BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH MARKETING KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN AN TOÀN THÔNG TIN TÌM HIỂU VỀ MICROSOFT THREAT MODEL TOOL GIẢNG VIÊN HƯỚNG DẪN TS TRƯƠNG THÀNH CÔNG SINH VIÊN THỰC HÀNH: NGUYỄN THU HẰNG.
BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH MARKETING KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO ĐỒ ÁN AN TỒN THƠNG TIN TÌM HIỂU VỀ MICROSOFT THREAT MODEL TOOL GIẢNG VIÊN HƯỚNG DẪN: TS TRƯƠNG THÀNH CÔNG SINH VIÊN THỰC HIỆN: NGUYỄN THU HẰNG MÃ SỐ SINH VIÊN: 1921006685 LỚP HP: 2111112002701 Tp Hồ Chí Minh, tháng 12 năm 2021 BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH MARKETING KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO ĐỒ ÁN AN TỒN THƠNG TIN TÌM HIỂU VỀ MICROSOFT THREAT MODEL TOOL GIẢNG VIÊN HƯỚNG DẪN: TS TRƯƠNG THÀNH CÔNG SINH VIÊN THỰC HIỆN: NGUYỄN THU HẰNG MÃ SỐ SINH VIÊN: 1921006685 LỚP HP: 2111112002701 Tp Hồ Chí Minh, tháng 12 năm 2021 LỜI CẢM ƠN Đầu tiên, cho em gởi lời cảm ơn đến thầy cô, người mang đến cho em đề tài này, hội để thân em nói riêng bạn sinh viên khoa Cơng Nghệ Thơng Tin nói chung có dịp vận dụng kiến thức học trường vào thực tiễn Em xin chân thành cảm ơn giúp đỡ thầy cô trường Đại Học Tài Chính Marketing Nhất thầy khoa Cơng Nghệ Thông Tin Cho em gởi lời cảm ơn đến thầy Trương Thành Cơng- người tận tính giúp đỡ, hướng dẫn cách tận tình hướng để phát triển đề tài để em hoàn thành báo cáo Và gởi lời cảm ơn đến bạn nhiệt huyết giúp đỡ, nhận xét, đóng góp ý kiến cho thời gian thực đề tài Mặc dù cố gắng tìm tịi học hỏi thiếu sót điều khơng thể tránh khỏi, mong nhận xét góp ý thầy bạn bè Trân trọng cảm ơn NHẬN XÉT ĐÁNH GIÁ CỦA GIẢNG VIÊN TRƯƠNG THÀNH CÔNG DANH MỤC CÁC TỪ VIẾT TẮT TỪ VIẾT TẮT Ý NGHĨA ATBMTT An tồn bảo mật thơng tin CSDL Cơ sở liệu HTTT Hệ thống thông tin TMT Microsoft Threat Modeling Tool PASTA Process for Attack Simulation andanhThreat Analysis XH Xã Hội LAN Local Area Network DFD Data Flow Diagram DB Database DANH MỤC THUẬT NGỮ ANH – VIỆT THUẬT NGỮ TIẾNG ANH Ý NGHĨA Information system Hệ thống thông tin E-business Kinh doanh Internet Information System Security An tồn hệ thống thơng tin Process for Attack Simulation Quy trình mơ cơng phân andanhThreat Analysis tích mối đe dọa Developer Người phát triển A program manager Một người quản lý chương trình E banking dịch vụ ngân hàng điện tử DFD Sơ đồ luồng liệu Internet Hệ thống chia sẻ thông tin toàn cầu DANH MỤC BẢNG Bảng 3.1 Yêu cầu với hệ điều hành cài đặt 28 Bảng 3.2 •Threat model section .32 Bảng 3.3 Tenplate Section .33 Bảng 3.4 Bảng danh mục nhãn menu .34 Bảng 3.5 Danh mục biểu tượng menu 35 Bảng 3.6 Danh mục thành phần Stencil 37 Bảng 3.7 Danh mục thành phần ghi chú/ tin nhắn 37 Bảng 3.8 Danh mục thuộc tính phần tử .38 Bảng 3.9 Danh mục tính lựa chọn mối đe dọa tạo .42 Bảng 3.10 Danh mục thể loại categories biện pháp giảm nhẹ 54 DANH MỤC HÌNH Hình 2.1 Mơ hình CIA .7 Hình 2.2 Tấn cơng từ chối dịch vụ DoS Hình 2.3 Mơ hình ba an ninh 10 Hình 2.4 Các bước ATBM thông