ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Đây là Chương 7 trong Giáo trình VN Comptia Security +, để hiểu rõ hơn các khái niệm và ghi nhớ tốt chúng ta cần research thêm về các tình huống thực tế, công cụ liên quan … Hãy ghi nhớ và update bài sau

Security Assessment là quá trình đánh giá và đo lường mức độ an toàn và bảo mật của một hệ thống, ứng dụng, hoặc môi trường thông tin cụ thể. Mục tiêu của Security Assessment là xác định các lỗ hổng và yếu điểm trong hệ thống để có cái nhìn tổng thể về mức độ nguy cơ và rủi ro liên quan đến an ninh thông tin. Quá trình này giúp tổ chức hiểu rõ về tình trạng an toàn thông tin của mình và đưa ra các quyết định để cải thiện bảo mật.

Có nhiều loại Security Assessment khác nhau, bao gồm:

Vulnerability Assessment (Đánh giá lỗ hổng): Đây là quá trình xác định và đo lường các lỗ hổng bảo mật trong hệ thống hoặc ứng dụng. Các lỗ hổng có thể bao gồm các lỗ hổng phần mềm, cấu hình không an toàn, thiếu kiểm soát quyền truy cập, và nhiều vấn đề khác.

Penetration Testing (Kiểm tra xâm nhập): Penetration testing (hoặc còn gọi là pen testing) là việc thử nghiệm hệ thống bằng cách mô phỏng các cuộc tấn công từ hacker hoặc kẻ xâm nhập. Mục tiêu là tìm hiểu cách mà kẻ xâm nhập có thể tận dụng các lỗ hổng để truy cập hệ thống, chiếm quyền điều khiển hoặc gây hại.

Risk Assessment (Đánh giá rủi ro): Risk assessment là quá trình xác định và đánh giá các rủi ro an ninh thông tin liên quan đến hệ thống hoặc dự án. Mục tiêu là xác định các rủi ro tiềm tàng và ảnh hưởng của chúng, từ đó đưa ra quyết định về việc ứng phó với rủi ro và đề xuất biện pháp bảo mật.

Compliance Assessment (Đánh giá tuân thủ): Đánh giá tuân thủ tập trung vào việc xác định mức độ tuân thủ của hệ thống hoặc tổ chức với các quy chuẩn, quy định và tiêu chuẩn bảo mật cụ thể như PCI DSS, HIPAA, GDPR, vv.

Security Audit (Kiểm tra bảo mật): Security audit là quá trình kiểm tra và đánh giá mức độ tuân thủ các biện pháp bảo mật, chính sách an ninh, và tiêu chuẩn bảo mật trong tổ chức.

Tất cả những loại Security Assessment này đều nhằm mục tiêu cung cấp cái nhìn toàn diện về mức độ an toàn của hệ thống, từ đó giúp tổ chức thực hiện các biện pháp bảo mật cần thiết để bảo vệ thông tin và ngăn chặn các mối đe dọa an ninh.

Intelligence Fusion trong lĩnh vực an toàn thông tin là quá trình thu thập, tổng hợp và phân tích thông tin từ nhiều nguồn khác nhau để tạo ra cái nhìn tổng thể về tình hình mối đe dọa và rủi ro liên quan đến an ninh thông tin. Mục tiêu chính của Intelligence Fusion là cung cấp thông tin chi tiết và toàn diện để hỗ trợ quá trình đánh giá và ứng phó với các vấn đề liên quan đến an toàn thông tin.

Quá trình Intelligence Fusion bao gồm các bước chính như sau:

1. Thu thập thông tin: Thu thập thông tin từ nhiều nguồn khác nhau, bao gồm cả nguồn mở và nguồn đóng, như các báo cáo, tin tức, dữ liệu từ các hệ thống giám sát, thông tin từ mạng xã hội, và nhiều nguồn khác.
2. Tổng hợp thông tin: Tổng hợp thông tin từ các nguồn khác nhau để tạo ra một bức tranh tổng thể về tình hình. Các dữ liệu và thông tin được sắp xếp, phân loại và liên kết lại với nhau để tạo ra cái nhìn rõ ràng về tình hình.
3. Phân tích thông tin: Thông tin được phân tích để hiểu rõ hơn về nguồn gốc, mô hình, và xu hướng của các mối đe dọa và rủi ro. Các chuyên gia có thể sử dụng các phương pháp phân tích dựa trên dữ liệu để dự đoán các hành vi tương lai của các mối đe dọa.
4. Xác định mức độ nguy cơ: Dựa trên phân tích, các yếu tố mức độ nguy cơ của các mối đe dọa và rủi ro được xác định. Điều này giúp quyết định về cách tiếp cận và ứng phó với từng tình huống cụ thể.
5. Cung cấp thông tin quyết định: Kết quả của quá trình Intelligence Fusion được sử dụng để cung cấp thông tin hỗ trợ quyết định cho các quản lý và chuyên gia về an toàn thông tin. Các quyết định có thể liên quan đến việc triển khai biện pháp bảo mật, quản lý rủi ro, và ứng phó với các tình huống không mong muốn.

Tổng cộng, Intelligence Fusion giúp cung cấp cái nhìn toàn diện và phân tích sâu về tình hình an toàn thông tin, từ đó giúp tổ chức đưa ra những quyết định hiệu quả để bảo vệ thông tin và hệ thống của mình khỏi các mối đe dọa và rủi ro.

Dưới đây là một ví dụ về cách Intelligence Fusion có thể được áp dụng trong thực tế:

Ví dụ: Phòng chống mối đe dọa an ninh mạng trong một tổ chức

Một tổ chức lớn đang hoạt động trong lĩnh vực tài chính quyết định triển khai Intelligence Fusion để đối phó với các mối đe dọa an ninh mạng. Tổ chức này đối diện với nguy cơ mất dữ liệu quan trọng và tiềm năng bị tấn công từ các hành vi tấn công mạng như tấn công tài khoản, phần mềm độc hại, và tấn công từ chối dịch vụ (DDoS).

Các bước triển khai Intelligence Fusion trong ví dụ này:

1. Thu thập thông tin: Tổ chức bắt đầu thu thập thông tin từ nhiều nguồn khác nhau, bao gồm hệ thống giám sát mạng, dữ liệu từ các diễn đàn an ninh mạng, bản tin báo chí về các vụ việc liên quan đến an ninh mạng, thông tin từ các nhà cung cấp dịch vụ bảo mật, và các nguồn khác.
2. Tổng hợp thông tin: Dữ liệu thu thập được tổng hợp lại để tạo ra cái nhìn toàn cảnh về tình hình an ninh mạng của tổ chức. Dữ liệu từ các nguồn khác nhau được liên kết lại để xác định các xu hướng, mô hình tấn công, và các điểm yếu.
3. Phân tích thông tin: Các chuyên gia an ninh mạng phân tích dữ liệu để xác định các mối đe dọa tiềm năng và cấp độ nguy cơ của chúng. Phân tích này dựa trên nhận thức sâu về các phương pháp tấn công, cơ chế hoạt động của phần mềm độc hại, và các thay đổi trong mô hình tấn công.
4. Xác định biện pháp bảo mật: Dựa trên kết quả phân tích, tổ chức quyết định triển khai các biện pháp bảo mật cụ thể để đối phó với các mối đe dọa. Điều này có thể bao gồm việc cập nhật phần mềm, cấu hình mạng, triển khai giải pháp bảo mật, và đào tạo nhân viên.
5. Cảnh báo và ứng phó: Tổ chức thiết lập hệ thống cảnh báo để theo dõi các hoạt động bất thường trong mạng. Khi có dấu hiệu của mối đe dọa, hệ thống cảnh báo sẽ kích hoạt và tổ chức sẽ ứng phó bằng cách triển khai các biện pháp phòng ngừa hoặc giải quyết tình huống.

Tổ chức này sử dụng Intelligence Fusion để tạo ra cái nhìn toàn cảnh về an ninh mạng của mình, từ đó đưa ra các quyết định hiệu quả về biện pháp bảo mật và ứng phó với các mối đe dọa mạng.

Lấy ví dụ, Wazuh là một giải pháp an ninh mạng mã nguồn mở, và nó có tích hợp một số khả năng tương tự như Intelligence Fusion trong việc tổng hợp, phân tích và đánh giá thông tin liên quan đến an ninh mạng.

Wazuh ban đầu được phát triển như một hệ thống IDS (Intrusion Detection System) để phát hiện và đánh giá các hoạt động tấn công trong mạng. Tuy nhiên, với thời gian, Wazuh đã phát triển thêm các tính năng bổ sung để hỗ trợ việc quản lý rủi ro và cung cấp thông tin tình báo về mối đe dọa.

Một số tính năng của Wazuh liên quan đến Intelligence Fusion bao gồm:

1. Tổng hợp dữ liệu: Wazuh có khả năng thu thập dữ liệu từ nhiều nguồn khác nhau trong mạng, như logs hệ thống, sự kiện an ninh, và các thông tin tình báo từ nguồn mở.
2. Phân tích sự kiện: Wazuh có khả năng phân tích dữ liệu thu thập để xác định các hoạt động bất thường và các mẫu tấn công trong mạng.
3. Intelligence Feed: Wazuh hỗ trợ tích hợp các thông tin tình báo từ các nguồn nổi tiếng như OSINT (Open Source Intelligence) để cung cấp thông tin về các mối đe dọa đang diễn ra trên Internet.
4. Alerting: Wazuh có khả năng tạo cảnh báo khi phát hiện các hoạt động không bình thường trong hệ thống hoặc mạng. Cảnh báo này có thể được sử dụng để phản ứng nhanh chóng với các mối đe dọa.

Mặc dù Wazuh không phải là một giải pháp Intelligence Fusion chuyên biệt, nhưng nó cung cấp các tính năng để tổng hợp và phân tích thông tin an ninh, từ đó giúp tổ chức xác định và ứng phó với các mối đe dọa.

Dưới đây là một số ví dụ về các giải pháp hoặc phần mềm Intelligence Fusion được sử dụng trong lĩnh vực an toàn thông tin và quản lý rủi ro:

1. IBM i2 Enterprise Insight Analysis: Đây là một giải pháp Intelligence Fusion của IBM giúp tổ chức tổng hợp và phân tích thông tin từ nhiều nguồn khác nhau để phát hiện các mô hình, xu hướng, và mối đe dọa tiềm tàng. Nó kết hợp dữ liệu từ nguồn mở, dữ liệu doanh nghiệp và dữ liệu từ các hệ thống an toàn để cung cấp cái nhìn sâu hơn về tình hình.
2. Splunk Enterprise Security: Splunk là một nền tảng phân tích dữ liệu mạnh mẽ, và Splunk Enterprise Security là một ứng dụng dành riêng cho việc quản lý rủi ro và an toàn thông tin. Nó cho phép tổng hợp và phân tích dữ liệu từ nhiều nguồn để xác định các hành vi bất thường và mối đe dọa tiềm tàng.
3. Palantir Gotham: Palantir Gotham là một giải pháp phân tích thông tin mạnh mẽ, được sử dụng trong các lĩnh vực như an toàn quốc gia, an ninh thông tin và quản lý rủi ro. Nó giúp tổng hợp dữ liệu từ các nguồn khác nhau để xác định mối đe dọa, xây dựng sơ đồ liên quan giữa các thực thể và sự kiện, và hỗ trợ quyết định trong thời gian thực.
4. Recorded Future: Recorded Future là một nền tảng phân tích thông tin về mối đe dọa, sử dụng các dữ liệu từ nguồn mở và thông tin tình báo, để cung cấp cái nhìn chi tiết về các sự kiện và mô hình tấn công đang diễn ra hoặc có thể xảy ra trong tương lai.
5. Cyber Threat Intelligence Platforms (CTIPs): Các nền tảng CTIP như ThreatConnect, Anomali, và ThreatQuotient cung cấp các công cụ để tổng hợp, phân tích và chia sẻ thông tin tình báo mối đe dọa. Chúng giúp tổ chức xác định các mối đe dọa tiềm tàng và ứng phó với chúng một cách nhanh chóng.

Nhớ rằng, sự lựa chọn của giải pháp hoặc phần mềm cụ thể phụ thuộc vào nhiều yếu tố như quy mô của tổ chức, ngân sách, mục tiêu cụ thể và nhu cầu an ninh thông tin của bạn.

Threat feed (thông tin tình báo mối đe dọa) là một tập hợp các dữ liệu và thông tin liên quan đến các mối đe dọa an ninh mạng. Những thông tin này có thể bao gồm các chỉ số, tên miền độc hại, địa chỉ IP nguy hiểm, tập tin độc hại, hồ sơ tấn công, các biểu hiện của các hoạt động tấn công, và các thông tin tương tự.

Mục tiêu của threat feed là cung cấp thông tin cụ thể về các mối đe dọa đang tồn tại trong môi trường mạng, để các tổ chức và chuyên gia bảo mật có thể sử dụng thông tin này để:

1. Phát hiện Mối Đe Dọa: Theo dõi các chỉ số và thông tin trong threat feed giúp phát hiện sớm các hoạt động tấn công, phần mềm độc hại hoặc các sự kiện đáng ngờ trong mạng.
2. Phòng Ngừa Tấn Công: Bằng cách biết trước về các mối đe dọa tiềm tàng, tổ chức có thể triển khai biện pháp bảo mật phù hợp để ngăn chặn hoặc giảm thiểu tác động của tấn công.
3. Đánh Giá Rủi Ro: Threat feed cung cấp thông tin về các mối đe dọa hiện tại và tiềm tàng, giúp tổ chức hiểu rõ hơn về tình hình an ninh của mình và đánh giá mức độ nguy cơ.
4. Xây Dựng Chiến Lược Bảo Mật: Dựa trên thông tin từ threat feed, tổ chức có thể xây dựng chiến lược bảo mật hoặc cải thiện các biện pháp bảo mật hiện tại để đối phó với các mối đe dọa.

Threat feed có thể được tổng hợp từ nhiều nguồn khác nhau như dữ liệu từ các tổ chức an ninh, cơ quan chính phủ, diễn đàn an ninh mạng, dịch vụ phân tích tình báo, và các nguồn mở khác.

Các threat feed (thông tin tình báo mối đe dọa) phổ biến hiện nay đến từ nhiều nguồn khác nhau, bao gồm cả các tổ chức thương mại, nhà cung cấp dịch vụ bảo mật, cơ quan chính phủ và cộng đồng an ninh mạng. Dưới đây là một số ví dụ về các threat feed phổ biến:

1. Open Source Intelligence (OSINT) Feeds: Các nguồn thông tin mở, chẳng hạn như dữ liệu từ các diễn đàn an ninh mạng, dự án mã nguồn mở như AlienVault Open Threat Exchange (OTX), và các dịch vụ cung cấp dữ liệu OSINT khác như Shodan.
2. Commercial Threat Intelligence Providers: Các công ty chuyên cung cấp dịch vụ thông tin tình báo mối đe dọa như Recorded Future, ThreatConnect, Anomali, và FireEye iSight.
3. National and Government Security Agencies: Các cơ quan chính phủ như Cơ quan An ninh quốc gia Hoa Kỳ (NSA), Cơ quan Tình báo Quốc gia Anh (GCHQ), và các tổ chức tương tự từ các quốc gia khác, cung cấp thông tin tình báo về các mối đe dọa an ninh quốc gia.
4. Domain and IP Blocklists: Các danh sách chặn tên miền (domain) và địa chỉ IP đáng ngờ hoặc đã biết liên quan đến các hoạt động độc hại. Các dịch vụ như Spamhaus và AbuseIPDB cung cấp các danh sách chặn tên miền và IP phổ biến.

Maneuver là gì ?

Trong lĩnh vực an ninh mạng, “maneuver” (còn gọi là “cyber maneuver”) ám chỉ việc triển khai các hoạt động tác động đến môi trường mạng, hệ thống và tấn công mối đe dọa. Khái niệm này thường liên quan đến các biện pháp phòng ngừa, phản ứng và đối phó với các mối đe dọa mạng.

Cụ thể, maneuver trong an ninh mạng bao gồm các hoạt động sau:

1. Phòng Ngừa: Maneuver có thể bao gồm việc triển khai các biện pháp bảo mật để ngăn chặn các mối đe dọa tiềm tàng và đảm bảo an toàn cho môi trường mạng. Điều này có thể bao gồm cấu hình tường lửa, cài đặt phần mềm chống độc hại, và áp dụng các chính sách an ninh mạng.
2. Phản Ứng: Trong trường hợp phát hiện một mối đe dọa hoặc cuộc tấn công, maneuver có thể bao gồm các biện pháp phản ứng như cô lập hệ thống bị nhiễm độc, khắc phục lỗ hổng bảo mật, và ngăn chặn sự lan truyền của cuộc tấn công.
3. Đối Phó: Đối phó trong maneuver liên quan đến việc chống trả và phản kháng lại các tấn công mạng. Điều này có thể bao gồm việc theo dõi và phản ứng lại với hoạt động xâm nhập, tấn công từ chối dịch vụ (DDoS), và các hình thức tấn công khác.
4. Dự Phòng và Đáp Ứng Khẩn Cấp: Maneuver cũng liên quan đến việc lập kế hoạch và triển khai biện pháp dự phòng, cũng như chuẩn bị cho các tình huống khẩn cấp như sự cố bảo mật hoặc sự cố an ninh mạng.
5. Giám Sát và Kiểm Tra: Maneuver cũng bao gồm việc thường xuyên giám sát và kiểm tra môi trường mạng để phát hiện sớm các hoạt động không bình thường hoặc mối đe dọa mới nổi.

Tóm lại, maneuver trong an ninh mạng là một khái niệm toàn diện về việc định hình, thực hiện và quản lý các hoạt động liên quan đến bảo mật mạng và ứng phó với các mối đe dọa an ninh.

Dưới đây là một ví dụ dễ hiểu về maneuver trong an ninh mạng:

Ví dụ: Phản ứng và đối phó với một cuộc tấn công DDoS

Ví dụ bạn là quản trị viên hệ thống của một trang web thương mại điện tử. Một ngày, bạn nhận thấy rằng lượng truy cập đến trang web của bạn tăng đột ngột và đột ngột làm cho máy chủ không thể trả lời yêu cầu từ người dùng. Điều này có thể cho thấy bạn đang trải qua một cuộc tấn công từ chối dịch vụ (DDoS), trong đó kẻ tấn công gửi một lượng lớn yêu cầu đến máy chủ của bạn để làm cho nó quá tải và không thể hoạt động.

Trong trường hợp này, bạn có thể thực hiện các bước maneuver sau:

1. Phân tích và xác định cuộc tấn công: Sử dụng các công cụ giám sát và phân tích, bạn xác định rằng trang web của bạn đang trải qua một cuộc tấn công DDoS với lưu lượng truy cập không bình thường.
2. Chuẩn bị biện pháp dự phòng: Bạn nhanh chóng kích hoạt một giải pháp dự phòng như mạng CDN (Content Delivery Network) để phân phối lưu lượng truy cập và giảm bớt tác động của cuộc tấn công lên máy chủ gốc.
3. Tạm thời chặn IP đáng ngờ: Bạn cũng có thể cấu hình máy chủ tạm thời chặn các địa chỉ IP đáng ngờ gửi lưu lượng lớn yêu cầu, để giảm thiểu tác động của cuộc tấn công.
4. Liên hệ với nhà cung cấp dịch vụ bảo mật: Nếu tấn công tiếp tục, bạn có thể liên hệ với một nhà cung cấp dịch vụ bảo mật chuyên nghiệp để nhận sự hỗ trợ và sử dụng các dịch vụ phòng thủ mạnh mẽ hơn.
5. Thu thập thông tin về tấn công: Trong quá trình đối phó, bạn thu thập thông tin về cuộc tấn công, bao gồm địa chỉ IP nguồn, loại tấn công, và các thông số khác để làm căn cứ cho việc kiểm tra và đánh giá sau này.

Trong ví dụ này, maneuver là việc thực hiện các biện pháp phản ứng nhanh chóng để đối phó với cuộc tấn công DDoS và giảm thiểu tác động lên hệ thống mạng của bạn.

False Positives và False Negatives là hai khái niệm quan trọng trong lĩnh vực phát hiện mối đe dọa và bảo mật mạng.

1. False Positives (Sai Dương): Khi một hệ thống bảo mật hoặc công cụ phát hiện mối đe dọa báo cáo một sự cố hoặc tình huống an ninh mạng mà thực tế không phải là mối đe dọa thực sự. Điều này dẫn đến việc sự báo động không đúng, gây ra sự bất tiện và tốn thời gian để xác minh và giải quyết sự cố. Ví dụ:Bạn đang quản lý một hệ thống giám sát an ninh mạng, và nó báo cáo rằng một địa chỉ IP cụ thể đang thực hiện một cuộc tấn công từ chối dịch vụ (DDoS) lên máy chủ của bạn. Tuy nhiên, sau khi kiểm tra, bạn nhận thấy rằng lưu lượng từ địa chỉ IP đó thực tế chỉ là một sự cố do người dùng cố gắng truy cập nhiều lần bằng cách nhầm lẫn.
2. False Negatives (Sai Âm): Khi một hệ thống bảo mật hoặc công cụ phát hiện mối đe dọa không báo cáo một sự cố hoặc tình huống an ninh mạng thực sự đang diễn ra. Điều này có thể dẫn đến việc bỏ lỡ các mối đe dọa quan trọng hoặc tấn công đang xảy ra. Ví dụ:Bạn đang sử dụng một hệ thống giám sát phần mềm độc hại và nó không báo cáo về một tệp độc hại mới được tải lên máy chủ của bạn. Sau khi một thời gian, tệp độc hại này đã lây lan và gây hại cho hệ thống mạng của bạn mà bạn không hay biết.

Khi làm việc với các hệ thống phát hiện mối đe dọa và an ninh mạng, việc kiểm soát và cân nhắc giữa false positives và false negatives là rất quan trọng để đảm bảo rằng các hành động bảo mật được thực hiện một cách hiệu quả và đúng đắn.

Ngoài ra , cần hiểu rõ (xem kỹ tài liệu lý thuyết)

Credentialed vs. Non-Credentialed

“Credentialed” và “Non-Credentialed” là hai cách tiếp cận khác nhau khi thực hiện quét lỗi bảo mật trong môi trường hệ thống.

1. Credentialed Scanning (Quét có thông tin xác thực): Trong quét lỗi bảo mật dạng này, công cụ quét có sử dụng thông tin xác thực (chẳng hạn như tên người dùng và mật khẩu) để đăng nhập vào các hệ thống và ứng dụng trong mạng. Khi đã đăng nhập, công cụ quét có quyền truy cập đầy đủ vào các tệp tin hệ thống, cơ sở dữ liệu, ứng dụng và các thành phần khác để kiểm tra các lỗ hổng bảo mật.

Ưu điểm:

• Cung cấp thông tin chi tiết và chính xác hơn về các lỗ hổng bảo mật.
• Có thể phát hiện được các lỗ hổng chỉ xuất hiện khi đã đăng nhập vào hệ thống.

Nhược điểm:

• Yêu cầu thông tin xác thực, có thể gây ra rủi ro nếu không được quản lý cẩn thận.
• Cần sự hợp tác của người quản trị hệ thống để cung cấp thông tin đăng nhập.

2. Non-Credentialed Scanning (Quét không có thông tin xác thực): Trong quét lỗi bảo mật dạng này, công cụ quét chỉ kiểm tra từ xa các cổng và dịch vụ mạng mà không sử dụng thông tin đăng nhập. Nó tương tự như việc kiểm tra từ bên ngoài để xác định các lỗ hổng bảo mật dựa trên thông tin khả dụng từ mạng.

Ưu điểm:

• Không yêu cầu thông tin xác thực.
• Dễ dàng thực hiện và không cần sự hợp tác của người quản trị hệ thống.

Nhược điểm:

• Có thể không phát hiện được tất cả các lỗ hổng bảo mật, đặc biệt là những lỗ hổng chỉ có thể thấy sau khi đăng nhập vào hệ thống.
• Thông tin báo cáo có thể không đầy đủ và chính xác.

Cả hai phương pháp này đều có ưu điểm và nhược điểm riêng. Lựa chọn phương pháp nào thích hợp phụ thuộc vào mục tiêu quét lỗi, tính chất hệ thống, và các yếu tố an ninh liên quan.

Intrusive vs. Non-Intrusive

“Intrusive” và “Non-Intrusive” là hai cách tiếp cận khác nhau khi thực hiện quét lỗi bảo mật trên hệ thống hoặc mạng.

1. Intrusive Scanning (Quét gây ảnh hưởng): Trong quét lỗi bảo mật dạng này, công cụ quét thực hiện các thử nghiệm và tấn công trực tiếp lên hệ thống hoặc mạng để kiểm tra các lỗ hổng bảo mật. Điều này có thể bao gồm việc kiểm tra lỗ hổng bằng cách gửi dữ liệu độc hại vào hệ thống, thử đăng nhập với thông tin giả mạo, hoặc thực hiện các hoạt động tương tự để kiểm tra sự tồn tại của lỗ hổng.

Ví dụ: Trong quét lỗ hổng SQL Injection, công cụ quét có thể thử gửi các truy vấn SQL độc hại để kiểm tra xem hệ thống có lỗ hổng SQL Injection không.

2. Non-Intrusive Scanning (Quét không gây ảnh hưởng): Trong quét lỗi bảo mật dạng này, công cụ quét thực hiện kiểm tra và phân tích các thông tin mà không tác động trực tiếp lên hệ thống hoặc mạng. Nó chỉ dựa vào thông tin khả dụng từ bên ngoài mà không thay đổi trạng thái của hệ thống.

Ví dụ: Trong quét lỗ hổng cổng mạng, công cụ quét có thể kiểm tra các cổng mạng mở trên hệ thống mục tiêu mà không gửi bất kỳ dữ liệu hay yêu cầu nào đến hệ thống.

Ưu điểm của quét lỗ hổng non-intrusive là nó không gây nguy cơ gây ảnh hưởng đến hoạt động bình thường của hệ thống. Tuy nhiên, nó có thể bỏ lỡ một số lỗ hổng mà chỉ có thể phát hiện được thông qua quét intrusive.

Ưu điểm của quét lỗ hổng intrusive là nó có thể phát hiện được các lỗ hổng chính xác và cung cấp thông tin chi tiết hơn về mức độ nghiêm trọng của lỗ hổng. Tuy nhiên, nó có thể gây ảnh hưởng đến hoạt động của hệ thống và cần được thực hiện cẩn thận.

Syslog/Security Information và Event Management (SIEM)

Syslog là viết tắt của System Logging Protocol và là một giao thức tiêu chuẩn được sử dụng trong hệ thống Linux để gửi nhật ký hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, được gọi là
máy chủ nhật ký hệ thống. Nhiều loại thiết bị, chẳng hạn như máy in, thiết bị mạng và hệ thống trên nhiều nền tảng, sử dụng tiêu chuẩn nhật ký hệ thống. Giá trị trong nhật ký hệ thống là sự tách biệt
của một hệ thống khỏi các báo cáo lỗi, cho phép cả chức năng bảo mật của ghi nhật ký được tách biệt khỏi hệ thống đang được giám sát và tổng hợp nhiều luồng nhật ký trên một máy chủ chung.

Máy chủ nhật ký hệ thống lắng nghe trên cổng UDP 514 hoặc cổng TCP 6514. Syslog không chỉ là lỗi; nó là tiêu chuẩn để ghi nhật ký từ xa trên hệ thống Linux. Ubuntu lưu trữ hoạt động toàn cầu và thông báo khởi động trong / var / log / syslog. Các ứng dụng cũng có thể sử dụng nó.

Thông tin trong máy chủ nhật ký hệ thống chỉ là các bảng dữ liệu thô. Để làm cho thông tin này dễ sử dụng hơn, một hệ thống được gọi là thông tin bảo mật và quản lý sự kiện (SIEM) được sử dụng để thu thập, tổng hợp và áp dụng đối sánh mẫu cho khối lượng dữ liệu.

Điều này biến các bảng dữ liệu thành thông tin hành động có ý nghĩa dựa trên các quy tắc do một tổ chức thiết lập. Bước đầu tiên
của quá trình xử lý trong SIEM là thu thập dữ liệu vào một loạt các bảng có cấu trúc. Điều này cho phép các nguồn dữ liệu khác nhau với các phần tử dữ liệu khác nhau có khả năng hoạt động cùng
nhau. Các bảng dữ liệu này sau đó được làm giàu bằng cách sử dụng tra cứu và các tính năng kết hợp khác để cung cấp ngữ cảnh lớn hơn cho dữ liệu đã được thu thập. Sau đó, hệ thống có thể kiểm tra
dữ liệu liên quan đến thời gian này để tìm các mối tương quan của sự kiện có thể được sử dụng để kích hoạt các hành động ứng phó sự cố.
Exam Tip Hãy nhớ rằng nhật ký hệ thống có thể được sử dụng để tổng hợp nhật ký trên các thiết bị mạng và hệ điều hành Linux. Máy chủ nhật ký hệ thống lắng nghe và ghi nhật ký các thông báo từ các máy khách nhật ký hệ thống. Hệ thống SIEM thu thập, tổng hợp và áp dụng đối sánh mẫu với khối lượng dữ liệu để tạo ra thông tin mà con người có thể đọc được.

Data Inputs

Các đầu vào dữ liệu cho SIEM cũng đa dạng như các hệ thống mà chúng được sử dụng để bảo vệ.
Mặc dù một mạng hiện đại có thể tạo ra số lượng cực lớn dữ liệu nhật ký, nhưng điều quan trọng trong SIEM là xác định thông tin nào cần thiết để hỗ trợ các quyết định. Người ta có thể thu thập mọi thứ, nhưng điều đó phải chịu rất nhiều chi phí và tạo ra rất nhiều báo cáo mà không ai cần. Điều quan trọng là xác định các đầu ra mong muốn từ SIEM và sau đó theo dõi các đầu vào cần thiết từ tường lửa, thiết bị mạng, máy chủ chính, v.v. để hỗ trợ các quyết định đó. Khi SIEM trưởng thành, nhiều nguồn dữ liệu hơn được xác định và đưa vào, và những nguồn không được sử dụng sẽ bị loại bỏ. Một SIEM được điều chỉnh bởi nhân viên an ninh để trả lời các câu hỏi liên quan đến môi trường và rủi ro
của họ.

User Behavior Analysis

SIEMS là các hệ thống được xây dựng để áp dụng các quy tắc cho các tập dữ liệu liên quan đến các mẫu cụ thể. Theo truyền thống, điều này có nghĩa là các sự kiện mạng và kiểu máy chủ, lỗi và các điều kiện khác cảnh báo người vận hành rằng hệ thống không phản hồi theo cách bình thường. Các sự kiện tương quan giữa các hệ thống có thể cho thấy các mô hình hoạt động bình thường và được mong đợi hoặc bất thường và cần được điều tra. Những tiến bộ trong phân tích hành vi của người dùng đã cung cấp một công dụng thú vị khác của SIEM: theo dõi những gì mọi người làm với hệ thống của họ và cách họ thực hiện. Nếu mỗi ngày, khi bắt đầu công việc, kế toán khởi động các chương
trình giống nhau, thì khi tài khoản kế toán đăng nhập và làm một việc hoàn toàn khác, chẳng hạn như truy cập vào hệ thống mà họ chưa từng truy cập trước đây, điều này cho thấy một sự thay đổi hành vi đáng xem xét. Nhiều SIEM hiện đại có các mô-đun phân tích hành vi của người dùng cuối, tìm kiếm
các mẫu hành vi bất thường cho thấy nhu cầu phân tích.

Sentiment Analysis

Các hệ thống tương tự được sử dụng để đối sánh các vấn đề bảo mật có thể được điều chỉnh để phù hợp với các mẫu dữ liệu biểu thị tình cảm cụ thể. Các mức độ gần gũi của tình cảm có thể được xác định bằng cách sử dụng các đầu vào như e-mail, cuộc trò chuyện, cơ chế thu thập phản hồi và truyền
thông mạng xã hội, cùng với các hệ thống AI có thể giải thích giao tiếp bằng văn bản. Người giao tiếp có vui, buồn, tức giận hay thất vọng không? Những tình cảm này và hơn thế nữa có thể được xác định bởi cách mọi người giao tiếp.

Phân tích tình cảm (Sentiment Analysis) là quá trình đánh giá và xác định tình cảm, ý kiến hoặc tư duy của người dùng đối với một văn bản, bài viết, đoạn văn, hay sản phẩm nào đó. Dưới đây là một ví dụ về phân tích tình cảm trong thực tế:

Ví dụ: Phân tích tình cảm trong bài đánh giá sản phẩm trên mạng xã hội

Giả sử bạn là một nhà sản xuất điện thoại di động và bạn muốn biết người dùng cảm thấy thế nào về sản phẩm mới của bạn. Bạn quyết định thực hiện phân tích tình cảm trên các bài đánh giá về sản phẩm này trên mạng xã hội.

1. Bài đánh giá 1: “Tôi thực sự yêu thích sản phẩm này! Pin bền, camera chất lượng và thiết kế đẹp mắt.”Sentiment: Positive (Tích cực)
2. Bài đánh giá 2: “Sản phẩm này quá đắt và chất lượng không tương xứng. Tôi không hài lòng với việc mua sản phẩm này.”Sentiment: Negative (Tiêu cực)
3. Bài đánh giá 3: “Mới dùng được một thời gian ngắn thôi nhưng cảm thấy khá ổn. Đáng giá với giá tiền mình bỏ ra.”Sentiment: Neutral (Trung lập)
4. Bài đánh giá 4: “Sản phẩm này cực kỳ xuất sắc! Tốc độ nhanh, hiệu suất tốt, và giá cả hợp lý. Tôi hoàn toàn hài lòng!”Sentiment: Positive (Tích cực)

Sau khi thu thập các bài đánh giá, bạn có thể sử dụng phân tích tình cảm để đánh giá tỷ lệ phần trăm các bài đánh giá tích cực, tiêu cực và trung lập. Điều này có thể giúp bạn hiểu rõ hơn về cách mà khách hàng đánh giá sản phẩm và từ đó có thể cải thiện hoặc tối ưu hóa sản phẩm của mình để đáp ứng nhu cầu của họ.

