HỌC VIỆN KỸ THUẬT MẬT MÃ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN

Mến Phạm

Đợt dịch COVID-19 thứ tư đang diễn ra tại Việt Nam với cường độ mạnh, nhiều ổ dịch xuất hiện, và tốc độ lây lan nhanh với các biến chủng nguy hiểm. Điều này đặt ra một vấn đề cấp bách là phải có một chiến lược hữu hiệu để bảo vệ an toàn bệnh viện (BV), nơi vừa được coi là tuyến đầu, nhưng lại là nơi COVID-19 dễ tấn công nhất trong tình hình dịch bệnh lan rộng như hiện nay cũng như trong tương lai khi các đợt dịch tiếp theo xảy ra. Ngày 28 tháng 4 năm 2021, Bộ Y tế đã có Quyết định số 2022/QĐ-BYT về việc Ban hành Hướng dẫn sử dụng sinh phẩm xét nghiệm nhanh kháng nguyên vi rút SARS-CoV-2. Mô hình triển khai các điểm sàng lọc cùng với xét nghiệm nhanh kháng nguyên đã được BV Hữu nghị áp dụng hiệu quả và có những thành công bước đầu. Mô hình này được ghi lại trong bài báo để các BV có thể tham khảo, chia sẻ, và áp dụng vào từng điều kiện cụ thể của mình.

ASSESSMENT OF THE TROPHIC STATUS IN SOME LAKES WITH IN HANOI INNER CITY Nguyen Thi Bich Ngoc , Vu Duy An, Le Thi Phuong Quynh , Nguyen Bich Thuy 1, , Le Duc Nghia, Duong Thi Thuy và Ho Tu Cuong 2 Institute of Natural Product Chemistry, VAST, 18 Ho ang Quoc Viet, Cau Giay dist., Ha Noi Institute of Environmental Technology, VAST, 18 Hoa ng Quoc Viet, Cau Giay dist., Ha Noi Email: nguyenbichthuy2000@yahoo.co.uk Urban lakes in Hanoi play different important roles in the human life such as acclimatization, culture, tourist, etc. However, un der the pressure of urbanization coupled with unreasonable water sewage collector system, and po llutants discharged directly into lakes have been increased, causing water pollution in lakes. T his paper presents the monitoring results of water quality in 10 lakes in Hanoi during the perio d from March 2014 to February 2015. Basing on the monitoring results and on the classification methods of Hakanson and Carlson, we could assess the trophic status ...

Nghiên cứu này được thực hiện nhằm đánh giá mức độ ảnh hưởng của các yếu tố đến sự hài lòng của sinh viên đối với chất lượng đào tạo ngành Hệ thống thông tin quản lý (MIS) thông qua khảo sát 352 sinh viên và cựu sinh viên của Khoa Công nghệ thông tin, Trường đại học Tài chính – Marketing (UFM). Nghiên cứu sử dụng phương pháp phân tích nhân tố khám phá (EFA) và phân tích hồi quy đa biến. Kết quả của nghiên cứu cho thấy, chương trình đào tạo, đội ngũ giảng viên, cơ sở vật chất, sự tương tác với doanh nghiệp, chi phí học tập và vai trò của nhà lãnh đạo ngành học ảnh hưởng đến mức độ hài lòng của sinh viên đối với chất lượng đào tạo ngành MIS tại UFM; trong đó, vai trò của nhà lãnh đạo ngành học với vai trò là nhân tố điều chỉnh. Từ kết quả này, nghiên cứu đề xuất các khuyến nghị liên quan đến công tác đào tạo ngành MIS: Cập nhật, hoàn thiện chương trình đào tạo theo xu hướng của thời đại 4.0; Bồi dưỡng, nâng cao trình độ chuyên môn nghiệp vụ cho đội ngũ giảng viên về MIS trong kỷ nguyê...

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS. LƯƠNG THẾ DŨNG, ThS. PHẠM MINH THUẤN GIÁO TRÌNH ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN HÀ NỘI, 2016 MỤC LỤC Mục lục ................................................................................................................. i Danh mục từ viết tắt........................................................................................... v Danh mục bảng ................................................................................................ viii Danh mục hình vẽ.............................................................................................. ix Lời nói đầu ........................................................................................................ xii Chương 1 Tổng quan về đánh giá an toàn hệ thống thông tin ...................... 1 1.1. Khái niệm đánh giá an toàn hệ thống thông tin ........................................... 1 1.2. Tầm quan trọng của đánh giá an toàn hệ thống thông tin ............................ 3 1.3. Phương pháp luận đánh giá an toàn thông tin .............................................. 4 1.3.1. Phương pháp ISSAF .......................................................................... 6 1.3.2. Phương pháp OSSTMM .................................................................... 8 1.3.3. Phương pháp OWASP..................................................................... 10 1.4. Các kỹ thuật đánh giá ................................................................................. 14 1.5. So sánh kiểm thử (test) và kiểm tra (examination) .................................... 15 Chương 2 Rà soát hệ thống ............................................................................. 18 2.1. Rà soát tài liệu ............................................................................................ 18 2.2. Rà soát nhật ký ........................................................................................... 19 2.3. Rà soát tập luật ........................................................................................... 21 2.4. Rà soát cấu hình hệ thống .......................................................................... 22 2.5. Dò quét mạng ............................................................................................. 23 2.6. Kiểm tra tính toàn vẹn của tập tin .............................................................. 25 2.7. Tổng kết...................................................................................................... 26 Chương 3 Phân tích và xác định mục tiêu ..................................................... 29 3.1. Khám phá mạng ......................................................................................... 29 3.2. Xác định cổng và dịch vụ mạng ................................................................. 33 3.3. Dò quét lỗ hổng bảo mật ............................................................................ 41 3.4. Dò quét mạng không dây ........................................................................... 45 3.4.1. Khái niệm mạng không dây ............................................................ 45 3.4.2. Các chuẩn mạng không dây ............................................................ 47 3.4.3. Bảo mật trong mạng không dây ...................................................... 50 3.4.4. Dò quét mạng không dây ................................................................ 55 i 3.4.4.1. Quét mạng không dây theo kiểu bị động .......................... 57 3.4.4.2. Quét mạng không dây theo kiểu chủ động ....................... 58 3.4.4.3. Xác định vị trí thiết bị mạng không dây ........................... 59 3.4.4.4. Quét Bluetooth .................................................................. 60 3.5. Một số công cụ hỗ trợ việc phân tích và xác định mục tiêu ...................... 61 3.5.1. Công cụ khám phá mạng ................................................................. 61 3.5.2. Công cụ xác định cổng và dịch vụ mạng ........................................ 66 3.5.3. Công cụ dò quét lỗ hổng bảo mật.................................................... 75 3.6. Tổng kết...................................................................................................... 85 3.7. Bài tập ........................................................................................................ 87 Chương 4 Xác định điểm yếu mục tiêu .......................................................... 88 4.1. Bẻ mật khẩu................................................................................................ 88 4.2. Kiểm thử xâm nhập .................................................................................... 91 4.2.1. Các pha kiểm thử ............................................................................. 96 4.2.2. Logic kiểm thử xâm nhập.............................................................. 101 4.3. Kỹ nghệ xã hội ......................................................................................... 103 4.4. Một số công cụ hỗ trợ xác định điểm yếu mục tiêu ................................. 103 4.4.1. Công cụ bẻ mật khẩu ..................................................................... 103 4.4.2. Công cụ kiểm thử xâm nhập ......................................................... 109 4.5. Tổng kết.................................................................................................... 120 4.6. Bài tập ...................................................................................................... 121 Chương 5 Lập kế hoạch đánh giá an toàn hệ thống thông tin................... 122 5.1. Xây dựng chính sách đánh giá an ninh .................................................... 122 5.2. Xác định các ưu tiên và quy trình ............................................................ 123 5.3. Lựa chọn và xác định kỹ thuật đánh giá .................................................. 124 5.4. Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá ............................. 127 5.4.1. Lựa chọn đánh giá viên ................................................................. 128 5.4.2. Lựa chọn vị trí ............................................................................... 131 5.4.3. Lựa chọn tài nguyên và công cụ kỹ thuật ..................................... 132 5.5. Phát triển kế hoạch đánh giá .................................................................... 136 5.6. Xem xét pháp lý ....................................................................................... 140 5.7. Tổng kết.................................................................................................... 141 Chương 6 Thực hiện đánh giá an toàn hệ thống thông tin ........................ 143 ii 6.1. 6.2. 6.3. 6.4. Phối hợp ................................................................................................... 143 Đánh giá ................................................................................................... 145 Phân tích ................................................................................................... 147 Xử lý dữ liệu ............................................................................................ 149 6.4.1. Thu thập dữ liệu ............................................................................ 150 6.4.2. Lưu trữ dữ liệu............................................................................... 151 6.4.3. Truyền dữ liệu ............................................................................... 152 6.4.4. Hủy bỏ dữ liệu ............................................................................... 153 Chương 7 Các hoạt động sau đánh giá ........................................................ 155 7.1. Tổng hợp thông tin ................................................................................... 155 7.2. Báo cáo ..................................................................................................... 157 7.2.1. Thông tin chung về hệ thống đánh giá .......................................... 158 7.2.2. Cấu trúc hệ thống đánh giá ............................................................ 158 7.2.3. Các rủi ro mức cao ........................................................................ 160 7.2.4. Các rủi ro mức trung bình và mức thấp ........................................ 161 7.3. Khắc phục/Giảm thiểu.............................................................................. 161 7.4. Một số mẫu báo cáo tham khảo ............................................................... 163 7.4.1. Báo cáo thu thập thông tin............................................................. 163 7.4.2. Báo cáo kiểm thử mạng nội bộ...................................................... 167 7.4.3. Báo cáo kiểm thử tường lửa .......................................................... 172 7.5. Bài tập ...................................................................................................... 177 Chương 8 Kiểm định an toàn hệ thống thông tin........................................ 178 8.1. Tổng quan về kiểm định an toàn hệ thống thông tin ............................... 178 8.1.1. Khái niệm kiểm định an toàn hệ thống thông tin .......................... 178 8.1.2. Các dạng kiểm định an toàn thông tin ........................................... 179 8.1.3. Các khía cạnh quan trọng trong kiểm định an toàn thông tin ....... 180 8.1.4. Đạo đức của chuyên gia kiểm định ............................................... 181 8.2. Các tiêu chuẩn kiểm định an toàn thông tin ............................................. 182 8.3. Quy trình kiểm định an toàn hệ thống thông tin ...................................... 186 8.3.1. Chuẩn bị kiểm định ....................................................................... 187 8.3.2. Tạo kế hoạch kiểm định ................................................................ 188 8.3.3. Xem xét tài liệu ............................................................................. 189 8.3.4. Kiểm tra trực tiếp .......................................................................... 190 iii 8.3.5. Đánh giá kết quả ............................................................................ 192 8.3.6. Lập báo cáo kiểm định .................................................................. 192 8.4. Chứng nhận kiểm định an toàn hệ thống thông tin .................................. 198 Tài liệu tham khảo.......................................................................................... 199 Phụ lục ............................................................................................................. 200 iv DANH MỤC TỪ VIẾT TẮT Từ viết tắt AP ATTT CC CGI CIO CISO CNTT CRC CSDL CTO CVE CVSS DNS DoS EAL FIPS Chú giải tiếng Anh Access Point Common Criteria Common Gateway Interface Chief Information Officer Chief Information Security Officer Cyclic Redundancy Check Chief Technology Officer Common Vulnerablity and Exposures Common Vulnerability Scoring System Domain Name System Denial of Service Evaluation Asurance Level Federal Information Processing Standards FTP GPS GUI Federal Information Security Management Act File Transfer Protocol Global Positioning System Graphical User Interface HTTP Hypertext Transfer Protocol FISMA ICMP ID IDS IEEE Internet Control Message Protocol Identification Intrusion Detection System Institute of Electrical and Electronics Engineers v Chú giải tiếng Việt Điểm truy cập không dây An toàn thông tin Tiêu chí chung Giao tiếp cổng chung Người quản lý thông tin Người quản lý an ninh thông tin Công nghệ thông tin Kiểm tra phần dư vòng Cơ sở dữ liệu Người quản lý công nghệ Các lỗ hổng và lỗi khai thác phổ biến Hệ thống tham chiếu lỗ hổng phổ biến Hệ thống phân giải tên miền Từ chối dịch vụ Mức đánh giá Tiêu chuẩn xử lý thông tin liên bang Luật quản lý an toàn thông tin liên bang Giao thức truyền tập tin Hệ thống định vị toàn cầu Giao diện người dùng đồ họa Giao thức truyền tải siêu văn bản Giao thức thông điệp điều khiển internet Định danh Hệ thống phát hiện xâm nhập Viện kỹ nghệ điện và điện tử IIS IP IPS ISMS ISO/IEC Internet Information Services Internet Protocol Intrusion Prevention System Information Security Management System Dịch vụ thông tin internet Giao thức internet Hệ thống ngăn chặn xâm nhập Hệ thống quản lý an toàn thông tin International Organization for Standardization/ International Electrotechnical Commission Tổ chức tiêu chuẩn hóa quốc tế/ Ủy ban kỹ thuật điện quốc tế Khung đánh giá an toàn hệ thống thông tin Nhân viên an toàn hệ thống ISSO thông tin LAN Mạng cục bộ Điều khiển truy cập phương MAC Media Access Control tiện truyền thông NAT Network Address Translation Chuyển dịch địa chỉ mạng National Institute of Standards Viện tiêu chuẩn quốc gia và NIST and Technology công nghệ NVD National Vulnerability Database Cơ sở dữ liệu lỗ hổng quốc gia OS Operating System Hệ điều hành Open Source Security Testing Phương pháp mở đánh giá an OSSTMM Methodology Manual toàn thủ công Open Web Application Security Dự án mở về an toàn ứng dụng OWASP Project Web Thiết bị kỹ thuật số hỗ trợ cá PDA Personal Digital Assistant nhân Personally Identifiable PII Thông tin nhận dạng cá nhân Information Kế hoạch hành động và mốc POA&M Plan of Action and Milestones thời gian Giao thức nhận thư điện tử POP3 Post Office Protocol version 3 phiên bản 3 PP Protection Profile Hồ sơ bảo vệ ROE Rules of Engagement Quy tắc gắn kết Supervisory Control And Data Điều khiển giám sát và thu thập SCADA Acquisition dữ liệu SCAP Security Content Automation Giao thức tự động hóa nội ISSAF Information Systems Security Assessment Framework Information System Security Officer Local Area Network vi SHA Protocol Secure Hash Algorithm SMB Server Message Block SME Subject Matter Experts SMTP Simple Mail Transfer Protocol SSID Service Set Identifier SSL Secure Sockets Layer SSN Social Security Number TCP Transmission Control Protocol TCQG TCSEC Trusted Computer System Evaluation Criteria TCVN TFTP Trivial File Transfer Protocol TOE VM VPN WAN WLAN XML Target of Evaluation Virtual Machines Virtual Private Network Wide Area Network Wireless Local Area Network Extensible Markup Language vii dung an toàn Giải thuật băm an toàn Giao thức khối thông điệp máy chủ Chuyên gia về chủ đề nào đó Giao thức truyền tải thư đơn giản Nhận dạng và thiết lập dịch vụ Chuẩn an toàn khi trao đổi thông tin giữa máy chủ Web và trình duyệt Mã số an ninh xã hội Giao thức điều khiển truyền vận Tiêu chuẩn quốc gia Tiêu chí đánh giá hệ thống máy tính được tin cậy Tiêu chuẩn Việt Nam Giao thức truyền tập tin bình thường Đích đánh giá Máy ảo Mạng riêng ảo Mạng diện rộng Mạng cục bộ không dây Ngôn ngữ đánh dấu mở rộng DANH MỤC BẢNG Bảng 1: Mẫu minh họa bài viết hướng dẫn đánh giá ......................................... 13 Bảng 2: Các kỹ thuật rà soát .............................................................................. 26 Bảng 3: Các kỹ năng cơ bản cần thiết đối với các kỹ thuật rà soát ................... 27 Bảng 4: Các nhóm mạng không dây .................................................................. 46 Bảng 5: Các đặc điểm kỹ thuật của IEEE 802.11 .............................................. 49 Bảng 6: Các kỹ thuật phân tích và xác định mục tiêu ........................................ 85 Bảng 7: Các kỹ năng cần thiết cho việc phân tích và xác định mục tiêu ........... 86 Bảng 8: Các kỹ thuật xác định điểm yếu mục tiêu........................................... 120 Bảng 9: Kiến thức và kỹ năng cần thiết cho xác định điểm yếu mục tiêu ....... 121 viii DANH MỤC HÌNH VẼ Hình 1.1. Phương pháp đánh giá an toàn thông tin .............................................. 3 Hình 1.2. Mục tiêu an toàn của tổ chức ............................................................... 3 Hình 1.3. Phương thức làm việc của ISSAF ........................................................ 7 Hình 1.4. Khái quát mô hình OSSTMM .............................................................. 9 Hình 1.5. Phương thức làm việc của OSSTMM .................................................. 9 Hình 1.6. Phương thức làm việc của OWASP ................................................... 12 Hình 3.1. Ví dụ về Ping ...................................................................................... 30 Hình 3.2. Advanced IP Scanner ......................................................................... 32 Hình 3.3. Angry IP Scanner ............................................................................... 32 Hình 3.4. Truyền tin TCP dựa trên bắt tay ba bước ........................................... 34 Hình 3.5. Quét TCP Connect ............................................................................. 35 Hình 3.6. Quét Stealth ........................................................................................ 35 Hình 3.7. Quét XMAS........................................................................................ 35 Hình 3.8. Quét FIN ............................................................................................. 36 Hình 3.9. Quét NULL ........................................................................................ 36 Hình 3.10. Client gửi yêu cầu kết nối tới zombie để thăm dò IPID .................. 36 Hình 3.11. Server gửi gói tin SYN/ACK cho zombie nếu cổng mở.................. 37 Hình 3.12. Server gửi gói tin RST cho zombie nếu cổng đóng ......................... 37 Hình 3.13. Sơ đồ mã hóa WEP .......................................................................... 50 Hình 3.14. Thông điệp trao đổi trong quá trình xác thực................................... 53 Hình 3.15. Công cụ tracert ................................................................................. 62 Hình 3.16. Công cụ DNS ................................................................................... 62 Hình 3.17. Yêu cầu tem thời gian ICMP ........................................................... 63 Hình 3.18. Quét IKE .......................................................................................... 64 Hình 3.19. Quét linh hoạt IKE ........................................................................... 64 Hình 3.20. Finger ............................................................................................... 65 Hình 3.21. Công cụ dò quét cổng Nmap ............................................................ 66 Hình 3.22. Ví dụ quét cổng với Nmap ............................................................... 70 Hình 3.23. Các cổng và dịch vụ tương ứng Nmap xác định dựa trên cổng mặc định ..................................................................................................................... 71 ix Hình 3.24. Các cổng và dịch vụ, phiên bản phần mềm Nmap xác định khi có tùy chọn -sV ............................................................................................................. 71 Hình 3.25. Kịch bản traceroute theo geoIP ........................................................ 72 Hình 3.26. Phát hiện lỗ hổng MS08-067 trên cổng 445 của Windows XP ....... 73 Hình 3.27. Quét giao thức định tuyến ................................................................ 74 Hình 3.28. Công cụ dò quét lỗ hổng bảo mật Nessus ........................................ 75 Hình 3.29. Công cụ dò quét lỗ hổng bảo mật OpenVAS ................................... 78 Hình 3.30. Cấu trúc của OpenVAS .................................................................... 78 Hình 3.31. Công cụ dò quét lỗ hổng ứng dụng Web Acunetix WVS ................ 79 Hình 3.32. Công cụ dò quét lỗ hổng ứng dụng Web IBM Rational AppScan .. 80 Hình 3.33. Quét ứng dụng Web với Nikto ......................................................... 82 Hình 3.34. Sử dụng Nikto quét với các tùy chọn ............................................... 83 Hình 3.35. Kết quả quét với Nikto ..................................................................... 83 Hình 3.36. Quét điểm yếu ứng dụng Web với Grendel-Scan ............................ 84 Hình 4.1. Bốn giai đoạn của phương pháp kiểm thử ......................................... 96 Hình 4.2. Các bước trong giai đoạn tấn công và vòng lặp quay trở về giai đoạn khám phá ............................................................................................................ 99 Hình 4.3. Công cụ bẻ mật khẩu L0phCrack ..................................................... 104 Hình 4.4. Công cụ bẻ mật khẩu Join the Ripper .............................................. 105 Hình 4.5.Công cụ bẻ mật khẩu THC-Hydra .................................................... 106 Hình 4.6. Công cụ bẻ mật khẩu Medusa .......................................................... 108 Hình 4.7. Công cụ kiểm thử xâm nhập Metasploit Framework....................... 109 Hình 4.8. Onesixtyone ...................................................................................... 110 Hình 4.9. Cisco Global Exploiter ..................................................................... 112 Hình 4.10. Dùng Cisco Global Exploiter khai thác ......................................... 112 Hình 4.11. Tấn công HSRP .............................................................................. 113 Hình 4.12. HSRP DoS ...................................................................................... 113 Hình 4.13. Etercap ............................................................................................ 114 Hình 4.14. Burp Suite ....................................................................................... 115 Hình 4.15. Quét bằng SQLiX ........................................................................... 117 Hình 4.16. Sử dụng sqlmap quét lỗ hổng SQL Injection ................................. 118 Hình 4.17. Kết quả thu được từ sqlmap ........................................................... 119 Hình 4.18. DirBuster ........................................................................................ 120 x Hình 7.1. Cấu trúc Website đánh giá ............................................................... 159 Hình 7.2. Cấu trúc mạng đánh giá.................................................................... 159 Hình 7.3. Mẫu báo cáo kiểm thử thu thập thông tin của EC-Council.............. 164 Hình 7.4. Mẫu báo cáo kiểm thử an toàn mạng nội bộ của EC-Council ......... 168 Hình 7.5. Mẫu báo cáo kiểm thử tường lửa của EC-Council .......................... 173 Hình 8.1. Quy trình kiểm định an toàn hệ thống thông tin .............................. 186 Hình 8.2. Chứng nhận kết quả kiểm định ........................................................ 198 xi LỜI NÓI ĐẦU Ngày nay an toàn thông tin được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên, kỹ thuật, giáo dục và kinh tế. Đảm bảo an toàn thông tin không chỉ dừng lại ở các cơ quan, tổ chức mà đã là vấn đề cấp thiết của cả chính phủ, quốc gia. Đảm bảo an toàn thông tin cần mang tính hệ thống, được giải quyết một cách đồng bộ theo các hướng điều chỉnh pháp luật. Trong đó, một vấn đề có tính then chốt là đánh giá và kiểm định an toàn cho các hệ thống thông tin. Giáo trình “Đánh giá và kiểm định an toàn thông tin” được xây dựng nhằm mục đích cung cấp các khái niệm, những kiến thức từ cơ bản đến nâng cao về đánh giá và kiểm định an toàn cho một hệ thống mạng công nghệ thông tin (gọi tắt là hệ thống thông tin), giúp học viên có được cái nhìn tổng quát và nắm được các phương pháp, cách thức để có thể đánh giá và kiểm định một hệ thống thông tin an toàn. Nội dung giáo trình gồm 8 chương: Chương 1: Tổng quan về đánh giá an toàn hệ thống thông tin Chương này cung cấp khái niệm cơ bản về đánh giá, tầm quan trọng của đánh giá và phương pháp luận đánh giá an toàn hệ thống thông tin. Đồng thời chương này cũng giới thiệu về các kỹ thuật đánh giá và so sánh một số khái niệm liên quan. Chương 2: Rà soát hệ thống Chương này cung cấp các kiến thức chi tiết về giai đoạn đầu tiên trong quá trình đánh giá: rà soát. Các nội dung bao gồm: rà soát tài liệu, rà soát nhật ký, rà soát các tập luật, rà soát cấu hình hệ thống, dò quét mạng và kiểm tra tính toàn vẹn của tập tin. Chương 3: Phân tích và xác định mục tiêu Chương này cung cấp các kiến thức liên quan đến phân tích, xác định mục tiêu và tìm kiếm các điểm yếu như: khám phá mạng để xác định sơ đồ mạng, địa chỉ IP; xác định cổng và dịch vụ mạng đang hoạt động; dò quét các lỗ hổng bảo mật trên hệ thống và các dò quét tới hệ thống mạng không dây. xii Chương 4: Xác định điểm yếu mục tiêu Chương này cung cấp kiến thức để đánh giá một cách cụ thể tới hệ thống mạng mục tiêu. Các công việc ở đây là: thử nghiệm bẻ mật khẩu, kiểm thử xâm nhập và đánh giá sử dụng kỹ nghệ xã hội. Chương 5: Lập kế hoạch đánh giá an toàn hệ thống thông tin Lập kế hoạch là một công việc rất cần thiết trong đánh giá an toàn hệ thống thông tin. Chương này cung cấp các kiến thức hỗ trợ lập kế hoạch chuẩn bị cho các đánh giá. Chương 6: Thực hiện đánh giá an toàn hệ thống thông tin Sau giai đoạn lập kế hoạch, người đánh giá cần có các hoạt động đánh giá cụ thể. Chương này cung cấp kiến thức về cách thức phối hợp, phân tích và xử lý dữ liệu trong quá trình thực hiện đánh giá. Chương 7: Các hoạt động sau đánh giá Giai đoạn cuối cùng trong quy trình đánh giá an toàn hệ thống thông tin là giải quyết các vấn đề hậu cần và khắc phục nếu có sự cố. Chương này cung cấp kiến thức cho các hoạt động sau đánh giá như: tổng hợp thông tin, lập báo cáo và các khuyến nghị để khắc phục, giảm thiểu rủi ro. Chương 8: Kiểm định an toàn hệ thống thông tin Chương này cung cấp các kiến thức về lĩnh vực kiểm định an toàn hệ thống thông tin từ tổng quan tới các tiêu chuẩn kiểm định, quy trình kiểm định và chứng nhận kiểm định. Giáo trình này được viết lần đầu tiên và trong thời gian ngắn, do đó có thể sẽ còn những khiếm khuyết về nội dung cũng như phương pháp thể hiện. Chúng tôi rất mong nhận được những ý kiến đóng góp của các đồng nghiệp và các bạn đọc, sinh viên để cho giáo trình tiếp tục hoàn thiện. Hà nội, tháng 08 năm 2016 Nhóm biên soạn xiii Chương 1 TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Đảm bảo an toàn hệ thống thông tin là một nhiệm vụ hết sức cần thiết đối với các nhà quản trị mạng. Song để có thể đảm bảo được an toàn thông tin, trước hết cần xác định được các hiểm họa cũng như các rủi ro tiềm ẩn có thể xảy đến. Một giải pháp hữu hiệu nhất trong việc xác định rủi ro là xác định các điểm yếu thông qua quá trình đánh giá an toàn hệ thống thông tin. Chương này sẽ giới thiệu về khái niệm, tầm quan trọng của đánh giá an toàn hệ thống thông tin cũng như các phương pháp, kỹ thuật đánh giá và so sánh một số thuật ngữ liên quan. 1.1. KHÁI NIỆM ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Theo NIST [1], đánh giá an toàn hệ thống thông tin (Information Security Assessment) là quy trình xác định tính hiệu quả của một thực thể được đánh giá (ví dụ: máy tính, hệ thống, mạng, quy trình vận hành, con người, …) đáp ứng các mục tiêu an ninh cụ thể. Quy trình này tập trung vào 3 phương pháp chính: kiểm thử (testing), kiểm tra (examination) và phỏng vấn (interviewing). Kiểm thử là thực hiện giám định một hoặc nhiều đối tượng theo điều kiện quy định để so sánh kết quả thực tế với dự kiến. Kiểm tra là quá trình xem xét, quan sát hoặc phân tích để làm rõ, khẳng định và lấy bằng chứng. Phỏng vấn là tiến hành các cuộc thảo luận với các cá nhân hoặc các nhóm trong một tổ chức để tìm hiểu, xác định vị trí của các đối tượng liên quan tới an toàn thông tin. Kết quả của quá trình đánh giá được sử dụng đễ hỗ trợ trong việc đưa ra các biện pháp kiểm soát hệ thống mạng một cách hiệu quả nhất. Theo SANS [2], đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin. Đánh giá an toàn là đánh giá dựa trên việc xác định các rủi ro, trong đó tập trung vào xác định điểm yếu và các tác động tới hệ thống. Đánh giá an toàn dựa trên 3 phương pháp chính, có liên quan đến nhau là: rà soát (reviewing), kiểm tra (examination) và kiểm thử (testing). Sự kết hợp của 3 1 phương pháp này có thể đánh giá chính xác các yếu tố về công nghệ, con người và quy trình xử lý an ninh của một hệ thống mạng. Trong đó: Phương pháp rà soát (Reviewing Method): Phương pháp rà soát bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏng vấn, thường được thực hiện thủ công. Chúng giúp cho việc đánh giá các hệ thống, ứng dụng, mạng, chính sách và các quy trình xử lý để phát hiện các điểm yếu trong hệ thống. Những công việc cần thực hiện chủ yếu là xem xét lại tài liệu, kiến trúc, tập hợp quy tắc và cấu hình hệ thống. Phương pháp này cho phép người đánh giá có một cái nhìn sơ lược về mức độ, các thông tin quan trọng trong hệ thống và nhu cầu đảm bảo an ninh mà hệ thống hướng tới. Phương pháp kiểm tra (Examination Method): Kiểm tra là quy trình xem xét cụ thể tại tổ chức từ mức hệ thống/ mạng để xác định các điểm yếu an ninh tồn tại trong hệ thống. Các công việc cụ thể như: phân tích tường lửa, phân tích hệ thống phát hiện và ngăn chặn xâm nhập, phân tích các bộ định tuyến, ... Nó cũng bao gồm việc dò quét điểm yếu trong các hệ thống mạng. Những thông tin thu đươc từ phương pháp rà soát ở trên là nền tảng cho việc kiểm tra được thực hiện dễ dàng và hiệu quả. Phương pháp kiểm thử (Testing Method): Kiểm thử (hay còn gọi là kiểm thử xâm nhập – penetration testing) là một quy trình trong đó người kiểm thử đóng vai trò như kẻ tấn công thực hiện các phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ thống hoặc mạng. Các thông tin từ quá trình rà soát, kiểm tra cũng góp phần rất quan trọng cho việc kiểm thử chính xác. Hình 1.1 mô tả mối quan hệ giữa các phương pháp: 2 Hình 1.1. Phương pháp đánh giá an toàn thông tin 1.2. TẦM QUAN TRỌNG CỦA ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Việc thực hiện đánh giá an toàn nhằm xác định mức độ an ninh hiện tại của hệ thống thông tin trong một tổ chức. Điều này cho phép tổ chức có một cái nhìn toàn diện về các mối nguy hại tồn tại trong hệ thống mạng của mình; đồng thời có các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận tới các mục tiêu an ninh tổ chức đề ra và giảm thiểu các rủi ro không đáng có. Dưới đây sẽ mô tả cụ thể hơn về các vấn đề an ninh tới hệ thống mạng của tổ chức: Hình 1.2. Mục tiêu an toàn của tổ chức Đánh giá an toàn hệ thống thông tin cho phép trả lời các câu hỏi như sau:  Các thông tin quan trọng là gì? 3  Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh nào?  Tình hình an ninh thông tin hiện tại là như thế nào?  Có cần thêm các biện pháp để đối phó với vấn đề đảm bảo an ninh thông tin hay không?  Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn thông tin một cách đầy đủ? Như vậy, khi thực hiện đánh giá an ninh các tổ chức không chỉ nắm được tình hình chung về các khía cạnh an toàn trong hệ thống mạng của tổ chức mình mà còn xác định được các thông tin quan trọng, ưu tiên để xử lý phù hợp nhằm đảm bảo xây dựng các giải pháp an ninh một cách đầy đủ và thống nhất. 1.3. PHƯƠNG PHÁP LUẬN ĐÁNH GIÁ AN TOÀN THÔNG TIN Để thực hiện đánh giá an toàn thông tin một cách tối ưu và đúng đắn, người đánh giá cần phải có một phương pháp luận cụ thể. Phương pháp luận đánh giá nên được lập thành tài liệu và nên tái thực hiện theo nhiều phiên bản bởi vì:  Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn, từ đó có thể giảm thiểu rủi ro trong quá trình đánh giá.  Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự thay đổi nhân sự đánh giá.  Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an toàn. Bởi vì đánh giá an toàn thông tin cần các vấn đề như thời gian, nhân lực, phần cứng, phần mềm; song đây lại là một trong những yếu tố làm hạn chế tới cách thức cũng như tần suất đánh giá. Chính vì thế, việc xác định phương thức đánh giá, xác định kiểu kiểm thử và kiểm tra, và có một phương pháp luật phù hợp sẽ giúp giảm thiểu được các hạn chế ở trên, đồng thời cũng giảm bớt chi phí cho việc thực hiện đánh giá. 4 Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn sẽ mang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiên cho quá trình chuyển đổi nhân viên. Phương pháp luận cần chứa tối thiểu các pha như sau: 1. Lập kế hoạch: Pha này đóng vai trò quan trọng góp phần giúp cho quá trình đánh giá thành công. Trong pha này, các thông tin cần thiết để phục vụ quá trình đánh giá sẽ được thu thập, chẳng hạn như các tài sản, mối đe dọa đối với tài sản và các biện pháp kiểm soát an toàn được sử dụng nhằm giảm thiểu các mối đe dọa đó. Ngoài ra, người đánh giá cũng có thể hình dung được phương pháp tiếp cận đánh giá trong pha này. Một đánh giá an toàn nên được coi như bất kì một dự án nào khác với một kế hoạch quản lý dự án để chỉ ra các mục tiêu, mục đích, phạm vi, yêu cầu, các vai trò và trách nhiệm của nhóm, những hạn chế, yếu tố thành công, giả định, tài nguyên, thời gian và các phân phối. 2. Thực thi: Mục tiêu chính cho giai đoạn thực thi là xác định các lỗ hổng và xác nhận chúng khi thích hợp. Pha này cần phải chỉ ra các hoạt động liên quan tới phương pháp và kỹ thuật đánh giá đã được dự kiến. Mặc dù các hoạt động cụ thể của pha này khác nhau tùy theo kiểu đánh giá nhưng khi hoàn thành pha này thì người đánh giá sẽ phải xác định hệ thống, mạng và các lỗ hổng. 3. Hậu thực thi: Giai đoạn hậu thực thi tập trung vào việc phân tích các lỗ hổng đã được xác định để biết được nguyên nhân thực sự, đưa ra các khuyến cáo giảm nhẹ lỗ hổng và phát triển báo cáo cuối cùng. Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh giá an toàn thông tin khác nhau. Chẳng hạn NIST đã đưa ra một phương pháp luận – Hướng dẫn đánh giá các biện pháp kiểm soát an toàn trong hệ thống thông tin liên bang (NIST - SP 800-53A). Tài liệu này cung cấp các gợi ý cho việc đánh giá tính hiệu quả của các biện pháp kiểm soát an toàn đã nêu trong NIST SP 800-53. Hay một phương pháp luận được sử dụng rộng rãi khác là 5 phương pháp mở kiểm thử an toàn thủ công (Open Source Security Testing Methodology Manual - OSSTMM). Bởi vì có rất nhiều lí do để tiến hành đánh giá nên một tổ chức có thể muốn sử dụng nhiều phương pháp luận. Dưới đây chúng ta sẽ xem xét kỹ hơn về một số phương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống thông tin là:  Phương pháp đánh giá an toàn hệ thống thông tin – ISSAF  Phương pháp mở đánh giá an toàn thủ công – OSSTMM  Dự án mở về bảo mật ứng dụng Web – OWASP 1.3.1. Phương pháp ISSAF ISSAF là phương pháp luận đánh giá an toàn hệ thống thông tin của tổ chức OISSG, ra đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh CNTT chuyên nghiệp tham gia đóng góp, thảo luận trong lĩnh vực an ninh CNTT. Khung làm việc của nó được phân vào một số loại lĩnh vực giải quyết các đánh giá an ninh theo một trình tự. Mỗi lĩnh vực đánh giá các bộ phận khác nhau của một hệ thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm công việc an ninh thành công. ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ thuật. Mặt quản lý thực hiện quản lý nhóm công việc và các kinh nghiệm thực tế tốt nhất phải được tuân thủ trong suốt quá trình đánh giá, trong khi mặt kỹ thuật thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra một quy trình đánh giá an ninh đầy đủ. Về mặt kỹ thuật, ISSAF xây dựng một loạt các phương pháp đánh giá cho từng thành phần của hệ thống CNTT như: đánh giá an toàn mật khẩu; đánh giá an toàn các thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus, WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server; đánh giá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi công nghệ như an ninh vật lý; công nghệ xã hội. Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bước đánh giá, đó là: 6 Hình 1.3. Phương thức làm việc của ISSAF Giai đoạn 1: Lên kế hoạch và chuẩn bị Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị cho đánh giá; ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý; xác định thời gian và khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang… Giai đoạn 2: Đánh giá Đây là giai đoạn thực sự thực hiện đánh giá. Trong giai đoạn này, một cách tiếp cận theo lớp được tuân thủ. Có chín lớp đánh giá bao gồm:  Lớp 1. Thu thập thông tin  Lớp 2. Lập bản đồ mạng  Lớp 3. Xác định lỗ hổng  Lớp 4. Xâm nhập  Lớp 5. Truy cập & leo thang đặc quyền  Lớp 6. Liệt kê thêm 7  Lớp 7. Thỏa hiệp user/site từ xa  Lớp 8. Duy trì truy cập  Lớp 9. Xóa dấu vết Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng tròn trong giai đoạn đánh giá trong Hình 1.3. Đặc biệt chín lớp được mô tả rất kỹ và giới thiệu rất nhiều phần mềm tương ứng có thể sử dụng trong từng lớp hoặc tham khảo khi đánh giá. Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn đề quan trọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi hoàn thành tất cả các bước đánh giá được xác định trong phạm vi công việc. Cuối cùng là dọn dẹp hậu quả, tất cả các thông tin được tạo ra hoặc được lưu trữ trên hệ thống đánh giá cần được loại bỏ khỏi hệ thống. 1.3.2. Phương pháp OSSTMM OSSTMM là một dự án của ISECOM – tổ chức phi lợi nhuận được thành lập ở New York, Hoa Kỳ và ở Catalonia, Tây Ban Nha. Dự án này phát triển trong một cộng đồng mở, với các đối tượng tham gia bình đẳng và không ảnh hưởng bởi chính trị và thương mại. Đây là một phương pháp khoa học giúp mô tả chính xác các an ninh hoạt động đặc trưng thông qua đánh giá một cách nhất quán và lặp đi lặp lại trên các kênh vật lý, tương tác con người, kết nối như không dây, có dây, tương tự và số. Phương pháp này phù hợp với hầu hết các kiểu đánh giá như đánh giá an ninh, đánh giá lỗ hổng, … Hiện nay dự án được phát triển và nâng cấp lên tới phiên bản 3.0. Từ góc độ kỹ thuật, phương pháp tiếp cận chia thành bốn nhóm chính, đó là phạm vi, kênh, chỉ mục và hướng. Phạm vi là tất cả các tài sản hoạt động trong môi trường mục tiêu trên đó xác định một quy trình thu thập thông tin. Một kênh xác định loại giao tiếp và tương tác với các tài sản có thể là vật lý, dải tần số và truyền thông. Chỉ số là một phương pháp được coi là hữu ích khi phân loại và đếm các tài sản mục tiêu tương ứng với từng loại cụ thể của chúng, chẳng hạn như địa chỉ MAC và địa chỉ IP. Cuối cùng, hướng mà theo đó người 8 đánh giá có thể đánh giá và phân tích từng tài sản chức năng. Toàn bộ quá trình này khởi tạo một lộ trình kỹ thuật theo hướng đánh giá toàn bộ môi trường mục tiêu và được gọi là phạm vi đánh giá. Phương pháp OSSTMM cũng định nghĩa một loạt các thuật ngữ được sử dụng như: kiểm soát, bề mặt tấn công, hướng, hướng tấn công, an ninh, an toàn, độ xốp, hạn chế, lỗ hổng, điểm yếu, RAV, hoạt động, an ninh hoàn hảo… Ngoài ra, phương pháp OSSTMM xây dựng một cơ sở lý thuyết mô tả chi tiết các thành phần cấu thành an ninh hoạt động và lượng hóa các thành phần này cùng công thức tính toán của chúng. An ninh là một khái niệm tương đối mà với mức độ an ninh thực tế này thì có thể là tốt đối với tổ chức này nhưng lại quá mất an ninh so với tổ chức khác. Vì vậy, lượng hóa các thuộc tính an ninh giúp tính toán và biểu diễn an ninh một cách nhất quán và lặp đi lặp lại. Hình 1.4. Khái quát mô hình OSSTMM Phương thức làm việc của OSSTMM bao gồm 17 module kiểm thử như Hình 1.5: Hình 1.5. Phương thức làm việc của OSSTMM 9 Có năm kênh an ninh là: truyền thông, mạng dữ liệu, vật lý, con người và không dây chia thành 3 lớp kênh: PHYSSEC – con người, vật lý; SPECSEC – không dây và COMSEC – truyền thông, mạng dữ liệu. Ứng với mỗi kênh sẽ lần lượt thực hiện 17 mô-đun, chia thành 4 giai đoạn: giai đoạn bắt đầu gồm 3 môđun đầu tiên, giai đoạn tương tác gồm các mô-đun từ 4 đến 7, giai đoạn điều tra gồm các mô-đun từ 8 đến 13 và giai đoạn can thiệp gồm các mô-đun còn lại – từ 14 đến 17. Trong từng mô-đun, tùy thuộc vào từng kênh ta có các nhiệm vụ phải làm để có thể tìm được các giá trị cho 18 đại lượng ở phần trên (mô tả chi tiết trong chương 7, 8, 9, 10 và 11 của hướng dẫn OSSTMM). Như vậy, người đánh giá phải thực hiện 17 * 5 = 85 phân tích trước khi đưa ra được báo cáo cuối cùng. 1.3.3. Phương pháp OWASP OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng mở, mục tiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc biệt là ứng dụng web. Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho việc đánh giá và đều là mã nguồn mở, miễn phí. OWASP ủng hộ phương pháp tiếp cận an ninh ứng dụng theo con người, quy trình và công nghệ vì đây là những nhân tố tạo ra ứng dụng, những nhân tố trên có hành vi an toàn thì ứng dụng mới an toàn. Theo OWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoài, nên nó sẽ là đối tượng đầu tiên chịu các cuộc tấn công phá hoại và sửa đổi trái phép. Vì vậy, đây sẽ là cánh cổng cho kẻ tấn công xâm nhập vào lớp ứng dụng trước khi thực hiện các bước tiếp theo xâm nhập vào hệ thống. Vì lỗ hổng an ninh này rất phổ biến, một số phương pháp đánh giá đã được giới thiệu nhằm đánh giá sự trầm trọng của các rủi ro an ninh cơ bản của ứng dụng web. Một nỗ lực được thực hiện bởi cộng đồng mở OWASP là xây dựng khung làm việc đánh giá an toàn ứng dụng web và thúc đẩy dự án OWASP top 10 nhằm nâng cao nhận thức an ninh ứng dụng của các tổ chức. Dự án OWASP top 10 không tập trung vào các chương trình ứng dụng an ninh hoàn thiện, mà cung cấp một nền tảng cần thiết để tích hợp an ninh thông qua các nguyên tắc và thực hành lập trình an toàn. Dự án OWASP top 10 phân loại rủi ro an ninh ứng dụng web bằng cách đánh giá các hướng tấn công hàng đầu và lỗ hổng an ninh trong mối quan hệ đối với các tác động kỹ thuật và kinh 10 doanh của nó. Việc đánh giá mười rủi ro hàng đầu của dự án sẽ thực hiện theo chu kỳ mỗi năm một lần nhằm mục đích chỉ ra những rủi ro nghiêm trọng nhất trong từng năm (chú ý không chỉ có 10 rủi ro cần xem xét mà rất nhiều, tuy nhiên hàng năm OWASP sẽ chọn ra 10 rủi ro nguy hại nhất). Dự án cũng cung cấp hướng dẫn cụ thể giúp đánh giá, xác minh và khắc phục từng phần các lỗ hổng của một ứng dụng như thế nào. Tuy không tập trung nhưng có một số hướng dẫn có sẵn từ cộng đồng OWASP cho những người phát triển và người đánh giá an toàn quản lý hiệu quả các ứng dụng web về mặt an ninh. Đối với OWASP, an toàn phần mềm nói chung và ứng dụng web nói riêng phải được chú trọng ngay từ giai đoạn đầu tiên: định nghĩa, thiết kế và duy trì cho đến các giai đoạn sau này như: phát triển, triển khai, bảo trì. Tóm lại, đánh giá an ninh nên được áp dụng trong suốt vòng đời phát triển phần mềm. Vì vậy hướng dẫn này không chỉ dành cho người đánh giá mà còn phải được đọc và sử dụng bởi người phát triển và kiểm thử phần mềm. Giữ thông tin an ninh liên tục cập nhật là một khía cạnh quan trọng của dự án hướng dẫn này. Để đáp ứng yêu cầu trên, OWASP áp dụng phương pháp tiếp cận wiki, cộng đồng OWASP có thể phát triển và mở rộng thông tin trong tài liệu hướng dẫn này để bắt kịp với sự phát triển nhanh chóng của các mối đe dọa an ninh nhằm vào ứng dụng. Theo OWASP, đánh giá an toàn sẽ không bao giờ là một khoa học chính xác với một danh sách đầy đủ của tất cả các vấn đề cần được đánh giá và đánh giá an toàn an ninh chỉ là một kỹ thuật thích hợp để đánh giá an tòa cho các ứng dụng web trong những hoàn cảnh nhất định. Phương pháp đánh giá an toàn ứng dụng web của OWASP dựa trên tiếp cận hộp đen. Người đánh giá không biết hoặc biết rất ít thông tin về các ứng dụng được đánh giá. Mô hình đánh giá bao gồm:  Người đánh giá: Thực hiện các hoạt động đánh giá.  Công cụ và phương pháp: Cốt lõi là dự án hướng dẫn đánh giá.  Áp dụng: Đánh giá hộp đen. 11 Phương pháp OWASP bao gồm 10 bước thực hiện chia thành 2 giai đoạn như Hình 1.6: Hình 1.6. Phương thức làm việc của OWASP Giai đoạn 1 – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng hiểu được logic của ứng dụng và các thông tin liên quan đến mục tiêu đánh giá. Các thông tin có thể thu thập được như: sơ đồ website, thông tin webserver, vị trí đặt tên miền, …. Các thông tin này là tiền đề để thực hiện giai đoạn thứ 2. Giai đoạn 2 – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt đầu thực hiện đánh giá theo hướng dẫn chi tiết trong tài liệu OWASP. OWASP chia đánh giá chủ động thành 9 loại nhỏ với tổng số 66 bài viết hướng dẫn:  Kiểm tra Quản lý cấu hình.  Kiểm tra quản lý cấu hình  Kiểm tra business logic  Kiểm tra cơ chế xác thực  Kiểm tra việc ủy quyền  Kiểm tra quản lý phiên giao dịch  Kiểm tra các dữ liệu đầu vào 12  Kiểm tra khả năng tấn công từ chối dịch vụ  Kiểm tra web services  Kiểm tra AJAX Một bảng danh sách các bài viết hướng dẫn đánh giá được liệt kê theo mẫu như sau: Bảng 1: Mẫu minh họa bài viết hướng dẫn đánh giá Loại Mã số Tên kiểm thử OWASP-IG-001 Phân tích Spiders, Robots, and Crawlers OWASP-IG-002 Sử dụng các công cụ tìm kiếm Thu thập thông OWASP-IG-003 tin OWASP-IG-004 Lỗ hổng Không Xác định điểm vào của ứng dụng Nhận diện Webserver OWASP-IG-005 Dò thông tin ứng dụng OWASP-IG-006 Phân tích trang báo lỗi Lộ thông tin OWASP-CM-001 Kiểm tra SSL/TLS Điểm yếu SSL OWASP-CM-002 Dò tìm Cơ sở dữ liệu Yếu về DB Listenner Quản OWASP-CM-003 Kiểm tra quản lý cấu hình cơ sở hạ tầng lý cấu hình OWASP-CM-004 Kiểm tra quản lý cấu hình ứng dụng Điểm yếu trong quản lý cấu hình cơ sở hạ tầng Điểm yếu trong quản lý ứng dụng OWASP-CM-005 Kiểm tra xử lý thành phần mở rộng của file OWASP-CM-006 Tìm các tập tin cũ, lưu trữ, Các tập tin cũ, lưu không được tham chiếu trữ và chưa được 13 Kiểm soát các phần mở rộng file tham chiếu ….. 1.4. OWASP-CM-007 Kiểm tra giao diện quản trị Truy cập tới giao diện quản trị Kiểm tra phương thức OWASP-CM-008 HTTP và XST Các phương thức HTTP đã bật, XST được phép ………….. ………………………. ………………. CÁC KỸ THUẬT ĐÁNH GIÁ Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử dụng để đánh giá an toàn của hệ thống và mạng. Tuy nhiên tựu chung lại chúng có thể được chia thành 3 loại như sau:  Kỹ thuật rà soát (review): Đây là kỹ thuật kiểm tra được dùng để đánh giá hệ thống, ứng dụng, mạng, chính sách và thủ tục nhằm mục tiêu phát hiện các lỗ hổng và thường được tiến hành thủ công (bằng tay). Các kỹ thuật này bao gồm việc rà soát tài liệu, nhật kí, tập luật và rà soát cấu hình hệ thống; thăm dò mạng; kiểm tra tính toàn vẹn tập tin. Chúng ta sẽ xem xét cụ thể hơn về kỹ thuật này trong chương 2.  Kỹ thuật phân tích và xác định mục tiêu: Kỹ thuật kiểm thử này có thể xác định hệ thống, các cổng, dịch vụ và các lỗ hổng. Thông thường có các công cụ tự động để thực hiện các kỹ thuật này nhưng cũng có thể được thực hiện thủ công. Các kỹ thuật này bao gồm: phát hiện mạng, nhận dạng cổng và dịch vụ mạng, quét lỗ hổng, quét mạng không dây và kiểm tra an toàn ứng dụng. Chúng ta sẽ xem xét cụ thể hơn về kỹ thuật này trong chương 3.  Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử này để xác định sự tồn tại của các lỗ hổng trong hệ thống. Chúng có thể được thực hiện một cách thủ công hoặc thông qua các công cụ tự động tùy thuộc vào các hệ thống cụ thể cũng như kỹ năng của người kiểm thử. Các kỹ thuật xác định điểm yếu mục tiêu bao gồm: 14 bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội và kiểm thử an toàn ứng dụng. Các thông tin chi tiết về kỹ thuật này sẽ được trình bày trong chương 4. Không có một kỹ thuật nào có thể cung cấp một cách đầy đủ, chi tiết về các vấn đề an toàn trong một hệ thống hay mạng nên cần phải kết hợp các kỹ thuật một cách phù hợp để đảm bảo rằng các đánh giá an toàn là chính xác. Ví dụ, kiểm thử xâm nhập thường phụ thuộc vào sự thực hiện của cả sự nhận dạng cổng mạng/dịch vụ và quét lỗ hổng để xác định các máy chủ và dịch vụ mà có thể là mục tiêu đối với sự thâm nhập tương lai. Ngoài ra, có một số kỹ thuật chỉ thỏa mãn với một yêu cầu đánh giá, chẳng hạn như xác định nơi mà các bản vá được áp dụng một cách phù hợp. Ngoài các kỹ thuật được trình bày ở trên, thực tế còn rất nhiều kỹ thuật khác nữa mà người đánh giá có thể áp dụng. Ví dụ như kiểm thử an toàn vật lý (xác thực sự tồn tại của các lỗ hổng an toàn vật lý bằng cách cố gắng phá ổ khóa, giả dấu hiệu và các biện pháp kiểm soát an toàn vật lý khác) thường để đạt được sự truy cập trái phép để tiếp cận tới các máy chủ, thiết bị mạng. Một ví dụ khác là nhận dạng tài sản theo cách thủ công. Một tổ chức có thể lựa chọn để xác định các tài sản cần đánh giá thông qua các kho lưu trữ tài sản hay các phương thức khác thay vì dựa vào các kỹ thuật để nhận dạng tài sản. 1.5. SO SÁNH KIỂM THỬ (TEST) VÀ KIỂM TRA (EXAMINATION) Đôi khi người đánh giá có thể nhẫn lẫn giữa các công việc liên quan tới đánh giá, đặc biệt là “kiểm thử” và “kiểm tra”. Ở đây sẽ trình bày cụ thể hơn về các công việc này. Kiểm tra chủ yếu liên quan tới việc xem xét các tài liệu như chính sách, thủ tục, kế hoạch an toàn, các yêu cầu an toàn, thủ tục vận hành chuẩn, sơ đồ kiến trúc, tài liệu công nghệ, bản kê tài sản, cấu hình hệ thống, tập luật và nhật kí hệ thống. Các kiểm tra được thực hiện để xác định liệu hệ thống có được lập tài liệu phù hợp không và để đạt được cái nhìn sâu sắc về các khía cạnh an toàn mà chỉ có sẵn thông qua các tài liệu hướng dẫn. Tài liệu này xác định thiết kế, cài đặt, cấu hình, vận hành và sự duy trì hệ thống cũng như duy trì mạng dự 15 kiến, và sự xem xét, tham khảo chéo của tài liệu này đảm bảo sự phù hợp và thống nhất. Ví dụ, các yêu cầu an toàn của một môi trường phải đưa ra tài liệu như kế hoạch an toàn hệ thống và thủ tục vận hành chuẩn, vì vậy người đánh giá phải đảm bảo rằng tất cả các kế hoạch, thủ tục, kiến trúc và cấu hình phù hợp với các yêu cầu an toàn đã nêu cũng như các chính sách có thể áp dụng. Ví dụ khác là xem xét một tập luật của tường lửa để đảm bảo sự phù hợp của nó với các chính sách an toàn của tổ chức liên quan tới việc sử dụng Internet, chẳng hạn như việc sử dụng nhắn tin cấp bách, chia sẻ tệp dữ liệu giữa mạng ngang hàng và các hoạt động bị cấm khác. Kiểm tra thường không tác động lên hệ thống hoặc mạng thực tế trong môi trường đích từ việc truy cập tài liệu, nhật kí hay tập luật cần thiết. Tuy nhiên nếu các tệp cấu hình hệ thống hay nhật kí được lấy ra từ hệ thống đã cho chẳng hạn như một bộ định tuyến hay tường lửa, thì chỉ những người quản trị hệ thống và những cá nhân đã được đào tạo tương tự mới thực hiện công việc này để đảm bảo các thiết lập không bị sửa đổi hoặc bị xóa một cách vô ý. Kiểm thử bao gồm các công việc thử nghiệm xâm nhập tới hệ thống và mạng để xác định các lỗ hổng an toàn và có thể được thực hiện trên toàn bộ doanh nghiệp hay các hệ thống được chọn. Việc sử dụng các kỹ thuật quét và xâm nhập có thể cung cấp thông tin giá trị về các lỗ hổng tiềm năng và dự đoán khả năng một kẻ tấn công hay kẻ xâm nhập có thể lợi dụng các lỗ hổng đó. Kiểm thử cũng cho phép các tổ chức đo được mức độ tuân thủ trong các lĩnh vực như quản lý bản vá, chính sách mật khẩu và quản lý cấu hình. Mặc dù kiểm thử có thể cung cấp chính xác hơn về tình hình an ninh của tổ chức so với kiểm tra nhưng vì phải thực hiện xâm nhập tới hệ thống nên có thể ảnh hưởng tới hệ thống hoặc mạng mục tiêu. Mức độ ảnh hưởng phụ thuộc vào kiểu kỹ thuật kiểm thử cụ thể. Các kiểu kỹ thuật đó có thể tương tác với hệ thống và mạng đích theo nhiều cách khác nhau, chẳng hạn như gửi các gói tin thông thường để xác định các cổng đóng và mở, hay gửi các gói tin đặc biệt để kiểm thử đối với các lỗ hổng. Khi thực hiện một kiểm thử, bất cứ lúc nào hệ thống cũng có thể bất ngờ bị tạm dừng hoặc xảy ra các trường hợp từ chối dịch 16 vụ không mong muốn. Do vậy cần phải xác định mức độ có thể chấp nhận khi quyết định sử dụng kỹ thuật nào. Ví dụ như loại bỏ các kiểm thử gây nghẽn mạng hoặc những sự gián đoạn khác có thể giảm những ảnh hưởng tiêu cực này. Kiểm thử có thể không cung cấp được sự đánh giá toàn diện về vấn đề an toàn trong một tổ chức vì những hạn chế về tài nguyên, nhân lực và đặc biệt là thời gian. Ngoài ra, các tổ chức có xu hướng tránh sử dụng các kỹ thuật kiểm thử mà ảnh hưởng tới hệ thống hoặc mạng. Do đó, kiểm thử ít được dùng hơn kiểm tra để xác định các điểm yếu liên quan đến chính sách an toàn và cấu hình. Trong nhiều trường hợp, việc kết hợp các kỹ thuật kiểm thử và kiểm tra có thể cung cấp một cái nhìn chính xác hơn về an toàn. 17 Chương 2 RÀ SOÁT HỆ THỐNG Rà soát (hay còn gọi là đánh giá lại) là giai đoạn đầu tiên cần thực hiện trong quy trình đánh giá an toàn hệ thống thông tin. Kỹ thuật rà soát giúp kiểm tra hệ thống, ứng dụng, mạng, chính sách, thủ tục nhằm tìm ra các lỗ hổng bảo mật. Kỹ thuật này cũng thu thập thông tin để tạo điều kiện và tối ưu hóa các kỹ thuật đánh giá khác. Do kỹ thuật rà soát được tiến hành một cách thụ động nên ít ảnh hưởng tới hệ thống và mạng. Chương này sẽ tập trung tìm hiểu về một số kỹ thuật rà soát phổ biến: rà soát tài liệu, nhật ký, luật đã được thiết kế; rà soát cấu hình hệ thống; dò quét mạng và kiểm tra tính toàn vẹn của tập tin. 2.1. RÀ SOÁT TÀI LIỆU Rà soát tài liệu nhằm xác định xem các khía cạnh kỹ thuật của chính sách và thủ tục hiện tại có được thực hiện hoặc đã thực hiện toàn diện hay chưa. Việc kiểm tra lại các tài liệu này sẽ giúp cho người quản trị một cái nhìn tổng quát về tình trạng an ninh của tổ chức nhưng lại thường bị bỏ qua trong các kỹ thuật đánh giá. Rà soát tài liệu bao gồm việc kiểm tra tính chính xác và đầy đủ về mặt kỹ thuật của cách chính sách bảo mật, kiến trúc, các yêu cầu, các quy trình hoạt động chuẩn, những kế hoạch an toàn hệ thống và các thỏa thuận cấp quyền, các bản ghi chép về những thỏa thuận và hợp đồng về việc liên kết hệ thống, kế hoạch phản ứng sự cố. Rà soát tài liệu giúp tìm ra những kẽ hở và điểm yếu có thể ảnh hưởng tới việc kiểm soát an ninh của toàn hệ thống. Người kiểm tra cần kiểm tra xem tài liệu của tổ chức đã đáp ứng được theo các quy chuẩn (như FISMA1) nhằm tìm ra những chính sách bị thiếu hoặc đã lỗi thời. Những điểm yếu phổ biến của các tài liệu bao gồm thủ tục an toàn hệ điều hành hoặc giao thức mà không còn được sử dụng hoặc không thể tích hợp hệ điều hành mới cùng những giao thức của nó. Việc kiểm tra lại tài liệu không thể đưa ra kết luận rằng các 1 FISMA là một bộ luật về an ninh thông tin của Hoa Kỳ 18 kiểm soát an ninh có vấn đề mà nó chỉ là một hướng tìm kiếm nhằm hỗ trợ cơ sở hạ tầng an ninh hệ thống. Rà soát tài liệu còn có thể được sử dụng để tinh chỉnh các kỹ thuật kiểm tra và kiểm thử khác. Ví dụ, nếu một chính sách quản lý mật khẩu có các yêu cầu cụ thể đối với độ dài tối thiểu và độ phức tạp của mật khẩu thì thông tin này có thể được dùng để cấu hình công cụ phá mật khẩu nhằm nâng cao hiệu suất của chúng. 2.2. RÀ SOÁT NHẬT KÝ Các nhật ký hệ thống khác nhau có thể được sử dụng để xác định độ sai lệch từ chính sách an toàn của tổ chức, bao gồm các nhật ký tường lửa, các nhật ký IDS, nhật ký máy chủ, và bất kỳ các nhật ký khác được thu thập từ dữ liệu kiểm toán trên các hệ thống và mạng. Trong khi hoạt động kiểm thử không được coi là thường xuyên, thì việc đánh giá và phân tích nhật ký có thể cung cấp hình ảnh động của các hoạt động liên tục trên hệ thống, các hoạt động này có thể được so sánh với mục đích và nội dung của chính sách an toàn. Về cơ bản, các nhật ký kiểm toán có thể được sử dụng để xác nhận rằng hệ thống đang hoạt động theo đúng các chính sách của tổ chức. Ví dụ, nếu một bộ cảm biến IDS được đặt phía sau tường lửa, thì tường lửa có thể sử dụng các nhật ký của nó để kiểm tra các yêu cầu dịch vụ và các truyền thông được phép vào mạng. Nếu cảm biến này đăng ký các hoạt động trái phép bên ngoài các tường lửa, thì điều đó chỉ ra rằng các tường lửa này không được cấu hình một cách an toàn và tồn tại một cửa hậu trên mạng. Việc rà soát nhật ký trên các máy chủ lớn và tường lửa nên được thực hiện thường xuyên. Đối với hệ thống mạng với quy mô nhỏ, không có nhiều dữ liệu cần bảo vệ thì mỗi tháng một lần là đủ, song với các hệ thống mạng lớn, có nhiều tài nguyên thông tin quan trọng thì có thể thực hiện rà soát hàng ngày hoặc hàng tuần. Các hành động sau đây có thể được thực hiện nếu một hệ thống không được cấu hình theo các chính sách:  Loại bỏ các dịch vụ dễ bị tổn thương nếu chúng không cần thiết. 19  Cấu hình lại hệ thống được yêu cầu để giảm khả năng bị chiếm quyền.  Thay đổi chính sách tường lửa để giới hạn truy cập vào hệ thống hoặc dịch vụ dễ bị tổn thương. Dưới đây là một số thông tin nhật ký hữu dụng khi thực hiện đánh giá an toàn hệ thống thông tin mà người đánh giá cần xem xét:  Nhật ký của hệ thống hoặc máy chủ xác thực ghi chép lại những thông tin về các hành động xác thực.  Nhật ký của hệ thống ghi chép lại thông tin về việc tắt, khởi động hệ thống và dịch vụ, việc cài đặt phần mềm trái phép, truy cập vào các file, thay đổi chính sách an toàn, thay đổi tài khoản (ví dụ: tạo và xóa tài khoản, cấp đặc quyền cho tài khoản) và đặc quyền sử dụng.  Nhật ký của hệ thống ngăn chặn và phát hiện xâm nhập ghi chép lại những hành vi sai trái.  Nhật ký của tường lửa và bộ định tuyến ghi chép lại các kết nối từ mạng nội bộ ra bên ngoài mà có tiềm năng là những kết nối của các thiết bị độc hại từ bên trong (ví dụ: rootkit, bot, trojan horse, spyware).  Nhật ký tường lửa về những thông tin kết nối không thành công và những nỗ lực truy cập trái phép.  Nhật ký ứng dụng ghi chép lại những nỗ lực kết nối trái phép, thay đổi tài khoản, sử dụng đặc quyền và sử dụng những thông tin của cơ sở dữ liệu hoặc ứng dụng.  Nhật ký của các phần mềm phòng chống virus ghi chép những cập nhật thất bại, hoặc những phần mềm đã lỗi thời.  Nhật ký bảo mật trong quản lý bản vá lỗi cụ thể nào đó hoặc trong hệ thống IDS/IPS có thể ghi chép lại những thông tin về những lỗ hổng dịch vụ và ứng dụng mà chưa được biết đến. 20 Việc rà soát nhật ký thủ công là rất phức tạp và tốn thời gian. Hiện nay có rất nhiều công cụ hỗ trợ đánh giá tự động giúp giảm thiểu đáng kể thời gian kiểm tra và có thể đưa ra bản báo cáo tóm tắt nội dung nhật ký kèm theo đường dẫn tới những hoạt động liên quan tới thông tin nhật ký đó. Người đánh giá cũng có thể sử dụng các công cụ tự động này để hỗ trợ trong việc phân tích nhật ký bằng cách chuẩn hóa các định dạng của bản ghi khác nhau sau đó đưa vào phân tích. Ngoài ra, nếu người đánh giá muốn điều tra về một hành động cụ thể, chẳng hạn như số lần thử đăng nhập không thành công trong một tổ chức, họ có thể sử dụng những công cụ để lọc dựa trên các hoạt động được ghi chép trong nhật ký. Điều quan trọng là bất kỳ bộ lọc nào áp dụng cho các nhật ký thì cần phải lọc ra được những gì không mong muốn và vượt qua được tất cả mọi thứ khác. 2.3. RÀ SOÁT TẬP LUẬT Tập luật là một tập hợp các quy tắc mà hệ thống hoặc mạng so sánh để quyết định nên làm gì hoặc hành động nào được chấp thuận; ví dụ như chuyển tiếp hoặc từ chối một gói dữ liệu, tạo ra một cảnh báo, hoặc cho phép một sự kiện hệ thống. Việc kiểm tra lại các tập luật giúp đảm bảo tính toàn diện và để tìm ra những lỗi hoặc lỗ hổng bảo mật trên các thiết bị an ninh và các tầng bảo mật như: lỗ hổng bảo mật mạng, vi phạm chính sách, đường truyền liên lạc không mong đợi hoặc kém bảo mật. Rà soát tập luật cũng giúp tìm ra những điều thiếu sót hoặc không hiệu quả làm ảnh hưởng đến hiệu suất của bộ luật. Những luật cần được kiểm tra bao gồm các bộ luật thiết đặt cho tường lửa, hệ thống IDS/IPS chạy trên nền tảng mạng hay nền tảng máy chủ, danh sách điều khiển truy cập trên bộ định tuyến. Dưới đây là một số ví dụ thường gặp về việc kiểm tra hiệu suất của những bộ luật đã được thiết lập: Đối với danh sách điều khiển truy cập trên bộ định tuyến:  Chỉ giữ lại những luật cần thiết (ví dụ: những luật được thiết lập với mục đích tạm thời phải được gỡ bỏ ngay sau khi không cần tới chúng nữa). 21  Mặc định từ chối tất cả những lưu lượng mạng, chỉ cho phép những lưu lượng đã được cấp quyền theo chính sách được truy cập. Đối với tường lửa:  Chỉ giữ lại những luật cần thiết.  Luật thực thi việc truy cập đặc quyền tối thiểu, như việc chỉ cấp phép cho những địa chỉ IP và cổng mạng cần thiết.  Tạo những luật cụ thể trước rồi tạo một luật chung sau.  Không nên mở những cổng không cần thiết để thắt chặt an ninh.  Các luật được thiết lập không cho phép các truy cập vượt qua các rào cản an ninh khác.  Các luật được thiết lập máy chủ, máy trạm cá nhân; các luật không chỉ ra các hoạt động đặc trưng của cửa hậu, phần mềm gián điệp hoặc các ứng dụng bị cấm. Đối với hệ thống IDS/IPS:  Những mẫu (signature) không cần thiết cần phải được vô hiệu hóa hoặc gỡ bỏ để tránh trường hợp cảnh báo nhầm và làm giảm hiệu quả hoạt động của hệ thống.  Những mẫu cần thiết phải được kích hoạt, chỉnh sửa và bảo trì hợp lý. 2.4. RÀ SOÁT CẤU HÌNH HỆ THỐNG Việc xem xét lại cấu hình hệ thống là một quá trình kiểm tra nhằm tìm ra những điểm yếu trong việc kiểm soát cấu hình an toàn (như hệ thống có được tăng cường bảo mật hoặc có được cấu hình theo như chính sách an toàn thông tin của tổ chức đã đề ra). Thông qua quá trình rà soát, người đánh giá có thể xác định được những dịch vụ hoặc ứng dụng không cần thiết, những tài khoản người dùng và thiết lập mật khẩu không hợp lý hay những thiết lập sao lưu và đăng nhập không phù hợp. Người đánh giá cũng có thể kiểm tra những file cấu hình hệ thống đã được lưu trữ sẵn trong các tập tin khác nhau trong các hệ điều hành. 22 Ví dụ đối với hệ điều hành Windows, file cấu hình hệ thống được lưu trữ trong “Windows security policy settings”; hay đối với hệ điều hành Linux hoặc Unix, file cấu hình nằm trong tập tin /etc. Người đánh giá có thể thực hiện kiểm tra thủ công hoặc kiểm tra dựa trên dựa trên một bảng danh sách kiểm tra (checklist) để xác minh rằng những thiết lập hệ thống đã được cấu hình để giảm thiểu những rủi ro an ninh. Để thực hiện việc kiểm tra cấu hình hệ thống thủ công, người đánh giá truy cập vào các thiết lập an ninh của thiết bị rồi so sánh với những thiết lập đã được khuyến nghị trong checklist. Những thiết lập không đạt chuẩn an ninh tối thiểu sẽ bị đánh dấu và đưa vào báo cáo. Giao thức tự động hóa nội dung an toàn (SCAP) là một phương pháp sử dụng các tiêu chuẩn cụ thể để tự động hóa việc quản lý lỗ hổng bảo mật, đo lường và đánh giá việc tuân thủ chính sách an toàn của hệ thống. Các công cụ khác có thể được sử dụng trong việc truy tìm, báo cáo các thiết lập an ninh hoặc cung cấp hướng dẫn bổ sung. Những công cụ tự động thường được thực hiện trực tiếp trên thiết bị cần được đánh giá, hoặc cũng có thể được thực hiện trên một hệ thống với mạng truy cập vào các thiết bị cần được đánh giá đó. Thông thường phương pháp kiểm tra cấu hình hệ thống tự động sẽ nhanh hơn so với phương pháp thủ công, những vẫn có những thiết lập cần phải được kiểm tra thủ công. Cả hai phương pháp thủ công và tự động đều yêu cầu đặc quyền quản trị để xem xét các thiết lập an ninh đã chọn. Nói chung, bất cứ khi nào có thể thì phương pháp kiểm tra tự động vẫn luôn là lựa chọn hàng đầu. Việc cắt cử một nhân viên kiểm tra thủ công hàng trăm hoặc hàng nghìn thiết lập sẽ tốn nhiều thời gian mà lại dễ xảy ra lỗi thì việc kiểm tra tự động vừa tiết kiệm thời gian lại vừa đem lại kết quả nhất quán. 2.5. DÒ QUÉT MẠNG Dò quét mạng là một kỹ thuật theo dõi thụ động những liên lạc trong mạng, giải mã các giao thức, kiểm tra các tiêu đề của gói tin và các thành phần thực thi để đánh dấu những thông tin liên quan. Ngoài việc được sử dụng như là một kỹ thuật để rà soát thì dò quét mạng còn được sử dụng để phân tích và nhận dạng mục tiêu. Lý do thực hiện việc dò quét mạng: 23  Chặn bắt và phát lại những liên lạc mạng.  Thực hiện việc khám phá mạng thụ động (ví dụ: xác định các thiết bị đang hoạt động trên mạng).  Xác định các hệ điều hành, ứng dụng, dịch vụ và các giao thức, bao gồm các giao thức không an toàn (ví dụ: telnet) và các giao thức trái phép (chia sẻ tập tin qua mạng ngang hàng P2P).  Xác định những hành vi trái phép hoặc không thích đáng, như việc truyền tải thông tin nhạy cảm mà không được mã hóa.  Thu thập thông tin, như những tài khoản và mật khẩu không được mã hóa. Dò quét mạng có thể gây ảnh hưởng đôi chút tới hệ thống và mạng, đặc biệt là băng thông mạng hay hiệu suất hoạt động của máy tính. Công cụ sử dụng cho việc dò quét mạng gọi là sniffer. Để thực hiện dò quét, người đánh giá cần kết nối tới một thiết bị trong hệ thống mạng, chẳng hạn như một hub hoặc switch với chức năng span port, trong đó span port là quá trình tự động sao chép các gói tin qua lại giữa các cổng đến cổng mà sniffer được cài đặt. Người đánh giá có thể triển khai việc dò quét mạng tại nhiều địa điểm khác nhau trong một môi trường. Những địa điểm thường tiến hành dò quét là:  Tại vành đai để đánh giá lưu lượng mạng vào ra.  Sau tường lửa, để đánh giá độ chính xác của các luật lọc lưu lượng.  Sau IDS/IPS, để xác định các mẫu có được kích hoạt và phản hồi hợp lý.  Đặt phía trước hệ thống hoặc ứng dụng quan trọng để đánh giá hoạt động của nó.  Đặt trong một phân đoạn mạng để xác nhận giao thức đã được mã hóa. Một trong những hạn chế của dò quét mạng là việc sử dụng mã hóa. Những kẻ tấn công có thể lợi dụng việc sử dụng mã hóa để che dấu những hoạt động của mình, trong khi người đánh giá mặc dù thấy được những liên lạc xảy 24 ra trong mạng nhưng lại không thể biết được nội dung của liên kết. Một hạn chế nữa đó là dò quét mạng chỉ có thể dò quét được khu vực mạng nơi mà các công cụ dò quét được triển khai. Như vậy đòi hỏi người đánh giá phải di chuyển từ phân đoạn mạng này sang phân đoạn mạng khác để tiến hành kiểm tra, cài đặt nhiều công cụ dò quét trên nhiều cổng span ở các phân đoạn mạng thì mới có thể đánh giá được cho toàn bộ hệ thống mạng. Không những thế người đánh giá cũng gặp nhiều khó khăn trong việc xác định vị trí vật lý cổng mạng mở để dò quét cho mỗi phân đoạn mạng nên có thể sẽ tốn nhiều thời gian, công sức khi thực hiện kiểm tra dò quét. 2.6. KIỂM TRA TÍNH TOÀN VẸN CỦA TẬP TIN Kiểm tra tính toàn vẹn của tập tin cho phép kiểm tra sự thay đổi của các tập tin hệ thống bằng cách tính toán và lưu trữ một tổng kiểm tra cho mỗi tập tin được bảo vệ và thiết lập một cơ sở dữ liệu của các tổng kiểm tra tập tin. Nó cung cấp một công cụ cho quản trị viên hệ thống để nhận dạng được những thay đổi của các tập tin, đặc biệt là những thay đổi trái phép. Tổng kiểm tra được lưu trữ nên được tính toán lại thường xuyên để kiểm tra giá trị hiện tại so với giá trị được lưu trữ nhằm xác định bất kỳ sự sửa đổi nào đối với tệp tin. Một trình kiểm tra tính toàn vẹn tập tin thường được bao gồm trong một hệ thống phát hiện xâm nhập dựa trên máy chủ thương mại bất kỳ. Trình kiểm tra tính toàn vẹn là một công cụ hữu ích không đòi hỏi tính tương tác cao với con người, nhưng nó cần phải được sử dụng một cách cẩn thận để đảm bảo tính hiệu quả. Trình kiểm tra tính toàn vẹn tập tin đòi hỏi hệ thống phải là an toàn để tạo ra cơ sở dữ liệu tham chiếu ban đầu. Mặt khác, các bản băm mật mã của một hệ thống bị tổn thương có thể được tạo ra, sự kiện này có thể tạo ra cảm giác sai lầm về tính an toàn cho người đánh giá. Cơ sở dữ liệu tham chiếu cần được lưu trữ ngoại tuyến để các tấn công không thể chi phối hệ thống và tìm cách ẩn dấu vết của họ bằng cách sửa đổi cơ sở dữ liệu này. Trình kiểm tra tính toàn vẹn tập tin cũng có thể sinh ra những cảnh báo sai. Mỗi sự thực thi cập nhật tập tin và vá hệ thống sẽ thay đổi các tập tin, và do đó yêu cầu một sự cập nhât đối với tổng kiểm tra cơ sở dữ liệu. Kết quả là, việc giữ cho cơ sở dữ liệu luôn được cập nhật là một việc khó khăn. Tuy nhiên, ngay cả khi trình 25 kiểm tra tính toàn vẹn chỉ chạy một lần (khi hệ thống được cài đặt lần đầu tiên), thì nó vẫn là một hoạt động hữu ích cho việc xác định những tập tin nào đã bị sửa đổi trong trường hợp có nghi ngờ về sự tấn công. Cuối cùng, kẻ tấn công đã có thể chỉnh sửa một tập tin bằng cách sử dụng kiểm tra phần dư vòng (CRC) 32-bit thường được sử dụng để không bị phát hiện. Vì vậy, các tổng kiểm tra mạnh hơn như SHA -1 được khuyến cáo sử dụng để đảm bảo tính toàn vẹn của dữ liệu được lưu trữ trong cơ sở dữ liệu tổng kiểm tra. Trình kiểm tra tính toàn vẹn nên được chạy hàng ngày trên các tập tin hệ thống được lựa chọn, vì những tập tin này sẽ bị ảnh hưởng bởi một tấn công nào đó. Trình kiểm tra tính toàn vẹn cũng nên được sử dụng khi nghi ngờ một sự chi phối hay tấn công xảy ra nhằm xác định được mức độ thiệt hại có thể có. Nếu trình kiểm tra tính toàn vẹn phát hiện một hệ thống tập tin bị sửa đổi trái phép, thì khả năng xảy ra một sự cố an toàn cần được xem xét và điều tra theo chính sách báo cáo, chính sách phản ứng sự cố của tổ chức và các thủ tục của chính sách này. 2.7. TỔNG KẾT Bảng dưới đây sẽ tóm tắt lại các tính năng chính của các kỹ thuật rà soát được thảo luận trong chương này: Bảng 2: Các kỹ thuật rà soát Tính năng Kỹ thuật Rà soát tài liệu Rà soát nhật ký Rà soát tập luật  Đánh giá các chính sách và các thủ tục một cách chính xác và đầy đủ.  Cung cấp thông tin liên quan tới việc sử dụng hệ thống, cấu hình, và sửa đổi;  Có thể phát hiện ra các sự cố tiềm tàng hoặc các lỗ hổng trong chính sách.  Có thể phát hiện ra các lỗ hổng trong việc kiểm soát an ninh dựa trên bảng tập luật. Rà soát cấu hình hệ  Đánh giá độ mạnh trong việc cấu hình hệ thống; 26  Xác nhận rằng các hệ thống được cấu hình phù hợp với chính sách cứng. thống Dò quét mạng  Giám sát lưu thông trên các phân đoạn mạng cục bộ để chụp lại các thông tin như các hệ thống đang hoạt động, hệ điều hành, các giao thức truyền tải, các dịch vụ và ứng dụng;  Xác nhận việc mã hóa các thông tin liên lạc.  Xác định các thay đổi tới các tập tin quan trọng, Kiểm tra tính toàn đồng thời cũng xác định các hình thức nhất định vẹn của tập tin của các tập tin không mong muốn, chẳng hạn các công cụ tấn công phổ biến. Các kết quả thu được dựa vào cách áp dụng mỗi kỹ thuật và sự kết hợp của chúng. Để đảm bảo rằng tất cả được thực hiện một cách an toàn và chính xác, mỗi đánh giá viên cần có một bộ kỹ năng cơ bản nhất định. Bảng dưới đây cung cấp hướng dẫn cho việc thiết lập kỹ năng tối thiểu cần thiết cho mỗi kỹ thuật: Bảng 3: Các kỹ năng cơ bản cần thiết đối với các kỹ thuật rà soát Kỹ thuật Các kỹ năng cơ bản Rà soát tài liệu  Có các kiến thức về vấn đề an ninh mạng từ góc độ chính sách. Rà soát nhật ký  Có các kiến thức về định dạng nhật ký và khả năng giải thích, phân tích dữ liệu nhật ký;  Có khả năng sử dụng các công cụ phân tích nhật ký tự động. Rà soát tập luật  Có sự hiểu biết về các định dạng và cấu trúc tập luật;  Có khả năng trích xuất và phân tích các tập luật từ các thiết bị khác nhau. 27 Rà soát cấu hình hệ  Có kiến thức về cấu hình hệ thống an toàn, bao thống gồm cứng hóa hệ điều hành và cấu hình chính sách an ninh trên các hệ điều hành khác nhau;  Có khả năng sử dụng các công cụ kiểm thử cấu hình an ninh tự động. Dò quét mạng  Có kiến thức về mạng và giao thức giao thức TCP/IP;  Có khả năng phân tích lưu thông mạng;  Có khả năng sử dụng các công cụ dò quét mạng. Kiểm tra tính toàn  Có kiến thức cơ bản về các tệp hệ thống; vẹn của tập tin  Có khả năng sử dụng các công cụ kiểm tra tính toàn vẹn của tệp tự động và phân tích kết quả. 28 Chương 3 PHÂN TÍCH VÀ XÁC ĐỊNH MỤC TIÊU Nội dung của chương này sẽ giới thiệu về kĩ thuật phân tích và xác định mục tiêu, trong đó tập trung vào việc xác định các thiết bị đang hoạt động cũng như những cổng và dịch vụ liên quan, từ đó tiến hành việc phân tích các lỗ hổng tiềm năng. 3.1. KHÁM PHÁ MẠNG Khám phá mạng là việc sử dụng các phương pháp để phát hiện những máy chủ, máy trạm, thiết bị mạng đang hoạt động và có khả năng phản hồi lại trong một mạng. Có hai phương pháp để xác định các thiết bị trong mạng là phương pháp thụ động và phương pháp chủ động. Phương pháp thụ động sử dụng công cụ dò quét mạng để theo dõi lưu lượng mạng, ghi chép lại những địa chỉ IP của những máy đang hoạt động, những cổng mạng đang được mở, và hệ điều hành đã biết trong mạng. Phương pháp thụ động còn có thể cho biết mối quan hệ giữa các máy chủ (những máy chủ nào liên lạc với nhau, tần suất liên lạc ra sao, loại hình liên lạc như thế nào...) và thường được thực hiện từ một máy tính trong mạng nội bộ nơi mà có thể theo dõi các hoạt động liên lạc của máy chủ. Điều này được thực hiện mà không cần gửi đi những gói tin thăm dò. Việc khám phá mạng thụ động do vậy không ảnh hưởng tới hoạt động của mạng. Tuy nhiên phương pháp này sẽ tốn nhiều thời gian hơn để thu thập thông tin, và những máy chủ mà không thực hiện nhận hoặc gửi gói tin trong khoảng thời gian giám sát có khả năng sẽ không được đưa vào báo cáo. Phương pháp chủ động thường sử dụng những công cụ tự động gửi đi các gói tin (ví dụ: ICMP) để thu được những phản hồi từ các máy chủ. OS fingerprinting là một dạng của phương pháp chủ động, nó giúp cho người đánh giá có thể xác định được hệ điều hành và phiên bản đang chạy trên hệ thống bằng cách gửi đi hỗn hợp các lưu lượng mạng bao gồm cả lưu lượng bình thường, bất bình thường hoặc bất hợp pháp. Một dạng khác của phương pháp 29 chủ động liên quan tới việc gửi đi các gói tin tới các cổng mạng và đợi chờ sự phản hồi của cổng mạng đang hoạt động, sau đó sử dụng công cụ để phân tích các gói tin phản hồi đó, rồi so sánh chúng với những đặc điểm đã biết của các gói tin được gửi đi từ những hệ điều hành hoặc dịch vụ mạng nhất định từ đó xác định được máy chủ, hệ điều hành đang chạy, các cổng mạng và trạng thái của các cổng đó. Thông tin này có thể được sử dụng nhằm mục đích thu thập thông tin về các mục tiêu khi tiến hành kiểm thử, tạo bản đồ cấu trúc liên kết (topology map), xác định cấu hình tường lửa và IDS, phát hiện lỗ hổng bảo mật trong cấu hình mạng cũng như trong hệ thống. Ví dụ về khám phá mạng chủ động sử dụng lệnh “ping”: Hình 3.1. Ví dụ về Ping Có rất nhiều cách để thu thập thông tin thông qua việc dò quét mạng bằng cách sử dụng các công cụ dò quét. Tường lửa và IDS có thể xác định được rất nhiều dạng quét, đặc biệt là những dạng điển hình như: quét SYN/FIN, quét NULL, …. Người đánh giá muốn thực hiện việc khám phá mạng thông qua tường lửa và IDS phải cân nhắc lựa chọn dạng quét sao cho vừa có thể thu thập được thông tin mà không gây sự chú ý của các quản trị viên, và làm thế nào để việc dò quét có thể được thực hiện một cách bí mật hơn (như là quét chậm hơn hoặc được thực hiện từ những nguồn địa chỉ IP khác nhau) để tăng khả năng thành công. Người đánh giá cũng nên thận trọng khi chọn dạng quét đối với những hệ thống cũ, đặc biệt là những hệ thống kém an ninh bởi vì việc dò quét có thể gây ra lỗi hệ thống. 30 Việc khám phá mạng cũng có thể phát hiện ra những thiết bị trái phép hoặc giả mạo đang hoạt động trong mạng đó. Ví dụ: một tổ chức chỉ sử dụng một vài hệ điều hành có thể nhanh chóng phát hiện ra thiết bị giả mạo sử dụng một hệ điều hành khác. Khi thiết bị giả mạo có dây đã được nhận dạng thì người đánh giá hoàn toàn có thể tìm được vị trí của nó bằng cách sử dụng thông tin trên bản đồ mạng và những thông tin về hoạt động mạng của thiết bị đã thu thập được để xác định xem thiết bị đó được nối với switch nào. Đôi khi người đánh giá có thể cần phải tạo ra những hành động thêm (ví dụ như sử dụng câu lệnh ping) để tìm ra chính xác switch đó. Bước tiếp theo là tìm ra cổng mà thiết bị đó gắn kết vào switch và vị trí vật lý mà thiết bị giả mạo được kết nối tới cổng switch. Có rất nhiều công cụ để khám phá mạng, điều đáng chú ý là một số công cụ được sử dụng để khám phá chủ động cũng có thể được sử dụng để quét cổng và dò quét mạng thụ động. Một số công cụ có giao diện đồ họa (GUI), một số thì lại sử dụng giao diện dòng lệnh. Giao diện dòng lệnh có thể sẽ mất nhiều thời gian để tìm hiểu hơn so với GUI vì số lượng các câu lệnh và những chuyển đổi để chỉ rõ công cụ cần thực hiện kiểm tra gì, người đánh giá cần phải hiểu rõ về chúng để có thể sử dụng công cụ một cách hiệu quả. Những nhà phát triển phần mềm cũng viết ra những module cho các công cụ mã nguồn mở cho phép người đánh giá có thể dễ dàng phân tích cú pháp đầu ra của công cụ. Ví dụ: kết hợp ngôn ngữ XML (Extensible Markup Language) của một công cụ với một đoạn script và một cơ sở dữ liệu sẽ tạo ra một công cụ mạnh hơn để có thể giám sát mạng, tìm ra những dịch vụ và thiết bị trái phép. Học hỏi những kỹ sư bảo mật có kinh nghiệm để tìm hiểu cách hoạt động của các câu lệnh và làm thế nào để có thể sử dụng kết hợp chúng với nhau cũng là 1 công việc rất cần thiết của người đánh giá. Hầu hết các chuyên gia CNTT có kinh nghiệm, bao gồm cả những nhân viên quản trị hệ thống và những kỹ sư mạng khác đều có khả năng phân tích các kết quả, thông tin thu được; tuy nhiên để có thể đạt được hiểu quả tốt nhất khi sử dụng các công cụ khám phá mạng thì nên giao cho các kỹ sư mạng. Hình 3.2 là một ví dụ về sử dụng công cụ Advanced IP Scanner để dò quét các địa chỉ IP đang hoạt động trong dải từ 63.215.91.1 tới 63.215.91.255: 31 Hình 3.2. Advanced IP Scanner Hình 3.3 là ví dụ về sử dụng Angry IP Scanner để dò quét các địa chỉ IP đang hoạt động trong dải từ 216.239.33.1 tới 216.239.33.255: Hình 3.3. Angry IP Scanner Một trong những lợi thế của phương pháp khám phá mạng chủ động là có thể đứng ở một mạng khác để đưa ra những đánh giá và thường thì sẽ mất ít thời gian hơn để thu thập thông tin. Khi sử dụng phương pháp khám phá mạng thụ động thì việc đảm bảo có thể nắm bắt được tất cả các máy chủ thì yêu cầu phải có lưu lượng mạng ở tất cả các điểm đó và sẽ tốn nhiều thời gian mới có thể thực hiện được, đặc biệt là ở những doanh nghiệp có quy mô lớn. 32 Một nhược điểm của khám phá mạng chủ động là nó có thể gây nhiễu mạng và đôi khi có thể gây tình trạng trễ mạng. Nếu gửi đi quá nhiều gói tin truy vấn hoặc các gói tin có dung lượng lớn để nhận lại những hồi đáp thì những hoạt động mạng này sẽ làm cho mạng bị chậm đi hoặc gây ra việc các gói tin bị loại bỏ (drop) do cấu hình mạng kém. Khám phá mạng chủ động cũng có thể kích hoạt cảnh báo IDS vì khác với khám phá mạng thụ động nó không chê dấu địa chỉ nguồn của mình. Khả năng để khám phá mạng thành công có thể bị ảnh hưởng bởi môi trường với các phân đoạn mạng được bảo vệ và công nghệ, thiết bị bảo vệ vành đai. Ví dụ: một môi trường sử dụng NAT có thể sẽ không thể lấy được thông tin chính xác từ bên ngoài mạng hoặc từ một đoạn mạng được bảo vệ. Tường lửa cá nhân hoặc tường lửa chạy trên nền tảng máy chủ có thể sẽ chặn những lưu lượng khám phá mạng. Việc sai lệch thông tin cũng có thể xảy ra khi quá cố gắng gây tương tác từ các thiết bị. Thông tin thu thập được nhờ phương pháp khám mạng thụ động hay chủ động chưa hẳn đã hoàn toàn chính xác. Ví dụ như phương pháp khám phá mạng chủ động chỉ có thể phát hiện được những máy tính đang hoạt động và được kết nối vào mạng; do vậy nếu hệ thống hoặc một đoạn mạng đang ngoại tuyến trong quá trình đánh giá thì sẽ không thể phát hiện ra được các hệ thống hoặc các máy tính trong mạng đó; như thế báo cáo đưa ra có thể sẽ bị thiếu sót. Phương pháp khám phá mạng thụ động chỉ tìm ra các thiết bị có thực hiện việc truyền và nhận thông tin trong suốt thời gian thực hiện khám phá mạng. Những sản phẩm như phần mềm quản lý mạng có khả năng phát hiện liện tục và tự động tạo ra những cảnh báo khi một thiết bị mới có mặt trên mạng. Chức năng khám phá liên tục có thể quét dải địa chỉ IP để tìm ra những địa chỉ mới hoặc theo dõi những địa chỉ IP mới gửi yêu cầu. Ngoài ra, những công cụ khám phá mạng có thể được hoạch định để thực hiện việc khám phá một cách thường xuyên, ví như vài ngày một lần tại một mốc thời gian cụ thể. Như vậy sẽ cho ra kết quả chính xác hơn là việc sử dụng những công cụ này không thường xuyên. 3.2. XÁC ĐỊNH CỔNG VÀ DỊCH VỤ MẠNG Xác định cổng và dịch vụ mạng là việc sử dụng công cụ dò quét để xác định các cổng cũng như dịch vụ đang hoạt động trên các máy chủ, máy trạm và 33 các trang thiết bị mạng (ví dụ: 80 - HTTP, 23 – Telnet, 25 – SMTP, …). Việc xác định cổng, dịch vụ mạng có thể giúp tìm ra những lỗ hổng tiềm ẩn trong dịch vụ; ngoài ra thông tin này cũng có thể được sử dụng để làm cơ sở cho kiểm thử. Xác định cổng và dịch vụ mạng liên quan đến việc truyền thông tin TCP dựa trên quá trình bắt tay ba bước. Hình 3.4 mô tả chi tiết hơn về quá trình này: Hình 3.4. Truyền tin TCP dựa trên bắt tay ba bước  Bước 1: Client gửi tới Server một gói tin với cờ SYN  Bước 2: Server trả lời tới Client một gói tin SYN/ACK  Bước 3: Khi Client nhận được gói tin SYN/ACK sẽ gửi lại Server một gói ACK – và quá trình trao đổi thông tin giữa hai máy bắt đầu. Dựa vào nguyên tắc trao đổi thông tin TCP, chúng ta có thể có nhiều phương pháp quét khác nhau. Các phương pháp quét chủ yếu là gửi các gói tin chứa các cờ khác nhau để xác định các cổng và dịch vụ đang mở. Thông thường, có những phương pháp quét như sau: - TCP Connect: Phương pháp này hoạt động dựa trên 3 bước đầy đủ của quá trình bắt tay ba bước TCP. Client gửi gói tin chứa cờ SYN và một thông số cổng nhất định tới server. Nếu server trả về gói SYN/ACK thì client biết cổng đó mở, nếu server gửi về gói RST/ACK client biết cổng 34 đó trên server bị đóng. Trong trường hợp nhận được gói SYN/ACK, client gửi tiếp đến server một gói tin ACK+RST để thông báo đã nhận được phản hồi và kết thúc kết nối. Gói SYN + Cổng (n) Gói SYN/ACK ACK + RST Client Server Hình 3.5. Quét TCP Connect - Stealth Scan (Quét một nửa): Khác với phương pháp TCP Connect sử dụng đầy đủ 3 bước của quá trình bắt tay ba bước trong phiên kết nối TCP, phương pháp này chỉ sử dụng một phần trong quá trình bắt tay để thực hiện quét cổng. Đầu tiên client gửi gói tin SYN tới server kèm theo thông số cổng nhất định. Nếu cổng mở thì server sẽ gửi lại client một gói tin SYN/ACK, nếu cổng đóng thì server gửi lại client gói tin RST. Client sau khi nhận được gói tin SYN/ACK sẽ gửi lại cho server gói tin RST để đóng kết nối trước khi kết nối được thiết lập. Gói SYN + Cổng (n) Gói SYN + Cổng (n) RST SYN/ACK RST Client Cổng mở Client Server Cổng đóng Server Hình 3.6. Quét Stealth - XMAS Scan: Client sẽ gửi những gói TCP với số cổng nhất định cần quét chứa nhiều thông số cờ như: FIN, URG, PSH. Nếu server trả về gói RST thì sẽ biết cổng đó trên Server bị đóng. FIN, URG, PSH FIN, URG, PSH Không phản hồi Client Cổng mở RST Client Server Hình 3.7. Quét XMAS 35 Cổng đóng Server - FIN Scan: Khi Client chưa có kết nối tới server nhưng vẫn tạo ra gói FIN với số cổng nhất định gửi tới server cần quét. Nếu server gửi về gói ACK thì client biết server mở cổng đó, nếu server gửi về gói RST thì client biết server đóng cổng đó. FIN FIN Không phản hồi Client Cổng mở RST/ACK Client Server Cổng đóng Server Hình 3.8. Quét FIN - NULL Scan: Client sẽ gửi tới server những gói TCP với số cổng cần quét mà không chứa thông số cờ nào, nếu server gửi lại gói RST thì sẽ biết cổng đó trên server bị đóng. Gói TCP không chứa cờ Gói TCP không chứa cờ Không phản hồi Client Cổng mở RST/ACK Client Server Cổng đóng Server Hình 3.9. Quét NULL - IDLE Scan: Đây là phương pháp quét cổng cho phép gửi các gói tin giả mạo tới mục tiêu. Đầu tiên client sẽ gửi gói tin SYN/ACK tới mục tiêu là zombie để thăm dò số IPID (mỗi gói tin IP truyền đi trên mạng sẽ có một số định danh – IPID, đó là một số có 4 ký tự và tăng lên mỗi lần máy tính gửi một gói tin IP). Zombie khi nhận được gói tin sẽ từ chối kết nối bằng cách gửi lại gói tin RST, như vậy có nghĩa cũng bị lộ IPID. Gói SYN/ACK Thăm dò IPID Gói RST Phản hồi: IPID = 31337 Client Zombie Hình 3.10. Client gửi yêu cầu kết nối tới zombie để thăm dò IPID 36 Tiếp theo client gửi tới server một gói tin chứa cờ SYN kèm theo số hiệu cổng với địa chỉ IP là giả mạo địa chỉ IP của zombie. Nếu cổng trên server mở, server sẽ gửi lại gói tin SYN/ACT tới zombie; nếu cổng trên server đóng, server sẽ gửi lại gói tin RST tới zombie. Zombie sau khi nhận được gói tin SYN/ACT sẽ gửi lại cho server gói tin RST với số IPID tăng thêm 1. Gói SYN tới cổng giả mạo địa chỉ IP của zombie Client iS Gó / AC YN g cổn nếu ( K mở ) Server ST i R 338 Gó = 31 D IPI Zombie Hình 3.11. Server gửi gói tin SYN/ACK cho zombie nếu cổng mở Gói SYN tới cổng giả mạo địa chỉ IP của zombie Client iR Gó ST ổng uc ( nế đón g) Server Zombie Hình 3.12. Server gửi gói tin RST cho zombie nếu cổng đóng Bây giờ client sẽ gửi lại yêu cầu kết nối tới zombie với số IPID giống IPID đã thăm dò được từ trước. Zombie tiếp tục gửi trả lời lại gói tin RST kèm theo số IPID tăng thêm. Nếu client nhận được IPID tăng thêm 2, như vậy client sẽ biết được cổng trên server là mở, còn nếu IPID tăng thêm 1, như vậy client biết được cổng trên server là đóng. Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ luôn được truyền tới đích, thì gói tin truyền bằng UDP sẽ đáp ứng nhu cầu 37 truyền tải dữ liệu nhanh với các gói tin nhỏ. Với quá trình thực hiện truyền tin bằng TCP chúng ta dễ dàng quét được hệ thống đang mở những cổng nào dựa vào các thông số cờ trên gói TCP. Tuy nhiên, gói tin UDP không chứa các thông số cờ, cho nên không thể sử dụng các phương thức quét cổng của TCP sử dụng cho UDP được. Do đó phương pháp quét UDP là khó khăn hơn và cho kết quả không có độ tin cậy cao. Với phương pháp quét cổng dựa trên truyền thông tin sử dụng UDP, nếu một cổng bị đóng, khi server nhận được gói ICMP từ client nó sẽ cố gắng gửi một gói ICMP type 3 code 3 với nội dung là “unreachable” về client. Những thông tin thu thập được từ việc quét cổng cũng giúp xác định hệ điều hành đang chạy của mục tiêu thông qua một quá trình gọi là OS fingerprinting. Ví dụ: nếu một máy chủ mở cổng TCP: 135,139,445 thì nó có thể là một máy chủ đang sử dụng hệ điều hành Windows, hoặc là một máy chủ Unix chạy hệ điều hành Samba. Ngoài ra những thông tin khác cũng có thể cho ta biết phần nào về hệ điều hành đang được sử dụng, ví như việc sinh và phản hồi số thứ tự (sequence number) của các gói tin TCP. Tuy nhiên OS fingerprinting cũng không hề đơn giản. Ví dụ như tường lửa chặn các cổng và các loại lưu thông mạng, và người quản trị hệ thống có thể cấu hình hệ thống của họ sao cho đưa ra những phản hồi không theo tiêu chuẩn để ngụy trang cho hệ điều hành thực sự đang dùng. Một số công cụ quét có thể giúp xác định được ứng dụng đang chạy trên một cổng nhất định thông qua một quá trình có tên là xác định dịch vụ (service identification). Nhiều công cụ sử dụng một tập các dịch vụ liệt kê một số cổng thông dụng và các dịch vụ điển hình liên quan. Ví dụ: một công cụ quét xác định được rằng TCP cổng 80 đang mở thì nó có thể báo cáo là một máy chủ web đang lắng nghe cổng đó; tuy nhiên những bước tìm hiểu tiếp theo cần được thực hiện để có thể đưa ra kết luận cuối cùng. Một số công cụ còn có thể tương tác, trao đổi liên lạc với cổng và phân tích những lưu lượng liên lạc đó để xác định dịch vụ đang sử dụng, thông thường là bằng cách so sánh những hoạt động quan sát được một cơ sở dữ liệu lưu trữ những thông tin về dịch vụ và những phương thức triển khai dịch vụ. Kỹ thuật này cũng cho phép xác định ứng dụng của dịch vụ và phiên bản của nó, quá trình này còn được gọi là quét phiên bản (version 38 scanning). Một hình thức nổi tiếng của việc quét phiên bản là Banner Grabbing, hình thức này được thực hiện bằng cách chặn bắt tất cả các thông tin về tiêu đề qua cổng được kết nối từ xa. Thông tin này có chứa chủng loại, phiên bản của ứng dụng thậm chí là cả chủng loại và phiên bản của hệ điều hành. Tuy nhiên việc quét phiên bản không phải lúc nào cũng có thể thu được thông tin chính xác bởi vì người quản trị mạng có thể thay đổi thông tin tiêu đề được truyền tải hoặc những đặc tính khác để che dấu danh tính của dịch vụ thực sự đang dùng. Mặc dù vậy thì thông tin thu được từ quét phiên bản đáng tin cậy hơn là thông tin thu được từ việc quét tập tin dịch vụ. Tùy vào các công cụ quét, mỗi công cụ có những điểm mạnh và điểm yếu khác nhau và hỗ trợ những kiểu quét khác nhau. Các đặc trưng của từng công cụ thường được mô tả trong các tài liệu đi kèm với công cụ. Ví dụ: một số công cụ quét làm việc tốt khi quét qua tường lửa; ngược lại, một số công cụ quét khác lại phát huy tốt nhất ở phía trong tường lửa. Kết quả thu được sẽ khác nhau tùy thuộc vào công cụ quét cổng được sử dụng. Một số công cụ quét chỉ đơn giản là cho biết tình trạng cổng đóng hay mở, một số khác lại có thể cung cấp thêm những thông tin chi tiết hơn (ví dụ như được lọc hay không được lọc) để hỗ trợ cho người đánh giá trong việc xác định phương pháp quét phù hợp cho việc thu thập thêm thông tin. Xác định cổng và dịch vụ thường sử dụng kết quả của quá trình khám phá mạng để xác định các địa chỉ IP hoặc các thiết bị để dò quét. Tuy nhiên việc dò quét cũng có thể thực hiện trên toàn bộ mạng có nghĩa là sẽ thực hiện cả việc khám phá lẫn dò quét cổng. Kết quả của việc khai thác mạng và xác định cổng, dịch vụ mạng là một danh sách bao gồm những thiết bị đang hoạt động, các cổng đang mở trong không gian địa chỉ mà có phản hồi với công cụ quét cổng; ngoài ra còn có danh sách các thiết bị đang hoạt động nhưng không phản hồi lại do được che chắn bởi tường lửa hoặc bị tắt. Người đánh giá có thể thử tìm những thiết bị đó bằng cách quét chúng hoặc đặt các công cụ quét trong phân đoạn mạng mà có thể truy cập vào các thiết bị đó, hoặc cố gắng vượt qua tường lửa bằng việc sử dụng những công cụ quét khác (ví như SYN/FIN hoặc Xmas scan). 39 Các chuyên gia khuyến nghị rằng, nếu người đánh giá muốn thực hiện quét cả phía bên trong và phía bên ngoài thì nên thực hiện việc dò quét bên ngoài trước, sau đó những nhật ký sẽ được tổng hợp và so sánh với kết quả thu được khi dò quét bên trong. Khi thực hiện dò quét bên ngoài, người đánh giá có thể sử dụng bất cứ kỹ thuật hiện có nào để lấy được những gói tin từ phía tường lửa đồng thời tránh sự phát hiện của các hệ thống IDS/IPS. Các công cụ này sử dụng kỹ thuật phân mảnh, trùng lặp, sắp xếp không theo thứ tự, tấn công theo kênh kề thời gian để thay đổi gói tin giúp chúng có thể trà trộn với những lưu lượng mạng thông thường. Còn khi thực hiện dò quét bên trong thì sử dụng những biện pháp dò quét đơn giản hơn, do chúng ít bị chặn hơn so với việc dò quét từ bên ngoài. Nếu sử dụng phương pháp dò quét quá phức tạp bên trong mạng thì rất có thể gây gián đoạn hoạt động bên trong mạng mà chưa chắc kết quả thu được có được cải thiện hơn. Có thể sử dụng những gói tin tùy chỉnh để thực hiện dò quét bên trong mạng bởi vì việc kiểm tra lỗ hổng bảo mật cụ thể nào đó cần phải sử dụng những gói tin tủy chỉnh. Các công cụ có khả năng tạo các gói tin cũng rất cần thiết cho quá trình này. Do là các gói tin tùy chỉnh này có thể tạo ra tấn công từ chối dịch vụ nên việc kiểm tra cần được thực hiện tại thời điểm mà lưu lượng mạng thấp như là vào ban đêm hoặc là vào cuối tuần. Mặc dù việc dò quét cổng có thể xác định được những máy chủ, hệ điều hành, cổng mạng, dịch vụ và những ứng dụng đang chạy nhưng không thể xác định được những lỗ hổng bảo mật. Để làm được điều này thì cần phải thực hiện những bước tìm hiểu tiếp theo như dò quét sự xuất hiện của các giao thức không an toàn (ví như: TFTP, telnet), mã độc, ứng dụng trái phép, và những dịch vụ kém an toàn. Tiếp theo, người đánh giá còn phải thực hiện việc so sánh số phiên bản có được với danh sách chứa những phiên bản kém an toàn, hoặc thực hiện việc quét lỗ hổng tự động (sẽ được nói kỹ hơn ở phần sau). Tóm lại đối với việc quét cổng thì quá trình được thực hiện một cách tự động nhưng việc phân tích những dữ liệu thu được thì không. Hơn nữa, việc dò quét cổng cũng làm ảnh hưởng tới hoạt động trong mạng như chiếm băng thông gây trễ mạng. Việc dò quét cổng mạng giúp bảo đảm rằng tất cả các máy chủ được cấu hình để chạy những dịch vụ mạng cho phép thế nhưng nó cũng cần 40 thận trọng trong việc thực hiện để tránh gây ảnh hưởng tới hoạt động của toàn hệ thống. 3.3. DÒ QUÉT LỖ HỔNG BẢO MẬT Tương tự như xác định cổng và dịch vụ mạng, việc dò quét lỗ hổng bảo mật nhằm mục đích xác định lỗ hổng bảo mật trên các máy chủ, máy trạm; đồng thời cũng giúp nhận dạng các máy chủ và những thuộc tính của máy chủ (ví dụ: các hệ điều hành, ứng dụng, cổng mạng đang mở). Ngoài ra, quét lỗ hổng bảo mật còn giúp xác định những bản phần mềm đã lỗi thời, bản vá bị thiếu, thiết đặt cấu hình sai hoặc là không phù hợp với chính sách an ninh của tổ chức. Để phát hiện ra những điểm yếu trên thì các công cụ quét lỗ hổng xác định hệ điều hành và ứng dụng chính đang chạy trên máy chủ và đem so sánh chúng với thông tin chứa trong kho dữ liệu lỗ hổng bảo mật của mình. Quét lỗ hổng bảo mật có thể:  Kiểm tra sự tuân thủ sử dụng các ứng dụng máy chủ và chính sách an toàn.  Cung cấp các thông tin cho quá trình kiểm thử.  Cung cấp thông tin khuyến nghị để giảm thiểu các lỗ hổng bảo mật đã phát hiện được. Công cụ quét lỗ hổng bảo mật có thể chạy trên máy chủ cục bộ hoặc trên mạng. Một số công cụ quét lỗ hổng thực hiện qua mạng có thể sẽ cần một số quyền của quản trị trên những máy chủ riêng biệt và có thể dùng quyền này để kiểm tra thêm các thông tin về lỗ hổng bảo mật. Tuy nhiên một số công cụ khác lại không cần những quyền đó, chúng sẽ dựa vào kết quả của việc dò quét mạng để xác định vị trí của các máy chủ, xác định các dịch vụ rồi sau đó mới tiến hành quét lỗ hổng trên máy chủ đó. Quét lỗ hổng có thể có thể được thực hiện cả ở phía trong và ngoài mạng. Mặc dù khi dò quét từ trong mạng có khả năng phát hiện lỗ hổng cao hơn là quét từ bên ngoài mạng do các việc quét gặp phải nhiều cản trở từ các thiết bị tại vành đai an ninh, nhưng việc thực hiện kiểm tra từ cả phía trong và ngoài mạng là rất quan trọng. 41 Khi người đánh giá thực hiện việc dò quét từ bên ngoài cũng có thể gặp những trở ngại như việc thực hiện khám phá mạng, việc sử dụng NAT gây sai lệch thông tin hoặc là bị chặn bởi tường lửa. Để vượt qua trở ngại của NAT thì người đánh giá có thể yêu cầu người quản trị tường lửa kích hoạt cổng chuyển tiếp tới những địa chỉ IP nhất định (nếu những địa chỉ này thuộc quyền quản lý của tường lửa) hoặc có thể yêu cầu truy cập mạng phía sau thiết bị sử dụng NAT. Người đánh giá cũng có thể yêu cầu cấu hình tường lửa cho phép luồng lưu lượng từ địa chỉ IP được phép đi vào trong suốt quá trình kiểm tra. Phương thức này có thể cung cấp cho người đánh giá cái nhìn sâu sắc hơn về mạng cần đánh giá nhưng nó lại không phản ánh chính xác khả năng bị tấn công từ bên ngoài; tuy nhiên có thể đưa ra những đánh giá về khả năng gây hại của một kẻ sử dụng mã độc ở bên trong hoặc là một kẻ tấn công bên ngoài mà có quyền truy cập vào một máy chủ khác ở bên trong mạng. Người đánh giá còn có thể thực hiện việc dò quét trên từng máy chủ riêng biệt. Đối với việc quét lỗ hổng bảo mật cục bộ, các công cụ quét sẽ được cài đặt trên từng máy chủ được quét để xác định hệ điều hành của máy chủ, các ứng dụng cấu hình sai và những lỗ hổng bảo mật. Việc dò quét cục bộ sẽ cung cấp cho người đánh giá những thông tin rõ ràng hơn về các lỗ hổng so với dò quét qua mạng vì việc dò quét cục bộ thường yêu cầu khả năng truy cập của cả máy chủ và tài khoản quản trị. Một số công cụ quét còn có chức năng chỉnh sửa những cấu hình cục bộ bị sai lệch. Sử dụng công cụ quét lỗ hổng bảo mật là một phương pháp tương đối nhanh và dễ dàng để xác định số lượng các lỗ hổng độc lập. Một lỗ hổng độc lập là một điểm yếu tồn tại độc lập, không liên quan tới các lỗ hổng khác. Tất cả các hành vi và kết quả đầu ra phản hồi với những mấu tấn công của hệ thống sẽ được gửi đi từ công cụ quét để so sánh với những đặc trưng của những lỗ hổng đã biết và sẽ báo lại nếu tìm được bất cứ đặc trưng nào trùng khớp. Ngoài việc quét dựa vào các đặc trưng có sẵn thì một số những công cụ quét lỗ hổng còn có thể mô phỏng các cuộc tấn công để tìm ra những lỗ hổng bảo mật và đưa ra báo cáo khi tấn công thành công. Một trong những khó khăn trong việc xác định mức độ nguy hiểm của các lỗ hổng bảo mật là chúng thường ít khi tồn tại độc lập với nhau. Ví dụ: Một vài 42 lỗ hổng có mức độ nguy hiểm thấp kết hợp lại thành một lỗ hổng có mức độ nguy hiểm cao hơn. Công cụ quét không thể phát hiện ra những lỗ hổng khi mà những lỗ hổng chỉ được hình thành từ sự kết hợp những hình thức tấn công khác nhau. Những công cụ có thể đánh giá mỗi lỗ hổng chỉ có mức độ nguy hiểm thấp khiến cho người đánh giá có những kết luận sai lầm về các biện pháp an ninh. Một phương thức xác định mức độ nguy hiểm của lỗ hổng bảo mật đáng tin cậy hơn là sử dụng phương pháp kiểm thử (sẽ được nói kỹ hơn ở phần sau). Một vấn đề nữa trong việc xác định mức độ nguy hiểm của lỗ hổng bảo mật là những công cụ quét lỗ hổng thường sử dụng những phương pháp riêng của mình trong việc xác định mức độ nguy hiểm. Ví dụ: một công cụ quét có thể phân loại mức độ bảo mật là thấp, trung bình, cao trong khi một công cụ quét khác lại phân thành các mức khác là thấp, trung bình, cao và nghiêm trọng. Điều này gây khó khăn khi so sánh những kết quả giữa nhiều công cụ quét. Không những vậy, mức độ nguy hiểm của một lỗ hổng mà công cụ quét đưa ra chưa chắc đã là mức độ nguy hiểm thực sự đối với tổ chức. Ví dụ, một công cụ quét có thể đánh giá một máy chủ FTP là một mối nguy hiểm trung bình vì nó cho phép trao đổi mật khẩu dưới dạng rõ, nhưng nếu tổ chức chỉ sử dụng máy chủ FTP như là một máy chủ công cộng vô danh mà không sử dụng mật khẩu thì mức độ nguy hiểm thực sự của nó phải ở mức độ thấp hơn. Do đó người đánh giá phải xác định mức độ nguy hiểm của mỗi lỗ hổng một cách hợp lý chứ không chỉ dựa vào những đánh giá của công cụ quét. Việc dò quét lỗ hổng mạng dựa trên nền tảng mạng có một số điểm yếu, như khi tiến hành việc dò quét và khám phá mạng thì phương pháp dò quét này chỉ có thể phát hiện những hệ thống đang hoạt động. Điều này có nghĩa là chỉ có thể phát hiện ra những lỗ hổng độc lập mà không thể đánh giá được mức độ rủi ro tổng hợp trên toàn mạng. Mặc dù quá trình này được thực hiện một cách tự động nhưng những công cụ quét cũng đưa ra kết quả có tỉ lệ sai lệch cao (ví dụ: báo cáo những lỗ hổng không tồn tại). Do việc quét lỗ hổng trên nền tảng mạng cần nhiều thông tin hơn là quá trình quét cổng để có thể xác định được lỗ hổng trên máy chủ nên nó sẽ tạo ra nhiều lưu lượng mạng hơn là quá trình quét cổng. Điều này có thể gây ra những ảnh hưởng không tốt tới các máy chủ hoặc mạng đang tiến hành dò quét, hoặc những đoạn mạng mà lưu lượng dò quét được 43 chuyển qua. Có rất nhiều công cụ dò quét lỗ hổng còn bao gồm cả chức năng kiểm tra tấn công từ chối dịch vụ và rất có thể gây ra những ảnh hưởng không tốt lên máy chủ được quét nếu như không sử dụng một cách hợp lý. Do đó một số công cụ quét khóa chức năng này để tránh nguy cơ ảnh hưởng tới các máy chủ trong quá trình quét. Một nhược điểm nữa của công cụ quét lỗ hổng là nó phụ thuộc vào kho lưu trữ những đặc điểm hay còn gọi mẫu (signature). Người đánh giá cần phải thường xuyên cập nhật những mẫu này để giúp cho công cụ quét có thể nhận dạng được cả những lỗ hổng mới nhất. Do vậy tốt nhất là trước khi tiến hành dò quét, người đánh giá nên cập nhật cơ sở dữ liệu lỗ hổng bảo mật mới nhất. Hầu hết các công cụ quét lỗ hổng cho phép người đánh giá lựa chọn mức độ quét. Nếu thực hiện quét toàn diện thì sẽ phát hiện được nhiều lỗ hổng hơn nhưng lại mất rất nhiều thời gian, còn nếu thực hiện quét nhanh thì tốn ít thời gian nhưng chỉ có thể xác định được những lỗ hổng thông thường. Các chuyên gia khuyến cáo người đánh giá nên thực hiện quét toàn diện nếu có thể. Việc dò quét lỗ hổng những là một trong những công việc tốn công sức đòi hỏi phải chuyên gia có trình độ cao để giải thích kết quả thu được. Ngoài ra, nó có thể gây ảnh hưởng tới hoạt động mạng như chiếm băng thông, làm chậm mạng. Hơn thế nữa việc dò quét lỗ hổng là vô cùng quan trọng, đảm bảo những lỗ hổng phải được vá hoặc giảm thiểu mức độ nguy hiểm trước khi bị phát hiện hoặc khai thác bởi tin tặc. Cũng giống như những công cụ hoạt động dựa trên mẫu hoặc là so sánh mô hình có sẵn thì những công cụ quét lỗ hổng cũng thường có tỷ lệ cảnh báo giả khá cao. Người đánh giá nên cấu hình và hiệu chỉnh công cụ quét sao cho có thể giảm thiểu vấn đề cảnh báo nhầm và cảnh báo sai đến mức tối đa có thể. Một số những lỗ hổng có thể không được phát hiện bởi công cụ dò quét tự động nhưng lại có thể phát hiện từ việc kiểm thử bổ sung, do vậy người đánh giá nên sử dụng một cách kết hợp các phương pháp để có thể thu được kết quả một cách chính xác nhất. 44 3.4. DÒ QUÉT MẠNG KHÔNG DÂY 3.4.1. Khái niệm mạng không dây Mạng không dây là một hệ thống các thiết bị được nhóm lại với nhau, có khả năng giao tiếp thông qua sóng vô tuyến thay vì các đường truyền dẫn bằng dây. Nói một cách đơn giản mạng không dây là mạng sử dụng công nghệ mà cho phép hai hay nhiều thiết bị kết nối với nhau bằng cách sử dụng một giao thức chuẩn, nhưng không cần kết nối vật lý hay chính xác là không cần sử dụng dây mạng. Vì đây là mạng dựa trên công nghệ 802.11 nên đôi khi được gọi là mạng 802.11 Ethernet để nhấn mạnh rằng mạng này có nguồn gốc từ mạng Ethernet 802.3 truyền thống. Hiện tại còn được gọi là mạng Wireless Ethernet hoặc Wi-Fi (Wireless Fidelity). Dựa trên vùng phủ sóng, mạng không dây được chia thành 5 nhóm:  WPAN: Mạng vô tuyến cá nhân. Nhóm này bao gồm các công nghệ vô tuyến có vùng phủ nhỏ tầm vài mét đến hàng chục mét tối đa. Các công nghệ này phục vụ mục đích nối kết các thiết bị ngoại vi như máy in, bàn phím, chuột, đĩa cứng, khóa USB, đồng hồ,... với điện thoại di động, máy tính. Các công nghệ trong nhóm này bao gồm: Bluetooth, Wibree, ZigBee, UWB, Wireless USB, EnOcean,... Đa phần các công nghệ này được chuẩn hóa bởi IEEE, cụ thể là nhóm 802.15. Do vậy các chuẩn còn được biết đến với tên như IEEE 802.15.4 hay IEEE 802.15.3 ...  WLAN: Mạng vô tuyến cục bộ. Nhóm này bao gồm các công nghệ có vùng phủ tầm vài trăm mét. Nổi bật là công nghệ Wifi với nhiều chuẩn mở rộng khác nhau thuộc gia đình 802.11 a/b/g/h/i/... Hiện nay công nghệ Wifi được sử dụng rất phổ biến và hầu hết mọi tổ chức đều sử dụng Wifi cho các thiết bị Laptop hay điện thoại thông minh. Bên cạnh WiFi thì còn một cái tên ít nghe đến là HiperLAN và HiperLAN2, đối thủ cạnh tranh của Wifi được chuẩn hóa bởi ETSI.  WMAN: Mạng vô tuyến đô thị. Đại diện tiêu biểu của nhóm này chính là WiMAX. Ngoài ra còn có công nghệ băng rộng BWMA 802.20. Vùng phủ sóng của nó sẽ tằm vài km (tầm 4 - 5km tối đa). 45  WWAN: Mạng vô tuyến diện rộng: Nhóm này bao gồm các công nghệ mạng thông tin di động như UMTS/GSM/CDMA2000... Vùng phủ của nó cũng tầm vài km đến tầm chục km.  WRAN: Mạng vô tuyến khu vực. Nhóm này đại diện là công nghệ 802.22 đang được nghiên cứu và phát triển bởi IEEE. Vùng phủ sóng của nó có thể lên tới 40-100km. Mục đích là mang công nghệ truyền thông đến các vùng xa xôi hẻo lánh, khó triển khai các công nghệ khác. So sánh các nhóm mạng: Bảng 4: Các nhóm mạng không dây Mạng Chuẩn Tốc độ Vùng phủ sóng Băng tần UWB (Ultra wideband) WPAN 802.15.3a 110-480 Mbps Trên 30 feet 7.5 GHz Bluetooth WPAN 802.15.1 Trên 720 Kbps Trên 30 feet 2.4 GHz Wi-Fi WLAN 802.11a Trên 54 Mbps Trên 300 feet 5 GHz Wi- Fi WLAN 802.11b Trên 11 Mbps Trên 300 feet 2.4 GHz Edge/GPRS (TDMA- GMS) WWAN 2.5 G Trên 384 Kbps 4-5 dặm 1900 MHz CDMA 2000/1x EV-DO WWAN 3G Trên 2.4 Mbps 1-5 dặm 400 - 2100 MHz WCDMA/ UMTS WWAN 3G Trên 2 Mbps 1-5 dặm 1800 2100 MHz Công nghệ Tất cả các công nghệ này đều giống nhau ở chỗ chúng nhận và truyền thông tin bằng cách sử dụng sóng điện từ (EM). Dựa trên các công nghệ mạng, mạng không dây được chia thành 3 loại:  Kết nối sử dụng tia hồng ngoại.  Sử dụng công nghệ Bluetooth. 46  Kết nối bằng chuẩn Wi-fi. 3.4.2. Các chuẩn mạng không dây Mạng không dây hoạt động dựa trên chuẩn 802.11 (802.11 được phát triển từ năm 1997 bởi tổ chức IEEE), chuẩn này được xem là chuẩn dùng cho các thiết bị di động có hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt động tầm trung bình. Cho đến hiện tại IEEE 802.11 gồm có 5 chuẩn trong họ 802.11 được sử dụng phổ biến là:  802.11 Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical and Electronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên – được gọi là 802.11 theo tên của nhóm giám sát sự phát triển của chuẩn này. Lúc này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp (DirectSequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps – tốc độ khá chậm cho hầu hết các ứng dụng. Vì lý do đó, các sản phẩm chuẩn không dây này không còn được sản xuất nữa.  802.11b Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo ra các đặc tả kỹ thuật cho 802.11b. Chuẩn 802.11b hỗ trợ tốc độ lên đến 11Mbps, ngang với tốc độ Ethernet thời bấy giờ. Đây là chuẩn WLAN đầu tiên được chấp nhận trên thị trường, sử dụng tần số 2,4 GHz. Chuẩn 802.11b sử dụng kỹ thuật điều chế khóa mã bù (Complementary Code Keying - CCK) và dùng kỹ thuật trải phổ trực tiếp giống như chuẩn 802.11 nguyên bản. Với lợi thế về tần số (băng tần nghiệp dư ISM 2,4GHz), các hãng sản xuất sử dụng tần số này để giảm chi phí sản xuất. 802.11b có thể bị nhiễu do lò vi sóng, điện thoại “mẹ bồng con” và các dụng cụ khác cùng sử dụng tần số 2,4GHz. Tuy nhiên, bằng cách lắp đặt 802.11b ở khoảng cách hợp lý sẽ dễ dàng tránh được nhiễu. Ưu điểm của 802.11b là giá thấp, tầm phủ sóng tốt và không dễ bị che khuất. Nhược điểm của 802.11b là tốc độ thấp; có thể bị nhiễu bởi các thiết bị gia dụng. 47  802.11a Song hành với 802.11b, IEEE tiếp tục đưa ra chuẩn mở rộng thứ hai cũng dựa vào 802.11 đầu tiên - 802.11a. Chuẩn 802.11a sử dụng tần số 5GHz, tốc độ 54Mbps tránh được can nhiễu từ các thiết bị dân dụng. Đồng thời, chuẩn 802.11a cũng sử dụng kỹ thuật trải phổ khác với chuẩn 802.11b - kỹ thuật trải phổ theo phương pháp đa phân chia tần số trực giao (Orthogonal Frequency Division Multiplexing-OFDM). Đây được coi là kỹ thuật trội hơn so với trải phổ trực tiếp (DSSS). Do chi phí cao hơn, 802.11a thường chỉ được sử dụng trong các mạng doanh nghiệp, ngược lại, 802.11b thích hợp hơn cho nhu cầu gia đình. Tuy nhiên, do tần số cao hơn tần số của chuẩn 802.11b nên tín hiện của 802.11a gặp nhiều khó khăn hơn khi xuyên tường và các vật cản khác. Do 802.11a và 802.11b sử dụng tần số khác nhau, hai công nghệ này không tương thích với nhau. Một vài hãng sản xuất bắt đầu cho ra đời sản phẩm "lai" 802.11a/b, nhưng các sản phẩm này chỉ đơn thuần là cung cấp 2 chuẩn sóng Wi-Fi cùng lúc (máy trạm dùng chuẩn nào thì kết nối theo chuẩn đó). Ưu điểm của 802.11a là tốc độ nhanh; tránh xuyên nhiễu bởi các thiết bị khác. Nhược điểm của 802.11a là giá thành cao; tầm phủ sóng ngắn hơn và dễ bị che khuất.  802.11g Năm 2002 và 2003, các sản phẩm WLAN hỗ trợ chuẩn mới hơn được gọi là 802.11g nổi lên trên thị trường; chuẩn này cố gắng kết hợp tốt nhất 802.11a và 802.11b. 802.11g hỗ trợ băng thông 54Mbps và sử dụng tần số 2,4GHz cho phạm vi phủ sóng lớn hơn. 802.11g tương thích ngược với 802.11b, nghĩa là các điểm truy cập (access point –AP) 802.11g sẽ làm việc với card mạng Wi-Fi chuẩn 802.11b... Tháng 7/2003, IEEE phê chuẩn 802.11g. Chuẩn này cũng sử dụng phương thức điều chế OFDM tương tự 802.11a nhưng lại dùng tần số 2,4GHz giống với chuẩn 802.11b. Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có khả năng tương thích ngược với chuẩn 802.11b đang phổ biến. 48 Ưu điểm của 802.11g là tốc độ nhanh, tầm phủ sóng tốt và không dễ bị che khuất. Nhược điểm của 802.11g là giá cao hơn 802.11b; có thể bị nhiễu bởi các thiết bị gia dụng.  802.11n Chuẩn Wi-Fi mới nhất trong danh mục Wi-Fi là 802.11n. 802.11n được thiết kế để cải thiện tính năng của 802.11g về tổng băng thông được hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây và anten (gọi là công nghệ MIMOmultiple-input and multiple-output). Khi chuẩn này hoàn thành, 802.11n sẽ hỗ trợ tốc độ lên đến 100Mbps. 802.11n cũng cho tầm phủ sóng tốt hơn các chuẩn Wi-Fi trước đó nhờ tăng cường độ tín hiệu. Các thiết bị 802.11n sẽ tương thích ngược với 802.11g. Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trở kháng lớn hơn để chống nhiễu từ các tác động của môi trường. Nhược điểm của 802.11n là chưa được phê chuẩn cuối cùng; giá cao hơn 802.11g; sử dụng nhiều luồng tín hiệu có thể gây nhiễu với các thiết bị 802.11b/g kế cận. Dưới đây là bảng so sánh đặc điểm kỹ thuật của các chuẩn 802.11: Bảng 5: Các đặc điểm kỹ thuật của IEEE 802.11 802.11a 802.11b 802.11g 802.11n Tháng 7/1999 Tháng 7/1999 Tháng 6/2003 Tháng 9/2009 Tốc độ tối đa 54Mbps 11Mbps 54Mbps 300Mbps hay cao hơn Điều chế OFDM DSSS hay CCK DSSS hay CCK hay OFDM DSSS hay CCK hay OFDM Dải tần số trung tần (RF) 5GHz 2,4GHZ 2,4GHZ 2,4GHz hay 5GHz Spatial Stream 1 1 1 1, 2, 3 hay 4 Độ rộng băng thông 20MHz 20MHz 20MHz 20 MHz hay 40 MHz Năm phê chuẩn 49 3.4.3. Bảo mật trong mạng không dây Tại thời điểm hiện tại, Wifi đang chiếm ưu thế rất cao trong hệ thống mạng không dây trong phạm vi nhỏ. Từ một thiết bị Router có tích hợp bộ phát sóng Wifi hay một Access Point (AP) thu tín hiệu và phát ra sóng Wifi, các thiết bị thu sóng như Laptop, thiết bị di động có thể dễ dàng tạo kết nối để truy cập mạng Ethernet hay mạng Internet. Tuy nhiên, các tín hiệu được truyền đi trong môi trường không dây lại có thể dể dàng bị kẻ tấn công thu được (chặn bắt hoặc dò quét). Do đó, bảo vệ thông tin truyền trên kênh không dây là một trong những vấn đề cần được đặt ra. Các thiết bị Router, AccessPoint, … hiện tại hầu như đều hỗ trợ nhiều cơ chế bảo mật cho mạng không dây. Các chuẩn bảo mật phổ biến như:  WEP (Wired Equivalent Privacy) WEP được phê chuẩn là phương thức bảo mật tiêu chuẩn dành cho WiFi vào tháng 9/1999. WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (Initialization Vector - IV) để mã hóa thông tin. Thông tin mã hóa được tạo ra bằng cách thực hiện XOR giữa keystream và plain text. Thông tin mã hóa và IV sẽ được gửi đến người nhận. Người nhận sẽ giải mã thông tin dựa vào IV và khóa WEP đã biết trước. Sơ đồ mã hóa như sau: Hình 3.13. Sơ đồ mã hóa WEP Phiên bản đầu tiên của WEP không hề mạnh, kể cả vào thời điểm nó được giới thiệu bởi việc chính phủ Mỹ cấm xuất khẩu nhiều công nghệ mã hóa khiến các nhà sản xuất chỉ bảo vệ thiết bị của họ với mã hóa 64 bit. Sau khi lệnh cấm được dỡ bỏ, chuẩn 128 bit được đưa vào sử dụng rộng rãi hơn. Thậm chí sau này 50 kể cả khi mã hóa WEP 256 bit được giới thiệu, 128 bit vẫn là một trong những chuẩn được áp dụng nhiều nhất. Mặc dù các thuật toán được cải tiến và kích thước kí tự được tăng lên, qua thời gian nhiều lỗ hổng bảo mật được phát hiện trong chuẩn WEP khiến nó càng ngày càng dễ bị qua mặt khi mà sức mạnh của máy tính ngày càng được củng cố. Năm 2001, nhiều lổ hổng tiềm tàng đã bị phơi bày trên mạng Internet. Đến năm 2005, FBI công khai trình diễn khả năng bẻ khóa WEP chỉ trong một vài phút bằng phần mềm hoàn toàn miễn phí nhằm nâng cao nhận thức về sự nguy hiểm của WEP. Dù đã có nhiều cải tiến nhằm tăng cường bảo mật cho WEP, chuẩn này vẫn đặt người dùng vào vị trí hết sức nguy hiểm và tất cả các hệ thống sử dụng WEP nên được nâng cấp hoặc thay thế. Tổ chức Liên minh WiFi chính thức loại bỏ WEP vào năm 2004. Những điểm yếu về bảo mật của WEP:  WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) và nhiều người dùng (users) cùng với một IV ngẫu nhiên 24 bit. Do đó, cùng một IV sẽ được sử dụng lại nhiều lần. Bằng cách thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóa WEP đang dùng.  Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền đi và có thể thay đổi nội dung của thông tin truyền. Do vậy WEP không đảm bảo được tính bí mật và tính toàn vẹn.  Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi được thay đổi (tức có nghĩa là khóa WEP không được tự động thay đổi) làm cho WEP rất dễ bị tấn công.  WEP cho phép người dùng xác minh AP trong khi AP không thể xác minh tính xác thực của người dùng. Nói một cách khác, WEP không cung cấp khả năng xác thực lẫn nhau.  WPA (Wifi Protected Access ) 51 WPA là một giải pháp bảo mật được đề nghị bởi liên minh WiFi để thay thế WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA được áp dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ. Phiên bản phổ biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự được sử dụng bởi WPA là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống WEP. WPA cải tiến 3 điểm yếu nổi bật của WEP:  WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là 128 bit và IV có chiều dài là 48 bit. Một cải tiến của WPA đối với WEP là WPA sử dụng giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóa dùng AP và User một cách tự động trong quá trình trao đổi thông tin. Cụ thể là TKIP dùng một khóa nhất thời 128 bit kết hợp với địa chỉ MAC của máy User và IV để tạo ra mã khóa. Mã khóa này sẽ được thay đổi sau khi 10000 gói thông tin được trao đổi.  WPA sử dụng 802.1x/EAP để thực hiện xác thực lẫn nhau nhằm chống lại tấn công xen giữa. Quá trình xác thực của WPA dựa trên một máy chủ xác thực, còn được biết đến với tên gọi RADIUS/ DIAMETER. Máy chủ RADIUS cho phép xác thực người sử dụng trong mạng cũng như định nghĩa những quyền nối kết của người dùng. Tuy nhiên trong một mạng WiFi nhỏ (của công ty hoặc trường học), đôi khi không cần thiết phải cài đặt một máy chủ mà có thể dùng một phiên bản WPA-PSK (pre-shared key). Ý tưởng của WPA-PSK là sẽ dùng một mật khẩu (Master Key) chung cho AP và các thiết bị dùng cuối. Thông tin xác thực giữa người sử dụng và máy chủ sẽ được trao đổi thông qua giao thức EAP (Extensible Authentication Protocol). Phiên EAP sẽ được tạo ra giữa người dùng và máy chủ để chuyển đổi thông tin liên quan đến định danh của người dùng cũng như của mạng. Trong quá trình này AP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao thông tin giữa máy chủ và người sử dụng. Những thông điệp xác thực chuyển đổi được miêu tả như Hình 3.14: 52 Hình 3.14. Thông điệp trao đổi trong quá trình xác thực  WPA sử dụng MIC (Michael Message Integrity Check) để tăng cường tính toàn vẹn của thông tin truyền. MIC là một thông điệp 64 bit được tính dựa trên thuật toán Michael. MIC sẽ được gửi trong gói TKIP và giúp người nhận kiểm tra xem thông tin nhận được có bị lỗi trên đường truyền hoặc bị thay đổi bởi kẻ phá hoại hay không. Tóm lại, WPA được xây dựng nhằm cải thiện những hạn chế của WEP nên nó chứa đựng những đặc điểm vượt trội so với WEP. Đầu tiên, nó sử dụng một khóa động mà được thay đổi một cách tự động nhờ vào giao thức TKIP. Khóa sẽ thay đổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói thông tin đã truyền. Đặc điểm thứ 2 là WPA cho phép kiểm tra xem thông tin có bị thay đổi trên đường truyền hay không nhờ vào MIC message. Và đăc điểm nổi bật thứ cuối là nó cho phép xác thực lẫn nhau bằng cách sử dụng giao thức 802.1x. 53 Những điểm yếu của WPA:  Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được tấn công từ chối dịch vụ. Kẻ phá hoại có thể làm nhiễu mạng WPA WiFi bằng cách gửi ít nhất 2 gói thông tin với một khóa sai mỗi giây. Trong trường hợp đó, AP sẽ cho rằng một kẻ phá hoại đang tấn công mạng và AP sẽ cắt tất cả các nối kết trong vòng một phút để trách hao tổn tài nguyên mạng. Do đó, sự tiếp diễn của thông tin không được phép sẽ làm xáo trộn hoạt động của mạng và ngăn cản sự nối kết của những người dùng được cho phép.  Ngoài ra WPA vẫn sử dụng thuật toán RC4 mà có thể dễ dàng bị phá vỡ bởi tấn công FMS đề nghị bởi những nhà nghiên cứu ở trường đại học Berkeley. Hệ thống mã hóa RC4 chứa đựng những khóa yếu. Những khóa yếu này cho phép truy ra khóa encryption. Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thập một số lượng đủ thông tin truyền trên kênh truyền không dây.  WPA-PSK là một biên bản yếu của WPA mà ở đó nó gặp vấn đề về quản lý password hoăc shared secret giữa nhiều người dùng. Khi một người trong nhóm (trong công ty) rời nhóm, một mật khẩu mới cần phải được thiết lập.  WPA2 (WiFi Protected Access II) Đến năm 2006, WPA chính thức bị thay thế bởi WPA2. Một trong những cải tiến đáng chú ý nhất của WPA2 so với WPA là sự có mặt bắt buộc của AES và CCMP (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) nhằm thay thế cho TKIP. Tuy vậy, TKIP vẫn có mặt trong WPA2 để làm phương án dự phòng và duy trì khả năng tương tác với WPA. Hiện tại, lỗ hổng bảo mật chính của hệ thống WPA2 không thực sự lộ rõ. Kẻ tấn công phải có quyền truy cập vào mạng WiFi đã được bảo vệ trước khi có thể có trong tay bộ kí tự, sau đó mới có thể tiến hành tấn công các thiết bị khác trong cùng mạng. Như vậy, các lỗ hổng của WPA2 khá hạn chế và gần như chỉ gây ảnh hưởng đến các mạng quy mô lớn như của tập đoàn. Trong khi đó người dùng mạng tại nhà có thể yên tâm với chuẩn mới nhất này. 54 Tuy nhiên không may là lỗ hổng lớn nhất của WPA vẫn còn tồn tại trong WPA2, đó là WPS. Mặc dù để xâm nhập được vào mạng lưới được bảo vệ bởi WPA/WPA2 bằng lỗ hổng trên cần tới 2-14 giờ hoạt động liên tục của một máy tính hiện đại, đây vẫn là một mối lo tiềm tàng. Vì thế tốt nhất WPS nên được tắt đi hoặc xóa bỏ hoàn toàn khỏi hệ thống thông qua các lần cập nhật firmware của điểm truy cập. 3.4.4. Dò quét mạng không dây Khi mà công nghệ và thiết bị không dây ngày càng nhiều và phổ biến, các tổ chức cần thực hiện việc kiểm tra và bảo vệ môi trường mạng không dây của mình. Việc dò quét mạng không dây giúp xác định những điểm yếu để giảm thiểu những rủi ro do công nghệ không dây gây ra. Dưới đây là một số lưu ý trong môi trường của tổ chức khi lên kế hoạch đánh giá an toàn mạng không dây:  Vị trí các thiết bị dược quét, vì nếu như vị trí vật lý của chúng gần với những khu vực công cộng (ví dụ: đường phố, quảng trường...) hoặc nằm trong khu vực đô thi bận rộng thì rất có thể các mối đe dọa từ công nghệ không dây sẽ tăng cao.  Mức độ bảo mật của dữ liệu được truyền khi sử dụng công nghệ không dây.  Tần số kết nối và ngắt kết nối với môi trường (ví dụ: thường xuyên kết nối hay thi thoảng mới kết nối) và lưu lượng mạng được sử dụng của những thiết bị không dây. Thông tin này rất quan trọng bởi vì chỉ có những thiết bị mạng không dây đang hoạt động, kết nối vào thì mới được nhận dạng trong quá trình quét mạng không dây.  Hệ thống phát hiện và ngăn chặn xâm nhập không dây (WIDPS) đang sử dụng có thể có những thông tin cần thiết cho quá trình kiểm tra. Việc dò quét mạng không dây có thể được thực hiện bởi một thiết bị di động với chương trình phân tích mạng không dây (như laptop, thiết bị cầm tay 55 hoặc thiết bị chuyên dụng). Phần mềm hoặc công cụ dò quét sẽ cho phép người đánh giá cấu hình thiết bị để thực hiện các phân tích cụ thể, và thực hiện dò quét theo cả 2 phương pháp chủ động và bị động. Phần mềm dò quét cũng cho phép xác định những sai lệch so với các yêu cầu cấu hình an ninh không dây của tổ chức. Các thiết bị không dây phải có khả năng quét được tất cả các kênh của IEEE như 802.11a/b/g/n, trong nước cũng như quốc tế. Trong một số trường hợp các thiết bị còn được trang bị thêm một ăng-ten ngoài để có thể bắt được những tần số sóng vô tuyến khác. Với sự hỗ trợ của những công nghệ không dây khác như là bluetooth sẽ giúp đánh giá sự hiện diện của các mối đe dọa và lỗ hổng bảo mật của mạng không dây. Chú ý rằng những thiết bị không sử dụng công nghệ chuẩn hoặc tần số sóng vô tuyến nằm ngoài phạm vi của công cụ quét sẽ không bị nhận dạng hoặc xác định một cách chính xác. Các công cụ phân tích phổ tín hiệu giúp phân tích tín hiệu truyền tải trong giải tần số (ví dụ: từ 3 cho đến 18 GHz), và nếu như những công cụ này không có chức năng phân tích lưu lượng thì nó cũng giúp cho người đánh giá có thể xác định các hoạt động xảy ra trong giải tần số từ đó tiến thành thử nghiệm chỉnh sửa bổ sung, kiểm tra sao cho phù hợp. Một số thiết bị có hỗ trợ về chức năng lập bản đồ và xác định vị trí vật lý thông qua việc sử dụng công cụ bản đồ hóa (mapping tool), ngoài ra còn có những thiết bị có thêm chức năng bản đồ định vị GPS. Những thiết bị quét không dây tinh vi còn cho phép người dùng có thể nhập vào sơ đồ hoặc bản đồ các tầng để hỗ trợ trong việc định vị vị trí vật lý của các thiết bị đã nhận dạng (điều này là quan trọng bởi vì chức năng GPS bị hạn chế khi ở trong nhà). Nên giao việc khai thác công cụ và thực hiện các hoạt động quét mạng không dây cho những người có chuyên môn sâu về mạng không dây, đặc biệt là về các công nghệ IEEE 802.11a/b/g/n. Những người chịu trách nhiệm khai thác và thực hiện quét mạng cần phải được đào tạo về tính năng và khả năng của công cụ, phần mềm quét để có thể hiểu rõ hơn về thông tin thu thập được, từ đó có khả năng phát hiện ra những mối đe dọa tiềm ẩn và những hành vi gây hại cho tổ chức. Ngoài ra những người này cũng cần phải nhận thức về những tín hiệu RF khác được sử dụng trong khu vực được quét. 56 3.4.4.1. Quét mạng không dây theo kiểu bị động Việc quét thụ động cần được thực hiện thường xuyên để hỗ trợ cho những biện pháp bảo mật mạng không đây hiện có, như IDS/IPS không dây. Các công cụ không dây thường tiến hành việc quét thụ động toàn diện mà không cần gửi đi các gói tin hoặc sử dụng công cụ gây ảnh hưởng tới hoạt động trong mạng. Do không gửi đi gói tin nào do đó công cụ quét mạng không dây thụ động gần như là không bị phát hiện bởi những thiết bị khác hoặc người dùng độc hại. Điều này giúp hạn chế hiện tượng người dùng không muốn bị phát hiện mà ngắt kết nối hoặc vô hiệu hóa các thiết bị trái phép. Các công cụ quét thụ động bắt những lưu lượng mạng không dây được truyền đi trong phạm vi ăng-ten của mình. Hầu hết các công cụ đều có một số những tính năng chính như phá hiện các thiết bị không dây bao gồm cả việc nhận dạng và thiết lập dịch vụ (SSID), loại của thiết bị, kênh, địa chỉ MAC, cường đồ tín hiệu, số lượng gói tin được truyền đi. Những thông tin này có thể được sử dụng để đánh giá sự an toàn môi trường mạng không dây và xác định nhưng thiết bị giả mạo và mạng tùy biến không dây được phát hiện ra từ thiết bị quét. Các công cụ quét không dây cũng phải có khả năng đánh giá các gói tin chặn bắt được để xác định xem có phải là hoạt động bất thường hay có tồn tại mối đe dọa nào không. Công cụ quét mạng không dây quét từng tần số của IEEE 802.11a/b/g/n với tần số vài trăm mili giây một lần. Thiết bị quét thụ động có thể không nhận được tất cả những lưu lượng chuyển tải của một kênh. Ví dụ như công cụ có thể đang quét ở kênh 1, cùng thời điểm đó thì một gói tin lại được truyền đi trên kênh 5. Do vậy mà việc thiết lập thời gian dừng (dwell time) là rất quan trọng, thời gian dừng phải đủ lâu để có thể chặn bắt được gói tin nhưng cũng đủ ngắn để có thể quét được tất cả các kênh một cách hiệu quả. Việc cấu hình thời gian sẽ phụ thuộc vào thiếc bị hoặc công cụ sử dụng để tiến hành quét. Những thiết bị trái phép có thể bị phát hiện trong quá trình quét thụ động:  Các địa chỉ MAC của một thiết bị không dây, cho ta biết được nhà cung cấp giao diện mạng không dây cho thiết bị. Nếu như tổ chức 57 chỉ sử dụng giao diện mạng không dây của hãng A và B, sự hiện diện của một hãng khác ám chỉ có thiết bị giả mạo.  Nếu tổ chức lưu trữ những thông tin về các thiết bị không dây đang được sử dụng thì người đánh giá có thể đi so sánh những địa chỉ MAC để tìm ra những thiết bị trái phép. Hầu hết những thiết bị dò quét mạng đều cho phép người đánh giá truy nhập vào danh sách các thiết bị hợp pháp. Do địa chỉ MAC có thể bị làm giả, nên người đánh giá không nên quá tin tưởng vào kết quả địa chỉ MAC thu được, tuy vậy việc kiểm tra địa chỉ MAC vẫn giúp xác định những thiết bị giả mạo mà không thay đổi địa chỉ MAC.  Những thiết bị giả mạo có thể sử dụng SSID mà không được cấp quyền bởi tổ chức.  Một số thiết bị giả mạo có thể sử dụng SSID được cấp quyền bởi tổ chức nhưng lại không tuân thủ yêu cầu cấu hình mạng không dây của tổ chức đó. Các cường độ tín hiệu của các thiết bị được cho là giả mạo cần được xem xét để xác định xem liệu các thiết bị đó có nằm trong giới hạn của tổ chức hoặc trong khu vực đang được quét hay không. Thiết bị hoạt động bên ngoài giới hạn của một tổ chức vẫn có thể gây ra những rủi ro đáng kể do các thiết bị của tổ chức có thể vô tình liên kết với chúng. 3.4.4.2. Quét mạng không dây theo kiểu chủ động Ngoài phương pháp quét thụ động, người đánh giá cũng có thể tiến hành dò quét mạng không dây theo kiểu chủ động. Quét mạng không dây chủ động là gửi trực tiếp các gói tin tới hệ thống mạng không dây để thực hiện kiểm thử các lỗ hổng bảo mật trên các thiết bị không dây. Ví dụ: người đánh giá có thể tiến hành quét mạng không dây theo kiểu chủ động trên những thiết bị không dây hợp lệ để đảm bảo rằng chúng được cấu hình đạt tiêu chuẩn an toàn mạng không dây bao gồm cơ chế xác thực, mã hóa dữ liệu và quyền truy cập quản trị. Cần phải rất thận trọng trong việc thực hiện quét chủ động để đảm bảo rằng không vô tình quét phải các thiết bị thuộc sở hữu hoặc đang hoạt động của 58 các tổ chức khác trong phạm vi lân cận. Điều quan trọng là phải xác định vị trí vật lý của thiết bị trước khi tiến hành quét chủ động. Người đánh giá cũng nên lưu ý khi thực hiện quét chủ động đối với các thiết bị không rõ nguồn gốc đang hoạt động trong phạm vi dò quét. Các thiết bị có khả năng truy cập mạng không dây này rất có thể là của một người khách và được phép sử dụng mạng không dây, hoặc là của tổ chức khác có vị trí vật lý lân cận chứ không hẳn là chúng đang hoạt động trong tổ chức. Tóm lại, khi thực hiện dò quét mạng không dây chủ động, cần tập trung vào việc nhận dạng và định vị các thiết bị giả mạo hơn là thực hiện quét trực tiếp đối với các thiết bị đó. Để có thể đánh giá được độ an toàn của các thiết bị không dây, người đánh giá có thể sử dụng các công cụ với các kịch bản khai thác có sẵn. Ví dụ: các công cụ sử dụng để tiến hành đánh giá mạng không dây sẽ cố gắng kết nối tới các AP thông qua những phương pháp khác nhau để phá vỡ cấu hình bảo mật. Nếu công cụ này có thể truy cập vào AP thì nó có thể lấy được thông tin về những thiết bị không dây và có dây kết nối với AP đó. Một số công cụ quét chủ động còn có thể phát hiện ra những lỗ hổng bảo mật trên các thiết bị của khách hàng hoặc tiến hình kiểm tra lỗ hổng bảo mật trên mạng có dây. Khi tiến hành quét chủ động, người đánh giá có thể giám sát cả hệ thống IDS/IPS không dây của tổ chức để đánh giá khả năng và hiệu suất của chúng. Tùy vào mục tiêu đánh giá, người đánh giá khi tiến hành dò quét cần phải thông báo cho người quản trị hệ thống IDS/IPS không dây và người quản trị mạng không dây về quy trình dò quét sắp tới để họ có thể chuẩn bị đối với những cảnh báo hoặc báo động có thể xảy ra. Ngoài ra, một số hệ thống IDS/IPS không dây có thể được cấu hình để bỏ qua những cảnh bảo gây ra bởi một thiết bị nào đó (ví dụ thiết bị dò quét). Công cụ và quy trình dùng để phát hiện những thiết bị trái phép hoặc lỗ hổng bảo mật trong mạng có dây cũng có thể được sử dụng để xác định những thiết bị không dây giả mạo hoặc cấu hình sai. 3.4.4.3. Xác định vị trí thiết bị mạng không dây Khi sử dụng các công cụ quét mạng không dây nên tập trung vào việc định vị các thiết bị đáng nghi. Các tín hiệu RF phát tán phụ thuộc vào môi 59 trường, điều này làm cho việc hiểu rõ các công nghệ mạng không dây làm việc thế nào trở nên quan trọng. Khả năng định vị cũng rất hữu ích tuy nhiên yếu tố quan trọng hỗ trợ khả năng này vẫn là những hiểu biết về hoạt động và tính tương thích của ăng ten không dây. Nếu như những thiết bị giả mạo được phát hiện và định vị trong quá trình quét không dây thì người đánh giá cần đảm bảo có những chính sách và quy trình cụ thể để giám sát việc xử lý những thiết bị đó, ví dụ như tắt thiết bị hay cấu hình lại cho phù hợp với chính sách của tổ chức, hoặc gỡ bỏ chúng. Trước khi quyết định gỡ bỏ những thiết bị thì người đánh giá cần đánh giá sự hoạt động của chúng thông qua việ giám sát việc truyền tải thông tin và hành vi cố gắng truy cập vào các thiết bị khác. Nếu như những thiết bị không dây được nhận dạng nhưng không thể định vị thì người đánh giá cần thử sử dụng IDS/IPS không dây để hỗ trợ xác định vị vị trí những thiết bị này, trong đó hệ thống IDS/IPS không dây xác định địa chỉ MAC cụ thể đã được phát hiện trong quá trình quét. Tuy nhiên hệ thống IDS/IPS không dây chỉ có thể định vị những thiết vị trong khoảng cách tương đối ngắn, do vậy mà công cụ dò quét mạng không dây vẫn cần thiết trong việc định vị một thiết bị. 3.4.4.4. Quét Bluetooth Người đánh giá cũng cần thực hiện việc quét thụ động đối với những thiết bị không dây kích hoạt Bluetooth để xác nhận rằng những thiết bị đó đảm bảo yêu cầu an toàn bluetooth. Sóng bluetooth có phạm vi rất ngắn (vào khoảng 9 mét, đối với một số thiết bị thì phạm vị bluetooth chỉ khoảng tầm 1 mét) do vậy việc quét các thiết bị này rất khó khăn và tốn thời gian. Người đánh giá nên cân nhắc giới hạn phạm vi khi thực hiện kiểu dò quét này. Ngoài ra, có thể chỉ thực hiện việc dò quét ở nơi chứa thiết bị mà mọi người đều có thể truy cập được vào, mục đích là để kiểm tra xem kẻ tấn công có giành được quyền truy cập vào thiết bị thông qua bluetooth hay không, hoặc thực hiện việc dò quét trong một phạm vi nhất định hơn là thực hiện trên toàn bộ pham vi. Nhiều thiết bị Bluetooth (như điện thoại di động hoặc PDA) đều là thiết bị di động, do vậy khi thực hiện việc quét thụ động thì nên thực hiện nhiều lần trong khoảng thời gian nhất định để có 60 kết quả chính xác. Người đánh giá cần quét tất cả những cơ sở hạ tầng Bluetooth, chẳng hạn như các điểm truy cập mà tổ chức đã triển khai. Nếu phát hiện những thiết bị giả mạo thì cần xử lý theo quy trình và chính sách an ninh của tổ chức đã thiết lập. Có một số công cụ hỗ trợ việc kiểm tra sự an toàn và hoạt động của những thiết bị bluetooth. Những công cụ này cố gắng kết nối với những thiết bị đã được nhận dạng và tiến hành thử tấn công để chiếm được quyền truy cập và kết nối với thiết bị kích hoạt bluetooth. Người đánh giá cần thận trọng khi thực hiện dò quét chủ động bởi vì rất có khả năng vô tình quét phải các thiết bị bluetooth cá nhân mà vẫn thường thấy trong rất nhiều môi trường. Một nguyên tắc ngầm là người đánh giá chỉ nên dò quét chủ động khi đã chắc chắn rằng thiết bị được quét thuộc về tổ chức. Việc dò quét chủ động có thể được sử dụng để đánh giá các chế độ bảo mật tại nơi những thiết bị bluetooth đang hoạt động và độ mạnh của mật khẩu bluetooth. Dò quét chủ động còn có thể được sử dụng để xác định rằng những thiết bị này thiết lập với quyền vận hành thấp nhất có thể để giảm thiểu phạm vi của chúng. Cũng giống như trong mạng không dây, những thiết bluetooth giả mạo khi được phát hiện phải được xử lý theo chính sách và quy trình an toàn của tổ chức. 3.5. MỘT SỐ CÔNG CỤ HỖ TRỢ VIỆC PHÂN TÍCH VÀ XÁC ĐỊNH MỤC TIÊU Để dễ dàng và hiệu quả cho người đánh giá, ngoài các kỹ năng cần thiết thì việc sử dụng các công cụ cũng là một phương tiện hữu ích trong quá trình đánh giá. Dưới đây sẽ giới thiệu về một số công cụ phổ biến sử dụng trong các trường hợp khác nhau của quá trình đánh giá: 3.5.1. Công cụ khám phá mạng  Traceroute (tracert) Cách dễ nhất để xác định một bộ định tuyến là thực hiện một traceroute tới địa chỉ IP hoặc tên miền của mục tiêu. Hop cuối cùng trước server, đặc biệt web server thường là bộ định tuyến. Tuy nhiên, điều này không phải lúc nào cũng xảy ra, bởi vì hầu hết các tổ chức chú trọng an ninh sẽ hạn chế khả năng sử dụng traceroute vào mạng của họ. Đôi khi, người đánh giá chỉ có thể xâm nhập 61 vào bộ định tuyến đầu tiên của tổ chức mục tiêu. Ngoài ra nhiều máy trạm có thể sử dụng cân bằng tải, nó gần giống với bộ định tuyến nhưng khác nhau về chức năng. Hình 3.15. Công cụ tracert  DNS Người đánh giá có thể có được toàn bộ cơ sở dữ liệu của hệ thống tên miền (DNS) bằng cách sao chép hành vi của một máy thứ cấp và yêu cầu truyền dữ liệu từ máy chủ xuống máy thứ cấp. Thao tác này được cho phép, nó có thể dễ dàng tìm ra router bằng cách phân tích tên máy chủ DNS trả lại. Loại thông tin này cũng rất có ích cho những khía cạch khác của kiểm thử thâm nhập, là một hostname và địa chỉ IP kèm theo cũng có thể được trả lại. Hầu hết những máy chủ DNS tốt sẽ được cấu hình chỉ cho phép máy chủ phân giải tên miền thứ cấp thực hiện thao tác này, trong trường hợp này thì các công nghệ và công cụ khác đều có thể thu thập được thông tin DNS. Hình 3.16. Công cụ DNS 62  ICMP Các thiết bị mạng thông thường được cấu hình để phản hổi lại những yêu cầu tem thời gian (timestamp). Hình 3.17 dưới đây hiển thị việc sử dụng công cụ tem thời gian để truy vấn một thiết bị. Trong trường hợp này có thể thấy máy đích đã phản hồi lại truy vấn. Nếu chỉ sử dụng đơn độc một mình nó thì không hiệu quả lắm, nhưng khi sử dụng kết hợp với một số dụng cụ khác thì nó có thể xác định được danh tính của thiết bị. Hình 3.17. Yêu cầu tem thời gian ICMP  IKE-SCAN Thiết bị mạng riêng ảo sử dụng giao thức IKE (Internet Key Exchange) để xây dựng một đường hầm mã hóa có thể được coi là sử dụng IKE-scan, một công cụ được tạo bởi NTA một công ty bảo mật Châu Âu và có thể tải trên http://www.nta-monitor.com/tools/ike-scan/. Ứng dụng này có thể xác định việc triển khai IKE của một số nhà cung cấp, bao gồm cả từ Checkpoint, Microsoft, Cisco, Watchguard và Nortel. Hình 3.18 hiển thị lệnh quét mặc định: Cách sử dụng ike-scan: ike-scan [options] [hosts] Trong đó : [options] là một trong những tùy chọn dưới đây (có thể tra cứu về nhiều tùy chọn hơn khi sử dụng - -help): 63 - -help – Hiển thị trợ giúp - -file [filename] – đọc danh sách các máy chủ từ một tập tin - -sport [port] – sử dụng cổng UDP để gửi yêu cầu - -verbose [13] – thiết lập mức Set verbosity - -aggressive – sử dụng chế độ IKE Aggressive - -randomize – tạo danh sách máy chủ ngẫu nhiên để quét Hình 3.18. Quét IKE Khi thiết bị mạng riêng ảo được cấu hình để sử dụng chế độ linh hoạt (Aggrassive mode) nó rất dễ bị tấn công trên PSK (pre-shared key), do đó việc nhận dạng những thiết bị mạng riêng ảo được cấu hình sử dụng phương pháp trên là rất quan trọng. Hình 3.19 hiển thị việc phát hiện ra một thiết bị mạng riêng ảo sử dụng chế độ linh hoạt. Hình 3.19. Quét linh hoạt IKE 64  SNMP Net-SNMP là tập hợp các chương trình được cho phép tương tác với dịch vụ SNMP. Tiện ích snmpwalk và snmpenum có thể được sử dụng để hiển thị dữ liệu SNMP từ một hệ thống hoặc một thiết bị mạng. Snmpset cho phép thiết lập các đối tượng MIB, mà về cơ bản có thể cấu hình lại các thiết bị. Ngoài ra, công cụ SNMP có trên http://www.remote-exploit.org, có thể sử dụng như một công cụ GUI cung cấp phương pháp point-and-click của walking the MIB. Walking the MIB của một Cisco router cung cấp cho người đánh giá rất nhiều thông tin bao gồm:  Bảng định tuyến  Cấu hình của tất cả các giao diện  Hệ thống thông tin liên lạc  Cổng mở.  