Hình trên đây minh họa bộ ba CIA

Availability
Sếp : Khẩn cấp ! Tôi không thể sử dụng được dữ liệu của tôi !
Lính : Ấy ấy sếp, bật máy tính lên sếp ơi !
 

Các hệ thống và mạng lưới điện toán bắt buộc phải được cung cấp đầy đủ năng lượng dự trữ để có thể vẫn "sẵn sàng" nếu xảy ra sự cố. Chúng có thể tự động phục hồi năng lượng từ sự cố gián đoạn (cúp điện, sụp nguồn ...) một cách an toàn và nhanh chóng, không gây ảnh hưởng nặng nề đến năng suất hoạt động.

Single point of failure - Điểm lỗi đơn là đều cần tránh để bảo đảm tính sẵn sàng (giải thích sơ về SPOF nghĩa là đừng bao giờ dồn tất cả mọi thứ vào một sự vật, mà nên phân tán hoặc dùng song song, để nếu có một điểm bị sự cố thì các điểm còn lại vẫn duy trì được hệ thống, nếu phụ thuộc tất cả vào một sự vật, khi xảy ra sự cố, toàn bộ hệ thống sẽ bị sụp đổ theo chúng).

Ngoài ra biện pháp sao lưu phục hồi cũng cần được thực hiện, cơ chế dự phòng phải thiếp lập để sử dụng khi cần thiết, những tác động tiêu cực do môi trường cần phải được ngăn chặn. Cơ chế bảo vệ cần phải được triển khai thực hiện để chống lại các mối đe dọa từ bên ngoài lẫn bên trong có khả năng gây ảnh hưởng đến tính sẵn sàng và năng suất của mạng lưới, hệ thống và thông tin.

Đảm bảo tính sẵn sàng nghĩa là phải đảm bảo được độ tin cậy, luôn luôn truy cập được dữ liệu và tài nguyên khi các cá nhân có thẩm quyền cần đến. Tính sẵn sàng của hệ thống có thể bị ảnh hưởng bởi hỏng hóc thiết bị hoặc lỗi phần mềm. Trang bị thiết bị sao lưu dữ liệu là điều cần thiết, cần có sẵn để dễ dàng thay thế cho các hệ thống quan trọng, nhân viên IT cần phải có kỹ năng và kinh nghiệm thực tiễn để đảm bảo có thể hiệu chỉnh, đưa hệ thống trở lại làm việc bình thường khi gặp sự cố.

Vấn đề môi trường như nhiệt độ, độ ẩm, tĩnh điện và chất gây ô nhiễm cũng có thể ảnh hưởng đến tính sẵn sàng của hệ thống. Những vấn đề này sẽ được đề cập chi tiết trong chương Physical & Environmental Security. 

Integrity

Integrity (tính toàn vẹn) là việc duy trì và đảm bảo độ chính xác cùng với độ tin cậy của thông tin và hệ thống, ngoài ra còn liên quan đến việc ngăn chặn hành động sửa đổi trái phép hệ thống, thông tin. Phần cứng, phần mềm và cơ chế truyền thông cần phải duy trì và xử lý dữ liệu thật chính xác, để đảm bảo dữ liệu đến nơi nhận không bị bất kỳ sự thay đổi nào cả. Các hệ thống và mạng lưới điện toán cần phải được bảo vệ khỏi sự can thiệp từ bên ngoài, cũng như sự phá hủy từ ô nhiễm môi trường.

Khi Hacker phát tán malware, hoặc backdoor vào hệ thống, điều đó có nghĩa tính toàn vẹn của hệ thống đã bị xâm phạm, các hành động đó có thể lần lượt làm tổn hại đến tính toàn vẹn của thông tin bằng nhiều cách như sửa đổi chèn mã độc hại, hoặc thay thế dữ liệu chuẩn với dữ liệu sai lệch. Kiểm soát truy cập chặt chẽ, phát hiện xâm nhập là một trong những thứ có thể chống lại các mối đe dọa gây ảnh hưởng đến tính toàn vẹn.

