BÀI 5.

TRIỂN KHAI MỘT SỐ TÁC VỤ

Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội

Nội dung
• Gia cố hệ thống
• Sao lưu dự phòng
• Ứng phó sự cố

1
 1. GIA CỐ HỆ THỐNG

Gia cố (hardening) hệ thống là gì?

• Quá trình làm cho hệ thống vững chắc hơn, khó trở thành
mục tiêu tấn công hơn
• Nội dung gia cố (theo nghĩa rộng)
• Thiết kế của hệ thống
• Tập chính sách ATBM
• Thiết bị mạng
• Các thiết bị đầu cuối Nghĩa hẹp
• Dịch vụ
• Gia cố hệ thống cần được thực hiện thường xuyên
• Trong và sau khi cài đặt thêm các thành phần mới
• Định kỳ
• Sau sự cố xảy ra

2
 Quy trình gia cố hệ thống
• Lập kế hoạch gia cố
• Thời gian thực hiện
• Trình tự thực hiện các tác vụ
• Phân vùng hệ thống, dịch vụ và danh sách các thao tác thực hiện
phù hợp(checklist)
• Thông báo tới người dùng cuối
• Sao lưu và chuẩn bị kế hoạch khôi phục nếu có sự cố
• Quét, khảo sát và đánh giá hệ thống
• Tiến hành gia cố
• Đánh giá hệ thống sau khi gia cố

1.1. GIA CỐ HẠ TẦNG MẠNG

3
 Gia cố hệ thống tường lửa
Tham khảo chi tiết hướng dẫn của nhà cung cấp
1. Gia cố vật lý
1.1 Kiểm tra hệ thống nguồn điện
1.2 Kiểm tra môi trường hoạt động (nhiệt độ, độ ẩm) theo khuyến
cáo của nhà sản xuất
1.3 Kiểm tra kết nối mạng
1.4 Kiểm tra hệ thống kiểm soát vào-ra
2. Gia cố truy cập từ xa
2.1 Tắt các dịch vụ truy cập từ xa không cung cấp kết nối bảo mật
(HTTP, Telnet)
2.2 Cài đặt dịch vụ truy cập từ xa bảo mật (HTTPS, SSH)
2.3 Hạn chế địa chỉ IP có thể truy cập từ xa tới tường lửa
2.4 Thiết lập thời gian chờ time-out cho phiên truy cập
7

Gia cố hệ thống tường lửa

3. Gia cố xác thực và phân quyền
3.1 Thiết lập tính năng mã hóa bảo vệ mật khẩu
3.2 Thiết lập số lần đăng nhập sai
3.3 Tắt chức năng khôi phục mật khẩu
3.4 Xóa các tài khoản mặc định, các tài khoản không còn khả dụng
3.5 Kiểm tra độ khó của mật khẩu
3.6. Cài đặt cơ chế AAA
4. Gia cố tập luật
3.1 Hạn chế lưu lượng tới và đi từ tường lửa
3.2 Xóa các luật không còn khả dụng
3.3 Đảm bảo các luật explicit deny được sử dụng

4
 Gia cố hệ thống tường lửa
4. Các gia cố khác
4.1 Kích hoạt giao thức NTP để đồng bộ đồng hồ
4.2 Gia cố các giao thức định tuyến (RIPv2, OSPF, BGP)
4.3 Tắt các dịch vụ không cần thiết (DHCP, ARP Proxy…)
4.4 Kích hoạt các mô-đun phát hiện và phòng chống tấn công
4.5 Gia cố tính năng nhật ký
4.6 Kích hoạt cơ chế dự phòng, chịu lỗi

Case study
• CIS Cisco Firewall Benchmark v4.0

Gia cố router, switch

1. Gia cố vật lý
2. Gia cố truy cập từ xa
3. Gia cố xác thực
3.1 Thiết lập tính năng mã hóa bảo vệ mật khẩu
3.2 Thiết lập mật khẩu cho kết nối cổng console
3.3 Thiết lập mật khẩu cho kết nối Auxiliary
3.4 Thiết lập mật khẩu cho chế độ quản trị
4. Gia cố các dịch vụ và tính năng
4.1 Tắt các thiết lập không cần thiết cho phép chuyển tiếp dữ liệu
quảng bá
4.2 Gia cố dịch vụ SNMP
4.3 Tắt các dịch vụ không sử dụng (DHCP, ARP Proxy,…)
4.4 Tắt các cổng không sử dụng tới
4.5 Triển khai cổng loopback 10

10

5
 Gia cố router, switch
5. Gia cố các tính năng của router
5.1 Thay thế giao thức RIPv1 bằng RIPv2
5.2 Gia cố các giao thức định tuyến khác (OSPF, EIGRP, BGP)
5.3 Lọc lưu lượng cập nhật thông tin định tuyến
5.4 Cài đặt tính năng chống giả mạo địa chỉ IP
6. Gia cố các tính năng của switch
6.1 Tắt default-native VLAN khi không cần thiết
6.2 Cài đặt các tính năng chống tấn công giao thức VLAN
6.3 Cài đặt các tính năng chống giả mạo ARP, giả mạo địa chỉ MAC

11

11

Gia cố WLAN
1. Gia cố Access Point
1.1 Thay đổi thông tin tài khoản mặc định
1.2 Lọc địa chỉ MAC nếu cần
2. Gia cố kết nối WLAN
2.1 Sử dụng giao thức bảo mật WPA, WPA2
2.2 Xóa các tài khoản không khả dụng khi sử dụng chế độ
Enterprise

12

12

6
 1.2. GIA CỐ HỆ ĐIỀU HÀNH

13

13

Các công cụ
• Quét và phân tích, đánh giá:
• Linux: Lynis(https://cisofy.com/lynis/)
• Windows: Microsoft Baseline Security Analyzer
• Bộ tiêu chuẩn cơ sở:
• CIS benchmark baseline
• Tham khảo:
• Red Hat Enterprise Linux 7 Security Guide
• Windows Server Secure Guide

