Có một số dự án thành công trên thế giới dùng IODEF như AirCERTCERT/CC Mỹ, CSIRT Mạng CSIRT châu Âu, ISDAS JPCERT/CC Nhật Ví dụ mô hình áp dụng chuẩn IODEF vào hệ thống ISDAS của JPCERT/
Trang 1BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
TIÊU CHUẨN KHUÔN DẠNG DỮ LIỆU
MÔ TẢ SỰ CỐ AN TOÀN MẠNG
HÀ NỘI, 2017
Trang 2MỤC LỤC
1 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam 3
2 Đặt vấn đề 3
2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước 3
2.2 Lựa chọn tiêu chuẩn tham chiếu 5
2.3 Giới thiệu RFC5070 5
2.3 Lý do xây dựng tiêu chuẩn 6
3 Sở cứ xây dựng tiêu chuẩn 6
4 Phương pháp xây dựng tiêu chuẩn 6
5 Nội dung dự thảo tiêu chuẩn kỹ thuật 7
5.1 Bố cục, trình bày 7
5.2 Nội dung chính của tiêu chuẩn IODEF: 7
5.3 Những điểm bổ sung đáng chú ý so với phiên bản gốc RFC 5070:2007 9
5.4 Các trường thông tin trao đổi: 10
5.5 Vị trí của tiêu chuẩn IODEF RFC 5070: 11
5.6 Đánh giá điểm mạnh yếu khi áp dụng tiêu chuẩn 12
5.6.1 Điểm mạnh 12
5.6.2 Điểm yếu 12
6 Bảng đối chiếu tiêu chuẩn viện dẫn 12
7 Kết luận 15
Trang 31 Tên gọi và ký hiệu Tiêu chuẩn Việt Nam
Tên dự thảo tiêu chuẩn quốc gia: “Khuôn dạng dữ liệu mô tả sự cố an toàn mạng”
Mã số: TCVN XXXX:2017
2 Đặt vấn đề
2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước
2.1.1 Trong nước
Trước tình hình tấn công mạng ngày càng gia tăng, hàng loạt các website Việt Nam có độ an toàn kém bị tấn công bởi các công cụ tự động do mắc phải các lỗi an toàn phổ biến, tội phạm máy tính gia tăng, trộm cắp thông tin, lừa đảo qua thư và tin nhắn điện tử ngày càng tinh vi phức tạp Tuy nhiên sự phối hợp giữa các
cơ quan, đơn vị chức năng trong việc đảm bảo, ứng cứu sự cố an toàn thông tin còn thiếu, thiếu sự thống nhất, trao đổi, đồng bộ, phối hợp với nhau, dẫn đến thông tin không cập nhật, dẫn đến tình trạng xử lý còn chậm chạp, không khắc phục kịp thời những hậu quả do tấn công mạng gây ra Cần thiết phải có một chuẩn trao đổi thông tin quốc tế để hỗ trợ việc trao đổi thông tin sự cố an toàn mạng giữa các đơn
vị chuyên trách xử lý, các hệ thống giám sát an toàn mạng ở Việt Nam để kịp thời đưa ra cảnh báo và có những biện pháp xử lý, khắc phục kịp thời
Bộ Thông tin và Truyền thông nhận thức rõ điều này và đã có nhiều biện pháp hỗ trợ cơ quan nhà nước, doanh nghiệp trong việc cung cấp tư vấn, giúp đỡ quá trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thực hiện dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng chỉ ISO 27001” Kết quả của dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC
27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng chỉ ISO 27001
Ngoài ra Bộ Thông tin và Truyền thông đẩy mạnh việc xây dựng và ban hành các tiêu chuẩn về an toàn thông tin như dự án 31 tiêu chuẩn về an toàn thông tin và một số các tiêu chuẩn về an toàn thông tin được thực hiện dưới dạng đề tài nghiên cứu Hiện nay ngoài các tiêu chuẩn về an toàn thông tin đã được ban hành: TCVN 27001:2009; TCVN 27002:2011; TCVN 9801-1:2013 về an toàn mạng phần 1; Bộ tiêu chuẩn TCVN 8709-1: 2011, TCVN 8709-2: 2011, TCVN 8709-3: 2011 về
Trang 4cung cấp tiêu chí đánh giá an toàn thông tin Nhiều dự thảo tiêu chuẩn đã được Bộ Thông tin và Truyền thông nghiệm thu và đề nghị công bố
2.1.2 Ngoài nước
Trong bối cảnh hội nhập quốc tế và các quốc gia đang muốn đẩy mạnh ứng dụng Công nghệ thông tin thì việc trao đổi thông tin về sự cố để đảm bảo an toàn thông tin là điều vô cùng cần thiết, đây cũng chính là nhiệm vụ quan trọng mà nhà nước đã giao cho Bộ Thông tin Truyền thông đảm nhiệm và đẩy mạnh
Nhiều tiêu chuẩn quốc tế về đảm bảo an toàn thông tin được ban hành mới năm 2013, 2014 như: ISO/IEC 27033-4: 2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014 hoặc một số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC 27002:2013
Nhiều tiêu chuẩn quốc tế chuẩn bị được ban hành như các tiêu chuẩn về bảo
vệ an toàn thông tin, dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019), an toàn về lưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập (ISO/IEC 27039), điều tra, phân tich, thu thập bằng chứng số (ISO/IEC
27041, 27042, 27043)
Có một số dự án thành công trên thế giới dùng IODEF như AirCERT(CERT/CC Mỹ), CSIRT (Mạng CSIRT châu Âu), ISDAS (JPCERT/CC Nhật)
Ví dụ mô hình áp dụng chuẩn IODEF vào hệ thống ISDAS của (JPCERT/CC Nhật)
Trao đổi thông báo sự cố của hệ thống ISDAS sử dụng IODEF với các tổ chức CSIRT khác
Trang 5Hiện tại ở VNCERT đang xây dựng một số hệ thống giám sát có áp dụng chuẩn RFC5070 ở khâu tiếp nhận thông tin sự cố từ người dùng và từ các thiết bị sensor tổng hợp an toàn thông tin từ các thiết bị chuyên dụng: phát hiện xâm nhập IDS, tường lửa, các hệ thống xác thực, log từ các máy chủ…
Đối tượng áp dụng chính mà tiêu chuẩn này hướng tới là các tổ chức CERT (có nhiệm vụ điều phối ứng cứu sự cố) và CSIRT (có nhiệm vụ ứng cứu sự cố trực tiếp) trên thế giới Hiện tại ở Việt Nam, Trung tâm Ứng cứu khẩn cấp máy tính Việt nam (VNCERT) thực hiện cả hai nhiệm vụ trên, nên việc xây dựng 01 tiêu chuẩn quy định trao đổi sự cố là vô cùng cần thiết
2.2 Lựa chọn tiêu chuẩn tham chiếu
Tiêu chuẩn RFC5070 “The Incident Object Description Exchange Format”
2.3 Giới thiệu RFC5070
2.3.1 Giới thiệu RFC5070
Chuẩn IODEF do nhóm làm việc đặc trách về Xử lý sự cố mở rộng (Extended Incident Handling) thuộc tổ chức Lực lượng đặc nhiệm kỹ thuật Internet IETF (Internet Engineering Task Force) phát triển đến tháng 10/2006 và tiếp tục được các chuyên gia bổ sung hoàn thiện Phiên bản mới nhất là bản RFC 5070 được công bố vào tháng 12/2007
Trao đổi thông tin sự cố an toàn mạng từ Điều 4 đến Điều 12 của RFC5070
Trang 6Bổ sung thêm bản mở rộng là RFC6684 tên tiếng anh là “Guidelines and Template for Defining Extensions to the Incident Object Description Exchange Format (IODEF)” được công bố vào tháng 7/2012
Khuôn dạng dữ liệu mô tả sự cố an toàn mạng IODEF là một khuôn dạng để
mô tả an toàn mạng máy tính thường được trao đổi giữa các CSIRT Nó cung cấp một biểu diễn theo kiểu XML cho việc truyền các thông tin về sự cố giữa các tổ chức có chức năng quản lý, giám sát và cảnh báo an toàn mạng Mô hình dữ liệu
mã hóa thông tin về các máy chủ, các mạng, và các dịch vụ chạy trên các hệ thống này; cách thức tấn công và các bằng chứng pháp lý liên quan; ảnh hưởng của hoạt động; và các cách tiếp cận được mô tả chi tiết trong IODEF
2.3.2 Vai trò của RFC5070
