Khuyến nghị Biện pháp Khắc phục

Posted on by Bình luận về bài viết này

Bài học 19
Kỳ thi CompTIA PenTest+ PT0-002

Mục tiêu:

  • Giải thích các cuộc tấn công và lỗ hổng phổ biến đối với các hệ thống chuyên biệt.
  • Với một tình huống cụ thể, phân tích các phát hiện và đề xuất biện pháp khắc phục thích hợp trong báo cáo.

A. Sử dụng các biện pháp kiểm soát kỹ thuật

  1. Tăng cường bảo mật hệ thống (System hardening)
  • System hardening là quá trình bảo mật một thiết bị hoặc ứng dụng. Các kỹ thuật có thể bao gồm:
  • Cài đặt các bản vá và cập nhật khả dụng
  • Đảm bảo hệ thống tích hợp giải pháp tường lửa và chống malware
  • Vô hiệu hóa các cổng hoặc dịch vụ cụ thể không cần thiết
  • Gỡ cài đặt mọi phần mềm không cần thiết
  • Đảm bảo máy chủ được phân đoạn đúng cách với các máy chủ khác trên mạng

Ví dụ: Sau khi hoàn thành bài kiểm tra thâm nhập cho comptia.academy, Đội ngũ Pentest của Security365 đề xuất một số biện pháp tăng cường bảo mật hệ thống như: cài đặt các bản vá mới nhất cho hệ điều hành và ứng dụng web, loại bỏ các dịch vụ không sử dụng như telnet, cấu hình tường lửa chặt chẽ hơn, và phân tách mạng nội bộ thành các VLAN riêng biệt.

  1. Kiểm duyệt dữ liệu đầu vào của người dùng (Sanitizing user input)
  • Loại bỏ dữ liệu người dùng cung cấp không mong muốn hoặc không đáng tin cậy, được sử dụng để ứng dụng có thể xử lý an toàn dữ liệu đầu vào đó và giảm thiểu tác động của việc chèn mã độc, đặc biệt là XSS và SQL injection.
  • Các chiến thuật để kiểm duyệt dữ liệu bao gồm:
  • Escaping: chuyển đổi văn bản thành bytes
  • Null byte sanitization: loại bỏ hoàn toàn null byte
  • Parameterized query: kết hợp các ký tự đặt chỗ trong truy vấn SQL

Ví dụ: Trong quá trình kiểm thử ứng dụng web của comptia.academy, Đội ngũ Pentest của Security365 phát hiện một số lỗ hổng cho phép kẻ tấn công chèn mã độc thông qua các trường nhập liệu. Họ khuyến nghị nhóm phát triển sử dụng các kỹ thuật kiểm duyệt dữ liệu như sử dụng prepared statements trong truy vấn SQL, mã hóa đầu vào HTML và xác thực định dạng dữ liệu.

  1. Triển khai xác thực đa yếu tố (Multifactor Authentication – MFA)
  • Nhìn chung, xác thực sử dụng một trong các phương pháp sau:
  • Thứ bạn biết (mật khẩu, PIN)
  • Thứ bạn có (thẻ thông minh, token)
  • Thứ bạn là (sinh trắc học như vân tay, khuôn mặt)
  • MFA yêu cầu, tối thiểu, một phương thức xác thực thứ hai như:
  • Mật khẩu và mã bảo mật được gửi đến điện thoại thông minh của người dùng
  • Thẻ thông minh và dấu vân tay sinh trắc học

Ví dụ: Security365 khuyến nghị comptia.academy triển khai xác thực đa yếu tố cho tất cả các tài khoản có quyền truy cập vào hệ thống quan trọng. Người dùng sẽ cần nhập mật khẩu và một mã OTP (one-time password) được gửi qua ứng dụng xác thực trên điện thoại để đăng nhập. Điều này giúp ngăn chặn các cuộc tấn công đánh cắp mật khẩu.

  1. Mã hóa mật khẩu (Encrypting passwords)
  • Mật khẩu luôn phải được lưu trữ ở định dạng an toàn ngăn kẻ tấn công dễ dàng tái sử dụng chúng.
  • Hàm băm không có salt (unsalted hashes) dễ bị tấn công cầu vồng (rainbow attack). Nên lưu trữ mật khẩu ở định dạng được mã hóa.
  • Trong trường hợp thông tin đăng nhập được lưu trữ cho một dịch vụ cụ thể, có thể sử dụng trình quản lý mật khẩu hoặc giải pháp tương tự vì chúng thường triển khai cơ sở dữ liệu được mã hóa để lưu trữ mật khẩu.

