bài 3: tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm...

Bài 3:Tấn công vào ứng dụng và mạng, đánh giá

khả năng thiệt hại và làm giảm các vụ tấn công

Củng cố lại bài 2

Các phần mềm độc hại lây lanVirus và Sâu

Các phần mềm độc hại dấu mìnhTrojan, Rootkit, Bom logic, và Cửa hậu

Các phần mềm độc hại kiếm lợiBotnet, Phần mềm gián điệp, Phần mềm quảng cáo, vàBộ sao lưu bàn phím

Các kỹ nghệ xã hộiThủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thưrác, và Cảnh báo giảThủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,Nhìn trộm qua vai

Các phần mềm độc hại lây lanVirus và Sâu

Các phần mềm độc hại dấu mìnhTrojan, Rootkit, Bom logic, và Cửa hậu

Các phần mềm độc hại kiếm lợiBotnet, Phần mềm gián điệp, Phần mềm quảng cáo, vàBộ sao lưu bàn phím

Các kỹ nghệ xã hộiThủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thưrác, và Cảnh báo giảThủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,Nhìn trộm qua vai

Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 2

Mục tiêu của bài học

Liệt kê và giải thích các dạng tấn công vào ứng dụng

Liệt kê và giải thích các dạng tấn công vào mạng

Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọngcủa nó

Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông 3

Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọngcủa nó

Phân biệt giữa quét tìm lỗ hổng và kiểm tra sự thâm nhập

Liệt kê các kỹ thuật làm giảm và ngăn chặn các cuộc tấn công

Tấn công vào ứng dụng

Tấn công vào ứng dụngCác nhóm tấn công đang tiếp tục gia tăngTấn công vào các lỗ hổng chưa công bố (Zero-day)

Khai thác những lỗ hổng chưa được công bố hoặc chưađược khắc phụcNạn nhân không có thời gian chuẩn bị phòng thủ

Các dạng tấn công vào ứng dụngTấn công vào ứng dụng WebTấn công phía máy kháchTấn công làm tràn vùng đệm

Tấn công vào ứng dụngCác nhóm tấn công đang tiếp tục gia tăngTấn công vào các lỗ hổng chưa công bố (Zero-day)

Khai thác những lỗ hổng chưa được công bố hoặc chưađược khắc phụcNạn nhân không có thời gian chuẩn bị phòng thủ

Các dạng tấn công vào ứng dụngTấn công vào ứng dụng WebTấn công phía máy kháchTấn công làm tràn vùng đệm


Tấn công vàoứng dụng Web (1/3)


Hình 3-1 Hạ tầng ứng dụng Web© Cengage Learning 2012


Các ứng dụng Web là một thành phần thiết yếu của cáctổ chức hiện nayCác lỗ hổng trong các ứng dụng Web được những kẻtấn công triệt để khai thác để tiến hành các cuộc tấncôngTấn công ứng dụng Web là tấn công phía serverCác phương pháp đảm bảo an toàn cho ứng dụng Web

Củng cố server Web (Web server)Bảo vệ hệ thống mạng

Các ứng dụng Web là một thành phần thiết yếu của cáctổ chức hiện nayCác lỗ hổng trong các ứng dụng Web được những kẻtấn công triệt để khai thác để tiến hành các cuộc tấncôngTấn công ứng dụng Web là tấn công phía serverCác phương pháp đảm bảo an toàn cho ứng dụng Web

Củng cố server Web (Web server)Bảo vệ hệ thống mạng



Các dạng tấn công ứng dụng Web phổ biến (*)Kịch bản giữa các trạm (Cross-site scripting) (XSS)Tiêm nhiễm SQL (SQL Injection)Tiêm nhiễm XML (XML Injection)Duyệt thư mục (Directory Traversal) (SV tự đọc sách)Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)

Các dạng tấn công ứng dụng Web phổ biến (*)Kịch bản giữa các trạm (Cross-site scripting) (XSS)Tiêm nhiễm SQL (SQL Injection)Tiêm nhiễm XML (XML Injection)Duyệt thư mục (Directory Traversal) (SV tự đọc sách)Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)


Tấn công vào ứng dụng Web- Kịch bản giữa các trạm (1/3)

Tiêm nhiễm mã kịch bản vào một máy chủ ứng dụngWeb

Tấn công trực tiếp từ máy khách


Hình 3-3 Tấn công XSS© Cengage Learning 2012


Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:Các chỉ lệnh độc hại được gửi tới trình duyệt của nạnnhân

Trình duyệt không thể phân biệt được đâu là mã hợp lệ,đâu là mã độcWeb site bị tấn công có đặc điểm

Chấp nhận dữ liệu đầu vào của người dùng mà khôngcần kiểm tra tính hợp lệSử dụng dữ liệu đầu vào trong một phản hồi không đượcmã hóa

