Bài giảng Phòng chống tấn công mạng: Chương 6 - Bùi Trọng Tùng

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:28

Thêm vào BST

Báo xấu

7
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Phòng chống tấn công mạng: Chương 6 - Xây dựng chính sách an toàn bảo mật" trình bày những nội dung chính sau đây: Các khái niệm cơ bản; Phân loại chính sách an toàn bảo mật; Quy trình xây dựng và triển khai chính sách an toàn bảo mật. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Phòng chống tấn công mạng: Chương 6 - Bùi Trọng Tùng

BÀI 6. XÂY DỰNG CHÍNH SÁCH AN TOÀN BẢO MẬT Bùi Trọng Tùng, Viện Công nghệ thông tin và Truyền thông, Đại học Bách khoa Hà Nội 1 1 Nội dung • Các khái niệm cơ bản • Phân loại chính sách ATBM • Quy trình xây dựng và triển khai chính sách ATBM 2 2 1
Chính sách ATBM là gì? • Khái niệm(theo nghĩa rộng): là tập các quy định cách thức sử dụng và bảo vệ tài nguyên của hệ thống thông tin • Cụ thể hóa bằng các mô tả về hoạt động phải thực hiện, được phép, hoặc không được chấp nhận của chủ thể nào đó thực hiện trên tài nguyên hệ thống • Là cơ sở để xây dựng kế hoạch, thiết kế và triển khai các giải pháp ATBM • Nâng cao khả năng quản trị ATBM của tổ chức • Yêu cầu đối với chính sách ATBM: • Không vi phạm quy định phát luật • Nên có cơ chế ATBM để thi hành • Phải được quản trị và trở thành quy tắc làm việc của tổ chức 3 3 Một số văn bản pháp luật ở Việt Nam • Luật An toàn thông tin mạng 2015 • Luật Công nghệ thông tin 2006 • Nghị định số 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng • Nghị định số 85/2016/NĐ-CP về Bảo đảm an toàn hệ thống thông tin theo cấp độ 4 4 2
Các khái niệm liên quan • Tiêu chuẩn ATBM(Security Standard): mô tả chi tiết cách thức thực hiện chính sách như thế nào • Là sự mở rộng của chính sách khi triển khai: công nghệ, hạ tầng CNTT, cách vận hành • Cơ sở để đảm bảo các chính sách được triển khai • Quy trình thủ tục ATBM (Security Procedure): mô tả chi tiết các bước cần thực hiện khi triển khai, tuân thủ theo tiêu chuẩn ATBM • Hướng dẫn cơ bản (Security Guideline): danh sách các hoạt động người dùng nên thực hiện để tuân thủ đúng theo các chính sách đã ban hành 5 5 Ví dụ • Yêu cầu: Dữ liệu trên ổ cứng của hệ thống máy chủ phải được sao lưu • Chính sách ATBM: mô tả sự cần thiết phải sao lưu dữ liệu và bảo vệ các bản sao lưu • Tiêu chuẩn ATBM: mô tả phần mềm sao lưu được sử dụng và các thông số cài đặt phần mềm, thiết bị lưu trữ được sử dụng để sao lưu • Thủ tục ATBM mô tả: • Cách thức sử dụng phần mềm • Thời gian sao lưu • Cách thức sử dụng bản sao lưu 6 6 3
Enterprise Information Security Policy • EISP: chính sách có tính chất tổng quát, định hướng, mô tả yêu cầu ATBM và xác định phạm vi các tài nguyên cần bảo vệ • Phù hợp với chính sách và chiến lược của tổ chức • Có tính bền vững: • Không phụ thuộc vào việc các nguy cơ mới xuất hiện • Chỉ thay đổi khi chính sách chung của tổ chức thay đổi • Phải được viết một cách ngắn gọn (
