Tải bản đầy đủ (.pdf) (73 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.1 MB, 73 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

VŨ VĂN TUẤN

NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG
CHỐNG THẤT THOÁT DỮ LIỆU

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI - 2016


i

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

VŨ VĂN TUẤN

NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG
CHỐNG THẤT THOÁT DỮ LIỆU
CHUYÊN NGÀNH :

HỆ THỐNG THÔNG TIN

MÃ SỐ:

60.48.01.04


0

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ VĂN THỎA

HÀ NỘI - 2016


ii

LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng
được ai công bố trong bất kỳ công trình nào khác.
Học viên

VŨ VĂN TUẤN


iii

MỤC LỤC
LỜI CAM ĐOAN .............................................................................. ii
MỤC LỤC ........................................................................................ iii
DANH MỤC CÁC BẢNG ............................................................... vi
DANH MỤC CÁC HÌNH ............................................................... vii
MỞ ĐẦU ........................................................................................... 1
Chương 1 : TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG

TIN ..................................................................................................... 4
1.1. Nội dung an toàn và bảo mật thông tin ................................................... 4
1.2. Các nguy cơ thất thoát, rò rỉ dữ liệu ....................................................... 7
1.2.1. Mất dữ liệu do tình cờ: ...............................................................................8
1.2.2. Mất dữ liệu do tấn công nội bộ ................................................................10
1.2.3. Mất dữ liệu do các cuộc tấn công bên ngoài ..........................................12

1.3. Các giải pháp an toàn và bảo mật thông tin truyền thống .................... 15
1.3.1. Các chiến lược an toàn hệ thống : ...........................................................15
1.3.2. Các mức bảo vệ trên mạng : ....................................................................16
1.3.3. An toàn thông tin bằng mật mã. ...............................................................18

1.4. Giải pháp ngăn ngừa mất mát/rò rỉ thông tin theo hướng DLP. ........... 19
1.4.1. Data-in-Motion: .......................................................................................20
1.4.2. Data-in-Use:.............................................................................................21
1.4.3 Data-at-Rest: .............................................................................................22

1.5. Kết luận chương .................................................................................... 23

Chương 2: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU........ 25
2.1. Sự xuất hiện của DLP ........................................................................... 25
2.2. Mô hình, tính năng của hệ thống .......................................................... 26
2.2.1 Quét nội dung ............................................................................................27


iv

2.2.2 Endpoint Protection ..................................................................................28
2.2.3. Giám sát mạng .........................................................................................29
2.2.4. Quản lý trung ương ..................................................................................30


2.3. Công nghệ cốt lõi của hệ thống............................................................. 31
2.3.1. Policies .....................................................................................................31
2.3.2. Phân loại dữ liệu ......................................................................................33

2.3.2.1. Phương pháp kết hợp từ khóa ................................................... 33
2.3.2.2. Phương pháp sử dụng các biểu thức thông dụng...................... 33
2.3.2.3 Phương pháp so sánh dấu vân tay dữ liệu sử dụng hàm băm.... 34
2.3.2.4. Các thuật toán học máy ............................................................ 35
2.4. Một số giải pháp của các hãng .............................................................. 39
2.4.1. Giải pháp Mcafee .....................................................................................39
2.4.2. Giải pháp Symantec Data Loss Prevention .............................................42
2.4.3. Giải pháp Active Directory Right Management Services của Microsoft .42

2.5. Kết luận: ................................................................................................ 44

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM............ 45
3.1. Hệ thống thông tin thử nghiệm và các yêu cầu đặt ra........................... 45
3.2. Triển khai hệ thống ............................................................................... 46
3.2.1. Cấu hình yêu cầu ......................................................................................47
3.2.2. Cấu hình tính năng Block USB và CD-Rom ...........................................49
3.2.3. Tạo Tag cho File Server cần bảo vệ dữ liệu ...........................................53
3.2.4 Cấu hình tính năng Block Upload .............................................................55
3.2.5. Thiết lập các chính sách ...........................................................................58

