Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu phát triển giải pháp dò quét lỗ hổng trong các hệ thống thông tin

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:81

Thêm vào BST

Báo xấu

7
lượt xem 2
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn tập trung hướng đến nghiên cứu, tìm hiểu các công nghệ và kỹ thuật dò quét lỗ hổng ATTT, từ đó phát triển hệ thống thử nghiệm phát hiện những lỗ hổng bảo mật của hệ thống bao gồm cả thiết bị mạng và phần mềm ứng dụng.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu phát triển giải pháp dò quét lỗ hổng trong các hệ thống thông tin

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2021
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Quản lý hệ thống thông tin Mã số : 8480205.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HƯỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN NGỌC HÓA Hà Nội - 2021
Lời cảm ơn LỜI CẢM ƠN Qua quá trình nghiên cứu rèn luyện tại Trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, với sự hướng dẫn, giảng dạy tận tụy của các Giáo sư, Tiến sĩ đã tạo điều kiện cho tác giá hoàn thành chương trình học tập và Luận văn tốt nghiệp của mình. Bằng tất cả lòng kính trọng và biết ơn, tác giả xin gửi lời cảm ơn đến Ban Giám hiệu, các khoa, phòng và các thầy đã nhiệt tình giúp đỡ. Đặc biệt, tác giả xin gửi lời cảm ơn đến Thầy hướng dẫn PGS.TS Nguyễn Ngọc Hóa đã nhiệt tình giúp đỡ tôi trong quá trình học tập và nghiên cứu, để tôi có thể hoàn thành tốt bài luận văn của mình. Mặc dù đã cố gắng để hoàn thành luận văn, nhưng với điều kiện về thời gian và trình độ của mình còn hạn chế nên sẽ không tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp thầy, cô và các bạn để hoàn thành tốt hơn bài luận văn của mình. Tôi xin chân thành cảm ơn! Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng
Lời cam đoan LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp “Nghiên cứu phát triển giải pháp dò quét lỗ hổng trong các hệ thống thông tin” là công trình nghiên cứu thực sự của của bản thân, được xây dựng và thực hiện trên các cơ sở khảo sát, nghiên cứu tình hình thực tiễn và dưới sự hướng dẫn khoa học của PGS.TS. Nguyễn Ngọc Hóa. Những tham chiếu từ các nghiên cứu liên quan đều được nêu rõ trong tài liệu tham khảo. Các kết quả số liệu trình bày trong luận văn là hoàn toàn trung thực. Nếu sai tôi xin chịu hoàn toàn trách nhiệm và chịu mọi kỷ luật của khoa và nhà trường đề ra. Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng
Mục lục MỤC LỤC LỜI CẢM ƠN ....................................................................................................................II LỜI CAM ĐOAN...............................................................................................................II DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .................................................... IV DANH MỤC BẢNG BIỂU ............................................................................................... V DANH MỤC HÌNH VẼ................................................................................................... VI MỞ ĐẦU .............................................................................................................................. 1 CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG ............................................................................................................. 3 1.1. Quy trình đánh giá rủi ro ........................................................................................ 3 1.1.1. Tổng quan về đánh giá rủi ro ............................................................................... 3 1.1.2. Quy trình đánh giá rủi ro ATTT .......................................................................... 3 1.1.3. Quy trình quản lý rủi ro an toàn thông tin ........................................................... 4 1.1.3.1. Thiết lập ngữ cảnh ........................................................................................ 4 1.1.3.2. Đánh giá rủi ro .............................................................................................. 5 1.2. Đánh giá rủi ro hệ thống thông tin ......................................................................... 6 1.2.1. Tại sao phải đánh giá rủi ro lỗ hổng bảo mật ...................................................... 6 1.2.1.1. Xác đinh mức độ an ninh của hệ thống ........................................................ 