Ví dụ: Một số chính sách EISP cơ bản 1. Nắm giữ, truy cập và sử dụng thông tin Chính sách Thông tin là tài sản quan trọng của công ty và mọi hành động truy cập và xử lý thông tin của công ty phải tuân thủ theo chính sách và tiêu chuẩn ATBM Áp dụng Toàn bộ nhân viên 2. Mục đích sử dụng thông tin Chính sách Hệ thống thông tin của công ty chỉ được sử dụng cho nhu cầu công việc theo đúng quyền hạn mà người quản lý đã quy định Áp dụng Toàn bộ nhân viên 3. Bảo vệ thông tin Chính sách Thông tin phải được bảo vệ tùy thuộc theo tính quan trọng, nhạy cảm và giá trị của thông tin đó Áp dụng Nhân viên kỹ thuật 9 9 Ví dụ: Một số chính sánh EISP cơ bản 4. Từ chối chịu trách nhiệm Chính sách Công ty không có trách nhiệm và nghĩa vụ với bất kỳ sự thiệt hại nào về dữ liệu hoặc phần mềm phát sinh từ việc bảo vệ tính bí mật, toàn vẹn và khả dụng của thông tin trên các hệ thống máy tính và mạng Áp dụng Người dùng cuối 5. Tính hợp pháp Chính sách Mọi chính sách an toàn bảo mật của công ty được soạn thảo đều tuân thủ theo các quy định pháp luật hiện hành và bất kỳ chính sách nào có mâu thuẫn với các quy định pháp luật phải được báo cáo ngay lập tức tới bộ phận quản trị ATTT của công ty Áp dụng Người dùng cuối 10 10 5
Ví dụ: Một số chính sánh EISP cơ bản 6. Ngoại lệ Chính sách Các ngoại lệ nằm ngoài quy định chính sách bảo mật chỉ giới hạn trong trường hợp đánh giá rủi ro của hệ thống. Khi đó, các rủi ro có thể phát sinh cần phải được báo cáo bởi các bên liên quan và được phê duyệt, kiểm soát bởi bộ phận quản trị ATTT Áp dụng Quản trị viên hệ thống 7. Tính liên tục khi thi hành chính sách Chính sách Mọi trường hợp không đảm bảo thi hành yêu cầu của một chính sách nào đó không kéo theo sự đồng ý cho phép nhân viên trong công ty không tuân thủ chính sách đó Áp dụng Người dùng cuối 11 11 Ví dụ: Một số chính sánh EISP cơ bản 8. Các hành vi vi phạm pháp luật Chính sách Bộ phận quản trị phải xem xét và chuẩn bị một cách nghiêm túc việc khởi kiện tất cả các hành vi vi phạm phát luật có liên quan Áp dụng Quản trị viên hệ thống 9. Thu hồi quyền truy cập Chính sách Công ty có quyền thu hồi quyền hạn trên hệ thống thông tin của người dùng bất cứ khi nào Áp dụng Mọi nhân viên 10. Các tiêu chuẩn công nghiệp về an toàn bảo mật thông tin Chính sách Hệ thống thông tin của công ty phải triển khai các tiêu chuẩn công nghiệp về an toàn bảo mật thông tin Áp dụng Nhân viên kỹ thuật 12 12 6
Ví dụ: Một số chính sánh EISP cơ bản 11. Sử dụng các tài liệu về chính sách bảo mật Chính sách Tất cả các tài liệu về vấn đề bảo mật thông tin của công ty bao gồm, nhưng không giới hạn, chính sách, quy trình thủ tục, hướng dẫn phải được phân loại là “Chỉ sử dụng nội bộ”, trừ những tài liệu chỉ định dành cho hoạt động nghiệp vụ bên ngoài với đối tác Áp dụng Mọi nhân viên 12. Thi hành chính sách Chính sách Tất cả các chính sách thi hành phải có khả năng thực thi trước khi được chấp nhận như là một phần của quy trình thủ tục Áp dụng Quản trị viên và nhân viên kỹ thuật 13 13 Issue Specific Security Policy • ISSP: là các chính sách cụ thể hóa, chi tiết hóa quy định vận hành, sử dụng tài nguyên • Nội dung ISSP thể hiện những hoạt động người dùng có thể/không được phép thực hiện • Tránh để người dùng nhầm lẫn ISSP là thủ tục hành chính • Một số chính sách ISSP điển hình: • Sử dụng mật khẩu • Sử dụng email • Truy cập dịch vụ Web • Sử dụng kết nối WLAN • Truy cập Internet • Cài đặt và sử dụng phần cứng, phần mềm • … • Nên có hướng dẫn, gợi ý sử dụng(best practice) đính kèm với ISSP 14 14 7
Các thành phần của ISSP • Mô tả chung: • Phạm vi áp dụng • Đối tượng tài nguyên, dịch vụ được áp dụng • Bộ phận chịu trách nhiệm triển khai và giám sát • Hoạt động được cho phép • Hoạt động bị cấm, thông thường là những hoạt động sau: • Sử dụng tài nguyên cho mục đích cá nhân • Lạm dụng • Tấn công hoặc gây rối • Xâm phạm bản quyền, sở hữu trí tuệ • Sử dụng cho các hành vi phạm pháp khác 15 15 Các thành phần của ISSP • Thông tin của quản trị viên hệ thống • Điều khoản về vi phạm chính sách: • Hình phạt và hậu quả • Cách thức báo cáo các hành vi vi phạm • Lịch sử thay đổi và phê duyệt chính sách • Giới hạn về trách nhiệm pháp lý của công ty 16 16 8
System-Specific Security Policies • SysSP: Chính sách phát biểu về các tiêu chuẩn và thủ tục được sử dụng khi triển khai, cấu hình và bảo trì hệ thống • SysSP thường có 2 dạng: • Tài liệu hướng dẫn: tài liệu chỉ dẫn cách thức triển khai, cấu hình giải pháp công nghệ, cũng như cách sử dụng, vận hành hệ thống để hỗ trợ cho việc thi hành các chính sách ISSP và EISP • Tài liệu đặc tả kỹ thuật: tài liệu mô tả các trình tự cấu hình, thông số cụ thể dành cho quản trị viên khi triển khai, cấu hình thiết bị, chương trình để đảm bảo việc thi hành các chính sách khác 17 17 Ví dụ 1: EISP vs ISSP vs SysSP • EISP: Hệ thống CNTT của công ty chỉ được sử dụng để truy cập dịch vụ của công ty • ISSP 1: Tất cả các email có địa chỉ gửi và nhận không phải là địa chỉ email của công ty bị chặn • ISSP 2: Tất cả các truy cập tới dịch vụ Web bên ngoài bị cấm • SysSP(Tài liệu hướng dẫn): • Cấu hình firewall chặn các lưu lượng HTTP, HTTPS đi ra ngoài hệ thống mạng của công ty • Hệ thống email chuyển các email sử dụng địa chỉ ngoài công ty vào thư mục cách ly để xử lý 18 18 9
Ví dụ 2: EISP vs ISSP vs SysSP • EISP: Hệ thống thông tin của công ty chỉ được sử dụng cho nhu cầu công việc theo đúng quyền hạn mà người quản lý đã quy định • ISSP: Máy chủ quản lý người dùng phải triển khai hệ thống xác thực dựa trên mật khẩu một cách tin cậy • SysSP(Tài liệu hướng dẫn): Mật khẩu được sử dụng phải có độ dài tối thiểu 8 ký tự và thay đổi sau mỗi 6 tháng • SysSP(Tài liệu kỹ thuật): Hướng dẫn cấu hình quản trị chính sách mật khẩu trên HĐH Windows Server 2008 19 19 Quy trình xây dựng và triển khai • Giai đoạn 0: Lập kế hoạch • Giai đoạn 1: Khảo sát • Xác định phạm vi áp dụng của chính sách • Khảo sát, lấy ý kiến của những bộ phận chịu trách nhiệm thi hành chính sách • Xác định các yêu cầu đối với chính sách, chi phí, thời gian để triển khai chính sách • Lấy ý kiến tư vấn từ đội ngũ quản lý cấp cao • Giai đoạn 2: Phân tích • Phân tích quy trình nghiệp vụ tại các bộ phận chịu trách nhiệm thi hành chính sách • Phân tích, đánh giá nguy cơ và rủi ro an toàn bảo mật • Phân tích các văn bản, chính sách pháp luật liên quan • Tham chiếu tới tác động tích cực, tiêu cực của các chính sách tương tự 20 20 10