tin 12 Hình 2.5 Tấn cơng DoS DDoS 13 Hình 2.6 Thơng báo khó hiểu cho người dùng 16 Hình 2.7 Thơng báo ngắn gọn dễ hiểu cho người dùng 16 Hình 2.8 Mơ hình mối đe dọa STRIDE 20 Hình 2.9 Minh họa cách thức hỏa động Spoofing 21 Hình 2.10 Ảnh hưởng STTRIDE đên thuộc tính bảo mật 23 Hình 3.1 Các bước lập mơ hình mối đe dọa 30 Hình 3.2 Màn hình Microsoft Threat Model Tool 31 Hình 3.3 Thanh điều hướng Microsoft Threat Modeling Tool 33 Hình 3.4 Thả công cụ vào canvas 36 Hình 3.5 Chọn giấy nến 36 Hình 3.6 Biểu tượng Feedback, suggestions, and issues 38 Hình 3.7 Element Properties vẽ (trước) 39 Hình 3.8 Element Properties thuộc tính (sau) 40 Hình 3.9 Thơng bán lỗi chưa kết nối luồng liệu 40 Hình 3.10 Chuyển sang dạng xem phân tích 41 Hình 3.11 Thay đổi mức độ ưu tiên mối đe dọa .42 Hình 3.12 Cửa sổ chi tiết mối đe dọa để sửa đổi .43 Hình 3.13 Danh sách mối đe dọa dựa mơ hình STRIDE hệ thống 44 Hình 3.14 Tương tác hai giấy nến- Stencils 44 Hình 3.15 Thơng tin bổ sung mối đe dọa cửa số Threat Properties 45 Hình 3.16 Báo cáo mẫu mối đe dọa dựa theo sơ đồ luồng liệu .47 Hình 3.17 Giao diện mô tả trực quan luồng liệu .48 Hình 3.18 Mẫu hiển thị luồng liệu 49 Hình 3.19 Xác định Luồng liệu HTTPS 50 Hình 3.20 Chế độ xem phân tích 50 Hình 3.21 Xác định xem mối đe dọa có u cầu giảm thiểu hay khơng 51 Hình 3.22 Nhập lời biện minh cho việc thay đổi trạng thái đe dọa 52 Hình 3.23 Chọn điều kiện lọc với STRIDE Category Denial of Service 55 Hình 3.24 Xóa điều kiện lọc mối đe dọa hệ thống 55 Hình 3.25 Báo cáo mối đe dọa mẫu 56 Hình 3.26 Tạo danh sách mối đe dọa dạng csv chọn export csv 57 Hình 3.27 Threat List xuất dạng csv mở Excel 57 Hình 3.28 Các phần tử sơ đồ luồng liệu, biểu tượng mô tả 58 Hình 4.1 SMS OTP phương thức gửi mã xác thực OTP thông qua SMS 63 Hình 4.2 Sơ đồ tổng quan cấu trúc đơn giản E-Banking System 64 Hình 4.3 Hệ thống luồng liệu ngân hàng trực tuyến 67 Hình 4.4 Trích dẫn danh sách mối đe dọa tạo tự động 69 Hình 4.5 Chi tiết chọn mối đe dọa .70 Hình 4.6 Threat Modeling Report hệ thống ngân hàng trực tuyến 71 Hình 4.7 Report- Báo cáo mối đe dọa (1) .72 Hình 4.8 Report- Báo cáo mối đe dọa (2) .72 Hình 4.9 Danh sách mối đe dọa dạng csv tạo công cụ .73 Hình 4.10 Ngân Hàng Trực Tuyến ACB Online sử dụng giao thức HTTPS 74 Hình 4.11 E-banking ngân hàng Vietinbank .75 Hình 4.12 Lưu sơ đồ luồng liệu mơ hình hóa 76 MỤC LỤC CHƯƠNG TỔNG QUAN 1.1 Tổng quan đề tài 1.2 Phạm vi đề tài 1.3 Đối tượng nghiên cứu 1.4 Phương pháp nghiên cứu CHƯƠNG CƠ SỞ LÝ THUYẾT 2.1 Tổng quan an tồn thơng tin 2.1.1 Khái niệm an tồn thơng tin 2.1.2 Mơ hình hệ thống thơng tin 2.2 Những yêu cầu an toàn bảo mật HTTT 2.2.1 Mơ hình CIA 2.2.1.1 Tính bí mật (Confidentiality) 2.2.1.2 Tính toàn vẹn (Integrity) 2.2.1.3 Tính sẵn sàng (Availability) 2.2.1.4 Các chức khác 2.2.2 Mơ hình ba an ninh 2.2.2.1 Sự ngăn chặn 10 2.2.2.2 Sự phát 10 2.2.2.3 Sự phản ứng 10 2.3 Mục tiêu an toàn bảo mật HTTT 11 2.4 Các bước ATBM thông tin 11 2.4.1 Xác định mối đe dọa (threat) 12 2.4.2 Lựa chọn sách bảo mật (security policy) 