Cơ sở an toàn hệ thống thông tin cand chuyên đề vulnerability analysis

Quản trị viên cần nghiên cứu lỗ hổng bảo mật để + Thu thập thông tin về các xu hướng, mối đe dọa và tấn công an ninh + Tìm điểm yếu, và alertthe quản trị mạng trước khi một cuộc tấn công

TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ HỌC PHẦN: CƠ SỞ AN TOÀN

HỆ THỐNG THÔNG TIN CAND

i

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH ẢNH iv

LỜI NÓI ĐẦU 1

Chương 1: TỔNG QUAN VỀ ĐÁNH GIÁ LỖ HỔNG 2

1.1 Nghiên cứu về lỗ hổng 2

1.2 Phân loại lỗ hổng 2

1.2.1 Cấu hình sai 3

1.2.2 Cài đặt mặc định 3

1.2.3 Tràn Buffer 4

1.2.4 Chưa được vá máy chủ 4

1.2.5 Thiết kế sai sót 4

1.2.6 Lỗi hệ điều hành 4

1.2.7 Lỗi ứng dụng 5

1.2.8 Dịch vụ mở 5

1.2.9 Mật khẩu mặc định 5

1.3 Khái niệm đánh giá lỗ hổng 5

1.4 Các loại hình đánh giá lỗ hổng 6

1.4.1 Đánh giá trực tiếp 6

1.4.2 Đánh giá gián tiếp 6

1.4.3 Đánh giá bên ngoài 6

1.4.4 Đánh giá bên trong 7

1.4.5 Đánh giá dựa trên máy chủ 7

1.4.6 Đánh giá network 8

1.4.7 Đánh giá ứng dụng 8

1.4.8 Đánh giá mạng không dây 8

1.5 Vòng đời quản lý lỗ hổng 9

1.6 Giai đoạn đánh giá lỗ hổng 10

1.7 Giai đoạn sau đánh giá 11

1.7.1 Đánh giá rủi ro 12

1.7.2 Khắc phục 12

1.7.3 Xác minh 12

1.7.4 Giám sát 12

ii

Chương 2: GIẢI PHÁP ĐÁNH GIÁ LỖ HỔNG 14

2.1 So sánh các cách tiếp cận đánh giá lỗ hổng 14

2.1.1 Giải pháp dựa trên sản phẩm 14

2.1.2 Giải pháp dựa trên dịch vụ 14

2.1.3 Đánh giá dựa trên mô hình cây 14

2.1.4 Đánh giá dựa trên suy luận 15

2.2 Hoạt động của các giải pháp quét lỗ hổng 15

2.3 Các loại công cụ đánh giá lỗ hổng 16

2.3.1 Công cụ đánh giá lỗ hổng dựa trên máy chủ 16

2.3.2 Công cụ đánh giá theo chiều sâu 16

2.3.4 Công cụ đánh giá lỗ hổng trên tầng ứng dụng 16

2.3.5 Công cụ đánh giá theo phạm vi 17

2.3.6 Công cụ active/passive 17

2.3.7 Công cụ đánh giá dựa trên vị trí và dữ liệu 17

2.4 Đặc điểm của một giải pháp đánh giá lỗ hổng tốt 18

2.5 Lựa chọn công cụ đánh giá lỗ hổng 18

2.6 Các tiêu chí lựa chọn một công cụ đánh giá lỗ hổng 19

2.7 Thực hành lựa chọn công cụ đánh giá lỗ hổng 20

Chương 3: HỆ THỐNG ĐÁNH GIÁ LỖ HỔNG 22

3.1 Hệ thống đánh giá lỗ hổng CVSS (Common Vulnerability Scoring System) 22

3.2 Lỗ hổng phổ biến CVE (Common Vulnerability and Exposures) 23

3.3 Cơ sở dữ liệu lỗ hổng quốc gia NVD (National Vulnerability Database) 24 Chương 4: CÔNG CỤ ĐÁNH GIÁ LỖ HỔNG 26

4.1 Công cụ Qualys VM 26

4.2 Công cụ Nessus Professional 28

4.3 GFI Languard 28

4.4 Công cụ Qualys FreeScan 29

4.5 Công cụ Nikto 30

4.6 Công cụ OpenVAS 30

4.7 Công cụ Retina CS 31

4.8 Công cụ Saint 31

iii

4.9 Công cụ AVDS 32

4.10 Retina CS for Mobile 33

4.11 SecurityMetrics Mobile 34

4.12 Phân tích báo cáo quét lỗ hổng 34

LỜI KẾT 37

TÀI LIỆU THAM KHẢO 1

Hình 1.4 Giai đoạn đánh giá lỗ hổng

Hình 1.5 Giai đoạn sau đánh giá

Hình 2.1 Hoạt động của các giải pháp quét lỗ hổng

Hình 2.2 Lựa chọn công cụ đánh giá lỗ hổng

Hình 2.3 Các tiêu chí lựa chọn một công cụ đánh giá lỗ hổng

Hình 2.4 Thực hành lựa chọn công cụ đánh giá lỗ hổng

Hình 3.1 Hệ thống đánh giá lỗ hổng CVSS (Common Vulnerability Scoring System)

