Một số giải pháp đảm bảo an toàn thông tin và an ninh mạng cho khoa quản trị và kinh doanh (HSB)

Những tài liệu này đã nêu lên được các nguy cơ về mất an toàn thông tin trước các cuộc tấn công mạng, bên cạnh đó cũng đưa ra các nguy cơ mất an toàn trong các giao dịch điện tử, cũng nh

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

BÙI THANH HIẾU

MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN

VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB)

ĐẠI HỌC QUỐC GIA HÀ NỘI

LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2018

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

BÙI THANH HIẾU

MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN

VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB)

ĐẠI HỌC QUỐC GIA HÀ NỘI

Chuyên ngành: Quản trị An ninh phi truyền thống

Mã số: Chương trình thí điểm

LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS TRẦN VĂN HÒA

Hà Nội - 2018

CAM KẾT

Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính tác giả thu được chủ yếu trong thời gian học và nghiên cứu, chưa được công bố trong bất

cứ một chương trình nghiên cứu nào của người khác

Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công

thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả

đồng ý và trích dẫn cụ thể

Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa Quản trị và Kinh doanh và trước pháp luật về những cam kết nói trên

Tác giả luận văn

Bùi Thanh Hiếu

LỜI CẢM ƠN

Đầu tiên, tôi xin gửi lời cảm ơn chân thành và sâu sắc nhất tới thầy giáo Đại tá PGS.TS Trần Văn Hòa đã trực tiếp hướng dẫn nhiệt tình và giúp đỡ tôi, cho tôi cơ hội được tiếp xúc với các tài liệu tham khảo, góp ý cho tôi trong quá trình nghiên cứu để hoàn thành luận văn này

Tôi cũng muốn bày tỏ lời cảm ơn chân thành tới các thầy cô giáo đã giảng dạy tôi trong suốt thời gian tôi học tại Khoa Quản trị và Kinh doanh PGS.TS Hoàng Đình Phi, PGS.TS Nguyễn Ngoc Thắng, GS Mai Trọng Nhuận, TS Ngô Vi Dũng, TS Trần Huy Phương, TS Bùi Quang Hưng cùng các thầy cô giáo khác trong Khoa

Cuối cùng, tôi xin gửi lời cảm ơn sâu sắc tới các anh/ chị cùng lớp MNS01, MNS02 và tất

cả những người thân trong gia đình, bạn bè và đồng nghiệp tại HSB đã luôn ủng hộ tôi với tình cảm trân thành, luôn động viên và là động lực để tôi hoàn thành tốt luận văn này

MỤC LỤC

CAM KẾT i

LỜI CẢM ƠN ii

MỤC LỤC iii

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT vi

DANH MỤC CÁC BẢNG vii

DANH MỤC CÁC HÌNH VẼ viii

PHẦN MỞ ĐẦU 1

CHƯƠNG 1: LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN THÔNG TIN, AN NINH MẠNG 9

1.1 An ninh phi truyền thống 9

1.1.1 An ninh truyền thống 9

1.1.2 An ninh phi truyền thống 9

1.2 An ninh mạng 12

1.2.1 An ninh mạng 12

1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng 14

1.3 An toàn thông tin 15

1.3.1 Các thuật ngữ trong an toàn thông tin 15

1.3.2 Những kỹ thuật tấn công 16

1.3.3 Các giai đoạn tấn công 17

1.1.4 An toàn thông tin 26

1.4 Một số hình thức tấn công điển hình gây mất ATTT, an ninh mạng 29

1.4.1 Tấn công hệ thống (System hacking) 29

1.4.2 Kỹ thuật đánh lừa: Social engineering 31

1.4.3 Sử dụng Trojan và Backdoor 31

1.4.4 Virus và Worm 33

1.4.5 Khai thác tràn bộ đệm 34

1.4.6 Nghe trộm (Sniffer) 36

1.4.7 Kỹ thuật giả mạo địa chỉ (DNS spoofing) 39

1.4.8 Kỹ thuật tấn công Web server 41

1.4.9 Tấn công hệ thống có cấu hình không an toàn 43

1.4.10 Tấn công vào Session, Cookies 44

1.4.11 Tấn công chèn mã lệnh SQL INJECTION 47

1.4.12 Tấn công từ chối dịch vụ DOS 52

1.4.13 Tấn công APT 56

1.4.14 Tấn công Ransomeware 61

CHƯƠNG 2: THỰC TRẠNG AN TOÀN THÔNG TIN VÀ AN NINH MẠNG HSB 64

2.1 Giới thiệu chung Khoa quản trị và Kinh doanh (HSB) 64

2.2 Thực trạng an toàn thông tin tại HSB 65

2.2.1 Xây dựng câu hỏi hỏi chọn mẫu và điều tra thực trạng tại HSB 65

2.2.2 Khảo sát thực trạng an toàn thông tin tại HSB 66

2.2.3 Phương pháp khảo sát 66

2.2.4 Máy chủ ISA 67

2.2.5 Máy chủ Virus 68

2.2.6 Máy chủ File 69

2.2.7 Máy chủ DHCP 69

2.2.8 Máy chủ DC 70

2.2.9 Máy Client 71

2.2.10 Web Server 71

2.2.11 Các phần mềm bảo mật đang sử dụng tại HSB 72

2.2.12 Nhân lực công nghệ thông tin và ATTT tại HSB 72

2.2.13 Chính sách ATTT tại HSB 73

2.2.14 Các vụ mất an toàn thông tin đã xảy ra tại HSB 74

2.2.15 Thử nghiệm tấn công hệ thống 75

CHƯƠNG 3: MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN NINH MẠNG TẠI HSB 85

3.1 Một số giải pháp 85

3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB 85

3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin 86

3.1.3 ISO 2700X trong công tác quản lý an toàn thông tin 89

3.1.3 Sử dụng các công cụ quét lỗ hổng bảo mật để phòng ngừa 91

3.1.4 Khảo sát tính khả thi của các giải pháp 91

3.2 Xây dựng hệ thống ATTT theo ISO 27001 92

3.2.1 Một số khái niệm trong ISO 27001 95

3.2.2 Thiết lập và quản lý hệ thống an toàn thông tin 96

3.2.3 Triển khai và điều hành hệ thống an toàn thông tin 99

3.2.4 Giám sát hệ thống an toàn thông tin 99

3.2.5 Duy trì và nâng cấp hệ thống quản lý ATTT 100

3.2.6 Các yêu cầu của hệ thống tài liệu 101

3.2.7 Trách nhiệm của ban quản lý trong việc triển khai ISO 27001 102

3.2.8 Kiểm tra nội bộ hệ thống ATTT 104

3.2.9 Ban quản lý xem xét hệ thống ATTT 104

3.2.10 Nâng cấp hệ thống quản lý an toàn thông tin 105

KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ 107

1 Kết luận 107

2 Hạn chế 108

3 Kiến nghị 109

TÀI LIỆU THAM KHẢO 110

PHỤ LỤC 112

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

1 AN PTT An ninh phi truyền thống

5 Bộ TT&TT Bộ Thông tin và Truyền thông

6 CEH Cetified Ethical Hacker (Hacker mũ trắng)

DANH MỤC CÁC BẢNG

Bảng 1.1: So sánh an ninh truyền thống và an ninh phi truyền thống 11

Bảng 2.1: Các nhóm đối tượng được khảo nghiệm mức độ an toàn thông tin tại HSB 66

Bảng 2.2: Đánh giá mức độ an toàn thông tin thông qua phương pháp phỏng vấn chuyên gia 67

Bảng 3.1: Các buớc đánh giá rủi ro theo ISO 27001 90

Bảng 3.2: Một số công cụ cơ bản quét lỗ hổng tìm kiếm các rủi ro hệ thống 91

Bảng 3.3: Kết quả đánh giá tính cần thiết của các giải pháp 92

Bảng 3.4: Kết quả đánh giá tính khả thi của các giải pháp 92

Bảng 3.5: Các bước thực hiện triển khai ISO 27001 95

DANH MỤC CÁC HÌNH VẼ

Hình 1.1: Phân loại các dạng tấn công dựa trên trạng thái hoạt động và vị trí địa lý 17

Hình 1.2: Năm giai đoạn tấn công 18

Hình 1.3: Các công cụ Whois trực tuyến 21

Hình 1.4: Kết quả thu thập từ công cụ SmartWhois 21

Hình 1.5: Hecker gửi các gói tin thăm dò mục tiêu 22

Hình 1.6: Các kiểu scanning 23

Hình 1.7: Các yêu cầu của hệ thống thông tin 27

Hình 1.8: Quá trình đánh giá nguy cơ của hệ thống 28

Hình 1.9: Sơ đồ các phân đoạn trong bộ nhớ máy tính 34

Hình 1.10: Một nội dung của heap 35

Hình 1.11: Các công cụ kiểm lỗi tràn bộ đệm (Buffer Overflow) 35

Hình 1.12: Các ứng dụng và thông tin dễ bị tấn công bởi sniffer 37

Hình 1.13: Danh sách một số công cụ sniffer 37

Hình 1.14: Giao diện ứng dụng tấn công Session Hijacking Burp suite 45

Hình 1.15: Tấn công bằng Firesheep 46

Hình 1.16: Các công cụ tấn công SQL injection 51

Hình 1.17: Tấn công Denial of Service (DoS) 52

Hình 1.18: Giao diện của Low Orbit Ion Cannon 55

Hình 1.19: Một số công cụ phòng chống Ddos 56

Hình 1.20: Các bước thực hiện tấn công APT 57

Hình 1.21: Mô hình ―Phomát Thụy sỹ - Swiss Cheese‖ để chống lại APT () 60

Hình 1.22: Thông báo máy tính bị tấn công Ransomeware 62

Hình 2.1: Sơ đồ hệ thống mạng của HSB 65

Hình 2.2: Sơ đồ kết nối ISA tại HSB 67

Hình 2.3: Thực hiện lệnh kiểm tra Ddos trên Centos 6-64bit Webserver của HSB 74

Hình 2.4: Cài đặt Backtrack, phần mềm chuyên dụng kiểm thử hệ thống 77

Hình 2.5: Sử dụng UltraSurf ẩn IP khi thực hiện tấn công 77

Hình 2.6: Sử dụng Nmap trên backtrack 5 để kiểm tra các port và thông tin hệ thống máy chủ trung tâm ứng dụng CNTT – ĐHQGHN 78

