bài 3: tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm...
DESCRIPTION
Liệt kê và giải thích các dạng tấn công vào ứng dụng Liệt kê và giải thích các dạng tấn công vào mạng Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọng của nó Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 3 Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọng của nó Phân biệt giữa quét tìm lỗ hổng và kiểm tra sự thâm nhập Liệt kê các kỹ thuật làm giảm và ngăn chặn các cuộc tấn côngTRANSCRIPT
Bài 3:Tấn công vào ứng dụng và mạng, đánh giá
khả năng thiệt hại và làm giảm các vụ tấn công
Củng cố lại bài 2
Các phần mềm độc hại lây lanVirus và Sâu
Các phần mềm độc hại dấu mìnhTrojan, Rootkit, Bom logic, và Cửa hậu
Các phần mềm độc hại kiếm lợiBotnet, Phần mềm gián điệp, Phần mềm quảng cáo, vàBộ sao lưu bàn phím
Các kỹ nghệ xã hộiThủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thưrác, và Cảnh báo giảThủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,Nhìn trộm qua vai
Các phần mềm độc hại lây lanVirus và Sâu
Các phần mềm độc hại dấu mìnhTrojan, Rootkit, Bom logic, và Cửa hậu
Các phần mềm độc hại kiếm lợiBotnet, Phần mềm gián điệp, Phần mềm quảng cáo, vàBộ sao lưu bàn phím
Các kỹ nghệ xã hộiThủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thưrác, và Cảnh báo giảThủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,Nhìn trộm qua vai
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 2
Mục tiêu của bài học
Liệt kê và giải thích các dạng tấn công vào ứng dụng
Liệt kê và giải thích các dạng tấn công vào mạng
Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọngcủa nó
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 3
Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọngcủa nó
Phân biệt giữa quét tìm lỗ hổng và kiểm tra sự thâm nhập
Liệt kê các kỹ thuật làm giảm và ngăn chặn các cuộc tấn công
Tấn công vào ứng dụng
Tấn công vào ứng dụngCác nhóm tấn công đang tiếp tục gia tăngTấn công vào các lỗ hổng chưa công bố (Zero-day)
Khai thác những lỗ hổng chưa được công bố hoặc chưađược khắc phụcNạn nhân không có thời gian chuẩn bị phòng thủ
Các dạng tấn công vào ứng dụngTấn công vào ứng dụng WebTấn công phía máy kháchTấn công làm tràn vùng đệm
Tấn công vào ứng dụngCác nhóm tấn công đang tiếp tục gia tăngTấn công vào các lỗ hổng chưa công bố (Zero-day)
Khai thác những lỗ hổng chưa được công bố hoặc chưađược khắc phụcNạn nhân không có thời gian chuẩn bị phòng thủ
Các dạng tấn công vào ứng dụngTấn công vào ứng dụng WebTấn công phía máy kháchTấn công làm tràn vùng đệm
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 4
Tấn công vàoứng dụng Web (1/3)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 5
Hình 3-1 Hạ tầng ứng dụng Web© Cengage Learning 2012
Tấn công vàoứng dụng Web (2/3)
Các ứng dụng Web là một thành phần thiết yếu của cáctổ chức hiện nayCác lỗ hổng trong các ứng dụng Web được những kẻtấn công triệt để khai thác để tiến hành các cuộc tấncôngTấn công ứng dụng Web là tấn công phía serverCác phương pháp đảm bảo an toàn cho ứng dụng Web
Củng cố server Web (Web server)Bảo vệ hệ thống mạng
Các ứng dụng Web là một thành phần thiết yếu của cáctổ chức hiện nayCác lỗ hổng trong các ứng dụng Web được những kẻtấn công triệt để khai thác để tiến hành các cuộc tấncôngTấn công ứng dụng Web là tấn công phía serverCác phương pháp đảm bảo an toàn cho ứng dụng Web
Củng cố server Web (Web server)Bảo vệ hệ thống mạng
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 6
Tấn công vàoứng dụng Web (3/3)
Các dạng tấn công ứng dụng Web phổ biến (*)Kịch bản giữa các trạm (Cross-site scripting) (XSS)Tiêm nhiễm SQL (SQL Injection)Tiêm nhiễm XML (XML Injection)Duyệt thư mục (Directory Traversal) (SV tự đọc sách)Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)
Các dạng tấn công ứng dụng Web phổ biến (*)Kịch bản giữa các trạm (Cross-site scripting) (XSS)Tiêm nhiễm SQL (SQL Injection)Tiêm nhiễm XML (XML Injection)Duyệt thư mục (Directory Traversal) (SV tự đọc sách)Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 7
Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (1/3)
Tiêm nhiễm mã kịch bản vào một máy chủ ứng dụngWeb
Tấn công trực tiếp từ máy khách
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 8
Hình 3-3 Tấn công XSS© Cengage Learning 2012
Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (2/3)
Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:Các chỉ lệnh độc hại được gửi tới trình duyệt của nạnnhân
Trình duyệt không thể phân biệt được đâu là mã hợp lệ,đâu là mã độcWeb site bị tấn công có đặc điểm
Chấp nhận dữ liệu đầu vào của người dùng mà khôngcần kiểm tra tính hợp lệSử dụng dữ liệu đầu vào trong một phản hồi không đượcmã hóa
Một số vụ tấn công XSS được thiết kế nhằm đánh cắpthông tin:
Thông tin được lưu giữ bởi trình duyệt
Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:Các chỉ lệnh độc hại được gửi tới trình duyệt của nạnnhân
Trình duyệt không thể phân biệt được đâu là mã hợp lệ,đâu là mã độcWeb site bị tấn công có đặc điểm
Chấp nhận dữ liệu đầu vào của người dùng mà khôngcần kiểm tra tính hợp lệSử dụng dữ liệu đầu vào trong một phản hồi không đượcmã hóa
Một số vụ tấn công XSS được thiết kế nhằm đánh cắpthông tin:
Thông tin được lưu giữ bởi trình duyệt
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 9
Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (2/3)
Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (3/3)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 10
Hình 3-5 Dữ liệu được sử dụng trong phản hồi© Cengage Learning 2012
Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (2/3)
Tấn công vào ứng dụng Web- Tiêm nhiễm SQL (1/3)
Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễmlệnhSQL (Structured Query Language)
Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữliệu quan hệ
Cách thức thực hiệnKẻ tấn công nhập vào các địa chỉ e-mail sai định dạngPhản hồi cho phép kẻ tấn công biết dữ liệu đầu vào cóđược kiểm tra tính hợp lệ hay không
Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễmlệnhSQL (Structured Query Language)
Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữliệu quan hệ
Cách thức thực hiệnKẻ tấn công nhập vào các địa chỉ e-mail sai định dạngPhản hồi cho phép kẻ tấn công biết dữ liệu đầu vào cóđược kiểm tra tính hợp lệ hay không
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 11
Tấn công vào ứng dụng Web- Tiêm nhiễm SQL (2/3)
Ví dụ quên mật khẩuKẻ tấn công nhập trường e-mail vào lệnh SQLLệnh SQL được cơ sở dữ liệu xử lýVí dụ lệnh SQL:SELECT fieldlist FROM table WHERE field =‘whatever’ or ‘a’=‘a’Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽđược hiển thị
Ví dụ quên mật khẩuKẻ tấn công nhập trường e-mail vào lệnh SQLLệnh SQL được cơ sở dữ liệu xử lýVí dụ lệnh SQL:SELECT fieldlist FROM table WHERE field =‘whatever’ or ‘a’=‘a’Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽđược hiển thị
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 12
Tấn công vào ứng dụng Web- Tiêm nhiễm SQL (3/3)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 13
Bảng 3-1 Các lệnh tiêm nhiễm SQL
Tấn công vào ứng dụng Web- Tiêm nhiễm XML (1/2)
Ngôn ngữ đánh dấuPhương thức thêm các chú thích cho văn bản
HTMLSử dụng các thẻ (tag) được đặt trong các dấu ngoặcnhọnChỉ thị cho trình duyệt hiển thị văn bản theo định dạngcụ thể
XMLChứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệuKhông có tập thẻ được định nghĩa sẵn
Người dùng tự định nghĩa các thẻ của họ
Ngôn ngữ đánh dấuPhương thức thêm các chú thích cho văn bản
HTMLSử dụng các thẻ (tag) được đặt trong các dấu ngoặcnhọnChỉ thị cho trình duyệt hiển thị văn bản theo định dạngcụ thể
XMLChứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệuKhông có tập thẻ được định nghĩa sẵn
Người dùng tự định nghĩa các thẻ của họ
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 14
Tấn công vào ứng dụng Web- Tiêm nhiễm XML (2/2)
Tấn công XMLTương tự như tấn công thông qua tiêm nhiễm SQLKẻ tấn công phát hiện Web site không lọc dữ liệu ngườidùngTiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu
Tiêm nhiễm XpathXác định kiểu tấn công tiêm nhiễm XMLCố gắng khai thác các truy vấn XML Path Language
Tấn công XMLTương tự như tấn công thông qua tiêm nhiễm SQLKẻ tấn công phát hiện Web site không lọc dữ liệu ngườidùngTiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu
Tiêm nhiễm XpathXác định kiểu tấn công tiêm nhiễm XMLCố gắng khai thác các truy vấn XML Path Language
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 15
Tấn công phía client
