1. Trang chủ
  2. » Luận Văn - Báo Cáo

Phương pháp phát hiện và phòng chống tấn công nội gián lên hệ thống thông tin

97 203 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 97
Dung lượng 3,95 MB

Nội dung

PHẠM THỊ MINH HIỀN BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ CHUYÊN NGHÀNH CÔNG NGHỆ THÔNG TIN CÔNG NGHỆ THÔNG TIN PHƯƠNG PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG NỘI GIÁN LÊN HỆ THỐNG THÔNG TIN TÁC GIÁ : PHẠM THỊ MINH HIỀN Hà Nội - 2016 2014- 2016 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ PHƯƠNG PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG NỘI GIÁN LÊN HỆ THỐNG THÔNG TIN PHẠM THỊ MINH HIỀN CHUYÊN NGHÀNH CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60480201 NGƯỜI HƯỚNG DẪN KHOA HỌC: TS ĐỖ XUÂN CHỢ Hà Nội – 2016 LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn Phạm Thị Minh Hiền LỜI CẢM ƠN Luận văn tốt nghiệp cao học hoàn thành Viện Đại học Mở Hà Nội Để hoàn thành đề tài, tác giả xin bày tỏ lòng biết ơn chân thành sâu sắc tới Viện Đại học Mở Hà Nội, Khoa Sau đại học đặc biệt TS Đỗ Xuân Chợ trực tiếp hướng dẫn giúp đỡ tác giả với dẫn khoa học quý giá suốt trình thực hiện, nghiên cứu tạo điều kiện tốt để tác giả hồn thành đề tài Xin chân thành cảm ơn thầy cô giáo, nhà khoa học trực tiếp giảng dạy, truyền đạt kiến thức kinh nghiệm khoa học chuyên ngành công nghệ thông tin cho thân tác giả suốt thời gian học tập nghiên cứu Sau ngày tháng miệt mài nghiên cứu với tất nỗ lực thân với giúp đỡ đóng góp thầy, cơ, tác giả xây dựng hồn thiện luận văn, nhiên khó tránh khỏi thiếu sót Tác giả mong nhận đóng góp, phê bình q thầy cơ, nhà khoa học bạn công tác lĩnh vực để đề tài dần hoàn thiện Xin chân thành cảm ơn ! Hà Nội, ngày 11/05/2017 Phạm Thị Minh Hiền MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT DANH SÁCH HÌNH VẼ 10 DANH SÁCH BẢNG 11 CHƯƠNG 1: MẠNG DOANH NGHIỆP VÀ TẤN CÔNG NỘI GIÁN 12 1.1 Mạng doanh nghiệp 12 1.1.1 Định nghĩa mạng doanh nghiệp 12 1.1.2 Thành phần mạng doanh nghiệp 12 1.2 Một số định nghĩa 14 1.2.1 Bảo mật thông tin 14 1.2.2 Nội gián tiềm 17 1.2.3 Mối đe dọa nội gián 20 1.3 Phân loại người công nội gián 21 1.3.1 Phân loại theo động mục đích 22 1.3.2 Phân loại theo hành động gây hại 24 1.4 Mô tả mối đe dọa nội gián 26 1.4.1 Cố ý lạm dụng quyền truy cập vật lý 27 1.4.2 Vô ý lạm dụng quyền truy cập vật lý 28 1.4.3 Cố ý lạm dụng quyền truy cập mạng 28 1.4.4 Vô ý lạm dụng quyền truy cập mạng 30 1.5 Nguy từ mối đe dọa nội gián 31 1.5.1 Tác động mối đe dọa nội gián 31 1.5.2 Chiến lược hạn chế rủi ro 32 1.6 Các công nội gián thực tế 32 CHƯƠNG 2: CÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG NỘI GIÁN 36 2.1 Các phương pháp phát công nội gián 36 2.1.1 Quan sát hành vi 37 2.1.2 Quan sát động 39 2.1.3 Đặc điểm cá nhân 41 2.1.4 Các yếu tố kỹ thuật 43 2.1.5 Sử dụng Honeypots 44 2.1.6 Kết hợp thành phần an ninh 45 2.2 Các phương pháp phòng chống công nội gián 46 2.2.1 Sử dụng phương pháp kỹ thuật 46 2.2.1.1 Biện pháp bảo vệ kỹ thuật 46 2.2.1.2 Sử dụng cơng cụ giám sát kiểm tốn 47 2.2.1.3 Giám sát, quản lý truy cập từ xa thiết bị di động 51 2.2.1.4 Ngăn chặn rò rỉ liệu 56 2.2.1.5 Sandboxing 58 2.2.1.6 Lưu giữ chứng công nội gián 58 2.2.1.7 Biện pháp Honey pots 59 2.2.1.8 Sao lưu phục hồi 60 2.2.2 Nghiên cứu phát triển sách 62 2.2.2.1 Quản lý mật tài khoản 63 2.2.2.2 Thủ tục kết thúc 66 2.2.2.3 Đánh giá rủi ro 66 2.2.2.4 Chính sách tuyển dụng 67 2.2.3 Đào tạo người 67 2.2.3.1 Phản ứng với hành vi đáng ngờ 67 2.2.3.2 Đào