Table of Contents CHƯƠNG 1: TỔNG QUAN VỀ ĐÁNH GIÁ AN TỒN HỆ THỐNG THƠNG TIN 1.1 Phương pháp luận đánh giá an tồn hệ thống thơng tin 1.1.1 Khái niệm đánh giá AT HTTT NIST SANS - Theo NIST: Đánh giá an tồn hệ thống thơng tin (information security assessment) quy trình xác định tính hiệu thực thể đánh giá (ví dụ máy tính, hệ thống, mạng, quy trình vận hành, người ) đáp ứng mục tiêu an ninh cụ thể Quy trình tập trung vào phương pháp chính: kiểm thử (testing), kiểm tra (examination), vấn (interviewing) - Theo SANS: Đánh giá an tồn hệ thống thơng tin thước đo độ an toàn hệ thống tổ chức, hay hiểu cách thức thực an tồn thơng tin • Dựa việc xác định rủi ro, tập trung vào xác định điểm yếu tác động tới hệ thống • Đánh giá an tồn dựa phương pháp có liên quan đến là: rà sốt (reviewing), kiểm thử (testing), kiểm tra (examination)  Rà soát: bao gồm kỹ thuật xem xét thụ động thực vấn Thường thực thủ công  Kiểm tra: xem xét cụ thể tổ chức từ mức hệ thống/mạng để xác định điểm yếu an ninh tồn hệ thống  Kiểm thử: đóng vai trị kẻ cơng Thực phương pháp tìm kiếm lỗ hổng bảo mật mạng để thực xâm nhập tới hệ thống mạng 1.1.2 Ý nghĩa phương pháp luận: - Cung cấp tính thống có cấu trúc cho việc kiểm thử an tồn, từ giảm thiểu rủi ro trình đánh giá - Giúp dễ dàng việc chuyển giao quy trình đánh giá có thay đổi nhân đánh giá - Chỉ hạn chế tài nguyên kết hợp với đánh giá an toàn - Xây dựng phương pháp luận đánh giá an tồn thơng tin theo giai đoạn mang lại nhiều ưu điểm cung cấp cấu trúc, điểm dừng tự nhiên cho trình chuyển đổi đánh giá viên 1.1.3 Phương pháp luận chứa tối thiểu pha: - Lập kế hoạch • Thực cơng việc chuẩn bị • Thu thập thơng tin cần thiết phục vụ trình đánh giá - Thực thi • Xác định lỗ hổng xác nhận lỗ hổng - Hậu thực thi • Phân tích lỗ hổng • Đưa khuyến cáo giảm nhẹ lỗ hổng • Phát triển báo cáo 1.1.4 Một số phương pháp luận ứng dụng rộng rãi đánh giá an tồn hệ thống thơng tin: OSSMTMM: Phương pháp mở đánh giá an tồn thủ cơng ISSAF: Phương pháp đánh giá an tồn hệ thống thơng tin OWASP: Dự án mở bảo mật ứng dụng 1) OSSTMM (Open Source Security Testing Methodology Manual): - Là dự án ISECOM, phát triển cộng đồng mở, với đối tượng tham gia bình đẳng khơng ảnh hưởng trị thương mại - Phương pháp khoa học mơ tả xác an ninh hoạt động đặc trưng thông qua kiểm thử cách quán lặp lặp lại kênh vật lý, tương tác người, kết nối (không dây, có dây) - Phù hợp với kiểu đánh đánh giá an ninh, lỗ hổng - Phương pháp tiếp cận chia thành bốn nhóm chính: • Phạm vi: Tất tài sản hoạt động môi trường mục tiêu • Kênh: Xác định loại giao tiếp tương tác với tài sản • Chỉ mục: Phân loại đếm tài sản mục tiêu tương ứng với loại cụ thể • Hướng: Hướng người đánh giá đánh giá phân tích tài sản chức Phạm vi Bước 1: Thu thập liệu thụ động trạng thái hoạt động bình thường để hiểu mục tiêu Bước 2: Kiểm thử tích cực hoạt động cách kích động hoạt động vượt mức bình thường Bước 3: Phân tích liệu nhận trực tiếp từ hoạt động kiểm thử Bước 4: Phân tích liệu gián tiếp từ tài nguyên người vận hành Bước 5: Xem xét tương quan hợp thông tin thu từ kết bước để xác định quy trình an ninh hoạt động Bước 6: Xác định hợp lỗi Bước 7: Thu thập số liệu từ hoạt động bình thường kích động Bước 8: Xem xét tương quan hợp thông tin bước để xác định mức bảo vệ kiểm soát tối ưu Bước 9: Ánh xạ trạng thái hoạt động tối ưu đến quy trình (bước 5) Bước 10: Tạo kẽ hở phân tích để xác định cần thiết nâng cao cho quy trình kiểm sốt cần thiết cho bảo vệ kiểm soát (bước 5) để đạt trạng thái hoạt động tối ưu (bước 8) từ hành Phương thức làm việc OSSTMM bao gồm 17 mơ-đun Có tất kênh, ứng với kênh thực 17 mô-đun, chia thành giai đoạn: giai đoạn bắt đầu gồm mô-đun đầu tiên, giai đoạn tương tác gồm mô-đun từ đến 7, giai đoạn điều tra gồm mô-đun từ đến 13 giai đoạn can thiệp gồm mơ-đun cịn lại - từ 14 đến 17 Như vậy, người kiểm thử phải thực 17 * = 85 phân tích trước đưa báo cáo cuối 2) ISSAF (Information Systems Security Assessment Framework): Phương pháp đánh giá an toàn hệ thống thông tin - ISSAF phương pháp