Giáo trình An toàn và bảo mật thông tin được biên soạn nhằm cung cấp kiến thức về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin. Giáo trình kết cấu gồm 7 chương và chia thành 2 phần, phần 1 trình bày những nội dung về: tổng quan an toàn và bảo mật thông tin; quy trình đảm bảo an toàn và bảo mật thông tin; các kiểu tấn công và các mối đe dọa đối với an toàn và bảo mật thông tin;... Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI THUONGMAI UNIVERSITY Chủ biên: PGS.TS Đàm Gia Mạnh - TS Nguyễn Thị Hội AN TOÀN VÀ BẢO MẬT THÔNG TIN LỜI NÓI ĐẦU Từ xưa đến nay, thông tin loại tài sản quý giá có vai trò quan trọng cá nhân, tổ chức, quốc gia Trong lĩnh vực hoạt động nào của đời sống xã hội, việc nắm bắt thông tin cách nhanh chóng, kịp thời và chính xác giúp cho tổ chức, cá nhân có chiến lược hoạt động đắn, giúp họ đứng vững phát triển trước thay đổi thường xuyên của thị trường đời sống xã hội Với phát triển mạnh mẽ của công nghệ thông tin và đặc biệt là của mạng Internet, người đã có môi trường thuận lợi để có thể nắm bắt thông tin cách nhanh chóng tạo khả trao đổi thông tin dễ dàng Tuy nhiên, ngoài mang lại lợi ích to lớn, mạng Internet còn tiềm ẩn nó nhiều nguy mối hiểm họa Đó chính là công vào chính hệ thống thông tin qua mạng Internet với mục đích không tốt đẹp, gây an toàn thông tin, làm ảnh hưởng đến toàn hoạt động của tổ chức, cá nhân và có thể gây tổn hại đến lợi ích kinh tế uy tín của tổ chức, cá nhân Sự gia tăng không ngừng và ngày càng tinh vi của các hành động xâm phạm vào thông tin của các cá nhân, tổ chức gây an toàn của thông tin là vấn đề nóng, nan giải rình rập, đe dọa, đặt các chủ thể thông tin trước hội và thách thức, rủi ro Vì vậy, đảm bảo an tồn và bảo mật thơng tin có vai trò quan trọng chiến lược phát triển bền vững của quốc gia, tổ chức cá nhân Giáo trình “An toàn và bảo mật thông tin” này biên soạn theo chương trình học phần “An toàn và bảo mật thông tin doanh nghiệp” thuộc chương trình đào tạo ngành Hệ thống thông tin kinh tế Hiệu trưởng Trường Đại học Thương mại phê chuẩn ngày 22 tháng 12 năm 2017 Hiệu trưởng phê duyệt làm tài liệu thức dùng cho giảng dạy, học tập ở Trường Đại học Thương mại Đối tượng phục vụ của giáo trình là sinh viên đại học chính quy chuyên ngành Quản trị Hệ thống thông tin và chuyên ngành Quản trị Thương mại điện tử của Trường Đại học Thương mại Ngoài ra, giáo trình dùng cho sinh viên đại học chính quy thuộc các chuyên ngành khác của Trường Đại học Thương mại và có ích cho muốn tìm hiểu vận dụng kiến thức về đảm bảo an toàn và bảo mật thông tin đời sống, hoạt động sản xuất, kinh doanh Giáo trình gồm chương, trình bày về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin hệ thống thông tin, bao gồm các nội dung: xác định và nhận dạng các rủi ro, các nguy gây an toàn và bảo mật thông tin; phân tích, đánh giá và đo lường các nguy (bao gồm các giải pháp khắc phục hậu rủi ro gây ra); giám sát rủi ro, lựa chọn giải pháp khắc phục hậu quả, thực đảm bảo an toàn và bảo mật thông tin Tuy nhiên, với đối tượng quản trị là thông tin - dạng “tài nguyên” mặc dù có thể đo lường và đánh giá lại là “phi vật chất”, nên quá trình trình bày, có nội dung của hoạt động quản trị rủi ro trình bày kết hợp đồng thời, chẳng hạn nhận dạng và đo lường, nhận dạng và đánh giá, giám sát, Với cách làm này, hy vọng sẽ giúp nâng cao khả vận dụng cho người đọc thực tiễn hoạt động đảm bảo an toàn và bảo mật thông tin của mình Để sử dụng giáo trình này, bạn đọc cần có kiến thức tối thiểu vể Tin học giảng dạy ở tất các trường đại học Giáo trình PGS, TS Đàm Gia Mạnh và TS Nguyễn Thị Hội làm chủ biên, phân công biên soạn sau: PGS, TS Đàm Gia Mạnh biên soạn các chương 1, 2, 3; TS Nguyễn Thị Hội biên