Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Để có thể dò quét lỗ hổng bảo mật qua mạng, các phần mềm dò quét cũng thực hiện xác định các máy chủ và các port tương ứng với các dịch đang chạy trên đó. Ngoài ra các phần mềm dò quét cung cấp thêm các thông tin chi tiết hơn về các lỗ hồng tồn tại này.
Bên cạnh đó, các phần mềm dò quét cũng xác định định thêm thêm các thông tin như: Phần mềm ứng dụng đang chạy đã lỗi thời, các bản và ứng dụng, cũng có thể xác định được mức độ vi phạm theo các chính sách bảo mật của các đơn vị, tổ chức. Để xác định được thì phần mềm cần xác định được hệ điều hành, các phần mềm đang chạy và so sánh chúng với dữ liệu về lỗ hổng bảo mật. Có hai loại phần mềm có thể dò quét được các lỗ hổng:
- Dò quét theo máy chủ: Thực hiện cài đặt phần mềm dò quét lên máy chủ, có thể là một phần mềm độc lập hoặc qua kết nối máy chủ để thực hiện trao đổi thông tin. Sau đó thực hiện phân tích các lỗ hổng và xác định các tệp tin không được bảo mật, các bản vá còn thiếu, chính sách bảo mật hoặc các phần mềm gián điệp…
- Dò quét qua mạng: Khác với dò quét mày chủ, nhiệm vụ này thực hiện xác đình dò quét tìm kiếm các hệ thống trong một dải mạng, tìm kiếm xác định các lỗ hổng đó. Ưu điểm là có thể giúp quản trị viên có thể dễ dàng thực hiện đánh giá dò quét từ hệ thống đơn giản đến các hệ thống phức tạp. Nhược điểm là không thể dò quét được các máy chủ không hoạt động sau các tưởng lửa hoặc không thể đánh giá dò quét được các dịch vụ bị lỗi.
Để có thể hiểu rõ hơn về các các kỹ thuật dò quét qua mạng, chúng tôi sẽ mô tả một số kỹ thuật được sử dụng trong phần mềm.
• Kỹ thuật truy vết hệ điều hành
Là kỹ thuật tìm thông tin về hệ điều hành máy chủ đang sử dụng khi thực hiện dò quét. Để có thể xác định được thông tin hệ điều hành, phần mềm dò quét sẽ gửi gói tin nháp đến máy chủ địch, sau đó sẽ phân tích gói tin được phản hồi, trong đó sẽ có thông tin về hệ điều hành. Ví dụ đối với gửi gói tin TCP, phần nội dung IP Header cũng có thể cung cấp một số thông tin về hệ điều hành máy chủ đích.
Khi có thông tin về hệ điều hành, phần mềm dò quét sẽ thực hiện quét danh mục các cổng dịch vụ. Với 65536 cổng TCP thì phần mềm dò quét sẽ thực hiện chỉ một số cổng nhất định, các cổng này được thiết lập khi thực hiện.
Khỉ xác định được một cổng được mở, phần mềm sẽ gửi truy vấn đến cổng mà máy chủ đích, khi có thông điệp phả hồi, phần mềm sẽ so sánh với tập dữ liệu mẫu để xác định cổng mạng đó đang gắn với dịch vụ nào. Trong thực tế, có nhiều trường hợp phần mềm không thực hiện dò quét này, do cùng cổng dịch vụ có thể đang chạy nhiều dịch vụ khác nhau, lấy vụ dụ công 80 nhưng nhiều dịch vụ HTTP đang chạy giao diện web. Để có thể
dò quét thì các phần mềm còn thực hiện kiểm tra cả các cổng khác, không chỉ với các cổng mặc định này.
Sau khi xác định được cổng dịch vụ, các thông tin về ứng dụng dang sử dụng cổng port này sẽ được xác định. Điều quan trọng phần mềm ứng dụng phải xác định được chính xác ứng dụng đang chạy, không sẽ dẫn đến các bước tiếp theo sẽ gặp lỗi.
• Kỹ thuật xác định lỗ hổng bảo mật
Sau khi xác định, thu thập được thông tin về máychủ đích và các cổng mạng đang hoạt động, các ứng dụng đang cung cấp trên các cổng port đó. Bước tiếp là xác định thông tin về lỗ hổng đang tồn tại bách cách sử dụng các thông tin từ các bước trước.
Phần mềm sẽ thực hiện dò các máy chủ theo các danh sách các IP bằng phương thức tấn công, khai thác các lỗ hổng bảo mật tồn tại hay không. Có nhiều cách thức xác định lỗ hổng bảo mật, trong đó có thể chỉ cần xác định thông tin phiên bản ứng dụng, hoặc có thể thực hiện đầy đủ các bước để xác định thông tin. Có một số trường hợp, thông tin về lỗ hổng ứng dụng có thể bị can thiệp, khi đó không có thông tin chính xác nào được cung cấp, cũng có thể hiểu các phần mềm không xác định được lỗ hổng tổn tại như thực tế, trường hợp này được coi là false-postive. Để có thể hiểu rõ hơn về trường hợp false-postive, có thể phân tích rõ hơn đối với hai trường hợp: (i) False-Positive do kỹ thuật (ii) False-Positive do ngữ cảnh.
Đối với trường hợp false-positive do kỹ thuật:
- Lỗi do tập lệnh: Trường hợp người dùng tự phát triển các kịch bản, khi thực hiện dò quét không xác định được như mong muốn.
- Xác định sai bản vá: Trường hợp xác định lỗ hổng bằng thông tin phiên bản phần mềm. Với các phần mềm chưa cập nhật thông tin bản vá thì khi xác định lỗ hổng có thể gây ra nhầm lẫn.
- Thông tin phản hồi không như kịch bản: Một số dịch vụ tạm thời không hoạt động tại thời điểm quét, khi đó phần mềm sẽ gửi các kịch bản kiểm tra nhưng không có thông tin phả hồi, dẫn đến phần mềm xác định tồn tại lỗ hổng.
- Trong một số trường hợp gây ra như chính sách thiết lập firewall, thiết bị IPS…
Đối với trường hợp false-positive do ngữ cảnh:
- Cài đặt bản vá bị lỗi: Được xác định là lỗi do ngữ cảnh khi thực hiện dò quét lỗi bán vá phần mềm.
- Điều kiến không đáp ứng: Trường hợp khi dò quét cần cung cấp tài khoản để thực hiện, trong trường hợp không được cung cấp đầy đủ tài khoản, phần mềm không thể dò quét hết được đầy đủ, dẫn đến kết quả không chính xác.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
- Định tuyến không chính xác: Trường hợp các địa chỉ IP định tuyến giữa các IP tham chiếu giữa bên trong và IP bên ngoài khác nhau, dẫn đến sai lệch kết quả.