luận đánh giá an tồn hệ thống thơng tin tổ chức OISSG đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh CNTT chuyên nghiệp tham gia đóng góp, thảo luận lĩnh vực an ninh CNTT - Khung làm việc phân vào số loại lĩnh vực giải đánh giá an ninh theo trình tự Mỗi lĩnh vực đánh giá phận khác hệ thống mục tiêu cung cấp liệu đầu vào cho nhóm cơng việc an ninh thành công - ISSAF phát triển tập trung vào hai lĩnh vực: quản lý kỹ thuật • Mặt quản lý thực quản lý nhóm cơng việc kinh nghiệm thực tế tốt phải tn thủ suốt q trình đánh giá • Mặt kỹ thuật thực quy tắc cốt lõi, thủ tục cần tuân thủ tạo quy trình đánh giá an ninh đầy đủ VD: Về mặt kỹ thuật, ISSAF xây dựng loạt phương pháp đánh giá cho thành phần hệ thống CNTT như: đánh giá an toàn mật khẩu; đánh giá an toàn thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus, WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server; đánh giá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi công nghệ an ninh vật lý; công nghệ xã hội - Về phương thức làm việc, ISSAF bao gồm giai đoạn tiếp cận bước đánh giá là: Phương thức làm việc ISSAF Giai đoạn 1: Lên kế hoạch chuẩn bị - Đây giai đoạn trao đổi thông tin ban đầu, lập kế hoạch chuẩn bị cho đánh giá; ký thỏa thuận đánh giá thức làm sở pháp lý; xác định thời gian khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang… Giai đoạn 2: Đánh giá Đây giai đoạn thực thực đánh giá Trong giai đoạn này, cách tiếp cận theo lớp tn thủ Có chín lớp đánh giá bao gồm: • • • • • • • • • Lớp Thu thập thông tin Lớp Lập đồ mạng Lớp Xác định lỗ hổng Lớp Xâm nhập Lớp Truy cập & leo thang đặc quyền Lớp Liệt kê thêm8 Lớp Thỏa hiệp user/site từ xa Lớp Duy trì truy cập Lớp Xóa dấu vết Các bước thực lặp lặp lại đại diện mũi tên vòng trịn giai đoạn đánh giá hình Đặc biệt chín lớp mơ tả kỹ giới thiệu nhiều phần mềm tương ứng sử dụng lớp tham khảo đánh giá Giai đoạn 3: Báo cáo, dọn dẹp hủy hậu Bao gồm báo cáo lời nói (thực có việc đột xuất vấn đề quan trọng đánh giá an toàn) báo cáo cuối thực sau hoàn thành tất bước đánh giá xác định phạm vi công việc Cuối dọn dẹp hậu quả, tất thông tin tạo lưu trữ hệ thống đánh giá cần loại bỏ khỏi hệ thống 3) OWASP (The Open Web Application Security Project): Dự án mở bảo mật ứng dụng Web - OWASP đời năm 2001, tổ chức phi lợi nhuận, cộng đồng mở, mục tiêu tổ chức cải tiến an ninh phần mềm ứng dụng, đặc biệt ứng dụng web - Tổ chức xây dựng nhiều công cụ khác cho việc đánh giá mã nguồn mở, miễn phí - OWASP ủng hộ phương pháp tiếp cận an ninh ứng dụng theo người, quy trình cơng nghệ nhân tố tạo ứng dụng, nhân tố có hành vi an tồn ứng dụng an tồn - Theo OWASP, ứng dụng web mạng hầu hết phải tiếp xúc với bên ngồi mơi trường Internet, sản phẩm mà người truy cập, nên phải chịu nhiều cơng, sửa đổi trái phép Vì vậy, cánh cổng môi trường Internet nội cho kẻ công xâm nhập vào lớp ứng dụng trước thực bước xâm nhập vào hệ thống - Một nỗ lực thực cộng đồng mở OWASP xây dựng khung làm việc đánh giá an toàn ứng dụng web thúc đẩy dự án OWASP top 10 nhằm nâng cao nhận thức an ninh ứng dụng tổ chức - Dự án OWASP top 10 phân loại rủi ro an ninh ứng dụng web cách đánh giá hướng công hàng đầu, có mức độ nguy hiểm cao vào lỗ hổng an ninh Việc đánh giá mười rủi ro hàng đầu dự án thực theo chu kỳ năm lần nhằm mục đích rủi ro nghiêm trọng năm (chú ý khơng có 10 rủi ro cần xem xét mà nhiều, nhiên hàng năm OWASP chọn 10 rủi ro nguy hại nhất) VD: Top 10 lỗ hổng nguy hại năm 2019 mà OWASP công bố Injection Broken Authentication Lỗ hổng XSS Insecure Direct Object References … - Dự án cung cấp hướng dẫn cụ thể giúp đánh giá, xác minh khắc phục phần lỗ hổng ứng dụng Tuy không tập trung có số hướng dẫn có sẵn từ cộng đồng OWASP cho người phát triển người đánh giá an toàn quản lý hiệu ứng dụng web mặt an ninh - Đối với OWASP, an toàn phần mềm nói chung ứng dụng web nói riêng phải trọng từ giai đoạn đầu tiên: định nghĩa, thiết kế trì giai đoạn sau như: phát triển, triển khai, bảo trì Tóm lại, đánh giá an ninh nên áp dụng suốt vịng đời phát triển phần