13 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng Hình 4.5 Chi tiết chọn mối đe dọa Yếu tố khách hàng chọn làm ví dụ cho trường hợp giả mạo, giả sử hầu hết khách hàng ngân hàng biết đến báo chí đưa tin rộng rãi trường hợp lừa đảo vài năm qua Được hỗ trợ loạt câu hỏi hướng dẫn cung cấp công cụ số mối đe dọa giả mạo biện pháp giảm nhẹ tương ứng xác định Kỹ thuật xã hội phương pháp lừa đảo để có chứng nhận dạng cách bất hợp pháp chi tiết xác thực người dùng, ví dụ: tên người dùng, mật khẩu, mã giao dịch, rủi ro cao trường hợp Phần mềm độc hại Screen- Keylogger truy xuất lạm dụng chi tiết xác thực Đánh cắp vật lý yếu tố xác thực, ví dụ người dùng viết thông tin, phần cứng bị mã thông báo người dùng bị buộc phải tiết lộ thông tin, mối đe dọa khác xác định Từ chối thêm vào thứ nguyên, đây, trách nhiệm pháp lý trường hợp gian lận, đầu vào người dùng khơng xác với tác động tài tiêu cực tiềm ẩn, cần xem xét Ví dụ cho việc Giả mạo, sở liệu xác thực kiểm tra chặt chẽ Kẻ cơng truy cập trực tiếp vào sở liệu xác thực cách sử dụng cấu hình khơng hỗ trợ thực thi mã máy chủ web kết nối với sở liệu sau xem, giả mạo lưu trữ liệu có sở liệu này, ví dụ: tên tài khoản mật Việc Từ chối, Tiết lộ thông tin mối đe dọa từ chối dịch vụ áp dụng cho yếu tố này, tệp nhật ký bị thay đổi bị xóa, bên trái phép xem thơng tin tệp sở liệu bị xóa cửa hàng hết dung lượng Điều cho thấy vô số mối đe dọa áp dụng cho phần tử lưu trữ liệu hệ thống Bởi tất luồng liệu kết nối với sở liệu xác thực vượt qua ranh giới tin cậy (đường vẽ màu đỏ gạch nối), chúng phải xem đặc biệt quan trọng bảo mật, trái ngược với Trang 70 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng sở liệu trang web công cộng, nơi tất luồng liệu kết nối nằm ranh giới tin cậy Để mở rộng ví dụ từ chối loại mối đe dọa, kết mơ hình mối đe dọa cho sở liệu giao dịch có chứa liệu quan trọng trình bày chi tiết Các mối đe dọa cụ thể việc danh mục bao gồm việc thay đổi chi tiết giao dịch có lợi cho đối thủ sửa đổi tệp nhật ký kết nối đến cố Nếu có vấn đề chung với tài liệu giao dịch hệ thống tệp nhật ký, mối đe dọa khác phát sinh từ quản trị viên sở liệu cố ý vô ý thay đổi liệu theo cách có hại, chứng vấn đề trường hợp xung đột với khách hàng dẫn đến từ Hình 4.6 Threat Modeling Report hệ thống ngân hàng trực tuyến Trang 71 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng Hình 4.7 Report- Báo cáo mối đe dọa (1) Hình 4.8 Report- Báo cáo mối đe dọa (2) Và ta xuất thêm file tệp dạng csv cách thực mục 3.3.5 tạo báo cáo dạng PDF csv Ta có kết sau: Trang 72 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng Hình 4.9 Danh sách mối đe dọa dạng csv tạo công cụ 4.4 Giảm thiểu mối đe dọa Việc xác định liệt kê mối đe dọa cần phải bổ sung cách đánh giá tồn mức độ mối đe dọa (các hình từ 4.5 đến 4.7) Trích dẫn danh sách mối đe dọa tạo tự động thực biện pháp giảm thiểu có liên quan, khơng nguy gây mối đe dọa định khơng ước tính cách xác Nhìn vào mối đe dọa điển hình từ phần trước, xác định số biện pháp giảm thiểu hầu hết ngân hàng