Hình 3.2 Lỗ hổng phổ biến CVE (Common Vulnerability and Exposures)

Hình 3.3 Cơ sở dữ liệu lỗ hổng quốc gia NVD (National Vulnerability Database) Hình 4.1 Công cụ Qualys VM

Hình 4.2 Công cụ Nessus Professional

Hình 4.3 Công cụ Qualys FreeScan và Nikto

1

LỜI NÓI ĐẦU

Trong thế giới ngày nay, các tổ chức phụ thuộc rất nhiều vào công nghệ

thông tin Nó là cần thiết cho họ để bảo vệ thông tin quan trọng của họ Thông tin

này chỉ ra các lĩnh vực tài chính, nghiên cứu và phát triển, nhân sự, tính hợp pháp

và an ninh Lỗ hổng bảo mật đánh chỉ mạng quét các điểm yếu an ninh đã biết

Kẻ tấn công thực hiện phân tích lỗ hổng để xác định lỗ hổng bảo mật trong

mạng của tổ chức mục tiêu, cơ sở hạ tầng truyền thông và hệ thống kết thúc Các

lỗ hổng xác định được sử dụng bởi những kẻ tấn công để thực hiện thêm khai thác

trên mạng mục tiêu đó

Mặt khác, đánh giá lỗ hổng đóng một vai trò quan trọng trong việc cung

cấp bảo mật cho các nguồn lực của bất kỳ tổ chức và cơ sở hạ tầng từ các mối đe

dọa nội bộ và bên ngoài Để bảo vệ mạng, quản trị viên cần thực hiện quản lý bản

vá, cài đặt phần mềm chống vi-rút thích hợp, kiểm tra cấu hình, giải quyết các vấn

đề đã biết trong ứng dụng của bên thứ ba và khắc phục sự cố phần cứng với cấu

hình mặc định

đun này bắt đầu với giới thiệu về các khái niệm đánh giá lỗ hổng

Mô-đun này cũng thảo luận về vòng đời quản lý lỗ hổng và cách tiếp cận khác nhau

và các công cụ được sử dụng để thực hiện đánh giá lỗ hổng bảo mật Mô-đun này

sẽ tập trung nhận thức của bạn về các công cụ và kỹ thuật được sử dụng bởi những

kẻ tấn công để thực hiện phân tích lỗ hổng Mô-đun kết thúc với tổng quan về báo

cáo đánh giá lỗ hổng bảo mật, giúp một hacker đạo đức trong việc thực hiện các

bước cần thiết để khắc phục các lỗ hổng được xác định

Vào cuối của mô-đun này, bạn sẽ có thể:

- Hiểu các nghiên cứu dễ tổn thương và phân loại lỗ hổng

- Mô tả đánh giá lỗ hổng

- Mô tả về vòng đời quản lý dễ tổn thương (giai đoạn đánh giá lỗ hổng)

- Hiểu các cách tiếp cận khác nhau về giải pháp đánh giá lỗ hổng

- Mô tả các đặc điểm khác nhau của giải pháp đánh giá lỗ hổng tốt

- Giải thích các loại công cụ đánh giá lỗ hổng khác nhau

2

Chương 1: TỔNG QUAN VỀ ĐÁNH GIÁ LỖ HỔNG

Trong một network nói chung, có hai nguyên nhân chính khiến cho các hệ thống là dễ bị tấn công, đó là cấu hình sai phần cứng hoặc phần mềm và yếu kém trong khâu lập trình va cài đặt Những kẻ tấn công khai thác các lỗ hổng này để thực hiện các loại tấn công khác nhau về tài nguyên tổ chức Trong chương này chúng tôi cung cấp một cái nhìn tổng quan về đánh giá lỗ hổng, phân loại, các loại đánh giá lỗ hổng bảo mật và giai đoạn đánh giá lỗ hổng

1.1 Nghiên cứu về lỗ hổng

Nghiên cứu lỗ hổng bảo mật là quá trình khám phá lỗ hổng và lỗi thiết kế,những thứ có thể bị lợi dụng để xâm nhập hệ điều hành và các ứng dụng để tấn công hoặc sử dụng sai mục đích

Quản trị viên cần nghiên cứu lỗ hổng bảo mật để

+ Thu thập thông tin về các xu hướng, mối đe dọa và tấn công an ninh + Tìm điểm yếu, và alertthe quản trị mạng trước khi một cuộc tấn công mạng

