Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm các vụ tấn công - Giáo trình FPT

Bài 3:
Tấn công vào ứng dụng và mạng, đánh giá
khả năng thiệt hại và làm giảm các vụ tấn công

Củng cố lại bài 2
Các phần mềm độc hại lây lan
Virus và Sâu
Các phần mềm độc hại dấu mình
Trojan, Rootkit, Bom logic, và Cửa hậu
Các phần mềm độc hại kiếm lợi
Botnet, Phần mềm gián điệp, Phần mềm quảng cáo, và
Bộ sao lưu bàn phím
Các kỹ nghệ xã hội
Thủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thư
rác, và Cảnh báo giả
Thủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,
Nhìn trộm qua vai
Các phần mềm độc hại lây lan
Virus và Sâu
Các phần mềm độc hại dấu mình
Trojan, Rootkit, Bom logic, và Cửa hậu
Các phần mềm độc hại kiếm lợi
Botnet, Phần mềm gián điệp, Phần mềm quảng cáo, và
Bộ sao lưu bàn phím
Các kỹ nghệ xã hội
Thủ đoạn tâm lý: Thuyết phục, Mạo danh, Phishing, Thư
rác, và Cảnh báo giả
Thủ đoạn vật lý: Lục tìm thùng rác, Bám đuôi chui cửa,
Nhìn trộm qua vai
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công 2

Mục tiêu của bài học
Liệt kê và giải thích các dạng tấn công vào ứng dụng
Liệt kê và giải thích các dạng tấn công vào mạng
Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọng
của nó
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn
công 3
Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọng
của nó
Phân biệt giữa quét tìm lỗ hổng và kiểm tra sự thâm nhập
Liệt kê các kỹ thuật làm giảm và ngăn chặn các cuộc tấn công

Tấn công vào ứng dụng
Các nhóm tấn công đang tiếp tục gia tăng
Tấn công vào các lỗ hổng chưa công bố (Zero-day)
Khai thác những lỗ hổng chưa được công bố hoặc chưa
được khắc phục
Nạn nhân không có thời gian chuẩn bị phòng thủ
Các dạng tấn công vào ứng dụng
Tấn công vào ứng dụng Web
Tấn công phía máy khách
Tấn công làm tràn vùng đệm
Các nhóm tấn công đang tiếp tục gia tăng
Tấn công vào các lỗ hổng chưa công bố (Zero-day)
Khai thác những lỗ hổng chưa được công bố hoặc chưa
được khắc phục
Nạn nhân không có thời gian chuẩn bị phòng thủ
Các dạng tấn công vào ứng dụng
công 4

Tấn công vào
ứng dụng Web (1/3)
công 5
Hình 3-1 Hạ tầng ứng dụng Web
© Cengage Learning 2012

Tấn công vào
Các ứng dụng Web là một thành phần thiết yếu của các
tổ chức hiện nay
Các lỗ hổng trong các ứng dụng Web được những kẻ
tấn công triệt để khai thác để tiến hành các cuộc tấn
công
Tấn công ứng dụng Web là tấn công phía server
Các phương pháp đảm bảo an toàn cho ứng dụng Web
Củng cố server Web (Web server)
Bảo vệ hệ thống mạng
Các ứng dụng Web là một thành phần thiết yếu của các
tổ chức hiện nay
Các lỗ hổng trong các ứng dụng Web được những kẻ
tấn công triệt để khai thác để tiến hành các cuộc tấn
công
Tấn công ứng dụng Web là tấn công phía server
Các phương pháp đảm bảo an toàn cho ứng dụng Web
Củng cố server Web (Web server)
Bảo vệ hệ thống mạng
công 6

Tấn công vào
Các dạng tấn công ứng dụng Web phổ biến (*)
Kịch bản giữa các trạm (Cross-site scripting) (XSS)
Tiêm nhiễm SQL (SQL Injection)
Tiêm nhiễm XML (XML Injection)
Duyệt thư mục (Directory Traversal) (SV tự đọc sách)
Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)
Các dạng tấn công ứng dụng Web phổ biến (*)
Kịch bản giữa các trạm (Cross-site scripting) (XSS)
Tiêm nhiễm SQL (SQL Injection)
Tiêm nhiễm XML (XML Injection)
Duyệt thư mục (Directory Traversal) (SV tự đọc sách)
Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)
công 7

- Kịch bản giữa các trạm (1/3)
Tiêm nhiễm mã kịch bản vào một máy chủ ứng dụng
Web
Tấn công trực tiếp từ máy khách
Hình 3-3 Tấn công XSS

Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:
Các chỉ lệnh độc hại được gửi tới trình duyệt của nạn
nhân
Trình duyệt không thể phân biệt được đâu là mã hợp lệ,
đâu là mã độc
Web site bị tấn công có đặc điểm
Chấp nhận dữ liệu đầu vào của người dùng mà không
cần kiểm tra tính hợp lệ
Sử dụng dữ liệu đầu vào trong một phản hồi không được
mã hóa
Một số vụ tấn công XSS được thiết kế nhằm đánh cắp
thông tin:
Thông tin được lưu giữ bởi trình duyệt
Khi nạn nhân truy cập vào Web site bị tiêm nhiễm:
Các chỉ lệnh độc hại được gửi tới trình duyệt của nạn
nhân
Trình duyệt không thể phân biệt được đâu là mã hợp lệ,
đâu là mã độc
Web site bị tấn công có đặc điểm
Chấp nhận dữ liệu đầu vào của người dùng mà không
cần kiểm tra tính hợp lệ
Sử dụng dữ liệu đầu vào trong một phản hồi không được
mã hóa
Một số vụ tấn công XSS được thiết kế nhằm đánh cắp
thông tin:
Thông tin được lưu giữ bởi trình duyệt

Hình 3-5 Dữ liệu được sử dụng trong phản hồi

- Tiêm nhiễm SQL (1/3)
Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễm
lệnh
SQL (Structured Query Language)
Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữ
liệu quan hệ
Cách thức thực hiện
Kẻ tấn công nhập vào các địa chỉ e-mail sai định dạng
Phản hồi cho phép kẻ tấn công biết dữ liệu đầu vào có
được kiểm tra tính hợp lệ hay không
Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễm
lệnh
SQL (Structured Query Language)
Được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữ
liệu quan hệ
Cách thức thực hiện
Kẻ tấn công nhập vào các địa chỉ e-mail sai định dạng
Phản hồi cho phép kẻ tấn công biết dữ liệu đầu vào có
được kiểm tra tính hợp lệ hay không

Ví dụ quên mật khẩu
Kẻ tấn công nhập trường e-mail vào lệnh SQL
Lệnh SQL được cơ sở dữ liệu xử lý
Ví dụ lệnh SQL:
SELECT fieldlist FROM table WHERE field =
‘whatever’ or ‘a’=‘a’
Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽ
được hiển thị
Ví dụ quên mật khẩu
Kẻ tấn công nhập trường e-mail vào lệnh SQL
Lệnh SQL được cơ sở dữ liệu xử lý
Ví dụ lệnh SQL:
SELECT fieldlist FROM table WHERE field =
‘whatever’ or ‘a’=‘a’
Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽ
được hiển thị

Bảng 3-1 Các lệnh tiêm nhiễm SQL

- Tiêm nhiễm XML (1/2)
Ngôn ngữ đánh dấu
Phương thức thêm các chú thích cho văn bản
HTML
Sử dụng các thẻ (tag) được đặt trong các dấu ngoặc
nhọn
Chỉ thị cho trình duyệt hiển thị văn bản theo định dạng
cụ thể
XML
Chứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệu
Không có tập thẻ được định nghĩa sẵn
Người dùng tự định nghĩa các thẻ của họ
Ngôn ngữ đánh dấu
Phương thức thêm các chú thích cho văn bản
HTML
Sử dụng các thẻ (tag) được đặt trong các dấu ngoặc
nhọn
Chỉ thị cho trình duyệt hiển thị văn bản theo định dạng
cụ thể
XML
Chứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệu
Không có tập thẻ được định nghĩa sẵn
Người dùng tự định nghĩa các thẻ của họ

- Tiêm nhiễm XML (2/2)
Tấn công XML
Tương tự như tấn công thông qua tiêm nhiễm SQL
Kẻ tấn công phát hiện Web site không lọc dữ liệu người
dùng
Tiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu
Tiêm nhiễm Xpath
Xác định kiểu tấn công tiêm nhiễm XML
Cố gắng khai thác các truy vấn XML Path Language
Tấn công XML
Tương tự như tấn công thông qua tiêm nhiễm SQL
Kẻ tấn công phát hiện Web site không lọc dữ liệu người
dùng
Tiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu
Tiêm nhiễm Xpath
Xác định kiểu tấn công tiêm nhiễm XML
Cố gắng khai thác các truy vấn XML Path Language

Tấn công phía client
Tấn công phía client (máy khách)
Nhằm vào các lỗ hổng của các ứng dụng trên client
Khi client tương tác với một server bị xâm hại
Khi client khởi tạo kết nối tới server, kết nối này có thể
gây ra vụ tấn công
Các dạng phổ biến tấn công phía client
Xử lý phần đầu của HTTP (HTTP Header Manipulation)
Sử dụng Cookie và các file đính kèm
Cướp theo phiên (Session Hijacking)
Các phần phụ trợ (add-ons) độc hại (SV tự đọc)
Tấn công phía client (máy khách)
Nhằm vào các lỗ hổng của các ứng dụng trên client
Khi client tương tác với một server bị xâm hại
Khi client khởi tạo kết nối tới server, kết nối này có thể
gây ra vụ tấn công
Các dạng phổ biến tấn công phía client
Xử lý phần đầu của HTTP (HTTP Header Manipulation)
Sử dụng Cookie và các file đính kèm
Cướp theo phiên (Session Hijacking)
Các phần phụ trợ (add-ons) độc hại (SV tự đọc)
công 16

