HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
Nguyễn Hữu Đức
NGHIÊN CỨU VÀ ĐÁNH GIÁ GIẢI PHÁP QUẢN LÝ TRUY
CẬP ĐẶC QUYỀN CYBERARK
Chuyên ngnh: K thut Vin thông
M s: 8.52.02.08
TM TT ĐỀ ÁN TT NGHIP THẠC
H NI NĂM 2023
Đề án tốt nghiệp được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS. TS. Đặng Hoài Bắc
Phản biện 1:
Phản biện 2:
Đề án tốt nghiệp sẽ được bảo vệ trước Hội đồng chấm đề án tốt nghiệp thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ...............
Có thể tìm hiểu đề án tốt nghiệp tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông.
1
M ĐU
Ngày nay, các tổ chức, doanh nghiệp dành nhiều thời gian tiền bạc cho công tác
đảm bảo an toàn bảo mật cho các hệ thống công nghệ thông tin của đơn vị. Có rất nhiều hình
thức tấn công đang ngày càng tinh vi và gây nhiều khó khăn cho các tổ chức để phát hiện và
ngăn chặn các mối nguy hại từ bên ngoài bên trong. Với một tổ chức, doanh nghiệp lớn,
có thể có hàng ngàn con người và mỗi một người có thể quản lý từ một vài đến hàng trăm hệ
thống. Mỗi hệ thống đều được kiểm soát bởi các tài khoản đặc quyền. thể nói rằng tài
khoản đặc quyền chính là chìa khóa cho mọi hoạt động của tổ chức, việc quản lý và giám sát
các tài khoản này là cực kỳ quan trọng.
Bên cạnh đó, các tài khoản đặc quyền do người dung nắm giữ mục tiêu chính của
các cuộc tấn công vi phạm dữ liệu. Việc bảo vệ chống vi phạm dữ liệu, quyền riêng của
người dùng là một cuộc chiến dai dẳng và không dễ dàng khi chúng ta chuyển sang nền kinh
tế số, chính phủ số. Những rủi ro tiềm ẩn, nguy trộm cắp dữ liệu luôn rình rập trên môi
trường mạng. Các vấn đề an ninh liên quan đến lộ lọt dữ liệu đã trở thành cuộc đấu tranh hàng
ngày của các doanh nghiệp, là thách thức thường trực cho các chuyên gia an toàn thông tin
mạng.
vậy, nhận thấy tính thiết thực của đề án, học viên xin chọn hướng nghiên cứu
“Nghiên cứu v đánh giá giải pháp quản lý truy cp đặc quyền CyberArk” làm đề án tốt
nghiệp thạc sỹ của mình.
Đề án được chia làm 3 chương chính như sau:
Chương 1: Tổng quan về giám sát và quản lý truy cập hệ thống dịch vụ
Chương 2: Giải pháp quản lý truy cập đặc quyền CyberArk
Chương 3: y dựng và đánh giá hệ thống quản lý truy cập đặc quyền CyberArk
2
CHƯƠNG 1: TNG QUAN V GIÁM SÁT VÀ TRUY CP H
THNG DCH V
1.1 Hiện trạng quản lý v giámt truy cp các hệ thng dịch vụ
1.1.1 Tổng quan về các cuộc tấn công đặc quyền
Hình 1. 1: Các giai đoạn của một cuộc tấn công từ bên ngoài
Hiện nay, phần lớn các cuộc tấn ng bắt nguồn từ bên ngoài tổ chức được khởi
xướng bởi các tác nhân đe dọa bên ngoài. Trong khi các chiến thuật cụ thể có thể khác nhau,
các giai đoạn của một cuộc tấn công bên ngoài được diễn tả theo các bước như sau:
- Xâm nhp từ bên trong hoặc bên ngoi: hiện nay, các kẻ tấn công thường sẽ thực
hiện một chiến dịch thông qua tấn công cấu hình sai tài nguyên với các tài khoản đặc quyền
bị m phạm, hoặc khởi động một cuộc tấn công lừa đảo để m phạm quyền của người dùng
hệ thống, và thiết lập một vị trí ẩn bên trong một môi trường.
