- Những biện pháp an toàn safeguard: Đề bảo vệ những thông tin, dữ liệu hay tài sản quan trọng của chúng ta, người ta đã xây dựng nên những biện pháp an toàn - safeguard- ngăn chặn sự đe
Trang 1DAI HOC UEH TRƯỜNG KINH DOANH KHOA CONG NGHE THONG TIN KINH DOANH
UEH UNIVERSITY
BAO CAO HE THONG THONG TIN QUAN LY
Giang vién: Pham Thi Thanh Tam
Ma lop hoc phan: 22C 1INF509008 16 Khóa - Lớp: K47 - FT001
Sinh viên: Nguyễn Thị Ngân Giang - 31211023010
Trần Mỹ Linh - 31211026171 Trần Thị Kim Ngân - 31211024495 Nguyễn Hoài Bảo Ngọc - 31211025978 Hà Thị Kiều Oanh - 31211020981 Phạm Mai Trinh - 31211021025
TP Hỗ Chí Minh, ngày tháng năm
Trang 2Ngày nay, thông tín hay dữ liệu là một phần thiết yêu va quan trọng trong cuộc sống của chúng ta, chúng càng đặc biệt hơn khi cuộc sống ngày càng hiện đại, công nghệ kỹ thuật khoa học phát triển tột độ kéo theo sự thông tin và dữ liệu hóa ở bất cứ khía cạnh nào của công việc Vi vay thông tin và dữ liệu trở nên quan trọng hơn bao giờ hết, đặc biệt là trong lĩnh vực kinh doanh của các tổ chức, doanh nghiệp
Trước sự tác động mạnh mẽ của cuộc cách mạng số, doanh nghiệp phải đối mặt với hàng trăm bài toán về bảo mật thông tin Vậy làm thế nào đề bảo mật thông tin hiệu quả cho doanh nghiệp? Giải pháp nào có thê giúp doanh nghiệp thực hiện điều này? Hãy tìm câu trả lời trong chương số 10 của môn học Hệ thống thông tin quản lý
CHUONG 10: BAO MAT HE THONG THONG TIN Q10-1: Mục đích của việc bảo mật hệ thống thông tin là gi? Trong giáo trình môn HTTTQL Using MIS có đề cập: Bảo mật hệ thống thông tin thực sự là sự đánh đôi Theo một nghĩa nào đó, nó là sự đánh đôi giữa an ninh và tự do Ví dụ: các tổ chức có thể tăng cường bảo mật thông tin của họ băng cách lấy đi của người dùng quyền tự do chọn mật khâu của riêng họ và buộc họ phải chọn mật khâu mạnh hơn mà tin tặc khó bẻ khóa Vậy hãy củng tìm hiểu về mục đích của việc bảo mật hệ thống thông tin là gì, trước hết qua những tình huống bảo mật
1 Tình huống đe dọa/ mắt an toàn hệ thống thông tin
Safequards
Threats
Safeguard Ineffective
lệ»: Safeguard Figure 10-1 ae |
Loss Threat/Loss Scenario
Trang 3Một cách khái quát hơn, sự đe dọa là một người hoặc là I tổ chức đang có gắng tìm kiếm đề chiếm giữ hoặc thay thế dữ liệu hoặc các tài sản liên quan đến IS một cách bất hợp pháp, không có sự cho phép của người chủ sở hữu và thường là những người chủ sở hữu đó không biết
- _ Lỗ hồng bảo mật (vulnerability): Vậy thì từ đâu mà những mối đe dọa ấy có thế dễ dàng gây ảnh hưởng đến hệ thống thông tin của chúng ta? Đó chính là đo những lỗ hồng bảo mật, là các cơ hội để các mối de doa nam quyền truy cập đến các tài sản của cá nhân hay tổ chức
Vị dụ khi bạn mua một món hàng online, thông tin cá nhân và dia chi của bạn được truyền qua Internet, đó chính là một lỗ hỗng bảo mật cho những mối đe đọa đễ dàng đánh cắp thông tin của bạn
- Những biện pháp an toàn (safeguard): Đề bảo vệ những thông tin, dữ liệu hay tài sản quan trọng của chúng ta, người ta đã xây dựng nên những biện pháp an toàn - safeguard- ngăn chặn sự đe dọa đến các nắm giữ tài sản Chúng ta sẽ phân tích kỹ hơn về các biện pháp bảo vệ này ở những phần sau
- Mục tiêu của các mối đe đọa (Target) : chính là những tài sản về thông tin, đữ liệu mà các mối đe dọa muốn có được
Sau khi đã phân tích qua một số yếu tố của vấn dé bao mat, hay cùng quay lại ảnh minh họa 10-1 đề cùng tìm hiểu kỹ hơn về mối quan hệ các yếu tố này
Đầu tiên những mối đe dọa như con người, thiên tai dựa vào những lỗ hỗng bảo mật mà muốn xâm nhập và chiếm đoạt mục tiêu ( là tài sản, thông tin, đữ liệu) của bạn, tuy nhiên, sau khi thông qua lễ hỗng bảo mật, các mối đe đọa có 3 trường hợp gặp phải chia làm 3 mũi tên như hình:
THI: Cac mối đe dọa gặp phải biện pháp bảo mật hiệu quả và bị chặn lại khỏi biện pháp bảo mật ấy
TH2: Các mối đe dọa cũng gặp phải biện pháp bảo mật tuy nhiên các biện pháp này không hiệu quả và các mối đe dọa tiến thắng đến mục tiêu