7 1.2.1.2. Phòng ngừa, giảm thiểu rủi ro trong tương lai ............................................. 7 1.2.2. Phương pháp tiếp cận .......................................................................................... 7 1.2.3. Khó khăn trong đánh giá rủi ro ............................................................................ 8 1.2.4. Các tiêu chí trong quản lý rủi ro .......................................................................... 9 1.2.4.1. Tiêu chí ước lượng ........................................................................................ 9 1.2.4.2. Tiêu chí tác động........................................................................................... 9 1.2.4.3. Tiêu chí chấp nhận rủi ro .............................................................................. 9 1.2.5. Quy trình thực hiện đánh giá rủi ro ................................................................... 10 1.2.5.1. Phương pháp đánh giá ................................................................................ 10 1.2.5.2. Quy trình thực hiện đánh giá ...................................................................... 11 1.3. Tổng kết chương ..................................................................................................... 13 CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT .................................... 14 2.1. Bài toán đặt ra ........................................................................................................ 14 2.2. Phương pháp giải quyết bài toán .......................................................................... 14
Mục lục 2.2.1. Hướng đi cho bài toán ....................................................................................... 14 2.2.2. Xây dựng phần mềm dò quét các lỗ hổng ......................................................... 15 2.3. Kỹ thuật phân tích, đánh giá rủi ro ATTT .......................................................... 17 2.3.1. Phương pháp đánh giá rủi ro OWASP .................................................................. 17 2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS ............................................. 22 2.3.2.1. Giới thiệu .................................................................................................... 22 2.3.2.2. Đánh giá mức độ nghiêm trọng .................................................................. 24 2.3.2.3. Chuỗi Vector ............................................................................................... 25 2.3.2.4. Thuật toán tính CVSS v3.1 ......................................................................... 26 2.4. Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin ........................................... 29 2.4.1. Kỹ thuật dò quét mạng....................................................................................... 30 2.4.2. Dò quét lỗ hổng bảo mật.................................................................................... 31 2.5. Đánh giá lựa chọn công nghệ xây dựng công cụ dò quét .................................... 34 2.5.1. OpenVAS ........................................................................................................... 34 2.5.2. Metasploit Framework ....................................................................................... 35 2.5.3. Nessus ................................................................................................................ 36 2.5.4. Lựa chọn giải pháp ............................................................................................ 37 2.6. Tổng kết chương ..................................................................................................... 38 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ, DÒ QUYÉT LỖ HỔNG ....... 39 3.1. Xây dựng hệ thống ................................................................................................. 39 3.1.1. Môi trường phát triển ......................................................................................... 39 3.1.2. Cài đặt thư viện nền tảng ................................................................................... 39 3.2. Xây dựng các mô-đun với các thư viện nền tảng hệ thống ................................. 44 3.2.1. Mô-đun phát hiện nguy cơ, lỗ hổng dựa trên CSDL mẫu thử .............................. 