BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ Khoa: An toàn thơng tin Mơn học phần: Phịng chống & điều tra tội phạm mạng máy tính Giảng viên: Thầy Nguyễn Mạnh Thắng Đề tài: THU THẬP CHỨNG CỨ TỪ XA MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG – TỔNG QUAN CHƯƠNG – HỆ THỐNG ĐIỀU KHIỂN QUY TRÌNH CHƯƠNG – THU THẬP CHỨNG CỨ KỸ THUẬT SỐ 3.1 Những yêu cầu phân tích thu thập chứng 3.1.1 Tính khả dụng .6 3.1.2 Phân tích từ xa .6 3.1.3 Phân tích an tồn 3.1.4 Phân tích tùy chỉnh .7 3.2 Nền tảng thu thập chứng kỹ thuật số Magnet AXIOM CHƯƠNG – TRIỂN KHAI THỰC NGHIỆM Hình 1: Tạo case điền thông tin Hình 2: Chọn nguồn chứng Hình 3: Tạo Agent Hình 4: Deploy Agent đến target 10 Hình 5: Connect thành cơng tới máy target .11 Hình 6: Select Target Locations 11 Hình 8: Select Memory 13 Hình 9: Tổng hợp chứng tải từ máy target 13 Hình 10: Tiến hành phân tích chứng .14 Hình 11: Hoạt động tài khoản máy target .14 Hình 12: Các file truy cập 15 Hình 13: Giao diện desktop máy target .15 Hình 14: Cookies máy target 16 Hình 15: Ảnh File Anh máy target .16 Hình 16: Các file thư mục Tai lieu 17 Hình 18: Số lượng tài khoản máy 18 KẾT LUẬN .18 LỜI MỞ ĐẦU Phân tích thu thập chứng giúp trì tính bảo mật hệ thống điều khiển quy trình: việc xác định nguyên nhân gốc rễ nguy hại tổn hại tới hệ thống giúp ích để giảm thiểu mối đe dọa tương lai Tuy nhiên, phân tích thu thập chứng hệ thống kiểm soát phức tạp ba yếu tố Đầu tiên, phân tích trực tiếp khơng ảnh hưởng đến hiệu suất chức hệ thống điều khiển Thứ hai, phân tích nên thực từ xa hệ thống điều khiển thường đặt theo cách phân tán rộng Thứ ba, kỹ thuật công cụ thu thập chứng phải phù hợp với phần cứng, phần mềm, ứng dụng giao thức hệ thống điều khiển độc quyền chuyên dụng Bài báo khám phá việc sử dụng công cụ thu thập chứng kỹ thuật số phổ biến Magnet AXIOM, để tiến hành giám định thu thập chứng từ xa hệ thống điều khiển quy trình Kết thử nghiệm mơi trường quy mơ phịng thí nghiệm chứng minh tính khả thi việc thực phân tích thu thập chứng từ xa hệ thống điều khiển trực tiếp CHƯƠNG – TỔNG QUAN Máy tính cá nhân đặt bàn làm việc nhà tương tự hệ thống sử dụng để vận hành nhiều thành phần sở hạ tầng quan trọng Các nhà máy điện, đường ống dẫn dầu khí đốt sở hạ tầng lớn khác trước chủ yếu sử dụng hệ thống kế thừa với công nghệ độc quyền áp dụng hệ thống cụm máy tính, phần mềm cơng nghệ mạng, bao gồm kết nối Internet Trong hệ thống cụm máy tính Internet giải pháp hiệu quả, tiết kiệm chi phí để vận hành thành phần sở hạ tầng quan trọng, chúng tạo lỗ hổng bảo mật ngồi lỗ hổng ln có hệ thống kiểm sốt quy trình chun biệt Cần có chế để ứng phó cố trường hợp có cơng cố hệ thống Các chuyên gia bảo mật cần điều tra nguyên nhân gốc rễ vấn đề, giải vấn đề giảm thiểu mối đe dọa tương lai đồng thời giảm thiểu loại bỏ thời gian ngừng hoạt động hệ thống điều khiển Đề tài giúp tìm hiểu giải pháp ứng dụng phần mềm thương mại để thực phân tích thu thập chứng từ xa, an toàn hệ thống điều khiển quy trình chúng hoạt động CHƯƠNG – HỆ THỐNG ĐIỀU KHIỂN QUY TRÌNH Các hệ thống điều khiển quy trình chịu trách nhiệm hoạt động an toàn, đáng tin cậy hiệu nhiều thành phần sở hạ tầng quan trọng Một ví dụ hệ thống thu thập liệu điều khiển giám sát (SCADA), thực nhiệm vụ giám sát cơng tắc