Phương pháp nhận dạng các nguy cơ gây mất an toàn và bảo mật thơng tin

II. Bài tập

QUY TRÌNH ĐẢM BẢO AN TỒN VÀ BẢO MẬT THƠNG TIN

2.2.3. Phương pháp nhận dạng các nguy cơ gây mất an toàn và bảo mật thơng tin

bảo mật thơng tin

Phương pháp chung để nhận dạng, xác định các nguy cơ gây mất an toàn và bảo mật thơng tin trong hệ thống thơng tin là thực hiện theo quy trình chung gồm 6 bước được trình bày trong Hình 2.2:

Hình 2.2. Quy trình nhận dạng các nguy cơ gây mất an toàn và bảo mật thơng tin

(Nguồn Mark Rhodes - Ousley [16])

Lập kế hoạch và tở chức thực hiện

Phân loại các thành phần trong HTTT

Kiểm kê và phân loại các tài nguyên

Xác định độ ưu tiên của các tài nguyên

Nhận dạng các mới đe dọa

Đặc tả các lỗ hởng của các tài nguyên

(1) Bước 1: Lập kế hoạch và tổ chức quá trình thực hiện. (2) Bước 2: Phân loại các thành phần của hệ thống thơng tin. (3) Bước 3: Liệt kê và phân loại các tài nguyên.

(4) Bước 4: Phân loại các tài nguyên theo mức độ ưu tiên.

(5) Bước 5: Xác định các nguy cơ, mối đe dọa theo mức độ nguy hiểm. (6) Bước 6: Chỉ định các mối đe dọa tấn cơng các lỗ hổng.

Bước 1. Lập kế hoạch và tở chức quá trình thực hiện

Bước đầu tiên trong quy trình nhận dạng, xác định nguy cơ gây mất an toàn và bảo mật thơng tin là thực hiện theo nguyên tắc quản lý dự án, bắt đầu bằng cách tổ chức một nhĩm hoặc một đội, thường các thành viên trong đội sẽ bao gồm đại diện của tất cả các đơn vị nhĩm cĩ tài sản dễ bị ảnh hưởng hay dễ gặp phải rủi ro trong quá trình vận hành hệ thống thơng tin. Việc nhận dạng, xác định rủi ro cho thơng tin được thực hiện liên tục kể từ khi hệ thống thơng tin bắt đầu được vận hành cho đến khi nó bị loại bỏ khỏi hoạt động của tổ chức, doanh nghiệp và được thực hiện khắp mọi nơi có nguy cơ có thể xảy ra trong tổ chức, doanh nghiệp. Quá trình này phải được lên kế hoạch, thực hiện định kỳ, cĩ các bản đánh giá chi tiết và các báo cáo cụ thể gửi cho bộ phận lãnh đạo, quản lý của tổ chức, doanh nghiệp.

Quá trình này được thực hiện theo từng bước: xác định các nhiệm vụ, tổ chức phân cơng thực hiện và sắp xếp thời gian biểu cụ thể. Chỉ khi đó mới cĩ thể nĩi rằng đã sẵn sàng để thực sự bắt đầu xác định, nhận dạng nguy cơ gây mất an toàn và bảo mật thơng tin.

Bước 2. Phân loại các thành phần trong hệ thớng thơng tin

Thơng thường các thành phần trong hệ thống thơng tin được chia thành năm loại: Con người, thủ tục, dữ liệu, phần mềm và phần cứng.

- Con người trong hệ thống thơng tin bao gồm nhân viên, những cộng sự tham gia vào vận hành, khai thác hệ thống và khách hàng. Trong các tổ

chức, doanh nghiệp thường cĩ hai nhĩm nhân viên là nhóm những người cĩ thẩm quyền, cĩ trách nhiệm cao và nhóm các nhân viên bình thường khơng có đặc quyền trong hệ thống; Cộng sự, đối tác và khách hàng cĩ thể bao gồm các nhà thầu và chuyên gia tư vấn, thành viên của các tổ chức khác mà doanh nghiệp cĩ mối quan hệ tin cậy và khách hàng của tổ chức. - Các thủ tục trong hệ thống thơng tin bao gồm các quy trình, thủ tục đã được ban hành và các quy trình, thủ tục nhạy cảm chưa được xác định bằng văn bản cụ thể (trong kinh doanh, đó là những quy trình, thủ tục cĩ thể làm cho một tác nhân nào đó có thể đe dọa đến hoạt động của tổ chức như gây ra một cuộc tấn cơng chống lại tổ chức hoặc làm cho nguy cơ gây rủi ro cho tổ chức cĩ thể xảy ra nhanh hơn).

