Tải bản đầy đủ (.docx) (62 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

ỨNG PHÓ VÀ XỬ LÝ SỰ CỐ TRONG AN NINH MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.67 MB, 62 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM

ĐỒ ÁN MÔN HỌC
INCIDENT RESPONSE AND HANDLING

Ngành:

CÔNG NGHỆ THÔNG TIN

Chun ngành:

AN TỒN THƠNG TIN

Mơn học:

AN TỒN HỆ THỐNG MẠNG MÁY TÍNH

Giảng viên bộ mơn

: Lê Duy An

Sinh viên thực hiện

: Trịnh Bảo Long - 1711060183
: Nguyễn Viết Đăng Long – 1711061106
: Phạm Văn Lộc Hoa - 1711061243

Lớp

: 17TH_N4_01



TP. Hồ Chí Minh, 2021


LỜI NĨI ĐẦU
Trong thời đại cơng nghệ thơng tin phát tri ển nhanh và vượt bậc như hi ện
nay, đặc biệt là cơng nghệ máy tính và mạng máy tính với sự bùng nổ của hàng
ngàn cuộc cách mạng lớn nhỏ. Sự ra đời của các mạng máy tính và những d ịch v ụ
của nó đã mang lại cho con người nhiều lợi ích to lớn, góp ph ần thúc đẩy n ền
kinh tế phát triển mạnh mẽ, đơn giản hóa những thủ tục lưu trữ, xử lý, trao đổi
thông tin phức tạp, liên lạc và kết nối giữa những vị trí, khoảng cách r ất l ớn m ột
cách nhanh chóng, hiệu quả...
Bên cạnh sự phát triển mạnh mẽ của mạng máy tính, vấn đề an ninh
mạng cũng trở thành yếu tố quan trọng. An ninh thông tin nói chung và an ninh
mạng nói riêng đang là vấn đề được quan tâm không ch ỉ ở Việt Nam mà cịn trên
tồn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, vi ệc đ ảm
bảo an ninh cho các hệ thống thông tin càng tr ở nên cấp thi ết hơn bao gi ờ h ết.
Kỹ thuật tấn công ngày càng tinh vi hơn khiến các h ệ th ống an ninh m ạng tr ở
nên mất hiệu quả.
Nhận thức được tầm quan trọng của các giải pháp an ninh m ạng, nhóm
chúng em đã chọn đề tài “ Incident Response and Handling” để nghiên cứu, mục
đích chính là để học hỏi, và cũng muốn tìm hiểu những giải pháp ứng phó an
ninh mạng và quy trình xử lý sự cố tối ưu cho một hệ thống mạng.


LỜI CẢM ƠN
Nhóm chúng em xin chân thành cảm ơn thầy Lê Duy An đã tạo điều kiện
và hướng dẫn cho chúng em hồn thành đề tài này. Nhóm chúng em cũng xin c ảm
ơn các anh chị khóa trước, các bạn bè đã hỗ tr ợ thêm thông tin đ ể đ ồ án được t ốt
hơn.

Trong quá trình thực hiện, nhóm chúng em rất cố gắng. Nhưng cũng khó
tránh khỏi những sai sót, kính mong q thầy cơ và các bạn góp ý thêm. Xin chân
thành cảm ơn!


MỤC LỤC


KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT
MITM: Man In The Middle.
ARP: Address Resolution Protocol.
DNS: Domain Naming System.
DoS: Denial of Service.
DDoS: Distributed Denial of Service.
IDS: Intrusion Detect System.
HIDS: Host-based Intrusion Detect System.
NIDS: Network-based Intrusion Detect System.
IPS: Intrusion Prevent System.
TCP: Transmission Control Protocol – giao thức điều khi ển truyền vận.
UDP: User Datagram Protocol – giao thức gửi dữ liệu ngắn.
ICMP: Internet Control Message Protocol – giao thức ki ểm tra kết n ối.
ASCII: American Standard Core for Information Interchange – chu ẩn mã trao đ ổi
thơng tin Hoa Kì.
IP: Internet Protocol.
Firewall: là một bức rào chắn giữa mạng nội bộ và một mạng khác.
Packet Decoder: Mơđun giải mã gói tin.
Preprocessor: Mơđun tiền xử lý.
Detection engine: Môđun phát hiện.
Logging and Alerting System: Môđun log va cảnh báo.
SSH - Secure Shell: Giao thức kết nối bảo mật.



Đề tài: Incident Response And HandlingGVHD: Lê Duy An

CHƯƠNG I: TỔNG QUAN
1.1. Tổng quan đề tài
1.1.1. Các kiến thức cơ sở
1.1.1.1. Khái quát về an ninh mạng
-

An ninh mạng máy tính (Network Security) là tổng thể các giải pháp về
mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng .
Các tổn hại có thể xảy ra do:
• Lỗi của người sử dụng.
• Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng

-

dụng.
• Các hành động hiểm độc.
• Các lỗi phần cứng.
• Các nguyên nhân khác từ tự nhiên.
An ninh mạng máy tính bao gồm vơ số các phương pháp được s ử dụng đ ể

-

ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:
• Lỗi của người sử dụng.
• Các hành động hiểm độc.
Số lượng các mạng máy tính tăng lên rất nhanh. Ngày càng tr ở thành ph ức

tạp và phải thực hiện các nhiệm vụ quan trọng hơn. Mang lại những thách
thức mới cho những ai sử dụng và quản lý chúng. Sự cần thi ết ph ải h ội
nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả trong m ột là
một điều hiển nhiên. Do các nhà quản lý mạng phải cố gắng tri ển khai

-

những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình.
An ninh Mạng – Network Security bảo vệ mạng của bạn trước vi ệc đánh
cắp và sử dụng sai mục đích thơng tin kinh doanh bí mật và ch ống l ại t ấn
công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. N ếu khơng
có an ninh mạng được triển khai, công ty của bạn sẽ gặp rủi ro tr ước xâm
nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch v ụ,

-

sự khơng tn thủ quy định và thậm chí là các hành động phạm pháp nữa.
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập
hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác
nhau. Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn b ảo v ệ
được công ty và dữ liệu của bạn trước đa dạng các loại tấn cơng mạng.

Nhóm SVTH: Nhóm 03

Page 6


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
-


Các lớp an ninh trên mạng của bạn có nghĩa là thơng tin có giá tr ị mà b ạn
dựa vào để tiến hành kinh doanh là ln sẵn có đối v ới bạn và được b ảo
vệ trước các tấn công. Cụ thể là, An ninh Mạng:
• Bảo vệ chống lại những tấn cơng mạng từ bên trong và bên ngồi.
Các tấn cơng có thể xuất phát từ cả hai phía, từ bên trong và từ bên
ngoài tường lửa của doanh nghiệp của bạn. Một hệ thống an ninh
hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo v ề
những hành động vi phạm và thực hiện những phản ứng thích hợp.
• Đảm bảo tính riêng tư của tất cả các liên l ạc, ở bất cứ đâu và vào
bất cứ lúc nào. Nhân viên có thể truy cập vào mạng từ nhà hoặc
trên đường đi với sự đảm bảo rằng hoạt động truyền thông của h ọ
vẫn được riêng tư và được bảo vệ.
• Kiểm sốt truy cập thơng tin bằng cách xác định chính xác ng ười
dùng và hệ thống của họ. Các doanh nghiệp có th ể đặt ra các quy
tắc của riêng họ về truy cập dữ liệu. Phê duyệt hoặc từ ch ối có th ể
được cấp trên cơ sở danh tính người dùng, chức năng cơng việc
hoặc các tiêu chí kinh doanh cụ thể khác.
• Giúp bạn trở nên tin cậy hơn. Bởi vì các cơng ngh ệ an ninh cho phép
hệ thống của bạn ngăn chặn những dạng tấn công đã biết và thích
ứng với những dạng tấn cơng mới, nhân viên, khách hàng và các
doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.
1.1.1.2. Những vấn đề đảm bảo an ninh và an toàn mạng

-

Yếu tố đầu tiên phải nói đến là dữ liệu, những thơng tin lưu trữ trên hệ
thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính tồn

-


vẹn hay tính kịp thời.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã
làm chủ được hệ thống chúng sẽ sử dụng các máy này đ ể chạy các chương

-

trình như dị tìm mật khẩu để tấn công vào hệ thống mạng.
Sau đây là một số phương thức bảo đảm an toàn, bảo mật thơng tin, dữ
liệu:


Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo
một quy tắc nào đó thành dạng mới mà kẻ tấn cơng khơng nhận
biết được.

Nhóm SVTH: Nhóm 03

Page 7


Đề tài: Incident Response And HandlingGVHD: Lê Duy An


Xác thực (Authentication): là các thao tác để nh ận d ạng người dùng,



nhận dạng client hay server…
Ủy quyền (Authorization): chính là việc phân định quyền hạn cho
mỗi thành phần đã đăng nhập thành công vào hệ thống. Quy ền hạn


này là các quyền sử dụng dịch vụ, truy cập dữ liệu…
• Kiểm toán (Auditing): là các phương pháp đ ể xác đ ịnh được client
đã truy cập đến dữ liệu nào và bằng cách nào.
1.1.1.3. Các thành phần cơ bản
-

Để một hệ thống an ninh mạng hoạt động tốt nó bao gồm rất nhiều thành
phần, hoạt động trên các nền tảng và mỗi trường khác nhau như:
• Các máy trạm
• Các máy chủ
• Các ứng dụng
• Các server
• Các thiết bị hạ tầng mạng: Router, switch, Hub…
• Các thiết bị, hệ thống phát hiện và phịng chống xâm nhập: IDS/IPS,

-

Snort, FireWall…
• Các ứng dụng chạy trên các máy chủ và máy trạm.
Ngoài ra, log hệ thống cũng là một thành phần quan tr ọng của h ệ th ống
mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ th ống, tình
trạng hoạt động của hệ thống, các ứng dụng, các thi ết bị đã và đang ho ạt
động trong hệ thống. Log là một thành phần cực kỳ hữu hi ệu cho vi ệc
giám sát cũng như khắc phục các sự cố trong hệ thống mạng. Bao gồm:
• Log Access: Là log ghi lại tồn bộ thơng tin truy c ập của ng ười dùng
tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
• Log Event: là log ghi lại chi ti ết nh ững s ự ki ện mà h ệ th ống đã th ực



hiện. Log ứng dụng, log của hệ điều hành…
Log Device: là log ghi lại tình trạng hoạt đ ộng của các thi ết b ị ph ần
cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

1.1.2. Giới thiệu các giải pháp cơ bản
-

Giải pháp phân mảnh mạng.
Quản lý các điểm truy nhập.
Các bộ định tuyến và chuyển mạch.
Giải pháp bức tường lửa.
Giải pháp lọc nội dung.
Giải pháp phát hiện và phịng chống xâm nhập.

Nhóm SVTH: Nhóm 03

Page 8


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
-

Điều khiển truy nhập từ xa.
Quản lý các sự kiện an ninh.
Quản lý các tổn thương.
Giải pháp mật mã.

1.2. Lý do chọn đề tài
Mạng – Internet dường như trong thời đại phát tri ển như hiện nay thì t ừ
nhà, cơng ty, doanh nghiệp, ... Nơi đâu cũng có mạng. Ta thấy rõ đ ược r ằng m ạng

internet đã mang lại cho chúng ta rất nhiều đi ều hữu ích. Tuy nhiên, trong h ệ
thống mạng, vấn đề an toàn và bảo mật đóng một vai trị hết s ức quan tr ọng.
Nếu khơng có an ninh mạng được triển khai, hệ th ống của bạn sẽ gặp rủi ro
trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, s ự gián đo ạn d ịch
vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.
Nhận thức được tầm quan trọng của nó, nhóm chúng em đã ch ọn đ ề tài
này để nghiên cứu dựa trên tài liệu được Giảng Viên cung cấp. Mục đích chính là
để học hỏi, và cũng muốn tìm hiểu những giải pháp an ninh mạng tối ưu cho
một hệ thống mạng.

Nhóm SVTH: Nhóm 03

Page 9


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

CHƯƠNG II: CƠ SỞ LÝ LUẬN
2. Incident Response Models ( Các mô hình ứng phó sự cố)
2.1. Các ngun tắc nền tảng của an ninh mạng
Đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thơng tin và d ữ li ệu đóng
một vai trị hết sức quan trọng trong đời sống và có khi ảnh h ưởng t ới s ự t ồn
vong của họ. Vì vậy, việc bảo mật những thơng tin và d ữ li ệu đó là đi ều vô cùng
cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng đ ược
mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước
được.
Điều này cho thấy vai trò cốt yếu của an ninh mạng trong vi ệc b ảo h ệ h ệ
thống mạng. Và nền tảng quan trọng của an ninh mạng bao gồm 3 yếu tố:
-


Tính bí mật
Tính tồn vẹn
Tính sẵn sàng
Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc

này sẽ quan trọng hơn những cái khác.

Nhóm SVTH: Nhóm 03

Page 10


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

Confidentiality, Integrity, Availability, được gọi là: Mơ hình bộ ba CIA. Ba
ngun tắc cốt lõi này phải dẫn đường cho tất cả các hệ th ống an ninh mạng. Bộ
ba CIA cũng cung cấp một công cụ đo (tiêu chuẩn đ ể đánh giá) đ ối v ới các th ực
hiện an ninh. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đ ều có th ể gây
hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan.
2.1.1. Tính bí mật
Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan tr ọng,
nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và
thông tin quan trọng, nhạy cảm đó được che giấu với người dùng khơng được
cấp phép.
2.1.2. Tính tồn vẹn
Tồn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép v ề dữ li ệu,
thơng tin và hệ thống, do đó đảm bảo được sự chính xác của thơng tin và hệ
thống. Có ba mục đích chính của việc đảm bảo tính tồn vẹn:
-


Ngăn cản sự làm biến dạng nội dung thơng tin của những người s ử d ụng

-

không được phép.
Ngăn cản sự làm biến dạng nội dung thông tin không được phép ho ặc

-

không chủ tâm của những người sử dụng được phép.
Duy trì sự tồn vẹn dữ liệu cả trong nội bộ và bên ngồi.

2.1.3. Tính sẵn sàng
Tính sẵn sàng bảo đảm các người sử dụng hợp pháp của hệ th ống có kh ả
năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong h ệ th ống
và tới mạng. Tính sẵn sàng có liên quan đến đ ộ tin c ậy c ủa h ệ th ống. Đ ể tăng
khả năng chống chọi với các cuộc tấn cơng cũng như duy trì đ ộ s ẵn sàng c ủa h ệ
thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering,
Redudancy, Failover…

Nhóm SVTH: Nhóm 03

Page 11


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

2.2. Nội dung về tấn công mạng
2.2.1. Hacking và khái niệm hacker
Hacking là quá trình tận dụng sơ hở của các hệ thống máy tính đ ể hồn

thành mục tiêu của mình hay nói một cách dễ hi ểu hơn, hacking là hành đ ộng
thâm nhập vào hệ thống quản trị mạng máy tính, phần mềm máy tính hay m ạng
máy tính để thay đổi hệ thống đó theo ý muốn của hacker, m ục đích c ủa hành
động hacking có thể là tốt hoặc xấu.
Hacker là người hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính,
có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính để làm thay đổi, ch ỉnh
sửa nó với nhiều mục đích tốt xấu khác nhau. Công vi ệc của hacker bao g ồm l ập
trình, quản trị và bảo mật.
2.2.2. Phân loại hacker
- Black hat: Loại hacker này thường là m ột cá nhân có ki ến th ức, kĩ
năng uyên thâm về máy tính, ln có ý định đen t ối, s ắp xếp và lên
kế hoạch tấn công với mục đích phá hoại, hoặc vi ph ạm pháp luật.
-

Black hat cũng có thể là một cracker.
While hat: Trắng ở đây có nghĩa là ln làm vi ệc trong sáng, minh
bạch để chống lại cái ác, cái đen tối. Những người này cũng ph ải có
kiến thức, kĩ năng uyên thâm như black hat, nhưng họ khơng dùng
kiến thức đó để thực hiện ý đồ đen tối là tấn công, xâm nhập trái
phép mà họ là những người đi tìm ra lỗ hổng và vá l ỗ hổng đó l ại và
họ ln đặt phịng thủ lên hàng đầu. Có thể coi những người này

-

như những người phân tích bảo mật.
Gray hat: Đây là thể loại đứng giữa hai loại hacker mũ tr ắng và mũ
đen. Những gã này tìm ra lỗ hổng và thơng báo chúng cho chính phủ,
cơ quan tình báo hay đơi khi là qn đội. Sau đó, chính phủ sẽ s ử
dụng những thơng tin này để hack vào một cơ quan hay một nhóm
tội phạm hình sự. Họ có thể là cá nhân hay những nhà nghiên cứu

theo đuổi việc tìm kiếm bugs và những sai sót có thể hữu ích cho

-

chính phủ.
Suicide hat: Đây có thể coi như là loại hacker cảm tử, có nghĩa là làm
việc mà khơng sợ gì.

Nhóm SVTH: Nhóm 03

Page 12


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

Ngoài ra, chúng ta cịn có thể phân loại các Hacker dựa trên các lĩnh v ực.
2.2.3. Các nguy cơ mất an ninh mạng
- Các mối đe dọa (Threats): một mối đe dọa là b ất kỳ đi ều gì mà có th ể phá
-

vỡ tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của một hệ th ống mạng.
Các lỗ hổng (tính tổn thương) (Vulnerabilities): một l ỗ hổng là m ột đi ểm
yếu vốn có trong thiết kế, cấu hình hoặc thực hiện của một mạng mà có

-

thể gây cho nó khả năng đối đầu với một mối đe dọa.
Sự rủi ro (Risk): là độ đo đánh giá tính dễ bị tổn thương kết h ợp v ới kh ả
năng tấn công thành công.


2.3. “7 Steps of the Cyber Kill Chain”
Các chuyên gia an ninh mạng đang dần dần nắm bắt được nhiều thuật ngữ qn sự
hơn. Khơng có gì ngạc nhiên ở đó, với một cuộc chiến tranh mạng có thể xảy ra. "Kill
Chain" là một thuật ngữ chiến tranh truyền thống thường được Không quân Hoa Kỳ sử
dụng như quy trình chỉ huy và kiểm sốt để xác định mục tiêu và tiêu diệt các lực
lượng đối phương.
Khái niệm "Kill Chain" này đã được đưa vào hoạt động tiếp thị an ninh mạng. Nhiều
nhà cung cấp đã đưa ra các mơ hình, nhưng Websense gần đây đã đưa nó thành một
mơ hình bảy giai đoạn được xác định rõ ràng mà bọn tội phạm mạng sử dụng để tiếp
cận nạn nhân của chúng. Bạn không phải sử dụng tất cả các bước này mọi lúc, nhưng
thường thì đây là cách các cuộc tấn công giảm xuống. Đây là những gì nó trơng giống
như:
1. Reconnaissance: Kẻ xâm nhập chọn mục tiêu, nghiên cứu nó và tìm

kiếm các lỗ hổng.
2. Weaponization : Kẻ xâm nhập phát triển phần mềm độc hại (Vũ khí)

được thiết kế để khai thác lỗ hổng.
3. Delivery : Kẻ xâm nhập truyền phần mềm độc hại qua email lừa đảo

hoặc phương tiện khác.
4. Exploitation : Phần mềm độc hại bắt đầu thực thi trên hệ thống đích.
Nhóm SVTH: Nhóm 03

Page 13


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
5. Installation : Phần mềm độc hại cài đặt một cửa sau hoặc sự xâm nhập


khác mà kẻ tấn cơng có thể truy cập được.
6. Command and Control : Kẻ xâm nhập có được quyền truy cập liên tục

vào hệ thống / mạng của nạn nhân.
7. Actions on Objectives : Kẻ xâm nhập bắt đầu các hành động mục tiêu

cuối cùng, chẳng hạn như đánh cắp dữ liệu, hỏng dữ liệu hoặc phá hủy
dữ liệu.

2.4. The Diamond Model of Intrusion (Mơ hình kim cương)
2.4.1. Tổng quan về The Diamond Model ( Mô hình kim cương).
Mơ hình này nhấn mạnh các mối quan hệ và đặc điểm của 4 thành phần cơ bản:
1. Adversary – Đối thủ: Các bên chịu trách nhiệm về sự xâm nhập.
2. Capability – Khả năng: Công cụ hoặc kỹ thuật được sử dụng bởi

tác nhân đe dọa.

3. Infrastructure – Cơ sở hạ tầng: (Các) đường dẫn mạng được sử

dụng bởi tác nhân đe dọa để thiết lập và duy trì chỉ huy và ki ểm
sốt.

Nhóm SVTH: Nhóm 03

Page 14


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
4. Victim – Nạn nhân: Mục tiêu của cuộc tấn công. Các nạn nhân sau


đó có thể được sử dụng như một phần của cơ sở hạ tầng để khởi
động các cuộc tấn công khác.

Adversary sử dụng Capability trên Infrastructure để tấn cơng Victim.
2.4.2. Pivoting Across the Diamond Model ( Mơ hình kim cương xâm nhập).

1. Một nhân viên báo cáo rằng máy tính của anh ta hoạt đ ộng b ất

thường và q trình qt cho thấy máy tính bị nhiễm phần mềm
độc hại
2. Phân tích phần mềm độc hại cho thấy rằng phần mềm đ ộc hại
chứa danh sách các tên miền CnC.
3. Các tên miền này phân giải thành danh sách các địa ch ỉ IP.
Nhóm SVTH: Nhóm 03

Page 15


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
4. Các địa chỉ IP này được sử dụng để điều tra nhật ký để xác định

nếu các nạn nhân khác trong tổ chức đang sử dụng kênh CnC
5. Địa chỉ IP cũng được sử dụng để xác định đối thủ.
2.4.3. The Diamond Model and the Cyber Kill Chain

1. Kẻ thù tiến hành tìm kiếm trên web cho các Ti ện ích c ủa công ty n ạn

nhân, Inc. nhận được như một phần của kết quả miền gadgets.com của
họ.
2. Đối thủ tìm kiếm “quản trị viên mạng gadget.com” và khám phá đ ịa ch ỉ

email của quản trị viên mạng.
3. Kẻ thù gửi email lừa đảo có gắn con ngựa thành Troy quản trị viên mạng.
4. Một quản trị viên mạng (NA1) mở tệp đính kèm độc hại mà th ực hi ện
khai thác kèm theo.
5. Máy chủ của NA1 đăng ký với bộ điều khi ển CnC bằng cách gửi HTTP
Đăng tin nhắn và nhận lại Phản hồi HTTP.
6. Phân tích phần mềm độc hại xác định các địa chỉ IP dự phịng bổ sung.
7. Thơng qua thơng báo phản hồi CnC HTTP được gửi đến máy ch ủ của NA1,
phần mềm độc hại bắt đầu hoạt động như một proxy cho các kết n ối TCP
mới.
8. Thông qua proxy được thiết lập trên máy chủ của NA1, Adversary th ực
hiện một tìm kiếm trên web cho “nghiên cứu quan tr ọng nhất từ trước
đến nay” và tìm thấy Nạn nhân 2, Nghiên cứu thú vị Inc.
Nhóm SVTH: Nhóm 03

Page 16


Đề tài: Incident Response And HandlingGVHD: Lê Duy An
9. Đối thủ kiểm tra danh sách liên hệ email của NA1 để tìm bất kỳ đ ịa ch ỉ

liên hệ nào từ. Công ty nghiên cứu thú vị và phát hi ện ra liên h ệ cho Giám
đốc Nghiên cứu Thú vị Inc.
10. Giám đốc nghiên cứu của Interest Research Inc. nhận được m ột email ma
giáo từ địa chỉ email NA1 của Gadget Inc. đã được gửi từ máy chủ của NA1
với cùng tải trọng như được quan sát trong Sự kiện 3.
2.5. The VERIS Schema ( Lược đồ VERIS)

Lược đồ VERIS xác định năm yếu tố cấp cao nhất, cung cấp m ột khía c ạnh khác
của sự cố.



Impact Assessment (Đánh giá tác động): Tất cả các sự cố đều có
tác động, cho dù nó là nhỏ hoặc phổ biến, chỉ có thể được xác định



sau khi một sự cố đã xảy ra.
Discovery and Response (Khám phá và phản hồi) : Xác định tiến
trình của các sự kiện, phương pháp phát hiện sự cố và phản ứng là

sự cố, bao gồm cả cách nó được khắc phục.
• Incident Description (Mơ tả sự cố): Mơ tả tồn bộ sự cố, sử dụng
mơ hình mối đe dọa A4 do Verizon phát triển.
• Victim Demographics (Mơ tả nạn nhân): Mơ tả tổ chức có trải
qua sự cố và các đặc điểm của nó.

Nhóm SVTH: Nhóm 03

Page 17


Đề tài: Incident Response And HandlingGVHD: Lê Duy An


Incident Tracking (Theo dõi sự cố): Ghi lại thông tin chung về sự
cố để các tổ chức có thể xác định, lưu trữ và truy xu ất sự cố theo
thời gian.

2.6. Các kiểu tấn công

2.6.1. Man in The Middle
Man in the Middle là một trong những kiểu tấn công mạng th ường th ấy
nhất được sử dụng để chống lại những cá nhân và các tổ ch ức l ớn chính, nó
thường được viết tắt là MITM. Man-in-the-middle attack (MITM), là một cuộc tấn
cơng mà kẻ tấn cơng bí mật chuyển tiếp và có th ể làm thay đ ổi giao ti ếp gi ữa hai
bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau.
MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân
và chuyển tiếp dữ liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ
tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nh ưng s ự
thực thì các luồng truyền thơng lại bị thông qua host của k ẻ tấn công. Và k ết qu ả
là các host này khơng chỉ có thể thơng dịch dữ liệu nhạy cảm mà nó cịn có th ể
gửi xen vào cũng như thay đổi luồng dữ liệu để ki ểm soát sâu h ơn nh ững n ạn
nhân của nó.
2.6.2. Tấn cơng bị động
Trong một cuộc tấn cơng bị động, các hacke sẽ ki ểm sốt traffic khơng
được mã hóa và tìm kiếm mật khẩu khơng được mã hóa (Clear Text password),
các thơng tin nhạy cảm có thẻ được sử dụng trong các ki ểu tấn công khác. Các
cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cu ộc giao ti ếp
khơng được bảo vệ, giải mã các traffic mã hóa yếu, và thu th ập các thông tin xác
thực như mật khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép k ẻ tấn
cơng có thể xem xét các hành động tiếp theo. Kết quả của các cu ộc t ấn công b ị
động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn cơng mà ng ười
dùng khơng hề hay biết.
Nhóm SVTH: Nhóm 03

Page 18


Đề tài: Incident Response And HandlingGVHD: Lê Duy An


2.6.3. Tấn công chủ động
Tấn công chủ động như tên gọi của nó là các cu ộc tấn cơng mà ng ười t ấn
cơng hồn tồn cơng khai và chủ động trong tổ chức và th ực hi ện cu ộc tấn cơng
với mục đích làm giảm hiệu năng hoặc làm tê li ệt hoạt đ ộng c ủa m ạng máy tính
hoặc hệ thống. Đối với kiểu tấn cơng chủ động chúng ta hoàn nh ận bi ết được
qua kết quả tác động của nó. Một vài phương pháp tấn cơng chủ động khá nổi
tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký t ự đi ều
khiển đồng bộ SYN, và giả mạo IP.
2.6.4. Tấn công Phishing
Phishing là một phương thức lừa đảo nhằm giả mạo các tổ ch ức có uy tín
như ngân hàng, trang web giao dịch trực tuyến và các công ty th ẻ tín d ụng đ ể l ừa
người dùng chia sẻ thơng tin tài chính như: tên đăng nhập, mật khẩu giao d ịch,
những thông tin nhạy cảm khác của họ. Phương thức tấn cơng này cịn có th ể cài
phần mềm độc hại vào thiết bị của người dùng. Chúng thực sự là m ối quan ng ại
lớn nếu người dùng chưa có kiến thức về kiểu tấn cơng này hoặc thi ếu cảnh
giác về nó.

L ừa đ ảo chi ếm đo ạt thông tin
Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các
giao dịch có vẻ xuất phát từ các website xã hội phổ bi ến, các trung tâm chi tr ả
trực tuyến hoặc các quản trị mạng. Tấn công fishing thường được thực hi ện qua
Nhóm SVTH: Nhóm 03

Page 19


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

thư điện tử hoặc tin nhắn nhanh và hay yêu cầu người dùng nhập thông tin vào

một website giả mạo gần như giống hệt với website th ật. Ngay c ả khi có s ử
dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định
được website là giả mạo. Tấn công fishing là một đơn cử của nh ững kĩ thu ật l ừa
đảo qua mạng (social engineering) nhằm đánh lừa người dùng và khai thác s ự
bất tiện hiện nay của công nghệ bảo mật web.
2.6.5. Tấn công nội bộ
Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong
cuộc, chẳng hạn như một nhân viên nào đó “bất mãn” với cơng ty của mình, …các
cuộc tấn cơng hệ thống mạng nội bộ có thể gây hại hoặc vơ hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các
thông tin một cách gian lận hoặc truy cập trái phép các thơng tin.

Nhóm SVTH: Nhóm 03

Page 20


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

2.6.6. Tấn công từ chối dịch vụ

T ấn công DDos
-

Tấn công từ chối dịch vụ DoS (Denial of Service): Tấn công từ ch ối dịch vụ
DoS là một sự kiện bảo mật xảy ra khi kẻ tấn cơng có hành động ngăn cản
người dùng hợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài

-


nguyên mạng khác.
Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service):
Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm
tràn ngập nó với traffic từ nhiều nguồn.
2.6.7. Tấn cơng phá mã khóa
Mã khóa ở đây là mã bí mật hoặc các con số quan tr ọng để “giải mã” các

thông tin bảo mật. Mặc dù rất khó để có th ể tấn cơng phá một mã khóa, nh ưng
với các hacker thì điều này là có thể. Sau khi các hacker có đ ược m ột mã khóa, mã
khóa này sẽ được gọi là mã khóa gây hại.
Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông
tin liên lạc mà không cần phải gửi hoặc nhận các giao th ức tấn cơng. V ới các mã
khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ li ệu.
Nhóm SVTH: Nhóm 03

Page 21


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

2.6.8. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ
điển là dị tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ
thực hiện và khơng địi hỏi một điều kiện đặc bi ệt nào đ ể b ắt đ ầu. K ẻ t ấn cơng
có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà…
để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và
những thơng tin về mơi trường làm việc, có một chương trình tự động hố về
việc dị tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để gi ải các m ật

khẩu đã mã hoá của hệ thống unix có tên là crack, có kh ả năng th ử các t ổ h ợp các
từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong
một số trường hợp, khả năng thành cơng của phương pháp này có thể lên tới
30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân h ệ
điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được ti ếp tục
để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho
phép kẻ tấn cơng có được quyền của người quản trị hệ th ống (root hay
administrator). Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương
pháp này là ví dụ với chương trình sendmail và chương trình rlogin của h ệ đi ều
hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn
dịng lệnh của ngơn ngữ C. Sendmail được chạy với quyền ưu tiên của người
quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những
người sử dụng máy. Và Sendmail trực tiếp nhận các u cầu về thư tín trên mạng
bên ngồi. Đây chính là những yếu tố làm cho sendmail tr ở thành m ột ngu ồn
cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào
một máy khác sử dụng tài nguyên của máy này. Trong quá trình nh ận tên và m ật
Nhóm SVTH: Nhóm 03

Page 22


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

khẩu của người sử dụng, rlogin không ki ểm tra độ dài của dịng nhập, do đó k ẻ
tấn cơng có thể đưa vào một xâu đã được tính tốn trước để ghi đè lên mã
chương trình của rlogin, qua đó chiếm được quyền truy nhập.


3.Incident Handling ( Xử lý sự cố)
3.1. CSIRT (Computer Security Incident Response Team )
3.1.1. CSIRT là gì?
Là đội phản ứng sự cố bảo vệ máy tính.
3.1.2. Chức năng:
• Phản ứng với các sự cố có vừa xảy ra
• Cung cấp dịch vụ chủ động và các chức năng ngăn ngừa sự xâm
nhập.







3.1.3. Các loại CSIRT:
Nội bộ - được sử dụng trong ngân hàng, bệnh viện, trường đại học, v.v.
Quốc gia - xử lý các sự cố cho một quốc gia
Trung tâm điều phối - xử lý sự cố trên nhiều CSIRT
Trung tâm phân tích - dữ liệu từ nhiều nguồn để xác định xu hướng
Nhóm nhà cung cấp - khắc phục các lỗ hổng trong phần cứng phần



mềm
Các nhà cung cấp dịch vụ bảo mật được quản lý - tính phí dịch vụ

3.2. CERT (Computer Emergency Response Team)
Nhóm SVTH: Nhóm 03


Page 23


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

3.2.1. CERT là gì?
Nhóm ứng cứu khẩn cấp Máy Tính
Cung cấp các chứng nhận về bảo mật tốt nhất và khắc phục lỗ hổng.

3.4. Incident Response Stakeholders (Các bên liên quan ứng phó sự
cố).

3.5. NIST Incident Response Life Cycle ( Vịng đời ứng phó sự cố của NIST).
3.5.1. NIST là gì?
Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of
Standards and Technology - NIST) là cơ quan thu ộc b ộ ph ận Qu ản tr ị Công ngh ệ
của Bộ Thương mại Mỹ (U.S. Department of Commerce).

Nhóm SVTH: Nhóm 03

Page 24


Đề tài: Incident Response And HandlingGVHD: Lê Duy An

3.5.2. NIST xác định vịng lặp sự cố như sau:
• Chuẩn bị (Preparation) - Các thành viên của CSIRT được đào tạo về cách ứng
phó với một sự cố.
• Phát hiện và phân tích (Detection and Analysis)- Thơng qua giám sát liên
tục, CSIRT nhanh chóng xác định, phân tích và

xác nhận một sự cố.
• Ngăn chặn, Xóa bỏ và Phục hồi (Containment, Eradication, Recovery) CSIRT thực hiện các thủ tục để ngăn chặn mối đe dọa, loại b ỏ tác đ ộng đ ến tài
sản của tổ chức và sử dụng bản sao lưu để khơi phục dữ liệu và phần mềm.
• Các hoạt động sau sự cố (Post- Incident Activities) - CSIRT sau đó ghi lại
cách xử lý sự cố, khuyến nghị thay đổi cho phản hồi trong tương lai và ch ỉ đ ịnh
cách tránh tái diễn.

4. Một số biện pháp ngăn chặn và khắc phục sự cố An toàn hệ thống mạng
máy tính.
4.1. Cơng nghệ tường lửa (Firewall)
Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local
network) với một mạng khác (chẳng hạn như Internet), đi ều khi ển l ưu l ượng ra
vào giữa hai mạng này. Nếu như khơng có tường lửa thì l ưu lượng ra vào m ạng
nội bộ sẽ không chịu bất kỳ sự điều tiết nào, còn một khi tường l ửa đ ược xây
dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định.
Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các ngu ồn
truy cập nguy hiểm như hacker, một số loại virus tấn công đ ể chúng không th ể
phá hoại hay làm tê liệt hệ thống của bạn. Ngồi ra vì các ngu ồn truy c ập ra vào
giữa mạng nội bộ và mạng khác đều phải thơng qua tường lửa nên tường l ửa
cịn có tác dụng theo dõi, phân tích các luồng lưu lượng truy c ập và quy ết đ ịnh sẽ
làm gì với những luồng lưu lượng đáng ngờ như khoá lại một s ố nguồn dữ li ệu
Nhóm SVTH: Nhóm 03

Page 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×