2.2.1. Hướng đi cho bài toán
Từ yêu cầu bài toán đặt ra, chúng tôi xây dựng hệ thống có thể thực hiện được các nhiệm vụ dò quét, xác định rủi ro lỗ hổng bảo mật, trong đó dựa theo phương pháp kiểm trả dựa trên tập dữ liệu về lỗ hổng CVEs. Có thể xác định được rủi ro từ bên ngoài hoặc xác định từ bên trong hệ thống khi đã được cấp tài khoản.
Mô hình đề xuất triển khai của hệ thống đánh giá, quản lý rủi ro an toàn bảo mật tại cơ quan, tổ chức được thể hiện như sau:
Hình 2.1 - Mô hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT Mô hình triển khai hệ thống dò quét có thể tùy biến, phụ thuộc vào quy mô, phạm vi của các đơn vị, cơ quan, tổ chức. Trong đó có thể triển khai theo mô hình tập trung tại một điểm hoặc mô hình phân tán trong các mạng nội bộ của các đơn vị con.
Yêu cầu về đối tượng nghiên cứu:
- Đối tượng đánh giá rủi ro ATTT bao gồm các hệ thống của các đơn vị tổ chức, các cơ quan nhà nước và các doanh nghiệp.
- Đánh giá dò quét lỗ hổng bảo mật các hệ thống máy chủ phần cứng và các dịch vụ phần mềm đang chạy trên đó.
Yêu cầu về tiêu chí đánh giá rủi ro ATTT:
Bộ tiêu chí để đánh giá rủi ro dựa trên các tiêu chuẩn đã được công bố ISO 27005 và NIST SP800-30:
- Xác định hệ thống có nguy cơ về mất an toàn thông tin, nguy cơ về tính dễ tổn thương để đánh giá.
- Xác định các nguy cơ rủi ro về các lỗ hổng có thể bị khai thác.
2.2.2. Xây dựng phần mềm dò quét các lỗ hổng
Từ các yêu cầu về đối tượng và tiêu chí đánh giá, chúng tôi xây dựng hệ thống dò quét các lỗ hổng dân đến rủi ro an toàn thông tin vScanner, phần mềm sẽ có nhiệm vụ dò quét thiết bị mạng, các máy tính và các phần mềm trên máy tính đó. Để có thể linh hoạt triển khai dò quét, hệ thống phần mềm vScanner được xây dựng theo hướng tiếp cận dịch vụ, có
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
thể thực hiện dò quét từ xa.
Từ những yêu cầu và hướng đi nêu trên, mô hình kiến trúc dự kiến đề xuất phục vụ đánh giá, dò quét lỗ hổng được thể hiện như sau:
Hình 2.2 - Mô hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT
Trong mô hình kiến trúc này, vScanner thực hiện nhiệm vụ dò quét lỗ lổng bảo mật các hệ thống mà có nguy cơ về rủi ro an toàn thông tin. Phần mềm có chức năng dò quét theo kỹ thuật kiểm tra từ bên ngoài và cả kỹ thuật dò quét từ bên trong thông qua việc cấp tài khoản vào hệ thống.
Hệ thống được xây dựng theo hướng triển khai môi trường web, để có thể dễ dàng cho việc đánh giá và quản trị từ xa các hệ thống, linh hoạt trong việc thực hiện các nhiệm vụ đánh giá các hệ thống của các đơn vị, cơ quan tổ chức.
Trong phạm vi nghiên cứu của luận văn, chúng tôi sẽ tập trung xây dựng bộ dò quét lỗ hổng hệ thống, là một trong các thành phần của hệ thống vScanner (được gọi tắt là HostScanner) với các mô-đun chính như sau:
- Mô-đun phát hiện nguy cơ lỗ hổng của hệ thống dựa trên các mẫu thử NVTs được cung cấp từ cộng đồng.
- Mô-đun dò quét lỗ hổng mạng, nhằm phát hiện các thành phần của một mạng máy tính, thiết bị có nguy cơ.
Ngoài ra, chúng tôi sẽ tập tiếp cận theo hướng kế thừa giải pháp mã nguồn mở OpenVAS như đã giới thiệu để xây dựng HostScanner với các tính năng dò quét, phát hiện những lỗ hổng bảo mật trong hệ thống của một đơn vị tổ chức.
Kiến trúc của HostScanner như sau:
Hình 2.3- Kiến trúc của HostScanner
2.3. Kỹ thuật phân tích, đánh giá rủi ro ATTT 2.3.1. Phương pháp đánh giá rủi ro OWASP 2.3.1. Phương pháp đánh giá rủi ro OWASP
Phương pháp đánh giá rủi ro OWASP (Open Web Application Security Project) [11] dựa trên các phương pháp tiêu chuẩn và được tùy chỉnh để đảm bảo tính bảo mật ứng dụng.
Tiêu chuẩn xác định rủi ro như sau:
Risk = Likelihood * Impact
Trong đó các yếu tố: - Risk: Mức độ rủi ro - Likelihood: Khả năng - Impact: Tác động
Các bước đánh giá rủi ro được thực hiện như sau:
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Xác định rủi ro cần được đánh giá. Khi đó cần thu thập đẩy đủ các thông tin như: Tác nhân, cuộc tấn công, lỗ hổng và tác động đối với đơn vị, tổ chức. Có thể có nhiều tác động và nhiều nhóm tấn công.
Bước 2: Ước tính khả năng dựa trên các yếu tố
Khi đã xác định các rủi ro tiềm ần của hệ thống, người thực hiện đánh giá cấn xác định mức độ nghiệm trọng thì đầu tiên xác định khả năng xảy ra. Đây được xác định là thước đô về khả năng lỗ hổng sẽ bị phát hiện và kể tấn công có thể khai thác. Có thể chưa cần quá chính xác trong việc ước tính như trên, chỉ cần xác định mức khả năng: Thấp, trung bình, cao.
Các yếu tố có thể dụng cho việc xác định khả năng.
Có một số yếu tố có thể giúp xác định khả năng. Mỗi yếu tố có một bộ tùy chọn và mỗi tùy chọn được đánh số khả năng từ 0 đến 9.
Tác nhân đe dọa: Yếu đố liên quan tác nhân đe dọa. Có thể ước tính khả năng tấn công thành công của nhóm tác nhân này.
Cấp độ kỹ năng: Kỹ năng của nhóm tác nhân đe dọa này được xác đinh như nào? - 1: Không có kỹ năng
- 3: Có một số kỹ năng
- 5: Người dùng máy tính có kỹ năng nâng cao - 6: Có kỹ năng lập trình và mạng
- 9: Có kỹ năng bảo mật xâm nhập
Động cơ, lý do phạm tội: Động cơ của nhóm tác nhân đe dọa này tìm và khai thác lỗ hổng như nào?
- 1: Phần thưởng thấp hoặc không có phần thưởng. - 4: Có giải thưởng.
- 9: Giải thưởng cao.
Cơ hội: Cơ hội nào cần thiết cho nhóm tác nhân đe dọa để khai thác lỗ hổng? - 0: Truy cập đầy đủ hoặc tài nguyên giá trị.
- 4: Yêu cầu truy cập đặc biệt hoặc tài nguyên. - 7: Một số quyền truy cập hoặc tài nguyên cần thiết. - 9: Không cần truy cập hoặc tài nguyên cần thiết.
Kích thước: Quy mô nhóm các tác nhân đe dọa này như nào? - 2: Nhà phát triển.
- 2: Quản trị hệ thống. - 4: Người dùng nội bộ.
- 5: Đối tác.
- 6: Người dùng được xác thực. - 9: Người dùng ẩn danh.
Yếu tố dễ bị tổn thương: Các yếu tố tiếp theo có liên quan đến lỗ hổn. Mục tiêu là ước tính khả năng của lỗ hổng, đặc biệt là liên quan đến việc phát hiện và khai thác lỗ hổng.
Dễ khám phá: Làm thế nào nhóm các tác nhân đe dọa này có thể dễ dàng để khai thác lỗ hổng?
- 1: Không thể. - 3: Khó. - 7: Dễ.
- 9: Công cụ có sẵn.
Dễ khai thác: Làm thế nào cho nhóm các tác nhân đe dọa dễ dàng khai thác lỗ hổng này?
- 1: Lý thuyết. - 3: Khó. - 5: Dễ.
- 9: Công cụ tự động có sẵn.
Nhận thức: Làm thế nào cho nhóm tác nhân đe dọa này là lỗ hổng? - 1: Không biết.
- 4: Ẩn.
- 6: Hiển nhiên.
- 9: Kiến thức công cộng.
Phát hiện xâm nhập: Làm thế nào là một khai thác có thể được phát hiện? - 1: Phát hiện hoạt động trong ứng dụng.
- 3: Ghi nhật ký và đánh giá.
- 8: Ghi nhật ký mà không xem xét. - 9: Không đăng nhập.
