Quản lý ứng phó sự cố an toàn mạng
Quản lý ứng phó sự cố là các hành động được thực hiện nhằm giám sát, phát hiện và thực hiện ứng phó với các sự cố mất an toàn thông tin làm gây hại đến tính bí mật, tính toàn vẹn và tính sẵn sàng của các thông tin được xử lý, lưu trữ và truyền tải trên mạng. Cần phải có một quy trình và một nhóm chuyên gia có đủ kỹ năng để thực hiện quy trình ứng phó sự cố.
Mỗi tổ chức cần xây dựng một quy trình ứng phó sự cố phù hợp với quy mô hệ thống và các nguy cơ rủi ro mà hệ thống của họ có thể gặp phải. Đội ứng phó sự cố phải phối hợp thực hiện theo quy trình, nhằm xử lý sự cố và phục hồi các dịch vụ nhanh nhất có thể và gây ảnh hưởng ít nhất cho tổ chức. Quy trình ứng phó sự cố bao gồm 6 bước sau:
- Chuẩn bị: Thực hiện đánh giá tác động của các sự cố lên mỗi hoạt động của tổ chức và xác định những bước cụ thể để làm giảm hoặc xử lý sự cố.
- Xác định sự cố: Phân tích, xác định xem sự cố có thực sự xảy ra không, phân loại và đánh giá mức độ ưu tiên các sự cố để thực hiện các hành động xử lý phù hợp.
- Hạn chế: Hạn chế phạm vi và tầm ảnh hưởng của sự cố xảy ra trong quá trình khắc phục sự cố.
- Loại bỏ: Thực hiện loại bỏ các yếu tố gây ra như: loại bỏ mã độc; thay thế các tập tin bị lỗi; các bản sao lưu trữ nghi ngờ...
- Khôi phục: Khôi phục và xác nhận lại hoạt động bình thường của hệ thống.
- Rút kinh nghiệm: Đánh giá lại sự việc và rút ra các bài học kinh nghiệm để thực hiện tốt hơn khi xảy ra sự cố tương tự.
Mỗi tổ chức phải xây dựng một Đội ngũ ứng phó sự cố, có thể là một nhóm chuyên gia chuyên trách hoặc một đội ngũ biệt phái (là một tổ chức, dịch vụ có trách nhiệm tiếp nhận, xem xét và xử lý sự cố an ninh mạng đã được báo cáo).
Một số kỹ năng cơ bản trong quản lý ứng phó sự cố bao gồm:
- Kỹ năng phối hợp: Đây là kỹ năng quan trọng, nhằm phối hợp để ngăn chặn các cuộc tấn công. Các chuyên gia ứng phó sự cố cần được thường xuyên tập huấn, kiểm tra sự hiểu biết về kế hoạch ứng phó và các kịch bản xảy ra sự cố để đảm bảo khả năng hợp tác cao nhất.
- Phân tích cơ sở dữ liệu: Là một quá trình thường xuyên trong ứng phó sự cố. Việc phân tích cơ sở dữ liệu từ các dấu vết (thông tin đăng nhập, tìm kiếm dữ liệu...), thực hiện các phương pháp tương quan để có được câu trả lời về loại hình hoạt động, tần suất xảy ra, ảnh hưởng của sự cố và các công nghệ được sử dụng... để hiểu rõ nguyên nhân của cuộc tấn công. Đó là cách tốt nhất để giảm thiểu các sự cố tương tự xảy ra trong tương lai.
- Điều tra số: Quá trình phân tích, thu thập dấu vết về sự cố ATTT đòi hỏi các chuyên gia phải có các kỹ năng điều tra số, nắm được các quy trình và các quy định pháp lý trong lĩnh vực này, để đảm bảo quá trình thực hiện ứng phó sự cố tuân thủ các quy định của pháp luật.
- Phân tích mã độc: Các cuộc tấn công sử dụng mã độc là nguyên nhân lớn gây ra các sự cố mất ATTT, ảnh hưởng đến người dùng và hệ thống CNTT. Do đó, phân tích mã độc đã trở thành một kỹ năng cần thiết cho các chuyên gia ứng phó sự cố.
- Phân tích hành vi: Đội ngũ ứng phó sự cố phải có những kỹ năng và kiến thức để giám sát, theo dõi việc rò rỉ dữ liệu và hành vi người dùng. Các chuyên gia ứng phó cũng cần phải hiểu biết hệ thống và các công nghệ phát hiện xâm nhập dựa trên hành vi, để định nghĩa hồ sơ của người dùng một cách chính xác, nhằm phát hiện ra các hành vi bất thường.
