Đánh giá an toàn thông tin là một trong những hoạt động quan trọng và định kỳ của bất kỳ cơ quan tổ chức nào hiện nay (tất nhiên trừ những đơn vị hoàn toàn không có sự tham gia của CNTT trong vận hành và sản xuất). Kiểm thử xâm nhập là một phần trong Đánh giá An toàn thông tin. Trong bài viết dưới đây, tôi có tập hợp và đưa ra một quy trình Đánh giá an toàn thông tin kiểu mẫu dùng để tham khảo khi cần. Bài viết này được tổng hợp và viết dựa trên kinh nghiệm làm việc cá nhân, do đó không tránh khỏi thiếu sót, đặc biệt, các chính sách không phải là chung nhất cho bất kỳ cơ quan, tổ chức nào.
Đánh giá An toàn thông tin
Khái niệm
- Theo NIST: đánh giá an toàn hệ thống thông tin (information security assessment) là quy trình xác định tính hiệu quả của một thực thi được đánh giá (ví dụ như máy tính, hệ thống, mạng, quy trình vận hành, con người … ) đáp ứng các mục tiêu an ninh cụ thể.
- Tập trung vào 3 phương pháp chính: kiểm thử (testing), kiểm tra (examination), phỏng vấn (interviewing).
- Theo SANS: đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin.
- Dựa trên việc xác định các rủi ro, trong đó tập trung vào xác định điểm yếu và các tác động tới hệ thống.
- Đánh giá an toàn dựa trên 3 phương pháp chính có liên quan đến nhau là: rà soát (reviewing), kiểm thử (testing), kiểm tra (examination).
- Rà soát: bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏng vấn. Thường được thực hiện thủ công.
- Kiểm tra: xem xét cụ thể tại tổ chức từ mức hệ thống/mạng để xác định các điểm yếu an ninh tồn tại trong hệ thống.
- Kiểm thử: đóng vai trò như kẻ tấn công. Thực hiện các phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ thống hoặc mạng.
Tầm quan trọng
- Xác định mức độ an ninh hiện tại của hệ thống thông tin trong một tổ chức.
- Có cái nhìn toàn diện về các mối nguy hại tồn tại trong hệ thống mạng.
- Có các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận các mục tiêu an ninh.
- Giảm thiểu các rủi ro.
- Là cơ sở để trả lời các câu hỏi:
- Các thông tin quan trọng là gì?
- Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh nào?
- Tình hình an ninh thông tin hiện tại là như thế nào?
- Có cần bổ sung các biện pháp để đối phó với vấn đề đảm bảo an ninh thông tin hay không?
- Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn thông tin một cách đầy đủ nhất?
Thuật ngữ và viết tắt
Tên thuật ngữ / viết tắt | Chi tiết | Ghi chú |
NIST | National Institute of Standards and Technology | Viện tiêu chuẩn và công nghệ quốc gia (Hoa Kỳ) |
SANS | Công ty tư nhân về bảo mật và an toàn thông tin Hoa Kỳ. | Viện nghiên cứu và đào tạo về phòng thủ mạng và không gian mạng, kiểm tra khả năng xâm nhập, ứng phó sự cố, pháp y kỹ thuật số và kiểm toán thông tin. |
rootkit, bot, trojan horse, spyware | Tên riêng của các dạng mã độc gây hại đến hệ thống máy tính và người dùng cuối. | |
IDS | Intrusion Detection System. | Hệ thống phát hiện xâm nhập. |
IPS | Intrusion Prevention System. | Hệ thống ngăn chặn xâm nhập. |
ROE | Lợi ích dựa trên tài nguyên. | |
FIPS | Tiêu chuẩn xử lý thông tin liên bang Hoa Kỳ. | Các tiêu chuẩn xử lý thông tin liên bang Hoa Kỳ được công bố bởi NIST. |
AV | Anti virus. | Ngăn ngừa mã độc. |
TCP/UDP | Tập hợp các giao thức truyền tin. Kiểu truyền tin. | |
Wifi, Router, Modem, Switch. | Các thiết bị mạng chuyên trách trong môi trường. | |
OWASP | Open Web Application Security Project. | Dự án bảo mật ứng dụng Web nền tảng mở. Một dự án của cộng đồng phi lợi nhuận. |
Các Kỹ Thuật Đánh Giá
Kỹ thuật rà soát
- Là kỹ thuật kiểm tra được dùng để đánh giá hệ thống, ứng dụng, mạng, chính sách, thủ tục.
- Bao gồm:
- Rà soát tài liệu.
- Rà soát nhật ký.
- Rà soát chính sách.
- Rà soát cấu hình hệ thống.
- Thăm dò mạng …
Kỹ thuật phân tích và xác định mục tiêu
- Xác định hệ thống, các cổng, dịch vụ và các lỗ hổng.
- Bao gồm:
- Thăm dò – Phát hiện mạng.
- Nhận dạng cổng và dịch vụ mạng.
- Quét lỗ hổng.
- Quét mạng không dây.
- Kiểm tra an toàn ứng dụng.
Kỹ thuật xác định điểm yếu mục tiêu
- Xác định sự tồn tại của các lỗ hổng trong hệ thống. Bao gồm:
- Bẻ mật khẩu.
- Kiểm thử xâm nhập.
- Tấn công phi kỹ thuật (lừa đảo, rò rỉ thông tin).
- Kiểm thử an toàn ứng dụng.
So Sánh Kiểm Tra & Kiểm Thử
Kiểm tra | Kiểm thử |
Xem xét các tài liệu, quy trình, thủ tục để đảm bảo mọi thứ thực hiện theo đúng mục tiêu đề ra. | Thử nghiệm các thử nghiệm tới hệ thống và mạng để xác định các lỗ hổng an toàn. |
Ví dụ: xem xét chính sách của tường lửa, xem xét thủ tục đảm bảo an toàn trong đặt mật khẩu… | Ví dụ: kiểm thử xâm nhập hệ thống, kiểm thử xâm nhập hệ thống ứng dụng web, kiểm thử xâm nhập mạng wireless… |
Không ảnh hưởng tới hệ thống mạng thực tế. | Có thể ảnh hưởng tới hệ thống hoặc mạng thực tế. |
Có một cái nhìn toàn diện về hệ thống mạng đánh giá. | Không có cái nhìn toàn diện về hệ thống mạng đánh giá. |
Đòi hỏi sự phối hợp của nhiều người, nhiều bộ phận. | Chỉ cần sự phối hợp của ban lãnh đạo và bộ phận quản trị mạng |
Kỹ Thuật Rà Soát
Rà soát hệ thống
- Là việc kiểm tra các quy trình áp dụng chính sách, thủ tục theo các tiêu chuẩn, quy định nhằm:
- Tìm ra những kẽ hở và điểm yếu có thể ảnh hưởng tới kiểm soát an ninh của hệ thống.