Tấn công phía client (máy khách)Nhằm vào các lỗ hổng của các ứng dụng trên clientKhi client tương tác với một server bị xâm hạiKhi client khởi tạo kết nối tới server, kết nối này có thểgây ra vụ tấn công
Các dạng phổ biến tấn công phía clientXử lý phần đầu của HTTP (HTTP Header Manipulation)Sử dụng Cookie và các file đính kèmCướp theo phiên (Session Hijacking)Các phần phụ trợ (add-ons) độc hại (SV tự đọc)
Tấn công phía client (máy khách)Nhằm vào các lỗ hổng của các ứng dụng trên clientKhi client tương tác với một server bị xâm hạiKhi client khởi tạo kết nối tới server, kết nối này có thểgây ra vụ tấn công
Các dạng phổ biến tấn công phía clientXử lý phần đầu của HTTP (HTTP Header Manipulation)Sử dụng Cookie và các file đính kèmCướp theo phiên (Session Hijacking)Các phần phụ trợ (add-ons) độc hại (SV tự đọc)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 16
Tấn công phía máy khách- Xử lý phần đầu của HTTP (1/2)
Xử lý phần đầu của HTTPPhần đầu của HTTP chứa các trường mô tả dữ liệu đangđược truyền nhậnPhần đầu của HTTP có thể bắt nguồn từ một trình duyệt
Trình duyệt thông thường không cho phép xử lý phần đầu đóChương trình của kẻ tấn công có thể xử lý phần đầu đó
Xử lý phần đầu của HTTPPhần đầu của HTTP chứa các trường mô tả dữ liệu đangđược truyền nhậnPhần đầu của HTTP có thể bắt nguồn từ một trình duyệt
Trình duyệt thông thường không cho phép xử lý phần đầu đóChương trình của kẻ tấn công có thể xử lý phần đầu đó
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 17
Tấn công phía máy khách- Xử lý phần đầu của HTTP (2/2)
Trường Referer (Tham chiếu)Cho biết site tạo ra trang WebKẻ tấn công có thể thay đổi trường này để ẩn thông tintrang Web được bắt nguồn từ đâuĐiều chỉnh để trang Web được lưu trữ trên máy tính củakẻ tấn công
Trường Accept-Language (Ngôn ngữ chấp nhận)Một số ứng dụng Web truyền trực tiếp nội dung củatrường này tới cơ sở dữ liệuKẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thayđổi trường này
Trường Referer (Tham chiếu)Cho biết site tạo ra trang WebKẻ tấn công có thể thay đổi trường này để ẩn thông tintrang Web được bắt nguồn từ đâuĐiều chỉnh để trang Web được lưu trữ trên máy tính củakẻ tấn công
Trường Accept-Language (Ngôn ngữ chấp nhận)Một số ứng dụng Web truyền trực tiếp nội dung củatrường này tới cơ sở dữ liệuKẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thayđổi trường này
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 18
Tấn công phía máy khách- Sử dụng cookie
Cookie lưu trữ thông tin của người dùng trên máy tính cục bộCác web site sử dụng cookie để nhận biết khi khách truy cập lạiMột số ví dụ thông tin được lưu trữ trong cookieChỉ Web site tạo ra cookie mới có thể đọc được cookieCookie gây ra rủi ro đối với sự bảo mật và tính riêng tưCác loại cookie:
Cookie của bên thứ nhất (First-party cookie)Cookie của bên thứ ba (Third-party cookie)Cookie theo phiên (Session cookie)Cookie bền (Persistent cookie)Cookie bảo mật (Secure cookie)Flash cookie (cookie Flash)
Cookie lưu trữ thông tin của người dùng trên máy tính cục bộCác web site sử dụng cookie để nhận biết khi khách truy cập lạiMột số ví dụ thông tin được lưu trữ trong cookieChỉ Web site tạo ra cookie mới có thể đọc được cookieCookie gây ra rủi ro đối với sự bảo mật và tính riêng tưCác loại cookie:
Cookie của bên thứ nhất (First-party cookie)Cookie của bên thứ ba (Third-party cookie)Cookie theo phiên (Session cookie)Cookie bền (Persistent cookie)Cookie bảo mật (Secure cookie)Flash cookie (cookie Flash)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 19
Tấn công phía máy khách- Cướp theo phiên
Khi người dùng đăng nhập bằng username (tên ngườidùng) và password (mật khẩu),
server ứng dụng Web sẽ gán cho một thẻ phiênMỗi yêu cầu tiếp theo từ trình duyệt Web của người dùngsẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất
Cướp theo phiênlà một dạng tấn công trong đó kẻ tấn công có ý định mạodanh người dùng bằng cách sử dụng thẻ phiên của anh ta.
Kẻ tấn công mạo danh người dùng bằng cách:đánh cắp thẻ phiênđoán thẻ phiên
Khi người dùng đăng nhập bằng username (tên ngườidùng) và password (mật khẩu),
server ứng dụng Web sẽ gán cho một thẻ phiênMỗi yêu cầu tiếp theo từ trình duyệt Web của người dùngsẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất
Cướp theo phiênlà một dạng tấn công trong đó kẻ tấn công có ý định mạodanh người dùng bằng cách sử dụng thẻ phiên của anh ta.