van, kiểm sốt ngưỡng nhiệt độ áp suất thu thập lưu trữ liệu trường Hệ thống SCADA u cầu trì tính sẵn sàng 24/7 cung cấp phản hồi theo thời gian thực (hoặc gần thời gian thực) Ước tính thiệt hại tạm ngưng hoạt động số lĩnh vực định dao động từ triệu đô la An ninh hệ thống điều khiển quy trình mối quan tâm lớn Điều hệ thống thường sử dụng phần cứng hàng hóa phần mềm thương mại sẵn có (hệ điều hành, sở liệu ứng dụng) kết nối mạng bị hạn chế Các giao thức độc quyền thay giao thức Ethernet dựa IP cho phép tạo giải pháp hiệu quả, rẻ tiền, giao thức khiến hệ thống điều khiển quy trình gặp phải công mạng phổ biến Việc hệ thống điều khiển quy trình kết nối với mạng doanh nghiệp (ví dụ: mạng lưới cơng nghệ thơng tin cơng ty) ngày phổ biến, thường kết nối với Internet Ngay hệ thống điều khiển bị cô lập mạng nội riêng chúng, chúng dễ bị công cá nhân xấu nội người vơ tình đưa mã độc hại vào qua phương tiện di động CHƯƠNG – THU THẬP CHỨNG CỨ KỸ THUẬT SỐ Điều quan trọng phải thực chế kiểm tra bảo mật cho hệ thống điều khiển quy trình để chống lại lỗ hổng xâm nhập cơng nghệ sơ cấp Ngồi tường lửa mạng, công cụ giám sát hệ thống phát xâm nhập, cần có tiện ích cung cấp phản ứng cố kịp thời phân tích thu thập chứng hệ thống bảo vệ gặp cố Việc xác định vấn đề phát nguyên nhân gốc rễ xâm phạm thất bại hệ thống điều quan trọng để giảm thiểu tác động tiêu cực để bảo vệ hệ thống kiểm soát khỏi vi phạm tương lai 3.1 Những yêu cầu phân tích thu thập chứng Phần liệt kê yêu cầu để thực phân tích thu thập chứng hệ thống điều khiển 3.1.1 Tính khả dụng Trong điều tra thu thập chứng kỹ thuật số, hệ thống máy tính thường đóng cửa đưa trở lại phịng thí nghiệm nơi chun gia tiến hành khám nghiệm thu thập chứng Một hệ thống điều khiển quy trình khơng thể thực ngoại tuyến để phân tích thu thập chứng cứ, đặc biệt theo dõi kiểm sốt hoạt động nhà máy Do đó, cần phải tiến hành phân tích chỗ hệ thống điều khiển hoạt động 3.1.2 Phân tích từ xa Các hệ thống điều khiển phân tán rộng rãi, thường nằm cách xa trung tâm điều khiển hàng trăm dặm vị trí khó tiếp cận (ví dụ: giàn khoan ngồi khơi) Khi ứng phó với cố bảo mật, khơng khả thi chờ người giám định di chuyển đến địa điểm xa Do đó, cần phải tiến hành phân tích từ xa hệ thống điều khiển từ vị trí trung tâm 3.1.3 Phân tích an tồn Phân tích thu thập chứng thích hợp yêu cầu quyền truy cập đầy đủ vào hệ thống thực từ xa, việc truy cập truy xuất liệu thu thập chứng phải thực cách an toàn Các giao thức ứng dụng sử dụng để phân tích thu thập chứng từ xa phải có độ đảm bảo cao 3.1.4 Phân tích tùy chỉnh Hầu hết công cụ thu thập chứng kỹ thuật số thiết kế để phân tích máy trạm chung môi trường công nghệ thông tin Họ cung cấp tính tối ưu hóa để khơi phục tệp, phân tích lịch sử web, phân tích email tìm kiếm từ khóa Việc phân tích thu thập chứng hệ thống điều khiển quy trình địi hỏi kỹ thuật cơng cụ chứa phần cứng, phần mềm, ứng dụng giao thức độc quyền chun dụng Do đó, cơng cụ thu thập chứng cho hệ thống điều khiển phải tùy chỉnh bật tiện ích mở rộng, ví dụ sử dụng tiện ích bổ sung 3.2 Nền tảng thu thập chứng kỹ thuật số Magnet AXIOM Magnet AXIOM tảng ứng dụng thu thập chứng kỹ thuật số toàn diện đầy đủ, trao quyền cho chuyên gia thu thập chứng điều tra khám phá thật cách hợp lý hóa quy trình