Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Trang 1Mục lục
Câu 1 Phòng thủ theo lỗ hổng bào mật và theo nguy cơ.
Phòng thủ theo lỗ hổng bảo mật:
- Tương đương xây bức tường gạch : vững chắc và bảo vệ được nhiều mục tiêu
- Vấn đề: Gạch hỏng theo thời gian, cần khắc phục liên tục
Phòng thủ theo nguy cơ:
- Tương đương dùng thủ môn bảo vệ : có thể bị thất bại trong những lần đầu , có thể tích lũy kinh nghiệm để phát triển, thay đổi chiến thuật bảo vệ phù hợp
- Ưu điểm: học , thích nghi, và phát triển
Câu 2 Chu trình giám sát ATM
Chu trình NSM bao gồm ba giai đoạn: thu thập dữ liệu, phát hiện xâm nhập, và phân tích dữ liệu
Bước 1 Thu thập dữ liệu
Chu trình NSM bắt đầu với bước quan trọng nhất là thu thập dữ liệu Việc thu thập dữ liệu được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong
Trang 2việc tạo, sắp xếp và lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ liệu trong hệ thống NSM
Thu thập dữ liệu là phần quan trọng nhất của chu trình NSM bởi vì các bước thực hiện ở đây sẽ định hình khả năng của một tổ chức trong việc phát hiện xâm nhập và phân tích dữ liệu hiệu quả
Thu thập dữ liệu bao gồm các nhiệm vụ như sau:
Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức
Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức
Xác định nguồn dữ liệu có liên quan
Tinh chế nguồn dữ liệu thu thập được
Cấu hình cổng SPAN để thu thập dữ liệu gói tin
Xây dựng lưu trữ SAN cho lưu giữ nhật ký
Cấu hình phần cứng và phần mềm thu thập dữ liệu
Bước 2 Phát hiện xâm nhập
Phát hiện xâm nhập là quá trình mà qua đó thu thập dữ liệu được kiểm tra và cảnh báo sẽ được tạo ra dựa trên các sự kiện quan sát được và dữ liệu thu thập không được như mong đợi Điều này thường được thực hiện thông qua một số hình thức chữ ký, sự bất thường, hoặc phát hiện dựa trên thống kê Kết quả là tạo ra các dữ liệu cảnh báo
Phát hiện xâm nhập thường là một chức năng của phần mềm với một số các gói phần mềm phổ biến như Snort IDS và Bro IDS
Bước 3 Phân tích dữ liệu
Phân tích là giai đoạn cuối cùng của chu trình NSM, và được thực hiện khi một người diễn giải và xem xét dữ liệu cảnh báo Điều này thường sẽ liên quan đến việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau:
Phân tích gói tin
Phân tích mạng
Phân tích máy chủ
Phân tích phần mềm độc hại
Phân tích dữ liệu là phần tốn thời gian nhất trong chu trình NSM
Chu trình NSM kết thúc bằng các bài học kinh nghiệm trong việc phát hiện xâm nhập và phân tích dữ liệu cho bất kỳ sự bất thường nào và tiếp tục hình thành các chiến lược thu thập dữ liệu cho tổ chức
Trang 3Câu 3 Mô tả cách thức để xác định vị trí đặt của cảm biến trong mạng?
Có lẽ quyết định quan trọng nhất phải được thực hiện khi lập kế hoạch thu thập
dữ liệu NSM là vị trí vật lý đặt các cảm biến trên mạng Vị trí này sẽ quyết định xem có thể bắt được dữ liệu gì, phát hiện nào có thể có được liên quan đến dữ liệu đó, và mức độ mở rộng cho việc phân tích được đến đâu
Không có phương pháp thử và đúng đối với việc xác định nơi để đặt một bộ cảm biến tốt nhất trên mạng, nhưng có một số thủ thuật và thực hành tốt nhất có thể giúp tránh được những bẫy thông thường
Sử dụng các tài nguyên thích hợp Vị trí đặt cảm biến là mục tiêu của nhóm bảo mật, do vậy cần phải xác định cách tốt nhất cho việc tích hợp các thiết bị này vào hệ thống mạng
Các điểm đi vào /đi ra mạng Trong trường hợp lý tưởng, và khi các nguồn lực
thích hợp có sẵn, nên đặt một bộ cảm biến ngay tại điểm đi vào/đi ra mạng, như cổng gateway của Internet, các mạng VPN tuyền thống, và các liên kết đối tác
Tầm nhìn của địa chỉ Internet cục bộ Khi thực hiện phát hiện xâm nhập và
phân tích dữ liệu, điều rất quan trọng là khả năng xác định thiết bị nội bộ nào là đối tượng chính của một cảnh báo
Đánh giá tài sản quan trọng Tổ chức cần phải có quy định tài sản nào là quan
trọng nhất cần được bảo vệ
Tạo các sơ đồ hiển thị cảm biến Sơ đồ mạng (bao gồm vị trí của các cảm
biến) là vô cùng quan trọng khi được dùng để tham khảo cho quá trình điều tra của các chuyên gia phân tích
Câu 4 Mô tả hoạt động thu thập thông tin của từng lớp mạng
Thu thập thông tin là quá trình tập hợp thông tin theo những tiêu chí cụ thể nhằm làm rõ những vấn đề, nội dung liên quan đến lĩnh vực nhất định
Thu thập thông tin là quá trình xác định nhu cầu thông tin, tìm nguồn thông tin, thực hiện tập hợp thông tin theo yêu cầu nhằm đáp ứng mục tiêu đã được định trước
Đặc điểm:
Thu thập thông tin là hoạt động có tính mục đích
Thu thập thông tin có tính đa dạng về phương pháp, cách thức
Thu thập thông tin có thể tìm kiếm từ các nguồn, kênh thông tin khác nhau
Thu thập thông tin là một quá trình liên tục, nhằm bổ sung, hoàn chỉnh thông tin cần thiết
Trang 4 Thu thập thông tin chịu tác động của nhiều nhân tố về kỹ năng thu thập thông tin, kỹ năng sử dụng các phương pháp, cách thức thu thập thông tin
Thu thập thông tin là một khâu trong quá trình thông tin của một tổ chức
Quy trình:
Xác định nhu cầu bảo đảm thông tin
Xác định các kênh và nguồn thông tin
Thiết lập hình thức và chế độ thu thập thông tin
Câu 5 Mô tả một số phương pháp thu thập thông tin theo từng lớp mạng
Thu thập dữ liệu mạng có thể giúp phát hiện tấn công mạng và hỗ trợ quản trị mạng Thông qua giám sát, kiểm tra, định cấu hình, kiểm soát và đánh giá thời gian thực dựa trên dữ liệu mạng, quản trị viên mạng có thể có được hiệu suất hệ thống mạng, đánh giá Chất lượng dịch vụ (QoS) và tìm ra các điểm lỗi mạng Đối với Nhà cung cấp dịch vụ Internet (ISP), dữ liệu mạng đóng vai trò cơ bản của kế toán lưu lượng Thông tin khối lượng thống kê của lưu lượng truy cập tác động đến chính sách của ISP
Thu thập dữ liệu dựa trên gói :
Gói là một nhà cung cấp dữ liệu rất quan trọng trong các mạng dựa trên giao thức TCP/IP
Một nút nguồn gửi các gói bao gồm địa chỉ nguồn và địa chỉ đích đến một nút đích Khi đích nhận được các gói, giải mã và tổng hợp được thực thi
để có được dữ liệu dự kiến
Thu thập dữ liệu dựa trên lưu lượng :
Flow là một tập hợp các gói có cùng đặc điểm đi qua một điểm quan sát
cụ thể trong một khoảng thời gian
Khi một gói khác đi vào bộ thu, các chính sách của nó như kiểm soát truy cập được kế thừa từ các gói trước đó trong cùng một luồng
Câu 6 Trình bày khái niệm giám sát an toàn mạng (NSM – Network
Security Monitoring) Tại sao chúng ta cần hệ thống giám sát an toàn
mạng?
Giám sát an toàn mạng là hoạt động bảo vệ máy tính và dữ liệu khỏi tội phạm mạng bằng nhiều cách khác nhau
NSM không phải là:
Quản lý thiết bị
Quản lý sự kiện an ninh
Trang 5 Điều tra số cho mạng máy tính
Ngăn chặn xâm nhập
Chúng ta cần hệ thống giám sát an toàn mạng để thực hiện bảo vệ sự an toàn cho mạng máy tính nói chung và dữ liệu nói riêng
Câu 7 Hãy phân tích để cho thấy giám sát an toàn mạng khác với phát hiện xâm nhập?
NSM xuất phát và được ủng hộ bởi những người/tổ chức có tư duy phòng thủ Các hoạt động và mục tiêu có thể là: Phá hủy , Phá vỡ , Làm suy giảm , Từ chối , Đánh lừa, Khai thác, Gây ảnh hưởng, Bảo vệ, Phát hiện, Khôi phục, Ứng phó
NSM là mô hình mới cho lĩnh vực phát hiện và đã xây dựng được một tập các đặc tính khác biệt hoàn toàn so với phát hiện xâm nhập truyền thống:
- Phòng chống đến cùng cho dù thất bại: Khi đã chấp nhận là cuối cùng tài sản
có thể bị tổn hại , thì các tổ chức sẽ thay đổi cách bảo vệ tài sản của họ Thay vì chỉ dựa vào phòng thủ , các tổ chức cần tập trung thêm vào việc phát hiện và phản ứng.
- Tập trung vào tập dữ liệu: Chỉ cung cấp cho các chuyên gia phân tích những
dữ liệu mà họ cần thì họ có thể đưa ra quyết định nhanh và an toàn hơn nhiều.
- Tiến trình theo chu trình:
+ Mô hình phát hiện xâm nhập cũ là một tiến trình tuyến tính đơn giản
và thiếu trách nhiệm + Tiến trình phát hiện và ứng phó với xâm nhập cần phải có tính chu trình
- Phòng thủ theo nguy cơ: Nếu phòng thủ theo lỗ hổng tập trung vào “ làm thế nào ”, thì phòng thủ theo nguy cơ tập trung vào “ ai” và “tại sao ”
Câu 8 Hãy phân tích các thách thức khi triển khai hệ thống giám sát an toàn mạng
Sự ra đời của NSM và phòng thủ theo nguy cơ được coi là một bước phát triển lớn trong an toàn thông tin mạng, tuy nhiên đây vẫn còn là một lĩnh vực mới nên còn mang nhiều khó khăn, thách thức Trong khi có một số nỗ lực được đưa
ra nhằm chuẩn hóa thuật ngữ và phương pháp, thì vẫn có một sự chênh lệch lớn giữa việc viết ra và những gì đang thực sự được thực hiện
Với một vấn đề an ninh mạng cụ thể, nếu có vài ba người nói chuyện với nhau, họ sẽ có thể sử dụng các thuật ngữ khác nhau Đây là vấn đề hạn chế từ góc độ đào tạo Với một người muốn thành công trong công việc
Trang 6liên quan đến an ninh mạng, họ phải có một mức độ về kiến thức cơ bản trước khi bước vào thực tế Kiến thức ở đây bao gồm lý thuyết chung, thực hành và các yêu cầu cụ thể về một vấn đề
Vấn đề về kỹ năng thực hành để có được hiệu quả tốt trong giám sát an toàn mạng là một vấn đề khá khó khăn Nguồn nhân lực về NSM không
đủ đáp ứng yêu cầu về kinh nghiệm và kiến thức cần thiết NSM là một công việc đòi hỏi kinh nghiệm được thực hiện ở mức cấp cao để có thể hướng dẫn nhân viên cơ sở Tuy nhiên, hầu hết các nhân viên từ mức trung đến mức cao đều thường khó khăn trong việc duy trì công việc, và
họ kết thúc trong vai trò tư vấn hoặc một vị trí quản lý
Vấn đề cuối cùng cần nhắc đến như là một thách thức lớn cho sự phát triển của NSM là chi phí cần thiết để thiết lập và duy trì một chương trình NSM Chi phí bao gồm phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức năng NSM, phần lớn chi phí nữa là cho lực lượng lao động cần thiết làm phân tích NSM, và chi phí để
hỗ trợ cơ sở hạ tầng NSM cho các chuyên gia phân tích
Câu 9 Trình bày ưu điểm và nhược điểm của một hệ thống giám sát an toàn mạng
1 Có thể được điều chỉnh trong
nội dung của gói mạng
Tường lủa hiển thị các cổng và
địa chỉ IP được sử dụng giữa 2
máy chủ Ngoài ra, NIDS có thể
hiển thị nội dung bên trong gói
tin, dùng để phát hiện xâm
nhập như tấn công, khai thác,
thiết bị đầu cuối bị xâm nhập
làm một phần của botnet
2 Có thể xem dữ liệu trong ngữ
cảnh của giao thức
Khi NIDS thực hiện phân tích
giao thức, nó sẽ xem xét tải
trong TCP hoặc UDP, các cảm
biến có thể phát hiện các hoạt
động đáng ngờ vì chúng biết
các thức các giao thức nên
hoạt động
3 Có thể hội xác định loại và
1 Không tự ngăn chặn sự cố
Mỗi IDS không thể ngăn chặn được các cuộc tấn công, nó chỉ giúp phát hiện ra cuộc tấn công
đó Vậy nên IDS chỉ là một phần trong kế hoặc ứng phó lại các cuộc tán công
2 Cần người quản lý có kinh nghiệm
IDS vô cùng hữu ích cho việc giám sát mạng, tính hữu dụng của IDS phụ thuộc vào việc chúng ta sử dụng thông tin mà IDS cung cấp Vì IDS không ngăn được các cuộc tấn công nên không hiệu quả khi ta thêm lớp bảo mật trừ khi có nhân viên, chính sách quản lý
3 Không xử lý được các gói đã được mã hóa
IDS không thể đọc được các dữ liệu khi đã được mã hóa, khi đó
Trang 7định lượng tấn công
IDS phân tích số lượng và hoạt
động tấn công, thông tin này
có thể được sử dụng để thực
hiện thay đổi hệ thống bảo
mật hoặc thực hiện các điểu
khiển mới với hiệu quả lớn
hơn Có thể phân tích để xác
định lỗi hoặc các vấn đề cấu
hình mạng Các số liệu sau đó
có thể được dùng để đánh giá
các rủi ro trong tương lai
4 Giúp theo kịp với quy định dễ
dàng hơn
Vì IDS cung cấp cung cấp khả
năng hiển thị lớn hơn trên
mạng Chúng giúp dễ dàng đáp
ứng các quy định bảo mật
5 Tăng hiệu quả
Các cảm biến IDS có thể phát
hiện các thiết bị mạng và máy
chủ, họ có thể kiểm tra dữ liệu
trong gói mạng, xác định các
dịch vụ hoặc hệ điều hành
được sử dụng Tiết kiệm rất
nhiều thời gian khi làm thủ
công Một IDS có thẻ được tự
động hóa phần cứng, những
hiệu quả này giúp giảm yếu tố
con người, bù đắp chi phí cho
việc triển khai IDS
chúng sẽ được thông qua IDS
sẽ không phát hiện ra khi các gói tin này gây tác hại sâu trong hệ thống
4 Gói IP vẫn có thể bị giả mạo
Thông tin từ một gói tin IP được đọc bởi IDS nhưng địa chỉ mạng vẫn có thể bị giả mạo Nó sẽ làm cho mối đe dọa khó bị phát hiện hơn
5 Cảnh báo sai thường xuyên
Trong một số trường hợp cảnh báo sai nhiều hơn các cảnh báo thực về các mối đe dọa thực sự Chúng ta vẫn có thể giảm thiểu các cảnh báo giả này bằng cách cài đặt Các chuyên gia vẫn phải thực hiện xem xét các cảnh báo sai này Nếu không rất có thể bị lọt các cuộc tấn công thực sự
6 Dễ bị tấn công dựa trên giao thức
NIDS có thể bị lỗi khi đọc các giao thực, dữ liệu không hợp lệ
7 Thư viện cấn được cập nhập liên tục để phát hiện các mối
đe dọa mới nhất
IDS chỉ tốt khi có bộ thư viện đầy đủ, nếu thư viện không được cập nhập các cuộc tấn công mới thì nó sẽ không thể bảo vệ chúng ta Như vậy các cuộc tấn công mới nhất sẽ là mối lo ngại lớn nhất của hệ thống
Câu 10: Hệ thống phát hiện xâm nhập trái phép(IDS- Intrusion detection system) là gì? Vẽ sơ đồ kiến trúc của 1 hệ thống IDS, giải thích tóm tắt.
IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập) là thiết bị hoặc phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đáng ngờ và
Trang 8cảnh báo cho admin hệ thống Mục đích của IDS là phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng IDS cũng có thể phân biệt giữa những cuộc tấn công nội bộ (từ chính nhân viên hoặc khách hàng trong tổ chức) và tấn công bên ngoài (từ hacker) Trong một số trường hợp, IDS có thể phản ứng lại với các traffic bất thường/độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
Thành phần thu thập gói tin (information collection)
Thành phần phân tích gói tin (Dectection)
Event generator: máy phát hiện sự kiện
Thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc
Trong 3 thành phần này thì thành phần phân tích gói tin là một thành phần quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo
sự kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện
Câu 11: Hãy mô tả 2 phương pháp Signature-based và Anomaly-based được sử dụng trong hệ thống phát hiện xâm nhập trái phép (IDS) để đảm bảo an toàn mạng.
Signature-Based: Là các IDS hoạt động dựa trên chữ ký, giám sát các
gói tin trên mạng và so sánh chúng với cơ sở dữ liệu chữ ký, thuộc tính từ những mối đe dọa đã biết, tương tự như cách phần mềm diệt virus hoạt
Trang 9động Vấn đề đối với hệ thống IDS này là có thể không phát hiện ra mối
đe dọa mới, khi chữ ký để nhận biết nó chưa được IDS kịp cập nhật
Anomaly-Based: IDS này sẽ phát hiện mối đe dọa dựa trên sự bất
thường Nó giám sát traffic mạng và so sánh với baseline đã được thiết lập Baseline sẽ xác định đâu là mức bình thường của mạng: loại băng thông thường được dùng, giao thức thường dùng, cổng và thiết bị thường kết nối với nhau, cảnh báo cho quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất thường hoặc những khác biệt đáng kể so với baseline
Câu 12 So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring) với hệ thống phát hiện xâm nhập trái phép (IDS - Intrusion Detection System).
Giống nhau - Đều là các hệ thống giám sát và phát hiện xâm nhập, ngăn chặn
các truy nhập trái phép vào hệ thống
- Các bước tổng quát của cả NSM và IDS: đều trải qua 3 bước chính là thu thập dữ liệu, phân tích dữ liệu và phản hồi (cảnh báo cho người quản trị)
Khác nhau - Thu thập các thông tin trên
các thành phần của hệ thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống
- Các đối tượng:
Các máy trạm
Cơ sở dữ liệu
Các ứng dụng
Các server
Các thiết bị mạng
-Một số các hoạt động: phá hủy,làm suy giảm,từ chối,đánh lừa,khai thác,…
- Thiết bị hoặc phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đáng ngờ và cảnh báo cho admin hệ thống
- Đối tượng: lưu lượng mạng
- Các hoạt động: phát hiện xâm nhập, cảnh báo cho quản trị viên
Câu 13: Hệ thống ngăn chặn xâm nhập trái phép (IPS) là gì? So sánh IPS với hệ thống phát hiện xâm nhập trái phép (IDS).
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn Chức
Trang 10năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau Điểm khác nhau duy nhất
là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS
Giống nhau Cả IPS/IDS đều đọc các gói mạng và so sánh nội dung với cở sở
dữ liệu về các mối de dọa đã biết
Khác nhau - IPS là một hệ thống chủ động
thực hiện các bước để ngăn chặn
sự xâm nhập hoặc tấn công khi xác định được nó
- IPS có thể được coi là một phần mở rộng của IDS, có khả năng bổ sung để ngăn chặn sự xâm nhập trong khi phát hiện ra chúng
- IDS là các hệ thống phát hiện các hoạt động không phù hợp, không chính xác hoặc bất thường trong mạng và báo cáo chúng Hơn nữa, IDS có thể được sử dụng để phát hiện xem mạng hoặc máy chủ có bị xâm nhập trái phép hay không
Câu 14: Hãy mô tả các kỹ năng cần có của một chuyên gia phân tích an toàn mạng.
Chuyên gia phân tích hệ thống NSM:
Kỹ năng cần thiết:
Phòng thủ theo nguy cơ, NSM, và chu trình NSM
Chồng giao thức TCP/IP
Các giao thức tầng ứng dụng
Phân tích gói tin
Kiến trúc Windows
Kiến trúc Linux
Phân tích dữ liệu cơ bản (BASH, Grep, SED, AWK, )
Cách sử dụng IDS (Snort, Suricata, )
Chỉ dẫn tấn công và hiệu chỉnh chữ ký IDS
Mã nguồn mở
Phương pháp chẩn đoán phân tích cơ bản
Phân tích phần mềm mã độc cơ bản