Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tử - Chương 2: Nhận biết rủi ro thông tin thương mại điện tử - Chử Bá Quyết

Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 1 NHẬN BIẾT RỦI RO THÔNG TIN THƯƠNG MẠI ĐIỆN TỬ Khoa TMĐT_ĐHTM 1 Biên soạn: TS. Chử Bá Quyết quyetcb@dhtm.edu.vn Bộ môn Thương mại điện tử Nội dung 1. Ý nghĩa nhận biết RR TMĐT và tiếp cận phân loại RR TMĐT 2. Các khái niệm liên quan nhận biết RR thông tin TMĐT 3. Phân loại đe dọa, lỗ hổng và tấn công ATTT 4. Đánh giá ATTT 5. Câu hỏi ôn tập chương 2 Khoa TMĐT_ĐHTM 2 1. Ý nghĩa nhận biết RR TMĐT • Nhận biết rủi ro là cốt lõi của quá trình QTRR. Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí. • Nhận biết RR thông tin TMĐT là nhận biết các đe dọa, tấn công, lỗ hổng ATTT. • Nếu một đe dọa không được nhận biết nó không thể được kiểm soát. Một lỗ hổng không được phát hiện sớm, được vá, một tấn công không được đối phó, sẽ có những tác động xấu tới các mục tiêu* của DN Khoa TMĐT_ĐHTM 3 Khoa TMĐT_ĐHTM 4 Tiếp cận nhận biết RR TT ntn? Khoa TMĐT_ĐHTM 5 Khoa TMĐT_ĐHTM 6 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 2 2. Các k/n liên quan nhận biết RR thông tin TMĐT • Nhận biết rủi ro (Risk Identification): là liệt kê các RR mà DN, KH có thể gặp phải và đánh giá (sơ bộ) mức độ xảy ra của chúng. Đây là bước tiếp sau xây dựng kế hoạch QTRR. Khoa TMĐT_ĐHTM 7 Nhận biết RR thông tin trong TMĐT bao gồm nhận biết các đe dọa an toàn (security threats) và + xác định các lỗ hổng bảo mật/an toàn (computing vulnerabilities). Khái niệm đe dọa an toàn Đe dọa (threat): theo nghĩa rộng • là các nguồn nguy hiểm; • bất kì lực lượng đối lập, • điều kiện, nguồn hoặc tình huống  có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm giảm khả năng thực hiện nhiệm vụ, KH. Khoa TMĐT_ĐHTM 8 Khái niệm đe dọa an toàn • Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất an toàn. Khoa TMĐT_ĐHTM 9 Khái niệm đe dọa an toàn Nguồn đe dọa: • khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại (khả năng xảy ra) • có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng (động đất, sóng thần) Khoa TMĐT_ĐHTM 10 Nguồn đe dọa (tiếp) • Tổ chức tội phạm, • Phần mềm gián điệp, phần mềm độc hại, • Các công ty phần mềm quảng cáo, • Các nhân viên nội bộ bất bình bắt đầu tấn công sử dụng lao động của họ. • Sâu máy tính và virus cũng đặc trưng cho một mối đe dọa khi chúng có thể có thể gây ra thiệt hại bằng cách lây nhiễm các máy móc và gây thiệt hại tự động. Khoa TMĐT_ĐHTM 11 Nguồn đe dọa (tiếp ) Khoa TMĐT_ĐHTM 12 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 3 Khái niệm lỗ hổng bảo mật • Lỗ hổng là một điểm yếu có thể cho phép một kẻ tấn công đột nhập làm yếu đi sự đảm bảo an toàn thông tin của hệ thống. Lỗ hổng cũng được hiểu là một lỗi (mistake) của phần mềm mà các kẻ tấn công có thể sử dụng để truy cập vào hệ thống hoặc mạng máy tính. Khoa TMĐT_ĐHTM 13 Phân tích đe dọa an toàn thông tin luôn gắn với xác định lỗ hổng bảo mật (vulnerability) Khái niệm lỗ hổng bảo mật • Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự ngưng trệ của DV, thêm quyền đối với người sử dụng hoặc cho phép truy cập bất hợp pháp vào HT. Khoa TMĐT_ĐHTM 14 Phân loại lỗ hổng • Lỗ hổng Phần cứng • Lỗ hổng Phần mềm • Site • Mạng: đường truyền không được bảo vệ, kiến trúc mạng không an toàn • Con người: • Chính sách, quy trình Khoa TMĐT_ĐHTM 15 Phân loại lỗ hổng Theo Bộ Quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống gồm: 3 loại • Các lỗ hổng loại A ▫ Rất nguy hiểm; ▫ Đe dọa tính toàn vẹn và bảo mật của hệ thống; ▫ Cho phép người sử dụng bên ngoài truy cập bất hợp pháp vào hệ thống; ▫ Gây ra việc phá hỏng toàn bộ hệ thống; ▫ Xuất hiện ở các hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Khoa TMĐT_ĐHTM 16 Phân loại lỗ hổng Các lỗ hổng loại B: • Có mức độ nguy hiểm trung bình; • Cho phép người sử dụng có thêm tác quyền trên HT mà không cần thực hiện bước kiểm tra tính hợp lệ; • Thường có trong các ứng dụng, dịch vụ trên HT; • Có thể dẫn đến việc mất hay rò rỉ thông tin yêu cầu bảo mật. Khoa TMĐT_ĐHTM 17 Phân loại lỗ hổng Các lỗ hổng loại C: • Có mức độ nguy hiểm thấp, • chỉ ảnh hưởng đến chất lượng dịch vụ và làm gián đoạn hệ thống; • Cho phép thực hiện các phương thức tấn công từ chối dịch vụ (DoS); • Ít phá hỏng dữ liệu hay cho phép quyền truy cập bất hợp pháp vào máy tính. Khoa TMĐT_ĐHTM 18 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 4 3. Phân loại đe dọa, lỗ hổng, tấn công an toàn thông tin Khoa TMĐT_ĐHTM 19 Phân loại đe dọa theo Microsoft Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể là: • Spoofing (Giả mạo, nặc danh): là một tình huống trong đó một người hay một chương trình thành công giả dạng người khác bằng cách làm sai lệch dữ liệu và nhờ đó thu lợi bất hợp pháp. • Tampering (Tấn công dữ liệu): An toàn dữ liệu có nghĩa là bảo vệ một cơ sở dữ liệu từ các phá hoại và các hành động không mong muốn của người sử dụng trái phép • Repudiation (Chối bỏ): Chống chối bỏ (non-repudiation) đề cập đến một hành vi đã được xác thực sẽ không thể bị phủ nhận. Khoa TMĐT_ĐHTM 20 Phân loại đe dọa theo Microsoft Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể là: • Information disclosure (tiết lộ thông tin): là tiết lộ thông tin • Denial of service attack (Tấn công từ chối phục vụ): • Elevation of privilege (Nâng quyền): là hành động khai thác lỗ hổng do lỗi thiết kế hệ thống hoặc phần mềm để truy cập tới các tài nguyên không được phép. Khoa TMĐT_ĐHTM 21 Các đe dọa thụ động và đe dọa chủ động Khoa TMĐT_ĐHTM 22 Các đe dọa truyền thông và đe dọa vật lí Khoa TMĐT_ĐHTM 23 Các đe dọa theo mức độ phức tạp xử lí Khoa TMĐT_ĐHTM 24 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 5 Các đe dọa bên trong và bên ngoài Khoa TMĐT_ĐHTM 25 Khoa TMĐT_ĐHTM 26 Các đe dọa vật lý • Các đe dọa vật lý hoặc sự cố (accidental): là các mối đe dọa xảy ra đối với hạ tầng CNTT và TMĐT như hỏa hoạn, lũ lụt, thiên tai, động đất, sóng thần gây hậu quả không chỉ đối với an toàn thông tin mà còn gây hủy hoại tài sản, công trình, tính mạng con người • Ví dụ: cơn bão Morakot 2008 và các trận động đất lớn xảy ra tại khu vực Thái Bình Dương làm đứt cáp biển quốc tế SMW3, APCN, APCN-2, FEA, China US, EAC, C2C, gây mất liên lạc hầu hết các kênh kết nối trực tiếp từ Việt Nam đi Đài Loan, Nhật Bản, Hàn Quốc và một phần liên lạc hướng đi Mỹ. VNPT bị mất gần 6.200 Mbps dung lượng truyền dẫn quốc tế sử dụng cho dịch vụ viễn thông quốc tế như điện thoại, kênh thuê riêng, Frame Relay, VPN và Internet. Khoa TMĐT_ĐHTM 27 Các đe dọa đối với máy chủ • Máy chủ là liên kết thứ ba trong bộ ba máy khách – Internet – máy chủ, bao gồm đường dẫn giữa một người sử dụng và một máy chủ thương mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá hủy, hoặc thu được các thông tin một cách trái phép. • Ví dụ: vụ một hacker (X_Spider) đã tấn công vào máy chủ web của techcombank.com.vn và để lại thông báo cần phải sửa lỗi và không gây thiệt hại gì cho website này. X_Spider cho biết website phuthai... đã gặp