Một số vụ tấn công XSS được thiết kế nhằm đánh cắpthông tin:

Thông tin được lưu giữ bởi trình duyệt

Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:Các chỉ lệnh độc hại được gửi tới trình duyệt của nạnnhân

Trình duyệt không thể phân biệt được đâu là mã hợp lệ,đâu là mã độcWeb site bị tấn công có đặc điểm

Chấp nhận dữ liệu đầu vào của người dùng mà khôngcần kiểm tra tính hợp lệSử dụng dữ liệu đầu vào trong một phản hồi không đượcmã hóa

Một số vụ tấn công XSS được thiết kế nhằm đánh cắpthông tin:

Thông tin được lưu giữ bởi trình duyệt





Hình 3-5 Dữ liệu được sử dụng trong phản hồi© Cengage Learning 2012


Tấn công vào ứng dụng Web- Tiêm nhiễm SQL (1/3)

Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễmlệnhSQL (Structured Query Language)

Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữliệu quan hệ

Cách thức thực hiệnKẻ tấn công nhập vào các địa chỉ e-mail sai định dạngPhản hồi cho phép kẻ tấn công biết dữ liệu đầu vào cóđược kiểm tra tính hợp lệ hay không

Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễmlệnhSQL (Structured Query Language)

Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữliệu quan hệ

Cách thức thực hiệnKẻ tấn công nhập vào các địa chỉ e-mail sai định dạngPhản hồi cho phép kẻ tấn công biết dữ liệu đầu vào cóđược kiểm tra tính hợp lệ hay không



Ví dụ quên mật khẩuKẻ tấn công nhập trường e-mail vào lệnh SQLLệnh SQL được cơ sở dữ liệu xử lýVí dụ lệnh SQL:SELECT fieldlist FROM table WHERE field =‘whatever’ or ‘a’=‘a’Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽđược hiển thị

Ví dụ quên mật khẩuKẻ tấn công nhập trường e-mail vào lệnh SQLLệnh SQL được cơ sở dữ liệu xử lýVí dụ lệnh SQL:SELECT fieldlist FROM table WHERE field =‘whatever’ or ‘a’=‘a’Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽđược hiển thị




Bảng 3-1 Các lệnh tiêm nhiễm SQL

Tấn công vào ứng dụng Web- Tiêm nhiễm XML (1/2)

Ngôn ngữ đánh dấuPhương thức thêm các chú thích cho văn bản

HTMLSử dụng các thẻ (tag) được đặt trong các dấu ngoặcnhọnChỉ thị cho trình duyệt hiển thị văn bản theo định dạngcụ thể

XMLChứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệuKhông có tập thẻ được định nghĩa sẵn

Người dùng tự định nghĩa các thẻ của họ

Ngôn ngữ đánh dấuPhương thức thêm các chú thích cho văn bản

HTMLSử dụng các thẻ (tag) được đặt trong các dấu ngoặcnhọnChỉ thị cho trình duyệt hiển thị văn bản theo định dạngcụ thể

XMLChứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệuKhông có tập thẻ được định nghĩa sẵn

Người dùng tự định nghĩa các thẻ của họ


Tấn công vào ứng dụng Web- Tiêm nhiễm XML (2/2)

Tấn công XMLTương tự như tấn công thông qua tiêm nhiễm SQLKẻ tấn công phát hiện Web site không lọc dữ liệu ngườidùngTiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu

Tiêm nhiễm XpathXác định kiểu tấn công tiêm nhiễm XMLCố gắng khai thác các truy vấn XML Path Language

Tấn công XMLTương tự như tấn công thông qua tiêm nhiễm SQLKẻ tấn công phát hiện Web site không lọc dữ liệu ngườidùngTiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu

Tiêm nhiễm XpathXác định kiểu tấn công tiêm nhiễm XMLCố gắng khai thác các truy vấn XML Path Language


Tấn công phía client

Tấn công phía client (máy khách)Nhằm vào các lỗ hổng của các ứng dụng trên clientKhi client tương tác với một server bị xâm hạiKhi client khởi tạo kết nối tới server, kết nối này có thểgây ra vụ tấn công

Các dạng phổ biến tấn công phía clientXử lý phần đầu của HTTP (HTTP Header Manipulation)Sử dụng Cookie và các file đính kèmCướp theo phiên (Session Hijacking)Các phần phụ trợ (add-ons) độc hại (SV tự đọc)

Tấn công phía client (máy khách)Nhằm vào các lỗ hổng của các ứng dụng trên clientKhi client tương tác với một server bị xâm hạiKhi client khởi tạo kết nối tới server, kết nối này có thểgây ra vụ tấn công

Các dạng phổ biến tấn công phía clientXử lý phần đầu của HTTP (HTTP Header Manipulation)Sử dụng Cookie và các file đính kèmCướp theo phiên (Session Hijacking)Các phần phụ trợ (add-ons) độc hại (SV tự đọc)


Tấn công phía máy khách- Xử lý phần đầu của HTTP (1/2)

Xử lý phần đầu của HTTPPhần đầu của HTTP chứa các trường mô tả dữ liệu đangđược truyền nhậnPhần đầu của HTTP có thể bắt nguồn từ một trình duyệt

Trình duyệt thông thường không cho phép xử lý phần đầu đóChương trình của kẻ tấn công có thể xử lý phần đầu đó

Xử lý phần đầu của HTTPPhần đầu của HTTP chứa các trường mô tả dữ liệu đangđược truyền nhậnPhần đầu của HTTP có thể bắt nguồn từ một trình duyệt

Trình duyệt thông thường không cho phép xử lý phần đầu đóChương trình của kẻ tấn công có thể xử lý phần đầu đó


Tấn công phía máy khách- Xử lý phần đầu của HTTP (2/2)

Trường Referer (Tham chiếu)Cho biết site tạo ra trang WebKẻ tấn công có thể thay đổi trường này để ẩn thông tintrang Web được bắt nguồn từ đâuĐiều chỉnh để trang Web được lưu trữ trên máy tính củakẻ tấn công

Trường Accept-Language (Ngôn ngữ chấp nhận)Một số ứng dụng Web truyền trực tiếp nội dung củatrường này tới cơ sở dữ liệuKẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thayđổi trường này

Trường Referer (Tham chiếu)Cho biết site tạo ra trang WebKẻ tấn công có thể thay đổi trường này để ẩn thông tintrang Web được bắt nguồn từ đâuĐiều chỉnh để trang Web được lưu trữ trên máy tính củakẻ tấn công

Trường Accept-Language (Ngôn ngữ chấp nhận)Một số ứng dụng Web truyền trực tiếp nội dung củatrường này tới cơ sở dữ liệuKẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thayđổi trường này


Tấn công phía máy khách- Sử dụng cookie

Cookie lưu trữ thông tin của người dùng trên máy tính cục bộCác web site sử dụng cookie để nhận biết khi khách truy cập lạiMột số ví dụ thông tin được lưu trữ trong cookieChỉ Web site tạo ra cookie mới có thể đọc được cookieCookie gây ra rủi ro đối với sự bảo mật và tính riêng tưCác loại cookie:

Cookie của bên thứ nhất (First-party cookie)Cookie của bên thứ ba (Third-party cookie)Cookie theo phiên (Session cookie)Cookie bền (Persistent cookie)Cookie bảo mật (Secure cookie)Flash cookie (cookie Flash)

Cookie lưu trữ thông tin của người dùng trên máy tính cục bộCác web site sử dụng cookie để nhận biết khi khách truy cập lạiMột số ví dụ thông tin được lưu trữ trong cookieChỉ Web site tạo ra cookie mới có thể đọc được cookieCookie gây ra rủi ro đối với sự bảo mật và tính riêng tưCác loại cookie:

Cookie của bên thứ nhất (First-party cookie)Cookie của bên thứ ba (Third-party cookie)Cookie theo phiên (Session cookie)Cookie bền (Persistent cookie)Cookie bảo mật (Secure cookie)Flash cookie (cookie Flash)


Tấn công phía máy khách- Cướp theo phiên

Khi người dùng đăng nhập bằng username (tên ngườidùng) và password (mật khẩu),

server ứng dụng Web sẽ gán cho một thẻ phiênMỗi yêu cầu tiếp theo từ trình duyệt Web của người dùngsẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất

Cướp theo phiênlà một dạng tấn công trong đó kẻ tấn công có ý định mạodanh người dùng bằng cách sử dụng thẻ phiên của anh ta.

Kẻ tấn công mạo danh người dùng bằng cách:đánh cắp thẻ phiênđoán thẻ phiên

Khi người dùng đăng nhập bằng username (tên ngườidùng) và password (mật khẩu),

server ứng dụng Web sẽ gán cho một thẻ phiênMỗi yêu cầu tiếp theo từ trình duyệt Web của người dùngsẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất

Cướp theo phiênlà một dạng tấn công trong đó kẻ tấn công có ý định mạodanh người dùng bằng cách sử dụng thẻ phiên của anh ta.

Kẻ tấn công mạo danh người dùng bằng cách:đánh cắp thẻ phiênđoán thẻ phiên


Tấn công làm tràn vùng đệm

Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượtquá giới hạn của bộ đệm lưu trữ cố địnhDữ liệu tràn được đẩy sang các vùng nhớ lân cậnCó thể làm cho máy tính ngừng hoạt độngKẻ tấn công có thể thay đổi “địa chỉ trở về”

Chuyển hướng tới địa chỉ chứa mã độc

Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượtquá giới hạn của bộ đệm lưu trữ cố địnhDữ liệu tràn được đẩy sang các vùng nhớ lân cậnCó thể làm cho máy tính ngừng hoạt độngKẻ tấn công có thể thay đổi “địa chỉ trở về”

Chuyển hướng tới địa chỉ chứa mã độc


Tấn công vào mạng (1/3)

Mạng được những kẻ tấn công đặc biệt chú ýKhai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ rahàng trăm hoặc hàng ngàn thiết bị để tấn công

Có nhiều dạng tấn công nhằm vào mạng hoặc các tiếntrình dựa trên mạngMục đích là làm tê liệt mạng: người dùng không thểtruy cập vào mạng

Mạng được những kẻ tấn công đặc biệt chú ýKhai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ rahàng trăm hoặc hàng ngàn thiết bị để tấn công

Có nhiều dạng tấn công nhằm vào mạng hoặc các tiếntrình dựa trên mạngMục đích là làm tê liệt mạng: người dùng không thểtruy cập vào mạng



Các dạng tấn công mạng phổ biếnTừ chối dịch vụ (Deny of Services) (DoS):

Lũ Ping (Ping Flood)Tấn công kiểu gây mưa bão (smurf attack)Lũ SYN (SYN flood)Từ chối dịch vụ phân tán (Distributed Deny of Services)(DDoS)

Can thiệp (Interception):Kẻ đứng giữa (Man-in-the-middle)Tái chuyển (Replay)

Các dạng tấn công mạng phổ biếnTừ chối dịch vụ (Deny of Services) (DoS):

Lũ Ping (Ping Flood)Tấn công kiểu gây mưa bão (smurf attack)Lũ SYN (SYN flood)Từ chối dịch vụ phân tán (Distributed Deny of Services)(DDoS)

Can thiệp (Interception):Kẻ đứng giữa (Man-in-the-middle)Tái chuyển (Replay)



Các dạng tấn công mạng phổ biến (tiếp theo)Đầu độc (Poisoning):

Đầu độc ARP (ARP poisoning)Đầu độc DNS (DNS Poisoning)

Tấn công vào quyền truy cập (Attacks on Access Rights):Leo thang đặc quyền (Privilege escalation)Truy cập bắc cầu (Transitive Access)

Các dạng tấn công mạng phổ biến (tiếp theo)Đầu độc (Poisoning):

Đầu độc ARP (ARP poisoning)Đầu độc DNS (DNS Poisoning)

Tấn công vào quyền truy cập (Attacks on Access Rights):Leo thang đặc quyền (Privilege escalation)Truy cập bắc cầu (Transitive Access)


Đánh giá khả năng thiệt hại

Các tác nhân liên quan đến việc đánh giá khả năng thiệthại

Tài sảnNhững kẻ tấn côngTác động của tự nhiênBất kỳ thực thể nào có khả năng gây hại

Năm bước trong quá trình đánh giá khả năng thiệt hạiNhận diện tài sản (Asset Identification)Đánh giá các mối đe dọa (Threat Evaluation)Đánh giá khả năng thiệt hại (Vulnerability Appraisal)Đánh giá rủi ro (Risk Assessment)Làm giảm rủi ro (Risk Mitigation)

Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấncông

Các tác nhân liên quan đến việc đánh giá khả năng thiệthại

Tài sảnNhững kẻ tấn côngTác động của tự nhiênBất kỳ thực thể nào có khả năng gây hại

Năm bước trong quá trình đánh giá khả năng thiệt hạiNhận diện tài sản (Asset Identification)Đánh giá các mối đe dọa (Threat Evaluation)Đánh giá khả năng thiệt hại (Vulnerability Appraisal)Đánh giá rủi ro (Risk Assessment)Làm giảm rủi ro (Risk Mitigation)

25

Đánh giá khả năng thiệt hại- Nhận diện tài sản

Là quá trình kiểm kê các phần tử có giá trị kinh tếCác tài sản thông dụng

Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phầnmềm

Xác định giá trị liên quan của tài sảnMức độ rủi ro của tài sản đối với mục tiêu của tổ chứcDoanh thu do tài sản tạo raMức độ khó khăn khi phải thay thế tài sảnMức độ tác động đối với tổ chức nếu thiếu tài sản

Có thể đánh giá bằng cách sử dụng thang điểm

Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công

Là quá trình kiểm kê các phần tử có giá trị kinh tếCác tài sản thông dụng

Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phầnmềm

Xác định giá trị liên quan của tài sảnMức độ rủi ro của tài sản đối với mục tiêu của tổ chứcDoanh thu do tài sản tạo raMức độ khó khăn khi phải thay thế tài sảnMức độ tác động đối với tổ chức nếu thiếu tài sản

Có thể đánh giá bằng cách sử dụng thang điểm

26

Đánh giá khả năng thiệt hại- Đánh giá các mối đe dọa

Liệt kê các mối đe dọa tiềm ẩnMô hình hóa các mối đe dọa

Mục đích: để hiểu rõ hơn về những kẻ tấn công vàphương thức tấn công của chúngThường được thực hiện bằng cách xây dựng các tìnhhuống

Cây tấn côngCung cấp hình ảnh trực quan về các cuộc tấn công tiềmẩnCó cấu trúc hình cây (lộn ngược)


Liệt kê các mối đe dọa tiềm ẩnMô hình hóa các mối đe dọa

Mục đích: để hiểu rõ hơn về những kẻ tấn công vàphương thức tấn công của chúngThường được thực hiện bằng cách xây dựng các tìnhhuống

Cây tấn côngCung cấp hình ảnh trực quan về các cuộc tấn công tiềmẩnCó cấu trúc hình cây (lộn ngược)

27

Đánh giá mối đe dọa (2/3)Nhóm các mối đedọa

Ví dụ

Các thảm họa tự nhiên Hỏa hoạn, ngập lụt hoặc động đất làm hỏng dữ liệu

Đe dọa các tài sản trítuệ

Phần mềm bị ngụy tạo hoặc bị vi phạm bản quyền

Gián điệp Gián điệp đánh cắp kế hoạch sản xuất

Hỏng hóc phần cứng Tường lửa phong tỏa toàn bộ giao thông mạng

Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe


Bảng 4-1 Các tác nhân đe dọa phổ biến

Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe

Phá hoại Kẻ tấn công cài đặt sâu máy tính (worm) để xóa các file.

Tấn công dùng phầnmềm

Vi rút, sâu máy tính, ngăn cấm dịch vụ bằng phần cứng hoặcphần mềm.

Hỏng hóc phần mềm Các lỗi làm cho chương trình hoạt động sai lệch

Kỹ thuật lạc hậu Chương trình không hoạt động với phiên bản mới của hệ điềuhành

Đánh giá mối đe dọa (3/3)


Hình 4-1 Cây tấn công mô tả phương thức đánh cắp băng ghi âm của xe ô tô© Cengage Learning 2012

Đánh giá khả năng thiệt hại- Đánh giá khả năng thiệt hại

Xác định các điểm yếu hiện tạiChỉ ra bức tranh bảo mật tổng thể của tổ chức

Mọi tài sản phải được xem xét đánh giá trong mốitương quan với từng mối đe dọaLập danh mục các điểm yếuXác định mức độ ảnh hưởng của từng điểm yếu

Không ảnh hưởngẢnh hưởng ítẢnh hưởng đáng kểẢnh hưởng chínhThảm họa


Xác định các điểm yếu hiện tạiChỉ ra bức tranh bảo mật tổng thể của tổ chức

Mọi tài sản phải được xem xét đánh giá trong mốitương quan với từng mối đe dọaLập danh mục các điểm yếuXác định mức độ ảnh hưởng của từng điểm yếu

Không ảnh hưởngẢnh hưởng ítẢnh hưởng đáng kểẢnh hưởng chínhThảm họa

30

Đánh giá khả năng thiệt hại- Đánh giá rủi ro (1/2)

Xác định hậu quả, thiệt hại do cuộc tấn công gây raĐánh giá khả năng lỗ hổng là một nguy cơ đối với tổchứcDự tính tổn thất trung bình đơn lẻ (Single LossExpectancy) (SLE)

Tổn thất tính bằng tiền khi xảy ra rủi roHệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bịtổn thất khi rủi ro xảy raSLE được tính bằng tích giữa giá trị tài sản [Asset Value](AV) và hệ số tổn thất (EF)SLE = AV * EF

Ví dụ tính SLE bằng số liệu cụ thể (*)


Xác định hậu quả, thiệt hại do cuộc tấn công gây raĐánh giá khả năng lỗ hổng là một nguy cơ đối với tổchứcDự tính tổn thất trung bình đơn lẻ (Single LossExpectancy) (SLE)

Tổn thất tính bằng tiền khi xảy ra rủi roHệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bịtổn thất khi rủi ro xảy raSLE được tính bằng tích giữa giá trị tài sản [Asset Value](AV) và hệ số tổn thất (EF)SLE = AV * EF

Ví dụ tính SLE bằng số liệu cụ thể (*)

31

Đánh giá khả năng thiệt hại- Đánh giá rủi ro (2/2)

Dự tính tổn thất trung bình theo năm (Annualized LossExpectancy) (ALE)

Là giá trị tổn thất trung bình theo năm, tính bằng tiền,của tổ chức, do các tổn thất từ tài sản gây raXác suất xảy ra rủi ro theo năm (Annualized Rate ofOccurrence) (ARO): là khả năng xảy ra rủi ro trong mộtnămALE được tính bằng tích của SLE với xác suất xảy ra rủi rotheo năm (ARO)ALE = SLE * ARO

Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):Dùng các mô hình thống kê để dự báoDùng phương pháp “Dự đoán tốt nhất” (best guess)

Ví dụ tính ALE bằng số (*)Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công

Dự tính tổn thất trung bình theo năm (Annualized LossExpectancy) (ALE)

Là giá trị tổn thất trung bình theo năm, tính bằng tiền,của tổ chức, do các tổn thất từ tài sản gây raXác suất xảy ra rủi ro theo năm (Annualized Rate ofOccurrence) (ARO): là khả năng xảy ra rủi ro trong mộtnămALE được tính bằng tích của SLE với xác suất xảy ra rủi rotheo năm (ARO)ALE = SLE * ARO

Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):Dùng các mô hình thống kê để dự báoDùng phương pháp “Dự đoán tốt nhất” (best guess)

Ví dụ tính ALE bằng số (*)32

Đánh giá khả năng thiệt hại- Làm giảm rủi ro

Làm giảm rủi roXác định những việc cần làm khi rủi ro xảy raXác định mức độ rủi ro có thể chịu đựng được

Chuyển giao rủi roThuê gia côngMua bảo hiểmRủi ro để lại (Retained risk)

Chấp nhận rủi ro:Chẳng làm gì cảLà trò mạo hiểm đáng giá


Làm giảm rủi roXác định những việc cần làm khi rủi ro xảy raXác định mức độ rủi ro có thể chịu đựng được

Chuyển giao rủi roThuê gia côngMua bảo hiểmRủi ro để lại (Retained risk)

Chấp nhận rủi ro:Chẳng làm gì cảLà trò mạo hiểm đáng giá

33

Hành động xác định rủi ro Các bước

Nhận diện tài sản 1. Kiểm kê tài sản

2. Xác định giá trị tương đối của tài sản

Nhận diện mối đe dọa 1. Phân loại các mối đe dọa

2. Thiết kế cây tấn công

Đánh giá các khả năng thiệt hại 1. Xác định các khả năng thiệt hại hiện có trongtài sản

2. Sử dụng các công cụ đánh giá khả năng thiệt hại


Đánh giá rủi ro 1. Ước lượng ảnh hưởng của mối đe dọa đối với tổchức

2. Tính tổn thất trung bình

3. Ước lượng xác suất xảy ra mối đe dọa

Làm giảm rủi ro 1. Quyết định làm gì với rủi ro: làm giảm, chuyểngiao, hoặc chấp nhận

Các kỹ thuật đánh giá (1/2)

Báo cáo đường cơ sở (Baseline Reporting)Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắcSo sánh trạng thái hiện tại với đường cơ sởGhi chú, đánh giá và giải quyết những sự khác biệt

Báo cáo đường cơ sở (Baseline Reporting)Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắcSo sánh trạng thái hiện tại với đường cơ sởGhi chú, đánh giá và giải quyết những sự khác biệt


Các kỹ thuật đánh giá (2/2)

Các kỹ thuật áp dụng khi phát triển ứng dụngTối thiểu hóa các lỗ hổng trong quá trình phát triển phầnmềm

Những khó khăn trong việc tiếp cận khi phát triển ứngdụng

Kích thước và độ phức tạp của phần mềmThiếu các chỉ tiêu bảo mậtKhông đoán trước được các kỹ thuật tấn công trongtương lai

Các kỹ thuật đánh giá khi phát triển phần mềm (SV tựđọc)

Các kỹ thuật áp dụng khi phát triển ứng dụngTối thiểu hóa các lỗ hổng trong quá trình phát triển phầnmềm

Những khó khăn trong việc tiếp cận khi phát triển ứngdụng

Kích thước và độ phức tạp của phần mềmThiếu các chỉ tiêu bảo mậtKhông đoán trước được các kỹ thuật tấn công trongtương lai

Các kỹ thuật đánh giá khi phát triển phần mềm (SV tựđọc)


Các công cụ đánh giá

Bộ quét cổng (Port Scanner)Tìm kiếm trong hệ thống các cổng có sơ hởĐược sử dụng để xác định trạng thái cổng (Mở, Đóng, Bịkhóa)

Bộ phân tích giao thức (Protocol Analyzer)Phần cứng hoặc phần mềm chụp lại các gói tin để phântíchCòn được gọi là “sniffer”

Bộ quét tìm lỗ hổng (Vulnerability Scanner)Bình mật ong (Honeypot) và mạng mật ong (Honeynet)(SV tự đọc)

Bộ quét cổng (Port Scanner)Tìm kiếm trong hệ thống các cổng có sơ hởĐược sử dụng để xác định trạng thái cổng (Mở, Đóng, Bịkhóa)

