Nội dung

 Giới thiệu
 Tình hình ATTT thế giới & Việt Nam
 Phân loại các lỗ hổng bảo mật
 Các kiểu tấn công mạng
 Các giải pháp phát hiện và phòng chống
 Hệ thống giám sát mạng
 Một số công cụ phân tích
 1.1 Giới thiệu
• An toàn máy tính
– Các công cụ bảo vệ dữ liệu và phòng chống tin tặc
• An toàn mạng
– Là bảo vệ hệ thống mạng, máy chủ, dữ liệu khỏi sự
phá hoại từ những đối tượng trên mạng
– Cung cấp các giải pháp phòng chống các nguy cơ
gây hại, truy cập từ những người dùng bất hợp
pháp vào hệ thống.
• An toàn thông tin
– An toàn thông tin nghĩa là thông tin được bảo vệ,
liên quan đến việc tổ chức xử lý và trao đổi thông
tin sao cho đảm bảo tính bảo mật, toàn vẹn, sẵn
sàng và tin cậy.

Bảo vệ thông tin trong quá trình truyền thông trên mạng!!!
Các loại hình tấn công
• Xem trộm thông tin • Thay đổi thông tin

• Mạo danh • Phát lại thông tin

Mô hình bảo mật truyền thông trên mạng
 Một số nguyên tắc cơ bản khi thiết kế các giải pháp bảo
vệ hệ thống thông tin
Xây dựng chính sách an Phân tích rủi ro Xây dựng các biện pháp
toàn thông tin (policies) (risk analysis) phát hiện (detection)

Xây dựng biện pháp Xây dựng giải pháp Cảnh giác
phòng chống (prevention) phản ứng (response) (vigilance)
Các thể thức an toàn mạng

• Access Control
• Confidentiality
• Integrity
• Availability
• Nonreputation
Access control – kiểm soát truy cập
• là khả năng giới hạn và kiểm soát các luồng truy cập tới các thiết
bị và ứng dụng; giúp hệ thống ngăn chặn các truy cập trái phép
vào hệ thống và hạn chế quyền truy cập cho từng người dùng cụ
thể. Kiểm soát truy cập có thể được áp dụng cho các tài nguyên vật
lý hoặc tài nguyên logic
• Liên quan đến 2 yếu tố: Authentication và Authorization
– Chức thực: xác nhận đối tượng được phép truy cập vào hệ thống

– Phân quyền: các hành động được phép thực hiện sau khi đã truy cập vào hệ thống
Tính bí mật (Confidentiality):
•Đảm bảo thông tin trong hệ thống không bị truy cập
trái phép. Ngăn chặn vấn đề xem trộn thông tin.
•Thực hiện dựa vào phần cứng và phần mềm (các kỹ
thuật mã hóa)

Tính toàn vẹn (integrity):

•Đảm bảo sự nguyên vẹn của dữ liệu trong quá trình
truyền thông hoặc trong quá trình lưu trữ dữ liệu
Tính sẵn sàng (availability):
•Đảm bảo dữ liệu và các tài nguyên trong hệ thống luôn khả dụng đối
với người dùng hợp pháp. Các yêu cầu từ phía người dùng cần được
đáp ứng kịp thời, dịch vụ cung cấp không bị gián đoạn

Tính chống chối bỏ (non-repudiation):

•Giúp ngăn chặn các đối tượng phủ nhận đã thực hiện một hành động
nào đó đối với hệ thống. VD: trong thương mại điện tử, khi một giao
dịch hoàn thành, cả bên mua và bên bán không thể chối bỏ việc tham
gia vào giao dịch. Kỹ thuật: chữ ký số.
Các chuẩn an toàn mạng
 Tình hình ATTT trên thế giới
Tấn công có mục tiêu (APT)
oTấn công vào lĩnh vực năng lượng, ngân hàng,
chính phủ,..

