Nguy cơ mất An ninh, an toàn trong dữ liệu và một số giải pháp khắc phục

Nguy cơ mất An ninh, an toàn trong dữ liệu và một số giải pháp khắc phục

NGUY CƠ MẤT AN NINH, AN TOÀN

MẤT AN NINH THÔNG TIN ?

Thông thường, một trong các tình huống sau đây được coi là mất an ninh an toàn cho hệ thống thông tin dữ liệu :

1 Thông tin, dữ liệu trong hệ thống bị lộ lọt, truy nhập, lấy cắp, nghe lén và sử dụng trái phép (thông tin bị rò rỉ, lộ bí mật);

2 Thông tin, dữ liệu trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin thiếu xác thực, toàn vẹn và thiếu tin cậy);

3 Thông tin, dữ liệu không đảm bảo hoặc không được cam kết về

pháp lý của người cung cấp; thông tin, dữ liệu không mong muốn

bị tán phát hoặc hệ thống bị tấn công mà không được, không thể

kiểm soát (tính pháp lý và an ninh hệ thống…);

4 Thông tin, dữ liệu không đảm bảo tính thời gian thực, hệ thống

hay bị sự cố, ngưng trệ, hỏng hóc; truy cập, khai thác khó khăn

(tính kém sẵn sàng của hệ thống ).

NỘI DUNG

1 THỰC TRẠNG VÀ CON SỐ

2 MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Tổng quan về an toàn thông tin (ATTT) và một số số liệu

2a Trường hợp Wikileaks

Làm cách nào để đảm bảo an toàn cho mạng không dây?

Làm sao để biết được đã bị

về ATTT

Format ổ đĩa cứng có xóa

sạch được dữ liệu không ?

Làm cách nào để trao đổi

dữ liệu an toàn qua Internet?

LAN Application Server Database Server Mainframe

Web Server FTP Server Mail Server

DMZ

Internal User Internal User Internal User

WEB

Firewall VPN Gateway Remote User

Cách bố trí tưởng như mọi thành phần được xem như đủ an toàn ?

Nguy cơ từ việc phân quyền và xác thực người dùng

Theo báo cáo về vi phạm dữ liệu từ Verizon (US Secret Service) năm 2010 cho thấy các dữ liệu bị vi phạm ghi nhận chủ yếu liên quan đến các nguy

cơ từ nội bộ, các hình thức lừa đảo bằng kỹ năng xã hội (Social Engineering) và sự tham gia của các tổ chức tội phạm.

Cụ thể như sau:

‹ Có tới 49% các vi phạm là từ phía trong nội

bộ.

‹ Nhiều vi phạm liên quan đến lạm dụng, lợi

dụng đặc quyền, trong đó 48% là do người

dùng, 40% là hacking, 28% là Social

Engineering.

Cũng theo báo cáo từ Verizon thì ngoài các nguy cơ mất ATTT từ

Malware, Hacking, Social thì nguy cơ từ việc lạm dụng quyền (Misuse)

là rất cao

Báo cáo dữ liệu rò rỉ bởi ITRC (2010) theo lĩnh vực thì tài chính/ngân hàng và khối cơ quan, tổ chức doanh nghiệp vẫn là nơi có nhiều nguy

Ở Việt Nam:

‰ 1997 với Nghị định 21?NĐ‐CP : quản đến đâu, mở đến đó : 300  ngàn users

‰ 2001 với Nghị định 55/CP : quản lý theo kịp sự phát triển : 

10/2010 >26,8 triệu Users

‰ Gần 50 triệu thuê bao di động

‰ Wifi, Wimax, thông tin vệ tinh, UHF, VHF

Ở Việt Nam:

‹ Nguy cơ mất an toàn thông tin ở Việt Nam đang tăng lên khi nằm trong trong tổng số 10 nước có nguy cơ mất an toàn thông tin cao nhất trong năm 2010 (dựa trên các bản báo cáo tổng hợp về

an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint…)

‹ Việt Nam đứng thứ 5 sau Trung Quốc, Nga, Ấn Độ và Mỹ vềmức độ rủi ro mà ở đó người sử dụng và các nhà cung cấp dịch

vụ Internet có thể bị tấn công 5 quốc gia còn lại gồm Đức, Malaysia, Pháp, Ukraine và Tây Ban Nha

Ở Việt Nam:( )

Trong các sự kiện về ATTT nổi bật năm 2010 thì có:

‹ Tấn công mạng nở rộ: các cuộc tấn công trên mạng chủ yếu có mục đích hằn thù, vụ lợi, có tổ chức và mang tính quốc tế đang nở rộ với quy mô lớn

‹ Tán phát tài liệu không được hoan nghênh; ăn cáp tài khoàn; chuyển tiền, rửa tiền; Lừa đảo trực tuyến bằng email (kể cả email tiếng Việt)