mềm Vì hướng dẫn không dành cho người đánh phải đọc sử dụng người phát triển kiểm thử phần mềm - Phương pháp đánh giá an toàn ứng dụng web OWASP dựa tiếp cận hộp đen Người đánh giá khơng biết biết thơng tin ứng dụng đánh giá Mơ hình đánh giá bao gồm: • Người đánh giá: Thực hoạt động đánh giá • Cơng cụ phương pháp: Cốt lõi dự án hướng dẫn đánh giá • Áp dụng: Đánh giá hộp đen Phương pháp OWASP bao gồm 10 bước thực chia thành giai đoạn: Phương thức làm việc OWASP - Giai đoạn – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng hiểu logic ứng dụng thông tin liên quan đến mục tiêu đánh giá Các thơng tin thu thập như: sơ đồ website, thơng tin webserver, vị trí đặt tên miền, … Các thông tin tiền đề để thực giai đoạn thứ - Giai đoạn – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt đầu thực đánh giá theo hướng dẫn chi tiết tài liệu OWASP OWASP chia đánh giá chủ động thành loại nhỏ với tổng số 66 viết hướng dẫn: • Kiểm tra Quản lý cấu hình • Kiểm tra quản lý cấu hình • Kiểm tra business logic • • • • • • • Kiểm tra chế xác thực Kiểm tra việc ủy quyền Kiểm tra quản lý phiên giao dịch Kiểm tra liệu đầu vào13 Kiểm tra khả công từ chối dịch vụ Kiểm tra web services Kiểm tra AJAX 1.2 Các kỹ thuật đánh giá - Có nhiều kỹ thuật kiểm tra kiểm thử an tồn sử dụng để đánh giá an toàn hệ thống mạng Tuy nhiên chúng chia thành loại sau: • Kỹ thuật rà soát (review): Đây kỹ thuật kiểm tra dùng để đánh giá hệ thống, ứng dụng, mạng, sách thủ tục nhằm mục tiêu phát lỗ hổng thường tiến hành thủ công (bằng tay) Các kỹ thuật bao gồm việc: rà sốt tài liệu, nhật kí, tập luật, rà sốt cấu hình hệ thống, thăm dị mạng, kiểm tra tính tồn vẹn tập tin • Kỹ thuật phân tích xác định mục tiêu: Kỹ thuật kiểm thử xác định hệ thống, cổng, dịch vụ lỗ hổng Thơng thường có cơng cụ tự động để thực kỹ thuật thực thủ cơng Các kỹ thuật bao gồm: phát mạng, nhận dạng cổng dịch vụ mạng, quét lỗ hổng, quét mạng không dây kiểm tra an tồn ứng dụng • Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử để xác định tồn lỗ hổng hệ thống Chúng thực cách thủ công thông qua công cụ tự động tùy thuộc vào hệ thống cụ thể kỹ người kiểm thử Các kỹ thuật xác định điểm yếu mục tiêu bao gồm: bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội kiểm thử an toàn ứng dụng => Tuy nhiên khơng có kỹ thuật cung cấp cách đầy đủ, chi tiết vấn đề an toàn hệ thống hay mạng nên cần phải kết hợp kỹ thuật cách phù hợp để đảm bảo đánh giá an toàn xác Ví dụ, kiểm thử xâm nhập thường phụ thuộc vào thực nhận dạng cổng mạng/dịch vụ quét lỗ hổng để xác định máy chủ dịch vụ mà mục tiêu thâm nhập tương lai Ngồi ra, có số kỹ thuật thỏa mãn với yêu cầu đánh giá, chẳng hạn xác định nơi mà vá áp dụng cách phù hợp 10 bổ sung cho kỹ thuật công nghệ, nhiều đánh giá sử dụng loại kỹ thuật - Ví dụ kỹ thuật cơng nghệ bổ sung cho việc lựa chọn kỹ thuật liên quan đến rủi ro Mỗi trường hợp thực khác nhau, tổ chức đánh giá yêu cầu đối tượng trình đánh giá xác định kỹ thuật kết hợp phù hợp: a) Xác định điểm yếu cơng nghệ kiến trúc cấu hình an toàn hệ thống giảm thiểu rủi ro từ việc đánh giá • Bước 1: Xét duyệt tài liệu: Xác định điểm yếu sách, điểm yêu thủ tục thiếu xót kiến trúc an tồn thơng tin • Bước 2: Xét duyệt cấu hình an tồn thơng tin tập luật: Xác định việc sai lệch từ sách an tồn tổ chức khn khổ kiến trúc an tồn mạng hệ thống thiếu xót an tồn hệ thống • Bước 3: Qt thiết bị khơng dây: Xác định thiết bị không dây trạng thái hệ thống điểm yếu kiến trúc an toàn bổ sung liên quan đến mạng không dây sử dụng hệ thống • Bước 4: Quét lỗ hổng kiến trúc mạng: Xác định tất máy chủ, máy trạm hoạt động hệ thống lỗ hổng máy chủ, máy trạm b) Xác định công nhận điểm yếu kỹ thuật kiến trúc cấu hình an tồn hệ thống – việc công nhận bao gồm nỗ lực để khai thác lỗ hổng lựa chọn • Bước 1: Xem xét tập luật cấu hình an tồn: Xác định độ sai lệch từ sách an tồn tổ chức khn dạng kiến trúc an toàn mạng hệ thống thiếu xót thủ tục an tồn hệ thống • Bước 2: Phát mạng quét lỗ hổng: Xác định tất máy hoạt động hệ thống lỗ hổng máy • Bước 