- Tinh chỉnh các kỹ thuật kiểm tra và kiểm thử khác.
- Bao gồm:
- Kiểm tra chính sách bảo mật.
- Kiểm tra kiến trúc, yêu cầu, các quy trình hoạt động chuẩn.
- Kiểm tra các kế hoạch đảm bảo an toàn hệ thống.
- Kiểm thử các bản ghi chép về những thỏa thuận và hợp đồng về việc liên kết hệ thống.
- Kiểm tra kế hoạch phản ứng sự cố.
- Kiểm tra lại tài liệu không thể đưa ra kết luận các kiểm soát an ninh có vấn đề mà nó chỉ là một hướng tìm kiếm nhằm hỗ trợ cơ sở hạ tầng an ninh hệ thống.
Rà soát nhật ký
- Là việc kiểm tra lại các nhật ký nhằm:
- Kiểm tra tính chính xác của việc ghi nhật ký.
- Xác nhận rằng hệ thống đang hoạt động theo đúng các chính sách của tổ chức.
- Bao gồm:
- Rà soát nhật ký tường lửa.
- Rà soát nhật ký IDS.
- Rà soát nhật ký máy chủ.
- Rà soát nhật ký trên các thiết bị mạng.
- Rà soát nhật ký nên được thực hiện thường xuyên.
- Với hệ thống mạng có quy mô nhỏ, không có nhiều dữ liệu cần bảo vệ thì nên rà soát 1 tháng 1 lần.
- Với hệ thống mạng quy mô lớn, có nhiều tài nguyên quan trọng nên rà soát hàng ngày hoặc hàng tuần.
- Một số thông tin nhật ký hữu dụng khi thực hiện đánh giá:
- Nhật ký của tường lửa và bộ định tuyến ghi chép lại các kết nối từ mạng nội bộ ra bên ngoài mà có tiềm năng là những kết nối của các thiết bị độc hại từ bên trong (ví dụ: rootkit, bot, trojan horse, spyware).
- Nhật ký tường lửa về những thông tin kết nối không thành công và những nỗ lực truy cập trái phép.
- Nhật ký ứng dụng ghi chép lại những nỗ lực kết nối trái phép, thay đổi tài khoản, sử dụng đặc quyền và sử dụng những thông tin của CSDL hoặc ứng dụng.
- Nhật ký của các phần mềm phòng chống virus ghi chép những cập nhật thất bại, hoặc những phần mềm đã lỗi thời.
- Nhật ký bảo mật trong quản lý bản vá lỗi cụ thể nào đó hoặc trong hệ thống IDS/IPS có thể ghi chép lại những thông tin về những hệ thống dịch vụ và ứng dụng mà chưa được biết đến.
Rà soát chính sách
- Chính sách là tập hợp các quy tắc mà hệ thống hoặc mạng so sánh để quyết định nên làm gì hoặc hành động nào được chấp thuận.
- Ví dụ:
- Chính sách tường lửa: cho phép hoặc từ chối một gói dữ liệu khi đi qua.
- Chính sách IDS: cảnh báo khi có xâm nhập bất hợp pháp tới hệ thống.
- Chính sách AV: xóa file khi xác định có chứa mã độc.
- Rà soát Chính sách nhằm:
- Tìm ra những lỗi hoặc lỗ hổng bảo mật trên các thiết bị an ninh: lỗ hổng bảo mật mạng, các vi phạm chính sách.
- Tìm ra các thiếu sót hoặc không hiệu quả làm ảnh hưởng đến hiệu suất của bộ luật.
- Bao gồm:
- Bộ luật thiết đặt cho tường lửa.
- Luật thiết đặt cho hệ thống IDS/IPS.
- Luật điều khiển, kiểm soát truy cập trên bộ định tuyến…
- Đối với danh sách điều khiển truy cập trên bộ định tuyến:
- Chỉ giữ lại những luật cần thiết. Ví dụ những luật được thiết lập với mục đích tạm thời phải được gỡ bỏ ngay sau khi không cần tới.
- Mặc định từ chối tất cả những lưu lượng mạng, chỉ cho phép những lưu lượng đã được cấp quyền theo chính sách được truy cập.
- Đối với tường lửa:
- Chỉ giữ lại những luật cần thiết.
- Luật thực thi việc truy cập đặc quyền tối thiểu.
- Tạo những luật cụ thể trước rồi tạo một luật chung sau.
- Không nên mở những cổng không cần thiết để thắt chặt an ninh.
- Các luật được thiết lập không cho phép các truy cập vượt qua các rào cản an ninh khác.
- Đối với hệ thống IDS/IPS:
- Những mẫu (signature) không cần thiết cần phải được vô hiệu quá hoặc gỡ bỏ.
- Những mẫu cần thiết phải được kích hoạt, chỉnh sửa và bảo trì hợp lý.
Rà soát nhật ký
- Là một quá trình kiểm tra nhằm:
- Xác định những dịch vụ hoặc ứng dụng không cần thiết.
- Xác định các tài khoản người dùng và thiết lập mật khẩu không hợp lý.
- Xác định những thiết lập sao lưu và đăng nhập không phù hợp.
- Kiểm tra thông qua những file cấu hình hệ thống đã được lưu trữ sẵn trong các tập tin khác nhau trong các hệ điều hành.
- Ví dụ:
- Hệ điều hành Windows: nơi lưu trữ file cấu hình hệ thống: “windows security policy settings”.
- Hệ điều hành Linux/Unix: nơi lưu trữ file cấu hình hệ thống: /etc.
Khám Phá Mạng & Kiểm Thử
- Là việc phát hiện những máy chủ, máy trạm, thiết bị mạng đang hoạt động trong một mạng.
- Có hai phương pháp khám phá mạng là khám phá thụ động và khám phá chủ động.
Khám phá thụ động | Khám phá chủ động | |
Nội dung |
Sử dụng công cụ dò quét mạng và theo dõi: lưu lượng mạng, các địa chỉ IP của những máy đang hoạt động, cách thức kết nối, xử lý thông tin trên mạng, tần suất liên lạc giữa các máy trong mạng.Được thực hiện từ một máy tính trong mạng nội bộ. |
Sử dụng công cụ tự động gửi trực tiếp các gói tin mong muốn (TCP, ICMP, UDP) tới các máy chủ để: xác định các máy chủ, máy trạm, trạng thái hoạt động của các máy, xác định cổng mạng và trạng thái hoạt động của các cổng, xác định hệ điều hành đang chạy. |
Ưu điểm |
Không ảnh hưởng tới hoạt động của mạng |
Mất ít thời gian để thu thập thông tin.Có thể thực hiện khám phá mạng từ một mạng khác mạng khám phá. |
Nhược điểm |
Tốn thời gian để thu thập thông tin.Không phát hiện được các thiết bị mạng hoặc máy chủ/ máy trạm không thực hiện nhận hoặc gửi gói tin trong khoảng thời gian giám sát. |
Có thể gây nhiễu hoặc trễ mạng.Có thể kích hoạt các tính năng cảnh báo từ các thiết bị IDS hoặc các thiết bị an ninh khác.Thông tin có thể bị sai lệch. |
Xác định cổng và dịch vụ mạng
- Sử dụng công cụ dò quét để xác định các cổng, dịch vụ đang hoạt động.