TH3: Các mối de đọa thậm chí không gặp phải biện pháp bảo mật và dé dang xâm nhập và chiếm đoạt tài sản
Cả trường hợp 2 và 3 đều gây ra hậu quả là bị mắt tài sản, thông tin và đữ liệu của minh
Qua ví dụ trên, ta có thế thấy rằng không phải biện pháp bảo mật nào cũng hiệu quả, hãy cùng phân tích 2 tinh huống sau để hiểu rõ vấn đề này
Only access No loss Effective Hacker wants to Hacker creates a sites using safequard steal your bank phishing site nearly | https
login credentials identical to your
online banking site | None Loss of login Ineffective
credentials safeguard Employee posts Public access Passwords Loss of Ineffective sensitive data to not-secure Procedures sensitive data | safequard to public group Employee
Google + group training
Trang 4
Too long to read on
your phone? Save
to read later on
Tinh huong 1: your computer
Mối đe dọa: hacker
Mục tiêu: muốn đánh cắp thông tin đăng nhập [] Save to a Stu dylist
Lỗ hồng bảo mật: Hacker tạo ra trang web lừ hàng của bạn nêu bạn nhập vào link lừa đảo, bạu sv vu; vaun vay wong un Guang nap tài khoản ngân hàng
Biện pháp bảo vệ: đến đây có 2 trường hợp:
- Chỉ truy cập trang web sử dụng mã https, bình thường chúng ta chỉ đang nhập vảo trang web có https nên hăn bạn sẽ không nhấp vào đường link giả mạo => không có mất mát nào xảy ra nên biện pháp bảo mật này hiệu quả
Không có biện pháp bảo mật vì vậy bạn bị mat thông tin đăng nhập tài khoản ngân hàng vào tay hacker, vì vậy trường hợp này biện pháp an toàn không hiệu quả hay nói khác hơn là không có biện pháp an toàn
Tình huống 2: Mỗi đe đọa: Nhân viên post đữ liệu nhạy cảm lên nhóm công khai trên Google + Mục tiêu: dữ liệu nhạy cảm
Lỗ hồng bảo mật: Quyền truy cập công khai vào nhóm không an toàn Biện pháp bảo vệ:
Trong trường hợp này, lẽ ra nên có nhiều biện pháp an toàn đề ngăn chặn việc bị lộ những đữ liệu đó, như người nhân viên có password để truy cập những đữ liệu nhạy cảm và tham gia vào nhóm riêng tư, những group chỉ dành cho công việc Những người sử đụng lao động có các quy trình rằng nhân viên không được post những dữ liệu quan trọng lên bất kỳ trang công cộng nào, như Google +, nhưng có vẻ những quy trình này đã không được nhắc đến hoặc bị lờ đi Biện pháp an toàn thứ 3 là trong quá trình training tất cả nhân viên phải được hướng dẫn các biện pháp này Bởi vì người nhân viên đã lờ đi các quy trình, vậy nên tất cả các biện pháp an toàn đều không hữu hiệu và kết quả là những dữ liệu này bị phát tán công khai
Từ 2 tình huống trên chúng ta có thể thấy một khi bị mất những thông tin dữ liệu, hậu quả có lẽ sẽ rất lớn, vì vậy, việc hiểu về những mối đe dọa và những loại ton thất mất mát là rất quan trọng dé chúng ta có thé phòng ngừa và xây dựng biện pháp an toàn hiệu quả
2 Những nguồn có thể dẫn đến các mối đe dọa: 2.1 Lỗi do con người
Lỗi này được gây ra do các vấn để ngẫu nhiên gây ra bởi cả nhân viên/ những người khác Lỗi này có thê gây ra bởi các vấn đề như:
- _ Không hiểu rõ quy trình vận hành
Trang 5Ví dụ: Một nhân viên không rõ quy trình vận hành và bất cân xóa hết tất cả dữ liệu khách hàng
- _ Các chương trình ứng dụng viết kém, quy trình được thiết kế kém
Vị dụ: Một nhân viên trong quá trình sao lưu CSDL, vô tỉnh cài đặt CSDL cũ lên trên CSDL hiện tại Danh mục này cũng bao gồm các chương trình ứng dụng viết kém và quy trình được thiết kế kém - Cac tai nan vat ly
Vị dụ: Trong quá trình làm việc, bạn vô tỉnh có va chạm mạnh khiến máy tính hay các thiết bị của mình bị rơi bế, làm ảnh hướng đến cơ sở dữ liệu đang hoạt động
2.2 Tội phạm máy tính (tin tặc) Bao gồm các nhân viên, nhân viên cũ có ý định phá huỷ đữ liệu hoặc là các thành phần khác của hệ thống Nó cũng bao gồm các hackers muốn xâm nhập vào hệ thống, virus, sâu máy tính Tin tặc còn bao gồm cả những phần tử khủng bố và những người muốn xâm nhập vào hệ thống đề đánh cắp cho mục đích là những khoản lợi về tải chính