Người dùng thường gây ảnh hưởng đến tính toàn vẹn của dữ liệu hoặc hệ thống là do sự nhầm lẫn (đôi khi người dùng nội bộ cũng có thể là kẻ gây ra những hành động xâm phạm).Ví dụ, người dùng với một ổ cứng họ có thể vô tình xóa nhầm các file cấu hình, vì họ cho rằng họ chưa bao giờ sử dụng đến chúng (ví dụ boot.ini chẳng hạn).  Một ví dụ khác, một người dùng có thể chèn sai giá trị trong quá trình nhập liệu vào ứng dụng, ví dụ nạp thông tin tài khoản cho khách hàng thành 3.000.000$ thay vì chỉ có 300$ .

Sửa đổi không chính xác dữ liệu trong Database có thể vô tình làm liên đới tới các giá trị khác, khiến cho hỏng toàn bộ cơ sở dữ liệu---một sai lầm đem lại ảnh hưởng lâu dài !

Người quản lý an ninh nên sắp xếp cung cấp chức năng và lựa chọn nhất định theo năng lực của người dùng, nhờ đó hạn chế được sự cố xảy ra do nhầm lẫn hoặc không rành chức năng mà họ sử dụng. Các files hệ thống quan trọng nên giới hạn không cho xem và truy cập đối với các người dùng trong tổ chức. Ứng dụng cũng nên cung cấp cơ chế kiểm tra giá trị đầu vào hợp lý. Cơ sở dữ liệu chỉ cho phép cá nhân được ủy quyền mới có khả năng thay đổi dữ liệu, và dữ liệu trong quá trình vận chuyển nên được bảo vệ bằng phương pháp mã hóa hoặc một cơ chế khác.

Confidentiality
Confidentiality (tính bảo mật) đảm bảo một mức độ bí mật cần thiết trong quá trình xử lý, lưu trữ dữ liệu và ngăn ngừa hành động tiết lộ trái phép. Nguyên tắc Confidentiality cần phải được ưu tiên áp dụng trong khi dữ liệu lưu trữ trên hệ thống và các thiết bị nằm trong mạng lưới điện toán, cũng như trong quá trình truyền tải dữ liệu.

Những Hacker có thể phá hoại cơ chế bảo mật bằng cách theo dõi mạng lưới, tấn công man-in-the-middle , tấn công shoulder surfing, đánh cấp files chứa thông tin mật khẩu, tấn công social engineering. Những vấn đề này sẽ được đề cập chi tiết ở chương sau. Tấn công shoulder surfing là nhìn trộm mật khẩu khi người dùng gõ ký tự trên bàn phím. Social Engineering là kỹ thuật lừa đảo làm cho người khác tiết lộ thông tin bí mật (Nổi tiếng nhất về các cuộc tấn công SE là Kevin Mitnick). Social Engineering có rất nhiều hình thức tấn công. Bất cứ ai có được khả năng giao tiếp tốt đều có thể sử dụng để thực hiện kỹ thuật tấn công SE.

Người dùng có thể cố ý hoặc vô tình tiết lộ thông tin nhạy cảm bằng cách không mã hóa thông tin trước khi gửi đến một người khác, trở thành con mồi cho các cuộc tấn công Social Engineering, chia sẻ thông tin bí mật của tổ chức ra ngoài, không bảo vệ thông tin cẩn thận trong quá trình xử lý thông tin. Tính bảo mật có thể được cung cấp bằng cách mã hóa dữ liệu khi nó được lưu trữ và truyền tải, bằng cách sử dụng kỹ thuật network traffic padding, kiểm soát truy cập chặt chẽ, phân loại dữ liệu ...

Traffic padding : là kỹ thuật tạo ra thêm dữ liệu giả mạo trong quá trình truyền tải để làm khó khăn cho kẻ tấn công trong quá trình phân tích traffic hoặc giải mã.

Tính sẵn sàng, tính toàn vẹn và tính bảo mật là những nguyên tắc quan trọng nhất của an toàn thông tin. Chúng ta phải nắm bắt, hiểu rõ được ý nghĩa của chúng, cách thức chúng hoạt động qua nhiều cơ chế khác nhau, sự thiếu vắng của chúng có thể gây ra những ảnh hưởng tiêu cực ra sao đối với môi trường an ninh của tổ chức, tất cả những điều này giúp cho chúng ta dễ dàng xác định vấn đề và đưa ra được giải pháp thích hợp nhất cho an ninh tổ chức.