+ Có được thông tin giúp ngăn chặn các vấn đề bảo mật

+ Biết làm thế nào để phục hồi từ một cuộc tấn công mạng

Một hacker đạo đức cần phải theo kịp với các lỗ hổng phát hiện gần đây nhất để đi trước một bước trước kẻ tấn công thông qua nghiên cứu lỗ hổng, bao gồm:

+ Khám phá lỗi thiết kế hệ thống và điểm yếu có thể cho phép kẻ tấn công thỏa hiệp một hệ thống

+ Được thông báo về các sản phẩm và công nghệ mới để tìm tin tức liên quan đến khai thác hiện tại

+ Kiểm tra các trang web hack ngầm cho các lỗ hổng mới và khai thác + Kiểm tra mới được phát hành cảnh báo liên quan đến đổi mới và cải tiến sản phẩm cho hệ thống an ninh

Các chuyên gia bảo mật và máy quét lỗ hổng phân loại lỗ hổng bằng: + Mức độ nghiêm trọng (thấp, Trung bình hoặc cao)

+ Phạm vi gây hại (cục bộ hoặc từ xa)

1.2 Phân loại lỗ hổng

Lỗ hổng trong một hệ thống hoặc network được phân loại vào các loại sau:

sở dữ liệu và network

Một hệ thống có thể bị cấu hình sai trong rất nhiều trường hợp:

+ Phần mềm lỗi thời chạy trên hệ thống

+ Chạy các dịch vụ không cần thiết trên máy

+ Sử dụng sai chứng chỉ SSL và chứng chỉ mặc định

+ Không đúng cách xác thực hệ thống bên ngoài

+ Tắt thiết đặt bảo mật và tính năng

Những kẻ tấn công có thể dễ dàng phát hiện các cấu hình sai bằng cách sử dụng Tools scan và sau đó khai thác các hệ thống backend Điều quan trọng là quản trị viên phải thay đổi cấu hình mặc định của thiết bị và tối ưu hóa bảo mật thiết bị

1.2.2 Cài đặt mặc định

Cài đặt mặc định thường được giữ thân thiện với người dùng đặc biệt là khi thiết bị đang được sử dụng lần đầu tiên, vì mối quan tâm chính là khả năng dùng của thiết bị chứ không phải là bảo mật của thiết bị Trong một số trường hợp, các thiết bị bị nhiễm bệnh có thể không chứa bất kỳ thông tin giá trị nào nhưng chúng được kết nối với network hoặc hệ thống có thông tin bí mật sẽ dẫn đến vi phạm

dữ liệu Không thay đổi các thiết lập mặc định trong khi triển khai các phần mềm hoặc phần cứng cho phép kẻ tấn công để đoán các thiết lập để đột nhập vào các

hệ thống

4

1.2.3 Tràn Buffer

Tràn bộ đệm là lỗ hổng phần mềm phổ biến xảy ra do lỗi mã hóa cho phép

kẻ tấn công để có được quyền truy cập vào hệ thống đích Trong một cuộc tấn công tràn bộ đệm, kẻ cướp làm suy yếu các chức năng của chương trình và cố gắng để có sự kiểm soát của hệ thống bằng cách viết nội dung vượt quá kích thước được phân bổ của bộ đệm Không đủ giới hạn kiểm tra trong chương trình là nguyên nhân gốc rễ vì trong đó bộ đệm không thể xử lý dữ liệu vượt quá mức của

nó, gây ra dòng dữ liệu đến vị trí bộ nhớ liền kề và ghi đè lên các giá trị dữ liệu của họ Hệ thống thường gặp sự cố hoặc trở nên không ổn định hoặc hiển thị hành

vi của chương trình thất, khi tràn bộ đệm xảy ra

1.2.4 Chưa được vá máy chủ

Máy chủ là một thành phần thiết yếu của cơ sở hạ tầng của bất kỳ tổ chức

Có một số trường hợp các tổ chức chạy các máy chủ chưa được vá và cấu hình sai làm ảnh hưởng đến bảo mật và tính toàn vẹn của dữ liệu trong hệ thống Hacker tìm ra cho các lỗ hổng trong các máy chủ và khai thác chúng Như các máy chủ chưa được vá là một trung tâm cho những kẻ tấn công, họ phục vụ như là một điểm nhập vào network Điều này có thể dẫn đến tiếp xúc của dữ liệu cá nhân, mất mát tài chính, ngừng hoạt động, vv Cập nhật phần mềm thường xuyên và duy trì các hệ thống đúng cách của vá và sửa chữa lỗi có thể giúp giảm nhẹ các lỗ hổng gây ra do các máy chủ chưa được vá

