Minh Họa Các Kiểu Đe Dọa Và Biện Pháp Kiểm Soát An Toàn

của hệ thống, lỗ hổng là những kẽ hở hay những con đường mà kẻ tấn công có thể dùng để tấn công vào hệ thống. Lỗ hổng có thể là những kẽ hở trong hệ thống phòng bị của tổ chức, điểm yếu trong ứng dụng, vấn đề trong quy trình bảo mật an ninh, trong bản thiết kế, trong các quy trình kiểm soát của tổ chức để dựa vào đó có thể gây nên các vấn đề của hệ thống.

Xác định các nguồn và mục tiêu của mối đe dọa:

Khi phòng chống các kiểu tấn công gây mất an toàn và bảo mật thông tin cho tổ chức, cần phải hiểu nguyên tắc, cách thức để đưa ra giải pháp phù hợp cho các cách thức. Xác định được vấn đề cần giải quyết trong quy trình kiểm soát an ninh của tổ chức sẽ đưa ra được chiến lược phù hợp với hiện trạng của tổ chức.

Các nguồn và mục tiêu của các mối đe dọa thường chia vào các nhóm:

+ Phòng ngừa (Preventative) nhằm ngăn chặn các mối đe dọa trước khi bị khai thác một lỗ hổng

+ Phát hiện (Detective) nhằm khám phá và cung cấp thông tin về các cuộc tấn công hoặc lạm dụng khi chúng xảy ra

+ Ngăn chặn (Deterrent) nhằm ngăn cản các cuộc tấn công bên ngoài và vi phạm chính sách người trong cuộc

+ Khắc phục (Corrective) nhằm khôi phục sự toàn vẹn của dữ liệu hoặc tài sản của tổ chức

+ Phục hồi (Recovery) nhằm khôi phục sự sẵn có của một dịch vụ để hệ thống có thể quay trở lại hoạt động hiệu quả

+ Bồi thường (Compensative) nhằm đưa ra các chiến lược an ninh và các giải pháp bảo vệ tức thời khi hệ thống an ninh vừa bị thất bại.

Bảng 2.1. Minh họa các kiểu đe dọa và biện pháp kiểm soát an toàn

Vật lý	Hành chính	Kỹ thuật	Thực thi	Thực tế
Phòng chống	Khóa		Tường lửa, Hệ thống phát hiện xâm nhập	Bảo vệ thực hiện kiểm tra	Lập danh sách các truy cập
Phát hiện	Dùng máy theo dõi		Hệ thống phát hiện xâm nhập, Danh mục đăng nhập, hệ thống giám sát an ninh	Kiểm tra thường xuyên
Ngăn chặn	Bảng thông báo, hàng rào	Chính sách bảo vệ	Các cảnh báo	Bảo vệ và hệ thống theo dõi	Cập nhật danh sách cảnh báo thường xuyên
Khắc phục		Hình phạt cho nhân viên	Sa thải nếu vi phạm quá nghiêm trọng
Phục hồi			Sao lưu dự phòng	Lập kế hoạch kiếm soát sao lưu
Bồi thường			Thực hiện thủ công

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

Dựa trên các nguyên nhân gây nên các mối đe dọa, hệ thống cần đưa ra các giải pháp phù hợp để đảm bảo hoạt động ổn định, thông thường các giải pháp sẽ bao gồm biện pháp vật lý, biện pháp hành chính, các hệ thống điều khiển kiểm soát, các hoạt động cần tiến hành, đưa ra các hoạt động dự kiến nếu có.

Việc xác định rõ các kiểu tấn công vào lỗ hổng của hệ thống thông tin giúp nhà quản trị có thể đưa ra được các giải pháp phòng tránh phù hợp.

Các kiểu mã độc di động (Malicious mobile code): Có ba kiểu mã độc được thừa nhận có khả năng gây nhiều nguy cơ cho hệ thống thông tin

trong tổ chức là: virus, sâu và trojan. Vòng đời của mã độc di động thường có bốn giai đoạn là: Tìm mục tiêu - Khai thác - Lây nhiễm - Lặp lại quy trình. Không giống như một đối tác của con người, các mã độc không cần phải nghỉ ngơi hoặc ăn uống, chúng thực thi tấn công liên tục hàng phút, hàng giây và liên tục lặp lại quy trình. Vì vậy đây là một mối đe dọa không hề nhỏ trong kiểm soát an ninh của hệ thống thông tin.