14

14

7
 Nguyên tắc chung
• Gia cố vật lý
• Gia cố trong quá trình cài đặt
• Cập nhật bản vá lỗi Tuân thủ
theo bộ
• Tắt và gỡ các dịch vụ không cần thiết tiêu
• Gia cố các ứng dụng chuẩn
cơ sở
• Gia cố kết nối mạng
• Gia cố nhóm và tài khoản người dùng: xác thực
và phân quyền
• Sao lưu
• Gia cố mở rộng

15

15

Case study: Gia cố HĐH Linux Redhat

Danh mục gia cố

Địa chỉ MAC
Địa chỉ IP
Tên máy chủ
Thẻ quản lý, phân loại
Người thực hiện
Ngày thực hiện

16

16

8
 Case study: Gia cố HĐH Linux Redhat
Bước  Công việc
Gia cố vật lý
1 Ngắt kết nối mạng nếu đang trong quá trình cài đặt
2 Thiết lập mật khẩu BIOS/firmware
3 Thiết lập thứ tự thiết bị được khởi động
Gia cố tập tin hệ thống
4 Tạo phân vùng /tmp với tùy chọn nodev, nosuid, và noexec
5 Tạo phân vùng độc lập cho thư mục /var, /var/log,
/var/log/audit, và /home
6 Gắn thư mục /var/tmp vào phân vùng /tmp
7 Thiết lập tùy chọn nodev cho thư mục home
8 Thiết lập tùy chọn nodev, nosuid, và noexec cho /dev/shm
9 Thiết lập sticky bit cho các thư mục có quyền ghi (writable)
17

17

Case study: Gia cố HĐH Linux Redhat

Bước  Công việc
Cập nhật hệ thống
10 Cài đặt yum-security để cập nhật các bản vá
11 Thiết lập khóa Red Hat GPG và kích hoạt gpgcheck
Gia cố các thiết lập khi khởi động
12 Thiết lập tài khoản root trở thành owner của user/group và thiết
lập quyền đọc và ghi trên file /boot/grub2/grub.cfg chỉ cho tài
khoản root
13 Thiết lập mật khẩu cho boot loader
14 Xóa X Window system
15 Tắt X Font Server
Gia cố tiến trình
16 Hạn chế tính năng core dumps
17 Kích hoạt Randomized Virtual Memory Region Placement
18

18

9
 Case study: Gia cố HĐH Linux Redhat
Bước  Công việc
Gia cố hệ điều hành
18 Gỡ các dịch vụ mặc định có cơ chế bảo mật kém, ví dụ telnet-
server; rsh, rlogin, rcp; ypserv, ypbind; tftp, tftp-server; talk, talk-
server
19 Tắt các dịch vụ không cần thiết với xinetd hoặc inetd
20 Gỡ xinetd nếu có thể
21 Tắt các dịch vụ có các cơ chế bảo mật kém, ví dụ chargen-
dgram, chargen-stream, daytime-dgram, daytime-stream, echo-
dgram, echo-stream, tcpmux-server
22 Tắt hoặc gỡ các dịch vụ không còn sử dụng (DNS, FTP, LDAP,
DHCP, HTTP, SNMP, …)
23 Thiết lập mặt nạ umask cho Deamon

19

19

Case study: Gia cố HĐH Linux Redhat

Bước  Công việc
Gia cố phân quyền truy cập file và thư mục
24 Rà soát, kiểm tra nhóm và tài khoản người dùng
25 Rà soát, kiểm tra phân quyền
Gia cố kết nối mạng
26 Gia cố tập luật của tường lửa
27 Tắt chức năng chuyển tiếp IP
28 Tắt chức năng chia sẻ thông tin định tuyến (ICMP Redirect)
29 Tắt chức năng nhận ICMP Redirect
30 Tắt chức năng nhận Secure ICMP Redirect
31 Kích hoạt Ignore Broadcast Requests
32 Kích hoạt Bad Error Message Protection
33 Kích hoạt TCP/SYN cookies
20

20

10
 Case study: Gia cố HĐH Linux Redhat
Bước  Công việc
Gia cố kết nối SSH
34 Thiết lập phiên bản SSHv2
35 Thiết lập trình ghi nhật ký của SSH
36 Không cho phép truy cập bằng tài khoản root
37 Thiết lập giá trị SSH PermitEmptyPasswords = No
Cài đặt các tính năng IDPS
38 Cài đặt và cấu hình AIDE
39 Cấu hình SELinux
40 Cài đặt OSSec HIDS
41 Cài đặt trình quét và diệt phần mềm độc hại

21

21

Case study: Gia cố HĐH Linux Redhat

Bước  Công việc
Gia cố trình ghi nhật ký
42 Cài đặt và cấu hình NTP
43 Kích hoạt trình kiểm toán auditd
44 Cài đặt và cấu hình rsyslog
45 Ghi nhật ký tất cả hoạt động của tài khoản có quyền quản trị
46 Cấu hình sao lưu nhật ký tới thiết bị/ dịch vụ chuyên biệt, ví dụ
Splunk
Gia cố PAM
47 Đảm bảo các tệp tin PAM đã được bảo mật
48 Nâng cấp thuật toán băm lên SHA-512
49 Thiết lập chính sách mật khẩu
50 Hạn chế truy cập từ xa bằng tài khoản root trên các kết vối VTY

22

22

11
 1.3. GIA CỐ CƠ SỞ DỮ LIỆU

23

23

Công cụ
• Phân tích và đánh giá:
• MSSQL.DataMask
• Scuba: MySQL, MS SQL, Oracle, SAP Sybase, IBM DB2
• Bộ tiêu chuẩn:
• CIS Oracle MySQL Community Server 5.6 Benchmark
• CIS Microsoft SQL Server 2012 Benchmark
• Tham khảo:
• MySQL 5.7 Reference Manual
• Securing Microsoft SQL Server
• Oracle Database Security Guide