1.2.5 Thiết kế sai sót

Lỗ hổng gây ra do lỗi thiết kế là phổ quát cho tất cả các thiết bị hoạt động

và hệ thống Thiết kế lỗ hổng như mã hóa không chính xác hoặc kém xác nhận dữ liệu, tham khảo các sai sót logic chức năng của hệ thống được khai thác bởi những

kẻ tấn công bỏ qua cơ chế phát hiện và có quyền truy cập vào một hệ thống an toàn

1.2.8 Dịch vụ mở

Mở cổng và dịch vụ có thể dẫn đến mất dữ liệu, các cuộc tấn công DoS và cho phép kẻ tấn công để thực hiện các cuộc tấn công trên các thiết bị kết nối khác Người quản trị cần liên tục kiểm tra các cổng và dịch vụ không cần thiết hoặc không an toàn để giảm nguy cơ trên network

1.3 Khái niệm đánh giá lỗ hổng

Đánh giá lỗ hổng là sự kiểm nghiệm khả năng của một hệ thống hoặc một ứng dụng bao gồm những thủ tục bảo mật cách thức kiểm soát hiện tại để xử lý

sự cố Đây là hình thức rà soát điểm yếu trong bảo mật của hệ thống mạng bao gồm các hoạt động như nhận diện đánh giá phân loại lỗ hổng bảo mật trong hệ thống máy tính, network hoặc kênh thông tin liên lạc Hơn thế nữa, nó còn giúp những chuyên gia bảo mật trong việc xác định loopholes hoặc lỗ hổng bảo mật trong hệ thống trước khi kẻ xấu lợi dụng sử dụng sai mục đích

Tóm lại, công việc đánh giá lỗ hổng giúp:

+ Phát hiện điểm yếu bảo mật trong hệ thống trước khi chúng bị khai thác

1.4.2 Đánh giá gián tiếp

Đánh giá gián tiếp là loại hình đánh giá lỗ hổng thông qua việc sniff lưu lượng truy cập hiện tại trên network để nhận dạng các hệ thống hoạt động, dịch

vụ mang, ứng dụng, và các lỗ hổng Các bài đánh giá như thế này cũng cung cấp danh sách những người dùng hiện đang sử dụng network

1.4.3 Đánh giá bên ngoài

Đánh giá bên ngoài là loại hình đánh giá lỗ hổng thông qua việc kết nối vào network từ vị trí của một hacker để tìm hiểu điểm khai thác hoặc lỗ hổng có thể truy cập ra bên ngoài Các thiết bị được sử dụng: Tường lửa, bộ định tuyến và máy chủ Một đánh giá bên ngoài ước tính mối đe dọa của các cuộc tấn công an ninh network bên ngoài tổ chức Nó xác định độ an toàn của network bên ngoài

và tường lửa

Sau đây là một số bước có thể thực hiện đánh giá bên ngoài:

+ Nhận thông tin về vùng DNS

+ Quét network bên ngoài bằng các công cụ độc quyền có sẵn trên Internet + Kiểm tra các ứng dụng web như phần mềm thương mại điện tử và giỏ hàng cho các lỗ hổng

1.4.4 Đánh giá bên trong

Đánh giá bên trong liên quan đến việc rà soát network bên trong để tìm lỗ hổng Sau đây là một số bước có thể thực hiện đánh giá nội bộ:

+ Chỉ định các cổng mở và các dịch vụ liên quan trên thiết bị network, máy chủ và hệ thống

+ Kiểm tra cấu hình bộ định tuyến và bộ quy tắc tường lửa

+ Danh sách các lỗ hổng nội bộ của hệ điều hành và máy chủ

+ Quét cho Trojan có thể xuất hiện trong môi trường nội bộ

+ Kiểm tra mức bản vá trên thiết bị, máy chủ và hệ thống network nội bộ của tổ chức

+ Kiểm tra sự tồn tại của phần mềm độc hại, phần mềm gián điệp, và hoạt động vi rút và tài liệu chúng,

+ Đánh giá bảo mật vật lý

+ Xác định và xem xét quá trình quản lý từ xa và các sự kiện,

+ Đánh giá các cơ chế chia sẻ tệp (ví dụ: NFS và SMB/CIFS chia sẻ), + Kiểm tra việc triển khai và sự kiện chống vi-rút

1.4.5 Đánh giá dựa trên máy chủ

Đánh giá dựa trên máy chủ là loai hình kiểm tra an toàn liên quan đến việc thực hiện kiểm tra mức độ cấu hình qua các dòng lệnh Các đánh giá này kiểm tra bảo mật của một network hoặc máy chủ cụ thể Máy quét lưu trữ dựa trên đánh giá hệ thống để xác định các lỗ hổng như không đúng đăng ký và quyền tập tin, cũng như các lỗi cấu hình phần mềm Đánh giá dựa trên máy chủ có thể sử dụng nhiều công cụ quét mã nguồn mở và hoặc các loại tính phí