Các mối đe dọa thường xuyên nâng cao (Advanced Persistent Threats - APTs): APTs thường là các chương trình tấn công của các đối thủ cạnh tranh hoặc các phần mềm độc hại phức tạp được các tội phạm công nghệ cao sử dụng để tấn công vào các hệ thống thông tin, đặc biệt là các tổ chức có nhiều tài sản, sở hữu trí tuệ bí mật, các đối thủ cạnh tranh trong chính trị, kinh tế, trong các lĩnh vực nhạy cảm.

Các kiểu tấn công thủ công (Manual attacks): Các kiểu tấn công thủ công thường xuyên diễn ra làm tăng mối đe dọa cho các tổ chức.

Thông thường, có thể xác định được các mối đe dọa cho hệ thống thông tin gây mất an toàn và bảo mật thông tin trong tổ chức dựa trên việc trả lời các câu hỏi như:

+ Những mối đe dọa nào có thể gây nguy hiểm đến các nhóm tài nguyên thông tin của tổ chức? Chú ý là trên thực tế, không phải mối đe dọa nào cũng ảnh hưởng đến tất cả các tổ chức. Các mối đe dọa tiềm ẩn tác động lên hệ thống thông tin của các tổ chức và mức độ ảnh hưởng của các mối đe dọa đối với mỗi tổ chức cũng khác nhau. Vì thế cần chỉ rõ những mối đe dọa có thể gây ra tổn thất cho hệ thống thông tin của từng mỗi tổ chức để có giải pháp phòng tránh cần thiết.

+ Cần xác định những mối đe dọa nguy hiểm nhất đối với thông tin của tổ chức? Việc đánh giá cái nào nguy hiểm nhất đối với tổ chức là rất khó khăn, vì tùy theo từng thời điểm, các thông tin trong tổ chức sẽ có vai trò khác nhau.

+ Cần chi phí bao nhiêu để khôi phục lại các thông tin đó nếu chúng bị tấn công? Nghĩa là trong các mối đe dọa được liệt kê ra thì mỗi mối đe dọa nào sẽ tốn bao nhiêu chi phí để khôi phục nếu nó bị tấn công.

+ Những mối đe dọa có chi phí cao nhất trong phục hồi? Các mối đe dọa nào có chi phí cao nhất để phục hồi nó nếu chúng bị tấn công.

Nhân viên

Sở hữu

Bảo vệ

Tìm c

Quản trị

Quản trị an ninh

Tài nguyên
C	ó

Đề xuất

Các bản vá

Các kiểm soát

Hình 2.3. Xác định các lỗ hổng và đánh giá rủi ro

Về cơ bản quy trình xác định rủi ro trong hệ thống thông tin của doanh nghiệp được chia thành ba nhóm nhỏ: Xác định các rủi ro từ quy trình và các thủ tục của hệ thống, xác định các lỗ hổng của hệ thống và xác định các mối đe dọa của hệ thống.

Có thể tóm tắt dựa trên Hình 2.3, như vậy việc quản trị rủi ro được xác định dựa trên những người quản trị an toàn bảo mật thông tin và các tài sản sở hữu của doanh nghiệp.

2.3. PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN

2.3.1. Giới thiệu

Về phân tích rủi ro, theo Thông tư số 204/2015/TT-BTC của Bộ Tài chính ngày 21 tháng 12 năm 2015 thì “Phân tích rủi ro là việc sử dụng kiến thức, kinh nghiệm, kỹ năng và ứng dụng công nghệ thông tin dựa theo tiêu chí quản lý rủi ro đã được xác định để dự đoán tần suất và hậu quả của rủi ro”.

Một số quan điểm lại cho rằng phân tích rủi ro là việc xác định, đánh giá và xác định mức độ ưu tiên các rủi ro với mục đích tiết kiệm các nguồn lực cũng như để giảm thiểu, giám sát và kiểm soát khả năng hoặc tác động của các sự kiện không may hoặc để tối đa hóa các cơ hội.

Đối với thông tin và hệ thống thông tin, theo tiếp cận phổ biến nhất, phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin được định nghĩa là quá trình nghiên cứu những nguy cơ, hiểm họa đe dọa an toàn và bảo mật thông tin cũng như xác định những nguyên nhân, nguồn gốc của các nguy cơ, hiểm họa và phân tích, đo lường những tổn thất mà các nguy cơ, hiểm họa gây ra.