Kẻ tấn công mạo danh người dùng bằng cách:đánh cắp thẻ phiênđoán thẻ phiên
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 20
Tấn công làm tràn vùng đệm
Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượtquá giới hạn của bộ đệm lưu trữ cố địnhDữ liệu tràn được đẩy sang các vùng nhớ lân cậnCó thể làm cho máy tính ngừng hoạt độngKẻ tấn công có thể thay đổi “địa chỉ trở về”
Chuyển hướng tới địa chỉ chứa mã độc
Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượtquá giới hạn của bộ đệm lưu trữ cố địnhDữ liệu tràn được đẩy sang các vùng nhớ lân cậnCó thể làm cho máy tính ngừng hoạt độngKẻ tấn công có thể thay đổi “địa chỉ trở về”
Chuyển hướng tới địa chỉ chứa mã độc
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 21
Tấn công vào mạng (1/3)
Mạng được những kẻ tấn công đặc biệt chú ýKhai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ rahàng trăm hoặc hàng ngàn thiết bị để tấn công
Có nhiều dạng tấn công nhằm vào mạng hoặc các tiếntrình dựa trên mạngMục đích là làm tê liệt mạng: người dùng không thểtruy cập vào mạng
Mạng được những kẻ tấn công đặc biệt chú ýKhai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ rahàng trăm hoặc hàng ngàn thiết bị để tấn công
Có nhiều dạng tấn công nhằm vào mạng hoặc các tiếntrình dựa trên mạngMục đích là làm tê liệt mạng: người dùng không thểtruy cập vào mạng
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 22
Tấn công vào mạng (2/3)
Các dạng tấn công mạng phổ biếnTừ chối dịch vụ (Deny of Services) (DoS):
Lũ Ping (Ping Flood)Tấn công kiểu gây mưa bão (smurf attack)Lũ SYN (SYN flood)Từ chối dịch vụ phân tán (Distributed Deny of Services)(DDoS)
Can thiệp (Interception):Kẻ đứng giữa (Man-in-the-middle)Tái chuyển (Replay)
Các dạng tấn công mạng phổ biếnTừ chối dịch vụ (Deny of Services) (DoS):
Lũ Ping (Ping Flood)Tấn công kiểu gây mưa bão (smurf attack)Lũ SYN (SYN flood)Từ chối dịch vụ phân tán (Distributed Deny of Services)(DDoS)
Can thiệp (Interception):Kẻ đứng giữa (Man-in-the-middle)Tái chuyển (Replay)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 23
Tấn công vào mạng (3/3)
Các dạng tấn công mạng phổ biến (tiếp theo)Đầu độc (Poisoning):
Đầu độc ARP (ARP poisoning)Đầu độc DNS (DNS Poisoning)
Tấn công vào quyền truy cập (Attacks on Access Rights):Leo thang đặc quyền (Privilege escalation)Truy cập bắc cầu (Transitive Access)
Các dạng tấn công mạng phổ biến (tiếp theo)Đầu độc (Poisoning):
Đầu độc ARP (ARP poisoning)Đầu độc DNS (DNS Poisoning)
Tấn công vào quyền truy cập (Attacks on Access Rights):Leo thang đặc quyền (Privilege escalation)Truy cập bắc cầu (Transitive Access)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 24
Đánh giá khả năng thiệt hại
Các tác nhân liên quan đến việc đánh giá khả năng thiệthại
Tài sảnNhững kẻ tấn côngTác động của tự nhiênBất kỳ thực thể nào có khả năng gây hại
Năm bước trong quá trình đánh giá khả năng thiệt hạiNhận diện tài sản (Asset Identification)Đánh giá các mối đe dọa (Threat Evaluation)Đánh giá khả năng thiệt hại (Vulnerability Appraisal)Đánh giá rủi ro (Risk Assessment)Làm giảm rủi ro (Risk Mitigation)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông
Các tác nhân liên quan đến việc đánh giá khả năng thiệthại
Tài sảnNhững kẻ tấn côngTác động của tự nhiênBất kỳ thực thể nào có khả năng gây hại
Năm bước trong quá trình đánh giá khả năng thiệt hạiNhận diện tài sản (Asset Identification)Đánh giá các mối đe dọa (Threat Evaluation)Đánh giá khả năng thiệt hại (Vulnerability Appraisal)Đánh giá rủi ro (Risk Assessment)Làm giảm rủi ro (Risk Mitigation)
25
Đánh giá khả năng thiệt hại- Nhận diện tài sản
Là quá trình kiểm kê các phần tử có giá trị kinh tếCác tài sản thông dụng
Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phầnmềm
Xác định giá trị liên quan của tài sảnMức độ rủi ro của tài sản đối với mục tiêu của tổ chứcDoanh thu do tài sản tạo raMức độ khó khăn khi phải thay thế tài sảnMức độ tác động đối với tổ chức nếu thiếu tài sản
Có thể đánh giá bằng cách sử dụng thang điểm