- Điều khiển v kiểm soát thông qua Internet: khi đó là ransomware hoặc phần mềm
độc hại độc lập, kẻ tấn công nhanh chóng thiết lập kết nối đến một y chủ chỉ huy và kiểm
soát (C&C). Điều y cho phép hacker đánh giá môi trường lập kế hoạch thực hiện tiếp
theo.
- Xác định v nâng cao ti khoản đặc quyền: Các tác nhân đe dọa bắt đầu tìm hiểu về
mạng, cơ sở hạ tầng, đặc quyền tài khoản, danh tính chính và nội dung hoạt động chức năng
hàng ngày mức độ quan trọng của các tài nguyên. Chúng bắt đầu tìm kiếm hội để thu
3
thập thông tin xác thực bổ sung, nâng cấp đặc quyền, hoặc chỉ sử dụng các đặc quyền mà họ
đã thỏa hiệp để truy cập tài nguyên, ứng dụng và dữ liệu.
- Leo quyền ngang giữa các ti sản, ti khoản, ti nguyên v danh tính: Sau đó, các
tác nhân đe dọa tận dụng thông tin đăng nhập bị đánh cắp và kiến thức về môi trường để thỏa
hiệp tài sản bổ sung, tài nguyên và danh tính (tài khoản) thông qua tấn ng leo quyền. Điều
này tiếp tục được thực hiện thông qua môi trường của nạn nhân.
- Thăm các hội bsung: Trong khi tiếp tục xác định các điểm yếu khác như lỗ
hổng, y chủ cấu hình sai, bổ sung thông tin đăng nhập đặc quyền, mục tiêu của kẻ tấn
công là không bị phát hiện. Chúng hoạt động trong chế độ ng hình, tác nhân đe dọa thể
xác định nhiều mục tiêu hơn, cài đặt thêm phần mềm độc hại hoặc hack các công cụ mở
rộng sự hiện diện của chúng bằng cách sử dụng các ng cụ bổ sung vectơ tấn công, từ lỗ
hổng đến bị xâm nhập danh tính.
- Lọc hoặc phá hủy dữ liệu: Cuối cùng, kẻ tấn công thu thập, đóng gói và lọc ra dữ liệu
ích cho chúng, trong trường hợp xấu nhất, kẻ tấn công thường phá hủy tài sản tài nguyên
của nạn nhân (phần mềm tống tiền). Điều quan trọng phải xem lại điều đó toàn bộ chuỗi
tấn công y có thể được thực hiện bởi mối đe dọa bên trong hoặc bên ngoài, nđã đề cập
trong bước đầu tiên. Kiến thức của một người trong cuộc có thể đy nhanh tất cả những điều
này các bước và bỏ qua kiểm soát bảo mật vì chúng có thể được coi là đáng tin cậy. [2]
1.1.2 Hiện trạng v các phương thức truy cp hệ thng dịch vụ
Các tổ chức CNTT lớn có một số lượng đáng kể các tài khoản đặc quyền trong nội bộ
tổ chức. Bản thân các hệ thống thể chứa hơn một nghìn máy chủ, hàng trăm các thiết bị
mạng và thiết bị khác. Hầu hết quyền truy cập vào hệ thống sẽ cần một tài khoản chủ yếu dựa
vào tên người dùng và mật khẩu trong toàn tổ chức, việc quản lý những tài khoản là rất quan
trọng đối với tổ chức, người dùng thể truy cập tài nguyên hệ thống không cần bất k
giám sát hạn chế. Nếu một tài khoản người dùng với đặc quyền không giới hạn bị m
phạm, nó sẽ cung cấp cho những kẻ tấn công truy cập vào các hệ thống quan trọng và dữ liệu
nhạy cảm của tổ chức. Sự kiện này có thể dẫn đến vi phạm dữ liệu, đây là một vấn đề nghiêm
trọng. Năm 2019, số vụ vi phạm dữ liệu ở Hoa K lên tới 1.473, khoảng 80% trường hợp
vi phạm liên quan đến các tài khoản đặc quyền cao bị m phạm. Mặt khác, một hệ thống âm
thanh sẽ luôn đi theo nguyên tắc đặc quyền tối thiểu. [9]
Thông thường, các kết nối từ người quản trị tới các hệ thống dịch vụ có thể được chia
theo 2 hình thức: