Phương pháp đánh giá rủi ro cho ứng dụng Web
Tóm tắt— Bảo đảm an toàn ứng dụng Web đang là một nhu cầu thực tế cấp thiết, vì đó là nền tảng cho hầu hết các ứng dụng và giao dịch trên mạng hiện nay. Để đảm bảo an toàn cho hệ thống, cần thường xuyên rà quét lỗ hổng bảo mật, xác định nguy cơ tiềm ẩn và mức độ rủi ro để có những biện pháp hạn chế, khắc phục điểm yếu và tăng cường an toàn. Trong quá trình thực hiện đánh giá, có nhiều khó khăn, thách thức về mặt kỹ thuật được đặt ra do sự phức tạp, gia tăng của các loại lỗ hổng và tấn công. Việc xác định mô hình và phương pháp đánh giá rủi ro phù hợp có tầm quan trọng đặc biệt và là chủ đề nghiên cứu của bài báo này. Thông qua việc đánh giá lỗ hổng bảo mật, bài báo đề xuất một mô hình và phương pháp đánh giá định lượng rủi ro trên cơ sở đánh giá mức độ sự cố và tác động của sự cố đối với ứng dụng Web.
Abstract— Ensuring secure Web applications is becoming an urgent practical demand because it is the foundation for most of the applications and transactions on the network today. To meet that demand, it is necessary to regularly scan security vulnerabilities, to identify potential risks and risk levels of systems in order to provide measures to reduce risks, remedy weakness and enhance security. Many difficulties and technical challenges posed by the increased complexity of the vulnerability and attack types. Identifying appropriate models and methods for Web application's risk assessment has a special significance and is the subject of this paper. By evaluating vulnerabilities, this paper proposed a model and methods for quantitative risk assessment based on the assessment of likelihood and impact of incidents for Web applications.
TÀI LIỆU THAM KHẢO [1]. H. Joh, Y.K. Malaiya, “Defining and Assessing Quantitative Security Risk Measures Using Vulnerability Lifecycle and CVSS Metrics”, Int'l Conf. Security and Management | SAM'11, pp. 10-16, 2011. [2]. National Institute of Standards and Techno-logy (NIST), “Risk management guide for information technology systems”. Special Publication 800-30, 2001. [3]. L. A. Cox, “Some Limitations of Risk = Threat Vulnerability Consequence for Risk Analysis of Terrorist Attacks, Risk Analysis”, 28(6), pp. 1749-1761, 2008. [4]. H. Joh and Y. K. Malaiya, “A Framework for Software Security Risk Evaluation using the Vulnerability Lifecycle and CVSS Metrics”, Proc. International Workshop on Risk and Trust in Extended Enterprises, pp. 430-434, November 2010. [5]. P. Mell, K. Scarfone, and S. Romanosky, CVSS: “A complete Guide to the Common Vulnerability Scoring System Version 2.0”, Forum of Incident Response and Security Teams (FIRST), 2007. [6]. http://en.wikipedia.org/wiki/Web_application [7].Madeyski,“Architectural design of modern Web application”, madeyski.einfomatyka.pl/download/23.pdf [8]. D.Nelson, “Next Gen Web Architecture for the Cloud Era”, http://www.sei.cmu.edu/library /assets/ pre-sentations/ nelson-saturn2013.pdf. [9]. Open Web Application Security Project (OWASP) Top 10 2014 - The Ten Most Critical Web Application Security Risks, http://ww w.owasp.org/index.php/ [10]. The Open Web Application Security Project (2013) OWASP_ Testing_ Guide _v4. [11]. Microsoft, Improving Web Application Security, http://msdn.micro-soft.com/en-us/libra-ry/ff648657.aspx [12]. https://www.owasp.org/index.php/OWASP Risk Rating Methodology |
Thông tin trích dẫn: Hoàng Đăng Hải, Hồ Kim Cường, “Phương pháp đánh giá rủi ro cho ứng dụng Web”, Nghiên cứu khoa học và công nghệ trong lĩnh vực An toàn thông tin, Tạp chí An toàn thông tin, Vol. 02, No. 01, pp. 39-47, 2016.
Hoàng Đăng Hải, Hồ Kim Cường