đưa thực tương lai Các mối đe dọa giả mạo chống lại yếu tố khách hàng giảm nhẹ cách tránh bề mặt cơng kỹ thuật xã hội, ví dụ: thơng qua trình tạo mật ngẫu nhiên thay mật đơn giản, đồng thời cung cấp chương trình đào tạo nhận thức người dùng Các cơng phần mềm độc hại giảm thiểu cách sử dụng bảo vệ chống vi-rút phần mềm gián điệp hệ thống ngân hàng trực tuyến chống lại công này, ví dụ: bàn phím ảo ký tự chọn ngẫu nhiên từ mật bí mật Việc mát đánh cắp thơng tin xác thực giảm thiểu số khuyến nghị bảo mật cho người dùng thiết kế bảo mật không khuyến khích bạo lực người dùng Các công theo dõi mật người dùng giảm thiểu cách ẩn mật giai đoạn đầu vào thực thi việc sử dụng mật mạnh Việc từ chối giai đoạn giải cách sử dụng sách khả thi để xử lý gian lận xung đột khác tệp nhật ký tự động cho Trang 73 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng tất hành động người dùng Trong hầu hết ngân hàng áp dụng số biện pháp khứ, vấn đề từ chối vấn đề bảo mật từ phía khách hàng tồn Để khắc phục mối đe dọa từ chối sở liệu, chống lại yếu tố khác hệ thống ngân hàng trực tuyến, cần phải thiết lập sở ghi nhật ký tồn diện cung cấp mức độ chứng thích hợp trường hợp gian lận xung đột Vì mối đe dọa thường dựa việc giả mạo trước đó, nên trình giám sát tham chiếu, danh sách kiểm soát truy cập (ACL) biện pháp giảm thiểu đề cập mối đe dọa giả mạo, giúp đảm bảo an ninh Các yêu cầu pháp lý chức kiểm toán nội ngân hàng ảnh hưởng đến biện pháp phòng ngừa thực bối cảnh Việc tiết lộ thông tin liệu truyền qua luồng liệu giảm thiểu cách sử dụng giao thức chuẩn SSL / TLS chứng SSL xác thực mở rộng tổ chức chứng nhận cụ thể cung cấp để xác định xác trang web ngân hàng Hầu hết ngân hàng nước giới sử dụng biện pháp HTTPS cho toàn tảng web họ Và ngân hàng việt nam Hình 4.10 Ngân Hàng Trực Tuyến ACB Online sử dụng giao thức HTTPS Trang 74 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng Hình 4.11 E-banking ngân hàng Vietinbank Điều cho thấy tầm quan trọng mơ hình hóa mối đe dọa việc giảm thiểu rủi ro hoạt động, quản lý rủi ro chung, cung cấp dịch vụ chất lượng cao liên tục trình học hỏi, cải tiến đổi liên tục tập đoàn ngân hàng Bảo vệ chống lại mối đe dọa đặc quyền đạt thông qua hệ thống xác thực tinh vi với xác thực hai yếu tố, yếu tố xác thực mạnh hai bước riêng biệt để nhận dạng xác thực giao dịch 4.5 Xác minh đảm bảo mơ hình Sau hồn thành q trình mơ hình hóa mối đe dọa, chất lượng, độ xác hiệu mơ hình cần xác nhận Cần phải đặt câu hỏi liệu tất mối đe dọa tiềm ẩn xác định cách xác mức độ giảm thiểu chúng đánh giá xác hay chưa Đảm bảo mơ hình mối đe dọa đại diện cho đối tác giới thực cách thực tế đảm bảo kết thu từ q trình mơ hình hóa mối đe dọa chuyển thành kế hoạch sửa đổi nắm bắt, hành động hiệu để cải thiện an ninh hệ thống tổng thể Kết mơ hình mối đe dọa xác thực sở tuyệt vời để bảo vệ khoản đầu tư cần thiết cho bảo mật hệ thống trước cấp vai trị quản lý, cơng nghệ bảo mật Sau hồn thành vẽ xong tiến hành lưu mơ hình chọn File > Save as > đặt tên tệp >ok Trang 75 