14 Giám sát và soát xét việc triển khai giải pháp
A.11.2 Rủi ro an toàn
Các rủi ro an toàn chủ yếu liên quan đến thư điện tử Internet bao gồm các vấn đề về:
• Xâm nhập bất hợp pháp vào mạng tổ chức/cộng đồng. Các cố gắng truy cập bất hợp
pháp, bao gồm cả giả mạo nhận dạng, thực hiện 24h/ngày, đang trở nên ngày càng tinh vi và sáng tạo, có thể nguy hiểm như dẫn đến tấn công DoS, lạm dụng nguồn tài nguyên hay lấy được các thông tin giá trị,
• Tải lên các mã độc, có thể bao gồm cả việc đưa Trojan vào thu thập thông tin như mật
khẩu và gửi chúng ngược ra bên ngoài tới một vị trí ở xa hoặc tạo điều kiện chiếm điều
khiển thiết bị từ xa. Do đó, cần phải chú ý tới các mối đe dọa “hỗn hợp” gần đây trong đó mã độc chứa “tải trọng”,
• Tải lên thư rác (thư rác là mối đe dọa đáng kể cho dịch vụ thư điện tử - nó có thể tác động
xấu đến các hoạt động thư điện tử bằng cách tiêu tốn tài nguyên mạng định tuyến thư rác và tài nguyên hệ thống cho cổng thư, nó có thể được sử dụng để lan truyền phần mềm độc hại),
• Việc chuyển tiếp thư rác (nếu máy chủ thư được cấu hình cho phép chuyển tiếp thư nặc
danh, nó có thể được sử dụng bởi những kẻ gửi thư rác để gửi thư rác qua Internet lấy tên của tổ chức sở hữu máy chủ thư),
• Giả mạo thư điện tử (dễ dàng giả mạo nhận dạng của bất kì người sử dụng nào để cố tình
thành một người nào đó gửi thư điện tử),
• Giả mạo nội dung,
• Nội dung không được giám sát làm cho tổ chức không biết cá nhân an toàn thông tin, nó
đưa đến ý nghĩa pháp lý và đánh mất tiềm năng của quyền sở hữu trí tuệ,
• Tấn công DoS trực tiếp vào hệ thống thư,
• Tấn công DoS phân tán mà hàng nghìn thư điện tử được gửi từ nhiều vị trí làm quá tải
máy chủ thư.
A.11.3 Các biện pháp an toàn
Các biện pháp an toàn cho thư điện tử có thể bao gồm:
• Các tường lửa sử dụng có mức đảm bảo và bộ các qui tắc phù hợp với các rủi ro đánh giá.
Cho hầu hết các mục đích an toàn, qui tắc cài đặt tường lửa đầu tiên phải từ chối tất cả các lưu lượng qua tường lửa. Đối với thư điện tử, bình thường máy chủ thư điện tử gửi dữ liệu ra Internet và nhận dữ liệu từ Internet. Ở đây, bộ qui tắc tường lửa có thể được thiết lập cho phép gửi hai chiều dữ liệu thư điện tử. Như trình bày trên, khuyến nghị nên có hai tường lửa liền nhau từ các nhà sản xuất khác nhau hoặc có hệ điều hành khác nhau,
• Đăng kí và ghi nhật ký các khả năng được hỗ trợ bởi dịch vụ thời gian đồng bộ đầy đủ trên
tất cả các thành phần hạ tầng, tường lửa và máy chủ. Đồng bộ thời gian này phải được đề xuất trong thiết kế, với mô tả của đồng hồ chủ và kế hoạch phân cấp cho các máy chủ, mạng. Thông thường đồng hồ chủ sẽ được đồng bộ bởi dịch vụ định vị toàn cầu thông qua vệ tinh (GPS) hay dịch vụ thời gian sóng vô tuyến mặt đất,
• Hệ thống truyền tải thư Internet (SMTP) được thiết lập đúng cách để thực hiện các nhiệm
vụ an toàn theo yêu cầu, bao gồm cung cấp giao diện tới tổ chức/cộng đồng từ Internet, chuyển thư từ Internet đến máy chủ thư nội bộ và ngược lại, phòng ngừa vận chuyển thư
từ địa chỉ này tới các địa chỉ khác trên Internet, và đảm bảo rằng thư và đính kèm không có mã độc về bất cứ phương diện nào,
• Đối với bất kì thư gửi đến nào, như kết quả của phân giải trên máy chủ DNS, các bản tin