2.3 Thiên tai, thảm họa tự nhiên: Gồm hoả hoạn, lũ lụt, bão, động đất, sóng thần, sạt lở tuyết và các thiên tai khác Vấn đề ở đây không chỉ riêng về việc mất mát khả năng và dịch vụ ban đầu, còn có những mắt mát đến từ hành động đề khôi phục từ sự cố ban đầu
Những nguồn trên có thể dẫn đến các mối đe dọa khiến thông tin có thể bị mất mat theo những kiểu theo bảng sau:
Trang 6
3 Những loại mất mát thông tin 3.1 Tiết lộ dữ liệu trái phép: Tiết lộ dữ liệu trái phép xảy ra khi một mối đe dọa lấy được đữ liệu được cho là cần được bảo vệ
Nó có thể xảy ra đo lỗi của con người khi ai đó vô tình tiết lộ đữ liệu vi phạm chính
sách
Vi dụ: ở một trường đại học, một quản trị viên bộ phận đăng tên sinh viên, giấy tờ tùy thân MSSV lên một trang web công cộng gây ảnh hưởng rất nhiều đến đời sống cá nhân của những sinh viên
Bên cạnh đó, tội phạm máy tính có thể xâm nhập, đánh cắp, xáo trộn hay làm hư hao thông tin đữ liệu bằng các kỹ thuật lừa đảo phỏ biến sau:
Pretexting: xảy ra khi ai đó lừa dối bằng cách giả làm người khác Vị dụ: Trên mạng hiện nay xuất hiện rầm rộ một hình thức lừa đảo đặc biệt, một video trên trang mạng xã hội kê về việc lừa đảo nảy, bạn post video chia sẻ răng một người đàn ông lạ gọi đến cho bạn ấy, tự xưng mình là cảnh sát giao thông và phát hiện bạn có một văn bản xử lý vi phạm luật an toàn g1ao thông ở cục, theo phản xạ tự nhiên đương nhiên bạn này sẽ từ chối và nói rằng gần đây mình không có gặp phải trường hợp vi phạm như vậy, sau đó ngay lập tức người đàn ông thể hiện bất ngo va noi rang ban hay doc ho va tén va số căn cước công dân cho hắn đề hắn tra lại thông tin, đó chính là chiêu thức mà hắn lấy thông tin cá nhân quan trọng của chúng ta, vì vậy hãy tỉnh táo hết sức trước những trò lừa đảo ngày càng tinh vi nay
Phishing: một kỹ thuật tương tự đề lẫy dữ liệu trái phép sử dụng ghi sẵn thông qua email Kẻ lừa đảo giả mạo là một công ty hợp pháp và gửi email yêu cầu dữ liệu bí mật như số tài khoản, Số An sinh xã hội, mật khẩu tài khoản, v.v Đoạn video sau sẽ đề cập kỹ hơn về phương thức lừa đảo Phishing: https:/Awww.youtube.com/watch?
v=Y7zNIEMDml4&ab_channel=IDGTECHtalk Spoofing: một thuật ngữ khác để chỉ một người nảo đó giả làm người khác Nếu bạn giả vờ là giáo sư, bạn đang giả mạo giáo sư của bạn
Sniffing: một kỹ thuật đề chặn liên lạc máy tính Với mạng có dây, sniffing yéu cầu kết nỗi vật lý với mạng Với mạng không đây, Wardrivers chỉ cần đưa máy tính có kết nối không đây qua một khu vực vả tìm kiếm các mạng không dây không được bảo vệ Họ có thể giám sát và chặn lưu lượng truy cập trên mang không dây không an toàn Ngay cả các mạng không dây được bảo vệ cũng dễ bị tấn công Phần mềm gián điệp và phần mềm quảng cáo là hai kỹ thuật sniffing
Trang 7-_ Hacking: đột nhập vào máy tính, máy chủ, mạng đề lây cắp đữ liệu như danh sách khách hàng, đữ liệu kiêm kê sản phẩm, dữ liệu nhân viên và các đữ liệu độc quyền và bí mật
Cuối cùng, mọi người có thê vô tình tiết lộ đữ liệu trong quá trình khôi phục sau thảm họa thiên nhiên Trong quá trình khôi phục, mọi người đều tập trung vào việc khôi phục khả năng hệ thống mà họ có thế bỏ qua các biện pháp bảo vệ an ninh thông thường
3.2 Sửa đỗi dữ liệu không chính xác Vi đụ bao gồm tăng chiết khấu cho khách hàng không chính xác hoặc sửa đôi không chính xác tiền lương, ngày nghỉ phép, hoặc tiền thưởng hàng năm của nhân viên Việc sửa đôi dữ liệu không chính xác có thê xảy ra do lỗi của con người khi nhân viên làm theo quy trình xử lý không chính xác hoặc khi các quy trình đã được thiết kế không chính xác
Tội phạm máy tính có thế sửa đôi dữ liệu trái phép bằng cách xâm nhập vào máy tính hệ thống Ví dụ: tin tặc có thê xâm nhập vào hệ thống và chuyền số dư tài khoản của mọi người hoặc đặt lệnh vận chuyền hàng hóa đến các địa điểm và khách hàng không được phép
Các hành động khôi phục bị lỗi sau thảm họa có thê dẫn đến thay đổi dữ liệu không chính xác