8

1.4.6 Đánh giá network

Đánh giá network xem xét các cuộc tấn công bảo mật network có thể xảy

ra trên hệ thống của tổ chức Các đánh giá này đánh giá hệ thống của tổ chức cho các lỗ hổng như thiếu các bản vá lỗi, dịch vụ không cần thiết, xác thực yếu và mã hóa yếu Các chuyên gia đánh giá network sử dụng tường lửa và máy quét network như Nessus Các máy quét tìm cổng mở, nhận ra các dịch vụ chạy trên các cổng

và tìm lỗ hổng liên quan đến các dịch vụ Các bài thi này giúp các tổ chức xác định cách hệ thống dễ bị tấn công Internet và network nội bộ, và làm thế nào kẻ

có thể truy cập thông tin quan trọng Đánh giá network điển hình thực hiện các thử nghiệm sau trên network:

+ Kiểm tra topo network để cấu hình tường lửa không phù hợp

+ Kiểm tra các quy tắc lọc bộ định tuyến

+ Xác định các máy chủ cơ sở dữ liệu không phù hợp cấu hình

+ Kiểm tra các dịch vụ và giao thức riêng lẻ như HTTP, SNMP và FTP + Đánh giá mã nguồn HTML cho các thông tin không cần thiết

+ Thực hiện giới hạn kiểm tra các biến

1.4.7 Đánh giá ứng dụng

Đánh giá ứng dụng đánh giá tập trung vào ứng dụng web, ứng dụng server , và hệ thống Hybrid Nó phân tích tất cả các yếu tố của một cơ sở hạ tầng ứng dụng, bao gồm triển khai và giao tiếp trong máy khách và máy chủ Loại đánh giá này kiểm tra cơ sở hạ tầng máy chủ web cho bất kỳ cấu hình sai, nội dung lỗi thời và các lỗ hổng đã biết Chuyên gia bảo mật sử dụng cả công cụ mã nguồn mở

client-và thương mại để thực hiện các bài thi như vậy

1.4.8 Đánh giá mạng không dây

Đánh giá network không dây xác định các lỗ hổng trong mạng không dây của tổ chức Trong quá khứ, mạng không dây sử dụng cơ chế mã hóa dữ liệu yếu

và bị lỗi Bây giờ, các tiêu chuẩn mạng không dây đã phát triển, nhưng nhiều network vẫn sử dụng các cơ chế bảo mật yếu và lỗi thời, và được mở để tấn công Các bài thi network không dây cố gắng tấn công cơ chế xác thực không dây và truy cập trái phép Loại đánh giá này kiểm tra network không dây và xác định network không dây Rogue có thể tồn tại trong chu vi của một tổ chức Các bài kiểm tra các trang web xác định khách hàng với một network không dây Họ sniff lưu lượng truy cập network không dây và cố gắng crack khóa mã hóa Kiểm toán

Quản lý lỗ hổng bảo mật phải được thực hiện trong mọi tổ chức vì nó đánh giá và kiểm soát rủi ro và lỗ hổng trong hệ thống Quá trình quản lý liên tục kiểm tra môi trường CNTT cho các lỗ hổng và rủi ro liên quan đến hệ thống

Tổ chức nên duy trì một chương trình quản lý lỗ hổng thích hợp để đảm bảo an ninh thông tin tổng thể Quản lý lỗ hổng bảo mật cung cấp kết quả tốt nhất nếu nó được thực hiện trong một chuỗi các giai đoạn tổ chức tốt

Các giai đoạn liên quan đến quản lý lỗ hổng là:

+ Tạo Baseline

Trong giai đoạn này, các tài sản quan trọng được xác định và ưu tiên để tạo

ra một cơ sở tốt cho việc quản lý lỗ hổng

+ Đánh giá lỗ hổng

Đây là một giai đoạn rất quan trọng trong quản lý lỗ hổng Trong bước này, phân tích bảo mật xác định các lỗ hổng trong cơ sở hạ tầng tổ chức

+ Đánh giá rủi ro

Trong giai đoạn này, tất cả những bất trắc nghiêm trọng có liên quan đến

hệ thống được đánh đánh, cố định, và loại bỏ vĩnh viễn để đảm bảo một hệ thống

10

miễn phí lỗ hổng Đánh giá rủi ro tóm tắt các lỗ hổng và mức độ rủi ro được xác định cho từng tài sản được chọn Nó xác định mức độ rủi ro cho một tài sản cụ thể, cho dù đó là cao, trung bình hoặc thấp

+ Giám sát

Giám sát thường xuyên cần phải được thực hiện để duy trì an ninh hệ thống

sử dụng các công cụ như IDS/IPS, tường lửa, vv

Giám sát liên tục xác định các mối đe dọa tiềm năng và bất kỳ lỗ hổng mới nào đã phát triển