24

24

12
 Nội dung gia cố
1. Gia cố vật lý
2. Cài đặt và thiết lập tường lửa
3. Gia cố phần mềm DBMS
3.1 Cập nhật các bản vá bảo mật
3.2 Tắt các dịch vụ không sử dụng
3.3 Xóa các tài khoản không còn khả dụng
3.4 Thay đổi mật khẩu mặc định theo chính sách mật khẩu
4. Gia cố ứng dụng truy cập CSDL
4.1 Giới hạn CSDL được phép truy cập
4.2 Rà soát phân quyền của HĐH cho tài khoản của ứng dụng
4.4 Quét rà soát lỗ hổng SQL Injection

25

25

Nội dung gia cố

5. Gia cố máy trạm truy cập CSDL
5.1 Đảm bảo máy trạm người dùng phải đạt tiêu chuẩn tối thiểu về ATBM
5.2 Yêu cầu người dùng đăng xuất trước khi rời khỏi vị trí làm việc
5.3 Sử dụng tài khoản riêng trên máy trạm cho các tác vụ truy cập CSDL
5.4 Mã hóa dữ liệu truy xuất từ CSDL khi truyền và lưu trữ
5.5 Hạn chế lưu trữ dữ liệu trên thiết bị nhớ di động
5.6 Hạn chế gửi dữ liệu bằng các dịch vụ mạng
5.7 Xóa dữ liệu sau khi đã truy xuất
6. Gia cố tài khoản quản trị viên, tài khoản daemon
6.1 Sử dụng tài khoản riêng biệt và phân quyền phù hợp cho quản trị viên
cho các tác vụ quản trị CSDL (sao lưu, khôi phục, tối ưu…)
6.2 Đảm bảo tài khoản daemon cho ứng dụng DBMS là dạng tài khoản
không thể đăng nhập mặc định trên linux, ...

26

26

13
 Nội dung gia cố
7. Phân quyền và quản trị tài khoản
7.1 Sử dụng mật khẩu mạnh
7.2 Phân quyền tối thiểu cho các tài khoản truy cập CSDL
7.3 Sử dụng tài khoản riêng biệt cho các ứng dụng khác nhau
8. Các tác vụ khác
8.1 Đảm bảo trình ghi nhật ký hoạt động
8.2 Sao lưu CSDL định kỳ
8.3 Mã hóa CSDL và quản lý khóa

27

27

1.4. GIA CỐ WEB SERVER

Gia cố chương trình máy chủ Web

28

28

14
 Công cụ
• Bộ tiêu chuẩn:
• CIS Apache HTTP Server Benchmark
• CIS Apache Tomcat Benchmark
• CIS Microsoft IIS Benchmark
• Tham khảo:
• Microsoft IIS: Securing Your Web Server
• Apache HTTP Server: Secure Tips
• Apache Tomcat: Security Considerations
• OWASP Secure Configuration Guide

29

29

Nội dung gia cố

1. Hạn chế lộ thông tin nhạy cảm
1.1 Xóa thông tin phiên bản ứng dụng Web Server trên HTTP Header
1.2 Xóa thông tin hệ điều hành trên HTTP Header
1.3 Chống duyệt nội dung thư mục Web root
1.4 Xóa Etag header
2. Gia cố phân quyền
2.1 Thiết lập tài khoản deamon cho Web server
2.2 Phân quyền tài khoản deamon trên thư mục Web root
2.3 Che giấu nội dung file config và binary
2.4 Chống ghi đè các các thông số thiết lập hệ thống
2.5 Chỉ chấp nhận các HTTP Request có phương thức GET, POST, HEAD

30

30

15
 Nội dung gia cố
3. Gia cố ứng dụng Web
3.1 Tắt phương thức TRACE
3.2 Thiết lập thuộc tính HttpOnly và Secure cho cookie
3.3 Thiết lập X-Frame-Options header chống tấn công Clickjacking
3.4 Thiết lập tùy chọn X-XSS Protection để yêu cầu trình duyệt bật tính
năng chống tấn công XSS
3.5 Tắt giao thức HTTP1.0
3.6 Thiết lập lại giá trị time-out để chống tấn công DoS
4. Cài đặt giao thức HTTPS
4.1 Cài đặt chứng thư số SSL
4.2 Thiết lập tùy chọn để loại bỏ các thuật toán yếu(RC4, DES)
Tắt giao thức SSL 2.0 và SSL 3.0
5. Cài đặt tường lửa cho dịch vụ Web
5.1 Cài đặt Mod Security và cấu hình tập luật
31

31

2. SAO LƯU VÀ KHÔI PHỤC

HỆ THỐNG

32

32

16
 Khái niệm chung
• Không có giải pháp ATBM nào có thể loại trừ hoàn toàn
các nguy cơ:
• Con người: hệ thống bị tấn công, sai sót khi vận hành
• Tự nhiên: thiên tai
• Bản thân hệ thống bị suy hao theo thời gian
hệ thống cần được sao lưu để có thể sẵn sàng khôi phục
khi cần thiết
• Các phương pháp sao lưu:
• Sao lưu dữ liệu theo thời gian thực
• Sao lưu dữ liệu theo thời điểm
• Sao lưu ứng dụng
• Sao lưu máy chủ

33

33 quy tắc sao lưu:

phải có tối thiểu 2 bản sao 1 bản chính
phải có tối thiểu 2 phương pháp sao lưu
phải có tối thiểu 1 phương pháp sao luu tại chỗ
phải đảm bảo luôn tiếp cận được tối thiểu 1 bản sao