tạo nâng cao nhận thức an ninh 68 2.2.3.3 Nguyên tắc phân chia nhiệm vụ đặc quyền tối thiểu 69 2.2.3.4 Người quản trị hệ thống nhân viên đặc quyền 71 2.2.3.5 Khéo léo việc phản ứng 71 CHƯƠNG 3: MÔ PHỎNG TẤN CÔNG VÀ PHÁT HIỆN 74 TẤN CÔNG NỘI GIÁN 74 3.1 Giới thiệu công cụ thực mô 74 3.1.1 GNS3 74 3.1.2 Mdaemon Server 75 3.1.3 Cain & Abel 76 3.1.4 Wireshark 77 3.2 Mô 77 3.2.1 Mơ hình mạng 78 3.2.2 Các bước mô 78 KẾT LUẬN LUẬN VĂN 92 Tài liệu tham khảo 95 DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT Từ viết tắt CAD CAM NSA Nghĩa tiếng anh Nghĩa tiếng việt Computer Aided Design Hỗ trợ thiết kế Conputer Aided Phần mềm sinh đoạn mã Manufacturing National Security Agency Cơ quan an ninh quốc gia hoa kỳ Enterprise Resource ERP Quản lý nguồn lực doanh nghiệp Planning DMZ Demilitarized Zone Mạng vành đai IPS In Plane Switching Thiết bị bảo vệ hệ thống USB Universal Serial Bus Chuẩn kết nối đa dụng Information Technology Công nghệ thông tin FTP File Transfer Protocol Giao thức chuyển nhượng tập tin WAF Web Application Firewall Tường lửa ứng dụng web IT SQL IP Structured Query Ngơn ngữ truy vấn mang tính cấu trúc Language Internet Protocol Giao thức kết nối Internet DNS Domain Name System Hệ thống tên miền NAC Network Access Control Điều khiển truy cập mạng URL Uniform Resource Locator Tham chiếu tài nguyên mạng Internet SIEM ISO RAM Security Information Event Managemet International Organization for Standardization Random Access Memory Giám sát an tồn mạng Tổ chức tiêu chuẩn hóa quốc tế Bộ nhớ truy cập ngẫu nhiên DANH SÁCH HÌNH VẼ Hình 1.1: Ngữ cảnh bảo mật chung (ISO/IEC 15408, 1999) Hình 1.2: Ví dụ cân yếu tố an ninh Hình 1.3: Các mối đe dọa nội gián 14 Hình 1.4: Các vi phạm an ninh xuất phát từ bên 18 Hình 2.1: Tài ngun hệ thống thơng tin 29 Hình 2.2: Các bước quản lý thơng tin 32 Hình 2.3: Cơ chế hoạt động IDS/IPS 37 Hình 2.4: Hệ thống phát xâm nhập 38 Hình 2.5: Các vị trí triển khai Check Point liệu 41 Hình 2.6: Ví dụ loại Honeypots 43 Hình 3.1: Mơ hình mạng doanh nghiệp 59 Hình 3.2: Giao diện chọn card mạng 60 Hình 3.3: Chọn tab Sniffer 61 Hình 3.4: Giao diện quét IP máy mạng 62 Hình 3.5: Địa IP máy mạng 62 Hình 3.6: Giao diện tab ARP 63 10 Hình 3.7: Giao diện di bảng ARP Poison Routing • Bước 7: Chọn n Start/Stop ARP Lúc này, kẻ k n công th thực n cơng ARP Poisoning Khi đó, tất t gói tin từ gateway đ đến máy victim ngược lại u phải ph qua card mạng máy attacker Hình 3.8: Giao diện di n cơng ARP Poisoning 83 • Bước 8: Mở Wireshark, chọn ch Start Mục đích kẻ n cơng llấy cắp liệu ngườii dùng, wirkshark wirksha sử dụ ụng lọc http.request.method==”POST” Phương thứcc POST: Gửi G liệu tới server để xử lý sau ng người dùng nhập p thông tin vào form thực th n submit POST an tồn GET khơng giới hạn kích cỡ liệu u Hình 3.9: Giao diện di bắt gói tin Wireshark b) Trên máy Client • Bước 9: Ngườii dùng thứ th đăng nhập tài khoản email củ địa http://btd.com:3000 84 Hình 3.10: Giao diện di đăng nhập tài khoản n user1@btd.com • Bước 10: Ngườii dùng thứ th soạn email để gửii cho ngư người dùng thứ hai, mục đích để đánh lừa l kẻ công Tất nộii dung trang web http://secret.btd.com đ khơng có thật Hình 3.11: Nội dung email 85 c) Trên máy Client • Bước 11: Ngườii dùng thứ th hai đăng nhập tài khoản email củ địa http://btd.com:3000 http://btd.com:3000 Hình 3.12: Giao di diện đăng nhập tài khoản user2@btd.com • Bước 12: Ngườii dùng thứ th hai kiểm tra email ngườii dùng thứ th gửi 86 Hình 3.13: Kiểm Ki tra email người dùng