3.3 Dịch vụ bị lỗi:
Trước hết dịch vụ bị lỗi bao gồm các sự cố do không chính xác vận hành hệ thống Dịch vụ bị lỗi có thể bao gồm sửa đối dữ liệu không chính xác, các hệ thống hoạt động không chính xác như gửi nhằm hàng hóa cho khách hàng hoặc gửi hàng đã order
đến nhằm khách hàng, hóa đơn không chính xác, hoặc gửi nhằm thông tin đến nhân
viên Con người có thể vô tình gây ra lỗi dịch vụ bằng cách thực hiện các thủ tục những sai lầm Các nhà phát triển hệ thông có thê viết chương trình không chính xác hoặc mắc lỗi trong quá trình cài đặt phần cứng, chương trình phần mềm và dữ liệu
Về phần các tội phạm máy tính, họ xâm nhập hệ thống máy tính và thay thế các chương trình bằng những chương trình trái phép của riêng chúng, thay thế xử lý riêng đề do thám, đánh cắp hoặc thao túng đữ liệu hay mục đích khác quá tình này gọi là sự chiếm đoạt (usurpation)
Dịch vụ bị lỗi có thê cũng có thể đo dịch vụ được khôi phục không đúng cách trong quá trình khắc phục hậu quả thiên tai
3.4 Từ chối dịch vụ: Từ chối dịch vụ là một cuộc tấn công nhằm tắt máy hoặc ngắt kết nối, khiến nguol dùng ngừng truy cập Các cuộc tấn công DoS thường hoạt động băng cách áp đảo hoặc làm quá tải mục tiêu với các yêu cầu cho đến khi không thế xử lý, dẫn đến từ chối địch vụ cho người đùng
Trang 8Người dùng có thế gây ra loại mất mát thông tin này nếu bát can, ví dụ: con người có thể vô tình tắt máy chủ Web hoặc bộ định tuyến công của công ty khiến các giao dịch đặt hàng không thể thông qua gây ảnh hưởng rất lớn đến việc kinh doanh của công ty
Tội phạm máy tính có thé khởi động một cuộc tấn công từ chối dịch vụ có chủ đích, Áp đảo hoặc làm quá tải công suất của máy được nhắm mục tiêu bằng các yêu cầu trong một thời gian ngắn đến mức nó chiếm hết hard disk space, memory hoặc CPU time có săn, dẫn đến từ chối dịch vụ cho người dùng
Thiên tai có thể khiến hệ thống bị lỗi, dẫn đến từ chối dịch vụ 3.5 Thiệt hại cơ sở hạ tầng:
Nhiều khi tai nạn về người làm mất cơ sở hạ tầng Ví đụ như cắt một ống dẫn cáp quang và bộ đệm sản đâm vào giá đỡ của máy chủ Web khiến chúng bị hư hại ảnh hưởng đến dữ liệu trong máy
Các sự kiện trộm cắp và khủng bố cũng gây ra mắt mát cơ sở hạ tầng
Ví dụ, nhân viên ngủ gật có thế bỏ đi với các máy chủ đữ liệu của công ty, bộ định tuyến hoặc các thiết bị quan trọng khác Các sự kiện khủng bố cũng có thể gây ra sự mất mát của các nhà máy và thiết bị vật chat
Thiên tai là nguy cơ lớn nhất đối với mất mát cơ sở hạ tầng Hỏa hoạn, lũ lụt, động đất, hoặc các TH tương tự có thê phá hủy trung tâm dữ liệu và tất cả đữ liệu được lưu trữ trong đó Gây hậu quả cực kỳ nghiêm trọng về mọi mặt
Trên đây là các nguồn dẫn đến các mối đe dọa và các loại tốn thất mất mát về dữ liệu thông tin từ các mối đe dọa ấy, vì vậy an toàn của hệ thống thông tin quản lý là cực kỳ quan trọng đối với mỗi cá nhân hay một tập thể, vậy mục tiêu của an toàn hệ thống thông tin là gì?
4 Mục tiêu của an toàn hệ thống thông tin: Như thê hiện trong các tình huồng ở trên, các mối đe dọa cần được được ngăn chặn để phòng trừ các rủi ro có thể gây ra cho cá nhân hay tập thế, tùy vào trường hợp và loại dữ liệu bị xâm hại thì các rủi ro này có thê là rất lớn hay rất nhỏ, chỉ phí tôn thất có thê được giảm bớt băng cách tạo ra các biện pháp bảo vệ thích hợp Tuy nhiên, các biện pháp bảo vệ rất tốn kém để tạo và duy trì Họ cũng làm giảm hiệu quả công việc bang cách làm cho các nhiệm vụ thông thường trở nên khó khăn hơn, tang chi phi lao động
Vì vậy, Mục tiêu của an toàn hệ thống thông tin là tìm ra sự cân bằng thích hợp giữa rủi ro tốn thất và chỉ phí thực hiện các biện pháp bảo vệ Các chuyên gia kinh doanh cần cân nhắc sự đánh đôi đó một cách cần thận
Trong cuộc sống cá nhân của bạn, bạn nên chắc chắn sử dụng phần mềm chống vi-rút Những biện pháp bảo vệ như vậy có đáng không? Bạn cần đánh giá rủi ro và lợi ích cho chính mình.