Ví dụ: Trong quá trình kiểm tra, Đội ngũ Pentest của Security365 phát hiện comptia.academy đang lưu trữ mật khẩu người dùng dưới dạng văn bản rõ ràng trong cơ sở dữ liệu. Họ khuyến nghị sử dụng hàm băm mật khẩu an toàn như bcrypt hoặc PBKDF2 với salt ngẫu nhiên và hệ số lặp lại cao. Điều này giúp bảo vệ mật khẩu ngay cả khi cơ sở dữ liệu bị xâm phạm.

  1. Khắc phục ở mức quy trình (Process-level remediation)
  • Một quy trình không an toàn có thể dẫn đến lỗ hổng cho các cuộc tấn công kỹ thuật xã hội, từ chối dịch vụ, tấn công vật lý và mối đe dọa nội bộ.
  • Process-level remediation thay đổi cách sử dụng hoặc triển khai một quy trình với mục tiêu giảm thiểu các lỗ hổng bảo mật.
  • Ví dụ: nếu một quy trình được thực hiện thông qua kênh không an toàn, nó có thể được chuyển sang sử dụng kênh được mã hóa có chức năng tương tự.

Ví dụ: Đội ngũ Pentest của Security365 quan sát thấy nhân viên comptia.academy thường xuyên chia sẻ thông tin nhạy cảm qua email không được mã hóa. Họ đề xuất sử dụng một nền tảng chia sẻ tệp tin an toàn với mã hóa đầu cuối và kiểm soát truy cập mạnh mẽ. Ngoài ra, cần có chính sách và đào tạo nâng cao nhận thức cho nhân viên về các nguy cơ và thực hành tốt nhất trong truyền thông.

  1. Quản lý bản vá (Patch management)
  • Xác định, kiểm tra và triển khai các cập nhật hệ điều hành và ứng dụng.
  • Theo dõi các dịch vụ yêu cầu bản vá, kiểm tra các bản cập nhật và ghi lại những bản vá nào đã được áp dụng.
  • Lưu ý khi công nghệ không cho phép vá lỗi, nhưng thay vào đó một chiến lược giảm thiểu đã được triển khai.
  • Kiểm tra các bản vá mới và theo dõi các chiến lược giảm thiểu là những phần quan trọng của quy trình quản lý bản vá. Chúng cho phép duy trì hoạt động kinh doanh trong khi vẫn an toàn trước các mối đe dọa tiềm ẩn.

Ví dụ: Sau khi quét lỗ hổng cho comptia.academy, Đội ngũ Pentest của Security365 phát hiện một số máy chủ đang chạy phiên bản hệ điều hành và phần mềm lỗi thời với nhiều lỗ hổng đã biết. Họ khuyến nghị thiết lập một quy trình quản lý bản vá hiệu quả, bao gồm theo dõi các bản cập nhật, kiểm tra tương thích trong môi trường thử nghiệm và triển khai đúng hạn. Trong trường hợp không thể cập nhật vì lý do tương thích, cần áp dụng các biện pháp kiểm soát bổ sung như phân đoạn mạng và giám sát chặt chẽ.

  1. Luân chuyển khóa (Rotating keys)
  • Định kỳ tạo và triển khai các khóa truy cập mới cho máy chủ/dịch vụ.
  • Giống như luân chuyển mật khẩu, một số dịch vụ sử dụng tệp khóa hoặc chuỗi khóa để cấp quyền truy cập, chẳng hạn như máy chủ truy cập kho lưu trữ và nên được lên lịch cập nhật định kỳ.
  • Nhiều khuyến nghị cho mật khẩu cũng áp dụng ở đây, chẳng hạn như sử dụng độ dài tối thiểu và thiết lập thời hạn hết hạn cho khóa.