1.6 Giai đoạn đánh giá lỗ hổng

Hình 1.4 Giai đoạn đánh giá lỗ hổng

Giai đoạn đánh giá lỗ hổng đề cập đến xác định các lỗ hổng trong cơ sở hạ tầng tổ chức bao gồm hệ điều hành, ứng dụng web, máy chủ web, v.v Nó giúp xác định các loại và tính nguy hiểm của các lỗ hổng trong một tổ chức và giảm thiểu mức độ rủi ro Mục tiêu cuối cùng của việc quét lỗ hổng bao gồm quét, kiểm

tra, đánh đánh và báo cáo các lỗ hổng trong hệ thống thông tin tổ chức

Các bước liên quan tới giai đoạn đánh giá:

Bước 1: Kiểm tra và đánh giá bảo mật vật lý

Bước 2: Kiểm tra sai cấu hình và lỗi của con người

Bước 3: Quét lỗ hổng bằng cách sử dụng công cụ

Bước 4: Xác định và ưu tiên các lỗ hổng

Bước 5: Áp dụng bối cảnh kinh doanh và công nghệ để máy quét kết quả Bước 6: Thực hiện thông tin OSINT thu thập để xác nhận các lỗ hổng Bước 7: Tạo báo cáo quét lỗ hổng

1.7 Giai đoạn sau đánh giá

Hình 1.6 Giai đoạn sau đánh giá

Đây là giai đoạn khuyến cáo, được thực hiện sau khi đánh giá rủi ro Bài đánh giá dựa trên đánh giá rủi ro Đặc tính rủi ro được phân loại theo các tiêu chí quan trọng, giúp ưu tiên danh sách các khuyến nghị

Các nhiệm vụ thực hiện trong giai đoạn sau đánh giá bao gồm:

+ Tạo một danh sách ưu tiên cho các khuyến nghị đánh giá

+ Phát triển một kế hoạch hành động để thực hiện đề nghị

+ Rút kinh nghiệm để nâng cao kỹ năng xử lý trong tương lai

+ Tiến hành đào tạo cho các nhân viên

Giai đoạn sau đánh giá bao gồm đánh giá rủi ro, khắc phục, xác minh và giám sát

12

1.7.1 Đánh giá rủi ro

Trong giai đoạn đánh giá rủi ro, rủi ro được xác định, đặc trưng, và phân loại cùng với các kỹ thuật được sử dụng để kiểm soát hoặc giảm tác động của các rủi ro Đây là một bước quan trọng để xác định các điểm yếu bảo mật trong kiến trúc CNTT của một tổ chức

Các nhiệm vụ thực hiện trong giai đoạn đánh giá rủi ro bao gồm: Thực hiện các đặc tính nguy cơ, đánh giá mức độ tác động, xác định mối đe dọa và mức độ rủi ro

1.7.2 Khắc phục

Khắc phục đề cập đến các bước được thực hiện để giảm thiểu các lỗ hổng được tìm thấy như đánh dấu các lỗ hổng, định vị rủi ro và thiết kế phản hồi cho các lỗ hổng, v.v Nó là quan trọng cho quá trình khắc phục được cụ thể, đo lường, đạt được, có liên quan và thời gian ràng buộc

Các nhiệm vụ thực hiện trong giai đoạn khắc phục bao gồm:

+ Ưu tiên khuyến nghị

+ Phát triển một kế hoạch hành động để thực hiện các khuyến nghị

+ Thực hiện phân tích nguyên nhân kết quả

+ Áp dụng bản vá lỗi/sửa chữa

+ Sao lưu bài học

+ Tiến hành đào tạo nhận thức

1.7.3 Xác minh

Giai đoạn xác minh giúp các nhà phân tích bảo mật xác minh xem tất cả các giai đoạn trước đó có được sử dụng hoàn hảo hay không Giai đoạn này bao gồm việc xác minh các biện pháp được thực hiện cho việc giảm thiểu rủi ro

Các tác vụ thực hiện trong giai đoạn xác minh bao gồm:

13

Các nhiệm vụ thực hiện trong giai đoạn giám sát bao gồm: o giám sát phát hiện xâm nhập và Nhật ký ngăn ngừa xâm nhập o thực hiện các chính sách, thủ tục và điều khiển

14

Chương 2: GIẢI PHÁP ĐÁNH GIÁ LỖ HỔNG

Giải pháp đánh giá lỗ hổng là một công cụ quan trọng để quản lý bảo mật thông tin vì nó xác định tất cả các điểm yếu bảo mật trước khi kẻ tấn công có thể khai thác chúng Có nhiều cách tiếp cận và giải pháp khác nhau có sẵn để thực hiện đánh giá lỗ hổng Chọn cách tiếp cận đánh giá thích hợp đóng vai trò quan trọng để giảm thiểu các mối đe dọa mà một tổ chức đang gặp phải

Phần này phác thảo các cách tiếp cận và giải pháp được sử dụng để thực hiện đánh giá lỗ hổng