oChuyên bán các công cụ do thám mạng

oMã hóa dữ liệu

 Tình hình ATTT trên thế giới
Tội phạm mạng
oAdwind RAT (Remote Access Tool) hoạt
động theo kiểu Malware-as-a-Service
oRansomware-as-a-Service (RaaS)
oCác hiểm họa tấn công vào ngân hàng:
cướp ngân hàng kiểu APT, trộn tiền ngân
hàng với 4 kiểu phổ biến: online banking, e-
payment, điều khiển các máy ATM, thay đổi
số dư tài khoản).
oBán đấu giá “Vũ khí tấn công mạng”
 Tình hình ATTT trên thế giới
Mã độc vẫn tiếp tục tràn lan, công cụ tấn công APT,
ransomware, phishing,…Châu Á – Thái Bình Dương là khu vực
nguy cơ cao nhất với tại 5 nước Pakistan, Indonesia,
Bangladesh, Nepal, Vietnam
Xu hướng IoT
Internet của vạn vật sẽ phát triển nhanh chóng trong
thời gian tới và kèm theo đó là khai thác các lỗ hổng
trên các thiết bị IoT vốn khó nhận diện và kiểm soát
hơn ở mức độ người dùng.

5 mối quan tâm về bảo mật cho IoT

o Sự riêng tư: 90% thiết bị thu thập ít nhất một thông tin về người dùng
o Sự xác thực không đủ: 80% không yêu cầu mật khẩu đủ phức tạp
o Mã hóa ở tầng vận chuyển: 70% thiết bị sử dụng các dịch vụ mạng không mã hóa
o Giao diện Web: 60% có vấn đề với giao diện người dùng như Cross-site-scripting
thường trực, quản lý các session nghèo nàn, thông tin mặc định ban đầu yếu
o Phần mềm không an toàn: 60% không sử dụng mã hóa khi tải các bản cập nhật về
 Điều này có ý nghĩa gì?
Một số vấn đề ATTT hiện nay.
1)Lãnh đạo/ người đứng đầu của các tổ chức/doanh nghiệp chưa nhận biết
hết các hiểm họa tấn công mạng và ảnh hưởng đến hoạt động & kinh doanh

2)Kinh phí đầu tư cho bảo vệ ATTT còn hạn chế

3)Thiếu lực lượng chuyên môn về bảo mật – an toàn mạng

4)Chưa có thói quen thuê, mua dịch vụ về ATTT

5)Rất nhiều DN, tổ chức chưa triển khai các chính sách bảo vệ an toàn thông
tin, các hoạt động ngăn ngừa – phát hiện – phản ứng khi có sự cố mất an
toàn

6)Người dùng cuối chưa nhận thức đủ các hiểm họa trên mạng, nhất là
người sử dụng điện thoại smartphone kết nối vào Internet và sử dụng mạng
xã hội.
 Nâng cao nhận thức về an toàn thông tin cho toàn thể tổ chức, doanh nghiệp
o Thay đổi quan điểm của cấp lãnh đạo
o Tập huấn, đào tạo nâng cao nhận thức an toàn bảo mật thông tin cho toàn bộ nhân viên và cấp
quản trị trong doanh nghiệp, trong tổ chức
o Thử nghiệm, diễn tập các kiểu tấn công giả mạo vào doanh nghiệp

 Ưu tiên ngân sách (budget) cho các hoạt động về ATTT

o Hoạt động đầu tư trang thiết bị, công cụ, dụng cụ, giải pháp
o Chi phí cho các hoạt động thường xuyên về ATTT, lương cho chuyên gia và đội ngũ làm ATTT,
các hoạt động đào tạo – vận hành
o Các hoạt động đánh giá, huấn luyện, diễn tập về ATTT
o ..
 Nhân sự về ATTT
o Xây dựng đội ngũ chuyên về ATTT
o Tạo điều kiện cho những người làm ATTT tham gia các khóa đào tạo chuyên môn và chuyên sâu các
Hội thảo, diễn đàn chuyên môn
o Thành lập đội ứng cứu sự cố bảo mật CSIRT (Copmputer Security Incident, Response Team_) riêng
của doanh nghiệp, tổ chức