điều tra chứng kỹ thuật số AXIOM cho phép trình điều tra chứng kỹ thuật số cho chứng thu thập hợp pháp bao gồm điện thoại thông minh, đám mây, ứng dụng bên thứ ba, máy tính xách tay, ổ cứng, thiết bị có kết nối Internet hợp liệu theo giải pháp để phân tích tốt AXIOM có hình ảnh thiết bị, xử lý hình ảnh để phục hồi liệu, cung cấp cơng cụ phân tích báo cáo chứng kỹ thuật số cho bên liên quan Và cách loại bỏ việc khắc phân tích thủ cơng tỉ mỉ khả tự động hóa hay máy học, nhóm điều tra khám xét thu thập chứng có nhiều tài nguyên thời gian sẵn có để hình dung khám phá chứng sâu cách sử dụng khả tiên tiến vạch mối tương quan sử dụng tìm kiếm từ khóa nâng cao, lọc hay đầu thẻ Magnet AXIOM cịn tảng thu thập phân tích liệu từ nhiều nguồn điện thoại thơng minh, đám mây, máy tính, thiết bị có kết nối Internet chí liệu lấy từ phần mềm pháp thu thấp chứng thuật số khác CHƯƠNG – TRIỂN KHAI THỰC NGHIỆM Sử dụng công cụ thu thập chứng kỹ thuật số Magnet AXIOM để thu thập chứng từ xa Hình 1: Tạo case điền thơng tin Hình 2: Chọn nguồn chứng Chọn remote computer Hình 3: Tạo Agent Chọn hệ điều hành : Windows File lưu agent IP máy giám sát : 192.168.1.21 Port : 4321 Reconnect 10 giây Giữa kết nối vòng ngày máy target tắt Hình 4: Deploy Agent đến target IP máy target: 192.168.1.39 User ( quyền admin ) máy target : Thanh Password : Vị trí mà agent deploy vào : C:\ Hình 5: Connect thành cơng tới máy target Hình 6: Select Target Locations Ở tải chứng Desktop items, Downloaded Items, Event Logs, Registry hay Web browsing activity Hình 7: Select File system Số lượng ổ đĩa thư mục, tiến hành download File Anh Tai lieu để phân tích Hình 8: Select Memory Có thể aquire tiến trình chạy máy target Hình 9: Tổng hợp chứng tải từ máy target Hình 10: Tiến hành phân tích chứng Hình 11: Hoạt động tài khoản máy target Hình 12: Các file truy cập Hình 13: Giao diện desktop máy target Hình 14: Cookies máy target Hình 15: Ảnh File Anh máy target Hình 16: Các file thư mục Tai lieu Hình 17: AutoRun Item Hình 18: Số lượng tài khoản máy KẾT LUẬN Tiêu chuẩn giám sát thực hành thu thập chứng tăng cường bảo mật hệ thống điều khiển quy trình quy mơ lớn Các lĩnh vực nhắm mục tiêu bao gồm xác thực người dùng quyền, cấu hình tệp nhật ký, quy trình hoạt động kết nối mạng mở Phần mềm điều khiển quy trình bắt đầu triển khai xác thực dựa vai trò người dùng, cần xác định xem tính có bị phá vỡ hay khơng Phân tích tệp nhật ký, dấu thời gian giá trị băm giúp xác định việc giả mạo tệp cấu hình tệp khác Điều quan trọng xác định xem phần mềm điều khiển quy trình có hoạt động dự định hay khơng cách theo dõi hoạt động quy trình giám sát kết nối mạng mở  ... Internet chí liệu lấy từ phần mềm pháp thu thấp chứng thu? ??t số khác CHƯƠNG – TRIỂN KHAI THỰC NGHIỆM Sử dụng công cụ thu thập chứng kỹ thu? ??t số Magnet AXIOM để thu thập chứng từ xa Hình 1: Tạo case... ích bổ sung 3.2 Nền tảng thu thập chứng kỹ thu? ??t số Magnet AXIOM Magnet AXIOM tảng ứng dụng thu thập chứng kỹ thu? ??t số toàn diện đầy đủ, trao quyền cho chuyên gia thu thập chứng điều tra khám phá... hành giám định thu thập chứng từ xa hệ thống điều khiển quy trình Kết thử nghiệm mơi trường quy mơ phịng thí nghiệm chứng minh tính khả thi việc thực phân tích thu thập chứng từ xa hệ thống điều