soạn các chương 4, 5, 6, PGS, TS Đàm Gia Mạnh tổng hợp chỉnh sửa thảo Trong trình biên soạn, các tác giả đã tham khảo nhiều tài liệu của các nhà khoa học trong, ngoài nước và đã nhận ý kiến đóng góp quí báu của tập thể giảng viên Bộ môn Công nghệ thông tin, của Hội đồng khoa học Khoa Hệ thống thông tin kinh tế và Thương mại điện tử của Trường Đại học Thương mại và số nhà khoa học và ngoài Trường Tập thể tác giả xin chân thành cảm ơn tất người đã nêu Mặc dù các tác giả đã cố gắng, giáo trình khó tránh khỏi hạn chế thiếu sót nội dung diễn giải Vì vậy, tác giả mong nhận ý kiến nhận xét của bạn đọc để tiếp tục hoàn thiện nội dung giáo trình lần xuất sau Ý kiến đóng góp xin gửi theo địa chỉ: Bộ môn Công nghệ thông tin, Trường Đại học Thương mại, email: bmcntt@tmu.edu.vn TẬP THỂ TÁC GIẢ MỤC LỤC Lời nói đầu Danh mục từ viết tắt 13 Danh mục bảng biểu 15 Danh mục hình vẽ 17 Chương 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 19 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN 19 1.1.1 Khái niệm an tồn bảo mật thông tin 19 1.1.2 Lịch sử phát triển của an tồn bảo mật thơng tin 23 1.1.3 Vai trị của an tồn bảo mật thơng tin 24 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THÔNG TIN 27 1.2.1 Mục tiêu của an tồn và bảo mật thơng tin 27 1.2.2 u cầu cho an toàn và bảo mật thông tin 28 1.2.3 Các nguyên tắc an toàn và bảo mật thông tin 30 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thông tin 31 1.3 AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO 39 1.3.1 Tổng quan về rủi ro và quản trị rủi ro 39 1.3.2 Tổng quan về rủi ro cho thông tin và quản trị rủi ro hệ thống thông tin 42 1.3.3 Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn và bảo mật thơng tin 47 1.4 CHÍNH SÁCH, PHÁP ḶT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 48 1.4.1 Các sách an toàn và bảo mật thơng tin Việt Nam 48 1.4.2 Các sách an toàn và bảo mật thông tin giới 53 1.5 TỔNG KẾT CHƯƠNG 64 Câu hỏi ôn tập thảo luận chương 65 Chương 2: QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN 69 2.1 QUY TRÌNH CHUNG 70 2.1.1 Xác định, nhận dạng các nguy gây mất an toàn và bảo mật thông tin 70 2.1.2 Phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 71 2.1.3 Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin 72 2.1.4 Giám sát an toàn và bảo mật thông tin 72 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 73 2.2.1 Khái niệm và tầm quan trọng của nhận dạng các nguy 73 2.2.2 Phân loại các nguy gây mất an toàn và bảo mật thông tin 74 2.2.3 Phương pháp nhận dạng các nguy gây mất an toàn và bảo mật thông tin 76 2.3 PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 86 2.3.1 Giới thiệu 86 2.3.2 Những vấn đề phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 87 2.4 KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THƠNG TIN 91 2.4.1 Quy trình kiểm soát 91 2.4.2 Chiến lược kiểm soát 92 2.5 TỔNG KẾT CHƯƠNG 94 Câu hỏi ôn tập bài tập chương 95 Chương 3: CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN 97 3.1 CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THƠNG TIN 97 3.1.1 Mới đe dọa từ các thiết bị phần cứng 99 3.1.2 Mối đe dọa từ phần mềm 100 3.1.3 Mối đe dọa từ người 103 3.2 CÁC KIỂU TẤN CÔNG GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 104 3.2.1 Kịch của tấn công 104 3.2.2 Tấn công thụ động 107 3.2.3 Tấn công chủ động 111 3.2.4 Tấn công từ chối dịch vụ 114 3.2.5 Một số kiểu tấn công khác 119 3.3 XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN VÀ BẢO MẬT THƠNG TIN 125 3.3.1 Thay đởi xu hướng tấn công mạng 125 3.3.2 Tấn công phá mã mật 127 3.3.3 Tấn công Social Engineering 128 3.4 TỔNG KẾT CHƯƠNG 131 Câu hỏi ôn tập bài tập chương 132 Chương 4: MÃ HĨA THƠNG TIN 135 4.1 TỔNG QUAN