Ví dụ: Đội ngũ Pentest của Security365 khám phá ra rằng một số dịch vụ trên comptia.academy đang sử dụng API keys không hết hạn. Điều này tạo ra rủi ro về truy cập trái phép nếu khóa bị lộ. Họ khuyến nghị thiết lập quy trình luân chuyển khóa tự động, trong đó các khóa mới được tạo theo lịch định kỳ (ví dụ: hàng quý) và thay thế khóa cũ. Các khóa cũng nên có thời hạn hết hạn phù hợp tùy theo mức độ nhạy cảm của dịch vụ liên quan.

  1. Quản lý chứng chỉ số (Certificate management)
  • Quản lý chứng chỉ số là quá trình quản lý đúng cách các chứng chỉ bảo mật kỹ thuật số.
  • Bao gồm quản lý lưu trữ và truyền chứng chỉ phù hợp cũng như tạm dừng và thu hồi được thực hiện để đáp ứng các trường hợp nhất định.
  • Nếu chứng chỉ bị đánh cắp hoặc bị ảnh hưởng tiêu cực, một chứng chỉ mới nên được tạo và triển khai, và chứng chỉ cũ nên bị xóa và thu hồi.
  • Certificate pinning là quá trình gán một chứng chỉ cụ thể cho một phần tử cụ thể để tránh các cuộc tấn công man-in-the-middle.

Ví dụ: Security365 thực hiện kiểm tra SSL/TLS cho comptia.academy và phát hiện một số chứng chỉ đã hết hạn hoặc sử dụng thuật toán ký yếu (như SHA-1). Họ khuyến nghị thiết lập quy trình quản lý chứng chỉ, bao gồm giám sát ngày hết hạn, tạo chứng chỉ mới kịp thời, và thu hồi các chứng chỉ cũ. Ngoài ra, cần sử dụng certificate pinning cho các ứng dụng di động và triển khai HSTS (HTTP Strict Transport Security) để tránh các cuộc tấn công hạ cấp giao thức.

  1. Cung cấp giải pháp quản lý bí mật (Secret management)
  • Một nền tảng quản lý mật khẩu, cặp khóa và các thông tin nhạy cảm khác cần được lưu trữ an toàn.
  • Các giải pháp này thường là phần mềm hoặc dịch vụ trả phí bao gồm các biện pháp bảo mật để giữ bí mật được lưu trữ an toàn.
  • Thông thường có hỗ trợ cho các loại thông tin đăng nhập động và tĩnh khác nhau.

Ví dụ: Trong quá trình đánh giá, Đội ngũ Pentest của Security365 nhận thấy các thông tin đăng nhập nhạy cảm (như mật khẩu cơ sở dữ liệu, API keys) được lưu trữ dưới dạng văn bản rõ ràng trong mã nguồn và tệp cấu hình trên nhiều hệ thống của comptia.academy. Họ khuyến nghị sử dụng một giải pháp quản lý bí mật như HashiCorp Vault để lưu trữ tập trung và truy xuất an toàn các thông tin đăng nhập. Các ứng dụng sẽ xác thực với Vault để lấy thông tin đăng nhập khi cần, thay vì lưu trữ chúng một cách không an toàn.

  1. Phân đoạn mạng (Network segmentation)
  • Phân tách hệ thống cơ sở hạ tầng về mặt logic bằng cách sử dụng các mạng con, VLAN và/hoặc tường lửa để ngăn chặn giao tiếp với nhau.
  • Một phương pháp phổ biến là xác định:
  • Dịch vụ nào cần đối mặt với Internet
  • Dịch vụ nào cần phải vừa đối mặt Internet vừa có thể truy cập nội bộ
  • Dịch vụ nào nên giữ chỉ nội bộ
  • Một mạng hoặc máy chủ vật lý riêng biệt (không có kết nối cáp hoặc liên kết không dây với các mạng khác) được gọi là air-gapped.

Ví dụ: Sau khi thực hiện kiểm tra thâm nhập, Đội ngũ Pentest của Security365 phát hiện rằng mạng của comptia.academy khá phẳng, với nhiều máy chủ và dịch vụ quan trọng nằm trong cùng một mạng với các trạm làm việc của nhân viên. Điều này tạo ra nguy cơ lây lan trong trường hợp xâm nhập. Họ khuyến nghị phân đoạn lại mạng bằng cách:

  • Tạo các VLAN riêng cho các máy chủ sản xuất, phát triển, thử nghiệm
  • Thiết lập các quy tắc tường lửa để hạn chế lưu lượng giữa các phân đoạn
  • Cách ly các hệ thống quan trọng như máy chủ cơ sở dữ liệu trong mạng air-gapped