hướng tới địa chỉ tường lửa của tổ chức, và khi nhận được từ Internet, bản tin được kiểm tra bởi bộ định tuyến ngoài đối với trường địa chỉ nguồn bên ngoài dải địa chỉ bên trong trước khi được chuyển tới tường lửa. Tại tường lửa, bản tin phải được kiểm tra cho trường địa chỉ ngoài dải địa chỉ bên trong và địa chỉ đích của máy chủ thư (và tất nhiên nếu nó là thư điện tử), và sau đó được hướng tới máy chủ thư SMTP. Tại máy chủ thư SMTP, bản tin phải được kiểm tra rằng nó phải từ Internet và rằng địa chỉ đích không phải địa chỉ bên trong, và sau đó được chuyển tới máy chủ chống mã độc ngoài để kiểm tra virus và bất cứ nội dung độc hại nào khác. Cuối cùng, nó phải được gửi tới máy chủ thư bên trong để phân bố bởi hệ thống thư bên trong. Bất kì bản tin nào nhận được cùng với virus hoặc nội dung độc hại khác phải được cách li và thông báo cho cá nhân hoặc nhóm người thích hợp,
• Đối với bất kì thư gửi đi nào, các bản tin được chuyển tiếp thông qua Internet trước tiên
phải được gửi từ máy chủ thư trong đến máy chủ chống mã độc ngoài để kiểm tra virus và bất kì nội dung độc hại nào khác trước khi được gửi tới máy chủ thư SMTP ngoài để hướng tới Internet. Máy chủ thư SMTP ngoài phải kiểm tra địa chỉ là ngoài dải địa chỉ trong và nó chưa được định cho bất cứ tuyến thư nào khác, và sau đó chuyển tiếp bản tin đến Internet,
• Chọn một trong hai tùy chọn của máy chủ thư SMTP ngoài để gửi bản tin tới máy chủ thư
ISP đơn nhằm hướng tới định tuyến hoặc tới bất kì địa chỉ thư hợp lệ nào của bất kì máy chủ thư nào. Tùy chọn đầu tiên phải được đảm bảo nhất vì nó có nghĩa là ISP (có lẽ là chuyên dụng cho thư) chịu trách nhiệm thiết lập và hỗ trợ chuyển tiếp thư, nhưng có thể đưa ra sự chậm trễ trong truyền tải thư. Tùy chọn thứ hai mềm dẻo hơn rất nhiều và có thể không phải chịu trễ do ISP chuyển tiếp, nhưng có thể ít đảm bảo hơn nếu không được quản lý đúng đắn – với tổ chức/cộng đồng phải hỗ trợ thư đến nhiều máy chủ thư và gặp rủi ro bị từ chối nếu vận chuyển thư của không được công nhận bởi máy chủ thư từ xa, mặc dù điều này có thể khắc phục bằng các thủ tục xác thực giữa các máy chủ thư tương ứng. Tùy chọn nào được chọn phụ thuộc vào đánh giá kỹ thuật của giải pháp và mức độ chuyên môn hỗ trợ hệ thống thư,
• Các biện pháp biện pháp truy cập được thực hiện dựa trên nguyên lý đặc quyền tối thiểu.
• Máy chủ thư điện tử được cấu hình chặn hay loại bỏ thư điện tử chứa file đính kèm được
sử dụng rộng rãi để lan truyền mã độc, như các file .vbs, .bat, .exe, .pif, và .scr,
• Các máy tính bị lây nhiễm phải được nhanh chóng loại bỏ khỏi mạng để ngăn chặn nguy hại, phân tích pháp lý được thực hiện và khôi phục hoàn toàn bằng cách sử dụng phương tiện tin cậy,
• Bộ phận nhân viên được đào tạo không mở các file đính kèm trừ phi họ đang mong đợi
chúng, và không thực hiện chạy phần mềm được tải về từ Internet trừ phi nó đã được quét kiểm tra mã độc,
• ACL được sử dụng trên bộ định tuyến. ACL của bộ định tuyến xác định xử lý gói IP vào
như thế nào, với các hành động tiêu biểu bao gồm chuyển tiếp, đăng nhập và loại bỏ (hoặc từ chối). Kết hợp cùng với chính sách mặc định của bộ định tuyến thích hợp (như từ chối tất cả), có khả năng xác định bộ các qui tắc cho bộ định tuyến hỗ trợ duy trì an toàn mạng hiện tại rất nhiều,
• Cho phép chống giả mạo. Giả mạo thường đề cập đến tình huống địa chỉ nguồn (gốc) của
bản tin xuất hiện đến từ ai đó hoặc từ đâu đó khác với người khởi tạo thực sự. Các biện pháp chống giả mạo có dạng không chấp nhận bản tin từ Internet nếu nó thông báo xuất phát từ bên trong tổ chức, và ngược lại (xem chi tiết hơn trong RFC 2827, Lọc biên mạng: Làm thất bại từ chối dịch vụ),
• Kích hoạt proxy thư điện tử. Máy chủ proxy là máy chủ hoạt động như trung gian giữa