VỀ MÃ HÓA 135 4.1.1 Khái niệm hệ mã hóa 135 4.1.2 Vài nét về lịch sử mã hóa 138 4.1.3 Vai trị của mã hóa quy trình mã hóa 140 4.1.4 Các u cầu của hệ mã hóa 140 4.1.5 Các kỹ thuật phá mã phở biến 142 4.2 HỆ MÃ HĨA ĐỐI XỨNG 144 4.2.1 Khái niệm về hệ mã hóa đối xứng 144 4.2.2 Ưu điểm và nhược điểm của hệ mã hóa đối xứng 145 4.2.3 Các hệ mã hóa đối xứng cổ điển 146 4.2.4 Hệ mã hóa đối xứng đại 154 4.3 HỆ MÃ HĨA KHƠNG ĐỐI XỨNG 159 4.3.1 Khái niệm về hệ mã hóa không đối xứng 159 4.3.2 Ưu điểm và nhược điểm của hệ mã hóa khơng đới xứng 162 4.3.3 Hệ mã hóa RSA 164 4.3.4 Một số hệ mã hóa không đối xứng khác khác 167 4.4 HÀM BĂM 169 4.4.1 Khái niệm về hàm băm 169 4.4.2 Các phương pháp tạo hàm băm 170 4.4.3 Một số hàm băm thông dụng 171 3.2.5.2 Tấn công liên kết chéo (XSS cross - site scripting) XSS lỗ hổng bảo mật khai thác nhiều thời gian gần Nó lợi dụng lỗi của trình duyệt Internet việc thực thi các đoạn Script để chèn thêm đoạn mã Script nguy hiểm vào các trang Web động XSS cho phép kẻ công chèn đoạn mã vào Link của đường dẫn, để thực thi trình duyệt của người dùng, dẫn đến việc Cookies, mật khẩu, Session hay thậm chí lây nhiễm Virus Lỗi XSS xảy trang web nhận liệu từ người dùng hiển thị lại hình Ví dụ trang tìm kiếm liệu thông thường hiển thị đoạn ký tự mà người dùng nhập vào kèm theo kết tìm kiếm Nếu kẻ cơng khơn ngoan thay xâu tìm kiếm đoạn mã Script, gửi cho nạn nhân Chỉ cần Click chuột vào đoạn Script đó, nạn nhân đã thực thi đoạn mã Script độc cung cấp cho kẻ công thông tin có ích máy Cookies hay mật khẩu Các lỗi XSS ngăn chặn biện pháp kiểm tra thay liệu trước Bằng cách này, các đoạn mã Script bị vơ hiệu hóa trở thành các đoạn văn bình thường Hình 3.9 Tấn cơng liên kết chéo XSS (Nguồn https://ssl.vn/) 120 3.2.5.3 Tấn công nhử mồi (Phishing) Phishing hay cịn gọi là “tấn cơng nhử mồi” là hành vi đánh cắp “thông tin nhạy cảm” mật khẩu, chi tiết thẻ tín dụng, cách giả mạo người tin cậy hoặc doanh nghiệp với nhu cầu thực cần thiết về thông tin Hình thức cơng này thường thực thơng qua loại thư hoặc thông báo điện tử Lợi dụng tin tưởng của người sử dụng, kẻ công khiến họ nhấn chuột vào đường link nguy hiểm hoặc gửi thông tin quan trọng Hình 3.10 Tấn cơng Phishing (Nguồn https://www.cloudflare.com/) Cảnh báo của hãng bảo mật trực tuyến Panda Software cho biết, loại hình phising tỏ hiệu vì chúng không gửi qua E-mail - phương thức Phising mà người dùng có ý thức cảnh giác, mà hiển thị địa trang Web (giả mạo) tìm kiếm cách cơng cụ Google, Yahoo, Những trang Web lừa đảo kiểu này thường yêu cầu khách hàng nhập thông tin cá nhân, bao gồm số thẻ tín dụng Và thơng tin này gửi đi, thường có bảng báo lỗi xuất hiện, 121 thông báo giao dịch không thành công thực chất tất chúng đã chuyển tới hòm thư của kẻ lừa đảo Tấn công nhử mồi hành vi cố gắng gian lận nhận “thông tin nhạy cảm” mật khẩu, chi tiết thẻ tín dụng, bởi giả mạo người tin cậy hoặc doanh nghiệp với nhu cầu thực cần thiết về thông tin thông điệp điện tử hoặc thư, thơng báo điện tử Đó là hình thức công kỹ thuật xã hội 3.2.5.4 Tấn công Pharming Một dạng tội phạm kỹ thuật số bắt đầu bùng phát mang tên “Pharming” Nó có tác dụng chuyển hướng người tìm kiếm trang Web dạng.com đến các trang Web độc hại kẻ công điều khiển Hình 3.11 Tấn cơng Pharming (Nguồn: http://Internet pharming.yolasite.com/pharming.php) Các công kỹ thuật pharming về mục đích tương tự các công kỹ thuật phishing, kỹ thuật công Pharming không cần đến các “con chim mồi” là các e-mail khuyến dụ người dùng truy cập vào trang Web lừa đảo Các công 122 pharming vừa bắt đầu gia tăng tháng vừa qua và thức xem kỹ thuật giúp cho bọn tội phạm kỹ thuật số gia tăng công lực thu thập thông tin cá nhân của người dùng nhằm vào mục đích tội phạm Vào đầu tháng 3/2020 vừa qua, ISC đã ghi nhận 900 địa Internet với 75.000 thông điệp e-mail đã bị dẫn hướng đến các địa Web lạc điệu 3.2.5.5 Tấn công SQL injection SQL injection, còn gọi SQLi, sử dụng lỗ hổng kênh đầu vào (input) của website để nhắm mục tiêu vào sở liệu nằm phần phụ trợ của ứng dụng web, nơi lưu giữ thông tin nhạy cảm có giá trị Chúng kẻ công sử dụng để ăn cắp hoặc xáo trộn liệu, cản trở hoạt động của ứng dụng trường hợp xấu nhất, chiếm quyền truy cập quản trị vào máy chủ sở liệu Dưới là bạn cần biết về công SQL Injection cách bảo vệ website của bạn khỏi chúng Các công SQL Injection thực cách gửi lệnh SQL độc hại đến máy chủ sở liệu thông qua yêu cầu của người dùng mà website cho phép Bất kỳ kênh input nào có thể sử dụng để gửi lệnh độc hại, bao gồm thẻ, chuỗi truy vấn (query strings), cookie tệp tin Với vài thủ thuật, kẻ cơng thêm tài khoản xóa hoặc sửa đổi thông tin của tài khoản người dùng có Cùng cách cơng sử dụng để lấy cắp hồ sơ và thông tin của người dùng chúng không bị giới hạn cho khách truy cập hoặc để thay đổi nội dung hồ sơ Trong các trường hợp nghiêm trọng hơn, kết nối với máy chủ sở liệu thực thông qua tài khoản quản trị (như “root” MySQL hoặc “sa” MS SQL Server), kẻ cơng sâu vào hệ điều hành của máy chủ Kẻ công sử dụng lỗ hổng SQL injection để lúc tạo tài khoản người dùng máy chủ bị xâm nhập, kích hoạt tính Remote Desktop, cài đặt thư mục chia sẻ SMB tải phần mềm 123 độc hại - việc làm rối tung thứ đã lưu trữ sở liệu 3.2.5.6 Gian lận nhấp chuột Gian lận nhấp chuột (Click Fraud) thuật ngữ để hành động dùng phần mềm chuyên dụng hoặc thuê nhân công giá rẻ để Click liên tục vào (hoặc nhiều) Banner (hay Logo, Link, quảng cáo tìm kiếm quảng bá mạng nhằm tạo thành công giả tạo của chiến dịch quảng cáo Ở Việt Nam, Click Fraud là lo ngại lớn doanh nghiệp có nhu cầu quảng cáo trực tuyến, khiến họ cân nhắc nhiều (thậm chí từ chối thẳng thừng) nhận lời mời quảng cáo trực tuyến Click Fraud đặc biệt gây nhiều thiệt hại cho doanh nghiệp sử dụng dịch vụ quảng cáo Online chọn cách trả tiền quảng cáo theo số lượng cú nhấp chuột vào quảng cáo của họ số lượng Click lớn, số tiền họ phải trả nhiều Những cá nhân có hiềm khích hay có ý đồ xấu với doanh nghiệp nào đó có thể thực Click Fraud, nghĩa bấm liên tục vào quảng cáo của doanh nghiệp cạnh tranh để làm thâm hụt tài của doanh nghiệp đối thủ Ở Việt Nam, Click Fraud đã xuất khẳng định là đã bước vào giai đoạn phổ biến Những nhân công thuê với giá rẻ để làm công việc này còn cộng đồng gọi đùa tên chung "Chuyên viên ấn F5" Tuy nhiên, hành động gian lận thương mại ở Việt Nam dừng ở mức nhằm tạo hiệu giả tạo cho chiến dịch quảng cáo hoặc tạo lượng hits visitor giả tạo cho website để làm sở mời gọi doanh nghiệp quảng cáo website Cách tốn tiền quảng cáo tính theo số lượng nhấp chuột chưa phổ biến ở Việt Nam nên việc thực Click Fraud làm thâm hụt tài của doanh nghiệp chưa xảy Mặc dù vậy, gian lận thương mại điện tử, đặc biệt Click Fraud, nỗi ám ảnh lớn cho các doanh nghiệp 124 3.3 XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN VÀ BẢO MẬT THƠNG TIN 3.3.1 Thay đởi xu hướng tấn công mạng Hiện nay, xu hướng công gây an tồn bảo mật thơng tin sử dụng công cụ kết hợp để công vào hệ thống mạng của tổ chức, doanh nghiệp (cyber-attack) Ngồi kiểu cơng đã trình bày trọng mục 3.2, kiểu công còn biết đến kiểu công công thăm dò công truy cập 3.3.1.1 Tấn công thăm dò (Reconnaissance attack) Trong sống, thường thì trước đột nhập, kẻ công phải thăm dò, quan sát mục tiêu tìm các điểm sơ hở Tương tự vậy công mạng kiểu thăm dò, kẻ công sẽ thu thập thông tin về hệ thống định công (nạn nhân), dịch vụ chạy, lỗ hổng Các công cụ mà kẻ công thường sử dụng kiểu cơng cơng cụ chặn bắt gói tin (packet sniffer) quét cổng (port scannner) Là hình thức cơng nhằm thu thập thơng tin về hệ thống mục tiêu, từ đó phát các điểm yếu, công thám thường dùng để làm bàn đạp cho công truy cập hoặc công từ chối dịch vụ về sau Cách thức mà kẻ công tiến hành sau: Đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân có địa IP nào hoạt động Sau đó kẻ công sẽ kiểm tra dịch vụ chạy, cổng mở địa IP tìm thấy ở Cơng cụ mà kẻ công thường sử dụng ở bước Nmap, ZenMap Sau xác định cổng mở, kẻ công sẽ gửi truy vấn tới cổng này để biết thông tin về phần mềm, hệ điều hành chạy Sau có tay thơng tin này, kẻ cơng sẽ tìm cách khai thác lỗ hổng tồn hệ thống đó Kẻ cơng có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực việc khai thác lỗ hổng để tránh bị phát 125 Để công thăm dò, kẻ cơng thường dùng cơng cụ: Tìm hiểu thơng tin từ Internet: Khi kẻ công muốn công mạng tổ chức, công ty, nó sẽ tìm hiểu xem tổ chức hay cơng ty đó có sở hữu website có tên miền là gì Sau đó kẻ công sẽ sử dụng công cụ tìm kiếm để truy vấn thơng tin về chủ sở hữu tên miền, địa (địa lý) gắn với tên miền đó Thêm nữa, truy sở hữu địa IP tên miền gắn với địa IP Ping sweep Port scan: Là công cụ dùng để phát lỗ hổng thiết bị hệ thống Các công cụ sẽ kiểm tra thông tin về địa IP, cổng, hệ điều hành, phiên hệ điều hành, liệu cổng TCP UDP Kẻ công sử dụng thông tin cho mục đích công Ping sweep kỹ thuật quét dải địa IP để phát xem có thiết bị nào sở hữu địa IP dải đó Cơng cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất các địa IP dải chờ đợi gói tin ICMP echo reply phản hồi từ thiết bị Port scan công cụ quét cổng Mỗi dịch vụ chạy máy đều gắn với cổng (well-known port) Công cụ quét cổng sẽ quét dải cổng để phát xem cổng nào lắng nghe yêu cầu Nguyên lý gửi tin đến cổng chờ đợi phản hồi Nếu có phản hồi từ cổng nào đó tức cổng đó sử dụng Kẻ công sẽ sử dụng kết hợp công cụ theo nguyên lý: truy vấn thông tin Internet để lấy thông tin về địa IP của tên miền mà muốn công Tiếp đó dùng công cụ ping sweep để quét tìm máy hoạt động Tiếp theo sử dụng công cụ port scan để lấy thông tin về cổng dịch vụ hoạt động các máy Sau đó kẻ công tiếp tục rà sốt dịch vụ này để tìm điểm yếu khai thác 3.3.1.2 Tấn cơng truy cập (Access attack) Tấn công truy cập hay công xâm nhập thường khai thác lỗ hổng của hệ thống thông tin của nạn nhân Các lỗ hổng này thường là: lỗ hổng dịch vụ xác thực, dịch vụ FTP, dịch vụ web Sau khai 126 thác lỗ hổng, kẻ cơng sẽ có qùn truy cập vào tài khoản web, sở liệu liệu nhạy cảm khác Kiểu công này thường đa dạng về hình thức có điểm chung kẻ công thường dùng từ điển để đoán mật khẩu Tấn công xâm nhập thuật ngữ rộng miêu tả kiểu công nào đòi hỏi người xâm nhập lấy quyền truy cập trái phép của hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền Thông thường chia thành hai nhóm: Tấn cơng truy nhập hệ thống là hành động nhằm đạt quyền truy cập bất hợp pháp đến hệ thống mà ở đó kẻ cơng khơng có tài khoản sử dụng; công truy nhập thao túng liệu là công mà kẻ xâm nhập đọc, viết, xóa, chép hay thay đổi liệu 3.3.2 Tấn công phá mã mật Tấn công phá mã mật khẩu (Hack Password) hình thức cơng khơng mới, nhiên nó gây khơng phiền tối cho người dùng cá nhân tổ chức, doanh nghiệp Trong số trường hợp, gây thiệt hại lớn cho tổ chức, doanh nghiệp nằm cơng APT quy mơ lớn Có dạng công phá mã mật khẩu phổ biến: Tấn cơng dị mật (Brute Force Attack): Kẻ cơng sử dụng cơng cụ mạnh, có khả thử nhiều username password lúc (từ dễ đến khó) đăng nhập thành công Ví dụ: đặt mật khẩu đơn giản 123456, password123, daylamatkhau, dễ bị công brute force Tấn công từ điển (Dictionary Attack): Là biến thể của Brute Force Attack, nhiên thay phải dò thử tất khả năng, kẻ công nhằm vào từ có nghĩa Trên thực tế, nhiều người dùng có xu hướng đặt mật khẩu từ đơn giản chẳng hạn motconvit, iloveyou, Đây là lý khiến Dictionary Attack có tỉ lệ thành cơng cao Key Logger Attack (tấn công Key Logger): Đúng tên gọi của nó, kiểu cơng này, tin tặc lưu lại lịch sử phím mà nạn nhân gõ, bao gồm ID, Password hay nhiều nội dung khác Tấn công Key 127 Logger nguy hiểm cách công trên, việc đặt mật khẩu phức tạp không giúp ích gì trường hợp này Để công, tin tặc sử dụng phần mềm độc hại (Malware) đính kèm vào máy tính (hoặc điện thoại) nạn nhân, phần mềm đó sẽ ghi lại tất ký tự mà nạn nhân nhập vào máy tính gửi về cho kẻ công Trên dạng cơng mật khẩu trực tiếp Ngồi ra, tin tặc cơng gián tiếp thơng qua việc lừa đảo người dùng tự cung cấp mật khẩu (như hình thức công giả mạo Phishing), tiêm nhiễm Malware, công vào sở liệu - kho lưu trữ mật khẩu người dùng của dịch vụ, 3.3.3 Tấn công Social Engineering Social Engineering (Kỹ nghệ xã hội) kiểu công dựa vào tương tác của người và thường liên quan đến việc thao túng việc cách phá vỡ quy trình bảo mật thơng thường, truy cập vào hệ thống thông tin, hệ thống mạng để đạt lợi ích tài Kẻ công sử dụng kỹ thuật Social engineering để che giấu danh tính động thực của chúng vẻ của nguồn thông tin hoặc cá nhân đáng tin cậy Mục tiêu ảnh hưởng, thao túng hoặc lừa người dùng từ bỏ thông tin đặc quyền hoặc quyền truy cập tổ chức Ví dụ, kẻ cơng giả vờ đồng nghiệp có vấn đề khẩn cấp nào đó, đòi hỏi phải truy cập vào tài nguyên mạng bổ sung Social engineering chiến thuật phổ biến của tin tặc vì khai thác điểm yếu của người dùng sẽ dễ dàng là tìm lỗ hổng của mạng hoặc phần mềm Tin tặc thường sử dụng chiến thuật Social engineering là bước chiến dịch lớn để thâm nhập vào hệ thống hoặc mạng và ăn cắp liệu nhạy cảm hoặc phân tán malware Social engineering nghệ thuật điều khiển người để họ tiết lộ thơng tin bí mật Các loại thông tin mà bọn tội phạm tìm kiếm khác nhau, thường cá nhân bị nhắm làm mục tiêu, bọn tội phạm thường cố lừa người đó cung cấp mật khẩu, thông tin ngân hàng hoặc cách truy cập máy tính để cài đặt phần mềm độc hại Social 128 engineering sử dụng nhiều chiến thuật khác để thực công Bước hầu hết công social engineering kẻ công sẽ thực nghiên cứu khảo sát về mục tiêu Ví dụ, mục tiêu doanh nghiệp, kẻ công thu thập thơng tin tình báo về cấu trúc nhân viên, hoạt động nội bộ, thuật ngữ chung sử dụng ngành và các đối tác kinh doanh, Một chiến thuật phổ biến của social engineering tập trung vào hành vi mơ hình của nhân viên cấp thấp có khả tiếp cận trước tiên, chẳng hạn nhân viên bảo vệ hoặc nhân viên tiếp tân Tin tặc quét profile mạng xã hội của người đó để biết thông tin nghiên cứu hành vi của họ Từ đó, kẻ cơng thiết kế công dựa thông tin thu thập khai thác điểm yếu phát giai đoạn khảo sát Nếu công thành cơng, tin tặc có qùn truy cập vào liệu nhạy cảm - chẳng hạn thẻ tín dụng hoặc thông tin ngân hàng để kiếm tiền từ mục tiêu hoặc có quyền truy cập vào hệ thống hay mạng bảo vệ Các loại công Social Engineering phổ biến bao gồm: Baiting: Baiting hình thức công mà kẻ công để lại thiết bị vật lý bị nhiễm phần mềm độc hại, chẳng hạn ổ flash USB, ở nơi chắn sẽ tìm thấy Sau đó, người tìm thấy sẽ sử dụng thiết bị đó, kết nối thiết bị với máy tính của vơ tình đã làm cho máy tính của người dùng bị nhiễm phần mềm độc hại Phishing: Phishing hình thức công mà kẻ công gửi email lừa đảo cải trang thành email hợp pháp (thường giả mạo từ nguồn đáng tin cậy) Thông điệp nhằm lừa người nhận chia sẻ thông tin cá nhân hay thơng tin tài hoặc nhấp vào liên kết có cài đặt phần mềm độc hại Spear Phishing: Spear phishing là kiểu công giống Phishing thiết kế riêng cho cá nhân hoặc tổ chức cụ thể 129 Vishing: Vishing còn gọi lừa đảo giọng nói việc tin tặc sử dụng social engineering qua điện thoại để thu thập thông tin cá nhân thông tin tài từ mục tiêu cơng (Xem thêm: Những "ngón nghề" lừa đảo qua điện thoại) Pretexting: Pretexting kiểu ấn công sử dụng trường hợp kẻ công muốn truy cập vào liệu đặc qùn Ví dụ, vụ lừa đảo pretexting liên quan đến việc kẻ công giả vờ cần liệu cá nhân hoặc thông tin tài chính để xác nhận danh tính của người nhận Scareware: Scareware liên quan đến việc lừa nạn nhân nghĩ máy tính của bị nhiễm phần mềm độc hại hoặc vơ tình tải xuống nội dung bất hợp pháp Kẻ công sau đó cung cấp cho nạn nhân giải pháp để khắc phục vấn đề khơng có thật này Trong thực tế, nạn nhân đơn giản bị lừa tải xuống và cài đặt phần mềm độc hại của kẻ công Water-holing: Một công water-holing kẻ công thực cố gắng để thỏa hiệp với nhóm người cụ thể cách lây nhiễm phần mềm độc hại vào trang web mà họ thường truy cập vào hoặc tin tưởng Diversion theft: Trong loại công này, social engineering sẽ lừa công ty giao hàng hoặc chuyển phát nhanh nhận hoặc giao sai vị trí, đó ngăn chặn giao dịch thực Quid pro quo: Quid pro quo công đó social engineering giả vờ cung cấp cái gì đó để đổi lấy thông tin hoặc hỗ trợ của mục tiêu cơng Ví dụ, kẻ công chọn ngẫu nhiên số điện thoại tổ chức giả vờ gọi lại để hỗ trợ kỹ thuật Cuối cùng, kẻ cơng sẽ tìm thấy người có vấn đề liên quan đến công nghệ giả vờ giúp đỡ Thơng qua điều này, kẻ cơng buộc mục tiêu công thêm lệnh để khởi chạy phần mềm độc hại hoặc thu thập thơng tin mật khẩu Honey trap: Đây là kiểu công đó các social engineering giả vờ người “hấp dẫn” để tương tác với người trực tuyến hoặc giả mạo mối quan hệ trực tuyến thu thập thông tin nhạy cảm thông qua mối quan hệ đó 130 Tailgating: Tailgating, gọi piggybacking hình thức công mà kẻ công xâm nhập vào tòa nhà bảo vệ cách theo dõi đó có thẻ vào tòa nhà đó Cuộc công giả định người có quyền bước vào tòa nhà đó sẽ giữ cửa mở cho người đứng sau họ (giả sử họ phép làm điều ở đó) Rogue: Phần mềm Rogue loại phần mềm độc hại, lừa mục tiêu toán để loại bỏ phần mềm độc hại giả mạo Các chuyên gia bảo mật khuyến cáo phận công nghệ thông tin phải thường xuyên tiến hành kiểm tra để tránh thâm nhập có sử dụng kỹ thuật social engineering Điều sẽ giúp quản trị viên hệ thống thơng tin tìm hiểu loại người dùng nào có nguy cao loại công cụ thể, đồng thời xác định yêu cầu đào tạo bổ sung cho nhân viên của Đào tạo nâng cao nhận thức về an toàn và bảo mật thơng tin có thể có ích việc ngăn chặn công social engineering Nếu người biết hình thành nên cơng social engineering chúng có khả thực điều gì, họ sẽ có khả trở thành nạn nhân Trong phạm vi hẹp, tổ chức, doanh nghiệp phải có cổng truy cập email và web an toàn để quét email chứa liên kết độc hại lọc chúng ra, nhằm làm giảm khả các nhân viên sẽ truy cập vào liên kết không an toàn đó Luôn cập nhật sửa lỗi phần mềm thiết bị quan trọng, theo dõi các nhân viên chuyên xử lý thông tin nhạy cảm kích hoạt biện pháp xác thực nâng cao cho họ 3.4 TỔNG KẾT CHƯƠNG Chương đã trình bày các nguy xuất gây an tồn bảo mật thơng tin hệ thống thông tin của tổ chức, doanh nghiệp bao gồm mối đe dọa, kiểu công và các xu hướng gây an toàn cho thông tin hệ thống thông tin của tổ chức, doanh nghiệp 131 Các mối đe dọa phân loại dựa nhiều tiêu chí khác Trong giáo trình này, mối đe dọa phân loại theo ba nhóm: từ thiết bị phần cứng, từ phần mềm từ người Các kiểu công gây an tồn bảo mật thơng tin phân chia dựa nhiều tiêu chí, giáo trình kiểu công chia thành công thụ động công chủ động Chương trình bày số xu hướng công công mạng, công vào mật khẩu kiểu mới, cơng dựa kỹ nghệ xã hội CÂU HỎI ƠN TẬP VÀ BÀI TẬP CHƯƠNG I CÂU HỎI ÔN TẬP Tấn cơng vào HTTT gì? Trình