HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I BÁO CÁO BÀI TẬP LỚN MƠN: QUẢN LÝ AN TỒN THƠNG TIN Đề tài: Tìm hiểu Third-Party Attacks Giảng viên hướng dẫn: TS Nguyễn Ngọc Điệp Nhóm đề tài: 12 Sinh viên thực hiện: Đồn Văn Cơng Nguyễn Văn Doanh Nguyễn Quang Đạo Đào Xuân Hiệu Hoàng Quang Huy Nguyễn Quang Sáng Hà Nội, tháng 10 năm 2021 B18DCAT023 B18DCAT031 B18DCAT047 B18DCAT091 B18DCAT107 B18DCAT198 MỤC LỤC I Third-party attacks gì? Third-party attack (tấn cơng bên thứ 3) cịn có tên gọi khác Supply chain attack (tấn công chuỗi cung ứng), hay Value-chain attack (tấn công chuỗi giá trị) Tên sử dụng phổ biến Supply chain attack Chuỗi cung ứng hệ sinh thái mà có quy trình, người, tổ chức nhà phân phối liên quan đến việc tạo cung cấp giải pháp sản phẩm cuối Trong lĩnh vực an ninh mạng, chuỗi cung ứng liên quan đến phạm vi rộng loại tài nguyên (phần cứng phần mềm), lưu trữ (đám mây cục bộ), chế phân phối (ứng dụng web, cửa hàng trực tuyến) phần mềm quản lý Có bốn yếu tố chuỗi cung ứng: Nhà cung cấp: thực thể cung cấp sản phẩm dịch vụ cho chủ thể khác Tài sản nhà cung cấp: yếu tố có giá trị nhà cung cấp sử dụng để sản xuất sản phẩm dịch vụ Khách hàng: thực thể tiêu thụ sản phẩm dịch vụ nhà cung cấp sản xuất Tài sản khách hàng: yếu tố có giá trị thuộc sở hữu khách hàng bị nhắm mục tiêu Một thực thể cá nhân, nhóm cá nhân tổ chức Tài sản người, phần mềm, tài liệu, tài chính, phần cứng thứ khác Một công chuỗi cung ứng kết hợp hai cơng Cuộc công vào nhà cung cấp, sau cơng vào mục tiêu để có quyền truy cập vào tài sản họ Mục tiêu khách hàng cuối nhà cung cấp khác Do đó, để cơng phân loại công vào chuỗi cung ứng, nhà cung cấp khách hàng phải mục tiêu Làm việc với bên thứ giúp doanh nghiệp tăng suất hiệu quả, sản xuất sản phẩm dịch vụ tốt Nhưng tất lợi ích phải trả giá rủi ro an ninh mạng gia tăng Các bên thứ ba khơng coi trọng vấn đề bảo mật mạng họ Biết điều này, tin tặc chọn khơng cơng trực tiếp vào cơng ty mục tiêu Thay vào đó, họ tìm kiếm mục tiêu dễ dàng số nhà cung cấp bên thứ ba 1.1 Phương pháp phân loại công chuỗi cung ứng: Cơ quan An ninh mạng Liên minh Châu Âu (ENISA) đề xuất phương pháp phân loại để mô tả đặc điểm công chuỗi cung ứng Phương pháp phân loại xem xét tất bốn yếu tố chuỗi cung ứng, kỹ thuật sử dụng kẻ cơng Nó giúp tổ chức hiểu phần khác công chuỗi cung ứng, so sánh chúng với công mạng tương tự khác quan trọng cách xác định cố công chuỗi cung ứng Phương pháp phân loại giúp tổ chức hiểu phần khác công chuỗi cung ứng, so sánh chúng với công mạng tương tự khác quan trọng xác định cố công chuỗi cung ứng Phương pháp phân loại nên sử dụng khuôn mẫu hướng dẫn đó, có cơng chuỗi cung ứng mới, cộng đồng cố gắng phân tích cách xác định vạch yếu tố số bốn yếu tố phân loại riêng biệt Nếu khơng có khách