bài 1 giới thiệu về bảo mật

Mô tả những thách thức của việc bảo mật thông tinĐịnh nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiệ

Bài 1:

GIỚI THIỆU VỀ BẢO MẬT

Mô tả những thách thức của việc bảo mật thông tin

Định nghĩa bảo mật thông tin và giải thích được lý do

khiến bảo mật thông tin trở nên quan trọng

Nhận diện các dạng tấn công phổ biến hiện nay

Liệt kê các bước cơ bản của một cuộc tấn công

Mô tả năm nguyên tắc phòng thủ cơ bản

Mục tiêu bài học

Mô tả những thách thức của việc bảo mật thông tin

Định nghĩa bảo mật thông tin và giải thích được lý do

khiến bảo mật thông tin trở nên quan trọng

Nhận diện các dạng tấn công phổ biến hiện nay

Liệt kê các bước cơ bản của một cuộc tấn công

Mô tả năm nguyên tắc phòng thủ cơ bản

Những thử thách đối với bảo mật thông tin

Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế

kỷ 21

Bảo mật cá nhân

Bảo mật thông tin

Bảo mật thông tin

Không có giải pháp đơn giản

Nhiều dạng tấn công khác nhau

Việc phòng thủ chống lại các cuộc tấn công thường khó

khăn

Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế

kỷ 21

Bảo mật cá nhân

Bảo mật thông tin

Bảo mật thông tin

Không có giải pháp đơn giản

Nhiều dạng tấn công khác nhau

Việc phòng thủ chống lại các cuộc tấn công thường khó

khăn

Các cuộc tấn công hiện nay

Sức mạnh tính toán ngày càng được nâng cao

Giúp cho việc phá mật khẩu dễ dàng

Những lỗ hổng phần mềm thường không được vá

Các điện thoại thông minh trở thành mục tiêu tấn công

mới

Các cuộc tấn công vào bảo mật hiện nay (tiếp tục)

Các ví dụ về những cuộc tấn công gần đây

Phần mềm diệt virus giả mạo

Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng

Các vụ tấn công ngân hàng trực tuyến

Cuộc tranh luận ở Hội nghị về Tin tặc

Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria

Một kiểu lừa đảo qua Internet hàng đầu

Đánh cắp danh tính nhờ sử dụng Firesheep

Phần mềm độc hại

Các thiết bị USB đã bị lây nhiễm

Các ví dụ về những cuộc tấn công gần đây

Phần mềm diệt virus giả mạo

Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng

Các vụ tấn công ngân hàng trực tuyến

Cuộc tranh luận ở Hội nghị về Tin tặc

Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria

Một kiểu lừa đảo qua Internet hàng đầu

Đánh cắp danh tính nhờ sử dụng Firesheep

Phần mềm độc hại

Các thiết bị USB đã bị lây nhiễm

Các vụ đánh cắp thông tin điển hình

750.000

được mật khẩu + e-mail của người dùng và nhân viên.

1.300.000

Những khó khăn trong việc phòng thủ chống lại các vụ tấn công

Các thiết bị kết nối toàn cầu

Sự gia tăng tốc độ của các vụ tấn công

Các cuộc tấn công ngày càng tinh vi hơn

Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn

Vá lỗi chậm

Việc cung cấp các bản vá còn yếu kém

Các vụ tấn công phân tán

Người dùng bị bối rối

Các thiết bị kết nối toàn cầu

Sự gia tăng tốc độ của các vụ tấn công

Các cuộc tấn công ngày càng tinh vi hơn

Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn

Bảo mật thông tin là gì?

Trước khi có thể phòng thủ, bạn cần hiểu:

Bảo mật thông tin là gì?

Tại sao nó quan trọng?

Những kẻ tấn công là ai?