B. Kiểm soát hành chính và vận hành

  1. Triển khai các chính sách và quy trình
  • Các chính sách và quy trình giúp tổ chức vận hành bình thường trong khi giảm thiểu các sự cố an ninh mạng.
  • Sau khi PenTest, đội sẽ phân tích rủi ro của các vấn đề được xác định và đề xuất chiến lược giảm thiểu rủi ro về chính sách, chẳng hạn như:
  • Triển khai các biện pháp kiểm soát kỹ thuật khi cần
  • Xem xét các chính sách và quy trình
  • Áp dụng các chỉ số hiệu suất chính (KPI)
  • Cập nhật chính sách và quy trình khi cần thiết

Ví dụ: Sau khi hoàn thành đợt kiểm tra thâm nhập, Đội ngũ Pentest của Security365 phát hiện một số lỗ hổng chính sách nghiêm trọng tại comptia.academy như thiếu quy trình cập nhật phần mềm, không có chính sách mật khẩu mạnh và chưa triển khai đào tạo an ninh mạng cho nhân viên. Họ đề xuất xây dựng một bộ chính sách bảo mật toàn diện dựa trên tiêu chuẩn như ISO 27001, NIST CSF, bao gồm các quy trình chi tiết và giao trách nhiệm rõ ràng. Các chỉ số KPI cần được thiết lập để theo dõi việc tuân thủ và hiệu quả của chính sách.

  1. Sử dụng kiểm soát truy cập dựa trên vai trò (Role-based Access Control – RBAC)
  • RBAC là mô hình trong đó quyền truy cập tài nguyên được bảo vệ bởi danh sách kiểm soát truy cập (ACL) cấp quyền người dùng dựa trên chức năng công việc.
  • Điều này có thể được thực hiện ở các cấp độ khác nhau:
  • Trên tài nguyên logic như máy chủ, dịch vụ, cơ sở dữ liệu hoặc tệp tin.
  • Trên các tài nguyên vật lý như một tòa nhà hoặc phòng máy chủ

Ví dụ: Trong quá trình đánh giá, Đội ngũ Pentest của Security365 phát hiện nhiều người dùng tại comptia.academy có quyền truy cập vượt quá yêu cầu công việc của họ, ví dụ như truy cập vào mã nguồn, cơ sở dữ liệu của các ứng dụng khác. Điều này vi phạm nguyên tắc đặc quyền tối thiểu và tăng rủi ro lạm dụng truy cập hợp pháp. Vì vậy, họ đề xuất triển khai mô hình RBAC trong đó người dùng chỉ được gán các quyền cần thiết dựa trên vai trò và trách nhiệm của họ. Ví dụ: nhân viên phát triển chỉ có quyền truy cập môi trường phát triển của dự án họ được giao, nhân viên kế toán chỉ truy cập được hệ thống tài chính…

  1. Thực thi yêu cầu mật khẩu tối thiểu
  • Chính sách mật khẩu được sử dụng để giảm mối đe dọa của một cuộc tấn công. Các ví dụ về chiến lược giảm thiểu mật khẩu bao gồm:
  • Không cho phép các nhà phát triển gắn cứng thông tin xác thực (hard-code credentials) vào ứng dụng.
  • Băm (hash) các mật khẩu được lưu trữ thay vì lưu trữ chúng dưới dạng văn bản rõ ràng (plaintext).
  • Tránh các hàm băm yếu về mật mã học, như MD5 và SHA-1.
  • Xác nhận các giao thức truy cập mạng đang sử dụng các mật mã mạnh
  • Đảm bảo các giải pháp bảo mật như IDS và phòng chống mất dữ liệu (DLP) có thể giám sát và quản lý lưu lượng không được mã hóa trong mạng.

Ví dụ: Trong quá trình kiểm thử, Đội ngũ Pentest của Security365 phát hiện rằng comptia.academy không có chính sách mật khẩu hoặc chỉ yêu cầu mật khẩu rất yếu (như 6 ký tự, không bắt buộc ký tự đặc biệt). Họ khuyến nghị thực thi một chính sách mật khẩu mạnh yêu cầu tối thiểu 12 ký tự gồm chữ hoa, chữ thường, số và ký tự đặc biệt, cùng với việc bắt buộc thay đổi mật khẩu định kỳ (ví dụ: 90 ngày). Các mật khẩu cũ cũng không được phép tái sử dụng. Hơn nữa, cần áp dụng khóa tài khoản tạm thời sau 5 lần đăng nhập sai để ngăn chặn tấn công vét mật khẩu (password spraying).