44 3.2.2. Mô-đun dò quét lỗ hổng hệ thống CNTT ............................................................. 46 3.3. Xây dựng mô-đun quản lý tác vụ xác định rủi ro ............................................... 47 3.4. Kết luận chương......................................................................................................... 56 CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ .......................................................... 57 4.1. Thực nghiệm rà quét lỗ hổng bảo mật..................................................................... 57 4.1.1. Môi trường thực nghiệm ....................................................................................... 57 4.1.2. Thông tin chung trên hệ thống .............................................................................. 57 4.2. Kiểm thử đánh giá rủi ro ATTT hệ thống .............................................................. 59 4.2.1. Danh mục hệ thống tham gia kiểm thử ................................................................. 59 4.2.2. Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn .................. 61 4.2.3. Kịch bản thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn .................. 64 4.3. Thử nghiệm so sánh, đánh giá kết quả so với Nessus ............................................ 67
Mục lục 4.4. Kết luận chương......................................................................................................... 67 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ...................................................................... 68 TÀI LIỆU THAM KHẢO................................................................................................ 69
Danh mục các ký hiệu và chữ viết tắt DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Giải thích Kí hiệu Tiếng Anh Tiếng Việt ATTT An toàn thông tin CVE Common Vulnerabilities and Exposures Các lỗ hổng bảo mật thông dụng CNTT Công nghệ thông tin Hệ thống chấm điểm lỗ hổng bảo mật CVSS Common Vulnerability Scoring System phổ biến Framework Khung phát triển ứng dụng GVM Greenbone Vulnerability Management Trình quản lý lỗ hổng Greenbone International Organization for ISO Tổ chức Quốc tế về Tiêu chuẩn hóa Standardization National Institute of Standards and Viện Tiêu chuẩn và Công nghệ Quốc NIST Technology gia NVT Network vulnerability test Tệp các mẫu dò quét lỗ hổng Ngôn ngữ tấn công dạng kịch bản NASL Nessus Attack Scripting Language Nessus Open Vulnerability Assessment Hệ thống quét và đánh giá các lỗ OpenVAS Scanner hổng mở OSP Open scanner protocol Giao thức dò quét mở OWASP Open Web Application Security Project Dự án an toàn ứng dụng Web mở
Danh mục bảng biểu DANH MỤC BẢNG BIỂU Bảng 1.1 - Bảng tổng hợp các nhiệm vụ đánh giá rủi ro .................................................... 13 Bảng 2.1 - Xác định mức độ nghiêm trọng của rủi ro ........................................................ 21 Bảng 2.2 - Xác định khả năng xảy ra ................................................................................. 22 Bảng 2.3 - Xác định tác động ............................................................................................. 22 Bảng 2.4 - Xác định mức độ nghiêm trọng ........................................................................ 22 Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng .............................................................. 25 Bảng 2.6 - Các vectơ Cơ sở, Tạm thời và Môi trường ....................................................... 26 Bảng 2.7 - Giá trị các số liệu .............................................................................................. 29 Bảng 3.1 - Bảng các ca sử dụng mô-đun quản lý tác vụ .................................................... 49 Bảng 3.2 - Lược đồ cơ sở dữ liệu ....................................................................................... 51 Bảng 3.3 - Ca sử dụng Tạo mới tác vụ xác định rủi ro ...................................................... 52 Bảng 3.4 - Ca sử dụng hiển thị danh sách tác vụ dò quét xác định rủi ro .......................... 53 Bảng 3.5 - Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro ......................................... 53 Bảng 3.6 - Ca sử dụng Xóa tác vụ dò quét rủi ro ............................................................... 54 Bảng 3.7 - Ca sử dụng Khởi động tiến trình dò quét rủi ro trong hệ thống ....................... 55 Bảng 3.8 - Ca sử dụng Tạm dừng tiến trình dò quét rủi ro trong hệ thống ........................ 55 Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dò quét rủi ro trong hệ thống ........................... 56 Bảng 4.1 - Tổng hợp kết quả so sánh đánh giá rủi ro ATTT giữa Nessus và vScanner .... 67
Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1 - Sơ đồ thể hiện quy trình quản lý rủi ro ............................................................... 4 Hình 1.2 - Các bước đánh giá rủi ro ..................................................................................... 5 Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro ................................................ 7 Hình 2.1 - Mô hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT................ 15 Hình 2.2 - Mô hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT ............... 16 Hình 2.3- Kiến trúc của HostScanner ................................................................................. 17 Hình 2.4- Các nhóm số liệu của CVSS .............................................................................. 23 Hình 2.5- Các số liệu và phương trình CVSS .................................................................... 24 Hình 2.6- Các bước kỹ thuật thực hiện dò quét lỗ hổng bảo mật ....................................... 30 Hình 2.7- Phần mềm Zenmap sử dụng công cụ Nmap để dò quét mạng ........................... 31 Hình 2.8- Kiến trúc của OpenVAS..................................................................................... 35 Hình 2.9- Minh hoạ kết quả dò quét sử dụng Metaspoit Nexpose ..................................... 36 Hình 3.1 - Cài đặt Python ................................................................................................... 42 Hình 3.2 - Cài đặt pip3 ....................................................................................................... 42 Hình 3.3 - Cài đặt các thư viện nền tảng ............................................................................ 42 Hình 3.4 - Cài đặt ospd_scanner ......................................................................................... 43 Hình 3.5 - Cài đặt ospd-ikeprobe ....................................................................................... 44 Hình 3.6 - Minh hoạ một số mẫu thử lỗ hổng của OpenVAS ............................................ 45 Hình 3.7 - Kết quả thi hành các mẫu dò quét NVTs .......................................................... 47 Hình 3.8 - Biểu đồ tuần tự minh hoạ chức năng quản lý tác vụ ......................................... 50 Hình 3.9 – các chức năng quản lý danh mục dò quét rủi ro ............................................... 51 Hình 3.10 - Các chức năng Quản lý tác vụ dò quét xác định rủi ro ATTT ........................ 54 Hình 4.1 - Màn hình thống kê các dữ liệu NVTs, CVEs.................................................... 57 Hình 4.2 - Chi tiết các mẫu thử lỗ hổng NVTs .................................................................. 58 Hình 4.3 - Danh mục chi tiết các tập lỗ hổng CVEs .......................................................... 58 Hình 4.4 - Màn hình thống kê các lỗ hổng đã được phát hiện ........................................... 58 Hình 4.5 - Danh mục hệ thống tham gia kiểm thử ............................................................. 59 Hình 4.6 - Khởi tạo hệ thống đánh giá ............................................................................... 60 Hình 4.7 - Khởi tạo tác vụ dò quét lỗ hổng ........................................................................ 60
Danh mục hình vẽ Hình 4.8- Tiến trình thực hiện dò quét lỗ hổng .................................................................. 61 Hình 4.9 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn .................. 61 Hình 4.10 - Thông tin chi tiết rủi ro SSL/TLS: Certificate Expired .................................. 62 Hình 4.11 - Thông tin kết quả đánh giá hệ thống máy chủ web vnptsmartads.vn ............. 62 Hình 4.12 - Báo cáo chi tiết lỗ hổng FTP Unencrypted Cleartext Login ........................... 63 Hình 4.13 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn ................ 64 Hình 4.14 - Thông tin chi tiết rủi ro SSL/TLS ................................................................... 65 Hình 4.15- Thông tin kết quả đánh giá hệ thống web smartcloud.vn ................................ 65 Hình 4.16 - Báo cáo chi tiết lỗ hổng SSL/TLS................................................................... 66 Hình 4.17 - Thông tin kết quả đánh giá hệ thống vnptsmartads.vn trên Nessus ................ 67
