Xây dựng chính sách, giải pháp phòng chống mã Độc cho hệ thống mạng

Từ đó mã độc có thể tiếnhành các hành độc thực thi tùy thuộc vào tác dụng của chúng, có thể là đánh cắpthông tin người sử dụng, tranh quyền kiểm soát hệ thống, làm gián đoạn hệthống mạng

BAN CƠ YẾU CHÍNH PHỦ

Ngành: An toàn thông tin

Người hướng dẫn: ThS Nguyễn Mạnh Thắng

Nhóm: 08

Sinh viên thực hiện:

Phạm Anh QuânBùi Hữu HuyNguyễn Thị Thuỳ Trang

Hà Nội, 2023

MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ MÃ ĐỘC 5

1.1 Khái niệm 5

1.2 Các loại mã độc phổ biến 5

1.3 Con đường lây nhiễm mã độc 8

CHƯƠNG II: XÂY DỰNG CHÍNH SÁCH AN TOÀN 10

2.1 Xây dựng chính sách an toàn 10

2.2 Cấu trúc của một chính sách an toàn 10

2.3 Xây dựng thủ tục đảm bảo an toàn 11

CHƯƠNG III: XÂY DỰNG CHÍNH SÁCH, BIỆN PHÁP PHÒNG CHỐNG MÃ ĐỘC CHO HỆ THỐNG MẠNG HỌC VIỆN 12

3.1 Khảo sát mạng học viện 12

3.1.1 Xác định tài sản trên mạng 12

3.1.2 Xác định rủi ro 12

3.2 Xây dựng chính sách phòng chống mã độc cho hệ thống mạng Học viện 13

3.2.1 Chính sách về dò quét 13

3.2.2 Chính sách về dữ liệu 14

3.2.3 Chính sách về công cụ 14

3.2.4 Chính sách về truy cập 15

3.3 Các yếu tố về trang thiết bị, phần mềm, dịch vụ, con người trong việc phòng chống mã độc 15

3.3.1 Nâng cao nhận thức 15

3.3.2 Giảm thiểu các lỗ hổng phần mềm 16

3.3.3 Triển khai các công nghệ phòng chống mã độc 17

TÀI LI U THAM KH OỆ Ả 21

BẢNG PHÂN CHIA CÔNG VIỆC

LỜI NÓI ĐẦU

Trong tất cả các lĩnh vực liên quan đến CNTT thì chắc hẳn khái niệm mãđộc không còn là điều xa lạ với hầu hết mọi người Các loại mã độc rất phongphú và hình thức lây lan của chúng cũng ngày càng đa dạng và tinh vi hơn Việcphát hiện và loại bỏ mã độc cũng đòi hỏi người sử dụng phải có kiến thức cơbản về mã độc

Thường thì mã độc chọn môi trường lây nhiễm với victim từ các nguồn màngười sử dụng chủ quan hoặc chưa có sự đề phòng như: email, quảng cáo, filedownload ứng dụng, Sau khi người sử dụng click vào hoặc tiến hành tải filethực thi về sẽ làm lây nhiễm mã độc vào hệ thống Từ đó mã độc có thể tiếnhành các hành độc thực thi tùy thuộc vào tác dụng của chúng, có thể là đánh cắpthông tin người sử dụng, tranh quyền kiểm soát hệ thống, làm gián đoạn hệthống mạng, làm tắc nghẽn mạng,

Trước tình hình các vẫn đề về an ninh mạng ngày càng diễn biến phức tạp

và có quy mô, các loại mã độc ngày càng khó nhận biết như hiện nay Trong báocáo lần này, nhóm sẽ tiến hành việc xây dựng các chính sách, biện pháp phòngchống mã độc Chính sách phòng chống mã độc bao gồm các quy định liên quanđến các nhân viên, những người sử dụng hệ thống máy tính bên trong tổ chức vànhững người sử dụng hệ thống bên ngoài tổ chức

CHƯƠNG I: TỔNG QUAN VỀ MÃ ĐỘC 1.1 Khái niệm

Mã độc hay còn gọi là phần mềm độc hại (malware/malicious software) làmột chương trình được bí mật chèn vào hệ thống mạng nhằm thực hiện các hành

vi phá hoại Khi xâm nhập thành công, mã độc có thể đánh cắp thông tin, làmgián đoạn hệ thống hoặc gây tổn hại tới tính bí mật, tính toàn vẹn và tính sẵnsàng của máy tính nạn nhân

 Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng

 Cài đặt thêm những phần mềm độc hại khác

 Lén lút theo dõi người dùng và đánh cắp dữ liệu

 Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống

Đặc điểm chung của mã độc là thực hiện các hành vi không hợp pháp(hoặc có thể hợp pháp, ví dụ như các addon quảng cáo được thực thi một cáchhợp pháp trên máy tính người dùng) nhưng không theo ý muốn của người sửdụng máy tính

