8.1.1 Giới thiệu
Trước khi tỡm hiểu cỏc vấn đề liờn quan đến phương thức phỏ hoại và cỏc biện phỏp bảo vệ cũng như thiết lập cỏc chớnh sỏch về bảo mật, phần sau đõy sẽ trỡnh bày một số khỏi niệm liờn quan đến bảo mật thụng tin trờn mạng Internet.
8.1.2 Cỏc lỗ hổng và phƣơng thức tấn cụng mạng chủ yếu
a. Cỏc lỗ hổng bảo mật:
Cỏc lỗ hổng bảo mật là những điểm yếu kộm trờn hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đú kẻ tấn cụng cú thể xõm nhập trỏi phộp để thực hiện cỏc hành động phỏ hoại hoặc chiếm đoạt tài nguyờn bất hợp phỏp.
Nguyờn nhõn gõy ra những lỗ hổng bảo mật là khỏc nhau: cú thể do lỗi của bản thõn hệ thống, hoặc phần mềm cung cấp, hoặc do ng−ời quản trị yếu kộm khụng hiểu sõu sắc cỏc dịch vụ cung cấp ...
Mức độ ảnh hưởng của cỏc lỗ hổng là khỏc nhau. Cú những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, cú những lỗ hổng ảnh hưởng nghiờm trọng tới toàn bộ hệ thống ...
Top 10 sự cố bảo mật phổ biến năm 2020 Truy cập trỏi phộp vào hệ thống hoặc dữ liệu
Để ngăn tỏc nhõn đe dọa truy cập vào hệ thống hoặc dữ liệu bằng tài khoản người dựng được ủy quyền. Hóy triển khai xỏc thực hai yếu tố. Điều này đũi hỏi người dựng phải cung cấp một phần thứ hai của thụng tin nhận dạng bờn cạnh mật khẩu. Ngoài ra, mó húa dữ liệu nhạy cảm của cụng ty khi nghỉ ngơi. Hoặc khi nú di chuyển qua mạng bằng phần mềm hoặc cụng nghệ phần cứng phự hợp. Bằng cỏch đú, những kẻ tấn cụng sẽ khụng thể truy cập dữ liệu bớ mật.
Tấn cụng leo thang đặc quyền
Kẻ tấn cụng cố gắng giành quyền truy cập trỏi phộp vào mạng của tổ chức. Sau đú cú thể cố gắng để cú được cỏc đặc quyền cấp cao hơn bằng cỏch sử dụng cỏi được gọi là khai thỏc leo thang đặc quyền. Cỏc cuộc tấn cụng leo thang đặc quyền thành cụng mang lại đặc quyền cho cỏc tỏc nhõn đe dọa mà người dựng bỡnh thường khụng cú.
Thụng thường, leo thang đặc quyền xảy ra khi tỏc nhõn đe dọa lợi dụng lỗi, giỏm sỏt cấu hỡnh và lỗi lập trỡnh hoặc bất kỳ lỗ hổng nào trong ứng dụng hoặc hệ thống để cú quyền truy cập cao vào dữ liệu được bảo vệ.
Điều này thường xảy ra sau khi tin tặc đó xõm phạm mạng bằng cỏch truy cập vào tài khoản người dựng cấp thấp. Và đang tỡm kiếm cỏc đặc quyền cấp cao
hơn – tức là truy cập đầy đủ vào hệ thống CNTT của doanh nghiệp – để nghiờn
cứu thờm về hệ thống hoặc thực hiện một cuộc tấn cụng.
Để giảm nguy cơ leo thang đặc quyền, cỏc tổ chức nờn tỡm kiếm. Và khắc phục cỏc điểm yếu bảo mật trong mụi trường CNTT của họ một cỏch thường xuyờn. Họ cũng nờn tuõn theo nguyờn tắc đặc quyền tối thiểu. Nghĩa là giới hạn quyền truy cập cho người dựng ở mức tối thiểu mà họ cần để thực hiện cụng việc của mỡnh. Và thực hiện giỏm sỏt bảo mật. Cỏc tổ chức cũng nờn đỏnh giỏ rủi ro đối với dữ liệu nhạy cảm của họ và thực hiện cỏc bước cần thiết để bảo mật dữ liệu đú.
