PHỊNG CHỐNG TẤN CƠNG MẠNG Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 1 Thơng tin học phần • Mã học phần: IT4830 • Khối lượng: 3(2-0-1-6) • Lý thuyết: 30 tiết • Thực hành: 15 tiết (3 buổi x tiết) • Nội dung học phần: • Nguyên lý chung phịng chống cơng mạng • Các nhiệm vụ phịng chống cơng mạng • Các hệ thống phịng chống cơng mạng: VPN, firewall, IDS/IPS, Honeypot • Đánh giá: • Quá trình(0.4): thực hành, chuyên cần • Cuối kỳ(0.6): thi viết • Website: https://users.soict.hust.edu.vn/tungbt/it4830 2 Quy định điểm q trình • Điểm q trình = Điểm TH + Điểm chun cần • Điểm thực hành: Trung bình cộng điểm thực hành • Điểm chuyên cần: • Đạt điểm tuyệt đối tất tập trắc nghiệm: +1 • Khơng hồn thành 1-2 bài: • Khơng hồn thành 3-4 bài: -1 • Khơng hồn thành ≥5 bài: -2 3 BÀI MỞ ĐẦU Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 4 Nội dung • Khái niệm phịng chống cơng mạng • Lỗ hổng nguy ATBM • Nguyên lý chung phịng chống cơng mạng • Phịng thủ theo chiều sâu 5 AN TOÀN BẢO MẬT VÀ CÁC NGUY CƠ AN TOÀN BẢO MẬT Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 6 An toàn bảo mật gì? Ngăn chặn, bảo vệ tài nguyên hệ thống trước hành vi gây tổn hại • Tài ngun hệ thống: • Phần cứng: máy tính, đường truyền, thiết bị mạng • Phần mềm • Dữ liệu • Người dùng • Các hành vi gây tổn hại: cơng • Vật lý: cơng vào phần cứng • Logic: sử dụng chương trình phá hoại để can thiệp vào trình xử lý truyền liệu 7 Yêu cầu an toàn bảo mật • Confidentiality (Bí mật): tài ngun truy cập đối tượng cấp quyền • Integrity (Tồn vẹn, tin cậy): tài ngun sửa đổi đối tượng cấp quyền • Availability (Sẵn sàng): tài ngun sẵn sàng có u cầu • Thời gian đáp ứng chấp nhận • Tài nguyên định vị trí rõ ràng • Khả chịu lỗi • Dễ dàng sử dụng • Đồng đáp ứng u cầu 8 Mơ hình CNSS • Committee on National Security Systems • McCumber Cube: Đặt yêu cầu CIA mối liên hệ với giải pháp trạng thái thông tin 9 Đe dọa an tồn bảo mật(Security Threat) • Hành vi tiềm ẩn khả gây tổn hại tới tài nguyên hệ thống • Rủi ro(nguy cơ) an tồn bảo mật: khả xảy cố làm an tồn an ninh thơng tin thiệt hại chúng cho hệ thống • Mơ hình hóa mối đe dọa: thành phần • Mục tiêu(Target): tài nguyên hệ thống mục tiêu hành vi gây tổn hại • Chủ thể(Agent): người tổ chức gây mối đe dọa cách cố ý vơ ý • Sự kiện(Event) gây đe dọa 10 10 Các kiện gây mối đe dọa • Thiên tai: • Mưa bão, lũ lụt, động đất… • Giải pháp: xây dựng kế hoạch phản ứng cố phục hồi, giải pháp bảo vệ vật lý • Lỗi phần cứng, phần mềm trình vận hành: • Phát sinh khơng hồn thiện trình sản xuất suy hao theo thời gian • Khó kiểm sốt ngăn chặn • Giải pháp: bảo trì, cập nhật 11 11 Các kiện gây mối đe dọa • Lỗi người vận hành hệ thống • Giá trị nhập vào khơng hợp lệ, thao tác khơng hướng dẫn • Ngăn chặn: • Đào tạo cách chi tiết, đầy đủ • Xây dựng hệ thống, quy trình vận hành để người dùng khó mắc lỗi vơ ý • Xâm nhập trái phép vào hệ thống: • Thực bên thứ cơng • Xâm phạm quyền, bí mật cơng nghệ • Đánh cắp thơng tin • Gửi thơng tin lừa đảo • Phá hủy tài ngun • Phát tán phần mềm độc hại… 12 12 Lỗ hổng an tồn bảo mật • Là điểm yếu hệ thống lợi dụng để gây tổn hại tới tính an tồn bảo mật • Một số nguyên nhân phát sinh lỗ hổng: • Lỗ hổng cơng nghệ • Lỗ hổng sách khơng đầy đủ • Lỗ hổng triển khai vận hành khơng cách 13 13 Tấn cơng an tồn bảo mật • Là hành vi cố ý gây tổn hại cho hệ thống • Phân loại: • Tấn cơng bên ngồi/Tấn cơng bên • Tấn cơng khơng chủ đích/Tấn cơng có chủ đích • Tấn cơng vật lý/Tấn cơng logic • Tấn cơng chủ động/Tấn cơng thụ động • Một số dạng công: • Tấn