DỊCH VỤ TƯ VẤN AN NINH THÔNG TIN

1. Mục Đích

Mục đích dự án là bằng các phương pháp khoa học và kỹ thuật đánh giá một cách tổng thể và chi tiết về các nguy cơ rủi ro, khủng hoảng, nguy cơ mất dữ liệu, nguy cơ hacker xâm nhập và độ an toàn bảo mật hệ thống. Các phương pháp đánh giá và phân tích được dựa trên cơ sở sử dụng các công cụ kỹ thuật chuyên dụng và kỹ thuật tấn công phân tích. Kết quả của việc đánh giá sẽ cho báo cáo về mức độ an toàn của hệ thống, khả năng mất dữ liệu, khả năng phòng chống trước những tấn công ngày càng nhiều và nguy hiểm trên mạng Internet. Kết quả cũng sẽ chỉ ra các thiếu sót cần khắc phục trong việc triển khai và vận hành hệ thống. Công việc đánh giá sẽ được thực hiện theo phương pháp như sau: 

  • Đánh giá hệ thống bằng cách sử dụng các công cụ kỹ thuật mô tả tấn công.
  • Kiểm tra và phát hiện các lỗ hổng bảo mật hiện hữu  đang có .
  • Phân tích và chỉ ra các phương pháp và công cụ các Hacker có thể lợi dụng khai thác lỗi tồn tại và mức độ ảnh hưởng của chúng.
  • Giới thiệu và đưa ra các phương pháp phòng chống và khắc phục các lỗ hổng trên phương diện lý thuyết và thực hành.
  • Xây dựng và đánh giá các quy trình hoạt động về an toàn bảo mật trong đó có cả việc phòng chống tấn công Social Engineering.
  • Huấn luyện kiến thức an ninh mạng cho đội ngũ nhân sự.

Nhóm chuyên gia thực hiện dự án là tập hợp các chuyên gia có trình độ về An Ninh Thông Tin của Trung Tâm Cảnh Báo Khủng Hoảng & An Ninh Mạng Athena (ATHENA-ANS) do Kỹ Sư Võ Đỗ Thắng- Giám Đốc ATHENA  dẫn đầu thực hiện.  Phương pháp đánh giá và phân tích của chúng tôi dựa trên các phương pháp đã được kiểm chứng của: 

  • Institute for Security and Open Methodologies (ISECOM): Open-Source Security Testing Methodology Manual (http://www.isecom.org/osstmm/);
  • The Open Web Applications Security Project (OWASP): OWASP Testing Guide (http://www.owasp.org/index.php/Category:OWASP_Testing_Project).
  • White Hat Security (www.whitehatsec.com)

2. Quy trình thực hiện dự án.

2.1 Kiểm tra theo hình thức Black-box

  • Khảo sát, dò tìm lỗ hổng mặt ngoài, áp dụng cho các cổng thông tin được xuất bản ra môi trường công cộng (mạng WAN-Internet). Các trang Web, cổng thông tin điện tử, văn phòng điện tử, hệ thống máy chủ dịch vụ Web, dịch vụ tập tin, dịch vụ email, trục liên thông văn bản… Là những đơn vị xuất bản, trao đổi thông tin trên môi trường mạng WAN-Internet, do đó sẽ chịu những kiểu tấn công mạng theo các dạng:
    • Tấn công dò quét, thu thập thông tin, dò tìm lỗ hổng bảo mật.
    • Xâm nhập, đánh cắp dữ liệu.
    • Cài cắm mã độc, lập cổng hậu, khai thác thông tin lâu dài.
    • Tấn công từ chối dịch vụ, làm gián đoạn các hoạt động online.
    • Thay đổi nội dung trang, lừa đảo, gây ảnh hưởng uy tín.
  • Hình thức khảo sát bảo mật mặt ngoài Black-box Pentest, mô phỏng lại toàn bộ các kiểu tấn công, từ đó tìm ra các điểm yếu của hệ thống, lỗ hổng các dịch mạng, đánh giá toàn diện mức độ an toàn của các cổng thông tin điện tử.  Định hướng của Black-box Pentest là mô phỏng tấn công thực, do đó các đơn vị hiện trường không cần cung cấp bất kỳ thông tin nào, ngoài thông tin các cổng thông tin cần thực hiện.
  • Dựa trên các kết quả đánh giá, ATHENA sẽ đưa ra các hướng giúp các đơn vị phòng chống các lỗ hổng dịch vụ mạng, hệ thống máy chủ dịch vụ mạng. 
  • Tấn công thử nghiệm, dò tìm lỗ hổng bảo mật của các ứng dụng :