Đánh giá an toàn hệ thống thông tin
Đây là quy trình xác định tính hiệu quả của một thực thể được đánh giá (ví dụ: máy tính, hệ thống, mạng, quy trình vận hành, con người,…) đáp ứng các mục tiêu an toàn cụ thể. Quy trình này tập trung vào 3 phương pháp chính: kiểm thử (Testing), kiểm tra (Examination) và phỏng vấn (Interviewing). Kiểm thử là thực hiện giám định đánh giá, một hoặc nhiều đối tượng theo điều kiện quy định để so sánh kết quả thực tế với dự kiến. Kiểm tra là quá trình xem xét, quan sát hoặc phân tích để làm rõ, khẳng định và lấy bằng chứng. Phỏng vấn là tiến hành các cuộc thảo luận với các cá nhân hoặc các nhóm trong một tổ chức để tìm hiểu, xác định vị trí của các đối tượng liên quan tới ATTT.
Kết quả của quá trình đánh giá được sử dụng để hỗ trợ việc đưa ra các biện pháp kiểm soát hệ thống mạng một cách hiệu quả nhất.
Việc đánh giá ATTT cần phải sử dụng nguồn tài nguyên như thời gian, nhân lực, hạ tầng CNTT. Đánh giá an toàn hệ thống gồm các bước như sau:
- Lập kế hoạch: Thu thập các thông tin cần thiết cho quá trình đánh giá: các tài sản đánh giá, các nguy cơ và các biện pháp an toàn để làm giảm các nguy cơ xảy ra đối với tài sản.
- Thực hiện: Xác định các điểm yếu mất ATTT của hệ thống theo các phương pháp và kỹ thuật đánh giá đã định.
- Hậu thực hiện: Phân tích các lỗ hổng đã được xác định để biết được nguyên nhân thực sự, đưa ra các khuyến cáo giảm nhẹ rủi ro và hoàn thiện báo cáo.
Có nhiều kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử dụng để đánh giá an toàn hệ thống thông tin. Tuy nhiên, chúng có thể được chia thành 3 loại như sau:
- Kỹ thuật rà soát: Dùng để đánh giá hệ thống, ứng dụng, mạng, chính sách và thủ tục nhằm mục tiêu phát hiện các lỗ hổng và thường được tiến hành thủ công. Các kỹ thuật này bao gồm việc xem xét lại tài liệu, nhật ký, tập luật cấu hình hệ thống, thăm dò mạng, kiểm tra tính toàn vẹn tập tin.
- Kỹ thuật phân tích và xác định mục tiêu: Xác định hệ thống, cổng, dịch vụ đang hoạt động và các lỗ hổng. Thông thường có các công cụ tự động để thực hiện các kỹ thuật này, nhưng cũng có thể được thực hiện thủ công.
- Kỹ thuật xác định điểm yếu mục tiêu: Xác định sự tồn tại của các lỗ hổng trong hệ thống. Chúng có thể được thực hiện một cách thủ công hoặc thông qua các công cụ tự động, tùy thuộc vào các hệ thống cụ thể, cũng như kỹ năng của người kiểm thử. Các kỹ thuật xác định điểm yếu mục tiêu bao gồm: bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội....
Là sự kết hợp chặt chẽ và hiệu quả giữa khoa học, tin học và pháp luật. Một cuộc điều tra số thường được tiến hành nhằm thực hiện các mục đích sau đây:
- Xác định nguyên nhân hệ thống bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nâng cao tính an toàn cho hệ thống.
- Xác định các hành vi tội phạm mạng đã, đang và sẽ thực hiện với hệ thống mạng máy tính. Trong thực tế, những cuộc tấn công mạng khiến hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, sử dụng hệ thống đó thành công cụ tấn công các hệ thống khác.
- Khôi phục dữ liệu, lưu trữ trên hệ thống đã bị phá hoại.
- Điều tra sự gian lận trong tổ chức: Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số, các hoạt động gian lận, gián điệp, vi phạm pháp luật, định danh tội phạm công nghệ cao.
Một cuộc điều tra số thường bao gồm 4 giai đoạn sau đây:
- Chuẩn bị: thu thập thông tin hệ thống, những hành vi đã xảy ra, các dấu hiệu để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.