Trang 9Cũng vậy các tô chức hay doanh nghiệp cũng cần thực hiện quá trình đánh giá sự cân bằng giữa rủi ro và chi phí một cách có hệ thống và cân thận hơn đề xây dựng các biện pháp bảo vệ dữ liệu của họ Trên đây chính là đáp án cho câu hỏi thứ nhất, mục tiêu của an toàn hệ thống thông tin là gì, cũng là câu trả lời cho câu hỏi đầu tiên của chương: Q10-1 Mục đích của việc bảo mật hệ thống thông tin là gì? Vậy vấn đề bảo mật máy tính lớn đến mức nào và nó ảnh hưởng thế nào đến các đoanh nghiệp và ngành kinh tế? Trả lời câu hỏi thứ hai sẽ cho chúng ta biết đáp án
Q10-2: Vấn đề bảo mật máy tính lớn dén mức nào ? Một vấn đề bảo mật thông thường gồm 4 yếu tố chính: nguyên nhân, tội phạm máy tính, mức độ thiệt hại, và rủi ro tiềm ẩn
1 Nguyên nhân Trước hết là nguyên nhân của vấn đề bảo mật, như đã đề cập ở phần trên, có 3 nguyên nhân chính dẫn đến một vấn đề bảo mật: lỗi do người (bất cần của người sử dụng, do tội phạm máy tính) và do thiên tai tuy nhiên Tuy nhiên lỗi do con người vẫn là rất lớn Những nguyên nhân này thường gây ra thiệt hại đáng nghiêm trọng cho mỗi doanh nghiệp
Một số ví dụ thực tế về thiệt hại: - (Dva trén bao cao an toan gan day cua Risk Based Security) Nam 2014 là năm
ky luc do mat 1.1 ty hồ sơ cá nhân trong 3.014 sự cô an ninh Một số trong số các vi phạm dữ liệu đáng chú ý hơn bao gồm việc mất tài khoản người dùng tại Home Depot (56 triệu), JPMorgan (83 triệu) và eBay (145 triệu) Và con số đó
thậm chí còn chưa tính đến khoản lỗ hơn 100TB dữ liệu công ty từ Sony hoặc
mất hàng trăm bức ảnh khỏa thân của người nồi tiếng từ Apple iCloud - _ Tổn thất do thiên tai cũng rất lớn và không thê tính toán được chẳng hạn như
trận động đất ở Nhật Bản năm 2011, làm ngừng hoạt động sản xuất của Nhật Bản, và những tôn thất đã xảy ra chuỗi cung ứng từ Viễn Đông đến Châu Âu và Hoa Kỳ Người ta chỉ có thể tướng tượng chỉ phí rất lớn cho các công ty Nhật Bản khi họ khôi phục lại hệ thống thông tin của mình
Vì vậy các mối đe dọa từ các nguyên nhân trên chủ yếu đến từ: - Cac tin tặc bên ngoài muốn đánh cắp hỗ sơ người dùng - Thién tai
Mục tiêu của các mối đe doa trén: - các tin tặc thường nhăm đến các doanh nghiệp có độ bảo mật thông tin kém,
hay hệ thống thông tin đữ liệu của họ có nhiều lỗ hồng bảo mật - _ Các quốc gia nằm ở vị trí địa lý thường hay xảy ra thiên tai cũng là mục tiêu
lớn dễ đàng bị hư hao thông tin dữ liệu 2 Tội phạm máy tính
Như đã được đề cập ở trên, con người chính là nguyên nhân chủ yếu dẫn đến các hư hao và mắt mát của hệ thống thông tin dữ liệu Một nghiên cứu được thực hiện trong 5
Trang 10năm bởi Ponemon Institute, một nhóm tư vẫn chuyên về tội phạm máy tính đã chỉ ra 6 cuộc tấn công đắt tiền nhất từ năm 20210 đến năm 2014 Những cuộc tân công này bảo gôm:
Demial of service: ( từ chối dịch vụ) nói về một cuộc tấn công nhằm tắt máy hoặc ngắt kết nối, khiến người đùng ngừng truy cập ( đã được đề cập pử phần trên)
Malicious Insiders ( những nội gián độc hại): là những cuộc tấn công do nội gián làm việc trong một tổ chức hay doanh nghiệp, các nội gián này lạm dụng thông tin xác thực hợp pháp một cách ác ý và cô ý, thường để gây tôn hại cụ thê cho một tổ chức hoặc cá nhân
Những việc gây hại Được thực hiện bởi quản trị viên hệ thống, lập trình viên hoặc nhân viên hiểu biết về kỹ thuật khác, những người có thể che giấu các hành động độc hại của họ và vô hiệu hóa hoạt động của tô chức
Web-based attacks: Chinh la những cuộc tan công mà tin tặc lợi dụng lỗ hồng hoặc điểm yếu nghiêm trọng trong các ứng đụng web cho phép tội phạm truy cập trực tiếp và công khai vào cơ sở đữ liệu để đánh cắp dữ liệu nhạy cảm Nhiều cơ sở đữ liệu trong số này chứa thông tin có giá trị (ví dụ: dữ liệu cá nhân và chỉ tiết tài chính) khiến chúng trở thành mục tiêu tấn công thường xuyên
