra); giám sát rủi ro, lựa chọn giải pháp khắc phục hậu quả, thực đảm bảo an toàn và bảo mật thông tin Tuy nhiên, với đối tượng quản trị là thông tin - dạng “tài nguyên” mặc dù có thể đo lường và đánh giá lại là “phi vật chất”, nên quá trình trình bày, có nội dung của hoạt động quản trị rủi ro trình bày kết hợp đồng thời, chẳng hạn nhận dạng và đo lường, nhận dạng và đánh giá, giám sát, Với cách làm này, hy vọng sẽ giúp nâng cao khả vận dụng cho người đọc thực tiễn hoạt động đảm bảo an toàn và bảo mật thông tin của mình Để sử dụng giáo trình này, bạn đọc cần có kiến thức tối thiểu vể Tin học giảng dạy ở tất các trường đại học Giáo trình PGS, TS Đàm Gia Mạnh và TS Nguyễn Thị Hội làm chủ biên, phân công biên soạn sau: PGS, TS Đàm Gia Mạnh biên soạn các chương 1, 2, 3; TS Nguyễn Thị Hội biên soạn các chương 4, 5, 6, PGS, TS Đàm Gia Mạnh tổng hợp chỉnh sửa thảo Trong trình biên soạn, các tác giả đã tham khảo nhiều tài liệu của các nhà khoa học trong, ngoài nước và đã nhận ý kiến đóng góp quí báu của tập thể giảng viên Bộ môn Công nghệ thông tin, của Hội đồng khoa học Khoa Hệ thống thông tin kinh tế và Thương mại điện tử của Trường Đại học Thương mại và số nhà khoa học và ngoài Trường Tập thể tác giả xin chân thành cảm ơn tất người đã nêu Mặc dù các tác giả đã cố gắng, giáo trình khó tránh khỏi hạn chế thiếu sót nội dung diễn giải Vì vậy, tác giả mong nhận ý kiến nhận xét của bạn đọc để tiếp tục hoàn thiện nội dung giáo trình lần xuất sau Ý kiến đóng góp xin gửi theo địa chỉ: Bộ môn Công nghệ thông tin, Trường Đại học Thương mại, email: bmcntt@tmu.edu.vn TẬP THỂ TÁC GIẢ MỤC LỤC Lời nói đầu Danh mục từ viết tắt 13 Danh mục bảng biểu 15 Danh mục hình vẽ 17 Chương 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 19 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN 19 1.1.1 Khái niệm an tồn bảo mật thông tin 19 1.1.2 Lịch sử phát triển của an tồn bảo mật thơng tin 23 1.1.3 Vai trị của an tồn bảo mật thơng tin 24 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THÔNG TIN 27 1.2.1 Mục tiêu của an tồn và bảo mật thơng tin 27 1.2.2 u cầu cho an toàn và bảo mật thông tin 28 1.2.3 Các nguyên tắc an toàn và bảo mật thông tin 30 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thông tin 31 1.3 AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO 39 1.3.1 Tổng quan về rủi ro và quản trị rủi ro 39 1.3.2 Tổng quan về rủi ro cho thông tin và quản trị rủi ro hệ thống thông tin 42 1.3.3 Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn và bảo mật thơng tin 47 1.4 CHÍNH SÁCH, PHÁP ḶT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 48 1.4.1 Các sách an toàn và bảo mật thơng tin Việt Nam 48 1.4.2 Các sách an toàn và bảo mật thông tin giới 53 1.5 TỔNG KẾT CHƯƠNG 64 Câu hỏi ôn tập thảo luận chương 65 Chương 2: QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN 69 2.1 QUY TRÌNH CHUNG 70 2.1.1 Xác định, nhận dạng các nguy gây mất an toàn và bảo mật thông tin 70 2.1.2 Phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 71 2.1.3 Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin 72 2.1.4 Giám sát an toàn và bảo mật thông tin 72 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 73 2.2.1 Khái niệm và tầm quan trọng của nhận dạng các nguy 73 2.2.2 Phân loại các nguy gây mất an toàn và bảo mật thông tin 74 2.2.3 Phương pháp nhận dạng các nguy gây mất an toàn và bảo