2.3.1. Phương pháp đánh giá rủi ro OWASP
Phương pháp đánh giá rủi ro OWASP (Open Web Application Security Project) [11] dựa trên các phương pháp tiêu chuẩn và được tùy chỉnh để đảm bảo tính bảo mật ứng dụng.
Tiêu chuẩn xác định rủi ro như sau:
Risk = Likelihood * Impact
Trong đó các yếu tố: - Risk: Mức độ rủi ro - Likelihood: Khả năng - Impact: Tác động
Các bước đánh giá rủi ro được thực hiện như sau:
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Xác định rủi ro cần được đánh giá. Khi đó cần thu thập đẩy đủ các thông tin như: Tác nhân, cuộc tấn công, lỗ hổng và tác động đối với đơn vị, tổ chức. Có thể có nhiều tác động và nhiều nhóm tấn công.
Bước 2: Ước tính khả năng dựa trên các yếu tố
Khi đã xác định các rủi ro tiềm ần của hệ thống, người thực hiện đánh giá cấn xác định mức độ nghiệm trọng thì đầu tiên xác định khả năng xảy ra. Đây được xác định là thước đô về khả năng lỗ hổng sẽ bị phát hiện và kể tấn công có thể khai thác. Có thể chưa cần quá chính xác trong việc ước tính như trên, chỉ cần xác định mức khả năng: Thấp, trung bình, cao.
Các yếu tố có thể dụng cho việc xác định khả năng.
Có một số yếu tố có thể giúp xác định khả năng. Mỗi yếu tố có một bộ tùy chọn và mỗi tùy chọn được đánh số khả năng từ 0 đến 9.
Tác nhân đe dọa: Yếu đố liên quan tác nhân đe dọa. Có thể ước tính khả năng tấn công thành công của nhóm tác nhân này.
Cấp độ kỹ năng: Kỹ năng của nhóm tác nhân đe dọa này được xác đinh như nào? - 1: Không có kỹ năng
- 3: Có một số kỹ năng
- 5: Người dùng máy tính có kỹ năng nâng cao - 6: Có kỹ năng lập trình và mạng
- 9: Có kỹ năng bảo mật xâm nhập
Động cơ, lý do phạm tội: Động cơ của nhóm tác nhân đe dọa này tìm và khai thác lỗ hổng như nào?
- 1: Phần thưởng thấp hoặc không có phần thưởng. - 4: Có giải thưởng.
- 9: Giải thưởng cao.
Cơ hội: Cơ hội nào cần thiết cho nhóm tác nhân đe dọa để khai thác lỗ hổng? - 0: Truy cập đầy đủ hoặc tài nguyên giá trị.
- 4: Yêu cầu truy cập đặc biệt hoặc tài nguyên. - 7: Một số quyền truy cập hoặc tài nguyên cần thiết. - 9: Không cần truy cập hoặc tài nguyên cần thiết.
Kích thước: Quy mô nhóm các tác nhân đe dọa này như nào? - 2: Nhà phát triển.
- 2: Quản trị hệ thống. - 4: Người dùng nội bộ.
- 5: Đối tác.
- 6: Người dùng được xác thực. - 9: Người dùng ẩn danh.
Yếu tố dễ bị tổn thương: Các yếu tố tiếp theo có liên quan đến lỗ hổn. Mục tiêu là ước tính khả năng của lỗ hổng, đặc biệt là liên quan đến việc phát hiện và khai thác lỗ hổng.
Dễ khám phá: Làm thế nào nhóm các tác nhân đe dọa này có thể dễ dàng để khai thác lỗ hổng?
- 1: Không thể. - 3: Khó. - 7: Dễ.
- 9: Công cụ có sẵn.
Dễ khai thác: Làm thế nào cho nhóm các tác nhân đe dọa dễ dàng khai thác lỗ hổng này?
- 1: Lý thuyết. - 3: Khó. - 5: Dễ.