Maliclous code (Mã độc hại) Mã độc là một chương trình được bí mật chèn vào hệ thống mạng nhăm thực hiện các hành vi phá hoại Khi xâm nhập thành công, mã độc có thể đánh cắp thông tin, làm gián đoạn hệ thống hoặc gây tổn hại tới tính bí mật, tinh toan ven và tính sẵn sảng của máy tính nạn nhân Phishing and social engineering: phishing đây là một thuật ngữ quen thuộc đã được phân tích ở phần trước chỉ việc lừa đảo thông tin của người khác thông qua email Còn Social Engineering (hay tấn công phi kỹ thuật) là thuật ngữ phô biến trong lĩnh vực bảo mật thông tin, mô tả kiểu tấn công sử dụng các hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hông bảo mật của máy móc, thiết bị Qua đó, kẻ tấn công có thê đạt được các mục đích của mình như xâm nhập vào hệ thống, truy cập thông tin quan trọng, mà không cần phải thực hiện những kỹ thuật tấn công quá phức tạp Phishing là m6t hinh thire nho cua social engineering
Stolen devices: danh cap thiết bi, chỉ những cuộc tấn công nhằm đánh cắp các thiết bị phần cứng, hay các phần chứa những đữ liệu quan trọng của một tô chức hay doanh nghiệp
Hình 10-4 cho thấy kết quả của cuộc khảo sát về 6 cuộc tấn công trên:
Trang 11
Qua từng năm, số lượng của các cuộc tấn công của những loại tội phạm này đang giảm nhẹ, nhưng chỉ phí trung bình của các cuộc tấn công này lại đang tăng lên, một số cuộc tấn công gây tôn thất chỉ phí rất lớn Từ đó, biếu đỗ về chi phí tôn thất cho những cuộc tân công theo bảng trên như sau:
$300,000 Average Computer Crime Cost
$250,000 $200,000 $150,000 $100,000 $50,000
Denial of Service Malicous
Malicous Code Phishing & Social
Engineering 2013 ™ 2014
- _ Những nội gián tấn công ngảy càng tỉnh vi và có hệ thông hơn - _ Chí phí trung bình của các loại tấn công còn lại đang giảm nhẹ => Từ những khảo sát trên, ta có thê thấy nội gián độc hại à một mối đe dọa an ninh ngày càng nghiễm trọng
Stolen Devices
Trang 12Ở đây, tôn thất thiệt hại về thiết bị chiếm giá trị khá nhỏ so với những tôn thất trong gián đoạn kinh doanh và mắt dữ liệu, đây cũng là một việc dễ hiểu vì tổn thất trong gián đoạn kinh doanh và mắt thông tin rất khó để khắc phục, hay trong quá trình khắc phục để mắc phải những sai sót, trong khi đó, các thiết bị tồn that có thé dé dang stra chữa và đổi mới
=> Do đó, giá trị nằm ở dữ liệu chứ không phải trong phần cứng Vì vậy sự gián đoạn kinh doanh và mat mát dữ liệu mới chính là những hậu quả chính gây ra bởi tội phạm máy tính
4 Rúi ro tiềm ân Nhìn về tương lai xa hơn, mỗi một doanh nghiệp cần phải nắm bắt được các rủi ro có thế xảy đến với hệ thống thông tin đữ liệu để kịp thời khắc phục và bảo vệ dữ liệu Trong một nghiên cứu riêng biệt, nghiên cứu Ponemon đã báo cáo về các rủi ro tìm ân cho một doanh nghiệp rang:
- 78% số người được khảo sát cho rằng: Nhân viên câu thả hoặc bất cân không tuân theo các chính sách bảo mật là rủi ro tìm ân khiến các doanh nghiệp gặp phải vấn đề bảo mật
- 68% số người được khảo sát cho rằng: Các thiết bị cá nhân được kết nối với mạng công ty
- 66% số người được khảo sát cho rằng: Việc nhân viên sử dụng các ứng dụng thương mại dựa trên đám mây làm việc
Ngoài ra, nghiên cứu về chi phí tội phạm máy tính năm 2014 bao gồm phân tích chuyên sâu về ảnh hưởng của các chính sách bảo mật khác nhau đối với việc tiết kiệm trong tội phạm máy tính, nghiên cứu cho rằng các tổ chức chỉ tiêu nhiều hơn để tạo ra các biện pháp bảo vệ được thảo luận trong Q10-4 đến Q10-7 (ở phần sau của chương nảy) sẽ ít gặp phải tội phạm máy tính hơn và chịu thiệt hại nhỏ hơn khi chúng xảy ra Vì vậy, họ đưa ra kết luận rằng: Các biện pháp bảo vệ an ninh có hoạt động và hoạt động hiệu quả
Từ những bảng phân tích và thống kê trên qua nghiên cứu Ponemon, chúng ta có thể rút ra được 4 điểm mấu chốt của một vấn đề bảo mật là:
- Nội gián độc hại là một mối đe dọa an ninh ngày càng nghiêm trọng có khả
- _ Các biện pháp bảo vệ an ninh có hoạt động hiệu quả Trên đây là câu trả lời cho câu hỏi thử 2: Vấn đề bảo mật lớn đến mức nảo, nó ảnh hưởng như thế nào đổi với tổ chức và doanh nghiệp, vậy thì người sử dụng hệ thông
Trang 13dữ liệu nên phản ứng như thế nào đến với những vấn đề bảo mật này? Đây cũng chính là câu hỏi thứ 3 của bài học
Q10-3: Ban nén ứng phó với các rủi ro bảo mật như thể nào?