lỗ hổng bảo mật, qua đó anh ta có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập "liên thông" (local attack) là có thể thực hiện được (nguồn: Vnexpress.net). Khoa TMĐT_ĐHTM 28 Các đe dọa đối với máy khách • Các chương trình gây hại được phát tán thông qua các trang web, có thể phát hiện ra số thẻ tín dụng, tên người dùng và mật khẩu. Những thông tin này thường được lưu giữ trong các tệp đặc biệt – gọi là cookie. Các cookie được sử dụng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên người dùng và mật khẩu. Nhiều nội dung động gây hại có thể lan truyền thông qua các cookie, chúng có thể phát hiện được nội dung của các tệp phía máy khách, hoặc thậm chí có thể hủy bỏ các tệp được lưu giữ trong các máy khách. • Ví dụ, một virus máy tính đã phát hiện được danh sách các địa chỉ thư tín điện tử của người sử dụng và gửi danh sách này cho những người khác trên Internet Khoa TMĐT_ĐHTM 29 Đe dọa đối với kênh truyền thông • Internet đóng vai trò kênh truyền thông. Các thông tin trên Internet được gửi đi theo các tuyến ngẫu nhiên, từ nút nguồn (node) tới nút đích. Các thông tin này đi qua một số máy tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theo những tuyến khác nhau. Hiện rất khó đảm bảo tất cả các thông tin gửi đi trên Internet đều an toàn. Một số kẻ trộm trên mạng có thể đọc các thông tin, sửa đổi, hoặc thậm chí có thể loại bỏ các thông tin ra khỏi Internet. Do vậy, các thông tin được gửi đi trên mạng thường bị xâm phạm đến tính bí mật, tính riêng tư và tính toàn vẹn. Khoa TMĐT_ĐHTM 30 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 6 Đe dọa đối với cơ sở dữ liệu • Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và nhận các thông tin về sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về s/phẩm, các CSDL có thể chứa các thông tin có giá trị khác. Hầu hết các hệ thống CSDL có quy mô lớn và hiện đại sử dụng cơ chế xác thực (tên người dùng + mật khẩu). Khi được xác thực, người sử dụng có thể xem các phần đã chọn trong CSDL. Y/c về tính bí mật đối với CSDL được đề cập thông qua cơ chế phân quyền được thiết lập trong CSDL. • Tuy nhiên, một số CSDL lưu giữ mật khẩu & tên người dùng không an toàn, hoặc dựa vào máy chủ Web để có an toàn. Khi máy chủ Web bị vi phạm, CSDL bị sử dụng bất hợp pháp, làm lộ bí mật thông tin cá nhân. Các Trojan horse nằm ẩn trong hệ thống CSDL cũng có thể làm lộ các thông tin bằng việc chuyển các thông tin nhạy cảm sang khu vuc it được bảo vệ của CSDL, do đó bất kì ai cũng có thể xem xét các thông tin này. Khi các thông tin bị làm lộ, các user, kẻ cả đối tượng xấu đều có thể truy nhập. Khoa TMĐT_ĐHTM 31 Tấn công Tấn công là hành động đe dọa cụ thể, • Liên quan đến 2 loại đe dọa (passive + active): 2 loại tấn công • Liên quan đến khía cạnh truyền thông tin an toàn: 4 loại Khoa TMĐT_ĐHTM 32 Mối liên quan kiểu tấn công và khía cạnh an toàn TT Khoa TMĐT_ĐHTM 33 Tấn công bị động Tấn công chủ động Khoa TMĐT_ĐHTM 34 Tấn công phát lại thông điệp • Tấn công phát lại là một hình thức tấn công mạng, trong đó việc truyền dữ liệu có giá trị bị mã độc hoặc gian lận lặp đi lặp lại hoặc trì hoãn. Điều này là do người khởi tạo hoặc đối thủ đã chặn các dữ liệu và tái truyền nó Ví dụ: Suppose in the communication of two parties A and B; A is sharing his key to B to prove his identity but in the meanwhile Attacker C eavesdrop the conversation between them and keeps the information which are needed to prove his identity to B. Later C contacts to B and prove its authenticity. Tấn công sửa đổi thông điệp Khoa TMĐT_ĐHTM 35 • Reply means that some portion of a legitimate message is altered, or that messages are delayed or reordered, to produce an unauthorized effect Ví dụ: C chặn các thông điệp A gửi cho B và ngăn không cho các thông điệp này đến đích. Sau đó C thay đổi nội dung của thông điệp và gửi tiếp cho B. B nghĩ rằng nhận được thông điệp nguyên bản ban đầu của A mà không biết rằng chúng đã bị sửa đổi. For example, a message meaning "Allow John Smith to read confidential file accounts" is modified to mean "Allow Fred Brown to read confidential file accounts." Tấn công từ chối dịch vụ • Tấn công DOS/DDOS: là sự nỗ lực làm cho tài nguyên của một máy tính không thể sử dụng được. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công DOS là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng có chủ ý của một hay nhiều người để chống lại các website, dịch vụ web vận hành trong tất cả, tạm thời hay một thời gian không xác định Khoa TMĐT_ĐHTM 36 HTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 7 Tấn công từ chối dịch vụ • Dấu hiệu (nhận biết) tấn công DOS: Theo US-CERT, các dấu hiệu sau để xác định một vụ tấn cống từ chối dịch vụ: ▫ Mạng thực thi chậm khác thường (mở file hay truy cập Website). ▫ Không thể dùng một Website cụ thể. ▫ Không có thể truy cập bất kỳ Website nào ▫ Tăng lượng thư rác nhận được (như một trận "boom mail") Khoa TMĐT_ĐHTM 37 Virus máy tính • Giống với “virus sinh học” là chương trình máy tính có khả năng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép, sửa đổi, xóa bỏ thông tin lưu trữ trong thiết bị số. Khoa TMĐT_ĐHTM 38 • Sâu máy tính (Worm): là các chương trình có khả năng tự nhân bản tự tìm cách lan truyền qua mạng hoặc thư điện tử. Ngoài tác hại lên máy bị nhiễm, worm còn phá các mạng thông tin, làm giảm khả năng hoạt động hoặc hủy hoại các mạng này. Worm được xem là một loại virus đặc biệt. Con ngựa thành Tơ-roa • Con ngựa thành Tơ-roa (Trojan horse): Đây là loại chương trình cũng có tác hại như virus, nhưng không phải là một loại virus bởi không có khả năng tự nhân bản, nhưng chính nó lại tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào các hệ thống máy tính. Cách lan truyền duy nhất là thông qua các thư dây chuyền. Nó cũng có thể phá hủy ổ cứng, hủy dữ liệu. Khoa TMĐT_ĐHTM 39 • Các chương trình gián điệp (spyware): là sử dụng các chương trình phần mềm, virus với mục đích xâm nhập trực tiếp vào hệ điều hành để nghe lén, xem trộm các thông tin có giá trị trên máy, mạng internet. Phising • Phising: hình thức thu thập thông tin nhạy cảm thông qua các thủ đoạn lừa gạt. Phishing là việc sử dụng một website lỗi (giả dạng như một site thân thiện) để thu thập các thông tin nhạy cảm từ phía người dùng như số thẻ tín dụng hoặc thông tin về tài khoản ngân hàng. Khi bị tấn công, người dùng không hề biết rằng các thông tin của họ sẽ được gửi đến một site mã độc. Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại. Khoa TMĐT_ĐHTM 40 Thư rác • Thư rác (spam) là thư điện tử, tin nhắn được gửi đến người nhận mà người nhận đó không mong muốn hoặc không có trách nhiệm phải tiếp nhận theo quy định của pháp luật (Điều 3, .15 Luật CNTT 2006). Khoa TMĐT_ĐHTM 41 Phần mềm quảng cáo • Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng. Khoa TMĐT_ĐHTM 42 DH M_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 8 Botnet • là những máy tính bị bắt cóc và điều khiển bởi người khác thông qua Trojan, virus... (một mạng lưới tập hợp những máy tính bị hacker kiểm soát). Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ thuật lập trình cao. Hậu quả của nó có thể là mất tài khoản, tài chính doanh nghiệp (nếu liên kết với một hệ thống máy tính lớn, nó có thể tống tiền cả một doanh nghiệp) Khoa TMĐT_ĐHTM 43 Keylogger • là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa. Khoa TMĐT_ĐHTM 44 rootkit • Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu các tiến trình đang chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản của Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng thành các driver hay các module trong nhân hệ điều hành (kernel module). Khoa TMĐT_ĐHTM 45 • Phần mềm ác tính (Malware - Crimeware): là một loại phần mềm hệ thống do các tin tặc hay tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các lọai phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc tấn công chiếm máy và lây lan sang các máy khác như là virus trong cơ thể của các sinh vật. Phần mềm ác tính còn có tên là ác liệu hoặc phần mềm độc hại. • “Bad applet”: có thể coi là những đoạn mã di động nguy hiểm (malicious mobile code), bởi khi người sử dụng tìm kiếm thông tin hoặc tải các chương trình từ một website có chứa bad applet, nó sẽ lây sang hệ thống của người sử dụng và ảnh hưởng tới các chương trình hoạt động trên hệ thống này. Khoa TMĐT_ĐHTM 46 Mã độc tống tiền (Ransomware) • Ransomware là loại phần mềm độc hại không chỉ nhắm đến máy tính chạy Windows mà đôi khi có thể nhắm đến máy tính Mac của Apple và nền tảng di động Android của Google. Ransomware sẽ yêu cầu người dùng trả tiền cho thủ phạm đứng sau loại mã độc này, đổi lại sẽ được thủ phạm cung cấp cách thức để giải mã các dữ liệu đã bị ransomware mã hóa hoặc cung cấp giải pháp để gỡ bỏ các phần mềm độc hại đang hoạt động trên thiết bị. • Virus Wannacry: phần mềm này mã hóa dữ liệu của người dùng, yêu cầu người dùng phải trả tiền chuộc bằng tiền ảo Bitcoin để có thể truy cập trở lại các dữ liệu đã bị mã hóa. Khoa TMĐT_ĐHTM 47 • Hacker (Hack) • Hack là hành động thâm nhập vào phần cứng máy tính, phần mềm máy tính hay mạng máy tính để thay đổi hệ thống đó. • Hacker là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. • Hacker mũ trắng chỉ những người mà hành động thâm nhập và thay đổi hệ thống của họ được xem là tốt, ví dụ chuyên gia bảo mật, lập trình viên, quản trị mạng máy tính. • Hacker mũ đen chỉ những người mà hành động thâm nhập là có mục đích phá hoại, hoặc vi phạm pháp luật. • Ngoài ra còn có hacker mũ xanh (blue hat), mũ xám (grey hat)... Khoa TMĐT_ĐHTM 48 DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 9 Khoa TMĐT_ĐHTM 49 Threat assessment comprises strategies or pathways used to determine the credibility and seriousness of a potential threat, as well as the likelihood that it will be carried out in the future Mô hình DREAD • Mô hình DREAD của Microsoft: DREAD là một phần của một hệ thống phân loại các mối đe dọa bảo mật máy tính được sử dụng tại Microsoft để phân tích đánh giá các đe dọa và các rủi ro. • Damage potential (thiệt hại tiềm ẩn) tổn thất ở mức độ nào nếu một lỗ hổng bị khai thác? • Reproducibility (Lặp lại): Mức độ lặp lại tấn công dễ dàng hay không? • Exploitability (khai thác lỗ hổng): Khả năng khai thác lỗ hổng để bắt đầu một tấn công? • Affected users (người bị ảnh hưởng): ai bị ảnh hưởng và những người nào bị ảnh hưởng? • Discoverability (khả năng phát hiện): mức độ phát hiện/tìm ra lỗ hổng dễ hay khó? Khoa TMĐT_ĐHTM 50 Rating High (3) Medium (2) Low (1) D (Damage