- Xử lý phần đầu của HTTP (1/2)
Xử lý phần đầu của HTTP
Phần đầu của HTTP chứa các trường mô tả dữ liệu đang
được truyền nhận
Phần đầu của HTTP có thể bắt nguồn từ một trình duyệt
Trình duyệt thông thường không cho phép xử lý phần đầu đó
Chương trình của kẻ tấn công có thể xử lý phần đầu đó
Xử lý phần đầu của HTTP
Phần đầu của HTTP chứa các trường mô tả dữ liệu đang
được truyền nhận
Phần đầu của HTTP có thể bắt nguồn từ một trình duyệt
Trình duyệt thông thường không cho phép xử lý phần đầu đó
Chương trình của kẻ tấn công có thể xử lý phần đầu đó

- Xử lý phần đầu của HTTP (2/2)
Trường Referer (Tham chiếu)
Cho biết site tạo ra trang Web
Kẻ tấn công có thể thay đổi trường này để ẩn thông tin
trang Web được bắt nguồn từ đâu
Điều chỉnh để trang Web được lưu trữ trên máy tính của
kẻ tấn công
Trường Accept-Language (Ngôn ngữ chấp nhận)
Một số ứng dụng Web truyền trực tiếp nội dung của
trường này tới cơ sở dữ liệu
Kẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thay
đổi trường này
Trường Referer (Tham chiếu)
Cho biết site tạo ra trang Web
Kẻ tấn công có thể thay đổi trường này để ẩn thông tin
trang Web được bắt nguồn từ đâu
Điều chỉnh để trang Web được lưu trữ trên máy tính của
kẻ tấn công
Trường Accept-Language (Ngôn ngữ chấp nhận)
Một số ứng dụng Web truyền trực tiếp nội dung của
trường này tới cơ sở dữ liệu
Kẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thay
đổi trường này

- Sử dụng cookie
Cookie lưu trữ thông tin của người dùng trên máy tính cục bộ
Các web site sử dụng cookie để nhận biết khi khách truy cập lại
Một số ví dụ thông tin được lưu trữ trong cookie
Chỉ Web site tạo ra cookie mới có thể đọc được cookie
Cookie gây ra rủi ro đối với sự bảo mật và tính riêng tư
Các loại cookie:
Cookie của bên thứ nhất (First-party cookie)
Cookie của bên thứ ba (Third-party cookie)
Cookie theo phiên (Session cookie)
Cookie bền (Persistent cookie)
Cookie bảo mật (Secure cookie)
Flash cookie (cookie Flash)
Cookie lưu trữ thông tin của người dùng trên máy tính cục bộ
Các web site sử dụng cookie để nhận biết khi khách truy cập lại
Một số ví dụ thông tin được lưu trữ trong cookie
Chỉ Web site tạo ra cookie mới có thể đọc được cookie
Cookie gây ra rủi ro đối với sự bảo mật và tính riêng tư
Các loại cookie:
Cookie của bên thứ nhất (First-party cookie)
Cookie của bên thứ ba (Third-party cookie)
Cookie theo phiên (Session cookie)
Cookie bền (Persistent cookie)
Cookie bảo mật (Secure cookie)
Flash cookie (cookie Flash)
công 19

- Cướp theo phiên
Khi người dùng đăng nhập bằng username (tên người
dùng) và password (mật khẩu),
server ứng dụng Web sẽ gán cho một thẻ phiên
Mỗi yêu cầu tiếp theo từ trình duyệt Web của người dùng
sẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất
Cướp theo phiên
là một dạng tấn công trong đó kẻ tấn công có ý định mạo
danh người dùng bằng cách sử dụng thẻ phiên của anh ta.
Kẻ tấn công mạo danh người dùng bằng cách:
đánh cắp thẻ phiên
đoán thẻ phiên
Khi người dùng đăng nhập bằng username (tên người
dùng) và password (mật khẩu),
server ứng dụng Web sẽ gán cho một thẻ phiên
Mỗi yêu cầu tiếp theo từ trình duyệt Web của người dùng
sẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất
Cướp theo phiên
là một dạng tấn công trong đó kẻ tấn công có ý định mạo
danh người dùng bằng cách sử dụng thẻ phiên của anh ta.
Kẻ tấn công mạo danh người dùng bằng cách:
đánh cắp thẻ phiên
đoán thẻ phiên

Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượt
quá giới hạn của bộ đệm lưu trữ cố định
Dữ liệu tràn được đẩy sang các vùng nhớ lân cận
Có thể làm cho máy tính ngừng hoạt động
Kẻ tấn công có thể thay đổi “địa chỉ trở về”
Chuyển hướng tới địa chỉ chứa mã độc
Là quá trình làm cho việc lưu trữ dữ liệu trên RAM vượt
quá giới hạn của bộ đệm lưu trữ cố định
Dữ liệu tràn được đẩy sang các vùng nhớ lân cận
Có thể làm cho máy tính ngừng hoạt động
Kẻ tấn công có thể thay đổi “địa chỉ trở về”
Chuyển hướng tới địa chỉ chứa mã độc
công 21

Tấn công vào mạng (1/3)
Mạng được những kẻ tấn công đặc biệt chú ý
Khai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ ra
hàng trăm hoặc hàng ngàn thiết bị để tấn công
Có nhiều dạng tấn công nhằm vào mạng hoặc các tiến
trình dựa trên mạng
Mục đích là làm tê liệt mạng: người dùng không thể
truy cập vào mạng
Mạng được những kẻ tấn công đặc biệt chú ý
Khai thác một lỗ hổng đơn lẻ trên mạng có thể làm lộ ra
hàng trăm hoặc hàng ngàn thiết bị để tấn công
Có nhiều dạng tấn công nhằm vào mạng hoặc các tiến
trình dựa trên mạng
Mục đích là làm tê liệt mạng: người dùng không thể
truy cập vào mạng
công 22

Các dạng tấn công mạng phổ biến
Từ chối dịch vụ (Deny of Services) (DoS):
Lũ Ping (Ping Flood)
Tấn công kiểu gây mưa bão (smurf attack)
Lũ SYN (SYN flood)
Từ chối dịch vụ phân tán (Distributed Deny of Services)
(DDoS)
Can thiệp (Interception):
Kẻ đứng giữa (Man-in-the-middle)
Tái chuyển (Replay)
Các dạng tấn công mạng phổ biến
Từ chối dịch vụ (Deny of Services) (DoS):
Lũ Ping (Ping Flood)
Tấn công kiểu gây mưa bão (smurf attack)
Lũ SYN (SYN flood)
Từ chối dịch vụ phân tán (Distributed Deny of Services)
(DDoS)
Can thiệp (Interception):
Kẻ đứng giữa (Man-in-the-middle)
Tái chuyển (Replay)

Các dạng tấn công mạng phổ biến (tiếp theo)
Đầu độc (Poisoning):
Đầu độc ARP (ARP poisoning)
Đầu độc DNS (DNS Poisoning)
Tấn công vào quyền truy cập (Attacks on Access Rights):
Leo thang đặc quyền (Privilege escalation)
Truy cập bắc cầu (Transitive Access)
Các dạng tấn công mạng phổ biến (tiếp theo)
Đầu độc (Poisoning):
Đầu độc ARP (ARP poisoning)
Đầu độc DNS (DNS Poisoning)
Tấn công vào quyền truy cập (Attacks on Access Rights):
Leo thang đặc quyền (Privilege escalation)
Truy cập bắc cầu (Transitive Access)

Đánh giá khả năng thiệt hại
Các tác nhân liên quan đến việc đánh giá khả năng thiệt
hại
Tài sản
Những kẻ tấn công
Tác động của tự nhiên
Bất kỳ thực thể nào có khả năng gây hại
Năm bước trong quá trình đánh giá khả năng thiệt hại
Nhận diện tài sản (Asset Identification)
Đánh giá các mối đe dọa (Threat Evaluation)
Đánh giá khả năng thiệt hại (Vulnerability Appraisal)
Đánh giá rủi ro (Risk Assessment)
Làm giảm rủi ro (Risk Mitigation)
công
Các tác nhân liên quan đến việc đánh giá khả năng thiệt
hại
Tài sản
Những kẻ tấn công
Tác động của tự nhiên
Bất kỳ thực thể nào có khả năng gây hại
Năm bước trong quá trình đánh giá khả năng thiệt hại
Nhận diện tài sản (Asset Identification)
Đánh giá các mối đe dọa (Threat Evaluation)
Đánh giá khả năng thiệt hại (Vulnerability Appraisal)
Đánh giá rủi ro (Risk Assessment)
Làm giảm rủi ro (Risk Mitigation)
25

- Nhận diện tài sản
Là quá trình kiểm kê các phần tử có giá trị kinh tế
Các tài sản thông dụng
Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phần
mềm
Xác định giá trị liên quan của tài sản
Mức độ rủi ro của tài sản đối với mục tiêu của tổ chức
Doanh thu do tài sản tạo ra
Mức độ khó khăn khi phải thay thế tài sản
Mức độ tác động đối với tổ chức nếu thiếu tài sản
Có thể đánh giá bằng cách sử dụng thang điểm
Bài 3 - Tấn công vào ứng dụng và mạng, đánh giá các điểm yếu và làm giảm các cuộc tấn công
Là quá trình kiểm kê các phần tử có giá trị kinh tế
Các tài sản thông dụng
Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phần
mềm
Xác định giá trị liên quan của tài sản
Mức độ rủi ro của tài sản đối với mục tiêu của tổ chức
Doanh thu do tài sản tạo ra
Mức độ khó khăn khi phải thay thế tài sản
Mức độ tác động đối với tổ chức nếu thiếu tài sản
Có thể đánh giá bằng cách sử dụng thang điểm
26