Sao lưu theo thời điểm

• Công tác sao lưu được thực hiện theo lịch được sắp đặt
sẵn
• Phương pháp disk-to-disk-to-tape:
• Disk-to-disk: sao lưu dữ liệu từ một hệ thống đang hoạt động sang
một hệ thống khác
• Disk-to-tape: sao lưu dữ liệu từ hệ thống sang thiết bị lưu trữ mở
rộng
• Yêu cầu:
• Ghi mã quản lý thiết bị lưu trữ
• Bảo mật dữ liệu được sao và bảo quản thiết bị lưu trữ trong môi
trường phù hợp
• Thiết bị sao lưu cần được thay mới một cách định kỳ

34

34

17
 Các chế độ sao lưu
• Sao lưu đầy đủ (full backup)
• Sao lưu toàn bộ hệ thống (dữ liệu, hệ điều hành, ứng dụng)
• Ưu điểm: cung cấp snapshot toàn diện cho hệ thống
• Nhược điểm: Tốn không gian lưu trữ, thời gian sao lưu dài
• Sao lưu sai biệt(differential backup)
• Chỉ sao lưu dữ liệu có sự thay đổi hoặc được thêm mới sau lần
sao lưu đầy đủ gần nhất
• Ưu điểm: nhanh, tốn ít không gian lưu trữ
• Hạn chế: Tốc độ và không gian lưu trữ có thể tăng dần theo thời
gian

35

35

Các chế độ sao lưu

• Sao lưu gia tăng:
• Chỉ sao lưu dữ liệu có sự thay đổi hoặc thêm vào trong ngày
• Ưu điểm: tốc độ nhanh nhất, tốn ít không gian lưu trữ nhất
• Hạn chế: cần nhiều bản sao lưu để khôi phục
• Lịch sao lưu:
• Hàng tuần: sao lưu đầy đủ
• Hàng ngày: sao lưu sai biệt hoặc sao lưu gia tăng
• Chiến lược sao lưu:
• 6-tape (Father-Son)
• Grandfather-Father-Son
• Tháp Hà Nội

36

36

18
 6-tape
• Lịch sao lưu: hàng ngày, hàng tuần
• 2 nhóm được sử dụng luân phiên để sao lưu đầy đủ hàng tuần
• 4 nhóm được sử dụng để sao lưu hàng ngày
sao lưu đầy đủ
Mon Tue Wed Thu Fri
Day-1 Day-2 Day-3 Day-4 Week-1 bị sự cố ở tuần thứ 2 sẽ được sao lưu từ tuần trước

Day-1 Day-2 Day-3 Day-4 Week-2

Day-1 Day-2 Day-3 Day-4 Week-1
… … … … …
• Khả năng khôi phục: bị lỗi ở thứ 3 tuần 3
thì cần sao lưu của week1 tuần 1
• Short-term: ngày bất kỳ trong mỗi 7 ngày xog rồi cầu sao lưu sai biệt
nhưng k có phép trừ cúa sao lưu
• Long-term: 1 tuần bất kỳ trong mỗi 2 tuần

37

37

Grandfather-Father-Son
• Lịch sao lưu: hàng ngày, hàng tuần, hàng tháng
• 4 nhóm thiết bị sử dụng để sao lưu hàng ngày
• 3 nhóm thiết bị để sao lưu hàng tuần
• N nhóm thiết bị để sao lưu hàng tháng  chu kỳ sao lưu N-1
tháng
Mon Tue Wed Thu Fri
Day-1 Day-2 Day-3 Day-4 Week-1
Day-1 Day-2 Day-3 Day-4 Week-2
Day-1 Day-2 Day-3 Day-4 Week-3
Day-1 Day-2 Day-3 Day-4 Month-1
• Khả năng khôi phục:
• Short-term: 1 ngày bất kỳ trong mỗi 7 ngày
• Long-term: 1 tháng bất kỳ trong mỗi N-1 tháng
38

38

19
 Tháp Hà Nội
• Đặt lịch sao lưu dựa trên bài toán tháp Hà Nội
• Ưu điểm: giảm số lượng nhóm thiết bị cần sử dụng
• Hạn chế:
• Thực hiện phức tạp
• Mất thời gian khôi phục dài
• Khả năng khôi phục:
• Short-term: 1 ngày bất kỳ trong mỗi 2 ngày
• Long-term: chu kỳ 2N - 1 trong đó N là số nhóm thiết bị lưu trữ
• Ví dụ: 3 nhóm đĩa
lỗi thì dùng đầy đủ ở A hoặc cua ngày thứ 5

1 2 3 4 5 6 7 1 2 3 4 5 6 7
A A A A A A A A
B B B B
C C 39
đầy đủ

39

Sao lưu theo thời gian thực: RAID

• Redundant Array of Independent Disks
• Nguyên tắc chung: chia dữ liệu thành nhiều phần và phân
bố trên các ổ đĩa đang hoạt động.
• Khi có bất kỳ một/một vài ổ đĩa bị lỗi, dữ liệu vẫn còn
nguyên vẹn
• Lợi ích:
• Tăng tốc độ truy xuất dữ liệu trên thiết bị nhớ
• Tăng khả năng chịu lỗi
• Hạn chế: Cần sự hỗ trợ của phần cứng

40

40

20
 Các chế độ của RAID
tăng tốc truy nhập

• RAID 0: mức độ cơ bản

• Chỉ lưu một bản của mỗi mảnh
• Không có khả năng khôi phục
• RAID 1: Sao lưu toàn bộ dữ liệu
sang một ổ đĩa khác
• Dữ liệu vẫn nguyên vẹn khi 1 ổ đĩa bất kỳ
hỏng
• Hạn chế: tốn dung lượng lưu trữ (hiệu
suất sử dụng là 50%)