Finger Nếu dịch vụ Finger chạy trên một router, thì hoàn toàn có thể truy vấn dịch vụ để xác định xem ai đã đăng nhập vào thiết bị. Khi đã tìm được một username thì người thử nghiệm thâm nhập có thể bắt đầu dùng tấn công đoán mật khẩu theo kiểu vét cạn nếu một dịch vụ đăng nhập như Telnet hoặc SSH đang chạy (như trong Hình 3.20) Hình 3.20. Finger 65 3.5.2. Công cụ xác định cổng và dịch vụ mạng  Nmap Nmap (Network Mapper) là một công cụ dò quét được phát triển bởi Gordon Lyon (hay còn được biết đến với tên gọi Fyodor Vaskovick). Nó được sử dụng để phát hiện ra các máy tính và các dịch vụ đang hoạt động trên mạng, từ đó tạo ra một “bản đồ” mạng. Để làm việc này, Nmap sẽ gửi các gói tin đến mục tiêu và phân tích kết quả trả về. Nmap cung cấp rất nhiều các tính năng cho phép thăm dò hệ thống mạng, bao gồm khám phá các máy chủ và phát hiện các dịch vụ, hệ điều hành đang hoạt động. Ngoài các tính năng chính, Nmap còn có thêm một số tính năng mở rộng cho phép phát hiện các dịch vụ cao cấp hơn, phát hiện lỗ hổng, và các tính năng khác. Nmap cũng có khả năng thích nghi với điều kiện mạng bao gồm trễ và tắc nghẽn trong quá trình quét. Nmap đang được phát triển và hoàn thiện bởi cộng đồng người dùng trên toàn thế giới. Nmap ban đầu chỉ được phát triển trên nền tảng Linux, sau đó được mở rộng tới nhiều nền tảng hệ điều hành khác nhau như Windows, Solaris, Mac OS… và phát triển thêm phiên bản giao diện người dùng (zenmap). Hình 3.21. Công cụ dò quét cổng Nmap 66 Các chức năng chính của Nmap:  Khám phá mạng: Xác định các host trên mạng. Ví dụ như phát hiện danh sách các máy chủ, máy trạm đang hoạt động dựa trên việc phản hồi lại các yêu cầu TCP, ICMP hoặc có một số cổng cụ thể mở.  Quét cổng: Liệt kê các cổng mở trên các mục tiêu cụ thể  Phát hiện phiên bản: Xác định tên ứng dụng và số phiên bản của ứng dụng  Phát hiện hệ điều hành: Xác định hệ điều hành đang hoạt động và các đặc tả phần cứng của các thiết bị mạng  Chạy các script đặc biệt: Sử dụng NSE (Nmap Scripting Engine) và ngôn ngữ lập trình Lua Ngoài ra, Nmap còn có thể cung cấp thêm các thông tin về mục tiêu, bao gồm tên miền ngược, loại thiết bị, địa chỉ MAC. Thông thường, người đánh giá có thể sử dụng Nmap trong các trường hợp:  Kiểm toán an ninh của một thiết bị hoặc tường lửa bằng cách xác định các kết nối mạng có thể được thực hiện, hoặc thông qua nó.  Xác định các cổng mở trên một máy chủ mục tiêu chuẩn bị cho kiểm thử.  Kiểm kê mạng, lập bản đồ mạng, bảo trì và quản lý tài sản.  Kiểm toán an ninh của một mạng bằng cách xác định các máy chủ mới.  Tạo lưu thông đến các host trên một mạng, phân tích các phản hồi và thời gian phản hồi.  Tìm và khai thác các điểm yếu trên mạng. Nmap có thể quét trong cả TCP và UDP. Để tiến hành quét cổng TCP, chỉ cần nhập vào lệnh sau đây: nmap hostname (hoặc địa chỉ IP) 67 Ví dụ:  Quét 1 địa chỉ IP: nmap 192.168.1.1  Quét 1 dải địa chỉ IP: nmap 192.179.1.0/24  Quét 1 domain: nmap google.com.vn  Quét 1 danh sách các mục tiêu từ 1 file: nmap -iL mụctiêu.txt Để thực hiện khám phá mạng, Nmap sử dụng một số kỹ thuật sau:  TCP SYN Ping:–PS <danh sách cổng>  TCP ACK Ping: –PA <danh sách cổng>  UDP Ping: –PU <danh sách cổng>  ARP Ping (sử dụng trong mạng LAN): -PR  ICMP type 8 (echo request): -PE  ICMP type 13 (timestamp request): -PP  ICMP type 17(Address mask request): -PA Khi gửi các gói tin trên tới 1 cổng của mục tiêu nếu nmap nhận được phản hồi (có thể là SYN-ACK, RST, các gói tin ICMP) thì nmap sẽ coi host đó tồn tại trong mạng, không quan tâm đến trạng thái của port. Nếu không nhận được gói tin phản hồi thì nmap sẽ coi là host không tồn tại. Mặc đinh nmap sử dụng gói tin ICMP echo request, ICMP timespam request, TCP SYN to port 443, TCP ACK to port 80, tương đương với: –PE –PP –PS443 –PA80 Ví dụ: E:\Pentest\nmap\nmap -sn -n -T4 173.252.120.0/20 Nmap done: 4096 IP addresses (137 hosts up) scanned in 102.32 seconds Sử dụng tùy chọn –sn (no port scan) để thực hiện quá trình host discovery (nmap sẽ dừng lại sau khi xác định các host đang chạy và không thực hiện việc 68 quét port). Tùy chon –Pn để bỏ qua host discovery nmap sẽ chuyển qua quá trình quét port. Các kỹ thuật quét cổng được sử dụng trong Nmap:  TCP SYN scan (-sS): nmap gửi một gói tin TCP-SYN tới 1 port của mục tiêu. Nếu nhận được ACK_SYN thì port đó đang ở trạng thái mở (open), nmap sẽ gửi gói tin RST để đóng kết nối thay vì gửi ACK để hoàn tất quá trình bắt tay 3 bước (vì thế kỹ thuật này còn được gọi là half open scan). Nếu nhận được RST thì port đó ở trạng thái đóng (close). Nếu sau 1 số lần gửi mà không nhận được trả lời hoặc nhận được ICMP type 3 (unreachable error) thì port đó ở trạng thái filtered (đã bị firewall chặn).  TCP connect scan (-sT): Kỹ thuật này cho kết quả tương tự như TCP SYN scan, nếu nhận được ACK-SYN nmap sẽ gửi gói tin ACK để hoàn tất quá trình bắt tay 3 bước. TCP connect scan được dùng khi user không có quyền truy cập raw packet để thực hiện SYN scan (thường thì với quyền root trên linux mới có thể sử dụng SYN scan). TCP connect scan sẽ sử dụng TCP stack của hệ điều hành để tạo ra 1 kết nối bình thường với mục tiêu, do thực hiện 1 kết nối đầy đủ nên kỹ thuật này dễ bị phát hiện bởi hệ thống log của mục tiêu do đó SYN scan thường được sử dụng nhiều hơn để tránh bị phát hiện.  UDP scan (-sU): nmap gửi gói tin UDP tới 1 port của mục tiêu nếu nhận được gói tin ICMP port unreachable error (type 3, code 3) thì port đó ở trạng thái close. Nếu nhận được ICMP unreachable errors (type 3, codes 1, 2, 9, 10, or 13) thì port đó ở trạng thái filtered. Nếu không nhận được gì thì port ở trạng thái open|filtered. Nếu nhận được gói tin UDP thì port đó ở trạng thái open.  TCP NULL, FIN, and Xmas scans (-sN, -sF, -sX): đây là kỹ thuật sư dụng các gói tin TCP với:  Không có cờ nào được bật 69  Cờ FIN được bật  Cờ FIN, PSH và URG được bật 3 kỹ thuật này được gộp chung vào 1 nhóm vì chúng cho kết quả giống nhau. Khi 3 loại gói tin này được gửi đi nếu nhận được RST thì port ở trạng thái close, nếu nhận được các loại gói tin ICMP (type 3, code 1, 2, 3, 9, 10, or 13) thì port ở trạng thái filtered, còn nếu không nhận được gói tin trả lời thì port ở trạng thái open|filtered  TCP ACK scan (-sA): Khác với các kỹ thuật trước, kỹ thuật này không dùng để kiểm tra trạng thái của các port mà để kiểm tra cấu hình của firewall (port nào bị firewall chặn, port nào không). Trong này gói tin ACK sẽ được gửi nếu nhận được RST thì port đó không bị chặn (unfiltered) nếu không nhận được trả lời hoặc ICMP type 3, code 1, 2, 3, 9, 10, 13 thì port đó bị firewall chặn (filtered).  Ngoài ra nmap còn có 1 số tùy chọn với các kỹ thuật khác nâng cao (-sY,-sM, -sO, -sZ, -sI) có thể tham khảo thêm tại: http://nmap.org/book/man-port-scanning-techniques.html Mặc định nmap sẽ quét 1000 port phổ biến nhất (xem tại file nmapservice) với thứ tụ ngẫu nhiên. Tuy nhiên có thể sử dụng tùy chọn –p để lựa chọn chính xác các cổng cần quét. Nếu quét đồng thời nhiều giao thức thì thêm các chữ cái đứng trước số port T: TCP, U: UDP, S: SCTP, hoặc P: IP Protocol. Ví dụ: Hình 3.22. Ví dụ quét cổng với Nmap 70 Trong trường hợp này nmap sẽ quét các cổng UDP 53 và 4000, quét các cổng TCP 444, từ 1 đến 100, từ 8000 đến 8010 bằng kỹ thuật SYN scan. Các tùy chọn khác:  Tùy chon –F (fast scan): nmap quét 100 cổng phổ biến nhất thay vì mặc định 1000 cổng.  Tùy chọn –top-ports: quét n cổng phổ biến nhất.  Tùy chọn –r: thứ tự quét các cổng từ thấp lên cao thay vì mặc định là ngẫu nhiên. Mặc định sau khi quét các cổng, nmap sẽ xác định dịch vụ đang chạy trên các cổng dựa vào file nmap-services (các cổng mặc định của từng dịch vụ). Tuy nhiên một số máy chủ cấu hình các dịch vụ không chạy trên các cổng mặc định. Để xác định rõ cổng nào chạy dịch vụ nào nmap sử dụng tùy chọn –sV. Với tùy chọn này nmap sẽ xác định được dịch vụ và phiên bản phần mềm chạy trên từng cổng dựa vào banner khi kết nối với cổng đó Hình 3.23. Các cổng và dịch vụ tương ứng Nmap xác định dựa trên cổng mặc định Hình 3.24. Các cổng và dịch vụ, phiên bản phần mềm Nmap xác định khi có tùy chọn -sV Ở trên nmap xác định cổng 444 chạy https thay vì mặc định snpp. 71 Nmap hỗ trợ việc xác định hệ điều hành bằng tùy chọn –O. Nmap xác định hệ điều hành dựa trên TCP/IP stack fingerprint của mục tiêu (ví dụ như sequence number, window size, các tùy chọn và thứ tự của chúng trong TCP header, identification number trong IP header, …). Có thể tham khảo thêm tại: http://nmap.org/book/man-os-detection.html Nmap Scripting Engine (NSE) là một trong những chức năng linh hoạt và mạnh mẽ nhất của Nmap. Nó cho phép người dùng viết và chia sẻ những đoạn script đơn giản để thực hiện những công việc khác nhau trong lĩnh vực mạng một cách tự động. Những đoạn script có thể sử dụng để phát hiện các lỗ hổng, thậm chí khai thác các lỗ hổng. Các script (.nse file) nằm trong thư mục script khi cài đặt nmap, người dùng có thể tùy biến chỉnh sửa, thêm các scirpt khác. Để thực hiện chức năng này của nmap sử dụng tùy chọn: –script <filename>|<category>|<directory>|<expression>[,…] Đọc thêm tại: http://nmap.org/book/nse-usage.html#nse-categories Hình 3.25. Kịch bản traceroute theo geoIP 72 Hình 3.26. Phát hiện lỗ hổng MS08-067 trên cổng 445 của Windows XP Cuối cùng Nmap cho phép người dùng có thể lưu lại kết quả quét của mình dưới dạng text hoặc xml (có thể dùng kết quả làm đầu vào cho một số công cụ khác) với các tùy chọn: -oN (normal output) -oX (xml output)  ASS Autonomous System Scanner (ASS) là một công cụ trong IRPAS (Internetwork Routing Protocol Attack Suite) có trên http://www.phenoelitus.org/irpass/ thực hiện thụ động hoặc chủ động thu thập thông tin giao thức định tuyến. Nó hỗ trợ phần lớn giao thức định tuyến và có thể cung cấp những thông tin hữu ích trên giao thức như:  CDP - Cisco Discovery Protocol  IRDP - ICMP Router Discovery Protocol  IGRP - Interior Gateway Routing Protocol và EIGRP - Enhanced Interior Gateway Routing Protocol  OSPF - Open Shortest Path First  HSRP - Hot Standby Routing Protocol  DHCP - Dynamic Host Configuration Protocol Cách sử dụng ASS: ass [tùy chọn] Các trường nhập: 73 [tùy chọn ] là một trong những tùy chọn sau: -h – hiển thị các tùy chọn (nhiều thông tin hơn có thể được tìm thấy khi sử dụng man ass) -i [giao diện] – chọn giao diện để quét -v – chế độ Verbose -A – chế độ quét Active -P [giao thức] – chọn giao thức để quét -M - hệ thống EIGRP được quét bằng cách sử dụng địa chỉ multicast và không liệt kê bởi Hello và truy vấn trực tiếp -a [autonomous system] - Autonomous system bắt đầu từ -b [autonomous system] - Autonomous system dừng lại với -S [IP] - Spoof địa chỉ IP được xác định -D [IP] - Được sử dụng để xác định một địa chỉ đích thay vì sử dụng địa chỉ thích hợp cho mỗi giao thức -P – Không chạy trong chế độ promiscuous -c – chấm dứt sau khi quét -T [delay] – hoãn quét Hình 3.27. Quét giao thức định tuyến 74 Hình 3.27 cho thấy ASS trong chế độ Active nơi nó nghe một cách thụ động và chủ động thăm dò tất cả những giao thức khi nhảy qua những chuỗi AS (Autonomous System). Ví dụ, hai thiết bị chạy hai giao thức CDP và HSRP. Trước khi chúng ta thực hiện tấn công vào thiết bị mạng, đầu tiên là phải nhận dạng giao thức. Những thông tin cụ thể của từng giao thức được hiển thị. ASS hữu dụng nhất trong một đánh giá mạng nội bộ để xác định tổ chức đích sử dụng loại giao thức định tuyến nội bộ nào. 3.5.3. Công cụ dò quét lỗ hổng bảo mật  Nessus Nessus là một trong những công cụ dò quét lỗ hổng bảo mật phổ biến nhất được phát triển bởi Tenable Network Security. Nessus có các phiên bản cho những người sử dụng khác nhau. Phiên bản miễn phí là Nessus Home được thiết kế để sử dụng cho các cá nhân để dò quét điểm yếu tại nhà, ngoài ra các phiên bản cao cấp hơn (không miễn phí) sử dụng cho một người, nhiều người để dò quét hệ thống mạng doanh nghiệp nên sẽ có thêm các tính năng mở rộng (như kiểm toán, kiểm thử về tính tuân thủ, các kịch bản phát hiện điểm yếu chi tiết hơn, …). Các phiên bản này có thể tải về tại: https://www.tenable.com/products/nessus/select-your-operating-system Hình 3.28. Công cụ dò quét lỗ hổng bảo mật Nessus 75 Nessus có một kiến trúc module bao gồm các máy chủ tập trung quản lý quét, và các client từ xa cho phép người quản trị kết nối tới các máy chủ tập trung. Các tính năng chính của Nessus bao gồm:  Tương thích với mọi máy tính và máy chủ;  Phát hiện các lỗ hổng an ninh tại vị trí cục bộ (local) hoặc từ xa (remote);  Phát hiện các bản cập nhật hoặc bản vá an ninh còn thiếu;  Mô phỏng các tấn công để xác định các lỗ hổng;  Thực thi các kiểm thử an ninh trong một môi trường cụ thể;  Lập lịch trình kiểm toán an ninh. Nessus cho phép dò quét các kiểu lỗ hổng như:  Lỗ hổng cho phép kẻ tấn công từ xa kiểm soát hoặc truy cập tới các dữ liệu nhạy cảm trên hệ thống;  Lỗi cấu hình (ví dụ: open mail relay, missing patches, …)  Mật khẩu mặc định, mật khẩu phổ biến, mật khẩu rỗng trên một số các tài khoản hệ thống. Nessus cũng cho phép gọi tới Hydra (một công cụ mở rộng khác) để thực thi tấn công từ điển.  Từ chối dịch vụ đối với ngăn xếp TCP/IP bằng cách sử dụng các gói dữ liệu bị thay đổi;  Chuẩn bị cho các kiểm toán PCI DSS. Ban đầu, Nessus chứa hai thành phần chính là Nessusd, Nessus daemon để thực hiện chức năng quét và Nessus, client để kiểm soát quét và thể hiện các kết quả dò quét cho người sử dụng. Các phiên bản sau của Nessus ( từ phiên bản 4 trở đi) sử dụng một máy chủ web cung cấp các chức năng tương tự như client. Khi thực hiện dò quét, Nessus sẽ bắt đầu bằng việc quét cổng với một trong 4 công cụ quét có sẵn để phát hiện ra các cổng mở trên hệ thống, sau đó dựa trên các cổng mở để thử khai thác các lỗ hổng liên quan. Tiếp theo Nessus thực hiện dò quét các lỗ hổng dựa trên các điểm yếu trên hệ điều hành sử dụng 76 NASL (Nessus Attack Scripting Language), một ngôn ngữ kịch bản được tối ưu hóa cho việc dò quét lỗ hổng của Nessus. Kết quả dò quét có thể được trích xuất ra nhiều định dạng khác nhau, như: văn bản gốc, XML, HTML và LaTeX. Các kết quả này cũng có thể được lưu trong một cơ sở kiến thức để phục vụ cho mục đích gỡ lỗi (debug). Nếu người dùng lựa chọn tùy chọn vô hiệu hóa tính năng kiểm tra an toàn “safe checks”, một số kịch bản kiểm thử của Nessus có thể làm cho hệ thống hoặc dịch vụ bị ngừng trệ. Tuy nhiên việc này cho phép người kiểm thử có thể kiểm tra thiết bị trước khi đưa nó vào sản xuất. Nessus cũng cung cấp thêm một số chức năng bổ sung ngoài chức năng chính là kiểm tra các lỗ hổng mạng đã biết. Ví dụ, nó có thể sử dụng thông tin của Windows để kiểm tra những bản vá lỗi trên các máy tính chạy hệ điều hành Windows, và có thể thực hiện kiểm toán mật khẩu sử dụng phương pháp tấn công từ điển hoặc brute force. Phiên bản Nessus 3 và sau này cũng có thể kiểm tra hệ thống để đảm bảo rằng chúng đã được cấu hình cho mỗi một chính sách cụ thể, chẳng hạn như hướng dẫn của NSA để làm cứng hóa các máy chủ Windows. Chức năng này sử dụng các thuộc tính của Tenable để kiểm toán nội dung các file hoặc SCAP.  OpenVAS OpenVAS (Open Vulnerability Assessment System) là một công cụ mã nguồn mở cho phép thực hiện dò quét và quản lý các lổ hổng. OpenVAS có hơn 45000 kịch bản để xác định các lỗ hổng liên quan đến hệ điều hành, ứng dụng dịch vụ. Tất cả các sản phẩm OpenVAS đều là phần mềm miễn phí. Có thể tải OpenVAS về tại địa chỉ: http://www.openvas.org/download.html 77 Hình 3.29. Công cụ dò quét lỗ hổng bảo mật OpenVAS Các chức năng chính của OpenVAS:  Dò quét các hệ thống trên mạng để phát hiện ra các lỗ hổng an ninh;  Quản lý và cập nhật các luật quét hỗ trợ cho việc dò quét;  Tạo báo cáo dựa trên kết quả dò quét;  Lập lịch quét định kỳ;  Tương tác với các hệ thống thông qua giao diện dòng lệnh, giao diện GUI hoặc giao diện Web. Hầu hết các thành phần đã được cấp phép theo GNU GPL (GNU General Public License) Hình 3.30. Cấu trúc của OpenVAS 78  Acunetix Web Vulnerability Scanner Acunetix WVS là một công cụ phổ biến hỗ trợ dò quét lỗ hổng bảo mật cho các ứng dụng Web. Acunetix WVS có một cơ sở dữ liệu rộng lớn được cập nhật thường xuyên, với các thuật toán heuristic đáp ứng được các cơ chế họat động phức tạp của môi trường Web. Nó có thể tự động kiểm tra các lổ hỗng thông dụng như Cross Site Scripting, SQL Injection và các mối nhạy cảm khác của những website có thể truy cập bằng trình duyệt, hay những ứng dụng được xây dựng trên các kỹ thuật tiên tiến như AJAX. Hình 3.31. Công cụ dò quét lỗ hổng ứng dụng Web Acunetix WVS Các chức năng chính của Acunetix WVS:  Khai thác toàn bộ cấu trúc website gồm tất cả các liên kết trên site và cả trong tập tin robots.txt sau đó hiển thị một cách chi tiết dưới dạng sơ đồ hình cây.  Tự động phát động các điểm yếu trên ứng dụng web dựa trên danh các mẫu thử có sẵn và phân tích các liên kết để cho ra kết quả về các thông tin về các điểm yếu tương ứng với các liên kết trên ứng dụng web.  Tự động thông báo trên các “Alerts Node”, mỗi alert gồm các thông tin về lỗi cũng như các mối nguy hiểm có thể gặp phải đồng thời có các khuyến nghị để khắc phục điểm yếu. 79 Sau khi tiến trình kiểm tra hoàn tất, chương trình cho phép lưu lại thành một tập tin để phân tích sau này, với công cụ báo cáo chuyên nghiệp sẽ giúp cho các web master dễ dàng tổng hợp các kết quả kiểm tra khác nhau trên ứng dụng web của mình.  IBM Rational AppScan AppScan là một công cụ dò quét lỗ hổng bảo mật ứng dụng Web thương mại của hãng IBM. Đây là một công cụ rất hữu ích khi thực hiện đánh giá an toàn cho Web. Nó có thể tự động dò quét các ứng dụng Web để kiểm tra, phát hiện các điểm yếu và phân loại theo các mức độ nguy hại khác nhau, đồng thời đưa ra các khuyến nghị khắc phục điểm yếu một cách chi tiết. Hình 3.32. Công cụ dò quét lỗ hổng ứng dụng Web IBM Rational AppScan Các tính năng chính của IBM Rational AppScan:  Tìm kiếm và phát hiện các lỗi về bảo mật trong mã nguồn từ sớm trong quá trình phát triển phần mềm. Phân loại lỗi, cung cấp các thông tin chi tiết về lỗi và các khuyến nghị về việc sửa lỗi.  Hỗ trợ các ứng dụng phức tạp được phát triển bằng nhiều ngôn ngữ khác nhau như Java, C/C++, .Net, PHP,... cũng như nhiều framework và các thư viện khác nhau.  Phát triển dựa trên các chuẩn CERT, NIST, OWASP, CVE/CWE 80  Phiên bản cho developer có khả năng tích hợp với các IDE như Rational Application Developer, Visual Studio, Eclipse, thực hiện việc quét ứng dụng và đưa ra các khuyến nghị để sửa lỗi trên chính IDE.  Cung cấp khả năng phân tích nâng cao theo luồng dữ liệu (Data Flow), luồng điều khiển (Control Flow) và phân tích theo ngữ cảnh (Contextual Analysis)  Cung cấp khả năng tích hợp với các công cụ build để quét các lỗ hổng trong quá trình build như khảnăng tích hợp với Ant, hay Maven.  Quản lý lỗi và người dùng tập trung, cung cấp các báo cáo và các bảng tin chi tiết, dễ hiểu, các so sánh về mức độ an toàn bảo mật giữa các ứng dụng, theo dõi tiến độ phát triển, kiểm soát tình hình sửa lỗi và quản lý các rủi ro.  Cung cấp các báo cáo tương thích với các chuẩn công nghiệp như OWASP, PCI-DSS  Cung cấp các cảnh báo về lỗi của ứng dụng dựa trên rule-based  Cung cấp các kiến thức về bảo mật và các lỗ hổng bảo mật cho ứng dụng.  Nikto Nikto là một công cụ viết bằng Perl có chức năng thực hiện kiểm tra phát hiện các lỗ hổng tồn tại trên các máy chủ Web. Nikto thường được sử dụng trong các thử nghiệm xâm nhập ứng dụng Web. Đặc biệt nếu một người quản trị hệ thống có không cấu hình tốt máy chủ web hoặc cấu hình sai thì Nikto hoàn toàn có thể tìm thấy chúng. Hiện tại, Nikto là một trong những công cụ đánh giá ứng dụng Web mã nguồn mở tự động được mọi người ưa thích và đánh giá cao. Để thực hiện quét ứng dụng Web bằng Nikto, có thể sử dụng các tùy chọn mặc định kết hợp với một địa chỉ IP hoặc tên miền. Dòng lệnh này sẽ là nikto.pl –h [host]. Hình 3.33 cho thấy kết quả của một mẫu quét. 81 Hình 3.33. Quét ứng dụng Web với Nikto Từ kết quả thu được người đánh giá có thể tìm thấy một số chi tiết về máy chủ quét. Đầu tiên, Nikto xác định thông tin phiên bản server và thực hiện một scan cơ bản cho thư mục CGI và robots.txt. Chi tiết phiên bản của máy chủ web và plug-in liên quan có thể sử dụng để xác định xem phiên bản của những phần của phần mềm tồn tại trên máy chủ web có bị tổn thương. Ngoài ra, Nikto quét và xác định một số thư mục mặc định như “/config/” hoặc “/admin/” cũng như các tệp tin mặc định như “test-cgi”. Nhiều lựa chọn bổ sung tồn tại để điều chỉnh quét của chúng với Nikto. Ví dụ, có thể sử dụng lựa chọn –p để chọn port cụ thể để quét hoặc bao gồm một tiền tố giao thức (như https://) trong tên host. Danh sách các tùy chọn hợp lệ có thể xem thêm tại http://cirt.net/nikto2-docs/options.html. Dưới đây là một ví dụ sử dụng Nikto với một số lựa chọn để quét ứng dụng Web: 82 Hình 3.34. Sử dụng Nikto quét với các tùy chọn Kết quả thu được: Hình 3.35. Kết quả quét với Nikto 83  Grendel-Scan Grendel-Scan là một công cụ khác, giống Nikto, tự động rà soát những lỗ hổng của ứng dụng web. Phần mềm này có thể tải ở trang http://grendelscan.com và được thiết kế trên đa nền tảng sử dụng Java vì thế có thể chạy trên nhiều hệ điều hành khác nhau. Khi chạy, phần mềm hiển thị trên một giao diện người dùng cho phép lựa chọn một số tinh chỉnh bao gồm các đường dẫn URL để rà soát, số nguy cơ bảo mật, chi tiết báo cáo, lựa chọn bảo mật, và các phần để kiểm thử. Với GrendelScan, các tác vụ kiểm thử được mô đun hóa vì thế có thể lựa chọn chính xác kiểu lỗ hổng bảo mật muốn tìm kiếm. Một số ví dụ đánh giá là liệt kê file, quét lỗi XSS và SQL. Các tác vụ này thực tế không dùng để khai thác lỗ hổng bảo mật, nhưng nó sẽ giúp người đánh giá biết được máy chủ có thể có nguy cơ bị tấn công nào. Một đặc trưng khác của Grendel-Scan là tính năng proxy server. Điều này giúp cho người đánh giá có thể bắt được những yêu cầu bằng lệnh và thay đổi chúng nếu cần thiết. Ngay cả khi đang không dùng proxy để thay đổi dữ liệu, công cụ cũng cho phép sử dụng để chặn thông tin trên nhiều biến được chuyển qua cookies hay biến POST. Ví dụ về quét điểm yếu ứng dụng Web với Grendel-Scan: Hình 3.36. Quét điểm yếu ứng dụng Web với Grendel-Scan 84 Từ kết quả được hiển thị như trên, có thể thấy ứng dụng web này có lỗ hổng bảo mật CSRF (Cross-Site Request Forgery). Khi đã phát hiện được lỗ hổng bảo mật này với Grendel-Scan, người đánh giá có thể tiếp tục khai thác lỗ hổng đã được phát hiện hoặc sử dụng các công cụ khác để khai thác. Một vấn đề quan trọng cần nhớ đối với Grendel-Scan là giống như nhiều phần mềm rà soát tự động khác, nó thực thi tất cả các mã lệnh và gửi tất cả các yêu cầu nó có thể tìm thấy. Điều này có thể gây nhiều thông tin không cần thiết trong file log, giống như Nikto. Nếu như có một yêu cầu hay trang có thể gây hại cho trang web, người đánh giá có thể thêm ghi chú vào danh sách URL cấm trước khi rà soát. Ví dụ, khi sử dụng ứng dụng Damn Vulnerable Web Application (DVWA) ISO để đánh giá, tốt nhất là nên liệt kê vào danh sách cấm những trang cho phép cơ sở dữ liệu DVWA khởi động lại. 3.6. TỔNG KẾT Bảng dưới đây sẽ tóm tắt lại các vấn đề chính trong việc phân tích và xác định mục tiêu được thảo luận trong chương này: Bảng 6: Các kỹ thuật phân tích và xác định mục tiêu Tính năng Kỹ thuật  Phát hiện các thiết bị đang hoạt động Khám phá mạng  Xác định các đường kết nối và tạo điều kiện xác định cấu trúc mạng  Phát hiện ra các thiết bị đang hoạt động Xác định cổng và  Phát hiện ra các cổng mở và các ứng dụng/ dịch vụ dịch vụ mạng liên quan.  Xác định các máy và các cổng mở Dò quét lỗ hổng bảo mật  Xác định các lỗ hổng tồn tại (lưu ý: có thể có các cảnh báo nhầm)  Thường đưa ra các lời khuyên cho việc khắc phục các lỗ hổng đã phát hiện được Dò quét mạng không  Xác định các thiết bị không dây trái phép nằm trong 85 dải không dây được quét dây  Phát hiện ra các tín hiệu không dây bên ngoài phạm vi hệ thống mạng đánh giá  Phát hiện ra các backdoor và các lỗ hổng an ninh tiềm tàng khác Có những rủi ro gắn liền với mỗi kỹ thuật và sự kết hợp của các kỹ thuật. Để đảm bảo tất cả mọi việc đều được thực hiện một cách an toàn và chính xác, mỗi người đánh giá cần phải có những kỹ năng cơ bản. Bảng dưới đây cung cấp những gợi ý về các kỹ năng tối thiểu cần thiết cho mỗi kỹ thuật được sử dụng: Bảng 7: Các kỹ năng cần thiết cho việc phân tích và xác định mục tiêu Kỹ thuật Các kỹ năng cơ bản  Có kiến thức về mạng và giao thức TCP/IP; Khám phá mạng  Có khả năng sử dụng các công cụ khám phá mạng cả theo cơ chế thụ động lẫn chủ động.  Có kiến thức về mạng và giao thức TCP/IP;  Có sự hiểu biết về các cổng và giao thức với các hệ Xác định cổng và điều hành khác nhau; dịch vụ mạng  Có khả năng sử dụng các công cụ dò quét cổng và có khả năng trích xuất, đọc kết quả báo cáo từ các công cụ dò quét tự động.  Có kiến thức về mạng và giao thức TCP/IP; Dò quét lỗ hổng bảo mật  Có sự hiểu biết về các cổng, giao thức, dịch vụ, và điểm yếu trên các hệ điều hành khác nhau;  Có khả năng sử dụng các công cụ dò quét lỗ hổng bảo mật tự động và trích xuất/ phân tích kết quả.  Có kiến thức về tính toán và truyền sóng; Dò quét mạng không  Có các kiến thức về giao thức, dịch vụ và cấu trúc dây hệ thống mạng không dây; 86  Có khả năng sử dụng các công cụ dò quét mạng không dây tự động. 3.7. BÀI TẬP 1. Thực hành thu thập thông tin và khám phá mạng. 2. Thực hành xác định cổng và dịch vụ mạng. 3. Thực hành dò quét lỗ hổng bảo mật trên các hệ điều hành khác nhau. 4. Thực hành dò quét lỗ hổng bảo mật trên Website. 5. Thực hành dò quét mạng không dây. 87 Chương 4 XÁC ĐỊNH ĐIỂM YẾU MỤC TIÊU Phần này đề cập tới các kỹ thuật xác định điểm yếu mục tiêu, trong đó sử dụng các thông tin nhận được từ việc phân tích và xác định mục tiêu để khám phá ra sự tồn tại của điểm yếu tiềm năng. Mục tiêu là để chứng minh rằng một điểm yếu tồn tại, và để giải thích những rủi ro an ninh khi nó được khai thác. Xác định điểm yếu mục tiêu liên quan tới lượng lớn rủi ro có thể xảy đến khi thực hiện đánh giá bởi vì kỹ thuật này phải tác động trực tiếp đến hệ thống hoặc mạng mục tiêu hơn các kỹ thuật khác. 4.1. BẺ MẬT KHẨU Khi người dùng nhập mật khẩu, một bảng băm của mật khẩu đã nhập được tạo ra và so sánh với một bảng băm của mật khẩu thực tế của người dùng được lưu trữ. Nếu các bảng băm phù hợp có nghĩa là người dùng được chứng thực. Bẻ mật khẩu là quá trình khôi phục mật khẩu từ các bảng băm mật khẩu được lưu trữ trong một máy tính hoặc được truyền qua mạng. Nó thường được xác định trong các quá trình đánh giá để xác định tài khoản với các mật khẩu yếu. Bẻ mật khẩu được thực hiện trên giá trị băm mà bị chặn khi truyền qua mạng hoặc bị lấy ra từ hệ thống mục tiêu với quyền của quản trị viên hoặc truy cập vật lý. Khi các giá trị băm bị thu được, một công cụ bẻ khóa tự động nhanh chóng tạo ra thêm các bảng băm và so sánh đến khi một giá trị phù hợp được tìm thấy. Một phương pháp tạo ra các bảng băm là tấn công từ điển, trong đó sử dụng tất cả các từ trong từ điển hoặc tập tin văn bản. Có rất nhiều bộ từ điển có sẵn trên Internet bao gồm ngôn ngữ chính và phụ, tên người, hoặc các chương trình truyền hình nổi tiếng… Một phương pháp bẻ khóa khác được biết đến như là tấn công lai (hybrid attack), xây dựng trên phương pháp từ điển bằng cách thêm các số và ký tự đặc biệt vào các từ từ điển. Tùy thuộc vào các công cụ bẻ mật khẩu được sử dụng, kiểu tấn công này có thể thử một số biến thể, chẳng hạn sử dụng các thay thế phổ biến của các ký tự và số cho chữ (ví dụ: p@ssword và 88 h4ckme). Một số công cụ cũng sẽ thử thêm ký tự và số vào đầu và cuối các từ trong từ điển (ví dụ: password99, password$%). Phương pháp bẻ mật khẩu mạnh nhất được gọi là phương pháp vét cạn (brute force). Phương pháp này sẽ tạo sinh ra tất cả các mật khẩu có thể với một độ dài nhất định cùng các hàm băm liên quan. Như vậy có thể sẽ phải mất vài tháng, thậm chí vài năm để bẻ một mật khẩu. Mặc dù vậy, nó thường mất ít thời gian hơn so với hầu hết các chính sách mật khẩu chỉ định cho việc thay đổi mật khẩu. Do đó, các mật khẩu được tìm thấy trong quá trình tấn công brute force là vẫn còn quá yếu. Trên lý thuyết, tất cả mật khẩu là "có thể bị phá" từ một cuộc tấn công brute force với một lượng vừa đủ thời gian và năng lực xử lý mặc dù nó có thể phải mất nhiều năm và yêu cầu một sức mạnh tính toán lớn. Thực tế là, người đánh giá và các kẻ tấn công thường có nhiều máy tính để thực hiện các tác vụ bẻ mật khẩu nên việc này cũng không mất quá nhiều thời gian. Một mật khẩu Linux/Unix thường là một mật khẩu mạnh vì nó có độ dài (ít nhất là lớn hơn 10 ký tự) và phức hợp (bao gồm cả chữ hoa và chữ thường, ký tự đặc biệt và số). Việc tạo một mật khẩu mạnh trong Windows thì phức tạp hơn. Các phiên bản Windows trước Windows 2000 sử dụng các bản băm mật khẩu LanMan mà chứa rất nhiều điểm yếu liên quan. Đầu tiên, Lanman không phân biệt hoa thường, tất cả các ký tự chữ cái sẽ được chuyển đổi thành chữ hoa. Điều này làm giảm tính hiệu quả của số lượng các tổ hợp khác nhau của mật khẩu mà một kẻ tấn công có thể thử. Thứ hai, tất cả các mật khẩu được lưu trữ như Lanman gồm hai bản băm với 7 ký tự. Các mật khẩu dài chính xác 14 ký tự sẽ được phân chia thành hai bản băm gồm 7 kí tự. Mật khẩu ít hơn 14 ký tự sẽ được thêm lên đến 14 ký tự. Việc chia tách mật khẩu thành hai bản băm làm cho các mật khẩu Lanman có ít khả năng chống lại tấn công bẻ mật khẩu. Việc bẻ mật khẩu cũng có thể được thực hiện với các bảng cầu vồng, là các bảng tra cứu với các bảng băm mật khẩu tạo trước trong máy tính. Ví dụ, một bảng cầu vồng có thể được tạo ra có chứa tất cả các mật khẩu có thể có cho một sắp xếp ký tự với độ dài ký tự nhất định. Sau đó kẻ tấn công có thể tìm kiếm bảng cho các bảng băm mật khẩu mã mà chúng đang cố gắng để bẻ. Các bảng 89 cầu vồng yêu cầu số lượng lớn không gian lưu trữ và có thể mất một thời gian dài để tạo ra, nhưng thiếu sót chính của chúng là chúng có thể không có hiệu quả chống lại các mật khẩu băm có sử dụng muối (salt). Muối là sự bao gồm một mảnh ngẫu nhiên của các thông tin trong quá trình băm mật khẩu mà làm giảm khả năng của các mật khẩu giống nhau trở về cùng bảng băm. Các bảng cầu vồng sẽ không cho kết quả chính xác mà không cần dùng muối vào tài khoản nhưng điều này làm tăng đáng kể số lượng không gian lưu trữ mà các bảng yêu cầu. Nhiều hệ điều hành sử dụng các cơ chế mật khẩu băm muối để làm giảm hiệu quả của các bảng cầu vồng và các hình thức bẻ mật khẩu. Hiện có rất nhiều công cụ hỗ trợ cho việc bẻ mật khẩu, điển hình trong số đó như: Cain and Abel, John the Ripper, THC Hydra, Medusa, L0pht Crack, OphCrack, … Các công cụ bẻ mật khẩu cần được chạy hàng tháng trên hệ thống hoặc thậm chí liên tục để đảm bảo các tổ hợp mật khẩu chính xác trong một tổ chức. Những hành động sau đây cần được thực hiện nếu một số lượng lớn các mật khẩu có thể bị bẻ khóa:  Nếu các mật khẩu bị bẻ khóa đã được lựa chọn theo chính sách, thì chính sách này cần được sửa đổi để giảm tỷ lệ mật khẩu có thể bị bẻ khóa. Nếu việc sửa đổi chính sách như vậy dẫn đến việc người dùng phải viết ra mật khẩu của họ vì họ gặp khó khăn trong việc ghi nhớ mật khẩu, thì tổ chức nên cân nhắc việc thay thế phương pháp xác thực mật khẩu bằng một hình thức xác thực khác.  Nếu các mật khẩu bị bẻ khóa không được chọn theo chính sách, thì người sử dụng nên được chỉ dẫn về tác động có thể có của việc lựa chọn mật khẩu yếu. Nếu điều này bị vi phạm bởi những người dùng cố chấp, thì người quản lý nên xem xét các bước bổ sung (đào tạo bổ sung, áp dụng phần mềm quản lý mật khẩu, từ chối truy cập, v.v) để đạt được sự tuân thủ của người dùng. Nhiều nền tảng máy chủ cũng cho phép người quản trị hệ thống thiết lập độ dài mật khẩu và độ phức tạp tối thiểu.  Trên các hệ thống hỗ trợ bộ lọc mật khẩu, các bộ lọc này cần được thiết lập buộc phải sử dụng mật khẩu mạnh, và điều này có thể làm 90 giảm khả năng bẻ mật khẩu. Các mật khẩu dù mạnh thế nào cũng thường được gửi dưới dạng rõ qua mạng, do đó tổ chức nên chuyển sang sử dụng các phương thức xác thực mạnh hơn. 4.2. KIỂM THỬ XÂM NHẬP Kiểm thử xâm nhập (penetration testing) là kiểm tra độ an toàn của hệ thống thông tin, trong đó người đánh giá bắt chước các tấn công thực tế để phá vỡ các tính năng bảo mật của ứng dụng, hệ thống hoặc mạng. Nó thường liên quan đến vụ tấn công thực trên hệ thống và dữ liệu thực mà sử dụng các công cụ và kỹ thuật thường được sử dụng bởi những kẻ tấn công. Hầu hết các kiểm thử xâm nhập liên quan đến việc tìm sự kết hợp các lỗ hổng trên một hoặc nhiều hệ thống có thể được sử dụng để đạt được nhiều hơn sự truy cập có thể đạt được thông qua một lỗ hổng duy nhất. Kiểm thử xâm nhập cũng có thể hữu ích cho việc xác định:  Làm thế nào hệ thống cho phép các dạng tấn công phổ biến thực tế.  Mức độ tinh vi của kẻ tấn công cần để làm tổn hại hệ thống.  Biện pháp đối phó bổ sung có thể giảm thiểu các mối đe dọa đối với hệ thống.  Khả năng phòng vệ để phát hiện các cuộc tấn công và phản ứng thích hợp. Kiểm thử xâm nhập có thể là một giải pháp rất hữu hiệu trong việc xác định các điểm yếu, song nó đòi hỏi nhiều công sức và chuyên môn cao để tránh rủi ro cho hệ thống mục tiêu. Ở mức tối thiểu, nó có thể làm chậm thời gian phản ứng của mạng tổ chức do việc dò quét mạng và dò quét điểm yếu. Hơn nữa, có khả năng các hệ thống sẽ bị phá hủy trong quá trình kiểm thử xâm nhập và có thể không hoạt động trở lại, mặc dù những lợi ích mà tổ chức thu được là họ biết rằng hệ thống của họ được báo cáo là không bị xâm nhập. Mặc dù những kiểm thử viên thâm nhập dày dạn kinh nghiệm có thể giảm thiểu nguy cơ này, nhưng khó có thể khẳng định các rủi ro sẽ không xảy ra. Do đó kiểm thử chỉ nên thực hiện sau khi xem xét, báo cáo và có kế hoạch tỉ mỉ. 91 Do kiểm thử xâm nhập được thiết kế để mô phỏng một cuộc tấn công và sử dụng các công cụ, kỹ thuật bị hạn chế bởi luật, các quy định và chính sách của tổ chức, nên bắt buộc phải có sự cho phép chính thức để tiến hành các kiểm thử xâm nhập trước khi bắt đầu. Sự cho phép này thường được gọi là các luật gắn kết, bao gồm:  Các địa chỉ/ dải IP cụ thể được kiểm tra.  Bất kỳ các máy chủ bị hạn chế (chẳng hạn: các máy chủ, hệ thống, mạng con thì không được kiểm thử).  Một danh sách các kỹ thuật kiểm thử chấp nhận được (ví dụ như kỹ nghệ xã hội, DoS, …) và các công cụ (công cụ bẻ mật khẩu, công cụ nghe lén mạng, …).  Thời gian kiểm thử được tiến hành (ví dụ trong giờ làm việc, sau giờ làm việc, v.v).  Xác định một thời hạn nhất định cho kiểm thử.  Các địa chỉ IP của các máy tính mà kiểm thử xâm nhập sẽ tiến hành để quản trị viên có thể phân biệt được các cuộc tấn công kiểm thử xâm nhập hợp pháp với các cuộc tấn công độc hại trong thực tế.  Địa điểm liên lạc cho các đội kiểm thử xâm nhập vào các hệ thống và mạng đích.  Các biện pháp để ngăn chặn sự thực thi luật được gọi là các cảnh báo sai (được tạo ra bởi quá trình kiểm thử).  Xử lý thông tin thu thập được bởi các nhóm kiểm thử xâm nhập. Kiểm thử xâm nhập có thể được thực hiện công khai hoặc bí mật. Kiểm thử công khai, cũng được biết đến như là kiểm thử mũ trắng, là hành động kiểm thử trong đó được sự hỗ trợ của nhân viên công nghệ thông tin của tổ chức để cung cấp các thông tin liên quan tới hệ thống mạng kiểm thử như sơ đồ mạng, địa chỉ ip cụ thể của các máy chủ máy trạm, mã nguồn hệ thống, …. Kiểu kiểm thử này cho phép đánh giá toàn bộ mạng hoặc tình hình an toàn hệ thống. Vì nhân viên công nghệ thông tin biết được đầy đủ thông tin về kiểm thử và được 92 bao gồm trong kiểm thử nên có thể đưa ra sự hướng dẫn để hạn chế một số ảnh hưởng có thể xảy ra từ kiểm thử. Kiểm thử cũng có thể mang lại cơ hội đào tạo, với nhân viên mà quan sát các hoạt động và các phương pháp của người đánh giá nhằm đánh giá và có khả năng phá vỡ các biện pháp an ninh được thực thi. Điều này đưa ra bối cảnh cho các yêu cầu an toàn được thực thi và duy trì bởi nhân viên công nghệ thông tin, và cũng có thể hỗ trợ dạy cho nhân viên công nghệ thông tin cách thực hiện kiểm thử. Kiểm thử an toàn bí mật, còn gọi là kiểm thử mũ đen, thực hiện kiểm thử mà không cần có sự tham gia của nhân viên công nghệ thông tin của tổ chức nhưng được sự cho phép của quản lí cấp trên. Một số đơn vị đánh giá còn chỉ định một bên thứ ba tin cậy để đảm bảo rằng tổ chức được đánh giá không triển khai thêm các biện pháp ứng phó liên quan trong quá trình đánh giá khi chưa xác minh các cuộc tấn công có thực sự được tiến hành không (ví dụ hoạt động được phát hiện không có nguồn gốc từ một kiểm thử). Trong trường hợp này, bên thứ 3 tin cậy cung cấp một đại diện cho phía đánh giá, người quản lí, nhân viên công nghệ thông tin và nhân viên an ninh để sắp xếp các hoạt động và tạo kết nối thuận tiện nhất cho các bên liên quan. Phương pháp kiểm thử này hữu ích cho việc kiểm tra các biện pháp kiểm soát an toàn về mặt kĩ thuật, nhân viên công nghệ thông tin ứng phó với các sự cố an toàn nhận thấy được, tri thức của nhân viên và sự thực thi của chính sách an toàn của tổ chức. Kiểm thử bí mật có thể được thực hiện có cảnh báo hoặc không. Mục đích của kiểm thử bí mật là để kiểm tra sự thiệt hại hoặc sự ảnh hưởng tới đối phương có thể gây ra – không tập chung vào việc xác định các lỗ hổng. Kiểu kiểm thử này không kiểm thử mọi biện pháp kiểm soát an toàn, xác định mỗi lỗ hổng, hoặc đánh giá toàn bộ hệ thống bên trong một tổ chức. Kiểm thử bí mật kiểm tra tổ chức từ quan điểm đối nghịch, và thường xác định và khai thác những lỗ hổng thô sơ nhất để đạt được sự truy cập mạng. Nếu mục tiêu của tổ chức là để phản ánh một đối thủ cụ thể thì kiểu kiểm thử này yêu cầu những xem xét đặc biệt, chẳng hạn như yêu cầu và mô hình hóa dữ liệu đe dọa. Các kịch bản kết quả đưa ra một tầm nhìn chiến lược toàn cảnh về các phương pháp tiềm năng của việc khai thác, rủi ro và ảnh hưởng của một sự xâm nhập. Kiểm thử bí mật thường xác định ranh giới như việc dừng kiểm thử khi đạt được một mức truy cập nào đó hoặc có thể đạt được 93 một kiểu thiệt hại nào đó như một bước tiếp theo trong kiểm thử. Việc có những ranh giới như vậy sẽ ngăn ngừa được thiệt hại trong khi vẫn chỉ ra được thiệt hại có thể xảy ra. Bên cạnh nhược điểm là không xác định nhiều lỗ hổng, kiểm thử bí mật thường tốn thời gian và chi phí vì các yêu cầu riêng của nó. Để hoạt động trong một môi trường bí mật, nhóm kiểm thử sẽ phải thực hiện quét một cách chậm rãi và thực hành các hành động để tránh bị phát hiện từ “các máy ra đa” của nhân viên an ninh của tổ chức đích. Khi kiểm thử được thực hiện trong nhà thì việc đào tạo cũng phải được xem xét về thời gian và ngân sách. Ngoài ra, một tổ chức có thể có nhân viên đã qua đào tạo để thực hiện các hoạt động thường xuyên như quét và đánh giá lỗ hổng nhưng không phải là các kĩ thuật được chuyên môn hóa như kiểm thử thâm nhập hay kiểm thử an toàn ứng dụng. Kiểm thử công khai ít tốn kém hơn và mang lại ít rủi ro hơn so với kiểm thử bí mật, và kiểm thử công khai thường được sử dụng nhiều hơn nhưng kiểm thử bí mật lại cung cấp một chỉ dẫn tốt hơn về tình hình an ninh hàng ngày của tổ chức đích vì những người quản trị hệ thống sẽ không được đào tạo để nâng cao nhận thức về các khía cạnh an toàn. Một kiểm thử xâm nhập có thể được thiết kế để mô phỏng một tấn công bên trong và bên ngoài. Nếu cả hai kiểm thử bên trong và bên ngoài được thực hiện, thì kiểm tra bên ngoài thường thực hiện trước. Kiểm thử bên ngoài được thực hiện từ bên ngoài phạm vi an toàn của tổ chức (thường là từ mạng Internet). Điều này cho phép người kiểm thử có cái nhìn tới hệ thống mạng một cách khách quan và xem xét được khả năng an toàn của hệ thống như một kẻ tấn công bên ngoài. Kiểm thử bên ngoài thường bắt đầu với các kĩ thuật trinh sát, thu thập thông tin nhằm tìm kiếm dữ liệu đăng kí công cộng, thông tin máy chủ DNS, đăng nhóm tin và các thông tin công khai có sẵn khác để thu thập thông tin (ví dụ tên hệ thống, các địa chỉ giao thức mạng (IP), hệ điều hành, các điểm tiếp xúc kĩ thuật) mà có thể giúp cho người kiểm thử xác định được các lỗ hổng. Tiếp theo, điều tra bắt đầu bằng cách sử dụng các kỹ thuật quét và phát hiện mạng để xác định các máy chủ bên trong và lắng nghe các dịch vụ. Vì các biện pháp phòng thủ như tường lửa, bộ định tuyến và các danh sách kiểm soát truy cập 94 khác thường hạn chế các kiểu giao thông mạng được phép đi vào mạng bên trong nên người đánh giá có thể phải sử dụng thêm các kĩ thuật tránh những phòng thủ này, giống như kẻ tấn công bên ngoài. Phụ thuộc vào các giao thức được phép đi qua, kẻ tấn công bên trong thường tập trung tới những giao thức ứng dụng được phép và thường được sử dụng như FTP, HTTP, SMTP và POP. Đối với các máy chủ cho phép truy cập từ bên ngoài như WebServer, MailServer, người đánh giá thường kiểm thử các lỗ hổng trên các ứng dụng dịch vụ hoặc hệ thống mà có thể cho phép truy cập tới các máy chủ nội bộ và thông tin riêng tư. Kiểm thử an toàn bên ngoài cũng tập trung vào việc khám phá các lỗ hổng phương pháp truy cập như điểm truy cập không dây, modem và các cổng thông tin tới các máy chủ nội bộ. Với kiểm thử bên trong, kiểm thử viên thực hiện từ mạng nội bộ và giả định danh tính của một người nội bộ hoặc một kẻ tấn công đã xâm nhập được vào phạm vi phòng thủ. Loại kiểm thử này có thể đưa ra các lỗ hổng mà có thể bị lợi dụng và chứng minh những thiệt hại tiềm năng từ các tấn công nội bộ có thể gây ra. Kiểm thử an toàn bên trong cũng tập trung vào an toàn mức hệ thống và cấu hình, bao gồm ứng dụng và cấu hình dịch vụ, xác thực, kiểm soát truy cập và cứng hóa hệ thống. Người kiểm thử thực hiện các kiểm thử bên trong thường được cấp một số mức truy cập tới mạng, thường như người sử dụng nói chung, và được cung cấp thông tin mà người dùng với đặc quyền tương tự sẽ có. Mức truy cập tạm thời này phụ thuộc vào mục tiêu kiểm thử và có thể tăng lên và bao gồm các đặc quyền của người quản lí hệ thống hoặc quản lí mạng. Làm việc từ bất cứ mức truy cập nào mà họ được cấp, người kiểm thử cố gắng đạt được quyền truy cập bổ sung tới mạng và hệ thống thông qua hành động “leo thang đặc quyền”, nghĩa là gia tăng đặc quyền mức người dùng tới đặc quyền mức người quản trị, hoặc gia tăng đặc quyền người quản trị hệ thống tới đặc quyền người quản trị miền. Kiểm thử bên trong không bị hạn chế như kiểm thử bên ngoài vì nó diễn ra đằng sau phạm vi phòng thủ, ngay cả khi có tường lửa, bộ định tuyến và thiết bị chuyển mạch bên trong ở nơi đặt ra những hạn chế này. Các kĩ thuật kiểm tra như dò mạng có thể được sử dụng ngoài các kĩ thuật kiểm thử. 95 Nếu thực hiện cả kiểm thử bên trong và bên ngoài thì kiểm thử bên ngoài thường được diễn ra trước. Điều này đặc biệt có lợi nếu cùng những người đánh giá thực hiện cả hai loại kiểm thử vì nó tiếp tục yêu cầu thông tin nội bộ trên kiến trúc mạng hoặc cấu hình hệ thống mà sẽ không có sẵn cho kẻ thù, một lợi thế mà sẽ làm giảm giá trị của kiểm thử. Kiểm thử thường bao gồm các phương pháp phi kỹ thuật của cuộc tấn công. Ví dụ, kiểm thử xâm nhập có thể vi phạm các điều khiển và thủ tục an toàn vật lý để kết nối với mạng, ăn cắp thiết bị, nắm bắt thông tin nhạy cảm (có thể bằng cách cài đặt các thiết bị theo dõi bàn phím), hoặc làm gián đoạn thông tin liên lạc. Cần thận trọng khi thực hiện kiểm thử an toàn vật lý – Các kiểm thử viên nên hiểu rõ vấn đề này để xác định các hoạt động kiểm thử hợp lệ, có thể thông qua một điểm liên hệ hoặc một tài liệu. Các phương pháp phi kỹ thuật khác của cuộc tấn công là việc sử dụng các mánh khóe xã hội như giả một người hỗ trợ chăm sóc khách hàng và gọi điện yêu cầu mật khẩu của người dùng, hoặc gọi điện đến trung tâm hỗ trợ với tư cách là người dùng yêu cầu một mật khẩu để thiết lập lại. Những vấn đề về kiểm thử an toàn vật lý, các mánh khóe xã hội và các phương pháp phi kỹ thuật khác sẽ không đề cập nhiều ở đây. 4.2.1. Các pha kiểm thử Hình 4.1 thể hiện 4 giai đoạn của kiểm thử xâm nhập. Trong giai đoạn lập kế hoạch, cần xác định được các luật, phê duyệt quản lý được hoàn thiện và thiết lập các mục tiêu kiểm thử. Giai đoạn lập kế hoạch đặt nền móng cho một kiểm thử xâm nhập thành công. Không có thử nghiệm thực tế xảy ra trong giai đoạn này. Hình 4.1. Bốn giai đoạn của phương pháp kiểm thử 96 Quá trình khám phá trong kiểm thử xâm nhập gồm 2 phần. Đầu tiên sẽ bắt đầu với các kiểm thử thực tế, bao gồm thu thập thông tin và dò quét mạng. Xác định cổng và dịch vụ mạng (được nói đến trong chương 3) được tiến hành để xác định mục tiêu tiềm năng. Ngoài việc xác định cổng và dịch vụ, các kỹ thuật khác được sử dụng để thu thập thông tin trên mạng mục tiêu như:  Thông tin địa chỉ IP và tên máy chủ: có thể thu thập được thông qua nhiều phương pháp, bao gồm truy vấn DNS, truy vấn InterNIC (WHOIS), và nghe lén mạng (thường chỉ có trong các thử nghiệm nội bộ).  Tên nhân viên và thông tin liên hệ: có thể thu được bằng các tìm kiếm trên các máy chủ Web hoặc máy chủ danh bạ của công ty.  Thông tin hệ thống như tên và các chia sẻ: có thể nhận được thông qua các phương pháp như liệt kê NetBIOS (thường chỉ có trong các thử nghiệm nội bộ) và hệ thống thông tin mạng (NIS) (thường chỉ có trong các thử nghiệm nội bộ).  Thông tin dịch vụ và ứng dụng: như số phiên bản, có thể ghi nhận được thông qua tiêu đề. Trong một số trường hợp, các kỹ thuật như tìm kiếm lại các thông tin từ thúng rác (dumpster diving) và kiểm tra vật lý toàn bộ các trang thiết bị (physical walkthroughs) có thể được sử dụng để thu thập thêm thông tin trên mạng mục tiêu, và cũng có thể khám phá thêm các thông tin được sử dụng trong quá trình kiểm thử thâm nhập, chẳng hạn như mật khẩu được ghi trên giấy. Phần thứ hai của giai đoạn khám phá là phân tích điểm yếu. Trong giai đoạn này, các dịch vụ, ứng dụng và hệ điều hành của các máy chủ được quét sẽ được so sánh với cơ sở dữ liệu các điểm yếu (đối với các máy quét điểm yếu, quá trình này là tự động). Nói chung, người kiểm thử thường sử dụng cơ sở dữ liệu của riêng họ hoặc các cơ sở dữ liệu công cộng để xác định các điểm yếu một cách thủ công. Các phương pháp thủ công có thể xác định lỗ hổng mới hoặc khó nhận ra mà công cụ quét tự động có thể bỏ qua, nhưng chậm hơn nhiều so với việc sử dụng công cụ quét tự động. 97 Thực hiện một cuộc tấn công là hành động phải thực hiện khi thử nghiệm xâm nhập. Đây là lúc kiểm tra các điểm yếu đã được xác định trước đó bằng cách cố gắng khai thác chúng. Nếu một tấn công thực hiện thành công, thì điểm yếu đó được xác minh và cần xác định các biện pháp bảo vệ để giảm thiểu các lỗ hổng an toàn liên quan. Trong một vài trường hợp, các khai thác thành công cũng không làm cho người kiểm thử có được các quyền truy cập tối đa tới hệ thống. Thay vào đó dựa vào các kết quả thu được, người kiểm thử có thể hiểu thêm về hệ thống mạng kiểm thử cũng như các điểm yếu tiềm năng, hoặc tạo ra một số thay đổi trong trạng thái an toàn của mạng đích. Một số khai thác cho phép các người kiểm thử mở rộng đặc quyền của họ trên mạng hoặc hệ thống để đạt được quyền truy cập vào các tài nguyên bổ sung. Nếu điều này xảy ra, các thử nghiệm và phân tích bổ sung được yêu cầu để xác định mức độ rủi ro thực sự của mạng, chẳng hạn như các thông tin có thể được thu thập, thay đổi, hoặc xóa khỏi hệ thống. Trong trường hợp một cuộc tấn công vào một lỗ hổng cụ thể chứng minh là không thể, các thử nghiệm nên tập trung khai thác lỗ hổng khác đã được phát hiện. Nếu kiểm thử viên có thể khai thác một lỗ hổng, họ có thể cài đặt nhiều công cụ hơn trên hệ thống hoặc mạng mục tiêu để tạo thuận lợi cho quá trình thử nghiệm. Những công cụ này được sử dụng để đạt được quyền truy cập vào hệ thống hoặc tài nguyên bổ sung trên mạng, và có được quyền truy cập vào thông tin về mạng, tổ chức. Kiểm tra và phân tích trên nhiều hệ thống nên được tiến hành trong một thử nghiệm xâm nhập để xác định mức độ truy cập mà đối phương có thể đạt được. Quá trình này được thể hiện trong các vòng lặp phản hồi trong Hình 4.2 giữa giai đoạn tấn công và giai đoạn khám phá của một kiểm thử xâm nhập. 98 Hình 4.2. Các bước trong giai đoạn tấn công và vòng lặp quay trở về giai đoạn khám phá Trong khi quét lỗ hổng chỉ kiểm tra sự tồn tại của lỗ hổng, thì giai đoạn tấn công của một kiểm thử xâm nhập sẽ khai thác điểm yếu đó, xác nhận sự tồn tại của nó. Hầu hết các điểm yếu được khai thác bởi kiểm thử xâm nhập và bởi các kẻ tấn công có thể được chia thành các loại sau:  Lỗi cấu hình (misconfiguration): Thiết lập cấu hình sai, đặc biệt là các thiết lập mặc định không an toàn, thường dễ bị khai thác.  Các lỗ hổng nhân (kernel flaw): Nhân là phần cốt lõi của hệ thống, thực thi các mô hình bảo mật tổng thể cho các hệ thống. Bất kỳ điểm yếu an toàn nào xảy ra trong nhân đều khiến cho toàn bộ hệ thống gặp nguy hiểm.  Tràn bộ đệm (buffer overflow): Tràn bộ đệm xảy ra khi các chương trình không kiểm tra đầy đủ chiều dài phù hợp cho đầu vào, thông thường là do kết quả của việc lập trình yếu. Khi điều này xảy ra, mã tùy ý có thể được đưa vào hệ thống và thực hiện với những đặc quyền của chương trình chạy. Mã này thường được chạy như là quyền root trên các hệ thống Unix và quyền SYSTEM (tương đương quyền quản trị) trên các hệ thống Windows. 99  Thông qua đầu vào không đầy đủ (insufficient input validation): Nhiều số ứng dụng không thể thông qua đầy đủ đầu vào mà chúng nhận được từ người dùng. Ví dụ, một ứng dụng Web được nhúng vào một giá trị từ người dùng trong truy vấn cơ sở dữ liệu. Nếu người dùng nhập vào câu lệnh SQL thay thế hoặc bổ sung cho các giá trị đề nghị, và các ứng dụng Web không lọc các lệnh SQL, truy vấn có thể được chạy với những thay đổi nguy hiểm mà người dùng yêu cầu gây những gì được biết đến như là một cuộc tấn công SQL injection.  Các liên kết tượng trưng (symbolic link): Một liên kết tượng trưng là một tệp tin trỏ đến một tệp tin khác. Thông thường có các chương trình mà có thể thay đổi quyền được cấp cho một tệp tin. Nếu các chương trình này chạy với các quyền ưu tiên, thì một người dùng có thể tạo ra các liên kết tượng trưng để đánh lừa các chương trình đó sửa đổi hoặc liệt kê các tệp tin hệ thống quan trọng.  Tấn công mô tả tệp tin (file descriptor attack): Mô tả tập tin là các số được sử dụng bởi hệ thống để theo dõi tập tin thay cho tên tập tin. Các dạng cụ thể của mô tả tập tin có dụng ý. Khi một chương trình đặc quyền phát hiện một mô tả tập tin không phù hợp, thì nó cho thấy rằng tệp tin đã bị tổn thương.  Các điều kiện tranh đua (race conditions): Các điều kiện tranh đua có thể xảy ra khi một chương trình hoặc một tiến trình đã được đưa vào một chế độ đặc quyền, nhưng trước khi chương trình hoặc tiến trình này bị tước bỏ chế độ đặc quyền của nó. Một người dùng có thể sử dụng thời gian của một tấn công để tận dụng lợi thế của chương trình hay tiến trình này trong khi nó vẫn còn trong chế độ đặc quyền. Nếu một kẻ tấn công cố gắng làm hại các chương trình hay tiến trình này thành công trong suốt trạng thái đặc quyền của nó, thì kẻ tấn công đó đã giành được “cuộc đua”. Các điều kiện tranh đua phổ biến bao gồm điều khiển tín hiệu và sự thao tác vào tệp tin lõi.  Lỗi phân quyền thư mục và tệp tin (incorrect file and directory permissions): Các quyền tệp tin và thư mục kiểm soát các người sử 100 dụng và tiến trình truy cập vào các tệp tin và thư mục. Những quyền phù hợp là rất quan trọng đối với tính an toàn của bất kỳ hệ thống nào. Những quyền hạn sơ sài có thể cho phép bất kỳ một cuộc tấn công nào xảy ra, bao gồm cả các quyền đọc hoặc viết vào file mật khẩu hoặc việc bổ sung các máy chủ vào danh sach các máy chủ từ xa đáng tin cậy. Giai đoạn báo cáo xảy ra đồng thời với ba giai đoạn khác của kiểm thử xâm nhập (Hình 4.1). Trong giai đoạn lập kế hoạch, kế hoạch đánh giá hoặc ROE sẽ được phát triển. Trong giai đoạn khám phá và tấn công, các nhật ký bằng văn bản thường được lưu trữ và báo cáo định kỳ cho quản trị viên hoặc quản trị hệ thống. Vào giai đoạn cuối cùng của kiểm thử, một báo cáo được tạo ra để mô tả lại các điểm yếu đã xác định được, mức độ rủi ro hiện tại, và đưa ra các khuyến nghị cho việc giảm thiểu rủi ro. Vấn đề này sẽ được nói chi tiết hơn ở chương 7. 4.2.2. Logic kiểm thử xâm nhập Kịch bản thử nghiệm thâm nhập nên tập trung vào vị trí và mục tiêu khiếm khuyết có thể khai thác được trong thiết kế và cài đặt một ứng dụng, hệ thống hoặc mạng. Các thử nghiệm cần mô phỏng cả hai mẫu tấn công có khả năng nhất và nguy hiểm nhất, bao gồm cả kịch bản trường hợp xấu nhất như các hành động độc hại bởi quản trị viên. Khi kịch bản thử nghiệm thâm nhập có thể được thiết kế để mô phỏng một cuộc tấn công bên trong, một cuộc tấn công bên ngoài, hoặc cả hai, phương pháp kiểm tra an toàn từ bên ngoài và nội bộ được xem xét. Nếu cả hai thử nghiệm nội bộ và từ bên ngoài là được thực hiện, thử nghiệm từ bên ngoài thực hiện đầu tiên. Các kịch bản mô phỏng kẻ tấn công từ bên ngoài, có ít hoặc không có hiểu biết cụ thể về mục tiêu và thực hiện hoàn toàn từ những giả định. Để mô phỏng một cuộc tấn công từ bên ngoài, người kiểm thử sẽ không được cung cấp thông tin thực về môi trường mục tiêu ngoài địa chỉ hoặc dãy địa chỉ IP mục tiêu và thực hiện tìm kiếm mã nguồn mở bằng cách thu thập thông tin về mục tiêu từ các trang web công cộng, nhóm tin, và các trang web tương tự. Các công cụ quét cổng và quét lỗ hổng sau đó được sử dụng để xác định các máy chủ mục tiêu. 101 Nếu các lưu thông của người kiểm thử đi qua tường lửa, lượng thông tin thu được từ việc quét là ít hơn so với các thử nghiệm được thực hiện từ bên trong. Sau khi xác định các máy chủ trên mạng mà có thể được tìm thấy từ bên ngoài, người kiểm thử thử các truy cập tới một trong các máy chủ đó. Nếu thành công, truy cập này có thể được dùng để xâm nhập máy chủ khác mà không phải thường xuyên truy cập từ bên ngoài mạng. Thử nghiệm xâm nhập là một quá trình lặp đi lặp lại mà thúc đẩy sự truy cập tối thiểu để đạt được sự truy cập nhiều hơn. Các kịch bản từ bên trong giả định các hành động gây nguy hại của người bên trong. Một thử nghiệm xâm nhập nội bộ cũng tương tự thử nghiệm xâm nhập từ bên ngoài, ngoại trừ việc thử nghiệm diễn ra bên trong tường lửa và được cấp một số mức độ truy cập cụ thể vào mạng hoặc hệ thống. Sử dụng truy cập này, người kiểm thử cố gắng đạt được một mức truy cập cao hơn vào các mạng và hệ thống của mình thông qua leo thang đặc quyền. Người kiểm thử được cung cấp thông tin mạng mà một người nào đó với mức độ truy cập của họ thông thường sẽ có - thường là một nhân viên bình thường. Mặc dù phụ thuộc vào các mục tiêu của các thử nghiệm nó có thể được thay thế bằng thông tin mà quản trị mạng hoặc hệ thống có thể sở hữu. Kiểm thử xâm nhập là rất quan trọng để xác định các lỗ hổng mạng của tổ chức và mức độ thiệt hại có thể xảy ra nếu mạng bị xâm nhập. Điều quan trọng là phải nhận thức rằng tùy thuộc vào chính sách của một tổ chức, thử nghiệm có thể bị cấm sử dụng các công cụ hay kỹ thuật cụ thể hoặc có thể được hạn chế sử dụng chúng chỉ trong thời gian nhất định trong ngày hoặc các ngày trong tuần. Kiểm thử xâm nhập cũng gây ra các rủi ro cao tới hệ thống và mạng của tổ chức vì nó sử dụng các khai thác và tấn công thực tế vào các hệ thống và dữ liệu. Do chi phí cũng như tác động lớn, mỗi năm một tổ chức thực hiện kiểm thử thâm nhập một lần là đủ. Ngoài ra, kiểm thử thâm nhập có thể được thiết kế để dừng lại khi các thử nghiệm đạt đến một điểm khi một hành động thêm vào sẽ gây ra thiệt hại. Các kết quả kiểm thử thâm nhập cần được xem xét một cách cẩn thận, và bất kỳ lỗ hổng nào được phát hiện đều cần phải được giảm thiểu. Kết quả là, khi có thể, nên được trình bày với các nhà quản lý của tổ chức để họ hiểu và biết được tình trạng an ninh của hệ thống mạng của mình. 102 4.3. KỸ NGHỆ XÃ HỘI Kỹ nghệ xã hội là việc thử lừa một người nào đó tiết lộ thông tin (ví dụ như: tài khoản đăng nhập, mật khẩu) mà có thể được sử dụng để tấn công các hệ thống hoặc mạng. Nó được sử dụng để kiểm tra nhận thức của người dùng về vấn đề an ninh, và có thể bộc lộ điểm yếu trong hành vi người dùng (chẳng hạn như không tuân theo quy trình tiêu chuẩn). Kỹ nghệ xã hội có thể được thực hiện thông qua nhiều phương tiện, bao gồm tín hiệu tương tự (ví dụ, các cuộc hội thoại thực hiện trực tiếp hoặc qua điện thoại) và kỹ thuật số (ví dụ, e-mail, tin nhắn tức thời,…). Một hình thức của kỹ nghệ xã hội kỹ thuật số được được biết đến là phishing, hành động mà kẻ tấn công cố gắng để ăn cắp thông tin như số thẻ tín dụng, số an sinh xã hội, ID và mật khẩu người dùng. Phishing sử dụng email xác thực để yêu cầu thông tin hoặc hướng người dùng đến một trang web giả mạo để thu thập thông tin. Ví dụ khác của kỹ nghệ xã hội kỹ thuật số bao gồm gian lận email và gửi file đính kèm có chứa mã độc tới người sử dụng. Kỹ nghệ xã hội có thể được sử dụng để nhắm vào cá nhân hoặc các nhóm cụ thể trong một tổ chức, chẳng hạn như các lãnh đạo, hoặc một bộ phận mục tiêu lớn hơn. Các mục tiêu cụ thể có thể được xác định khi tổ chức biết về mối đe dọa hiện hữu hoặc cảm thấy mất thông tin từ một cá nhân hoặc một nhóm người cụ thể có tác động đáng kể. Ví dụ, các tấn công lừa đảo có thể xác định được mục tiêu dựa trên các thông tin công khai về các cá nhân cụ thể (ví dụ, tiêu đề, lĩnh vực quan tâm). Nhắm mục tiêu cá nhân có thể dẫn đến sự ngại ngùng cho các cá nhân liên quan nếu người kiểm thử tìm thấy thông tin hoặc đạt được truy cập thành công. Điều quan trọng là các kết quả của thử nghiệm kỹ nghệ xã hội được sử dụng để cải thiện an ninh của tổ chức. Người đánh giá nên đưa ra một báo cáo cuối cùng chi tiết để xác định cả hai chiến lược được sử dụng thành công và không thành công. Mức độ chi tiết này sẽ giúp các tổ chức điều chỉnh chương trình đào tạo nâng cao nhận thức an ninh của họ. 4.4. MỘT SỐ CÔNG CỤ HỖ TRỢ XÁC ĐỊNH ĐIỂM YẾU MỤC TIÊU 4.4.1. Công cụ bẻ mật khẩu  L0phtCrack 103 L0phtCrack là một công cụ kiểm toán và khôi phục mật khẩu được phát triển bởi Mudge từ L0pht Heavy Industries. Nó được sử dụng để kiểm tra độ mạnh của mật khẩu và đôi khi để khôi phục lại các mật khẩu đã mất trên hệ điều hành Windows bằng phương pháp tấn công từ điển, brute force, tấn công hybrid, tấn công rainbow. Công cụ này hỗ trợ phần lớn các hệ điều hành thông dụng như Windows 8, Windows 10, Server 2008, Server 2012, … Có thể tải công cụ L0phCrack về tại: http://www.l0phtcrack.com/download.html Hình 4.3. Công cụ bẻ mật khẩu L0phCrack Các tính năng chính của L0phtCrack:  Kiểm tra và khôi phục mật khẩu dành cho Windows và Unix  Nhận dạng và đanh giá mức độ tổn thương của mật khẩu  Ngăn chặn được những tấn cống mật khẩu trực tuyến  Giao diện thận thiện và dễ sử dụng  Hỗ trợ nhiều nền tảng hệ điều hành Windows  John the Ripper 104 John the Ripper là một công cụ bẻ mật khẩu miễn phí. Ban đầu nó được xây dựng cho hệ điều hành Unix, sau đó được phát triển để chạy trên 15 nền tảng hệ điều hành khác nhau (bao gồm các phiên bản Unix, DOS, Win32, BeOS và OpenVMS). Đây là một trong những công cụ bẻ mật khẩu phổ biến nhất vì nó kết hợp một số lượng lớn các công cụ bẻ mật khẩu vào một gói, cũng như tự động phát hiện kiểu hàm băm mật khẩu và cho phép các cracker có thể tùy biến một cách phù hợp nhất. Nó có thể bẻ các mật khẩu đã mã hóa trên các phiên bản Unix (như DES, MD5, Blowfish), Kerberos AFS và các hàm băm trên các phiên bản hệ điều hành Windows. Ngoài ra, các module mở rộng còn có thể bẻ được các mật khẩu được băm dưới định dạng MD4 và các mật khẩu lưu trữ trên LDAP, MySQL và một số nơi khác. Tuy nhiên để sử dụng các tính năng thêm, người sử dụng cần phải trả phí. Các phiên bản John the Ripper có thể tải về tại: http://www.openwall.com/john/ Hình 4.4. Công cụ bẻ mật khẩu Join the Ripper  THC-Hydra THC-Hydra là một công cụ giải mã, bẻ mật khẩu rất mạnh. Nó hỗ trợ nhiều phương thức bẻ khóa cũng như nhiều giao thức hoạt động khác nhau. Hydra hoạt động tốt trên Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1 và OSX; đồng thời hỗ trợ bẻ khóa mật khẩu của các giao thức: AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORMPOST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, 105 HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 và v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC và XMPP. Hydra là trình bẻ khóa đăng nhập song song, nghĩa là nó chạy nhiều tác vụ cùng một lúc để quá trình bẻ khóa được nhanh hơn. Đây cũng chính là điểm đặc biệt của công cụ bẻ mật khẩu này. Hình 4.5.Công cụ bẻ mật khẩu THC-Hydra Cú pháp của Hydra: hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-w TIME] [-f] [-s PORT] [-S] [server servervice [OPT]] Trong đó: -R: Khôi phục lại một phiên giao dịch trước -S: Sử dụng SSL -s [cổng]: Được sử dụng trong trường hợp nếu dịch vụ không sử dụng cổng mặc định mà sử dụng cổng khác -l [tên]: Sử dụng tên đăng nhập chỉ định -L [tên file]: Đọc tên đăng nhập từ tập tin 106 -p [mật khẩu]: Sử dụng mật khẩu chỉ định -P [tên file]: Tải mật khẩu từ tập tin -e [n/s]: kiểm tra bổ sung - “n” để thử với mật khẩu rỗng, “s” để thử đăng nhập với mật khẩu trùng tên đăng nhập. -C [tên_file]: Sử dụng dấu hai chấm tách định dạng thay vì tách tập tin để đăng nhập và mật khẩu -M [tên_file]: Đọc tên máy chủ từ tập tin -o [tên_file]: Tập tin đầu ra -f: Dừng sau khi tìm thấy mật khẩu lần đầu tiên -t [nhiệm vụ]: Chỉ định số lượng kết nối song song -w [thời gian]: Thời gian tối đa chờ đợi để được phản hồi -v: Chế độ verbose –V: Hiển thị đăng nhập/ mật khẩu với mỗi lần thử server: Địa chỉ muốn thực hiện bẻ mật khẩu service: Dịch vụ muốn bẻ mật khẩu OPT: Một vài module dịch vụ hỗ trợ nhập thêm Ví dụ: Hydra –f http://192.168.1.10 -L login.txt –P password.txt 192.168.1.10 http-get  Medusa Medusa có thể được sử dụng để bẻ mật khẩu theo phương pháp brute force theo từng module. Medusa cũng hoạt động theo cơ chế song song nên nó có thể bẻ mật khẩu một cách nhanh chóng. Medusa hỗ trợ nhiều dịch vụ và cho phép thực hiện bẻ mật khẩu từ xa. 107 Hình 4.6. Công cụ bẻ mật khẩu Medusa Medusa được thiết kế dựa vào các đặc điểm:  Kiểm tra song song dựa vào luồng: Có thể kiểm tra trên nhiều host, với nhiều tên đăng nhập, mật khẩu.  Thiết kế theo module: Mỗi dịch vụ tồn tại ở dạng file (.mod) độc lập. Do đó người sử dụng không cần chỉnh sửa đến nhân để mở rộng danh sách các dịch vụ hỗ trợ cho việc brute force Cú pháp của Medusa: medusa [–h host | -H file] [-u username | -U file] [-p password] | -P file] [C file] –M module [OPT] Trong đó: -h: host hay địa chỉ IP -H: file chứa tên các host -u: tên đăng nhập -U: file chứa tên đăng nhập -p: mật khẩu -P: file chứa mật khẩu -C: file kết hợp dạng host, tên đăng nhập, mật khẩu dạng host: username:password 108 -M: module là bắt buộc theo sau là tên các module được hỗ trợ. Để xem tất cả các module nhập: medusa –d và để biết cách sử dụng chi tiết cho 1 module nào đó nhập: medusa –M tên_module -q 4.4.2. Công cụ kiểm thử xâm nhập  Metasploit Framework Metasploit là một công cụ dùng để kiểm tra, tấn công và khai thác lỗ hổng của các dịch vụ. Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl, với những thành phần được viết bằng C, Assembler và Python. Metasploit có thể chạy trên hầu hết các hệ điều hành như: Windows, Linux, MacOS. Có thể download Metasploit tại địa chỉ: http://www.metasploit.com Hình 4.7. Công cụ kiểm thử xâm nhập Metasploit Framework Metasploit hỗ trợ nhiều giao diện với người dùng:  Console interface: Sử dụng các dòng lệnh để cấu hình, kiểm tra và khai thác.  Web interface: Giao tiếp với người dùng thông qua giao diện Web Một số các cú pháp lệnh trong Metasploit:  show exploits: Xem các module khai thác mà framework có hỗ trợ.  use exploit_name: Chọn module khai thác. 109  info exploit_name: Xem thông tin về module khai thác.  show options: Kiểm tra những tùy chọn cần cấu hình.  set: Thiết đặt cấu hình cho những tùy chọn của module. Một vài module còn có những tùy chọn nâng cao. Có thể xem các tùy chọn nâng cao bằng cách gõ dòng lệnh show advanceds  check: Kiểm tra lại các tùy chọn đã được thiết đặt.  show targets: Kiểm tra các mục tiêu muốn khai thác.  show payloads: Liệt kê ra những payload của module khai thác hiện tại.  info payload_name: Xem thông tin chi tiết về payload  set PAYLOAD payload_name: Xác định tên của payload được sử dụng.  exploit: Thực thi payload và bắt đầu tiến hành khai thác  Onesixtyone Được đặt theo tên cổng UDP mà các dịch vụ SNMP hoạt động trên đó, Onesixtyone là một công cụ tiến hành tấn công chuỗi liên kết theo phương pháp brute force dựa trên thiết bị mạng hoặc bất cứ thiết bị nào chạy trên SNMP. Yêu cầu của công cụ là một tệp tin chứa những chuỗi liên kết và một thiết bị để tấn công brute force. Hình 4.8 thể hiện một ví dụ của onesixtyone khi đang sử dụng: Hình 4.8. Onesixtyone 110 Cách sử dụng Onesixtyone: onesixtyone [options] [host] [community] Các tùy chọn (option) là : -c [tên file]: File chứa tên cộng đồng để thử. -i [tên file]: nhập tập tin vào máy chủ. -o [tên file]: lấy tập tin ra. -d: Chế độ Debug. -w [ms]: Chờ X phút giữa các gói tin. -q: Chế độ im lặng. [host]: Là các máy chủ để quét nếu không chỉ định trong một tập tin. [community]: Là chuỗi cộng đồng sử dụng, nếu không chỉ định trong một tập tin.  TFTP brute force BackTrack cung cấp một kịch bản Perl gọi là tftpbrute.pl để tiến hành tấn công vét cạn TFTP. Thử tấn công vét cạn tải file từ TFTP server đôi khi rất hiệu quả bởi vì các router của doanh nghiệp thường có hệ thống file lớn có thể được sử dụng để lưu trữ các file cấu hình router. Tấn công vét cạn sử dụng tên máy chủ khác nhau của router đôi khi có thể cung cấp cho người kiểm thử tệp tin cấu hình. Tuy nhiên việc tùy biến tên tập tin TFTP sẽ mất chút thời gian. Điều này cũng không khác biệt lắm so với việc tùy biến một tập tin password trước khi tấn công vét cạn một đăng nhập. Ví dụ: Tên của một router máy chủ đích là gw.lax.company.com. Chúng ta có thể lập một danh sách tên tệp tin để tấn công vét cạn như: gw-conf, gw-laxconf, gw-lax-company-conf, gw_conf, gw_lax_conf.  Cisco Global Exploiter Cisco Global Exploiter (cge.pl) là một kịch bản Perl cung cấp một giao diện chung cho 14 lỗ hổng bảo mật liên quan đến Cisco, bao gồm một số tấn công từ chối dịch vụ (DoS). Hình 4.9 hiển thị một số lỗ hổng có thể khai thác. 111 Hình 4.9. Cisco Global Exploiter Cisco Global Exploiter rất dễ sử dụng, người sử dụng chỉ việc thực thi kịch bản Perl và chỉ định mục tiêu và lỗ hổng bảo mật cần khai thác. Nếu công cụ có khả năng tấn công thành công thiết bị Cisco, người sử dụng có thể được chỉ dẫn bằng màn hình cho phép chọn điều cần làm tiếp theo. Hình 4.10 hiển thị khai thác thành công Cisco Global Exploiter của lỗ hổng Cisco HTTP Configuartion Arbitrary Administrative Access. Hình 4.10. Dùng Cisco Global Exploiter khai thác Công cụ này sẽ giúp người kiểm thử nhanh chóng tận dụng lợi thế của một số lỗ hổng bảo mật liên quan đến thiết bị Cisco. Tuy nhiên cần lưu ý là một số lỗ hổng trong số này có thể là lỗ hổng DoS và có thể làm cho thiết bị không hoạt động được. Đây là điều mà một người kiểm thử không hề mong muốn, do đó cần phải chắc chắn hiểu được những lỗ hổng đang khai thác. 112  Internet Routing Protocol Attack Suite (IRPAS) Được viết bởi một nhóm bảo mật nổi tiếng ở Đức có tên là Phenoelit, IRPAS tập hợp tất cả các công cụ có thể sử dụng để xen vào router, giả mạo gói tin hoặc chiếm đoạt router dự phòng, và nó có rất nhiều tính năng có thể rất hữu ích cho người kiểm thử như ASS. Hình 4.11 hiển thị cấu hình HSRP của một router trước và sau khi sử dụng HSRP. Chú ý “active router line” có nghĩa là router đã mất địa chỉ IP ảo. Hình 4.11. Tấn công HSRP Ping địa chỉ ảo trước và trong quá trình tấn công cho thấy rằng tình trạng DoS đã xảy ra: Hình 4.12. HSRP DoS 113 Có thể thực hiện các loại tấn công tương tự bằng cách sử dụng IGRP Injector và RIP Generator trong IRPAS. Để tiến hành thành công loại tấn công này, không cần phải sử dụng một router khác bởi vì bất cứ một phiên bản nào của Linux để có khả năng chuyển tiếp IP. Người kiểm thử cần chắc chắn có một số thiết bị được cấu hình để thực hiện việc định tuyến nếu không có thể gây thiệt hại nghiêm trọng cho hệ thống mạng.  Ettercap Công cụ Ettercap là một trong những công cụ trong an ninh mạng. Tuy Ettercap không trực tiếp tấn công thiết bị mạng nhưng nó rất hữu ích cho người kiểm thử. Khả năng nghe lén mạng Ethernet được chuyển mạch là một trong những thế mạnh của loại công cụ này. Khả năng này cho phép nghe lén gói tin trên kết nối trực tiếp, tấn công MITM và thậm chí thay đổi đường truyền dữ liệu. Hình 4.13. Etercap  BurpSuite Burp Suite là một trong những công cụ hữu ích hỗ trợ kiểm thử an toàn ứng dụng Web. Phiên bản miễn phí có sẵn trên bộ công cụ BackTrack. Phiên bản thương mại có thể tải về tại: http://portswigger.net/burp/download.html. Một vài tính năng thương mại không có trên bản miễn phí như: Burp Scanner, TaskScheduler, Target Analyzer, ... 114 Hình 4.14. Burp Suite Các tính năng chính của Burp Suite:  Proxy: Có thể sử dụng Burp Suite để làm một proxy. Mặc định Burp Suite sử dụng cổng 8080 để chạy dịch vụ này. Khi sử dụng proxy, người kiểm thử có thể chặn bắt và thay đổi nội dung phần tiêu đề từ client tới ứng dụng Web. Để tính năng proxy hoạt động, cần cấu hình sử dụng proxy trên trình duyệt Web. Người kiểm thử cũng có thể loại bỏ các gói tin nếu không muốn các gói tin được chuyển tới đích, hoặc chuyển hướng gói tin tới một đích khác, ….  Spider: Là một tính năng của Burp Suite được sử dụng để thu thập thông tin về ứng dụng web như: tìm đường link mới, nội dung, …. Nó tự động gửi các form đăng nhập (thông qua người dùng xác định đầu vào) trong trường hợp nó tìm thấy bất kỳ và tìm kiếm những nội dung mới từ các phản hồi. Thông tin này sau đó có thể được gửi đến Burp Suite Scanner để thực hiện quét chi tiết về tất cả các liên kết và nội dung được cung cấp bởi một Spider.  Scanner: Nó được sử dụng để quét các điểm yếu ứng dụng web. Có 3 loại kiểu quét là quét bị động, quét chủ động và quét theo kiểu người dùng chỉ định. Một vài trường hợp cảnh báo sai có thể xảy ra trong quá trình kiểm tra bởi lẽ các chương trình quét tự động thường khó có thể cho kết quả chính xác 100%. Tính năng Burp Suite Scanner không được tính hợp trong phiên bản miễn phí. 115  Intruder: Tính năng này có thể được sử dụng để khai thác các điểm yếu, dò thám các ứng dụng web, thực hiện tấn công brute force, ….  Repeater: Tính năng này được sử dụng để chỉnh sửa và gửi yêu cầu cùng một số lần và phân tích các câu trả lời trong tất cả những trường hợp khác nhau.  Sequencer: Tính năng này được sử dụng chủ yếu để kiểm tra ngẫu nhiên các thẻ phiên cung cấp bởi các ứng dụng web. Nó thực hiện các bài kiểm tra bậc cao khác nhau để tìm ra kết quả.  Decoder: Tính năng này có thể được sử dụng để giải mã dữ liệu để lấy lại hình thức ban đầu, hoặc để mã hóa và mã hóa dữ liệu.  Comparer: Tính năng này được sử dụng để thực hiện so sánh giữa hai yêu cầu, đáp ứng hay một dạng dữ liệu khác. Tính năng này có thể hữu ích khi so sánh các phản ứng với đầu vào khác nhau.  SQLiX SQLiX có thể tải ở http://www.owasp.org/index.php/Category:OWASP_SQLiX_Project, là một công cụ quét lỗi chèn mã SQL, có thể được dùng để kiểm thử hoặc khai thác lỗi chèn mã SQL trong các ứng dụng web. Để sử dụng công cụ này, cần biết URL để rà soát và có thể thêm các tham số để khai thác hay sử dụng tính năng thu thập dữ liệu nội tại để rà soát mục tiêu từ một URL gốc. SQLiX cũng giúp người kiểm thử xác định các véc tơ chèn mã để sử dụng như các tham chiếu HTTP, nhận dạng người dùng HTTP, hay ngay cả một cookie. Ngoài ra, người kiểm thử có thể lựa chọn từ nhiều phương pháp chèn mã hay đơn giản là sử dụng tất cả các phương pháp trong rà soát của chúng ta. Tùy thuộc vào kết quả rà soát, một mô đun tấn công có thể được sử dụng sau đó để khai thác phần mềm có lỗ hổng bảo mật và chạy các hàm riêng để tấn công nó, bao gồm cả khả năng chạy các câu lệnh hệ thống để tấn công máy chủ trong một số trường hợp. Cách sử dụng SQLiX: SQLiX.pl [Tùy chọn] Các trường đầu vào: 116 [Tùy chọn]: Bao gồm một hay nhiều hơn những tùy chọn thông thường sau: -h: Hỗ trợ. -u [URL]: URL để rà soát. -post_content [nội dung]: Thêm nội dung vào URL và sử dụng POST thay vì GET. -file [tên file]: Rà soát một danh sách URI. -crawl [URL]: Tìm kiếm một website từ thư mục gốc. -referer: Dùng véc tơ chèn mã tham chiếu HTTP. -agent: Dùng véc tơ chèn mã nhận dạng người dùng HTTP. -cookie [cookie]: Dùng véc tơ chèn mã cookie. -all: Dùng tất cả các phương pháp chèn mã. -exploit: Khai thác ứng dụng web để thu thập thông tin phiên bản cơ sở dữ liệu. -function [hàm]: Khai thác ứng dụng web để chạy một hàm riêng. -v = X: thay đổi mức độ phức tạp X là 0, 2, hay 5 tùy thuộc vào tính phức tạp. Đầu ra: Rà soát URL mục tiêu để phát hiện lỗi chèn mã SQL và tùy chọn giúp người kiểm thử khai thác bất cứ lỗ hổng nào được phát hiện. Ví dụ sử dụng SQLiX để dò quét ứng dụng Web: Hình 4.15. Quét bằng SQLiX 117  sqlmap Một công cụ rất hữu ích khác để rà soát lỗ hổng SQL Injeciton là sqlmap. Sqlmap có thể tải tại http://sqlmap.sourceforge.net/, có rất nhiều tính năng tương tự SQLiX cũng như thêm một số tính năng rà soát và khai thác. Tùy chọn cho sqlmap rất nhiều nhưng một rà soát cơ bản có thể chạy bằng dòng lệnh sqlmap.py -u [URL]. Dòng lệnh này sẽ rà soát URL được xác định và phát hiện nếu có lỗ hổng chèn mã SQL. Nếu ứng dụng web bị phát hiện là có lỗ hổng bảo mật, sqlmap có một chuỗi lớn các khai thác bao gồm liệt kê cơ sở dữ liệu, xóa dữ liệu từ cơ sở dữ liệu (CSDL), chạy lệnh SQL theo lựa chọn, chạy lệnh từ xa, hay ngay cả xâm nhập từ xa. Nó cũng có tính năng liên kết vào Shell Metasploit và mở Shell Meterpreter. Công cụ mạnh mẽ này có thể sử dụng tấn công CSDL chủ và có thể nhanh chóng xác định và khai thác các lỗ hổng. Ví dụ sử dụng sqlmap để quét lỗ hổng SQL Injection: Hình 4.16. Sử dụng sqlmap quét lỗ hổng SQL Injection Kết quả thu được: 118 Hình 4.17. Kết quả thu được từ sqlmap  DirBuster DirBuster có tại http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project, là một công cụ hỗ trợ quét các thư mục liên kết trên trang Web sử dụng phương pháp vét cạn. Ngoài ra, công cụ này cũng cho phép tìm kiếm các lỗ hổng bảo mật trên ứng dụng Web, đặc biệt là với với những thư mục ẩn mà không có đường dẫn. Để sử dụng DirBuster, chỉ cần cài đặt java và thực thi file .jar. Phần mềm sẽ hiển thị một giao diện để người kiểm thử có thể nhập thông tin chi tiết về trang Web muốn dò quét: địa chỉ Website, số thread sử dụng dò quét, file chứa tên thư mục và một số chi tiết dò quét khác. Quan trọng nhất là file chứa tên thư mục vì nó sẽ ảnh hưởng đến độ chính xác và thời gian rà soát. DirBuster có sẵn một số file nằm trong các thư mục thông thường. Khoảng từ file nhỏ với 87.000 mục đến một danh sách lớn với 1.273.819 mục. Với khoảng này, đa số các thư mục ẩn có thể được định vị trong một trang web. Hình 4.18 thể hiện công cụ lúc hoạt động. 119 Hình 4.18. DirBuster 4.5. TỔNG KẾT Mỗi kỹ thuật đánh giá an toàn hệ thống thông tin để xác định điểm yếu mục tiêu đều có điểm mạnh và điểm yếu riêng. Bảng dưới đây sẽ tóm tắt lại các kỹ thuật được trình bày trong chương này: Bảng 8: Các kỹ thuật xác định điểm yếu mục tiêu Tính năng Kỹ thuật Bẻ mật khẩu  Xác định các mật khẩu yếu và mức độ an ninh của các chính sách mật khẩu  Thực hiện các phương pháp và công cụ kiểm thử để xâm nhập tới hệ thống mạng mục tiêu giống như một kẻ tấn công Kiểm thử xâm nhập  Xác nhận các điểm yếu (có thể phát hiện ra từ bước dò quét lỗ hổng bảo mật, nhưng ở bước trên chưa hẳn đã có được thông tin chính xác)  Minh chứng làm thế nào các lỗ hổng có thể bị khai thác và bị leo thang đặc quyền Kỹ nghệ xã hội  Cho phép kiểm tra cả các thủ tục lẫn yếu tố con người (nhận thức của người sử dụng về vấn đề an toàn) 120 Khi thực hiện đánh giá, để chắc chắn rằng các hoạt động đánh giá là được thực hiện một cách an toàn và chính xác thì người đánh giá cần phải có những kỹ năng nhất định. Bảng dưới đây cung cấp những gợi ý về các kỹ năng tối thiểu cần thiết cho mỗi kỹ thuật được nhắc đến trong chương này: Bảng 9: Kiến thức và kỹ năng cần thiết cho xác định điểm yếu mục tiêu Kỹ thuật Bẻ mật khẩu Các kỹ năng cơ bản  Có kiến thức về các thành phần mật khẩu, vấn đề lưu trữ mật khẩu trên các hệ điều hành khác nhau;  Có khả năng sử dụng các công cụ bẻ mật khẩu tự động.  Có kiến thức chuyên sâu về mạng, hệ thống, cơ sở dữ liệu, web, mạng không dây; Kiểm thử xâm nhập Kỹ nghệ xã hội  Có kiến thức chuyên sâu về các lỗ hổng và cách thức khai thác lỗ hổng trên mạng, hệ điều hành, ứng dụng web.  Có khả năng gây ảnh hưởng và thuyết phục mọi người;  Có thể giữ được bình tĩnh dù phải chịu áp lực. 4.6. BÀI TẬP 1. Thực hành một số phương pháp bẻ mật khẩu: Tấn công từ điển, tấn công hybrid, tấn công brute force. 2. Thực hành kiểm thử an toàn tường lửa. 3. Thực hành kiểm thử an toàn hệ điều hành windows. 4. Thực hành kiểm thử an toàn hệ điều hành linux. 5. Thực hành kiểm thử an toàn ứng dụng web. 6. Thực hành kiểm thử an toàn mạng không dây. 7. Thực hành đánh giá áp dụng kỹ nghệ xã hội. 121 Chương 5 LẬP KẾ HOẠCH ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Lên kế hoạch hợp lý là một yếu tố quan trọng để đánh giá an toàn hệ thống thông tin một cách hiệu quả. Phần này sẽ cung cấp phương pháp cho việc tạo chính sách đánh giá, ưu tiên và lập lịch đánh giá, lựa chọn cách tiếp cận đánh giá thích hợp, và giải quyết những vấn đề “hậu cần”. Phần này cũng cung cấp những khuyến nghị cho việc phát triển kế hoạch đánh giá và đưa ra các cân nhắc pháp lý liên quan khi thực hiện đánh giá. 5.1. XÂY DỰNG CHÍNH SÁCH ĐÁNH GIÁ AN NINH Xây dựng chính sách đánh giá an ninh là công việc cần thiết để cung cấp các chỉ dẫn cho việc đánh giá. Chính sách này xác định các yêu cầu đánh giá và quy định trách nhiệm cho các cá nhân để đảm bảo việc đánh giá được thực hiện theo yêu cầu. Chính sách cần chỉ ra được:  Các yêu cầu của tổ chức muốn đánh giá.  Vai trò và trách nhiệm của các đối tượng tham gia đánh giá (cho các cá nhân có liên quan hoặc cho tổ chức thực hiện đánh giá).  Tuân thủ các phương pháp được thiết lập.  Đánh giá thường xuyên.  Yêu cầu tài liệu (như kế hoạch đánh giá và kết quả đánh giá). Sau khi đề xuất và được phê duyệt bởi các lãnh đạo có thẩm quyền, chính sách cần phải được phổ biến tới những người quản lý trong tổ chức – bao gồm người quản lý thông tin (CIO), người quản lý an ninh thông tin (CISO), và người quản lý công nghệ (CTO). Bộ phận quản lý cần truyền đạt chính sách tới các bên thứ 3 để tiến hành đánh giá. Các chính sách này nên có phần đánh giá định kỳ hàng năm, ít nhất 1 lần và bất kỳ khi nào có các yêu cầu mới liên quan đến đánh giá. Những xét duyệt này sẽ xác định có nên tiếp tục thực thi chính sách nữa không, giải quyết những thay đổi cần thiết và cung cấp cơ hội để tổng kết các bài học kinh nghiệm. 122 5.2. XÁC ĐỊNH CÁC ƯU TIÊN VÀ QUY TRÌNH Như là một phần của kế hoạch, vấn đề ưu tiên và theo 1 quy trình cụ thể cần được đặt ra. Các tổ chức sẽ quyết định hệ thống nào cần ưu tiên đánh giá trước và thời gian yêu cầu cho việc thực hiện việc đánh giá. Việc ưu tiên sẽ dựa vào phân loại hệ thống, các lợi ích dự kiến, yêu cầu kế hoạch và quy định áp dụng trong tổ chức. Thời điểm tốt nhất để bắt đầu đánh giá là định lượng phân loại hệ thống và các yêu cầu liên quan đến đánh giá an toàn thông tin. Ở đây, việc đánh giá định lượng tỉ lệ với tác động của hệ thống (ví dụ: thấp, trung bình và cao) và trạng thái đánh giá an ninh là cần thiết để xác định quy trình. Tùy vào yêu cầu của mỗi tổ chức sẽ đề ra lịch trình đánh giá để kiểm chứng sự phù hợp của chính sách cụ thể. Ví dụ, FISMA yêu cầu kiểm tra định kỳ tùy thuộc vào rủi ro, mỗi năm 1 lần. Việc đánh giá nhằm mục đích đưa ra một cái nhìn tổng thể về an toàn của tổ chức tại thời điểm đánh giá, nên tổ chức có thể lựa chọn việc đánh giá thường xuyên hơn. Những xem xét quan trọng về mặt kỹ thuật có thể giúp xác định tần suất kiểm thử. Ví dụ, nếu hệ thống nghi ngờ có một vài điểm yếu, việc kiểm thử có thể tiến hành sớm hơn để khẳng định sự có mặt của điểm yếu đó, hoặc chờ cho đến khi điểm yếu được khắc phục thì sẽ khẳng định đã giải quyết được các điểm yếu. Thời gian sử dụng phụ thuộc vào đối tượng kiểm thử. Một xem xét khác là liệu hệ thống hay hoạt động mạng nào được kiểm thử có thể ảnh hưởng đến chức năng và an toàn của môi trường, ví dụ, nếu tiến hành cập nhật có chức năng quan trọng, việc kiểm thử có thể bị hoãn lại cho tới khi việc cập nhật hoàn tất. Một ví dụ khác về các xem xét kỹ thuật là khi tổ chức muốn xác định các thiết bị giả mạo trên mạng. Việc này có thể được thực hiện bằng việc sử dụng một hoặc nhiều các kỹ thuật, như là quét chủ động hoặc lắng nghe bị động để biết được cấu trúc của mạng, hoặc xem các dữ liệu được thu thập bằng các phần mềm quản lý mạng, các cảm biến phát hiện xâm nhập mạng hoặc các thiết bị khác có thể giám sát hoạt động mạng thường xuyên. Nếu các thiết bị giám sát này có thể đưa ra cảnh báo kịp thời, thì các thiết bị giả mạo đó sẽ bị phát hiện ở 123 trên mạng. Như vậy sẽ không cần phải thực hiện kiểm thử thường xuyên bởi vì hiệu lực kiểm thử vẫn còn tác dụng. Việc xem xét khả năng sẵn sàng của tài nguyên cũng rất cần thiết. Tài nguyên cần được xác định đầu tiên cho hệ thống ưu tiên cao, sau đó thực hiện trong hệ thống ưu tiên thấp với tần suất thấp hơn và giảm dần. Nếu xuất hiện vấn đề giữa việc yêu cầu và đáp ứng tài nguyên, cần phân phối các tài nguyên thay thế hoặc cân nhắc giảm thiểu phạm vi của kế hoạch đánh giá. Các ví dụ về yêu tố phạm vi có liên quan bao gồm:  Kích thước của vật được đánh giá, về mặt thành phần (ví dụ, cơ sở dữ liệu đơn, tất cả hệ thống người dùng, hoặc kiến trúc thực thể) và kích thước mạng (ví dụ, LAN hoặc WAN, số lượng vị trí mạng mà kiểm thử viên sẽ truy cập vật lý vào đó để thực hiện việc kiểm thử.  Sự phức tạp của vật được đánh giá. Các môi trường không đồng nhất thường yêu cầu số lượng tài nguyên lớn bởi vì nhiều bộ kỹ năng và công cụ khác nhau được yêu cầu.  Tính khả thi của việc sử dụng các đánh giá mẫu, với kích thước mẫu và các thành phần mẫu. Ví dụ, quét cổng của một số lượng nhỏ các máy chủ mẫu có hiệu quả hơn quét hàng nghìn máy, đặc biệt nếu máy chủ đó được quản lý và cấu hình tương tự nhau.  Mức độ của tài nguyên cần được kiến hành kiểm thử đặc biệt. ví dụ, có thể mất hàng giờ để đánh giá viên có kinh nghiệm xét duyệt tài liệu an toàn an ninh đầy đủ của hệ thống.  Mức độ tương tác giữa các đối tượng cũng cần tính toán. Ví dụ nếu đánh giá viên phải cùng làm việc với nhân viên CNTT, có thể các nhân viên CNTT sẽ có thêm các kiến thức nhưng sẽ làm tăng thời gian đánh giá hơn so với việc đánh giá viên làm việc độc lập. 5.3. LỰA CHỌN VÀ XÁC ĐỊNH KỸ THUẬT ĐÁNH GIÁ Có nhiều yếu tố để xem xét khi nào xác định kỹ thuật kiểm thử và kiểm tra nên được sử dụng cho một đánh giá cụ thể. Trước hết cần xác định các đối tượng đánh giá, như là tập trung vào kiểm chứng sự tuân thủ với một nhiệm vụ 124 đặc biệt, kiểm tra an toàn của hệ thống như một phần của hoạt động kiểm định và cấp chứng nhận, xác định các lỗ hổng có thể bị khai thác trong hệ thống và đánh giá hệ thống phát hiện xâm nhập và các liên quan đến xử lý hiệu năng quy trình. Tiếp theo, cần lựa chọn các lớp kỹ thuật (ví dụ, xem xét, định danh đích và phân tích, xác nhận lỗ hông) được sử dụng để thu thập thông tin hỗ trợ cho các đối tượng đó, và các kỹ thuật đặc biệt trong các lớp được lựa chọn. Đối với một số kỹ thuật kiểm thử, tổ chức có thể xác định quan điểm của đánh giá viên (ví dụ: bên trong hay bên ngoài, bí mật hay công khai) và lựa chọn các kỹ thuật liên quan. Trong hầu hết các trường hợp, có nhiều hơn 1 kỹ thuật được sử dụng để xác định đối tượng đánh giá nên cần phải xem xét xem công nghệ được sử dụng tốt nhất cho mỗi trường hợp. Như đã đề cập ở trên, một xem xét quan trọng là các tài nguyên – một số kỹ thuật về căn bản đòi hỏi hơn các kỹ thuât khác bởi do loại công cụ được yêu cầu và số lượng giờ làm việc của nhân viên cần nhiều hơn. Một số kỹ thuật có thể mất nhiều thời gian để thực hiện – nếu chỉ có một khoảng thời gian ngắn để thực hiện đánh giá, thì phạm vi và kỹ thuật đòi hỏi tài nguyên cần phải giảm bớt như thực hiện việc quét lỗ hổng hơn việc kiểm thử xâm nhập. Các kỹ năng là một yếu tố quan trọng trong lựa chọn kỹ thuật – ví dụ, tổ chức có thể không có người đánh giá với kỹ năng thích hợp để sử dụng các kỹ thuật đặc biệt. Cần cân nhắc rủi ro cẩn thận khi lựa chọn kỹ thuật đánh giá. Một số kỹ thuật như kiểm thử xâm nhập, có thể dẫn đến việc mất tính sẵn sàng của hệ thống hoặc bộc lộ những dữ liệu nhạy cảm. Trong một số các trường hợp, cần xem xét liệu việc đánh giá có nên tiến hành trên hệ thống sản xuất hay hệ thống không sản xuất có cấu hình tương tự, nếu hệ thống thay thế sẵn sàng hoặc giới hạn việc sử dụng các kỹ thuật trong thời gian cao điểm để giảm thiểu ảnh hưởng tới hệ điều hành mức thấp nhất. Các yếu tố để đánh giá khi thực hiện các quyết định bao gồm:  Các ảnh hưởng có thể xảy ra với hệ thống sản xuất. Ví dụ, nếu kỹ thuật kiểm thử đặc biệt là nguyên nhân gây ra từ chối dịch vụ, nó cần phải được cân nhắc sử dụng cho hệ thống không sản xuất. 125  Các thông tin xác thực cá nhân nhạy cảm (PII). Nếu việc kiểm thử có thể khai thác PII nhạy cảm như số bảo hiểm xã hội (SSN) hoặc thông tin thẻ tín dụng tới các cá nhân không được xác thực để có thể truy cập, tổ chức cần cân nhắc hiệu suất của việc kiểm thử trên hệ thống không sản xuất với các phiên bản lỗi của PII (ví dụ, dữ liệu kiểm thử thay thế cho PII thực tế)  Hệ thống sản xuất và không sản xuất có thể được cấu hình tương tự nhau như thế nào. Trong thực thế, có thể xuất hiện các mâu thuẫn giữa môi trường kiểm thử và môi trường sản xuất, có thể là nguyên nhân bỏ lỡ các lỗ hổng nếu hệ thống không sản xuất được sử dụng. Các kỹ thuật kết hợp thường được sử dụng để có thể có được một kết quả đánh giá an toàn hơn trong khi vẫn duy trì được mức độ rủi ro chấp nhận được đối với hệ thống mạng. Ngoài ra, các kỹ thuật phi công nghệ có thể được sử dụng thay thế hoặc bổ sung cho các kỹ thuật công nghệ, nhiều đánh giá sử dụng cả 2 loại kỹ thuật này. Ví dụ dưới đây chỉ ra các kỹ thuật công nghệ có thể bổ sung cho nhau như thế nào và việc lựa chọn kỹ thuật có thể liên quan đến rủi ro. Mỗi trường hợp khi thực hiện là khác nhau, các tổ chức có thể đánh giá các yêu cầu và đối tượng của mỗi quá trình đánh giá khi xác định các kỹ thuật kết hợp phù hợp:  Xác định điểm yếu công nghệ trong kiến trúc và cấu hình an toàn của hệ thống trong khi giảm thiểu rủi ro từ chính việc đánh giá.  