- Đánh giá các mối đe dọa
Liệt kê các mối đe dọa tiềm ẩn
Mô hình hóa các mối đe dọa
Mục đích: để hiểu rõ hơn về những kẻ tấn công và
phương thức tấn công của chúng
Thường được thực hiện bằng cách xây dựng các tình
huống
Cây tấn công
Cung cấp hình ảnh trực quan về các cuộc tấn công tiềm
ẩn
Có cấu trúc hình cây (lộn ngược)
Liệt kê các mối đe dọa tiềm ẩn
Mô hình hóa các mối đe dọa
Mục đích: để hiểu rõ hơn về những kẻ tấn công và
phương thức tấn công của chúng
Thường được thực hiện bằng cách xây dựng các tình
huống
Cây tấn công
Cung cấp hình ảnh trực quan về các cuộc tấn công tiềm
ẩn
Có cấu trúc hình cây (lộn ngược)
27

Đánh giá mối đe dọa (2/3)
Nhóm các mối đe
dọa
Ví dụ
Các thảm họa tự nhiên Hỏa hoạn, ngập lụt hoặc động đất làm hỏng dữ liệu
Đe dọa các tài sản trí
tuệ
Phần mềm bị ngụy tạo hoặc bị vi phạm bản quyền
Gián điệp Gián điệp đánh cắp kế hoạch sản xuất
Hỏng hóc phần cứng Tường lửa phong tỏa toàn bộ giao thông mạng
Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe
Bảng 4-1 Các tác nhân đe dọa phổ biến
Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xe
Phá hoại Kẻ tấn công cài đặt sâu máy tính (worm) để xóa các file.
Tấn công dùng phần
mềm
Vi rút, sâu máy tính, ngăn cấm dịch vụ bằng phần cứng hoặc
phần mềm.
Hỏng hóc phần mềm Các lỗi làm cho chương trình hoạt động sai lệch
Kỹ thuật lạc hậu Chương trình không hoạt động với phiên bản mới của hệ điều
hành

Đánh giá mối đe dọa (3/3)
Hình 4-1 Cây tấn công mô tả phương thức đánh cắp băng ghi âm của xe ô tô

- Đánh giá khả năng thiệt hại
Xác định các điểm yếu hiện tại
Chỉ ra bức tranh bảo mật tổng thể của tổ chức
Mọi tài sản phải được xem xét đánh giá trong mối
tương quan với từng mối đe dọa
Lập danh mục các điểm yếu
Xác định mức độ ảnh hưởng của từng điểm yếu
Không ảnh hưởng
Ảnh hưởng ít
Ảnh hưởng đáng kể
Ảnh hưởng chính
Thảm họa
Xác định các điểm yếu hiện tại
Chỉ ra bức tranh bảo mật tổng thể của tổ chức
Mọi tài sản phải được xem xét đánh giá trong mối
tương quan với từng mối đe dọa
Lập danh mục các điểm yếu
Xác định mức độ ảnh hưởng của từng điểm yếu
Không ảnh hưởng
Ảnh hưởng ít
Ảnh hưởng đáng kể
Ảnh hưởng chính
Thảm họa
30

- Đánh giá rủi ro (1/2)
Xác định hậu quả, thiệt hại do cuộc tấn công gây ra
Đánh giá khả năng lỗ hổng là một nguy cơ đối với tổ
chức
Dự tính tổn thất trung bình đơn lẻ (Single Loss
Expectancy) (SLE)
Tổn thất tính bằng tiền khi xảy ra rủi ro
Hệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bị
tổn thất khi rủi ro xảy ra
SLE được tính bằng tích giữa giá trị tài sản [Asset Value]
(AV) và hệ số tổn thất (EF)
SLE = AV * EF
Ví dụ tính SLE bằng số liệu cụ thể (*)
công
Xác định hậu quả, thiệt hại do cuộc tấn công gây ra
Đánh giá khả năng lỗ hổng là một nguy cơ đối với tổ
chức
Dự tính tổn thất trung bình đơn lẻ (Single Loss
Expectancy) (SLE)
Tổn thất tính bằng tiền khi xảy ra rủi ro
Hệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bị
tổn thất khi rủi ro xảy ra
SLE được tính bằng tích giữa giá trị tài sản [Asset Value]
(AV) và hệ số tổn thất (EF)
SLE = AV * EF
Ví dụ tính SLE bằng số liệu cụ thể (*)
31

