Các ấn phẩm đặc biệt (SP)

II. BÀI TẬP TÌNH HUỐNG

ĐẢM BẢO AN TỒN CHO HỆ THỚNG THÔNG TIN

6.2.2.3. Các ấn phẩm đặc biệt (SP)

NIST SP ghi lại các nghiên cứu, hướng dẫn và các nỗ lực tiếp cận về an toàn thông tin và an toàn máy tính. Các hướng dẫn mật mã trong sê-ri NIST SP 800 được xây dựng dựa trên các thành phần mật mã cốt lõi được chỉ ra trong FIPS và các ấn phẩm khác do các tổ chức phát triển tiêu chuẩn (Standards Development Organization - SDO) và NIST công bố. Ngồi ra, cịn chỉ định thêm các thuật toán, lược đồ, cơ chế hoạt động của các thuật toán mật mã, cũng như các hướng dẫn sử dụng đối với chúng. Ví dụ, các ấn phẩm SP mật mã trong sê-ri NIST SP 800 xác định các bộ tạo bit ngẫu nhiên, các cơ chế hoạt động của mã khối, các lược đồ thiết lập khóa, các hàm dẫn xuất khóa. Các thuật toán và lược đồ sử dụng mã khối, hàm băm và nguyên thủy toán học trong các ấn phẩm FIPS như các khối xây dựng nền tảng. NIST cũng đưa ra các hướng dẫn về lựa chọn và sử dụng các tḥt tốn mật mã thơng qua sê-ri NIST SP 800. Dưới đây là một số tiêu chuẩn tiêu biểu:

- NIST SP 800-185 mô tả các hàm dẫn xuất SHA-3: cSHAKE, KMAC, TupieHash, ParallelHash;

- NIST SP 800-163 mô tả việc kiểm định, đánh giá an toàn ứng dụng di động;

- NIST SP 800-145 mô tả các khái niệm điện toán đám mây; - NIST SP 800-133 đưa ra các khuyến cáo về sinh khóa mật mã; - NIST SP 800-132 đưa ra các khuyến cáo về dẫn xuất khóa dựa trên mật khẩu;

- NIST SP 800-131 mô tả về các thuật toán và độ dài khóa mật mã; - NIST SP 800-130 mơ tả khung hình chung cho việc thiết kế các hệ thống quản lý khóa mật mã;

- NIST SP 800-95 hướng dẫn các dịch vụ web an toàn.

Các ấn phẩm NIST SP khác có thể tham khảo tại địa chỉ https://csrc.nist.gov/publications.

Các báo cáo nội bộ/liên ngành (NISTIR).

NISTIR mô tả các nghiên cứu kỹ thuật tập trung vào các đối tượng đặc biệt. NIST khơng xác định các tḥt tốn mật mã trong các ấn phẩm NISTIR. Thay vào đó, NIST sử dụng các ấn phẩm NISTIR để phổ biến thông tin về các nỗ lực chuẩn hóa mật mã. Bộ phận An tồn Máy tính (Computer Security Division - CSD) đã sử dụng NISTIR để phát hành báo cáo của hội thảo, tài liệu thảo luận về các thách thức mới trong mật mã và báo cáo các cuộc thi về thuật tốn mật mã. Các báo cáo NISTIR có thể xem tại địa chỉ https://csrc.nist.gov/publications/nistir.

Tất cả các ấn phẩm của NIST gồm các tiêu chuẩn hướng dẫn mật mã và ban đầu được đưa ra dưới dạng dự thảo để nhận ý kiến công chúng, mặc dù các ấn phẩm khác nhau có quy trình khác nhau. Vì FIPS đưa ra các quy định và các tḥt tốn mang tính bắt buộc trong nhiều cơng nghệ an ninh, an toàn quan trọng, nên u cầu có quy trình phát triển chính thức nhất. FIPS được phát triển bởi NIST và được phê chuẩn, ban hành bởi Bộ trưởng Bộ Thương mại. Các thơng báo chính thức cho bản dự thảo cũng như bản cuối của FIPS được công bố trong Công báo Liên bang (Federal Register).

Một phần vì quy trình chặt chẽ, nên FIPS có thời gian phát triển lâu hơn. Các ấn phẩm SP được ban hành bởi NIST, với các thông báo được đăng trên trang web của Trung tâm Tài ngun An tồn Máy tính, nên có thời gian phát triển ngắn hơn. Điều này cũng đúng với hầu hết các ấn phẩm NISTIR có liên quan đến an tồn máy tính mà NIST xuất bản.

6.2.2.4. Các bước để áp dụng Khung An ninh mạng của NIST vào thực tế thực tế

Việc áp dụng Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ gồm 5 bước: Thiết lập các mục tiêu cần đạt được; Tạo bản hồ sơ chi tiết; Đánh giá tình trạng hiện tại của tổ chức; Lên kế hoạch hành động phân tích khoảng cách; Thực hiện kế hoạch hành động. Những trình bày dưới đây sẽ khuyến nghị việc ứng dụng Khung an ninh mạng trong thực tế sao cho phù hợp với nhu cầu nghiệp vụ của tổ chức.