- 9: Công cụ tự động có sẵn.
Nhận thức: Làm thế nào cho nhóm tác nhân đe dọa này là lỗ hổng? - 1: Không biết.
- 4: Ẩn.
- 6: Hiển nhiên.
- 9: Kiến thức công cộng.
Phát hiện xâm nhập: Làm thế nào là một khai thác có thể được phát hiện? - 1: Phát hiện hoạt động trong ứng dụng.
- 3: Ghi nhật ký và đánh giá.
- 8: Ghi nhật ký mà không xem xét. - 9: Không đăng nhập.
Bước 3: Các yếu tố để ước tính tác động
Khi đánh giá tác động của một cuộc tấn công, cần xem xet hai loại tác động: Đầu tiên là "tác động kỹ thuật" đối với ứng dụng, dữ liệu được sử dụng và các chức năng mà đượccung cấp. Tiếp theo là "tác động nghiệp vụ" đối với đơn vị, cơ quan tổ chức vận hành ứng dụng. Trong đó, tác động nghiệp vụ là quan trọng hơn.
Mỗi yếu tố có một tập hợp các tùy chọn và mỗi tùy chọn có xếp hạng tác động từ 0 đến 9.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Yếu tố tác động kỹ thuật: Các yêu tố liên quan tác động kỹ thuật được chia ra thành: Mất tính bảo mật: Bao nhiêu dữ liệu đã bị tiết lộ và mức độ nhạy cảm?
- 2: Dữ liệu không nhạy cảm. - 6: Dữ liệu quan trọng tối thiểu.
- 6: Dữ liệu không nhạy cảm bị lộ rộng rãi. - 7: Dữ liệu quan trọng bi lộ.
- 9: Tất cả dữ liệu được tiết lộ.
Mất tính toàn vẹn: Bao nhiêu dữ liệu có thể bị hỏng và nó bị hư hại như thế nào? - 1: Dữ liệu bị hỏng nhẹ tối thiểu.
- 3: Dữ liệu bị hỏng nghiêm trọng tối thiểu - 5: Dữ liệu bị hỏng nhẹ.
- 7: Dữ liệu bị hỏng nghiêm trọng. - 9: Dữ liệu bị hỏng hoàn toàn.
Mất tính khả dụng: Bao nhiêu dịch vụ có thể bị mất và mức độ quan trọng như thế nào?
- 1: Các dịch vụ thứ cấp tối thiểu bị gián đoạn. - 5: Các dịch vụ chính tối thiểu bị gián đoạn. - 5: Các dịch vụ thứ cấp mở rộng bị gián đoạn. - 7: Các dịch vụ chính mở rộng bị gián đoạn. - 9: Tất cả các dịch vụ bị mất hoàn toàn.
Mất trách nhiệm: Là hành động của các tác nhân đe dọa có thể ảnh hưởng đối với một cá nhân?
- 1: Hoàn toàn có thể theo dõi. - 7: Có thể theo dõi.
- 9: Hoàn toàn ẩn danh.
Yếu tố tác động kinh doanh: Tác động này bắt nguồn từ tác động kỹ thuật, nhưng đòi hỏi sự hiểu biết về những gì là quan trọng đối với đơn vị. Rủi ro kinh doanh là những gì biện minh cho đầu tư trong việc khắc phục các vấn đề bảo mật.
Thiệt hại tài chính:Thiệt hại tài chính là bao nhiêu từ hậu quả của một khả năng khai thác? - 1: Ít hơn chi phí để khắc phục lỗ hổng.
- 3: Ảnh hưởng nhỏ đến lợi nhuận hàng năm. - 7: Ảnh hưởng đáng kể đến lợi nhuận hàng năm. - 9: Phá sản.
Thiệt hại danh tiếng:Một khả năng khai thác dẫn đến thiệt hại danh tiếng gây tổn hại cho doanh nghiệp như thế nào?