2.3.2. Những vấn đề trong phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin

Từ khái niệm về phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin nêu trên, có thể thấy rất rõ rằng hoạt động phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin có 3 nội dung chính là: phân tích, đánh giá các nguy cơ, hiểm họa; phân tích nguyên nhân gây ra và phân tích, đánh giá, đo lường những tổn thất do các nguy cơ, hiểm họa gây ra.

2.3.2.1. Phân tích, đánh giá các nguy cơ, các mối đe dọa

Các nguy cơ, các mối đe dọa gọi chung là hiểm họa là biểu hiện của hàng loạt các sự cố có thể xảy ra gây thiệt hại cho hệ thống thông tin, làm mất an toàn và bảo mật của thông tin. Đó cũng có thể là một sự cố không chắc chắn nào đó. Phân tích, đánh giá các hiểm họa cho an toàn và bảo mật thông tin là quá trình phân tích, đánh giá những điều kiện, những yếu tố tạo nên các hiểm họa hay những điều kiện, yếu tố làm gia tăng mức độ tổn thất khi hiểm họa xảy ra.

Để có thể phân tích, đánh giá các điều kiện, các yếu tố tạo ra rủi ro cho hệ thống thông tin có thể sử dụng phương phấp điều tra bằng các mẫu điều tra khác nhau hoặc thông qua quá trình kiểm soát để phát hiện hiểm họa. Thông tin thu được từ điều tra là cơ sở quan trọng để có thể hình dung, phán đoán, nhận dạng các nguy cơ, các mối đe dọa gây mất an toàn và bảo mật thông tin để có những giải pháp ứng phó có hiệu quả.

Quy trình phân tích, đánh giá các nguy cơ, các mối đe dọa gây mất an toàn và bảo mật thông tin thường gồm các bước:

- Liệt kê tất cả các nguy cơ, các mối đe dọa đã biết,

- Thu thập các thông tin liên quan đến các nguy cơ, mối đe dọa đã được xác định này,

- Xác định những hậu quả có thể xảy ra,

- Xây dựng các biện pháp có thể sử dụng để phòng ngừa và giảm nhẹ ảnh hưởng của các nguy cơ, các mối đe dọa,

- Tạo báo cáo phân tích, đánh giá.

2.3.2.2. Phân tích, đánh giá nguyên nhân của các nguy cơ, các mối đe dọa

Các nguy cơ, các mối đe dọa gây mất an toàn và bảo mật thông tin có nguyên nhân từ 2 phía là con người và các phương tiện, công cụ kỹ thuật.

Có thể phân biệt nguyên nhân từ phía con người thành 2 nhóm: nhóm người trong nội bộ tổ chức, doanh nghiệp và nhóm người ngoài tổ chức doanh nghiệp.

Với những người trong tổ chức, doanh nghiệp: các nguy cơ, các mối đe dọa bắt nguồn từ sự bất cẩn, chủ quan của con người trong quá trình làm việc, vận hành hệ thống thông tin cho dù họ có hiểu biết, được đào tạo và nắm chắc các quy định, quy trình vận hành. Nguyên nhân từ phía con người trong tổ chức cũng có thể do chưa am hiểu, thành thạo về các nguyên lý sử dụng hệ thống thông tin, hoặc kỹ năng thực hành yếu. Cũng có nguyên nhân từ góc độ quản lý, điều hành của người lãnh đạo tổ chức, doanh nghiệp.

Các nguyên nhân chủ quan từ những người trong tổ chức bao gồm:

- Sai lầm của tổ chức, doanh nghiệp về chiến lược hoạt động; sai lầm trong lựa chọn, xác định chính sách, cơ chế quản lý, quy định, quy chế của tổ chức.

- Thiếu thông tin, hiểu biết về quản lý; thiếu kiến thức, kinh nghiệm trong triển khai hoạt động của hệ thống thông tin.

- Do sơ suất, bất cẩn, chủ quan, làm việc mất tập trung, không tuân thủ quy trình, quy định trong vận hành, sử dụng hệ thống thông tin hoặc do thiếu tinh thần trách nhiệm, đạo đức, phẩm chất, sức khỏe, tinh thần không đảm bảo.

Nhóm người thứ hai ở ngoài tổ chức là những người cố tình dùng các thủ đoạn, phát hiện và lợi dụng những điểm yếu của hệ thống thông tin để tấn công có thể để lấy cắp những thông tin có giá trị, lừa đảo hoặc phá hoại hoạt động bình thường của hệ thống thông tin của tổ chức, doanh nghiệp.