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công
Là quá trình kiểm kê các phần tử có giá trị kinh tếCác tài sản thông dụng
Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phầnmềm
Xác định giá trị liên quan của tài sảnMức độ rủi ro của tài sản đối với mục tiêu của tổ chứcDoanh thu do tài sản tạo raMức độ khó khăn khi phải thay thế tài sảnMức độ tác động đối với tổ chức nếu thiếu tài sản
Có thể đánh giá bằng cách sử dụng thang điểm
26
Đánh giá khả năng thiệt hại- Đánh giá các mối đe dọa
Liệt kê các mối đe dọa tiềm ẩnMô hình hóa các mối đe dọa
Mục đích: để hiểu rõ hơn về những kẻ tấn công vàphương thức tấn công của chúngThường được thực hiện bằng cách xây dựng các tìnhhuống
Cây tấn côngCung cấp hình ảnh trực quan về các cuộc tấn công tiềmẩnCó cấu trúc hình cây (lộn ngược)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công
Liệt kê các mối đe dọa tiềm ẩnMô hình hóa các mối đe dọa
Mục đích: để hiểu rõ hơn về những kẻ tấn công vàphương thức tấn công của chúngThường được thực hiện bằng cách xây dựng các tìnhhuống
Cây tấn côngCung cấp hình ảnh trực quan về các cuộc tấn công tiềmẩnCó cấu trúc hình cây (lộn ngược)
27
Đánh giá mối đe dọa (2/3)Nhóm các mối đedọa
Ví dụ
Các thảm họa tự nhiên Hỏa hoạn, ngập lụt hoặc động đất làm hỏng dữ liệu
Đe dọa các tài sản trítuệ
Phần mềm bị ngụy tạo hoặc bị vi phạm bản quyền
Gián điệp Gián điệp đánh cắp kế hoạch sản xuất
Hỏng hóc phần cứng Tường lửa phong tỏa toàn bộ giao thông mạng
Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 28
Bảng 4-1 Các tác nhân đe dọa phổ biến
Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe
Phá hoại Kẻ tấn công cài đặt sâu máy tính (worm) để xóa các file.
Tấn công dùng phầnmềm
Vi rút, sâu máy tính, ngăn cấm dịch vụ bằng phần cứng hoặcphần mềm.
Hỏng hóc phần mềm Các lỗi làm cho chương trình hoạt động sai lệch
Kỹ thuật lạc hậu Chương trình không hoạt động với phiên bản mới của hệ điềuhành
Đánh giá mối đe dọa (3/3)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 29
Hình 4-1 Cây tấn công mô tả phương thức đánh cắp băng ghi âm của xe ô tô© Cengage Learning 2012
Đánh giá khả năng thiệt hại- Đánh giá khả năng thiệt hại
Xác định các điểm yếu hiện tạiChỉ ra bức tranh bảo mật tổng thể của tổ chức
Mọi tài sản phải được xem xét đánh giá trong mốitương quan với từng mối đe dọaLập danh mục các điểm yếuXác định mức độ ảnh hưởng của từng điểm yếu
Không ảnh hưởngẢnh hưởng ítẢnh hưởng đáng kểẢnh hưởng chínhThảm họa
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công
Xác định các điểm yếu hiện tạiChỉ ra bức tranh bảo mật tổng thể của tổ chức
Mọi tài sản phải được xem xét đánh giá trong mốitương quan với từng mối đe dọaLập danh mục các điểm yếuXác định mức độ ảnh hưởng của từng điểm yếu
Không ảnh hưởngẢnh hưởng ítẢnh hưởng đáng kểẢnh hưởng chínhThảm họa
30
Đánh giá khả năng thiệt hại- Đánh giá rủi ro (1/2)
Xác định hậu quả, thiệt hại do cuộc tấn công gây raĐánh giá khả năng lỗ hổng là một nguy cơ đối với tổchứcDự tính tổn thất trung bình đơn lẻ (Single LossExpectancy) (SLE)
Tổn thất tính bằng tiền khi xảy ra rủi roHệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bịtổn thất khi rủi ro xảy raSLE được tính bằng tích giữa giá trị tài sản [Asset Value](AV) và hệ số tổn thất (EF)SLE = AV * EF
Ví dụ tính SLE bằng số liệu cụ thể (*)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông
Xác định hậu quả, thiệt hại do cuộc tấn công gây raĐánh giá khả năng lỗ hổng là một nguy cơ đối với tổchứcDự tính tổn thất trung bình đơn lẻ (Single LossExpectancy) (SLE)
Tổn thất tính bằng tiền khi xảy ra rủi roHệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bịtổn thất khi rủi ro xảy raSLE được tính bằng tích giữa giá trị tài sản [Asset Value](AV) và hệ số tổn thất (EF)SLE = AV * EF
Ví dụ tính SLE bằng số liệu cụ thể (*)
31
Đánh giá khả năng thiệt hại- Đánh giá rủi ro (2/2)
Dự tính tổn thất trung bình theo năm (Annualized LossExpectancy) (ALE)