Ngoài ra, hãy ghi nhớ :

Log Aggregation

Log aggregation (Tổng hợp nhật ký) là quá trình kết hợp các nhật ký lại với nhau. Điều này được thực hiện để cho phép các định dạng khác nhau từ các hệ thống khác nhau hoạt động cùng nhau. Tổng hợp nhật ký hoạt động để cho phép nhiều nguồn thông tin độc lập được kết nối với nhau trong một bức tranh toàn cảnh hơn về trạng thái hệ thống so với một nguồn dữ liệu duy nhất có thể cung cấp.
Trong quá trình tổng hợp, các mục nhập nhật ký có thể được phân tích cú pháp, sửa đổi và có các trường khóa được trích xuất hoặc sửa đổi dựa trên tra cứu hoặc quy tắc. Mục tiêu của việc tổng hợp nhật ký là lấy nhiều nguồn dữ liệu khác nhau và điều kiện dữ liệu thành một dạng có thể tìm kiếm và sử dụng được cho các mục đích cụ thể.

Log Collectors

Bộ thu thập nhật ký là các phần mềm có chức năng thu thập dữ liệu từ nhiều nguồn độc lập và đưa dữ liệu đó vào một nguồn thống nhất chẳng hạn như SIEM. Các nguồn khác nhau có thể có các định dạng khác nhau và người thu thập nhật ký có thể hài hòa các yếu tố trường khác nhau này thành một
luồng dữ liệu toàn diện.

Security Orchestration, Automation, and Response (SOAR)

Threat hunting là một công việc đòi hỏi nhiều dữ liệu. Doanh nghiệp sở hữu rất nhiều dữ liệu liên quan đến bảo mật. Dữ liệu này đến từ vô số các thiết bị mạng, hệ thống phát hiện xâm nhập, tường lửa và các thiết bị bảo mật khác. Dữ liệu này thường được đưa vào hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) có thể thu thập, tổng hợp và áp dụng đối sánh mẫu cho khối lượng dữ liệu. Các
cảnh báo sau đó có thể được xử lý bởi nhân viên an ninh. Tuy nhiên, điều này còn lâu mới tích hợp hoàn toàn. Hệ thống điều phối bảo mật, tự động hóa và phản hồi (SOAR) lấy dữ liệu SIEM cũng như dữ liệu từ các nguồn khác và hỗ trợ việc tạo sách chạy và sách phát.
Những người săn lùng mối đe dọa sử dụng thông tin này, cả ở dạng thô từ hệ thống SOAR và SIEM cũng như dạng đã xử lý của nó từ sách chạy và sách phát, để kiểm tra một doanh nghiệp như kẻ tấn công, lập biểu đồ đường dẫn tấn công đến các tài sản thông tin có giá trị.
Thông tin này cũng hữu ích cho người đánh giá bảo mật, vì nó đưa ra các biện pháp bảo vệ an ninh ở định dạng dễ hiểu và dễ kiểm tra. Khoảng trống có thể được xác định bằng cách kiểm tra cấu trúc và nội dung của sách chạy và sách phát. Thông tin thêm về SOAR cũng như sách chạy và sách phát được
tìm thấy trong Chương 29, “Các kỹ thuật và kiểm soát giảm thiểu.”

Exam Tip Hệ thống SOAR kết hợp dữ liệu và cảnh báo từ các nền tảng tích hợp trong toàn doanh nghiệp và đặt chúng ở một vị trí duy nhất nơi phản hồi tự động sau đó có thể giải quyết các mối đe dọa và lỗ hổng bảo mật.

Tóm lược

Trong chương này, bạn đã làm quen với các công cụ và kỹ thuật được sử dụng trong đánh giá bảo mật. Chương mở đầu với một phần về săn lùng mối đe dọa. Trong phần này, các chủ đề về tổng hợp thông tin tình báo, nguồn cấp dữ liệu về mối đe dọa, lời khuyên và bản tin cũng như cách điều động đã được đề cập. Phần tiếp theo bao gồm quét lỗ hổng bảo mật. Phần này bắt đầu với việc kiểm tra dương tính giả và âm tính giả. Sau đó, đánh giá nhật ký được bao gồm, tiếp theo là quét được xác thực so với không được xác thực và quét xâm nhập so với không xâm nhập. Việc kiểm tra các ứng dụng, ứng dụng web và quét mạng cũng được cung cấp. Phần kết thúc bằng việc kiểm tra các hệ thống Lỗ hổng và Phơi nhiễm Phổ biến (CVE – Common Vulnerabilities and Exposures) và Hệ thống
Chấm điểm Lỗ hổng Phổ biến (CVSS – Common Vulnerability Scoring System), cũng như đánh giá cấu hình.
Phần tiếp theo đề cập đến nhật ký hệ thống và thông tin bảo mật và hệ thống quản lý sự kiện (SIEM). Trong phần này, các chủ đề bao gồm báo cáo đánh giá, thu thập gói dữ liệu, đầu vào dữ liệu, phân tích hành vi của người dùng và phân tích tình cảm. Các chủ đề về giám sát an ninh, tổng hợp nhật ký và thu thập nhật ký đã hoàn thành phần này. Chương này khép lại với phân tích về các hệ
thống điều phối bảo mật, tự động hóa và phản hồi (SOAR – security orchestration, automation, and response).

Comptia VIETNAM # comptia.edu.vn # comptia.com.vn