Ứng phó với các sự cô an ninh mạng bao gôm một loạt các giai đoạn phải được lên kê hoạch cân thận Kê hoạch cân phải có sự tham gia của các chuyên gia với năng lực đa dạng về điều tra, bảo mật thông tin, pháp lý, tuân thủ quy định và truyền thông
Biện pháp L: Coi trọng vấn đề bảo mật máy tính Vấn đề bảo mật là một trong những chủ đề luôn được thảo luận và quan tâm đặc biệt từ khi có sự bùng nỗ của Internet và máy vi tính, điện thoại cá nhân nói riêng hay các sản phẩm điện tử, kỹ thuật số nói chung Sau đây chúng ta sẽ củng tìm hiểu về các biện pháp bảo vệ trước các mối đe đọa đề từ đó tìm ra một sự đánh đổi hiệu quả giữa rủi ro mất mát và chỉ phí của các biện pháp bảo vệ Một khảo sát mới của Google và Harris Poll cho thấy hơn một nửa số người Mỹ đang sử dụng cùng một mật khâu cho nhiều tài khoản khác nhau Tương tự như vậy, gần 1⁄3 không sử đụng xác thực hai yếu tổ (hoặc thậm chí không biết rằng họ đang sử dụng nó) Và chỉ 1⁄4 số người đang tích cực sử dụng trình quản lý mật khâu Điều này cho thấy đại đa số mọi người đang sử dụng các mật khâu không đủ mạnh và có thê dễ đàng bị tấn công bất cứ lúc nào
Mọi thứ trở nên tôi tệ hơn khi: Theo một phân tích của LastPass 2018, một nửa số chuyên gia đang sử đụng củng một mật khâu cho cả tài khoản cá nhân và công việc Một nhân viên trung bình chia sẻ khoảng sáu mật khâu với đồng nghiép trong suốt quá trình làm việc của mình
Vào năm 2017, Verizon đã phát hiện ra rằng mật khâu yếu là nguyên nhân của hơn 80% các vi phạm liên quan đến đánh cắp thông tin trong các doanh nghiệp Hãy nghĩ về những rủi ro đối với đữ liệu của tổ chức nếu bạn sử dụng cùng một mật khâu cho cả tài khoản cá nhân và công việc trên cùng một thiết bị di động Khi bạn đăng nhập vào một tiện ích bat ky chang han như một lời nhắc trên một trang web bán lẻ ngẫu nhiên, một ứng dụng trò chuyện hoặc diễn dan tin nhắn, cũng có thế mang lại các hậu quả khôn lường cho doanh nghiệp Bây g giờ kết hợp rủi ro đó với rủi ro đã nói ở trên về nhiễu sóng Wi-Fi, nhân nó với tông số nhân viên tại nơi bạn làm việc, bạn sẽ thấy các nguy cơ về bảo mật di động trở nên lớn như thế nào
Một vấn đề vô cùng bất cập đến từ thực tế đã cho chúng ta thấy được tầm quan trọng của việc coI trọng vấn đề bảo mật và sử dụng các mật khâu cá nhân Chuyên gia bảo mật máy tính chạy các hệ thông phát hiện xâm nhập đề tìm ra
các cuộc tân công
Trang 14- Và Hệ thống phát hiện xâm nhập do chinh 1a Intrusion Detection Systems (IDS): là một chương trình máy tính nhận biết khi một hoặc nhiều máy tính khác đang cố gắng quét hoặc truy cập máy tính hoặc mạng Nếu việc xâm nhập này đến từ nước ngoài thì chúng ta không thế làm gì với chúng ngoại trừ sử dụng các biện pháp bảo vệ hợp lý
Biện pháp 2: Tạo và sử dụng mật khẩu mạnh - Tấn công Brute Force là một loại tắn công mạng, trong đó bạn có một phần
mềm, xoay vòng các ký tự khác nhau, kết hợp đề tạo ra một mật khâu đúng Phần mềm Brute Force Attack password cracker đơn giản sẽ sử dụng tất cả các kết hợp có thể dé tìm ra mật khâu cho máy tính hoặc máy chủ mạng Nó rất đơn giản và không sử dụng bất kỳ kỹ thuật thông minh nào Vì phương pháp nảy chủ yếu dựa trên toán học, phải mat it thoi gian hon dé crack mật khẩu, bằng cách sử đụng các ứng dụng brute force thay vì tìm ra chúng theo cách thủ công Nói phương pháp này dựa trên toán học vì máy tính làm rất tốt các phép toán và thực hiện chúng trong vài giây, nhanh hơn rất nhiều lần so với bộ não con người (mất nhiều thời gian hơn đề tạo ra các sự kết hợp)
- _ Nhà nghiên cứu bảo mật John Pozadzides ước tinh răng một cuộc tấn công có thê bẻ khóa mật khâu bao gồm trên dưới 6 ký tự hoặc chữ thường trong khoảng 5 phút Tuy nhiên, cuộc tấn công cần 8,5 ngày để bẻ gãy chiều dài của mật khâu có hỗn hợp chữ hoa và chữ thường, số và ký tự đặc biệt Mật khâu 10 chữ số chỉ gồm các chữ cái viết hoa và viết thường mất 4,5 năm đề bẻ khóa, nhưng một mật khâu sử dụng hỗn hợp các chữ cái, số và các ký tự đặc biệt đòi hỏi gần 2 triệu năm Một mật khâu chỉ gồm 12 chữ số cần 3 triệu năm và một mật khâu hỗn hợp 12 chữ số sẽ mắt rất nhiều, rất nhiều năm, bất kỳ ngôn ngữ nào Biện pháp 3: Sử dụng nhiều mật khâu
- Một mật khâu nên có 10 ký tự trở lên bao gồm sự kết hợp giữa chữ hoa, chữ thường, số và các ký tự đặc biệt Và các mật khâu này không được giống nhau giữa các trang web, đặc biệt là về tài khoản ngân hàng, mạng xã hội, Biện pháp 4: Không gửi những dữ liệu có giá trị qua email hoặc IM
- Cac email và instant messaoe (tin nhắn khẩn) không phải là một kênh gửi thông tin an toàn Do đó, bạn không nên gửi dữ liệu hoặc thông tin nhay cam trong email hoặc IMI, dù được viết trong nội dung hay dưới dạng tệp đính kèm - _ Tiến sĩ Catherine J Ullman, Nhà phân tích An ninh Thông tin Cao cấp của UB
cho biết: “Email theo mặc định không phải và không bao giờ được dự định là một cơ chế an toàn đề gửi dữ liệu nhạy cảm “Mặc dù bạn cần thông tin xác thực đề đăng nhập và truy cập email trong hộp thư của mình, nhưng email được gửi theo mặc định từ máy chủ nảy sang máy chủ khác dưới dạng văn bản rõ ràng mà bất kỳ ai cũng có thê đọc được khi chuyền tiếp
Trang 15Mặc dù mã hóa chỉ một tệp đính kèm có thê được thực hiện dễ dàng hơn, nhưng các tệp đính kèm này có thê bị xóa bởi hệ thống thư vì không thể quét nội dung của chúng để đảm bảo an toản
Tiếp theo chúng ta sẽ đến với biện pháp số 5 là chỉ mua từ các nhà cung cấp trực tuyến có uy tín bằng kết nối https an toan
Biện pháp 5: Sử đụng nguồn https tại các nhà cung cấp đáng tin cậy, có uy tín HTTPS là viết tắt của chữ (Hypertext Transfer Protocol Secure) nghĩa là giao thức truyền tải siêu văn bản an toàn Nguồn gốc xuất phát chính là giao thức HTTP, tuy nhiên nó được tích hợp thêm Chứng chi bao mat SSL muc dich nhăm mã hóa các thông điệp giao tiếp dé tăng cường tính bảo mật tối ưu Có thể hiểu theo nghĩa khác như, HTTPS chính là phiên bản khác của HTTP nhưng an toàn và bảo mật hơn
Biện pháp 6: Xóa nội dung có gia tri cao khỏi máy tính Khi chúng ta ra khói văn phòng hay môi trường làm việc, chúng ta nên tránh đem theo những dữ liệu có tính giá trị cao trong máy tính xách tay Vì việc này có thể là cơ hội để những kẻ tấn công sẽ lấy cắp thông tin của bạn và gây ảnh hưởng xấu đến cá nhân cũng như doanh nghiệp bạn đang hoạt động
Biện pháp 7: Xóa lịch sử duyệt web, tệp tạm thời và bộ nhớ cookies (CCleaner hoặc phần mềm tương tự)
Cookie được biết đến là các tệp nhỏ mà trình duyệt của bạn nhận được khi bạn truy cập các trang Web
Trình duyệt của bạn luôn thu thập và lưu trữ dữ liệu mỗi lần lướt web Dữ liệu này tạo ra cookie và cache (bộ nhớ đệm), giúp bạn duy trì đăng nhập tài khoản và tải các website truy cập thường xuyên nhanh hơn
Tuy nhiên, việc lưu trữ thông tin sẽ tiềm ấn những rủi ro mất thông tin cá nhân nhạy cảm và gây đây bộ nhớ thiết bị di động của bạn
Đề dọn đẹp các dữ liệu trên giúp tăng độ an toàn thông tin cũng như chạy hiệu quả các trình duyệt web, chúng ta có thê str dung phan mém CCleaner CCleaner là một sản phâm mã nguồn mở, miễn phí sẽ thực hiện một cách triệt đề việc loại bỏ một cách an toản loại bỏ tất cả đữ liệu đó Bạn nên tạo một bản sao lưu máy tính của mỉnh Tuy nhiên trước khi sử dụng CCleaner, việc xóa và tắt cookie là một ví dụ tuyệt vời về sự đánh đồi giữa cải thiện bảo mật và chi phí Bảo mật của bạn sẽ được cải thiện đâng kể, nhưng máy tính của bạn sẽ khó sử dụng hơn
Biện pháp 8: Thường xuyên cập nhật phần mềm chống virut
Trang 16Có rất nhiều hình thức tắn công mạng và trong đó tấn công băng virut là một hình thức phố biến Dưới đây sẽ là một vài phần mềm diệt virus tốt nhất dùng để phòng ngừa và phát hiện các tác nhân gây hại từ các tác nhân tấn công
1 Phần mềm Avast Free Antivirus
lỗi
b Nhược điểm: Phải đăng kí sử dụng miễn phí trong l năm, sau khi hết hạn phải đăng kí dé tiép tuc su dung mién phi
Khả năng cập nhật virus mới cham Tốc độ quét nhanh nhưng độ chính xác trung bình Phần mềm AVG Anti-virus Free Edition
Trang 17
AVG
FREE ANTIVIRUS | REVIEW 2t
Chương trình diệt virus miễn phi Phù hợp với nhiều hệ điều hành như Windows XP SP3, windows Vista, win 7/8/8.1/10, MacOS va android
Trọng lượng nhẹ, không chiếm nhiều tài nguyên máy Giao điện bắt mắt, thuận tiện cho người dùng Cập nhật thường xuyên, hỗ trợ tốt
Tinh nang AVG Turbo Scan dugec cải thiện đến mức tối đa, có thê làm cho trình quét virus nhanh nhất trong tất cả các phần mềm thuộc loại nảy
b Nhược điểm: Tương thích tốt hơn với Win 10 Quá trình cải đặt phần mềm dién ra kha lâu Quét hơi chậm
Tính năng chống lừa đảo kém so với một số phần mềm khác Phần mềm Bkav