Định nghĩa bảo mật thông tin

Bảo mật (security)

Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại

Mối nguy hại có thể do chủ ý hoặc vô ý

Phải hy sinh sự tiện lợi để đổi lấy sự an toàn

Bảo mật thông tin (information security)

Bảo vệ các thông tin ở dạng số hóa:

Thông tin cung cấp giá trị cho con người và cho tổ chức

Bảo mật (security)

Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại

Mối nguy hại có thể do chủ ý hoặc vô ý

Phải hy sinh sự tiện lợi để đổi lấy sự an toàn

Bảo mật thông tin (information security)

Bảo vệ các thông tin ở dạng số hóa:

Thông tin cung cấp giá trị cho con người và cho tổ chức

Định nghĩa bảo mật thông tin

Những người có quyền đều có thể truy cập được thông tin

Ba hình thức bảo mật thông tin: thường gọi là CIA

Định nghĩa bảo mật thông tin

(tiếp)

Các biện pháp cần thực hiện để bảo mật thông tin

Sự xác thực (authentication)

Đảm bảo một cá nhân đúng như những gì họ khai báo

Sự ủy quyền (authorization)

Cấp phép truy cập thông tin

Ghi chép (accounting)

Cung cấp khả năng theo dõi các sự kiện

Các biện pháp cần thực hiện để bảo mật thông tin

Sự xác thực (authentication)

Đảm bảo một cá nhân đúng như những gì họ khai báo

Sự ủy quyền (authorization)

Cấp phép truy cập thông tin

Ghi chép (accounting)

Cung cấp khả năng theo dõi các sự kiện

Hình 1-3 Các thành phần bảo mật thông tin

© Cengage Learning 2012

Định nghĩa bảo mật thông tin

Con người Những người cài đặt và sử dụng một cách đúng

đắn các sản phẩm bảo mật để bảo vệ dữ liệu

Bảng 1-3 Các tầng bảo mật thông tin

Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu

Các thuật ngữ bảo mật thông tin

Tài sản (Asset)

Là phần tử có giá trị

Mối đe dọa (Threat)

Là các hành động hoặc sự kiện có khả năng gây nguy hại

Tác nhân đe dọa (Threat agent)

Người hoặc phần tử có sức mạnh gây ra mối đe dọa

Tài sản (Asset)

Là phần tử có giá trị

Mối đe dọa (Threat)

Là các hành động hoặc sự kiện có khả năng gây nguy hại

Tác nhân đe dọa (Threat agent)

Người hoặc phần tử có sức mạnh gây ra mối đe dọa

Tên thành phần Ví dụ Có là tài sản quan trọng?

Thông tin Cơ sở dữ liệu khách hàng, nhân viên,

sản xuất, bán hàng, tiếp thị, và tài chính

Có: Cực kỳ khó thay thế

Phần mềm ứng

dụng

Ứng dụng giao dịch đơn hàng chuyên dụng, bộ xử lý văn bản phổ dụng

Có: Là phần tùy chỉnh dành riêng cho tổ chức

Có: Là phần tùy chỉnh dành riêng cho tổ chức

lý

Server, bộ định tuyến [router], đĩa DVD, bộ cấp nguồn

Không: Có thể thay thế dễ dàng

Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễ

dàng

Các thuật ngữ bảo mật thông tin

(tiếp tục)

Lỗ hổng (vulnerability)

Là những thiếu sót hay yếu điểm

Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật

Rủi ro (risk)

Khả năng tác nhân đe dọa khai thác lỗ hổng

Không thể được loại bỏ hoàn toàn

Chi phí sẽ quá cao Mất quá nhiều thời gian để thực hiện

Một số cấp độ rủi ro phải được giả định

Lỗ hổng (vulnerability)

Là những thiếu sót hay yếu điểm

Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật

Rủi ro (risk)