  1. Bảo mật vòng đời phát triển phần mềm (Secure Software Development Lifecycle)
  • Bảo mật nên là một thành phần tích cực trong quá trình phát triển và tuân theo một vòng đời phát triển phần mềm (SDLC).
  • SDLC tập trung chủ yếu vào thiết kế, phát triển và bảo trì ứng dụng & phần mềm khác.
  • Phát triển trải qua một số giai đoạn. An ninh được kết hợp trong mỗi giai đoạn đó.
  • Bao gồm các thực hành tốt nhất trong quá trình phát triển

Ví dụ: Trong quá trình kiểm tra mã nguồn, Đội ngũ Pentest của Security365 xác định rằng quy trình phát triển phần mềm của comptia.academy chưa tích hợp an ninh một cách hệ thống. Các lỗ hổng bảo mật chỉ được phát hiện và xử lý muộn ở cuối vòng đời phát triển, dẫn đến chi phí và rủi ro cao. Họ đề xuất áp dụng mô hình SSDLC (Secure Software Development Lifecycle) để đưa an ninh vào mọi giai đoạn phát triển, từ đào tạo nhận thức cho nhà phát triển, phân tích yêu cầu bảo mật, kiểm tra thiết kế,rà soát mã nguồn, kiểm tra thâm nhập, cho đến triển khai và vá lỗi. Bằng cách xem an ninh là một yêu cầu chứ không phải một suy nghĩ sau, comptia.academy có thể phát triển các ứng dụng an toàn hơn và tiết kiệm thời gian và chi phí xử lý các vấn đề bảo mật.

  1. Các phương pháp lập trình không an toàn (Insecure coding practices)
  • Tổ chức cũng nên tích cực tránh các phương pháp lập trình không an toàn, bao gồm:
  • Thiếu xác thực đầu vào (input validation).
  • Hard-coded credentials trong mã nguồn.
  • Thiếu xử lý lỗi (error handling).
  • Chú thích chi tiết trong mã nguồn.
  • Thiếu ký mã (code signing).

Ví dụ: Trong quá trình kiểm tra mã nguồn, Đội ngũ Pentest của Security365 xác định một số lỗ hổng phổ biến trong các ứng dụng web của comptia.academy, bao gồm:

  • SQLi do không có xác thực đầu vào
  • Hard-coded passwords trong mã
  • Hiển thị thông báo lỗi chi tiết cho người dùng cuối (ví dụ: stack trace)
  • Chú thích mã chứa thông tin nhạy cảm như thông tin đăng nhập
  • Mã thực thi không được ký và xác minh tính toàn vẹn

Họ khuyến nghị các nhà phát triển comptia.academy tham gia các khóa đào tạo secure coding, sử dụng các công cụ phân tích mã tĩnh (SAST) và xem xét mã thường xuyên để phát hiện và sửa các lỗi lập trình không an toàn trước khi triển khai sản xuất.

  1. Quản lý thiết bị di động (Mobile Device Management – MDM)
  • MDM là quá trình theo dõi, kiểm soát và bảo mật cơ sở hạ tầng di động của tổ chức.
  • Cho phép tổ chức thực thi các chính sách bảo mật và quản lý ứng dụng, dữ liệu và nội dung khác trên tất cả các thiết bị được kết nối, thay vì áp dụng các biện pháp kiểm soát bảo mật cho từng thiết bị riêng lẻ.
  • Các chính sách và thủ tục bổ sung được khuyến nghị để khách hàng thực hiện bao gồm:
  • Thực hiện quét lỗ hổng hàng tháng.
  • Hoàn thành kiểm tra thâm nhập hàng năm hoặc nửa năm.