- 1: Thiệt hại tối thiểu. - 4: Mất tài khoản lớn. - 5: Mất thiện chí.
- 9: Thiệt hại thương hiệu.
Không tuân thủ: Không tuân thủ sẽ gây ra vi phạm nào? - 2: Vi phạm nhỏ.
- 5: Vi phạm rõ ràng. - 7: Vi phạm hồ sơ cao.
Vi phạm quyền riêng tư:Bao nhiêu thông tin cá nhân bị tiết lộ? - 3: Một cá nhân.
- 5: Hàng trăm người. - 7: Hàng nghìn người. - 9: Hàng triệu người.
Bước 4: Xác định mức độ nghiêm trọng
Trong bước này, ước tính khả năng và mức độ tác động được kết hợp để tính toán mức độ nghiêm trọng chung cho rủi ro này.
Khả năng và mức độ tác động
0 đến <3 Thấp 3 đến <6 Trung bình
6 đến 9 Cao
Bảng 2.1 - Xác định mức độ nghiêm trọng của rủi ro
Phương pháp không chính thức: Trong nhiều môi trường, không có gì sai khi xem xét các yếu tố và chỉ đơn giản là có câu trả lời.
Phương pháp lặp lại: Chỉ cần lấy trung bình của điểm số để tính khả năng tổng thể.
Các tác nhân nguy cơ Các tác nhân lỗ hổng
Kỹ
năng Động cơ Cơ hội Kích thước
Dễ dàng tìm ra Dễ dàng khai phá Nhận thức Phát hiện xâm nhập 5 2 7 1 3 6 9 2 Khả năng tổng thể = 4.375 (Trung bình)
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Bảng 2.2 - Xác định khả năng xảy ra
Tiếp theo, cần phải tìm ra tác động tổng thể. Có thể ước tính dựa trên các yếu tố hoặc có thể tính trung bình điểm cho từng yếu tố.
Tác động kỹ thuật Tác động kinh doanh
Mất tính bảo mật Mất tính toàn vẹn Mất tính khả dụng Mất tính trách nhiệm Thiệt hại tài chính Thiệt hại danh tiếng Không tuân thủ Vi phạm quyền riêng tư 9 7 5 8 1 2 1 5
Tác động kỹ thuật =7.25 (Cao) Tác động kinh doanh =2.25 (Thấp) Bảng 2.3 - Xác định tác động
Xác định mức độ nghiêm trọng
Kết hợp các yếu tố để xác định được mức độ nghiêm trọng cuối cùng cho rủi ro này.
Mức độ rủi ro
Tác động
CAO Trung bình Cao Nguy cấp
TRUNG BÌNH Thấp Trung bình Cao
THẤP Ghi chú Thấp Trung bình
THẤP TRUNG BÌNH CAO
Khả năng
Bảng 2.4 - Xác định mức độ nghiêm trọng
Bước 5: Quyết định cách khắc phục
Sau khi các rủi ro cho ứng dụng đã được phân loại, sẽ có một danh sách ưu tiên những gì cần khắc phục. Các rủi ro nghiêm trọng nhất cần được khắc phục trước tiên.
Bước 6: Tùy chỉnh mô hình xếp hạng rủi ro
Khung xếp hàng rủi ro đối với một đơn vị, cơ quan, tổ chức doanh nghiệp là rất quan trọng.
2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS 2.3.2.1. Giới thiệu 2.3.2.1. Giới thiệu
Tiêu chuẩn CVSS (Common Vulnerability Scoring System) [12] là phương pháp chấm điểm cho các lỗ hổng và phơi nhiễm chung CVE (Common Vulnerabilities and Exposures). Kết quả đầu ra của là điểm số cho thấy mức độ nghiêm trọng của lỗ hổng.
a) Số liệu
Bao gồm 3 nhóm số liệu: - Số liệu cơ sở.
- Số liệu tạm thời. - Số liệu môi trường.