ổ này có 1 bản sao tương ứng ở ổ còn lại

41

41

Các chế độ của RAID

• RAID 10: Kết hợp RAID1 và
RAID 0
• RAID 5:
• Mỗi ổ đĩa có một phân vùng parity
được sử dụng để khôi phục dữ liệu
• Có thể khôi phục được dữ liệu từ N-
1 đĩa bất kỳ - 1 ổ bị lỗi nhưng thời gian khôi phục rất lâu
• Ưu điểm: tăng hiệu suất sử dụng bộ
nhớ lưu trữ = (N-1)/N
• RAID 6: kết hợp RAID 5 và
RAID 1
nếu không quan tâm đến hiệu năng

42

42

21
 Dự phòng cho máy chủ và ứng dụng
nếu bị hỏng k dùng được nữa thì sẽ dùng máy chủ khác
• Dự phòng cho máy chủ vật lý:
hoạt động liên tục
• Hot server: máy chủ đang hoạt động hot vs warm cần phần mềm quản lý

• Warm server: máy chủ dự phòng duy trì trạng thái hoạt động
máy k hoạt động, nếu mãy chủ lỗi mới được đánh thức thay thế
• Có thể sử dụng để chia sẻ tải với hot server
• Cool server: máy chủ dự phòng, không duy trì hoạt động
• Bare metal recovery: công nghệ cho phép thay thế trực
tiếp hệ điều hành và các ứng dụng bị lỗi trong khi hoạt
động máy chủ local bị lỗi, sẽ tải lại tới local
• Application recovery(clustering plus replication):
• Ứng dụng được triển khai đồng thời trên nhiều server
• Thực hiện các cơ chế nhất quán và nhân bản

43

43

Dự phòng cho máy chủ và ứng dụng

• Electronic vaulting:

44

44

22
 Công nghệ NAS và SAN
như truy cập vào dịch vụ mạng
NAS SAN như truy cập trên ổ cứng

• Network Attached Storage • Storage Area Network

• Hệ thống thiết bị lưu trữ • Hệ thống thiết bị lưu trữ
được kết nối trực tiếp trên được xây dựng như một
mạng mạng riêng
• Truy cập bằng các giao • Sử dụng giao thức truy
thức truyền file cập SCSI  cung cấp cơ
• Hỗ trợ các cơ chế kiểm chế truy cập tương tự truy
soát truy cập riêng cập trực tiếp vào ổ đĩa
cơ chế xác thực theo giao thức mạng
• Không có cơ chế kiểm
soát truy cập riêng

45

45

NAS vs SAN

sử dụng kết nnoois quang đảm bảo tốc độ giống như truy cập trên ổ cứng

phổ biến hơn do tốc độ truy nhập cao hơn

46

46

23
 Kế hoạch sao lưu và khôi phục
• Nội dung kế hoạch:
• Phương pháp và thời gian sao lưu
• Người chịu trách nhiệm
• Phương thức bảo quản thiết bị sao lưu
• Lập lịch sao lưu
• Diễn tập
• Phương pháp sao lưu được sử dụng phụ thuộc vào chính
sách:
• Chu kỳ sao lưu
• Loại dữ liệu cần sao lưu
• Thời gian duy trì bản sao lưu

47

47

3. QUY TRÌNH ỨNG PHÓ SỰ CỐ

48

48

24
 Khái niệm cơ bản
• Kế hoạch dự phòng (Contingency plan): là kế hoạch được
chuẩn bị để phát hiện, phản ứng với các sự cố ATTT và khôi
phục hoạt động của hệ thống sau khi xử lý sự cố
• Sự cố (incident): sự kiện bất thường xảy ra gây tổn hại tới hệ
thống thông tin
• Hệ thống bị tấn công ATTT
• Vận hành hệ thống không đúng cách
• Sự hỏng hóc của thiết bị, phần mềm
• Thiên tai
• Các thành phần của kế hoạch dự phòng: và duy trì

• Đánh giá tác động của sự cố(Business Impact Analysis)

• Kế hoạch phản ứng sự cố(Incident Response)
• Kế hoạch khôi phục hoạt động sau sự cố (Disaster Recovery)
• Kế hoạch duy trì hoạt động (Business Continuing)
49

49

Quy trình ứng phó sự cố

• Quy trình được xây dựng để nhận dạng, phân loại, phản
ứng và khôi phục hệ thống khi có sự cố ATTT xảy ra
• Xây dựng chi tiết các bước thực hiện tùy theo các dạng sự cố khác
nhau
• Là tác vụ cần kiểm tra, diễn tập định kỳ
• Sự thiếu vắng của quy trình phản ứng sự cố dẫn đến:
• Không có sự phối hợp giữa các thành viên trong tổ chức
• Sự lúng túng khi xử lý sự cố
• Gây ra hậu quả nghiêm trọng đối với tài nguyên và hoạt động của
hệ thống
• Các hậu quả khác trên các khía cạnh truyền thông, pháp lý

50

50

25
 Những thách thức
Những thách thức tổ chức phải đối mặt khi triển khai công
tác ứng phó sự cố
1. Phân tích thông tin để xác định những sự cố tiềm ẩn có thể
xảy ra
2. Nhận biết dấu hiệu cho thấy sự cố xảy ra
3. Xác định sự cố đã xảy ra là gì?
4. Sự cố đã bắt đầu như thế nào, từ bao giờ?
5. Xác định đối tượng tấn công và động cơ
6. Khoanh vùng vị trí xảy ra sự cố
7. Cách thức xử lý sự cố
8. Xác định những thông tin nào đã bị đánh cắp
9. Ảnh hưởng của sự cố tới hoạt động của hệ thống
10. Điều tra và phân tích
51