Phiên bản đầu tiên của Khung An ninh mạng (Cybersecurity Framework - CSF) do Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) Mỹ xuất bản năm 2014 nhằm cung cấp hướng dẫn cho các tổ chức củng cố các biện pháp an ninh mạng, hiện tại đã được cập nhật lên phiên bản 1.1. CSF được các chuyên gia an ninh mạng thuộc chính phủ, học viện, ban, ngành xây dựng, dưới sự chỉ đạo của Tổng thống Barack Obama (nay là cựu Tổng thống) và sau đó được chính quyền mới đưa vào chính sách chính phủ liên bang.

Trong khi phần lớn các tổ chức nhìn nhận giá trị của CSF như một nỗ lực phối hợp chung, được đề nghị phổ biến nhằm cải thiện an ninh mạng với mọi quy mơ tổ chức, thì việc áp dụng và triển khai CSF là một vấn đề không đơn giản. Các bước giúp các tổ chức đưa CSF vào thực tế bao gồm 5 bước như sau:

 Bước 1: Thiết lập các mục tiêu cần đạt được

Trước khi triển khai CSF, các tổ chức phải tập trung vào việc thiết lập các mục tiêu cần đạt được. Rào cản điển hình đầu tiên của bước này là đạt được sự nhất trí xuyên suốt tổ chức về các mức độ chấp nhận rủi ro. Thông thường, bộ phận công nghệ thông tin (IT) và cấp quản lý cao hơn sẽ thiếu đồng thuận trong việc xác định mức độ rủi ro chấp nhận được.

Để bắt đầu, cần phác thảo một bản thỏa thuận nhất quán để làm rõ chính xác đâu là mức độ rủi ro chấp nhận được. Trước khi tiến hành, tất cả mọi người đều phải đồng thuận với bản này. Thảo luận về vấn đề ngân sách, đặt ra các ưu tiên cao cho việc triển khai, đồng thời chọn ra những bộ phận muốn tập trung triển khai đều là những công việc quan trọng.

Tổ chức có thể bắt đầu với một bộ phận hoặc một nhóm bộ phận nhỏ trực thuộc. Tiến hành chương trình thí điểm để biết chương trình nào có thể khả thi, sau đó tìm ra những công cụ và giải pháp phù hợp cho việc triển khai rộng hơn. Điều này sẽ giúp xây dựng cho các triển khai sau này và ước tính chi phí một cách chính xác.

 Bước 2: Tạo bản hồ sơ chi tiết

Bước tiếp theo là đi sâu hơn để điều chỉnh việc đưa CSF vào thực tế sao cho phù hợp với các nhu cầu nghiệp vụ cụ thể của tổ chức. Các Cấp độ Triển khai Khung (Framework Implementation Tiers) của NIST sẽ giúp tổ chức hiểu rõ hơn về tình trạng hiện tại và những gì cần đạt được, được chia thành 3 lĩnh vực:

Quá trình quản trị rủi ro;

Chương trình quản lý rủi ro tích hợp; Can thiệp từ bên ngoài.

Như hầu hết các khung CSF của NIST, những lĩnh vực này không cần thiết phải áp dụng một cách máy móc mà hồn tồn có thể theo phương thức phù hợp với tổ chức. Có thể phân chia những lĩnh vực này thành các

thể loại như con người, q trình, cơng cụ, hoặc tự thêm những thể loại riêng vào CSF.

Mỗi lĩnh vực được triển khai từ cấp độ 1 đến cấp độ 4:

Cấp độ 1 - Một phần: biểu thị quan điểm an ninh mạng khơng nhất

qn và có tính phản ứng.

Cấp độ 2 - Rủi ro được nắm bắt: nhận thức các rủi ro, nhưng việc

lên kế hoạch là nhất quán.

Cấp độ 3 - Có thể lặp lại: áp dụng các khung CSF trên tồn bộ tổ

chức và chính sách nhất qn.

Cấp độ 4 - Thích ứng: đề cập đến việc chủ động phát hiện và dự đoán

mối đe dọa.

Cấp độ càng cao thì sự triển khai khung CSF càng hồn thiện hơn, tuy nhiên nên tùy chỉnh những cấp độ này để phù hợp với mục tiêu. Sử dụng những cấp độ đã được tùy chỉnh để đặt ra những mục tiêu nhưng hãy đảm bảo các cổ đông chủ chốt đều nhất trí trước khi tiến hành. Triển khai sẽ có hiệu quả nhất khi được tùy chỉnh sát với những nghiệp vụ cụ thể của tổ chức.

 Bước 3: Đánh giá tình trạng hiện tại của tổ chức

Bước tiếp theo là tiến hành đánh giá rủi ro một cách chi tiết để biết được tình trạng hiện tại của tổ chức. Nên tiến hành cả đánh giá từ bên trong các lĩnh vực chức năng cụ thể và đánh giá độc lập xuyên suốt tổ chức. Tìm kiếm các phần mềm, công cụ mã nguồn mở và thương mại có thể giúp đánh giá được những lĩnh vực mục tiêu và đào tạo nhân viên sử dụng chúng, hoặc thuê một bên thứ ba giúp đánh giá rủi ro, ví dụ như các chương trình qt lỗ hổng, kiểm tra cho tiêu chuẩn của CIS (Center for Internet Security - Trung tâm An tồn thơng tin), kiểm tra tấn cơng lừa đảo, phân tích hành vi,.... Đáng chú ý, khơng để những người tiến hành đánh giá rủi ro biết được những kết quả đánh giá của tổ chức.