đã bắt đầu xuất hiện và phát tán mạnh; xâm phạm đời tư công dân…

‹ Thông rin di động, thông tin vệ tinh được nhắc đến như lĩnh vực phát triển nhanh và đảm bảo an ninh thông tin rất khó khăn, khó kiểm soát

‹ Việt Nam được liên tục nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và các hãng bảo mật với thực trạng là quốc gia phát tán nhiều thư rác và tấn công botnet

Ở Việt Nam:( )

Trước nguy cơ mất ATTT ngày càng tăng, các tổ chức, cơ quan,

doanh nghiệp đã phải gia tăng đầu tư cho vấn đề này, cụ thể:

‹ Có 47% đơn vị cho biết tăng chi phí đầu tư trong năm 2010 (so

với 37% trong năm 2009)

‹ Tuy nhiên, sự đầu tư đó vẫn chưa thực sự có hiệu quả khi mà 2/3

doanh nghiệp được hỏi nói rằng họ không biết và cũng không cóquy trình phản ứng lại các cuộc tấn công máy tính

‹ Nguy hiểm hơn là trên 50% tổ chức, cơ quan, doanh nghiệp

không hoặc không biết xây dựng các quy trình phản ứng hay không có quy trình phản ứng (tỷ lệ này năm 2009 chỉ là 38%)

Cá nhân được quyền hạng truy cập những thông tin

nhạy cảm

VD: người điều hành tình báo quân sự

Who

Thông tin nằm trong cơ sở hạ tầng được bảo mật cao Where

Qua giai đoạn thời gian dài Các truy cập ban đầu đều

Qua công cụ lưu trữ ngoại vi, dạng tài liệu in ấn What

Từ user có thẩm quyền (Privilege User)

Phân tích trường hợp Wikileaks (1/3)

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Từ user kinh doanh (Business User)

Là cá nhân quản lý các thông tin VIP

VD: Quản lý Công ty bảo hiểm Thụy Sỹ đưa thông tin

khách hàng lên Wiki Leaks

Who

Thông tin nằm trong cơ sở hạ tầng được bảo mật cao Where

Qua giai đoạn thời gian dài Các truy cập ban đầu đều

được cho phép

When

Truy cập trực tiếp vào hệ thống thông tin được bảo mật How

Qua công cụ lưu trữ ngoại vi, dạng tài liệu in ấn What

Phân tích trường hợp Wikileaks (2/3)

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Từ user ứng dụng (application User)

Cá nhân sử dụng và quản lý dữ liệu quan trọng (Tài chính, nhân lực)

VD: Dữ liệu ổ cứng của 1 ngân hàng Mỹ đang được thông báo là

nằm trong tay Wiki Leaks

Who

Tài sản IT thanh lý, được nâng cấp/sửa chữa Where

Dữ liệu trong ổ cứng chưa được quét sạch hoàn toàn Những dữ

liệu mã hóa vẫn có thể bị hack

How

Do sự không chủ đích từ phía người sử dụng dữ liệu, với ý đồ có

sắp xếp từ thủ phạm

Why

Ổ cứng di động, Băng từ back-up, usb, CD/DVD, công cụ lưu trữ… What

Phân tích trường hợp Wikileaks (3/3)

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Phân Loại Dữ Liệu Phân Loại Dữ Liệu

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Dữ liệu được sử dụng, trung chuyển giữa hai nút mạng (network node)

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

như những tài sản, đồ đạc trong ngôi nhà

: xây dựng những bức tường tông kiên cố; trang bị hệ thống khóa tối tân; Chìa khóa cất vào nơi

bê-an toàn; chỉ giao cho ng ười tin cậy…??? Chưa đủ an toàn,Î sử dụng thẻ từ (access control…???

Bẻ khoá ? Nếu chìa khóa rơi vào tay

kẻ trộm,hệ thống hiện tại lại không

đủ khả năng so sánh nhận dạng kẻ trộm và biết được hắn đã làm gì trong ngôi nhà của mình…

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

hệ thống

ƒ Ghi chép và báo cáo lượng truy cập (ra /vào) hệ thống)

ƒ Hệ thống CCTV cho phép biết được những user đã làm gì trong ngôi nhà dữ liệu đó

ƒ Đối với việc điều tra: Hệ thống an toàn có thể cho phép

dễ dàng tìm kiếm và zoom-in vào các trường hợp khả nghi

ƒ Đối với việc hạn chế tội phạm công nghệ cao: Các cảnh báo

về các trường hợp nghi phạm phải được cung cấp kịp thời tới các quản lý CNTT

Dữ liệu không còn được sử dụng nữa, nằm trong các phương tiện lưu trữ thanh lý

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Ví dụ của một văn phòng : trang bị máy photocopy, máy in máy fax, máy điện thoại; máy xén giấy.

Cơ sở phân tích:

Q: Đối tượng “Máy xén giấy”?