Hình 2.7: Xác định địa chỉ IP thực hiện tấn công bằng Backtrack 5 78

Hình 2.9: Sử dụng Backtrack 5 tấn công vào lỗi ms08_067 80

Hình 2.10: Sử dụng Backtrack 5 tấn công bằng lệnh exploit 80

Hình 2.11: Sử dụng Backtrack hiển thị thông đối tƣợng tấn công lỗi ms08_067 81

Hình 2.12: Dùng Backtrack thực hiện kiểm tra lỗi qua dòng lệnh 81

Hình 2.13: Dùng Backtrack thực hiện kiểm tra thông tin hệ điều hành 82

Hình 2.14: Dùng Backtrack thực hiện chiếm quyền Administrator và thực hiện tạo thƣ mục trên máy nạn nhân 82

Hình 2.15: Dùng Backtrack hiển thị chuỗi md5 mật khẩu máy nạn nhân 83

Hình 2.16: Dùng hash-cracker.com dò mật khẩu 83

Hình 2.17: Các tools kiểm tra an toàn hệ thống và tấn công hệ thống của Kali 84

Hình 3.1: Mô hình tiêu chuẩn của ISO 27001 94

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài luận văn

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính, sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng máy tính đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó rất nhiều thông tin cần được bảo mật cao hơn bởi tính nhạy cảm, kinh tế, tính chính xác và tính tin cậy của nó…Đồng thời cũng phát sinh những vấn đề mới như thông tin quan trọng nằm ở kho dữ liê ̣u hay đang trên đường truyền có thể bị trô ̣m cắp , có thể bị làm sai lê ̣ch , có thể bị giả mạo Điều đó có thể ảnh hưởng tới an toàn của mỗi cá nhân, tổ chức, các công ty hay mô ̣t quốc gia , khu vực

và toàn cầu Những bí mâ ̣t kinh doa nh, tài chính là mục tiêu của các đối thủ cạnh tranh Những tin tức về an ninh quốc gia là mục tiêu của các tổ chức tình báo trong và ngoài nước Thông tin là một tài sản vô cùng quý giá của chính phủ, tổ chức, doanh nghiệp hay bất cứ một cá nhân nào và việc trao đổi, giữ bí mật thông tin là một vấn đề rất cấp thiết hiện nay Các hình thức tấn công, phá hoại mạng cũng liên tục thay đổi, tinh vi và phức tạp hơn, đặt ra yêu cầu, nhiệm vụ bảo mật hệ thống mạng ngày càng khắt khe hơn cho người quản trị Sự phát triển của không gian mạng làm nảy sinh nhiều nguy cơ, thách thức mới đối với an ninh quốc gia cũng như an toàn, lợi ích của các cơ quan, doanh nghiệp và cá nhân Vì vậy, công nghệ bảo vệ ANM chống tấn công xâm nhập qua lỗ hổng bảo mật, phá hoại, lấy cắp thông tin, chống tấn công bằng mã độc đang trở nên ngày càng quan trọng Nếu không triển khai hệ thống bảo đảm ANM, không tuân thủ quy trình quản trị mạng, nguy cơ bị tấn công xâm nhập trái phép, gây ngừng trệ hoạt động của mạng có thể xảy ra bất kỳ lúc nào

Công ty bảo mật FireEye phát hiện ra một nhóm tin tặc APT30, sử dụng mã độc để cài vào hàng loạt máy tính ―chứa các thông tin quan trọng về chính trị, kinh tế, quân sự‖ ở các nước Châu Á, trong đó đáng chú ý là Việt Nam, Thái Lan, Hàn Quốc, Ấn Độ và Malaysia (1)

Những vụ tiết lộ thông tin mật đáng chú ý nhất trong thời gian qua có thể kể tới như

―Hồ sơ Panama‖, một số vụ WikiLeaks tiết lộ dữ liệu bí mật quốc gia và kinh tế nhạy cảm

và vụ Edward Snowden

1 FireEye (2016) ; https://www2.fireeye.com/WEB-2015RPTAPT30.html.

Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm 62,76% dân số), đứng đầu Đông Nam Á về số lượng tên miền quốc gia, xếp thứ 2 khu vực Đông Nam Á, thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (tính đến tháng 12/2016) Các thiết

bị thông minh đã trở nên phổ biến và quen thuộc, gắn liền với sinh hoạt, học tập, lao động của hầu hết người dân, góp phần quan trọng hình thành xã hội thông tin và nền kinh tế tri thức Chính phủ điện tử đã được triển khai rộng khắp các địa phương, làm giảm thiểu thủ tục hành chính, nâng cao hiệu quả công tác quản lý nhà nước, tạo thuận lợi cho người dân

và doanh nghiệp Việt Nam cũng đang nỗ lực trở thành quốc gia thứ hai trong khu vực Đông Nam Á triển khai xây dựng thành phố thông minh để tạo môi trường sống tốt hơn , nâng cao hiệu quả phát triển kinh tế - xã hội bền vững Internet và mạng máy tính đã giúp cho viê ̣c trao đổi thông tin trở nên nhanh gọn , dễ dàng E-mail cho phép người ta nhâ ̣n hay gửi thư ngay trên máy tính của mình , E-business cho phép thực hiê ̣n các giao dịch trên mạng…(2)

Việt Nam đã và đang phải đối mặt với những khó khăn và thách thức lớn do các nguy cơ gây mất ATTT gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối với các đối tác nước ngoài, cơ quan chính phủ trọng yếu làm ảnh hưởng nghiêm trọng đến

sự phát triển kinh tế, xã hội của đất nước Hầu hết các tổ chức, doanh nghiệp của Việt Nam ngay từ khi xây dựng hệ thống mạng thường không tuân theo một quy tắc chuẩn nào về an toàn thông tin Đó là nguyên nhân làm cho hệ thống thông tin rất dễ bị các tin tặc khai thác

lỗ hổng và tấn công Hơn 40% website chứng khoán Việt Nam có thể bị tấn công, chiếm quyền điều khiển và thay đổi kết quả giao dịch Việc đánh giá rủi ro về an toàn bảo mật chưa được nhiều doanh nghiệp chú trọng Nhiều cơ quan, tổ chức không thực hiện kiểm tra, đánh giá, quản lý rủi ro về an toàn thông tin dẫn đến không phát hiện được những nguy

cơ, lỗ hổng, mã độc tiềm ẩn sẵn trong hệ thống từ trước

Năm 2015, trên 10.000 trang/cổng thông tin điện tử (TTĐT) tên miền ―.vn‖ của Việt Nam bị tấn công, chiếm quyền điều khiển, thay đổi giao diện, cài mã độc (tăng 68% so với năm 2014) Việt Nam đã trở thành mục tiêu tấn công xâm nhập, thu thập thông tin hàng đầu của các nhóm tin tặc trên không gian mạng và nhiều vụ có mục tiêu tấn công liên quan tới vấn đề Biển Đông (3)

Năm 2016, gần 7.000 trang/cổng thông tin điện tử của Việt Nam bị tấn công Nhiều hệ thống mạng, thiết bị kỹ thuật số (kể cả thiết bị IoT) tồn tại lỗ hổng bảo mật dẫn đến bị tin tặc khai thác, sử dụng làm bàn đạp tấn công mạng Hệ thống thông tin trọng yếu, nhất là hàng không, ngân hàng, viễn thông, điện lực có nguy cơ bị tấn công và gây hậu quả nghiêm trọng

Vụ tin tặc tấn công vào hệ thống mạng của hai sân bay Tân Sơn Nhất và Nội Bài vào ngày 29 tháng 7 năm 2016 và màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục chuyến bay bị chèn những hình ảnh và nội dung câu chữ xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về biển Đông Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự Đồng thời website của Vietnam Airlines cũng bị xâm nhập và lấy cắp dữ liệu thẻ Bông sen vàng của 411.000 hành khách và phát tán lên mạng (4)

Việt Nam là một trong các quốc gia đứng đầu về tỷ lệ lây nhiễm phần mềm độc hại qua các thiết bị đa phương tiện, lên tới 71,85% các thiết bị bị nhiễm phần mềm độc hại Năm 2016, tại Việt Nam ghi nhận 134.375 sự cố tấn công mạng của cả 3 loại hình Phishing (lừa đảo), Malware (mã độc) và Deface (thay đổi giao diện), tăng hơn 4,2 lần so với năm ngoái‖ Trong đó, có 10.057 sự cố Phishing, gấp hơn 1,7 lần so với năm 2015; 46.664 sự cố Malware, tăng gần 2,8 lần so với năm 2015; và 77.654 sự cố Deface, tăng tới hơn 8,7 lần so với năm 2015 Hệ thống giám sát ANM của Bkav đã ghi nhận khoảng 400 website bị tấn công deface Theo Bkav, có một số ngày cao điểm với số lượng website bị tấn công nhiều như ngày 29 Tết có 27 website tên miền ―.vn‖ bị tấn công, trong đó có 5 trang quan trọng (.gov.vn và.edu.vn); ngày 30 Tết có 169 website tên miền ―.vn‖ bị tấn công, trong đó có 6 site quan trọng (.gov.vn và.edu.vn); ngày mùng 2 Tết có 146 website.vn bị tấn công, trong đó có 10 site quan trọng (.gov.vn và.edu.vn).(5)

Ngoài ra, các tổ chức chưa triển khai biện pháp bảo đảm ATTT theo quy định hoặc theo các tiêu chuẩn trong nước và quốc tế, chưa có quy trình thao tác chuẩn để phản hồi,

xử lý khi xảy ra sự cố dẫn đến bị động trong quá trình khắc phục, đưa hệ thống trở lại hoạt động bình thường, đồng thời còn thiếu cả về số lượng và chất lượng theo đánh giá nguồn nhân lực ATTT

Môi trường Đại học là môi trường cởi mở và tự do thông tin cho các cấp đào tạo Đại học, Cao đẳng và hoạt động nghiên cứu, hợp tác với các Viện, các trường, các tổ chức,

4 Trung tướng Hoàng Phước Thuận - cục trưởng Cục an ninh mạng (Bộ Công an) - tại hội thảo, triển lãm quốc gia về An ninh mảo mật 2017 (Security World 2017); ―Bảo đảm an ninh mạng, an ninh thông tin trong thời kỳ cách mạng công nghiệp lần thứ 4‖

doanh nghiệp bên ngoài để phát triển công nghệ mới Một môi trường mở với cơ sở dữ liệu lớn, nhạy cảm như: thông tin giảng viên; học viên; thông tin bài giảng; luận văn, luận án của học viên, đặc biệt các đề tài nghiên cứu cấp trường, cấp thành phố và quốc gia như HSB Đồng thời, HSB cũng cho phép giáo viên, học viên và các đối tác truy cập vào cơ sở

dữ liệu của trường, như vậy rất khó xây dựng và thực thi các biện pháp bảo đảm ATTT cho

cơ sở dữ liệu quan trọng và sớm phát hiện lỗ hổng bảo mật, mã độc, sớm phát hiện và xử lý các vụ tấn công

Trên thế giới và ở Việt Nam cũng đã có một số công trình nghiên cứu về quản trị mạng và ANM Nhưng chưa có công trình nào nghiên cứu một cách có hệ thống, toàn diện

về cơ sở lý luận, thực tiễn và giải pháp phòng chống tấn công mạng cho các mạng chuyên dùng của các trường đại học nói chung và Đại học Guốc gia nói riêng Có thể thấy, việc nghiên cứu một cách có hệ thống và cơ bản về lý luận và thực tiễn các giải pháp đảm bảo ATTT và ANM cho Đại học quốc gia dưới góc độ của an ninh phi truyền thống là rất cấp thiết

Đó là cơ sở để tác giả lựa chọn đề tài ―MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI‖ cho Luận văn thạc sĩ an ninh phi

truyền thống

Luận văn tập trung nghiên cứu các nguyên nhân mất an toàn thông tin hiện nay, trên

cơ sở ISO 27001 đưa ra được một số giải pháp nhằm đảm bảo an toàn thông tin cho cơ sở

dữ liệu của mạng LAN, các máy trạm và máy tính, thiết bị số của người dùng cuối Đối với

tổ chức, khi bị tấn công mạng, phá hoại, lấy cắp thông tin sản phẩm dịch vụ, có thể gây thiệt hại to lớn, làm mất lợi thế cạnh tranh của tổ chức

2 Tổng quan tình hình nghiên cứu

Trong quá trình học tập và nghiên cứu làm luận văn này tác giả đã đọc và tìm hiểu một số sách tài liệu, tạp chí đã viết về ANM và an toàn thông tin tại Việt Nam như:

Tác phẩm an toàn thông tin và công tác phòng chống tội phạm sử dụng công nghệ cao – Nhà xuất bản Công an Nhân dân – Đại tá PGS.TS Trần Văn Hòa

Sách trắng thường niên về Công nghệ thông tin của Bộ Thông tin và truyền thông, nhóm những công trình nghiên cứu về ANM, đánh giá kết quả và dự đoán xu hướng từng năm của các tổ chức: Nhóm nghiên cứu BKAV, CMC, VNCERT, Cục An toàn thông tin

Bộ Thông tin truyền thông…

Các bài phân tích, đánh giá về ANM, mất an toàn thông tin tại các website uy tín như: mic.gov.vn; viettelidc.com.vn; http://ictvietnam.vn; http://vncert.gov.vn/; http://actvn.edu.vn/, http://ais.gov.vn Ngoài ra, còn có nhiều công trình nghiên cứu đăng trên các tạp chí chuyên ngành về Công nghệ thông tin và ANM, một số luận văn về an toàn thông tin và ANM, việc sử dụng quy trình trong việc đảm bảo an toàn thông tin như ISO2700x đề cập về tình hình mất an toàn thông tin trong tổ chức

Những tài liệu này đã nêu lên được các nguy cơ về mất an toàn thông tin trước các cuộc tấn công mạng, bên cạnh đó cũng đưa ra các nguy cơ mất an toàn trong các giao dịch điện tử, cũng như sự phát triển mạnh mẽ của các phương thức tấn công, cách để ngăn ngừa, tuy nhiên các cuộc tấn công lớn gần đây lại có những phương thức hoàn toàn mới như Ransomeware và APT, có thể nói phi truyền thống, không giống cách thức trước đây Các tài liệu cũng chưa đưa ra được các số liệu đầy đủ nhất về mất an toàn thông tin trước, các phương án ứng phó, chưa định hướng cho doanh nghiệp sử dụng công cụ nào để đảm bảo an toàn thông tin, chưa đưa ra được các văn bản quy phạm trong tổ chức để đảm bảo

an toàn thông tin cho đơn vị trước các cuộc tấn công Ransomeware và APT, những tài liệu trên đi sâu về luật pháp chế tài, chưa kết hợp được giữa ANM và an toàn thông tin trong tổ chức, chưa đánh giá được mối liên kết giữa hai lĩnh vực này, đăc biệt có những công trình lớn như ―An toàn thông tin và các công tác phòng chống tội phạm sử dụng công nghệ cao‖, cũng như chưa đưa ra được mô hình mạng, phần cứng để tổ chức tham khảo và sử dụng, trên cơ sở nghiên cứu thực trạng và tình hình tội phạm sử dụng công nghệ cao ở Việt Nam

và trên thế giới tác giả đã khái quát các phương thức thủ đoạn, cơ bản và hình thức biểu hiện của các loại tội phạm sử dụng công nghệ cao; nghiên cứu ứng dụng công nghệ mới, những thiết bị và phần mềm chuyên dụng, để phát triển chiến thuật và phương pháp điều tra tội phạm mạng (6) Như vậy, hiện nay chưa có tài liệu nào phân tích và làm rõ được nguy cơ mất an toàn thông tin trong tổ chức mà nguyên nhân chính là do vấn đề ANM mang đến

3 Mục tiêu nghiên cứu

Kết quả nghiên cứu cần hướng tới hoạch định chiến lược đảm bảo an toàn thông tin và ANM, phòng chống tấn công mạng, tấn công APT và Ransomware trong các giao dịch điện tử cũng như tài liệu, tài khoản của cán bộ giảng viên tại Khoa Quản trị và Kinh doanh

- Bảo vệ tài nguyên thông tin của hệ thống tại HSB:

6 Đại Tá PGS.TS Trần Văn Hòa; An toàn thông tin và công tác phòng chống tội phạm sử dụng công nghệ cao

Hệ thống máy tính lưu giữ rất nhiều thông tin và tài nguyên cần được bảo vệ tại HSB, những thông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nguồn nhân lực, thông tin quản lý, nghiên cứu, sáng chế, phân phối, thông tin về tổ chức và thông tin

về các hệ thống nghiên cứu, các dự án hợp tác trong nước và quốc tế, các đề tài nghiên cứu cho các cấp các ngành, hệ thống văn bản quản lý Đối với HSB, toàn bộ dữ liệu nhạy cảm, quan trọng được lưu trong một cơ sở dữ liệu và đặt tại phòng server được quản lý và sử dụng bởi các chương trình phần mềm Các cuộc tấn công vào hệ thống có thể xuất phát từ những đối thủ của tổ chức hoặc cá nhân Các tấn công có thể xuất phát từ nhiều nguồn khác nhau, cả từ bên trong cũng như bên ngoài tổ chức và hậu quả có thể rất nghiêm trọng

Thông qua quá trình nghiên cứu, luận văn cần đánh giá mức độ an toàn dữ liệu về thông tin học viên, giảng viên, người dùng trong HSB, đảm bảo tính bảo mật (thông tin chỉ được phép truy cập bởi những người được cấp phép) Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính ―integrity‖ đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn Ví dụ, nếu một server Quản lý học viên chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm, thì độ sẵn sàng của nó là 99,999% Đồng thời phải tạo nền tảng trong việc đảm bảo an toàn thông tin và ANM, đưa ra các giải pháp tổng hợp, đồng bộ, đảm bảo các

cơ quan, trường học có quy mô tương tự có biện pháp phòng chống hiệu quả trước các cuộc tấn công xâm nhập, tấn công APT và Ransomeware

Nhiệm vụ quan trọng của Luận văn là xây dựng hệ thống mạng an toàn, cảnh báo, định hướng người sử dụng để giảm thiểu các nguy cơ mất thông tin

- Đánh giá thực trạng của vấn đề an toàn thông tin tại HSB

- Làm rõ trình độ nhận thức, kỹ năng an toàn thông tin tại HSB

- Đánh giá hiệu quả các chính sách đảm bảo an toàn thông tin tại HSB và ĐHQG

- Nghiên cứu cơ bản và phòng ngừa về tấn công xâm nhập, tấn công APT và Ransomeware vào Việt Nam từ 2013 – 2016, để xác định nguy cơ mất an toàn thông tin của người dùng tại HSB trước các cuộc tấn công đó

- Luận văn cũng nghiên cứu về đặc điểm các cuộc tấn công, cách thức tấn công và các lỗ hổng có thể gây ra mất ATTT

- Sử dụng ISO 27001 làm bộ chuẩn để đánh giá về an toàn thông tin, định hướng người dùng trong các tổ chức trên cơ sở đó đưa ra các quy chuẩn về an toàn thông tin trong tổ chức, đặc biệt áp dụng được bộ chuẩn này tại HSB trong thời gian tới

4 Đối tượng nghiên cứu

Luận văn tập trung vào nghiên cứu các nguyên nhân của người dùng dưới góc độ cá nhân và các chính sách của tổ chức, các mô hình mạng tại HSB, cách thức tấn công tấn công APT và Ransomeware và ANM tại HSB, tìm hiều về ISO 27001 ứng dụng trong công tác đảm bảo an toàn thông tin tại HSB và một số tổ chức khác trong giáo dục

5 Phạm vi nghiên cứu

Tác giả nghiên cứu thực tiễn các cuộc tấn công trong thời gian từ 2013 đến 2016 Nội dụng nghiên cứu của Luận văn là thực trạng, nguyên nhân và tác động của an toàn thông tin trong tổ chức, đặc biệt là tổ chức giáo dục như HSB

6 Phương pháp nghiên cứu

Luận văn sử dụng phương pháp định tính, kết hợp phân tích thống kê, so sánh đối chiếu số liệu Thu thập số liệu bằng phương pháp thu thập số liệu trong các báo cáo về an toàn thông tin, hồi cứu dữ liệu tổng hợp tình hình tấn công mạng của Cục An toàn thông tin Bộ TTTT, VNCERT, BKAV, VNISA, Ban cơ yếu chính phủ, số liệu về an toàn thông tin tại HSB… Kết hợp với bộ số liệu khảo sát tình hình triển khai các hoạt động an toàn thông tin năm 2016 của các Sở Thông tin và Truyền thông các tỉnh, thành phố, các Tập đoàn, Tổng công ty lớn, các doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến Đồng thời, tác giả cũng sử dụng các số liệu từ phỏng vấn các chuyên gia về an toàn bảo mật

thông tin tại Việt Nam, phỏng vấn lãnh đạo tại đơn vị triển khai Khoa Quản trị và Kinh doanh (HSB)

Phương pháp điều tra khảo sát: Tiến hành gặp gỡ và trao đổi với Ban lãnh đạo

Khoa, trưởng phó các phòng ban, giảng viên cơ hữu , giảng viên thỉnh giảng, cán bộ đang công tác tại Khoa, nội dung xoay quanh các khía cạnh về thực trạng an toàn thông tin tại HSB, các nguyên nhân liên quan (trình độ, nhận thức) đến an toàn thông tin và quan điểm chính, các chế độ chính sách an toàn thông tin tại HSB và ĐHQGHN ảnh hưởng đến lợi thế cạnh tranh, uy tín, tiền bạc, danh dự uy tín của cá nhân và tổ chức

Tổ chức nghiên cứu: Trong quá trình thực hiện đề tài này tác giả tiến hành các bước

cụ thể như sau:

- Bước 1: Thu thập các tài liệu có liên quan đến đề tài nghiên cứu như: các văn bản - qui chế của nhà nước có liên quan đến công tác đảm bảo ATTT, ANM, sách, báo, tạp chí, các tài liệu, các công trình nghiên cứu khoa học để xây dựng cơ sở lý luận

- Bước 2: Tiến hành gặp gỡ và trao đổi với Ban lãnh đạo Khoa, giảng viên, cán bộ quản lý

và học viên bộ câu hỏi điều tra

7 Cấu trúc luận văn

- CHƯƠNG 1 LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN

TOÀN THÔNG TIN, AN NINH MẠNG

- CHƯƠNG 2 THỰC TRẠNG AN TOÀN THÔNG TIN VÀ AN NINH MẠNG HSB

- CHƯƠNG 3 MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN

VÀ AN NINH MẠNG TẠI HSB

CHƯƠNG I LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN

THÔNG TIN, AN NINH MẠNG 1.1 An ninh phi truyền thống

1.1.1 An ninh truyền thống

Trước đây an ninh chỉ có quan hệ mật thiết với chiến tranh và hòa bình Ngày nay an ninh có mối quan hệ tương hỗ với ổn định và phát triển Tuy chiến tranh lạnh đã kết thúc, nhưng vẫn còn nhiều uy hiếp an ninh đối với các nước, khu vực và thế giới, từ chiến tranh vùng vịnh đến chiến tranh IRAC, nội chiến Syria, các cuộc khủng hoảng kinh tế, sự lan tràn của bệnh AIDS, các cuộc tấn công mạng, sự tràn lan của các chất gây nghiện, sự di dân ở các nước Châu Âu… trở thành các điểm nóng, ảnh hưởng sâu sắc đến an ninh quốc

tế, an ninh quốc gia, an ninh chính trị, an ninh quân sự, an ninh kinh tế, an ninh ngoại giao Đây chính là cách tiếp cận truyền thống đối với vấn đề an ninh quốc gia, lấy quốc gia làm trung tâm, chủ yếu quan tâm tới an ninh quốc gia, sự tồn tại và phát triển của một chế độ

xã hội… An ninh là sự tự do tương đối không có chiến tranh kết hợp với mong đợi tương đối là không bị đánh bại bởi bất kỳ cuộc chiến tranh nào có thể xảy ra

An ninh quốc gia = an ninh truyền thống = an ninh chính trị + an ninh quân sự = tồn

tại chế độ cai trị + chủ quyền quốc gia + lợi ích quốc gia

Mở rộng: An ninh quốc gia = an ninh cứng = an ninh chính trị + an ninh quân sự + an

ninh kinh tế + an ninh văn hóa tư tưởng

An ninh truyền thống là an ninh quốc gia (an ninh cứng), chủ yếu sử dụng quyền lực chính trị và vũ trang để đảm bảo an ninh (7)

1.1.2 An ninh phi truyền thống

Tư duy mới về an ninh quốc gia, nhiều học giả quốc tế và khu vực nhận định rằng, đa

số các quốc gia và chính phủ đang tiếp cận với tư duy mới về an ninh quốc gia, gồm cả an ninh truyền thống (chủ yếu là an ninh chính trị và an ninh quân sự) và an ninh phi truyền thống (an ninh kinh tế, văn hóa, xã hội, con người, doanh nghiệp, môi trường, lương thực, năng lượng) Khái niệm mới xuất hiện và đang phát triển thêm nội hàm trong bối cảnh hội nhập toàn cầu mạnh mẽ, khủng bố, dịch bệnh, thảm họa thiên nhiên, khủng hoảng kinh tế - tài chính, tác động khu vực và toàn cầu

AN NINH QUỐC GIA = PHÁT TRIỂN BỀN VỮNG QUỐC GIA + ĐỘC LẬP + CHỦ QUYỀN

AN NINH CON NGƯỜI = AN TOÀN + TỰ DO

7 Thượng tướng, TS Nguyễn Văn Hưởng, PTS TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi

AN NINH DOANH NGHIỆP = KNCTBV – (NỖI SỢ + MỐI NGUY + NGUY HIỂM + TỔN THẤT) (8)

An ninh trong tiếng Anh gọi là security và có hàm ý là mức độ an toàn (safety) cao nhất cho chủ thể Trong nhiều từ điển tiếng Trung thì an ninh và an toàn được dùng chung một

từ an toàn (安全) [ān quán là phiên âm và giải thích bằng tiếng Anh là: safe; safety; secure; security] An ninh có ý nghĩa là sự tồn tại, an toàn, bình an, không có nỗi lo, rủi ro, mối nguy, sự cố hay tổn thất về người và của Ngược lại với an ninh là mất an ninh (insecurity)

là rủi ro, là nguy hiểm, là tổn thất… Lịch sử đã chứng minh rằng con người không thể có cuộc sống ổn định và phát triển bền vững (PTBV) nếu như không có an ninh và một quốc gia cũng không thể phát triển bền vững nếu không đảm bảo được an ninh cho con người và doanh nghiệp trong tất cả các lĩnh vực đời sống, sản xuất và kinh doanh (9)

An ninh truyền thống (traditional security) là một khái niệm quen thuộc và mang tính truyền thống, xuất phát từ các nghiên cứu quốc tế về an ninh, chiến tranh, hòa bình… Theo

đa số các học giả quốc tế thì an ninh truyền thống chính là an ninh quốc gia (national security) Ayoob (10) cho rằng ―an ninh hay mất an ninh được định nghĩa trong mối quan hệ với các tình huống bị tổn thương, cả bên trong lẫn bên ngoài, mà nó đe dọa hay có khả năng phá hủy hay làm suy yếu cấu trúc nhà nước, cả về mặt lãnh thổ, thể chế và chế độ cai trị‖ Luật An ninh quốc gia của Việt Nam năm 2004 (11) đã xác định ―An ninh quốc gia là

sự ổn định, phát triển bền vững của chế độ XHCN và Nhà nước CHXHCNVN, sự bất khả xâm phạm độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc‖ Như vậy có thể nói an ninh truyền thống là khái niệm có nội hàm là an ninh quốc gia theo cách tiếp cận lấy quốc gia hay nhà nước làm trung tâm (state-centered approach)

Quan điểm về an ninh quốc gia đã có những thay đổi kể từ khi kết thúc chiến tranh lạnh (1947-1991), bức tường Berlin sụp đổ (1998) và Liên Xô cũ tan rã (1991) Tình hình chính trị thế giới trở nên phức tạp và hỗn loạn hơn Xung đột giữa các quốc gia, xung đột

về sắc tộc, xung đột về tôn giáo ngày càng trở nên gay gắt hơn Thế giới trở nên phẳng hơn

và đang bước sang giai đoạn hội nhập nhanh với sự phát triển như vũ bão của các công nghệ mới, công nghệ thông tin và truyền thông, mạng Internnet, các dòng chảy thông tin, quan điểm, ý tưởng, đầu tư, thương mại, du lịch, du học, văn hóa… Thế giới đang đứng

10 Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997

11 Luật an ninh quốc gia, ban hành năm 2004, NXB Chính trị quốc gia, 2005

trước các nguy cơ của biến đổi khí hậu, thiên tai, dịch bệnh, trong khi vẫn đang phải đối phó với các vấn đề chính trị, kinh tế, xã hội… Tất cả các yếu tố trên đều là những thách thức lớn đối với an ninh truyền thống và an ninh phi truyền thống, đe dọa sự tồn tại và phát triển của cả các quốc gia lẫn loài người Nếu không được nhận diện, phân tích nguyên nhân

và có giải pháp dài hạn hay chiến lược ứng phó thì các mối nguy hiểm và tác động tiêu cực phát sinh từ các vấn đề an ninh phi truyền thống (non-traditional security) có thể phá hủy

cả thế giới mà không cần phải dùng đến súng đạn Ví dụ, chỉ xem xét riêng trong lĩnh vực chính trị thì trong hai thập kỷ gần đây đa số các chính trị gia phải nhìn nhận rằng ứng phó với tình trạng mất an ninh con người, mất an ninh lương thực, mất an ninh năng lượng, dịch bệnh, ô nhiễm môi trường, khủng bố, tội phạm mạng, tai biến do biến đổi khí hậu… là các ưu tiên trong chính sách an ninh quốc gia và chiến lược an ninh quốc gia Trong khi đang phải gồng mình để đối phó với khủng hoảng kinh tế, dịch bệnh, thảm họa thiên nhiên… thì cả thế giới vẫn đang phải lo đối phó với IS và cả Châu Âu đang phải đối phó với làn sóng di cư từ Châu Phi đến Châu Âu… Vì vậy quản trị tốt an ninh truyền thống và

an ninh phi truyền thống (những vấn đề an ninh mới) có một vị trí đặc biệt quan trọng để đảm bảo an ninh toàn cầu và an ninh của từng quốc gia

Bảng 1.1: So sánh an ninh truyền thống và an ninh phi truyền thống

AN NINH TRUYỀN THỐNG (ANTT)

AN NINH PHI TRUYỀN

THỐNG (AN PTT)

ĐIỂM CHUNG ĐIỂM MỚI

Hai bộ phận hợp thành an ninh quốc gia Mối quan hệ biện chứng

Khái niệm mới phát triển

từ khi hội nhập toàn cầu

Chính phủ của dân, do dân, vì dân

An ninh là lợi ích chung

Phát triển theo

xu thế hội nhập toàn

Mối quan hệ biện chứng

Đổi mới nhận thức

đa lĩnh vực, xuyên biên giới…

Các nghiên cứu về an ninh và an ninh phi truyền thống đang được phát triển mạnh trên nền tảng các tư tưởng tiến bộ như: chủ nghĩa duy vật lịch sử (historical materialism), chủ nghĩa hiện thực (realism), chủ nghĩa tự do (liberalism), chủ nghĩa kiến tạo (constructivism)… Bên cạnh cách tiếp cận truyền thống lấy nhà nước làm trung tâm thì nhiều nhà khoa học đã và đang sử dụng cách tiếp cận mới là lấy con người làm trung tâm (people-centered approach) để phát triển các nghiên cứu về an ninh phi truyền thống, trong

đó nhấn mạnh các vấn đề an ninh phi truyền thống đe dọa trực tiếp tới sự tồn tại và phát triển của cả con người (các cá nhân, nhóm dân cư, cộng đồng, tổ chức, doanh nghiệp…) và nhà nước (đảng cầm quyền, thể chế…) trong bối cảnh toàn cầu hóa, biến đổi toàn cầu và biến đổi khí hậu như: an ninh doanh nghiệp gắn với an ninh kinh tế; an ninh doanh nghiệp gắn với an ninh con người; an ninh con người và sức khỏe; an ninh lương thực; an ninh môi trường; an ninh năng lượng; an ninh văn hóa và giáo dục; ANM và an ninh thông tin…(12)

1.2 An ninh mạng

1.2.1 An ninh mạng

Ngày nay với sự phát triển của công nghệ thông tin thế giới đang từng bước thay đổi bước vào cuộc cách mạng cuộc cách mạng công nghiệp lần thứ 04, đó là điện toán đám mây với các trung tâm dữ liệu khổng lồ mang mọi thứ vào trong tầm tay chỉ với một thiết

bị kết nối internet (IoT)

Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet Nếu như máy tính, hệ thống mạng không được trang bị hệ thống bảo vệ vậy chẳng khác nào chúng

12 Quản trị an ninh phi truyền thống để phát triển bền vững, PGS.TS Hoàng Đình Phi, 2015

ta đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus, worms, unauthorized user… chúng có thể tấn công vào máy tính hoặc cả hệ thống của chúng ta bất cứ lúc nào

ANM là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin đặc biệt quan tâm Nhu cầu trao đổi thông tin trở nên cần thiết Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và như thế ANM ra đời

Ví dụ: User A gửi một tập tin cho User B trong phạm vi là nước Việt Nam thì nó khác xa

so với việc User A gửi tập tin cho User C ở Mỹ Ở trường hợp đầu thì dữ liệu có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát dữ liệu với phạm vi rất rộng là cả thế giới Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kỹ thuật hack điêu luyện thì cũng có thể trở thành mối tai họa Khi nhắc đến hacker có lẽ hầu hết chúng

ta đều liên tưởng đến các trang web bị tấn công và thay đổi giao diện, việc sử dụng trái phép thẻ tín dụng hay hình ảnh của một nhóm người mang mặt nạ là các thành viên thuộc nhóm hacker Anonymous, xa hơn nữa là những thông tin mật bị đánh cắp và đăng tải trên trang web Wikileak mà chương trình truyền hình đã đưa tin Như vậy, một cách không chính thức mọi người đều cho rằng hacker là những kẻ xấu chuyên phá hoại và ăn trộm định danh, thông tin bí mật trên mạng internet, và điều này chưa đúng Có những Hacker là những chuyên gia bảo mật hệ thống, họ kiểm thử các lỗ hổng và đưa ra những phương pháp phòng vệ cho hệ thống, cũng như chống lại các cuộc tấn công phá hoại, đặc biệt là trong lĩnh vực CEH (Cetified Ethical Hacker) Nói cách khác họ chính là những chuyên gia đảm bảo cho hệ thống được an toàn cho người dùng

Vậy ANM có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An ninh mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của HSB.(13) An ninh mạng của HSB giúp cho hệ thống

của đơn vị được thông suốt trong quá trình vận hành cung cấp dịch vụ và ứng dụng cho cán

bộ giảng viên trong Khoa

Theo tác giả, ANM là tổng hợp quá trình mà quản trị viên hệ thống mạng thực hiện các biện pháp phòng chống những lỗ hổng về bảo mật phần mềm, phần cứng hoặc virus có trong các phần mềm, ứng dụng, website, server, dữ liệu… nhằm bảo vệ dữ liệu trong hệ thống mạng, bảo vệ người dùng và cơ sở hạ tầng mạng Hoặc cũng có thể hiểu khái niệm ANM là sự phòng chống những truy cập trái phép, sử dụng sai mục đích, chống lại những sửa đổi, hủy hoại hoặc tiết lộ không đúng thông tin, ANM cần được đảm bảo mọi thông tin, dữ liệu trong tình trạng an toàn nhất

ANM tiếp cận theo góc nhìn phi truyền thống:

AN NINH MẠNG = (AN TOÀN + ỔN ĐỊNH + PHÁT TRIỂN BỀN VỮNG) – (CHI PHÍ QUẢN TRỊ RỦI RO + CHI PHÍ MẤT DO KHỦNG HOẢNG + CHI PHÍ KHẮC

Trong đó:

An toàn: Mọi thông tin được lưu trữ, truyền tải mà không bị mất hoặc bị thay đổi trái

phép, đảm bảo tính bảo mật trên mạng

Ổn định: Thông tin được lưu chuyển an toàn không ngắt quãng đến đúng người dùng

không bị ngưng trệ

Phát triển bền vững: Chiến lược, chính sách, luật pháp, quy hoạch đảm bảo an toàn thông

tin lưu truyển trên hệ thống mạng

Chi phí quản trị rủi ro: Chi phí cho việc đầu tư hạ tầng mạng, các thiết bị bảo mật, các hệ

thống phần mềm bảo mật, chi phí cho chi nghiên cứu các giải pháp đảm bảo ANM

Chi phí mất do khủng khoảng: Chi phí cho việc mất an ninh mạng gây ra mất thông tin

hoặc thông tin bị sai lệch, ngưng trệ, hoặc thất thoát, sập các thiết bị phần cứng

Chi phí khắc phục khủng hoảng: Chi phí khắc phục các thiệt hại do hacker chiếm quyền

điều khiển hệ thống, gây nhiễu loạn thông tinh, làm mất uy tín tổ chức, hoặc thiệt hại về tài chính của cá nhân trong tổ chức

1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ

14 PGS.TS Hoàng Đình Phi, tập bài giảng: Quản trị rủi ro và an ninh doanh nghiệp, HSB, 2015

trên mạng Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng

Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong

tổ chức là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của đơn vị rất nhiều, khi thông tin bị chỉnh sửa làm cho uy tín của đơn vị bị ảnh hưởng, tại HSB có những thông tin khi bị thay đổi sẽ gây hậu quả nghiêm trọng như phần mềm đào tạo sau đại học, đây là

hệ thống lưu trữ toàn bộ thông tin bài giảng, giảng viên, học viên các đánh giá của giảng viên, và điểm của học viên được lưu trữ tại đây, nếu thông tin bị sửa đổi sẽ gây hậu quả nghiêm trọng cho học viên và ảnh hưởng lớn đến uy tín của HSB

1.3 An toàn thông tin

1.3.1 Các thuật ngữ trong an toàn thông tin

Để có thể nhận thức được các mối nguy hiểm chúng ta cần hiểu một số thuật ngữ sau trong lĩnh vực an toàn thông tin, các thuật ngữ này sẽ giúp nhà quản trị tìm hiểu các lỗ hổng, đọc và nghiên cứu các tài liệu mới nhất về an toàn thông tin, và cách phòng ngừa các rủi ro cho hệ thống mình quản trị

- Threat: là các mối đe dọa đối với sự an toàn của thông tin bao gồm hacker, virus, sự

cố máy tính như hư hỏng phần cứng, lỗi phần mềm cho đến những nguyên nhân do thiên tai, hỏa hoạn cũng là các threat

- Vulnerability: là những điểm yếu về bảo mật của hệ thống như thiếu các bản vá lỗi

bảo mật, sử dụng chính sách mật khẩu yếu… đều là các điểm nhạy cảm có khả năng bị các threat khai thác gây mất an toàn thông tin

- Exploit: là quá trình khai thác các điểm yếu bảo mật để đánh cắp thông tin, tiến trình

này có thể được thực hiện bởi những tác nhân bên trong hay bên ngoài hệ thống

- Remote exploit: là quá trình khai thác các lỗ hổng bảo mật từ xa ở trên máy tính khác

hay từ internet

- Local exploit: là quá trình khai thác những điểm yếu bảo mật ngay trên hệ thống để

tiến hành leo thang nâng quyền hạn của một tài khoản, hay bẻ khóa mật khẩu của ứng dụng

- Target of evaluation: là những mục tiêu có khả năng chứa các lỗ hổng bảo mật có thể

bị tấn công Các mục tiêu này có thể là một máy chủ, máy trạm, những ứng dụng hay các trang web

- Attack: là thuật ngữ chỉ tiến trình tấn công vào mục tiêu

1.3.2 Những kỹ thuật tấn công

Có nhiều công cụ và phương pháp để tìm kiếm các lỗ hổng bảo mật, tiến hành khai thác, tấn công hệ thống Những kỹ thuật này bao gồm trojan, backdoor, sniffer, rootkit, khai thác lỗi tràn bộ đệm Buffer Overflow hay SQL Injection… Thông thường hacker sẽ tập trung tìm kiếm các lỗ hổng bảo mật của những thành phần:

Hệ điều hành: Nhiều hệ thống được cài đặt và cấu hình mặc định, nghĩa là không có sự

thay đổi hay tùy biến để nâng cao tính an toàn Ngoài ra, những máy tính không được cập nhật các bản vá hay cài đặt các chương trình sữa lỗi bảo mật cũng là mồi ngon của các kẻ tấn công

Ứng dụng: Mỗi máy tính có nhiều ứng dụng được cài đặt, nếu những chương trình này có

lỗ hổng bảo mật cũng có thể bị hacker tấn công chiếm quyền điều khiển từ xa

Shrink-wrap Code: Đây là các thành phần mở rộng của ứng dụng mà nhiều người dùng

không hề hay biết, nhưng hacker sẽ biết rất rõ các thành phần này ví dụ như chức năng macro trong ứng dụng MS Word cho phép các hacker chạy những chương trình độc hại trong ứng dụng xử lý văn bản này Hay các lỗi Active X cho phép hacker chạy lệnh từ xa thông qua trình duyệt của nạn nhân

Lỗi cấu hình: Việc cấu hình sai là một trong những nguyên nhân chính khiến hệ thống bị

tấn công, ví dụ các lỗi liên quan đến việc gán quyền không chặt chẽ có thể cho phép hacker hay người dùng bất kì sao chép và chạy những chương trình trái phép

Bên cạnh các kỹ thuật trên, những cuộc tấn công được chia làm hai trạng thái hoạt động là passive (bị động) và active (chủ động) Những cuộc tấn công bị động thường khó

dò tìm hơn vì không tương tác trực tiếp vào hệ thống hay đường truyền mà chỉ âm thầm thu thập các thông tin, dữ liệu Nghe lén hay sniffing là dạng tấn công thuộc loại này, những hacker nghe lén dữ liệu được gọi là sniffer và thường tập trung vào tính riêng tư của thông tin

Trong khi đó dạng tấn công chủ động có sự tương tác trực tiếp vào hệ thống xác thực hay đường truyền làm thay đổi tính toàn vẹn, ảnh hưởng đến khả năng đáp ứng của dữ liệu Những dạng tấn công thuộc loại này như DdoS, Scan Port …

Bên cạnh sự phân loại tấn công dựa trên trạng thái hoạt động thì chúng ta còn xác định chúng theo vị trí địa lý là ở phía bên trong hay bên ngoài hệ thống tương ứng với các thuật ngữ là inside hay outside Những kẻ tấn công inside là các insider thường là nhân viên hay những người có mối liên quan trực tiếp đối với tổ chức, vì vậy tác động của dạng tấn công này rất lớn và nguy hiểm Theo một số thống kê thì có tới 80 % tác nhân gây mất mát thông tin là những thành viên bên trong của hệ thống Tuy nhiên, những thành viên bên ngoài lại có những mối nguy hiểm khác vì họ thường đông đảo hơn, có trình độ kỹ thuật cao và mục tiêu tấn công của họ thường nhắm vào những hệ thống ít được bảo vệ hay

có sự giao tiếp với môi trường công cộng (còn được gọi là môi trường không tin cậy) như các máy chủ cơ sở dữ liệu, trang web

Hình 1.1: Phân loại các dạng tấn công dựa trên trạng thái hoạt động và vị trí địa lý

1.3.3 Các giai đoạn tấn công

Hiện nay vẫn chưa có định nghĩa chính xác về thuật ngữ ―tấn công‖ (xâm nhập, công kích) Mỗi chuyên gia trong lĩnh vực ATTT luận giải thuật ngữ này theo ý hiểu của mình

Ví dụ, ―xâm nhập – là tác động bất kỳ đưa hệ thống từ trạng thái an toàn vào tình trạng nguy hiểm‖

Thuật ngữ này có thể giải thích như sau: ―xâm nhập – đó là sự phá huỷ chính sách ATTT‖ hoặc ―là tác động bất kỳ dẫn đến việc phá huỷ tính toàn vẹn, tính bí mật, tính sẵn sàng của

hệ thống và thông tin xử lý trong hệ thống‖

Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn của

hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng , tính toàn vẹn và tính bí mật của hê ̣ thống thông tin

Mỗi cuộc tấn công đều qua các bước thao tác có chủ đích, được sử dụng kết hợp các giai đoạn tấn công vào hệ thống, thông thường một cuộc tấn công được chia làm năm giai đoạn là: Reconnaissance; Scaning; Gaining Access; Maintaining Access; và Covering Track một số tài liệu còn gọi là Clear Track

Hình 1.2: Năm giai đoạn tấn công

a) Bước 1: Thu thập dữ liệu của mục tiêu: Là giai đoạn thu thập thông tin và passive reconnaissance là quá trình thu thập dữ liệu của một mục tiêu hay tổ chức mà không biết thông tin gì về tổ chức trên Quá trình passive reconnaissance có thể chỉ đơn giản là theo dõi thông tin hoạt động của một tòa nhà công sở để ghi nhận lại giờ giấc làm việc của nhân viên, tuy nhiên quá trình này thường được thực hiện thông qua các chương trình tìm kiếm như Google hay cơ sở dữ liệu Whois Công đoạn này còn được gọi là information gathering hay thu thập thông tin trong toàn bộ tiến trình tấn công của hacker Một trong các phương pháp thu thập thông tin một cách bị động như social engineering và dumpster diving mà chúng ta sẽ trình bày ở các chương sau Hình thức tấn công sniffing hay nghe lén là một trong những ví dụ điển hình nhất cho passive reconnaissance, với phương pháp này hacker có thể thu thập được nhiều thông tin giá trị như dãy địa chỉ IP, tên miền của tổ chức, các máy chủ ẩn danh hay những dịch vụ đang hoạt động trên mạng Nghe lén thông tin tương tự như các hệ thống giám sát trong tòa nhà hoặc các thiết bị thu âm chuyên dùng

để đánh cắp thông tin cuộc gọi, các cuộc nói chuyện của mục tiêu mà chúng ta thường thấy

Thu thập dữ liệu của mục tiêu

tấn công

Thu thập lỗi thông qua quá trình quét lỗi hệ thống Thâm nhập mục tiêu tấn công

Cài đặt chương trình gián điệp

để có thể duy trì sự kiểm soát

Xóa dấu vết

trên phim ảnh Ngược lại, active reconnaissance là quá trình thu thập thông tin của mục tiêu theo hình thức chủ động, lúc này hacker sẽ tác động trực tiếp lên đối tượng để ghi nhận các dữ liệu phản hồi Một ví dụ của tình huống active reconnaissance là khi kẻ tấn công tiến hành dò quét mạng để xác định các máy đang hoạt động hay những dịch vụ đang chạy trên một hệ thống nào đó thông qua các công cụ như Nessus, Supperscan Vì mang tính chất chủ động nên kết quả thu thập được sẽ nhanh chóng và khả quan hơn so với passive reconnaissance nhưng acvtive reconnaissance dễ bị phát hiện, dò tìm hơn Cả hai hình thức passive reconnaissance và active reconnaissance thường được các kẻ tấn công sử dụng để tìm kiếm thông tin hữu ích về máy chủ web hay hệ điều hành đang sử dụng Reconnaissance cũng được thực hiện bởi các chuyên gia bảo mật trong tiến trình tấn công thử nghiệm gọi là penetration test hay pentest Tuy nhiên, pentest là hành động hợp pháp nên người thực hiện là penetration tester thường sử dụng active reconnaissance để nhanh chóng thu nhận kết quả

Việc này có thể thực hiện bằng những ứng dụng trực tuyến như Whois, Domain Check hay công cụ cài đặt trên máy tính như DNS Walk, DNS Enum Quá trình trên được gọi là footprinting hay in dấu ấn, với những thông tin mà footprinting thu thập hacker có thể đoán được chủ sở hữu của tên miền trang web bị tấn công, địa chỉ IP của mục tiêu, máy chủ phân giải tên miền DNS

Bên cạnh những biện pháp mang tính kỹ thuật còn có những cách thức phi kỹ thuật nhưng không kém phần hiệu quả được gọi là Social Enginerring mà chúng ta sẽ bàn đến ở phần tiếp theo Với nhiều phương pháp khác nhau thì một hacker chuyên nghiệp có thể tổng hợp được khá nhiều thông tin hữu ích phục vụ cho các bước tấn công thực sự sau này của mình, và trong vai trò của một chuyên gia bảo mật hay ethical hacker thì chúng ta cần nắm rõ ý nghĩa của khái niệm footprinting cũng như cách thực hiện để tìm xem có những thông tin nào của tổ chức bị công bố nhiều trên môi trường internet, từ đó đưa ra những phương án xử lý kịp thời và chuẩn xác nhất Những công cụ hỗ trợ đắc lực cho tiến trình footprinting chính là công cụ tìm kiếm như Yahoo, Bing nhưng hữu ích nhất là Google Search, thông qua các ứng dụng này hacker có thể tìm kiếm nhiều thông tin liên quan đến một trang web mục tiêu từ những nội dung được công bố trên internet cho đến các thông tin bí mật như tập tin lưu trữ mật mã nếu như không được phân quyền chặt chẽ Phương pháp này được gọi là Google Hacking (tham khảo thêm về Google hacking tại website http://www.exploit-db.com/googledorks/ )

Để tiến hành thu thập thông tin một cách khoa học cần thực hiện theo một sơ đồ như sau:

1 Tìm kiếm từ các nguồn thông tin

2 Xác định các dãy địa chỉ mạng

3 Xác định các máy còn họat động

4 Tìm kiếm những cổng mở hay điểm truy cập của mục tiêu

5 Dò tìm hệ điều hành của mục tiêu

6 Tìm kiếm các dịch vụ đang họat động trên những cổng mở

7 Lập mô hình mạng

Trong bảy bước trên thì bước 01 và 02 chính là tiến trình footprinting được định nghĩa như những quá trình tạo ra một kế hoạch chi tiết hoặc bản đồ về hệ thống mạng của một tổ chức nào đó, các bước còn lại thuộc giai đọan scanning và enumeration Tiếp theo sẽ đi vào phân tích chi tiết các bước trên và những thao tác kỹ thuật cần tiến hành Trong công đọan đầu tiên cần tận dụng các nguồn tài nguyên được công bố trên internet

Thông tin tìm kiếm: Domain name; Vị trí; Thông tin liên lạc (điện thoại/email)

Các nguồn thông tin: Open source - Các nguồn tài nguyên mở là những dữ liệu công khai

như trang vàng doanh nghiệp, danh bạ điện thọai; Whois: Cơ sở dữ liệu về chủ sở hữu tên miền; Nslookup: Thông tin về máy chủ phân giải tên miền

Công Cụ:

Sam Spade (www.samspade.org): Đây là công cụ trực tuyến bao gồm những tiện ích như Whois, nslookup và traceroute Vì là ứng dụng trực tuyến nên trong một số trường hợp có thể không kết nối được do trang web đang bảo trì hoặc do kết nối mạng, do đó chúng ta nên sử dụng tiện ích samspade cài đặt trực tiếp trên máy tính để cho kết quả tốt hơn hoặc

sử dụng những trang web có chức năng tương tự khác như www.network-tool.com

Competitive Intelligence: Competitive intelligence là phương pháp thu thập thông tin từ

các nguồn trên internet về một công ty hay tổ chức nào đó Competitive intelligence có thể

là sản phẩm hay một tiến trình ví dụ như các hành động thu thập và phân tích dữ liệu, xác nhận thông tin Những công cụ thường được sử dụng cho quá trình Footprinting – Competitive Intelligence là:

1 Whois (http://www.whois.net)

2 ARIN (https://www.arin.net)

3 Nslookup (http://network-tools.com/nslook)

4 Neo Trace

Hình 1.3: Các công cụ Whois trực tuyến

Hình 1.4: Kết quả thu thập từ công cụ SmartWhois

b) Bước 2: Scanning là quá trình tiến hành scanning bằng các chương trình quét lỗi hệ thống, quét địa chỉ IP hay các cổng đang mở bằng ứng dụng Nmap, là Acunetix Web Vulnerability Scanner, hay Angry IP Scan.(15) Bên cạnh đó hacker còn sử dụng rất nhiều ứng dụng để tìm kiếm và thu thập thông tin về domain, IP, các thông tin khác về mục tiêu tấn công, quá trình này là hoàn toàn hợp pháp và có rất nhiều công cụ trên internet phục vụ cho quá trình Thông qua quá trình đánh giá một số thông tin sau từ DNS Record; Traceroute…hacker xác định được chính xác 100% mục tiêu tấn công của mình, bên cạnh

đó các ứng dụng thuộc họ Email Tracking được đánh giá là thiết thực nhất thông qua ứng dụng này hacker cho phép người gửi kiểm tra xem email của mình gửi đi đã được đọc hay chưa hay thậm chí có bị xóa, chuyển tiếp, thay đổi gì không, cũng như vậy mặc định hacker đã xâm nhập được vào máy tính của mục tiêu Phần lớn các ứng dụng email tracking sẽ gắn thêm một tên miền vào địa chỉ email như readnotify.com hay một tập tin hình ảnh nhỏ được gắn vào bức thư mà không cho người nhận biết và khi người nhận có những hành động như đề cập ở trên thì hình ảnh này sẽ kết nối về máy chủ để thông báo cho người gửi biết về các hành động xảy ra Hiện nay có rất nhiều doanh nghiệp sử dụng các ứng dụng thuộc họ Email Tracking để thực hiện gửi email marketing… mà không biết rằng dưới tác dụng của nó hacker đã ngầm gửi kèm vào đó rất nhiều thông tin thu thập kèm theo phục vụ cho mục đích lâu dài Tại HSB cán bộ tuyển sinh đã sử dụng phần mềm thuộc

họ Email Tracking gửi email marketing đến BIDV và sau vài lần sử dụng hệ thống của BIDV nhận diện ra và gửi email phản hồi email admin và block một số IP từ HSB, email hsb.edu.vn sau quá trình tìm hiểu mỗi email gửi đi từ phần mềm gửi email hàng loạt đều được đính kèm một tệp tin ảnh để kết nối đến một máy chủ ngoài quốc gia Việt Nam để gửi các thông tin về máy chủ đó, những ứng dụng dạng này thường giúp hacker scaning hay chủ động khai báo các thông tin cho hacker

Hình 1.5: Hecker gửi các gói tin thăm dò mục tiêu

Như vậy khi kết hợp các công cụ thu thập thông thông tin, scanning hacker có thể thu được một số thông tin quan trọng như: Hệ điều hành, phiên bản, các ứng dụng, dịch vụ, tên

15 Module 1 Giáo trình CEH 9 (Cetified Ethical Hacker)

người dùng (user name), tên máy tính (host name), dịch vụ (service), tài nguyên chia sẻ (share)

Để không bị thăm dò thông tin quản trị hệ thống cần làm một số thủ thuật sau:

- Cấu hình router hay firewall không phản hồi các chương trình dò tìm như Ping bằng cách chặn tín hiệu ICMP ECHO Request/Reply

- Tắt những giao thức không dùng trên máy chủ web

- Kiểm soát cổng dịch vụ với nhũng quy tắc chặt chẽ trên firewall

- Triển khai hệ thống IDS (dò tìm xâm nhập trái phép) để cảnh báo cho quản trị viên khi có hành động khả nghi xảy ra

- Kiểm soát thông tin cẩn thận trước khi công bố trên internet

- Tự thực hiện footprinting trên hệ thống của mình để phát hiện các thông tin nhạy cảm

- Ngăn ngừa những ứng dụng tìm kiếm lưu cache trang web

- Tắt chức năng duyệt thư mục, tách domain nội bộ với domain dùng cho mục đích công cộng

- Chỉ nên mở những port cần thiết, và đóng những port không cần để tránh attacker lợi dụng

 Các kiểu quét mạng: Có ba dạng scanning khác nhau đó là quét cổng (Port Scanning), quét lỗ hổng các ứng dụng (Vulnerability Scanning) và quét mạng(Network Scanning.)

Hình 1.6: Các kiểu scanning Port scanning: Kẻ tấn công sẽ gửi một loạt các thông điệp đến mục tiêu nhằm xác định

các cổng đang mở, và thông qua các cổng này họ sẽ biết được có những dịch vụ nào đang chạy trên máy tính mục tiêu Một trong các ứng dụng port scanning phổ biến là Nmap

Vulnerability scanning: Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo mật hay

những điểm yếu mà thường gọi là các điểm ―nhạy cảm‖ của các ứng dụng hay máy chủ, máy trạm để từ đó đưa ra các phương án tấn công thích hợp Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ thống bị thiếu, hay những lỗi hệ thống chưa được vá các chuyên gia bảo mật cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống mạng của mình

Network scanning: Quá trình này dùng để xác định các máy đang hoạt động trên hệ thống

mạng thường được các hacker, chuyên gia bảo mật hay những quản trị hệ thống thực hiện

 Phòng chống quét mạng

Hầu hết các hệ thống IDS – Instruction Detect System (hệ thống phát hiện xâm nhập trái phép) đều có thể nhận biết được dạng tấn công Ping Sweep và gửi cảnh báo về cho quản trị hệ thống mạng IDS có thể là những thiết bị phần cứng của Cisco 4250/4235 Appliance Sensor, JunIPer Networks Intrusion Detection với các dòng IDP75, IDP250 hay các ứng dụng IDS phần mềm nguồn mở như SNORT hoạt động dưới cả hai dạng Network-base IDS và Host-based IDS Ngoài ra, phần lớn các firewalll và proxy server được cấu hình để chặn ICMP mặc định, giúp phòng chống Ping Sweep hiệu quả Để phòng chống tấn công quét cổng các hệ thống cần triển khai firewall và thiết lập các chính sách ngăn chặn những tín hiệu dò tìm hay khởi tạo kết nối không hợp lệ Che dấu các cổng mở như

hệ thống tường lửa ISA Server Firewall có chức năng hidden port Đặc biệt chỉ mở các cổng cần thiết cho quá trình vận hành, đối với các dịch vụ không hoạt động hãy đóng những cổng liên quan Ngoài ra, hệ thống mạng cần được thiết kế khoa học theo các nguyên tắc phòng thủ theo chiều sâu với thiết bị firewall bảo vệ lớp ngoài và có IDS để phát hiện khi bị quét cổng

c) Bước 3: Thâm nhập mục tiêu

Thâm nhập mục tiêu (Gaining access) là quá trình thâm nhập mục tiêu khi quá trình khai thác và tấn công thành công Lúc này hacker sẽ xâm nhập vào hệ thống và tiến hành các hành động đánh cắp tập tin mật khẩu hay phá hủy dữ liệu, chạy những chương trình nguy hiểm, leo thang đặc quyền để có thể truy cập vào các khu vực thông tin bí mật Muốn thâm nhập thành công hacker cần sử dụng thông tin ở tiến trình 1 và 2, từ các dữ liệu thu thập được, dựa trên các thông tin này hacker sẽ xác định phương án tấn công hợp lý như sử dụng mã khai thác lỗi tràn bộ đệm (buffer overflow), hay chiếm quyền sử dụng của phiên làm việc của người dùng (session hijacking)

d) Bước 4: Leo thang đặc quyền (Maintaining Access)

Một khi đã xâm nhập hệ thống thành công hacker thường cài đặt chương trình gián điệp để có thể duy trì sự kiểm soát, nghe lén thông tin người dùng nhập vào từ bàn phím hay mở các cổng hậu để có thể quay lại vào các lần sau, công đoạn này được gọi là maintaining access Những mã độc nguy hiểm các hacker dùng để cấp vào máy tính bị tấn công được gọi là trojan hay backdoor

Dựa vào các phần mềm độc hại đó hacker leo thang đặc quyền về cơ bản có nghĩa là thêm nhiều quyền hơn hoặc cho phép một tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho một tài khoản người dùng có quyền như là tài khoản quản trị Nói chung, các tài khoản quản trị viên có yêu cầu mật khẩu nghiêm ngặt hơn, và mật khẩu của họ được bảo vệ chặt chẽ hơn Nếu không thể tìm thấy một tên người dùng và mật khẩu của một tài khoản với quyền quản trị viên, một hacker có thể chọn sử dụng một tài khoản với quyền thấp hơn Tại trường hợp này, các hacker sau đó phải leo thang đặc quyền để có nhiều quyền như quyền của quản trị Cái này được thực hiện bằng cách nắm lấy quyền truy cập bằng cách sử dụng một tài khoản người dùng không phải là quản trị viên Thường bằng cách thu thập các tên người dùng và mật khẩu thông qua một bước trung gian để gia tăng các đặc quyền trên tài khoản với mức độ quản trị viên Một khi hacker đã có một tài khoản người dùng hợp lệ và mật khẩu, các bước tiếp theo là để thực thi các ứng dụng nói chung hacker cần phải có một tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó là lý do tại sao leo thang đặc quyền là rất quan trọng Trong các phần kế tiếp, chúng tôi sẽ xem những gì hacker có thể làm với hệ thống của chúng ta một khi họ có quyền quản trị

Một số công cụ được sử dụng trong quá trình này: Getadmin.exe là một chương trình nhỏ

nó có thể thêm một người dùng vào nhóm Local Administrator Một vài kernel NT cấp thấp, thường xuyên truy cập để cho phép quá trình chạy Một đăng nhập vào giao diện điều khiển máy chủ là cần thiết để thực hiện chương trình Getadmin.exe được chạy từ dòng lệnh và chỉ hoạt động trên Win NT 4.0 Service Pack 3.14; Tiện ích HK.exe để lộ ra kẽ hở trong giao thức gọi hàm cục bộ (Local Procedure Call) của Windows NT Một người dùng có thể là không phải người quản trì có thể leo thang vào nhóm quản trị viên bằng cách sử dụng công cụ này Tiếp theo Hacker sẽ thực thi các ứng dụng cần thiết cho quá trình thu thập thông tin bí mật, sao chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì hacker muốn làm trên hệ thống Khi hacker có thể thực thi các ứng dụng, họ có thể chiếm toàn quyền trên hệ thống hệ thống này e) Bước 5: Xóa dấu vết (Covering Track)

Sau quá trình tìm hiểu đối tượng tấn công, xác định mục tiêu tấn công, dò tìm các lỗ hổng bảo mật, tiến hành hack, dù thành công hay không bước tiếp theo là xóa toàn bộ dấu vết để tránh bị phát hiện Các hành động này có thể là xóa tập tin nhật kí của ứng dụng hay hệ thống, xóa các chương trình đã được cài đặt, ẩn các tiến trình nguy hiểm, xóa lịch sử (log) truy cập, Như vậy thông qua một số kỹ thật tấn công cơ bản, và các bước thực hiện hacker

có thể thông tin của chúng ta đã bị mất an toàn bên cạnh đó các yếu tố sau là hết sức cần thiết cho việc đảm bảo an toàn thông tin của tổ chức đó là: An toàn thông tin, chức năng của người dùng và tính tiện dụng, ba đặc trưng này tạo nên một tam giác bảo mật mà bất kì chuyên gia an ninh thông tin nào cũng phải cân nhắc khi áp dụng các quy tắc và giải pháp

an toàn cho hệ thống của mình Trong vai trò quản trị hệ thống hay một người phụ trách về bảo mật thông tin chúng ta đều muốn thắt chặt chính sách an ninh, triển khai những hệ thống bảo vệ mạnh mẽ, chặt chẽ nhất để ngăn ngừa sự tấn công của hacker, hay tiến trình lây lan của virus

Nhưng điều này có thể làm hạn chế chức năng sử dụng của người dùng, và gây khó khăn cho họ trong nhiều thao tác Ví dụ trong vài trò quản trị hệ thống mạng cho HSB, tác giả đã triển khai hệ thống tường lửa trên nền ISA Server Firewall ngăn tải về những tập tin exe để phòng bị nhiễm virus, nhưng điều này đã gây khó khăn cho bộ phận kỹ thuật vì họ cần cài đặt nhiều công cụ và ứng dụng cho các phòng lab, và rất nhiều chương trình này được tải về từ internet Ở một tình huống khác, khi áp dụng chính sách bảo mật cao nhất cho toàn vùng được quản trị bởi Domain Controller, yêu cầu người dùng đặt mật khẩu bắt buộc phải có sự kết hợp của kí tự đặc biệt, chữ hoa, chữ thường kèm theo đó là độ dài trên

16 kí tự đã làm cho họ gặp khó khăn ngay từ khâu đặt mật khẩu

Vì vậy, khi triển khai một giải pháp an toàn thông tin cho tổ chức chúng ta cần lưu ý đến những chức năng sẽ bị hạn chế của người dùng, các ảnh hưởng đến tính tiện lợi trong quá trình sử dụng để có biện pháp xử lý đem đến sự cân bằng, ổn định cho toàn bộ hệ thống

Để khắc phục các tình trạng trên thì chúng ta nên có những chương trình đào tạo thích hợp nâng cao nhận thức cho người sử dụng trong vấn đề bảo mật thông tin, kèm theo đó là các biện pháp chế tài thích hợp nhằm ngăn ngừa việc sử dụng tài nguyên không hợp lệ.(16)

1.1.4 An toàn thông tin

An toàn thông tin nghĩa là: thông tin được bảo vệ, các hệ thống và những dịch vụ

có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau:

16 https://www.eccouncil.org; Giáo trình CEH ( Cetified Ethical Hacker) v9

Hình 1.7: Các yêu cầu của hệ thống thông tin

 Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép

Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng

Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số dư

tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác

 Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh

sửa dữ liệu, thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn

Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thông

tin số dư của tài khoản của mình

 Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng

hoặc ứng dụng được ủy quyền yêu cầu, luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách

Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo rằng khách hàng có thể truy vấn thông

tin số dư tài khoản bất kỳ lúc nào theo như quy định

 Tính chính xác: Thông tin phải chính xác, đáng tin cậy

 Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một

hành vi đã làm, thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin

 Nội hàm của ATTT đảm bảo duy trì 3 yếu tố (CIA – Confidentiality – Intergrity -

Availability tính bảo mật, tính toán vẹn, tính sẵn sàng).(17)

Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh

một hành vi khách hàng đã làm, như rút tiền, chuyển tiền

Nguy cơ hệ thống (Risk) được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe dọa đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong ba cấp độ thấp, trung bình và cao Để xác định nguy cơ đối với hệ thống trước tiên ta phải đánh giá nguy

cơ hệ thống theo sơ đồ sau

Hình 1.8: Quá trình đánh giá nguy cơ của hệ thống Theo tác giả an toàn thông tin là: bảo vệ thông tin chống lại việc truy cập, sử dụng,

chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép

- Các điểm truy cập người dùng

- Các điểm truy cập không dây

Ở mỗi điểm truy cập, ta phải xác định được các thông tin có thể truy cập và mức độ truy cập vào hệ thống

 Xác định các mối đe đoạ

Đây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước Các hình thức và kỹ thuật tấn công đa dạng như:

- DoS/DDoS, BackDoor, Tràn bộ đệm…

- Virus, Trojan Horse, Worm

- Social Engineering

Có nhiều nguyên nhân gây ra lỗ hổng bảo mật: thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể còn tồn tại ngay chính tại hệ điều hành như trong Windows XP, Windows NT, UNIX, hệ điều hành các thiết bị router, modem hoặc trong các ứng dụng thường xuyên sử dụng như word processing, các hệ Databases, Các lỗ hổng cũng có thể nằm ngay trong các dịch vụ cung cấp như sendmail, web, ftp … Do lỗi bản thân hệ thống, do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp, do người sử dụng có ý thức bảo mật kém Điểm yếu ở yếu tố con người cũng được xem là lỗ hổng bảo mật

Ngày nay thông tin phần lớn được số hóa và lưu trữ trên các thiết bị số, việc đảm bảo

an toàn thông tin luôn gắn liền với đảm bảo an toàn cho hệ thống số hóa lưu trữ và khai thác dữ liệu như hệ thống máy tính, hệ thống mạng trong tổ chức, trong quốc gia trước các nguy cơ tổn hại từ bên ngoài, mối kết hợp giữa an toàn thông tin và ANM đã được định hình từ đây, an toàn thông tin luôn song hành cùng an ninh mạng hay nói cách khác an toàn thông tin ngày nay phần lớn là đảm bảo cho hệ thống máy tính, các thiết bị cá nhân được an toàn

1.4 Một số hình thức tấn công điển hình gây mất ATTT, an ninh mạng

1.4.1 Tấn công hệ thống (System hacking)

Tương tự như các cuộc tấn công khác, tấn công hệ thống cũng tuân thủ các giai đoạn như đã trình bày (1.1.3) Rất nhiều tình huống tấn công hệ thống bắt đầu với việc phá mật khẩu vì đây là một trong những thông tin quan trọng nhất để truy cập vào hệ thống Có nhiều dạng mật khẩu khác nhau nhưng thông thường khi người dùng muốn truy cập vào hệ thống của mình như hệ điều hành Windows 7 thì người dùng cần phải cung cấp thông tin