 

Tên dịch vụ Chi tiết
Tấn công thử nghiệm trang web Thực hiện tấn công thử nghiệm tính bảo mật của trang web, tìm lỗ hổng, tư vấn cách thức bảo mật.
Tấn công thử nghiệm máy chủ web,file,email… Thực hiện tấn công thử nghiệm tính bảo mật, tìm lỗ hổng của các dịch vụ, ứng dụng.
Tấn công thử nghiệm phần mềm, ứng dụng. Thực hiện tấn công thử nghiệm tính bảo mật, tìm lỗ hổng của các dịch vụ, ứng dụng.
Tấn công thử nghiệm từ chối dịch vụ. Tấn công, đánh giá mức độ chịu đựng của hệ thống, ứng dụng khi chịu các cuộc tấn công từ chối dịch vụ quy mô nhỏ, vừa và lớn.

 

2.2 Kiểm tra theo hình thức White – Box 

  • Hình thức White-box Pentest, mô phỏng lại các kiểu tấn công trong mạng nội bộ, hoặc mô phỏng lại quá trình kiểm tra an ninh thông tin của nhân viên đơn vị hiện trường.
  • Với hình thức này, đơn vị hiện trường cần cung cấp các thông tin cần thiết như: tài khoản người dùng (quyền thông thường), tài khoản quản trị viên (quyền quản trị). Thông tin, cấu hình máy chủ, máy trạm, dịch vụ mạng nội bộ.

 

Tên dịch vụ Chi tiết
Kiểm tra lỗi bảo mật của mã nguồn dịch vụ. Kiểm tra, cập nhật bản vá lỗi bảo mật trang web.

Kiểm tra các lỗi bảo mật ứng dụng web: SQL injection, remote file inclusion…

Đánh giá tổng quan về độ bảo mật source code.

Kiểm tra lỗi bảo mật do cấu hình hệ thống. Kiểm tra cấu hình các dịch vụ: Web, Database, SSH, FTP…

Kiểm tra cấu hình hệ thống tường lửa: Firewall, IDS/IPS

Dò quét web-shell và mã độc bị tấn công chèn vào. Kiểm tra backdoor trên máy chủ

Xác định nguồn gốc của backdoor

Khắc phục lỗ hổng cho phép upload backdoor

Kiểm tra cấu hình thiết bị: Router, Switch, Wifi-AP… Kiểm tra chi tiết cấu hình thiết bị Router, Switch, các dịch vụ như: DHCP, DNS, VLAN, VPN…
Kiểm tra chi tiết về chính sách, quyền người dùng. Thực hiện kiểm tra các quyền của người dùng trên các máy tính nội bộ, khả năng truy cập dịch vụ bên trong và bên ngoài.
Kiểm tra phiên bản máy tính, máy chủ, phần mềm ứng dụng. Kiểm tra thông tin các bản vá lỗi, cập nhật các phiên bản hệ điều hành máy tính, phần mềm, dịch vụ ứng dụng đang được cài đặt.
Tấn công thử nghiệm leo thang đặc quyền. Sử dụng tài khoản người dùng, với quyền giới hạn, thực hiện leo thang đặc quyền, chiếm quyền cao hơn, trong hệ thống máy tính nội bộ.
Tấn công thử nghiệm dò tìm mật khẩu. Tấn công dò tìm mật khẩu theo các hình thức: Đoán mật khẩu (Brute-force), Dump-password.
Tấn công thử nghiệm hình thức nghe lén thông điệp. Thực hiện khả năng nghe lén thông điệp trên môi trường mạng nội bộ, thu thập thông tin về username/password (Web, email, Bank…)
Tấn công thử nghiệm mạng không dây Wifi. Tấn công thử nghiệm mức độ bảo mật của hệ thống mạng không dây Wifi. Khả năng xâm nhập…

 

  • Các lỗi phổ biến sẽ được dò quét và đánh giá bằng các công cụ và phương tiện một cách tự động và đánh giá lại trực tiếp từng lỗ hổng được xem là nghiêm trọng.
  • Các lỗi đặc biệt mới, lỗi Zero-Day sẽ được đánh giá riêng biệt và đưa các khuyến cáo vào báo cáo, các mã tận dụng lỗi (Exploits) cũng có thể được sửa chữa và phát triển theo nhu cầu thực tế.
  • Việc đánh giá  tuân thủ theo các quy định của Pháp Luật,  sẽ được tiến hành song song với các biện pháp kỹ thuật.