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng Hình 4.12 Lưu sơ đồ luồng liệu mơ hình hóa Bằng cách cung cấp thêm thông tin khả xảy công định kịch cụ thể, cơng hiểu phương pháp luận có cấu trúc để phân tích bảo mật hệ thống với góc nhìn khác so với công cụ TMT Sau kiến trúc hệ thống, mối đe dọa tiềm ẩn mục tiêu công phân tích TMT cơng cụ thay nào, cơng có giá trị cao để bổ sung cho kết mơ hình mối đe dọa 4.6 Đánh giá mối đe dọa hệ thống ngân hàng trực tuyến qua kết báo cáo Trong bối cảnh cụ thể ngân hàng điện tử, mơ hình mối đe dọa giúp theo kịp tốc độ đổi nhanh chóng, để xác định lỗ hổng tiềm ẩn tránh khai thác chúng Nguy mô hình hóa liên quan trực tiếp đến an ninh nội vi phạm để trì hồ sơ mối đe dọa cập nhật ngân hàng nỗ lực chung ngành xem xét Bảo vệ biện pháp phương pháp xác thực áp dụng đánh giá tác động thay đổi dự kiến trúc Trang 76 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng an ninh sách, kiến trúc hệ thống phương pháp xác thực mơ Cuối cùng, câu hỏi khả so sánh các phương pháp công cụ để lập mô hình mối đe dọa liên quan đến hiệu hiệu lực Dựa thiếu nghiên cứu lĩnh vực, chất nguồn gốc phương pháp, so sánh trực tiếp có ý nghĩa chứng minh khó khăn kết khơng mang lại kết có giá trị cao học viên cộng đồng nghiên cứu Tại thời điểm thời gian, trường hợp, điều thay mâu thuẫn với khác, phương pháp mơ hình hóa mối đe dọa bổ sung cho với tiêu điểm, quan điểm phạm vi khác nhau, nhóm mục tiêu kịch Các hệ thống mơ hình hóa mối đe dọa tương lai cần phấn đấu cho thích nghi, chung chung tồn diện khuôn khổ khả dịch dẫn đến định bảo mật dựa rủi ro Dựa báo cáo cách tổng quan mối đe dọa xảy với hệ thống mà công cụ phát hiện, nhà phát triển dựa vào để xây dựng biện pháp bảo mật an tồn thơng tin, liệu cho hệ thống Tránh để hệ thống bị đối tượng công gây ảnh hưởng làm gián đoạn phá hỏng công suất làm việc chúng Tuy nhiên dựa vào báo mối đe dọa khơng chưa đủ, bảo vệ tiêu chí hệ thống bảo mật cần có người tham gia dự án có nhìn bao qt, sâu rộng vấn đề đánh cắp, làm giả thông tin, … liên tục cập nhật thông tin bảo mật giới ngày phát triển XH kèm theo bùng nổ thời đại công nghệ số Làm cho kẻ đe dọa có nhiều hình thức cơng tinh vi không sớm phát ngăn chặn từ ban đầu khởi chạy thử nghiệm dự án 4.7 Thảo luận kết luận Sau xem xét ngun tắc mơ hình mối đe dọa, làm rõ tình trạng ứng dụng thực tế quy trình vào nghiên cứu điển hình ngân hàng trực tuyến sử dụng cơng cụ TMT Nó coi tóm tắt Trang 77 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng phản ánh phát trước đó, tập hợp loạt nhận thức quan trọng mơ hình mối đe dọa chứng minh lập luận nêu trước Tầm quan trọng chung trường hợp mơ hình hóa mối đe dọa, tiến hành công cụ phần mềm hay không, số lượng cố ngày tăng vi phạm bảo mật, gian lận tài liệu năm gần đây, đòi hỏi hành vi chủ động phản ứng chậm mối đe dọa có liên quan Ở đây, đánh giá trừu tượng, có hệ thống bảo mật hệ thống cho phép phát sớm lỗi kiến trúc, lỗi logic vấn đề thiết kế khác, giảm chi phí thời gian cho việc sửa chữa chúng, việc sửa lỗ hổng chứng minh tốn giai đoạn đầu phát triển Các ngân hàng tập đoàn khác yêu cầu phương pháp đánh giá định lượng chứng minh bảo mật hệ thống để tích hợp quy trình bảo mật vào quy trình hoạt động tổng thể họ để biện minh cho định đầu tư bảo mật họ bối cảnh nội bên ngồi Cùng dịng suy nghĩ, vấn đề quy định yêu cầu pháp lý ngân hàng liên quan đến Bằng cách làm việc với danh sách mối đe dọa dựa STRIDE công cụ TMT, người dùng biết vơ số mối đe dọa áp dụng cho phần tử, mối đe dọa dựa vào hệ mối đe dọa định ảnh hưởng đến nhiều phần hệ thống Tài liệu mục đích giáo dục thực trình thực xác định mối đe dọa quy trình mơ hình hóa mối đe dọa có hướng dẫn Tuy nhiên, cơng cụ TMT phân tích mức độ giảm thiểu mối đe dọa tạo điều kiện thuận lợi, khơng sử dụng hệ thống đánh giá tổng thể để định mức độ ưu tiên mức độ nguy hiểm cho mối đe dọa Một vấn đề quan trọng khác mơ hình mối đe dọa có hỗ trợ phần mềm nhận thức đắn giá trị, khả giới hạn - công cụ trợ giúp có giá trị, chúng khơng tạo mơ hình mối đe dọa hồn hảo, tùy chỉnh từ đầu, yêu cầu đầu vào diễn giải hợp lý Trang 78 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng giai đoạn sau Việc xác nhận mơ hình khả phản ánh mẫu giới thực cần thiết, nhiên, việc xác định yếu tố đảm bảo chất lượng chung cho mơ hình Sự phát triển lĩnh vực mơ hình mối đe dọa đã chứng nhận bao gồm vịng đời phát triển nhanh, hợp lý thay đổi hệ thống có khả ảnh hưởng đến bảo mật hệ thống Trong bối cảnh này, việc sử dụng cơng cụ mơ hình hóa mối đe dọa mang lại hội sử dụng lại khả tái tạo kết quả, làm cho chúng độc lập với cá nhân có sẵn tồn tổ chức Trong bối cảnh cụ thể ngân hàng điện tử, mơ hình mối đe dọa giúp theo kịp tốc độ đổi nhanh chóng, để xác định lỗ hổng tiềm ẩn tránh khai thác chúng Mối đe dọa mơ hình hóa liên quan trực tiếp đến an ninh nội vi phạm để trì hồ sơ mối đe dọa cập nhật ngân hàng nỗ lực chung ngành xem xét Bảo vệ Các biện pháp phương pháp xác thực áp dụng đánh giá tác động thay đổi dự kiến bảo mật sách, kiến trúc hệ thống phương pháp xác thực mơ Tóm lại, đánh giá q cao tầm quan trọng mối đe dọa mơ hình hóa khơng thể Trong tự nhiên xảy cách không cấu trúc hầu hết công ty, cách tiếp cận có cấu trúc cung cấp loạt lợi Trong trường hợp cơng cụ TMT, buộc người dùng phải suy nghĩ mối đe dọa tiềm ẩn, dạy họ bảo mật ghi lại nỗ lực này, làm cho chúng tái sản xuất tiếp cận với nhiều người dùng Các công cụ khác với tiêu điểm khác phù hợp với mục tiêu khác nhóm bổ sung kết nhau, tính đến độ phức tạp quy trình Sự phức tạp đặt thách thức với mô hình hóa mối đe dọa, sử dụng cơng cụ, phụ thuộc vào kỹ người dùng, việc tìm kiếm hệ thống đánh giá mối đe dọa liên quan phương pháp đảm bảo chất lượng không thành công vào thời điểm khơng trọng tâm mơ hình mối đe dọa cơng cụ bao gồm tất khía cạnh bảo mật hệ thống thời điểm Điều khơng có nghĩa phương pháp mơ hình hóa mối đe dọa Trang 79 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng không mang lại kết thú vị, thông qua việc sử dụng trực tuyến nghiên cứu tình ngân hàng Nó đơn thực hóa, mối đe dọa mơ hình hóa khái