Mối đe dọa nội bộ
Đõy là mối đe dọa độc hại hoặc vụ tỡnh đối với bảo mật hoặc dữ liệu của tổ chức thường được quy cho nhõn viờn, nhõn viờn cũ hoặcbờn thứ ba, bao gồm cả nhà thầu, cụng nhõn tạm thời hoặc khỏch hàng.
Để phỏt hiện và ngăn chặn cỏc mối đe dọa trong nội bộ. Hóy triển khai cỏc chương trỡnh quột phần mềm giỏn điệp, chương trỡnh chống vi- rỳt, tường lửa. Và thúi quen lưu trữ và sao lưu dữ liệu nghiờm ngặt. Ngoài ra, đào tạo nhõn viờn và nhà thầu về nhận thức bảo mật trước khi cho phộp họ truy cập mạng cụng ty. Thực hiện phần mềm giỏm sỏt nhõn viờn để giảm nguy cơ vi phạm dữ liệu. Và đỏnh cắp tài sản trớ tuệ bằng cỏch xỏc định những người trong cuộc bất cẩn, bất món hoặc độc hại.
Tấn cụng lừa đảo (Phishing Attack)
Trong một cuộc tấn cụng lừa đảo, kẻ tấn cụng giả mạo như một thực thể hoặc người cú uy tớn trong một email hoặc kờnh liờn lạc khỏc. Kẻ tấn cụng sử dụng email lừa đảo để phõn phối cỏc liờn kết. Hoặc tệp đớnh kốm độc hại cú thể thực hiện nhiều chức năng khỏc nhau. Bao gồm trớch xuất thụng tin đăng nhập hoặc thụng tin tài khoản từ nạn nhõn. Một kiểu tấn cụng lừa đảo được nhắm mục tiờu nhiều hơn được gọi là lừa đảo giỏo xảy ra khi kẻ tấn cụng đầu tư thời gian nghiờn cứu nạn nhõn để thực hiện một cuộc tấn cụng thậm chớ thành cụng hơn.
Bảo vệ hiệu quả chống lại cỏc cuộc tấn cụng lừa đảo bắt đầu bằng việc giỏo dục người dựng xỏc định cỏc tin nhắn lừa đảo. Ngoài ra, bộ lọc email cổng cú thể bẫy nhiều email lừa đảo nhắm mục tiờu hàng loạt và giảm số lượng email lừa đảo tiếp cận hộp thư đến của người dựng.
Tấn cụng mó độc
Đõy là một thuật ngữ rộng cho cỏc loại phần mềm độc hại (phần mềm độc hại) khỏc nhau. Được cài đặt trờn hệ thống của doanh nghiệp. Phần mềm độc hại bao gồm Trojans, sõu, ransomware, phần mềm quảng cỏo, phần mềm giỏn điệp.
Và cỏc loại vi- rỳt khỏc nhau. Một số phần mềm độc hại vụ tỡnh được cài đặt khi nhõn viờn nhấp vào quảng cỏo, truy cập trang web bị nhiễm. Hoặc cài đặt phần mềm miễn phớ hoặc phần mềm khỏc.
Dấu hiệu của phần mềm độc hại bao gồm hoạt động hệ thống bất thường, chẳng hạn như mất khụng gian đĩa đột ngột; tốc độ chậm bất thường; tai nạn lặp lại hoặc đúng băng; sự gia tăng hoạt động internet khụng mong muốn; và quảng cỏo bật lờn. Cài đặt một cụng cụ chống vi- rỳt cú thể phỏt hiện và loại bỏ phần mềm độc hại. Cỏc cụng cụ này cú thể cung cấp bảo vệ thời gian thực hoặc phỏt hiện. Và loại bỏ phần mềm độc hại bằng cỏch thực hiện quột hệ thống thụng thường.
Tấn cụng từ chối dịch vụ(DoS)
Một tỏc nhõn đe dọa khởi động một cuộc tấn cụng DoS để tắt một mỏy riờng lẻ. Hoặc toàn bộ mạng để nú khụng thể đỏp ứng cỏc yờu cầu dịch vụ. Cỏc cuộc tấn cụng DoS thực hiện điều này bằng cỏch làm ngập mục tiờu với lưu lượng truy cập. Hoặc gửi cho nú một số thụng tin gõy ra sự cố.