3: Thực kiểm thử xâm nhập với kỹ nghệ xã hội: Kiểm tra để khẳng định lỗ hổng hệ thống c) Xác định công nhận điểm yếu kỹ thuật kiến trúc an tồn cấu hình an tồn hệ thống từ quan điểm kẻ cơng ngồi hệ thống – việc công nhận gồm nỗ lực khai thác vài tất lỗ hổng Đánh giá khả cơng tới hệ thống • Bước 1: Kiểm thử xâm nhập bên ngoài: Thực phát mạng bên ngoài, quét cổng, quét lỗ hổng công để xác định công nhận lỗ hổng hệ thống • Bước 2: Xem xét nhật ký: Xem xét nhật ký thống kê kiểm sốt an tồn cho hệ thống để xác định ảnh hưởng việc thu thập liệu liên quan đến hoạt động kiểm thử xâm nhập bên ngồi 43 CHƯƠNG 6: THỰC HIỆN ĐÁNH GIÁ AN TỒN HỆ THỐNG THÔNG TIN 6.1 Xử lý liệu - Đảm bảo bảo vệ liệu nhạy cảm tổ chức bao gồm kiến trúc hệ thống, cấu hình an toàn, lỗ hổng hệ thống 6.1.1 Hủy bỏ liệu - Khi liệu đánh giá không cần thiết, hệ thống đánh giá, tài liệu lưu, phương tiện cần phải thu dọn Việc thu dọn liệu chia thành loại: • Sắp xếp: Với phương tiện (media) khơng khuyến khích việc loại bỏ, thường thực với giấy tờ mà không chứa nội dung quan trọng, nhiên lưu trữ khác • Làm sạch: Là mức độ thu dọn liệu để đảm bảo tính bí mật liệu khỏi cơng theo vết bàn phím Việc xóa liệu khơng phải phương pháp hiệu cho việc làm Việc làm phải làm cho thông tin tránh việc khôi phục từ liệu, ổ đĩa tiện ích khơi phục liệu, phải có khả chống cơng dựa vào bàn phím (keystroke) từ thiết bị đầu vào cơng cụ tìm kiếm Một số phương pháp chấp nhận cho việc làm thông tin việc ghi đè liệu (overwriting) • Tẩy sạch: Q trình thu dọn phương tiện để bảo vệ tính bí mật liệu khỏi công Với số liệu, việc làm chưa đủ hiệu để che dấu Ví dụ việc làm liệu thực thi câu lệnh firmware Secure Erase (chỉ cho ổ đĩa ATA – Advanced Technology Attachment) khử từ • Tiêu hủy: Phá hủy vật lý thiết bị để khơng có khả sử dụng giúp tránh thu liệu lưu Việc phá hủy vật lý thực phương pháp như: đốt, đập nát, nung chảy, nghiền, … - Các tổ chức cần trì sách u cầu cho việc xử lý hủy bỏ hệ thống đánh giá Chuẩn NIST SP 800-88 đưa lược đồ luồng để hỗ trợ tổ chức việc xác định phương pháp hủy bỏ liệu áp dụng phù hợp vào hoàn cảnh Kế hoạch đánh giá ROE cần xác định yêu cầu hủy bỏ cho lần kiểm thử cụ thể - Các đánh giá viên từ bên thứ ba cần hiểu yêu cầu hủy bỏ liệu tổ chức khác phận tổ chức có u cầu khác Ví dụ, vài tổ chức ngăn cấm đánh giá viên bên truy cập vào liệu đánh giá họ nộp báo cáo cuối Trong trường hợp này, 44 cá nhân có trình độ tổ chức xác nhận phương pháp hủy bỏ liệu cần phải thực CHƯƠNG 7: CÁC HOẠT ĐỘNG SAU ĐÁNH GIÁ 7.1 Báo cáo (BT) - Sau hồn tất việc phân tích, cần phải lập báo cáo việc xác định hệ thống, mạng điểm yếu tổ chức hành động khuyến nghị để giảm thiểu rủi ro Kết đánh giá an ninh sử dụng việc sau: • Làm tài liệu tham chiếu cho hoạt động khắc phục cố • Trong vạch rõ hoạt động giảm thiểu để xử lý lỗ hổng xác định • Như chuẩn mực cho việc theo dõi phát triển tổ chức việc đáp ứng yêu cầu bảo mật • Để đánh giá trạng thái thực thi yêu cầu bảo mật hệ thống • Tiến hành phân tích lợi ích/chi phí cho nâng cấp bảo mật hệ thống • Tăng cường hoạt động vịng dời phân tích rủi ro, C&A cải tiến quy trình • Để đáp ứng yêu cầu báo cáo FISMA - Các kết đánh giá cần phải ghi lại cung cấp cho người thích hợp, bao gồm CIO, CISO ISSO quản trị chương trình chủ sở hữu hệ thống Bởi báo cáo có nhiều đối tượng, nhiều định đạng báo cáo đề để đảm bảo phù hợp với nhiều đối tượng Ví dụ, báo cáo phát triển tổ chức tuân thủ theo FISMA cần đáp ứng yêu cầu FISMA báo cáo phát từ việc đánh giá, tuân thủ theo chuẩn NIST, khoản thiếu hụt, hoạt động khắc phục lên kế hoạch Các báo cáo thiết kế cho đối tượng thích hợp, quản trị chương trình, quản lý thơng tin, kỹ sư an ninh, quản lý cấu hình nhân viên kỹ thuật Các báo cáo nội cần có thêm phương pháp đánh giá, kết đánh giá, phân tích POA&M Một POA&M bảo bảo lỗ hổng xử lý với hành động cụ thể, đo lường được, đạt được, thực tế hữu hình - Trong báo cáo đánh giá, người đánh giá cần có thơng tin sau: • • • • • • Thông tin chung hệ thống đánh giá Cấu trúc hệ thống đánh giá Các rủi ro