2.1 So sánh các cách tiếp cận đánh giá lỗ hổng

Có bốn loại giải pháp đánh giá lỗ hổng bảo mật: giải pháp dựa trên sản phẩm, giải pháp dựa trên dịch vụ, đánh giá dựa trên cây và đánh giá dựa trên suy luận

2.1.1 Giải pháp dựa trên sản phẩm

Các giải pháp dựa trên sản phẩm được cài đặt trong mạng nội bộ của tổ chức Chúng được cài đặt trong một không gian riêng tư hoặc không routable, hoặc phần địa chỉ Internet của một mạng của tổ chức Nếu chúng được cài đặt trong network riêng hoặc, nói cách khác, phía sau tường lửa, không phải lúc nào cũng phát hiện các cuộc tấn công bên ngoài

2.1.2 Giải pháp dựa trên dịch vụ

Các giải pháp dựa trên dịch vụ được cung cấp bởi các bên thứ ba, chẳng hạn như các công ty tư vấn kiểm toán hoặc bảo mật Một số giải pháp được lưu trữ bên trong network; những người khác được lưu trữ bên ngoài network

Một nhược điểm của giải pháp này là kẻ tấn công có thể kiểm toán network từ bên ngoài

2.1.3 Đánh giá dựa trên mô hình cây

Trong đánh giá dựa trên mô hình cây, người kiểm toán chọn các chiến lược khác nhau cho từng máy hoặc thành phần của hệ thống thông tin Ví dụ: quản trị viên chọn máy quét cho máy chủ đang chạy Windows, cơ sở dữ liệu và dịch vụ web nhưng sử dụng một máy quét cho máy chủ Linux Cách tiếp cận này dựa vào quản trị viên để cung cấp một ảnh bắt đầu về trí thông minh, và sau đó bắt đầu quét liên tục mà không kết hợp bất kỳ thông tin nào được tìm thấy tại thời gian quét

15

2.1.4 Đánh giá dựa trên suy luận

Trong một đánh giá dựa trên suy luận, quét bắt đầu bằng việc xây dựng một hàng tồn kho của các giao thức được tìm thấy trên máy Sau khi tìm thấy một giao thức, quá trình quét bắt đầu phát hiện cổng nào được gắn vào các dịch vụ như máy chủ email, máy chủ web hoặc máy chủ cơ sở dữ liệu Sau khi tìm dịch vụ, nó chọn các lỗ hổng trên mỗi máy và bắt đầu thực hiện chỉ những bài kiểm tra có liên quan

2.2 Hoạt động của các giải pháp quét lỗ hổng

Hình 2.1 Hoạt động của các giải pháp quét lỗ hổng

Bất kỳ tổ chức nào cần xử lý và xử lý khối lượng lớn dữ liệu để thực hiện công việc kinh doanh Các khối lượng lớn dữ liệu chứa thông tin của tổ chức cụ thể mà truy cập bị từ chối cho người dùng trái phép Kẻ tấn công cố gắng tìm một

số lỗ hổng mà họ có thể khai thác và sử dụng những người để truy cập vào các dữ liệu quan trọng cho các mục đích bất hợp pháp Phân tích lỗ hổng thực hiện một nghiên cứu về các khu vực dễ bị rủi ro của network tổ chức Phân tích này được thực hiện bằng cách sử dụng các công cụ khác nhau Lỗ hổng phân tích báo cáo

về các lỗ hổng trong network Các giải pháp quét lỗ hổng thực hiện kiểm tra lỗ hổng thâm nhập trên network tổ chức trong ba bước sau:

Bước 1: Định vị các node

Bước đầu tiên trong quét lỗ hổng là để tìm các máy chủ trực tiếp trong network lưới mục tiêu bằng cách sử dụng các kỹ thuật quét khác nhau

Bước 2: Thực hiện khám phá dịch vụ trên chúng

Sau khi nhận ra máy chủ trực tiếp trong network mục tiêu, bước tiếp theo

là liệt kê các cổng mở và dịch vụ trên hệ thống đích

Bước 3: Kiểm tra các dịch vụ để biết các lỗ hổng

16

Cuối cùng, sau khi xác định các dịch vụ mở, các dịch vụ này được kiểm tra các lỗ hổng đã biết

