PHÒNG CHỐNG TẤN CÔNG MẠNG - TRƯỜNG ĐẠI HỌC ...
Transcript of PHÒNG CHỐNG TẤN CÔNG MẠNG - TRƯỜNG ĐẠI HỌC ...
1
PHÒNG CHỐNG TẤN CÔNG MẠNG
Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN
1
Thông tin học phần
• Mã học phần: IT4830
• Khối lượng: 3(2-0-1-6)• Lý thuyết: 30 tiết
• Thực hành: 15 tiết (3 buổi x 5 tiết)
• Nội dung học phần:• Nguyên lý chung về phòng chống tấn công mạng
• Các nhiệm vụ phòng chống tấn công mạng
• Các hệ thống phòng chống tấn công mạng: VPN, firewall, IDS/IPS, Honeypot
• Đánh giá:• Quá trình(0.4): thực hành, chuyên cần
• Cuối kỳ(0.6): thi viết
• Website: https://users.soict.hust.edu.vn/tungbt/it4830
2
1
2
2
Quy định về điểm quá trình
• Điểm quá trình = Điểm TH + Điểm chuyên cần
• Điểm thực hành: Trung bình cộng điểm của 3 bài thực hành
• Điểm chuyên cần:
• Đạt điểm tuyệt đối tất cả các bài tập trắc nghiệm: +1
• Không hoàn thành 1-2 bài: 0
• Không hoàn thành 3-4 bài: -1
• Không hoàn thành ≥5 bài: -2
3
BÀI 1. MỞ ĐẦU
Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN
4
3
4
3
Nội dung
• Khái niệm cơ bản về phòng chống tấn công mạng
• Lỗ hổng và nguy cơ ATBM
• Nguyên lý chung về phòng chống tấn công mạng
• Phòng thủ theo chiều sâu
5
1. AN TOÀN BẢO MẬT VÀ CÁC NGUY CƠ AN TOÀN BẢO MẬT
Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN
6
5
6
4
An toàn bảo mật là gì?
7
Ngăn chặn, bảo vệ tài nguyên hệ thống trước các hành vi gây tổn hại
• Tài nguyên hệ thống:• Phần cứng: máy tính, đường truyền, thiết bị mạng...
• Phần mềm
• Dữ liệu
• Người dùng
• Các hành vi gây tổn hại: tấn công• Vật lý: tấn công vào phần cứng
• Logic: sử dụng các chương trình phá hoại để can thiệp vào quátrình xử lý và truyền dữ liệu
Yêu cầu của an toàn bảo mật
• Confidentiality (Bí mật): tài nguyên chỉ có thể truy cập bởi đối tượng được cấp quyền
• Integrity (Toàn vẹn, tin cậy): tài nguyên chỉ có thể sửa đổi bởi đối tượng được cấp quyền
• Availability (Sẵn sàng): tài nguyên sẵn sàng khi có yêu cầu• Thời gian đáp ứng chấp nhận được
• Tài nguyên được định vị trí rõ ràng
• Khả năng chịu lỗi
• Dễ dàng sử dụng
• Đồng bộ khi đáp ứng yêu cầu8
7
8
5
Mô hình CNSS
• Committee on National Security Systems
• McCumber Cube: Đặt các yêu cầu CIA trong mối liên hệ với các giải pháp và trạng thái của thông tin
9
Đe dọa an toàn bảo mật(Security Threat)
• Hành vi tiềm ẩn khả năng gây tổn hại tới tài nguyên của hệ thống
• Rủi ro(nguy cơ) an toàn bảo mật: khả năng xảy ra các sự cố làm mất an toàn an ninh thông tin và thiệt hại của chúng cho hệ thống
• Mô hình hóa mối đe dọa: 3 thành phần• Mục tiêu(Target): tài nguyên của hệ thống có thể là mục tiêu của
các hành vi gây tổn hại
• Chủ thể(Agent): người hoặc tổ chức gây ra mối đe dọa một cách cố ý hoặc vô ý
• Sự kiện(Event) gây ra đe dọa
10
9
10
6
Các sự kiện gây ra mối đe dọa
• Thiên tai:
• Mưa bão, lũ lụt, động đất…
• Giải pháp: xây dựng kế hoạch phản ứng sự cố và phục hồi, các giải pháp bảo vệ vật lý
• Lỗi phần cứng, phần mềm trong quá trình vận hành:
• Phát sinh do sự không hoàn thiện trong quá trình sản xuất hoặc suy hao theo thời gian
• Khó kiểm soát và ngăn chặn
• Giải pháp: bảo trì, cập nhật
11
Các sự kiện gây ra mối đe dọa
• Lỗi do người vận hành hệ thống• Giá trị nhập vào không hợp lệ, thao tác không đúng hướng dẫn
• Ngăn chặn:
• Đào tạo một cách chi tiết, đầy đủ
• Xây dựng hệ thống, quy trình vận hành để người dùng khó mắc lỗi vô ý
• Xâm nhập trái phép vào hệ thống:• Thực hiện bởi bên thứ 3 tấn công
• Xâm phạm bản quyền, bí mật công nghệ
• Đánh cắp thông tin
• Gửi thông tin lừa đảo
• Phá hủy tài nguyên
• Phát tán phần mềm độc hại…
12
11
12
7
Lỗ hổng an toàn bảo mật
• Là các điểm yếu của hệ thống có thể lợi dụng để gây tổn hại tới tính an toàn bảo mật
• Một số nguyên nhân phát sinh lỗ hổng:• Lỗ hổng do công nghệ
• Lỗ hổng do chính sách không đầy đủ
• Lỗ hổng do triển khai vận hành không đúng cách
13
Tấn công an toàn bảo mật
• Là các hành vi cố ý gây ra tổn hại cho hệ thống
• Phân loại:• Tấn công bên ngoài/Tấn công bên trong
• Tấn công không chủ đích/Tấn công có chủ đích
• Tấn công vật lý/Tấn công logic
• Tấn công chủ động/Tấn công thụ động
• Một số dạng tấn công:• Tấn công do thám
• Tấn công truy cập
• Tấn công từ chối dịch vụ
• …
14
13
14
8
Tấn công do thám
• Tìm kiếm, thu thập thông tin về hệ thống• Địa chỉ IP
• Các dịch vụ đang hoạt động
• Người dùng và quyền truy cập
• Hệ điều hành, phần mềm…
• Thường sử dụng ở giai đoạn bắt đầu của quá trình tấn công
• Các kỹ thuật do thám thông dụng:• Nghe lén
• Quét địa chỉ IP
• Quét cổng
• Nhận diện hệ điều hành
• Các kỹ thuật đánh lừa(Social Engineering)
15
Tấn công truy cập
• Chiếm tài nguyên trên hệ thống đích
• Các kỹ thuật thông dụng:• Nghe lén
• Phát lại
• Đoạt phiên làm việc
• Man-in-the-middle
• Mở cổng sau(backdoor)
• Tràn bộ đệm
• Dò đoán mật khẩu
• Khai thác lỗ hổng giao thức
• …
16
15
16
9
Kịch bản tấn công
Các giai đoạn thực hiện tấn công:
• Chuẩn bị tấn công• Thăm dò thông tin
• Quét, rà soát hệ thống
• Thực thi tấn công• Giành quyền truy cập
• Duy trì truy cập
• Xóa dấu vết
17
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
Thăm dò
• Là các hành vi mà kẻ tấn công thực hiện nhằm thu thập thông tin về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, thông tin về tổ chức…
• Có thể lặp đi lặp lại một cách định kỳ đến khi có cơ hội tấn công dễ dàng hơn
• Thăm dò chủ động: có tương tác với mục tiêu
• Thăm dò bị động: không có tương tác với mục tiêu
18
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
17
18
10
Thăm dò(tiếp)
• Sử dụng các công cụ tìm kiếm: Google, Shodan, Censys
• Thông tin từ mạng xã hội: FB, Tweetter, Linkedin
• Thông tin từ website của đối tượng: Burp Suite, ZAP, Web Spider, Web Mirroring
• Thăm dò hệ thống email
• WHOIS, DNS
• Thăm dò kết nối mạng: trace route
• Social Engineering
19
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
Quét rà soát
• Quét rà soát để xác định các thông tin về hệ thống dựa trên các thông tin thu thập được từ quá trình thăm dò
• Kẻ tấn công có cái nhìn chi tiết hơn và sâu hơn về hệ thống: các dịch vụ cung cấp, các cổng dịch vụ đang mở, địa chỉ IP, hệ điều hành và phần mềm…
• Trích xuất thông tin từ giai đoạn này cho phép kẻ tấn công lên kế hoạch chi tiết để thực hiện tấn công
20
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
19
20
11
Quét rà soát(tiếp)
• Xác định các nút mạng kết nối: Ping Sweep
• Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning
• Xác định thông tin hệ điều hành trên hệ thống mục tiêu: ID Serve, Netcraft
• Quét lỗ hổng: Nessus, GFI LanGuard
• Xác định topology của mạng mục tiêu: Network Topology Mapper
• Tương tác và thống kê(enumeration)
21
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
Giành quyền truy cập
• Kẻ tấn công giành được quyền truy cập vào hệ thống ở các mức độ khác nhau: mức mạng, mức hệ điều hành, mức ứng dụng
• Có thể dựa trên các quyền truy cập đã có để leo thang truy cập
22
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
21
22
12
Duy trì truy cập
• Thay đổi, can thiệp và hoạt động của hệ thống
• Cài đặt các phần mềm gián điệp
• Che giấu các hành vi trên hệ thống
• Quét rà soát sâu vào hệ thống
• Mở rộng phạm vi tấn công
• Leo thang tấn công
• Nếu cần thiết, kẻ tấn công có thể nằm vùng, chờ thời điểm thích hợp để phát động tấn công
23
Thăm dò
Quét, rà soát
Giành quyền
truy cập
Duy trì truy cập
Xóa dấu vết
2. KHÁI NIỆM CHUNG VỀ PHÒNG CHỐNG TẤN CÔNG MẠNG
Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN
24
23
24
13
Phòng chống tấn công mạng
• Computer Network Defense(CND)
• Hoạt động của hệ thống mạng(Computer Network Operation):
CNO = CNA + CNE + CND
• CNA: Computer Network Attack
• CNE: Computer Network Exploitation
• CND là quá trình bảo vệ hệ thống, giám sát, phân tích, phát hiện và phản ứng với các hành vi trái phép tác động tới hệ thống mạng máy tính
• Các thành phần giải pháp:• Con người
• Tác vụ
• Công nghệ
25
Các thành phần của CND: Con người
Bao gồm tất cả thành viên trong tổ chức:
• Kiến trúc sư ATBM
• Kỹ sư ATBM
• Phân tích viên
• Nhân viên kỹ thuật
• Nhân viên vận hành
• Người dùng cuối
• Nhân viên điều phối
26
25
26
14
Các thành phần của CND: Tác vụ
• Xây dựng và triển khai chính sách an toàn bảo mật
• Quy trình vận hành
• Gia cố hệ thống
• Quy trình xử lý sự cố(Incident Response)
• Điều tra số
• Sao lưu, dự phòng, khôi phục(Disaster Recovery)
• Lập kế hoạch khôi phục hoạt động sau sự cố(Business Continuity)
• Đào tạo người dùng
27
Các thành phần của CND: Công nghệ
• Kiểm thử, đánh giá các thành phần của hệ thống
• Các hệ thống quản trị cấu hình
• Tường lửa
• Kiểm soát truy cập
• Proxy
• Lọc nội dung
• Mật mã
• Xác thực
• …
28
27
28
15
Mối quan hệ giữa các thành phần
29
Các hướng tiếp cập – Phòng ngừa
Mục tiêu: giảm thiểu khả năng bị tấn công
• Gia cố hệ thống
• Quét và vá lỗ hổng bảo mật
• Lọc lưu lượng truy cập
• Thẩm tra nguồn truy cập
• Ngụy trang hệ thống
• Mã hóa
30
29
30
16
Các hướng tiếp cận – Phát hiện
Mục tiêu: Phát hiện và ngăn chặn tấn công
• Giám sát truy cập
• Thu thập thông tin hoạt động của hệ thống
• Các cơ chế phát hiện:• Dựa trên dấu hiệu
• Dựa trên bất thường
• Các mô hình dựa trên hành vi
• Các mô hình dựa trên ngưỡng
• Cảnh báo và ngăn chặn tấn công tiếp diễn
31
Các hướng tiếp cận – Phản ứng
Mục tiêu: Đáp ứng với các hành vi tấn công bằng các biện pháp thích đáng
• Sao lưu và dự phòng
• Phản ứng sự cố: khoanh vùng, cách ly, chuyển hướng
• Phục hồi sau tấn công
• Điều tra số
32
31
32
17
Quá trình phòng chống
33
Giám sát
Phân tích
Phát hiện
Phản ứng
Rút kinh nghiệm
3. PHÒNG THỦ THEO CHIỀU SÂU
Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN
34
33
34
18
Phòng thủ theo chiều sâu
• Không có giải pháp nào là vạn năng, có thể phòng chống mọi loại tấn công
• Phòng thủ theo chiều sâu(Defense in depth-DID): Các giải pháp phòng chống tấn công mạng cần phải được xây dựng với nhiều lớp bảo vệ:• Mỗi lớp thực hiện một số nhiệm vụ
• Các lớp phải phối hợp để tạo thành sức mạnh chung cho hệ thống
• Làm suy yếu dần khả năng tấn công
• Các hành vi tấn công ngày càng khó tiếp cận vào các lớp bên trong
• Phân biệt với dự phòng
35
Phòng thủ theo chiều sâu
• Các giải pháp phòng thủ theo chiều sâu cần được thiết kế dựa trên các thành phần của CND:• Con người
• Tác vụ
• Công nghệ
36
Asset
Personal
Operation
Technology
35
36
19
DID – Con người
• Ít được chú ý khi đề cập tới các giải pháp ATBM, nhưng…
• Giải quyết các vấn đề về con người rất quan trọng và cần thường xuyên giám sát, đánh giá
• Tại sao?
• Cần phải có bộ phận chuyên trách về ATBM trong tổ chức
• Người dùng cần được đào tạo và diễn tập
37
Hiện trạng tại Việt Nam
38
37
38
20
Hiện trạng tại Việt Nam
39
DID- Công nghệ
Các lớp con:
• Phòng thủ cho hạ tầng mạng kết nối với bên ngoài
• Phòng thủ vùng đệm của mạng bên trong
• Phòng thủ trên các host
40
39
40
21
DID – Tác vụ
• Bao gồm tất cả các hoạt động định kỳ được thực hiện để duy trì khả năng phòng thủ của hệ thống
• Các tác vụ lớp bảo vệ vật lý
• Xây dựng và triển khai chính sách ATBM
• Lập kế hoạch và giải pháp triển khai cho các hoạt động:• Phản ứng sự cố
• Sao lưu và dự phòng
• Khôi phục hệ thống…
• Giám sát và báo cáo tình trạng an ninh mạng
41
Hiện trạng tại Việt Nam
42
41
42
22
Hiện trạng tại Việt Nam
43
• Khả năng nhận biết hệ thống bị tấn công
Giám sát an ninh mạng
• Hệ thống thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ratrong hệ thống CNTT của tổ chức
44
43
44
23
Giám sát an ninh mạng
• Các yếu tố cơ bản:• Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát
• Thiết bị, giải pháp phần mềm phục vụ giám sát
• Thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát
• Con người
• Quy trình
• Các mô hình:• Giải pháp quản lý thông tin an ninh (SIM): tập trung vào việc thu
thập, lưu trữ và biểu diễn nhật ký(log)
• Giải pháp quản lý sự kiện an ninh (SEM): tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra các cảnh báo cho người dùng
• Giải pháp quản lý và phân tích sự kiện an ninh (SIEM): SIM + SEM
45
45