Dựa trên các kết quả dò quét lỗ hổng, hệ thống có thể đưa ra được bản đánh giá chi tiết các nguy cơ tiềm ẩn mà hệ thống có thể gặp phải, giúp các tổ chức giảm thiểu rủi ro và nguy cơ về
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VIỆT DŨNG
NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT
LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN
Ngành: Hệ thống thông tin
Chuyên ngành: Quản lý hệ thống thông tin
Mã Số: 8480205.01
TÓM TẮT LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội - 2021
Trang 2Chương 1: Giới thiệu
Luận văn tập trung hướng đến nghiên cứu, tìm hiểu các công nghệ và kỹ thuật dò quét lỗ hổng ATTT, từ đó phát triển
hệ thống thử nghiệm phát hiện những lỗ hổng bảo mật của hệ thống bao gồm cả thiết bị mạng và phần mềm ứng dụng Việc
dò quét lỗ hổng sẽ được kết hợp cả phương pháp kiểm thử hộp trắng lẫn kiểm thử hộp đen và sử dụng tập dữ liệu mẫu dò quét
đã được cộng đồng nghiên cứu về ATTT công bố Dựa trên các kết quả dò quét lỗ hổng, hệ thống có thể đưa ra được bản đánh giá chi tiết các nguy cơ tiềm ẩn mà hệ thống có thể gặp phải, giúp các tổ chức giảm thiểu rủi ro và nguy cơ về ATTT Luận văn được trình bày trong 4 chương
Chương 1 trình bày về cơ sở lý thuyết phục vụ công tác đánh giá, quản lý rủi ro ATTT Nghiên cứu đánh giá bao gồm các chuẩn quốc tế về đánh giá ATTT trong đó tập trung nghiên cứu, đánh giá khái quát bộ tiêu chuẩn quốc tế, các yêu cầu về hệ thống quản lý rủi ro và an toàn thông tin
Chương 2 trình bày nêu ra yêu cầu bài toán về xây dựng bộ giải pháp về đánh giá, dò quét lỗ hổng về ATTT của các hệ thống Từ đó đặt ra giải pháp xây dựng phần mềm với các chức năng dò quét từ xa lỗ hổng dẫn đến rủi ro ATTT Mô tả khung kiến trúc tổng thể giải pháp và chi tiết các thành phần Bên cạnh đó cũng có đánh giá, so sánh với các giải pháp hiện đang
có làm sở cứ lựa chọn nền tảng cho ứng dụng
Trang 3Chương 3 trình bày chi tiết về xây dựng hệ thống triển khai, bao gồm môi trường phát triển, các thư viện nền tảng nhằm giải quyết được yêu cầu đặt ra Bên cạnh đó, nhóm nghiên cứu chúng tôi thực hiện phối hợp, xây dựng các module trong bộ
hệ thống tổng thể có khả năng thực hiện dò quét, đánh giá lỗ hổng dẫn đến rủi ro ATTT
Chương 4 trình bày chi tiết về thực nghiệm và đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển và các thông tin chung trên hệ thống Tiến hành thực nghiệm dò quét trên một số máy chủ web, từ đó đưa ra được kết quả và đánh giá giải pháp Bên cạnh đó cũng thực hiện so sánh với một số sản phẩm thương mại đang cung cấp trên thị trường hiện nay
Chương 2: Giải pháp dò quét lỗ hổng bảo mật
2.1 Bài toán đặt ra
Phần 2.1 trình bày về bài toán đặt ra, trong đó xác định các rủi ro lỗ hổng ATTT được chúng tôi khoanh phạm vi trước mắt trong khuôn khổ đề tài này là: Dò quét các lỗ hổng các hệ hệ thống có nguy cơ mất an toàn bảo mật qua các cổng port trên máy chủ
Ngoài ra, yêu cầu thiết kế mô-đun của hệ thống dò quét phải đảm bảo những phương pháp, kỹ thuật sau:
- Các kỹ thuật quản lý và xử lý dữ liệu lớn chứa các mẫu thử lỗ hổng
Trang 4- Các kỹ thuật đánh chỉ mục động và tìm kiếm nhanh để cho phép những dữ liệu rủi ro ATTT mới được thu thập cũng phải được đánh chỉ mục ngay và các thuật toán tìm kiếm phải xử lý trên cả những dữ liệu mới được đánh chỉ mục này
- Các giải pháp kỹ thuật dò quét lỗ hổng mạng
2.2 Phương pháp giải quyết bài toán
Phần 2.2 trình bày về hướng đi cho bài toán nhằm xây dựng
hệ thống thực hiện nhiệm vụ dò quét, xác định rủi ro ATTT dựa theo phương pháp kiểm tra các lỗ hổng bảo mật, được xây dựng
từ các CSDL về lỗ hổng Phân hệ này sẽ hỗ trợ các việc xác định rủi ro từ bên ngoài lẫn hỗ trợ khả năng dò quét “sâu” hơn thông qua việc sử dụng tài khoản đã được cấp để phát hiện được những
lỗ hổng của hệ thống
Từ đó đề xuất xây dựng hệ thống phần mềm vScanner đảm nhiệm công việc dò quét các lỗ hổng dẫn đến rủi ro ATTT trong các hệ thống CNTT, bao gồm các máy tính và thiết bị mạng trong hạ tầng mạng, các phần mềm ứng dụng thông dụng tại các máy tính đó
2.3 Kỹ thuật phân tích, đánh giá rủi ro ATTT
Phần 2.3 trình bày các ký thuật phân tích đánh giá rủi ro hệ thống Trong đó có :
Phương pháp dánh giá rủi ro theo chuẩn Open Web
Application Security Project (OWASP): Trình bay chi tiết
phương pháp xác định mức độ rủi ro theo “Likelihood” (khả năng) và “Impact” (tác động) cho bảo mật ứng dụng
Phương pháp chấm điểm lỗ hổng bảo mật CVSS: Được chấm điểm bằng tiêu chuẩn CVSS (Common Vulnerability
Trang 5Scoring System) Đầu ra của CVSS là các điểm số cho thấy mức
độ nghiêm trọng của lỗ hổng so với các lỗ hổng khác
2.4 Trình bày một số kỹ thuật dò quét lỗ hổng hệ thống thông tin
Phần 2.4 trình bày một số kỹ thuật và các bước thực hiện dò quét lỗ hổng bảo mật
Dò quét mạng: Trình bày kỹ thuật dò quét các cổng mạng
để xác định tất cả các máy chủ được kết nối trong hệ thống mạng, xác định các dịch đang hoạt động trên máy chủ đó
Dò quét lỗ hổng: Trình bày kỹ thuật dò quét các lỗ hổng bảo
mật tồn tại trên các máy chủ dịch vụ Trong đó giới thiệu về các
kỹ thuật đươc sử dụng:
• Truy vết hệ điều hành
• Xác định lỗ hổng bảo mật
• False-Positive
• Xây dựng báo cáo về lỗ hổng bảo mật
2.5 Đánh giá và lựa chọn công nghệ xây dựng công cụ dò quét
Phần 2.5 trình bày sơ lược một số giải pháp mã mở để phân tích và lựa chọn giải pháp tích hợp
2.5.1 OpenVas
Phần 2.5.2 trình bày về trình quản quét lỗ hổng mã nguồn
mở OpenVAS
Kiến trúc hệ thống OpenVas : Trình bày mô hình kiến trúc
và các thành phần Phần thứ nhất là các công cụ và dịch vụ cập nhật các bài kiểm tra lỗ hổng vào CSDL của OpenVAS, hai là dịch vụ quét
Trang 6Các thành phần của OpenVas : Trình bày các thành phần
của hệ thống OpenVAS có các thành phần chính như sau: Greenbone Greenbone Security Assistant (GSA), Greenbone Vulnerability Manager (GVMd), OpenVAS Scanner
2.5.2 Metasploit Framework
Phần 2.5.2 trình bày về dự án mã nguồn mở về lĩnh vực bảo mật thông tin
Các tính năng chính:
- Xác định các dịch vụ đang hoạt động trên máy chủ thông qua cơ chế dò quyét cổng
- Xác định lỗ hổng dựa trên phương thức dò quét, xác định các phiên bản của phần mềm, hoặc hệ điều hành của máy chủ
- Kiểm thử đánh giá, khai thác các lỗ hổng đã được xác định
Các thành phần chính:
Hỗ trợ đa dạng các loại giao diện cho người sử dụng, trong đó:
- Giao diện console: Dùng msfconsole.bat để sử dụng các dòng lệnh phục vụ cấu hình, kiểm tra nên nhanh hơn và mềm dẻo hơn
- Giao diện Web: Cung cấp giao diện môi trường web cho người dùng dễ thao tác
2.5.3 Nessus
Phần 2.5.2 trình bày về Nessus giải pháp được đánh giá hàng đầu về dò quét, đánh giá lỗ hổng và thực hiện kiểm thử hệ thống
Một số phiên bản mở rộng của giải pháp:
- Tenable.io
Trang 7- Nessus Agents
- Nessus Professional
Mô tả các chức năng của plugin:
- Kiểm tra các dịch vụ đang chạy trên cổng nào và thông tin tin hệ điều hành
- Kiểm tra các lỗ hổng có thể gặp đối với các dịch vụ của
hệ thống
- Kiểm tra tính đáp ứng các tiêu chuẩn bảo mật của hệ thống
- Tùy biến các Plugin để xây dựng riêng các bộ tiêu chuẩn riêng, phù hợp với các chính sách, quy định của tổ chức
2.5.4 Lựa chọn giải pháp
Phần 2.5.4 trình bày về giải pháp được lựa chọn để dùng cho phát triển hệ thống dò quét lỗ hổng bảo mật
Trình bày lý do để lựa chọn giải pháp phù hợp để xây dựng
hệ thống dò quét lỗ hổng bảo mật Nêu ra các điểm mạnh, điểm yếu của từng giải pháp : OpenVas, Nessus, Metasploit, từ đó làm căn cứ xây dựng công cụ dò quét trên nên tảng mã nguồn
mở
2.6 Tổng kết chương
Phần 2.6 trình bày về các nộidung tổng kết chương 2 Trong chương này chúng tôi đã đưa thực trạng hiện nay về vấn đề rủi
ro trong đảm bảo an toàn thông tin của các tổ chức, đơn vị Từ
đó đưa ra được hướng đi để giải quyết bài toàn đặt ra Với phạm
vi đánh giá rủi ro về an toàn thông tin là rất rộng, do đó chúng tôi tập trung vào xây dựng giải pháp dò quét lỗ hổng bảo mật các hệ thống thông tin của đơn vị, tổ chức Trong phạm vi chương này, chúng tôi đề xuất xây dựng giải pháp phần mềm
Trang 8vScanner dùng cho dò quét từ xa các lỗ hổng của hệ thống, phục
vụ cho việc đánh giá rủi ro về bảo mật an toàn thông tin
Chương 3: Xây dựng hệ thống đánh giá, dò quét lỗ hổng vScanner
3.1 Xây dựng hệ thống
Phần 3.1 trình bày chi tiết về cài đặt, xây dựng hệ thống triển khai phát triển Trong đó bao gồm việc dựng môi trường và các thư viện nền tảng
3.1.1 Môi trường phát triển
Phần này tình bày về môi trường phát triển cho giải pháp và cấu hình hệ thống máy chủ dùng cho triển khai
3.1.2 Cài đặt thư viện nền tảng
Phần 3.1.2 mô tả chi tiết công tác cài đặt các thư viện nền tảng cùng các gói cần thiết để dựng khung hệ thống back-end
3.2 Xây dựng các mô-đun với các thư viện nền tảng hệ thống
Phần 3.2 trình bày chi tiết về xây dựng các mô-đun phát hiện nguy cơ lỗ hổng và mô-đun dò quét lỗ hổng bảo mật của các hệ thống thông tin
3.2.1 Mô-đun phát hiện nguy cơ, lỗ hổng dựa trên CSDL mẫu thử
Phần 3.2.1 trình bày về ngôn ngữ kịch bản NASL để tiến hành tích hợp công cụ openvas-nasl để có thể dò quét, phát hiện
lỗ hổng bảo mật trong một host
Trang 9Trình bày các bước xây dựng một NVT (Network Vulnerability Tests)
3.2.2 Mô-đun dò quét lỗ hổng hệ thống thông tin
Phần 3.2.2 trình bày phương pháp thực thi mẫu dò quét NVT đối với một host
3.3 Xây dựng mô-đun quản lý tác vụ xác định rủi ro
Phần 3.3 trình bày chi tiết các bước xây dựng các mô-đun cho các tác vụ xác định và quản lý rủi ro an toàn thông tin Các chức năng chính của mô-đun bao gồm:
- Chức năng quản lý các tác vụ dò quét để thu thập rủi ro ATTT
- Chức năng quản lý thực thi các tiến trình vScanner tương ứng với các tác vụ dò quét
- Chức năng lập lịch thi hành và quản lý lịch thi hành tiến trình dò quét rủi ro ATTT
Xác định vai trò người dùng trong chức năng quản lý:
- Khách (Guest): Đóng vai trò khách của hệ thống, được phép đăng nhập nhưng chỉ có quyền đọc Không có quyền ghi cập nhật dữ liệu
- Quan sát (Observer): Vai trò được phép đăng nhập, hệ thống Chỉ được xem các danh mục tác vụ dò quét xác định rủi ro
- Đánh giá, dò quét rủi ro ATTT (Assessment): Được phép đăng nhập hệ thống và có đầy đủ quyền của người dùng dạng Quan sát kết quả đánh giá, dò quét rủi ro ATTT Được cấp quyền tạo mới, cập nhật, xóa tác vụ Được cấp quyền khởi động, tạm dừng, kết thúc tiến trình dò quét
Trang 10- Quản trị (Admin): Được phép đăng nhập hệ thống và có đầy đủ quyền của người dùng dạng đánh giá, dò quét rủi
ro ATTT
Ca sử dụng (use-case): Bảng liệt kê các ca sử dụng cho mô-đun quản lý tác vụ
Biểu đồ tuần tự: Mô tả chi tiết biểu đồ tuần tự của mô-đun chức
năng của hệ thống Thể hiện hai ca sử dụng này là: Tạo mới tác
vụ dò quét rủi ro và Khởi động tiến trình dò quét rủi ro
Lược đồ cơ sở dữ liệu: Bảng mô tả chi tiết các thuộc tính Các hàm chức năng dùng cho quản lý danh mục các tác vụ
dò quét
Ca sử dụng:
- Mô tả chi tiết ca sử dụng “Tạo mới tác vụ xác định rủi
ro trong hệ thống CNTT”
- Mô tả chi tiết ca sử dụng “Hiển thị danh sách tác vụ xác định rủi ro trong hệ thống CNTT”
- Mô tả chi tiết ca sử dụng “Cập nhật tác vụ xác định rủi
ro trong hệ thống CNTT”
- Mô tả chi tiết ca sử dụng “Xóa tác vụ xác định rủi ro trong hệ thống CNTT”
Các chức năng Quản lý tiến trình dò quét xác định rủi ro ATTT
- Mô tả chi tiết Ca sử dụng “Khởi động tiến trình dò quét rủi ro sử dụng vScanner trong hệ thống CNTT”
- Mô tả chi tiết Ca sử dụng “Tạm dừng tiến trình dò quét rủi ro sử dụng vScanner trong hệ thống CNTT”
- Mô tả chi tiết Ca sử dụng “Kết thúc tiến trình dò quét rủi ro sử dụng vScanner trong hệ thống CNTT”
Trang 11Chương 4: Thực nghiệm và đánh giá
4.1 Thực nghiệm rà quét lỗ hổng bảo mật
Phần 4.1 mô tả về các thông tin môi trường thực nghiệm cũng như các thông tin chung của hệ thống
4.1.1 Môi trường thực nghiệm
Mô tả chi tiết cấu hình hệ thống máy chủ dùng cho triển khai giải pháp dò quét lỗ hổng
4.1.2 Thông tin chung trên hệ thống
Phần 4.1.2 mô tả thông tin chung của hệ thống:
- Màn hình thống kê các dữ liệu NVTs, CVEs
- Danh mục chi tiết các mẫu thử lỗ hổng NVTs
- Danh mục chi tiết các tập lỗ hổng CVEs
- Màn hình thống kê các lỗ hổng đã được phát hiện
4.2 Kiểm thử đánh giá rủi ro ATTT hệ thống
Phần 4.2 mô tả kiểm thử đánh giá rủi ro các hệ thống
4.2.1 Danh mục hệ thống tham gia kiểm thử
Phần 4.2.1 mô tả danh mục các hệ thống tham gia kiểm thử đánh giá rủi ro các hệ thống
Mô tả các bước thực hiện để khởi tạo một hệ thống tham gia đánh giá rủi ro
4.2.2 Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn
Phần 4.2.2 mô tả kịch bản thử nghiệm trên máy chủ web vnptsmartads.vn:
Trang 12a Mục tiêu
Đánh giá khả năng dò quét các lỗ hổng bảo mật máy chủ web vnptsmartads.vn
b Kết quả mong muốn
Thu được kết quả rò quét các lỗ hổng bảo mật đang tồn tại trong hệ thống Xác định được các điểm yếu, lỗ hổng bảo mật trên máy chủ
c Kết quả đạt được
Chi tiết kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn
d Nhận xét, đánh giá
Các lỗ hổng cũng như mức độ rủi ro được hệ thống dò quét phát hiện đối với máy chủ web là chính xác
4.2.3 Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web smartcloud.vn
Phần 4.2.3 mô tả kịch bản thử nghiệm trên máy chủ web smartcloud.vn
a Mục tiêu
Đánh giá khả năng dò quét các lỗ hổng bảo mật máy chủ web dịch vụ smartcloud.vn
b Kết quả mong muốn
Thu được kết quả rò quét các lỗ hổng bảo mật đang tồn tại trong hệ thống
c Kết quả đạt được
Chi tiết kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ smartcloud.vn
d Nhận xét, đánh giá
Các lỗ hổng cũng như mức độ rủi ro được hệ thống dò quét phát hiện đối với máy chủ web là chính xác
Trang 134.3 Thử nghiệm so sánh, đánh giá kết quả so với Nessus
Phần 4.3 mô tả Kịch bản này thực hiện để so sánh, đánh giá kết quả thu được quá trình đánh giá rủi ro ATTT hệ thống Web dịch vụ vnptsmartads.vn so với sản phẩm thương mại đang được
sử dụng hiện nay: Tenable Nessus
a Mục tiêu
Kịch bản này thực hiện để so sánh, đánh giá kết quả thu được quá trình đánh giá rủi ro ATTT hệ thống Web dịch vụ vnptsmartads.vn so với sản phẩm thương mại đang được sử dụng hiện nay: Tenable Nessus
b Kết quả mong muốn
Kết quả xác định rủi ro của hai sản phẩm là tương đương nhau
c Kết quả đạt được
Kết quả tổng hợp thông tin cụ thể so sánh kết quả giữa hai
hệ thống là tương đương nhau
d Nhận xét, đánh giá
Qua kết quả đánh giá có thể nhận thấy, hệ thống vScanner
có thể phát hiện các nguy cơ rủi ro ATTT tương tự như các sản phẩm thương mại nổi tiếng trên thị trường như Tenable Nessus
Trang 14KẾT LUẬN
Trong pham vi nghiên cứu của luận văn, các nội dung chính
đã trình bày: Lý thuyết về quy trình quản lý rủi ro và phương pháp đánh giá ATTT hệ thống Từ những nghiên cứu về cơ sở
lý thuyết và hiện trạng rủi ro ATTT của các hệ thống của đơn
vị, tổ chức, dẫn đến bài toán về xây dựng phần mềm dò quyết
lỗ hổng bảo mật phục vụ cho việc đánh giá rủi ro về ATTT, hỗ trợ khắc phục các điểm yếu của các hệ thống Luận văn cũng đã thực hiện nghiên cứu và tìm hiểu các giải pháp dò quét lỗ hổng
để xây dựng phần mềm vScanner thực hiện dò quét lỗ hổng các
hệ thống từ xa Kế tiếp, luận văn trình bày chi tiết về các bước phân tích thiết kế các mô-đun dò quét lỗ hổng và thực hiện xây dựng các dịch vụ dò quét trên nền web một cách trực quan hóa
Về thực nghiệm, luận văn đã thực hiện tiến hành đánh giá dò quét các lỗ hổng các hệ thống với CSDL mẫu thử, từ đó có thể sinh các báo cáo thông kê chi tiết các lỗ hổng để có thể đánh giá kết quả thu được của giải pháp dò quét lỗ hổng Thêm vào đó, chúng tôi cũng so sánh kết quả thu được với một số phần mềm thương mại và cho kết quả tương đương
HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI
Nghiên cứu để xây dựng một bộ giải pháp tổng thể phục vụ công tác quản trị rủi ro của các hệ thống thông tin
Nghiên cứu ứng dụng phương pháp học máy trong việc dò quét lỗ hổng bảo mật
Ứng dụng các kỹ thuật hỗ trợ xử lý rủi ro an toàn thông tin Hoàn thiện hệ thống dò quét lỗ hổng bảo mật hỗ trợ quản lý
và đánh giá rủi ro