51

Quy trình ứng phó sự cố

Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi

52

52

26
 Chuẩn bị ứng phó hiệu quả hay không phụ thuộc rất nhiều vào chuẩn bị

• Chính sách ATBM cho ứng phó sự số: cơ sở xây dựng

quy trình và các bước xử lý
• Xây dựng đội ứng phó sự cố
• Phân tích, đánh giá tài nguyên của tổ chức
• Chuẩn bị hạ tầng kỹ thuật: bảo bảo đủ công cụ và tài
nguyên để xử lý
• Triển khai các hệ thống IDPS
• Thiết bị(máy trạm, máy chủ, máy văn phòng), phân vùng mạng
dành riêng cho công tác phân tích và ứng phó
• Phần mềm và môi trường ảo hóa
• Các công cụ phân tích, điều tra số
• Hệ thống dự phòng cho phân vùng xảy ra sự cố

53

53

Chuẩn bị
• Chuẩn bị liên lạc và truyền thông: đảm bảo quá trình xử lý
sự cố được thông suốt
• Thiết lập tổng đài báo cáo sự cố(điện thoại đường dây nóng, email,
web, văn phòng…)
• Kênh thông tin liên hệ với các bộ phận trong tổ chức: ban lãnh đạo,
đội ngũ kỹ thuật viên, các phòng ban, người dùng cuối…
• Kênh thông tin liên hệ với các tổ chức bên ngoài
• Xây dựng tuyến liên hệ dưới dạng cây
• Banner thông báo, cảnh báo trên giao diện hệ thống rất quan trọng
• Đánh giá quy trình, diễn tập thử nghiệm

54

54

27
 Xây dựng đội ứng phó sự cố
• Đội ứng phó sự cố là đơn vị nhân lực chịu trách nhiệm
chính trong quy trình phản ứng sự cố
• Mô hình xây dựng:
• Đội ứng phó tập trung: một đội ứng phó phụ trách tất cả các công
đoạn trong quy trình
• Các đội ứng phó phân tán: nhiều đội ứng phó, đội chuyên trách
từng khâu, hoặc khu vực tài nguyên, hoặc vị trí địa lý
• Đội ứng phó điều phối, hỗ trợ
• Nhân lực: số lượng thành viên phụ thuộc và quy mô và
độ phức tạp
• Toàn bộ nhân viên đều nằm trong tổ chức
• Thuê khoán một phần
• Thuê khoán toán bộ
55

55

Yếu tố ảnh hưởng đến xây dựng đội ngũ

• Yêu cầu tính sẵn sàng của đội ứng phó
• Chế độ làm toàn thời gian hoặc bán thời gian
• Khả năng chịu áp lực của nhân viên
• Chi phí
• Trình độ, kinh nghiệm chuyên môn của nhân viên
• Đối với nhân viên thuê từ bên ngoài
• Chất lượng và năng lực
• Phân chia trách nhiệm
• Các thông tin, dịch vụ trong tổ chức được phép tiếp cận

56

56

28
 Tương tác với các thành phần bên ngoài
Khách hàng,
cổ đông,
truyền thông

Đội
Nhà cung ứng phó
cấp khác
Đội
ứng phó

Nhà chức ISP

trách

Tổ chức
khác
57

57

Chiến lược ứng phó sự cố mục tiêu và cách thức thực hiện

• Khi xây dựng kế hoạch ứng phó sự cố, tổ chức lựa chọn
chiến lược phù hợp với khả năng và yêu cầu
• Chiến lược “Protect and Forget”
• Thời gian xử lý sự cố nhanh
• Quy trình thực hiện đơn giản
• Không đòi hỏi lớn về nguồn lực
• Không có đầy đủ thông tin để điều tra, phân tích sự cố  khả năng
ngăn chặn hệ thống gặp sự cố trở lại không cao
• Chiến lược “Apprehend and Prosecute”
• Quy trình thực hiện phức tạp
• Đòi hỏi cao về nguồn lực thực hiện
• Giai đoạn điều tra, phân tích có thể kéo dài, nhưng có thể thu nhận
được thông tin đầy đủ và giá trị về sự cố
58

58

29
 Chiến lược ứng phó sự cố
Chiến lược “Protect and Forget”. Các bước chính:
1. Xác định sự cố có thực sự xảy ra không
2. Tìm mọi cách để dừng tấn công sau khi phát hiện
3. Phân tích dữ liệu để xác định bằng cách nào hệ thống đã bị
xâm nhập, những tài nguyên đã bị ảnh hưởng
4. Cách ly các tài nguyên đã bị tổn hại
5. Khôi phục các tài nguyên bị tổn hại
6. Gia cố xác thực và phân quyền truy cập tới tài nguyên
7. Phân tích, đánh giá sau sự cố
8. Báo cáo, tổng kết và rút kinh nghiệm

59

59

Chiến lược ứng phó sự cố

Chiến lược “Apprehend and Prosecute”
1. Xác định sự cố có thực sự xảy ra không
2. Trong trường hợp xác đáng, liên hệ với bộ phận pháp lý
3. Ghi nhận đầy đủ về tình huống xảy ra sự cố (ngày, giờ,
người phụ trách giải quyết)
4. Cách ly vùng tài nguyên bị tấn công
5. Nếu có thể, chuyển hướng tấn công vào môi trường thực thi
giống hệ thống thật, có giám sát
6. Thu thập danh tính và thông tin của kẻ tấn công
7. Xác định cách thức kẻ tấn công xâm nhập vào hệ thống,
cách thức chiếm đoạt tài nguyên. Bảo vệ các tài nguyên
chưa bị chiếm đoạt