Ví dụ: Trong quá trình đánh giá, Đội ngũ Pentest của Security365 phát hiện rằng comptia.academy cho phép nhân viên sử dụng thiết bị cá nhân (BYOD) để truy cập email công ty và các ứng dụng nội bộ mà không có biện pháp kiểm soát bảo mật nào. Điều này tạo ra rủi ro về rò rỉ dữ liệu và malware. Security365 khuyến nghị triển khai một giải pháp MDM như Microsoft Intune để:

  • Thực thi mã hóa thiết bị
  • Yêu cầu mật khẩu mạnh
  • Hạn chế cài đặt ứng dụng
  • Cho phép xóa từ xa dữ liệu công ty khi thiết bị bị mất hoặc khi nhân viên nghỉ việc
  • Tách biệt dữ liệu công ty và cá nhân

Ngoài ra, comptia.academy nên xây dựng chính sách BYOD rõ ràng, yêu cầu nhân viên đăng ký thiết bị với MDM trước khi truy cập tài nguyên công ty và đồng ý với các điều khoản sử dụng và giám sát nhất định.

  1. Triển khai các biện pháp kiểm soát an ninh cho con người
  • Khi nói đến con người, họ luôn là và có thể sẽ luôn là mắt xích yếu nhất trong bảo mật.
  • Ngoài các lỗi do con người, mọi người cũng dễ bị tổn thương trước nhiều cuộc tấn công kỹ thuật xã hội đang được sử dụng.
  • Một số chiến lược giảm thiểu và kỹ thuật mà bạn nên khuyên khách hàng thực hiện bao gồm:
  • Quản lý thiết lập định hướng bảo mật và làm gương
  • Liên tục củng cố và nhắc nhở
  • Áp dụng hình phạt cho việc không tuân thủ

Ví dụ: Trong quá trình đánh giá, Đội ngũ Pentest của Security365 tiến hành kiểm tra mức độ nhận thức an ninh của người dùng cuối tại comptia.academy bằng cách gửi email giả mạo nhằm lừa nhân viên cung cấp thông tin đăng nhập hoặc cài đặt phần mềm độc hại. Kết quả cho thấy 30% nhân viên đã bị mắc bẫy, cho thấy sự thiếu hiểu biết và cảnh giác. Security365 khuyến nghị xây dựng một chương trình đào tạo và nâng cao nhận thức toàn diện, gồm:

  • Đào tạo bắt buộc cho nhân viên mới và định kỳ
  • Phishing giả định thường xuyên để kiểm tra và đào tạo nhân viên
  • Chiến dịch nâng cao nhận thức như áp phích, video, email…
  • Khen thưởng cho nhân viên phát hiện và báo cáo các nỗ lực lừa đảo
  • Hình phạt cho những vi phạm chính sách an ninh lặp đi lặp lại

Điều quan trọng là phải có sự ủng hộ và cam kết của lãnh đạo cấp cao trong việc thúc đẩy văn hóa an ninh tại comptia.academy, vì nhân viên thường noi theo hành vi của cấp trên.

  1. Phác thảo các cân nhắc hoạt động khác
  • Luân chuyển công việc (job rotation) là thực hành luân phiên nhân viên qua các vai trò được giao khác nhau.
  • Hạn chế thời gian trong ngày dựa trên giờ hoạt động bình thường của người dùng và giới hạn quyền truy cập của họ khi thường không cần thiết.
  • Kỳ nghỉ bắt buộc (Mandatory vacations) – Người dùng có nhiều khả năng mắc lỗi hơn khi họ mệt mỏi hoặc căng thẳng
  • Biện pháp khắc phục đào tạo người dùng nên bao gồm việc yêu cầu đào tạo an ninh mạng cho tất cả nhân viên.

Ví dụ:

  • Đội ngũ Pentest của Security365 khám phá ra rằng một số nhân viên CNTT của comptia.academy có quyền truy cập quá mức vào nhiều hệ thống quan trọng. Nếu những tài khoản này bị xâm phạm, kẻ tấn công sẽ có quyền kiểm soát rộng rãi. Do đó, họ khuyến nghị thực hiện luân chuyển công việc định kỳ (ví dụ: 6 tháng), trong đó nhân viên được chuyển qua các vai trò và trách nhiệm khác nhau. Việc này giúp giảm sự phụ thuộc vào cá nhân chủ chốt và giảm rủi ro lạm dụng đặc quyền.
  • Security365 cũng lưu ý rằng một số tài khoản người dùng (như tài khoản dịch vụ tự động) hoạt động 24/7 mà không cần. Họ đề xuất áp dụng hạn chế thời gian, chỉ cho phép các tài khoản này hoạt động trong giờ làm việc tiêu chuẩn và yêu cầu phê duyệt đặc biệt cho các trường hợp ngoại lệ.
  • Cuối cùng, Security365 nhấn mạnh tầm quan trọng của việc có kỳ nghỉ bắt buộc cho nhân viên, đặc biệt là những người có trách nhiệm cao. Điều này không chỉ giúp nhân viên “sạc lại năng lượng” và giảm khả năng mắc lỗi do kiệt sức, mà còn cho phép phát hiện các hoạt động bất thường hoặc gian lận trong thời gian vắng mặt của họ.