mức cao Các rủi ro mức trung bình Các rủi ro mức thấp Tổng hợp đánh giá đề xuất giải pháp 45 7.1.1 Thông tin chung hệ thống đánh giá - Đây thông tin hệ thống đánh giá, như: • • • • • • Địa điểm thực đánh giá Thời gian thực đánh giá Người thực đánh giá Người theo dõi đánh giá Thông tin hợp đồng đánh giá Phiên báo cáo, … Các thông tin giúp cho người đánh giá đơn vị cần thực đánh giá biết thông tin chung mục tiêu, địa điểm, đối tượng thực Đồng thời pháp lý có cố xảy 7.1.2 Cấu trúc hệ thống đánh giá - Đây thông tin sơ đồ cấu trúc hệ thống đánh giá Đối với kiểm thử an toàn cho Website, người đánh giá cần liệt kê cấu trúc sơ đồ hệ thống Website dựa thư mục file trang Web Đối với kiểm thử an toàn cho hệ thống, người đánh giá cần thể sơ đồ hệ thống đánh giá thông qua sơ đồ mạng địa IP cụ thể - Ví dụ liệt kê cấu trúc Website: 46 - Ví dụ cấu trúc hệ thống mạng đánh giá: 7.1.3 Các rủi ro mức cao - Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp thông tin theo mức độ rủi ro khác Cụ thể, cần liệt kê điểm yếu thử nghiệm đánh giá theo mục như: • • • • • • Mức độ nguy hại Công cụ sử dụng (nếu có) Cách thức kiểm tra Kết Mơ tả nguy hại xảy đến Các khuyến cáo để phòng chống rủi ro - Dưới ví dụ cụ thể lập báo cáo điểm yếu Cross Site Scripting • Mức độ nguy hại: Cao • Cơng cụ: Firefox, Internet Explorer, … • Cách kiểm tra: Gõ từ khóa bất kỳ, ví dụ "a" vào trang login email địa chỉ: http://test.edu.vn/Email/web/default.asp • Kết quả: Trang Web bị lỗi Cross Site Scripting địa chỉ: http://test.edu.vn/email/web/default.asp • Mơ tả + Rủi ro gặp phải: Khi phát lỗi Cross Site Scripting, Hacker thực thi đoạn Script cách liên kết đến 47 trang web đó, xây dựng file script cho URL trỏ đến file để thực thi file, đánh cắp account thực công hijacking, thay đổi thiệt đặt người sử dụng, đánh cắp cookie, … • Khuyến cáo: Để fix lỗi GET data từ url phải lọc ký tự < > từ đặc biệt script chẳng hạn - Đối với điểm yếu khác, thực tương tự 7.1.4 Các rủi ro mức trung bình mức thấp - Với rủi ro mức trung bình mức thấp, quy trình lập báo cáo hồn toàn tương tự với lập báo cáo với rủi ro mức cao Đầu tiên cần nhấn mạnh lại mức độ nguy hại, sau mơ tả công cụ thực hiện, phương thức thực hiện, kết thu khuyến cáo khắc phục rủi ro CHƯƠNG 8: KIỂM ĐỊNH AN TỒN HỆ THỐNG THƠNG TIN 8.1 Tổng quan kiểm định an toàn hệ thống thơng tin 8.1.1 Khái niệm kiểm định an tồn hệ thống thơng tin - Kiểm định an tồn hệ thống thông tin kiểm tra, đánh giá mức độ an ninh thông tin tổ chức nhằm xác định hệ thống công nghệ thông tin tổ chức có đạt u cầu an tồn theo tiêu chí đề hay khơng Đó khẳng định hệ thống đáp ứng điều kiện an toàn; chứng tạo niềm tin khách hàng, thể tuân thủ qui định việc đảm bảo an tồn thơng tin quan tổ chức 8.1.2 So sánh đánh giá an toàn hệ thống thơng tin kiểm định an tồn hệ thống thông tin Đánh giá ATHTTT Kiểm định ATHTTT - Việc thực đánh giá an toàn - Việc thực kiểm định an toàn nhằm nhằm xác định mức độ an ninh kiểm tra, đánh giá mức độ an ninh hệ thống thông tin thông tin tổ chức tổ chức Giúp tổ chức nhằm xác định hệ thống cơng nhìn tồn diện mối nguy nghệ thông tin tổ chức hại tồn hệ thống mạng có đạt yêu cầu an (Thực khâu tồn theo tiêu chí đề xây dựng hệ thống) hay không (Thực sau - Nhóm đánh giá bên thứ hệ thống xây dựng xong) đội phát triển, xây dựng - Nhóm kiểm định an tồn thơng hệ thống thơng tin tin quan có thẩm - Đưa giải pháp khắc phục, cải quyền nhằm đảm bảo tính độc tiến hệ thống thơng tin tiếp cận lập khách quan Khơng có tới mục tiêu an ninh tổ chức thành viên đội xây 48 đề giảm thiểu rủi ro khơng đáng có sau đánh giá dựng hệ thống thông tin - Kết kiểm định sở chứng nhận tính an tồn mục tiêu kiểm định điều kiện cấp chứng nhận kiểm định an tồn hệ thống thơng tin 8.2 Quy trình kiểm định an tồn hệ thống thơng tin - Thực kiểm định an tồn thơng tin cho quan, tổ chức công việc không dễ dàng cần tuân theo quy trình định Quy trình kiểm định phải đảm bảo phù hợp, đầy đủ kết kiểm định phải so sánh với yêu cầu đặt Dưới cụ thể quy trình kiểm định áp dụng từ giai đoạn khởi tạo dự án kết thúc: • Bước 1: Thực thời điểm bắt đầu kiểm định, bên liên quan cần thống điều khoản chung ký kết thỏa thuận liên quan chuẩn bị cho q trình kiểm định • Bước 2: Dựa thỏa thuận bên, nhóm kiểm định lên kế hoạch chi tiết công việc cần thực tồn q trình kiểm định 49 • Bước 3: Nhóm kiểm định tiến hành kiểm tra, xem xét tài liệu có sẵn bên kiểm định việc thực an tồn hệ thống thơng tin Nếu cần thiết yêu cầu bổ sung tài liệu Dựa việc rà soát văn kế hoạch kiểm định an tồn thơng tin (được cập nhật thời gian này), điều khoản thời gian cách thức hợp tác trình kiểm định chỗ phận thống • Bước 4: Thực kiểm định trực tiếp thông qua họp mở với người tham gia phụ trách phận liên quan quan, tổ chức để hỏi, vấn đề đảm bảo an tồn thơng tin Việc kiểm tra chỗ kết thúc họp tổng kết • Bước 5: Thơng tin thu q trình kiểm tra trực tiếp củng cố thêm đánh giá đội ngũ kiểm định • Bước 6: Các kết kiểm định tóm tắt báo cáo kiểm định Báo cáo cung cấp cho quan có thẩm quyền xem xét cấp chứng nhận 8.2.1 Chuẩn bị kiểm định - Khi có kế hoạch thực kiểm định, người quản lý tổ chức kiểm định phải tham gia Trong giai đoạn này, cần quy định đối tượng kiểm định, ký kết hợp đồng thỏa thuận điều khoản cần cho q trình kiểm định (ví dụ ủy quyền cho phép xem xét tài liệu) - Quản lý tổ chức cần thông báo cho cán phụ trách, nhân viên kế hoạch kiểm định Các cán phụ trách nên giải thích nhắc nhở nhân viên phối hợp thực kiểm định, đồng thời chuẩn bị hồ sơ tài liệu phục vụ cho cán kiểm định Các tài liệu sau cần cung cấp cho nhóm kiểm định chúng hình thành sở cho việc thực việc kiểm định an toàn thơng tin: Tài liệu liên quan đến tổ chức: • Sơ đồ tổ chức hệ thống thơng tin • Các phận thực đảm bảo an tồn thơng tin • Lịch trình kế hoạch thực an tồn thơng tin tổ chức Tài liệu kỹ thuật: • • • • • • Các phân vùng mạng Vấn đề áp dụng biện pháp đảm bảo an toàn Chính sách an tồn Danh sách quy trình nghiệp vụ quan trọng Danh sách nguy an toàn vòng tháng Việc khắc phục, xử lý nguy 50 8.2.2 Tạo kế hoạch kiểm định - Khi có nhìn đầy đủ hệ thống thông tin mục tiêu kiểm định xác định phạm vi kiểm định, nhóm kiểm định cần xây dựng kế hoạch kiểm định Kế hoạch cơng cụ sử dụng suốt tồn kiểm định, tài liệu xác định tất hoạt động kiểm định - Việc phân bố thời gian trình thực quan trọng Các nhiệm vụ cần thực lâu phải bố trí nhiều thời gian hơn, nhiệm vụ đơn giản tốn thời gian Phân bố thời gian cho tồn cơng việc giải từ bắt đầu đến lúc kết thúc Dưới bảng thời gian ước tính thực giai đoạn kiểm định chung: Giai đoạn Bước Bước Bước Bước Bước Bước Công việc Chuẩn bị kiểm định Tạo kế hoạch kiểm định Xem xét tài liệu Kiểm tra trực tiếp Đánh giá kết Lập báo cáo kiểm định Thời gian (%) 5% 15% 20% 35% 5% 20% - Trong bước lại có nhiệm vụ cụ thể Thời gian thực với nhiệm vụ cụ thể phải xem xét phù hợp với khoảng thời gan chung toàn giai đoạn 8.2.3 Xem xét tài liệu - Sau có tài liệu cung cấp từ bước 1, lúc xem xét tài liệu để có nhìn tổng quan toàn hệ thống kiểm định Khi xem xét tài liệu, cần kiểm tra sách áp dụng với hệ thống mạng rủi ro xảy đến thời gian gần - Xác định sách phải đặt đặc điểm công ty, tổ chức, vị trí nó, tài sản, cơng nghệ Các sách phải tính tới vấn đề liên quan đến pháp lý quy định yêu cầu, hợp đồng nghĩa vụ bên thứ bên phụ thuộc Quản lý phải phê duyệt sách, tất nhân viên nên biết sách, hiểu tầm quan trọng, mục đích Chính sách 51 phải bao gồm khuôn khổ cho việc thiết lập đối tượng, đưa hướng quản lý hành động, thiết lập tình quản lý rủi ro đưa biện pháp chống lại nguy tính tới Chính sách xem tập cha sách an tồn thơng tin, ví dụ sách đưa vấn đề mà sách an tồn thơng tin khơng cần thiết phải đề cấp tới - Xác định rủi ro tài sản có tính tới mối đe dọa điểm yếu liên quan tới tài sản tác động làm tính bí mật, tồn vẹn, sẵn có tài sản Việc xác định tài sản, mối đe dọa, lỗ hổng cần phải liên quan đến việc kiểm soát khu vực khác Điều quan trọng để đảm bảo tất tài sản xác định sở để đánh giá rủi ro, chủ sở hữu xác định cho tài sản Việc xác định tác động làm tính bảo mật, tồn vẹn sẵn sàng