60

60

30
 Chiến lược ứng phó sự cố
Chiến lược “Apprehend and Prosecute”(tiếp)
8. Sau khi thu thập xong chứng cứ, hoặc các tài nguyên sống
còn của hệ thống có nguy cơ bị ảnh hưởng, chặn dừng tấn
công sớm nhất có thể
9. Báo cáo trạng thái hiện tại của vùng tài nguyên bị ảnh hưởng
bởi sự cố
10. Khôi phục hoạt động của hệ thống
11. Gia cố xác thực và phân quyền truy cập tới tài nguyên
12. Báo cáo chi tiết quá trình xử lý, hậu quả của sự cố
13. Giữ an toàn thông tin dấu vếu, bằng chứng của sự cố
14. Phân tích, đánh giá sau sự cố
15. Báo cáo, tổng kết và rút kinh nghiệm

61

61

Quy trình ứng phó sự cố

Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi

62

62

31
 Phát hiện và phân tích
• Việc phát hiện các dấu hiệu của sự cố là thách thức lớn
nhất đối với công tác phản ứng sự cố:
• Sự cố có thể được phát hiện theo nhiều cách và với mức độ khác
nhau
• Khối lượng thông tin phải phân tích rất lớn để xác định chính xác
các dấu hiệu
• Đòi hỏi sự hiểu biết, kinh nghiệm rộng và sâu khi phân tích
• Dấu hiệu tiềm tàng: dấu hiệu cho thấy sự cố có thể xảy ra
trong tương lai tiềm tàng chứ k phải rõ ràng là ví nếu ki cài đặt một phần mềm mới. ....
là dấu hiệu cho sự cố xảy ra

• Sự xuất hiện của các file lạ

• Sự xuất hiện của các tiến trình lạ
• Sự tiêu thụ tài nguyên bất thường trên hệ thống
• Lỗi hoạt động bất thường trên hệ thống

63

63

Phát hiện và phân tích

• Dấu hiệu nguy cấp: dấu hiệu cho thấy hệ thống đang có
khả năng xảy ra sự cố
• Một số hoạt động xảy ra ở những thời điểm không xác định
• Sự xuất hiện của các tài khoản lạ
• Báo cáo tấn công từ các tổ chức khác
• Cảnh báo từ hệ thống IDPS
• Dấu hiệu rõ ràng: dấu hiệu cho thấy hệ thống đang gặp
sự cố
• Hoạt động của các tài khoản “ngủ đông”
• Sự xuất hiện công cụ tấn công
• Mất kiểm soát với một bộ phận tài nguyên
• Thông báo từ người dùng, đối tác
• Thông báo của hacker
64

64

32
 Các nguồn thông tin để phân tích
• Cảnh báo:
• Các hệ thống IDPS
• Hệ thống giám sát SIEM
• Phần mềm quét và phát hiện mã độc
• Phần mềm kiểm tra tính nguyên vẹn của dữ liệu
• Dịch vụ của bên thứ 3
• Logs:
• Hệ điều hành, dịch vụ
• Thiết bị mạng
• Thông tin lưu lượng mạng
• Thông tin công bố về các lỗ hổng, kỹ thuật tấn công mới
• Thông tin từ người dùng

65

65

Phát hiện và phân tích

• Giai đoạn phân tích ban đầu: cần quyết định “Sự cố có
thực sự xảy ra hay không?”. Câu trả lời xác định các
hành động tiếp theo:
• Không phải sự cố: bỏ qua cảnh báo
• Là sự cố: thực hiện các phản ứng nhanh ban đầu ở giai đoạn sau
• Chưa đủ điều kiện để kết luận: giám sát và theo dõi chặt chẽ cho
tới khi khẳng định được tính chất của sự kiện
• Giai đoạn phân tích đầy đủ: phân tích và đưa ra thông tin
về sự cố
• Giai đoạn này có thể cần thực hiện song song với các công tác
phòng chống, giảm thiểu thiệt hại của sự cố, theo dõi, giám sát
diễn tiến của sự cố

66

66

33
 Lập báo cáo về sự cố
lúc trình bày thì tuần tự, nhưng mà nếu xảy ra thật thì sẽ làm song song với nhau

• Trạng thái của sự cố

• Mô tả đầy đủ về sự cố
• Phân loại, đánh giá sự cố
• Nguyên nhân, nguồn gốc
• Cách thức sự cố xảy ra
• Các sự cố khác có liên quan
• Dấu vết thu thập được sự cố
• Dự đoán diễn tiến tiếp theo của sự cố
• Các bước xử lý sự cố
• Ảnh hưởng của sự cố
• Sự cần thiết phối hợp với các đơn vị khác
• Kế hoạch tiến hành các hoạt động khôi phục sau sự cố
67

67

Đánh giá sự cố
• Sự cố cần được đánh giá, phân loại để xác định thứ tự
ưu tiên khi ứng phó
• Mức độ ảnh hưởng tới khả năng cung cấp dịch vụ

Không Không ảnh hưởng tức thời tới khả năng cung cấp tất cả
dịch vụ tới mọi người dùng
Thấp Ảnh hưởng rất thấp, chỉ làm giảm hiệu năng dịch vụ
Trung Hệ thống mất khả năng cung cấp 1 dịch vụ quan trọng
bình nào đó cho một nhóm người dùng
Cao Hệ thống mất khả năng cung cấp một số dịch vụ quan
trọng nào đó tới tất cả người dùng

68

68

34
 Đánh giá sự cố
• Mức độ ảnh hưởng tới thông tin
Không Dữ liệu không bị ảnh hưởng bởi sự cố
Lộ dữ liệu cá nhân Dữ liệu cá nhân nhạy cảm bị lộ
Lộ dữ liệu sở hữu trí tuệ Thông tin dự án, bí mật công nghệ…
Mất tính nguyên vẹn Dữ liệu thị sửa đổi, thay thế, xóa
của dữ liệu
• Điều kiện khôi phục:
Cơ sở Khả năng khôi phục có thể xác định được với tài
nguyên sẵn có
Bổ sung Khả năng khôi phục có thể xác định được nếu có
thêm tài nguyên
Mở rộng Khả năng khôi phục chưa xác định, cần sự trợ giúp
từ bên ngoài
Không thể khôi phục Ví dụ: dữ liệu bị đánh cắp
69