Hình 2.4- Các nhóm số liệu của CVSS
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Cơ sở (Base metric group): bao gồm hai bộ số liệu: Số liệu về Khả năng khai thác và số liệu Tác động.
Các số liệu Khả năng khai thác phản ánh mức độ dễ dàng và phương tiện kỹ thuật mà lỗ hổng có thể bị khai thác. Danh mục số liệu gồm: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi.
Các số liệu Tác động phản ánh của việc lỗ hổng bị khai thác và thể hiện việc chịu tác động. Trong bộ số liệu này có danh mục số liệu phụ gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh sau bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Tạm thời (Temporal metric group): phản ánh lỗ hổng có thể thay đổi theo thời gian nhưng không phải trên các môi trường người dùng.
Trong bộ số liệu này có danh mục số liệu phụ gồm: Khả năng khai thác mã đáo hạn, mức độ khắc phục, bảo mật báo cáo.
- Nhóm số liệu Môi trường (Environmental metric group): đại diện cho các đặc điểm của lỗ hổng có liên quan và duy nhất đối với môi trường người dùng cụ thể.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Trong bộ số liệu này có danh mục số liệu phụ gồm: Số liệu cơ sở sửa đổi, Yêu cầu bảo mật, Yêu cầu toàn vẹn, Yêu cầu tính khả dụng.
b) Chấm điểm
Khi các số liệu Cơ sở được chỉ định, phương trình cơ sở sẽ tính toán trong khoảng từ 0 đến 10:
Hình 2.5- Các số liệu và phương trình CVSS
Phương trình Cơ sở có nguồn gốc từ 2 phương trình phụ: Phương trình điểm Khả năng khai thác và phương trình điểm Tác động. Phương trình điểm Khả năng khai thác được lấy từ các số liệu Khả năng khai thác cơ sở (Base Exploitability metrics), trong khi phương trình điểm Tác động được lấy từ các số liệu Tác động cơ sở (Base Impact metrics).
Điểm cơ sở (Base Score) được tinh chỉnh bằng cách chấm điểm các số liệu Tạm thời và môi trường để phản ánh tính chính xác mức độ nghiêm trọng do lỗ hổng tại một thời điểm cụ thể. Chấm điểm các số liệu Tạm thời và Môi trường là không bắt buộc.
Kết quả đầu ra sau khi chấm điểm CVSS là chuổi vector, thể hiện dưới dạng văn bản giá trị số liệu để đánh giá mức độ dễ bị tổng thương. Chuỗi này được định dạng cụ thể chứa giá trị gán cho từng số liệu.
2.3.2.2. Đánh giá mức độ nghiêm trọng
Có thể phân loại các điểm đánh giá tương ứng với mức độ xếp hạng định tính như bảng dưới đây:
Xếp hạng Điểm CVSS
None 0.0
Low 0.1 - 3.9 Medium 4.0 - 6.9
High 7.0 - 8.9 Critical 9.0 - 10.0
Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng
Ví dụ: Điểm Cơ sở CVSS 4.0 tương ứng với mức độ nghiêm trọng Trung bình. Việc sử dụng các xếp hạng mức độ nghiêm trọng định tính này là tùy chọn và không có yêu cầu bao gồm chúng khi đánh giá điểm CVSS. Trợ giúp cho các tổ chức, đơn vị có thể đánh giá đúng và ưu tiên các xây dựng quy trình quản lý lỗ hổng bảo mật hệ thống.
2.3.2.3. Chuỗi Vector
Chuỗi vector là một dạng văn bản của một tập hợp các số liệu CVSS. Được sử dụng nhằm thể hiện các thông tin số liệu CVSS một cách dễ hiểu, súc tích.