C. Kiểm soát vật lý

  1. Kiểm soát truy cập vào các tòa nhà
  • Kiểm soát truy cập tòa nhà quản lý khả năng cá nhân ra vào một cơ sở theo quyền của họ.
  • Ví dụ: một triển khai phổ biến trong các tòa nhà cao tầng là sử dụng thẻ truy cập RFID trong thang máy, chỉ có thể truy cập một số tầng nhất định khi thẻ được quẹt trước.
  • Thẻ RFID có thể dễ bị sao chép và tấn công replay. Các biện pháp kiểm soát truy cập vật lý khác có thể được sử dụng để cung cấp các lớp bảo mật bổ sung.

Ví dụ: Đội ngũ Pentest của Security365 tiến hành kiểm tra truy cập vật lý tại trung tâm dữ liệu của comptia.academy. Họ phát hiện một số lỗ hổng:

  • Cửa an ninh vào khu vực máy chủ đôi khi bị chèn vật cản để mở.
  • Khách đến thăm không luôn được đưa đi có người đi kèm.
  • Thiết bị ghi hình CCTV có điểm mù.
  • Nhân viên không đeo thẻ ID một cách nhất quán.

Security365 khuyến nghị tăng cường kiểm soát truy cập vật lý bằng cách:

  • Nâng cấp hệ thống kiểm soát truy cập bằng sinh trắc học như vân tay hoặc quét mống mắt
  • Thực thi chính sách “không thẻ, không vào”
  • Yêu cầu khách phải được nhân viên đưa đi có người đi kèm và đăng ký
  • Cải thiện độ phủ và chất lượng của hệ thống giám sát video
  • Đào tạo cho nhân viên về nhận thức an ninh và báo cáo các sự cố

2. Sử dụng biện pháp kiểm soát sinh trắc học (biometrics)

    • Biometric controls là các dạng kiểm soát truy cập nâng cao dựa vào các đặc điểm cơ thể, chẳng hạn như vân tay hoặc mống mắt.
    • Đặc điểm sinh học là duy nhất để có thể dựa vào chúng làm biện pháp kiểm soát truy cập và công nghệ đủ chính xác để triển khai một cách đáng tin cậy.
    • Các ví dụ thường ngày được sử dụng để mở khóa thiết bị bao gồm:
    • Máy quét vân tay trong máy tính xách tay
    • Các tính năng nhận dạng khuôn mặt trong điện thoại thông minh

    Ví dụ: Đội ngũ Pentest của Security365 đánh giá cao việc comptia.academy đã triển khai hệ thống kiểm soát truy cập sinh trắc học tại phòng lab an ninh. Cửa vào chỉ có thể được mở bằng cách quét vân tay và mống mắt của nhân viên được ủy quyền, cung cấp xác thực đa yếu tố mạnh mẽ. Tuy nhiên, họ khuyến nghị thêm một số cải tiến:

    • Sử dụng cảm biến nhiệt để phát hiện các nỗ lực giả mạo bằng mẫu giả (ví dụ: vân tay giả)
    • Triển khai phát hiện sống (liveness detection) cho nhận dạng khuôn mặt để ngăn chặn spoofing bằng ảnh hoặc video
    • Mã hóa an toàn dữ liệu sinh trắc học và chỉ cho phép truy cập dựa trên nhu cầu
    • Thường xuyên cập nhật và vá lỗi hệ thống để sửa các lỗ hổng

    3. Sử dụng giám sát video

      Giám sát video theo dõi hoạt động bằng camera.

