Phân tích &

Quản lý rủi ro
Võ Viết Minh Nhật
Khoa CNTT – Trường ĐHKH
Nội dung trình bày
 Mở đầu
 Định nghĩa rủi ro
 Tính dể bị xâm hại (vulnerability)
 Mối de dọa (threat)
 Xác định rủi ro cho một tổ chức
 Đo lường rủi ro
Mở đầu
 Security is about managing risk. Without an
understanding of the security risks to an
organization’s information assets, too many
or not enough resources might be used or
used in the wrong way.
 Risk management also provides a basis for
valuing of information assets. By identifying
risk, you learn the value of particular types of
information and the value of the systems that
contain that information.
What is risk?
 Risk is the underlying concept that forms the
basis for what we call “security.”
 Risk is the potential for loss that requires
protection. If there is no risk, there is no need
for security.
 And yet risk is a concept that is barely
understood by many who work in the security
industry.
What is risk?
 Example of the insurance industry
 how much the car repair is likely to cost?
 how much the likelihood that the person will be in
an accident?
 Two components of risk:
 The money needed for the repair => vulnerability
 the likelihood of the person to get into an accident
=> threat
Relationship between
vulnerability and threat
Vulnerability
 A vulnerability is a potential avenue of attack.
 Vulnerabilities may exist in computer systems
and networks
 allowing the system to be open to a technical
attack
 or in administrative procedures
 allowing the environment to be open to a non-
technical or social engineering attack.
Vulnerability
 A vulnerability is characterized by the difficulty and the level of
technical skill that is required to exploit it.
 For instance, a vulnerability that is easy to exploit (due to the
existence of a script to perform the attack) and that allows the
attacker to gain complete control over a system is a high-value
vulnerability.
 On the other hand, a vulnerability that would require the attacker
to invest significant resources for equipment and people and
would only allow the attacker to gain access to information that
was not considered particularly sensitive would be considered a
low-value vulnerability.
 Vulnerabilities are not just related to computer systems and
networks. Physical site security, employee issues, and the
security of information in transit must all be examined.
Threat
 A threat is an action or event that might
violate the security of an information systems
environment.
 There are three components of threat:
 Targets The aspect of security that might be
attacked.
 Agents The people or organizations originating
the threat.
 Events The type of action that poses the threat.
Targets
 The targets of threat or attack are generally
the security services : confidentiality,
integrity, availability, and accountability.
 Confidentiality is targeted when the disclosure of
information to unauthorized individuals or
organizations is the motivation.
 Exemples: government information, salary information
or medical histories.
 Integrity is the target when the threat wishes to
change information.
 Examples: bank account balance, important database
Targets
 Availability (of information, applications, systems, or
infrastructure) is targeted through the performance of a
denial-of-service attack. Threats to availability can be
short-term or long-term.
 Accountability is rarely targeted. The purpose of such an
attack is to prevent an organization from reconstructing
past events. Accountability may be targeted as a prelude to
an attack against another target such as to prevent the
identification of a database modification or to cast doubt on
the security mechanisms actually in place within an
organization.
Targets
 Athreat may have multiple targets.
 For example, accountability may be the initial
target to prevent a record of the attacker’s actions
from being recorded, followed by an attack
against the confidentiality of critical organizational
data.
Agents
 The agents of threat are the people who may
wish to do harm to an organization. To be a
credible part of a threat, an agent must have
three characteristics:
 Access The ability an agent has to get to the
target.
 Knowledge The level and type of information an
agent has about the target.
 Motivation The reasons an agent might have for
posing a threat to the target.
Access
 An agent must have access to the system, network,
facility, or information that is desired.
 This access may be direct (for example, the agent
has an account on the system) or indirect (for
example, the agent may be able to gain access to
the facility through some other means).
 The access that an agent has directly affects the
agent’s ability to perform the action necessary to
exploit a vulnerability and therefore be a threat.
 A component of access is opportunity. Opportunity
may exist in any facility or network just because an
employee leaves a door propped open.
Knowledge
 An agent must have some knowledge of the target.
The knowledge useful for an agent includes
 User IDs
 Passwords
 Locations of files
 Physical access procedures
 Names of employees
 Access phone numbers
 Network addresses
 Security procedures
Knowledge
 The more familiar an agent is with the target,
the more likely it is that the agent will have
knowledge of existing vulnerabilities.