 Xây dựng, áp dụng các quy trình, quy định hoặc chuẩn quốc tế về ATTT
o Xây dựng hệ thống ISMS (Information Security Management System) và ISO 27001
o Xây dựng các chính sách về ATTT, các quy trình vận hành – bảo vệ - phát hiện – ngăn ngừa tái diễn –
phản ứng khi có sự cố
o Xây dựng kế hoạch duy trì kinh doanh liên tục BCP (Business Continuity Plab) và khôi phục thảm họa
(Disaster Recovery Plan)
 Khuyến nghị
 Đánh giá và bổ sung cho hệ thống bảo mật hiện tại

o Tự đánh giá hoặc mời bên thứ 3 đánh giá khả năng bảo mật của hệ thống hiện tại
o Lưu ý các xu hướng tấn công hiện nay để tổ chức bảo vệ phù hợp
 Xu hướng tấn công bằng các mã độc mới mà các phần mềm chống virus chưa
nhận diện được: phát hiện mã độc/virus dựa trên signature và behaviour
 Xu hướng tấn công bằng cách khai thác các lỗ hổng bảo mật: cập nhật các
bản vá lỗi, giải pháp cảnh báo các lỗ hổng bảo mật mới công bố:
 Tấn công APT, tấn công qua người dùng cuối và các thiết bị IoT….các hệ thống
bảo vệ đa chiều
o Triển khai hoặc thuê các giải pháp giám sát bảo mật và cảnh báo thường xuyên,
liên tục các thông tin về an toàn để ứng phó nhanh với các dấu hiện của sự cố
 Phân loại các lổ hổng bảo mật
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức
quan trọng để tiến hành những chính sách bảo mật có hiệu quả

Phân loại các lỗ hổng bảo mật

Lỗ hổng về mặt kỹ thuật
Lỗ hổng trong cấu hình hệ thống
Lỗ hổng trong chính sách bảo mật
 Phân loại các lổ hổng bảo mật
• Điểm yếu về mặt kỹ thuật: điểm yếu trong kỹ thuật gồm có điểm
yếu trong các giao thức, trong Hệ điều hành và các thiết bị phần cứng
như Server, Switch, Router,...

• Điểm yếu trong cấu hình hệ thống: đây là lỗi do nhà quản trị
tạo ra. Lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không
bảo mật tài khoản khách hàng, sử dụng các cấu hình mặc định trên
thiết bị…
 Phân loại các lổ hổng bảo mật
Điểm yếu trong chính sách bảo mật:

 Chính sách bảo mật diễn tả cách thức, qui định và vị trí
được thực hiện. Đây là điều kiện quan trọng giúp việc bảo
mật có hiệu quả tốt nhất… Mỗi công ty nên xây dựng một
chính sách bảo mật đặc thù cho đơn vị mình.

 Điểm yếu trong chính sách bao gồm: những điểm yếu trong
bản thân chính sách bảo mật của một tổ chức, của một hệ
thống mạng
Các kiểu tấn công mạng
Có nhiều dạng tấn công mạng đã được biết đến. Có
thể phân loại dựa vào những tiêu chí sau:

Dựa vào hành động của cuộc tấn công

Tấn công chủ động (active attack): kẻ
tấn công thay đổi hoạt động của hệ thống
và hoạt động của mạng khi tấn công làm
ảnh hưởng đến tính toàn vẹn, sẵn sàng
và xác thực của dữ liệu
Tấn công bị động (passive attack): kẻ
tấn công cố gắng thu thập thông tin từ
hoạt động của hệ thống và hoạt động của
mạng làm phá vỡ tính bí mật của dữ liệu.
Các kiểu tấn công mạng

Dựa vào nguồn gốc của cuộc tấn công

Tấn công từ bên trong: là những tấn công xuất
phát từ bên trong hệ thống mạng. Người sử dụng
muốn truy cập, lấy thông tin nhiều hơn quyền cho
phép
Tấn công từ bên ngoài: là những tấn công xuất
phát từ bên ngoài Internet hay các kết nối tuy cập từ
xa.
 Các kiểu tấn công mạng