3.2.5.1. Phân loại thông tin ................................................................... 58
3.2.5.2. Chính sách quản lý thông tin .................................................. 59
3.2.5.3. Quản lý truy cập ....................................................................... 60
3.3. Đánh giá hệ thống thử nghiệm: ............................................................. 62
3.3.1. Kết quả đạt được ................................................................................ 62



v

3.3.2. Hạn chế của hệ thống ...............................................................................62
3.3.3. Các biện pháp khắc phục hạn chế............................................................63

3.4. Kết luận ................................................................................................. 64

DANH MỤC TÀI LIỆU THAM KHẢO ........................................ 65


vi

DANH MỤC CÁC BẢNG
Bảng 1.1.Tần suất lỗi do quản trị viên hệ thống[7]...................................................10
Bảng 3.2. Cấu hình yêu cầu của hệ thống DLP ........................................................47
Bảng 3.3. Các bước tiến hành Block USB và CD-Rom ...........................................50
Bảng 3.4. Các bước tạo Tag cho File Server cần bảo vệ dữ liệu. .............................53
Bảng 3.5. Cấu hình tính năng Block Upload ............................................................55


vii

DANH MỤC CÁC HÌNH
Hình 1.1. Sơ đồ tổng quan mạng thông tin hiện nay...................................................7
Hình 1.2. Tần số phân loại sự cố an ninh thông tin[7] ................................................8
Hình 1.3. Các nguy cơ thất thoát, rò rỉ dữ liệu ..........................................................20
Hình 1.4. Mô hình giải pháp Data-in-Motion ...........................................................21
Hình 1.5. Mô hình giải pháp Data-in-Use .................................................................22

Hình 1.6. Mô hình giải pháp Data-at-Rest ................................................................23
Hình 2.1. Mô hình DLP cơ bản .................................................................................26
Hình 2.2. Endpoint DLP - Thi hành chính sách [6] ..................................................28
Hình 2.3. Tổng quan về chính sách ...........................................................................32
Hình 2.4. Mô hình hệ thống Mcafee .........................................................................40
Hình 2.5. Mô hình giải pháp Mcafee ........................................................................40
Hình 3.1. Mô hình hệ thống hiện tại .........................................................................45


1

MỞ ĐẦU
Tính cấp thiết của đề tài
Trong những năm gần đây, theo các nghiên cứu về an toàn và bảo mật thông
tin, các nguy cơ mất an toàn đang có xu hướng chuyển từ tấn công vào hạ tầng
mạng của tổ chức, doanh nghiệp để phá hoại, làm mất uy tín..., sang đánh cắp thông
tin tài khoản cá nhân để trục lợi. Các nguy cơ rò rỉ, thất thoát thông tin ngày càng
tăng cao. Do vô tình hay cố ý mà các thông tin nhạy cảm có thể bị rò rỉ, phát tán qua
nhiều con đường khác nhau như:
- Gửi nhầm nội dung hoặc upload các file chứa thông tin nhạy cảm ra ngoài
qua các hộp thư cá nhân, khi chia sẻ file qua mạng xã hội, web cá nhân...
- Các phần mềm gián điệp, virus, mã độc hại... tự động ăn cắp thông tin, gửi
ra ngoài, thay đổi thông tin làm mất tính toàn vẹn dữ liệu mà người dùng không hề
biết.
Một nghiên cứu của IDC (International Data Corporation) chỉ ra rằng hầu hết
các trường hợp mất mát dữ liệu đều do sơ ý, chứ không phải do mã độc gây ra. Họ
đã ước tính rằng khoảng 80% những trường hợp mất mát dữ liệu như vậy là do vô
tình. Tuy nhiên, những nhân viên có nhu cầu làm việc thực sự cần phải gửi đi những
thông tin nhạy cảm lại thiếu một kênh bảo mật để làm việc này.
Chính vì vậy, nghiên cứu, ứng dụng các giải pháp ngăn ngừa mất mát, rò rỉ

thông tin là thực sự cần thiết. Do đó, học viên lựa chọn nghiên cứu đề tài: “Nghiên
cứu và ứng dụng hệ thống chống thất thoát dữ liệu”.