Bước 3: Các yếu tố để ước tính tác động
Khi đánh giá tác động của một cuộc tấn công, cần xem xet hai loại tác động: Đầu tiên là "tác động kỹ thuật" đối với ứng dụng, dữ liệu được sử dụng và các chức năng mà đượccung cấp. Tiếp theo là "tác động nghiệp vụ" đối với đơn vị, cơ quan tổ chức vận hành ứng dụng. Trong đó, tác động nghiệp vụ là quan trọng hơn.
Mỗi yếu tố có một tập hợp các tùy chọn và mỗi tùy chọn có xếp hạng tác động từ 0 đến 9.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Yếu tố tác động kỹ thuật: Các yêu tố liên quan tác động kỹ thuật được chia ra thành: Mất tính bảo mật: Bao nhiêu dữ liệu đã bị tiết lộ và mức độ nhạy cảm?
- 2: Dữ liệu không nhạy cảm. - 6: Dữ liệu quan trọng tối thiểu.
- 6: Dữ liệu không nhạy cảm bị lộ rộng rãi. - 7: Dữ liệu quan trọng bi lộ.
- 9: Tất cả dữ liệu được tiết lộ.
Mất tính toàn vẹn: Bao nhiêu dữ liệu có thể bị hỏng và nó bị hư hại như thế nào? - 1: Dữ liệu bị hỏng nhẹ tối thiểu.
- 3: Dữ liệu bị hỏng nghiêm trọng tối thiểu - 5: Dữ liệu bị hỏng nhẹ.
- 7: Dữ liệu bị hỏng nghiêm trọng. - 9: Dữ liệu bị hỏng hoàn toàn.
Mất tính khả dụng: Bao nhiêu dịch vụ có thể bị mất và mức độ quan trọng như thế nào?
- 1: Các dịch vụ thứ cấp tối thiểu bị gián đoạn. - 5: Các dịch vụ chính tối thiểu bị gián đoạn. - 5: Các dịch vụ thứ cấp mở rộng bị gián đoạn. - 7: Các dịch vụ chính mở rộng bị gián đoạn. - 9: Tất cả các dịch vụ bị mất hoàn toàn.
Mất trách nhiệm: Là hành động của các tác nhân đe dọa có thể ảnh hưởng đối với một cá nhân?
- 1: Hoàn toàn có thể theo dõi. - 7: Có thể theo dõi.
- 9: Hoàn toàn ẩn danh.
Yếu tố tác động kinh doanh: Tác động này bắt nguồn từ tác động kỹ thuật, nhưng đòi hỏi sự hiểu biết về những gì là quan trọng đối với đơn vị. Rủi ro kinh doanh là những gì biện minh cho đầu tư trong việc khắc phục các vấn đề bảo mật.
Thiệt hại tài chính:Thiệt hại tài chính là bao nhiêu từ hậu quả của một khả năng khai thác? - 1: Ít hơn chi phí để khắc phục lỗ hổng.
- 3: Ảnh hưởng nhỏ đến lợi nhuận hàng năm. - 7: Ảnh hưởng đáng kể đến lợi nhuận hàng năm. - 9: Phá sản.
Thiệt hại danh tiếng:Một khả năng khai thác dẫn đến thiệt hại danh tiếng gây tổn hại cho doanh nghiệp như thế nào?
- 1: Thiệt hại tối thiểu. - 4: Mất tài khoản lớn. - 5: Mất thiện chí.
- 9: Thiệt hại thương hiệu.
Không tuân thủ: Không tuân thủ sẽ gây ra vi phạm nào? - 2: Vi phạm nhỏ.
- 5: Vi phạm rõ ràng. - 7: Vi phạm hồ sơ cao.
Vi phạm quyền riêng tư:Bao nhiêu thông tin cá nhân bị tiết lộ? - 3: Một cá nhân.
- 5: Hàng trăm người. - 7: Hàng nghìn người. - 9: Hàng triệu người.
Bước 4: Xác định mức độ nghiêm trọng
Trong bước này, ước tính khả năng và mức độ tác động được kết hợp để tính toán mức độ nghiêm trọng chung cho rủi ro này.
Khả năng và mức độ tác động
0 đến <3 Thấp 3 đến <6 Trung bình
6 đến 9 Cao
Bảng 2.1 - Xác định mức độ nghiêm trọng của rủi ro
Phương pháp không chính thức: Trong nhiều môi trường, không có gì sai khi xem xét các yếu tố và chỉ đơn giản là có câu trả lời.
Phương pháp lặp lại: Chỉ cần lấy trung bình của điểm số để tính khả năng tổng thể.