- Đánh giá rủi ro (2/2)
Dự tính tổn thất trung bình theo năm (Annualized Loss
Expectancy) (ALE)
Là giá trị tổn thất trung bình theo năm, tính bằng tiền,
của tổ chức, do các tổn thất từ tài sản gây ra
Xác suất xảy ra rủi ro theo năm (Annualized Rate of
Occurrence) (ARO): là khả năng xảy ra rủi ro trong một
năm
ALE được tính bằng tích của SLE với xác suất xảy ra rủi ro
theo năm (ARO)
ALE = SLE * ARO
Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):
Dùng các mô hình thống kê để dự báo
Dùng phương pháp “Dự đoán tốt nhất” (best guess)
Ví dụ tính ALE bằng số (*)
Dự tính tổn thất trung bình theo năm (Annualized Loss
Expectancy) (ALE)
Là giá trị tổn thất trung bình theo năm, tính bằng tiền,
của tổ chức, do các tổn thất từ tài sản gây ra
Xác suất xảy ra rủi ro theo năm (Annualized Rate of
Occurrence) (ARO): là khả năng xảy ra rủi ro trong một
năm
ALE được tính bằng tích của SLE với xác suất xảy ra rủi ro
theo năm (ARO)
ALE = SLE * ARO
Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):
Dùng các mô hình thống kê để dự báo
Dùng phương pháp “Dự đoán tốt nhất” (best guess)
Ví dụ tính ALE bằng số (*)
32

- Làm giảm rủi ro
Làm giảm rủi ro
Xác định những việc cần làm khi rủi ro xảy ra
Xác định mức độ rủi ro có thể chịu đựng được
Chuyển giao rủi ro
Thuê gia công
Mua bảo hiểm
Rủi ro để lại (Retained risk)
Chấp nhận rủi ro:
Chẳng làm gì cả
Là trò mạo hiểm đáng giá
công
Làm giảm rủi ro
Xác định những việc cần làm khi rủi ro xảy ra
Xác định mức độ rủi ro có thể chịu đựng được
Chuyển giao rủi ro
Thuê gia công
Mua bảo hiểm
Rủi ro để lại (Retained risk)
Chấp nhận rủi ro:
Chẳng làm gì cả
Là trò mạo hiểm đáng giá
33

Hành động xác định rủi ro Các bước
Nhận diện tài sản 1. Kiểm kê tài sản
2. Xác định giá trị tương đối của tài sản
Nhận diện mối đe dọa 1. Phân loại các mối đe dọa
2. Thiết kế cây tấn công
Đánh giá các khả năng thiệt hại 1. Xác định các khả năng thiệt hại hiện có trong
tài sản
2. Sử dụng các công cụ đánh giá khả năng thiệt hại
công 34
Đánh giá rủi ro 1. Ước lượng ảnh hưởng của mối đe dọa đối với tổ
chức
2. Tính tổn thất trung bình
3. Ước lượng xác suất xảy ra mối đe dọa
Làm giảm rủi ro 1. Quyết định làm gì với rủi ro: làm giảm, chuyển
giao, hoặc chấp nhận

Các kỹ thuật đánh giá (1/2)
Báo cáo đường cơ sở (Baseline Reporting)
Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắc
So sánh trạng thái hiện tại với đường cơ sở
Ghi chú, đánh giá và giải quyết những sự khác biệt
Báo cáo đường cơ sở (Baseline Reporting)
Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắc
So sánh trạng thái hiện tại với đường cơ sở
Ghi chú, đánh giá và giải quyết những sự khác biệt

Các kỹ thuật đánh giá (2/2)
Các kỹ thuật áp dụng khi phát triển ứng dụng
Tối thiểu hóa các lỗ hổng trong quá trình phát triển phần
mềm
Những khó khăn trong việc tiếp cận khi phát triển ứng
dụng
Kích thước và độ phức tạp của phần mềm
Thiếu các chỉ tiêu bảo mật
Không đoán trước được các kỹ thuật tấn công trong
tương lai
Các kỹ thuật đánh giá khi phát triển phần mềm (SV tự
đọc)
Các kỹ thuật áp dụng khi phát triển ứng dụng
Tối thiểu hóa các lỗ hổng trong quá trình phát triển phần
mềm
Những khó khăn trong việc tiếp cận khi phát triển ứng
dụng
Kích thước và độ phức tạp của phần mềm
Thiếu các chỉ tiêu bảo mật
Không đoán trước được các kỹ thuật tấn công trong
tương lai
Các kỹ thuật đánh giá khi phát triển phần mềm (SV tự
đọc)

Các công cụ đánh giá
Bộ quét cổng (Port Scanner)
Tìm kiếm trong hệ thống các cổng có sơ hở
Được sử dụng để xác định trạng thái cổng (Mở, Đóng, Bị
khóa)
Bộ phân tích giao thức (Protocol Analyzer)
Phần cứng hoặc phần mềm chụp lại các gói tin để phân
tích
Còn được gọi là “sniffer”
Bộ quét tìm lỗ hổng (Vulnerability Scanner)
Bình mật ong (Honeypot) và mạng mật ong (Honeynet)
(SV tự đọc)
Bộ quét cổng (Port Scanner)
Tìm kiếm trong hệ thống các cổng có sơ hở
Được sử dụng để xác định trạng thái cổng (Mở, Đóng, Bị
khóa)
Bộ phân tích giao thức (Protocol Analyzer)
Phần cứng hoặc phần mềm chụp lại các gói tin để phân
tích
Còn được gọi là “sniffer”
Bộ quét tìm lỗ hổng (Vulnerability Scanner)
Bình mật ong (Honeypot) và mạng mật ong (Honeynet)
(SV tự đọc)