Mở đầu MỞ ĐẦU Với sự phát triển mạnh mẽ về công nghệ thông tin trên toàn thế giới, con người đang được giải phóng dần sức lao động trong hầu hết các lĩnh vực. Điều đó cũng chính là thách thức mà con người phải đối diện khi bước vào kỹ nguyên số, đó là mọi thông tin đều được lưu trữ và có thể truyền tải đến bất kỳ đâu, bất kể khi nào. Cũng chí vì vậy, vấn đề về an toàn bảo mật thông tin đang được đặt lên hàng đầu, và là vấn đề cấp thiết với mọi tổ chức, mọi quốc gia trên toàn thế giới, trong đó có Việt Nam. Theo kết quả thống kê được công bố từ “Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu” do tổ chức Global Cyber-security - GCI năm 2020 thì Việt Nam vươn lên vị trí 25 trong danh sách 194 quốc giá trên thế giới, xếp thứ 7 trong khu vực Châu Á và thứ 4 khu vực Đông Nam Á. Mặc dù đã được cải thiện về thứ bậc so với các nước trên thế giới, Việt Nam vẫn cần phải nổ lực hơn nữa để duy trì và cải thiện thứ bậc hiện tại, cũng như hiện thực hóa mục tiêu trở thành quốc gia về an ninh mạng. Trong đó công tác đảm bảo an toàn thông tin vẫn cần phải được chú trọng và đầu tư thích đáng. Bên cạnh đó, các tổ chức tội phạm ngày càng tinh vi và nguy hiểm khi luôn tìm cách áp dụng các công nghệ cao vào các mục đích phá hoại, đánh cắp thông tin, gián điệp… gây nên hậu quả ngày càng nghiêm trọng, nguy cơ mất ATTT là hiện hữu và ngày càng trở nên nguy hiểm. Luận văn tập trung hướng đến nghiên cứu, tìm hiểu các công nghệ và kỹ thuật dò quét lỗ hổng ATTT, từ đó phát triển hệ thống thử nghiệm phát hiện những lỗ hổng bảo mật của hệ thống bao gồm cả thiết bị mạng và phần mềm ứng dụng. Việc dò quét lỗ hổng sẽ được kết hợp cả phương pháp kiểm thử hộp trắng lẫn kiểm thử hộp đen và sử dụng tập dữ liệu mẫu dò quét đã được cộng đồng nghiên cứu về ATTT công bố. Dựa trên các kết quả dò quét lỗ hổng, hệ thống có thể đưa ra được bản đánh giá chi tiết các nguy cơ tiềm ẩn mà hệ thống có thể gặp phải, giúp các tổ chức giảm thiểu rủi ro và nguy cơ về ATTT. Chương 1: Cơ sở lý thuyết phục vụ công tác đánh giá, quản lý rủi ro ATTT, bao gồm các bộ tiêu chuẩn cả trong nước và một số chuẩn quốc tế. Nghiên cứu đánh giá bao gồm các chuẩn quốc tế về đánh giá ATTT trong đó tập trung nghiên cứ khái quát bộ tiêu chuẩn ISO/IEC 2700x, trên cơ sở đó, trực tiếp đi sâu nghiên cứu về các chuẩn ISO/IEC 27001:2013 – Các yêu cầu về hệ thống quản lý ATTT, chuẩn Học viên: Nguyễn Việt Dũng 1
Mở đầu ISO/IEC 27005:2011 – Quản lý rủi ro ATTT. Nghiên cứu, đánh giá và quản lý rủi ro theo các tiêu chuẩn của NIST. Chương 2: Giải pháp phân tích, đánh giá rủi ro ATTT Dựa trên đánh giá nhu cầu thực tế, luận văn nêu ra yêu cầu bài toán về xây dựng bộ giải pháp về đánh giá, dò quét lỗ hổng về ATTT của các hệ thống. Từ đó đặt ra giải pháp xây dựng phần mềm với các chức năng dò quét từ xa lỗ hổng dẫn đến rủi ro ATTT. Mô tả khung kiến trúc tổng thể giải pháp và chi tiết các thành phần. Bên cạnh đó cũng có đánh giá, so sánh với các giải pháp hiện đang có làm sở cứ lựa chọn nền tảng cho ứng dụng. Chương 3: Xây dựng hệ thống đánh giá, dò quét lỗ hổng bảo mật vScanner. Từ các nội dung đã mô tả về khung giải pháp và các thành phần trong chương 2, trong chương này trình bày chi tiết về xây dựng hệ thống triển khai, bao gồm môi trường phát triển, các thư viện nền tảng nhằm giải quyết được yêu cầu đặt ra. Bên cạnh đó, nhóm nghiên cứu chúng tôi thực hiện phối hợp, xây dựng các module trong bộ hệ thống tổng thể có khả năng thực hiện dò quét, đánh giá lỗ hổng dẫn đến rủi ro ATTT. Chương 4: Thực nghiệm và so sánh. Trong chương này trình bày chi tiết về thực nghiệm và đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển và các thông tin chung trên hệ thống. Tiến hành thực nghiệm dò quét trên một số máy chủ web, từ đó đưa ra được kết quả và đánh giá giải pháp. Bên cạnh đó cũng thực hiện so sánh với một số sản phẩm thương mại đang cung cấp trên thị trường hiện nay. Kết quả của luân văn thể hiện được tính hiểu biết về các quy trình đánh giá không chi trong nước và cả quốc tế, dựa trên nhưng cơ sở lý thuyết cùng với sự hướng dẫn tận tình của thầy, nhóm nghiên cứu đã xây dựng bộ giải pháp dùng cho dò quét và đánh giá rủi ro ATTT của các hệ thống. Mặc dù đã cố gắng hoàn thiện luận văn một cách tốt nhất, nhưng do năng lực và trình độ hiểu biết còn hạn chế, nên trong luận văn có những thiếu sót không thể tránh khỏi. Rất mong được sự góp ý chỉ bảo từ thầy cô trong khoa Công nghệ thông tin và các bạn để tôi có thể hoàn thiện hơn luận văn của mình. Học viên: Nguyễn Việt Dũng 2