mật thông tin 76 2.3 PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 86 2.3.1 Giới thiệu 86 2.3.2 Những vấn đề phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 87 2.4 KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THƠNG TIN 91 2.4.1 Quy trình kiểm soát 91 2.4.2 Chiến lược kiểm soát 92 2.5 TỔNG KẾT CHƯƠNG 94 Câu hỏi ôn tập bài tập chương 95 Chương 3: CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN 97 3.1 CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THƠNG TIN 97 3.1.1 Mới đe dọa từ các thiết bị phần cứng 99 3.1.2 Mối đe dọa từ phần mềm 100 3.1.3 Mối đe dọa từ người 103 3.2 CÁC KIỂU TẤN CÔNG GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 104 3.2.1 Kịch của tấn công 104 3.2.2 Tấn công thụ động 107 3.2.3 Tấn công chủ động 111 3.2.4 Tấn công từ chối dịch vụ 114 3.2.5 Một số kiểu tấn công khác 119 3.3 XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN VÀ BẢO MẬT THƠNG TIN 125 3.3.1 Thay đởi xu hướng tấn công mạng 125 3.3.2 Tấn công phá mã mật 127 3.3.3 Tấn công Social Engineering 128 3.4 TỔNG KẾT CHƯƠNG 131 Câu hỏi ôn tập bài tập chương 132 Chương 4: MÃ HĨA THƠNG TIN 135 4.1 TỔNG QUAN VỀ MÃ HÓA 135 4.1.1 Khái niệm hệ mã hóa 135 4.1.2 Vài nét về lịch sử mã hóa 138 4.1.3 Vai trị của mã hóa quy trình mã hóa 140 4.1.4 Các u cầu của hệ mã hóa 140 4.1.5 Các kỹ thuật phá mã phở biến 142 4.2 HỆ MÃ HĨA ĐỐI XỨNG 144 4.2.1 Khái niệm về hệ mã hóa đối xứng 144 4.2.2 Ưu điểm và nhược điểm của hệ mã hóa đối xứng 145 4.2.3 Các hệ mã hóa đối xứng cổ điển 146 4.2.4 Hệ mã hóa đối xứng đại 154 4.3 HỆ MÃ HĨA KHƠNG ĐỐI XỨNG 159 4.3.1 Khái niệm về hệ mã hóa không đối xứng 159 4.3.2 Ưu điểm và nhược điểm của hệ mã hóa khơng đới xứng 162 4.3.3 Hệ mã hóa RSA 164 4.3.4 Một số hệ mã hóa không đối xứng khác khác 167 4.4 HÀM BĂM 169 4.4.1 Khái niệm về hàm băm 169 4.4.2 Các phương pháp tạo hàm băm 170 4.4.3 Một số hàm băm thông dụng 171 3.2.5.2 Tấn công liên kết chéo (XSS cross - site scripting) XSS lỗ hổng bảo mật khai thác nhiều thời gian gần Nó lợi dụng lỗi của trình duyệt Internet việc thực thi các đoạn Script để chèn thêm đoạn mã Script nguy hiểm vào các trang Web động XSS cho phép kẻ công chèn đoạn mã vào Link của đường dẫn, để thực thi trình duyệt của người dùng, dẫn đến việc Cookies, mật khẩu, Session hay thậm chí lây nhiễm Virus Lỗi XSS xảy trang web nhận liệu từ người dùng hiển thị lại hình Ví dụ trang tìm kiếm liệu thông thường hiển thị đoạn ký tự mà người dùng nhập vào kèm theo kết tìm kiếm Nếu kẻ cơng khơn ngoan thay xâu tìm kiếm đoạn mã Script, gửi cho nạn nhân Chỉ cần Click chuột vào đoạn Script đó, nạn nhân đã thực thi đoạn mã Script độc cung cấp cho kẻ công thông tin có ích máy Cookies hay mật khẩu Các lỗi XSS ngăn chặn biện pháp kiểm tra thay liệu trước Bằng cách này, các đoạn mã Script bị vơ hiệu hóa trở thành các đoạn văn bình thường Hình 3.9 Tấn cơng liên kết chéo XSS (Nguồn https://ssl.vn/) 120 3.2.5.3 Tấn công nhử mồi (Phishing) Phishing hay cịn gọi là “tấn cơng nhử mồi” là hành vi đánh cắp “thông tin nhạy cảm” mật khẩu, chi tiết thẻ tín dụng, cách giả mạo người tin cậy hoặc doanh nghiệp với nhu cầu thực cần thiết về thông tin Hình thức cơng này thường thực thơng qua loại thư hoặc thông báo điện tử Lợi dụng tin tưởng của người sử dụng, kẻ công khiến họ nhấn chuột vào đường link nguy hiểm hoặc gửi thông tin quan trọng Hình 3.10 Tấn cơng Phishing (Nguồn https://www.cloudflare.com/) Cảnh báo của hãng bảo mật trực tuyến Panda Software cho biết, loại hình phising tỏ hiệu vì chúng không gửi qua E-mail - phương thức Phising mà người dùng có ý thức cảnh giác, mà hiển thị địa trang Web (giả mạo) tìm kiếm cách cơng cụ Google, Yahoo, Những trang Web lừa đảo kiểu này thường yêu cầu khách hàng nhập thông tin cá nhân, bao gồm số thẻ tín dụng Và thơng tin này gửi đi, thường có bảng báo lỗi xuất hiện, 121 thông báo giao dịch không thành công thực chất tất chúng đã chuyển tới hòm thư của kẻ lừa đảo Tấn công nhử mồi hành vi cố gắng gian lận nhận “thông tin nhạy cảm” mật khẩu, chi tiết thẻ tín dụng, bởi giả mạo người tin cậy hoặc doanh nghiệp với nhu cầu thực cần thiết về thông tin thông điệp điện tử hoặc thư, thơng báo điện tử Đó là hình thức công kỹ thuật xã hội 3.2.5.4 Tấn công Pharming Một dạng tội phạm kỹ thuật số bắt đầu bùng phát mang tên “Pharming” Nó có tác dụng chuyển hướng người tìm kiếm trang Web dạng.com đến các trang Web độc hại kẻ công điều khiển Hình 3.11 Tấn cơng Pharming (Nguồn: http://Internet pharming.yolasite.com/pharming.php) Các công kỹ thuật pharming về mục đích tương tự các công kỹ thuật phishing, kỹ thuật công Pharming không cần đến các “con chim mồi” là các e-mail khuyến dụ người dùng truy cập vào trang Web lừa đảo Các công 122 pharming vừa bắt đầu gia tăng tháng vừa qua và thức xem kỹ thuật giúp cho bọn tội phạm kỹ thuật số gia tăng công lực thu thập thông tin cá nhân của người dùng nhằm vào mục đích tội phạm Vào đầu tháng 3/2020 vừa qua, ISC đã ghi nhận 900 địa Internet với 75.000 thông điệp e-mail đã bị dẫn hướng đến các địa Web lạc điệu 3.2.5.5 Tấn công SQL injection SQL injection, còn gọi SQLi, sử dụng lỗ hổng kênh đầu vào (input) của website để nhắm mục tiêu vào sở liệu nằm phần phụ trợ của ứng dụng web, nơi lưu giữ thông tin nhạy cảm có giá trị Chúng kẻ công sử dụng để ăn cắp hoặc xáo trộn liệu, cản trở hoạt động của ứng dụng trường hợp xấu nhất, chiếm quyền truy cập quản trị vào máy chủ sở liệu Dưới là bạn cần biết về công SQL Injection cách bảo vệ website của bạn khỏi chúng Các công SQL Injection thực cách gửi lệnh SQL độc hại đến máy chủ sở liệu thông qua yêu cầu của người dùng mà website cho phép Bất kỳ kênh input nào có thể sử dụng để gửi lệnh độc hại, bao gồm thẻ, chuỗi truy vấn (query strings), cookie tệp tin Với vài thủ thuật, kẻ cơng thêm tài khoản xóa hoặc sửa đổi thông tin của tài khoản người dùng có Cùng cách cơng sử dụng để lấy cắp hồ sơ và thông tin của người dùng chúng không bị giới hạn cho khách truy cập hoặc để thay đổi nội dung hồ sơ Trong các trường hợp nghiêm trọng hơn, kết nối với máy chủ sở liệu thực thông qua tài khoản quản trị (như “root” MySQL hoặc “sa” MS SQL Server), kẻ cơng sâu vào hệ điều hành của máy chủ Kẻ công sử dụng lỗ hổng SQL injection để lúc tạo tài khoản người dùng máy chủ bị xâm nhập, kích hoạt tính Remote Desktop, cài đặt thư mục chia sẻ SMB tải phần mềm 123 độc hại - việc làm rối tung thứ đã lưu trữ sở liệu 3.2.5.6 Gian lận nhấp chuột Gian lận nhấp chuột (Click Fraud) thuật ngữ để hành động dùng phần mềm chuyên dụng hoặc thuê nhân công giá rẻ để Click liên tục vào (hoặc nhiều) Banner (hay Logo, Link, quảng cáo tìm kiếm quảng bá mạng nhằm tạo thành công giả tạo của chiến dịch quảng cáo Ở Việt Nam, Click Fraud là lo ngại lớn doanh nghiệp có nhu cầu quảng cáo