Khả năng tác nhân đe dọa khai thác lỗ hổng

Không thể được loại bỏ hoàn toàn

Chi phí sẽ quá cao Mất quá nhiều thời gian để thực hiện

Một số cấp độ rủi ro phải được giả định

Hình 1-4 Minh họa các thành phần bảo mật thông tin

© Cengage Learning 2012

Các thuật ngữ bảo mật thông tin

Chuyển rủi ro sang một người khác

Ví dụ: mua bảo hiểm

Các lựa chọn để đối phó với rủi ro

Chuyển rủi ro sang một người khác

Ví dụ: mua bảo hiểm

Hiểu rõ tầm quan trọng của bảo mật thông tin

Phòng ngừa đánh cắp dữ liệu

Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữliệu

Đánh cắp dữ liệu kinh doanh

Thông tin về quyền sở hữu

Đánh cắp dữ liệu kinh doanh

Thông tin về quyền sở hữu

Đánh cắp dữ liệu cá nhân

Mã số thẻ tín dụng

Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp)

Cản trở việc đánh cắp danh tính

Sử dụng trái phép thông tin của người khác

Thường nhằm mục đích thu lợi về tài chính

Ví dụ:

Đánh cắp SSN cá nhân Tạo một tài khoản tín dụng mới

Sử dụng tài khoản để mua hàng

Để lại các khoản nợ chưa thanh toán

Cản trở việc đánh cắp danh tính

Sử dụng trái phép thông tin của người khác

Thường nhằm mục đích thu lợi về tài chính

Ví dụ:

Đánh cắp SSN cá nhân Tạo một tài khoản tín dụng mới

Sử dụng tài khoản để mua hàng

Để lại các khoản nợ chưa thanh toán

Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp)

Tránh các hậu quả liên quan tới pháp luật

Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử

Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo hiểm sức khỏe năm 1996 (HIPAA)

Đạo luật Sarbanes-Oxley năm 2002 (Sarbox) Đạo luật Gramm-Leach-Bliley (GLBA)

Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003)

Tránh các hậu quả liên quan tới pháp luật

Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử

Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo hiểm sức khỏe năm 1996 (HIPAA)

Đạo luật Sarbanes-Oxley năm 2002 (Sarbox) Đạo luật Gramm-Leach-Bliley (GLBA)

Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003)

Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp)

Duy trì sản xuất

Việc khắc phục hậu quả sau khi bị tấn công làm lãng phícác tài nguyên

Thời gian và tiền bạc

Bảng 1-6 Chi phí của các cuộc tấn công

Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp)

Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)

Mục tiêu: thông tin, hệ thống máy tính, dữ liệu

Mục đích nhằm:

Gây hoảng loạn tinh thần Kích động bạo lực

Gây ra thảm họa tài chính

Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)

Mục tiêu: thông tin, hệ thống máy tính, dữ liệu

Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp)

Những mục tiêu tấn công của khủng bố tin học

Ngân hàng

Quân đội

Năng lượng (các nhà máy điện)

Giao thông (các trung tâm điều khiển hàng không)

Các hệ thống cấp nước

Những mục tiêu tấn công của khủng bố tin học

Ngân hàng

Quân đội

Năng lượng (các nhà máy điện)

Giao thông (các trung tâm điều khiển hàng không)

Các hệ thống cấp nước

Những kẻ tấn công là ai?

Phân loại những kẻ tấn công

Hacker (tin tặc)

Kẻ viết kịch bản non tay (Script kiddie)

Gián điệp (Spy)

Nội gián (Insider)

Tội phạm máy tính (Cybercriminal)

Những kẻ khủng bố tin học (Cyberterrorist)

Phân loại những kẻ tấn công

Hacker (tin tặc)

Kẻ viết kịch bản non tay (Script kiddie)

Gián điệp (Spy)

Nội gián (Insider)

Tội phạm máy tính (Cybercriminal)

Những kẻ khủng bố tin học (Cyberterrorist)

Hacker (tin tặc)

Những người sử dụng kỹ năng máy tính để tấn công cácmáy tính

Thuật ngữ không phổ biến trong cộng đồng bảo mật

Hacker mũ trắng (white hat hacker)