Chuỗi vectơ CVSS v3.1 bắt đầu bằng nhãn “CVSS:” và “3.1” thể hiện phiên bản hiện tại. Thông tin được thể hiện dưới dạng một tập hợp các số liệu. Mỗi số liệu bảo gồm tên số liệu ở dạng viết tắt, dấu hai chấm, trực tiếp: giá trị và số liệu dạng viết tắt.
Số liệu Cơ sở bao gồm một chuỗi vector. Số liệu Tạm thời và số liệu Môi trường là tùy chọn và các số liệu bị bỏ qua được coi là Không xác định (X). Các chương trình đọc chuỗi vectơ CVSS phải chấp nhận các số liệu theo bất kỳ thứ tự nào. Một chuỗi vectơ không được bao gồm cùng một số liệu nhiều lần.
Nhóm số liệu Tên số liệu
(và dạng viết tắt) Những giá trị khả thi Bắt buộc?
Cơ sở Attack Vector (AV) [N,A,L,P] Yes
Độ phức tạp tấn công (AC) [L,H] Yes
Đặc quyền bắt buộc (PR) [N,L,H] Yes
Tương tác người dùng (UI) [N,R] Yes
Phạm vi (S) [U,C] Yes
Bảo mật (C) [H,L,N] Yes
Toàn vẹn (I) [H,L,N] Yes
Sẵn có (A) [H,L,N] Yes
Tạm thời Exploit Code Maturity (E) [X,H,F,P,U] No
Mức độ khắc phục (RL) [X,U,W,T,O] No
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Môi trường Confidentiality
Requirement (CR)
[X,H,M,L] No
Yêu cầu toàn vẹn (IR) [X,H,M,L] No
Yêu cầu về tính khả dụng (AR)
[X,H,M,L] No
Vector tấn công sửa đổi (MAV)
[X,N,A,L,P] No
Độ phức tạp tấn công đã sửa đổi (MAC)
[X,L,H] No
Yêu cầu đặc quyền sửa đổi (MPR)
[X,N,L,H] No
Tương tác người dùng đã sửa đổi (MUI)
[X,N,R] No
Phạm vi sửa đổi (MS) [X,U,C] No
Tính bảo mật sửa đổi (MC) [X,N,L,H] No
Tính toàn vẹn đã sửa đổi (MI) [X,N,L,H] No
Tính khả thi sửa đổi (MA) [X,N,L,H] No
Bảng 2.6 - Các vectơ Cơ sở, Tạm thời và Môi trường
Ví dụ: Lỗ hổng với các giá trị số liệu Vector Attack: Local, Độ phức tạp tấn công: Cao, Đặc quyền bắt buộc: Thấp, Tương tác người dùng: Không, Phạm vi: Thay đổi, Bảo mật: Cao, Tính toàn vẹn: Cao, Tính khả dụng: Không có Các số liệu Tạm thời hoặc Môi trường sẽ được thể hiện dưới dạn vector như sau:
CVSS: 3.1 / AV: L / AC: H / PR: L / UI: N / S: C / C: H / I: H / A: N
2.3.2.4. Thuật toán tính CVSS v3.1
Các hàm trợ giúp cho thuật toán CVSS được định nghĩa như sau: • Tối thiểu trả về nhỏ hơn trong hai đối số của nó.
• Roundup trả về số nhỏ nhất, chỉ định 1 chữ số thập phân, bằng hoặc cao hơn giá trị đầu vào.
Ví dụ: Roundup (3.02) trả về 3.1; và Roundup (3,00) trả về 3.0.
a) Thuật toán tính số liệu Cơ sở
Thuật toán tính Điểm cơ sở phụ thuộc vào các công thức tính Điểm tác động phụ (ISS), Tác động và Khả năng khai thác, được thể hiện như sau:
IF Scope = Unchanged THENImpact = 6.42 × ISS.
IF Scope = Changed THENImpact = 7.52 × (ISS - 0.029) - 3.25 × (ISS - 0.02)15.
Exploitability = 8.22 × AttackVector × AttackComplexity × PrivilegesRequired ×