trực tuyến, khiến họ cân nhắc nhiều (thậm chí từ chối thẳng thừng) nhận lời mời quảng cáo trực tuyến Click Fraud đặc biệt gây nhiều thiệt hại cho doanh nghiệp sử dụng dịch vụ quảng cáo Online chọn cách trả tiền quảng cáo theo số lượng cú nhấp chuột vào quảng cáo của họ số lượng Click lớn, số tiền họ phải trả nhiều Những cá nhân có hiềm khích hay có ý đồ xấu với doanh nghiệp nào đó có thể thực Click Fraud, nghĩa bấm liên tục vào quảng cáo của doanh nghiệp cạnh tranh để làm thâm hụt tài của doanh nghiệp đối thủ Ở Việt Nam, Click Fraud đã xuất khẳng định là đã bước vào giai đoạn phổ biến Những nhân công thuê với giá rẻ để làm công việc này còn cộng đồng gọi đùa tên chung "Chuyên viên ấn F5" Tuy nhiên, hành động gian lận thương mại ở Việt Nam dừng ở mức nhằm tạo hiệu giả tạo cho chiến dịch quảng cáo hoặc tạo lượng hits visitor giả tạo cho website để làm sở mời gọi doanh nghiệp quảng cáo website Cách tốn tiền quảng cáo tính theo số lượng nhấp chuột chưa phổ biến ở Việt Nam nên việc thực Click Fraud làm thâm hụt tài của doanh nghiệp chưa xảy Mặc dù vậy, gian lận thương mại điện tử, đặc biệt Click Fraud, nỗi ám ảnh lớn cho các doanh nghiệp 124 3.3 XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN VÀ BẢO MẬT THƠNG TIN 3.3.1 Thay đởi xu hướng tấn công mạng Hiện nay, xu hướng công gây an tồn bảo mật thơng tin sử dụng công cụ kết hợp để công vào hệ thống mạng của tổ chức, doanh nghiệp (cyber-attack) Ngồi kiểu cơng đã trình bày trọng mục 3.2, kiểu công còn biết đến kiểu công công thăm dò công truy cập 3.3.1.1 Tấn công thăm dò (Reconnaissance attack) Trong sống, thường thì trước đột nhập, kẻ công phải thăm dò, quan sát mục tiêu tìm các điểm sơ hở Tương tự vậy công mạng kiểu thăm dò, kẻ công sẽ thu thập thông tin về hệ thống định công (nạn nhân), dịch vụ chạy, lỗ hổng Các công cụ mà kẻ công thường sử dụng kiểu cơng cơng cụ chặn bắt gói tin (packet sniffer) quét cổng (port scannner) Là hình thức cơng nhằm thu thập thơng tin về hệ thống mục tiêu, từ đó phát các điểm yếu, công thám thường dùng để làm bàn đạp cho công truy cập hoặc công từ chối dịch vụ về sau Cách thức mà kẻ công tiến hành sau: Đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân có địa IP nào hoạt động Sau đó kẻ công sẽ kiểm tra dịch vụ chạy, cổng mở địa IP tìm thấy ở Cơng cụ mà kẻ công thường sử dụng ở bước Nmap, ZenMap Sau xác định cổng mở, kẻ công sẽ gửi truy vấn tới cổng này để biết thông tin về phần mềm, hệ điều hành chạy Sau có tay thơng tin này, kẻ cơng sẽ tìm cách khai thác lỗ hổng tồn hệ thống đó Kẻ cơng có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực việc khai thác lỗ hổng để tránh bị phát 125 Để công thăm dò, kẻ cơng thường dùng cơng cụ:  Tìm hiểu thơng tin từ Internet: Khi kẻ công muốn công mạng tổ chức, công ty, nó sẽ tìm hiểu xem tổ chức hay cơng ty đó có sở hữu website có tên miền là gì Sau đó kẻ công sẽ sử dụng công cụ tìm kiếm để truy vấn thơng tin về chủ sở hữu tên miền, địa (địa lý) gắn với tên miền đó Thêm nữa, truy sở hữu địa IP tên miền gắn với địa IP  Ping sweep Port scan: Là công cụ dùng để phát lỗ hổng thiết bị hệ thống Các công cụ sẽ kiểm tra thông tin về địa IP, cổng, hệ điều hành, phiên hệ điều hành, liệu cổng TCP UDP Kẻ công sử dụng thông tin cho mục đích công Ping sweep kỹ thuật quét dải địa IP để phát xem có thiết bị nào sở hữu địa IP dải đó Cơng cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất các địa IP dải chờ đợi gói tin ICMP echo reply phản hồi từ thiết bị Port scan công cụ quét cổng Mỗi dịch vụ chạy máy đều gắn với cổng (well-known port) Công cụ quét cổng sẽ quét dải cổng để phát xem cổng nào lắng nghe yêu cầu Nguyên lý gửi tin đến cổng chờ đợi phản hồi Nếu có phản hồi từ cổng nào đó tức cổng đó sử dụng Kẻ công sẽ sử dụng kết hợp công cụ theo nguyên lý: truy vấn thông tin Internet để lấy thông tin về địa IP của tên miền mà muốn công Tiếp đó dùng công cụ ping sweep để quét tìm máy hoạt động Tiếp theo sử dụng công cụ port scan để lấy thông tin về cổng dịch vụ hoạt động các máy Sau đó kẻ công tiếp tục rà sốt dịch vụ này để tìm điểm yếu khai thác 3.3.1.2 Tấn cơng truy cập (Access attack) Tấn công truy cập hay công xâm nhập thường khai thác lỗ hổng của hệ thống thông tin của nạn nhân Các lỗ hổng này thường là: lỗ hổng dịch vụ xác thực, dịch vụ FTP, dịch vụ web Sau khai 126 thác lỗ hổng, kẻ cơng sẽ có qùn truy cập vào tài khoản web, sở liệu liệu nhạy cảm khác Kiểu công này thường đa dạng về hình thức có điểm chung kẻ công thường dùng từ điển để đoán mật khẩu Tấn công xâm nhập thuật ngữ rộng miêu tả kiểu công nào đòi hỏi người xâm nhập lấy quyền truy cập trái phép của hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền Thông thường chia thành hai nhóm: Tấn cơng truy nhập hệ thống là hành động nhằm đạt quyền truy cập bất hợp pháp đến hệ thống mà ở đó kẻ cơng khơng có tài khoản sử dụng; công truy nhập thao túng liệu là công mà kẻ xâm nhập đọc, viết, xóa, chép hay thay đổi liệu 3.3.2 Tấn công phá mã mật Tấn công phá mã mật khẩu (Hack Password) hình thức cơng khơng mới, nhiên nó gây khơng phiền tối cho người dùng cá nhân tổ chức, doanh nghiệp Trong số trường hợp, gây thiệt hại lớn cho tổ chức, doanh nghiệp nằm cơng APT quy mơ lớn Có dạng công phá mã mật khẩu phổ biến:  Tấn cơng dị mật (Brute Force Attack): Kẻ cơng sử dụng cơng cụ mạnh, có khả thử nhiều username password lúc (từ dễ đến khó) đăng nhập thành công Ví dụ: đặt mật khẩu đơn giản 123456, password123, daylamatkhau, dễ bị công brute force  Tấn công từ điển (Dictionary Attack): Là biến thể của Brute Force Attack, nhiên thay phải dò thử tất khả năng, kẻ công nhằm vào từ có nghĩa Trên thực tế, nhiều người dùng có xu hướng đặt mật khẩu từ đơn giản chẳng hạn motconvit, iloveyou, Đây là lý khiến Dictionary Attack có tỉ lệ thành cơng cao  Key Logger Attack (tấn công Key Logger): Đúng tên gọi của nó, kiểu cơng này, tin tặc lưu lại lịch sử phím mà nạn nhân gõ, bao gồm ID, Password hay nhiều nội dung khác Tấn công Key 127 Logger nguy hiểm cách công trên, việc đặt mật khẩu phức tạp không giúp ích gì trường hợp này Để công, tin tặc sử dụng phần mềm độc hại (Malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất ký tự mà nạn nhân nhập vào máy tính gửi về cho kẻ công Trên dạng cơng mật khẩu trực tiếp Ngồi ra, tin tặc cơng gián tiếp thơng qua việc lừa đảo người dùng tự cung cấp mật khẩu (như hình thức công giả mạo Phishing), tiêm nhiễm Malware, công vào sở liệu - kho lưu trữ mật khẩu người dùng của dịch vụ, 3.3.3 Tấn công Social Engineering Social Engineering (Kỹ nghệ xã hội) kiểu công dựa vào tương tác của người và thường liên quan đến việc thao túng việc cách phá vỡ quy trình bảo mật thơng thường, truy cập vào hệ thống thông tin, hệ thống mạng để đạt lợi ích tài Kẻ công sử dụng kỹ thuật Social