Một tổ chức thường cú thể đối phú với một cuộc tấn cụng DoS làm sập mỏy chủ bằng cỏch khởi động lại hệ thống. Ngoài ra, cấu hỡnh lại tường lửa, bộ định tuyến và mỏy chủ cú thể chặn bất kỳ lưu lượng khụng cú thật. Giữ cỏc bộ định tuyến và tường lửa được cập nhật với cỏc bản vỏ bảo mật mới nhất.
Ngoài ra, phần cứng mặt trước ứng dụng được tớch hợp vào mạng cú thể giỳp phõn tớch và sàng lọc cỏc gúi dữ liệu. Tức là, phõn loại dữ liệu là ưu tiờn,
thường xuyờn hoặc nguy hiểm – khi chỳng xõm nhập vào hệ thống. Phần cứng
cũng cú thể giỳp chặn dữ liệu đe dọa.
Tấn cụng Man- in- the- middle (MitM)
Một cuộc tấn cụng giữa chừng là một cuộc tấn cụng mà kẻ tấn cụng bớ mật chặn. Và thay đổi tin nhắn giữa hai bờn tin rằng họ đang liờn lạc trực tiếp với nhau. Trong cuộc tấn cụng này, kẻ tấn cụng thao tỳng cả hai nạn nhõn để cú quyền truy cập dữ liệu. Vớ dụ về cỏc cuộc tấn cụng MitM bao gồm chiếm quyền điều khiển phiờn, chiếm quyền điều khiển email và nghe lộn Wi- Fi.
Mặc dự rất khú để phỏt hiện cỏc cuộc tấn cụng MitM, cú nhiều cỏch để ngăn chặn chỳng. Một cỏch là thực hiện một giao thức mó húa, chẳng hạn như TLS (Transport Layer Security). Cung cấp xỏc thực, quyền riờng tư và tớnh toàn vẹn dữ liệu giữa hai ứng dụng mỏy tớnh giao tiếp. Một giao thức mó húa khỏc là SSH, một giao thức mạng cung cấp cho người dựng. Đặc biệt là quản trị viờn hệ thống, một cỏch an toàn để truy cập vào mỏy tớnh qua mạng khụng bảo mật.
Cỏc doanh nghiệp cũng nờn giỏo dục nhõn viờn về sự nguy hiểm của việc sử dụng Wi- Fi cụng cộng mở. Vỡ tin tặc sẽ dễ dàng hack cỏc kết nối này hơn. Cỏc tổ chức cũng nờn núi với cụng nhõn viờn của họ khụng chỳ ý đến cỏc cảnh
bỏo từ cỏc trỡnh duyệt rằng cỏc trang web. Hoặc kết nối cú thể khụng hợp phỏp. Cỏc cụng ty cũng nờn sử dụng VPN để giỳp đảm bảo kết nối an toàn.
Tấn cụng mật khẩu
Kiểu tấn cụng này nhằm mục đớch cụ thể là lấy mật khẩu của người dựng. Hoặc mật khẩu của tài khoản. Để làm điều này, tin tặc sử dụng nhiều phương phỏp khỏc nhau. Bao gồm cỏc chương trỡnh bẻ khúa mật khẩu, tấn cụng từ điển, đỏnh hơi mật khẩu hoặc đoỏn mật khẩu thụng qua vũ lực (thử và sai).
Trỡnh phỏ mật khẩu là một chương trỡnh ứng dụng được sử dụng để xỏc định mật khẩu khụng xỏc định. Hoặc bị quờn đối với tài nguyờn mạng hoặc mỏy tớnh. Điều này giỳp kẻ tấn cụng cú được quyền truy cập trỏi phộp vào tài nguyờn. Tấn cụng từ điển là một phương phỏp xõm nhập vào mỏy tớnh. Hoặc mỏy chủ được bảo vệ bằng mật khẩu bằng cỏch nhập một cỏch cú hệ thống từng từ trong từ điển dưới dạng mật khẩu.
Để xử lý cỏc cuộc tấn cụng mật khẩu. Cỏc tổ chức nờn ỏp dụng xỏc thực đa yếu tố để xỏc thực người dựng. Ngoài ra, người dựng nờn sử dụng mật khẩu mạnh bao gồm ớt nhất bảy ký tự cũng như kết hợp cỏc chữ cỏi, chữ số và chữ thường. Người dựng nờn thay đổi mật khẩu thường xuyờn. Và sử dụng cỏc mật khẩu khỏc nhau cho cỏc tài khoản khỏc nhau. Ngoài ra, cỏc tổ chức nờn sử dụng mó húa trờn bất kỳ mật khẩu được lưu trữ trong kho lưu trữ an toàn.
Tấn cụng ứng dụng web
Đõy là bất kỳ sự cố nào trong đú một ứng dụng web là vộc tơ của cuộc tấn cụng. Bao gồm khai thỏc cỏc lỗ hổng cấp mó trong ứng dụng cũng như ngăn chặn cỏc cơ chế xỏc thực. Một vớ dụ về một cuộc tấn cụng ứng dụng web là một cuộc tấn cụng kịch bản chộo trang. Đõy là một kiểu tấn cụng bảo mật tiờm trong đú kẻ tấn cụng tiờm dữ liệu. Chẳng hạn như tập lệnh độc hại, vào nội dung từ cỏc trang web đỏng tin cậy khỏc.
Doanh nghiệp nờn xem lại mó sớm trong giai đoạn phỏt triển để phỏt hiện lỗ hổng; mỏy quột mó tĩnh và động cú thể tự động kiểm tra những cỏi này. Ngoài ra, thực hiện chức năng phỏt hiện bot để ngăn bot truy cập dữ liệu ứng dụng. Và một tường lửa ứng dụng web cú thể giỏm sỏt một mạng và chặn cỏc cuộc tấn cụng tiềm năng.
Mối đe dọa liờn tục nõng cao – Advanced persistent threat (APT)
APT là một cuộc tấn cụng mạng kộo dài và nhắm mục tiờu. Thường được thực hiện bởi tội phạm mạng hoặc quốc gia. Trong cuộc tấn cụng này, kẻ xõm nhập cú được quyền truy cập vào mạng. Và khụng bị phỏt hiện trong một khoảng thời gian dài. Mục tiờu của APT thường là giỏm sỏt hoạt động của mạng và đỏnh cắp dữ liệu thay vỡ gõy thiệt hại cho mạng hoặc tổ chức.
Giỏm sỏt lưu lượng đến và đi. Cú thể giỳp cỏc tổ chức ngăn chặn tin tặc cài đặt backdoor và trớch xuất dữ liệu nhạy cảm. Cỏc doanh nghiệp cũng nờn cài đặt tường lửa ứng dụng web ở rỡa mạng. Để lọc lưu lượng truy cập vào mỏy chủ ứng dụng web của họ. Điều này cú thể giỳp lọc cỏc cuộc tấn cụng lớp ứng dụng. Chẳng hạn như cỏc cuộc tấn cụng tiờm nhiễm SQL, thường được sử dụng trong giai đoạn xõm nhập APT. Ngoài ra, tường lửa mạng cú thể giỏm sỏt lưu lượng truy cậpnội bộ.
b. Một số phươngthức tấn cụng mạng
Cú thể tấn cụng mạng theo một trong cỏc hỡnh thức sau đõy:
- Dựa vào những lỗ hổng bảo mật trờn mạng: Những lỗ hổng này cú thể là cỏc điểm yếu của dịch vụ mà hệ thống đú cung cấp; Vớ dụ những kẻ tấn cụng lợi dụng cỏc điểm yếu trong cỏc dịch vụ mail, ftp, web ... để xõm nhập và phỏ hoại
Hỡnh 8- 1 - Cỏc hỡnh thức tấn cụng mạng
Sử dụng cỏc cụng cụ để phỏ hoại: Vớ dụ sử dụng cỏc chương trỡnh phỏ khoỏ mật khẩu để truy nhập vào hệ thống bất hợp phỏp; Lan truyền virus trờn hệ thống; cài đặt cỏc đoạn mó bất hợp phỏp vào một số chương trỡnh.
Nhưng kẻ tấn cụng mạng cũng cú thể kết hợp cả 2 hỡnh thức trờn với nhau đểđạt được mục đớch.
- Mức 1 (Level 1): Tấn cụng vào một số dịch vụ mạng: như Web, Email, dẫn đến cỏc nguy cơ lộ cỏc thụng tin về cấu hỡnh mạng. Cỏc hỡnh thức tấn cụng ở mức này cụ thể dựng DoS hoặc spam mail.
- Mức 2 (Level 2): Kẻ phỏ hoại dựng tài khoản của người dựng hợp phỏp
để chiếm đoạt tài nguyờn hệ thống; (Dựa vào cỏc phương thức tấn cụng như bẻ khúa, đỏnh cắp mật khẩu ...); kẻ phỏ hoại cụ thể thay đổi quyền truy nhập hệ thống qua cỏc lỗ hổng bảo mật hoặc đọc cỏc thụng tin trong tập tin liờn quan đến truy nhập hệ thống như /etc/passwd
- Từ Mức 3 đến mức 5: Kẻ phỏ hoại khụng sử dụng quyền của người dựng
thụng thường; mà cú thờm một số quyền cao hơn đối với hệ thống; như quyền kớch hoạt một số dịch vụ; xem xột cỏc thụng tin khỏc trờn hệ thống
- Mức 6: Kẻ tấn cụng chiếm được quyền root trờn hệ thống.
8.1.3 Một số điểm yếu của hệ thống
Cỏc lỗ hổng bảo mật hệ thống là cỏc điểm yếu cú thể tạo ra sự ngưng trệ của dịch vụ, thờm quyền đối với người sử dụng hoặc cho phộp cỏc truy nhập khụng hợp phỏp vào hệ thống. Cỏc lỗ hổng tồn tại trong cỏc dịch vụ như Sendmail, Web,Ftp ... và trong hệ điều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong cỏc ứng dụng.
Cỏc loại lỗ hổng bảo mật trờn một hệ thống được chia như sau:
Lỗ hổng loại C: cho phộp thực hiện cỏc phương thức tấn cụng theo kiểu từ chối dịch vụ DoS (Dinal of Services). Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, cú thể làm ngưng trệ, giỏn đoạn hệ thống, khụng phỏ hỏng dữ liệu hoặc chiếm quyền truy nhập.
Lổ hổng loại B: cho phộp người sử dụng cú thờm cỏc quyền trờn hệ thống mà khụng cần thực hiện kiểm tra tớnh hợp lệ. Mức độ nguy hiểm trung bỡnh, những lỗ hổng này thường cú trong cỏc ứng dụng trờn hệ thống, cú thể dẫn đến hoặc lộ thụng tin yờu cầu bảo mật.
Lỗ hổng loại A: Cỏc lỗ hổng này cho phộp người sử dụng ở ngoài cho thể truy nhập vào hệ thống bất hợp phỏp. Lỗ hổng rất nguy hiểm, cú thể làm phỏ hủy toàn bộ hệ thống.
8.1.4 Cỏc mức bảo vệ an toàn mạng
Vỡ khụng cú một giải phỏp an toàn tuyệt đối nờn người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khỏc nhau tạo thành nhiều lớp "rào chắn" đối với cỏc hoạt động xõm phạm. Việc bảo vệ thụng tin trờn mạng chủ yếu là bảo vệ thụng tin cất giữ trong cỏc mỏy tớnh, đặc biệt là trong cỏc server của mạng. Hỡnh
sau mụ tả cỏc lớp rào chắn thụng dụng hiện nay để bảo vệ thụng tin tại cỏc trạm của mạng
Hỡnh 8- 2: Cỏc mức độ bảo vệ mạng
Như minh hoạ trong hỡnh trờn, cỏc lớp bảo vệ thụng tin trờn mạng gồm: - Lớp bảo vệ trong cựng là quyền truy nhập nhằm kiểm soỏt cỏc tài nguyờn (ở đõy là thụng tin) của mạng và quyền hạn (cú thể thực hiện những thao tỏc gỡ) trờn tài nguyờn đú. Hiện nay việc kiểm soỏt ở mức này được ỏp dụng sõu nhất đối với tệp
- Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký tờn/ và mật khẩu tương ứng. Đõy là phương phỏp bảo vệ phổ biến nhất vỡ nú đơn