Đội ngũ triển khai CSF cùng tập hợp và kiểm tra những kết quả đánh giá cuối cùng trước khi trình bày với các cổ đơng chủ chốt. Mục tiêu sau cùng của quá trình này là giúp tổ chức hiểu rõ những rủi ro an ninh đối với quá trình vận hành tổ chức (bao gồm nhiệm vụ, chức năng, hình ảnh, uy tín), tài sản của tổ chức và các cá nhân. Các lỗ hổng và mối nguy cơ cần được xác định và báo cáo tài liệu đầy đủ.

Trong biểu đồ trên, tổ chức đã xác định 3 lĩnh vực chức năng: Chính sách, Mạng và Ứng dụng. Những lĩnh vực này có thể trải trên đám mây lai (hybrid cloud) hoặc chia nhỏ ra những mơi trường khác nhau để có thể theo dõi với mức độ chi tiết hơn, trong đó có sự xem xét những sự chỉ đạo, hướng đi chức năng khác nhau sẽ chịu trách nhiệm cho giải pháp tại chỗ hay đám mây.

Hình 6.4: Đánh giá tình trạng hiện tại của tổ chức

(Nguồn: “The Cybersecurity Framework In Action: An Intel Usecase”) Bên trái biểu đồ liệt kê các chức năng khác nhau của CSF và có thể được mở rộng tới các mức độ chi tiết hơn. Các chức năng được đánh giá trên thang điểm 4, màu xanh - đã tốt, màu vàng - cần làm việc thêm, màu đỏ - yêu cầu phân tích, sửa chữa kỹ càng. Ở đây, chức năng trọng tâm “Xác định” được chia nhỏ với mục đích so sánh kết quả đánh giá của từng chức năng với nhóm đơn vị hội tụ nghiệp vụ nòng cốt. Điểm cho bởi các chuyên gia của riêng 3 lĩnh vực (subject matter expert) và điểm cho bởi nhóm nịng

cốt (core group) được tính trung bình, so sánh với mục tiêu của tổ chức, sau đó tính toán khoảng cách rủi ro. Khoảng cách lớn hơn yêu cầu giải pháp nhanh hơn. Từ bảng cho thấy, lĩnh vực “Bảo vệ” và “Ứng phó” của tổ chức là yếu nhất.

 Bước 4: Lên kế hoạch hành động phân tích khoảng cách

Khi đã được trang bị kiến thức sâu hơn về những rủi ro và nhân tố tiềm tàng ảnh hưởng tới nghiệp vụ, có thể tiến tới phân tích khoảng cách. Ý tưởng là so sánh kết quả đánh giá thực tế với mục tiêu đặt ra. Có thể sẽ cần tạo một biểu đồ nhiệt để minh họa kết quả một cách dễ hiểu và thấu đáo. Các khác biệt, khoảng cách lớn ngay lập tức sẽ nhấn mạnh những lĩnh vực mà tổ chức cần tập trung vào.

Tìm hiểu xem tổ chức cần thực hiện những hành động gì để xóa bỏ khoảng cách giữa kết quả đánh giá thực tế và mục tiêu đặt ra. Xác định các hành động có thể áp dụng để cải thiện tình trạng hiện tại và ưu tiên thảo luận chúng với các cổ đông chủ chốt. Những yêu cầu đề án chi tiết, quyết định chi tiêu, biên chế nhân viên đều có thể ảnh hưởng đến kế hoạch của tổ chức.

 Bước 5: Thực hiện kế hoạch hành động

Với một bức tranh rõ ràng về tình trạng hiện tại về các giải pháp phòng vệ, một tập hợp các mục tiêu được sắp xếp có tổ chức, các phân tích khoảng cách một cách toàn diện và một tập hợp các giải pháp ứng phó, tổ chức sẽ sẵn sàng triển khai CSF của NIST. Lần đầu triển khai sẽ là cơ hội để lưu lại quá trình thực hiện và xây dựng các tài liệu đào tạo cho việc triển khai rộng hơn sau này.

Việc thực hiện kế hoạch hành động vẫn chưa phải là kết thúc. Tổ chức cần thiết lập thước đo để kiểm tra mức độ hiệu quả, đồng thời liên tục đánh giá lại CSF để đảm bảo đạt được kết quả mong đợi. Thước đo cần bao gồm quá trình lặp lại và xác nhận liên tục với những người ra quyết định chính. Để đạt được lợi ích tối đa, tổ chức cần ngày càng hồn thiện q trình thực

hiện và điều chỉnh hơn nữa việc triển khai CSF của NIST để phù hợp với yêu cầu nghiệp vụ của tổ chức.

Hệ mật mã ElGamal

Khái niệm về hàm băm