SP 800-39r1
Tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin NIST SP 800-39 là một các tiếp cận quản lý rủi ro theo cấp độ. Các khái niệm cơ bản liên quan đến quản lý rủi ro an toàn thông tin trong một tổ chức bao gồm:
(i) các thành phần của quản lý rủi ro; (ii) cách tiếp cận quản lý rủi ro đa tầng; (iii) quản lý rủi ro ở Cấp độ 1 (cấp tổ chức);
(iv) quản lý rủi ro ở Cấp độ 2 (cấp độ sứ mệnh / quy trình kinh doanh); (v) quản lý rủi ro ở Cấp độ 3 (cấp hệ thống thông tin);
(vi) rủi ro liên quan đến sự tin cậy và đáng tin cậy; (vii) ảnh hưởng của văn hóa tổ chức đối với rủi ro;
(viii) mối quan hệ giữa các khái niệm quản lý rủi ro chính.
NIST SP800-39 cung cấp một cách tiếp cận có cấu trúc, nhưng linh hoạt để quản lý rủi ro dựa trên cơ sở đánh giá, ứng phó và giám sát rủi ro được cung cấp bởi các tiêu chuẩn và hướng dẫn bảo mật của NIST.
Quản lý rủi ro là một quá trình toàn diện yêu cầu các tổ chức phải: (i) Xây dựng khung rủi ro (nghĩa là thiết lập bối cảnh cho các quyết định dựa trên rủi ro); (ii) đánh giá rủi ro; (iii) ứng phó với rủi ro một khi đã xác định; và (iv) theo dõi rủi ro trên cơ sở liên tục bằng cách sử dụng truyền thông tổ chức hiệu quả và một vòng phản hồi để cải tiến liên tục trong hoạt động liên quan đến rủi ro của các tổ chức.
Hình 1.4: Quy trình quản lý rủi ro và các luồng thông tin
Hình trên minh họa quy trình quản lý rủi ro và các luồng thông tin và truyền thông giữa các thành phần. Mũi tên đen đại diện cho các luồng chính trong quản lý rủi ro xử lý với việc khung rủi ro thông báo cho tất cả các hoạt động tuần tự từng bước chuyển từ đánh giá rủi ro để đáp ứng rủi ro đối với giám sát rủi ro.
Đánh giá rủi ro là quá trình xác định, ước tính và ưu tiên rủi ro bảo mật thông tin. Đánh giá rủi ro đòi hỏi phải phân tích cẩn thận thông tin về mối đe dọa và tính dễ bị tổn thương để xác định mức độ hoàn cảnh hoặc sự kiện có thể ảnh hưởng xấu đến tổ chức và khả năng xảy ra trường hợp hoặc sự kiện đó.
Một phương pháp đánh giá rủi ro thường bao gồm: (i) một quy trình đánh giá rủi ro; (ii) mô hình rủi ro rõ ràng, xác định các thuật ngữ chính và các yếu tố rủi ro có thể đánh giá được và mối quan hệ giữa các yếu tố; (iii) phương pháp đánh giá (ví dụ: định lượng, định tính hoặc bán định tính), chỉ định phạm vi giá trị mà các yếu tố rủi ro có thể giả định trong quá trình đánh giá rủi ro và cách kết hợp phân tích các yếu tố rủi ro để các giá trị của các yếu tố đó có thể được kết hợp chức năng để đánh giá rủi ro; và (iv) phương pháp phân tích, mô tả các yếu tố rủi ro để đảm bảo mức độ phù hợp của không gian vấn đề ở mức độ chi tiết nhất quán. Phương pháp đánh giá rủi ro được xác định bởi các tổ chức và là một thành phần của chiến lược quản lý rủi ro được phát triển trong bước đóng khung rủi ro của quy trình quản lý rủi ro.
Hình sau minh họa các thành phần cơ bản trong Khung quản lý rủi ro tổ chức và mối quan hệ giữa các thành phần đó.
Hình 1.5: Các thành phần cơ bản trong Khung quản lý rủi ro
Rủi ro là thước đo mức độ mà một thực thể bị đe dọa bởi một tình huống hoặc sự kiện tiềm năng và thường là một chức năng của: (i) các tác động bất lợi sẽ phát sinh nếu tình huống hoặc sự kiện xảy ra; và (ii) khả năng xảy ra.
Phương pháp đánh giá: Rủi ro và các yếu tố của nó có thể được đánh giá theo nhiều cách khác nhau, bao gồm cả định lượng, định tính hoặc bán định lượng.
Đánh giá định lượng thường sử dụng một tập hợp các phương pháp, nguyên tắc
hoặc quy tắc để đánh giá rủi ro dựa trên việc sử dụng các con số, trong đó ý nghĩa và tỷ lệ của các giá trị được duy trì bên trong và bên ngoài bối cảnh của đánh giá. Loại đánh giá này hỗ trợ hiệu quả nhất cho các phân tích lợi ích chi phí của các phản ứng rủi ro thay thế hoặc các khóa học hành động.
Đánh giá định tính thường sử dụng một bộ phương pháp, nguyên tắc hoặc quy tắc
để đánh giá rủi ro dựa trên các danh mục hoặc cấp độ không số lượng (ví dụ: Rất thấp, Thấp, Trung bình, Cao, Rất cao). Loại đánh giá này hỗ trợ truyền đạt kết quả rủi ro cho những người ra quyết định. uses bins, scales, or representative numbers
Đánh giá bán định lượng thường sử dụng một tập hợp các phương pháp, nguyên tắc
hoặc quy tắc để đánh giá rủi ro sử dụng khoảng (bins), thang đo (scales) hoặc số đại diện (representative numbers) có giá trị và ý nghĩa không được duy trì trong các bối cảnh khác.
Loại đánh giá này có thể kế thừa những ưu điểm của đánh giá định lượng và định tính.
Các tiếp cận phân tích: Một cách tiếp cận phân tích có thể là: (i) định hướng mối đe dọa; (ii) tài sản/định hướng tác động; hoặc (iii) dễ bị tổn thương.
Tiếp cận theo hướng đe dọa bắt đầu bằng việc xác định các nguồn đe dọa và các
sự kiện đe dọa, và tập trung vào việc phát triển các kịch bản đe dọa; các lỗ hổng được xác định trong bối cảnh các mối đe dọa và đối với các mối đe dọa đối nghịch, các tác động được xác định dựa trên ý định đối nghịch.
Tiếp cận theo hướng tài sản/tác động bắt đầu bằng việc xác định các tác động hoặc
hậu quả của mối quan tâm và tài sản quan trọng, có thể sử dụng kết quả của nhiệm vụ hoặc phân tích tác động kinh doanh và xác định các sự kiện đe dọa có thể dẫn đến và / hoặc các nguồn đe dọa có thể tìm kiếm các tác động đó hoặc hậu quả.
Tiếp cận theo hướng dễ bị tổn thương bắt đầu bằng một tập hợp các điều kiện có
chức hoặc môi trường mà các hệ thống hoạt động và xác định các sự kiện đe dọa có thể thực hiện các lỗ hổng đó cùng với các hậu quả có thể xảy ra.
Mỗi phương pháp phân tích đều xem xét các yếu tố rủi ro giống nhau và do đó đòi hỏi cùng một tập hợp các hoạt động đánh giá rủi ro, mặc dù theo thứ tự khác nhau.
NIST 800-39, cung cấp nhiều quan điểm rủi ro từ cấp chiến lược đến cấp chiến thuật. Đánh giá rủi ro truyền thống thường tập trung ở cấp độ 3 (nghĩa là cấp độ hệ thống thông tin) và do đó, có xu hướng bỏ qua các yếu tố rủi ro quan trọng khác có thể được đánh giá phù hợp hơn ở cấp độ 1 hoặc cấp 2 (ví dụ: lỗ hổng trong nhiệm vụ/quy trình nghiệp vụ đối với một mối đe dọa đối nghịch dựa trên các kết nối hệ thống thông tin).
Quy trình đánh giá rủi ro gồm 4 bước: (i) chuẩn bị cho việc đánh giá; (ii) tiến hành đánh giá; (iii) truyền thông kết quả đánh giá; và (iv) duy trì đánh giá. Mỗi bước được chia thành một nhóm các nhiệm vụ. Đối với mỗi nhiệm vụ, hướng dẫn bổ sung cung cấp thông tin bổ sung cho các tổ chức thực hiện đánh giá rủi ro. Hình sau minh họa các bước cơ bản trong quy trình đánh giá rủi ro và các nhiệm vụ cụ thể để thực hiện đánh giá.
Hình 1.6: Quy trình đánh giá rủi ro
Quy trình đánh giá rủi ro ATTT được mô tả cụ thể như trong bảng sau:
Bảng 1.2: Quy trình đánh giá rủi ro
Nhiệm vụ (Task) Mô tả nhiệm vụ (Task description) Bước 1: Chuẩn bị đánh giá (Prepare for Risk Assessment)
Nhiệm vụ 1-1: Xác định mục đích
Xác định mục đích của đánh giá rủi ro theo thông tin mà đánh giá được dự định đưa ra và các quyết định mà đánh giá nhằm hỗ trợ.
Nhiệm vụ 1-2: Xác định phạm vi
Xác định phạm vi đánh giá rủi ro về khả năng áp dụng của tổ chức, khung thời gian được hỗ trợ và cân nhắc về kiến trúc / công nghệ
Nhiệm vụ 1-3: Xác định các đánh giá và hạn chế
Xác định các giả định và ràng buộc cụ thể theo đó đánh giá rủi ro được thực hiện.
Nhiệm vụ 1-4: Xác định nguồn thông tin
Xác định các nguồn thông tin mô tả, đe dọa, dễ bị tổn thương và tác động sẽ được sử dụng trong đánh giá rủi ro. Nhiệm vụ 1-5: Xác định
mô hình rủi ro và tiếp cận phân tích
Xác định mô hình rủi ro và phương pháp phân tích được sử dụng trong đánh giá rủi ro.
Bước 2: Thực hiện đánh giá rủi ro
Nhiệm vụ 2-1: Xác định nguồn gốc
Xác định và mô tả các nguồn đe dọa, bao gồm khả năng, ý định và đặc điểm nhắm mục tiêu cho các mối đe dọa đối nghịch và phạm vi ảnh hưởng đối với các mối đe dọa không đối nghịch
Nhiệm vụ 2-2: Xác định sự kiện
Xác định các sự kiện đe dọa tiềm ẩn, mức độ liên quan của các sự kiện và các nguồn đe dọa có thể bắt đầu các sự kiện. Nhiệm vụ 2-3: Xác định
nhiệm vụ và điều kiện bảo đảm
Xác định các lỗ hổng và các điều kiện có xu hướng ảnh hưởng đến khả năng các mối quan tâm đe dọa dẫn đến các tác động bất lợi
Nhiệm vụ 2-4: Xác định khả năng xảy ra
Xác định khả năng các sự kiện đe dọa gây ra các tác động bất lợi, xem xét:
(i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện;
(ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và
(iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó.
Nhiệm vụ 2-5: Xác định các tác động
Xác định các tác động bất lợi từ các sự kiện đe dọa đáng quan tâm, xem xét:
(i) các đặc điểm của các nguồn đe dọa có thể bắt đầu các sự kiện;
(ii) các lỗ hổng / điều kiện có khuynh hướng được xác định; và
(iii) tính nhạy cảm của tổ chức phản ánh các biện pháp bảo vệ / biện pháp đối phó được lên kế hoạch hoặc thực hiện để cản trở các sự kiện đó
Nhiệm vụ 2-6: Xác định rủi ro
Xác định rủi ro cho tổ chức từ các sự kiện đe dọa cần quan tâm:
(ii) khả năng xảy ra sự kiện.
Bước 3: Truyền thông và chia sẻ kết quả đánh giá rủi ro
Nhiệm vụ 3-1: Truyền thông kết quả đánh giá rủi ro
Truyền thông kết quả đánh giá rủi ro cho những người ra quyết định tổ chức để hỗ trợ các phản ứng rủi ro
Nhiệm vụ 3-2: Chia sẻ thông tin liên quan
Chia sẻ thông tin liên quan đến rủi ro được tạo ra trong quá trình đánh giá rủi ro với nhân viên tổ chức phù hợp
Bước 4: Duy trì đánh giá rủi ro
Nhiệm vụ 4-1: Giám sát các yếu tố rủi ro
Tiến hành giám sát liên tục các yếu tố rủi ro góp phần thay đổi rủi ro đối với hoạt động của tổ chức và tài sản, cá nhân, tổ chức khác hoặc quốc gia
Nhiệm vụ 4-2: Cập nhật đánh giá rủi ro
Cập nhật đánh giá rủi ro hiện có
Chương 2. Nghiên cứu một số phương pháp, kỹ thuật đánh giá rủi ro an toàn thông tin
2.1. Phương pháp đánh giá rủi ro an toàn thông tin CVSS 2.1.1. Giới thiệu
Các lỗ hổng và phơi nhiễm chung CVE (Common Vulnerabilities and Exposures) được chấm điểm bằng tiêu chuẩn CVSS (Common Vulnerability Scoring System). Đầu ra của CVSS là các điểm số cho thấy mức độ nghiêm trọng của lỗ hổng so với các lỗ hổng khác
a) Các số liệu
CVSS bao gồm 3 nhóm số liệu: Cơ sở, Tạm thời và Môi trường (Base, Temporal, and Environment) như minh họa trong hình sau:
Hình 2.1: Các nhóm số liệu của CVSS
Điểm Cơ sở phản ánh mức độ nghiêm trọng của lỗ hổng theo các đặc điểm nội tại của nó không đổi theo thời gian và giả định tác động xấu nhất hợp lý trên các môi trường
được triển khai khác nhau. Các số liệu Cơ sở tạo ra một điểm số từ 0 đến 10, sau đó có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Cơ sở (Base metric group) đại diện cho các đặc điểm nội tại của một lỗ hổng không đổi theo thời gian và trên các môi trường người dùng. Nó bao gồm hai bộ số liệu: Số liệu Khả năng khai thác và số liệu Tác động.