Các nguyên nhân liên quan đến các yếu tố kỹ thuật, công nghệ như: sự trục trặc kỹ thuật của các thiết bị, các phương tiện, công cụ do thiếu sự kiểm tra, bảo dưỡng hoặc cũng có thể do sai sót của nhà sản xuất. Nguyên nhân liên quan đến các yếu tố kỹ thuật cũng một phần phụ thuộc vào yếu tố con người sử dụng, vận hành các phương tiện, công cụ, công nghệ. Chính vì vậy, trong thực tế, trong quá trình phân tích, đánh giá nguyên nhân của các nguy cơ, các mối đe dọa an toàn và bảo mật thông tin cần kết hợp phân tích cả 2 nguyên nhân trên.

Các nguyên nhân của các nguy cơ, các mối đe dọa an toàn và bảo mật thông tin cũng có thể được phân tích, đánh giá theo tiêu chí khách quan và chủ quan. Các nguyên nhân được coi là khách quan nếu nó độc lập với hoạt động của con người như các nguyên nhân bất khả kháng gắn với thiên nhiên hoặc cũng có thể là nguyên nhân gắn liền với hoạt động của con người nhưng sự cố xảy ra không có sự tham gia của con người. Các nguyên nhân liên quan đến yếu tố con người, dưới sự tác động của con người được coi là nguyên nhân chủ quan. Chúng có thể do chính bản thân người trong hệ thống thông tin và cũng có thể do sự tấn công từ bên ngoài hệ thống thông tin và thường là người ngoài tổ chức, doanh nghiệp (tin tặc).

2.3.2.3. Phân tích, đo lường những tổn thất mà các nguy cơ, hiểm họa gây ra

Tổn thất thông tin do các nguy cơ, hiểm họa gây ra là sự thiệt hại sinh ra từ các hiểm họa nằm ngoài ý muốn, từ những tấn công của tin tặc làm mất an toàn và bảo mật thông tin của cá nhân, tổ chức, doanh nghiệp.

Việc phân tích, đánh giá, đo lường rủi ro trong hệ thống thông tin thường được thực hiện bằng cách phân tích các rủi ro và phân loại chúng để đưa ra các giải pháp phù hợp cho các loại rủi ro trong hệ thống thông tin, có nhiều cách thức để phân tích để đưa ra một cách phân loại phù hợp cho các rủi ro trong các hệ thống thông tin của doanh nghiệp. Cơ bản để đánh giá một rủi ro trong hệ thống thông tin thường sử dụng công thức sau đây:

Rủi ro

Xác suất xảy ra của

(Mối đe dọa và lỗ hổng)

Chi phí

do thiệt hại

Trong đó mối đe dọa là những nguy cơ có thể xảy ra đối với loại tài sản đang xem xét. Lỗ hổng là một điểm yếu trong cơ sở hạ tầng của hệ thống thông tin dẫn đến khả năng một mối đe dọa nào đó có thể xảy đến với hệ thống, như vậy, rủi ro là chi phí tổn thất của hệ thống khi mối đe dọa xảy ra.

Một hướng tiếp cận định lượng trong phân tích rủi ro của hệ thống thông tin là tính toán xác suất khả năng xảy ra và chi phí thực tế mà mối đe dọa xảy ra, sử dụng công thức ALE (Annualized Loss Expectancy - Dự tính chi phí tổn thất hàng năm/kỳ vọng lỗ) dựa trên chi phí tổn thất từng lần nhân với xác suất xảy ra của mối đe dọa đó hàng năm:

ALE =SLE x ARO

Trong đó: ALE (Annualized Loss Expectancy) là chi phí tổn thất hàng năm; SLE (Single Loss Expectancy) là chi phí tổn thất mỗi lần của mối đe dọa (kỳ vọng mất 1 lần) và ARO (Annualized Rate of Occurrence) là tần suất xuất hiện của mối đe dọa trên mỗi năm (Tỷ lệ xuất hiện hàng năm).

Tuy nhiên cách tiếp cận này cũng có những mặt hạn chế như rất khó để xác định được ARO đối với các hệ thống mới hoạt động, hoặc các hệ thống khác nhau thì chi phí và tần suất xảy ra của mối đe dọa cũng khác nhau. Vì vậy, thông thường các công thức để đưa ra đánh giá rủi ro của hệ thống chỉ mang tính chất tương đối và còn phụ thuộc vào ngữ cảnh của mỗi hệ thống thông tin.

Xem tất cả 142 trang.

Ngày đăng: 18/05/2023