niệm cụ thể cho thấy phát triển thời gian tồn ngắn ngủi, nhiều lĩnh vực quan tâm đến lĩnh vực cần khám phá chia sẻ nhà nghiên cứu chuyên gia tương lai Ví dụ, điều bao gồm cách tiếp cận thức q trình mơ hình hóa, khái niệm để tích hợp vào tổ chức, phát triển phương pháp đảm bảo chất lượng cho mơ hình mối đe dọa, ý tưởng cho cộng sinh có lợi phương pháp cơng cụ khác nhau, mà cịn khái niệm giáo dục phạm vi bảo hiểm chung bao gồm ví dụ để nâng cao nhận thức mơ hình mối đe dọa Trang 80 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng CHƯƠNG KẾT LUẬN 5.1 Tổng kết đồ án Thông qua báo cáo phần trên, em trình bày, thực thực tế công cụ Microsoft Threat Model Tool để thực hóa mối đe dọa mà hệ thống ngân hàng trực tuyến E-Banking gặp phải nhiều phần khác Đồ án kết thúc mơn học An Tồn Thơng Tin với đề tài “Tìm hiểu Microsoft Threat Model Tool” đạt kết sau: 5.1.1 Ưu điểm Về lý thuyết đồ án trình bày hiểu được: - Nền tảng lý thuyết mơn học an tồn thơng tin liệu cá nhân, máy tính, thành phần tác động bên bên sơ đồ liệu hệ thống - Khái niệm an toàn thơng tin, mơ hình HTTT Các bước để bảo mật hệ thống thông tin, nguyên tắc xây dựng Khái niệm an tồn thơng tin, mơ hình CIA, cơng, mục đích nó, mối đe dọa, đặc biệt mơ hình STRIDE vận dụng đồ án - Trình bày cơng cụ Microsoft Threat Model Tool gì, chức cơng cụ, cách xây dựng mơ hình để thực mối đe dọa Cách cài đặt bắt đầu vẽ hệ thống cụ thể muốn mơ hình hóa mối đe dọa Về thực thi, đồ án tiến hành: - Xây dựng mơ hình hệ thống ngân hàng trực tuyến đơn giản công cụ Microsoft Threat Model Tool - Nắm cách vẽ thành phần hệ thống muốn trình bày, nối, chuyển sang chế độ đọc mối đe dọa, lọc, tạo báo cáo PDF, tạo danh sách mối đe dọa dạng Excel có csv (được đính kèm thư mục đồ án này) - Phân tích số mối đe dọa tiêu biểu mà hệ thống gặp phải, tạo báo cáo tổng quan Threat Trang 81 Tìm hiểu Microsoft Threat Model Tool - Nguyễn Thu Hằng Tạo báo cáo tổng quan Threat xảy mơ hình đó, cách đọc, cách biện minh thực biện pháp bảo vệ mơ hình liệu dựa đe dọa - Nêu biện pháp nâng cao bảo mật thực tế, phân tích mối đe dọa thực tế mà hệ thống ngân hàng trực tuyến có khả gặp phải phát hành Internet 5.1.2 Nhược điểm - Các khái niệm thông tin nâng cao ATTT chưa nắm mơ hồ - Chưa phân tích số đe dọa phức tạp, cần có kỹ nghiệp vụ để hiểu rõ chất hệ thống - Chưa đề phương pháp khắc phục mối đe dọa với hệ thống bám sát thực tế, biện pháp chưa kịp thời cập nhật công nghệ đại giới - Trong q trình phân tích nặng tính lý thuyết, lệch hướng trình bày - Mới xây dựng mơ hình luồng liệu mức bản, chưa phức tạp, không phù hợp với hệ thống triển khai thực tế - Một số chức năng, tính tích hợp nâng cao, mở rộng cơng cụ cập nhật chưa thực đồ án 5.2 Hướng phát triển đồ án Sau thực đề án mơn học An Tồn Thơng Tin tìm hiểu cơng cụ mơ hình hóa mối đe dọa Microsoft Model Toos em có hướng để phát triển thêm với đồ án: - Tiếp tục tìm hiểu, tham khảo tài liệu, liệu liên quan đến việc bảo mật An Tồn Thơng Tin, biện pháp bảo vệ thông tin trước công an ninh mạng Trang 82 Tìm hiểu