Mục đích chỉ ra các lỗ hổng bảo mật

Không đánh cắp hoặc làm hỏng dữ liệu

Hacker mũ đen (black hat hacker)

Mục đích gây hại và hủy diệt

Hacker (tin tặc)

Những người sử dụng kỹ năng máy tính để tấn công cácmáy tính

Thuật ngữ không phổ biến trong cộng đồng bảo mật

Hacker mũ trắng (white hat hacker)

Mục đích chỉ ra các lỗ hổng bảo mật

Không đánh cắp hoặc làm hỏng dữ liệu

Hacker mũ đen (black hat hacker)

Mục đích gây hại và hủy diệt

Kẻ viết kịch bản non tay

Kẻ viết kịch bản non tay (script kiddie)

Mục đích: bẻ khóa máy tính để phá hoại

Là những người dùng không có kỹ năng

Tải về các phần mềm tấn công tự động (mã kịch bản)

Sử dụng những phần mềm đó để thực hiện các hành vi nguy hại

Các phần mềm tấn công hiện nay đa số đều có hệ thốngmenu

Việc tấn công trở nên dễ dàng hơn với những người dùng không có kỹ năng

40% các vụ tấn công được thực hiện bởi những kẻ viết

kịch bản non tay

Kẻ viết kịch bản non tay (script kiddie)

Mục đích: bẻ khóa máy tính để phá hoại

Là những người dùng không có kỹ năng

Tải về các phần mềm tấn công tự động (mã kịch bản)

Sử dụng những phần mềm đó để thực hiện các hành vi nguy hại

Các phần mềm tấn công hiện nay đa số đều có hệ thốngmenu

Việc tấn công trở nên dễ dàng hơn với những người dùng không có kỹ năng

40% các vụ tấn công được thực hiện bởi những kẻ viết

kịch bản non tay

Gián điệp

Gián điệp máy tính (spy)

Người được thuê để bẻ khóa máy tính

Mục đích đánh cắp thông tin

Được thuê để tấn công một máy tính hoặc một hệ thống

cụ thể:

Chứa các thông tin nhạy cảm

Mục đích: đánh cắp thông tin mà không gây ra sự chú ý đối với các hành động của họ

Họ có kỹ năng máy tính rất xuất sắc:

Để tấn công và che đậy dấu vết

Gián điệp máy tính (spy)

Người được thuê để bẻ khóa máy tính

Mục đích đánh cắp thông tin

Được thuê để tấn công một máy tính hoặc một hệ thống

cụ thể:

Chứa các thông tin nhạy cảm

Mục đích: đánh cắp thông tin mà không gây ra sự chú ý đối với các hành động của họ

Họ có kỹ năng máy tính rất xuất sắc:

Để tấn công và che đậy dấu vết

Nội gián

Nội gián (insider)

Nhân viên, nhà thầu, và các đối tác kinh doanh

48% hành vi vi phạm là do nội gián gây ra

Ví dụ về các vụ tấn công do nội gián gây ra

Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏecủa những người nổi tiếng

Do bất mãn vì sắp bị đuổi việc

Nhân viên chính phủ phát tán mã kịch bản độc hại

Nhà đầu tư chứng khoán che giấu các khoản lỗ thông quacác giao dịch giả mạo

Bình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm

Nội gián (insider)

Nhân viên, nhà thầu, và các đối tác kinh doanh

48% hành vi vi phạm là do nội gián gây ra

Ví dụ về các vụ tấn công do nội gián gây ra

Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏecủa những người nổi tiếng

Do bất mãn vì sắp bị đuổi việc

Nhân viên chính phủ phát tán mã kịch bản độc hại

Nhà đầu tư chứng khoán che giấu các khoản lỗ thông quacác giao dịch giả mạo

Bình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm

Tội phạm máy tính

Tội phạm máy tính (Cybercriminal)

Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính,

gửi thư rác, và lừa đảo tài chính

Những điểm khác biệt so với những kẻ tấn công thông

thường

Động cơ cao hơn

Sẵn sàng chấp nhận rủi ro nhiều hơn

Kiếm lợi nhiều hơn

Ngoan cố hơn

Mục đích: thu lợi tài chính

Tội phạm máy tính (Cybercriminal)

Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính,

gửi thư rác, và lừa đảo tài chính

Những điểm khác biệt so với những kẻ tấn công thông

thường

Động cơ cao hơn

Sẵn sàng chấp nhận rủi ro nhiều hơn

Kiếm lợi nhiều hơn

Ngoan cố hơn

Mục đích: thu lợi tài chính

Tội phạm máy tính (tiếp)

Tội ác máy tính (cybercrime)

Mục tiêu tấn công nhằm vào các mạng tài chính

Truy cập trái phép thông tin

Đánh cắp thông tin cá nhân

Tội phạm tài chính mạng (Financial Cybercriminal)

Buôn bán thẻ tín dụng và thông tin tài chính

Sử dụng thư rác để thực hiện lừa đảo

Tội ác máy tính (cybercrime)

Mục tiêu tấn công nhằm vào các mạng tài chính

Truy cập trái phép thông tin

Đánh cắp thông tin cá nhân

Tội phạm tài chính mạng (Financial Cybercriminal)

Buôn bán thẻ tín dụng và thông tin tài chính

Sử dụng thư rác để thực hiện lừa đảo

Những kẻ khủng bố tin học

Những kẻ khủng bố tin học (cyberterrorist)

Động cơ liên quan tới hệ tư tưởng

Tấn công do các nguyên tắc và các tín ngưỡng

Mục đích tấn công:

Hủy hoại thông tin điện tử

Phát tán thông tin thất thiệt và tuyên truyền

Ngăn cản các dịch vụ dành cho những người dùng máy

tính hợp pháp

Thực hiện các vụ xâm nhập trái phép

Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủ chốt; làm sai hỏng các thông tin quan trọng

Những kẻ khủng bố tin học (cyberterrorist)

Động cơ liên quan tới hệ tư tưởng

Tấn công do các nguyên tắc và các tín ngưỡng

Mục đích tấn công:

Hủy hoại thông tin điện tử

Phát tán thông tin thất thiệt và tuyên truyền

Ngăn cản các dịch vụ dành cho những người dùng máy

tính hợp pháp

Thực hiện các vụ xâm nhập trái phép

Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủ chốt; làm sai hỏng các thông tin quan trọng

Tấn công và phòng thủ

Có rất nhiều vụ tấn công

Sử dụng chung các bước cơ bản

Để bảo vệ máy tính khỏi bị tấn công:

Làm theo năm nguyên tắc bảo mật cơ bản

Các bước của một vụ tấn công

Chứng nghiệm thông tin

Ví dụ như loại phần cứng hoặc phần mềm được sử dụng

Thâm nhập các tuyến phòng thủ

Bắt đầu tấn công

Sửa đổi các thiết lập bảo mật

Cho phép kẻ tấn công xâm nhập trở lại hệ thống bị hại

một cách dễ dàng

Vòng sang các hệ thống khác

Sử dụng các công cụ tương tự để tấn công sang các hệ

thống khác

Làm tê liệt các mạng và thiết bị

Chứng nghiệm thông tin

Ví dụ như loại phần cứng hoặc phần mềm được sử dụng

Thâm nhập các tuyến phòng thủ

Bắt đầu tấn công

Sửa đổi các thiết lập bảo mật

Cho phép kẻ tấn công xâm nhập trở lại hệ thống bị hại

Hình 1-6 Các bước thực hiện một vụ tấn công

Phòng thủ chống lại các cuộc tấn công

Các nguyên tắc bảo mật cơ bản