hàng bị cơng khơng có nhà cung cấp bị cơng, khơng phải cơng chuỗi cung ứng Phân loại, trình bày bảng đây, có phần dành cho nhà cung cấp phần dành cho khách hàng Đối với nhà cung cấp, phần gọi “Kỹ thuật công sử dụng để làm tổn hại chuỗi cung ứng” xác định cách (How) nhà cung cấp bị công Phần thứ hai dành cho nhà cung cấp gọi “Tài sản nhà cung cấp bị công chuỗi cung ứng” xác định (What) mục tiêu công nhằm vào nhà cung cấp Đối với khách hàng, phần gọi “Kỹ thuật công sử dụng để làm tổn hại với khách hàng” xác định cách (How) mà khách hàng bị công Phần thứ hai dành cho khách hàng gọi “Tài sản khách hàng bị cơng chuỗi cung ứng” xác định (What) mục tiêu cơng nhằm vào khách hàng Phương pháp phân loại đề xuất cho cơng chuỗi cung ứng có phần: • Kỹ thuật cơng sử dụng vào nhà cung cấp • Tài sản bị cơng nhà cung cấp • Kỹ thuật cơng sử dụng vào khách hàng • Tài sản bị cơng vào khách hàng 1.2 Các kĩ thuật công sử dụng để làm tổn hại chuỗi cung ứng: Các danh mục Kỹ thuật công bao gồm kỹ thuật công thường sử dụng công chuỗi cung ứng phân tích ENISA Mỗi kỹ thuật xác định cách thức công xảy ra, không xác định bị cơng Một vài kỹ thuật sử dụng công 1.3 Tài sản nhà cung cấp nhắm mục tiêu công chuỗi cung ứng Các tài sản nhà cung cấp mà kẻ công nhắm mục tiêu đề cập đến “cái gì” mục tiêu cơng, điều cho phép công thực sau Các tài sản nhắm mục tiêu thường có mối quan hệ trực tiếp với mục tiêu cuối thường hiểu ý định cuối kẻ cơng cách phân tích danh sách tài sản bị ảnh hưởng Tài sản nhà cung cấp bị nhắm mục tiêu kẻ cơng biểu diễn hình Mỗi phần tử xác định bị cơng nhà cung cấp Một vài kỹ thuật ảnh hưởng đến vài tài sản sử dụng công: 1.4 Các kĩ thuật công sử dụng để làm tổn hại khách hàng: Yếu tố phân loại đề cập đến kỹ thuật công sử dụng để làm tổn hại khách hàng thông qua nhà cung cấp họ Mỗi kỹ thuật xác định cách thức công xảy ra, không xác định bị cơng Một vài kỹ thuật sử dụng công: 1.5 Tài sản khách hàng bị nhắm mục tiêu công chuỗi cung ứng: Tài sản khách hàng mục tiêu mục tiêu cuối kẻ công thường đối tượng nguy hiểm công chuỗi cung ứng Tài sản khách hàng bị nhắm mục tiêu kẻ công liệt kê hình Mỗi phần tử xác định bị cơng khách hàng Một vài kỹ thuật sử dụng công Đây thường mục tiêu cuối công: 1.6 Cách sử dụng phương pháp phân loại: Sau ví dụ cách áp dụng phương pháp phân loại vào trường hợp thực tế giúp hiểu rõ đặc điểm công Verkada công ty thành lập năm 2016, chuyên bán máy quay an ninh mà khách hàng theo dõi qua Internet, Cơng ty có khoảng 5000 khách hàng Vào tháng năm 2021, máy chủ công ty bị xâm phạm Những kẻ cơng có thơng tin xác thực có quyền truy cập vào camera an ninh triển khai sở khách hàng Các thông tin xác thực cho tìm thấy “trên Internet” Những kẻ cơng giành quyền truy cập vào video hình ảnh khách hàng từ 150.000 camera