Bộ phân tích giao thức (Protocol Analyzer)Phần cứng hoặc phần mềm chụp lại các gói tin để phântíchCòn được gọi là “sniffer”

Bộ quét tìm lỗ hổng (Vulnerability Scanner)Bình mật ong (Honeypot) và mạng mật ong (Honeynet)(SV tự đọc)


Các công cụ đánh giá- Bộ quét cổng

Địa chỉ IP xác định duy nhất một thiết bị mạngGiao tiếp TCP/IP

Liên quan đến việc trao đổi thông tin giữa một chươngtrình của hệ thống này với một chương trình tương ứngcủa hệ thống khác

Số hiệu cổngCác số hiệu cổng phổ dụng (0-1023)Các số hiệu cổng được đăng ký (1024-49151)Các số hiệu cổng động và số hiệu cổng riêng (49152-65535)

Biết được số hiệu cổng đang sử dụngKẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu

Địa chỉ IP xác định duy nhất một thiết bị mạngGiao tiếp TCP/IP

Liên quan đến việc trao đổi thông tin giữa một chươngtrình của hệ thống này với một chương trình tương ứngcủa hệ thống khác

Số hiệu cổngCác số hiệu cổng phổ dụng (0-1023)Các số hiệu cổng được đăng ký (1024-49151)Các số hiệu cổng động và số hiệu cổng riêng (49152-65535)

Biết được số hiệu cổng đang sử dụngKẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu


Các công cụ đánh giá- Bộ phân tích giao thức

Các mục đích sử dụng phổ biến của bộ phân tích giaothức

Được sử dụng bởi quản trị viên để gỡ lỗiMô tả đặc điểm lưu lượng mạngPhân tích bảo mật

Kẻ tấn công có thể sử dụng bộ phân tích giao thức đểXem nội dung các gói tin được truyền hoặc nhậnĐọc thư điện tửXem nội dung các trang WebĐánh cắp các mật khẩu không được bảo vệ

Các mục đích sử dụng phổ biến của bộ phân tích giaothức

Được sử dụng bởi quản trị viên để gỡ lỗiMô tả đặc điểm lưu lượng mạngPhân tích bảo mật

Kẻ tấn công có thể sử dụng bộ phân tích giao thức đểXem nội dung các gói tin được truyền hoặc nhậnĐọc thư điện tửXem nội dung các trang WebĐánh cắp các mật khẩu không được bảo vệ


Các công cụ đánh giá- Bộ quét tìm lỗ hổng (1/2)

Các đặc tínhTự động tìm trong hệ thống những yếu điểm bảo mật đãđược biết trướcBáo cáo về những rủi ro tiềm ẩnThường được thực hiện trên các hệ thống hiện có vàcông nghệ mới triển khaiThường được thực hiện từ bên trong phạm vi bảo mậtKhông làm gián đoạn hoạt động bình thường của mạngĐa số đều duy trì một cơ sở dữ liệu để phân loại các lỗhổng phát hiện được

Các đặc tínhTự động tìm trong hệ thống những yếu điểm bảo mật đãđược biết trướcBáo cáo về những rủi ro tiềm ẩnThường được thực hiện trên các hệ thống hiện có vàcông nghệ mới triển khaiThường được thực hiện từ bên trong phạm vi bảo mậtKhông làm gián đoạn hoạt động bình thường của mạngĐa số đều duy trì một cơ sở dữ liệu để phân loại các lỗhổng phát hiện được


Các công cụ đánh giá- Bộ quét tìm lỗ hổng (2/2)

Các khả năngĐưa ra cảnh báo khi hệ thống mới được thêm vào mạngPhát hiện ra một hệ thống trong nội bộ bắt đầu quétcổng của các hệ thống khácDuy trì một file nhật ký ghi lại tất cả các phiên tương tácmạngTheo dõi tất cả các lỗ hổng của máy khách và máy chủTheo dõi các hệ thống giao tiếp với các hệ thống nội bộkhác

Vấn đề đối với các công cụ đánh giá về các lỗ hổngKhông có tiêu chuẩn cụ thể cho việc thu thập, phân tíchvà báo cáo lỗ hổng

Các khả năngĐưa ra cảnh báo khi hệ thống mới được thêm vào mạngPhát hiện ra một hệ thống trong nội bộ bắt đầu quétcổng của các hệ thống khácDuy trì một file nhật ký ghi lại tất cả các phiên tương tácmạngTheo dõi tất cả các lỗ hổng của máy khách và máy chủTheo dõi các hệ thống giao tiếp với các hệ thống nội bộkhác

Vấn đề đối với các công cụ đánh giá về các lỗ hổngKhông có tiêu chuẩn cụ thể cho việc thu thập, phân tíchvà báo cáo lỗ hổng