công thám • Tấn cơng truy cập • Tấn cơng từ chối dịch vụ • … 14 14 Tấn cơng thám • Tìm kiếm, thu thập thơng tin hệ thống • Địa IP • Các dịch vụ hoạt động • Người dùng quyền truy cập • Hệ điều hành, phần mềm… • Thường sử dụng giai đoạn bắt đầu q trình cơng • Các kỹ thuật thám thông dụng: • Nghe • Quét địa IP • Quét cổng • Nhận diện hệ điều hành • Các kỹ thuật đánh lừa(Social Engineering) 15 15 Tấn cơng truy cập • Chiếm tài ngun hệ thống đích • Các kỹ thuật thơng dụng: • Nghe • Phát lại • Đoạt phiên làm việc • Man-in-the-middle • Mở cổng sau(backdoor) • Tràn đệm • Dị đốn mật • Khai thác lỗ hổng giao thức • … 16 16 Kịch cơng Thăm dị Các giai đoạn thực cơng: • Chuẩn bị cơng • Thăm dị thơng tin • Qt, rà sốt hệ thống • Thực thi cơng • Giành quyền truy cập • Duy trì truy cập Qt, rà sốt Giành quyền truy cập • Xóa dấu vết Duy trì truy cập Xóa dấu vết 17 17 Thăm dị • Là hành vi mà kẻ công thực nhằm thu thập thông tin hệ thống: người dùng, khách hàng, hoạt động nghiệp vụ, thơng tin tổ chức… • Có thể lặp lặp lại cách định kỳ đến có hội cơng dễ dàng • Thăm dị chủ động: có tương tác với mục tiêu • Thăm dị bị động: khơng có tương tác với mục tiêu Thăm dị Qt, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 18 18 Thăm dị(tiếp) • Sử dụng cơng cụ tìm kiếm: • • • • • • Google, Shodan, Censys Thông tin từ mạng xã hội: FB, Tweetter, Linkedin Thông tin từ website đối tượng: Burp Suite, ZAP, Web Spider, Web Mirroring Thăm dò hệ thống email WHOIS, DNS Thăm dò kết nối mạng: trace route Social Engineering Thăm dị Qt, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 19 19 Qt rà sốt Thăm dị • Qt rà sốt để xác định thông tin hệ thống dựa thông tin thu thập từ q trình thăm dị • Kẻ cơng có nhìn chi tiết sâu hệ thống: dịch vụ cung cấp, cổng dịch vụ mở, địa IP, hệ điều hành phần mềm… • Trích xuất thơng tin từ giai đoạn cho phép kẻ công lên kế hoạch chi tiết để thực công Quét, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 20 20 10 Qt rà sốt(tiếp) • Xác định nút mạng kết nối: • • • • • Ping Sweep Kiểm tra cổng dịch vụ mở: TCP Scanning, UDP Scanning Xác định thông tin hệ điều hành hệ thống mục tiêu: ID Serve, Netcraft Quét lỗ hổng: Nessus, GFI LanGuard Xác định topology mạng mục tiêu: Network Topology Mapper Tương tác thống kê(enumeration) Thăm dị Qt, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 21 21 Giành quyền truy cập Thăm dị • Kẻ cơng giành quyền truy cập vào hệ thống mức độ khác nhau: mức mạng, mức hệ điều hành, mức ứng dụng • Có thể dựa quyền truy cập có để leo thang truy cập Quét, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 22 22 11 Duy trì truy cập Thăm dị • Thay đổi, can thiệp hoạt động • • • • • • hệ thống Cài đặt phần mềm gián điệp Che giấu hành vi hệ thống Quét rà soát sâu vào hệ thống Mở rộng phạm vi công Leo thang cơng Nếu cần thiết, kẻ cơng nằm vùng, chờ thời điểm thích hợp để phát động cơng Qt, rà sốt Giành quyền truy cập Duy trì truy cập Xóa dấu vết 23 23 KHÁI NIỆM CHUNG VỀ PHỊNG CHỐNG TẤN CƠNG MẠNG Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 24 24 12 Phòng chống cơng mạng • Computer Network Defense(CND) • Hoạt động hệ thống mạng(Computer Network Operation): • • • • CNO = CNA + CNE + CND CNA: Computer Network Attack CNE: Computer Network Exploitation CND trình bảo vệ hệ thống, giám sát, phân tích, phát phản ứng với hành vi trái phép tác động tới hệ thống mạng máy tính Các thành phần giải pháp: • Con người • Tác vụ • Cơng nghệ 25 25 Các thành phần CND: Con người Bao gồm tất thành viên tổ chức: • Kiến trúc sư