đặt trường học, nhà tù, bệnh viện, đồn cảnh sát nhà máy Tesla 10 Áp dụng phương pháp phân loại , trước tiên nhà cung cấp, xác định kỹ thuật sử dụng thu thập thông tin từ nguồn công khai thông tin xác thực vơ tình để lộ internet Tài sản nhà cung cấp bị xâm phạm thông tin “cấu hình” “dữ liệu” Đối với khách hàng, tin cậy server từ trước nên gửi video từ camera lên, kĩ thuật cơng khách hàng xác định “Mối quan hệ tin cậy” Tài sản khách hàng bị xâm phạm “dữ liệu” II Vòng đời công chuỗi cung ứng: Một công chuỗi cung ứng thường bao gồm công vào nhiều nhà cung cấp sau công vào mục tiêu cuối cùng, cụ thể khách hàng Mỗi cơng giống với vịng đời cơng APT Mặc dù chưa có định nghĩa cơng APT, nhiên coi công APT cơng nhắm mục tiêu, có quyền truy cập trái phép vào tổ chức (thường thực thi mã), lan tràn khoảng thời gian dài mục tiêu cuối mối quan hệ cụ thể với mục tiêu Vịng đời cơng chuỗi cung ứng có hai phần chính, cơng vào nhà cung cấp công vào khách hàng Mỗi cơng thường phức tạp, địi hỏi vectơ công, kế hoạch hành động thực cẩn thận Những cơng nhiều tháng để thành công nhiều trường hợp, khơng bị phát thời gian dài Cuộc cơng vịng đời gọi “Cuộc công APT nhà 11 cung cấp”( Supplier APT Attack) tập trung vào việc xâm phạm nhiều nhà cung cấp Cuộc cơng thứ hai vịng đời gọi “Cuộc cơng APT khách hàng(Customer APT Attack)” tập trung vào mục tiêu cuối công Hai phần liên kết với quyền truy cập vào nhà cung cấp mặt khác khác kỹ thuật sử dụng, vectơ công bị khai thác thời gian dành cho cơng Vịng đời cơng biểu diễn sau: III Các công chuỗi cung ứng bật: 3.1 Vụ hack SolarWinds: SolarWinds công ty cung cấp phần mềm quản lý giám sát Orion sản phẩm hệ thống quản lý mạng (NMS) SolarWinds Vào tháng 12 năm 2020, người ta phát Orion bị xâm phạm Một điều tra sâu rộng cho thấy kẻ công giành quyền truy cập vào mạng SolarWinds, thơng qua việc khai thác lỗ hổng zero-day ứng dụng thiết bị bên thứ ba, công brute force thông qua kỹ thuật xã hội Sau bị xâm nhập, kẻ công thu thập thông tin khoảng thời gian dài Mã độc đưa vào Orion trình xây dựng Phần mềm chứa mã độc sau 12 khách hàng tải xuống trực tiếp sử dụng để thu thập lấy cắp thông tin Vụ công cho nhóm APT29 Phân loại cơng chuỗi cung ứng áp dụng cho công liên quan đến SolarWinds Những kẻ công sử dụng nhiều kỹ thuật công để xâm nhập phần mềm SolarWinds Orion Họ sửa đổi mã nhà cung cấp lạm dụng mối quan hệ đáng tin cậy khách hàng SolarWinds để cập nhật phần mềm độc hại cho khách hàng Mục tiêu cuối kẻ công liệu khách hàng Sơ đồ công chuỗi cung ứng SolarWinds Những kẻ công xâm nhập SolarWinds sửa đổi mã phần mềm ORION Phần mềm ORION thiết bị khách hàng cập nhật phần mềm độc hại, cho phép kẻ công truy cập vào liệu khách hàng 13 3.2 Cục Chứng thực số Bảo mật thông tin (VGCA) bị công mạng Tổ chức cung cấp