A: Mục địch của việc huỷ không nhằm tới những giấy tờ; mà là NỘI DUNG, Dữ LIệu được lưu trữ trong những tài liệu in ấn đó.

Q: Tài liệu in có phải NGUỒN TRỮ DỮ LIỆU DUY NHẤT ?

A: KHÔNG! Các công cụ lưu trữ dữ liệu thưường thấy: Ổ cứng, USB, Băng từ Back-up…

CẦN ứng dụng phương pháp “Máy xén giấy” với tất cả những NGUỒN TRỮ DỮ LIỆU nếu như không còn sử dụng nữa

CẦN ứng dụng phương pháp “Máy xén giấy” với tất cả những NGUỒN TRỮ DỮ LIỆU nếu như không còn sử dụng nữa

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

Trường hợp cảnh sát Brandenburg, nước Đức

• Ổ cứng cũ được rao bán trên eBay

• Thông tin hồi phục được từ Ổ cứng

Miêu tả phương thức để cảnh sát phản ứng tới từng trường hợp bắt cóc con tin cụ thể

thuộc nhóm quản lý khủng hoảng

MỘT SỐ TÌNH HUỐNG VÀ PHÂN TÍCH

BlueCross BlueShield of Tennessee

(Công ty bảo hiểm BCBS, Tennessee)

Stolen Computers Trigger a Big  Financial Bite and Public  Relations Nightmare

Trường hợp:

Tháng 10 năm 2009, 57 máy tính chứa các thông

tin cá nhân của 500,000 khách hàng BCBS (bao

gồm mã số bảo hiểm, số ID, các chuẩn đoán bệnh

lý) Điểm đáng lưu ý là tất ả các máy tính này hiện

đã không còn được sử dụng và đang lưu trữ

trong nhà kho chờ trả lại cho nhà cung cấp theo

hợp đồng thu mua trước đó.

MỘT SỐ GIẢI PHÁP (1/4)

‰ Giảm thiểu nguy cơ từ cơ sở hạ tầng kỹ thuật : Xác đinh

nguồn và nguyên nhân gây mất ATTT và ứng dụng các giải pháp kỹ thuật tương ứng

‰ Trong sạch và nâng cao chất lượng nguồn nhân : lựa chọn

nhân lực quản trị và vận hành hệ thống, đào tạo và nâng cao ý thức người sử dụng.

‰ Hành lang pháp lý: chính sách ANAT thông tin; xây dựng và áp

dụng các chế tài, ban hành các quy chế, quy định, thẩm quyền

khai thác, sử dụng thông tin.

‰

Các giải pháp nền tảng:

‹ Kiểm tra mức độ an ninh của các thành phần tham gia hệ thống Cụ thể như: kiểm tra các lỗ hổng an ninh đối với toàn bộ hệ thống, kiểm tra các phần mềm cài cắm nghe lén, kiểm tra phát hiện cài cắm rệp điện tử,

‹ Bảo mật, xác thực các thông tin dữ liệu tại chỗ cũng như trong quá trình giao dịch, trao đổi Cụ thể: Sử dụng các kỹ thuật mã hóa, xác thực mạnh có độ tin cậy cao.

Các giải pháp kỹ thuật cụ thể:

MỘT SỐ GIẢI PHÁP (2/4)

‹ Sử dụng các hệ thống kỹ thuật để bảo vệ hệ thống thông tin : sử dụng hệ thống phát hiện và chống xâm nhập, chống nghe lén, phá hoại và ăn cắp thông tin dữ liệu

‹ Sử dụng các hệ thống thiết bị, phần mềm chất lương cao ,

ổn định Trang bị các hệ thống dự phòng, hệ thống chống sốc điện, thiên tai, thảm họa,

‹ Giải pháp máy xén giấy cho các thiết bị lưu trữ thông tin

đã qua sử dụng khi cần thanh lý hoặc bị hư hỏng

Các giải pháp đảm bảo ATTT hệ thống:

MỘT SỐ GIẢI PHÁP (1/4)

MỘT SỐ SẢN PHẨM KHUYẾN NGHỊ

‰ Theo dõi đầy đủ từng hoạt động của mỗi user

‰ Quản lý chủ động tới từng thành viên nhờ hệ thống cảnh báo

tự động và thiết lập quy chuẩn phù hợp với tổ chức

‰ Cho phép điều tra tận gốc và đưa ra bằng chứng không thể

chối cãi

MỘT SỐ SẢN PHẨM KHUYẾN NGHỊ

‰ Giải pháp quét sạch dữ liệu dựa trên hệ quy

chuẩn được công nhận bởi NSA

‰ Cho phép hủy hoàn toàn những dữ liệu trong

công cụ lưu trữ cần thanh lý (khử từ, hủy vật lý theo tiêu chuẩn NSA)

Giải pháp “Máy xén giấy” khử từ và huỷ dữ liệu