Quy trình xây dựng và triển khai • Giai đoạn 4: Soạn thảo • Thành lập đội ngũ nhân lực soạn thảo • Tham khảo các chính sách từ chính phủ, chuyên gia, các tổ chức khác trong cùng lĩnh vực • Giai đoạn 5: Triển khai và công bố • Công bố chính sách tới người dùng • Triển khai các giải pháp để thi hành chính sách • Đào tạo người dùng • Giai đoạn 6: Vận hành và bảo trì • Theo dõi, giám sát việc thi hành chính sách • Phân tích, đánh giá lại nguy cơ nếu chính sách được thi hành • Điều chỉnh, sửa đổi, hoàn thiện chính sách 21 21 Phân tích và đánh giá rủi ro ATBM • Rủi ro ATBM(Security risk): khả năng mà một sự kiện, hành động nào đó xảy ra gây mất an toàn cho hệ thống • Quản trị rủi ro (Risk management): là quá trình bao gồm: • Risk Analysis: Xác định, đánh giá và phân loại rủi ro • Risk Control: phối hợp sử dụng các tài nguyên để giám sát, kiểm soát và giảm thiểu rủi ro • Quản trị rủi ro và chính sách ATBM có mối quan hệ mật thiết: • Chính sách ATBM được xây dựng dựa trên phân tích, đánh giá về rủi ro • Chính sách ATBM là công cụ để kiểm soát, giảm thiểu rủi ro 22 22 11
Quy trình phân tích rủi ro • Bước 1: Thiết lập các tiêu chí đánh giá rủi ro • Bước 2: Lập hồ sơ tài nguyên của hệ thống • Bước 3: Xác định các nguy cơ • Bước 4: Xác định các rủi ro • Bước 5: Đánh giá, phân loại rủi ro 23 23 Thiết lập các tiêu chí đánh giá https://www.owasp.org Các tiêu chí ước lượng khả năng xảy ra nguy cơ: • Các tiêu chí đánh giá tác nhân đe dọa: • Trình độ và kỹ năng: Kỹ năng về kiểm thử ATBM(9), Kỹ năng mạng và lập trình (6), Kỹ năng về máy tính(5), Một vài kỹ năng đơn giản(3), Không cần kỹ năng (1) • Động cơ tấn công: Không có hoặc lợi ích nhỏ (1), Có thể thu được lợi ích(4), Thu được lợi ích cao(9) • Mức độ yêu cầu tài nguyên(Điều kiện): Toàn quyền truy cập hoặc tài nguyên đắt giá(0), Yêu cầu truy cập đặc biệt và một số tài nguyên(4), Một số quyền truy cập của người dùng bên trong(7), Không cần yêu cầu truy cập đặc biệt(9) • Nhóm có thể gây nguy cơ: Lập trình viên(2), Quản trị viên(2), Người dùng bên trong(4), Đối tác(5), Người dùng được xác thực(6), Người dùng ẩn danh(9) 24 24 12
Thiết lập các tiêu chí đánh giá https://www.owasp.org Các tiêu chí ước lượng khả năng xảy ra nguy cơ : • Các tiêu chí đánh giá lỗ hổng: • Tính dễ dàng để phát hiện: Không thể(1), Khó(3), Dễ(7), Có công cụ tự động(9) • Tính dễ dàng để khai thác: Không thể(1), Khó(3), Dễ(5), Có công cụ tự động(9) • Mức độ phổ biến: Chưa biết đến(1), Tiềm ẩn(4), Rõ ràng(6), Rộng rãi(9) • Khả năng phát hiện khi bị khai thác: Kích hoạt IDPS(1), Lưu trên log và được đánh giá(3), Lưu trên log và không được đánh giá(8), Không lưu trên log(9) 25 25 Thiết lập các tiêu chí đánh giá https://www.owasp.org Các tiêu chí ước lượng mức độ ảnh hưởng • Theo yêu cầu ATBM: • Giảm tính bí mật: Lượng dữ liệu nhỏ, không quan trọng(2), Lượng dữ liệu nhỏ, quan trọng(6), Lượng dữ liệu lớn, không quan trọng(6), Lượng dữ liệu lớn, quan trọng(7), Toàn bộ dữ liệu(9) • Giảm tính toàn vẹn: Lượng dữ liệu nhỏ không đáng kể(1), Lượng dữ liệu nhỏ quan trọng (3), Lượng lớn dữ liệu (5), Lượng lớn dữ liệu quan trọng(7), Toàn bộ dữ liệu(9) • Giảm tính sẵn sàng: Một số dịch vụ thứ cấp(1), Một số dịch vụ chính(5), Phần lớn dịch vụ thứ cấp(5), Phần lớn dịch vụ chính(7), Toàn bộ dịch vụ(9) • Giảm tính kiểm soát: Theo vết được hoàn toàn(1), Có thể theo vết(7), Hoàn toàn ẩn danh(9) 26 26 13
Thiết lập các tiêu chí đánh giá https://www.owasp.org Các tiêu chí ước lượng mức độ ảnh hưởng • Theo mức độ ảnh hưởng tới hoạt động của tổ chức • Tổn hại tại chính: Nhỏ hơn chi phí vá lỗ hổng(1), Ít ảnh hưởng tới lợi nhuận(3), Ảnh hưởng lớn tới lợi nhuận(7), Phá sản(9) • Tổn hại danh tiếng: Rất ít(1), Mất một số khách hàng chính(3), Mất tín nhiệm(5), Tổn hại thương hiệu(9) • Thông tin cá nhân bị lộ: Một số người(3), Hàng trăm người(5), Hàng ngàn người(7), Hàng triệu người(9) 27 27 Lập hồ sơ tài nguyên của hệ thống • Mức độ quan trọng của tài nguyên với tổ chức • Tần suất sử dụng tài nguyên trong công việc • Dạng tổn hại nào tới tài nguyên dẫn tới ảnh hướng đến hoạt động của hệ thống: • Mất tính bí mật • Mất tính toàn vẹn • Bị mất cắp, phá hủy • Bị gián đoạn truy cập • Các đối tượng sử dụng, quản lý tài nguyên • Vị trí tài nguyên được lưu trữ xử lý • Các luồng truy cập tới tài nguyên • Các tài nguyên liên quan 28 28 14
Xác định các nguy cơ Xây dựng sơ đồ phân loại nguy cơ: • Nguy cơ từ truy cập thông qua mạng: Mất tính bí mật Mất tính toàn vẹn Cố tình Phá hủy/Mất cắp Gián đoạn Bên trong Mất tính bí mật Mất tính toàn vẹn Vô tình Phá hủy/Mất cắp Gián đoạn Bên ngoài 29 29 Xác định các nguy cơ Xây dựng sơ đồ phân loại nguy cơ: • Nguy cơ từ các truy cập vật lý • Các vấn đề kỹ thuật: • Lỗi phần mềm • Lỗi hệ điều hành • Lỗi phần cứng • Lây nhiễm phần mềm độc hại • Các vấn đề khác: • Nguồn điện • Bên thứ 3 • Thiên tai 30 30 15
Xác định các rủi ro Rủi ro = Nguy cơ + Ảnh hưởng • Xây dựng các kịch bản nguy cơ xảy ra và những hậu quả để lại • Xác định hậu quả theo những tiêu chí ảnh hưởng • Ví dụ: Nguy cơ lây nhiễm ransomware Wanna Crypt0r trong tới máy tính người dùng tại phân vùng mạng chăm sóc khách hàng: • Giảm tính bí mật: 2 • Giảm tính toàn vẹn: 2 • Giảm tính sẵn sàng: 7 • Giảm khả năng kiểm soát: 1 • Tổn hại tài chính: 3 • Tổn hại danh tiếng: 3 • Thông tin cá nhân bị lộ: 0 31 31 Đánh giá và phân loại rủi ro • Phân loại(https://www.owasp.org): • 0 tới