Mặc dù có nhiều kiểu tấn công mạng nhưng để thực

hiện một cuộc tấn công xâm nhập, kẻ tấn công thường
thực hiện qua 5 bước cơ bản như sau:
(1) Khảo sát, thu thập thông tin
(2) Dò tìm
(3) Xâm nhập
(4) Duy trì xâm nhập
(5) Xóa dấu vết
 Các kiểu tấn công mạng
• Bước 1: Khảo sát, thu thập thông tin: kẻ tấn công
thu thập thông tin về nơi tấn công như phát hiện
các máy chủ, địa chỉ IP, các dịch vụ mạng, …
• Bước 2: Dò tìm: kẻ tấn công sử dụng các thông tin
thu thập được từ bước 1 để tìm kiếm thêm thông
tin về lỗ hổng, điểm yếu của hệ thống mạng. Các
công cụ thường được sử dụng cho quá trình này
là các công cụ quét cổng, quét IP, dò tìm lỗ hổng,
 Các kiểu tấn công mạng
- Bước 3: Xâm nhập: các lỗ hổng trong bước 2 được sử
dụng, khai thác để xâm nhập vào hệ thống. Ở bước này,
kẻ tấn công có thể dùng các kỹ thuật như: tràn bộ đệm, từ
chối dịch vụ (DoS), …
- Bước 4: Duy trì xâm nhập: Làm sao để duy trì các xâm
nhập này nhằm khai thác và xâm nhập tiếp trong tương lai.
• Một vài kỹ thuật như backboors, trojans… được sử
dụng.
• Một khi kẻ tấn công đã làm chủ hệ thống, chúng có thể
gây ra những nguy hại cho hệ thống như đánh cắp dữ
liệu hoặc phá hoại hệ thống. Ngoài ra, họ có thể sử
dụng hệ thống để tấn công vào các hệ thống khác như
loại tấn công DDoS
 Các kiểu tấn công mạng
• Bước 5: Che đậy, xóa dấu vết. Một khi kẻ tấn công đã xâm
nhập và cố gắng duy trì xâm nhập. Bước tiếp theo là làm
sao để xóa hết dấu vết để không còn chứng cứ pháp lí xâm
nhập. Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo
từ hệ thống phát hiện xâm nhập.
• Ở bước “Dò tìm” và “Xâm nhập” kẻ tấn công thường làm
lưu lượng kết nối mạng thay đổi khác bình thường rất
nhiều. Đồng thời tài nguyên của hệ thống máy chủ bị ảnh
hưởng đáng kể. Những dấu dấu hiệu này rất có ích cho
người quản trị mạng có thể phân tích và đánh giá tình hình
hoạt động của hệ thống mạng
 Các kiểu tấn công mạng
• Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 bước
trên.
• Làm sao để nhận biết hệ thống mạng đang bị tấn công,
xâm nhập ngay từ hai bước đầu tiên là hết sức quan
trọng.
• Ở tại bước thứ 3 là “Xâm nhập”, bước này không dễ dàng
đối với kẻ tấn công. Do vậy, khi không thể xâm nhập được
vào hệ thống, để phá hoại có nhiều khả năng kẻ tấn công
sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không
cho người dùng hợp lệ truy xuất tài nguyên hệ thống.
 Các công cụ phát hiện lỗ hổng mạng
Những kẻ phá hoại (hacker) lợi dụng những lỗ hổng bảo
mật để xâm nhập vào hệ thống  Như vậy, việc dò tìm
những điểm yếu trong hệ thống để có những biện pháp khắc
phục nhằm hạn chế các nguy hại cho hệ thống là cần thiết

Các thông tin từ nhà sản xuất phần cứng, phần mềm, các
bản vá lỗi nên được cập nhật thường xuyên là một trong
những giải pháp để bảo vệ cho hệ thống

Công cụ giúp phát hiện lỗ hổng phổ biến: Nmap,

Metasploit, Rentina Discovery Scan, Nessus, Nikto,..
 Các giải pháp phát hiện và phòng chống
IDS/IPS (Intrusion Detection System/Intrusion Prevention System)
 Các giải pháp phát hiện và phòng chống

• Phát hiện xâm nhập là một tập hợp các kỹ

thuật và phương pháp dùng để dò tìm những
hoạt động đáng nghi ngờ trên mạng.
• Một hệ thống phát hiện xâm nhập được định
nghĩa là một tập hợp các công cụ, phương
thức và tài nguyên giúp người quản trị xác
định, đánh giá và báo cáo hoạt động không
được phép trên mạng
 4. Các giải pháp phát hiện và phòng chống
- Các dấu hiệu tấn công ngày một tinh vi phức
tạp  thường xuyên cập nhật những dấu hiệu
mới.
- Có thể dựa vào những phân tích khác như
những dấu hiệu bất thường về lưu lượng,
hoạt động của CPU, RAM...  để có những
phản ứng kịp thời.
- Hệ thống giám sát mạng
 Các giải pháp phát hiện và phòng chống