- Bộ quét cổng
Địa chỉ IP xác định duy nhất một thiết bị mạng
Giao tiếp TCP/IP
Liên quan đến việc trao đổi thông tin giữa một chương
trình của hệ thống này với một chương trình tương ứng
của hệ thống khác
Số hiệu cổng
Các số hiệu cổng phổ dụng (0-1023)
Các số hiệu cổng được đăng ký (1024-49151)
Các số hiệu cổng động và số hiệu cổng riêng (49152-
65535)
Biết được số hiệu cổng đang sử dụng
Kẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu
Địa chỉ IP xác định duy nhất một thiết bị mạng
Giao tiếp TCP/IP
Liên quan đến việc trao đổi thông tin giữa một chương
trình của hệ thống này với một chương trình tương ứng
của hệ thống khác
Số hiệu cổng
Các số hiệu cổng phổ dụng (0-1023)
Các số hiệu cổng được đăng ký (1024-49151)
Các số hiệu cổng động và số hiệu cổng riêng (49152-
65535)
Biết được số hiệu cổng đang sử dụng
Kẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu

- Bộ phân tích giao thức
Các mục đích sử dụng phổ biến của bộ phân tích giao
thức
Được sử dụng bởi quản trị viên để gỡ lỗi
Mô tả đặc điểm lưu lượng mạng
Phân tích bảo mật
Kẻ tấn công có thể sử dụng bộ phân tích giao thức để
Xem nội dung các gói tin được truyền hoặc nhận
Đọc thư điện tử
Xem nội dung các trang Web
Đánh cắp các mật khẩu không được bảo vệ
Các mục đích sử dụng phổ biến của bộ phân tích giao
thức
Được sử dụng bởi quản trị viên để gỡ lỗi
Mô tả đặc điểm lưu lượng mạng
Phân tích bảo mật
Kẻ tấn công có thể sử dụng bộ phân tích giao thức để
Xem nội dung các gói tin được truyền hoặc nhận
Đọc thư điện tử
Xem nội dung các trang Web
Đánh cắp các mật khẩu không được bảo vệ

- Bộ quét tìm lỗ hổng (1/2)
Các đặc tính
Tự động tìm trong hệ thống những yếu điểm bảo mật đã
được biết trước
Báo cáo về những rủi ro tiềm ẩn
Thường được thực hiện trên các hệ thống hiện có và
công nghệ mới triển khai
Thường được thực hiện từ bên trong phạm vi bảo mật
Không làm gián đoạn hoạt động bình thường của mạng
Đa số đều duy trì một cơ sở dữ liệu để phân loại các lỗ
hổng phát hiện được
Các đặc tính
Tự động tìm trong hệ thống những yếu điểm bảo mật đã
được biết trước
Báo cáo về những rủi ro tiềm ẩn
Thường được thực hiện trên các hệ thống hiện có và
công nghệ mới triển khai
Thường được thực hiện từ bên trong phạm vi bảo mật
Không làm gián đoạn hoạt động bình thường của mạng
Đa số đều duy trì một cơ sở dữ liệu để phân loại các lỗ
hổng phát hiện được

- Bộ quét tìm lỗ hổng (2/2)
Các khả năng
Đưa ra cảnh báo khi hệ thống mới được thêm vào mạng
Phát hiện ra một hệ thống trong nội bộ bắt đầu quét
cổng của các hệ thống khác
Duy trì một file nhật ký ghi lại tất cả các phiên tương tác
mạng
Theo dõi tất cả các lỗ hổng của máy khách và máy chủ
Theo dõi các hệ thống giao tiếp với các hệ thống nội bộ
khác
Vấn đề đối với các công cụ đánh giá về các lỗ hổng
Không có tiêu chuẩn cụ thể cho việc thu thập, phân tích
và báo cáo lỗ hổng
Các khả năng
Đưa ra cảnh báo khi hệ thống mới được thêm vào mạng
Phát hiện ra một hệ thống trong nội bộ bắt đầu quét
cổng của các hệ thống khác
Duy trì một file nhật ký ghi lại tất cả các phiên tương tác
mạng
Theo dõi tất cả các lỗ hổng của máy khách và máy chủ
Theo dõi các hệ thống giao tiếp với các hệ thống nội bộ
khác
Vấn đề đối với các công cụ đánh giá về các lỗ hổng
Không có tiêu chuẩn cụ thể cho việc thu thập, phân tích
và báo cáo lỗ hổng