Kiểm tra thâm nhập

Nhằm khai thác các điểm yếu của hệ thốngPhụ thuộc vào kỹ năng, kiến thức và kỹ xảo của ngườikiểm traThường được tiến hành bởi một nhà thầu độc lậpQuá trình kiểm tra thường được tiến hành từ bên ngoàiphạm vi bảo mật

Thậm chí có thể làm gián đoạn hoạt động của mạngKết quả cuối cùng: báo cáo kiểm tra thâm nhậpCác phương pháp kiểm tra xâm nhập

Kiểm tra hộp đenKiểm tra hộp trắngKiểm tra hộp xám

Nhằm khai thác các điểm yếu của hệ thốngPhụ thuộc vào kỹ năng, kiến thức và kỹ xảo của ngườikiểm traThường được tiến hành bởi một nhà thầu độc lậpQuá trình kiểm tra thường được tiến hành từ bên ngoàiphạm vi bảo mật

Thậm chí có thể làm gián đoạn hoạt động của mạngKết quả cuối cùng: báo cáo kiểm tra thâm nhậpCác phương pháp kiểm tra xâm nhập

Kiểm tra hộp đenKiểm tra hộp trắngKiểm tra hộp xám


Giảm thiểu vàngăn chặn tấn công

Thiết lập tư thế bảo mậtTư thế bảo mật mô tả chiến lược liên quan tới bảo mậtCấu hình định mức ban đầuKiểm soát bảo mật liên tụcKhắc phục

Cấu hình các điều khiểnCamera bảo mật: phát hiện, không ngăn cản được tội phạmHàng rào bảo mật: ngăn cản, không phát hiện được tội phạmMở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi

Tôi luyện (Hardening)Loại bỏ càng nhiều nguy cơ bảo mật càng tốt

Báo cáoCung cấp thông tin liên quan tới các sự kiện xảy ra

Thiết lập tư thế bảo mậtTư thế bảo mật mô tả chiến lược liên quan tới bảo mậtCấu hình định mức ban đầuKiểm soát bảo mật liên tụcKhắc phục

Cấu hình các điều khiểnCamera bảo mật: phát hiện, không ngăn cản được tội phạmHàng rào bảo mật: ngăn cản, không phát hiện được tội phạmMở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi

Tôi luyện (Hardening)Loại bỏ càng nhiều nguy cơ bảo mật càng tốt

Báo cáoCung cấp thông tin liên quan tới các sự kiện xảy ra


Tóm tắt (1/2)

Những lỗ hổng của ứng dụng Web bị khai thác thông quacác kênh giao tiếp thông thườngTấn công XSS sử dụng các Web site nhận dữ liệu đầu vàocủa người dùng mà không kiểm tra tính hợp lệ của dữ liệuTấn công phía client nhằm vào các lỗ hổng của các ứngdụng trên clientTấn công theo phiênTấn công tràn bộ đệmTấn công từ chối dịch vụ làm cho hệ thống quá tải để nókhông thể thực hiện các chức năng thông thườngTrong tấn công bằng cách đầu độc ARP và DNS, các địa chỉhợp lệ bị thay thế bởi những địa chỉ giả mạoQuyền và đặc quyền truy cập cũng có thể bị khai thác

Những lỗ hổng của ứng dụng Web bị khai thác thông quacác kênh giao tiếp thông thườngTấn công XSS sử dụng các Web site nhận dữ liệu đầu vàocủa người dùng mà không kiểm tra tính hợp lệ của dữ liệuTấn công phía client nhằm vào các lỗ hổng của các ứngdụng trên clientTấn công theo phiênTấn công tràn bộ đệmTấn công từ chối dịch vụ làm cho hệ thống quá tải để nókhông thể thực hiện các chức năng thông thườngTrong tấn công bằng cách đầu độc ARP và DNS, các địa chỉhợp lệ bị thay thế bởi những địa chỉ giả mạoQuyền và đặc quyền truy cập cũng có thể bị khai thác


Tóm tắt (2/2)

Có năm bước trong quá trình đánh giá khả năng thiệt hại.Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổngĐánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khácnhauPhần mềm quét cổng và bộ phân tích giao thức được sửdụng như những công cụ đánh giáQuét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã đượcbiết trước của hệ thống và báo cáo kết quả tìm đượcKiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếuđiểm nào tìm được của hệ thốngCác kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngănchặn tấn công

Có năm bước trong quá trình đánh giá khả năng thiệt hại.Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổngĐánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khácnhauPhần mềm quét cổng và bộ phân tích giao thức được sửdụng như những công cụ đánh giáQuét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã đượcbiết trước của hệ thống và báo cáo kết quả tìm đượcKiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếuđiểm nào tìm được của hệ thốngCác kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngănchặn tấn công


bài 3: tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm...

Documents