tài sản nên tính đến nguy hiểm mà công ty phải đối mặt luật pháp, quy định, hợp đồng yêu cầu công ty thơng qua thiệt hại Phân tích đánh giá rủi ro dựa thông tin bao gồm tất khu vực điểu khiển như: tổ chức, nhân sự, quy trình kinh doanh, điều hành trì, pháp lý, quy định vấn đề hợp đồng, sở xử lý thông tin Điều liên quan đến việc tổ chức đánh giá kết việc kinh doanh từ lỗi an tồn, có tính đến hậu tính bí mật, tính tồn vẹn, tính sẵn sàng tài sản có Điều bao gồm khả đánh giá lỗi xảy ra, xem xét mối đe dọa, điểm yếu xác định khả xảy đến gây cố - Khi tổ chức xác định, đánh giá hiểu tác động rủi ro có kinh doanh họ có hành động khác để quản lý hay khắc phục rủi ro tình hình kinh doanh họ Những hành động tổ chức xem xét bao gồm việc áp dụng kiểm sốt thích hợp giảm thiểu rủi ro, tránh rủi ro không thông qua cam kết họat động rủi ro có liên quan, chuyển giao rủi ro (toàn phần) cho bên khác ví dụ doanh nghiệp bảo hiểm hay cố ý khách quan chấp nhận rủi ro Những tùy chọn kết hợp số tuỳ chọn khác tổ chức, tổ chức khác với rủi ro lại có kết luận khác nhau, điều cịn phụ thuộc vào đối tượng kinh doanh tùy trường hợp Trong trường hợp điều quan trọng xác nhận định ghi chép tốt tổ chức cung cấp chứng để định thực với đầy đủ kiến thức rủi ro không đơn giản thiếu hiểu biết 52 8.2.4 Kiểm tra trực tiếp - Mục đích việc kiểm tra trực tiếp để so sánh kiểm tra lại tài liệu cung cấp với điều kiện thực tế để xem vấn đề đảm bảo an tồn thực tế tổ chức có đáp ứng đầy đủ tài liệu hay không Đôi q trình lập kế hoạch hồn hảo áp dụng lại phát sinh nhiều vấn đề, không mong muốn ban đầu - Kiểm tra trực tiếp thực theo nhiều cách khác Có thể tổ chức vài gặp mặt trực tiếp, với tham gia tất đối tượng liên quan; gặp riêng đối tượng để xem xét theo khía cạnh - Một vấn đề cần quan tâm thực kiểm tra “kỹ thuật kiểm tra” Kỹ thuật kiểm tra hiểu tất phương pháp sử dụng để xác định thật vấn đề Các kỹ thuật kiểm tra khác sau sử dụng q trình kiểm tra trực tiếp: • Hỏi trực tiếp lời (phỏng vấn) • Kiểm tra mắt hệ thống, địa điểm, khơng gian, phịng, đối tượng • Quan sát (ví dụ quan sát ngẫu nhiên phịng làm việc) • Phân tích tập tin (bao gồm liệu điện tử) • Kiểm tra kỹ thuật (ví dụ thử nghiệm hệ thống báo động, hệ thống kiểm sốt truy cập, ứng dụng, …) • Phân tích liệu (ví dụ tập tin đăng nhập, đánh giá sở liệu, …) • Đưa câu hỏi văn - Tùy trường hợp cụ thể áp dụng kỹ thuật kiểm định khác nhau, quan trọng kết phải khách quan đánh giá tồn khía cạnh cần thực kiểm tra - Để chứng thực, phận liên quan cần đưa chứng cho người kiểm định Những chứng phải chứng minh tổ chức tham gia cách có tiếp cận hệ thống từ việc xác định phạm vi qua việc thực thi hệ thống quy trình quản lý kiểm sốt phù hợp với an tồn thơng tin cần thiết cho việc kinh doanh Cách tiếp cận cần chứng minh thể thông qua định quản lý phù hợp đưa việc làm để thỏa thuận với mặt rủi ro dựa việc lập trình quy trình quản lý rủi ro Ngồi cung cấp chứng thủ tục đưa để theo dõi, xem xét áp dụng quy trình Nhóm kiểm định dựa thông 53 tin chứng minh để xem xét tính xác thơng tin đưa kết phù hợp 8.2.5 Đánh giá kết - Sau kiểm tra trực tiếp, thông tin thu cần đưa đánh giá Việc đánh giá thực nhóm kiểm định quan có thẩm quyền Các kết đánh giá sở chứng nhận tính an tồn mục tiêu đánh giá điều kiện cấp chứng nhận đảm bảo an tồn thơng tin - Khi đánh giá kết quả, cần xem xét mục tiêu ban đầu để xác định ranh giới rủi ro rủi ro chấp nhận Bất kỳ loại trừ tìm thấy kiểm soát quản lý cần thiết để đáp ứng tiêu chuẩn chấp nhận rủi ro phải chứng minh chứng phù hợp mà hành động đưa việc quản lý không bị ảnh hưởng tới tổ chức Sự phù hợp với trách nhiệm quản lý rủi ro an tồn thơng tin rủi ro biết đến, chấp nhận cách khách quan người quản lý có trách nhiệm điều hành việc thực thi định người chịu trách nhiệm việc định 8.2.6 Lập báo cáo kiểm định - Báo cáo kiểm định an tồn thơng tin, bao gồm tài liệu tham khảo, cung cấp văn đến nhà quản lý tổ chức kiểm định đơn vị kiểm định, người chịu trách nhiệm cho việc kiểm định an tồn thơng tin Một phiên dự thảo báo cáo