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG 1.1. Quy trình đánh giá rủi ro 1.1.1. Tổng quan về đánh giá rủi ro Mọi thông tin và các hệ thống, quy trình, cán bộ liên quan đều là tài sản của tổ chức (Theo ISO/IEC 27001:2013). Tất cả các tài sản đều có giá trị quan trọng trong hoạt động của tổ chức và cần được bảo vệ thích hợp. Do thông tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau, nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro. Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…. Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro. Hệ thống quản lý ATTT giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Việc Hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả. 1.1.2. Quy trình đánh giá rủi ro ATTT Quản trị rủi ro với tài sản của tổ chức được chú trọng và được ưu tiên cao nhất bao gồm các tài sản của tổ chức: Con người, vật lý, thông tin. Các nhóm này được đưa vào diện kiểm soát chặt chẽ, đảm bảo các vấn đề về quy trình, nghiệp vụ của tổ chức hoạt động ổn định, tuân thủ các nguyên tác và pháp luật của quốc gia. Để xây dựng các bộ quy trình xử lý, đánh giá về các vấn đề rủi ro trong các tổ chức, cần phải định nghĩa các nguyên tắc, áp dụng vào các quy trình trong hoạt động. Từ đó yêu cầu các đơn vị tổ chức phải xây dựng và thiết lập các chỉ số hoặc mục tiêu đảm bảo hệ an toàn thông tin hệ thống. Để đánh giá được rủi ro ATTT cho hệ thống trong các tổ chức, cần thực hiện các bước như sau: Bước 1: Xây dựng bộ tiêu chí, tiêu chuẩn về an toàn thông tin. Bước 2: Thực hiện nhận diện, xác định các rủi ro có thể. Học viên: Nguyễn Việt Dũng 3
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống Bước 3: Phân tích trên cơ sở các rủi ro đã nhận diện. Bước 4: Cần phải xem xet, đánh giá theo cơ sở các rủi ro đã phân tích Để xử lý các vấn đề về rủi ro các hệ thống thông tin của tổ chức, cần thực hiện các bước chính như sau: Bước 1: Trên danh mục các biện pháp xử lý, cần phải xác định tính phù hợp, có thể cần phải xem xét các báo cáo đánh giá đã thực hiện. Bước 2: Cần xây dựng và xác định các kiểm soát cho rủi ro hệ thống, đảm bảo mức cần thiết cho các bước có thể thực hiện. Bước 3: Bắt buộc phải có kế hoạch cụ thể để có thể rà soát, xử lý các về đề về ATTT. 1.1.3. Quy trình quản lý rủi ro an toàn thông tin Khái niệm quả lý và xác định rủi ro các hệ thống của tổ chức được hiểu như là việc áp dụng các biện pháp xử lý, nhằm tiết giảm đầu tư vào nguồn lực, đảm bảo dự phòng, đánh giá và kiểm soát các rủi ro có thể. Với mục tiêu về các nghiệp vụ của tổ chức không bị ảnh hưởng, sai lệch. Kết quả mong muốn cho quản lý rủi ro là kiểm soát và điều hành tốt các hoạt động của tổ chức. Sơ đồ các luồng quản lý rủi ro theo bộ tiêu chuẩn ISO/IEC 27005:2011: Hình 1.1 - Sơ đồ thể hiện quy trình quản lý rủi ro 1.1.3.1. Thiết lập ngữ cảnh Học viên: Nguyễn Việt Dũng 4
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống Thiết lập ngữ cảnh (có thể gọi thiết lập bối cảnh) bao gồm cả bối cảnh bên ngoài và bối cảnh nội bộ của tổ chức cần đánh giá rủi ro ATTT: Đầu vào: Bảo gồm Toàn bộ thông tin trong tổ chức, đơn vị có liên quan tới quản lý rủi ro an toàn thông tin. Đầu ra: Tài liệu đặc tả chi tiết về kỹ thuât và các phạm vi, tiêu chí trong quy trình quản trị rủi ro hệ thống. Phương án thực hiện: Công tác quản lý rủi ro an toàn thông tin hệ thống cũng cần phải thiết lập trong và thiết lập ngoài, trong đó bao gồm các tiêu chí cơ bản cần thiết. Thiết lập ngoài: Các tác nhân bên ngoài, bao gồm các vấn đề về yếu tố xã hội, chính trị, kinh tế, môi trường văn hóa trong nước hoặc quốc tế; những yếu tố tác động để đơn vị, tổ chứ; các quan hệ của tổ chức với bên ngoài. Thiết lập trong: Các yếu tố, tác nhân mang tính bên trong của tổ chức, trong đó: Các chính sách, chiến lược, cơ cấu thành phần, môi trường quản lý, nhằm đạt được mục đích của mình; năng lực của tổ chức như con người, các định chế, quy định, quy trình; các tương quan về giao tiếp, quan hệ trong tổ chức và giữa các bên liên quan trong tổ chức đó. 1.1.3.2. Đánh giá rủi ro Nhằm xác định các nguy cơ có thể xảy ra với hệ thống, xác định các điểm yếu đang tồn tại, đánh giá mức độ tiềm ẩn, rủi ro có thể gặp phải. Từ đó, có thể phân loại và đánh giá mức độ theo thự tự các rủi ro. Đầu vào: Bao gồm tiêu chí, phạm vi, giới hạn thực hiện quản lý rủi ro. Hành động: Cần xác định định tính hoặc định lượng, sắp xếp các tiêu chí theo mức độ ưu tiên và các mục tiêu liên quan. Đầu ra: Danh sách những rủi ro đã được sắp xếp theo thứ tự ưu tiên theo các tiêu chí. Trong quy trình đánh giá rủi ro, có ba hoạt động như sau: Hình 1.2 - Các bước đánh giá rủi ro Học viên: Nguyễn Việt Dũng 5