 Agents that have detailed knowledge of
existing vulnerabilities will likely also be able
to acquire the knowledge necessary to exploit
those vulnerabilities.
Motivation
 An agent requires motivation to act against the
target. Motivation is usually the key characteristic to
consider regarding an agent as it may also identify
the primary target.
 Motivations to consider include
 Challenge A desire to see if something is possible and be
able to brag about it.
 Greed A desire for gain. This may be a desire for money,
goods, services, or information.
 Malicious Intent A desire to do harm to an organization or
individual.
Agents to Consider
 A threat occurs when an agent with access and
knowledge gains the motivation to take action.
 Based on the existence of all three factors, the
following agents must be considered:
 Employees
 have the necessary access and knowledge to systems
because of their jobs.
 whether have the motivation to do harm to the organization.

 be counted when conducting a risk analysis.

Agents to Consider
 Ex-employees
 have the necessary knowledge to systems due to the
jobs that they held.
 may still have access to systems.
 Motivation depending upon the circumstances of the
separation, for example, if the ex-employee bears a
grudge against the organization.
Agents to Consider
 Hackers
 are always assumed to have a motivation to do harm
to an organization.
 may or may not have detailed knowledge of an
organization’s systems and networks.
 Access may be acquired if the appropriate
vulnerabilities exist within the organization.
Agents to Consider
 Commercial rivals
 should be assumed to have the motivation to learn
confidential information about an organization.
 may have a motivation to do harm to another
organization depending on the circumstances of the
rivalry.
 Such rival organizations should be assumed to have
some knowledge about an organization since they are
in the same industry.
 Knowledge and access to specific systems may not
be available but may be acquired if the appropriate
vulnerabilities exist.
Agents to Consider
 Terrorists
 are always assumed to have a motivation to do harm
to an organization.
 Terrorists will generally target availability. Therefore,
access to high-profile systems or sites can be
assumed (the systems are likely on the Internet and
the sites are likely open to some physical access).
 Specific motivation for targeting a particular
organization is the important aspect of identifying
terrorists as a probable threat to an organization.
Agents to Consider
 Criminals
 are always assumed to have a motivation to do harm
to an organization.
 tend to target items (both physical and virtual) of
value.
 Access to items of value, such as portable computers,
is a key aspect of identifying criminals as a probable
threat to an organization.
Agents to Consider
 general public
 must always be considered as a possible source of
threat.
 However, unless an organization has caused some
general offense to civilization, motivation must be
considered lacking. Likewise, access to and
knowledge about the specifics of an organization is
considered minimal.
Agents to Consider
 Companies that supply services to an
organization
 may have detailed knowledge and access to the
organization’s systems.
 Business partners may have network connections.
 Consultants may have people on site performing
development or administration functions.
 Motivation is generally lacking for one organization to
attack another but given the extensive access and
knowledge that may be held by the suppliers of
services, they must be considered a possible source
of threat.
Agents to Consider
 Customers of an organization
 may have access to the organization’s systems and
some knowledge of how the organization works.
 Motivation is generally lacking for one organization to
attack another but given the potential access that
customers may have, they must be considered a
possible source of threat.
Agents to Consider
 Visitors
 have access to an organization by virtue of the fact
that they are visiting the organization.
 This access may allow a visitor to gain information or
admission to a system. Visitors must therefore be
considered a possible source of threat.
Agents to Consider
 Disasters
 such as earthquakes, tornadoes, or floods do not
require motivation or knowledge.
 Disasters must always be considered possible
sources of threat.
Events
 Events are the ways in which an agent of
threat may cause the harm to an
organization.
 For example, a hacker may cause harm by
maliciously altering an organization’s Web site.
 Another way of looking at the events is to
consider what harm could possibly be done if
the agent gained access.
Events
 Misuse of authorized access to information,
systems, or sites
 Malicious alteration of information
 Accidental alteration of information
 Unauthorized access to information, systems, or
sites
 Malicious destruction of information, systems, or
sites
 Accidental destruction of information, systems, or
sites
 Malicious physical interference with systems or
operations
Events
 Accidental physical interference with systems or
operations
 Natural physical events that may interfere with
systems or operations
 Introduction of malicious software (intentional or not)
to systems
 Disruption of internal or external communications
 Passive eavesdropping of internal or external
communications
 Theft of hardware
Threat + Vulnerability = Risk
 Risk is the combination of threat and
vulnerability. Threats without vulnerabilities
pose no risk. Likewise, vulnerabilities without
threats pose no risk.