Kiểm tra thâm nhập
Nhằm khai thác các điểm yếu của hệ thống
Phụ thuộc vào kỹ năng, kiến thức và kỹ xảo của người
kiểm tra
Thường được tiến hành bởi một nhà thầu độc lập
Quá trình kiểm tra thường được tiến hành từ bên ngoài
phạm vi bảo mật
Thậm chí có thể làm gián đoạn hoạt động của mạng
Kết quả cuối cùng: báo cáo kiểm tra thâm nhập
Các phương pháp kiểm tra xâm nhập
Kiểm tra hộp đen
Kiểm tra hộp trắng
Kiểm tra hộp xám
Nhằm khai thác các điểm yếu của hệ thống
Phụ thuộc vào kỹ năng, kiến thức và kỹ xảo của người
kiểm tra
Thường được tiến hành bởi một nhà thầu độc lập
Quá trình kiểm tra thường được tiến hành từ bên ngoài
phạm vi bảo mật
Thậm chí có thể làm gián đoạn hoạt động của mạng
Kết quả cuối cùng: báo cáo kiểm tra thâm nhập
Các phương pháp kiểm tra xâm nhập
Kiểm tra hộp đen
Kiểm tra hộp trắng
Kiểm tra hộp xám

Giảm thiểu và
ngăn chặn tấn công
Thiết lập tư thế bảo mật
Tư thế bảo mật mô tả chiến lược liên quan tới bảo mật
Cấu hình định mức ban đầu
Kiểm soát bảo mật liên tục
Khắc phục
Cấu hình các điều khiển
Camera bảo mật: phát hiện, không ngăn cản được tội phạm
Hàng rào bảo mật: ngăn cản, không phát hiện được tội phạm
Mở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi
Tôi luyện (Hardening)
Loại bỏ càng nhiều nguy cơ bảo mật càng tốt
Báo cáo
Cung cấp thông tin liên quan tới các sự kiện xảy ra
Thiết lập tư thế bảo mật
Tư thế bảo mật mô tả chiến lược liên quan tới bảo mật
Cấu hình định mức ban đầu
Kiểm soát bảo mật liên tục
Khắc phục
Cấu hình các điều khiển
Camera bảo mật: phát hiện, không ngăn cản được tội phạm
Hàng rào bảo mật: ngăn cản, không phát hiện được tội phạm
Mở khi gặp lỗi, an toàn khi gặp lỗi / bảo mật khi gặp lỗi
Tôi luyện (Hardening)
Loại bỏ càng nhiều nguy cơ bảo mật càng tốt
Báo cáo
Cung cấp thông tin liên quan tới các sự kiện xảy ra

Tóm tắt (1/2)
Những lỗ hổng của ứng dụng Web bị khai thác thông qua
các kênh giao tiếp thông thường
Tấn công XSS sử dụng các Web site nhận dữ liệu đầu vào
của người dùng mà không kiểm tra tính hợp lệ của dữ liệu
Tấn công phía client nhằm vào các lỗ hổng của các ứng
dụng trên client
Tấn công theo phiên
Tấn công tràn bộ đệm
Tấn công từ chối dịch vụ làm cho hệ thống quá tải để nó
không thể thực hiện các chức năng thông thường
Trong tấn công bằng cách đầu độc ARP và DNS, các địa chỉ
hợp lệ bị thay thế bởi những địa chỉ giả mạo
Quyền và đặc quyền truy cập cũng có thể bị khai thác
Những lỗ hổng của ứng dụng Web bị khai thác thông qua
các kênh giao tiếp thông thường
Tấn công XSS sử dụng các Web site nhận dữ liệu đầu vào
của người dùng mà không kiểm tra tính hợp lệ của dữ liệu
Tấn công phía client nhằm vào các lỗ hổng của các ứng
dụng trên client
Tấn công theo phiên
Tấn công tràn bộ đệm
Tấn công từ chối dịch vụ làm cho hệ thống quá tải để nó
không thể thực hiện các chức năng thông thường
Trong tấn công bằng cách đầu độc ARP và DNS, các địa chỉ
hợp lệ bị thay thế bởi những địa chỉ giả mạo
Quyền và đặc quyền truy cập cũng có thể bị khai thác

Tóm tắt (2/2)
Có năm bước trong quá trình đánh giá khả năng thiệt hại.
Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổng
Đánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khác
nhau
Phần mềm quét cổng và bộ phân tích giao thức được sử
dụng như những công cụ đánh giá
Quét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã được
biết trước của hệ thống và báo cáo kết quả tìm được
Kiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếu
điểm nào tìm được của hệ thống
Các kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngăn
chặn tấn công
Có năm bước trong quá trình đánh giá khả năng thiệt hại.
Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổng
Đánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khác
nhau
Phần mềm quét cổng và bộ phân tích giao thức được sử
dụng như những công cụ đánh giá
Quét tìm lỗ hổng để tìm ra các yếu điểm bảo mật đã được
biết trước của hệ thống và báo cáo kết quả tìm được
Kiểm tra thâm nhập nhằm mục đích khai thác bất kỳ yếu
điểm nào tìm được của hệ thống
Các kỹ thuật tiêu chuẩn được sử dụng để làm giảm và ngăn
chặn tấn công

Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm các vụ tấn công - Giáo trình FPT

More Related Content

What's hot (20)

Similar to Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm các vụ tấn công - Giáo trình FPT (20)

More from MasterCode.vn (20)

Bài 3: Tấn công vào ứng dụng và mạng, đánh giá khả năng thiệt hại và làm giảm các vụ tấn công - Giáo trình FPT