Tất cả các giải pháp, từ firewall, tư vấn, cho đến chương trình bảo mật đều phải được đánh giá về chức năng mà chúng ta cung cấp và bảo đảm. Đánh giá yêu cầu về chức năng nghĩa là : Liệu giải pháp này có đảm bảo hoàn thành được các công việc mà chúng ta yêu cầu ?

Đánh giá về độ bảo đảm (Assurance requirement evaluation) : Làm sao để bảo đảm về mức độ bảo vệ mà giải pháp này cung cấp ? Bảo đảm các yêu cầu bao gồm tính toàn vẹn, tính sẵn sàng và tính bảo mật trên nhiều khía cạnh mà giải pháp cung cấp.

Security Definitions - Các định nghĩa trong lĩnh vực an ninh

Tôi là Vulnerable và bạn là Threat

Chú ý: Bắt đầu từ đây tôi sẽ giữ nguyên các từ vựng tiếng anh chuyên ngành thường sử dụng trong tài liệu CISSP.

Những từ "vulnerability", "threat", "risk", "exposure" thường hay được sử dụng để đại diện chung cho cùng một vấn đề, mặc dù chúng có ý nghĩa và mối quan hệ khác nhau. Điều quan trọng là phải hiểu về định nghĩa của từng từ đó, nhưng quan trọng hơn nữa là phải hiểu được mối quan hệ của chúng và các khái niệm mà chúng mang lại.

Vulnerability đề cập đến điểm yếu trong software, hardware, procedural hoặc human mà thông qua đó cung cấp cho Hacker một lối vào, nhằm tiềm nhập vào máy tính hoặc mạng lưới điện toán và truy cập trái phép vào các tài nguyên của tổ chức. Vulnerability là đặc trưng của sự thiếu vắng hoặc lỗ hổng trong cơ chế bảo vệ.

Vulnerability có thể là một dịch vụ đang chạy trên máy chủ, một ứng dụng hoặc một OS chưa được vá lỗi, một kết nối không hạn chế qua model dial-in, một port được mở trên Firewall, một cơ chế bảo vệ vật lý lỏng lẻo ai muốn ra vào phòng máy chủ cũng được, hoặc không có giải pháp quản trị mật khẩu cho servers và workstations.

Threat mang ý nghĩa là bất kỳ mối nguy hiểm tiềm tàng đối với thông tin hoặc hệ thống. Threat có thể là một ai đó, hoặc một cái gì đó, sẽ thông qua một Vulnerability cụ thể để gây nguy hiểm cho tổ chức hoặc một cá nhân. Các đối tượng lợi dụng Vulnerability được gọi là Threat Agent.

Thuật ngữ Threat Agent có thể được sử dụng để chỉ một cá nhân, hoặc một nhóm người có khả năng trở thành một mối đe dọa, một Hacker truy cập trái phép vào mạng lưới thông qua port được mở trên Firewall, cũng có thể là một quy trình truy xuất dữ liệu vi phạm chính sách an ninh, một cơn lốc quét sạch toàn bộ tổ chức, hay có thể là sai lầm vô ý của một nhân viên làm lộ hết tất cả các thông tin mật của tổ chức, hoặc phá hủy tính toàn vẹn của một files.

Những cá nhân hoặc nhóm có khả năng là Threat Agents, được phân loại như sau :

- Không mục tiêu cụ thể : Threat Agent ở mục không mục tiêu cụ thể có là Malware, Worm, Trojan hoặc Login Bomb.

- Các nhân viên : Nhà thầu, nhân viên bảo trì, hoặc nhân viên bảo vệ đang có tâm trạng bất mãn đối với tổ chức

- Tổ chức tội phạm hoặc tội phạm cá nhân : Mục tiêu của các tội phạm thường là tài khoản ngân hàng, credit card hoặc sở hữu trí tuệ có thể chuyển thành tiền. Tội phạm thường sử dụng người trong nội bộ để giúp chúng đạt được mục đích.

- Human, không chủ ý : Tai nạn, bất cẩn

- Human, cố ý : Nội gián, người ngoài.

- Thiên nhiên : Lũ lụt, hỏa hoạn, sét đánh, thiên thạch, động đất.

Risk là khả năng xảy ra của một Threat Agent, lợi dụng một Vulnerability để gây ảnh hưởng đến tổ chức hoặc năng suất kinh doanh.

Nếu Firewall có một số lượng lớn ports được mở, thì khả năng xảy ra sự cố có một kẻ tấn công xâm nhập trái phép vào mạng lưới là rất cao.Nếu một người dùng không được đào tạo về processes và procedures, thì khả năng xảy ra sự cố về việc vô tình hoặc cố ý phá hủy dữ liệu là rất cao.Nếu một hệ thống phát hiện xâm nhập (IDS) không được triển khai trên mạng lưới điện toán, thì khả năng xảy ra sự cố phát hiện chậm trễ các tấn công vào mạng lưới là rất cao.

Risk có mối quan hệ mật thiết với Vulnerability, Threat, Exposure.

Exposure miêu tả về sự tổn thất từ một Threat Agent. Một Vulnerability có thể gây ra nhiều sự tổn thất. Ví dụ, nếu quản lý mật khẩu lỏng lẻo và không triển khai thực hiện quy định cho mật khẩu, tổ chức có thể bị tổn thất từ mối đe dọa capture mật khẩu người dùng hoặc sử dụng một cách trái phép. Nếu tổ chức không thường xuyên kiểm tra hệ thống dây điện và không trang bị hệ thống phòng cháy chữa cháy, thì tổn thất xảy ra có thể là việc toàn bộ hệ thống bị tàn phá bởi sự cháy rụi.

Countermeasure hay còn gọi là Safeguard, định nghĩa về một phương pháp hoặc một cái gì đó được đưa vào để giảm thiểu Risks.Countermeasure có thể là một cấu hình phần mềm, một thiết bị phần cứng hoặc là một procedure nhằm loại bỏ hoặc làm giảm thiểu tối đa khả năng xảy ra việc Threat Agent khai thác Vulnerability.

Ví dụ về Countermeasure : hệ thống xác thực mạnh, nhân viên bảo vệ, cơ chế kiểm soát truy cập trong OS, triển khai thực hiện mật khẩu BIOS, tiến hành đào tạo nhận thức an toàn thông tin.
 

• Nếu một tổ chức có trang bị hệ thống Antivirus nhưng không được cập nhật database thường xuyên thì đây được xem là một Vulnerability.
• Threat ở đây là việc mã độc sẽ xuất hiện trong môi trường và làm gián đoạn năng suất làm việc của tổ chức.
• Khả năng xảy ra mã độc xuất hiện và gây ra thiệt hại được xem là Risk.
• Nếu mã độc tấn công vào tổ chức và khai thác thông qua một lỗ hổng khiến cho bị gián đoạn công việc, thì đây được xem là Expose.
• Countermeasure ở đây là phải cập nhật database thường xuyên và triển khai cài đặt Antivirus trên tất cả các máy tính.

Mối quan hệ giữa Risks - Vulnerabilities - Threats - Countermeasure - Exposes được diễn giải theo hình sau :



   

Theo như hình Figure 3-3, chúng ta có thể diễn giải lại như sau :

Threat Agent thông qua ==> Threat, để khai thác ==> Vulnerability, dẫn đến ==> Risk, gây ra tổn thất cho ==> Asset, sinh ra ==> Exposure, chúng ta có thể ngăn chặn giảm thiểu bằng ==> Safeguard, tác động trực tiếp đến ==> Threat Agent.

Order of Concepts - Thứ tự của các khái niệm

Theo đúng thứ tự dưới đây, để áp dụng cho việc đánh giá mạng lưới điện toán của tổ chức, có thể xếp như sau :

1.Threat - Mối đe dọa
2.Exposure - Tổn thất
3.Vulnerability - Lỗ hổng
4.Countermeasure - Biện pháp đối phó
5.Risk - Rủi ro

Security through Obscurity - Bảo mật bằng cách che dấu
Chúng ta viết ngược những thông tin nhạy cảm và lật úp chúng lại để đánh lừa những kẻ xấu xa ha ha ha
 

Security thông qua (hoặc bằng cách) sự che giấu đề cập đến một nguyên tắc trong kỹ thuật an ninh, bằng cách che giấu những thứ như kiến trúc hệ thống, thiết kế nhằm mục đích làm tăng tính an toàn cho chúng. Một hệ thống dựa vào kỹ thuật "security through obscurity" về lý thuyết hoặc trên thực tế chúng có thể đang bị những lỗ hổng bảo mật thực sự,nhưng người quản trị hoặc người thiết kế hệ thống tin rằng sẽ không ai biết được sự tồn tại của lỗ hổng này và Hacker sẽ không thể tìm thấy chúng.

Một hệ thống có thể sử dụng security through obscurity như là một phương pháp Defense-in-the-depth. Bước đầu tiên của Hacker thường là thu thập thông tin, hay còn gọi là Footprinting, nhờ security through obscurity mà chúng ta có làm chậm bước thu thập hoặc đánh lừa, làm nản lòng các Scriptkiddy. Kỹ thuật này được một số các chuyên gia đánh giá là tương phản với lối thiết kế an ninh chuẩn hóa, mặc dù trên thực tế rất nhiều dự án bảo mật áp dụng cả hai chiến lược Security by Design và Security by Obscurity.
 

Đoạn trên là dưới góc nhìn của người định nghĩa về Security through Obscurity trên Wikipedia. Còn từ sau đoạn này trở đi, tôi đưa ra góc nhìn của một CISSP :
 

Sự hiểu biết không đúng về Risks và Requirements, có thể dẫn đến xảy ra tất cả những vấn đề khó khăn cho tổ chức. Thông thường, mang lại kết quả xấu trong bảo mật thực tiễn.

Những thứ như Security through obscurity có thể trở thành thông lệ phổ biến và thường đem lại kết quả gây thiệt hại. Nguồn gốc của vấn đề là sự thiếu hiểu biết về Information Age luôn phát triển như vũ bảo, những công cụ nguy hiểm và sự thông minh của kẻ tấn công. Sự thiếu hiểu biết có thể dẫn đến những sai lầm nghiêm trọng, chúng ta tin rằng đối thủ kém thông minh hơn chúng ta.

Điều này dẫn đến những sai lầm hết sức đơn giản, những hiểu lầm hết sức cẩu thả và gia tăng sự nhận thức sai lệch về an toàn thông tin. Bao gồm những ý tưởng obscurity như :
 

• Lỗi không bao giờ bị khai thác nếu đối thủ không biết đến chúng
• Mã nguồn đóng được biên dịch an toàn hơn so với mã nguồn mở, bởi vì không ai có thể nhìn thấy mã nguồn của nó
• Chuyển lưu lương HTTP sang port 8088 sẽ an toàn hơn so với 80
• Phát triển các thuật toán mã hóa cá nhân có thể giúp chống lại Crackers
• Nếu chúng ta mặc trang phục giống cảnh sát, không một ai có thể tấn công chúng ta bằng kỹ thuật Social Engineering .
   

Đó chỉ là một vài các ý kiến có khả năng gây ra tổn hại, kết quả từ việc áp dụng phương pháp Security-by-obscurity. Cho đến ngày nay, Security-by-obscurity là một phương pháp vẫn còn gây tranh cãi, chưa được công nhận trong lĩnh vực an toàn thông tin và mã hóa. Phụ thuộc vào "sự mập mờ" để bảo mật có thể gây ra nguy hiểm.

Mặc dù tất cả mọi người đều tin rằng, bản ngã con người của mình luôn hướng thiện, không bao giờ làm đều xấu, các chuyên gia về an ninh sẽ bị mất việc nếu đều đó thực sự đúng (lúc đó làm gì có ai làm kẻ xấu xa nữa)

Về khía cạnh bảo mật, có một câu ngạn ngữ cổ xưa rất hay :

"Chỉ có hai người tôi tin tưởng trên thế giới này, đó là chính bản thân tôi và bạn ... nhưng tôi không chắc lắm có nên tin bạn hay không."

Đây thực sự là một quan điểm rất tốt về mặt bảo mật,  bởi vì thật sự bảo mật có thể bị tổn hại bởi bất cứ ai, bất cứ lúc nào, không một ai trả lời được câu này. Một ví dụ rất đời thường về Security through obscurity : chúng ta thường hay giấu một chìa khóa phụ dưới chậu cây, dưới tấm thảm trước cửa nhà, trong trường hợp để quên chìa khóa, bị nhốt ở bên ngoài thì có cái để mà mở cửa. Và chúng ta tin rằng, không một ai biết về chiếc chìa khóa phụ này, hết sức an toàn.

Lỗ hổng ở đây là việc bất cứ ai cũng có thể ra vào nhà bạn một cách dễ dàng, nếu họ có được chiếc chìa khóa phụ này, và một kẻ trộm kinh nghiệm thì chúng luôn biết những điều đó, biết những lỗ hổng đang tồn tại và chúng sẽ có những cách thức thích hợp để tìm ra nó. Đây là một điều tương tự đối với việc bảo mật hệ thống. Thiết lập một biện pháp bảo vệ "mập mờ" hoặc "mẹo" không cung cấp cho chúng ta một mức độ đảm bảo cần thiết, không cung cấp một cơ chế phòng thủ có chiều sâu mà các chương trình bảo mật luôn có.

Trong thế giới mật mã học, các nguyên tắc của Kerckhoffs đưa ra những ý kiến tương phản với security-through-obscurity. Quay trở lại những năm 80s, ông Kerckhoffs đã nói rằng không có một thuận toán nào giữ được sự bí mật cả, chỉ có "chìa khóa" mới là thành phần của sự bí mật. Nguyên văn câu nói :

--Một hệ thống mật mã được xem là an toàn ngay cả khi tất cả các hệ thống được public ra ngoài, ngoại trừ "key".

Chi tiết hơn: Năm 1883, ông Auguste Kerckhoffs đã viết hai bài báo trên La Cryptographie Militare, trong đó ông nêu sáu nguyên tắc thiết kế cho các Mật Mã Quân Sự, một số nguyên tắc không còn phù hợp cho đến ngày nay với khả năng của máy tính thực hiện các thuật toán mã hóa phức tạp, nhưng tiền đề thứ 2 của ông bây giờ vẫn còn rất quan trọng.

"Thuật toán mã hóa được tạo ra không cần phải giữ bí mật, có thể được công bố công khai, rơi vào tay quân địch mà không có bất kỳ sự phiền phức nào cả".
 

Thông điệp của ông giả định rằng kẻ tấn công có thể tìm ra được thuật toán của chúng ta và logic của nó, vì thế thứ quan trọng nhất cần bảo vệ ở đây chính là "Key" --- Là thứ mà kẻ tấn công cần có nó để giải mã thông tin nhạy cảm đã mã hóa.
 

Nếu không là Obscurity, thì sẽ là gì ?

Trong suốt quá trình rèn luyện, nghiên cứu kiến thức CISSP, sẽ bao gồm kinh nghiệm thực tiễn, các tiêu chuẩn mở, triển khai thực hiện và duy trì cơ chế kiểm soát an ninh một cách hiệu quả nhất sẽ được thảo luận rõ ràng, chi tiết. Sự phát triển của một chương trình bảo mật với nhiều lớp bảo vệ có thể mất nhiều thời gian trong giai đoạn đầu, nhưng về lâu về dài nó sẽ cho ta thấy được kết quả tốt, hơn là việc "tránh vỏ dưa gặp vỏ dừa".

Thông tin tham khảo :

1.http://en.wikipedia.org/wiki/Security_through_obscurity

2.http://en.wikipedia.org/wiki/Kerckhoffs's_Principle

3.http://home.earthlink.net/~bmgei/educate/docs/fperson/clasdocs/transhtm/phtran8.htm

4.http://www.trainning.com.br/download/COBIT_41.pdf

5.http://www.helium.com/items/1959893-iso-27001-iso-27002

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

• Information Security & Risk Management P.5
• Information Security & Risk Management P.4
• Information Security & Risk Management P.3
• Information Security & Risk Management P.2
• Information Security & Risk Management P.1

Nguyễn Phước Đức - DNA

Email: This email address is being protected from spambots. You need JavaScript enabled to view it.