Tổng quan về các vấn đề nghiên cứu
Hiện nay, nhiều doanh nghiệp Việt Nam có thể cung cấp và triển khai các
gói giải pháp ngăn ngừa thất thoát, rò rỉ dữ liệu dựa một số sản phẩm thương mại
hóa của nước ngoài như giải pháp chống thất thoát, rò rỉ thông tin/dữ liệu DLP của
Check Point, giải pháp Symantec Data Loss Prevention hoặc McAfee Data Loss
Prevention Endpoint.
Mỗi giải pháp có những ưu điểm vượt trội khác nhau. Chính vì điều đó học
viên đã chọn nghiên cứu giải pháp chống thất thoát rò rỉ dữ liệu McAfee Data Loss
Prevention Endpoint (DLP). Giải pháp DLP thực hiện các chức năng chặn, ngăn
ngừa rò rỉ và lưu trữ thông tin thông qua các phần sau: Giám sát trên lưu lượng
(Traffic Monitor), giám sát trên các thiết bị (Device Monitor) và Lưu trữ các thông
tin bị chặn xuống Database (Forensic Storage Database).


2

Một ưu điểm quan trọng và khác biệt của giải pháp McAfee Data Loss
Prevention Endpoint là ứng dụng công nghệ có khả năng xử lý ngôn ngữ tự nhiên
tiếng Việt để xác định nội dung của thông tin, qua đó tự động phân mục (Category)
thông tin và nhanh chóng phát hiện ra các thông tin có nội dung nhạy cảm cần lưu
ý, giám sát.
Một ưu điểm khác của giải pháp này là phân tích các dữ liệu có cấu trúc và
không cấu trúc:
- Dữ liệu không cấu trúc được dùng cho giao tiếp con người rất khó phát
hiện, giải pháp của McAfee Data Loss Prevention Endpoint cung cấp chức năng
khai thác văn bản (Text Mining) cho phép khám phá các dữ liệu không cấu trúc.
- Xác định và tập hợp các nguồn, chủ sở hữu và nơi đến của các thông tin, dữ

liệu đó.

Mục đích nghiên cứu
- Nghiên cứu hệ thống chống thất thoát dữ liệu Data Loss Prevention (DLP).
- Triển khai thử nghiệm hệ thống DLP ngăn ngừa mất mát rò rỉ thông tin và
đánh giá khả năng của hệ thống.

Đối tượng nghiên cứu
- Các thuật toán phân loại dữ liệu.
- Hệ thống ngăn ngừa mất mát rò rỉ thông tin DLP.

Phạm vi nghiên cứu
- Nghiên cứu các nguy cơ rò rỉ thông tin và giải pháp phòng chống.
- Triển khai thử nghiệm hệ thống thất thoát dữ liệu DLP trên môi trường giả
lập và môi trường thực.
Phương pháp nghiên cứu
Phương pháp nghiên cứu lý thuyết
- Đọc tài liệu và nghiên cứu về các giải pháp chống mất mát dữ liệu - DLP
(Data lost prevention) từ các hãng trên thế giới và cách thức hoạt động của chúng.
Phương pháp thực nghiệm
- Xây dựng hệ thống McAfee Data Loss Prevention Endpoint và đồng thời
thử nghiệm, đánh giá kết quả.


3

Cấu trúc luận văn
Nội dung luận văn gồm 2 phần như sau
1. Phần mở đầu
2. Phần nội dung: bao gồm ba chương

Chương 1: Tổng quan về an toàn và bảo mật thông tin.
Chương 2: Hệ thống chống thất thoát dữ liệu DLP.
Chương 3: Triển khai hệ thống thử nghiệm.
Mỗi chương sẽ có phần kết luận riêng của từng chương đó.


4

Chương 1 : TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT
THÔNG TIN
1.1. Nội dung an toàn và bảo mật thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ
về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng
dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và
biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ
liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có
rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các
phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
-

Bảo vệ an toàn thông tin bằng các biện pháp hành chính.

-

Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).

-

Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).


Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường
khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xân nhập
nhất đó là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất
hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán.
An toàn thông tin bao gồm các nội dung sau:
-

Tính bí mật: tính kín đáo riêng tư của thông tin.