kiểm định an tồn thơng tin nên trao cho tổ chức kiểm định lần gần để để xác minh kiện thành lập đội ngũ kiểm định an tồn thơng tin ghi lại cách xác - Tổ chức kiểm định có trách nhiệm đảm bảo tất đơn vị tổ chức bị ảnh hưởng nhận phận liên quan báo cáo kiểm định an tồn thơng tin 54 quan trọng với họ thời gian thích hợp Các quy tắc "cần phải biết" cần áp dụng - Báo cáo kiểm định an tồn thơng tin bao gồm tối thiểu tóm tắt quản lý, đánh giá đồ họa trạng thái bảo mật thông tin xác định, mô tả chi tiết kiện tìm thấy, đánh giá thực tế cho hình thức bảo vệ kiểm tra Phần Phần chứa thông tin tổ chức, ví dụ sở kiểm định, thứ tự thời gian bước kiểm định an tồn thơng tin, mơ tả ngắn hợp đồng kiểm định Phần Phần tóm tắt quản lý Bản tóm tắt nên bao gồm tối đa hai trang Nó chứa kiện phát hình thức ngắn gọn dễ hiểu kiến nghị kết từ kiện xác định Phần Ngoài tóm tắt quản lý, phiên đồ họa tóm tắt cho kết kiểm định cần cung cấp Phần nên chứa sơ đồ tổng quan tình hình thực tình hình thiếu an ninh Phần Phần bao gồm phần báo cáo kiểm định an toàn thơng tin có chứa mơ tả chi tiết đối tượng thử nghiệm kiện xác định với chi tiết kỹ thuật kiến nghị Phần nên xếp theo đối tượng mục tiêu biện pháp bảo vệ thử nghiệm Đánh giá mức độ an ninh Các mức độ an ninh nghiêm trọng Các mức độ an ninh trung bình Các mức độ an ninh thấp Thể báo cáo Màu đỏ Màu vàng Màu xanh Các khía cạnh thông thường Khi tạo báo cáo kiểm định an tồn thơng tin, khía cạnh hình thức sau phải đưa vào xem xét Tất kiểm tra tiến hành, kết chúng, đánh giá kết phải ghi lại rõ ràng dễ hiểu 55 • Các bảng nội dung cần có báo cáo thực tế tất phụ lục (ví dụ ảnh chụp hình, file log, vv) Mỗi phụ lục phải dễ nhận biết để kiểm tra thơng tin cách đầy đủ • Tất tài liệu tham khảo sử dụng phải liệt kê.194 • Các liệu hoạt động, ví dụ liệu từ họp đánh giá tập tin báo cáo, phải bao gồm phụ lục • Các trang phải thiết kế cho trang xác định (ví dụ sử dụng số trang số phiên tiêu đề ngày báo cáo) • Nếu công cụ phần mềm sử dụng để hỗ trợ hoạt động kiểm định, ví dụ: cơng cụ phân tích, cơng cụ phải liệt kê với tên hiệu số phiên • Nếu báo cáo kiểm định đề cập đến thông tin ghi với cơng cụ, báo cáo (bản in) tương ứng phải bao gồm báo cáo kiểm định, phần ghi thêm • Thuật ngữ đặc biệt chữ viết tắt thường sử dụng không xuất báo cáo phải tập hợp danh mục thuật ngữ mục chữ viết tắt Báo cáo quản trị Để cho công ty quan quản lý nhà nước thực định đắn quản lý quy trình bảo mật thơng tin, họ cần nhìn tổng quan thực trạng vấn đề bảo mật thông tin Điều bao gồm kết kiểm định an tồn thơng tin Các nhà quản lý nên thường xuyên nhận báo cáo thơng tin sau: • Kết báo cáo kiểm định an tồn thơng tin • Tình trạng an ninh phát triển tình trạng an ninh xác định kiểm định an toàn thơng tin • Các hoạt động cần thiết Lưu trữ đóng gói - Báo cáo kiểm định an tồn thơng tin tài liệu tham khảo phải lưu trữ cẩn thận tổ chức kiểm định khoảng thời gian tối thiểu 10 năm sau chuyển báo cáo Chúng tạo thành sở cho việc lựa chọn đối tượng mục tiêu biện pháp bảo vệ xem 56 xét tương lai kiểm định - Một số yêu cầu lưu trữ tài liệu: • • • • • • • • • Tính đắn Đầy đủ Bảo vệ chống lại thay đổi giả mạo Bảo mật chống mát Sử dụng người có thẩm quyền Duy trì giai đoạn lưu trữ Tài liệu thủ tục Có khả kiểm tra Có khả tái sử dụng - Khi giao báo cáo kiểm định an tồn thơng tin, việc kiểm định an tồn thơng tin chấm dứt đội ngũ kiểm định an tồn thơng tin hồn thành nhiệm vụ 57 ...CHƯƠNG 1: TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN 1. 1 Phương pháp luận đánh giá an tồn hệ thống thơng tin 1. 1 .1 Khái niệm đánh giá AT HTTT NIST SANS - Theo NIST: Đánh giá an tồn hệ thống. .. rủi ro CHƯƠNG 8: KIỂM ĐỊNH AN TOÀN HỆ THỐNG THƠNG TIN 8 .1 Tổng quan kiểm định an tồn hệ thống thông tin 8 .1. 1 Khái niệm kiểm định an tồn hệ thống thơng tin - Kiểm định an tồn hệ thống thông tin. .. hệ thống đánh giá - Đây thông tin hệ thống đánh giá, như: • • • • • • Địa điểm thực đánh giá Thời gian thực đánh giá Người thực đánh giá Người theo dõi đánh giá Thông tin hợp đồng đánh giá Phiên