Là giá trị tổn thất trung bình theo năm, tính bằng tiền,của tổ chức, do các tổn thất từ tài sản gây raXác suất xảy ra rủi ro theo năm (Annualized Rate ofOccurrence) (ARO): là khả năng xảy ra rủi ro trong mộtnămALE được tính bằng tích của SLE với xác suất xảy ra rủi rotheo năm (ARO)ALE = SLE * ARO
Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):Dùng các mô hình thống kê để dự báoDùng phương pháp “Dự đoán tốt nhất” (best guess)
Ví dụ tính ALE bằng số (*)Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công
Dự tính tổn thất trung bình theo năm (Annualized LossExpectancy) (ALE)
Là giá trị tổn thất trung bình theo năm, tính bằng tiền,của tổ chức, do các tổn thất từ tài sản gây raXác suất xảy ra rủi ro theo năm (Annualized Rate ofOccurrence) (ARO): là khả năng xảy ra rủi ro trong mộtnămALE được tính bằng tích của SLE với xác suất xảy ra rủi rotheo năm (ARO)ALE = SLE * ARO
Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):Dùng các mô hình thống kê để dự báoDùng phương pháp “Dự đoán tốt nhất” (best guess)
Ví dụ tính ALE bằng số (*)32
Đánh giá khả năng thiệt hại- Làm giảm rủi ro
Làm giảm rủi roXác định những việc cần làm khi rủi ro xảy raXác định mức độ rủi ro có thể chịu đựng được
Chuyển giao rủi roThuê gia côngMua bảo hiểmRủi ro để lại (Retained risk)
Chấp nhận rủi ro:Chẳng làm gì cảLà trò mạo hiểm đáng giá
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông
Làm giảm rủi roXác định những việc cần làm khi rủi ro xảy raXác định mức độ rủi ro có thể chịu đựng được
Chuyển giao rủi roThuê gia côngMua bảo hiểmRủi ro để lại (Retained risk)
Chấp nhận rủi ro:Chẳng làm gì cảLà trò mạo hiểm đáng giá
33
Hành động xác định rủi ro Các bước
Nhận diện tài sản 1. Kiểm kê tài sản
2. Xác định giá trị tương đối của tài sản
Nhận diện mối đe dọa 1. Phân loại các mối đe dọa
2. Thiết kế cây tấn công
Đánh giá các khả năng thiệt hại 1. Xác định các khả năng thiệt hại hiện có trongtài sản
2. Sử dụng các công cụ đánh giá khả năng thiệt hại
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 34
Đánh giá rủi ro 1. Ước lượng ảnh hưởng của mối đe dọa đối với tổchức
2. Tính tổn thất trung bình
3. Ước lượng xác suất xảy ra mối đe dọa
Làm giảm rủi ro 1. Quyết định làm gì với rủi ro: làm giảm, chuyểngiao, hoặc chấp nhận
Các kỹ thuật đánh giá (1/2)
Báo cáo đường cơ sở (Baseline Reporting)Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắcSo sánh trạng thái hiện tại với đường cơ sởGhi chú, đánh giá và giải quyết những sự khác biệt
Báo cáo đường cơ sở (Baseline Reporting)Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắcSo sánh trạng thái hiện tại với đường cơ sởGhi chú, đánh giá và giải quyết những sự khác biệt
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 35
Các kỹ thuật đánh giá (2/2)
Các kỹ thuật áp dụng khi phát triển ứng dụngTối thiểu hóa các lỗ hổng trong quá trình phát triển phầnmềm
Những khó khăn trong việc tiếp cận khi phát triển ứngdụng
Kích thước và độ phức tạp của phần mềmThiếu các chỉ tiêu bảo mậtKhông đoán trước được các kỹ thuật tấn công trongtương lai
Các kỹ thuật đánh giá khi phát triển phần mềm (SV tựđọc)
Các kỹ thuật áp dụng khi phát triển ứng dụngTối thiểu hóa các lỗ hổng trong quá trình phát triển phầnmềm
Những khó khăn trong việc tiếp cận khi phát triển ứngdụng
Kích thước và độ phức tạp của phần mềmThiếu các chỉ tiêu bảo mậtKhông đoán trước được các kỹ thuật tấn công trongtương lai
Các kỹ thuật đánh giá khi phát triển phần mềm (SV tựđọc)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 36
Các công cụ đánh giá
Bộ quét cổng (Port Scanner)Tìm kiếm trong hệ thống các cổng có sơ hởĐược sử dụng để xác định trạng thái cổng (Mở, Đóng, Bịkhóa)
Bộ phân tích giao thức (Protocol Analyzer)Phần cứng hoặc phần mềm chụp lại các gói tin để phântíchCòn được gọi là “sniffer”
Bộ quét tìm lỗ hổng (Vulnerability Scanner)Bình mật ong (Honeypot) và mạng mật ong (Honeynet)(SV tự đọc)
Bộ quét cổng (Port Scanner)Tìm kiếm trong hệ thống các cổng có sơ hởĐược sử dụng để xác định trạng thái cổng (Mở, Đóng, Bịkhóa)
Bộ phân tích giao thức (Protocol Analyzer)Phần cứng hoặc phần mềm chụp lại các gói tin để phântíchCòn được gọi là “sniffer”
Bộ quét tìm lỗ hổng (Vulnerability Scanner)Bình mật ong (Honeypot) và mạng mật ong (Honeynet)(SV tự đọc)
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 37
Các công cụ đánh giá- Bộ quét cổng
Địa chỉ IP xác định duy nhất một thiết bị mạngGiao tiếp TCP/IP
Liên quan đến việc trao đổi thông tin giữa một chươngtrình của hệ thống này với một chương trình tương ứngcủa hệ thống khác
Số hiệu cổngCác số hiệu cổng phổ dụng (0-1023)Các số hiệu cổng được đăng ký (1024-49151)Các số hiệu cổng động và số hiệu cổng riêng (49152-65535)
Biết được số hiệu cổng đang sử dụngKẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu
Địa chỉ IP xác định duy nhất một thiết bị mạngGiao tiếp TCP/IP
Liên quan đến việc trao đổi thông tin giữa một chươngtrình của hệ thống này với một chương trình tương ứngcủa hệ thống khác
Số hiệu cổngCác số hiệu cổng phổ dụng (0-1023)Các số hiệu cổng được đăng ký (1024-49151)Các số hiệu cổng động và số hiệu cổng riêng (49152-65535)
Biết được số hiệu cổng đang sử dụngKẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 38
Các công cụ đánh giá- Bộ phân tích giao thức
Các mục đích sử dụng phổ biến của bộ phân tích giaothức
Được sử dụng bởi quản trị viên để gỡ lỗiMô tả đặc điểm lưu lượng mạngPhân tích bảo mật
Kẻ tấn công có thể sử dụng bộ phân tích giao thức đểXem nội dung các gói tin được truyền hoặc nhậnĐọc thư điện tửXem nội dung các trang WebĐánh cắp các mật khẩu không được bảo vệ
Các mục đích sử dụng phổ biến của bộ phân tích giaothức
Được sử dụng bởi quản trị viên để gỡ lỗiMô tả đặc điểm lưu lượng mạngPhân tích bảo mật
Kẻ tấn công có thể sử dụng bộ phân tích giao thức đểXem nội dung các gói tin được truyền hoặc nhậnĐọc thư điện tửXem nội dung các trang WebĐánh cắp các mật khẩu không được bảo vệ
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 39
Các công cụ đánh giá- Bộ quét tìm lỗ hổng (1/2)
Các đặc tínhTự động tìm trong hệ thống những yếu điểm bảo mật đãđược biết trướcBáo cáo về những rủi ro tiềm ẩnThường được thực hiện trên các hệ thống hiện có vàcông nghệ mới triển khaiThường được thực hiện từ bên trong phạm vi bảo mậtKhông làm gián đoạn hoạt động bình thường của mạngĐa số đều duy trì một cơ sở dữ liệu để phân loại các lỗhổng phát hiện được
Các đặc tínhTự động tìm trong hệ thống những yếu điểm bảo mật đãđược biết trướcBáo cáo về những rủi ro tiềm ẩnThường được thực hiện trên các hệ thống hiện có vàcông nghệ mới triển khaiThường được thực hiện từ bên trong phạm vi bảo mậtKhông làm gián đoạn hoạt động bình thường của mạngĐa số đều duy trì một cơ sở dữ liệu để phân loại các lỗhổng phát hiện được
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 40
Các công cụ đánh giá- Bộ quét tìm lỗ hổng (2/2)
Các khả năngĐưa ra cảnh báo khi hệ thống mới được thêm vào mạngPhát hiện ra một hệ thống trong nội bộ bắt đầu quétcổng của các hệ thống khácDuy trì một file nhật ký ghi lại tất cả các phiên tương tácmạngTheo dõi tất cả các lỗ hổng của máy khách và máy chủTheo dõi các hệ thống giao tiếp với các hệ thống nội bộkhác
Vấn đề đối với các công cụ đánh giá về các lỗ hổngKhông có tiêu chuẩn cụ thể cho việc thu thập, phân tíchvà báo cáo lỗ hổng
Các khả năngĐưa ra cảnh báo khi hệ thống mới được thêm vào mạngPhát hiện ra một hệ thống trong nội bộ bắt đầu quétcổng của các hệ thống khácDuy trì một file nhật ký ghi lại tất cả các phiên tương tácmạngTheo dõi tất cả các lỗ hổng của máy khách và máy chủTheo dõi các hệ thống giao tiếp với các hệ thống nội bộkhác
Vấn đề đối với các công cụ đánh giá về các lỗ hổngKhông có tiêu chuẩn cụ thể cho việc thu thập, phân tíchvà báo cáo lỗ hổng
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 41
Kiểm tra thâm nhập
Nhằm khai thác các điểm yếu của hệ thốngPhụ thuộc vào kỹ năng, kiến thức và kỹ xảo của ngườikiểm traThường được tiến hành bởi một nhà thầu độc lậpQuá trình kiểm tra thường được tiến hành từ bên ngoàiphạm vi bảo mật