- Dữ liệu trong hệ thống thơng tin bao gồm tồn bộ dữ liệu đang lưu trữ, sử dụng trong hệ thống, các dữ liệu đang tham gia vào các quy trình xử lý và các dữ liệu đang được truyền trên kênh truyền. Mỗi thể hiện hay trạng thái của dữ liệu đều có thể có những nguy cơ gây mất an toàn và bảo mật khác nhau.

- Phần mềm trong hệ thống thơng tin bao gồm các phần mềm ứng dụng, các phần mềm điều hành, phần mềm chuyên dụng, phần mềm bảo mật,... Việc xác định chính xác các loại phần mềm gĩp phần nâng cao khả năng xác định rủi ro đối với cơ sở hạ tầng của hệ thống thơng tin của tổ chức, doanh nghiệp - một trong những thành phần tiềm ẩn nguy cơ gây mất an toàn và bảo mật thơng tin trong hệ thống thơng tin.

- Các thiết bị phần cứng bao gồm các thiết bị phần cứng máy tính, các thiết bị phần cứng mạng, các thiết bị bảo vệ (kể cả thiết bị của hệ thống kiểm soát an ninh thơng tin) và các thiết bị ngoại mạng khác của tổ chức, doanh nghiệp.

Bước 3. Phân loại các tài nguyên trong hệ thớng

Các tài nguyên liên quan đến an toàn và bảo mật thơng tin trong hệ thống thơng tin là cả năm thành phần của hệ thống thơng tin (phần cứng,

phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thơng và con người). Tuy nhiên, việc xác định nguồn nhân lực, thủ tục và dữ liệu cần đảm bảo an tồn và hạn chế rủi ro khó hơn đối với việc xác định các tài nguyên phần cứng và phần mềm.

Các nhân sự tham gia vào hoạt động của hệ thống thơng tin, thơng thường được đánh số, cấp mã hoặc chỉ mục theo số hiệu, chức danh, phịng ban, vị trí làm việc. Những nhân viên tham gia vào cơng tác đảm bảo an tồn và bảo mật thơng tin cho hệ thống cần nắm chắc vị trí và chức năng của từng nhân sự để đảm bảo cĩ thể nhận được các thơng báo kịp thời các sự cố ở mọi vị trí trong tổ chức nhằm duy trì hệ thống làm việc ổn định.

Các quy trình thủ tục cần được mơ tả cụ thể, rõ ràng mục đích, phạm vi, mối quan hệ với các phần cứng, phần mềm, vị trí lưu trữ, các bản sao nếu cĩ. Các yếu tố về mạng, về phạm vi tác động của các quy trình cần được chỉ rõ nhằm đảm bảo người dùng trong hệ thống cĩ thể hiểu được các thủ tục này.

Các dữ liệu cần lưu trữ và xử lý trong hệ thống cũng cần được phân loại, theo chủ sở hữu, người tạo ra, người quản lý, kích thước của cấu trúc dữ liệu, các kiểu cấu trúc dữ liệu được sử dụng (tuần tự, quan hệ...), kiểu lưu trữ và xử lý là trực tuyến hoặc offline; vị trí lưu trữ ở đâu, những ai cĩ thể sử dụng chúng, các cơ chế sao lưu tác động lên chúng, cách thức sao lưu, phục hồi theo định kỳ như thế nào? đều phải được quản lý rõ ràng và chi tiết.

Ngoài ra, cũng cần phân loại dữ liệu và thơng tin theo mức độ bảo mật của các thơng tin trong hệ thống, như tính bảo mật, tính sẵn sàng, khả năng gặp rủi ro, kế hoạch kiểm sốt, vấn đề truy cập, cá nhân hay đơn vị chịu trách nhiệm...

Đối với phần cứng, phần mềm, hệ thống mạng: Cần xác định rõ những thành phần nào của thiết bị phần cứng, các thành phần nào của các phần mềm và những thành phần nào của mạng cần được theo dõi? Điều này phụ thuộc vào nhu cầu và những nỗ lực quản lý rủi ro của tổ chức, doanh nghiệp, cũng như các chính sách và nhu cầu của cộng đồng an ninh

thơng tin và cơng nghệ thơng tin của tổ chức. Thơng thường các vấn đề sau đây cần được đưa ra xem xét:

- Tên tài khoản: Cĩ thể gặp các vấn đề như trùng tên, nhiều tên cho cùng một đối tượng, tên khơng đặt theo chuẩn... Vì vậy, cần thống nhất quy chuẩn đặt tên cho các đối tượng tham gia vào các thành phần tham gia vào hệ thống như người dùng, tên thiết bị phần cứng, các máy chủ, các thư mục dùng chung,...

- Địa chỉ IP: Việc nhiều tổ chức, doanh nghiệp sử dụng các giao thức DHCP trong giao thức TCP/IP hoặc chưa đăng ký các địa chỉ IP tĩnh trong các truy cập quốc tế cĩ thể gây ra các rủi ro cho hệ thống thơng tin của tổ chức, doanh nghiệp.