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống a) Bước 1: Nhận biết, xác định Nhận biết rủi ro nhằm xác định nguy cơ cho hệ thống, các mỗi đe dọa tiềm ẩn, các điểm yếu đang tồn tại bên trong hệ thống, có thể lợi dụng cho các mục địch xấu. Từ đó xác định được phương thức, các mối đe dọa và tác động có thể anh hưởng thiết hại đến tài sản, hệ thống của tổ chức. Mục đích là xác định nguyên nhân có thể gây ra thiệt hại tiềm ẩn và hiểu được lí do, phương thức, thời điểm, không gian mà thiệt hại có thể xảy ra. Các hoạt động gồm: b) Bước 2: Phân tích Phân tích rủi ro nhằm xác định, đánh giá mức độ ảnh hưởng đến hệ thống, xác định nguyên nhân và bản chất rủi ro. Xác định đánh giá tác động về an toàn bảo mật thông tin từ các nguy cơ đã dự báo từ trước. Từ đó đánh giá mức độ tác động đến tổ chức hoặc tài sản của tổ chức. c) Bước 3: Ước lượng Ước lượng được căn cứ trên các bộ tiêu chí để đối chiếu quy trình phần tích nhằm xác định mức độ rủi ro, đánh giá mức độ rủi ro có nguy cao hay không. 1.2. Đánh giá rủi ro hệ thống thông tin Thông qua phân tích hiện trạng của hệ thống bao gồm mô tả hệ thống, những lần bị tấn công trong quá khứ, lỗ hổng bảo mật tồn tại, các biện pháp an toàn bảo mật đang dùng, từ đó xác định rủi ro và đánh giá ảnh hưởng của rủi ro tạo nên cho hệ thống, đồng thời đưa ra giải pháp nhằm giảm thiểu rủi ro. Mục đích của đánh giá rủi ro ATTT là thông báo cho những người ra quyết định và hỗ trợ các phản ứng rủi ro bằng cách xác định: - Các mối đe dọa liên quan đến các tổ chức hoặc các mối đe dọa được chỉ đạo thông qua các tổ chức chống lại các tổ chức khác - Các lỗ hổng cả bên trong và bên ngoài đối với các tổ chức - Tác động (tức là gây hại) cho các tổ chức có thể xảy ra do khả năng đe dọa khai thác lỗ hổng - Khả năng gây hại sẽ xảy ra. 1.2.1. Tại sao phải đánh giá rủi ro lỗ hổng bảo mật Các doanh nghiệp, tổ chức ở mọi quy mô, lĩnh vực sản xuất, cơ quan quản lý nhà nước… đều có nguy cơ về tấn công mạng, đánh cắp dữ liệu, mã hóa, lộ thông tin khách hàng hoặc thông tin nội bộ, dẫn đến phải đối mặt với những rủi ro phức tạp và lớn hơn. Không những thế, việc khắc phục hậu quả sẽ rất tốn kém về nhân lưc, thời gian, tiền bạc và uy tín của đơn vị. Vì vậy, tại sao phải đánh giá rủi ro ATTT? Có 2 lý do chính như sau: Xác định mức độ an ninh của hệ thống thông tin, phòng ngừa giảm thiểu rủi ro trong tương lại Học viên: Nguyễn Việt Dũng 6
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống của tổ chức. 1.2.1.1. Xác đinh mức độ an ninh của hệ thống - Có đánh giá tổng quan toàn bộ hệ thống thông tin của đơn vị, bao gồm các thành phần về Phần cứng, Mạng, Ứng dụng … - Đưa ra được các giải pháp khắc phục, nâng cấp và cập nhật các bản nâng cấp hệ thống thông tin có nguy cơ. 1.2.1.2. Phòng ngừa, giảm thiểu rủi ro trong tương lai - Xác định và đánh giá được các mức độ rủi ro về ứng dụng của hệ thống. Giúp đơn vị có thể quyết định nâng cấp trong tương lai. - Hệ thống thông tin hiện tại đã triển khai giải pháp đảm bảo an ninh nào, đánh giá tính hình và đề xuất triển khai nếu chưa đáp ứng được yêu cầu. - Phân loại mức độ rủi ro của hệ thống thông tin đơn vị, từ đó xác định các mục tiêu chính cho việc phòng ngừa, giảm thiểu rủi ro trong tương lai. 1.2.2. Phương pháp tiếp cận Để tích hợp quy trình quản lý rủi ro trong toàn tổ chức, cách tiếp cận theo cấp độ nhằm giải quyết nguy cơ về ATTT: - Mức 1: Cấp độ tổ chức. - Mức 2: Cấp độ nhiệm vụ/quy trình nghiệp vụ. - Mức 3: Cấp hệ thống quản lý thông tin đơn vị. Hình sau minh họa phương pháp tiếp cận theo cấp độ để quản lý rủi ro ATTT cùng với một số đặc điểm chính của nó. Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro Học viên: Nguyễn Việt Dũng 7