Microsoft Threat Model Tool - Nguyễn Thu Hằng Cập nhật phương pháp, hành động bảo vệ thông tin nhất, xu bảo mật thông tin đánh cao chuyên gia từ trài nghiệm người dùng để kịp thời cập nhật kiến thức kịp với Thế Giới - Tham khảo tài liệu hướng dẫn sử dụng cơng cụ mơ hình hóa mối đe dọa khơng Microsft Threat Model Tool mà thêm nhiều công cụ khác - Tìm hiểu cách xây dựng mơ hình luồng liệu hệ thống phức tạp nay: hệ thống Thanh Tốn Trực Tuyến (Credit Card, ví điện tử MoMo), sàn giao dịch Chứng Khoán, Cổ Phiếu (hacker can thiệp trực tiếp sửa đổi số liệu ảo khoảng thời gian làm cho người chơi thua lỗ), hệ thống quản lý Do Nghiệp, Trường Học, Cơ Quan Nhà Nước, … - Cập nhật phiên Microsft Threat Model Tool trang chủ sau nhận đánh giá tích cực người dùng khắp Quốc Gia Mặc dù cố gắng đồ án khơng thể tránh khỏi sai sót nhầm lẫn, mong Thầy có góp ý để em rút kinh nghiệm tiến hành sửa chữa kịp thời để có cho kiến thức vơ q giá Trang 83 Tìm hiểu Microsoft Threat Model Tool Nguyễn Thu Hằng TÀI LIỆU THAM KHẢO [1] TS Trương Thành Công (2021) Slide mơn An Tồn Thơng Tin, khoa CNTT, Trường Đại Học Tài Chính- Marketing, TP.HCM [2] Caroline Mưckel andanhAli E Abdallah, Understanding the Value and Potential of Threat Modeling for Application Security Design, Tạp chí Đảm bảo An ninh Thông tin, United Kingdom 2011 ISSN 1554-1010 Volume (2011) pp 346 -356 [3] Microsoft Threat Modeling Tool 2016 Getting StartedanhGuide, Microsoft [4] Võ Đào Thị Hồng Tuyết & Nguyễn Ngọc Kim Phương (2020) Giáo trình mơn học An Tồn Bảo Mật Hệ Thống Thơng Tin, Trường Cao Đẳng Kinh Tế Kỹ Thuật TP.HCM, TP.HCM [5] Nguyễn Khanh Văn (2014) Giáo trình Cơ Sở An Tồn Thơng Tin, Đại Học Bách Khoa Hà Nội, Hà Nội [6] Tong Xin Ban Xiaofang (2014) International Journal of Security andanhIts Applications, ,Cục đánh giá hệ thống thông tin Công nghệ thông tin Trung Quốc, Trung tâm Đánh giá An ninh, Bắc Kinh, Trung Quốc [7] A Shostack “Experiences Threat Modeling at Microsoft” Modeling Security Workshop, Toulouse, 2008 [8] RedTeam Pentesting Man-in-the-Middle Attacks against the chipTAN comfort Online Banking System, https://www.redteam-pentesting.de/en/seeing-your-network-from-the-attackers-perspective [9] https://docs.microsoft.com/en-us/azure/security/develop/threat-modelingtool-feature-overview [10] UK Finance Fraud - The Facts 2021: https://www.ukfinance.org.uk/policyand-guidance/reports-publications/fraud-facts-2021 Trang 84 ... thống thông tin liệu chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ làm gián đoạn thông tin hoạt đọng hệ thống An tồn thơng tin liên quan đến hai khía cạnh an tồn mặt vật lý an toàn. .. nhiều thông tin tài nguyên cần bảo vệ Trong tổ chức, thông tin tài nguyên liệu kế tốn, thơng tin nguồn nhân lực, thơng tin quản lý, bán hàng, nghiên cứu, sáng chế, phân phối, thông tin tổ chức thông. .. nhiệm vụ thường xuyên kỹ sư tin học nắm vững trau dồi kiến thức an toàn bảo mật thông tin, nhằm hướng tới thiết kế xây dựng phần mềm tốt hơn, an toàn An tồn thơng tin (ATTT) phát triển nh chóng,