Thậm chí có thể làm gián đoạn hoạt động của mạngKết quả cuối cùng: báo cáo kiểm tra thâm nhậpCác phương pháp kiểm tra xâm nhập
Kiểm tra hộp đenKiểm tra hộp trắngKiểm tra hộp xám
Nhằm khai thác các điểm yếu của hệ thốngPhụ thuộc vào kỹ năng, kiến thức và kỹ xảo của ngườikiểm traThường được tiến hành bởi một nhà thầu độc lậpQuá trình kiểm tra thường được tiến hành từ bên ngoàiphạm vi bảo mật
Thậm chí có thể làm gián đoạn hoạt động của mạngKết quả cuối cùng: báo cáo kiểm tra thâm nhậpCác phương pháp kiểm tra xâm nhập
Kiểm tra hộp đenKiểm tra hộp trắngKiểm tra hộp xám
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 42
Giảm thiểu vàngăn chặn tấn công
Thiết lập tư thế bảo mậtTư thế bảo mật mô tả chiến lược liên quan tới bảo mậtCấu hình định mức ban đầuKiểm soát bảo mật liên tụcKhắc phục
Cấu hình các điều khiểnCamera bảo mật: phát hiện, không ngăn cản được tội phạmHàng rào bảo mật: ngăn cản, không phát hiện được tội phạmMở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi
Tôi luyện (Hardening)Loại bỏ càng nhiều nguy cơ bảo mật càng tốt
Báo cáoCung cấp thông tin liên quan tới các sự kiện xảy ra
Thiết lập tư thế bảo mậtTư thế bảo mật mô tả chiến lược liên quan tới bảo mậtCấu hình định mức ban đầuKiểm soát bảo mật liên tụcKhắc phục
Cấu hình các điều khiểnCamera bảo mật: phát hiện, không ngăn cản được tội phạmHàng rào bảo mật: ngăn cản, không phát hiện được tội phạmMở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi
Tôi luyện (Hardening)Loại bỏ càng nhiều nguy cơ bảo mật càng tốt
Báo cáoCung cấp thông tin liên quan tới các sự kiện xảy ra
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 43
Tóm tắt (1/2)
Những lỗ hổng của ứng dụng Web bị khai thác thông quacác kênh giao tiếp thông thườngTấn công XSS sử dụng các Web site nhận dữ liệu đầu vàocủa người dùng mà không kiểm tra tính hợp lệ của dữ liệuTấn công phía client nhằm vào các lỗ hổng của các ứngdụng trên clientTấn công theo phiênTấn công tràn bộ đệmTấn công từ chối dịch vụ làm cho hệ thống quá tải để nókhông thể thực hiện các chức năng thông thườngTrong tấn công bằng cách đầu độc ARP và DNS, các địa chỉhợp lệ bị thay thế bởi những địa chỉ giả mạoQuyền và đặc quyền truy cập cũng có thể bị khai thác
Những lỗ hổng của ứng dụng Web bị khai thác thông quacác kênh giao tiếp thông thườngTấn công XSS sử dụng các Web site nhận dữ liệu đầu vàocủa người dùng mà không kiểm tra tính hợp lệ của dữ liệuTấn công phía client nhằm vào các lỗ hổng của các ứngdụng trên clientTấn công theo phiênTấn công tràn bộ đệmTấn công từ chối dịch vụ làm cho hệ thống quá tải để nókhông thể thực hiện các chức năng thông thườngTrong tấn công bằng cách đầu độc ARP và DNS, các địa chỉhợp lệ bị thay thế bởi những địa chỉ giả mạoQuyền và đặc quyền truy cập cũng có thể bị khai thác
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 44
Tóm tắt (2/2)
Có năm bước trong quá trình đánh giá khả năng thiệt hại.Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổngĐánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khácnhauPhần mềm quét cổng và bộ phân tích giao thức được sửdụng như những công cụ đánh giáQuét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã đượcbiết trước của hệ thống và báo cáo kết quả tìm đượcKiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếuđiểm nào tìm được của hệ thốngCác kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngănchặn tấn công
Có năm bước trong quá trình đánh giá khả năng thiệt hại.Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổngĐánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khácnhauPhần mềm quét cổng và bộ phân tích giao thức được sửdụng như những công cụ đánh giáQuét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã đượcbiết trước của hệ thống và báo cáo kết quả tìm đượcKiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếuđiểm nào tìm được của hệ thốngCác kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngănchặn tấn công
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 45