+ Các số liệu Khả năng khai thác (Exploitability metrics) phản ánh sự dễ dàng và phương tiện kỹ thuật mà lỗ hổng có thể được khai thác. Đó là, chúng đại diện cho các đặc điểm của thứ dễ bị tổn thương, mà chúng ta gọi là thành phần dễ bị tổn thương. Trong bộ số liệu này có danh mục số liệu phụ gồm: Vector tấn công, Độ phức tạp tấn công, Yêu cầu đặc quyền, Tương tác người dùng, Phạm vi,
+ Các số liệu Tác động phản ánh hệ quả trực tiếp của việc khai thác thành công và thể hiện hệ quả của sự việc chịu tác động, mà chúng ta gọi là thành phần bị ảnh hưởng. Trong bộ số liệu này có danh mục số liệu phụ gồm: Tác động bảo mật, Tác động toàn vẹn, Tác động khả dụng.
Các số liệu Cơ sở tạo ra một điểm số từ 0 đến 10, sau đó có thể được điều chỉnh bằng cách chấm điểm các số liệu Tạm thời và Môi trường.
- Nhóm số liệu Tạm thời (Temporal metric group) phản ánh các đặc điểm của lỗ hổng có thể thay đổi theo thời gian nhưng không phải trên các môi trường người dùng. Ví dụ, sự hiện diện của một bộ công cụ khai thác dễ sử dụng sẽ làm tăng điểm CVSS, trong khi việc tạo ra một bản vá chính thức sẽ làm giảm nó.
Trong bộ số liệu này có danh mục số liệu phụ gồm: Khả năng khai thác mã đáo hạn (Exploit Code Maturity), mức độ khắc phục (Remediation Level), bảo mật báo cáo (Report Confidence).
- Nhóm số liệu Môi trường (Environmental metric group) đại diện cho các đặc điểm của lỗ hổng có liên quan và duy nhất đối với môi trường người dùng cụ thể. Cân nhắc bao gồm sự hiện diện của các kiểm soát an ninh có thể giảm thiểu một số hoặc tất cả hậu quả của một cuộc tấn công thành công và tầm quan trọng tương đối của một hệ thống dễ bị tổn thương trong cơ sở hạ tầng công nghệ.
Trong bộ số liệu này có danh mục số liệu phụ gồm: Số liệu cơ sở sửa đổi (Modify Base Metrics), Yêu cầu bảo mật (Confidentiality Requirement), Yêu cầu toàn vẹn (Integrity Requirement), Yêu cầu tính khả dụng (Availability Requirement).
b) Chấm điểm
Khi các số liệu Cơ sở được chỉ định bởi các nhà phân tích, phương trình cơ sở sẽ tính toán một số điểm nằm trong khoảng từ 0,0 đến 10,0 như minh họa trong Hình 2.
Hình 2.2: Các số liệu và phương trình CVSS
Cụ thể, phương trình Cơ sở có nguồn gốc từ 2 phương trình phụ: Phương trình điểm Khả năng khai thác và phương trình điểm Tác động. Phương trình điểm Khả năng khai thác được lấy từ các số liệu Khả năng khai thác cơ sở (Base Exploitability metrics), trong khi phương trình điểm Tác động được lấy từ các số liệu Tác động cơ sở (Base Impact metrics).
Điểm cơ sở (Base Score) sau đó có thể được tinh chỉnh bằng cách chấm điểm các số liệu Tạm thời và môi trường để phản ánh chính xác hơn mức độ nghiêm trọng tương đối do lỗ hổng đối với môi trường người dùng tại một thời điểm cụ thể. Việc chấm điểm các số liệu Tạm thời và Môi trường là không bắt buộc, nhưng được khuyến nghị cho điểm chính xác hơn.
Nói chung, các số liệu Cơ sở và Tạm thời được chỉ định bởi các nhà phân tích mẫu tin dễ bị tổn thương, nhà cung cấp sản phẩm bảo mật hoặc nhà cung cấp ứng dụng vì họ thường có thông tin chính xác nhất về các đặc điểm của lỗ hổng. Các số liệu Môi trường được chỉ định bởi các tổ chức người dùng cuối bởi vì họ có thể đánh giá tốt nhất tác động tiềm ẩn của lỗ hổng trong môi trường máy tính của chính họ.
Việc chấm điểm các số liệu CVSS cũng tạo ra một chuỗi vectơ, biểu thị bằng văn