 The measurement of risk is an attempt to
identify the likelihood that a detrimental event
will occur.
Threat + Vulnerability = Risk
 Risk can be qualitatively defined in three levels:
 Low The vulnerability poses a level of risk to the
organization, however, it is unlikely to occur. Action to
remove the vulnerability should be taken if possible but the
cost of this action should be weighed against the small
reduction in risk.
 Medium The vulnerability poses a significant level of risk to
the confidentiality, integrity, availability, and/or
accountability of the organization’s information, systems, or
physical sites. There is a real possibility that this may
occur. Action to remove the vulnerability is advisable.
Threat + Vulnerability = Risk
 High The vulnerability poses a real danger to the
confidentiality, integrity, availability, and/or accountability of
the organization’s information, systems, or physical sites.
Action should be taken immediately to remove this
vulnerability.
 When available, the ramification of a successful
exploitation of a vulnerability by a threat must be
taken into account. If the cost estimates are
available, they should be applied to the risk level to
better determine the feasibility of taking corrective
action.
Xác định rủi ro
 Xác định rủi ro cho một tổ chức là xác định
tính dể bị xâm hại (vulnerability) của họ và
mối đe dọa (threat) đối với họ.
 Các rủi ro được xác định không nhất thiết liên
quan đến rủi ro hiện thời của một tổ chức.
 Việc xác định rủi ro cho một tổ chức phải đáp
ứng được nhu cầu của tổ chức đó
Các thành phần trong đáng giá
rủi ro của một tổ chức
Xác định tính dễ bị xâm hại
 Tính dể bị xâm hại của một tổ chức có thể ở tại các
điểm truy cập thông tin (về logic cũng như vật lý), bao
gồm
 Các kết nối Internet
 Các điểm truy cập từ xa
 Các kết nối đến các tổ chức khác
 Truy cập vật lý đến thiết bị
 Các điểm truy cập của người dùng
 Với mỗi điểm truy cập này, chúng ta cần xác định các
thông tin và hệ thống có thể bị truy cập, và cách để
truy cập vào các thông tin và hệ thống này
Xác định mối đe dọa thực
 Việc đánh giá mối đe dọa là một công việc chi tiết
và khó khăn. Nó bao gồm cả việc việc xác định các
đối thủ cạnh tranh với mình. Tuy nhiên, những mối
đe dọa thực sự thông thường là ẩn, cho đến khi sự
kiện đe dọa xuất hiện
 Một mối đe dọa có mục đích là sự kết hợp của một
agent, có khả năng truy cập và có động cơ để thực
hiện một hành vi đe dọa. Ví dụ, một nhân viên
(agent) làm trong một công ty (access) muốn biết
các thông tin chi tiêt về một công nghệ không được
phép (động cơ)
Xác định mối đe dọa thực
 Tuy nhiên, việc xác định các mối đe dọa có mục
đích là tốn nhiều thời gian và khó khăn. Để xác
định được chúng, chúng ta phải giả sử một mức
chung của các mối đe dọa. Thông thường, đó là
những người có khả năng tiềm tàng truy cập đến
hệ thống hay thông tin của một tổ chức (nhân
viên, khách hành, nhà cung cấp)
 Sau đó chúng ta có thể xem xét tính dễ bị xâm
hại của tổ chức; tính dễ bị xâm hại sẽ được
xem như là các rủi ro mà mối đe dọa sẽ khai
thác chúng.
Biện pháp đối phó
 Các biện pháp đối phó có thể là
 Firewalls
 phần mềm Anti-virus
 Điều khiển truy cập
 Các hệ thống xác thực
 Badges
 Sinh trắc học (Biometrics)
 « Card readers » để truy cập vào thiết bị
 Guards
 Điều khiển truy cập « File »
 Huấn luyện nhân viên
Xác định rủi ro
 Mỗi khi tính dể bị xâm hại, mối đe dọa và biện pháp
đối phó đã được xác định, chúng ta sẽ xác định
được các rủi ro của một tổ chức:
 Xác định các mối đe dọa tương ứng với một điểm truy cập
nào đó (tính bảo mật, tính toàn vẹn, tính có thể sử dụng và
tính accountability)
 Dựa trên sự thiệt hại có thể phải chịu, mỗi rủi ro sẽ được
phân loại ở mức cao, trung bình hay thấp.