dịch vụ chứng thực chữ ký số phủ Việt Nam (VGCA) cung cấp chứng thư số ứng dụng giúp người dân doanh nghiệp ký điện tử văn Vào tháng 12 năm 2020, nhà nghiên cứu báo cáo trang web sở hạ tầng VGCA bị xâm phạm để thay tệp nhị phân hợp pháp ứng dụng trojanized Mục tiêu công không rõ ràng, nhiên nhà nghiên cứu tin phần công lớn Công ty bảo mật ESET phát vụ công chuỗi cung ứng APT nhắm vào Cục Chứng thực số Bảo mật thông tin (VGCA) Hacker chèn mã độc vào phần mềm cài đặt chữ ký số website VGCA (ca.gov.vn) Khi tải phần mềm sử dụng, người dùng bị nhiễm mã độc Hậu tin tặc phá hoại máy tính, lấy cắp thơng tin thực hành vi trái phép với liệu cá nhân người dùng Các công cụ sử dụng nhóm APT (TA413, TA428) đứng sau công 14 3.3 Apache Netbean NetBeans tảng phát triển Java tích hợp Apache Vào tháng năm 2020, nhà nghiên cứu báo cáo số dự án NetBeans GitHub chứa phần mềm độc hại mà chủ sở hữu không hay biết Mọi người tải xuống 15 sử dụng dự án bị lây nhiễm, trojan tất dự án NetBeans cục họ tải chúng lên GitHub Người dùng bị nhiễm phần mềm độc hại RAT(Remote Access Trojan) Mục tiêu kẻ công dường thu thập thông tin độc quyền Cuộc công dường phần công chuỗi cung ứng lớn Trong trường hợp này, người dùng vừa nhà cung cấp vừa nạn nhân GitHub phương tiện chia sẻ sử dụng Cuộc công không quy cho cho 16 IV Khuyến nghị giúp cải thiện tính bảo mật giảm thiểu tác động công chuỗi cung ứng Các cơng chuỗi cung ứng tận dụng tính liên kết thị trường toàn cầu nhiều khách hàng dựa vào nhà cung cấp => Hậu công mạng chống lại nhà cung cấp khuếch đại, có khả dẫn đến tác động quy mơ lớn tồn quốc chí xuyên biên giới Đối với số sản phẩm, chẳng hạn phần mềm mã thực thi, tồn chuỗi cung ứng không rõ ràng chí hồn tồn bị che giấu người dùng cuối => Phần mềm người dùng cuối phụ thuộc trực tiếp gián tiếp vào phần mềm nhà cung cấp cung cấp 17 Những phụ thuộc bao gồm gói, thư viện mô-đun - tất sử dụng phổ biến để giảm chi phí phát triển đẩy nhanh thời gian vận chuyển Các nhà cung cấp trở thành mắt xích yếu chuỗi cung ứng Đồng thời, khách hàng yêu cầu sản phẩm an toàn khơng gian mạng có chi phí thấp, hai nhu cầu mà khơng phải lúc dung hòa Khách hàng cần đánh giá tính đến chất lượng tổng thể sản phẩm thực tiễn an ninh mạng nhà cung cấp họ, bao gồm việc họ có áp dụng quy trình phát triển an tồn hay khơng Khách hàng nên tăng cường trách nhiệm giải trình việc lựa chọn kiểm tra nhà cung cấp họ, việc quản lý rủi ro bắt nguồn từ mối quan hệ Để quản lý rủi ro an ninh mạng chuỗi cung ứng, khách hàng nên: • Xác định lập hồ sơ loại nhà cung cấp nhà cung cấp dịch vụ • Xác định tiêu chí rủi ro cho loại nhà cung cấp dịch vụ khác (ví dụ: phụ thuộc vào nhà cung cấp khách hàng quan trọng, phụ thuộc phần mềm quan trọng, điểm lỗi nhất) • Đánh giá rủi ro chuỗi cung ứng theo đánh