- Địa chỉ MAC (địa chỉ duy nhất của tất cả các thiết bị phần cứng) cũng là một mục tiêu có thể bị giả mạo hoặc bị tấn cơng của những người khơng được phép khi hệ thống thơng tin hoạt động.

- Đối với các thành phần khác như các phần cứng (như máy chủ, máy tính để bàn, các thiết bị kết nối mạng, hoặc các thiết bị kiểm tra như camera, máy quét...), phần mềm (kể cả các phần mềm ứng dụng đặc biệt như các phần mềm bảo mật - tường lửa, hệ thống quản lý mạng riêng ảo, hệ thống quản lý các giao dịch...) cần xây dựng một danh sách các yếu tố cĩ thể gây nên các lỗ hổng, điểm yếu trong hệ thống; cũng như các yếu tố như số serial hay các phiên bản (Version), tên nhà sản xuất ra sản phẩm, vị trí địa lý... Cần xác định các mức độ ưu tiên khác nhau, các vấn đề được sắp xếp theo thứ tự ưu tiên.

Ngoài ra, cần có chế độ kiểm sốt các thực thể này, xác định tổ chức, đơn vị điều khiển từng thành phần, phân biệt được các nhĩm hoặc đơn vị kiểm sốt từng thành phần cụ thể và có chính sách cụ thể cho từng đối tượng.

Bước 4. Xác định độ ưu tiên dựa trên vai trị, sự quan trọng của các tài nguyên

Cần có đánh giá độ nhạy cảm và độ ưu tiên mức độ quan trọng trong an toàn và bảo mật của thơng tin như thơng tin bí mật, thơng tin nội bộ,

thơng tin cơng khai cơng cộng và các thiết bị liên quan đến quá trình vận động của thơng tin như các thiết bị lưu trữ thơng tin, thiết bị truyền thơng tin và các quy tắc, quy trình xử lý thơng tin.

Cách phân loại và đánh giá phải được lựa chọn sao cho chúng bao hàm hết được các mức độ và khơng bị chồng chéo hoặc loại trừ lẫn nhau. Các bước thường tiến hành thực hiện là: đánh giá thơng tin, xác định độ ưu tiên, xác định mối đe dọa dựa trên các nhóm, xác định các lỗ hổng và xây dựng tài liệu đánh giá.

- Đánh giá thơng tin:

Để đánh giá thơng tin có thể dùng một bảng đánh giá bao gồm các câu hỏi và điểm cho câu trả lời. Các câu hỏi thường liên quan đến các nội dung sau:

+ Thơng tin hay dịch vụ nào mang lại nhiều doanh thu nhất cho tổ chức? + Những thơng tin nào tạo ra khả năng sinh lời cao nhất?

+ Những thơng tin nào có chi phí quá tốn kém cần phải thay thế? + Những thơng tin đắt giá hoặc ít tốn kém nhất cần bảo vệ?

+ Những thơng tin dễ gây ra cho tổ chức, doanh nghiệp gặp phải vấn đề pháp lý hoặc gây ra rị rỉ thơng tin?

- Đo lường thơng tin:

Việc tính toán, ước lượng, hoặc đo lường thơng tin cần đánh giá có thể dựa trên xem xét các giá trị sau của thơng tin:

+ Giá trị nhận được từ chi phí của việc tạo ra các thơng tin? + Giá trị nhận được từ duy trì lâu dài các thơng tin?

+ Giá trị từ việc cung cấp các thơng tin cần đánh giá cho người sử dụng? + Giá trị phát sinh từ chi phí của việc bảo vệ thơng tin cần đánh giá?

+ Giá trị của việc sở hữu các thơng tin cần đánh giá? + Giá trị của sở hữu trí tuệ các thơng tin cần đánh giá? + Giá trị đánh giá từ đối thủ cạnh tranh?

- Xác định mức độ ảnh hưởng của thơng tin:

Khi đã hoàn tất danh sách các thơng tin cần đánh giá, cần đưa ra bảng phân tích các yếu tố ảnh hưởng (ví dụ như doanh thu, lợi nḥn, hình ảnh thương hiệu, v.v...) dựa theo trọng số của chúng. Thơng thường độ ưu tiên (hay trọng số) của các yếu tố ảnh hưởng được xác định có tổng bằng 100, nghĩa là:

𝑤 = 𝑤1+ 𝑤2+. . +𝑤𝑛 = 1,

Trong đó 𝑤1, 𝑤2, . . . , 𝑤𝑛 tương ứng là trọng số của các yếu tố ảnh hưởng.

Bước 5. Xác định hay nhận dạng các mới đe dọa

Sau khi đã xác định và phân loại được các nhĩm thơng tin cần đánh giá trong tổ chức, cần phân tích và kiểm tra các nguy cơ, các mối đe dọa cĩ thể xảy ra đối với các thơng tin đó của tổ chức. Các mối đe dọa gây mất an toàn và bảo mật thơng tin trong tổ chức, doanh nghiệp thơng thường được xác định dựa trên một số đặc trưng.

Mối đe dọa kiểu vectơ là một thuật ngữ dùng để mơ tả nơi một mối đe dọa bắt nguồn và con đường cần thiết phải đi qua để mục tiêu tấn cơng đạt được (nguy cơ biến thành hiện thực). Ví dụ: Một thơng điệp qua thư điện tử được gửi từ bên ngồi tổ chức cho một nhân viên bên trong tổ chức, thư điện tử có một tập tin đính kèm chứa một đoạn mã độc Trojan, khi người nhận mở ra sẽ kích hoạt mã độc Trojan hoạt động. Ở đây, nguồn gốc của nguy cơ là tệp tin và đường dẫn đến mục tiêu là thư điện tử.

Bước 6. Đặc tả lỡ hởng của các tài nguyên

Dựa trên các nhĩm thơng tin cần đánh giá của hệ thống và các mối đe dọa mà hệ thống cĩ thể sẽ gặp phải, cần đưa ra danh sách các lỗ hổng

của hệ thống, lỗ hổng là những kẽ hở hay những con đường mà kẻ tấn cơng cĩ thể dùng để tấn cơng vào hệ thống. Lỗ hổng cĩ thể là những kẽ hở trong hệ thống phịng bị của tổ chức, điểm yếu trong ứng dụng, vấn đề trong quy trình bảo mật an ninh, trong bản thiết kế, trong các quy trình kiểm sốt của tổ chức để dựa vào đó có thể gây nên các vấn đề của hệ thống.

Xác định các nguồn và mục tiêu của mối đe dọa:

Khi phịng chống các kiểu tấn cơng gây mất an toàn và bảo mật thơng tin cho tổ chức, cần phải hiểu nguyên tắc, cách thức để đưa ra giải pháp phù hợp cho các cách thức. Xác định được vấn đề cần giải quyết trong quy trình kiểm sốt an ninh của tổ chức sẽ đưa ra được chiến lược phù hợp với hiện trạng của tổ chức.

Các nguồn và mục tiêu của các mối đe dọa thường chia vào các nhĩm:

+ Phịng ngừa (Preventative) nhằm ngăn chặn các mối đe dọa trước khi bị khai thác một lỗ hổng

+ Phát hiện (Detective) nhằm khám phá và cung cấp thơng tin về các cuộc tấn cơng hoặc lạm dụng khi chúng xảy ra

+ Ngăn chặn (Deterrent) nhằm ngăn cản các cuộc tấn cơng bên ngồi và vi phạm chính sách người trong cuộc

+ Khắc phục (Corrective) nhằm khơi phục sự tồn vẹn của dữ liệu hoặc tài sản của tổ chức

+ Phục hồi (Recovery) nhằm khơi phục sự sẵn cĩ của một dịch vụ để hệ thống cĩ thể quay trở lại hoạt động hiệu quả

+ Bồi thường (Compensative) nhằm đưa ra các chiến lược an ninh và các giải pháp bảo vệ tức thời khi hệ thống an ninh vừa bị thất bại.

Bảng 2.1. Minh họa các kiểu đe dọa và biện pháp kiểm sốt an toàn

Vật lý Hành

chính Kỹ thuật Thực thi Thực tế

Phịng chớng Khĩa Tường lửa, Hệ

thớng phát hiện xâm nhập

Bảo vệ thực hiện kiểm tra

Lập danh sách các truy cập Phát hiện Dùng máy theo dõi Hệ thớng phát hiện xâm nhập, Danh mục đăng nhập, hệ thớng giám sát an ninh Kiểm tra thường xuyên Ngăn chặn Bảng thơng báo, hàng rào Chính sách bảo vệ Các cảnh báo Bảo vệ và hệ thớng theo dõi Cập nhật danh sách cảnh báo thường xuyên Khắc phục Hình phạt cho nhân viên Sa thải nếu vi phạm quá nghiêm trọng

Phục hồi Sao lưu dự

phịng

Lập kế hoạch kiếm soát sao lưu

Bồi thường Thực hiện thủ

cơng

Dựa trên các nguyên nhân gây nên các mối đe dọa, hệ thống cần đưa ra các giải pháp phù hợp để đảm bảo hoạt động ổn định, thơng thường các giải pháp sẽ bao gồm biện pháp vật lý, biện pháp hành chính, các hệ thống điều khiển kiểm sốt, các hoạt động cần tiến hành, đưa ra các hoạt động dự kiến nếu cĩ.

Việc xác định rõ các kiểu tấn cơng vào lỗ hổng của hệ thống thơng