- Tiếp nhận dữ liệu: tạo ra một bản sao chính xác các dữ liệu (chứng cứ số) hay còn gọi là nhân bản điều tra các phương tiện truyền thông. Trong quá trình điều tra cần áp dụng biện pháp kỹ thuật phù hợp để đảm bảo tính toàn vẹn của chứng cứ.
- Phân tích: các chuyên gia sử dụng các phương pháp nghiệp vụ, kỹ thuật, công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được.
- Lập báo cáo: những chứng cứ thu thập được phải được tiến hành tài liệu hóa, mô tả chi tiết và báo cáo lại cho các bộ phận có trách nhiệm xử lý chứng cứ theo quy định.
Điều tra số được chia thành 3 loại hình chính: điều tra máy tính (Computer Forensics), điều tra mạng (Network Forensics) và điều tra thiết bị di động (Mobile Device Forensics). Điều tra máy tính liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số. Điều tra mạng liên quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập vào hệ thống mạng máy tính. Điều tra thiết bị di động là một nhánh của khoa học điều tra số liên quan đến việc thu thập bằng chứng kỹ thuật số hoặc dữ liệu từ các thiết bị di động.
Điều tra số là một lĩnh vực khá mới mẻ, vì vậy các điều tra viên ngoài các kỹ năng cơ bản phải luôn không ngừng sáng tạo, học hỏi, trau dồi kiến thức, trình độ chuyên môn nghiệp vụ để có thể đáp ứng được nhu cầu công việc.
Phân tích mã độc
Đây là một nhiệm vụ quan trọng trong các hoạt động quản lý ứng phó sự cố và điều tra số, với mục tiêu nắm được cách thức lây nhiễm hoạt động của mã độc từ đó phát hiện và xử lý mã độc. Trong các phần mềm phòng chống mã độc, hoạt động phân tích mã độc đóng một vai trò quan trọng trong việc cung cấp các mẫu nhận dạng, giúp cho phần mềm đó phát hiện và loại bỏ mã độc.
Hoạt động phân tích mã độc thực hiện theo quy trình sau: Trước khi thực hiện phân tích mẫu mã độc, các chuyên gia phân tích tạo ra một bản sao bản ban đầu của hệ thống bao gồm các tệp đang tồn tại (tên, giá trị băm, nhãn thời gian, nội dung của registry, nội dung bộ nhớ…) trong trạng thái đang hoạt động bình thường; Sau đó tạo ra phục hồi bản sao lưu toàn bộ thông tin hệ thống ở trạng thái sạch (môi trường chưa có mã độc).
Sau khi thực hiện xong quy trình phân tích mã độc, hệ thống sẽ được phục hồi trở lại trạng thái ban đầu để tiếp tục thực hiện phân tích các mẫu mã độc khác. Đưa mã độc vào trong môi trường phân tích; Thiết lập các tham số của môi trường, khởi động các công cụ phân tích trước khi thực hiện kích hoạt mã độc; Thực hiện kích hoạt mã độc; Thu thập các dữ liệu mã độc thực hiện hành vi của nó trong môi trường phân tích. Thực hiện phân tích mã độc sử dụng phương pháp phân tích tĩnh, phân tích động hoặc kết hợp cả hai phương pháp để tìm ra nguyên lý, cơ chế hoạt động của mã độc, đưa ra dấu hiệu nhận biết và đưa ra biện pháp phòng chống, xử lý mã độc.
Ngoài các kiến thức cơ bản, các kỹ sư ATTT cần phải liên tục cập nhật các kỹ năng và kiến thức ATTT nâng cao, như sử dụng hệ điều hành Unix/Linux một các thuần thục, sử dụng ngôn ngữ lập trình để giải quyết các vấn đề. Hiểu được các kiến thức và nguyên lý hoạt động của các thiết bị mạng máy tính, cơ chế hoạt động của mã độc và giải pháp phòng chống tổng thể. Biết được các kỹ thuật phòng thủ, tấn công trên không gian mạng, các biện pháp phát hiện, ngăn chặn tấn công, các phương thức bảo đảm an toàn cho hệ thống.
Ngoài ra, các kỹ sư ATTT cần phải nắm được các phương pháp thiết kế hệ thống mạng an toàn và bảo mật; các biện pháp, cách thức sử dụng hữu hiệu các công cụ giám sát, cách phát hiện, kiểm tra lỗ hổng mất an toàn của hệ thống; Có khả năng vận dụng một cách hiệu quả các thuật toán mã hóa, xác thực chữ ký số… để đáp ứng được yêu cầu nghiệp vụ.