potential) Kẻ tấn công có thể phá vỡ hệ thống an ninh; get full trust authorization; run as administrator; upload content. Rò rỉ thông tin nhạy cảm (Leaking sensitive information) Rò rỉ thông tin bình thường (Leaking trivial information) R Reproduc ibility Tấn công có thể tái lặp mọi lúc (The attack can be reproduced every time and does not require a timing window). Tấn công có thể được tái lặp chỉ với một cửa sổ thời gian (The attack can be reproduced, but only with a timing window and a particular race situation). Tấn công khó được tái lặp (The attack is very difficult to reproduce, even with knowledge of the security hole). E Exploitab ility Một tập sự viên có thể tấn công trong t/g ngắn (A novice programmer could make the attack in a short time). Một lập trình viên lành nghề có thể tạo ra một tấn công, sau đó lặp lại từng bước A skilled programmer could make the attack, then repeat the steps. The attack requires an extremely skilled person and in-depth knowledge every time to exploit. Khoa TMĐT_ĐHTM 51 Bảng mô tả DREAD Rating High (3) Medium (2) Low (1) A Affected users All users, default configuration, key customers Some users, non-default configuration Very small percentage of users, obscure feature; affects anonymous users D Discovera bility Thông tin được công bố giải thích cuộc tấn công. Published information explains the attack. The vulnerability is found in the most commonly used feature and is very noticeable. Lỗ hổng nằm trong bộ phận của sản phẩm hiếm được sử dụng và chỉ có 1 số ít người dùng đi qua nó (The vulnerability is in a seldom- used part of the product, and only a few users should come across it. It would take some thinking to see malicious use). Lỗi là khó nhìn thấy, và không chắc chắn người dùng sẽ thực hiện hành vi phá hủy (The bug is obscure, and it is unlikely that users will work out damage potential). Khoa TMĐT_ĐHTM 52 Bảng mô tả DREAD Confidentiality (Read) Integrity (Write) Availability (access) 5 – Critical Data Elements* -SSN, CreditCard, Passwords Data Elements -SSN, CreditCard, Bank Account # Domain Control: 4 – High Data Elements -Bank Acct #, - (as defined} Data Elements -(as defined} Moderate Host Control: 3- Moderat e Data Elements -(as defined} Data Elements -(as defined} Partial Denial: 2 – Minor Data Elements -(as defined} Data Elements -(as defined} Degradation 1 – Trivial Data Elements -(as defined} Data Elements -(as defined} Nuisance: Damage Tính bí mật, toàn vẹn Tính sẵn sàng 5 Admin All 4 Power Users Most 3 Group Many 2 User Few 1 Public None Những người bị ảnh hưởng Khả năng lặp lại Mức độ Mô tả 1 – Phức tạp Việc tấn công là rất khó khăn, thậm chí với tội phạm CNTT chuyên nghiệp 2 – Trung bình The attack can be reproduced, but only with a timing window and a particular race situation 3 – Đơn giản The attack can be reproduced every time and does not require a timing window DHTM_TMU Của SV: ............................................. 8/6/2017 Bài giảng ATTT&QTRR trong TMĐT 10 Khả năng khai thác lỗ hổng Giá trị Mô tả 1-Chuyên gia The exploit is unpublished, difficult to execute and requires significant insider knowledge and technical expertise or multiple vulnerabilities must be exploited before any impact can be realized. 2-Bán chuyên gia The exploit is unpublished, difficult to execute and requires significant insider knowledge or technical expertise. 3-Adept The exploit is known (including technical and/or insider information) but is difficult to execute and no exploit code is available. 