ATBM • Kỹ sư ATBM • Phân tích viên • Nhân viên kỹ thuật • Nhân viên vận hành • Người dùng cuối • Nhân viên điều phối 26 26 13 Các thành phần CND: Tác vụ • Xây dựng triển khai sách an tồn bảo mật • Quy trình vận hành • Gia cố hệ thống • Quy trình xử lý cố(Incident Response) • Điều tra số • Sao lưu, dự phịng, khơi phục(Disaster Recovery) • Lập kế hoạch khơi phục hoạt động sau cố(Business Continuity) • Đào tạo người dùng 27 27 Các thành phần CND: Cơng nghệ • Kiểm thử, đánh giá thành phần hệ thống • Các hệ thống quản trị cấu hình • Tường lửa • Kiểm soát truy cập • Proxy • Lọc nội dung • Mật mã • Xác thực •… 28 28 14 Mối quan hệ thành phần 29 29 Các hướng tiếp cập – Phòng ngừa Mục tiêu: giảm thiểu khả bị cơng • Gia cố hệ thống • Quét vá lỗ hổng bảo mật • Lọc lưu lượng truy cập • Thẩm tra nguồn truy cập • Ngụy trang hệ thống • Mã hóa 30 30 15 Các hướng tiếp cận – Phát Mục tiêu: Phát ngăn chặn cơng • Giám sát truy cập • Thu thập thơng tin hoạt động hệ thống • Các chế phát hiện: • Dựa dấu hiệu • Dựa bất thường • Các mơ hình dựa hành vi • Các mơ hình dựa ngưỡng • Cảnh báo ngăn chặn công tiếp diễn 31 31 Các hướng tiếp cận – Phản ứng Mục tiêu: Đáp ứng với hành vi cơng biện pháp thích đáng • Sao lưu dự phịng • Phản ứng cố: khoanh vùng, cách ly, chuyển hướng • Phục hồi sau cơng • Điều tra số 32 32 16 Q trình phịng chống Giám sát Phân tích Phát Rút kinh nghiệm Phản ứng 33 33 PHÒNG THỦ THEO CHIỀU SÂU Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 34 34 17 Phịng thủ theo chiều sâu • Khơng có giải pháp vạn năng, phịng chống loại cơng • Phịng thủ theo chiều sâu(Defense in depth-DID): Các giải pháp phịng chống cơng mạng cần phải xây dựng với nhiều lớp bảo vệ: • Mỗi lớp thực số nhiệm vụ • Các lớp phải phối hợp để tạo thành sức mạnh chung cho hệ thống • Làm suy yếu dần khả cơng • Các hành vi cơng ngày khó tiếp cận vào lớp bên • Phân biệt với dự phòng 35 35 Phòng thủ theo chiều sâu • Các giải pháp phịng thủ theo chiều sâu cần thiết kế dựa thành phần CND: • Con người • Tác vụ • Công nghệ Personal Operation Technology Asset 36 36 18 DID – Con người • Ít ý đề cập tới giải pháp ATBM, nhưng… • Giải vấn đề người quan trọng cần thường xuyên giám sát, đánh giá • Tại sao? • Cần phải có phận chuyên trách ATBM tổ chức • Người dùng cần đào tạo diễn tập 37 37 Hiện trạng Việt Nam 38 38 19 Hiện trạng Việt Nam 39 39 DID- Cơng nghệ Các lớp con: • Phịng thủ cho hạ tầng mạng kết nối với bên ngồi • Phịng thủ vùng đệm mạng bên • Phịng thủ host 40 40 20 DID – Tác vụ • Bao gồm tất hoạt động định để trì khả phịng thủ hệ thống • Các tác vụ lớp bảo vệ vật lý • Xây dựng triển khai sách ATBM • Lập kế hoạch giải pháp triển khai cho hoạt động: • Phản ứng cố • Sao lưu dự phịng • Khơi phục hệ thống… • Giám sát báo cáo tình trạng an ninh mạng 41 41 Hiện trạng Việt Nam 42 42 21 Hiện trạng Việt Nam • Khả nhận biết hệ thống bị công 43 43 Giám sát an ninh mạng • Hệ thống thu thập, chuẩn hóa, lưu trữ phân tích tương quan tồn kiện an toàn mạng sinh hệ thống CNTT tổ chức 44 44 22 Giám sát an ninh mạng • Các yếu tố bản: • Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát • Thiết bị, giải pháp phần mềm phục vụ giám sát • Thiết bị, cơng cụ, giải pháp hỗ trợ phân tích kết giám sát • Con người • Quy trình • Các mơ hình: • Giải pháp quản lý thông tin an ninh (SIM): tập trung vào việc thu thập, lưu trữ biểu diễn nhật ký(log) • Giải pháp quản lý kiện an ninh (SEM): tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng • Giải pháp quản lý phân tích kiện an ninh (SIEM): SIM + SEM 45 45 23