bày kịch của công vào HTTT? Có thể phân loại hình thức cơng vào HTTT theo tiêu chí nào? Hãy trình bày hình thức cơng vào HTTT theo tiêu chí đó? Mối đe dọa gì? Phân loại giải thích mối đe dọa gây an tồn thông tin hệ thống thông tin của tổ chức, doanh nghiệp? Trình bày khái niệm, đặc điểm lấy ví dụ minh họa về cơng thụ động? Trình bày khái niệm, đặc điểm lấy ví dụ minh họa về công chủ động? Tấn cơng từ chối dịch vụ gì? Trình bày phân loại kiểu công từ chối dịch vụ nay? Tấn công thăm dò thường thực nào? Vì cơng thăm dò lại trở nên phổ biến? Hãy giải thích Tấn cơng truy cập gì? Vì hệ thống mạng doanh nghiệp mạng Internet phát triển cơng truy cập càng tăng nhanh? Hãy giải thích 132 II BÀI TẬP TÌNH HUỐNG Bài tập 1: Cho tình sau đây: Tháng 10/2013 Adobe công bố việc hãng bị thất thoát liệu bởi tin tặc Cụ thể, có đến 2,9 triệu thông tin cá nhân từ tài khoản bị đánh cắp từ mạng Internet (bao gồm tên đăng nhập, mật khẩu, tên thật, số thẻ tín dụng ngày hết hạn) Ngay sau đó, tệp liệu này tin tặc công khai Internet với số khủng lên đến 150 triệu tài khoản cá nhân bị đánh cắp (trong đó có 38 triệu tài khoản còn hoạt động) Tuy bị thất thoát bên ngoài may mắn thông tin tài khoản ngân hàng Adobe mã hóa từ trước đó nên chủ yếu thông tin tài khoản mật mạng xã hội bị lộ mạng Internet Adobe bị công đánh cắp thông tin không thông tin khách hàng họ mà bị đánh cắp liệu bảo mật sản phẩm thương mại Theo thống kê sau công từ mạng Internet xảy ra, Adobe bị đánh cắp đến 40 GB liệu mã nguồn Trong đó toàn mã nguồn sản phẩm ColdFusion bị đánh cắp công khai Internet, phần mã nguồn Acrobat Reader cả Photoshop bị công khai trang web (Theo https://trendmicro.ctydtp.vn/) Hãy trả lời câu hỏi sau đây: Hãy liệt kê kiểu công mà Adobe đã gặp phải? Xác định mối đe dọa lỗ hổng mà Adobe cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Theo bạn mối đe dọa lỗ hổng mà Adobe gặp phải phòng tránh hoàn toàn khơng? Hãy giải thích Bài tập 2: Cho tình sau đây: 133 Vào tháng năm 2014, ngân hàng tín dụng Hàn Quốc (KCB) bị tin tặc lấy cắp thơng tin 100 triệu thẻ tín dụng và 20 triệu tài khoản ngân hàng Thêm vào đó, số ngân hàng Hàn Quốc chịu thiệt hại thêm triệu khách hàng lo sợ thông tin cá nhân bị lộ nên họ đến ngân hàng để hủy thẻ hoặc đổi sang ngân hàng khác an toàn Nguyên nhân cảnh sát phát hiện có nhân viên ngân hàng đánh cắp thông tin cá nhân khách hàng cơng ty thẻ tín dụng sau đó chép toàn liệu đó vào ổ cứng Cuối rao bán liệu cho ngân hàng khác công ty tiếp thị qua điện thoại Điều làm cho kẻ công ý tổ chức đánh cắp tồn thơng tin thẻ tín dụng (Theo https://trendmicro.ctydtp.vn/) Hãy trả lời câu hỏi sau đây: Hãy liệt kê kiểu công mà ngân hàng tín dụng Hàn Quốc (KCB) đã gặp phải? Xác định mối đe dọa lỗ hổng mà ngân hàng tín dụng Hàn Quốc cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Theo bạn mối đe dọa lỗ hổng mà ngân hàng tín dụng Hàn Quốc gặp phải phòng tránh hoàn toàn khơng? Hãy giải thích Vì cơng social engineering khó phòng tránh? Trường hợp cơng vào ngân hàng tín dụng Hàn Quốc nói có coi cơng social engineering hay khơng? Hãy giải thích? 134 ... QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1. 1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1. 1 .1 Khái niệm an tồn bảo mật thơng tin 19 1. 1.2 Lịch sử phát triển của an toàn bảo mật thơng... tin 19 /11 /2 015 điện tử mạng 2 9-2 018 /QH14 Q́c hội Luật An tồn thơng tin Luật Bảo vệ bí mật Nhà nước 15 /11 /2 018 24/2 018 /QH14 Q́c hội Luật Viễn thông, CNTT, Luật An ninh mạng Điện tử 12 /06/2 018 ... trọng quốc gia Việt Nam (Nguồn: Cục An toàn thông tin, 12 -2 017 ) 1. 2 MỤC TIÊU VÀ U CẦU CỦA AN TỒN VÀ BẢO MẬT THƠNG TIN 1. 2 .1 Mục tiêu an tồn và bảo mật thơng tin Đảm bảo an tồn bảo mật thơng