người sử dụng PC/máy trạm và Internet sao cho doanh nghiệp có thể đảm bảo an toàn, biện pháp quản trị và bộ nhớ đệm dịch vụ. An toàn bắt buộc như sau:
- Quét dữ liệu đối với các mẫu đã biết (ví dụ, kiểm tra đối với các từ nhạy cảm đảm bảo phù hợp),
- Dịch giữa địa chỉ trong và ngoài,
- Tạo nhật ký các yêu cầu và người yêu cầu, - Các phương tiện chống mã độc dựa trên proxy,
Các máy chủ proxy cũng có thể kiểm tra đối với nội dung độc hại bằng xử lý đơn giản yêu cầu. Nếu yêu cầu là có hại, có vẻ như máy chủ proxy sẽ tự sụp đổ. Bởi vì các proxy nói chung được triển khai trong DMZ, vùng bán tin cậy, hành vi này hoạt động giống nhưmột chiếc “cầu chì” bảo vệ người yêu cầu hoặc máy chủ,
• Các biện pháp chống mã độc được triển khai trên các proxy thư điện tử. Một khi các hệ
thống thông tin thể hiện đang không có mã độc (bao gồm virus), chỉ có định tuyến cho mã độc được đưa ra là đề xuất như dữ liệu (hay chương trình). Do đó, các phương tiện thư điện tử là ứng cử đầu tiên cho truyền tải mã độc, và đại diện cho các điểm chính trong việc triển khai các biện pháp chống mã độc. Các biện pháp tiêu biểu bao gồm cách li tệp nghi ngờ (ví dụ như bằng loại nội dung), và sàng lọc địa chỉ thư điện tử yêu cầu với danh sách
đen. Hơn nữa, để đối phó với các mối đe dọa pha trộn gần đây, các mã độc chứa tải trọng, chặn đính kèm hiện tại chứa mã thực thi cần được xem xét,
• Các công nghệ chống thư rác được áp dụng và người sử dụng được đào tạo để bảo vệ
địa chỉ thư điện tử khi truy cập,
• Chống chuyển tiếp trên các máy chủ thư điện tử và phân giải DNS ngược. Một trong
những cách có khả năng xảy ra, máy chủ thư điện tử bị khai thác từ Internet để gửi một bản tin thực sự dành cho bên thứ ba. Khi đó nếu máy chủ thư điện tử chấp nhận thì bản tin sẽ được chuyển tiếp tới bên thứ ba, thường từ tổ chức/cộng đồng hơn là từ người khởi tạo thực sự. Cơ cấu này có thể được sử dụng cho những kẻ gửi tin nhắn rác hoặc để làm quá tải mạng bên thứ ba bằng tấn công DoS. Các biện pháp chống chuyển tiếp phát hiện nếu thư điện tử gửi vào là cho tổ chức/cộng đồng. Nếu không, thư điện tử được ghi lại (hoặc cách li) và máy chủ thư điện tử không xử lý thêm nữa,
• Cho phép cảnh báo và bẫy SNMPv3. SNMP có thể được sử dụng để biện pháp từ xa thiết
bị nối mạng, và cho thiết bị gửi các bản tin (hoặc ‘bẫy’) để thông báo trạm giám sát các điều kiện của thiết bị. Giao thức tương đối không an toàn, và có xu hướng không sử dụng cho mục đích biện pháp thiết bị. Tuy nhiên, bẫy SNMP được sử dụng rộng rãi và được truyền qua mạng để thông báo vị trí trung tâm các thống kê hay các điều kiện lỗi,
• Triển khai quản lý biện pháp. Tất cả các đăng nhập liên quan thư điện tử phải được bắt giữ
lại từ máy chủ biện pháp, và được kiểm tra hàng ngày cho hoạt động không bình thường. Điều này bao gồm các đăng nhập từ tường lửa và proxy SMTP thư điện tử. Các đăng nhập phải được kiểm tra bằng cách sử dụng tương quan sự kiện chất lượng và công cụ phân tích,
• Quản lý tường lửa ‘ngoài phạm vi’ (OOB) được thiết lập. Điều này đề cập đến thực tế sử
dụng các mạng khác nhau cho dữ liệu và quản lý để đảm bảo rằng không thể cho kẻ tấn công kết nối đến thiết bị mục tiêu (tường lửa, trong ví dụ này). Có nhiều cơ cấu tồn tại để triển khai quản lý OOB:
- quản lý chỉ bằng truy cập vật lý, - mạng quản lý riêng rẽ,
- sử dụng VLAN để tạo các kênh riêng trên mạng dữ liệu, cho phép dữ liệu và lưu lượng quản lý được tách riêng,
Nếu không quản lý chỉ nên bằng truy nhập vật lý.