MÃ ĐỘC TỐNG TIỀN VÀ TOÀN VẸN DỮ LIỆU

Trung tâm xuất sắc an toàn không gian mạng quốc gia

Trung tâm xuất sắc về an toàn không gian mạng quốc gia (National Cybersecurity Center of Excellence - NCCoE) của Mỹ được thành lập vào năm 2012, là một bộ phận của Viện Tiêu chuẩn và Công nghệ Quốc gia. Đây là một trung tâm hợp tác, nơi các tổ chức nghề nghiệp, các cơ quan chính phủ và các tổ chức học thuật làm việc cùng nhau để giải quyết các vấn đề an ninh mạng cấp bách nhất. Quan hệ đối tác công-tư này cho phép tạo ra các giải pháp an ninh mạng thực tế cho các ngành cụ thể, cũng như cho các thách thức công nghệ liên ngành, rộng lớn. Thông qua liên minh theo Thỏa thuận Hợp tác Nghiên cứu và Phát triển (Cooperative Research and Development Agreements - CRADA), bao gồm các đối tác công nghệ từ các công ty hàng đầu thị trường trong danh sách Fortune 50, NCCoE đã áp dụng các tiêu chuẩn và thực tiễn tốt nhất để phát triển các giải pháp an ninh mạng theo từng mô-đun, dễ dàng thích ứng bằng cách sử dụng công nghệ có sẵn trên thị trường. NCCoE tài liệu hóa các giải pháp trong loạt NIST SP 1800, trong đó ánh xạ các năng lực so với Khung an ninh không gian mạng của NIST [1] và nêu chi tiết các bước cần thiết để thực hiện lại các giải pháp mẫu.

Tính bí mật, toàn vẹn và khả dụng của dữ liệu

Thành công của mã độc tống tiền liên quan đến tính toàn vẹn của dữ liệu, nhưng mã độc tống tiền chỉ là một trong nhiều rủi ro tiềm ẩn mà qua đó một tổ chức có thể bị mất tính toàn vẹn của dữ liệu. Tính toàn vẹn là một phần của bộ ba tính an toàn bao gồm Tính bí mật, Tính toàn vẹn và Tính khả dụng. Thuộc tính toàn vẹn của dữ liệu được hiểu là “dữ liệu không bị thay đổi, bị phá hủy hoặc bị mất đi một cách trái phép hoặc ngẫu nhiên”. Một cuộc tấn công chống lại tính toàn vẹn của dữ liệu có thể gây ra hỏng hóc, sửa đổi và/hoặc phá hủy dữ liệu mà cuối cùng dẫn đến mất tin tưởng vào dữ liệu.

Hình 1. Các dự án về an toàn dữ liệu

NCCoE đã và đang tích cực tham gia giải quyết thách thức của mã độc tống tiền và các sự kiện toàn vẹn dữ liệu khác thông qua nhiều dự án. Các dự án này giúp các tổ chức triển khai các năng lực kỹ thuật để giải quyết các vấn đề về tính toàn vẹn của dữ liệu. Mã độc tống tiền là một trong những trường hợp được sử dụng trong các dự án này.

Trong năm 2020, NCCoE đã phát hành 3 tài liệu Hướng dẫn thực hành dành cho tính toàn vẹn dữ liệu [2-4]. Để tiếp tục công việc của mình với bộ ba tính an toàn, NCCoE đang tiếp tục phát triển các dự án Bí mật dữ liệu thông qua các ấn phẩm là SP 1800-28 và SP 1800-29. Tính khả dụng của dữ liệu vẫn chưa được thực hiện như công bố thuộc SP 1800, nhưng việc nghiên cứu đang được tiến hành để xác định cách mà NIST có thể giải quyết vấn đề này tốt nhất như thế nào thông qua NCCoE.

Các nỗ lực của NCCoE trong toàn vẹn dữ liệu

Mã độc tống tiền, phần mềm độc hại, các mối đe dọa từ bên trong và thậm chí cả những sai lầm của người dùng đều là những mối đe dọa đang xảy ra đối với một tổ chức. Dữ liệu của tổ chức, chẳng hạn như bản ghi cơ sở dữ liệu, các tệp hệ thống, các cấu hình, các tệp người dùng, các ứng dụng và dữ liệu khách hàng, đều là mục tiêu tiềm ẩn của việc làm hỏng, sửa đổi và phá hủy dữ liệu.

Hình 2. Năm chức năng cốt lõi của khung an ninh không gian mạng

NIST đã xuất bản phiên bản 1.1 của Khung an ninh không gian mạng [1] vào tháng 4/2018 để cung cấp hướng dẫn về bảo vệ và phát triển năng lực phục hồi cho cơ sở hạ tầng quan trọng và các lĩnh vực khác. Khung an ninh không gian mạng chứa 05 chức năng cốt lõi:

- Xác định (identify): Phát triển sự hiểu biết về tổ chức để quản lý rủi ro an ninh mạng đối với hệ thống, con người, tài sản, dữ liệu và năng lực.

- Bảo vệ (protect): Phát triển và triển khai các biện pháp bảo vệ thích hợp để đảm bảo cung cấp các dịch vụ quan trọng.

- Phát hiện (detect): Phát triển và triển khai các hoạt động thích hợp để xác định việc xảy ra của sự kiện an ninh mạng.

- Phản ứng (respond): Phát triển và triển khai các hoạt động thích hợp để hành động liên quan đến sự cố an ninh mạng được phát hiện.

- Phục hồi (recovery): Phát triển và triển khai các hoạt động thích hợp để duy trì các kế hoạch về năng lực phục hồi và khôi phục bất kỳ năng lực hoặc dịch vụ nào đã bị suy giảm do sự cố an ninh mạng.

Hình 3. Chia các chức năng của khung an ninh không gian mạng

Khi xây dựng Khung an ninh mạng cho tính toàn vẹn dữ liệu thường dễ thấy là có sự phân tách tự nhiên thành ba dự án riêng biệt dựa trên vòng đời của một cuộc tấn công toàn vẹn dữ liệu. Trước một cuộc tấn công, tất cả các tài sản, các lỗ hổng tiềm ẩn và bảo vệ các tài sản này bao gồm cả việc khắc phục các lỗ hổng được phát hiện cần phải được xác định. Khái niệm này được mô tả trong hướng dẫn thực hành [2]. Để lập kế hoạch cho một tổ chức có thể xử lý như thế nào khi một cuộc tấn công xảy ra, tổ chức cần có năng lực phát hiện và phản ứng với các sự kiện phá hoại. Nên việc xác định và bảo vệ tài sản chống lại mã độc tống tiền và các sự kiện phá hoại khác [3] nhằm giải quyết thách thức này. Cuối cùng, nếu một cuộc tấn công tính toàn vẹn dữ liệu thành công, một tổ chức phải có năng lực khôi phục được mô tả trong [4].

Bộ ba tài liệu [2-4] có dung lượng rất lớn, tổng cộng hơn 1500 trang. Mỗi tài liệu trên bao gồm 3 phần: Phần A: Tóm tắt thực hành; Phần B: Phương pháp tiếp cận, kiến trúc và đặc điểm bảo mật và Phần C: Hướng dẫn cách thực hiện. Để giúp cho người quan tâm dễ nắm bắt được vấn đề, NCCoE đã biên soạn [5] nhằm cung cấp tổng quan về ba dự án Toàn vẹn dữ liệu phù hợp với các chức năng trong Khung an ninh mạng của NIST với các mục tiêu sau: xây dựng biện pháp phòng thủ trước các thách thức về toàn vẹn dữ liệu; cung cấp một mức độ cao giải thích về kiến trúc và các năng lực, cũng như cách các dự án này có thể được kết hợp với nhau thành một giải pháp toàn vẹn dữ liệu. Bài báo này nhằm trình bày lại những nét chính của [5].

SP 1800-25 Toàn vẹn dữ liệu: Xác định và bảo vệ tài sản chống lại mã độc tống tiền và các sự kiện phá hoại khác

SP 1800-25 nhằm vào tính toàn vẹn của dữ liệu trước một cuộc tấn công tiềm tàng. Nó nêu chi tiết sự cần thiết phải có kiến thức toàn diện về các tài sản trong tổ chức và việc bảo vệ các tài sản này trước nguy cơ bị hỏng và phá hủy dữ liệu. Dự án này đề xuất một kiến trúc với nhiều hệ thống hoạt động cùng nhau để xác định và bảo vệ tài sản của tổ chức trước mối đe dọa làm sai lệch, sửa đổi và phá hủy. Mục đích của dự án này là giúp hướng dẫn các tổ chức xác định hiệu quả các tài sản (thiết bị, dữ liệu và ứng dụng) mà có thể trở thành mục tiêu đối với một tấn công toàn vẹn dữ liệu, cũng như các lỗ hổng tạo điều kiện cho các cuộc tấn công này. Nó cũng khám phá các phương pháp để bảo vệ các tài sản này chống lại các cuộc tấn công toàn vẹn dữ liệu.

Hình 4. Kiến trúc của SP 1800-25

Hình 4 mô tả ngắn gọn về các năng lực (các khối chức năng) mà tổ chức cần có. Để xác định và bảo vệ dữ liệu trước các sự kiện phá hoại, cần phải hiểu các hệ thống và thiết bị chứa dữ liệu của tổ chức. Cụ thể: Năng lực Kiểm kê cho phép phát hiện và theo dõi các thiết bị được kết nối với doanh nghiệp. Năng lực Quản lý lỗ hổng bảo mật cung cấp cơ chế phân tích các thành phần mạng khác nhau này, nó giúp hiểu rõ hơn về các lỗ hổng đã được giải quyết và chưa được khắc phục trong tổ chức, đồng thời cho phép tổ chức đưa ra quyết định sáng suốt về việc xử lý các lỗ hổng đã biết để bảo vệ tốt nhất dữ liệu được ưu tiên. Năng lực Ghi nhật ký ghi lại và lưu trữ tất cả các tệp nhật ký được tạo ra bởi các thành phần này trong tổ chức. Quản lý lỗ hổng bảo mật và Ghi nhật ký cùng góp phần vào năng lực Thực thi chính sách. Thực thi chính sách nhắm mục tiêu vào các máy có lỗ hổng bảo mật chưa được khắc phục và giúp duy trì tình trạng an toàn tổng thể của doanh nghiệp.

Năng lực Giám sát tính toàn vẹn thiết lập đường ranh giới của các tệp và hệ thống, điều này rất cần thiết trong việc xác định thông tin về thay đổi tính toàn vẹn bất kỳ xảy ra đối với dữ liệu trong các tệp và hệ thống đó. Đồng thời, năng lực Sao lưu cho phép các thành phần trong tổ chức tạo ra các tệp sao lưu dữ liệu. Một số dữ liệu được lưu trữ, bao gồm cả các tệp sao lưu, có thể được hưởng lợi từ năng lực Lưu trữ an toàn. Lưu trữ an toàn cho phép lưu trữ dữ liệu với các biện pháp bảo vệ dữ liệu bổ sung, chẳng hạn như các công nghệ ghi một lần đọc nhiều lần.

Ngoài bảo vệ ở mức tệp, năng lực Bảo vệ mạng có thể bảo vệ mạng của tổ chức chống lại sự xâm nhập và di chuyển biên của các tác nhân và chương trình độc hại. Bảo vệ mạng có thể được bổ sung bằng năng lực Danh sách từ chối, có thể lọc các chương trình hoặc truyền thông mạng được phép. Thông thường, điều này có thể được cung cấp dưới dạng tường lửa hoặc thậm chí là một danh sách cho phép, nhưng tồn tại các sản phẩm mà cho phép kiểm soát chi tiết hơn các bộ lọc này.

Thông qua việc sử dụng và tích hợp các công nghệ này, một tổ chức có thể chuẩn bị để đối với với việc mất tính toàn vẹn dữ liệu trước khi sự kiện đó xảy ra bằng cách xác định tài sản của họ và bảo vệ chúng khỏi các cuộc tấn công.