- Thuộc nhóm các tiêu chuẩn an toàn, hướng dẫn
2.3 Lý do xây dựng tiêu chuẩn
Trước tình hình chiến tranh mạng, tội phạm mạng ngày càng gia tăng, nhu cầu trao đổi thông tin đặc biệt là thông tin về sự cố an toàn mạng giữa các tổ chức chống tấn công mạng như các tổ chức điều phối, ứng cứu sự cố như CERT và CSIRT Cần thiết phải có một chuẩn phục vụ báo cáo và trao đổi thông tin quốc tế
để hỗ trợ việc xử lý sự cố an toàn mạng giữa các đơn vị chuyên trách xử lý, các hệ thống giám sát an toàn mạng ở Việt Nam để kịp thời đưa ra cảnh báo và có những biện pháp xử lý, khắc phục kịp thời
Phù hợp với các tiêu chuẩn quốc tế về ATTT
3 Sở cứ xây dựng tiêu chuẩn
Tiêu chuẩn RFC5070 “The Incident Object Description Exchange Format” được công bố vào tháng 12/2007
4 Phương pháp xây dựng tiêu chuẩn
RFC5070 là tài liệu tham chiếu làm cơ sở để xây dựng tiêu chuẩn này
Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an toàn thông tin, cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ quy
chuẩn, nhóm chủ trì đã xây dựng tiêu chuẩn này theo phương pháp xây dựng mới
có cập nhật nội dung (có chỉnh sửa về thể thức trình bày theo quy định hiện hành
về trình bày Tiêu chuẩn quốc gia)
Trang 75 Nội dung dự thảo tiêu chuẩn kỹ thuật
5.1 Bố cục, trình bày
“Tiêu chuẩn khôn dạng dữ liệu mô tả sự cố an toàn mạng” bao gồm 11 chương
và 3 phần phụ lục có bố cục như sau:
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và chữ viết tắt
4 Tổng quan
5 Xem xét xử lý
6 Mở rộng IODEF
7 Các vấn đề trong quốc tế hóa
9 Lược đồ IODEF
10 Xem xét về an toàn
11 Tài liệu mở rộng
Phụ lục A Mẫu tài liệu
Phụ lục B Ví dụ định nghĩa phần mở rộng kiểu liệt kê
Phụ lục C Ví dụ định nghĩa thành phần: Test
Thư mục tài liệu viện dẫn
5.2 Nội dung chính của tiêu chuẩn IODEF:
Khuôn dạng dữ liệu mô tả sự cố an toàn mạng (IODEF) định nghĩa một trình bày dữ liệu cung cấp một khuôn dạng cho việc chia sẻ thông tin thông thường và được trao đổi bởi các đơn vị ứng cứu sự cố an toàn mạng (CSIRTs) về sự cố an toàn mạng máy tính Tài liệu này mô tả mô hình thông tin cho IODEF và cung cấp
mô hình dữ liệu liên quan được quy định theo sơ đồ XML
Các nguyên tắc thiết kế của IODEF:
- Hướng nội dung cho phép đơn giản hóa các đối tượng
- Đặc tả rõ ràng và nhất quán
- Hỗ trợ xử lý tương quan các sự cố có liên quan
Trang 8- Triển khai bằng XML
Việc triển khai bằng XML đảm bảo cho người đọc được, máy cũng phân tích được Mô tả dữ liệu bổ sung mở rộng Công cụ thao tác, xử lý với XML nhiều thậm chí miễn phí Quốc tế hóa, đảm bảo cho CSIRT sử dụng ngôn ngữ bản địa
Các cơ quan, tổ chức luôn có nhu cầu lưu trữ và trao đổi các thông tin về sự
cố với các tổ chức khác nhằm làm giảm nhẹ hoạt động tấn công phá hoại và nắm bắt được các mối đe dọa tiềm tàng Công việc điều phối đòi hỏi phải làm việc với các nhà mạng ISP để lọc lưu lượng tấn công, giải quyết vấn đề tắc nghẽn mạng hay chia sẻ danh sách các địa chỉ IP đã được theo dõi và xác định là nguy hiểm trong một mạng lưới các cơ quan tổ chức.`
Mục đích quan trọng hơn của IODEF là tăng cường khả năng hành động của các CSIRT Sự chấp nhận của cộng đồng đối với IODEF đã mang đến một khả năng tốt hơn để giải quyết các sự cố và trao đổi các tình huống cần được quan tâm bằng việc đơn giản hóa cộng tác và chia sẻ dữ liệu Khuôn dạng có cấu trúc cung cấp bởi IODEF cho phép:
- Tăng tự động xử lý dữ liệu sự cố nhờ việc giảm nguồn tài nguyên của các phân tích an toàn phục vụ cho việc phân tích văn bản dạng tự do
- Giảm công sức cho việc chuẩn hóa các dữ liệu tương tự (ngay cả khi được cấu trúc ở mức độ cao) từ các nguồn khác nhau
- Một khuôn dạng chung mà trên đó xây dựng các công cụ có thể tích hợp cho việc xử lý sự cố và phân tích tiếp theo, đặc biệt khi dữ liệu đến từ nhiều khu vực khác nhau
Điều phối giữa các CSIRT không hoàn toàn là một vấn đề công nghệ Có rất nhiều xem xét mang tính thủ tục, tin cậy, và pháp lý có thể ngăn cản tổ chức trong việc chia sẻ thông tin IODEF không tập trung vào xử lý các vấn đề này Mặc dù vậy, việc triển khai áp dụng IODEF sẽ cần phải xem xét yếu tố này rộng hơn
Điều 3 của RFC 5070 và điều 9 mô tả mô hình dữ liệu IODEF dạng văn bản
và lược đồ XML Các kiểu dữ liệu được sử dụng bởi mô hình dữ liệu được đề cập
ở điều 2 của RFC 5070 Các vấn đề về xử lý, giải quyết phần mở rộng, và các vấn
đề quốc tế liên quan đến mô hình dữ liệu sẽ lần lượt được đề cập trong điều 5; điều
6 và 7 Các ví dụ được liệt kê trong điều 8 Điều 1 của RFC 5070 là phần cung cấp nền tảng cho các các IODEF, và điều 10 dẫn chứng các khuyến nghị trong vấn đề
an toàn
Trang 9Nội dung của chuẩn mở rộng RFC 6684:2012, đây là tài liệu mở rộng RFC 6684:2012 là bản mở rộng cho bản đặc tả IODEF RFC 5070:2007, môi trường đe dọa đã phát triển cùng với các thực nghiệm trong phòng thủ mạng máy tính Các
xu thế này, cùng với kinh nghiệm thu được thông qua việc thực hiện và triển khai
đã chỉ ra nhu cầu của việc mở rộng IODEF Tài liệu này cung cấp các quy chuẩn cho việc định nghĩa các mở rộng này Tài liệu này bắt đầu bằng việc giải thích tính
áp dụng của các phần mở rộng IODEF và cơ chế của các phần mở rộng IODEF trước khi đưa ra một mục (Phụ lục A) chứa các mẫu làm điểm bắt đầu cho các bản nháp của các phần mở rộng IODEF
Tài liệu RFC 6684:2012 được thiết kế để cung cấp các hướng dẫn cho các phần mở rộng của IODEF, đặc biệt cho các tác giả phát triển các phần mở rộng mới làm quen với tiến trình IETF Không có nội dung nào trong tài liệu này có thể được coi là xác định các quy tắc cho định nghĩa của các phần mở rộng này
5.3 Những điểm bổ sung đáng chú ý so với phiên bản gốc RFC 5070:2007
Dự thảo được xây dựng trên phương pháp xây dựng mới, để phù hợp với thể thức trình bày TCVN, tiêu chuẩn được trình bày với bố cục xem 5.1 và xem chi tiết
tại Bảng 2 “Bảng đối chiếu tiêu chuẩn viện dẫn” Bổ sung thêm 04 phần:
- 1 Phạm vi áp dụng
- 2 Tài liệu viện dẫn
- 3 Thuật ngữ và chữ viết tắt
- 4 Tổng quan
Và bỏ Mục 10 “IANA Consideration” trong tài liệu tiếng anh RFC 5070 vì đây chỉ là những xem xét riêng của tổ chức IANA
Ở Điều 1 “Phạm vi áp dụng” ngoài phạm vi áp dụng trên thế giới là chuẩn này áp dụng cho các tổ chức CSIRT, thì tại Việt Nam do đặc thù riêng ở Việt Nam:
“Tại Việt Nam, tiêu chuẩn này có thể áp dụng cho các cơ quan, tổ chức, cá nhân hoặc các đơn vị chuyên trách về công nghệ thông tin (VNCERT) đều có thể sử dụng để trao đổi, chia sẻ thông tin về sự cố an toàn mạng máy tính.”