69

Thông báo về sự cố
• Thông báo tới các bên liên quan
• Các cấp lãnh đạo, quản lý
• Các đội ứng phó khác trong và ngoài tổ chức
• Bộ phận quản trị, vận hành tài nguyên bị ảnh hưởng
• Bộ phận phụ trách các công việc nhân sự, pháp lý, truyền
thông(trong trường hợp sự cố có thể kéo theo thảm họa truyền
thông)
• Các đối tác
• VN-CERT
• Nhà chức trách
• Sử dụng mọi kênh thông tin phù hợp có thể

70

70

35
 Một số lưu ý trong giai đoạn này
Trước khi thu nhận được đầy đủ dữ liệu, dấu vết cần thiết
cho công tác điều tra phân tích và xác định rõ các đặc điểm
của sự cố:
• Giữ nguyên hiện trạng của hệ thống
• Đặt hệ thống vào trong phân vùng cách ly và theo dõi, giám sát
chặt chẽ
• Sử dụng hệ thống dự phòng để thay thế nếu có thể
• Không chủ động tương tác với nguồn tấn công
• Sao lưu dữ liệu, dấu vết thu thập được
• Phân quyền truy cập tới dữ liệu thu thập được
• Ghi nhật ký quá trình xử lý, có thể sử dụng video, máy ghi âm

71

71

Quy trình ứng phó sự cố

Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi

72

72

36
 Ngăn chặn
• Công tác ngăn chặn cần được thực hiện ngay khi có thể
• Có thể tiến hành đồng thời với các hoạt động trong giai
đoạn trước
• Cách thức tiến hành ngăn chặn phụ thuộc vào các yếu tố
sau:
• Dạng sự cố đã xảy ra
• Khả năng và mức độ tài nguyên bị đánh cắp, tổn hại
• Sự cần thiết phải duy trì để điều tra, truy vết tấn công
• Mức độ ngăn chặn: một phần hay toàn phần
• Khả năng sẵn sàng của dịch vụ
• Thời gian và tài nguyên cần để triển khai các hoạt động ngăn chặn

73

73

Thu thập dấu vết, bằng chứng

• Việc thu thập đầy đủ dấu vết của sự cố đem lại thông tin
đáng giá cho các công việc sau:
• Làm sạch và khôi phục
• Gia cố lại hệ thống
• Đánh giá, rút kinh nghiệm
• Những lưu ý khi thu thập dấu vết, bằng chứng:
• Nếu có thể, tạo ra một bản sao của hệ thống
• Duy trì hiện trạng của hệ thống lâu nhất có thể
• Nếu có thể chuyển sự cố vào môi trường sandbox để theo dõi
giám sát
• Các dấu vết, bằng chứng cần được thu thập để có đủ chứng cứ khi
cần đưa ra cơ quan phát luật để khởi kiện
• Không chủ động tương tác với nguồn tấn công

74

74

37
 Làm sạch và phục hồi
• Xác định tất cả các vùng tài nguyên bị ảnh hưởng
• Nếu cần thiết, kết nối các vùng tài nguyên bị ảnh hưởng
vào môi trường có mức an ninh và giám sát cao để làm
sạch
• Trong trường hợp sự cố do tấn công ATTT, dựa trên
thông tin các dấu vết để lại, loại trừ sự hiện diện của các
thành phần tấn công trên tài nguyên
• Lưu ý: Trong giai đoạn này, cần sẵn sàng đối phó với các
tình huống kẻ tấn công thay đổi phương thức tấn công
khác.

75

75

Làm sạch và phục hồi

• Công đoạn phục hồi chỉ nên thực hiện khi đã chắc chắn
sự cố đã được sửa chữa thành công
• Các bước thực hiện:
• Cài đặt lại các thành phần tài nguyên bị tổn hại
• Phục hồi dữ liệu
• Gỡ bỏ các hạn chế đối với vùng tài nguyên để có thể thực hiện các
kiểm thử cần thiết
• Gia cố xác thực và phân quyền cho các tài khoản
• Rà soát và gia cố hệ thống, tập trung vá các lỗ hổng đã bị lợi dụng
khai thác
• Kiểm thử hoạt động của hệ thống
• Giám sát chặt chẽ hệ thống cho tới khi chắc chắn sự cố không lặp
lại

76

76

38
 Quy trình ứng phó sự cố

Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi

77

77

Bài học kinh nghiệm

• Đánh giá lại toàn bộ quá trình ứng phó sự cố
• Lợi ích:
• Cải thiện quy trình ứng phó sự cố
• Nâng cao chất lượng ứng phó khi gặp những sự cố tương tự
• Đánh giá chất lượng đội ngũ nhân lực
• Tinh chỉnh các giải pháp phòng chống tấn công
• Các nội dung:
• Chất lượng công việc của từng thành viên như thế nào?
• Thông tin nào có sớm hơn sẽ làm quá trình ứng phó tốt hơn?
• Những sự kiện có thể phòng chống là gì?
• Hoạt động nào cần thay đổi khi có sự cố tương tự xảy ra?
• Thông tin nào nên chia sẻ với các tổ chức bên ngoài để?
• Hành động nào là phù hợp? Không phù hợp?
• Những dấu hiệu đặc trưng mới có thể sử dụng để phát hiện sự cố
tương tự trong tương lai?
78

78

39
 Cập nhật các giải pháp phòng vệ
• Chiến lược, các phương pháp và quá trình ứng phó sự cố
• Quản trị rủi ro
• Tập chính sách ATBM
• Triển khai các giải pháp nâng cấp, thay thế
• Đào tạo, diễn tập

79

79

40