 Cùng một tính dể bị xâm hại, các điểm truy cập khác nhau sẽ
có mức độ rủi ro khác nhau (attacker vs. employee)
Đo lường rủi ro
 Để có thể đo lường, các rủi ro sẽ được ấn
định các chi phí nếu một cuộc tấn công xảy
ra.
 Một rủi ro có thể không bao giờ loại bỏ được,
cho nên cần phải quản lý nó
 Rủi ro co thể được đo lường bằng tiền bac,
thời gian, tài nguyên, danh tiếng, thiệt hại
kinh doanh …
Đo lường rủi ro
Tiền
 Cách rõ ràng nhất để đo lường rủi ro là số tiền thiệt
hại của một tổ chức:
 Năng suất sản xuất bị mất
 Số tiền và thiết bị bị lấy
 Chi phí điều tra
 Chi phí sửa chữa hay thay thế hệ thống
 Chi phí mời chuyên gia cộng tác
 Chi phí nhân viên làm ngoài giờ
 Đôi khi, một vài chi phí không thể tính được cho đến
khi một sự kiện đe dọa xuất hiên. Do đó, các chi phí
cần phải được ước lượng trước.
Thời gian
 Việc đo lường bằng thời gian thường khó có
thể định lượng.
 Đó có thể là số lượng thời gian mà một nhân viên
kỹ thuật phải thực hiện khắc phục khi khi có một
sự kiện đe dọa diễn ra.
 Đó cũng có thể là thời gian ngưng hoạt động của
một hệ thống (ví dụ: Web site).
 Đó cũng có thể là thời gian chờ (delay) một sản
phẩm hay dịch vụ
Tài nguyên
 Rủi ro có thể được đo lường bằng số lượng
tài nguyên (bao gồm con người, hệ thống,
kết nối, ứng dụng …) được triển khai để khắc
phục khi một sự kiện đe dọa xảy ra. Khi đó
chi phi (bằng tiền) của các tài nguyên có thể
được tính đến. Tuy nhiên cũng tồn tại những
loại tài nguyên không thể tính chi phí bằng
tiền (ex. con người, kết nối mạng chậm)
Danh tiếng
 Sự mất hay giảm danh tiếng của một tổ chức
cũng là một chi phí quan trọng. Tuy nhiên
việc đo lường chi phí này là khó khăn.
 Ví dụ: dịch vụ ngân hàng, tổ chức từ thiện
Thiệt hại về kinh doanh
 Trong kinh doanh trên Internet, rủi ro có thể
được đo lường bằng thiệt hại về số lượng
những khách hàng mới không phục vụ được,
các mặt hàng mới cần bán, các sản phẩm
phải sản xuất … khi có một sự kiện đe dọa
xảy ra.
Phương pháp đo lường rủi ro
 Rõ ràng, nếu tất cả các rủi ro đều có thể chuyển được
thành tiền thì việc đo lường sẽ trở nên dễ dàng. Tuy
nhiên, thực tế không phải rủi ro nào đều có thể làm
được như thế.
 Chúng ta có thể đo lường rủi ro (về tiền, thời gian, tài
nguyên, danh tiếng và thiệt hại trong kinh doanh) bằng
việc đặt ra các câu hỏi. Khi mà các câu hỏi này được
trả lời, một danh sách các kết quả tiềm tàng về mỗi rủi
ro la được thực hiện và nó dùng để phát triển những
cách tiếp cận thích hợp trong quản lý rủi ro.
Phương pháp đo lường rủi ro
 Chi phí sẽ là bao nhiêu nếu một xâm phập thành công (về thời gian
phát hiện, thơi gian tư vấn và chi phí thiết bị)?
 Bao lâu sẽ khắc phuc được một xâm nhập?
 Một xâm nhập thành công sẽ ảnh hưởng thế nào đến kế hoạc sản
xuất các sản phẩm mới hay hiện tại?
 Tài nguyên nào bị ảnh hưởng nếu một xâm nhập thành công? Phần
nào của một tổ chức phu thuộc vào tài nguyên này?
 Một xâm nhập thành công ảnh hưởng thế nào đến danh tiêng một
tổ chức?
 Một xâm nhập thành công ảnh hưởng đến thiệt hại kinh doanh như
thế nào, bao nhiêu và loại kinh doanh nào?