4-Novice The exploit is well known and automated script has been provided that script-kiddies can run to exploit the vulnerability. Khả năng phát hiện lỗ hổng Mức độ Mô tả 1-Khó The vulnerability is obscure, and it is unlikely that users will work out damage potential 2-Trung bình The vulnerability is in a seldom-used part of the product, and only a few users should come across it. It would take some thinking to see malicious use 3-Rễ Published information explains the attack. The vulnerability is found in commonly used features and is very noticeable Mô hình INFOCONs (Information Operations Condition) • INFOCON là hệ thống mức đe dọa tại Hoa Kỳ tương tự hệ điều kiện bảo vệ quốc phòng FPCON. Nó là hệ thống phòng thủ dựa trên hiện trạng các HTTT và được sử dụng bởi BQP trong chống lại các tấn công mạng máy tính. INFOCON có 5 mức: ▫ INFOCON 5: mô tả tình huống mà không có hoạt động thù địch rõ ràng đối với mạng máy tính. Sự vận hành của tất cả các HTTT được giám sát, và các hệ thống mật khẩu được sử dụng như một phân tầng bảo vệ (layer of protection). ▫ INFOCON 4: mô tả gia tăng nguy cơ các tấn công. Tăng cường giám sát tất cả các hoạt động mạng là bắt buộc, và tất cả cơ quan bảo vệ người dùng cuối cùng phải bảo đảm rằng các hệ thống của họ là an toàn. Người dùng Internet có thể bị hạn chế truy cập website CP, và sao lưu các tệp tin tới phương tiện di động là lý tưởng. Khoa TMĐT_ĐHTM 57 Mô hình INFOCONs (Information Operations Condition) • INFOCON 3: mô tả khi một đe dọa đã được nhận biết. Đánh giá ATTT các hệ thống quan trọng là một ưu tiên. Hệ thống cảnh báo của mạng máy tính quốc phòng được gia tăng. Cần ngắt tất cả các kết nối dial-up không phân loại. • INFOCON 2: mô tả khi một tấn công đã diễn ra nhưng hệ thống mạng máy tính quốc phòng không được cảnh báo ở mức cao nhất. Các mạng không cần thiết có thể offline, và các phương pháp truyền thông thay thế có thể được thực hiện. • INFOCON 1: mô tả khi các tấn công đang diễn ra và hệ thống mạng máy tính quốc phòng đang ở mức cảnh báo cao nhất. Bất kỳ hệ thống tổn hại nào bị cô lập từ phần còn lại của mạng. Khoa TMĐT_ĐHTM 58 Mô hình ThreatCon ThreatCon là một hệ thống được sử dụng bởi công ty Symantec để đánh giá mức độ nguy hiểm khai thác một phần mềm hoặc một mạng trên mạng Internet và mạng truyền thông. Bốn mức độ của ThreatCon là: ▫ Level 1/4 mô tả một tình huống mà không có mối đe dọa của đoạn mã nguy hiểm hoặc khai thác có thể ảnh hưởng mạng toàn cầu. Các biện pháp phòng ngừa duy nhất cần thiết là các hệ thống an ninh cơ bản có thể phát hiện và loại bỏ những lỗi đơn giản mà không có mối đe dọa nghiêm trọng. ▫ Level 2/4 mô tả tình huống một khai thác quan tâm vừa phải là rõ ràng và các hệ thống tiếp xúc có thể bị tổn thương. Cập nhật phần mềm bảo mật với xác định virus mới là một ưu tiên. Khoa TMĐT_ĐHTM 59 Mô hình ThreatCon ▫ Level 3/4 mô tả một tình huống mà một mối đe dọa được biết đến hoặc sắp xảy ra hoặc bắt đầu ảnh hưởng đến mạng lưới toàn cầu. Cập nhật thông tin virus mới và các quy tắc là bắt buộc, và giám sát tăng cường là cần thiết cũng như cấu hình lại các thiết lập bảo mật và tường lửa ▫ Level 4/4 mô tả một tình huống khi một mối đe dọa đã biết đến dưới hình thức đoạn mã độc hại hoặc sự khai thác đang tiến hành và ảnh hưởng nghiêm trọng mạng toàn cầu. Thực hiện các biện pháp chống lại mối đe dọa ở cấp độ này rất có thể sẽ ảnh hưởng và gây khó khăn cho cơ sở hạ tầng điện toán toàn cầu Khoa TMĐT_ĐHTM 60 DHTM_TMU