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống Cấp độ 1 (Tổ chức) giải quyết rủi ro từ góc độ tổ chức, thực hiện thành phần đầu tiên quản lý rủi ro (nghĩa là thiết lập khung rủi ro), cung cấp bối cảnh cho tất cả các hoạt động quản lý rủi ro được thực hiện bởi các tổ chức. Cấp độ 2 (Quy trình nghiệp vụ) bao gồm các hoạt động quản lý rủi ro: - Xác định các nhiệm vụ/quy trình kinh doanh cần thiết để hỗ trợ các nhiệm vụ và chức năng kinh doanh của tổ chức. - Ưu tiên các nhiệm vụ/quy trình nghiệp vụ liên quan đến các mục tiêu chiến lược và mục tiêu của các tổ chức. - Xác định các loại thông tin cần thiết để thành công thực hiện các nhiệm vụ/quy trình nghiệp vụ, mức độ quan trọng/độ nhạy cảm của thông tin và luồng thông tin cả bên trong và bên ngoài cho các tổ chức. - Kết hợp thông tin yêu cầu bảo mật vào các quy trình nhiệm vụ/kinh doanh. - Thành lập doanh nghiệp kiến trúc với kiến trúc bảo mật thông tin nhúng thúc đẩy hiệu quả chi phí và giải pháp công nghệ thông tin hiệu quả phù hợp với mục tiêu và mục tiêu chiến lược của tổ chức và các biện pháp thực hiện. Cấp độ 3 (Hệ thống thông tin và Dữ liệu) giải quyết rủi ro từ góc độ hệ thống thông tin và được hướng dẫn bởi bối cảnh rủi ro, quyết định rủi ro và hoạt động rủi ro ở Cấp độ 1, 2: - Phân loại hệ thống thông tin tổ chức. - Phân bổ kiểm soát an ninh cho tổ chức hệ thống thông tin và môi trường mà các hệ thống đó hoạt động phù hợp với kiến trúc doanh nghiệp được thành lập và kiến trúc bảo mật thông tin nhúng. - Quản lý việc lựa chọn, thực hiện, đánh giá, ủy quyền và đang diễn ra giám sát các kiểm soát an ninh được phân bổ như là một phần của hệ thống có kỷ luật và có cấu trúc quá trình phát triển vòng đời thực hiện trên toàn tổ chức. 1.2.3. Khó khăn trong đánh giá rủi ro Với sự phát triển mạnh mẽ về công nghệ thông tin trên thế giới, đã giúp các tổ chức, đơn vị giảm thiểu được sức người trong hầu hết các lĩnh vực. Nhưng bên cạnh đó, các tổ chức tội phạm công nghệ cao ngày càng tinh vi và nguy hiểm khi liên tục sử dụng công nghệ cao để sử dụng cho mục đích phá hoại, đánh cắp thông tin, gián điệp... Đòi hỏi các đơn vị cần phải tập trung đầu tư nhiều vào công tác đảm bảo an toàn thông tin của các hệ thống nội bộ. Để thực hiện được điều đó, cần phải thực hiện công tác thường xuyên dò quét, xác định các nguy cơ tiềm ẩn để có biện pháp khắc phục, tăng cường an toàn thông tin hệ thống. Vì vậy, các tổ chức đơn vị cần phải có những đầu tư chi phí cho quản trị rủi ro về an toàn thông tin cho hệ thống của mình, trong đó bao gồm các chi phí về: Phần mềm, con Học viên: Nguyễn Việt Dũng 8
Chương 1: Quy trình quản lý rủi ro và phương pháp đánh giá attt hệ thống người, quy trình ... những thách thức không nhỏ đổi với các đơn vị khi gặp khó khăn trong việc lựa chọn nhà cung cấp về giải pháp đảm bảo an ninh hệ thống. Trong khi đó các tội phạm công nghệ cao ngày càng tinh vi, đòi hỏi các giải pháp dò quét cũng phải chủ động trong việc xác định các nguy cơ tiềm ẩn, hỗ trợ người đứng đầu đơn vị có thể ra những quyết định, chính sách phù hợp. Công nghệ không ngừng phát triển, việc quản lý rủi ro an toàn thông tin đối với các tổ chức, đơn vị luôn gặp nhiều khó khăn vì các nguy cơ luôn có thể xảy ra, điều tốt nhất các đơn vị cần phải có nhứng đâu tư nghiêm túc và xây dựng những bộ tiêu chí phù hợp với tình hình thực tế. 1.2.4. Các tiêu chí trong quản lý rủi ro Trong quy trình quản lý rủi ro của đơn vị, việc thiết lập các tiêu chí cơ bản cần thiết trong hoạt động quản lý rủi ro. Từ đo xây dựng được những đặc tả cơ bản về phạm vi, giới hạn và tổ chức thực hiện. 1.2.4.1. Tiêu chí ước lượng Các tổ chức đơn vị cần phát triển các tiêu chí dùng cho ước lượng rủi ro, nó liên quan đến các nội dung sau: - Giá trị chiến lược của quy trình nghiệp vụ - Mức độ quan trọng của tài sản thông tin - Các yêu cầu pháp lý, trách nhiệm, quy định tron hợp đồng - Tính sẵn sàng, toàn vẹn, bí mật trong các hoạt động nghiệp vụ, vận hành - Uy tín của đơn vị, tổ chức và nhận thức của các bên liên quan Các tiêu chí dùng cho ước lượng rủi ro cũng dùng cho việc xác định các mức độ ưu tiên trong đánh giá và xử lý rủi ro. 1.2.4.2. Tiêu chí tác động Cần phải xác định các tiêu chí tác động theo mức độ thiệt hại từ các nguyên nhân về an toàn thông tin có liên quan gây ra cho tổ chức. - Phân loại tài sản bị tác động theo mức độ - Vi phạm an toàn thông tin - Mức độ yếu kém trong quản trị, vận hành - Thiệt hại về tài chính, nghiệp vụ - Ảnh hưởng kế hoạch và thời hạn - Ảnh hưởng đến uy tín của đơn vị - Vị phạm hợp đồng hoặc các yêu cầu về pháp lý, quy định 1.2.4.3. Tiêu chí chấp nhận rủi ro Tiêu chí chấp nhận rủi ro phụ thuộc vào các chính sách, mục tiêu của các bên liên quan. Mỗi đơn vị cần xác định cho mình bộ tiêu chí riêng theo các nội dung sau: Học viên: Nguyễn Việt Dũng 9