2.3 Các loại công cụ đánh giá lỗ hổng

Có sáu loại công cụ đánh giá lỗ hổng: công cụ đánh giá lỗ hổng dựa trên máy chủ, công cụ đánh giá lỗ hổng trên tầng ứng dụng, công cụ đánh giá theo chiều sâu, công cụ đánh giá phạm vi, công cụ Active/Passive, và công cụ kiểm tra

vị trí/dữ liệu

2.3.1 Công cụ đánh giá lỗ hổng dựa trên máy chủ

Máy chủ dựa trên công cụ quét là apt cho máy chủ chạy các ứng dụng khác nhau như web, tệp quan trọng, cơ sở dữ liệu, thư mục và truy cập từ xa Những máy quét dựa trên host có thể phát hiện mức độ lỗ hổng cao và cung cấp các thông tin cần thiết của các bản sửa lỗi (Patches) Một công cụ đánh giá máy chủ dựa trên

lỗ hổng bảo mật tìm thấy và xác định hệ điều hành chạy trên máy chủ cụ thể và kiểm tra nó đã biết thiếu sót Nó cũng tìm kiếm các ứng dụng và dịch vụ phổ biến

2.3.2 Công cụ đánh giá theo chiều sâu

Công cụ đánh giá theo chiều sâu được sử dụng để tìm và xác định các lỗ hổng trước đây chưa biết trong một hệ thống Nói chung, các công cụ này được

sử dụng để xác định các lỗ hổng ở mức độ sâu không ổn định Các loại công cụ bao gồm fuzzers cung cấp cho đầu vào tùy ý vào giao diện của hệ thống Nhiều người trong số những công cụ này sử dụng một bộ chữ ký lỗ hổng để kiểm tra sản phẩm có khả năng chống lại lỗ hổng bảo mật được biết đến hay không

2.3.4 Công cụ đánh giá lỗ hổng trên tầng ứng dụng

Công cụ đánh giá lỗ hổng trên tầng ứng dụng được thiết kế để phục vụ nhu cầu của tất cả các loại hệ điều hành và các ứng dụng Nhiều nguồn lực khác nhau gây ra nhiều mối đe dọa an ninh và được xác định bởi các công cụ được thiết kế cho mục đích đó Quan sát các lỗ hổng hệ thống qua Internet bằng cách sử dụng

bộ định tuyến bên ngoài, tường lửa và máy chủ web, được gọi là đánh giá lỗ hổng bên ngoài Các lỗ hổng có thể bên ngoài: DoS/DDoS, chặn dữ liệu network, v.v Đánh giá các lỗ hổng được thực hiện và các tài nguyên được dễ bị chú ý Thông tin lỗ hổng network được cập nhật thường xuyên vào các công cụ Ứng dụng-lớp

lỗ hổng bảo mật đánh giá công cụ hướng tới máy chủ web hoặc cơ sở dữ liệu

17

2.3.5 Công cụ đánh giá theo phạm vi

Phạm vi đánh giá công cụ cung cấp đánh giá bảo mật bằng kiểm tra lỗ hổng trong các ứng dụng và hệ điều hành Những công cụ này cung cấp một điều khiển tiêu chuẩn và một giao diện báo cáo cho phép người dùng chọn một quét phù hợp Những công cụ này tạo ra một báo cáo tiêu chuẩn của các thông tin tìm thấy Một

số công cụ đánh giá được thiết kế để kiểm tra một ứng dụng cụ thể hoặc loại cho

lỗ hổng bảo mật

2.3.6 Công cụ active/passive

Máy quét active thực hiện kiểm tra lỗ hổng bảo mật trên network tiêu thụ tài nguyên trên network Ưu điểm chính của máy quét đang hoạt động là quản trị viên hệ thống hoặc quản lý CNTT có quyền kiểm soát tốt thời gian và mức độ quét lỗ hổng bảo mật Máy quét này không thể được sử dụng cho hệ điều hành quan trọng vì nó sử dụng tài nguyên hệ thống ảnh hưởng đến việc xử lý các tác

vụ khác

Máy quét passivelà những người không ảnh hưởng đến tài nguyên hệ thống đáng

kể, vì chúng chỉ quan sát dữ liệu hệ thống và thực hiện xử lý dữ liệu trên một phân tích riêng biệt Một máy quét thụ động đầu tiên nhận được dữ liệu hệ thống cung cấp thông tin đầy đủ về các quy trình đang chạy và sau đó theo đó dữ liệu chống lại tập hợp các quy tắc

2.3.7 Công cụ đánh giá dựa trên vị trí và dữ liệu

Liệt kê dưới đây là một số công cụ vị trí/dữ liệu:

+ Network dựa trên Scanner: network dựa trên máy quét là những người

mà chỉ tương tác với máy thực sự nơi họ cư trú và cung cấp cho các báo cáo cho cùng một máy tính sau khi quét

+ Máy quét dựa trên đại lý: các máy quét dựa trên đại lý cư trú trên một chiếc duy nhất nhưng có khả năng quét một số máy trên cùng một network

+ Proxy Scanner: máy quét proxy là network dựa trên máy quét có khả năng quét network từ bất kỳ máy tính trong network

+ Cụm máy quét: trình quét cụm tương tự như máy quét proxy nhưng có khả năng thực hiện hai hoặc nhiều quét trên các loại khác nhau cùng một lúc trong network