Các tác nhân nguy cơ Các tác nhân lỗ hổng
Kỹ
năng Động cơ Cơ hội Kích thước
Dễ dàng tìm ra Dễ dàng khai phá Nhận thức Phát hiện xâm nhập 5 2 7 1 3 6 9 2 Khả năng tổng thể = 4.375 (Trung bình)
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Bảng 2.2 - Xác định khả năng xảy ra
Tiếp theo, cần phải tìm ra tác động tổng thể. Có thể ước tính dựa trên các yếu tố hoặc có thể tính trung bình điểm cho từng yếu tố.
Tác động kỹ thuật Tác động kinh doanh
Mất tính bảo mật Mất tính toàn vẹn Mất tính khả dụng Mất tính trách nhiệm Thiệt hại tài chính Thiệt hại danh tiếng Không tuân thủ Vi phạm quyền riêng tư 9 7 5 8 1 2 1 5
Tác động kỹ thuật =7.25 (Cao) Tác động kinh doanh =2.25 (Thấp) Bảng 2.3 - Xác định tác động
Xác định mức độ nghiêm trọng
Kết hợp các yếu tố để xác định được mức độ nghiêm trọng cuối cùng cho rủi ro này.
Mức độ rủi ro
Tác động
CAO Trung bình Cao Nguy cấp
TRUNG BÌNH Thấp Trung bình Cao
THẤP Ghi chú Thấp Trung bình
THẤP TRUNG BÌNH CAO
Khả năng
Bảng 2.4 - Xác định mức độ nghiêm trọng
Bước 5: Quyết định cách khắc phục
Sau khi các rủi ro cho ứng dụng đã được phân loại, sẽ có một danh sách ưu tiên những gì cần khắc phục. Các rủi ro nghiêm trọng nhất cần được khắc phục trước tiên.
Bước 6: Tùy chỉnh mô hình xếp hạng rủi ro
Khung xếp hàng rủi ro đối với một đơn vị, cơ quan, tổ chức doanh nghiệp là rất quan trọng.
2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS 2.3.2.1. Giới thiệu 2.3.2.1. Giới thiệu
Tiêu chuẩn CVSS (Common Vulnerability Scoring System) [12] là phương pháp chấm điểm cho các lỗ hổng và phơi nhiễm chung CVE (Common Vulnerabilities and Exposures). Kết quả đầu ra của là điểm số cho thấy mức độ nghiêm trọng của lỗ hổng.
a) Số liệu
Bao gồm 3 nhóm số liệu: - Số liệu cơ sở.
- Số liệu tạm thời. - Số liệu môi trường.
Hình 2.4- Các nhóm số liệu của CVSS
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Cơ sở (Base metric group): bao gồm hai bộ số liệu: Số liệu về Khả năng khai thác và số liệu Tác động.
Các số liệu Khả năng khai thác phản ánh mức độ dễ dàng và phương tiện kỹ thuật mà lỗ hổng có thể bị khai thác. Danh mục số liệu gồm: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi.
Các số liệu Tác động phản ánh của việc lỗ hổng bị khai thác và thể hiện việc chịu tác động. Trong bộ số liệu này có danh mục số liệu phụ gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.
Các số liệu Cơ sở có điểm số từ 0 đến 10, có thể được điều chỉnh sau bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Tạm thời (Temporal metric group): phản ánh lỗ hổng có thể thay đổi theo thời gian nhưng không phải trên các môi trường người dùng.
Trong bộ số liệu này có danh mục số liệu phụ gồm: Khả năng khai thác mã đáo hạn, mức độ khắc phục, bảo mật báo cáo.
- Nhóm số liệu Môi trường (Environmental metric group): đại diện cho các đặc điểm của lỗ hổng có liên quan và duy nhất đối với môi trường người dùng cụ thể.
Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin
Trong bộ số liệu này có danh mục số liệu phụ gồm: Số liệu cơ sở sửa đổi, Yêu cầu bảo mật, Yêu cầu toàn vẹn, Yêu cầu tính khả dụng.
b) Chấm điểm
Khi các số liệu Cơ sở được chỉ định, phương trình cơ sở sẽ tính toán trong khoảng từ 0 đến 10:
Hình 2.5- Các số liệu và phương trình CVSS
Phương trình Cơ sở có nguồn gốc từ 2 phương trình phụ: Phương trình điểm Khả năng khai thác và phương trình điểm Tác động. Phương trình điểm Khả năng khai thác được lấy từ các số liệu Khả năng khai thác cơ sở (Base Exploitability metrics), trong khi phương trình điểm Tác động được lấy từ các số liệu Tác động cơ sở (Base Impact metrics).