Bước 1: Xét duyệt tài liệu: Xác định điểm yếu của chính sách, điểm yêu của thủ tục và thiếu xót về kiến trúc an toàn thông tin.  Bước 2: Xét duyệt cấu hình an toàn thông tin và tập luật: Xác định việc sai lệch từ chính sách an toàn của tổ chức trong khuôn khổ của kiến trúc an toàn mạng của hệ thống và những thiếu xót an toàn hệ thống.  Bước 3: Quét thiết bị không dây: Xác định các thiết bị không dây trong trạng thái của hệ thống và các điểm yếu kiến trúc an toàn bổ sung liên quan đến mạng không dây sử dụng trong hệ thống. 126  Bước 4: Quét các lỗ hổng và kiến trúc mạng: Xác định tất cả các máy chủ, máy trạm đang hoạt động trong hệ thống và các lỗ hổng trên các máy chủ, máy trạm đó.  Xác định và công nhận các điểm yếu kỹ thuật trong kiến trúc và cấu hình an toàn của hệ thống – việc công nhận sẽ bao gồm các nỗ lực để khai thác các lỗ hổng được lựa chọn.  Bước 1: Xem xét tập luật và cấu hình an toàn: Xác định độ sai lệch từ chính sách an toàn của tổ chức trong các khuôn dạng kiến trúc an toàn mạng hệ thống và những thiếu xót về thủ tục an toàn hệ thống.  Bước 2: Phát hiện mạng và quét lỗ hổng: Xác định tất cả các máy đang hoạt động trong hệ thống và các lỗ hổng trên các máy đó.  Bước 3: Thực hiện kiểm thử xâm nhập với kỹ nghệ xã hội: Kiểm tra để có thể khẳng định các lỗ hổng trong hệ thống.  Xác định và công nhận các điểm yếu kỹ thuật trong kiến trúc an toàn và cấu hình an toàn của hệ thống từ quan điểm của kẻ tấn công ngoài hệ thống – việc công nhận sẽ gồm các nỗ lực khai thác một vài hoặc tất cả các lỗ hổng. Đánh giá khả năng của các tấn công tới hệ thống.  Bước 1: Kiểm thử xâm nhập bên ngoài: Thực hiện phát hiện các mạng bên ngoài, quét cổng, quét lỗ hổng và các tấn công để xác định và công nhận các lỗ hổng hệ thống.  Bước 2: Xem xét nhật ký: Xem xét các nhật ký thống kê của kiểm soát an toàn cho hệ thống để xác định ảnh hưởng trong việc thu thập dữ liệu liên quan đến các hoạt động kiểm thử xâm nhập bên ngoài. 5.4. CÁC VẤN ĐỀ LIÊN QUAN TỚI CHUẨN BỊ (HẬU CẦN) ĐÁNH GIÁ Giải quyết hậu cần đánh giá bao gồm việc xác định tất cả các tài nguyên được yêu cầu cho thực hiện đánh giá, môi trường cho kiểm thử và công cụ phần cứng, phần mềm yêu cầu cho kiểm thử. 127 Việc xác định yêu cầu hậu cần đánh giá rất quan trọng cho mỗi lần kiểm thử trong giai đoạn lập kế hoạch. Phụ thuộc vào phạm vi và môi trường, các kiểm thử riêng lẻ có thể có các yêu cầu hậu cần bổ sung như đề xuất yêu cầu cho mỗi đội kiểm thử bên ngoài, trao đổi thiết bị để thuận tiện cho việc kiểm thử và lập kế hoạch cho vận chuyển đường dài hoặc nội bộ. Điều này cần phải giải quyết dựa trên các trường hợp cụ thể trong quá trình lập kế hoạch. 5.4.1. Lựa chọn đánh giá viên Lựa chọn đánh giá viên để thực hiện kiểm thử cũng rất quan trọng đối với các tổ chức đánh giá bởi vì với đánh giá viên có kinh nghiệm, có kỹ thuật và chuyên môn sẽ giảm thiểu các rủi ro liên quan trong tiến hành kiểm thử an toàn. Trong quá trình đánh giá, đánh giá viên có thể yêu cầu truy cập tới các thông tin nhạy cảm trong hệ thống mạng, hoặc yêu cầu được cung cấp kiến trúc hệ thống, các nền tảng an ninh thông tin liên quan. Nếu các đánh giá viên không có kinh nghiệm xử lý sau khi thực hiện đánh giá, họ có thể tạo ra các lỗ hổng khác để kẻ tấn công lợi dụng theo đó mà thực hiện truy cập vào hệ thống mạng. Nhiều tổ chức xây dựng riêng cho mình đội ngũ đánh giá an toàn thông tin, chuyên thực hiện các đánh giá trong nội bộ. Phụ thuộc vào kiến trúc, kích thước, vị trí và tài nguyên có sẵn của tổ chức, các đội có thể được chia ra theo vị trí địa lý hoặc tập trung và phát triển các khu vực khác nhau để tiến hành đánh giá. Một vài đội thực hiện năng lực chuyên môn đặc biệt như kiểm thử an toàn mạng không dây, trong khi các đội khác có thể giải quyết nhiều lĩnh vực trong an toàn hệ thống với mức bảo mật sâu. Vi dụ, một đội có một số thành viên có khả năng xem xét cấu hình hệ thống, một số thành viên khác có khả năng khai thác các lỗ hổng để chỉ ra các biện pháp an ninh không hiệu quả. Đánh giá viên phải có kiến thức chuyên môn tốt về an ninh bảo mật và mạng máy tính, bao gồm an toàn mạng, tường lửa, hệ thống phát hiện xâm nhập, hệ điều hành, lập trình và các giao thức mạng (như TCP/IP). Tuy nhiên, kinh nghiệm thực tế là cần thiết hơn so với chỉ kinh nghiệm có được trong quá trình học tập hoặc thử nghiệm trong phòng thí nghiệm. Nếu đánh giá viên không có kinh nghiệm và chưa qua đào tạo thực hiện kiểm thử có thể dẫn đến những ảnh hưởng tiêu cực tới hệ thống và mạng của tổ 128 chức, làm ảnh hưởng cũng như tổn hại đến uy tính của cơ quan đánh giá. Ngoài ra, cần phải có một người trong đội đánh giá có kỹ năng tổng hợp kỹ thuật tốt, sẽ giúp truyền tải các kết quả của việc đánh giá hiệu quả hơn, đặc biệt là đối với những khách hàng và người dùng có ít kinh nghiệm về kỹ thuật. Khi việc đánh giá được thực hiện bởi một nhóm đánh giá, trưởng nhóm là người có trách nhiệm tìm hiểu các yêu cầu đánh giá, tổ chức đánh giá và phân công nhiệm vụ cho các thành viên trong nhóm. Các lựa chọn này phụ thuộc vào trình độ cũng như sự hiểu biết của trưởng nhóm về các kỹ năng của các thành viên, về các tài nguyên sẽ được đánh giá. Ngoài ra, trưởng nhóm cũng cần có các kỹ năng mềm như giao tiếp, tổ chức, lập kế hoạch và giải quyết xung đột. Các kỹ năng của các thành viên trong một đội đánh giá cần phải được cân bằng để có thể cung cấp một cái nhìn đầy đủ về vấn đề an ninh của tổ chức. Ví dụ, một người có chuyên môn về bảo vệ vòng ngoài là rất cần thiết, nhưng sẽ là dư thừa khi ở trong một nhóm gồm toàn các thành viên chuyên về lĩnh vực này trừ khi đánh giá đó chỉ tập trung duy nhất vào việc xác định các thế trận bảo vệ cho vành đai. Lý tưởng nhất, một đội sẽ được hình thành dựa trên các yêu cầu của việc đánh giá và kiểm thử. Các đặc trưng của hệ thống cũng rất quan trọng, ví dụ, hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) có các thành phần đặc biệt mà nhiều đánh giá viên truyền thống không tiếp cận được, làm giảm khả năng của đánh giá viên để kiểm thử an toàn và đầy đủ độ an ninh của hệ thống này. Trong trường hợp này, có thể cần một hoặc nhiều các chuyên gia cố vấn (SME) để tăng cường cho các đánh giá viên. SME có thể là những người kiểm thử an ninh và các chuyên gia hệ thống có kinh nghiệm, hay có thể có kỹ năng chỉ trong việc kiểm thử hệ thống. Các SME cần được cung cấp các thông tin liên quan tới mục đích, đối tượng, cách tiếp cận và quy trình đánh giá để họ có thể thực hiện được các nhiệm vụ của mình. Đánh giá viên cần biết về các kỹ thuật, công nghệ mới mà một kẻ tấn công có thể sử dụng để thực hiện xâm nhập. Do vậy, đánh giá viên cần phải thường xuyên cập nhật kiến thức, phương thức cũng như các công cụ phục vụ cho việc đánh giá. Ví dụ, tham gia vào các khóa đào tạo công nghệ, thực hiện 129 kiểm thử trong môi trường thử nghiệp, nghiên cứu các lỗ hổng mới là một số các hoạt động mà đánh giá viên cần tham gia thường xuyên. Đánh giá viên cũng cần thực hiện kiểm thử kỹ thuật trong môi trường hoạt động để duy trì và nâng cao kỹ năng của họ. Trách nhiệm của đánh giá viên gồm:  Thông báo cho các bên liên quan – như nhân viên an ninh, quản lý, quản trị hệ thống và người dùng – về các hoạt động đánh giá an toàn an ninh.  Phát triển xây dựng kế hoạch đánh giá với những người quản trị hệ thống, các nhân viên an toàn an ninh hệ thống thông tin (ISSO) và các CISO.  Thực thi việc kiểm tra và kiểm thử, thu thập các dữ liệu liên quan.  Phân tích các dữ liệu được thu thập và phát triển các khuyến nghị giản lược.  Thực hiện các kiểm tra và kiểm thử bổ sung khi cần thiết để xác nhận các hoạt động giản lược. Trong một số trường hợp, cần thêm sự tham gia của bên thứ ba (ví dụ: kiểm toán viên, các nhân viên hỗ trợ đấu thầu,…) để việc đánh giá có một cái nhìn độc lập và các tiếp cận độc lập với đánh giá viên nội bộ. Một số tổ chức thuê bên thứ 3 để cung cấp các chuyên gia có trình độ chuyên môn cao mà tổ chức không có. Mặc dù cần phải có cái nhìn tổng thể đối với vấn đề an ninh từ bên ngoài, nhưng khi tạo điều kiện cho những đánh giá viên từ bên ngoài được phép truy cập vào hệ thống có thể phát sinh thêm rủi ro. Khi thuê các đánh giá viên bên ngoài, cần phải xem xét cẩn thận để đảm bảo rằng họ có những kỹ năng, kinh nghiệm cần thiết và cả việc yêu cầu bồi thường thiệt hại nếu có xảy ra vấn đề liên quan trong quá trình đánh giá. Các đánh giá viên bên ngoài cũng cần phải hiểu biết và tuân tủ các chính sách bảo mật của tổ chức khi thực hiện đánh giá. Trách nhiệm của đánh giá viên bên ngoài: 130  Phối hợp và trao đổi các vấn đề liên quan với tổ chức được đánh giá.  Đảm bảo các quyền được gán và duy trì các bản sao được ký duyệt của kế hoạch đánh giá để đảm bảo tất cả các cập nhật đều được ghi lại.  Ký kết và tuân thủ các thỏa thuận về không tiết lộ thông tin bí mật của tổ chức.  Bảo vệ dữ liệu theo quy định của tổ chức, bao gồm việc xử lý, truyền nhận, lưu trữ và xóa tất cả các dữ liệu thu thập được cũng như các báo cáo kết quả. 5.4.2. Lựa chọn vị trí Các đánh giá viên có thể làm việc ở các môi trường khác nhau tùy thuộc vào phương pháp mà họ sử dụng. Khi thực hiện kiểm thử, đánh giá viên có thể làm việc tại chỗ hoặc từ xa, với kiểm thử trực tiếp (tại chỗ) được cho là kiểm thử thực hiện ngay tại vị trí của tổ chức. Tuy nhiên, việc thực hiện kiểm thử từ xa có thể thực hiện được nhiều vấn đề thực tế hơn (ví dụ như khi áp dụng phương pháp kiểm thử hộp đen). Khi thực hiện kiểm tra, đánh giá viên thường làm việc trực tiếp. Khi đó họ có thể dễ dàng truy cập vào các tài liệu an toàn an ninh, nhật ký và các tài liệu quan trọng của tổ chức. Với các đánh giá được thực hiện bởi bên thứ 3, tổ chức có thể cần phải xác định mức độ truy cập vật lý phù hợp (ví dụ như: không giới hạn, hoặc bị giám sát). Với các đánh giá kỹ thuật được thực hiện từ bên trong hệ thống mạng, như xem xét cấu hình an ninh và dò quét lỗ hổng, đánh giá viên có thể truy cập vào mạng nội bộ, thông qua mạng riêng ảo được mã hóa (VPN) hoặc thông qua một kết nối chuyên dụng từ một môi trường tin cậy. Đánh giá viên có thể yêu cầu các mức độ truy cập khác nhau tới mạng phụ thuộc vào công cụ mà họ sử dụng. Một vài công cụ yêu cầu các đặc quyền ưu tiên của quản trị mạng hoặc quản trị miền. Trong trường hợp này, tổ chức có thể tạo tài khoản quản trị mới để phục vụ cho quá trình đánh giá. Mỗi đánh giá viên sẽ được cấp một tài khoản riêng của họ. Riêng đối với tài khoản quản trị thì không nên chia sẻ với bất kỳ lý do nào. Việc này cho phép tổ chức có thể giám 131 sát các tài khoản đó để có thể vô hiệu hóa hoặc xóa bỏ khi kết thúc quá trình đánh giá. Việc đánh giá kỹ thuật có thể được thực hiện từ bên ngoài phạm vi mạng của tổ chức theo một số kịch bản. Hệ thống của phía đánh giá có thể kết nối trực tiếp với một thiết bị ngoại vi (như router biên) để duy trì kết nối của đánh giá viên với các vòng biên vật lý và logic của tổ chức. Tuy nhiên sử dụng vị trí này không đưa ra một đánh giá đúng về các vấn đề an ninh của tổ chức từ góc nhìn của kẻ tấn công. Kiểm thử bên ngoài có thể được thực hiện từ một phòng thí nhiệm với kết nối internet độc lập với hệ thống mạng của tổ chức được kiểm thử (ví dụ, các đánh giá viên bên thứ 3 tiến hành kiểm thử từ cơ sở của họ) Các tổ chức thực hiện kiểm thử từ xa cũng có thể lựa chọn thuê một máy chủ hoặc một kết nối Internet độc lập. Những dịch vụ này có thể được cung cấp theo phí hàng tháng. Nếu máy chủ thuê được sử dụng, các đánh giá viên cần phải đảm bảo chắc chắn rằng dữ liệu trên hệ thống phải được xóa và khôi phục lại trước khi tiến hành kiểm thử an toàn. Khi kiểm thử được hoàn tất, đội đánh giá cần phải tuân theo hướng dẫn được chỉ ra trong phần 6.4 để xử lý dữ liệu. Khi lựa chọn địa điểm cho hoạt động đánh giá, cần cân nhắc các rủi ro vốn có của việc sử dụng địa điểm bên ngoài. Các vị trí bên ngoài có ít kiểm soát truy cập vật lý và logic hơn các vị trí bên trong, nên có thể các dữ liệu và hệ thống đánh giá bị đặt vào những rủi ro tiềm ẩn. Luồng dữ liệu mạng giữa vị trí bên ngoài và các cơ sở hạ tầng của tổ chức cũng bị đặt vào những mối nguy hiểm lớn hơn khi có thể bị giám sát, nghe lén bởi các bên không đủ thẩm quyền muốn khai thác điểm yếu của tổ chức đã được kiểm thử hủy bỏ. Cũng có thể cung cấp nhiều loại kiểm thử như kiểm thử xâm nhập qua mạng của bên thứ 3. Việc kiểm thử này có thể xuất hiện những mã độc ngay trong việc sử dụng mạng và có thể vi phạm các chính sách bảo mật của nhà cung cấp mạng. 5.4.3. Lựa chọn tài nguyên và công cụ kỹ thuật Hệ thống thông tin được phát triển để thực thi việc đánh giá an ninh cần đáp ứng các yêu cầu của loại hình đánh giá và các công cụ đánh giá được thực hiện. Ví dụ, hệ thống cho việc xem xét tài liệu cần có những ứng dụng được cài đặt để đọc tài liệu, theo dấu các lỗ hổng và soạn các báo cáo. Các hệ thống được 132 thiết kế để thực thi việc kiểm thử như đánh giá lỗ hổng và kiểm thử xâm nhập sẽ có các yêu cầu hệ thống và công cụ phần mềm phức tạp hơn. Hệ thống phục vụ cho đánh giá có thể bao gồm các máy chủ, máy trạm hoặc máy tính xách tay. Máy tính xách tay dùng cho các đánh giá viên phải di chuyển, các máy chủ và máy trạm phục vụ cho việc thực hiện trong phòng thí nghiệm kiểm thử hoặc ngay trong hệ thống. Đánh giá viên có thể thiết lập một mạng từ các công nghệ thực thi - điều này cung cấp một môi trường có thể hỗ trợ các hoạt động ghi log tập trung và các máy chủ chuyên dụng cho các hoạt động này yêu cầu phải tăng khả năng tính toán. Các yêu cầu của những hệ thống kiểm thử là khác nhau. Một hệ thống có thể xử lý các tiến trình và yêu cầu bộ nhớ của tất cả các công cụ, hệ điều hành, và máy ảo (VM) nên được sử dụng để giảm bớt khả năng hệ thống thật bị sập trong quá trình kiểm thử. Hệ thống bị sập sẽ làm cho các thành phần của quá trình kiểm thử phải hoạt động lại, dữ liệu bị mất, hệ thống kiểm thử phải thực hiện lại. Các yêu cầu về hiệu suất của vi xử lý cũng như bộ nhớ được cân nhắc dựa trên các công cụ được sử dụng và tốc độ thực hiện kiểm thử để xử lý được toàn bộ nhiệm vụ. Ví dụ, đối với việc bẻ khóa mật khẩu, thường yêu cầu bộ nhớ và tốc độ tính toán cao, do đó đội kiểm thử có thể yêu cầu một máy chủ bẻ khóa mật khẩu chuyên dụng. Một hệ thống chuyên dụng cũng có thể cho phép thực hiện các đối tượng kiểm thử khác trong quá trình bẻ khóa mật khẩu. Các yêu cầu phần cứng phụ thuộc vào dữ liệu được thu thập trong suốt quá trình kiểm thử. Trong trường hợp yêu cầu lưu trữ dữ liệu lâu dài, một phương pháp lưu trữ (ví dụ, phương tiện lưu trữ di động, hệ thống độc lập) cần phải xác định và chuẩn bị hợp lý. Các công cụ sử dụng để kiểm thử có thể thay đổi tùy thuộc vào phạm vi kiểm thử, nhưng đội kiểm thử cũng cần phải có một bộ công cụ chủ chốt mà sẽ thường sử dụng và cần thường xuyên cập nhật. Phụ thuộc vào khả năng tham gia và tổ chức, đội kiểm thử có thể kết hợp các công cụ tự phát triển, mã nguồn mở hoặc các công cụ phần mềm thương mại có sẵn. Các công cụ nên được lấy từ các nguồn đáng tin cậy và đảm bảo. Một vài tổ chức cũng thể sử dụng các công mà họ yêu cầu hoặc công cụ đưa ra cho các nhóm kiểm thử, ví dụ như tổ chức mua bản quyền của một công cụ và tất cả các nhóm có thể sử dụng sản phẩm đó. 133 Một vài công cụ miễn phí có sẵn cũng rất hữu ích cho kiểm thử. Tuy nhiên nên đánh giá cẩn thận mỗi công cụ trước khi sử dụng trong việc kiểm thử. Việc này có thể cần lưu ý từ khi tải công cụ ở một nguồn tin cậy tới khi tiến hành xem xét sâu trong mã nguồn để đảm bảo công cụ không chứa mã độc. Thông thường, các công cụ cho phép xác định hệ điều hành yêu cầu để thực hiện kiểm thử, bao gồm cả các yêu cầu cho nhiều hệ điều hành. Các hệ thống có thể cấu hình theo nhiều cách khác nhau, bao gồm hệ điều hành đơn, hệ điều hành đơn với máy ảo, hệ thống khởi động song song (dual boot). Ví dụ về hệ thống khởi động song song là một hệ thống có thể khởi động ở cả hệ điều hành Microsoft Windows và cả ở Linux như Kali Linux, Ubuntu hoặc CentOS. Hệ thống khởi động song song cho phép người kiểm thử sử dụng 2 hệ điều hành từ một máy, nhưng có thể gây ra bất tiện bởi vì người kiểm thử cần khởi động lại hệ thống để chuyển đổi giữa các hệ điều hành và các công cụ. Một lựa chọn phổ biến và hiệu quả là sử dụng máy ảo (Virtual Machines). nhiều công cụ kiểm thử yêu cầu hệ điều hành đặc biệt và VM cho phép người kiểm thử chuyển đổi giữa các hệ điều hành khác nhau mà không cần khởi động lại hệ thống. Như vậy người kiểm thử có thể chạy được nhiều loại công cụ sử dụng với nhiều hệ điều hành khác nhau trên 1 máy tính. Điều này sẽ mang lại nhiều lợi ích, bao gồm việc ghi log, thực hiện lưu trữ dữ liệu và thực hiện kiểm thử đồng thời. Tuy nhiên, với các hệ thống sử dụng 2 hoặc nhiều hệ điều hành cùng lúc thì cũng sẽ yêu cầu bộ nhớ và tốc độ xử lý lớn hơn. Người kiểm thử cần có các kiến thức, kinh nghiệm và sử dụng thành thạo các tất cả các hệ điều hành trên hệ thống kiểm thử bởi vì các công cụ kiểm thử hoặc hệ thống kiểm thử có thể thường xuyên thay đổi. Ví dụ, nếu đội kiểm thử đang sử dụng Kali Linux để tiến hành kiểm thử an toàn mạng không dây, nhóm sẽ cần phải làm quen với việc cài đặt và cấu hình card mạng không dây trước đó bởi vì các bước thực hiện có thể không được thực hiện đúng bởi một người dùng mới sử dụng Kali Linux. Cho dù hệ thống sử dụng phương pháp cài đặt nào, thì tổ chức tiến hành kiểm thử an toàn cũng cần phát triển và duy trì bản sao cơ sở để tiến hành cho kiểm thử. Bản sao sẽ cung cấp bộ công cụ chuẩn cho nhóm để sử dụng và cho 134 phép triển khai một cách nhanh chóng. Bản sao cơ sở có thể bao gồm hệ điều hành, các trình điều khiển (drivers), hệ thống cần thiết và các cấu hình bảo mật, các ứng dụng, các công cụ để tiến hành kiểm thử, bao gồm các cơ chế để tự động ghi log các hành động của đánh giá viên (ví dụ, các câu lệnh được sử dụng). Bản sao đầy đủ của hệ thống thường phụ thuộc phần cứng, vì vậy việc cài đặt bản sao lên hệ thống khác với phần cứng khác nhau (như card màn hình) yêu cầu phải chỉnh sửa lại bản sao. Việc này yêu cầu các kỹ năng đặc biệt và khá tốn thời gian. Bản sao máy ảo linh hoạt và không bị giới hạn phần cứng như bản sao hệ thống đầy đủ, giúp có thêm lựa chọn thuận lợi cho đội kiểm thử. Đội kiểm thử đa chức năng với các kỹ năng để thực hiện quét mạng không dây, kiểm thử ứng dụng, đánh giá lỗ hổng và kiểm thử xâm nhập, có thể có một bản sao bao gồm các công cụ được yêu cầu để thực thi tất cả các loại kiểm thử hoặc nhiều bản sao cho nhiều công nghệ. Việc sử dụng một bản sao thường phù hợp hơn, vì giữ lại nhiều hình ảnh yêu cầu có sự bảo trì bổ sung. Bản sao VM cần được cập nhật định kỳ để đảm bảo chỉ có duy nhất một phiên bản và công cụ mới nhất được sử dụng. Trong suốt quá trình cập nhật, đội kiểm thử cần xác nhận công cụ có bất kỳ thay đổi nào trong việc sử dụng với văn bản phù hợp. Việc nâng cấp công cụ phát hiện lỗ hổng (ví dụ: vulnerability scanners) trước khi kiểm thử giúp đảm bảo các lỗ hổng đã được phát hiện gần đây là một phần của quá trình kiểm thử. Thêm vào đó, việc bảo trì, duy trì bộ công cụ kiểm thử có sẵn, đội kiểm thử nên đánh giá định kỳ bộ công cụ để loại bỏ các công cụ đã lạc hậu và bổ sung các công cụ mới. Trước khi sử dụng hệ thống kiểm thử để kiểm thử an toàn, đội kiểm thử cũng cần áp dụng các bản vá bảo mật mới nhất và cho phép chỉ có các dịch vụ cần cho việc kết nối và kiểm thử được hoạt động. Việc này áp dụng tới tất cả các hệ điều hành sử dụng cho việc kiểm thử, bao gồm cả trong VM. Nhóm bảo mật của tổ chức có thể xác nhận rằng hệ thống kiểm thử phù hợp với yêu cầu bảo mật của tổ chức và được chấp thuận để kiểm thử trước khi kết nối hệ thống với mạng. Việc xác nhận có thể được thực hiện qua các hệ thống tương tự sử dụng cho kiểm thử kỹ thuật như quét lỗ hổng. Hệ thống kiểm thử có thể không đáp ứng tất cả các yêu cầu bảo mật của hệ thống bởi vì các yêu cầu của công cụ sử 135 dụng cho kiểm thử như một vài kiểm soát an ninh có thể can thiệp vào công cụ để ngăn cản việc quét và tấn công bằng những công cụ này. Trong trường hợp này, người đánh giá có thể vô hiệu hóa các kiểm soát an ninh khi sử dụng công cụ. Đội kiểm thử di động cần có một bộ kit phù hợp gồm hệ thống, bản sao, công cụ bổ sung, cáp, máy chiếu và các thiết bị khác mà đội cần cho thực hiện kiểm thử tại các địa điểm khác nhau. Nếu tổ chức sử dụng một đội kiểm thử từ bên ngoài, đội đó không cần phải sử dụng tài nguyên của hệ thống trừ khi bắt buộc phải dùng. Nếu tổ chức không cấp phép cho hệ thống bên ngoài kết nối vào hệ thống mạng thì đội kiểm thử bên ngoài sẽ cần phải cài đặt tất cả các công cụ vào một hệ thống máy trạm được phê duyệt hoặc mang theo một hệ thống khởi động như đĩa CD khởi động. 5.5. PHÁT TRIỂN KẾ HOẠCH ĐÁNH GIÁ Kế hoạch đánh giá cung cấp cấu trúc và trách nhiệm bằng việc ghi lại các hoạt động đã được lên kế hoạch cho việc đánh giá cùng với các thông tin liên quan. Phần này sẽ cung cấp các thông tin bổ sung trong kế hoạch đánh giá và giải quyết một vài bước riêng biệt mà đánh giá viên cần cân nhắc trong việc phát triển một kế hoạch. Các bước phát triển kế hoạch: 1. Xác định phương pháp đánh giá kiểm soát an ninh. 2. Xác định các kiểm soát an ninh và các cải tiến kiểm soát trong việc đánh giá. 3. Lựa chọn các thủ tục đánh giá thích hợp để sử dụng trong đánh giá dựa vào kiểm soát an ninh và cải tiến kiểm soát trong kế hoạch an ninh hệ thống. 4. Biến đổi các thủ tục đánh giá cho mức độ ảnh hưởng của hệ thống an ninh và môi trường hoạt động của tổ chức. 5. Phát triển các thủ tục đánh giá bổ sung, nếu cần, để đáp ứng các kiểm soát an ninh và cải tiến kiểm soát khác. 136 6. Phát triển một kế hoạch để áp dụng cho việc đánh giá từ xa. 7. Tối ưu hóa các thủ tục đánh giá để giảm thiểu việc trùng lặp và cung cấp các giải pháp đánh giá hiệu quả cao và chi phí hợp lý. 8. Hoàn thiện kế hoạch đánh giá và có được sự chấp thuận để triển khai. Mỗi một đánh giá cần có một kế hoạch đánh giá phù hợp, không phụ thuộc vào phạm vi, mức độ xâm nhập và sự tham gia của các bên thực hiện kiểm thử (như là nội bộ, hoặc bên thứ 3). Kế hoạch này cung cấp các luật và giới hạn để người đánh giá phải tuân thủ và bảo vệ tổ chức, bằng việc giảm thiểu nguy cơ xảy ra sự cố như làm cho hệ thống bị khởi động lại hoặc tiết lộ các thông tin nhạy cảm. Kế hoạch đánh giá cũng bảo vệ đội kiểm thử bằng việc đảm bảo rằng quản trị của tổ chức hiểu và đồng ý với phạm vi, hoạt động và giới hạn của đánh giá. Việc phát triển kế hoạch đánh giá cần có một quá trình hợp tác giữa người đánh giá và các thành viên chủ chốt của nhóm bảo mật tổ chức. Kế hoạch đánh giá cần giải quyết các câu hỏi cơ bản sau:  Phạm vi của đánh giá là gì?  Ai là người có thẩm quyền tiến hành đánh giá?  Logic của đánh giá là gì?  Dữ liệu nhạy cảm cần phải xử lý như thế nào?  Điều gì sẽ xảy ra trong trường hợp có sự cố? Kế hoạch đánh giá cần xác định hệ thống và mạng nào được uỷ quyền để kiểm tra và kiểm thử. Cần phải cung cấp một số các hệ thống và địa chỉ IP hoặc dải địa chỉ được dùng. Kế hoạch cũng cần liệt kê các hệ thống cụ thể thông qua địa chỉ IP và có có thể là tên hệ thống không được uỷ quyền để kiểm tra hoặc kiểm thử. Ví dụ, nếu cơ sở dữ liệu bảng lương của tổ chức được cho là nhạy cảm để tiến hành kiểm thử, thì tên hệ thống và địa chỉ IP của máy chủ cơ sở dữ liệu bảng lương cần được xác định trong danh sách loại trừ của kế hoạch kiểm thử. Nếu tổ chức không kiểm soát một phần hoặc toàn bộ hệ thống mạng như có một phần hệ thống đặt trên mạng của bên thứ ba, thì người sở hữu mạng đó có thể 137 đồng ý cho tiến hành đánh giá. Trường hợp này liên quan đến việc hệ thống được chia sẻ dùng chung, như hệ thống sử dụng công nghệ máy ảo để cung cấp dịch vụ cho nhiều hệ thống. Bằng việc xây dựng kế hoạch đánh giá, các bên tham gia có thể xác nhận và phê duyệt các đánh giá. Bên cạnh việc xác định hệ thống được uỷ quyền cho đánh giá, kế hoạch đánh giá cần phải chi tiết loại và mức độ kiểm thử được cho phép. Ví dụ, nếu tổ chức muốn đánh giá lỗ hổng, kế hoạch đánh giá cần cung cấp thông tin cho những hoạt động hợp pháp được thực hiện trên mạng mục tiêu, như: xác định cổng và dịch vụ, quét lỗ hổng, xem xét cấu hình an ninh, bẻ khoá mật khẩu – với đầy đủ các chi tiết để mô tả các loại kiểm thử, cách tiếp cận và công cụ. Ví dụ, nếu việc bẻ khoá mật khẩu được thực hiện, các phương pháp thông qua mật khẩu sẽ được tập hợp lại (ví dụ, nghe lén trên mạng hoặc sao chép tập tin mật khẩu trên hệ điều hành) để tổng hợp trong kế hoạch đánh giá. Kế hoạch đánh giá cần phải nêu rõ các hoạt động bị cấm – ví dụ, việc tạo và sửa đổi tập tin. Nếu các thắc mắc liên quan đến phạm vi và mức độ thẩm quyền trong quá trình đánh giá, người đánh giá và tổ chức cần phải thảo luận với nhau. Kế hoạch cần phải chỉ ra các chi tiết logic của các vấn đề liên quan, như thời gian hoạt động của đánh giá viên, làm sạch môi trường đánh giá, kế hoạch tạm thời với các thông tin liên hệ hiện tại, các trung tâm điều hành an ninh và mạng, và các đầu mối liên hệ của tổ chức cho việc đánh giá, địa điểm vật lý mà các hoạt động đánh giá được bắt đầu và các công cụ thiết bị được sử dụng cho việc đánh giá. Trong kế hoạch cũng cần xác định mọi yêu cầu để thông tin cho các cơ quan chủ quản, đơn vị thực thi pháp luật và đội phản ứng sự cố máy tính. Ngoài ra, cũng cần xác định người có trách nhiệm thông báo việc đánh giá an ninh cho tổ chức sắp diễn ra. Trong trường hợp không thông báo kiểm thử, kế hoạch đánh giá cũng cần phải xác định việc xóa và báo cáo các hoạt động kiểm thử như thế nào. mục đích chính của việc này là đảm bảo các hoạt động đánh giá không sinh ra báo cáo an ninh tới các bên khác, như là đội phản ứng sự cố từ xa. Địa chỉ IP của các thiết bị sử dụng cho việc đánh giá cũng cần phải xác định trong kế hoạch kiểm thử để cho phép người quản trị có thể phân biệt các hoạt động kiểm thử như tấn công kiểm thử xâm nhập với các tấn công độc hại 138 thực sự. Nếu để thích hợp với mục tiêu đánh giá, các quản trị an ninh có thể cấu hình hệ thống phát hiện xâm nhập và các thiết bị theo dõi an ninh khác nhằm loại bỏ các địa chỉ IP phát sinh thêm các hành động trong suốt quá trình kiểm thử. Yêu cầu xử lý dữ liệu cũng cần phải xác định trong kế hoạch đánh giá, bao gồm:  Lưu trữ các dữ liệu của tổ chức trong quá trình đánh giá trên hệ thống của đánh giá viên, bao gồm các an toàn vật lý của hệ thống, mật khẩu và dữ liệu mã hóa.  Lưu trữ dữ liệu khi kết thúc đánh giá để đáp ứng yêu cầu lưu trữ lâu dài hoặc theo dõi lỗ hổng.  Vận chuyển dữ liệu trong và sau khi đánh giá qua mạng nội bộ và bên ngoài (như internet).  Loại bỏ các dữ liệu từ các hệ thống dựa trên kết luận của đánh giá, đặc biệt đối với các đánh giá của bên thứ ba bao gồm các tài liệu tham khảo cho các yêu cầu cụ thể được quy định bởi các chính sách và thủ tục của tổ chức điều hành. Cuối cùng, kế hoạch đánh giá cần đưa ra hướng dẫn đặc biệt để xử lý sự cố trong trường hợp mà sự cố do các đánh giá viên gây ra hoặc phát hiện sự cố trong quá trình đánh giá. Kế hoạch cần phải xác định chính xác khái niệm sự cố và cung cấp hướng dẫn để xác định liệu sự cố có xảy ra hay không. Kế hoạch cũng cần xác định các đầu mối liên hệ chủ chốt và tạm thời cho người đánh giá, thường thì đó là đội trưởng đội đánh giá, đội trưởng đội trợ lý và các nhóm bảo mật của hệ thống. Hướng dẫn cũng cần bao gồm các hành động mà đánh giá viên và nhóm bảo mật của tổ chức cần phải thực hiện nếu sự cố xảy ra. Ví dụ, nếu đánh giá viên phát hiện có kẻ xâm nhập hoặc phát hiện ra dấu vết xâm nhập trong mạng, thì có cần phải dừng việc kiểm thử hay vẫn tiếp tục. Nếu dừng, thì khi nào việc kiểm thử bắt đầu lại và cơ quan nào có thẩm quyền. Kế hoạch đánh giá cần cung cấp một hướng dẫn rõ ràng, xúc tích về các hành động mà đánh giá viên cần thực hiện trong các trường hợp này. 139 Một số việc đánh giá sử dụng ROE để thay cho kế hoạch đánh giá, ROE bao gồm các thông tin tương tự như kế hoạch đánh giá và cũng xử lý các hành động kiểm thử thường bị tổ chức ngăn cấm. Ví dụ, một số các hành vi được thực hiện trong quá trình kiểm thử xâm nhập, như là phát động tấn công gây tổn hại hệ thống sẽ là hành động bị cấm thực hiện trong chính sách của tổ chức. ROE cung cấp thẩm quyền cho đánh giá viên thực hiện các hành động trong quá trình đánh giá. Mỗi tổ chức cần xác định giữa việc sử dụng kế hoạch đánh giá và ROE. Tổ chức cũng cần xem xét việc phát triển kế hoạch đánh giá hoạch các mẫu ROE hoặc các dự thảo từng phần và yêu cầu thực hiện nhất quán. 5.6. XEM XÉT PHÁP LÝ Vấn đề về luật pháp cho việc đánh giá cũng cần được xem xét trước khi tiến hành đánh giá. Khi các chuyên gia tư vấn luật pháp tham gia vào quá trình đánh giá thì cần phải khuyến cáo rằng họ phải được tham gia các kiểm thử xâm nhập. Nếu tổ chức ủy quyền cho một thực thể bên ngoài thực hiện việc đánh giá thì phải có sự tham gia của các tổ chức pháp chế. Các phòng pháp chế có thể hỗ trợ việc xem xét kế hoạch đánh giá hoặc cung cấp các điều khoản bồi thường hoặc giới hạn trong hợp đồng được ký với bên đánh giá an ninh – đặc biệt là với những loại kiểm thử như kiểm thử xâm nhập. Các phòng pháp chế có thể yêu cầu các bên liên quan ký kết thoả thuận để tránh việc đánh giá viên tiết lộ các thông tin nhạy cảm, độc quyền hoặc bị giới hạn tới các đối tượng không có thẩm quyền. Phòng pháp chế cũng xem xét các cân nhắc mang tính riêng tư của tổ chức. Hầu hết các tổ chức có những bảng cảnh báo hoặc những thỏa thuận rằng việc tiết lộ hệ thống sẽ được giám sát. Tuy nhiên không phải tất cả các hệ thống đều có những cảnh báo đó và phòng pháp chế cũng cần xử lý các vi phạm quyền riêng tư trước khi việc đánh giá bắt đầu. Hơn nữa, các dữ liệu thu được có thể là các dữ liệu nhạy cảm không thuộc về tổ chức hoặc dữ liệu nhân viên có thể sinh ra những cân nhắc về tính riêng tư. Người đánh giá cũng cần nhận thức các rủi ro và tiến hành thu giữ các gói dữ liệu theo bất kỳ theo quy định của phòng pháp 140 chế. Phòng pháp chế có thể xác định yêu cầu xử lý dữ liệu để đảm bảo tính bảo mật dữ liệu. 5.7. TỔNG KẾT Đánh giá an toàn hệ thống thông tin là một hoạt động phức tạp vì yêu cầu tổ chức, số lượng và loại của các hệ thống trong một tổ chức cũng như là các kỹ thuật được sử dụng và các dịch vụ hậu cần liên quan. Việc đánh giá an toàn có thể được đơn giản hóa và giảm thiểu rủi ro bằng cách xây dựng một kế hoạch và có tính lặp lại để hoàn thiện kế hoạch. Lập kế hoạch đánh giá an toàn một cách chính xác và kịp thời có thể đảm bảo rằng tất cả các yếu tố cần đánh giá đều sẽ được thực hiện một cách hiệu quả và thành công. Các hoạt động chính trong giai đoạn lập kế hoạch đánh giá an toàn hệ thống thông tin bao gồm:  Xây dựng chính sách đánh giá: Cần xây dựng một chính sách đánh giá an toàn hệ thống thông tin để cung cấp hướng và các hướng dẫn cho việc đánh giá an toàn một cách đúng đắn. Chính sách cần xác định được các yêu cầu đánh giá và những người có trách nhiệm liên quan để đảm bảo rằng việc đánh giá được thực hiện theo yêu cầu. Các chính sách đã được duyệt cần phải được phổ biến tới đội ngũ nhân viên liên quan, cũng như các bên thứ ba có trách nhiệm thực hiện đánh giá. Chính sách phải được xem xét lại ít nhất mỗi năm và bất cứ khi nào có yêu cầu thực hiện các đánh giá liên quan.  Ưu tiên và lập kế hoạch đánh giá: Cần xác định hệ thống nào thực hiện đánh giá trước, hệ thống nào đánh giá sau và mức độ thường xuyên của các đánh giá này. Các ưu tiên sẽ dựa trên việc phân loại hệ thống, lợi ích dự kiến, yêu cầu kế hoạch, các quy định nơi hệ thống đánh giá được thực hiện, và nguồn lực sẵn có. Đôi khi những cân nhắc kỹ thuật cũng có thể giúp xác định tần suất đánh giá, như chờ cho đến khi điểm yếu đã biết được sửa hoặc việc nâng cấp hệ thống được thực hiện xong trước khi tiến hành đánh giá. 141  Lựa chọn và xác định kỹ thuật kiểm thử, kiểm tra: Có rất nhiều yếu tố cần xem xét trước khi quyết định sử dụng các kỹ thuật để thực hiện đánh giá cụ thể. Các yếu tố bao gồm: mục tiêu đánh giá, các lớp kỹ thuật mà có thể thu được thông tin hỗ trợ mục tiêu, các kỹ thuật thích hợp với mỗi lớp. Một vài công nghệ cũng đòi hỏi sự phối hợp của tổ chức để xác định quan điểm đánh giá cho đánh giá viên (ví dụ như thực hiện đánh giá bên trong hay bên ngoài) để có thể lựa chọn các kỹ thuật đánh giá phù hợp.  Xác định hậu cần đánh giá: Điều này bao gồm việc xác định các nguồn lực cần thiết phục vụ cho việc đánh giá, như: các nhóm đánh giá, môi trường và địa điểm đánh giá, các trang bị và công cụ kỹ thuật cần thiết.  Phát triển kế hoạch đánh giá: Xây dựng tài liệu dự kiến về các hoạt động đánh giá và các thông tin đánh giá khác liên quan. Một kế hoạch cần được phát triển cho mỗi đánh giá để cung cấp các quy tắc và ranh giới mà đánh giá viên phải tuân thủ. Kế hoạch cần xác định được các hệ thống và mạng được đánh giá, các loại hình và mức độ thử nghiệm được phép, thông tin chi tiết về hậu cần của việc đánh giá, yêu cầu xử lý dữ liệu, và hướng dẫn xử lý sự cố.  Xem xét vấn đề pháp lý: Cần xem xét tới cả các vấn đề liên quan tới pháp lý trước khi tiến hành một cuộc đánh giá, đặc biệt khi thực hiện các kiểm thử xâm nhập. Tổ chức pháp lý có thể xem xét các kế hoạch đánh giá, giải quyết các mối quan ngại riêng và thực hiện các chức năng khác để hỗ trợ cho việc lập kế hoạch đánh giá. 142 Chương 6 THỰC HIỆN ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Trong suốt quá trình đánh giá an ninh, các lỗ hổng được xác định thông qua các phương pháp và công nghệ lựa chọn trong giai đoạn lập kế hoạch và được xác định trong kế hoạch đánh giá hoặc ROE. Việc tiến hành đánh giá tuân theo kế hoạch hoặc ROE là việc làm rất quan trọng. Mục đích của chương này là nêu bật lên các điểm chính cho người đánh giá cân nhắc trong quá trình thực hiện đánh giá. Ví dụ, việc phối hợp hợp lý giúp quá trình đánh giá thuận lợi hơn, và giảm thiểu các rủi ro liên quan. Vấn đề chủ yếu như xử lý sự cố và các thách thức mà tổ chức đối mặt khi thực hiện đánh giá cũng cần được nhấn mạnh. Chương này cũng thảo luận về quy trình phân tích và cung cấp các khuyến cáo cho việc phân tích, lưu trữ, truyền nhận và hủy bỏ các dữ liệu liên quan đến việc đánh giá. 6.1. PHỐI HỢP Trong quá trình đánh giá, người đánh giá cần phải phối hợp với các đối tượng liên quan khác trong tổ chức. Yêu cầu phối hợp được xác định trong kế hoạch đánh giá hoặc ROE và cần phải được tuân thủ phù hợp. Việc kết hợp tốt có thể đảm bảo rằng:  Các bên tham gia hiểu rõ được quy trình, các hoạt động và tác động có thể xảy đến trong quá trình đánh giá.  Việc đánh giá không diễn ra trong thời gian nâng cấp, cập nhật, tích hợp công nghệ mới hoặc các thời gian thay đổi chính sách an ninh hệ thống (ví dụ, kiểm thử thực hiện trong khi bảo trì hoặc hiệu suất thấp).  Đánh giá viên có khả năng truy cập ở từng mức độ vào cơ sở hạ tầng, hệ thống liên quan. 143  Những người có thẩm quyền như CIO, CISO, và ISSO được thông báo về các lỗ hổng có ảnh hưởng nghiêm trọng ngay khi được phát hiện.  Các cá nhân liên quan (như đánh giá viên, đội cứu hộ sự cố, quản lý cấp cao) được thông báo trong trường hợp xuất hiện sự cố. Nếu điều này xảy ra, cần ngừng các hoạt động cho đến khi các sự cố được khắc phục và đánh giá viên quay trở lại với hoạt động đánh giá theo kế hoạch hoặc ROE. Phạm vi của các hoạt động đánh giá bị ngừng lại dựa vào chính sách của tổ chức và loại sự cố, nhưng nhiều trường hợp chỉ có duy nhất các hoạt động của hệ thống liên quan trực tiếp sự cố bị ngừng lại. Mức độ phối hợp giữa đánh giá viên và tổ chức được điều phối chủ yếu bởi hệ thống và việc thực hiện đánh giá. Các hệ thống quan trọng thường yêu cầu nhiều việc phối hợp hơn để đảm bảo tính sẵn sàng của hệ thống trong suốt quá trình thực hiện và các kỹ thuật đánh giá được sắp đặt ở các mức độ rủi ro khác nhau trong suốt quá trình thực hiện. Kỹ thuật đặt trong việc xem xét có rủi ro thấp nhất, trong xác định mục tiêu và phân tích có rủi ro trung bình và có rủi ro cao khi kết hợp với việc xác nhận lỗ hổng mục tiêu. Ví dụ, hệ thống trải qua việc kiểm thử xâm nhập tổng quát yêu cầu nhiều việc phối hợp hơn việc xem xét tài liệu của hệ thống hoặc kiểm thử xâm nhập của hệ thống có mức độ bảo mật trung bình. Tuy nhiên, các tổ chức cũng gặp phải các trường hợp ngược lại khi mà mức độ phối hợp phải phù hợp với yêu cầu và cân nhắc tổ chức. Các đánh giá viên và những bên tham gia cũng như quản trị hệ thống cần phải thận trọng trong quá trình đánh giá. Mức độ truy cập mà đánh giá viên yêu cầu sẽ phải được điều phối để có thể truy cập vật lý và hệ thống một cách phù hợp (ví dụ, khi kiểm thử các mối nguy cơ nội bộ). Người đánh giá cần phải chủ động trong liên hệ với các bên liên quan trong tổ chức, việc liên hệ cần phải được duy trì thông qua các báo cáo ngày, và báo cáo tuần. Những thành viên tham gia báo cáo và nhận báo cáo cũng phải được xác định trong kế hoạch đánh giá và ROE, và có thể bao gồm đánh giá viên, ISSO, CISO và CIO. Việc họp và báo cáo thường xuyên sẽ được điều chỉnh dựa vào thời gian và độ phức tạp của việc đánh giá. Ví dụ, với đánh giá 144 xâm nhập kéo dài 1 tháng, thì việc họp báo cáo có thể diễn ra hàng tuần với các báo cáo ngày trong giai đoạn đánh giá chủ động (nghĩa là khoảng thời gian mà hệ thống đang khai thác). Việc họp và báo cáo cần phải xử lý các hoạt động hoàn thành đúng hạn, tỉ lệ thành công, các vấn đề gặp phải hoặc các khuyến nghị nghiêm trọng phát sinh. 6.2. ĐÁNH GIÁ Như đã trình bày ở chương 5, kế hoạch đánh giá và ROE cung cấp một hướng dẫn cụ thể cho việc tiến hành đánh giá. Kế hoạch và ROE cần phải được theo sát nếu không sẽ có các quyền hạn đặc biệt bị chệch hướng, thường trong việc làm tài liệu, từ việc ký kết của tổ chức hoặc cá nhân trong việc yêu cầu. Đánh giá viên cần phải đọc và hiểu kế hoạch hoặc ROE. Đánh giá viên cần phải xem xét kế hoạch hoặc ROE một cách định kỳ trong suốt quá trình đánh giá, đặc biệt là trong trường hợp xác nhận lỗ hổng mục tiêu. Trong quá trình đánh giá, đội phản ứng sự cố của tổ chức có thể phát hiện ra sự cố xuất phát do các hành vi của người đánh giá hoặc do xuất hiện một tấn công nào đó khi quá trình đánh giá đang diễn ra. Bất kỳ là ai phát hiện ra sự cố cũng cần phải thực hiện theo quy trình phân cấp của tổ chức, và đánh giá viên cũng phải tuân theo hướng dẫn được lập trong kế hoạch hoặc ROE nếu không có hướng dẫn khác. Nếu phát hiện ra sự tấn công trong quá trình đánh giá cần phải báo cáo ngay lập tức tới các cá nhân liên quan và đánh giá viên cần phải tuân theo các giao thức được xác định trong kế hoạch đánh giá và ROE. Đánh giá viên cũng được khuyến cáo dừng việc đánh giá các hệ thống liên quan đến sự cố trong khi tổ chức tiến hành xử lý. Ngoài những sự cố hiện có và mới gặp, đánh giá viên cũng phải đối mặt với những thách thức về mặt kỹ thuật, hoạt động và chính sách trong quá trình đánh giá bao gồm:  Sự chống đối: Chống đối với việc đánh giá có thể bắt nguồn từ nhiều phía trong tổ chức như quản trị mạng, quản trị hệ thống và các người dùng cuối. Những lý do có thể là sợ bị mất khả năng sẵn sàng của hệ thống hoặc mạng, sợ bị khiển trách, thấy phiền phức và chống đối để thay đổi. Có được các phê duyệt và hỗ trợ từ cấp quản lý cấp trên sẽ 145 giải quyết các vấn đề liên quan đến việc chống đối và đánh giá an ninh bao mật tổ thể hệ thống sẽ giúp thiết lập một quá trình không gây trở ngại cho người quản trị và người dùng.  Thiếu thực tế: Trong khi chuẩn bị cho đánh giá, người dùng và quản trị viên có thể sửa đổi một vài các cấu hình để giúp hệ thống của họ an toàn hơn, chịu được các tấn công hơn và linh hoạt hơn với các chính sách và các yêu cầu khác. Trong khi điều này được nhìn nhận một cách tích cực thì các thay đổi trong trường này chỉ được duy trì trong quá trình đánh giá, và sau đó hệ thống sẽ trở về các cấu hình cũ. Không thông báo trước cho người dùng và người quản trị biết về việc đánh giá sẽ giải quyết được vấn đề này. Nhiều tổ chức thực hiện đánh giá không báo trước để giúp bổ sung vào việc đánh giá được báo trước của họ.  Khắc phục tức thì: Khi điểm yếu được phát hiện trong quá trình đánh giá, quản trị viên muốn có những biện pháp để giảm thiểu rủi ro ngay lập tức và hi vọng đánh giá viên đánh giá lại hệ thống để xác nhận rằng vấn đề đã được xử lý. Mặc dù việc khắc phục nhanh chóng là đáng ghi nhận, nhưng đánh giá viên cần hiểu rõ tầm quan trọng của việc tuân thủ chính sách và quy trình quản lý thay đổi của tổ chức.  Thời gian: Đánh giá an ninh thường được kết hợp với việc phát triển hoặc triển khai với các thông báo nhỏ và khung thời gian hẹp trong khi việc đánh giá đáng ra phải được thực hiện như là một phần của vòng đời phát triển hoặc triển khai dài hạn. Thời gian cũng là một khó khăn khi thực hiện kiểm thử hệ thống và mạng quan trọng, nếu các công nghệ kiểm thử có tiềm năng làm mất tính sẵn sàng của hệ thống và mạng thì việc kiểm thử cần phải thực hiện ngoài giờ. Đánh giá viên thường xuyên bị giới hạn trong khung thời gian kiểm thử, trong khi kẻ tấn công thì không bị bất kỳ một giới hạn nào.  Tài nguyên: Việc đánh giá an ninh phải liên tục đối mặt với nhiều thách thức để có được và duy trình đủ lượng tài nguyên cần thiết cho đánh giá (ví dụ, một đội kiểm thử có kỹ năng và các phần cứng phần mềm liên tục được cập nhật). Các tổ chức chỉ chuẩn bị những thiết bị 146 như laptop và card mạng không dây cho việc đánh giá an ninh. Nếu cần các thiết bị phần mềm đánh giá thương mại thì tổ chức sẽ đánh giá xem xét mua bản quyền (license) và cung cấp các hợp đồng. Do đó đánh giá viên cần lên lịch trình trước khi việc đánh giá tiến hành để đảm bảo các phần mềm đánh giá được cập nhật và bổ sung kịp thời. Nếu đánh giá viên nội bộ không đáp ứng được yêu cầu đánh giá thì cần phải tìm kiếm đánh giá viên khác bên ngoài nội bộ. Các tổ chức nên tìm một hãng có phương pháp, quy trình được kiểm định, có những kết quả ấn tượng và có đội ngũ nhân sự có kinh nghiệp. Nếu tổ chức đang sử dụng những đánh giá viên nội bộ, thì cần tiếp tục tuyển dụng và đào tạo các đánh giá viên có kinh nghiệp và tạo điều kiện để các đánh giá viên đều có thể tham gia.  Phát triển công nghệ: Đánh giá viên cần phải cập nhật công cụ và các công nghệ kiểm thử. Cần có ngân sách để cho phép tổ chức các lớp và hội nghị đào tạo hàng năm để các đánh giá viên có thể cập nhật và nâng cao kỹ năng của mình.  Ảnh hưởng hoạt động: Mặc dù việc đánh giá được lên kế hoạch để ngăn chặn hoặc hạn chế các ảnh hưởng hoạt động, nhưng vẫn luôn có thể xuất hiện các biến cố không mong đợi. Mỗi kiểm thử được tiến hành cần phải được ghi lại với các thông tin về dấu thời gian, loại hình kiểm thử, công cụ sử dụng, câu lệnh, địa chỉ IP của thiết bị kiểm thử,… đề xuất một kịch bản ghi log được sử dụng để nắm bắt tất cả các câu lệnh và các tổ hợp phím được sử dụng trong suốt quá trình kiểm thử. Những công cụ như Terminal và GUI giúp ghi lại các hoạt động của kiểm thử viên và việc ghi lại này cũng có thể hỗ trợ trong việc chống lại tranh chấp cáo buộc rằng việc kiểm thử có tác động tiêu cực tới hiệu năng của tổ chức và hệ thống. Do rủi ro từ các ảnh hưởng hoạt động, cần phải thiết lập một kế hoạch để phản ứng với sự cố xảy ra trong quá trình kiểm thử. 6.3. PHÂN TÍCH Mặc dù có một số các phân tích có thể thực hiện sau khi thực hiện đánh giá, nhưng hầu hết các phân tích đều được tiến hành trong quá trình đánh giá. 147 Mục đích chính của việc phân tích là xác định lỗi, phân loại lỗ hổng và xác định nguyên nhân lỗ hổng. Các công cụ tự động có thể phát hiện ra một số lượng lớn các lỗi nhưng các phát hiện này cũng cần phải được xác thực để tránh việc cảnh báo nhầm. Các đánh giá viên có thể xác nhận các lỗ hổng bằng việc kiểm tra thủ công các hệ thống bị tổn thương hoặc bởi công cụ tự động thứ hai và so sánh kết quả. Mặc dù việc này thực hiện khá nhanh chóng, nhưng các công cụ so sánh có thể cho ra các kết quả nhầm giống nhau, nghĩa là cùng cảnh báo nhầm. Kiểm tra thủ công có thể có kết quả chính xác hơn so sánh kết quả qua nhiều công cụ, nhưng lại tốn thời gian hơn rất nhiều. Ngoài việc phải xác định và xử lý các lỗ hổng, cũng cần phải xác định nguồn gốc nguyên nhân của các lỗ hổng, đây là một việc rất quan trọng để nâng cao mức độ an toàn trong toàn bộ tổ chức bởi vì nguồn gốc của lỗ hổng thường là bắt nguồn từ các mắt xích yếu. Một số nguồn gốc nguyên nhân bao gồm:  Quản lý bản vá không hiệu quả, như không áp dụng bản vá kịp thời, hoặc không áp dụng bản vá cho toàn bộ hệ thống.  Quản lý nguy cơ không hiệu quả, bao gồm phần mềm diệt virus bị hết hạn, bộ lọc thư rác kém, tập luật tường lửa không chặt chẽ, không tuân theo chính sách an ninh của tổ chức.  Thiếu kiến thức về an ninh, như cấu hình an toàn không nhất quán trên các hệ thống giống nhau.  Thiếu sự kết hợp an toàn trong vòng đời phát triển hệ thống, như bỏ qua hoặc không bằng lòng với các yêu cầu bảo mật và có lỗ hổng trong việc xây dựng các mã nguồn ứng dụng phát triển tổ chức.  Kiếm trúc an toàn an ninh chưa đủ mạnh, các công nghệ bảo mật không được tích hợp hợp lý vào cơ sở hạ tầng (như sắp xếp thiếu hợp lý, không đủ đảm bảo hoặc lỗi thời), hoặc sắp xếp kém hợp lý sẽ làm tăng mức độ rủi ro.  Thủ tục phản ứng sự cố không chi tiết, như phản ứng chậm với các hành động kiểm thử xâm nhập. 148  Việc đào tạo cho cả người dùng cuối (như nhận thức sai các kỹ thuật kỹ nghệ xã hội và tấn công lừa đảo, triển khai trên các điểm truy cập không dây giả mạo) và cả cho quản trị mạng và hệ thống (như phát triển hệ thống an ninh không đủ mạnh, khả năng duy trì bảo mật yếu).  Thiếu các chính sách an ninh và thực thi chính sách (như các hoạt động mở cổng, dịch vụ được sử dụng, các giao thức không an toàn, các máy chủ giả mạo, mật khẩu yếu,…). Một cơ sở để tham khảo trong quá trình phân tích chính là tiêu chuẩn NIST về cơ sở dữ liệu lỗ hổng quốc gia (National Vulnerability Database NVD). NVD là một cơ sở dữ liệu bao gồm các thông tin về các lỗ hổng và lỗi khai thác phổ biến (Common Vulnerablity and Exposures – CVE), là một danh sách các tên chuẩn cho các lỗ hổng đã được nhận biết. NVD ánh xạ các lỗ hổng với hệ thống tham chiếu lỗ hổng thường gặp (Common Vulnerability Scoring System – CVSS) và cung cấp các thông tin bổ sung liên quan đến đến lỗ hổng và các tài nguyên để tham chiếu đến các đề xuất giảm thiểu rủi ro. Một mục đích khác của quá trình phân tích là nhận biết các lỗ hổng quan trọng mà tổ chức cần phải xử lý ngay lập tức trong suốt quá trình đánh giá. Ví dụ nếu quá trình kiểm thử xâm nhập phát hiện ra lỗ hổng mà đánh giá viên có quyền quản trị trên hệ thống, thì đánh giá viên cần phải thông báo ngay cho những cá nhân được xác định trong kế hoạch kiểm thử hoặc ROE. 6.4. XỬ LÝ DỮ LIỆU Trong quá trình đánh giá, phương pháp xử lý dữ liệu của tổ chức rất quan trọng để đảm bảo bảo vệ dữ liệu nhạy cảm của tổ chức bao gồm kiến trúc hệ thống, cấu hình an toàn, và các lỗ hổng hệ thống. Tổ chức cần đảm bảo phải lập tài liệu yêu cầu hợp lý cho việc xử lý dữ liệu trong kế hoạch đánh giá và ROE, và tuân thủ các chính sách điều hành liên quan đến việc xử lý các lỗ hổng hệ thống. Phần này cung cấp các phương pháp được đề xuất để thu thập, lưu trữ và truyền các dữ liệu đánh giá trong quá trình tham gia cũng như lưu trữ và hủy bỏ dữ liệu khi đánh giá hoàn thành. 149 6.4.1. Thu thập dữ liệu Đội kiểm thử cần phải thu thập các thông tin có liên quan cho việc đánh giá trong suốt quá trình đánh giá. Bao gồm các thông tin liên quan đến kiến trúc, cấu hình của mạng được đánh giá, cũng như các thông tin liên quan đến hoạt động của đánh giá viên. Do những thông tin này đều là những thông tin nhạy cảm nên cần phải xử lý một cách thích hợp. Các loại thông tin mà người đánh giá cần thu thập bao gồm:  Kiến trúc và cấu hình: Dựa vào loại đánh giá và kết quả mong muốn mà sẽ quyết định loại dữ liệu cần thu thập, không giới hạn tên hệ thống, địa chỉ IP, hệ điều hành, vị trí mạng vật lý và logic, cấu hình bảo mật và các lỗ hổng.  Hoạt động đánh giá: Đánh giá viên cần giữ một bản nhật ký có các thông tin hệ thống đánh giá và ghi lại từng bước hoạt động đánh giá. Việc này cung cấp một bằng chứng rõ nét cho phép tổ chức có thể phân biệt hành động giữa đánh giá viên và kẻ tấn công thật sự. Bản ghi hoạt động được sử dụng để phát triển bản báo cáo kết quả đánh giá. Sử dụng lưu vết bàn phím trên hệ thống của đánh giá viên có thể sinh ra một bản nhật ký ghi lại từng bước các hoạt động của việc kiểm thử mặc dù việc này không ghi lại được những lần click chuột và các hoạt động khác. Đối với các công cụ tự động, đánh giá viên cần phải duy trì việc ghi nhật ký cho mỗi công cụ được sử dụng. Khi đánh giá viên có thể lựa chọn xuất đầu ra của việc ghi vết bàn phím hoặc các công cụ ghi nhật ký trên các hệ thống riêng biệt để tạo ra một tập hợp lưu trữ tập trung và có khả năng kiểm toán, thì sử dụng các tiếp cận thủ cộng là một hoạt động ghi nhật ký mà theo vết mỗi câu lệnh được thực thi bởi người đánh giá trên hệ thống mạng. Cách tiếp cận này sẽ làm tốn thời gian của người đánh giá. Nếu hoạt động ghi nhật ký được sử dụng, thì ít nhất phải ghi lại các thông tin liên quan đến ngày, giờ, tên người đánh giá, nhận dạng hệ thống đánh giá (IP, MAC), công cụ sử dụng, các câu lệnh thực thi, và các ý kiến nhận xét. 150 6.4.2. Lưu trữ dữ liệu Bảo mật dữ liệu được thu thập trong suốt quá trình đánh giá bao gồm lỗ hổng, kết quả phân tích, đề xuất giảm thiểu là trách nhiệm của đánh giá viên. Việc phát hành các thông tin này không đầy đủ có thể gây tổn hại đến uy tín của tổ chức và gia tăng khả năng bị khai thác. Tối thiểu, đánh giá viên cần phải lưu trữ các thông tin sau đây để sử dụng cho viêc xác định, phân tích, báo cáo cho các thế trận an ninh của tổ chức, và cung cấp các khả năng kiểm toán cho các hoạt động kiểm thử:  Kế hoạch đánh giá và ROE.  Tài liệu về cấu hình an ninh hệ thống và kiến trúc mạng.  Kết quả thu được từ các công cụ tự động và những phát hiện khác.  Báo cáo kết quả đánh giá.  Kế hoạch khắc phục và các mốc thời gian (POA&M). Nhiều lựa chọn trong việc lưu trữ các thông tin về các lỗ hổng được phát hiện như là giữ các phát hiện trong một đầu ra bởi các công cụ được sử dụng và nhập các phát hiện vào trong cơ sở dữ liệu. Hầu hết các công cụ quét lỗ hổng đều có các khuôn dạng báo cáo về hệ thống, lỗ hổng và các công nghệ giảm thiểu được đề xuất. Đây cũng là cách tiếp cận thích hợp nếu đánh giá trong phạm vi nhỏ (ví dụ, chỉ sử dụng 1 công cụ). Với việc đánh giá sâu, tổ chức lớn hơn hoặc sử dụng nhiều công cụ hoặc nhiều cách tiếp cận đánh giá thì cần phải nhiều phương pháp lưu trữ mạnh và tương tác hơn được phát triển như một hệ thống tính toán hoặc cơ sở dữ liệu. Mặc dù chức năng bị giới hạn, bảng tính có thể thích hợp trong việc kiểm thử hoặc kiểm tra đơn lẻ, vì dễ sử dụng, nhanh chóng xây dựng và có thể chứa được một số các công cụ có thể cho định hình các phát hiện trong một định dạng tương thích. Đối với việc kiểm tra và kiểm thử phức tạp hơn với nhiều cách tiếp cận, nhiều hành động đánh giá được thực hiện hoặc nhiều tình huống cần các dữ liệu liên quan thì nên phát triển một cơ sở dữ liệu. Tổ chức cần đảm bảo việc lưu trữ an toàn toàn bộ các dữ liệu đánh giá nhạy cảm, như kế hoạch đánh giá hoặc ROE, dữ liệu lỗ hổng thô, và các báo cáo 151 đánh giá. Nếu trong tay của kẻ tấn công có các dữ liệu liên quan đến kiến trúc mạng, cấu hình hệ thống, kiểm soát an ninh và các lô hổng hệ thống đặc biệt thì sẽ giúp chúng có được một kế hoạch cụ thể và đường lối để khai thác hệ thống thông tin của tổ chức dễ dàng. Tổ chức cũng có thể lựa chọn lưu trữ dữ liệu trên các thiết bị lưu trữ di động hoặc ngay trên hệ thống để có thể truy cập khi cần. Các thiết bị lưu trữ di động hoặc các hệ thống được thiết kế để lưu trữ dữ liệu cần phải được cách ly logic và vật lý với các nguồn mạng hàng ngày. Việc truy cập tới các hệ thống này và thông tin lưu trên hệ thống phải được hạn chế phân quyền, và chỉ có những người có trách nhiệm và vai trò mới được phép truy cập. Dữ liệu này cũng cần được mã hóa theo chuẩn FIPS 140-2 để đảm bảo an toàn dữ liệu. Yêu cầu lưu trữ dữ liệu đánh giá có thể không được công bố chính thức nhưng cũng cần đưa vào trong kế hoạch đánh giá và ROE. Việc duy trì các bản ghi chính xác cho việc đánh giá sẽ giúp tổ chức có thể theo dỗi được dấu vết của các lỗ hổng và có thể triển khai các hành động giảm thiểu các rủi ro đó…. Hệ thống đánh giá – như máy chủ, máy tính xách tay, và các thiết bị di động cũng phải có những biện pháp bảo vệ về mặt logic và vật lý tại nơi hoạt động. Ví dụ, thiết bị di động không được để trên xe mà không khóa cửa xe, hoặc ở khu vực trống trải, các thiết bị di động ở phòng khách sạn cũng phải được bảo vệ bởi cáp khóa, cất trong phòng riêng hoặc các biện pháp vật lý khác. Ngoài bảo vệ vật lý, các đánh giá viên cũng đảm bảo rằng hệ thống được cấu hình để ngăn chặn kẻ tấn công có thể làm tổn thương nguy hại tới hệ thống. Đánh giá viên cần thực hiện các biện pháp thích hợp để bảo vệ tính toàn vẹn và bí mật của dữ liệu hế thống, tối thiểu là phải sử dụng mật khẩu mạnh – và khuyến cáo các tổ chức thực hiện xác thực 2 nhân tố. Ngoài ra, tất cả các dữ liệu trong hệ thống cần phải được mã hóa và thực hiện các cơ chế xác thực riêng biệt để giới hạn việc truy cập vào các thông tin được mã hóa. 6.4.3. Truyền dữ liệu Việc truyền các dữ liệu đánh giá như cấu hình hệ thống, lỗ hổng qua mạng và Internet là điều không thể tránh khỏi, và việc bảo đảm an toàn cho các dữ liệu khi truyền trên mạng không bị tổn thương là điều vô cùng quan trọng. 152 Kế hoạch đánh giá và ROE cần phải giải quyết các yêu cầu và tiến trình cho việc truyền dữ liệu nhạy cảm trên mạng và Internet. Phương pháp truyền dữ liệu nhạy cảm bảo gồm việc mã hóa các tệp trên chứa dữ liệu nhạy cảm, mã hóa kênh thông tin tuân theo FIPS (VPN, SSL) và truyền các thông tin thông qua việc giao nhận các bản copy. 6.4.4. Hủy bỏ dữ liệu Khi các dữ liệu đánh giá không còn cần thiết, hệ thống đánh giá, các tài liệu sao lưu, các phương tiện cần phải được thu dọn sạch sẽ. Việc thu dọn dữ liệu được chia thành 4 loại:  Sắp xếp: Với các phương tiện (media) thì không khuyến khích việc loại bỏ, thường thực hiện với những giấy tờ mà không chứa nội dung quan trọng, tuy nhiên cũng có thể là các lưu trữ khác.  Làm sạch: Là một mức độ thu dọn dữ liệu để đảm bảo tính bí mật của dữ liệu khỏi các tấn công theo vết bàn phím. Việc xóa các dữ liệu không phải là phương pháp hiệu quả cho việc làm sạch. Việc làm sạch phải làm cho các thông tin tránh được việc khôi phục từ các dữ liệu, các ổ đĩa hoặc các tiện ích khôi phục dữ liệu, và phải có khả năng chống được tấn công dựa vào bàn phím (keystroke) từ các thiết bị đầu vào hoặc các công cụ tìm kiếm. Một trong số các phương pháp được chấp nhận cho việc làm sạch thông tin là việc ghi đè dữ liệu (overwriting).  Tẩy sạch: Quá trình thu dọn phương tiện là để bảo vệ tính bí mật của dữ liệu khỏi các tấn công. Với một số dữ liệu, việc làm sạch vẫn chưa đủ hiệu quả để che dấu. Ví dụ về việc làm sạch dữ liệu là thực thi các câu lệnh firmware Secure Erase (chỉ cho các ổ đĩa ATA – Advanced Technology Attachment) và khử từ.  Tiêu hủy: Phá hủy vật lý các thiết bị để không có khả năng sử dụng giúp tránh thu được dữ liệu lưu trong đó. Việc phá hủy vật lý có thể thực hiện bởi các phương pháp như: đốt, đập nát, nung chảy, nghiền,… 153 Các tổ chức cần duy trì chính sách yêu cầu cho việc xử lý hủy bỏ hệ thống đánh giá. Chuẩn NIST SP 800-88 đưa ra một lược đồ luồng để hỗ trợ tổ chức trong việc xác định các phương pháp hủy bỏ dữ liệu áp dụng phù hợp vào từng hoàn cảnh. Kế hoạch đánh giá và ROE cũng cần xác định các yêu cầu hủy bỏ cho mỗi lần kiểm thử cụ thể. Các đánh giá viên từ bên thứ ba cũng cần hiểu yêu cầu hủy bỏ dữ liệu của các tổ chức có thể khác nhau và ở các bộ phận trong cùng tổ chức cũng có những yêu cầu khác nhau. Ví dụ, một vài tổ chức ngăn cấm các đánh giá viên bên ngoài truy cập vào dữ liệu đánh giá khi họ đã nộp bản báo cáo cuối cùng. Trong trường hợp này, các cá nhân có trình độ của tổ chức sẽ xác nhận các phương pháp hủy bỏ dữ liệu cần phải được thực hiện. 154 Chương 7 CÁC HOẠT ĐỘNG SAU ĐÁNH GIÁ Sau giai đoạn kiểm tra – phát hiện các lỗ hổng thì cũng cần phải có các cách để xử lý các lỗ hổng đã được phát hiện. Chương này trình bày cách thức để biến những phát hiện thành các hành động nhằm nâng cao mức độ an toàn của hệ thống. Đầu tiên, cần thực hiện việc tổng hợp toàn bộ các thông tin có được trong quá trình lập kế hoạch và thực hiện đánh giá. Tiếp theo, cần phải lập các báo cáo để trình bày các khuyến cáo đề xuất sử dụng. Cuối cùng là triển khai các hành động để giảm thiểu hoặc khắc phục các rủi ro có thể xảy ra. 7.1. TỔNG HỢP THÔNG TIN Sau khi thực hiện đánh giá, đánh giá viên có thể thu được thông tin về các rủi ro có thể xảy đến đối với hệ thống. Các rủi ro được tìm thấy thông qua quá trình thực hiện kiểm thử an toàn hệ điều hành, kiểm thử an toàn webserver, kiểm thử an toàn cơ sở dữ liệu, kiểm thử an toàn ứng dụng web, kiểm thử an toàn các thiết bị mạng và mạng không dây, … hoặc ngay trong quá trình dò quét thu thập thông tin ban đầu. Tùy từng hệ thống đánh giá mà các đánh giá viên có được các kết quả khác nhau. Các kết quả thu được phụ thuộc vào hệ thống tồn tại nhiều hoặc ít điểm yếu, và khả năng khai thác các điểm yếu đó như thế nào. Phân loại rủi ro cũng là một trong những nội dung quan trọng cần thực hiện khi tổng hợp thông tin. Mặc dù việc phân tích và phân loại rủi ro đã thực hiện ngay trong quá trình thực hiện đánh giá, song việc phân loại này nhằm mục đích sắp xếp lại các rủi ro theo một trật tự logic nhất định. Việc phân loại rủi ro sẽ giúp cho bản báo cáo được cụ thể và rõ ràng hơn. Như thế ngay cả những người không hiểu biết nhiều về công nghệ thông tin hoặc không am hiểu về các tấn công cũng có thể dễ dàng xác định được các nguy cơ có thể xảy đến đối với hệ thống. Tùy từng trường hợp mà phân thành các mức độ rủi ro khác nhau. Tuy nhiên thông thường các rủi ro được chia làm 3 loại như sau: 155  Rủi ro mức cao: Đây là các rủi ro có mức ảnh hưởng nghiêm trọng tới hệ thống, và cho phép kẻ tấn công có thể chiếm quyền điều khiển hệ thống. Thông thường trong các chương trình đánh giá tự động, các rủi ro mức cao sẽ được thể hiện ở màu đỏ.  Rủi ro mức trung bình: Đây là các rủi ro có ảnh hưởng tới hệ thống nhưng không ảnh hưởng trực tiếp như các rủi ro ở mức cao. Các rủi ro ở mức trung bình thường là các rủi ro liên quan đến quyền sử dụng của người dùng bình thường, có thể thực hiện một số thao tác lên hệ thống nhưng không thể thực hiện các hành động của người quản trị. Tuy nhiên kẻ tấn công có thể lợi dụng các rủi ro này để tấn công leo thang đặc quyền, từ người dùng bình thường nâng quyền lên mức quản trị để chiếm quyền điều khiển hệ thống. Thông thường trong các chương trình kiểm thử tự động, các rủi ro mức trung bình sẽ được thể hiện ở màu vàng.  Rủi ro mức thấp: Đây là các rủi ro có ảnh hưởng tới hệ thống nhưng ảnh hưởng ở mức thấp. Các rủi ro này thường là các rủi ro về lộ thông tin, lộ tài khoản email, hoặc sử dụng các thư mục ẩn trong hệ thống, … Khi bị khai thác, kẻ tấn công có thể biết được một vài thông tin liên quan trong hệ thống nhưng không thể chiếm quyền điều khiển hệ thống. Thông thường trong các chương trình kiểm thử tự động, các rủi ro mức thấp sẽ được thể hiện ở màu xanh nhạt. Đánh giá viên cần tổng hợp thông tin từ tất cả các bước của quá trình thực hiện đánh giá, và sắp xếp theo các danh mục khác nhau để tiện cho việc lập báo cáo sau này. Ví dụ:  Các rủi ro tìm thấy trong quá trình thu thập thông tin  Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn hệ điều hành Windows: - Thông tin rủi ro - Mức độ nguy hiểm 156 - Cách thức phát hiện - Các ảnh hưởng, ….  Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn hệ điều hành Linux  Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn cho WebServer  …. 7.2. BÁO CÁO Sau khi hoàn tất việc phân tích, cần phải lập ra một báo cáo về việc xác định hệ thống, mạng và các điểm yếu của tổ chức cùng các hành động khuyến nghị để giảm thiểu rủi ro. Kết quả đánh giá an ninh được sử dụng trong những việc sau:  Làm tài liệu tham chiếu cho hoạt động khắc phục sự cố.  Trong vạch rõ các hoạt động giảm thiểu để xử lý những lỗ hổng được xác định.  Như là một chuẩn mực cho việc theo dõi sự phát triển của tổ chức trong việc đáp ứng các yêu cầu bảo mật.  Để đánh giá trạng thái thực thi của các yêu cầu bảo mật hệ thống.  Tiến hành phân tích lợi ích/chi phí cho nâng cấp bảo mật hệ thống.  Tăng cường các hoạt động vòng dời như phân tích rủi ro, C&A và cải tiến quy trình.  Để đáp ứng các yêu cầu báo cáo như trong FISMA. Các kết quả đánh giá cần phải được ghi lại và cung cấp cho những người thích hợp, bao gồm CIO, CISO và ISSO cũng như là các quản trị chương trình hoặc chủ sở hữu hệ thống. Bởi vì một báo cáo có thể có nhiều đối tượng, nhiều định đạng báo cáo có thể được đề ra để đảm bảo rằng đều phù hợp với nhiều đối tượng. Ví dụ, báo cáo phát triển tổ chức tuân thủ theo FISMA cần đáp ứng các yêu cầu FISMA như báo cáo về những phát hiện từ việc đánh giá, tuân thủ theo chuẩn NIST, các khoản thiếu hụt, và các hoạt động khắc phục được lên kế hoạch. Các báo cáo cũng được thiết kế cho mỗi đối tượng thích hợp, như quản 157 trị chương trình, quản lý thông tin, kỹ sư an ninh, quản lý cấu hình và các nhân viên kỹ thuật. Các báo cáo nội bộ cần có thêm phương pháp đánh giá, kết quả đánh giá, các phân tích và POA&M. Một POA&M sẽ bảo bảo rằng các lỗ hổng sẽ được xử lý với các hành động cụ thể, có thể đo lường được, có thể đạt được, thực tế và hữu hình. Trong báo cáo đánh giá, người đánh giá cần có các thông tin như sau:  Thông tin chung về hệ thống đánh giá  Cấu trúc hệ thống đánh giá  Các rủi ro mức cao  Các rủi ro mức trung bình  Các rủi ro mức thấp  Tổng hợp đánh giá và đề xuất giải pháp 7.2.1. Thông tin chung về hệ thống đánh giá Đây là các thông tin về hệ thống đánh giá, như:  Địa điểm thực hiện đánh giá  Thời gian thực hiện đánh giá  Người thực hiện đánh giá  Người theo dõi đánh giá  Thông tin về hợp đồng đánh giá  Phiên bản báo cáo, … Các thông tin này giúp cho người đánh giá và đơn vị cần thực hiện đánh giá biết được các thông tin chung về mục tiêu, địa điểm, đối tượng thực hiện. Đồng thời đây cũng là căn cứ pháp lý khi có sự cố xảy ra. 7.2.2. Cấu trúc hệ thống đánh giá Đây là các thông tin về sơ đồ cấu trúc hệ thống đánh giá. Đối với kiểm thử an toàn cho Website, người đánh giá cần liệt kê cấu trúc sơ đồ hệ thống Website dựa trên các thư mục và file của trang Web. Đối với kiểm thử an toàn 158 cho hệ thống, người đánh giá cần thể hiện sơ đồ hệ thống đánh giá thông qua sơ đồ mạng và địa chỉ IP cụ thể. Ví dụ về liệt kê cấu trúc của Website: Hình 7.1. Cấu trúc Website đánh giá Ví dụ về cấu trúc hệ thống mạng đánh giá: Hình 7.2. Cấu trúc mạng đánh giá 159 7.2.3. Các rủi ro mức cao Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp các thông tin theo các mức độ rủi ro khác nhau. Cụ thể, cần liệt kê từng điểm yếu đối với từng thử nghiệm đánh giá theo các mục như:  Mức độ nguy hại  Công cụ sử dụng (nếu có)  Cách thức kiểm tra  Kết quả  Mô tả về nguy hại có thể xảy đến  Các khuyến cáo để phòng chống rủi ro Dưới đây là một ví dụ cụ thể về lập báo cáo đối với điểm yếu Cross Site Scripting: - Mức độ nguy hại: Cao - Công cụ: Firefox, Internet Explorer, … - Cách kiểm tra:  Gõ một từ khóa bất kỳ, ví dụ "a" vào trang login email tại địa chỉ: http://test.edu.vn/Email/web/default.asp ---> Xuất hiện thông báo lỗi tại URL của IE: http://test.edu.vn/Email/web/default.asp?error_code=213&values=a@test.edu.v n||a||210.245.84.7||210.245.84.7||110||25||0&mode=standard_login  Thử thay ký tự "a" ở trên bằng 1 đoạn script: http://test.edu.vn/Email/web/default.asp?error_code=213&values= >"''><script src="javascript:alert(document.cookie)">@test.edu.vn||>"''><script src="javascript:alert(document.cookie)">||210.245.123.12||210.245. 123.12||110||25||0&mode=standard_login 160  ---> Xuất hiện thông báo lỗi của Internet Explorer ASPSESSIONIDQCADAQBS=JCFBFJIAEMALMLKEEOAKCF LL. - Kết quả: Trang Web bị lỗi Cross Site Scripting tại địa chỉ: http://test.edu.vn/email/web/default.asp - Mô tả + Rủi ro có thể gặp phải: Khi đã phát hiện được lỗi Cross Site Scripting, Hacker có thể thực thi một đoạn Script bằng cách liên kết đến một trang web nào đó, hoặc có thể xây dựng file script rồi cho URL trỏ đến file đó để thực thi file, hoặc đánh cắp account khi thực hiện tấn công hijacking, thay đổi các thiệt đặt của người sử dụng, đánh cắp cookie, … - Khuyến cáo: Để fix lỗi này thì khi GET data từ url phải lọc các ký tự như < hoặc > và các từ đặc biệt như script chẳng hạn. Đối với các điểm yếu khác, chúng ta cũng thực hiện tương tự như trên. 7.2.4. Các rủi ro mức trung bình và mức thấp Với các rủi ro ở mức trung bình và mức thấp, quy trình lập báo cáo cũng hoàn toàn tương tự như với lập báo cáo với các rủi ro ở mức cao. Đầu tiên cần nhấn mạnh lại mức độ nguy hại, sau đó mô tả về các công cụ thực hiện, phương thức thực hiện, kết quả thu được và các khuyến cáo khắc phục rủi ro. 7.3. KHẮC PHỤC/GIẢM THIỂU POA&M cung cấp cho cơ quan quản lý chương trình như hành động cụ thể và được yêu cầu để giảm thiểu các rủi ro ở mức phù hợp và có thể chấp nhận được. Khi bổ sung POA&M, tổ chức có thể xem xét việc phát triển một chiến lược và quy trình để thực hiện kế hoạch. Tổ chức có thể thực hiện ít nhất 4 bước được nêu dưới đây trong quá trình thực hiện việc khắc phục hậu quả, điều này cung cấp tính nhất quá và tổ chức cho các quản lý chương trình và nhân lực an ninh. Bước đầu tiên trong quá trình là kiểm thử các khuyến cáo đề xuất khắc phục. Trước khi thực hiện các thay đổi kỹ thuật đến một sản phẩm, việc kiểm thử cần thực hiện trên hệ thống kiểm thử trong môi trường giống với mạng có thực hiện các hành vi giảm thiểu. Ví dụ, trước khi đưa lên bản thương mại, các 161 bản vá cần cài đặt để các hệ thống khác nhau trong môi trường kiểm thử để xác định các tác động tiêu cực. Việc kiểm thử này có thể làm giảm đáng kể các rủi ro trong hệ thống gây ra những ảnh hưởng tiêu cực tới việc thay đổi kỹ thuật, nhưng không loại trù các rủi ro này. Tiếp theo, POA&M cần phối hợp với kiểm soát cấu hình tổ chức hoặc ủy ban quản lý cấu hình bởi vì POA&M đề xuất các thay đổi cho hệ thống, mạng, chính sách hoặc quy trình có sẵn. Việc liên kết các thay đổi POA&M ở cả quá trình triển khai và lúc kết thúc sẽ giảm bảo các cá nhân phù hợp sẽ biết được các thay đổi diễn ra và tác động của thay đổi đó với môi trường, nhiệm vụ và điều hành. Ít nhất, người quản trị chương trình hoặc chủ hệ thống cũng phải được thông báo trước khi thực thi các hành động POA&M và cần phê duyệt các hành động giảm thiểu đã được lên kế hoạch trước khi thực hiện chúng. Để có được sự phê duyệt quản lý cũng là một khó khăn. Cần xác định tại sao lại cần thiết (ví dụ, liệu rằng được điều hành bởi chính sách hay công nghệ) và các tác động tích cực có thể được thực hiện với các hành động giảm thiểu (như nâng cao kịch bản an ninh và tuân thủ theo). Phân tích chi phí lợi ích cũng cung cấp cho người quản lý một bản phân tích định lượng về phần thu được trong việc thực hiện POA&M. Lợi ích khác là có thể trao đổi với các lãnh đạo cấp cao để giảm thiểu việc khai thác hệ thống, gia tăng kiểm soát tài nguyên, giảm thiểu lỗ hổng, có cách tiếp cận sớm để bảo vệ an ninh và duy trì sự tuân thủ chính sách. Thứ ba, hành động giảm thiểu được thực hiện và được kiểm tra để đảm bảo việc thực thi chính xác và hợp lý. Việc kiểm tra có thể diễn ra bằng việc tiến hành một thống kê hệ thống, kiểm thử lại hệ thống và các thành phần hệ thống và đưa các nhân viên có trách nhiệm vào trong văn bản. Việc thống kê hệ thống cung cấp một việc xác nhận kỹ thuật cho các thay đổi có thể được thực hiện trong hệ thống, có thể được tiến hành bởi một đối tác an ninh bên ngoài hoặc đội kiểm thử bảo mật từ xa. Các đội thống kê có thể sử dụng các chiến lược giảm thiểu như một checklist để đảm bảo mỗi hành động đều được thực hiện, cũng như kiểm thử lại sẽ xác nhận rằng các hành động giảm thiểu được hoàn tất. Đội kiểm thử có khả 162 năng xác minh các thực thi chỉ khi việc kiểm thử gốc được sao chép, nhân bản. khi công nghệ phát triển, các lỗ hổng mới có thể được phát hiện trong quá trình kiểm thử an toàn. Tổ chức có thể lựa chọn để xác minh việc thực hiện chiến lược giảm thiểu thông qua các phương tiện phi kỹ thuật như tài liệu. Ví dụ, việc thích hợp và hiệu quả để giữ nhân lực an ninh có trách nhiệm thực thi chiến lược giảm thiểu là yêu cầu họ ký vào các biên bản miêu tả các hành động đã thực hiện. Khi phương pháp này khá hiệu quả về mặt kinh tế trong thời gian ngắn, thì việc không xác nhận các thay đổi đã được hoàn tất có thể gây ra những rủi ro phát sinh. Cuối cùng, như một phần của chiến lược thực hiện, cần phải cập nhật POA&M để xác định các hoạt động được thực thi hoàn toàn, thực thi từng phần hoặc các hoạt động đang trong quá trình chờ. Đảm bảo rằng POA&M được tích hợp vào quy trình quản lý cấu hình của tổ chức sẽ tạo điều kiện cho việc theo dấu tập trung và quản lý thay đổi của hệ thống, chính sách, quy trình và thủ tục cũng như cung cấp một cơ chế giám sát để đáp ứng việc tuân thủ các yêu cầu. 7.4. MỘT SỐ MẪU BÁO CÁO THAM KHẢO Dưới đây là một số ví dụ về mẫu báo cáo kiểm thử an toàn hệ thống thông tin: 7.4.1. Báo cáo thu thập thông tin Ví dụ về một số nội dung trong báo cáo thu thập thông tin theo mẫu báo cáo EC-Council: 163 Hình 7.3. Mẫu báo cáo kiểm thử thu thập thông tin của EC-Council Kiểm thử 1: Tìm địa chỉ URL của tổ chức Tổ chức kiểm thử URL được phát hiện  Có URL Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 2: Vị trí URL nội bộ Tổ chức kiểm thử 164  Không URL Các URL nội bộ 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 3: Xác định các trang web công cộng và trang web riêng của tổ chức Tổ chức kiểm thử URL Các trang Web riêng 1. 2. 3. 4. 5. Các trang Web công cộng 1. 2. 3. 4. 5. 165 Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 4: Tìm kiếm thông tin của tổ chức Tổ chức kiểm thử URL Thông tin thu được 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 5: Liệt kê danh sách thông tin liên hệ, địa chỉ email và số điện thoại của các thành viên tổ chức 166 Tổ chức kiểm thử URL Số điện thoại liên hệ 1. 2. 3. 4. 5. Email cá nhân 1. 2. 3. 4. 5. Địa chỉ 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: 7.4.2. Báo cáo kiểm thử mạng nội bộ Ví dụ về một số nội dung trong báo cáo kiểm thử mạng nội bộ theo mẫu báo cáo EC-Council: 167 Hình 7.4. Mẫu báo cáo kiểm thử an toàn mạng nội bộ của EC-Council Kiểm thử 1: Bản đồ mạng nội bộ Tổ chức kiểm thử URL Danh sách các thiết bị mạng Đã phát hiện Hub  Switch  Máy chủ  Máy tin  Máy trạm  Access Point  Tường lửa  Máy chủ Proxy  Máy khách  Khác  Loại và Model 1. 2. 168 3. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 2: Dò quét mạng để tìm các máy đang hoạt động Tổ chức kiểm thử URL Dải mạng được quét Danh sách địa chỉ IP đang hoạt động 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: 169 Kiểm thử 3: Quét cổng các máy tính cá nhân Tổ chức kiểm thử URL Địa chỉ IP Tên máy Cổng mở 1. 2. 3. 4. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 4: Thử lấy quyền truy cập bằng cách khai thác các điểm yếu đã biết Tổ chức kiểm thử URL Địa chỉ IP đã kiểm thử Tên máy Điểm yếu đã khai thác 1. 2. 3. 4. 170 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 5: Thử thiết lập null session Tổ chức kiểm thử URL Địa chỉ IP đã kiểm thử Tên máy Thử nghiệm null session có thành công không? Nếu thành công, liệt kê danh sách các username và các thông tin khác ở đây  Có 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: 171  Không Kiểm thử 6: Điểm danh người sử dụng Tổ chức kiểm thử URL Địa chỉ IP đã kiểm thử Tên máy Điểm danh người sử dụng, chính sách mật khẩu, chính sách nhóm dựa vào thiết lập null session là thành công? Nếu thành công, liệt kê thông tin thu được ở đây  Có  Không 1. 2. 3. 4. 5. Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: 7.4.3. Báo cáo kiểm thử tường lửa Ví dụ về một số nội dung trong báo cáo kiểm thử tường lửa theo mẫu báo cáo EC-Council: 172 Hình 7.5. Mẫu báo cáo kiểm thử tường lửa của EC-Council Kiểm thử 1: Vị trí đặt tường lửa Tổ chức kiểm thử URL Vị trí tường lửa Địa chỉ IP tường lửa Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 2: Traceroute để xác định dải mạng Tổ chức kiểm thử 173 URL Địa chỉ IP đã trace Kết quả Tracert Số lượng các hop Thời gian timeout Các địa chỉ IP đã hop 1. 2. 3. 4. 5 Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 3: Quét cổng tường lửa Tổ chức kiểm thử URL Các cổng mở  7 Echo  109 Post Office Protocol 2 (POP2)  13 DayTime  110 Post Office Protocol 3 (POP3) 174  17 Quote of the Day (QOTD)  113 IDENT  20 và 21 File Transfer Protocol (FTP)  115 Simple File Transfer Protocol (SFTP)  22 Secure Socket Shell (SSH)  137, 138, and 139 NetBIOS  23 Telnet  143 Internet Message Access Protocol (IMAP)  25 SMTP  161 và 162 Simple Network Management Protocol  53 Domain Name System (DNS)  194 Internet Relay Chat (IRC)  63 Whois  443 HTTPS  66 SQL*net (Oracle) Các cổng khác:  70 Gopher  79 Finger  80 HTTP  88 Kerberos  101 Host Name Server Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 4: Lấy thông tin Banner Tổ chức kiểm thử URL 175 Thông điệp banner Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: Kiểm thử 16: Kiểm thử các điểm yếu cụ thể trên tường lửa Tổ chức kiểm thử URL Địa chỉ IP tường lửa kiểm thử Danh sách các công cụ cụ thể để khai thác điểm yếu tường lửa 1. 2. 3. 4. Phản hồi nhận được từ việc thực thi các công cụ khai thác điểm yếu Công cụ/ dịch vụ sử dụng 1. 2. 3. 4. Phân tích kết quả: 176 7.5. BÀI TẬP 1. Thực hành đọc và lập báo cáo kiểm thử an toàn hệ thống mạng. 2. Thực hành đọc và lập báo cáo kiểm thử an toàn ứng dụng web. 177 Chương 8 KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN Đảm bảo an toàn thông tin cần phải được thực hiện đồng bộ, nhất quán trên tất cả các phương diện của hệ thống thông nghệ thông tin từ việc xây dựng quy trình, triển khai chính sách, áp dụng các giải pháp công nghệ đến vấn đề đào tạo nhận thức cho người sử dụng. Tất cả các giải pháp, các chính sách đều cần tuân theo quy chuẩn và theo quy định của nhà nước. Chỉ các hệ thống đáp ứng được các điều kiện an toàn theo tiêu chuẩn mới có thể khẳng định hệ thống thông tin đó là an toàn, từ đó mới tạo được lòng tin với khách hàng, các đối tác. Để khẳng định một hệ thống thông tin là an toàn, cần phải có sự kiểm tra và chứng nhận. Việc kiểm tra cũng phải tuân theo một quy trình cụ thể để có thể đánh giá được hệ thống một cách tổng quan và chính xác nhất. Việc kiểm tra tính tuân thủ về mặt an toàn trong hệ thống công nghệ thông tin như thế được biết đến là kiểm định an toàn thông tin. Chương này sẽ trình bày sơ lược về khái niệm kiểm định, các chuẩn kiểm định và một số mô hình kiểm định được sử dụng tại một số quốc gia trên thế giới. 8.1. TỔNG QUAN VỀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN 8.1.1. Khái niệm kiểm định an toàn hệ thống thông tin Công tác kiểm định, đánh giá chất lượng an toàn thông tin các hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC).... 178 Mục đích của kiểm định an toàn hệ thống thông tin là kiểm tra, đánh giá mức độ an ninh thông tin trong một tổ chức nhằm xác định hệ thống công nghệ thông tin của tổ chức đó có đạt được các yêu cầu về an toàn theo các tiêu chí đã đề ra hay không. Đó chính là căn cứ khẳng định hệ thống đã đáp ứng được các điều kiện về an toàn; và là một bằng chứng tạo niềm tin đối với khách hàng, cũng như thể hiện sự tuân thủ các qui định trong việc đảm bảo an toàn thông tin của cơ quan tổ chức. Kiểm định an toàn thông tin là một phương pháp để xác định, đạt được và duy trì một mức độ thích hợp với yêu cầu bảo mật trong một tổ chức. Việc kiểm định an toàn thông tin nhằm nâng cao mức độ an toàn thông tin, tránh những sai sót trong thiết kế bảo mật thông tin, tối ưu hóa hiệu quả của các biện pháp bảo vệ an ninh và các quy trình bảo mật. Điều này đảm bảo khả năng hoạt động, uy tín, tài sản của tổ chức. Kết quả của một quá trình kiểm định an toàn thông tin là các báo cáo kiểm định, cho thấy sơ bộ về tình trạng an ninh trong tổ chức, có thể cùng với các hành động cần thiết được đưa ra dựa trên những khiếm khuyết an ninh hiện có, và được sử dụng như một trợ giúp trong quá trình tối ưu hóa tiếp theo thực hiện trên hệ thống quản lý an toàn thông tin. Báo cáo kiểm định an toàn thông tin cũng là cơ sở để các cơ quan chức năng cấp chứng nhận cho tổ chức về các khía cạnh an toàn mà tổ chức đã đạt được. 8.1.2. Các dạng kiểm định an toàn thông tin Không phải tổ chức nào cũng có thể thực hiện đầy đủ các yêu cầu về an toàn thông tin cho tất cả các đối tượng thông tin trong tổ chức của mình. Do vậy việc kiểm định an toàn thông tin cũng không phải lúc nào cũng áp dụng với toàn bộ hệ thống thông tin tại một cơ quan tổ chức. Kiểm định an toàn thông tin có thể được chia thành 2 dạng: kiểm định an toàn thông tin toàn bộ và kiểm định an toàn thông tin một phần. Kiểm định an toàn thông tin toàn bộ là phương pháp kiểm định với việc tiếp cận toàn diện hệ thống thông tin. Các đối tượng kiểm định là toàn bộ vấn đề an toàn trong tổ chức. Mục tiêu của kiểm định an toàn thông tin toàn bộ là để có được một cái nhìn toàn diện về tình trạng an ninh thông tin của cơ quan. 179 Kiểm định an toàn thông tin một phần được giới hạn trong một phần nhất định của tổ chức như một phân vùng mạng cụ thể, một khu vực trong tổng thể toàn bộ tổ chức, … Các kiểm tra được thực hiện trong trường hợp này là có chiều sâu hơn so với kiểm định an toàn thông tin toàn bộ. Kiểm định an toàn thông tin một phần đặc biệt thích hợp cho việc kiểm tra các quy trình nghiệp vụ quan trọng. Do kiểm định an toàn thông tin từng phần được giới hạn trong các quy trình nghiệp vụ hoặc thủ tục nhất định, nên chỉ có một số hạn chế các đối tượng được kiểm tra. Điều này cho phép các kiểm tra diễn ra nghiêm ngặt hơn. Hơn nữa, các quy tắc và thủ tục áp dụng với kiểm định an toàn thông tin một phần có thể được sử dụng cho việc kiểm định chéo lẫn nhau. 8.1.3. Các khía cạnh quan trọng trong kiểm định an toàn thông tin Nhóm kiểm định an toàn thông tin là độc lập và khách quan. Mỗi nhóm kiểm định an toàn thông tin phải bao gồm ít nhất hai kiểm định viên an toàn thông tin để đảm bảo sự độc lập và khách quan của kiểm định. Thủ tục này đảm bảo tính khách quan, triệt để, và không thiên vị. Không có thành viên nào của đội, vì những lý do của sự độc lập và khách quan, được trực tiếp tham gia hỗ trợ hoặc quản lý các khu vực được kiểm định. Họ không được tham gia vào sự phát triển của khái niệm hay cấu hình hệ thống. Không có thông tin nào được giữ lại từ các đội kiểm định an toàn thông tin. Điều này có nghĩa là các kiểm định viên không được phép sử dụng các thông tin nhạy cảm được cung cấp sau khi thực hiện kiểm định. Trong trường hợp cần thiết, kiểm định viên hoặc cơ quan kiểm định phải được sự đồng ý của tổ chức thực hiện kiểm định mới được sử dụng các thông tin đó. Các danh mục kiểm định và các tiêu chuẩn kiểm định là tài liệu tham chiếu khi thực hiện kiểm định an toàn thông tin. Việc sử dụng các tài liệu tham khảo phải được ghi chép và hạch toán cho hợp lý. Các kiểm định viên an toàn thông tin đòi hỏi một loạt các kiến thức cũng như kiến thức chuyên sâu trong lĩnh vực bảo mật thông tin. Để chứng minh cho năng lực của mình, các kiểm định viên cần có các chứng chỉ liên quan tới lĩnh vực kiểm định. 180 Cần đảm bảo rằng các hoạt động thực tế trong tổ chức không bị gián đoạn đáng kể bởi các kiểm định an toàn thông tin khi bắt đầu việc kiểm định an toàn thông tin. Kiểm định viên an toàn thông tin không bao giờ chủ động can thiệp vào hệ thống, và do đó không cung cấp bất kỳ hướng dẫn cho việc thực hiện thay đổi đối với các đối tượng được kiểm định. 8.1.4. Đạo đức của chuyên gia kiểm định Để có được niềm tin trong việc kiểm định khách quan, thì vấn đề đạo đức của chuyên gia kiểm định là rất cần thiết. Các tiêu chuẩn đạo đức nghề nghiệp phải được tôn trọng bởi các cá nhân cũng như của các tổ chức thực hiện kiểm định. Đạo đức nghề nghiệp bao gồm các nguyên tắc sau đây:  Trung thực và bảo mật Trung thực là nền tảng của sự tin tưởng và tạo cơ sở cho độ tin cậy của việc đánh giá. Do các quy trình nghiệp vụ nhạy cảm và thông tin thường được tìm thấy là các thông tin bí mật, do đó việc giữ bảo mật thông tin và xử lý kết quả kiểm định là một nhiệm vụ hết sức quan trọng và cần thiết. Kiểm định viên cần nhận thức được giá trị của các thông tin mà họ nhận được và những người sở hữu nó, và không được phép tiết lộ thông tin này mà không có sự cho phép tương ứng, trừ khi đó là cơ quan thẩm quyền hợp pháp hoặc cần phải như vậy.  Kiến thức chuyên gia Kiểm định viên an toàn thông tin chỉ thực hiện những công việc mà họ có kiến thức, kỹ năng cần thiết cũng như những kinh nghiệm tương ứng và sử dụng khi thực hiện nhiệm vụ của họ. Ngoài ra, các kiểm định viên cần liên tục nâng cao kiến thức cũng như tính hiệu quả và chất lượng công việc.  Khách quan và triệt để Kiểm định viên an toàn thông tin phải chứng minh mức độ cao nhất có thể về tính khách quan của chuyên gia và triệt để khi thu thập, đánh giá, chuyển tải thông tin về các hoạt động hoặc quy trình nghiệp vụ được kiểm định. Các đánh giá của tất cả các trường hợp có liên quan phải được thực hiện một cách khách quan và không bị ảnh hưởng bởi những lợi ích riêng của kiểm định viên hoặc các lợi ích của người khác. 181  Khả năng truyền tải Kiểm định viên an toàn thông tin có trách nhiệm báo cáo các kết quả kiểm tra chính xác và trung thực của mình. Điều này bao gồm việc trình bày khách quan và dễ hiểu về các sự kiện trong kiểm định an toàn thông tin cũng như các khuyến nghị để người đọc, người nghe có thể hiểu và thực hiện.  Xác minh và khả năng tái sử dụng Các cơ sở hợp lý cho kết luận và kết quả đáng tin cậy, dễ hiểu là rõ ràng và tài liệu phù hợp của các sự kiện thực tế. Điều này cũng bao gồm các nhóm kiểm định an toàn thông tin sau một phương pháp có thể tái sử dụng các kế hoạch kiểm định an toàn thông tin, báo cáo kiểm định an toàn thông tin. 8.2. CÁC TIÊU CHUẨN KIỂM ĐỊNH AN TOÀN THÔNG TIN Từ khi mạng Internet ra đời vào những năm 60 của thế kỷ trước, vấn đề về an toàn thông tin đã được nhắc đến và các tiêu chí kiểm định an toàn thông tin cũng bắt đầu được hình thành. Tiêu chí đầu tiên kiểm định ATTT là TCSEC, ra đời vào tháng 8/1983. Sau TCSEC, trong thời gian 1985 - 1995, có khoảng 30 tiêu chuẩn và tài liệu hướng dẫn trong lĩnh vực an toàn máy tính, thường được gọi là Rainbow Series được công bố ở Mỹ. Bộ tài liệu này đề cập đến nhiều vấn đề của an toàn máy tính, đáng kể nhất trong số đó là Trusted Network Interpretation, với nội dung giải thích, minh họa TCSEC cho các cấu hình mạng và mô tả, kiểm định các dịch vụ an toàn các mạng máy tính. Trong tài liệu tiêu chuẩn này, cơ chế bảo vệ bằng mật mã lần đầu được trình bày, nhằm đảm bảo tính bí mật và tính toàn vẹn của thông tin. Điểm mới của tài liệu chuẩn này xét theo góc độ thời điểm là có cách tiếp cận hệ thống đối với vấn đề truy cập và sự hình thành các nguyên lý cấu trúc hệ thống. Sau hơn 5 năm xuất hiện TCSEC, cuối những năm 80 chính phủ Mỹ cho công bố “Các tiêu chí Liên bang đánh giá an toàn công nghệ thông tin”. Đây là kết quả của nhiều nghiên cứu trong thập kỷ 80 và trên cơ sở phân tích kinh nghiệm sử dụng TCSEC. Khái niệm cốt lõi của tiêu chuẩn này là Hồ sơ bảo vệ (Proctection Profile), một trong những khái niệm quan trọng nhất trong hệ thống các tiêu chuẩn đánh giá. Đó là tài liệu tiêu chuẩn qui định các phương diện an 182 toàn của sản phẩm CNTT dưới dạng các yêu cầu đối với tất cả các giai đoạn: thiết kế, hoàn chỉnh công nghệ, chế tạo và cấp chứng nhận. Năm 1991, bốn nước gồm Pháp, Anh, Đức, Hà Lan cùng công bố “Tiêu chí hài hòa của các nước châu Âu”. Theo tiêu chuẩn này, tổ chức yêu cầu kiểm định và cấp chứng nhận cho sản phẩm CNTT cần tự xây dựng mục tiêu kiểm định, mô tả các mối đe dọa tiềm ẩn về ATTT và đề xuất các chức năng bảo vệ. Cơ quan cấp chứng nhận chỉ cần kiểm định mức độ đạt được mục tiêu thông qua các các chức năng đã đề ra. So với TCSEC và “Các tiêu chí liên bang” thì “Tiêu chí hài hòa của các nước châu Âu” có chức năng an toàn rộng hơn (gồm 10 hàm chức năng an toàn, so với 5 chức năng của TCSEC), đồng thời tiêu chuẩn này cũng đưa ra các mức an toàn khá chi tiết. Cùng thời gian này, chính phủ Canada cũng cho công bố “Tiêu chí kiểm định sản phẩm máy tính tin cậy của Canada” (Canadian Trusted Computer Product Evaluation Criteria). Năm 1993, các tổ chức chính phủ của 6 nước Bắc Mỹ và châu Âu gồm Canada, Mỹ, Anh, Đức, Hà Lan và Pháp cùng soạn thảo tiêu chuẩn “Tiêu chí chung kiểm định an toàn công nghệ thông tin” (Common Criteria for IT security Evaluation), thường gọi là Tiêu chí chung (Common Criteria - CC) trong khuôn khổ một dự án gọi là Dự án CC. Mục tiêu của Dự án CC là xây dựng một tiêu chuẩn mới trên cơ sở kết hợp và phát triển ba tiêu chuẩn “Tiêu chuẩn hài hòa của các nước Châu Âu”, “Tiêu chí kiểm định các hệ thống máy tính tin cậy” của Canada và “Tiêu chuẩn Liên bang an toàn công nghệ thông tin”. Phương án 1 của CC đã được ra đời vào năm 1996. Năm 1998, phương án 2 của CC ra đời với nhiều thay đổi quan trọng so với phương án đầu tiên. CC liên tục được xem xét và hoàn thiện, năm 1999, phương án CC 2.1 được ban hành trên cơ sở góp ý của nhóm công tác chuyên ngành thuộc tổ chức ISO. Sáu năm sau (năm 2005), phương án CC 3.0 ra đời trên cơ sở xem xét lại nhiều nội dung của các phương án trước đó và năm 2006 phương án CC 3.1 và được ban quản lý CC công bố như bản chính thức của CC. Phương án 2.1 của CC đã được tổ chức ISO công bố năm 1999 thành tiêu chuẩn quốc tế ISO/IEC15408 - 1999: Tiêu chí kiểm định an toàn công nghệ thông tin. ISO/IEC 15408:1999 được hoàn thiện, phát triển và năm 2009 được công bố thành ba phần tương ứng với ba nội dung chính của CC là ISO/IEC 183 15408 - 1: 2009 - Tổng quát (các quan điểm, khái niệm và nguyên lý), ISO/IEC 15408 - 2: 2009 - Các yêu cầu chức năng về chức năng an ninh và ISO/IEC 15408 - 3:2009 - Các yêu cầu đảm bảo an ninh. Đặc điểm cơ bản của Tiêu chí chung là tính bao quát về nhiều khía cạnh của ATTT. Đối tượng đánh giá theo CC là sản phẩm và hệ thống thông tin (có thể đã ở dạng thành phẩm hoặc đang được thiết kế) được ký hiệu là TOE (Target of Evaluation). Mỗi TOE được xem xét trong một bối cảnh xác định được gọi là môi trường an toàn, bao gồm tất cả những vấn đề có liên quan đến an toàn. Môi trường an toàn theo CC gồm các yếu tố sau: môi trường pháp lý, môi trường hành chính (chính sách an toàn), môi trường vật lý (các biện pháp bảo vệ, nhân sự với yêu cầu về tri thức, năng lực, kinh nghiệm; các qui định về khai thác...); môi trường kỹ thuật (những tài nguyên mà TOE được sử dụng để bảo vệ). Mục tiêu an toàn cho TOE được xây dựng trên cơ sở các giả thiết về an toàn, các mục tiêu này nhằm đảm bảo chống lại các mối đe dọa và thực hiện đầy đủ các chính sách về an toàn. Tùy vào mối quan hệ trực tiếp với TOE hoặc môi trường, các mục tiêu an toàn được chia thành hai nhóm: nhóm thứ nhất là mục tiêu cho môi trường đạt được bằng các phương tiện phi kỹ thuật. Nhóm thứ hai mang tính kỹ thuật và để đạt được chúng, CC đưa ra một hệ thống các Yêu cầu an toàn (Security Requirements). Các yêu cầu an toàn được chia theo cấu trúc phân cấp thành lớp (class), họ (family), thành phần (component) và phần tử (element). Phần lớn nội dung của CC là các yêu cầu về an toàn. Các yêu cầu này được chia làm hai loại là: Yêu cầu chức năng (Security functional Requirements) và Yêu cầu đảm bảo (Security Asurance Requirements). Yêu cầu chức năng liên quan đến phương diện “bảo vệ chủ động” (active defence), chúng được gán cho các chức năng an toàn và cơ chế thực thi các chức năng đó. Yêu cầu bảo đảm là các yêu cầu liên quan đến “bảo vệ thụ động” (passive defence), được gán cho công nghệ và quá trình chế tạo, khai thác. Ngoài khái niệm yêu cầu an toàn, CC được xây dựng trên ba khái niệm cơ bản sau: hồ sơ bảo vệ (Protection Profile - PP) là một bộ các yêu cầu an toàn đối với một lớp sản phẩm xác định; mục tiêu an toàn (Security Target - ST) là tập 184 hợp các yêu cầu đối với một thiết kế cụ thể mà việc thực hiện các yêu cầu đó cho phép giải quyết bài toán an toàn đặt ra và mức đánh giá (Evaluation Asurance Level - EAL). CC đưa ra bảy mức đánh giá đảm bảo an toàn (Evaluation Asurance Level –EAL) theo thứ tự tự tăng dần. Mức 1 (EAL- 1) là thấp nhất, ở mức này, các mối đe dọa an toàn không được coi là nghiêm trọng và đạt được với chi phí tối thiểu thông qua việc phân tích các đặc tả chức năng, giao diện, tài liệu khai thác kết hợp với phép kiểm tra độc lập. Mức 7 (EAL- 7) là mức cao nhất áp dụng cho những đối tượng đánh giá được sử dụng trong những trường hợp có rủi ro cao hoặc là những nơi mà giá trị của tài nguyên thông tin đòi hỏi chi phí lớn. Ngoài tiêu chuẩn chung CC, ISO cũng xây dựng một bộ tiêu chuẩn hướng dẫn thực hiện an toàn hệ thống thông tin là ISO 27002. Nội dung bộ tiêu chuẩn này giúp các cơ quan, tổ chức đưa ra mô hình cho hệ thống quản lý an toàn thông tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an toàn cho hệ thống thông tin. Nội dung bộ tiêu chuẩn này rất đầy đủ, sát với thực tiễn cho phép giảm thiểu được nhiều rủi ro an toàn thông tin có thể xảy ra nên đã được nhiều nước tham khảo và xây dựng các tiêu chuẩn quốc gia. Tiêu chuẩn ISO 27002 cũng đã được Tổng Cục đo lường và Chất lượng sử dụng như tài liệu cơ bản để biên soạn TCQG Việt Nam tương đương là TCVN 27002:2011. Tương ứng với tiêu chuẩn áp dụng là tiêu chuẩn kiểm tra, ISO đã ban hành tiêu chuẩn ISO 27001 nhằm mục đích kiểm định lại vấn đề đảm bảo an toàn thông tin trong cơ quan, tổ chức. Tiêu chuẩn quốc tế “Information security management system” có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27 thuộc tổ chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002. Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ISMS). Phê chuẩn việc triển khai một hệ thống ISMS 185 sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ sẽ cần luôn được cập nhật và thay đổi. Đầu tư và triển khai một hệ thống ISMS cần phải phù hợp với nhu cầu thực tiễn của tổ chức. Tiêu chuẩn này có thể sử dụng để kiểm định sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận bên ngoài liên quan đến tổ chức về đảm bảo an toàn thông tin. 8.3. QUY TRÌNH KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN Thực hiện kiểm định an toàn thông tin cho một cơ quan, tổ chức là công việc không dễ dàng và cần tuân theo một quy trình nhất định. Quy trình kiểm định phải đảm bảo phù hợp, đầy đủ và các kết quả kiểm định phải so sánh được với các yêu cầu đặt ra. Dưới đây là cụ thể về quy trình kiểm định áp dụng từ giai đoạn khởi tạo dự án cho đến khi kết thúc: Bước 1 - Chuẩn bị kiểm định Tài liệu tham chiếu Bước 2 - Tạo kế hoạch kiểm định Bước 3 – Xem xét tài liệu Bước 4 – Kiểm định trực tiếp Bước 5 – Đánh giá kết quả Thông báo kết quả Báo cáo kiểm định Bước 6 – Lập báo cáo kiểm định Hình 8.1. Quy trình kiểm định an toàn hệ thống thông tin 186 Bước 1: Thực hiện tại thời điểm bắt đầu kiểm định, các bên liên quan cần thống nhất các điều khoản chung và ký kết các thỏa thuận liên quan chuẩn bị cho quá trình kiểm định. Bước 2: Dựa trên thỏa thuận giữa các bên, nhóm kiểm định sẽ lên một kế hoạch chi tiết các công việc cần thực hiện trong toàn bộ quá trình kiểm định. Bước 3: Nhóm kiểm định tiến hành kiểm tra, xem xét các tài liệu có sẵn của bên kiểm định về việc thực hiện an toàn hệ thống thông tin. Nếu cần thiết có thể yêu cầu bổ sung tài liệu. Dựa trên việc rà soát các văn bản và kế hoạch kiểm định an toàn thông tin (được cập nhật trong thời gian này), các điều khoản về thời gian và cách thức hợp tác trong quá trình kiểm định tại chỗ giữa các bộ phận sẽ được thống nhất. Bước 4: Thực hiện kiểm định trực tiếp thông qua một cuộc họp mở với những người tham gia là phụ trách các bộ phận liên quan của cơ quan, tổ chức để hỏi, phỏng vấn đề đảm bảo an toàn thông tin. Việc kiểm tra tại chỗ sẽ được kết thúc bởi một cuộc họp tổng kết. Bước 5: Thông tin thu được trong quá trình kiểm tra trực tiếp được củng cố thêm và đánh giá bởi đội ngũ kiểm định. Bước 6: Các kết quả kiểm định được tóm tắt trong báo cáo kiểm định. Báo cáo này được cung cấp cho cơ quan có thẩm quyền xem xét cấp chứng nhận. 8.3.1. Chuẩn bị kiểm định Khi có kế hoạch thực hiện một cuộc kiểm định, người quản lý của tổ chức được kiểm định phải tham gia. Trong giai đoạn này, cần quy định các đối tượng kiểm định, ký kết hợp đồng và thỏa thuận các điều khoản cần cho quá trình kiểm định (ví dụ ủy quyền cho phép xem xét các tài liệu). Quản lý của tổ chức cần thông báo cho các cán bộ phụ trách, nhân viên về kế hoạch kiểm định. Các cán bộ phụ trách nên giải thích và nhắc nhở nhân viên phối hợp thực hiện kiểm định, đồng thời chuẩn bị hồ sơ tài liệu phục vụ cho các cán bộ kiểm định. Các tài liệu sau đây cần cung cấp cho nhóm kiểm định vì chúng hình thành cơ sở cho việc thực hiện việc kiểm định an toàn thông tin: 187 Tài liệu liên quan đến tổ chức:  Sơ đồ tổ chức hệ thống thông tin  Các bộ phận thực hiện đảm bảo an toàn thông tin  Lịch trình và kế hoạch thực hiện an toàn thông tin của tổ chức Tài liệu kỹ thuật:  Các phân vùng mạng  Vấn đề áp dụng các biện pháp đảm bảo an toàn  Chính sách an toàn  Danh sách các quy trình nghiệp vụ quan trọng  Danh sách các nguy cơ an toàn trong vòng 6 tháng  Việc khắc phục, xử lý các nguy cơ 8.3.2. Tạo kế hoạch kiểm định Khi đã có một cái nhìn đầy đủ về hệ thống thông tin của mục tiêu kiểm định và xác định được phạm vi kiểm định, nhóm kiểm định cần xây dựng một kế hoạch kiểm định. Kế hoạch này là công cụ chính được sử dụng trong suốt toàn bộ kiểm định, và là tài liệu xác định tất cả các hoạt động kiểm định. Việc phân bố thời gian trong quá trình thực hiện cũng rất quan trọng. Các nhiệm vụ cần thực hiện lâu phải được bố trí nhiều thời gian hơn, các nhiệm vụ đơn giản sẽ chỉ tốn ít thời gian. Phân bố thời gian sao cho toàn bộ các công việc có thể giải quyết được từ khi bắt đầu đến lúc kết thúc. Dưới đây là bảng thời gian ước tính khi thực hiện các giai đoạn kiểm định chung: Giai đoạn Công việc Thời gian (%) Bước 1 Chuẩn bị kiểm định 5% Bước 2 Tạo kế hoạch kiểm định 15% Bước 3 Xem xét tài liệu 20% Bước 4 Kiểm tra trực tiếp 35% 188 Bước 5 Đánh giá kết quả 5% Bước 6 Lập báo cáo kiểm định 20% Trong từng bước lại có các nhiệm vụ cụ thể. Thời gian thực hiện với các nhiệm vụ cụ thể phải được xem xét phù hợp với khoảng thời gan chung của toàn bộ giai đoạn. 8.3.3. Xem xét tài liệu Sau khi đã có được các tài liệu cung cấp từ bước 1, bây giờ là lúc xem xét tài liệu để có cái nhìn tổng quan về toàn bộ hệ thống kiểm định. Khi xem xét tài liệu, cần kiểm tra các chính sách đã áp dụng với hệ thống mạng và các rủi ro xảy đến trong thời gian gần. Xác định một chính sách phải đặt trong đặc điểm của các công ty, tổ chức, vị trí của nó, tài sản, công nghệ. Các chính sách phải được tính tới những vấn đề liên quan đến pháp lý và quy định các yêu cầu, hợp đồng hoặc nghĩa vụ của bên thứ 3 và bên phụ thuộc. Quản lý phải phê duyệt chính sách, và tất cả các nhân viên nên biết các chính sách, hiểu tầm quan trọng, mục đích của nó. Chính sách này phải bao gồm một khuôn khổ cho việc thiết lập các đối tượng, đưa ra hướng quản lý và hành động, thiết lập các tình huống quản lý rủi ro và đưa ra biện pháp chống lại những nguy cơ đã được tính tới. Chính sách có thể được xem như là một tập cha của chính sách an toàn thông tin, ví dụ như các chính sách đưa ra những vấn đề mà chính sách an toàn thông tin không cần thiết phải đề cấp tới. Xác định rủi ro đối với tài sản có tính tới các mối đe dọa và điểm yếu liên quan tới tài sản này và những tác động làm mất đi tính bí mật, toàn vẹn, sẵn có của tài sản. Việc xác định tài sản, mối đe dọa, các lỗ hổng cần phải liên quan đến việc kiểm soát ở các khu vực khác nhau. Điều này là rất quan trọng để đảm bảo rằng tất cả tài sản đều được xác định vì đây là cơ sở để đánh giá rủi ro, và chủ sở hữu được xác định cho mỗi tài sản. Việc xác định những tác động làm mất tính bảo mật, toàn vẹn và sẵn sàng của tài sản nên tính đến những nguy hiểm mà công ty phải đối mặt như về luật pháp, quy định, hợp đồng và yêu cầu của công ty thông qua những thiệt hại đó. Phân tích và đánh giá các rủi ro dựa 189 trên những thông tin bao gồm tất cả những khu vực điểu khiển như: tổ chức, nhân sự, quy trình kinh doanh, điều hành và duy trì, pháp lý, quy định và các vấn đề về hợp đồng, cơ sở xử lý thông tin. Điều này sẽ liên quan đến việc tổ chức đánh giá kết quả của việc kinh doanh từ những lỗi an toàn, có tính đến hậu quả mất tính bí mật, tính toàn vẹn, tính sẵn sàng của các tài sản có thể có. Điều này cũng bao gồm khả năng đánh giá các lỗi khi xảy ra, xem xét các mối đe dọa, điểm yếu được xác định và khả năng xảy đến cùng nhau và gây ra sự cố. Khi tổ chức đã xác định, đánh giá và hiểu những tác động của rủi ro có thể có trong kinh doanh thì họ sẽ có những hành động khác nhau để quản lý hay khắc phục những rủi ro đó ở tình hình kinh doanh của họ. Những hành động của tổ chức có thể xem xét bao gồm việc áp dụng kiểm soát thích hợp giảm thiểu rủi ro, tránh những rủi ro không thông qua cam kết của một họat động rủi ro có liên quan, chuyển giao các rủi ro (toàn bộ hoặc một phần) cho một bên khác ví dụ như là doanh nghiệp bảo hiểm hay cố ý hoặc khách quan chấp nhận rủi ro. Những tùy chọn này hoặc kết hợp một số các tuỳ chọn khác của tổ chức, các tổ chức khác nhau với cùng một rủi ro nhưng lại có những kết luận khác nhau, điều này còn phụ thuộc vào đối tượng kinh doanh và tùy từng trường hợp. Trong bất cứ trường hợp nào điều quan trọng vẫn là xác nhận rằng các quyết định này được ghi chép tốt và tổ chức có thể cung cấp bằng chứng để quyết định này được thực hiện với đầy đủ kiến thức về rủi ro và không đơn giản chỉ là sự thiếu hiểu biết. 8.3.4. Kiểm tra trực tiếp Mục đích của việc kiểm tra trực tiếp là để so sánh và kiểm tra lại các tài liệu được cung cấp với các điều kiện thực tế để xem vấn đề đảm bảo an toàn thực tế của tổ chức có đáp ứng đúng và đầy đủ như trong tài liệu hay không. Đôi khi quá trình lập kế hoạch rất hoàn hảo nhưng khi áp dụng lại phát sinh nhiều vấn đề, không được như mong muốn ban đầu. Kiểm tra trực tiếp có thể được thực hiện theo nhiều cách khác nhau. Có thể là tổ chức một vài cuộc gặp mặt trực tiếp, với sự tham gia của tất cả các đối tượng liên quan; cũng có thể là gặp riêng từng đối tượng để xem xét theo từng khía cạnh. 190 Một vấn đề cần được quan tâm khi thực hiện kiểm tra là “kỹ thuật kiểm tra”. Kỹ thuật kiểm tra được hiểu là tất cả các phương pháp được sử dụng để xác định sự thật của vấn đề. Các kỹ thuật kiểm tra khác nhau sau đây có thể được sử dụng trong quá trình kiểm tra trực tiếp: - Hỏi trực tiếp bằng lời (phỏng vấn). - Kiểm tra bằng mắt của hệ thống, địa điểm, không gian, phòng, và các đối tượng. - Quan sát (ví dụ như quan sát ngẫu nhiên một phòng làm việc). - Phân tích các tập tin (bao gồm cả dữ liệu điện tử). - Kiểm tra kỹ thuật (ví dụ như thử nghiệm các hệ thống báo động, hệ thống kiểm soát truy cập, ứng dụng, …). - Phân tích dữ liệu (ví dụ như các tập tin đăng nhập, đánh giá cơ sở dữ liệu, …). - Đưa ra các câu hỏi bằng văn bản. Tùy từng trường hợp cụ thể áp dụng các kỹ thuật kiểm định khác nhau, quan trọng là kết quả phải khách quan và có thể đánh giá được toàn bộ các khía cạnh cần thực hiện kiểm tra. Để chứng thực, các bộ phận liên quan cần đưa ra bằng chứng cho người kiểm định. Những bằng chứng phải chứng minh được tổ chức đã tham gia một cách có tiếp cận hệ thống từ việc xác định phạm vi qua việc thực thi một hệ thống của các quy trình quản lý và các kiểm soát phù hợp với an toàn thông tin cần thiết cho việc kinh doanh. Cách tiếp cận cũng cần được chứng minh và thể hiện thông qua các quyết định quản lý phù hợp đã đưa ra việc làm thế nào để thỏa thuận với các mặt của rủi ro dựa trên việc lập trình các quy trình quản lý rủi ro. Ngoài ra có thể cung cấp các bằng chứng về các thủ tục đã được đưa ra để theo dõi, xem xét và áp dụng quy trình. Nhóm kiểm định sẽ dựa trên các thông tin được chứng minh để xem xét tính chính xác của thông tin và đưa ra các kết quả phù hợp. 191 8.3.5. Đánh giá kết quả Sau khi kiểm tra trực tiếp, các thông tin thu được cần được đưa ra đánh giá. Việc đánh giá cũng có thể được thực hiện bởi nhóm kiểm định hoặc các cơ quan có thẩm quyền. Các kết quả đánh giá sẽ là cơ sở chứng nhận tính an toàn của mục tiêu đánh giá và là điều kiện cấp chứng nhận đảm bảo an toàn thông tin. Khi đánh giá kết quả, cần xem xét mục tiêu ban đầu để xác định ranh giới rủi ro và các rủi ro có thể chấp nhận được. Bất kỳ một loại trừ nào được tìm thấy do kiểm soát quản lý là rất cần thiết để đáp ứng các tiêu chuẩn chấp nhận rủi ro phải được chứng minh bằng các chứng cứ phù hợp mà các hành động được đưa ra bằng việc quản lý không bị ảnh hưởng tới tổ chức. Sự phù hợp với trách nhiệm quản lý rủi ro an toàn thông tin của nó và bất kỳ rủi ro nào được biết đến, được chấp nhận một cách khách quan bởi những người quản lý có trách nhiệm điều hành việc thực thi những quyết định đó và những người chịu trách nhiệm về việc ra quyết định như vậy. 8.3.6. Lập báo cáo kiểm định Báo cáo kiểm định an toàn thông tin, bao gồm cả các tài liệu tham khảo, sẽ được cung cấp bằng văn bản đến nhà quản lý của tổ chức kiểm định hoặc các đơn vị kiểm định, những người chịu trách nhiệm cho việc kiểm định an toàn thông tin. Một phiên bản dự thảo báo cáo kiểm định an toàn thông tin nên được trao cho các tổ chức kiểm định lần gần nhất để để xác minh rằng các sự kiện thành lập bởi đội ngũ kiểm định an toàn thông tin đã được ghi lại một cách chính xác. Tổ chức kiểm định có trách nhiệm đảm bảo rằng tất cả các đơn vị tổ chức bị ảnh hưởng nhận được các bộ phận liên quan của báo cáo kiểm định an toàn thông tin quan trọng với họ trong một thời gian thích hợp. Các quy tắc "cần phải biết" cần được áp dụng. Báo cáo kiểm định an toàn thông tin bao gồm tối thiểu là một bản tóm tắt quản lý, đánh giá đồ họa của trạng thái bảo mật thông tin được xác định, và một mô tả chi tiết về các sự kiện tìm thấy, cũng như một đánh giá của mỗi thực tế cho mỗi hình thức bảo vệ được kiểm tra. Phần 0 192 Phần này chứa các thông tin về tổ chức, ví dụ như các cơ sở kiểm định, thứ tự thời gian của các bước trong kiểm định an toàn thông tin, và một mô tả ngắn về các hợp đồng kiểm định. Phần 1 Phần 1 là tóm tắt quản lý. Bản tóm tắt này nên bao gồm tối đa là hai trang. Nó sẽ chứa các sự kiện chính được phát hiện trong một hình thức ngắn gọn và dễ hiểu cũng như các kiến nghị kết quả từ những sự kiện xác định. Phần 2 Ngoài các bản tóm tắt quản lý, một phiên bản đồ họa tóm tắt cho các kết quả của cuộc kiểm định cũng cần được cung cấp. Phần này nên chứa sơ đồ tổng quan tình hình thực hiện và tình hình sự thiếu an ninh. Phần 3 Phần này bao gồm một phần của báo cáo kiểm định an toàn thông tin có chứa các mô tả chi tiết các đối tượng đã thử nghiệm và các sự kiện được xác định cùng với các chi tiết kỹ thuật và kiến nghị. Phần này nên được sắp xếp theo các đối tượng mục tiêu và biện pháp bảo vệ thử nghiệm. Đánh giá mức độ an ninh Thể hiện trong báo cáo Các mức độ an ninh nghiêm trọng Màu đỏ Các mức độ an ninh trung bình Màu vàng Các mức độ an ninh thấp Màu xanh Các khía cạnh thông thường Khi tạo ra các báo cáo kiểm định an toàn thông tin, các khía cạnh hình thức sau đây phải được đưa vào xem xét. Tất cả các bài kiểm tra được tiến hành, kết quả của chúng, và các đánh giá các kết quả phải được ghi lại rõ ràng và dễ hiểu.  Các bảng nội dung cần có báo cáo thực tế cũng như tất cả các phụ lục (ví dụ ảnh chụp màn hình, các file log, vv). Mỗi phụ lục phải là dễ nhận biết để có thể kiểm tra thông tin một cách đầy đủ.  Tất cả các tài liệu tham khảo sử dụng phải được liệt kê. 193  Các dữ liệu về các hoạt động, ví dụ như dữ liệu từ các cuộc họp hoặc đánh giá tập tin trong báo cáo, phải được bao gồm trong một phụ lục.  Các trang phải được thiết kế sao cho mỗi trang có thể được xác định duy nhất (ví dụ sử dụng số trang cũng như số phiên bản và các tiêu đề và ngày của báo cáo).  Nếu công cụ phần mềm được sử dụng để hỗ trợ các hoạt động kiểm định, ví dụ: công cụ phân tích, thì các công cụ phải được liệt kê cùng với tên hiệu và số phiên bản.  Nếu báo cáo kiểm định đề cập đến thông tin được ghi với những công cụ, thì báo cáo (bản in) tương ứng phải được bao gồm trong báo cáo kiểm định, như phần ghi chú thêm.  Thuật ngữ đặc biệt hoặc chữ viết tắt thường được sử dụng không xuất hiện trong báo cáo phải được tập hợp trong danh mục thuật ngữ hoặc một chỉ mục các chữ viết tắt. Báo cáo quản trị Để cho các công ty hoặc cơ quan quản lý nhà nước thực hiện các quyết định đúng đắn khi quản lý các quy trình bảo mật thông tin, họ cần một cái nhìn tổng quan về thực trạng của vấn đề bảo mật thông tin. Điều này cũng bao gồm các kết quả của cuộc kiểm định an toàn thông tin. Các nhà quản lý nên thường xuyên nhận được các báo cáo về các thông tin sau:  Kết quả chính của báo cáo kiểm định an toàn thông tin.  Tình trạng an ninh và sự phát triển của tình trạng an ninh xác định trong kiểm định an toàn thông tin.  Các hoạt động tiếp theo cần thiết. Lưu trữ và đóng gói Báo cáo kiểm định an toàn thông tin và các tài liệu tham khảo phải được lưu trữ cẩn thận bởi tổ chức kiểm định trong một khoảng thời gian tối thiểu là 10 năm sau khi chuyển bản báo cáo. Chúng tạo thành cơ sở cho việc lựa chọn các 194 đối tượng mục tiêu và biện pháp bảo vệ được xem xét trong các cuộc kiểm định tương lai. Một số yêu cầu khi lưu trữ tài liệu:  Tính đúng đắn;  Đầy đủ;  Bảo vệ chống lại những thay đổi và giả mạo;  Bảo mật chống mất mát;  Sử dụng bởi người có thẩm quyền;  Duy trì các giai đoạn lưu trữ;  Tài liệu về các thủ tục;  Có khả năng kiểm tra;  Có khả năng tái sử dụng. Khi giao báo cáo kiểm định an toàn thông tin, việc kiểm định an toàn thông tin chấm dứt và đội ngũ kiểm định an toàn thông tin sẽ hoàn thành nhiệm vụ của mình. Dưới đây là ví dụ về bảng kết quả kiểm định xác định theo các mức:  D: Kiểm soát đã được lập tài liệu và được thực thi.  MD: Kiểm soát đã được thực thi và cần phải được tài liệu hóa.  RD: Kiểm soát chưa phù hợp với chuẩn và cần phải được đăng ký để phù hợp với chuẩn.  PNP: Việc thực thi không ở nơi thực hiện kiểm tra hoặc chưa được thực thi.  NA: Kiểm soát không được áp dụng với tổ chức. Tham chiếu A.5 Tiêu đề kiểm soát Mô tả kiểm soát Chính sách an toàn 195 Chức năng Tình trạng Đề xuất A5.1 A.5.1.1 A.5.1.2 A.6 Để cung cấp hướng quản lý và hỗ Chính sách an trợ an tòn thông tin phù hợp với toàn thông tin yêu cầu kinh doanh, pháp luật và các quy định có liên quan. Tài liệu chính sách an toàn thông tin Một tài liệu chính sách an toàn thông tin phải được phê duyệt của Ban Quản lý Giám đốc và công bố và thông báo cấp cao cho tất cả nhân viên và các bên liên quan bên ngoài. Chính sách bảo mật thông tin phải Xem xét lại các được xem xét trong khoảng thời gian chính sách bảo kế hoạch hoặc nếu thay đổi xảy ra mật thông tin phải đảm bảo tính liên tục, đầy đủ và hiệu quả. D Quản lý cấp cao D Tổ chức an toàn thông tin Tổ chức nội bộ Để quản lý an toàn thông tin trong tổ chức. Cam kết quản lý an toàn thông tin Quản lý chủ động hỗ trợ bảo mật trong tổ chức thông qua định hướng rõ ràng, cam kết chứng minh, phân công rõ ràng, và sự thừa nhận trách nhiệm bảo mật thông tin. Quản lý cấp cao MD A.6.1.2 Phối hợp an toàn thông tin Hoạt động an toàn thông tin phải được phối hợp bởi các đại diện từ các bộ phận khác nhau của tổ chức có liên quan với vai trò và chức năng công việc. CISO RD A.6.1.3 Phân công trách nhiệm bảo mật thông tin Tất cả các trách nhiệm an toàn thông tin được xác định rõ ràng. HR PNP A.6.1.4 Quá trình cấp phép cho các cơ sở xử lý thông tin Một quá trình ủy quyền quản lý cho các cơ sở xử lý thông tin mới được xác định và thực hiện. CISO NA A.6.1.5 Yêu cầu về bảo mật hoặc không công bố thỏa thuận phản ánh nhu Thỏa thuận bảo cầu của tổ chức để bảo vệ các thông mật tin sẽ được xác định và đánh giá thường xuyên. CISO D A.6.1.6 Liên hệ với những người có thẩm quyền Quản trị D A.6.1 A.6.1.1 Địa chỉ liên lạc thích hợp với các cơ quan có liên quan phải được duy trì. 196 A.6.1.7 Địa chỉ liên lạc phù hợp với các Liên hệ với các nhóm lợi ích đặc biệt hoặc các diễn nhóm lợi ích đàn an toàn chuyên môn khác và các đặc biệt hiệp hội nghề nghiệp được duy trì. A.6.1.8 Đánh giá độc lập về an toàn thông tin Cách tiếp cận của tổ chức để quản lý an toàn thông tin và thực hiện nó (tức là mục tiêu kiểm soát, kiểm soát, chính sách, quy trình, thủ tục an toàn thông tin) sẽ được xem xét một cách độc lập trong khoảng thời gian lên kế hoạch, hoặc khi thay đổi đáng kể vào việc thực hiện an toàn xảy ra. A6.2 Các đối tác bên ngoài Để duy trì an toàn thông tin và các thông tin cơ sở chế biến của tổ chức được truy cập, xử lý, truyền đạt, hoặc các bên ngoài quản lý. IT D CISO D CISO D A.6.2.1 Các rủi ro đối với thông tin và các thông tin cơ sở chế biến của tổ chức Xác định các từ quy trình kinh doanh liên quan rủi ro liên quan đến bên ngoài sẽ được xác định và đến bên ngoài kiểm soát thích hợp được thực hiện trước khi cấp quyền truy cập. A.6.2.2 Giải quyết an toàn khi giao dịch với khách hàng Tất cả các yêu cầu an toàn xác định được giải quyết trước khi cho khách hàng tiếp cận thông tin hoặc tài sản của tổ chức. IT D Giải quyết an toàn trong hợp đồng của bên thứ ba Thỏa thuận với các bên thứ ba liên quan đến truy cập, xử lý, giao tiếp, quản lý thông tin hoặc thông tin cơ sở chế biến của tổ chức, hoặc thêm vào sản phẩm hay dịch vụ cho các cơ sở xử lý thông tin sẽ bao gồm tất cả các yêu cầu bảo mật liên quan. Tài chính D A.6.2.3 Tổng hợp kết quả: Đếm Mã trạng thái Nghĩa 131 D Kiểm soát đã được lập tài liệu và được thực thi 97% 1 MD Kiểm soát đã được thực thi và quá trình phải được lập tài liệu để đảm bảo độ lặp 1% 197 Tỉ lệ % lại của quá trình và giảm thiểu rủi ro. RD Kiểm soát chưa phù hợp với chuẩn và nó phải được thiết kế lại 1% 1 PNP Quy trình chưa được đặt ra/ hoặc chưa được thực hiện. (Kiểm soát được yêu cầu là khác so với tài liệu hoặc chưa được thực thi) 1% 1 NA (Not Applicable) Kiểm soát chưa được áp dụng cho với tổ chức 1% 1 135 8.4. CHỨNG NHẬN KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN Chứng nhận kiểm định là kết quả chứng nhận một hệ thống đã đáp ứng đầy đủ các vấn đề an toàn thông tin theo quy định. Chứng nhận này được cấp bởi cơ quan có thẩm quyền và có giá trị hiệu lực trên toàn quốc hoặc trong nước. Ở Việt Nam, cơ quan cấp chứng nhận là Cục đăng kiểm Việt Nam. Ví dụ về chứng nhận kiểm định an toàn theo tiêu chuẩn ISO 27001: Hình 8.2. Chứng nhận kết quả kiểm định 198 TÀI LIỆU THAM KHẢO [1] Karen Scarfone, Murugiah Souppaya, Amanda Cody & Angela Orebaugh, Technical Guide to Information Security Testing and Assessment, NIST SP 800-115, (Năm 2008). [2] Ahmed Abdel-Aziz, Scoping Security Assessments A Project Management Approach, SANS Institute, (Năm 2011). - [3] John Wack, Miles Tracy & Murugiah Souppaya, Guideline on Network Security Testing, NIST SP 800-42, (Năm 2003). [4] Thomas Wilhelm, Professional Penetration Testing 2nd - Creating and Learning in a Hacking Lab, Syngress , (Năm 2013). [5] Martin Weiss & Michael G. Solomon, Auditing IT Infrastructures For Compliance (Information Systems Security & Assurance) 2nd Edition, (Năm 2015). [6] Jeremy Faircloth, Penetration Tester’s Open Source Toolkit – Third Edition, Syngress, (Năm 2005). [7] Open Information System Security Group, Information System Security Assessment Framework (ISSAF) Draft 0.2.1, (Năm 2006). [8] British Standards Institution - BS ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements, American National Standards Institute, (Năm 2008). [9] Patrick Engebretson, The Basics of Hacking and Penetration Testing, Syngress, (Năm 2011). [10] Lee Allen, Advanced Penetration Testing for Highly-Secured Environments, Packt Publishing, (Năm 2012). 199 PHỤ LỤC PHỤ LỤC A: GIỚI THIỆU MỘT SỐ BỘ CÔNG CỤ SỬ DỤNG TRONG KIỂM THỬ 1. Kali Linux Kali Linux là một bản phân phối dạng Live DVD, là phiên bản mới hơn của bộ công cụ BackTrack, được phát triển trên nền tảng Debian (nhân Linux) để thử nghiệm thâm nhập tới các hệ thống, website và mạng máy tính. Trong các định dạng Live DVD, người dùng có thể sử dụng Kali Linux trực tiếp từ DVD hoặc cài đặt trên máy và sử dụng như một hệ điều hành. Kali rất linh hoạt và hỗ trợ đầy đủ các giao diện cho đến khả năng tuỳ biến hệ thống. Đối với giao diện, người dùng có thể lựa chọn một trong nhiều các giao diện như GNOME, KDE, XFCE, … tùy theo sở thích và thói quen sử dụng. Kali Linux hỗ trợ một cách nhanh chóng cho việc tìm kiếm và cập nhật cơ sở dữ liệu các công cụ bảo mật. Công cụ kiểm thử bảo mật trong Kali Linux có thể được phân loại thành các nhóm như sau:  Information gathering: Sử dụng để có được thông tin liên quan đến một mục tiêu DNS, địa chỉ email, trang web, máy chủ mail…. Thông tin này được thu thập từ các thông tin có sẵn trên Internet mà không cần chạm vào môi trường mục tiêu.  Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host đang tồn tại, thông tin về hệ điều hành, ứng dụng được sử dụng bởi mục tiêu, và cũng sử dụng cho mục đích quét cổng.  Vulnerability identification: Quét các lỗ hổng, phân tích Server Message Block (SMB) và Simple Network Management Protocol (SNMP).  Web application analysis: Theo dõi, giám sát các ứng dụng Web.  Radio network analysis: Kiểm tra mạng không dây, bluetooth và nhận dạng tần số vô tuyến (RFID). 200  Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục tiêu.  Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền, cho các đặc quyền cao nhất tới hệ thống.  Maintaining access: Duy trì quyền truy cập vào các máy tính mục tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trước khi có thể cài đặt công cụ để duy trì quyền truy cập.  Voice Over IP (VOIP): Các công cụ để phân tích VOIP.  Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tin.  Reverse engineering: Gỡ rối chương trình hoặc tháo rời tập tin thực thi. Có thể tải Kali Linux tại địa chỉ: https://www.kali.org/downloads/ Bảng dưới đây cung cấp một vài công cụ có sẵn trong bộ công cụ Kali Linux: Kỹ thuật kiểm thử an toàn Công cụ kiểm thử an toàn Rà soát 201 Nghe lén mạng Dsniff, Ettercap, Kismet, Mailsnarf, Msgsnarf, Ntop, Phoss, SinFP, SMB Sniffer, và Wireshark Kiểm tra tính toàn vẹn của Autopsy, Foremost, RootkitHunter, và Sleuthkit file Phân tích và xác định mục tiêu Kiểm thử an toàn ứng dụng CIRT Fuzzer, Fuzzer, NetSed, Paros Proxy, và Peach Khám phá mạng Autonomous System Scanner, Ettercap, Firewalk, Netdiscover, Netenum, Netmask, Nmap, P0f, Tctrace, và Umit Xác định cổng và dịch vụ Amap, AutoScan, Netdiscover, Nmap, P0f, Umit, và UnicornScan Dò quét điểm yếu Firewalk, GFI LANguard, Hydra, Metasploit, Nmap, Paros Proxy, Snort, và SuperScan Dò quét mạng không dây Airsnarf, Airsnort, BdAddr, Bluesnarfer, Btscanner, FakeAP, GFI LANguard, Kismet, và WifiTAP Xác nhận điểm yếu mục tiêu Bẻ mật khẩu Hydra, John the Ripper, RainbowCrack, Rcrack, SIPcrack, SIPdump, TFTPBrute, THC PPTP, VNCrack, và WebCrack Kiểm thử truy cập từ xa IKEProbe, IKE-Scan, PSK-Crack, và VNC_bypauth Kiểm thử xâm nhập Driftnet, Dsniff, Ettercap, Kismet, Metasploit, Nmap, Ntop, SinFP, SMB Sniffer, và Wireshark 2. Knoppix Knoppix là một trong số các bản phân phối Linux dựa trên nền tảng Debia. Đây cũng là phiên bản Linux có đĩa live CD đầu tiên. Knoppix được xây dựng bởi một chuyên gia an ninh để hỗ trợ trong việc kiểm thử an toàn hệ thống 202 thông tin. Trong khi Knoppix được đóng gói phân phối với tư cách một OS độc lập cùng khá nhiều công cụ mã nguồn mở hữu ích thì đa phần người dùng nhớ tới bản phân phối này chỉ khi hệ thống gặp trục trặc, cần khôi phục dữ liệu. Tương tự như Kali Linux, Knoppix cho phép khai thác mạng, xác định cổng và dịch vụ, nghe lén thông tin qua mạng, bẻ mật khẩu, điều tra số và kiểm thử an toàn từ xa. Điểm khác biệt giữa Knoppix và Kali Linux là Knoppix chứa một vài công cụ mà Kali Linux không có, như Netcat và Nessus; công cụ về mật mã; và một số công cụ khác trong việc điều tra máy tính và sniffing. Tuy nhiên bộ công cụ này không cung cấp công cụ Metasploit để khai thác hệ thống, đồng thời cũng không có nhiều công cụ để khai thác an ninh tới mạng không dây. Có thể tài Knoppix live CD tại: http://www.knopper.net/knoppix/indexen.html Bảng dưới đây cung cấp một số công cụ hữu ích có trong bộ công cụ Knoppix: Kỹ thuật kiểm thử an toàn Công cụ kiểm thử an toàn Rà soát Nghe lén mạng Dsniff, Ettercap, Ethereal, Filesnarf, Kismet, Mailsnarf, Msgsnarf, Ngrep, Ntop, TCPdump, và Webspy Kiểm tra tính toàn vẹn của Autopsy, Biew, Bsed, Coreography, Foremost, file Hashdig, Rifiuti, và Sleuthkit Phân tích và xác định mục tiêu Kiểm thử an toàn ứng dụng NetSed Khám phá mạng Cryptcat, Ettercap, Firewalk, Netcat, Nmap, và P0f Xác định cổng và dịch vụ Amap, Netcat, Nmap, và P0f Dò quét điểm yếu Exodus, Firewalk, Nmap, và Snort Dò quét mạng không dây Airsnarf, Airsnort, GPSdrive, Kismet, và MACchanger Xác nhận điểm yếu mục tiêu 203 Bẻ mật khẩu Allwords2, chntpw, Cisilia, Djohn, Hydra, John the Ripper, và Rcrack Kiểm thử truy cập từ xa Apache Server, IKE-Scan, Net-SNMP, SSHD, TFTPD, và VNC Server Kiểm thử xâm nhập Driftnet, Dsniff, Ethereal, Ettercap, Kismet, Nessus, Netcat, Ngrep, Nmap, Ntop, và TCPdump 204 PHỤ LỤC 2: BIỂU MẪU QUY TẮC GẮN KẾT (ROE) Mẫu này cung cấp một điểm khởi đầu cho việc phát triển một quy tắc gắn kết (ROE) của tổ chức. Các tổ chức có thể cân nhắc để bổ sung hoặc loại bỏ bớt các vấn đề được đưa ra dưới đây: 1. Giới thiệu 1.1. Mục đích Xác định mục đích của việc kiểm tra an ninh. 1.2. Phạm vi Xác định ranh giới kiểm tra về các hành động và kết quả mong đợi. 1.3. Các giả định và hạn chế Xác định các giả định được thực hiện bởi tổ chức và các nhóm thử nghiệm. Việc này có thể liên quan đến nhiều khía cạnh đánh giá bao gồm nhóm kiểm thử, thiết lập các biện pháp phù hợp cho hệ thống kiểm tra, v.v… 1.4. Các rủi ro Xác định các rủi ro có thể xảy ra khi thực hiện kiểm thử an toàn hệ thống thông tin, đặc biệt là trong trường hợp thực hiện các kiểm thử xâm nhập. Bên cạnh việc xác định rủi ro, cần đưa ra các giải pháp để khắc phục rủi ro nhằm bảo vệ an toàn cho hệ thống đánh giá. 1.5. Cấu trúc tài liệu Phác thảo cấu trúc của ROE, và mô tả nội dung của từng phần. 2. Các vấn đề liên quan (hậu cần) 2.1. Cá nhân Xác định bởi tên tất cả các nhân viên được giao nhiệm vụ kiểm thử an toàn, cũng như các cán bộ chủ chốt thực hiện kiểm thử. Nên bao gồm một bảng với tất cả các điểm liên lạc cho các nhóm kiểm thử, người quản lý, và các đội ứng phó sự cố. Nếu có thể, nên thực hiện kiểm tra cả các lý lịch cũng như giấy phép hợp lệ trước khi thực hiện các nhiệm vụ cụ thể. 2.2. Kế hoạch kiểm thử 205 Chi tiết về kế hoạch kiểm thử, bao gồm các thông tin như: các kiểm thử và các sự kiện quan trọng. Ở đây cũng cần tính toán thời gian (số giờ) mà thử nghiệm sẽ diễn ra. Ví dụ như thực hiện kiểm thử 1 website đang hoạt động cần thực hiện vào buổi tối chứ không phải vào các giờ cao điểm. 2.3. Vị trí kiểm thử Xác định vị trí, địa điểm thực hiện kiểm thử. Nếu việc kiểm thử được thực hiện bên trong tổ chức, các truy cập tới các trang thiết bị cần được thảo luận và được sự chấp thuận của tổ chức kiểm thử. Ngoài ra cần có sự hạn chế truy cập vật lý tới các trang thiết bị của tổ chức. Tất cả các truy cập cần được sự cho phép của người có thẩm quyền. Nhóm kiểm thử chỉ có thể được hoạt động trong phạm vi cho phép theo thỏa thuận xác định trước. Nếu việc kiểm thử diễn ra tại vị trí bên ngoài tổ chức (kiểm thử từ xa) thì cũng cần xác định cụ thể vị trí kiểm thử cũng như cấu trúc hệ thống kiểm thử. 2.4. Trang thiết bị kiểm thử Xác định các trang thiết bị mà nhóm kiểm thử sẽ sử dụng trong quá trình thực hiện kiểm thử. Ngoài ra cũng cần xác định cách thức phân biệt giữa hệ thống bình thường của tổ chức với hệ thống thực hiện kiểm thử; ví dụ như nếu hệ thống của nhóm kiểm thử được xác định bằng địa chỉ MAC, việc theo dõi hệ thống kiểm thử có thể được thực hiện thông qua việc sử dụng phần mềm khai thác mạng. Ngoài phần cứng, công cụ cho phép sử dụng trên mạng cũng cần được xác định. Sẽ là hợp lý nếu xác định tất cả các công cụ sẽ sử dụng và đưa vào trong một phụ lục. 3. Chiến lược giao tiếp 3.1. Giao tiếp chung Thảo luận về tuần suất và phương thức giao tiếp giữa các bên. Ví dụ như xác định lịch họp, vị trí và tổ chức các hội nghị truyền hình nếu cần thiết. 3.2. Xử lý sự cố và đáp trả Phần này rất quan trọng trong trường hợp xảy ra sự cố trên mạng trong thời gian tiến hành kiểm thử. Cần đưa ra các quy định để tạm dừng thực hiện kiểm thử an toàn hệ thống thông tin khi có sự cố xảy ra. Bên cạnh đó cũng cần 206 quy định nhóm ứng phó sự cố và xác định trách nhiệm rõ ràng. Khi có sự cố, nhóm ứng phó cần có quy trình và thực hiện các hành động khôi phục một cách nhanh nhất và đảm bảo xử lý được hoàn toàn sự cố. 4. Mạng/ hệ thống mục tiêu Xác định hệ thống hoặc mạng cần kiểm thử thông qua quy trình kiểm thử an toàn hệ thống thông tin. Thông tin cần thiết bao gồm các địa chỉ IP, các máy chủ, máy trạm, tường lửa, router, hệ điều hành, và các ứng dụng kiểm thử. Ngoài ra cần xác định các hệ thống không được phép kiểm thử, cái này sẽ được đưa vào “danh sách loại trừ”. 5. Thực thi kiểm thử Phần này là cụ thể về kiểu kiểm thử và phạm vi kiểm thử, tuy nhiên cũng cần chi tiết về các hành động được phép, các hành động không được phép và các mô tả về phương pháp kiểm thử an ninh. Nếu cần, có thể phát triển kế hoạch đánh giá để bổ sung cho ROE. Đây có thể là một phụ lục hoặc một văn bản riêng. 1.1. Các thành phần kiểm thử không liên quan tới kỹ thuật Xác định các hành động kiểm thử không liên quan tới kỹ thuật mà sẽ được thực hiện, bao gồm các thông tin để giúp xác định các loại chính sách, quy trình và các tài liệu khác mà có thể được xem xét lại. Nếu thực hiện phỏng vấn hoặc khảo sát, cần chuẩn bị trước các câu hỏi và phải được chấp thuận của những người có thẩm quyền. Nếu kiểm thử cả các vấn đề liên quan tới an toàn vật lý thì cần phải xây dựng một quy trình và có hình thức kiểm thử phù hợp, ví dụ như có văn bản với chữ ký hợp pháp để khi thực hiện kiểm thử, nhóm kiểm thử trình các văn bản này trước khi tiến hành kiểm thử. 1.2. Các thành phần kiểm thử liên quan tới kỹ thuật Bao gồm các kiểu kiểm thử về mặt kỹ thuật (ví dụ: dò quét mạng, khám phá, kiểm thử xâm nhập). Khi thực hiện các kiểm thử này, cần thảo luận một cách cụ thể về nơi các tập tin được cài đặt, sửa đổi, thực thi và giải thích các hành động cần thiết với các tập tin khi quá trình kiểm thử kết thúc. Bất kỳ các thông tin liên quan đến hệ thống hoặc mạng kiểm thử cũng cần được thảo luận 207 trong phần này. Cần chi tiết hóa các thông tin quan trọng, về các hành động sẽ thực hiện tại hệ thống đích để đảm bảo tất cả các bên đều nhận thức được các hành động được phép và thu được kết quả như mong đợi. 1.3. Xử lý dữ liệu Xác định được các chỉ dẫn liên quan tới việc thu thập, lưu trữ, truyền tải và hủy dữ liệu kiểm thử; đồng thời thiết lập, có các yêu cầu rõ ràng, chi tiết cho việc xử lý dữ liệu. Lưu ý rằng các kết quả từ bất kỳ kiểu kiểm thử an toàn thông tin nào đều sẽ xác định các lỗ hổng mà kẻ thù có thể khai thác. 6. Báo cáo Các báo cáo chi tiết sẽ được cung cấp trong suốt quá trình kiểm thử và kết luận cuối cùng. Các thông tin tối thiểu cần được cung cấp trong mỗi báo cáo (ví dụ như các lỗ hổng, các khuyến nghị cho việc giảm thiểu rủi ro) và tần suất báo cáo (ví dụ: báo cáo tình trạng hàng ngày). Một mẫu có thể được cung cấp như là một phụ lục của ROE để minh chứng cho nội dung và định dạng báo cáo. 7. Trang ký Được thiết kế để xác định trách nhiệm của các bên và đảm bảo rằng họ biết và hiểu về các trách nhiệm của họ trong suốt quá trình kiểm thử. Tối thiểu nhất, trưởng nhóm kiểm thử và những người quản lý của tổ chức (như CSO, CISO, CIO, …) ký vào biên bản ROE để minh chứng rằng họ hiểu về phạm vi kiểm thử và các nhiệm vụ cần thực hiện. 208 PHỤ LỤC 3: CÁC CÔNG CỤ KIỂM THỬ PHỔ BIẾN 1. Các công cụ kiểm tra tính toàn vẹn của tệp tin Công cụ Website Linux /Unix http://www.cs.tut.fi/~ra mmer/aide.html  Khả năng Windows Chi phí Miễn phí Aide Unix and Linux Mô tả AIDE (Advanced Instrusion Detection Environment) là một thay thế miễn phí của Tripwire. Nó kiểm tra tính toàn vẹn của tệp tin và hỗ trợ một số lượng lớn các nền tảng Unix và Linux LANGuard Mô tả Tripwire Mô tả Windows 2000/NT http://www.gfi.com/lan guard/  Miễn phí Trình kiểm tra tính toàn vẹn của tệp tin LANGuard là một tiện ích cung cấp khả năng phát hiện xâm nhập bằng kiểm tra xem các tệp tin có bị thay đổi, thêm hoặc bị xóa trên hệ thống Windows 2000/NT hay không http://www.tripwiresec Windows, Unix, urity.com/ Linux và Routers   Miễn phí cho Unix Tripwire theo dõi những thay đổi tệp tin, xác minh tính toàn vẹn và thông báo cho người quản trị bất kỳ hành vi vi phạm dữ liệu nào trên các máy chủ mạng. 2. Các công cụ nghe lén mạng Công cụ Khả năng Website Linux /Unix Dsniff Nghe lén Unix http://www.monkey.org/ ~dugsong/dsniff/  Mô tả Ethereal Windows Chi phí Miễn phí Dsniff là một một tập các công cụ để kiểm toán mạng và kiểm thử xâm nhập. Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, và webspy giám sát bị động một mạng đối với các dữ liệu quan trọng (mật khẩu, e-mail, các tệp tin…). Arpspoof, dnsspoof, và macof thuận lơi cho việc chặn bắt lưu lượng mạng thường không có sẵn cho một kẻ tấn công (ví dụ: layer-2 switching). Sshmitm and webmitm cài đặt các cuộc tấn công khỉ đứng giữa (monkey-in-the-middle) chống lại các phiên SSH và HTTPS bị chuyển hướng bằng cách khai thác các ràng buộc yếu trongcác PKI đặc biệt. Nghe lén trên http://www.ethereal.co 209   Miễn Unix/Windows m/ với giao diện đồ họa Mô tả Sniffit Mô tả Snort Mô tả TCPDump Mô tả WinDump Mô tả phí Ethereal là một bộ phân tích giao thức mạng miễn phí cho Unix và Windows. Nó cho phép người sử dụng kiểm tra dữ liệu từ một mạng đang hoạt động hoặc từ một tệp tin lấy được trên đĩa. Nó có thể duyệt qua các dữ liệu lấy được, xem tóm tắt và chi tiết thông tin cho mỗi gói tin. Ethereal có nhiều tính năng mạnh mẽ, bao gồm một ngôn ngữ lọc hiển thị phong phú và khả năng xem các dòng tái cấu trúc của một phiên TCP và phân tích một gói tin 802.11 Nghe lén Unix http://reptile.rug.ac.be/~ coder/sniffit/sniffit.html http://www.symbolic.it/ Prodotti/sniffit.html (Windows)   Miễn phí Một phần mềm miễn phí, nghe lén đa năng cho các phiên bản khác nhau của Linux, Unix và Windows Nghe lén Unix /IDS http://www.snort.org   Miễn phí Một IDS nhẹ và là phần mềm miễn phí và nghe lén đa năng cho các phiên bản khác nhau của Linux, Unix và Windows Nghe lén Unix http://wwwnrg.ee.lbl.gov/ Miễn phí  Một phần mềm miễn phí, nghe lén đa năng cho các phiên bản của Unix và Linux Nghe lén Windows http://netgroupserv.polito.it/windump/  Miễn phí Một phần mềm miễn phí, nghe lén đa năng của Windows dựa trên TCPDump 3. Các công cụ bẻ mật khẩu Công cụ Khả năng Website Linux /Unix Crack 5 Bẻ khóa mật khẩu Unix http://www.crypticid e.org/users/alecm/  Mô tả Windows Chi phí Miễn phí Crack là một chương trình đoán mật khẩu được thiết kế để nhanh chóng xác định vị trí không an toàn trong các tệp mật khẩu Unix bằng cách quét 210 các nội dung của tệp mật khẩu, tìm kiếm những người dùng chọn mật khẩu đăng nhập yếu. IMP 2.0 Mô tả John the Rippe Bẻ khóa mật khẩu Novell Netware http://www.wastelan ds.gen.nz  Miễn phí IMP là một tiện ích bẻ mật khẩu NetWare với giao diện đồ họa. Nó nạp thông tin tài khoản trực tiếp từ các file NDSor hoặc Bindery và cho phép người sử dụng cố gắng làm lộ các mật khẩu tài khoản với các phương pháp tấn công khác nhau. Bẻ khóa mật khẩu Windows và Unix http://www.openwall. com/john/   Miễn phí Mô tả John the Rippers là công cụ bẻ mật khẩu nhanh chóng, hiện đang có nhiều trong Unix, Dos và BeOS. Mục đích chính của nó là để phát hiện các mật khẩu yếu trong Unix, một số các loại bản băm khác cũng được hỗ trợ. L0pht Crack Bẻ khóa mật khẩu http://www.securityf Windows và Unix ocus.com/tools/1005 Mô tả Tiện ích bẻ mật khẩu trong Windows NT, 2000 và XP. Nwpcrack Mô tả Bẻ khóa mật khẩu Novell Netware http://ftp.cerias.purdu e.edu/pub/tools/novel l/  Mất phí  Miễn phí Windows Chi phí  Miễn phí Tiện ích bẻ mật khẩu cho Novell Netware. 4. Các công cụ dò quét và liệt kê Công cụ Khả năng Website DUMPSec Công cụ liệt kê Windows http://www.systemto ols.com Mô tả Firewalk Mô tả Fscan Linux /Unix DUMPSec là một chương trình kiểm toán an toàn cho Microsoft Windows. Lọc tường lửa http://www.packetfac tory.net/firewalk/ Miễn phí  Firewalking là một kỹ thuật sử dụng giống như kỹ thuật traceroute để phân tích các phản hồi gói tin IP để xác định các bộ lọc ACL và đường đi của mạng. Công cụ Firewalk sử dụng kỹ thuật này để xác định các luật lọc tại chỗ trên một thiết bị chuyển tiếp gói tin. Quét cổng http://www.foundsto ne.com/ 211  Miễn phí Mô tả LANguard Network Scanner FScan là công cụ quét cổng dòng lệnh . Nó sẽ quét cả các cổng TCP và UDP Quét cổng, phát http://www.gfi.com/l anguard/lanscan.htm hiện hệ điều hành  Miễn phí Mô tả LANguard Network Scanner là công cụ quét cổng và quét an toàn miễn phí để kiểm toán an toàn mạng của bạn. Nó quét toàn bộ mạng và cung cấp thông tin NetNIOS cho mỗi máy tính như tên host, tên đăng nhập của người dùng. Nó thực hiện phát hiện hệ điều hành, kiểm thử độ mạnh mật khẩu, phát hiện các vấn đề về registry và nhiều vấn đề khác nữa. Các báo cáo được xuất ra dạng HTML. NDS Snoop Công cụ Novell http://www.novell.co Enumeration m/coolsolutions/ Mô tả Cung cấp khả năng liệt kê một loạt các đối tượng và giá trị NDS. Nmap Mô tả Solarwinds Mô tả SuperScan Mô tả Quét cổng, phát hiện hệ điều hành http://www.insecure. org/nmap/    Miễn phí Miễn phí Nmap (“Network Mapper”) là một tiện ích mã nguồn mở dùng để khai thác mạng và kiểm toán an toàn mạng. Nó được được thiết kế để quét các mạng lớn một cách nhanh chóng, mặc dù nó cũng hoạt động với các host đơn. Nmap sử dụng các gói IP thô để xác định danh sách các host có sẵn trên mạng, những dịch vụ mà chúng được cung cấp, các hệ điều hành nào chúng đang chạy, loại lọc gói/tường lửa được sử dụng và các đặc tính khác nữa. Liệt kê mạng http://www.solarwind s.net/  Mất phí Một tập các công cụ quản lý và khám phá mạng Quét cổng, phát hiện hệ điều hành, liệt kê banner http://www.foundsto ne.com/  Miễn phí Nó sẽ quét nhanh các mạng lớn để xác định danh sách các host có sẵn trên mạng, các dịch cụ mà chúng thường sử dụng, phiên bản của các dịch vụ đó, các loại và các phiên bản của hệ điều hành. Nó cũng thực hiện đảo ngược bảng tra DNS. 212 5. Các công cụ đánh giá điểm yếu Công cụ Khả năng Website Linux /Unix Windows Chi phí CyberCop Scanner Quét điểm yếu http://www.pgp.com/ products/   Mất phí Mô tả ISS Internet Scanner Mô tả Nessus Mô tả SecureSca nNX Mô tả SAINT Mô tả SARA Mô tả SATAN Mô tả Bộ quét CyberCop là một công cụ quét điểm yếu dựa trên mạng có khả năng xác định các điểm yếu an toàn trên các máy chủ mạng Quét điểm yếu http://www.iss.net/  Mất phí ISS Internet Scanner là một công cụ miễn phí quét điểm yếu dựa trên mạng để xác định các lỗi hổng an toàn trên các máy chủ mạng. Quét điểm yếu http://www.nessus.or g/   (chỉ client) Miễn phí Nessus là một công cụ miễn phí quét điểm yếu dựa trên mạng để xác định các lỗi hổng an toàn trên các máy chủ mạng. Quét điểm yêu http://www.vigilante. com/securescan/  Mất phí SecureScan NX là một công cụ đánh giá an toàn mạng có khả năng tự động thăm dò mạng và tường lửa của tổ chức để đánh giá các điểm yếu và đề xuất cách khắc phục. Quét điểm yếu http://www.wwdsi.co m/saint/  Mất phí SAINT là một phiên bản cập nhật và nâng cao của SATAN, được thiết kế để đánh giá an toàn cho các mạng máy tính. Quét điểm yếu http://wwwarc.com/sara/  Miễn phí Sara là một công cụ miễn phí quét điểm yếu dựa trên mạng để xác định các điểm yếu an toàn trên máy chủ mạng Quét điểm yếu http://www.fish.com/ satan/  Miễn phí Satan là một công cụ hỗ trợ các quản trị viên hệ thống. Nó nhận biết được một số vấn đề an toàn phổ biến liên quan đến mạng và báo cáo về các vấn đề đó mà không thực sự khai thác chúng 213 6. Những công cụ kiểm thử mạng không dây Công cụ Khả năng Website Aerosol Nghe lén mạng không dây http://www.sec33.co m/sniph/aerosol.php Mô tả AirSnort Mô tả Kismet Mô tả Netstumble r Mô tả Sniffer Wireless Mô tả WEPCrack Mô tả WaveStum bler Mô tả Linux /Unix Windows Chi phí  Miễn phí Aerosol là một công cụ nghe lén mạng LAN không dây miễn phí, mà có thể bẻ khóa mã hóa WEP. Aerosol hoạt động bởi sự truyền tin giám sát bị động, tính khóa mã hóa khi đã thu thập đủ các gói tin Nghe lén mạng không dây http://airsnort.shmoo. com/ Miễn phí  AirSnort là một công cụ nghe lén mạng LAN không dây miễn phí, có khả năng khôi phục khóa mã hóa. AirSnort hoạt động bằng sự truyền tin giám sát động, tính khóa mã hóa khi đã thu thập đủ các gói tin Nghe lén mạng không dây http://www.kismetwi reless.net/ Miễn phí  Kismet là một công cụ nghe lén mạng không dây chuẩn 802.11b. Nó có khả năng nghe lén trên hầu hết các thẻ không dây được hỗ trợ trong Linux Nghe lén mạng không dây http://www.netstumbl er.com  Miễn phí Netstumbler là một công cụ 802.11b lắng nghe các mạng có sẵn và ghi lại dữ liệu về điểm truy cập. Một phiên bản có sẵn cho Poket PC Nghe lén mạng không dây http://www.sniffer.co m/  Mất phí Một Sniffer Wireless là một bộ nghe lén mạng LAN không dây cung cấp các khả năng giám sát, thu tóm, giải mã và lọc mạng Công cụ bẻ mã hóa http://sourceforge.net /projects/wepcrack/ WEP  Miễn phí WEPCrack là một công cụ có thể bẻ khóa mã hóa 802.11 WEP sử dụng những phát hiện mới nhất về điểm yếu của lược đồ khóa RC4 Lập bản đồ mạng không dây http://www.cqure.net /tools08.html  Miễn phí WaveStumbler là một bảng miễn phí dựa trên mạng 802.11 cho Linux. Nó báo cáo về các đặc điểm của mạng không dây cơ bản bao gồm gồm: kênh, WEP, ESSID, MAC … 214

RELATED PAPERS

RELATED TOPICS

Log In

HỌC VIỆN KỸ THUẬT MẬT MÃ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN

HỌC VIỆN KỸ THUẬT MẬT MÃ ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN

Related Papers

RELATED PAPERS

RELATED TOPICS