- Quá trình truyền tin TCP: sử dụng quy tắc bắt tay 3 bước (tự nêu).
- Các phương pháp quét cổng:
- TCP connect: client gửi gói tin chứa SYN-flag và một thông số cổng nhất định tới server. Server trả về gói SYN/ACK: cổng mở, server gửi về gói RST: cổng đóng. Client gửi tiếp đến server một gói tin ACK+RST.
- Quét Stealth (quét một nửa): client gửi gói tin chứa cờ SYN và một thông số cổng nhất định tới server. Server trả về gói SYN/ACK: cổng mở, server gửi về gói RST: cổng đóng. Client gửi tiếp đến server một gói tin RST.
- Quét XMAS: client gửi những gói TCP với số cổng nhất định cần quét chứa nhiều thông số cờ như: FIN, URG, PSH tới server. Server gửi về gói RST: cổng đóng.
- Quét FIN: client chưa có kết nối tới server nhưng vẫn tạo ra gói FIN với số cổng nhất định gửi tới server. Server gửi về gói ACK: cổng mở, server gửi về gói RST: cổng đóng.
- Quét NULL: client gửi tới server những gói TCP với số cổng cần quét mà không chứa thông số cờ nào. Server gửi về gói RST: cổng đóng.
- Quét IDLE:
- Client gửi gói tin SYN/ACK tới mục tiêu là zombie để thăm dò số IPID.
- Zombie khi nhận được gói tin sẽ từ chối kết nối bằng cách gửi lại gói tin RST.
- Client gửi tới server một gói tin chứa cờ SYN kèm theo số hiệu cổng với địa chỉ IP là giả mạo địa chỉ IP của zombie.
- Zombie sau khi nhận được gói tin SYN/ACK sẽ gửi lại cho server gói tin RST với số IPID tăng thêm 1.
- Client gửi lại yêu cầu kết nối tới zombie với số IPID giống IPID đã thăm dò được từ trước.
- Zombie tiếp tục gửi trả lời lại gói tin RST kèm theo số IPID tăng thêm: IPID tăng 2: cổng mở, IPID tăng 1: cổng đóng.
- Quét UDP: client gửi gói tin ICMP request tới server. Server gửi về gói tin ICMP type 3 code 3 với nội dung là “unreachable”: cổng đóng.
- Xác định hệ điều hành:
- Dùng kỹ thuật fingerprinting.
- Tạo các kết nối TCP đến máy đích và dựa vào gói SYN/ACK để lấy thông tin về hệ điều hành.
- So sánh với CSDL.
Xác định điểm yếu mục tiêu với bẻ mật khẩu
- Bẻ mật khẩu là quá trình khôi phục mật khẩu từ các bảng băm mật khẩu: xác định tài khoản với các mật khẩu yếu.
- Các phương pháp bẻ mật khẩu:
- Dictionary Attack: một từ điển được đưa vào ứng dụng crack để xác định tài khoản.
- Brute Forcing Attack: thử kết hợp tất cả các ký tự cho đến khi tìm ra mật khẩu.
- Hybrid Attack: tương tự tấn công từ điển, nhưng thêm 1 vài số và ký tự.
- Syllable Attack: kết hợp tấn công từ điển và tấn công brute force.
- Rule-based Attack: được sử dụng khi đã có một số thông tin về mật khẩu.
Kiểm thử xâm nhập
- Kiểm thử xâm nhập là kiểm tra độ an toàn của hệ thống thông tin. Người đánh giá bắt chước những tấn công thực tế để phá vỡ các tính năng bảo mật của ứng dụng, hệ thống của mạng.
- Kiểm thử xâm nhập hữu ích cho việc xác định:
- Làm thế nào hệ thống cho phép các dạng tấn công phổ biến thực tế.
- Mức độ tinh vi của kẻ tấn công cần để làm tổn hại hệ thống.
- Biện pháp đối phó bổ sung có thể giảm thiểu các mối đe dọa đối với hệ thống.
- Khả năng phòng vệ để phát hiện các cuộc tấn công và phản ứng thích hợp.
- Cần có sự cho phép chính thức để tiến hành các kiểm thử xâm nhập trước khi bắt đầu:
- Các địa chỉ/ dải IP cụ thể được kiểm tra.
- Các máy chủ bị hạn chế.
- Một danh sách các kỹ thuật kiểm thử chấp nhận được và các công cụ.
- Thời gian kiểm thử được tiến hành.
- Xác định một thời hạn nhất định cho kiểm thử.
- Địa điểm liên lac cho các đội kiểm thử xâm nhập vào các hệ thống và mạng đích.
- Các biện pháp để ngăn chặn sự thực thi luật được gọi là các cảnh báo sai (được tạo ra bởi quá trình kiểm thử).
- Xử lý thông tin thu thập được bởi các nhóm kiểm thử xâm nhập.
Các pha kiểm thử:
- Khám phá:
- Thu thập thông tin: thông tin địa chỉ IP và tên máy chủ, tên nhân viên và thông ti liên hệ, thông tin hệ thống như tên và các chia sẻ, thông tin dịch vụ và ứng dụng.
- Xác định điểm yếu: dò quét cổng và dịch vụ, dò quét lỗ hổng.
- Tấn công:
- Giành quyền truy cập: thu thập thông tin từ giai đoạn khám phá để chính thức giành quyền truy cập vào mục tiêu.
- Leo thang đặc quyền: nếu chỉ dành được quyền truy cập của người dùng thì người kiểm thử sẽ cố gắng để lấy được quyền điều khiển hệ thống (truy cập cấp quản trị).
- Duyệt hệ thống: tiếp tục thu thập thông tin để xác định cơ chế làm việc của hệ thống và giành quyền truy cập vào những hệ thống khác nữa.
- Cài đặt thêm công cụ: cài thêm công cụ kiểm thử để có được thêm nhiều thông tin hoặc quyền truy cập hoặc là cả hai.
Phi kỹ thuật (Social engineering)
- Tấn công Phi kỹ thuật:
- Là việc thử lừa một người nào đó tiết lộ thông tin mà có thể được sử dụng để tấn công các hệ thống hoặc mạng.
- Ví dụ: tài khoản đăng nhập, mật khẩu…
- Kiểm thử sử dụng Phi kỹ thuật: Dùng để kiểm tra nhận thức của người dùng về vấn đề an ninh, và có thể bộc lộ điểm yếu trong hành vi người dùng.
- Cách thức thực hiện kiểm thử:
- Qua các cuộc hội thoại thực hiện trực tiếp.
- Qua điện thoại.
- Qua email, tin nhắn tức thời…
- Một hình thức của Phi kỹ thuật phổ biến là lừa đảo (phishing):
- Sử dụng email xác thực để yêu cầu thông tin.
- Hướng người dùng đến một trang web giả mạo để thu thập thông tin.
Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá
- Lựa chọn đánh giá viên:
- Đánh giá viên cần có kinh nghiệm, có kỹ thuật và chuyên môn sẽ giảm thiểu các rủi ro liên quan trong tiến hành kiểm thử an toàn.
- Kiến thức chuyên môn tốt về an ninh bảo mật và mạng máy tính, bao gồm an toàn mạng, tường lửa, hệ thống phát hiện xâm nhập, hệ điều hành, lập trình và các giao thức mạng (như TCP/IP).
- Làm việc nhóm.
- Tính đặc thù của hệ thống.
- Tính cập nhật của kiến thức, phương thức cũng như các công cụ phục vụ cho việc đánh giá.
- Trách nhiệm của đánh giá viên:
- Thông báo cho các bên liên quan về các hoạt động đánh giá an toàn an ninh.
- Phát triển xây dựng kế hoạch đánh giá.
- Thực thi việc kiểm tra, kiểm thử, thu thập các dữ liệu liên quan.
- Phân tích các dữ liệu được thu thập và đánh giá cơ bản.
- Thực hiện các kiểm tra và kiểm thử bổ sung khi cần thiết để xác nhận các hoạt động giản lược.
- Phối hợp với tổ chức được đánh giá.
- Đảm bảo các quyền được gán và duy trì các bản sao được ký duyệt của kế hoạch đánh giá.
- Ký kết và tuân thủ các thỏa thuận về không tiết lộ thông tin bí mật của tổ chức.
- Bảo vệ dữ liệu theo quy định của tổ chức, bao gồm việc xử lý, truyền nhận, lưu trữ và xóa tất cả các dữ liệu thu thập được cũng như các báo cáo kết quả.
- Lựa chọn vị trí:
- Khi thực hiện kiểm thử, đánh giá viên có thể làm việc tại chỗ hoặc từ xa.
- Đánh giá viên có thể yêu cầu các mức độ truy cập khác nhau tới mạng phụ thuộc vào công cụ mà họ sử dụng.
- Khi lựa chọn địa điểm cho hoạt động đánh giá, cần cân nhắc các rủi ro vốn có của việc sử dụng địa điểm bên ngoài.
- Lựa chọn tài nguyên và công cụ kỹ thuật:
- Hệ thống thông tin được phát triển để thực thi việc đánh giá an ninh cần đáp ứng các yêu cầu của loại hình đánh giá và các công cụ đánh giá được thực hiện.
- Ví dụ, đối với việc bẻ khóa mật khẩu, thường yêu cầu bộ nhớ và tốc độ tính toán cao, do đó đội kiểm thử có thể yêu cầu một máy chủ bẻ khóa mật khẩu chuyên dụng.
- Các công cụ nên được lấy từ các nguồn đáng tin cậy và đảm bảo.
- Người kiểm thử cần có các kiến thức, kinh nghiệm và sử dụng thành thạo tất cả các hệ điều hành trên hệ thống kiểm thử bởi vì các công cụ kiểm thử hoặc hệ thống kiểm thử có thể thường xuyên thay đổi.
- Phát triển và duy trì bản sao cơ sở để tiến hành cho kiểm thử.
- Đội kiểm thử di động cần có một bộ kit phù hợp gồm hệ thống, bản sao, công cụ bổ sung, cáp, máy chiếu và các thiết bị khác mà đội cần cho thực hiện kiểm thử tại các địa điểm khác nhau.
Xử Lý Dữ Liệu
- Xử lý dữ liệu đảm bảo bảo vệ dữ liệu nhạy cảm của tổ chức bao gồm kiến trúc hệ thống, cấu hình an toàn, các lỗ hổng hệ thống.
Thu thập dữ liệu
- Thông tin liên quan đến kiến trúc, cấu hình của mạng được đnahs giá, cũng như các thông tin liên quan đến hoạt động của đánh giá viên.
- Kiến trúc và cấu hình: tên hệ thống, địa chỉ IP, hệ điều hành, vị trí mạng vật lý và logic, cấu hình bảo mật và các lỗ hổng.
- Hoạt động đánh giá: nhật ký ghi lại từng bước hoạt động đánh giá.
Lưu trữ dữ liệu
- Bảo mật dữ liệu được thu thập trong suốt quá trình đánh giá bao gồm lỗ hổng, kết quả phân tích, đề xuất giảm thiểu là trách nhiệm của đánh giá viên:
- Kế hoạch đánh giá và ROE.
- Tài liệu về cấu hình an ninh hệ thống và kiến trúc mạng.
- Kết quả thu được từ các công cụ tự động và những phát hiện khác.
- Báo cáo kết quả đánh giá.
- Kế hoạch khắc phục và các mốc thời gian (POA&M).
- Việc truy cập tới thông tin lưu trên hệ thống phải được hạn chế phân quyền, và chỉ có những người có trách nhiệm và vai trò mới được phép truy cập.
- Dữ liệu này cũng cần được mã hóa theo chuẩn FIPS 140-2 để đảm bảo an toàn dữ liệu.
- Hệ thống đánh giá – như máy chủ, máy tính xách tay, các thiết bị di động cũng phải có những biện pháp bảo vệ về mặt logic và vật lý tại nơi hoạt động.
Truyền dữ liệu
- Phương pháp truyền dữ liệu nhạy cảm bao gồm việc mã hóa các tệp trên chứa dữ liệu nhạy cảm, mã hóa kênh thông tin tiêu chuẩn theo FIPS (VPN, SSL) và truyền các thông tin thông qua việc giao nhận các bản copy.
Hủy bỏ dữ liệu
- Khi các dữ liệu đánh giá không còn cần thiết, hệ thống đánh giá, các tài liệu sao lưu, các phương tiện cần phải được thu dọn sạch sẽ:
- Sắp xếp:
- Không khuyến khích với dữ liệu đa phương tiện.
- Thương thực hiện với những giấy tờ mà không chứa nội dung quan trọng.
- Làm sạch:
- Thu dọn dữ liệu để đảm bảo tính bí mật của dữ liệu khỏi các tấn công theo vết bàn phím.
- Tránh khôi phục từ các dữ liệu, các ổ đĩa hoặc các tiện ích khôi phục dữ liệu.
- Chống được các tấn công dựa vào bàn phím từ các thiết bị đầu vào hoặc các công cụ tìm kiếm.
- Một trong số các phương pháp được chấp nhận cho việc làm sạch thông tin là việc ghi đè dữ liệu (overwriting).
- Tẩy sạch:
- Quá trình thu dọn phương tiện là để bảo vệ tính bí mật của dữ liệu khỏi các tấn công.
- Với một số dữ liệu, việc làm sạch vẫn chưa đủ hiệu quả để che dấu.
- Ví dụ về việc làm sạch dữ liệu là thực thi các câu lệnh firmware Secure Arase (chỉ cho các ổ đĩa ATA – Advanced Technology Attachment) và khử từ.
- Tiêu hủy:
- Phá hủy vật lý các thiết bị để không có khả năng sử dụng giúp tránh thu được dữ liệu lưu trong đó.
- Phương pháp: đốt, đập nát, nung chảy, nghiền…
Lưu ý:
- Các tổ chức cần duy trì chính sách yêu cầu cho việc xử lý hủy bỏ hệ thống đánh giá.
- Chuẩn NIST SP 800-88 đưa ra một lược đồ luồng để hỗ trợ tổ chức trong việc xác định các phương pháp hủy bỏ dữ liệu áp dụng phù hợp từng hoàn cảnh.
- Các đánh giá viên từ bên thứ ba cũng cần hiểu yêu cầu hủy bỏ dữ liệu của các tổ chức có thể khác nhau và ở các bộ phận trong cùng tổ chức cũng có những yêu cầu khác nhau.
Lập Báo Cáo Sau Khi Đánh Giá
Thông tin về hệ thống
- Giúp biết được các thông tin chung về mục tiêu, địa điểm, đối tượng thực hiện.
- Căn cứ pháp lý khi có sự cố xảy ra:
- Địa điểm thực hiện đánh giá.
- Thời gian thực hiện đánh giá.
- Người thực hiện đánh giá.
- Người theo dõi đánh giá.
- Thông tin về hợp đồng đánh giá.
- Phiên bản báo cáo…
Cấu trúc hệ thống
- Các thông tin về sơ đồ cấu trúc hệ thống đánh giá.
- Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp các thông tin theo các mức độ rủi ro khác nhau:
- Mức độ nguy hại.
- Công cụ sử dụng (nếu có).
- Cách thức kiểm tra.
- Kết quả.
- Mô tả về nguy hại có thể xảy đến.
- Các khuyến cáo để phòng chống rủi ro.
Kiểm Định An Toàn Thông Tin
Khái niệm kiểm định an toàn thông tin
- Kiểm định an toàn hệ thống thông tin là thực hiện các kiểm tra, đánh giá về vấn đề an toàn, an ninh thông tin nhằm xác định mức độ đảm bảo an toàn thông tin của tổ chức.
- Là căn cứ khẳng định hệ thống đã đáp ứng được các điều kiện về an toàn.
Các dạng kiểm định an toàn thông tin
Kiểm định an toàn thông tin toàn bộ | Kiểm định an toàn thông tin một phần | |
Kiểm định toàn bộ các vấn đề về an toàn trong tổ chức |
Kiểm định giới hạn trong một phần nhất định của tổ chức | |
Ưu điểm |
Tiếp cận toàn diện hệ thống.Có một cái nhìn toàn diên về tình trạng an ninh thông tin của tổ chức |
Các kiểm tra diễn ra nghiêm ngặt hơn so với kiểm định toàn bộ |
Nhược điểm |
Đòi hỏi nhiều thời gian. Việc kiểm tra có thể không được thực hiện một cách kỹ lưỡng. |
Chỉ có một số hạn chế các đối tượng được kiểm tra. |
Quy trình kiểm định an toàn hệ thống thông tin
Giai đoạn | Công việc | Thời gian |
Bước 1 | Chuẩn bị kiểm định | 5% |
Bước 2 | Tạo kế hoạch kiểm định | 15% |
Bước 3 | Xem xét tài liệu | 20% |
Bước 4 | Kiểm thử trực tiếp | 35% |
Bước 5 | Đánh giá kết quả | 5% |
Bước 6 | Lập báo cáo kiểm định | 20% |
Bước 1: Chuẩn bị kiểm định
- Thực hiện tại thời điểm bắt đầu kiểm định.
- Các công việc cần thực hiện:
- Các bên liên quan thống nhất các điều khoản chung.
- Ký kết các thỏa thuận liên quan.
- Xác định đối tượng kiểm định, thời gian kiểm định, chuẩn bị hồ sơ tài liệu.
- Tài liệu: tài liệu tổ chức, tài liệu kỹ thuật.
Bước 2: Tạo kế hoạch kiểm định
- Chi tiết các công việc cần thực hiện trong toàn bộ quá trình kiểm định.
- Sử dụng trong suốt quá trình kiểm định.
- Thời gian thực hiện công việc:
Bước 3: Xem xét tài liệu
- Tiến hành kiểm tra, xem xét các tài liệu liên quan đến việc thực hiện an toàn hệ thống thông tin.
- Các công việc cần thực hiện:
- Xác định các nguy hại có thể xảy đến.
- Kiểm tra vấn đề áp dụng chính sách.
- Kiểm tra các nguy cơ đã xảy đến trong thời gian gần.
Bước 4: Kiểm tra trực tiếp
- Tiến hành kiểm tra tại mục tiêu.
- So sánh và kiểm tra lại các tài liệu được cung cấp với các điều kiện thực tế.
- Phương pháp kiểm tra:
- Phỏng vấn.
- Quan sát.
- Phân tích các tập tin (bao gồm cả dữ liệu điện tử).
- Kiểm tra kỹ thuật.
- Phân tích dữ liệu.
- Hỏi bằng văn bản.
Bước 5: Đánh giá kết quả
- Được thực hiện bởi nhóm kiểm toán hoặc các cơ quan có thẩm quyền.
- Kết quả đánh giá là cơ sở chứng nhận tính an toàn của mục tiêu đánh giá và là điểu kiện cấp chứng nhận đảm bảo an toàn thông tin.
Bước 6: Lập báo cáo kiểm định
- Trình bày chi tiết các thông tin liên quan đến quá trình thực hiện kiểm định.
- Thông tin chung về tài nguyên kiểm định.
- Quy trình thực hiện kiểm định.
- Kết quả kiểm định.
Chính sách tuân thủ yêu cầu bảo mật hệ thống mạng nội bộ
Các đánh giá yêu cầu bảo mật sử dụng máy tính:
Tiêu chí đánh giá | Kết quả |
Máy tính phải được cài đặt mật khẩu bảo vệ | |
Mật khẩu có độ dài tối thiểu 7 ký tự | |
Mật khẩu có đủ yếu tố ký tự: chữ thường (a-z), chữ hoa (A-Z), chữ số (0-9), ký tự đặc biệt (@#$%^&*) | |
Mật khẩu không liên quan đến thông tin công ty | |
Mật khẩu không liên quan đến thông tin cá nhân (số điện thoại, ngày sinh, số CMND, tên người dùng,…) | |
Mật khẩu không có các ký tự sắp xếp theo bàn phím (abc, 123, qwerty,…) | |
Không sử dụng mật khẩu mặc định khi được cấp tài khoản | |
Định kì thay đổi mật khẩu (tối thiểu 180 ngày/ 1 lần) | |
Máy tính cá nhân chỉ Trưởng Bộ phận và cá nhân sử dụng máy biết mật khẩu | |
Nếu chia sẻ, sử dụng chung mật khẩu với người khác phải được sự đồng ý của Trưởng bộ phận | |
Phần mềm chỉ được cài đặt và thay đổi bởi bộ phận IT | |
Sửa chữa máy và các thiết bị liên quan đến máy tính chỉ được thực hiện bởi bộ phận IT | |
Không chạy các đĩa CD, USB, HDD External nếu chưa qua kiểm duyệt mã độc bởi bộ phận CNTT | |
Thiết bị phải được kiểm tra định kỳ theo chu kỳ 1, 3, 6 tháng |
Các đánh giá tuân thủ bảo mật mạng nội bộ:
Tiêu chí đánh giá | Kết quả |
Tiến hành phân quyền cho người dùng để truy cập, chia sẻ file và thư mục (các quyền truy cập, xem, xóa, sửa,…) | |
Thư mục của mỗi phòng ban thì chỉ có nhân viên của phòng ban đó được toàn quyền trên thư mục | |
Khi chia sẻ dữ liệu của phòng ban mình ra ngoài phải có ý kiến của trưởng đơn vị |
Tuân thủ quy trình quản lý tài khoản của hệ thống thông tin:
Tiêu chí đánh giá | Kết quả |
Phải có email thông báo từ bộ phận quản trị nhân sự gửi đến IT để thông báo tạo tài khoản | |
Cung cấp đầy đủ thông tin để tạo tài khoản (họ và tên, mã số nhân viên) | |
Tài khoản được tạo ra theo định dạng của công ty | |
Cung cấp mật khẩu mặc định nhưng chủ tài khoản phải đổi ngay sau đó | |
Ghi lại đầy đủ thông tin ngày tạo tài khoản | |
Vô hiệu hóa các tài khoản đã ngưng sử dụng |
Chính sách tuân thủ yêu cầu bảo mật cơ sở hạ tầng hệ thống mạng
Tuân thủ các yêu cầu bảo mật vật lý hệ thống máy chủ:
Tiêu chí đánh giá | Kết quả |
Hệ thống được đặt trong phòng riêng | |
Trang bị điều hòa nhiệt độ | |
Trang bị phương tiện chữa cháy | |
Trang bị thiết bị giám sát nhiệt độ/ độ ẩm | |
Trang bị thiết bị báo khói, báo cháy tự động | |
Trang bị nguồn điện dự phòng | |
Trang bị đường mạng dự phòng | |
Trang bị camera giám sát truy cập phòng máy | |
Trang bị khóa vật lý / kiểm soát truy cập phòng máy | |
Trang bị thiết bị dự phòng thay thế khẩn cấp (Firewall, Router, AP..) | |
Có nhân viên chuyên trách quản trị phòng máy |
Quản lý và sử dụng thiết bị mạng: Firewall, Router, Wifi-AP:
Tiêu chí đánh giá | Kết quả |
Không sử dụng mật khẩu mặc định của thiết bị | |
Mật khẩu có độ dài tối thiểu 7 ký tự | |
Mật khẩu có đủ yếu tố ký tự: chữ thường (a-z), chữ hoa (A-Z), chữ số (0-9), ký tự đặc biệt (@#$%^&*) | |
Mật khẩu không liên quan đến thông tin công ty | |
Mật khẩu không liên quan đến thông tin cá nhân (số điện thoại, ngày sinh, số CMND, tên người dùng,…) | |
Mật khẩu không có các ký tự sắp xếp theo bàn phím (abc, 123, qwerty,…) | |
Không sử dụng mật khẩu mặc định khi được cấp tài khoản | |
Định kì thay đổi mật khẩu | |
Bố trí ở nơi phù hợp, dể quan sát, lắp đặt, sửa chữa | |
Thiết bị phải được kiểm tra hoạt động định kỳ theo chu kỳ 1, 3, 6 tháng |
Sao lưu dữ liệu và quản lý sao lưu:
Tiêu chí đánh giá | Kết quả |
Có ít nhất một bản sao lưu đầy đủ mọi dữ liệu | |
Dữ liệu lưu cũ nhất tối thiểu là 1 tuần làm việc | |
Dữ liệu sao lưu không đặt chung vào hệ thống cần sao lưu dữ liệu | |
Nơi lưu trữ dữ liệu sao lưu phải an toàn (chống cháy nổ, ngập nước,…) | |
Dữ liệu sao lưu cần được bảo mật tương tự dữ liệu đang sử dụng | |
Cho phép phục hồi từng phần trong dữ liệu đã sao lưu | |
Vị trí lưu trữ dữ liệu chính an toàn | |
Cách thức mã hóa dữ liệu | |
Phân quyền truy cập dữ liệu |
Chính sách kiểm tra thông tin dữ liệu rò rỉ
Tuân thủ quy định sử dụng thông tin công ty:
Tiêu chí đánh giá | Kết quả |
Không chia sẻ thông tin mật của công ty lên mạng | |
Không sử dụng địa chỉ mail của công ty để đăng ký các dịch vụ trên mạng | |
Không được cài đặt phần mềm khi chưa có sự đồng ý của IT | |
Không được phép chia sẻ tài khoản cá nhân của mình trong công ty cho bất kì người nào khác | |
Không download dữ liệu gây hại cho hệ thống | |
Không truy cập vào các trang mạng trong giờ làm việc | |
Không truy cập vào các trang web không rõ nguồn gốc | |
Không click vào những đường link lạ được gửi đến trong mail |
Kiểm tra, rà soát lỗ hổng hệ thống:
- Rà soát toàn bộ các lỗ hổng bảo mật trên máy chủ.
- Thực nghiệm tấn công giả lập vào hệ thống máy chủ theo các lỗ hổng bảo mật (nếu có)
- Xác định nguy cơ rò rỉ dữ liệu và cảnh báo sớm khủng hoảng.
- Quy chuẩn thực nghiệm và định dạng lỗ hổng: OWASP; CVE
Chi tiết các kết quả kiểm tra:
Thử nghiệm tấn công | Chi tiết | Các kết quả đánh giá |
Tấn công thử nghiệm trang web | Thực hiện tấn công thử nghiệm tính bảo mật của trang web, tìm lỗ hổng, tư vấn cách thức bảo mật. | |
Tấn công thử nghiệm máy chủ web, file, email… | Thực hiện tấn công thử nghiệm tính bảo mật của máy chủ dịch vụ web | |
Tấn công thử nghiệm phần mềm, ứng dụng. | Thực hiện tấn công thử nghiệm tính bảo mật, tìm lỗ hổng của các dịch vụ, ứng dụng. | |
Tấn công thử nghiệm từ chối dịch vụ. | Tấn công, đánh giá mức độ chịu đựng của hệ thống, ứng dụng khi chịu các cuộc tấn công từ chối dịch vụ quy mô nhỏ, vừa và lớn. | |
Tấn công dò quét tài khoản và mật khẩu | Thực nghiệm tấn công dò quét tài khoản và mật khẩu trên tất cả các cổng yêu cầu đăng nhập, bằng hình thức “vét cạn” để tìm ra điểm yếu trong thiết lập tài khoản và mật khẩu | |
Dò quét lỗ hổng hệ điều hành và khai thác lỗi | Thực nghiệm dò quét lỗ hổng hệ điều hành dựa trên cơ sở các phần mềm tự động phổ biến và các quy trình dò quét chiều sâu không thông qua công cụ. | |
Dò quét lỗ hổng dịch vụ VPN | Thực nghiệm dò quét lỗ hổng dịch vụ VPN, chuyển hướng hoặc sao chụp các gói dữ liệu thông qua VPN, thực hiện “vét cạn” tài khoản và mật khẩu chứng thực của VPN |
Mục tiêu đánh giá và phân loại
Hệ thống mạng
Thiết bị | Địa chỉ IP | Thời điểm đánh giá | Kết quả đánh giá |
Modem | |||
Router | |||
Switch | |||
Wifi | |||
IP-Camera | |||
VoiP | |||
Printer |
Hệ thống máy chủ
Máy chủ | Địa chỉ IP | Thời điểm đánh giá | Kết quả đánh giá |
Máy chủ 1 | |||
Máy chủ 2 | |||
Máy chủ 3 | |||
Máy chủ 4 | |||
Máy chủ 5 | |||
Máy chủ 6 |
Trang web và ứng dụng
Domain/Ứng dụng | Địa chỉ IP | Thời điểm đánh giá | Kết quả đánh giá |
Domain 1 | |||
Domain 2 | |||
Domain 3 | |||
Ứng dụng 1 | |||
Ứng dụng 2 | |||
Ứng dụng 3 |
Chỉ dẫn lập mục tiêu:
- Mục tiêu phải được mô tả đầy đủ, chính xác các thông tin quan trọng liên quan.
- Đối với hình thức Kiểm thử bảo mật, chỉ sử dụng và cung cấp các thông tin tối thiểu, bao gồm: Tên miền, địa chỉ IP tương ứng.
- Mô tả trạng thái hoạt động của mục tiêu. Đối với kiểm thử bảo mật, cần chỉ dẫn thực hiện trên mục tiêu được giả lập, không thực hiện trực tiếp trên hệ thống đang vận hành.
- Mô tả các hình thức kiểm thử tương ứng với từng mục tiêu cụ thể.
- Thời gian và quá trình thực hiện kiểm thử.
- Ghi nhận nhật ký và bảo mật thông tin nhật ký kiểm thử.
Thời gian, Thời điểm thực hiện đánh giá
Công việc | Duy trì | Bắt đầu | Kết quả |
Đọc nhật ký máy chủ | Hàng ngày | ||
Đọc nhật ký mạng | Hàng ngày | ||
Kiểm tra cập nhật | Hàng ngày | ||
Kiểm tra lỗ hổng | Hàng tuần | ||
Kiểm tra ổn định máy chủ | Hàng tháng | ||
Kiểm tra ổn định mạng | Hàng tháng | ||
Sao lưu dữ liệu máy chủ | Hàng tháng | ||
Sao lưu dữ liệu khách hàng | Hàng tháng | ||
Kiểm tra bảo mật Mạng | Mỗi 6 tháng | ||
Kiểm tra bảo mật máy chủ | Mỗi 6 tháng | ||
Kiểm tra bảo mật các cổng thông tin | Mỗi 6 tháng |
Đối tượng tham chiếu
Kiểm tra PC và Server:
- Kiểm tra bản cập nhật và bản vá bảo mật Hệ điều hành.
- Kiểm tra các dịch vụ, phần mềm được cài đặt.
- Kiểm tra tính hợp lệ các cổng mở.
- Kiểm tra tài khoản thiết lập, đặc tính tài khoản.
- Kiểm tra mã độc, khả năng hoạt động của ứng dụng chống mã độc nếu có.
Kiểm tra Thiết bị mạng: Router, Switch, Wifi:
- Kiểm tra cấu hình, thiết lập logic.
- Đánh giá mức độ bảo mật vật lý.
- Kiểm tra lỗ hổng bảo mật trên thiết bị.
- Kiểm tra dịch vụ, cổng dịch vụ mở.
- Kiểm tra tài khoản truy cập thiết bị, đặc tính tài khoản.
Kiểm tra Thiết bị Ngoại vi và IoT:
- Kiểm tra tính chính xác của thiết bị đang hoạt động.
- Kiểm tra tài khoản truy cập/quản trị thiết bị, đặc tính tài khoản.
- Kiểm tra lỗ hổng bảo mật của thiết bị.
- Kiểm tra bản cập nhật firmware của thiết bị.
Kiểm tra vật lý:
- Kiểm tra khả năng truy cập vật lý, phân quyền truy cập.
- Kiểm tra khoá vật lý, hệ thống giám sát vật lý.
- Đánh giá chính sách bảo mật vật lý và giám sát vật lý.
Kiểm tra bảo mật Thiết bị Di động:
- SmartPhone: Bao gồm iOS, Android OS …
- Kiểm tra theo hướng dẫn OWASP-Mobile: https://owasp.org/www-project-mobile-security-testing-guide/
- Kiểm tra can thiệp hệ thống: Root đối với Android, Jailbreak đối với iOS.
- Kiểm tra danh sách các ứng dụng được cài đặt, lọc các ứng dụng nghi ngờ.
- Phân tích quyền sử dụng tài nguyên của từng ứng dụng.
- Kiểm tra mã độc trên thiết bị.
Các kiểu tấn công thử nghiệm:
- Tấn công từ chối dịch vụ: Vô hiệu hoá máy chủ, máy khách, các dịch vụ triển khai. Làm nghẽn băng thông, làm chậm truy cập.
- Tấn công leo thang đặc quyền: Leo thang quyền truy cập từ cấp thấp lên cấp cao hơn, hoặc cao nhất trên hệ thống.
- Tấn công lừa đảo: Tạo các truy cập giả mạo, lừa đảo người dùng.
- Tấn công chạy mã từ xa thông qua lỗ hổng hệ điều hành, ứng dụng, dịch vụ hệ thống.
- Tấn công nghe lén thụ động, thu thập thông tin có lợi cho hacker.
- Tấn công nghe lén chủ động, thu thập thông có lợi cho hacker, điều hướng truy cập để lừa đảo.
- Tấn công vét cạn (brute force) nhằm tìm ra thông tin về username và password trong các khu vực cần chứng thực. Đối với tấn công vét cạn sẽ có giới hạn về thời gian thực nghiệm và số lượng truy vấn thành công.
Kiểm tra bảo mật Web và Ứng dụng Web
Website | https://ANNINHMANG.PRO |
Điều kiện kiểm tra | Bất kỳ aiTài khoản AdminsTài khoản Users |
Kiểm Tra Chịu Tải | Kiểm tra chịu tải và các khả năng chống Dos/Ddos |
Kiểm tra xác thực người dùng | Kiểm tra thông tin xác thực được truyền đi. |
Kiểm tra thông tin đăng nhập mặc định. | |
Thử nghiệm các khả năng khai thác mật khẩu yếu. | |
Kiểm tra chức năng ghi nhớ mật khẩu. | |
Thử nghiệm thay đổi mật khẩu yếu hoặc tái cấu trúc chức năng. | |
Kiểm tra ủy quyền | Phân quyền người dùng. |
Khả năng leo thang đặc quyền. | |
Khả năng chiếm dụng tài khoản. | |
Khả năng đánh cắp phiên người dùng. | |
Khả năng thay đổi thông tin tài khoản trái phép. | |
Khả năng đăng tin vượt quyền. | |
Khả năng can thiệp, thay đổi, xóa dữ liệu người dùng khác. | |
Kiểm tra quản lý phiên | Kiểm tra thuộc tính của Cookie (nếu có) |
Thử nghiệm các phiên làm việc. | |
Kiểm tra thử nghiệm đối với các biến của phiên. | |
Thử nghiệm chức năng đăng xuất phiên. | |
Kiểm tra thời gian chờ của phiên. | |
Kiểm tra xác thực thông tin đầu vào. | Kiểm tra các hành động HTTP giả mạo. |
Thử nghiệm SQL injection. | |
Kiểm tra máy chủ cơ sở dữ liệu. | |
Thử nghiệm tiêm mã, lệnh chức năng. | |
Thử nghiệm khả năng để lộ tệp/thư mục cục bộ. | |
Kiểm tra khả năng tràn bộ đệm. | |
Kiểm tra định dạng chuỗi. | |
Kiểm tra khả năng xử lý các yêu cầu HTTP được gửi đến. | |
Kiểm tra ảnh hưởng phía máy khách. | Kiểm tra DOM based XSS. |
Kiểm tra thực thi Javascript | |
Thử nghiệm HTML injection | |
Kiểm tra chuyển hướng URL phía máy khách | |
Thử nghiệm CSS injection. | |
Thử nghiệm Clickjacking | |
Kiểm tra tài nguyên và bộ nhớ máy khách. | |
Kiểm tra lỗ hổng Máy chủ dịch vụ | Kiểm tra lỗ hổng Máy chủ dịch vụ Web/Database. |
Kiểm tra cấu hình máy chủ. |
Tiêu chuẩn tham chiếu & công cụ hỗ trợ
Tiêu chuẩn tham chiếu:
- Tham chiếu theo chính sách nội bộ của Tổ chức/Cơ quan.
- Tham chiếu theo chính sách được Tư Vấn hoặc của tổ chức Tư Vấn.
- Đối với Web và Ứng dụng Web, tham chiếu theo Top 10 – OWASP. https://owasp.org/www-project-top-ten/
- Đối với thiết bị di động, tham chiếu theo Top 10 Mobile – OWASP. https://owasp.org/www-project-mobile-security-testing-guide/
- Tiêu chuẩn Bảo mật ISO/IEC 27002.
Công cụ hỗ trợ:
- Điều tra: nmap, masscan, netdiscover, OWASP-ZAP, Tenable-Nessus.
- Thu thập: nmap, OSINT, Maltego, OWASP-ZAP, Tenable-Nessus.
- Thử nghiệm: Metasploit, RouterSploit, PhoneSploit, PRET, Burp-Suite.
Tiêu chuẩn cho bản Báo cáo:
- Thông tin thu thập được theo các Credential.
- Đánh giá các lỗ hổng bảo mật phát hiện được theo khung đánh giá như sau:
- Mức Nghiêm Trọng – Các lỗ hổng bảo mật chỉ cần duy nhất một điều kiện để khai thác. Lỗ hổng có khả năng thâm nhập sâu vào hệ thống và cho phép trích xuất bất kỳ dữ liệu nào. Lỗ hổng có thể được lợi dụng để tấn công nội bộ các hệ thống khác bên trong. Lỗ hổng ảnh hưởng trực tiếp đến sản xuất kinh doanh (gây đình trệ hoặc gián đoạn hoạt động sản xuất kinh doanh trong thời gian trên 5 phút)
- Mức Cao – Các lỗ hổng bảo mật cần nhiều hơn hai điều kiện để khai thác thành công. Lỗ hổng cho phép trích xuất toàn bộ hoặc một phần dữ liệu trên hệ thống. Lỗ hổng có thể lợi dụng để tấn công các hệ thống khác chung mạng.
- Mức Trung Bình – Các lỗ hổng cần rất nhiều điều kiện để khai thác, hoặc có sự tác động của thao tác người dùng. Lỗ hổng cho phép trích xuất một phần dữ liệu của hệ thống. Lỗ hổng có thể được lợi dụng để tấn công các hệ thống khác, hoặc được xem như là một điều kiện tấn công của một lỗ hổng khác.
- Mức Thấp – Các lỗ hổng cần rất nhiều các điều kiện khó khăn để có thể thực nghiệm tấn công. Lỗ hổng cho phép trích xuất dữ liệu giới hạn, hoặc không thể trích xuất dữ liệu. Lỗ hổng cũng không thể dùng làm điều kiện để thực hiện các tấn công cấp cao hơn. Các dạng rò rỉ thông tin mặc định được xem là lỗ hổng mức thấp.
- Trong bản báo cáo cần trình bày theo các tiêu chí như sau:
- Lỗ hổng – Mức độ lỗ hổng – Tên mã lỗ hổng theo quy ước quốc tế.
- Văn bản hình ảnh hoặc video tái tạo lỗ hổng (PoC)
- Vị trí (link) của lỗ hổng.
- Đề xuất phương án khắc phục lỗ hổng.
- Bản thuyết minh cho báo cáo.
- Tái đánh giá sau khi đã trình bày báo cáo và đã có hướng dẫn khắc phục.
Bộ Công Cụ (Tham Chiếu)
- Thu thập thông tin, thăm dò, rà soát mạng, kiểm tra lỗ hổng tự động.
- Nmap.
- Nessus.
- Maltego.
- Core Impact.
- Thăm dò, kiểm tra lỗi, thu thập PoC
- RouterSploit.
- MetaSploit.
- BurpSuite Pro.
- Kiểm tra lỗ hổng Web – Ứng dụng Web tự động
- BurpSuite Pro.
- AppScan.
- AppSpider.
- Netsparker.
Nguồn tham khảo
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ – https://www.nist.gov/
Tổ chức tiêu chuẩn hóa quốc tế – https://www.iso.org/home.html
Viện SANS – https://www.sans.org/apac/