2.3 Công cụ và thiết bị được sử dụng

  • Các công cụ có thể được cài đặt và sử dụng để thu thập thông tin về hệ thống mạng: nmap, masscan, netdiscover, Maltego, OWASP-ZED, Tenable-Nessus, Netpacket, IP Scanner…
  • Các công cụ dò quét lỗi bảo mật tự động: Nessus, eEye Retina, GFI LanGuard, ISS Scanner, Shadow Security Scanner, HTTP Scanners (CGI,PHP and ASP etc), SSL Scanners, Nikto, Whisker and Open Source Tools …
  • Các công cụ mô phỏng tấn công khai thác lỗi bảo mật: Metasploit Framework, Routersploit, Phone Sploit, Burp Suite…
  • Các công cụ dò quét và bẻ khóa mật mã và mật khẩu hệ thống: Hydra, Crunch, Hashcat, John the ripper, Medusa, NCrack, Ophcrack…
  • Các công cụ dò quét ứng dụng Web: Paros Proxy, AppScan, Acunetix, WebScarab, WebSleuth, N-Stealth, ZAP, Burp Suite.

3. Kết quả và báo cáo.

Kết quả đánh giá tổng thể dựa trên các thông tin thu thập được, được phân tích và sắp xếp nhóm lỗi về bảo mật và an toàn thông tin theo thang đánh giá gồm bốn cấp độ:

Cấp 1 – Nghiêm trọng:

  • Đây là lỗi bảo mật gây ảnh hưởng trực tiếp đến hệ thống, gây rò rỉ dữ liệu hoặc gây sập đổ hệ thống một các nhanh chóng khi bị tấn công.
  • Lỗi có thể tạo điều kiện để phát sinh các lỗi khác.
  • Lỗi chứa rất ít các điều kiện cần thiết để khai thác.

Cấp 2 – Nguy hiểm:

  • Lỗi tương tự như mức độ Nghiêm trọng, nhưng cần nhiều điều kiện để khai thác thành công.
  • Gây ảnh hưởng nghiêm trọng nếu bị khai thác thành công.

Cấp 3 – Nguy cơ:

  • Là lỗi nhưng không rõ ràng, các điều kiện khai thác sẻ thay đổi tùy theo trạng thái. 
  • Cần có một yếu tố chủ động để kích hoạt khai thác lỗi.
  • Gây rò rỉ dữ liệu hoặc ảnh hưởng nhiều đến hoạt động của hệ thống.

Cấp 4 – Yếu:

  • Tương tự cấp 3, tuy nhiên cần rất nhiều thông tin và điều kiện để khai thác, đồng thời các lỗi này chỉ ảnh hưởng ở phía người dùng cuối, mà không ảnh hưởng đến hệ thống.
  • Ít gây ảnh hưởng đến hệ thống, rò rỉ dữ liệu có giá trị thấp, hoặc không có giá trị.

Báo cáo:

  • Quy trình lập báo cáo.
  • Đối tượng kiểm tra.
  • Hướng dẫn khắc phục.
  • Tư vấn, nâng cấp giải pháp bảo mật.

TRUNG TÂM CẢNH BÁO KHỦNG HOẢNG & AN NINH MẠNG ATHENA

Nhóm chuyên gia thực hiện tư vấn là tập hợp các chuyên gia có trình độ về An Ninh Thông Tin của Trung Tâm Cảnh Báo Rủi Ro & An Ninh Mạng Athena (ATHENA-ANS) do Kỹ Sư Võ Đỗ Thắng- Giám Đốc ATHENA  dẫn đầu thực hiện.  Phương pháp đánh giá và phân tích của chúng tôi dựa trên các phương pháp đã được kiểm chứng của:

–        Institute for Security and Open Methodologies (ISECOM): Open-Source Security Testing Methodology Manual (http://www.isecom.org/osstmm/);

–        The Open Web Applications Security Project (OWASP): OWASP Testing Guide (http://www.owasp.org/index.php/Category:OWASP_Testing_Project).

–        White Hat Security (www.whitehatsec.com)

–        Tiêu chuẩn bảo mật thông tin ISO/IEC 27001

Thông qua việc đánh giá an toàn thông tin một cách toàn diện, doanh nghiệp sẽ an tâm hơn trong các hoạt động của mình trong thời đại thông tin kỹ thuật số.

    Gửi Thông Tin Tư Vấn