thứ ất ggửi d) Kết máy Attacker • Bướcc 13: Lúc này, Wireshark máy attacker đ bắtt đư vài gói tin với lọchttp.request.method==”POST” chttp.request.method==”POST” Kiểm Ki m tra gói tin thứ th hai, kẻ công xem đượcc tài kho khoản mật email ngườii dùng th thứ Hình 3.14: Tài khoản kho mật email người dùng ùng th thứ • Bước 14: Kiểm m tra gói tin tiếp ti theo, kẻ cơng đọc đượ ợc nội dung email gửi ngườii dùng thứ th 87 Hình 3.15: Nội ội dung email gửi người dùng thứ ứ nh • Bướcc 15: Tương tự, t kẻ công xem tài khoản n m mật email người dùng thứ hai 88 Hình 3.16: Tài khoản kho mật email người dùng ùng th thứ hai • Bước 16: Kẻ n cơng biết bi danh sách khách hàng củaa doanh nghi nghiệp đượcc lưu website m doanh nghiệp địa http://secret.btd.com http://secret.btd.com Kẻ công truy cập p trang web Tuy nhiên, hành động đ ng truy cập c web người bị ghi log web server 89 Hình 3.17: Nội N dung trang web http://secret.btd.com 3.2.2.2 Quy trình phát hi Trên máy Web Server: • Bước 17: Đọcc file log t đường dẫn C:\WINDOW\system32 system32\LogFiles\W3SVC583960228 Hình 3.18: Danh sách file log 90 • Bước 18: Mở file có tên ex151102.log Người quản trị biết địa IP máy truy cập vào trang web, truy cập (giờ GMT) trình duyệt sử dụng Trong trường hợp này, máy truy cập vào trang web có IP 192.168.2.2, sử dụng trình duyệt Google Chrome Đây máy Attacker Như vậy, kẻ nghe mạng nội bị phát Hình 3.19: Nội dung file log KẾT LUẬN CHƯƠNG Kết đạt chương là: - Đã xây dựng mơ hình thử nghiệm cơng nội gián đơn giản công cụ GNS3 1.3.11, VMware Workstation 10, Windows Server 2003 Enterprise Edition, Windows XP, MDaemon Pro 12.5.6, Cain & Abel 4.9.56, Wireshark 1.12.8 - Từ mơ hình mơ cơng nội gián, chương xây dựng chương trình mơ phòng chống nội gián việc áp dụng mơ hình Honeypot sử dụng kỹ thuật ghi đọc log 91 - Từ kết mô phỏng, thực nghiệm đưa đánh giá nhận xét KẾT LUẬN LUẬN VĂN Kết đạt Các kết đạt cụ thể sau: - Nghiên cứu tổng quan mạng doanh nghiệp nguy an tồn thơng tin hạ tầng CNTT mạng doanh nghiệp Nghiên cứu rằng: có nhiều thách thức nguy ATTT mạng doanh nghiệp, nhiên hình thức cơng nội gián hình thức cơng nguy hiểm khó lường, để lại rủi ro nghiêm trọng Chính doanh nghiệp phải bảo vệ tài sản khỏi mối đe dọa đến từ bên bên ngồi - Trình bày tổng quan công nội gián hạ tầng CNTT mạng doanh nghiệp số công nội gián điển hình thục tế Kết nghiên cứu cho thấy: Tấn cơng nội gián vơ tình hay cố ý phụ thuộc vào động người công, động cá nhân bị xúi giục người ngồi, cơng nội gián gây nhiều thiệt hại người cơng có tin tưởng, có quyền truy cập hợp pháp hiểu rõ chế bảo mật doanh nghiệp - Trình bày biện pháp kỹ thuật để phát phòng chống công nội gián Các kết nghiên cứu cho thấy: để phát phòng chống tối đa cơng nội gián vào hệ thống CNTT doanh nghiệp cần biết kết hợp yếu tố là: người, cơng nghệ sách Trong yếu tố người yếu tố quan trọng yếu tố yếu hệ thống ATTT 92 - Đã xây dựng mơ hình thử nghiệm công nội gián đơn giản công cụ GNS3 1.3.11, VMware Workstation 10, Windows Server 2003 Enterprise Edition, Windows XP, MDaemon Pro 12.5.6, Cain & Abel 4.9.56, Wireshark 1.12.8 - Từ mơ hình mơ công nội gián, chương xây dựng chương trình mơ phòng chống nội gián việc áp dụng mơ hình Honeypot sử dụng kỹ thuật ghi đọc log - Từ kết mô phỏng, thực nghiệm đưa đánh giá nhận xét Định hướng phát triển Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: Tiếp tục hoàn thiện, nghiên cứu phương pháp công nội gián tương lai biến thể loại công Nghiên cứu phương pháp truy tìm chứng số công nội gián để phát chứng minh đối tượng công nội gián 93 94 Tài liệu tham khảo [1] Richard L.Daft, Management, 2011, Tenth Edition [2] Sara Sinclair and Sean W Smith, 2008, Preventative Directions for Insider Threat Mitigation Via Access Control [3] M Bishop, 2005, The Insider Problem Revisited [4] Jonathan W Butts, Robert F Mills, Rusty O Baldwin, 2005, Developing an Insider Threat Model Using Functional Decomposition [5] Michael D Carroll, 2006, Information Security: Examing and Managing the insider Threat [6] Joel Predd, Shari Lawrence Pfleeger, Jeffrey Hunker and Carla Bulford, 2008, Insider Behaving Badly [7] E.Eugene Schultz, 2002, A framework for understanding and predicting insider attacks Computers and Security [8] Robert H Anderson, Thomas Bozek, Tom Longstaff, Wayne Meitzler, Michael Skroch, Ken Van Wyk, 2000,Research on mitigating the insider threat to information systems [9] National Institute of Standards and Technology, 2001, Special Publications 800-30: Risk Management Guide [10] Dawn Cappelli, George Silowash, Andrew Moore, Randall Trzeciak, Timothy J Shimeall, Lori Flynn, 2012, Common Sense Guide to Mitigating Insider Threats 4th Edition [11] B Wood, 2000, An Insider Threat Model for Adversary Simulation [12] Christopher Alberts and Audrey Dorofee, 2001, Octave Threat profiles Pittsburgh, PA: Software Engineering Institute [13] James P Anderson , 1980,Computer security threat monitoring and surveillance [14] Steven Furnell, Aung Htike Phyo, 2003, Considering the Problem of Insider IT Misuse [15] Wade H Baker C David Hylender J Andrew Valentine, 2008 Data [16] Rok Bojanc , Borka Jerman-Blažič, 2008, An economic modelling approach toinformation security risk management [17] W Cornelissen, Investigating Insider Threats: 2009, Problems and Solutions [18] Eric Shaw, Keven G Ruby and Jerrold M Post, 1998, The insider threat to information systems [19] Eileen Kowalski, Dawn Cappelli and Andrew Moore, Insider Threat Study: 2008, Illicit Cyber Activity in the Information Technology and Telecommunications [20] Robert Willison, Motivations for employee computer crime: 2009, understandingand addressing workplace disgruntlement through the application of organisationjustice [21] Andrew P Moore, Dawn M Cappelli, Randall F Trzeciak, 2008, The “BigPicture” of Insider IT Sabotage Across U.S Critical Infrastructure [22] Lynn F Fischer, Espionage: 2008, Why Does it Happen [23] Johnson, David J., Takacs, Nicholas, Hadley, Jennifer, Securing Stored Data,2009 [24] Butler, J Michael, Management(SIEM), 2009 Benchmarking Security Information [25] Matt Hamblen, Workers Want to Choose Their Mobile Devices, 2011 Event [26] Agata McCormac, Kathryn Parsons and Marcus Butavicius, Preventing andProfiling Malicious Insider Attacks, 2012 ... GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ PHƯƠNG PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG NỘI GIÁN LÊN HỆ THỐNG THÔNG TIN PHẠM THỊ MINH HIỀN CHUYÊN NGHÀNH CÔNG NGHỆ THÔNG TIN MÃ... dịch vụ đó[3]; • Nội gián tiềm cá nhân có mức độ tin tưởng định hệ thống thông tin Điều quan trọng người dùng cấp quyền hợp pháp hệ thống thơng tin họ bị xem xét nội gián[ 4]; • Nội gián tiềm tất... người công nội gián Phần mô tả cốt lõi công nội gián Đầu tiên phân loại người công nội gián dựa vào động mục đích, nhằm cơng nội 21 gián vơ tình cố ý, dẫn đến kết thông tin bị lộ, thay đổi làm gián

Ngày đăng: 22/03/2018, 19:36

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN