Trong chương 3 chúng tôi đã trình bày chi tiết về xây dựng giải pháp dò quét lỗ hổng bảo mật, môi trường phát triển và cài đặt các thư viện nền tảng dùng cho ứng dụng. Từ đóng đề xuất xây dựng các mô-đun phát hiện lỗ hổng của hệ thống qua thư viện tập mẫu, mô đun quản lý tác vụ xác định rủi ro. Kết quả thực nghiệm sẽ được trình bày trong chương tiếp theo.
CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ 4.1. Thực nghiệm rà quét lỗ hổng bảo mật
4.1.1. Môi trường thực nghiệm
Quá trình xây dựng môi trường thực nghiệm được triển khai trên nền hệ thống máy chủ có cấu hình như sau:
• CPU: Intel Xeon 12 core • RAM: 16GB
• HDD: 50GB • OS: Ubuntu 18
4.1.2. Thông tin chung trên hệ thống
- Màn hình chính của hệ thống, thể hiện các thống kê số lượng tập mẫu dùng cho dò quét đánh giá rủi ro an toàn thông trên các hệ thống.
Chương 4: Thực nghiệm và đánh giá
- Màn hình danh mục chi tiết các mẫu thử lỗ hổng NVTs:
Hình 4.2 - Chi tiết các mẫu thử lỗ hổng NVTs
Hình 4.3 - Danh mục chi tiết các tập lỗ hổng CVEs
- Màn hình thống kê các lỗ hỗng đã được phát hiện:
4.2. Kiểm thử đánh giá rủi ro ATTT hệ thống 4.2.1. Danh mục hệ thống tham gia kiểm thử 4.2.1. Danh mục hệ thống tham gia kiểm thử
Danh sách các hệ thống tham gia kiểm thử đánh giá rủi ro an toàn thông tin được thể hiện như hình dưới đây:
Hình 4.5 - Danhmục hệ thống tham gia kiểm thử
• Hệ thống SMARTADS: Đánh giá thử nghiệm máy chủ web vnptsmartads.vn • Hệ thống SMARTCLOUD: Đánh giá thử nghiệm máy chủ web smartcloud.vn Các bước thực hiện tạo các tác vụ dò quét:
Chương 4: Thực nghiệm và đánh giá
Hình 4.6 - Khởi tạo hệ thống đánh giá
+ Bước 2:
+ Bước 3:
Hình 4.8- Tiến trình thực hiện dò quét lỗ hổng
4.2.2. Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn a. Mục tiêu
Đánh giá khả năng dò quét các lỗ hổng bảo mật máy chủ web vnptsmartads.vn, từ đó đưa ra được báo cáo kết quả đánh giá chi tiết các nguy cơ về rủi ro ATTT hệ thống.
b. Kết quả mong muốn
Đối với hệ thống được đánh giá: Thu được kết quả rò quét các lỗ hổng bảo mật đang tồn tại trong hệ thống. Xác định được các điểm yếu, lỗ hổng bảo mật trên máy chủ.
c. Kết quả đạt được
Kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn được thể hiện như sau:
Chi tiết báo cáo đánh giá được thể hiện như hình dưới đây:
Chương 4: Thực nghiệm và đánh giá
Hình 4.10 - Thông tin chi tiết rủi ro SSL/TLS: Certificate Expired Thông tin kết quả tổng hợp báo cáo kết quả đánh giá:
Thông tin cụ thể trong báo cáo như sau:
Hình 4.12 - Báo cáo chi tiết lỗ hổng FTP Unencrypted Cleartext Login
d. Nhận xét, đánh giá
- Hệ thống đánh giá hoạt động tốt, không có lỗi xảy ra khi chạy và đã quản lý được rủi ro ATTT từ các lỗ hổng của máy chủ dịch vụ vnptsmartads.vn.
- Các lỗ hổng cũng như mức độ rủi ro được hệ thống dò quét phát hiện đối với máy chủ web là chính xác. Hỗ trợ cho đội ngũ quản trị nhận biết các rủi ro để xử lý.
Chương 4: Thực nghiệm và đánh giá
4.2.3. Kịch bản thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn a. Mục tiêu
Đánh giá khả năng dò quét các lỗ hổng bảo mật máy chủ web dịch vụ smartcloud.vn, từ đó đưa ra được báo cáo kết quả đánh giá chi tiết các nguy cơ về rủi ro ATTT hệ thống.
b. Kết quả mong muốn
Đối với hệ thống được đánh giá: Thu được kết quả rò quét các lỗ hổng bảo mật đang tồn tại trong hệ thống. Xác định được các điểm yếu, lỗ hổng bảo mật trên máy chủ.
c. Kết quả đạt được
Kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ smartcloud.vn được thể hiện như sau:
Chi tiết báo cáo đánh giá được thể hiện như hình dưới đây:
Hình 4.14 - Thông tin chi tiết rủi ro SSL/TLS Thông tin kết quả tổng hợp báo cáo kết quả đánh giá:
Chương 4: Thực nghiệm và đánh giá
Thông tin cụ thể trong báo cáo như sau:
Hình 4.16 - Báo cáo chi tiết lỗ hổng SSL/TLS
d. Nhận xét, đánh giá:
- Hệ thống đánh giá hoạt động tốt, không có lỗi xảy ra khi chạy và đã quản lý được rủi ro ATTT từ các lỗ hổng của máy chủ Web dịch vụ smartcloud.vn.
- Các lỗ hổng cũng như mức độ rủi ro được hệ thống dò quét phát hiện đối với máy chủ web là chính xác. Hỗ trợ cho đội ngũ quản trị nhận biết các rủi ro để xử lý.
4.3. Thử nghiệm so sánh, đánh giá kết quả so với Nessus a. Mục tiêu a. Mục tiêu
Kịch bản này thực hiện để so sánh, đánh giá kết quả thu được quá trình đánh giá rủi ro ATTT hệ thống Web dịch vụ vnptsmartads.vn so với sản phẩm thương mại đang được sử dụng hiện nay: Tenable Nessus.
b. Kết quả mong muốn
Kết quả xác định rủi ro của hai sản phẩm là tương đương nhau.
c. Kết quả đạt được
Kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn được thực hiện như sau:
Hình 4.17 - Thông tin kết quả đánh giá hệ thống vnptsmartads.vn trên Nessus Kết quả tổng hợp thông tin cụ thể so sánh kết quả giữa hai hệ thống như sau:
Hệ thống vScanner
(High-Medium-Low-Info)
Nessus
(Critical-High-Medium-Low-Info) Máy chủ web dịch vụ
vnptsmartads.vn 0-11-1-36 0-0-8-2-34
Bảng 4.1 - Tổng hợp kết quả so sánh đánh giá rủi ro ATTT giữa Nessus và vScanner
d. Nhận xét, đánh giá:
Qua kết quả đánh giá có thể nhận thấy, hệ thống vScanner có thể phát hiện các nguy cơ rủi ro ATTT tương tự như các sản phẩm thương mại nổi tiếng trên thị trường như Tenable Nessus.
4.4. Kết luận chương
Trong chương 4 chúng tôi đã trình bày chi tiết về thực nghiệm và đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển và các thông tin chung trên hệ thống. Luận văn cũng đã thực nghiệm các hệ thống của các tổ chức và có kết quả đáp ứng được yêu cầu. Bên cạnh đó chúng tôi cũng đã thực hiện so sánh với sản phẩm thương mại đang có trên thị trường, cho kết quả tương đương. Kết quả thu được thể hiện kết quả tốt với yêu cầu bài toán đặt ra, cho phép kết luận luận văn đã đạt được kết quả tốt.
Kết luận và hướng phát triển
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
❖ Kết luận
Trong pham vi nghiên cứu của luận văn, các nội dung chính đã trình bày: Lý thuyết về quy trình quản lý rủi ro và phương pháp đánh giá ATTT hệ thống. Từ những nghiên cứu về cơ sở lý thuyết và hiện trạng rủi ro ATTT của các hệ thống của đơn vị, tổ chức, dẫn đến bài toán về xây dựng phần mềm dò quyết lỗ hổng bảo mật phục vụ cho việc đánh giá rủi ro về ATTT, hỗ trợ khắc phục các điểm yếu của các hệ thống. Luận văn cũng đã thực hiện nghiên cứu và tìm hiểu các giải pháp dò quét lỗ hổng để xây dựng phần mềm vScanner thực hiện dò quét lỗ hổng các hệ thống từ xa. Kế tiếp, luận văn trình bày chi tiết về các bước phân tích thiết kế các mô-đun dò quét lỗ hổng và thực hiện xây dựng các dịch vụ dò quét trên nền web một cách trực quan hóa.
Về thực nghiệm, luận văn đã thực hiện tiến hành đánh giá dò quét các lỗ hổng các hệ thống với CSDL mẫu thử, từ đó có thể sinh các báo cáo thông kê chi tiết các lỗ hổng để có thể đánh giá kết quả thu được của giải pháp dò quét lỗ hổng. Thêm vào đó, chúng tôi cũng so sánh kết quả thu được với một số phần mềm thương mại và cho kết quả tương đương. ❖ Hướng phát triển:
- Nghiên cứu để xây dựng một bộ giải pháp tổng thể phục vụ công tác quản trị rủi ro của các hệ thống thông tin.
- Nghiên cứu ứng dụng phương pháp học máy trong việc dò quét lỗ hổng bảo mật. - Ứng dụng các kỹ thuật hỗ trợ xử lý rủi ro an toàn thông tin.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Tiêu chuẩn quốc gia TCVN 10295:2014 (ISO/IEC 27005:2011) - Công nghệ thông tin – Các kỹ thuật an toàn thông tin – Quản lý rủi ro an toàn thông tin.
2. Báo cáo tổng kết đề tài, “Nghiên cứu, xây dựng hệ thống đánh giá, quản lý rủi ro và hỗ
trợ xử lý sự cố an toàn thông tin trong Chính phủ điện tử”, mã số KC.01.19/16-20.
Tiếng Anh
3. ISO/IEC 27001, Information technology - Security techniques - Information security management systems: Requirements.
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber =54534.
4. ISO/IEC 15408, Information technology - Security techniques - Evaluation criteria for IT security.
5. ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (second edition).
6. NIST Cybersecurity Framework (Framework for Improving Critical Infrastructure Cybersecurity), 2014.
7. NIST SP 800-39 (2011), Managing Information Security Risk: Organization, Mission, and Information System View.
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf. 8. Hệ thống quét và đánh giá các lỗ hổng mở, https://www.openvas.org.
9. Nikita Jhala, “Network Scanning & Vulnerability Assessment with Report
Generation”, 2014.
10. Nessus review by Gartner, https://www.gartner.com/reviews/market/vulnerability- assessment/vendor/tenable/product/nessus-vulnerability-scanner.
11.“OWASP Risk Rating Methodology”,
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.
12. “Common Vulnerability Scoring System v3.1: Specification Document”, https://www.first.org/cvss/v3.1/specification-document.
Tài liệu tham khảo
14. Gordon Fyodor Lyon, “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”.
15. Information Security Handbook by Darren Death, 2017.
16. Irfan Shakeel, “The Art of Network Vulnerability Assessment”, Infosec, 2015.
17. Sugandh Shah, B. M. Mehtre, “An overview of vulnerability assessment and