      Công nghệ như các tính năng kết nối Wi-Fi hoặc Internet có thể gây ra các vấn đề và lỗ hổng tiềm ẩn. Tấn công Wi-Fi có thể:

      Ngắt kết nối camera khỏi mạng và mất nguồn cấp video

      Cung cấp cho kẻ tấn công thông tin quan trọng về hoạt động bên trong và sau đó được sử dụng để chuyển hướng để điều hướng mạng hoặc thực hiện các cuộc tấn công khác.

      • Thực hành tốt nhất liên quan đến việc sử dụng kết nối có dây, phân đoạn mạng và vá lỗi phần sụn của camera.

      Ví dụ: Đội ngũ Pentest của Security365 kiểm tra hệ thống camera giám sát của comptia.academy và phát hiện một số vấn đề:

      • Một số camera được kết nối qua Wi-Fi không an toàn và dễ bị nghe lén hoặc giả mạo
      • Firmware của camera đã lỗi thời và chứa lỗ hổng đã biết
      • Camera nằm trong cùng mạng như các thiết bị khác, tạo rủi ro lan truyền nếu bị xâm phạm

      Họ đưa ra các khuyến nghị sau:

      • Kết nối tất cả camera thông qua kết nối Ethernet bảo mật và mã hóa
      • Tạo VLAN riêng cho camera và kiểm soát lưu lượng chặt chẽ đến/đi từ VLAN đó
      • Thường xuyên cập nhật firmware của camera lên phiên bản mới nhất
      • Bật xác thực và mã hóa mạnh cho quyền truy cập vào camera
      • Giám sát và ghi lại tất cả các hoạt động truy cập camera

      D. Tổng kết
      Báo cáo của Đội ngũ Pentest Security365 cho comptia.academy chứa đầy đủ các khuyến nghị để khắc phục các lỗ hổng an ninh mạng đã phát hiện. Các khuyến nghị này bao gồm:

      • Các biện pháp kiểm soát kỹ thuật như tăng cường bảo mật hệ thống, kiểm duyệt dữ liệu đầu vào, xác thực đa yếu tố, mã hóa mật khẩu, khắc phục quy trình, quản lý bản vá, luân chuyển khóa, quản lý chứng chỉ số, giải pháp quản lý bí mật và phân đoạn mạng.
      • Kiểm soát hành chính và vận hành như triển khai chính sách, thủ tục, kiểm soát truy cập dựa trên vai trò, thực thi yêu cầu mật khẩu tối thiểu, bảo mật vòng đời phát triển phần mềm, tránh các phương pháp lập trình không an toàn, quản lý thiết bị di động, biện pháp an ninh cho con người và các cân nhắc hoạt động khác.
      • Kiểm soát vật lý như kiểm soát truy cập vào tòa nhà, sử dụng biện pháp sinh trắc học và giám sát video.

      Những khuyến nghị này được đưa ra với mục đích là giúp tổ chức giảm thiểu rủi ro, tuân thủ các tiêu chuẩn ngành, bảo vệ tài sản thông tin quan trọng và cuối cùng là cho phép kinh doanh phát triển một cách an toàn.

      Tuy nhiên, bảo mật là một hành trình liên tục chứ không phải một điểm đến. comptia.academy cần cam kết thực hiện công tác an ninh mạng một cách có hệ thống và lâu dài. Điều này đòi hỏi nguồn lực thích hợp, sự hỗ trợ của lãnh đạo, nâng cao nhận thức của nhân viên và cải tiến không ngừng. Thông qua hợp tác chặt chẽ với đối tác tin cậy như Security365, comptia.academy có thể xây dựng một chương trình an ninh thông tin vững mạnh, linh hoạt và hiệu quả để bảo vệ doanh nghiệp trước các mối đe dọa an ninh mạng ngày càng phát triển.

      Bài trình bày này cung cấp một cái nhìn toàn diện về các biện pháp khắc phục an ninh mạng hiệu quả, với những ví dụ và kịch bản cụ thể. Nó dựa trên nội dung của CompTIA PenTest+ Exam PT0-002 và thể hiện kinh nghiệm thực tế của các chuyên gia an ninh mạng. Hy vọng nó sẽ hữu ích cho những ai muốn mở rộng kiến thức và kỹ năng của mình trong lĩnh vực quan trọng này.

      Chúc bạn có một hành trình học tập an ninh mạng thú vị và nhiều thành công!

      Bình luận về bài viết này