Đánh giá và phân loại rủi ro • Rủi ro khi phân vùng mạng chăm sóc khách hàng bị lây nhiễm Wanna Crypt0r Tác nhân đe dọa Lỗ hổng Trình Động Điều Nhóm Phát hiện Khai Phổ Phát độ cơ kiện thác biến hiện 9 9 7 9 9 5 9 1 Chỉ số khả năng = 7.25 Ảnh hưởng ATBM Ảnh hưởng hoạt động Bí mật Toàn Sẵn Kiểm Tài chính Danh Thông tin cá vẹn sàng soát tiếng nhân 2 2 7 1 3 3 0 Chỉ số ảnh hưởng ATBM: 3 Chỉ số ảnh hưởng HĐ: 2 Xếp loại rủi ro: Thấp đến trung bình 33 33 Một số mô hình phân tích rủi ro • SNA(Survivable Network Analysis) Phân tích khả năng “sống sót” của mạng • Phân tích, đánh giá qua kịch bản tấn công giả định • OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) • AS/NZS 4360:2004 Risk Management • HB 167:2006 Security risk management • CVSS(Common Vulnerability Scoring System) • FAIR(Factor Analysis of Information Risk) • Mô hình đánh giá nguy cơ: STRIDE, DREAD 34 34 17
Soạn thảo chính sách Chính sách về Chấp nhận sử dụng tài nguyên: • Mô tả tài nguyên phải được sử dụng đúng đắn như thế nào • Thường là phần mở đầu trong các chính sách • Mục đích: nâng cao nhận thức người dùng • Giải thích sự cần thiết • Giải thích lợi ích của chính sách 35 35 Soạn thảo chính sách Chính sách với extranet và truy cập từ bên thứ ba: • Extranet: phân vùng mạng riêng được thiết lập như là một phân vùng mở rộng cho đối tác của tổ chức • Chỉ chấp nhận truy cập cho mục đích công việc • Xác định các biện pháp giám sát • Truy cập từ bên thứ 3 nên được giám sát ở mức độ cao hơn • Thời hạn truy cập và cách thức dừng truy cập • Hình phạt kỷ luật và hậu quả khi vi phạm 36 36 18
Soạn thảo chính sách • Mật khẩu: • Độ dài tối thiểu của mật khẩu • Các dạng ký tự phải sử dụng • Số lần xác thực thất bại tối đa • Thời gian sử dụng mật khẩu tối đa • … • Tài khoản người dùng và phân quyền • Người dùng không được phép truy cập tới vùng tài nguyên không có quyền • Người dùng không được phép ngăn chặn, cản trở người dùng khác truy cập tài nguyên • Người dùng phải bảo vệ tài khoản cá nhân • Người dùng không được chia sẻ tài khoản với người khác 37 37 Soạn thảo chính sách • Truy cập từ xa và truy cập không dây WiFi • Sử dụng mô hình phân quyền theo vai (RBAC): • Xác định rõ các vai trò trong hệ thống • Gán quyền cho vai • Gán tài khoản người dùng vào đúng vai • Truy cập tới các tài nguyên quan trọng nên được xác thực bằng nhiều yếu tố • Chính sách về VPN • Chính sách về truy cập Internet và Email • Chính sách về an toàn mạng • Chính sách về an toàn truy cập vật lý 38 38 19
Soạn thảo chính sách Chính sách về ATBM cho máy chủ: • Đối tượng áp dụng: nhân viên có quyền truy cập trên hệ thống máy chủ • Xác định tên, chức danh, vị trí công việc của nhân viên vận hành và bảo trì • Tên các hệ thống máy chủ và dịch vụ đang cung cấp trên đó • Yêu cầu về tài khoản, mật khẩu • Yêu cầu về cấu hình (tham khảo Security Baseline cụ thể) • Yêu cầu về kiểm tra, giám sát • Yêu cầu về sao lưu, khôi phục 39 39 Một số lưu ý • Nếu chính sách quá phức tạp, không ai thực hiện theo • Nếu chính sách ảnh hưởng tới hoạt động của tổ chức, không được chấp nhận • Rõ ràng và ngắn gọn. Hạn chế các câu phức hợp gây ra sự nhập nhằng • Xác định rõ ràng các hành động có thể/không được phép • Khẳng định sự quan trọng của chính sách • Nêu rõ điều khoản xử lý vi phạm • Thông báo rộng rãi bằng nhiều hình thức • Đào tạo và huấn luyện, diễn tập • Đánh giá và cập nhật chính sách một cách định kỳ 40 40 20