giá yêu cầu tác động liên tục kinh doanh riêng họ • Xác định biện pháp xử lý rủi ro dựa thơng lệ tốt 18 • giám sát rủi ro mối đe dọa chuỗi cung ứng, dựa nguồn thông tin nội bộ, bên dựa phát từ việc giám sát đánh giá hiệu suất nhà cung cấp • Làm cho nhân viên họ nhận thức rủi ro Để quản lý mối quan hệ với nhà cung cấp, khách hàng nên: • quản lý nhà cung cấp tồn vịng đời sản phẩm dịch vụ, bao gồm thủ tục để xử lý sản phẩm thành phần cuối vòng đời • phân loại tài sản thơng tin chia sẻ truy cập nhà cung cấp, xác định thủ tục liên quan để truy cập xử lý họ • Xác định nghĩa vụ nhà cung cấp việc bảo vệ tài sản tổ chức, chia sẻ thơng tin, quyền kiểm tốn, tính liên tục kinh doanh, sàng lọc nhân xử lý cố trách nhiệm, nghĩa vụ thông báo thủ tục • Xác định yêu cầu bảo mật cho sản phẩm dịch vụ có • Bao gồm tất nghĩa vụ yêu cầu hợp đồng; đồng ý quy tắc hợp đồng phụ yêu cầu phân tầng tiềm • Giám sát việc thực dịch vụ thực đánh giá bảo mật định kỳ để xác minh việc tuân thủ yêu cầu an ninh mạng thỏa thuận; điều bao gồm việc xử lý cố, lỗ hổng bảo mật, vá, yêu cầu bảo mật, v.v • Nhận đảm bảo nhà cung cấp nhà cung cấp dịch vụ khơng có tính ẩn cửa hậu cố ý đưa vào, đảm bảo yêu cầu pháp lý quy định xem xét • Xác định quy trình để quản lý thay đổi thỏa thuận với nhà cung cấp, 19 VD: thay đổi công cụ, công nghệ, v.v Các nhà cung cấp phải đảm bảo phát triển an toàn sản phẩm dịch vụ phù hợp với thông lệ bảo mật thường chấp nhận Các nhà cung cấp nên : • đảm bảo sở hạ tầng sử dụng để thiết kế, phát triển, sản xuất cung cấp sản phẩm, thành phần dịch vụ tuân theo thông lệ an ninh mạng • thực quy trình phát triển, bảo trì hỗ trợ sản phẩm phù hợp với quy trình phát triển sản phẩm chấp nhận phổ biến • thực quy trình kỹ thuật an tồn phù hợp với thơng lệ bảo mật thường đón nhận • xem xét khả áp dụng yêu cầu kỹ thuật dựa thể loại sản phẩm rủi ro • Cung cấp Tuyên bố tuân thủ cho khách hàng tiêu chuẩn biết, tức ISO / IEC 27001, IEC 62443-4-1, IEC 62443-4-2 (hoặc tiêu chuẩn cụ thể Ma trận kiểm soát đám mây CSA (CCM) cho dịch vụ đám mây) đảm bảo chứng thực, chừng mực có thể, tính tồn vẹn nguồn gốc phần mềm nguồn mở sử dụng phần sản phẩm • xác định mục tiêu chất lượng số lượng khuyết tật lỗ hổng xác định bên vấn đề bảo mật báo cáo bên sử dụng chúng công cụ để cải thiện chất lượng tổng thể • trì liệu xác cập nhật nguồn gốc mã thành phần phần mềm biện pháp kiểm soát áp dụng cho thành phần, công cụ dịch vụ phần mềm nội bên thứ ba có quy trình phát triển phần mềm 20 • thực đánh giá thường xuyên để đảm bảo biện pháp đáp ứng Vì sản phẩm dịch vụ xây dựng từ dựa thành phần phần mềm có lỗ hổng bảo mật, nhà cung cấp nên thực phương pháp tốt để quản lý lỗ hổng bảo mật, chẳng hạn như: • giám sát lỗ hổng bảo mật báo cáo nguồn bên bên bao gồm thành phần bên thứ ba sử dụng • phân tích rủi ro lỗ hổng cách sử dụng hệ thống tính điểm lỗ hổng (ví dụ: CVSS56) • sách bảo trì để xử lý lỗ hổng xác định tùy thuộc vào rủi ro • quy trình để thơng báo cho khách hàng • kiểm tra xác minh vá để đảm bảo đáp ứng yêu cầu hoạt động, an toàn, pháp lý an ninh mạng vá tương thích với thành phần bên thứ ba không tích hợp sẵn • quy trình phân phối vá an toàn tài liệu liên quan đến vá cho khách hàng • tham gia vào chương trình phát lỗ hổng bảo mật bao gồm quy trình báo cáo cơng bố thơng tin Các lỗ hổng bảo mật nên quản lý nhà cung cấp dạng vá Tương tự vậy, khách hàng nên theo dõi thị trường để tìm lỗ hổng tiềm ẩn nhận thông báo lỗ hổng tương ứng từ nhà cung cấp Một số phương pháp hay để quản lý vá bao gồm: 21 • trì kho tài sản bao gồm thông tin liên quan đến vá • sử dụng nguồn thơng tin để xác định lỗ hổng kỹ thuật liên quan • đánh giá rủi ro lỗ hổng xác định có sẵn sách bảo trì lập thành văn thực • nhận vá từ nguồn hợp pháp kiểm tra chúng trước chúng cài đặt • áp dụng biện pháp thay vá khơng có sẵn khơng thể áp dụng • áp dụng quy trình khơi phục quy trình lưu & khơi phục hiệu => Các quan có thẩm quyền quốc gia thực đánh giá rủi ro an ninh quốc gia rủi ro chuỗi cung ứng, có tính đến tác nhân biết để đưa biện pháp tìm nguồn cung ứng từ nhà cung cấp cấp quốc gia => cơng chuỗi cung ứng tài trợ tổ chức nhà nước có lực tiên tiến trường hợp này, cần hỗ trợ quan hữu quan để giảm thiểu rủi ro công nhà nước bảo trợ V V.1 Demo Kí hiệu Kẻ cơng: A Victim_user(người sd phần mềm): B(bên thứ 2) Victim_dev(nhà phát triển phần mềm): C(bên thứ 3) 22 Web server(Nhà cung cấp dịch vụ): D(bên thứ nhất) V.2 Kịch chi tiết: A gửi email phishing có chứa phần mềm mã độc RAT(Remote Access Trojan) cho C, C click vào link tải phần mềm chứa mã độc Sau tiến hành chạy, C bị A điều khiển (có thể bị download file, upload file, remote desktop,…) bị lộ mã nguồn phần mềm A tiến hành upload file mã độc vào mã nguồn nạn nhân Trong demo, khả nhóm có hạn nên chúng em không tiến hành chèn file độc trực tiếp mà tạo sẵn phần mềm dính mã độc để thực bước Tiếp theo, C tập trung phát triển phần mềm mà khơng có cảnh giác(do việc chạy mã nguồn không gặp vấn đề gì), sau thực upload lên website D Admin website D phân quyền cho C người có quyền upload, user khác(bao gồm user B) có quyền tải phần mềm Sau tải chạy phần mềm B bị nhiễm mã độc bị A xâm phạm liệu V.3 Mơ hình cơng 23 V.4 Ngun liệu Máy windows 7(A) Máy windows7_client(B) Máy windows7_dev(C) Máy windows server 2012(D) Iexpress(ghép file với file độc) Beast(tạo RAT) Kĩ thuật Phishing V.5 Yêu cầu dựng lab A, B, C truy cập vào Web dựng sẵn D(cấu hình Web IIS mạng LAN) Yêu cầu web D(code): + Có thể đăng nhập đăng ký (có csdl) + Cần có chức upload file nên phải phân quyền người dùng 24