Mã độc được chia thành nhiều loại tùy theo chức năng và cách thức lâynhiễm Một số loại mã độc phổ biến:

Viruss: Hiện tại, vẫn còn nhiều người nhầm lẫn virus và mã độc là một Trên

thực tế, virus chỉ là một dạng của mã độc nói chung Điểm khác biệt nằm ở chỗvirus có khả năng lây lan cực nhanh Chính vì vậy, nếu không phát hiện kịpthời, rất khó để dọn sạch chúng Dưới đây 3 loại virus thường gặp nhất:

Virus Hoax: Đây là các cảnh báo giả về virus Các cảnh bảo giả này thường núp

dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống Mục tiêu của cảnh báo

virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt quaemail Bản thân cảnh báo giả không trực tiếp gây nguy hiểm Tuy nhiên, các thưcảnh báo có thể chứa các chỉ dẫn về thiết lập lại hệ điều hành hoặc xoá file làmnguy hại tới hệ thống Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối

bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ

Scripting Virus: là loại virus được viết bằng các ngôn ngữ script như VBScript,

JavaScript, Batch script Các loại virus này thường có đặc điểm dễ viết, dễ càiđặt Chúng thường tự lây lan sang các file script khác, thay đổi nội dung cả cácfile html để thêm các thông tin quảng cáo, chèn banner… Đây cũng là một loạivirus phát triển nhanh chóng nhờ sự phổ biến của Internet

File virus: Virus này thường lây vào các file thực thi (ví dụ file có phần mở rộng

.com, exe, dll) một đoạn mã để khi file được thực thi, đoạn mã virus sẽ đượckích hoạt trước và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm Loại virusnày có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do phải xử lýcắt bỏ, chỉnh sửa file bị nhiễm Tuy nhiên, file virus có đặc điểm là chỉ lây vàomột số định dạng file nhất định và phụ thuộc vào hệ điều hành

Trojan horse: Loại phần mềm độc hại này tự ngụy trang thành phần mềm hợp

pháp hoặc ẩn trong phần mềm hợp pháp đã bị giả mạo Nó có xu hướng hoạtđộng một cách kín đáo và tạo ra các cửa hậu trong bảo mật của bạn để cho cácphần mềm độc hại khác xâm nhập Dựa vào cách hoạt động ta có thể phân chiaTrojan thành 3 loại chính sau: BackDoor, Adware và Spyware

Backdoor: là một dạng Trojan Khi xâm nhập vào máy tính, backdoor sẽ mở ra

một cổng dịch vụ cho phép tin tặc điều khiển máy tính nạn nhân Tin tặc có thểcài phần mềm backdoor lên nhiều máy tính khác nhau thành một mạng lưới cácmáy bị điều khiển – Bot Net Từ đó, thực hiện các vụ tấn công từ chối dịch vụDDoS

Adware: Đúng như tên gọi, đây là loại Trojan nhằm mục đích quảng cáo.

Adware thường ngụy trang dưới dạng một chương trình hợp pháp để lừa người

dùng cài đặt Khi bị nhiễm adware, thiết bị có thể sẽ bị thay đổi trang chủ tìmkiếm, bị làm phiền bởi hàng loạt quảng cáo liên tục…

Spyware: (phần mềm gián điệp) là phần mềm dùng để đánh cắp thông tin của

người dùng Spyware thường được bí mật cài đặt trong các phần mềm miễn phí

và phần mềm chia sẻ từ Internet Một khi đã xâm nhập thành công, spyware sẽđiều khiển máy chủ và âm thầm chuyển dữ liệu người dùng đến một máy khác

Ransomware: (mã độc tống tiền) là một loại mã độc được dùng để ngăn chặn

người dùng truy cập dữ liệu và sử dụng máy tính Để lấy lại dữ liệu và quyềnkiểm soát máy tính, nạn nhân phải chuyển tiền cho tin tặc Ransomware thườngxâm nhập qua email rác hoặc trang web lừa đảo Trong một số trường hợp,ransomware được cài đặt cùng với Trojan để có thể kiểm soát nhiều hơn trênthiết bị của nạn nhân

Worm: (sâu máy tính) là loại mã độc phát triển và lây lan mạnh mẽ nhất hiện

nay Worm thường được phát tán qua email Các email này thường có nội dunggiật gân và hấp dẫn để thu hút lượt click của người dùng Nhờ những email giảmạo đó mà worm có thể lây lan theo cấp số nhân