Trong tiêu chuẩn có bổ sung một số từ viết tắt ở Điều 3 “Thuật ngữ và chữ viết tắt”
Thuật ngữ tiếng Việt Thuật ngữ tiếng Anh Viết tắt
Trang 10Khuôn dạng dữ liệu mô tả sự cố
an toàn mạng
Incident Object Description Exchange Format - IODEF
IODEF
Nhóm ứng cứu sự cố an toàn máy
tính
Computer Security Incident Response Team
CSIRT
Ngôn ngữ đánh dấu mở rộng Extensible Markup Language XML Ngôn ngữ mô hình hóa thống
nhất
Unified Modeling Language UML
Nhà cung cấp dịch vụ Internet Internet Service Provider ISP Khuôn dạng trao đổi thông tin sự
cố
Format for Incident Information Exchange
FINE
Phòng thủ liên mạng thời gian
thực
Real-time Inter-network Defense RID
Tổ chức cấp phát số hiệu Internet Internet Assigned Numbers
Authority
IANA
Khuôn dạng dữ liệu trao đổi thông
điệp phát hiện xâm nhập
Intrusion Detection Message Exchange Format
IDMEF
Có 02 tài liệu viện dẫn chính là: tài liệu chính RFC 5070:2007 và tài liệu mở rộng RFC 6684:2012, các tài liệu còn lại ở điều 12 của chuẩn gốc tài liệu tiếng anh RFC 5070:2007 đều là tài liệu tham khảo
5.4 Các trường thông tin trao đổi:
Các trường thông tin phục vụ cho trao đổi thông tin, phần cơ bản của mô hình IODEF phải làm được việc mô tả và trao đổi thông tin về đối tượng sự cố liên quan đến an toàn thông tin với các nội dung chính như sau:
+ Họ tên người cung cấp
+ Tên đơn vị (nếu có)
+ Điện thoại
+ Địa chỉ
+ Cách thức phát hiện
+ Thời gian xảy ra sự cố
Trang 11+ Thông tin về hệ thống xảy ra sự cố
• Hệ điều hành, phiên bản
• Các dịch vụ có trên hệ thống
• Các biện pháp an toàn đã triển khai (Antivirus, Firewall, IDS/IPS, khác)
• Các địa chỉ IP của hệ thống (IP sử dụng trên Internet, không phải IP nội bộ)
• Các tên miền của hệ thống
• Mục đích sử dụng hệ thống
• Thông tin gửi kèm (Log, Mẫu virus/mã độc, khác)
• Tình trạng xử lý sự cố
• Yêu cầu/kiến nghị
5.5.Vị trí của tiêu chuẩn IODEF RFC 5070:
- IDMEF : Intrusion Detection Message Exchange Format
- IODEF: Incident Object Description Exchange Format
- PTDEF: Penetration Testing Description Exchange Format
Trang 12- VEDEF: Vulnerability and Exploit Description Exchange Format
5.6 Đánh giá điểm mạnh yếu khi áp dụng tiêu chuẩn
5.6.1 Điểm mạnh
- Chuẩn IODEF định hướng dùng cho việc mô tả thông tin về sự cố an toàn thông tin máy tính sử dụng cho các CSIRT
- Đảm bảo việc mô tả sự cố theo phương pháp dễ dàng bổ sung thông tin
- Hỗ trợ xử lý tương quan để loại bỏ các thông báo cảnh báo tương tự,
- Cho phép áp dụng giải pháp mã hóa dữ liệu bên trong để bảo mật,
- Tương thích với chuẩn IDMEF,
- Được tiếp tục bổ sung thêm ngoài chuẩn nhiều phần mô tả các lớp dữ liệu bổ sung dành cho các loại sự cố mới đặc thù (như phishing, DDoS…)
5.6.2 Điểm yếu
- Chưa cập nhật được đầy đủ thông tin các trường của sự cố, cần thiết phải có những phiên bản cập nhật, bổ sung để hoàn thiện thêm tiêu chuẩn qua từng giai đoạn
6 Bảng đối chiếu tiêu chuẩn viện dẫn
Bảng 2: Bảng đối chiếu tiêu chuẩn viện dẫn (Lưu ý chấp nhận nguyên vẹn: chấp nhận nguyên vẹn về mặt nội dung)
Tiêu chuẩn Việt Nam
TCVN XXXX:2014
Tiêu chuẩn viện dẫn [RFC 5070] và [RFC6684]
Sửa đổi bố
1 Phạm vi điều chỉnh Tham khảo mục Abstract
[RFC 5070] Bổ sung
Abstract (trang 1) của TC viện dẫn [RFC 5070]
2 Tài liệu viện dẫn RFC 5070, RFC 6684 Bổ sung có
chỉnh sửa
3 Thuật ngữ và chữ viết
tắt 1.1 Terminology [RFC 5070]
Bổ sung có chỉnh sửa