-

Tính xác thực của thông tin, bao gồm xác thực đối tác (bài toán nhận
danh), xác thực thông tin trao đổi.

-

Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách
nhiệm về thông tin mà mình đã gửi.

Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng
máy tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các
khả năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với
thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng.


5

Xác định càng chính xác các nguy cơ nói trên thì càng quyết định được tốt các giải
pháp để giảm thiểu các thiệt hại.
Khi các tổ chức tiến vào một môi trường công nghệ nhiều hơn, số lượng dữ

liệu được lưu trữ kỹ thuật số tăng đột biến. Như một hệ quả, theo dõi nơi dữ liệu
được lưu trữ không còn dễ dàng như trước. Một cách tự nhiên, các nhân viên tạo ra
và sử dụng dữ liệu nhạy cảm của tổ chức để làm công việc của họ. Những thông tin
này sau đó được sử dụng trên các dịch vụ như email, các ứng dụng kinh doanh và
dịch vụ điện toán đám mây, cũng như đang được truy cập từ nhiều thiết bị, bao gồm
cả máy tính xách tay và điện thoại di động. Trong nhiều trường hợp, nó thậm chí
còn khó khăn cho người sử dụng để quản lý số lượng dữ liệu mà họ có thể tự giải
quyết được, và không chỉ kết thúc ở đó. Ngoài ra, người dùng cũng cần phải theo
dõi những dữ liệu nhạy cảm và những người được phép truy cập vào nó.
Trước đây, khi nói đến an toàn thông tin người ta thường nghĩ ngay đến
những phương thức bảo mật thông tin truyền thống như tường lửa hay phân quyền
truy cập tập tin hay thư mục bằng ACL. Tuy nhiên điều đó không thể ngăn ngừa
được rò rỉ, thất thoát dữ liệu khi laptop hay USB bị mất cũng như được truyền qua
đường thư điện tử hay thư thoại.Theo báo cáo mới nhất về an ninh toàn cầu của
Microsoft thì vấn đề thất thoát thông tin trong doanh nghiệp và chính phủ ngày càng
phổ biến với mức độ thiệt hại không hề thua kém so với virus hay mã độc.
Dữ liệu lưu trữ của công ty bạn có an toàn hay không?
- Dữ liệu được lưu trữ trên những thiết bị nào? Máy tính xách tay, những thư
mục chia sẻ hay trên Cơ sở dữ liệu?
- Trong quá trình đánh giá rủi ro, người ta nhận thấy một trong mười tài liệu
chia sẻ trên mạng có dấu hiệu bị rò rỉ.
Dữ liệu đang được sử dụng như thế nào, bởi ai?
- Bạn có biết phần lớn các thông tin bị rò rỉ là do người dùng trong mạng nội
bộ gây ra?


6

- Những gì bị sao chép sang USB hoặc bị phát tán bởi Email, IM, FTP?
- Ai là người phát tán dữ liệu đó?

Rất nhiều người với mong muốn làm việc tại nhà do đó sẽ dễ dàng chuyển
một lượng lớn các thông tin và dữ liệu nhạy cảm từ văn phòng vào các thiết bị di
động nhỏ gọn như USB, iPod thậm chí điện thoại, Và hiển nhiên cũng có thể dễ
dàng chuyển các thông tin này qua các hòm thư trên internet chẳng hạn như Yahoo
hoặc Gmail.
Rò rỉ, thất thoát dữ liệu luôn là mối lo ngại hàng đầu của các cơ quan tổ
chức. Nó có thể là thể phá hỏng quy trình kinh doanh hoặc vi phạm các chính sách
bảo mật của công ty hay tổ chức.
Điều này cũng rất dễ hiểu vì ngày nay thông tin không còn bị bó hẹp trong
phạm vi công ty hay vùng miền mà nó có thể được phát tán trên phạm vi toàn cầu
chỉ trong vài giờ. Một ví dụ điển hình là những tác động của vụ website Wikileak
chia sẻ thông tin mật về chiến tranh Iraq của Bộ Quốc Phòng Mỹ hay vụ tập đoàn
Boeing mất 382.000 tệp thông tin mật mà mất mát tài chính và uy tín là vô cùng
lớn.


7

1.2. Các nguy cơ thất thoát, rò rỉ dữ liệu

Hình 1.1. Sơ đồ tổng quan mạng thông tin hiện nay

Bản báo cáo cuối cùng cho năm 2015 “Data Breach Investigations Report”
(Báo cáo điều tra về vi phạm dữ liệu) đã phân tích toàn diện thống kê các vụ trộm
dữ liệu và tổng hợp thông tin về các cuộc tấn công máy tính.
Tài liệu nói trên bắt đầu từ việc vẽ lên thực trạng tội phạm máy tính hiện
nay:


8


Hình 1.2. Tần số phân loại sự cố an ninh thông tin[7]

Để cung cấp một cái nhìn tổng quan hơn về an toàn và bảo mật thông tin, học
viên đã phân loại các loại mất dữ liệu như sau: mất dữ liệu do tình cờ, các cuộc tấn
công nội bộ và các cuộc tấn công từ bên ngoài.

1.2.1. Mất dữ liệu do tình cờ:
Một nguyên nhân điển hình cho sự mất mát dữ liệu tình cờ là nhân viên
không quen thuộc với các chính sách của công ty. Nói cách khác, họ không nhận ra
sự nhạy cảm của các tài liệu mà họ đang làm việc với họ hoặc đánh giá quá cao kiến
thức của mình về bảo mật máy tính. Một số ví dụ phổ biến:
- Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng :
skype, yahoo, điện thoại… Nhân viên có thể dễ dàng đính kèm tài liệu nội bộ của
công ty và gửi nó đi thông qua các trình tin nhắn nhanh chuyên dụng. Bằng cách
tương tự, người dùng có thể gửi tiết lộ thông tin bí mật thông qua phiên hội thoại
(chat text)


9

- Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức
P2P để gửi file ra ngoài. Web mail: Nhân viên có thể sử dụng web mail như Yahoo,
Google, Hotmail có thể đính kèm file hay coppy nội dung vào phần message text để
gửi ra ngoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên khó bị
phát hiện hơn.
- Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viên
chọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhân viên
không kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất có khả năng
xảy ra), nhân viên bị lừa để gửi thông tin ra ngoài. Hoặc thông qua các dịch vụ

cloud storage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lên các hệ thống
lưu trữ đám mây miễn phí như dropbox hay Skydriver. Nhân viên có thể upload dữ
liệu lên một FTP server trên internet để gửi thông tin ra ngoài.
- In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in,
copy ra bên ngoài.
- Dùng điện thoại, camera chụp lại tài liệu của công ty.
- Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên
khác chép dữ liệu của mình đem ra bên ngoài.
- Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc.
Một nguyên nhân khác mà kết quả trong việc xử lý không an toàn của các tài
liệu nhạy cảm là thiếu sự đào tạo thích hợp. Nếu một người dùng không biết làm thế
nào để đánh dấu một tập tin nhạy cảm hoặc mã hóa nó, làm thế nào nó có thể được
bảo vệ?
Ngay sau khi dữ liệu rời công ty, dữ liệu mất kiểm soát. Người ta chỉ có thể
hy vọng e-mail được gửi qua một kết nối an toàn cho một bên thứ ba đáng tin cậy,
hoặc các tài liệu đã được mã hóa trước khi được lưu vào một ổ đĩa USB sau đó đã
đánh mất.


10

Bản báo cáo cuối cùng cho năm 2015 “Data Breach Investigations Report”
(Báo cáo điều tra về vi phạm dữ liệu) cũng chỉ ra rằng, những lỗi sai sót do nhân
viên nội bộ gây ra, đặc biệt là lỗi do quản trị viên hệ thống gây ra chiếm tới 60%:
Bảng 1.1.Tần suất lỗi do quản trị viên hệ thống[7]

Thông tin nhạy cảm đến người nhận không chính

1


xác
Xuất bản dữ liệu không công khai đến các máy chủ

2

web công cộng

3

Xử lý không an toàn dữ liệu

30%

17%
12%

Hậu quả do nguyên nhân này gây ra có thể là không đo lường bởi vì những
dữ liệu đó có thể có chứa các thông tin bảo mật rất cao và có thể gây ra nhiều hậu
quả nghiêm trọng.

1.2.2. Mất dữ liệu do tấn công nội bộ
Định nghĩa : Tấn công nội bộ là bất kỳ cuộc tấn công độc hại trên hệ thống
của công ty hoặc mạng mà kẻ xâm nhập là một người đã được giao phó với truy cập
được phép vào mạng, và cũng có thể có kiến thức về kiến trúc mạng.
Nói một cách khác, nếu một hacker không tìm được cách nào để tấn công
vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc
tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần
thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh
rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và
di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là

vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rỉ các
thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, chính là sự bất mãn của nhân viên.
Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương


11

cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi
mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có nhiều tiền.
Các tài liệu phát hành tại WikiLeaks.org cũng là những ví dụ của các cuộc
tấn công nội bộ với mục đích của văn bản công khai bị rò rỉ. Tất nhiên, động lực
đằng sau kiểu tấn công này không phải đều liên quan đến hoạt động chính trị. Các
lý do khác để tiến hành các cuộc tấn công nội thường lợi ích tài chính hoặc nắm giữ
một mối thù với người sử dụng lao động.
Ngăn chặn các cuộc tấn công nội bộ không nhất thiết phải là một cái gì đó
mà có thể được thực hiện trên trình độ công nghệ. Nhân viên bất mãn và người lao
động có kế hoạch rời khỏi công ty là một số các ứng cử viên có khả năng nhất để
thực hiện kiểu tấn công này. Trong môi trường mà dữ liệu nhạy cảm được sử dụng
với tần suất cao, điều quan trọng là tập trung vào lớp người này. Những điểm sau
đây sẽ giúp trong việc giải quyết các vấn đề:
- Các chính sách rõ ràng: Nêu rõ chính sách công ty một cách súc tích và dễ
hiểu sẽ làm tăng khả năng một nhân viên sẽ thực sự đọc và áp dụng nó khi làm việc.
Các chính sách cần hướng dẫn nhân viên về những gì các hành vi, hoạt động xác
định được làm, bị cấm.
- Đào tạo tốt: Đào tạo nhân viên về nhận thức chính sách an ninh cũng như
giải thích ý nghĩa đằng sau các chính sách khác nhau của công ty sẽ làm tăng hiểu
biết của nhân viên về toàn bộ quá trình làm việc, và làm thế nào họ có thể giúp cải
thiện nó.
- Kiểm tra lý lịch: Thực hiện kiểm tra nền tảng của nhân viên có thể hỗ trợ

trong việc ngăn chặn cá nhân không đáng tin cậy ở giai đoạn đầu.
- Bảo mật vật lý: Hãy chắc chắn rằng cơ sở hạ tầng công nghệ thông tin quan
trọng và lưu trữ các thông tin nhạy cảm được bảo vệ. Trộm cắp có thể xảy ra ngay


12

khi có cơ hội tiếp cận cơ sở hạ tầng và nơi lưu trữ thông tin nhạy cảm, hạn chế cơ
hội này sẽ đi một chặng đường dài trong việc bảo vệ tài sản kinh doanh.
- Xây dựng niềm tin: Đối xử lao động công bằng và sự tin tưởng là một trong
những công cụ đơn giản nhất trong việc chống lại tinh thần thấp và cũng đi một
chặng đường dài trong việc xây dựng một lực lượng lao động trung thành. Làm thế
nào bạn có thể tin tưởng một người mà không tin tưởng bạn?

1.2.3. Mất dữ liệu do các cuộc tấn công bên ngoài
Các cuộc tấn công bên ngoài là những cuộc tấn công đánh cắp dữ liệu được
thực hiện từ xa. Về cơ bản, một ai đó có quyền truy cập vào hệ thống thông qua một
kết nối từ xa, chẳng hạn như internet, và sử dụng truy cập này để ăn cắp dữ liệu, tạo
ra botnet hoặc gây ra sự gián đoạn. Động cơ đằng sau các cuộc tấn công chủ yếu
của bản chất tài chính.
Hiện nay có rất nhiều hình thức tấn công ăn cắp dữ liệu như :
- Tấn công trực tiếp: Sử dụng một máy tính để tấn công một máy tính khác
với mục đích dò tìm mật mã, tên tài khoản tương ứng, …. Kẻ tấn công có thể sử
dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống
máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị
phát hiện.
- Kỹ thuật Social Engineering: Đây là thủ thuật được nhiều hacker sử dụng
cho các cuộc tấn công thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản
mà hiệu quả của nó. Kỹ thuật này thường được sử dụng để lấy cắp mật khẩu, thông
tin, tấn công vào và phá hủy hệ thống. Ví dụ, kỹ thuật đánh lừa Fake Email Login.

- Kỹ thuật tấn công vào vùng ẩn: Những phần bị dấu đi trong các website
thường chứa những thông tin về phiên làm việc của các client. Các phiên làm việc
này thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy
chủ. Vì vậy, người tấn công có thể sử dụng chiêu thức View Source của trình duyệt


13

để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn
tấn công. Từ đó, có thể tấn công vào hệ thống máy chủ.
- Tấn công vào các lỗ hổng bảo mật: Hiện, nay các lỗ hổng bảo mật được
phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm
khác, ... Các hãng sản xuất cũng luôn cập nhật các bản vá lỗ hổng và đưa ra các
phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó, người
sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử
dụng để tránh các hacker lợi dụng điều này tấn công vào hệ thống.
- Khai thác tình trạng tràn bộ đệm: Tràn bộ đệm là một tình trạng xảy ra khi
dữ liệu được gửi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu
hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt
hoặc làm cho hệ thống mất khả năng kiểm soát.
- Nghe trộm: Các hệ thống trao đổi thông tin qua mạng đôi khi không được
bảo mật tốt và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm
hoặc đọc trộm luồng dữ liệu truyền qua. Hacker nghe trộm sự truyền đạt thông tin,
dữ liệu sẽ chuyển đến sniffing hoặc snooping. Nó sẽ thu thập những thông tin quan
trọng về hệ thống như một packet chứa password và username của một ai đó.
- Kỹ thuật giả mạo địa chỉ: Thông thường, các mạng máy tính nối với
Internet đều được bảo vệ bằng tường lửa (fire wall). Tường lửa có thể hiểu là cổng
duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”.
Tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin
tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ. Sự giả

mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một
trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính
mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm
được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống.


14

- Kỹ thuật chèn mã lệnh: Một kỹ thuật tấn công căn bản và được sử dụng cho
một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất
kỳ của người tấn công. Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh
thực thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này
chạy, nó sẽ cho phép người tấn công thực hiện nhiều hành vi như giám sát phiên
làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân.
Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh
hoạt của người tấn công.
- Tấn công vào hệ thống có cấu hình không an toàn: Cấu hình không an toàn
cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng
dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình
không an toàn. Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có quyền
duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các thông tin nhạy
cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.
- Tấn công dùng Cookies: Cookie là những phần tử dữ liệu nhỏ có cấu trúc
được chia sẻ giữa website và trình duyệt của người dùng. Cookies được lưu trữ dưới
những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để lưu
trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng
mà họ đi qua trong site. Những thông tin này có thể bao gồm tên, định danh người
dùng, mật khẩu, sở thích, thói quen,
Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt
chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng

bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên
trong mà không cần phải qua bước đăng nhập.
- Thay đổi dữ liệu: Sau khi những người tấn công lấy được dữ liệu của một
hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gửi
và người nhận nó.


15

- Password-base Attact: Thông thường, hệ thống khi mới cấu hình có
username và password mặc định. Sau khi cấu hình hệ thống, một số admin vẫn
không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp những người tấn công
có thể thâm nhập vào hệ thống bằng con đường hợp pháp. Khi đã đăng nhập vào,
hacker có thể tạo thêm user, cài backboor cho lần viếng thăm sau.
- Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự
tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những kẻ tấn công.
Khi họ tấn công vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng
đó. Thông thường, những kẻ tấn công giả mạo IP address để xâm nhập vào hệ thống
và cấu hình lại hệ thống, sửa đổi thông tin, …

1.3. Các giải pháp an toàn và bảo mật thông tin truyền thống
1.3.1. Các chiến lược an toàn hệ thống :
- Giới hạn quyền hạn tối thiểu (Last Privilege): Đây là chiến lược cơ bản nhất
theo nguyên tắc này bất kỳ một đối tượng nào cùng chỉ có những quyền hạn nhất
định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tượng đó chỉ được sử
dụng một số tài nguyên nhất định.
- Bảo vệ theo chiều sâu (Defence In Depth): Nguyên tắc này nhắc nhở chúng
ta: Không nên dựa vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo
nhiều cơ chế an toàn để tương hỗ lẫn nhau.
- Nút thắt (Choke Point): Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông

tin đi vào hệ thống của mình bằng con đường duy nhất chính là “cửa khẩu” này. =>
phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua cửa này.
- Điểm nối yếu nhất (Weakest Link): Chiến lược này dựa trên nguyên tắc: “
Một dây xích chỉ chắc tại mắt duy nhất, một bức tường chỉ cứng tại điểm yếu nhất”.
Kẻ phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn công, do đó ta cần
phải gia cố các yếu điểm của hệ thống. Thông thường chúng ta chỉ quan tâm đến kẻ


16

tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý được coi là yếu
điểm nhất trong hệ thống của chúng ta.
- Tính toàn cục: Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các
hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng
có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó tấn công
hệ thống từ nội bộ bên trong.
- Tính đa dạng bảo vệ: Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau
cho hệ thống khác nhau, nếu không có kẻ tấn công vào được một hệ thống thì chúng
cũng dễ dàng tấn công vào các hệ thống khác.

1.3.2. Các mức bảo vệ trên mạng :
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử
dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với
các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông
tin cất giữ trong máy tính, đặc biệt là các server trên mạng. Bởi thế ngoài một số
biện pháp nhằm chống thất thoát thông tin trên đường truyền mọi cố gắng tập trung
vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối
vào mạng. Thông thường bao gồm các mức bảo vệ sau:
 Quyền truy nhập
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên

của mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm soát được các cấu trúc
dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thường ở mức tệp.
 Đăng ký tên /mật khẩu.
Thực ra đây cũng là kiểm soát quyền truy nhập, nhưng không phải truy nhập
ở mức thông tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì
nó đơn giản ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng muốn được tham gia
vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trước. Người
quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác


17

định quyền truy nhập của những người sử dụng khác theo thời gian và không gian
(nghĩa là người sử dụng chỉ được truy nhập trong một khoảng thời gian nào đó tại
một vị trí nhất định nào đó).
Về lý thuyết nếu mọi người đều giữ kín được mật khẩu và tên đăng ký của
mình thì sẽ không xảy ra các truy nhập trái phép. Song điều đó khó đảm bảo trong
thực tế vì nhiều nguyên nhân rất đời thường làm giảm hiệu quả của lớp bảo vệ này.
Có thể khắc phục bằng cách người quản mạng chịu trách nhiệm đặt mật khẩu hoặc
thay đổi mật khẩu theo thời gian.
 Mã hoá dữ liệu
Để bảo mật thông tin trên đường truyền người ta sử dụng các phương pháp
mã hoá. Dữ liệu bị biến đổi từ dạng nhận thức được sang dạng không nhận thức
được theo một thuật toán nào đó và sẽ được biến đổi ngược lại ở trạm nhận (giải
mã). Đây là lớp bảo vệ thông tin rất quan trọng.
 Bảo vệ vật lý
Ngăn cản các truy nhập vật lý vào hệ thống. Thường dùng các biện pháp
truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy
mạng, dùng ổ khoá trên máy tính hoặc các máy trạm không có ổ mềm.
 Tường lửa

Thông thờng Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập
từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×