engineering để che giấu danh tính động thực của chúng vẻ của nguồn thông tin hoặc cá nhân đáng tin cậy Mục tiêu ảnh hưởng, thao túng hoặc lừa người dùng từ bỏ thông tin đặc quyền hoặc quyền truy cập tổ chức Ví dụ, kẻ cơng giả vờ đồng nghiệp có vấn đề khẩn cấp nào đó, đòi hỏi phải truy cập vào tài nguyên mạng bổ sung Social engineering chiến thuật phổ biến của tin tặc vì khai thác điểm yếu của người dùng sẽ dễ dàng là tìm lỗ hổng của mạng hoặc phần mềm Tin tặc thường sử dụng chiến thuật Social engineering là bước chiến dịch lớn để thâm nhập vào hệ thống hoặc mạng và ăn cắp liệu nhạy cảm hoặc phân tán malware Social engineering nghệ thuật điều khiển người để họ tiết lộ thơng tin bí mật Các loại thông tin mà bọn tội phạm tìm kiếm khác nhau, thường cá nhân bị nhắm làm mục tiêu, bọn tội phạm thường cố lừa người đó cung cấp mật khẩu, thông tin ngân hàng hoặc cách truy cập máy tính để cài đặt phần mềm độc hại Social 128 engineering sử dụng nhiều chiến thuật khác để thực công Bước hầu hết công social engineering kẻ công sẽ thực nghiên cứu khảo sát về mục tiêu Ví dụ, mục tiêu doanh nghiệp, kẻ công thu thập thơng tin tình báo về cấu trúc nhân viên, hoạt động nội bộ, thuật ngữ chung sử dụng ngành và các đối tác kinh doanh, Một chiến thuật phổ biến của social engineering tập trung vào hành vi mơ hình của nhân viên cấp thấp có khả tiếp cận trước tiên, chẳng hạn nhân viên bảo vệ hoặc nhân viên tiếp tân Tin tặc quét profile mạng xã hội của người đó để biết thông tin nghiên cứu hành vi của họ Từ đó, kẻ cơng thiết kế công dựa thông tin thu thập khai thác điểm yếu phát giai đoạn khảo sát Nếu công thành cơng, tin tặc có qùn truy cập vào liệu nhạy cảm - chẳng hạn thẻ tín dụng hoặc thông tin ngân hàng để kiếm tiền từ mục tiêu hoặc có quyền truy cập vào hệ thống hay mạng bảo vệ Các loại công Social Engineering phổ biến bao gồm:  Baiting: Baiting hình thức công mà kẻ công để lại thiết bị vật lý bị nhiễm phần mềm độc hại, chẳng hạn ổ flash USB, ở nơi chắn sẽ tìm thấy Sau đó, người tìm thấy sẽ sử dụng thiết bị đó, kết nối thiết bị với máy tính của vơ tình đã làm cho máy tính của người dùng bị nhiễm phần mềm độc hại  Phishing: Phishing hình thức công mà kẻ công gửi email lừa đảo cải trang thành email hợp pháp (thường giả mạo từ nguồn đáng tin cậy) Thông điệp nhằm lừa người nhận chia sẻ thông tin cá nhân hay thơng tin tài hoặc nhấp vào liên kết có cài đặt phần mềm độc hại  Spear Phishing: Spear phishing là kiểu công giống Phishing thiết kế riêng cho cá nhân hoặc tổ chức cụ thể 129  Vishing: Vishing còn gọi lừa đảo giọng nói việc tin tặc sử dụng social engineering qua điện thoại để thu thập thông tin cá nhân thông tin tài từ mục tiêu cơng (Xem thêm: Những "ngón nghề" lừa đảo qua điện thoại)  Pretexting: Pretexting kiểu ấn công sử dụng trường hợp kẻ công muốn truy cập vào liệu đặc qùn Ví dụ, vụ lừa đảo pretexting liên quan đến việc kẻ công giả vờ cần liệu cá nhân hoặc thông tin tài chính để xác nhận danh tính của người nhận  Scareware: Scareware liên quan đến việc lừa nạn nhân nghĩ máy tính của bị nhiễm phần mềm độc hại hoặc vơ tình tải xuống nội dung bất hợp pháp Kẻ công sau đó cung cấp cho nạn nhân giải pháp để khắc phục vấn đề khơng có thật này Trong thực tế, nạn nhân đơn giản bị lừa tải xuống và cài đặt phần mềm độc hại của kẻ công  Water-holing: Một công water-holing kẻ công thực cố gắng để thỏa hiệp với nhóm người cụ thể cách lây nhiễm phần mềm độc hại vào trang web mà họ thường truy cập vào hoặc tin tưởng  Diversion theft: Trong loại công này, social engineering sẽ lừa công ty giao hàng hoặc chuyển phát nhanh nhận hoặc giao sai vị trí, đó ngăn chặn giao dịch thực  Quid pro quo: Quid pro quo công đó social engineering giả vờ cung cấp cái gì đó để đổi lấy thông tin hoặc hỗ trợ của mục tiêu cơng Ví dụ, kẻ công chọn ngẫu nhiên số điện thoại tổ chức giả vờ gọi lại để hỗ trợ kỹ thuật Cuối cùng, kẻ cơng sẽ tìm thấy người có vấn đề liên quan đến công nghệ giả vờ giúp đỡ Thơng qua điều này, kẻ cơng buộc mục tiêu công thêm lệnh để khởi chạy phần mềm độc hại hoặc thu thập thơng tin mật khẩu  Honey trap: Đây là kiểu công đó các social engineering giả vờ người “hấp dẫn” để tương tác với người trực tuyến hoặc giả mạo mối quan hệ trực tuyến thu thập thông tin nhạy cảm thông qua mối quan hệ đó 130  Tailgating: Tailgating, gọi piggybacking hình thức công mà kẻ công xâm nhập vào tòa nhà bảo vệ cách theo dõi đó có thẻ vào tòa nhà đó Cuộc công giả định người có quyền bước vào tòa nhà đó sẽ giữ cửa mở cho người đứng sau họ (giả sử họ phép làm điều ở đó)  Rogue: Phần mềm Rogue loại phần mềm độc hại, lừa mục tiêu toán để loại bỏ phần mềm độc hại giả mạo Các chuyên gia bảo mật khuyến cáo phận công nghệ thông tin phải thường xuyên tiến hành kiểm tra để tránh thâm nhập có sử dụng kỹ thuật social engineering Điều sẽ giúp quản trị viên hệ thống thơng tin tìm hiểu loại người dùng nào có nguy cao loại công cụ thể, đồng thời xác định yêu cầu đào tạo bổ sung cho nhân viên của Đào tạo nâng cao nhận thức về an toàn và bảo mật thơng tin có thể có ích việc ngăn chặn công social engineering Nếu người biết hình thành nên cơng social engineering chúng có khả thực điều gì, họ sẽ có khả trở thành nạn nhân Trong phạm vi hẹp, tổ chức, doanh nghiệp phải có cổng truy cập email và web an toàn để quét email chứa liên kết độc hại lọc chúng ra, nhằm làm giảm khả các nhân viên sẽ truy cập vào liên kết không an toàn đó Luôn cập nhật sửa lỗi phần mềm thiết bị quan trọng, theo dõi các nhân viên chuyên xử lý thông tin nhạy cảm kích hoạt biện pháp xác thực nâng cao cho họ 3.4 TỔNG KẾT CHƯƠNG Chương đã trình bày các nguy xuất gây an tồn bảo mật thơng tin hệ thống thông tin của tổ chức, doanh nghiệp bao gồm mối đe dọa, kiểu công và các xu hướng gây an toàn cho thông tin hệ thống thông tin của tổ chức, doanh nghiệp 131 Các mối đe dọa phân loại dựa nhiều tiêu chí khác Trong giáo trình này, mối đe dọa phân loại theo ba nhóm: từ thiết bị phần cứng, từ phần mềm từ người Các kiểu công gây an tồn bảo mật thơng tin phân chia dựa nhiều tiêu chí, giáo trình kiểu công chia thành công thụ động công chủ động Chương trình bày số xu hướng công công mạng, công vào mật khẩu kiểu mới, cơng dựa kỹ nghệ xã hội CÂU HỎI ƠN TẬP VÀ BÀI TẬP CHƯƠNG I CÂU HỎI ÔN TẬP Tấn cơng vào HTTT gì? Trình bày kịch của công vào HTTT? Có thể phân loại hình thức cơng vào HTTT theo tiêu chí nào? Hãy trình bày hình thức cơng vào HTTT theo tiêu chí đó? Mối đe dọa gì? Phân loại giải thích mối đe dọa gây an tồn thông tin hệ thống thông tin của tổ chức, doanh nghiệp? Trình bày khái niệm, đặc điểm lấy ví dụ minh họa về cơng thụ động? Trình bày khái niệm, đặc điểm lấy ví dụ minh họa về công chủ động? Tấn cơng từ chối dịch vụ gì? Trình bày phân loại kiểu công từ chối dịch vụ nay? Tấn công thăm dò thường thực nào? Vì cơng thăm dò lại trở nên phổ biến? Hãy giải thích Tấn cơng truy cập gì? Vì hệ thống mạng doanh nghiệp mạng Internet phát triển cơng truy cập càng tăng nhanh? Hãy giải thích 132 II BÀI TẬP TÌNH HUỐNG Bài tập 1: Cho tình sau đây: Tháng 10/2013 Adobe công bố việc hãng bị thất thoát liệu bởi tin tặc Cụ thể, có đến 2,9 triệu thông tin cá nhân từ tài khoản bị đánh cắp từ mạng Internet (bao gồm tên đăng nhập, mật khẩu, tên thật, số thẻ tín dụng ngày hết hạn) Ngay sau đó, tệp liệu này tin tặc công khai Internet với số khủng lên đến 150 triệu tài khoản cá nhân bị đánh cắp (trong đó có 38 triệu tài khoản còn hoạt động) Tuy bị thất thoát bên ngoài may mắn thông tin tài khoản ngân hàng Adobe mã hóa từ trước đó nên chủ yếu thông tin tài khoản mật mạng xã hội bị lộ mạng Internet Adobe bị công đánh cắp thông tin không thông tin khách hàng họ mà bị đánh cắp liệu bảo mật sản phẩm thương mại Theo thống kê sau công từ mạng Internet xảy ra, Adobe bị đánh cắp đến 40 GB liệu mã nguồn Trong đó toàn mã nguồn sản phẩm ColdFusion bị đánh cắp công khai Internet, phần mã nguồn Acrobat Reader cả Photoshop bị công khai trang web (Theo https://trendmicro.ctydtp.vn/) Hãy trả lời câu hỏi sau đây: Hãy liệt kê kiểu công mà Adobe đã gặp phải? Xác định mối đe dọa lỗ hổng mà Adobe cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Theo bạn mối đe dọa lỗ hổng mà Adobe gặp phải phòng tránh hoàn toàn khơng? Hãy giải thích Bài tập 2: Cho tình sau đây: 133 Vào tháng năm 2014, ngân hàng tín dụng Hàn Quốc (KCB) bị tin tặc lấy cắp thơng tin 100 triệu thẻ tín dụng và 20 triệu tài khoản ngân hàng Thêm vào đó, số ngân hàng Hàn Quốc chịu thiệt hại thêm triệu khách hàng lo sợ thông tin cá nhân bị lộ nên họ đến ngân hàng để hủy thẻ hoặc đổi sang ngân hàng khác an toàn Nguyên nhân cảnh sát phát hiện có nhân viên ngân hàng đánh cắp thông tin cá nhân khách hàng cơng ty thẻ tín dụng sau đó chép toàn liệu đó vào ổ cứng Cuối rao bán liệu cho ngân hàng khác công ty tiếp thị qua điện thoại Điều làm cho kẻ công ý tổ chức đánh cắp tồn thơng tin thẻ tín dụng (Theo https://trendmicro.ctydtp.vn/) Hãy trả lời câu hỏi sau đây: Hãy liệt kê kiểu công mà ngân hàng tín dụng Hàn Quốc (KCB) đã gặp phải? Xác định mối đe dọa lỗ hổng mà ngân hàng tín dụng Hàn Quốc cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Theo bạn mối đe dọa lỗ hổng mà ngân hàng tín dụng Hàn Quốc gặp phải phòng tránh hoàn toàn khơng? Hãy giải thích Vì cơng social engineering khó phòng tránh? Trường hợp cơng vào ngân hàng tín dụng Hàn Quốc nói có coi cơng social engineering hay khơng? Hãy giải thích? 134 ... QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1. 1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1. 1 .1 Khái niệm an tồn bảo mật thơng tin 19 1. 1.2 Lịch sử phát triển của an toàn bảo mật thơng... tin 19 /11 /2 015 điện tử mạng 2 9-2 018 /QH14 Q́c hội Luật An tồn thơng tin Luật Bảo vệ bí mật Nhà nước 15 /11 /2 018 24/2 018 /QH14 Q́c hội Luật Viễn thông, CNTT, Luật An ninh mạng Điện tử 12 /06/2 018 ... trọng quốc gia Việt Nam (Nguồn: Cục An toàn thông tin, 12 -2 017 ) 1. 2 MỤC TIÊU VÀ U CẦU CỦA AN TỒN VÀ BẢO MẬT THƠNG TIN 1. 2 .1 Mục tiêu an tồn và bảo mật thơng tin Đảm bảo an tồn bảo mật thơng

Ngày đăng: 15/07/2022, 14:15

Xem thêm: Giáo trình An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội (Chủ biên)