Rootkit: Mặc dù ra đợi muộn nhưng rootkit lại được coi là một trong những

loại mã độc nguy hiểm nhất Rootkit là một chương trình máy tính được thiết kế

để truy cập sâu vào hệ thống máy tính mà vẫn che giấu được sự hiện diện của

nó và các phần mềm độc hại khác Nhờ rootkit, các phần mềm độc hạidường như trở nên “vô hình” trước những công cụ rà quét thông thường, thậmchí trước cả các phần mềm diệt virus Việc phát hiện mã độc trở nên khó khănhơn rất nhiều trước sự bảo vệ của rootkit

Botnet: Botnet là những máy tính bị nhiễm virus và bị điều khiển thông qua

Trojan, virus… Tin tặc lợi dụng sức mạnh của những máy tính bị nhiễm virus

để thực hiện các hành vi phá hoại và ăn cắp thông tin Thiệt hại do Botnet gây rathường vô cùng lớn

1.3 Con đường lây nhiễm mã độc

Qua thiết bị lưu trữ

USB, đĩa DVD, CD, thẻ nhớ, ổ cứng di động, điện thoại… là những thiết

bị lưu trữ di động phổ biến

Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bịlợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử dụng thìphương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặccác thiết bị giải trí kỹ thuật số

Qua thư điện tử

Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì viruschuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lâynhiễm truyền thống

Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách cácđịa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail)cho những địa chỉ tìm thấy Nếu chủ nhân của các máy nhận được thư bị nhiễmvirus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tụctìm đến các địa chỉ và gửi tiếp theo Chính vì vậy số lượng phát tán có thể tăngtheo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máytính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong mộtthời gian rất ngắn

Quá trình duyệt web

Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hìnhthức lây nhiễm virus qua Internet trở thành các phương thức chính của virusngày nay Có các hình thức lây nhiễm virus và phần mềm độc hại thông quaInternet như sau:

 Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển,nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩaUSB…) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm…

 Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vôtình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lâynhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truycập vào các trang web đó

 Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗibảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềmcủa hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuynhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn

có trên hệ điều hành hoặc lỗi bảo mật của các phần mềm của hãng thứ ba đểlây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở cácfile liên kết với các phần mềm này

Lây nhiễm vào các tệp tin thực thi

Khi tải các phần mềm tiện ích, hay chương trình gốc sau khi được chuyểndịch từ server này sang server khác… đã bị đính kèm malware vào Người dùngkhông biết mà bật ra, ngay lập tức malware được extra và thực thi trên máy từfile cài đặt của ứng dụng

CHƯƠNG II: XÂY DỰNG CHÍNH SÁCH AN TOÀN 2.1 Chính sách an toàn

Chính sách an toàn là những quy tắc, nguyên tắc được đặt ra mà bắt buộcmọi người phải tuân theo Một chính sách an toàn phải được thông báo tới ngườidùng, quản trị viên, nhân viên trong công ty, nó cũng chỉ rõ những nghĩa vụ màngười dùng phải đáp ứng

Sau khi một chính sách được phát triển, nó phải được thông báo với nhânviên, người dùng, người quản lý và sẽ được giải thích bởi người quản trị cấpcao

Nhiều doanh nghiệp yêu cầu nhân viên phải ký vào những chính sách mà họđọc,

hiểu và đồng ý với chính sách

Phát triển một chính sách an toàn là công việc của quản lý cấp cao với sựgiúp đỡ của quản trị mạng và quản trị an ninh Các nhà quản trị có thông tin đầuvào từ các người dùng, người thiết kế và kỹ sư mạng, và các tư vấn về pháp lý.Người thiết kế mạng phải làm việc chặt chẽ với quản trị an ninh để xâydựng các chính sách an toàn phù hợp với thiết kế mạng

Nhiều tổ chức yêu cầu nhân viên phải ký cam kết về việc đọc, hiểu và tuântheo chính sách

Một chính sách an toàn thường được cập nhật, bởi vì các tổ chức liên tụcthay đổi, chính sách an toàn cũng cần được cập nhật thường xuyên để phản ánhhướng kinh doanh mới và chuyển đổi công nghệ Rủi ro thay đổi theo thời gian

và cũng ảnh hưởng đến chính sách an toàn

2.2 Cấu trúc của một chính sách an toàn

Một chính sách an toàn bao gồm:

Mục đích: Mục đích của chính sách, đưa ra các quy định phù hợp với thực tiễn

của hệ thống giúp cho việc tổ chứ quản lý nhân sự hay tài nguyên trong hệ thốngđược đảm bảo an toàn

Phạm vi: Chỉ ra phạm vi áp dụng chính sách, chính sách an toàn có thể áp dụng

cho từng đối tượng hay cho tất cả các nhân viên trong tổ chức, hoặc nhữngngười:

- Chịu trách nhiệm gửi dữ liệu nhạy cảm hay cá nhân ra môi trường ngoài

- Nhận dữ liệu nhạy cảm hay cá nhân từ bên ngoài và trong hệ thống

Nội dung chính sách: Chỉ rõ những gì cần làm để đảm bảo an toàn cho hệ

thống mạng Ngoài ra nội dung chính sách còn là tổng quan về những quy định,điều luật cần phải thực hiện

2.3 Xây dựng thủ tục đảm bảo an toàn

Thủ tục an toàn cài đặt chính sách an toàn Thủ tục an toàn định nghĩaviệc

cấu hình, đăng nhập, kiểm toán và duy trì Thủ tục an toàn sẽ được áp dụng chongười dùng cuối, người quản trị mạng, quản trị an toàn Thủ tục an toàn chỉ rõviệc khắc phục sự cố như thế nào khi sự cố xảy ra (ví dụ: Sẽ liên hệ với ai nếuphát hiện ra xâm nhập)

CHƯƠNG III: XÂY DỰNG CHÍNH SÁCH, BIỆN PHÁP PHÒNG CHỐNG MÃ ĐỘC CHO HỆ THỐNG MẠNG HỌC VIỆN 3.1 Khảo sát mạng học viện

 Các phần mềm, thiết bị lưu trữ, tệp tin có thể bị nhiễm mã độc.

 Các tấn công tới người dùng (Social engineering) trong mạng

 Tấn công bằng mã độc vào hệ thống mạng thông qua người dùng hoặccácphương tiện khác

 Nguy cơ nhiễm mã độc khi sử dụng Internet

3.2 Mô hình phòng chống mã độc

Trong mô hình trên dựa vào mạng hệ thống học viện chúng ta sẽ đưa ra giảipháp mô hình chống mã độc bằng quy trình và kỹ thuật chống mã độc như:+ Tạo từng phân vùng mạng VLAN trong học viện (LAN ảo)+ Triển khai hệ thống tường lửa Check Point Next-Gen (là tường lửathế hệ sau cókhả năng xử lý các tác vụ và các lớp bảo mật song song cùnglúc, giúp gói tin được phân tích và trả về)

+ Triển khai công nghệ phát hiện và cảnh báo xâm nhập (IDS/IPS)+ Triển khai giải pháp SIEM (nhằm giúp quản lý các sự kiện, thu thập,phân tích và đưa ra các cảnh báo về các cuộc tấn công để giúp người điềuhành theo dõi và đưa ra các giải pháp bảo mật kịp thời)

+ Triển khai các cổng Anti-virus, anti-malware Gateway ở mọi cổngvào của mạng (Nó quét email và nội dung Internet trước khi kết nối mạng.Sau khi nhận trực tiếp các chữ ký, nó cung cấp bảo mật cổng tức thì trênlưu lượng SMTP, HTTP, FTP và POP3 và bảo vệ chung được kích hoạt trên

cả lưu lượng truy cập vào và ra Sau khi tường lửa được cập nhật thì phầnmềm chống mã độc cục bộ được cập nhật với băng thông tối thiểu + Thực hiện hệ thống tường lửa đa tầng

Mô hình tổng thể mạng học viện:

3.3 Một số chính sách phòng chống mã độc cho hệ thống mạng Học viện

Học viện phải có chính sách ngăn chặn các sự cố liên quan đến mã độc.Chính sách này cần rõ ràng, cho phép khả năng thực hiện một cách nhất quán vàhiệu quả Các chính sách phòng chống mã độc nên càng tổng quát càng tốt đểcung cấp sự linh hoạt trong việc thực hiện, bên cạnh đó cũng làm giảm việc phảicập nhật chính sách thường xuyên

Chính sách phòng chống mã độc bao gồm các quy định liên quan đến cácnhân viên, những người sử dụng hệ thống máy tính bên trong tổ chức và nhữngngười sử dụng hệ thống bên ngoài tổ chức, như máy tính của đơn vị làm thuê,máy tính của các cán bộ làm việc từ xa (tại nhà), máy tính của đối tác kinhdoanh, thiết bị di động.

3.3.1 Chính sách về dò quét

Mục đích: Đảm bảo tất cả các thiết bị, phần mềm, tệp tin… trước khi đưa vào hệ

thống mạng Học viện không chứa mã độc

Phạm vi: Tất cả các cán bộ, nhân viên của Học viện

- Đối với những tệp đính kèm bao gồm cả các tập tin nén như file zip cầnđược lưu vào ổ đĩa và kiểm tra trước khi được mở ra