• Nhu cầu về việc giám sát hệ thống mạng máy

tính ngày càng cao.
• Bên cạnh việc theo dõi mạng để phát hiện truy
cập trái phép, phòng chống xâm nhập còn là
việc giám sát lưu lượng mạng, giám sát các
thiết bị và dịch vụ mạng, giám sát nguồn tài
nguyên trên hệ thống.
Giám sát Snort qua BASE, Email, SMS
Hệ thống giám sát mạng
Hệ thống giám sát mạng (tt)
 5. Giới thiệu về hệ thống giám sát mạng
Giám sát traffic

- SNMP lấy thông tin từ các

thiết bị
- Crontab được thực thi
theo chu kỳ định trước (lập
lịch)
 5. Giới thiệu về hệ thống giám sát mạng

Giám sát các trạng thái host

- Giám sát tình trạng (up/down) của các thiết bị mạng

(Server, Switch, Router, firewall…)
- Phát cảnh báo bằng âm thanh (audio) khi một thiết bị
ngưng hoạt động
Giới thiệu về hệ thống giám sát mạng
Giám sát các dịch vụ mạng
Giới thiệu về hệ thống giám sát mạng
Giám sát traffic giữa các thiết bị kết nối
 Một số công cụ phân tích, đánh giá ANM

• Tìm kiếm thông tin domain: www.whois.net

• Xác định các Website chung host
www.domaintools.com/reverse-ip
• Nmap
• Wireshark,…
 Một số vấn đề khác
Quản trị mạng
(1) Triển khai phần mềm Endpoint và quản lý tập trung
•Yêu cầu:
– Triển khai các Endpoint xuống các máy Client trong hệ thống tự
động
– Quản lý tập trung qua chính sách
– Cập nhật, gỡ bỏ, triển khai các bản cập nhật, vá lỗi cho Endpoint
tự động
– Triển khai Endpoint qua hệ thống chi nhánh
– Report
•Các chương trình sử dụng
– Endpoint security và ePO để triển khai các Endpoint
– Sử dụng GPO của Windows cho việc triển khai
– Các đặc thù như Linux/MAC
 Một số vấn đề khác
Quản trị mạng
(2) Hardening Server
•Yêu cầu:
– Sử dụng các chương trình quản lý điểm yếu để vá các lỗi
đã được công bố
– Đối chiếu với các hướng dẫn ‘hardening’ cho từng hệ
thống riêng biệt
– Hardening cho từng hệ thống với các mức độ quan trọng
khác nhau: Database trong nội bộ, Website, File server…
– Quét điểm yếu hệ thống ở hai lớp mạng khác nhau và bắt
buộc qua firewall
•Các chương trình sử dụng
– Chương trình quản lý điểm yếu hệ thống Vulnerability
Management
 Một số tình huống
• Tình huống 1. Nguy cơ từ máy tính của khách hàng
• Mô tả tình huống:
– Khách hàng sử dụng hệ thống mạng của tổ chức/doanh nghiệp (Wifi
hoặc mạng có dây)
– Máy tính của khách hàng đã bị nhiễm mã độc trước đó
– Mã độc được phát tán trên hệ thống
• Các câu hỏi đặt ra
– Phạm vi tác động của tình huống này như thế nào? Các khu vực nào
cần cách ly?
– Các kiểm soát nào đã được thực hiện (trước khi có sự cố)
– Các công việc cần bổ trợ hoặc thực hiện khi có sự cố như thế xảy ra
– Mã độc có được kiểm soát sau khi khách hàng rời khỏi công ty?
– Nguyên nhân của vấn đề và khắc phục
 Một số tình huống
• Tình huống 2. Đối tác khai thác hệ thống khi
hỗ trợ người dùng
• Mô tả tình huống:
– Đối tác đề nghị sử dụng chương trình Team-Viewer/Net-support để hỗ trợ
người dùng trong công ty
– Chương trình Team-Viewer/Net-support đó được thiết lập tự động chạy khi
khởi động máy với mật khẩu cố định
– Trong thời gian hỗ trợ, đối tác đã sử dụng quyền hạn của nhân viên và sử
dụng tính năng truyền tải tập tin an toàn (VPN file transfer trên Team-Viewer)
để truyền tải file ra ngoài; hoặc sử dụng các chương trình khai thác để tìm mật
khẩu của nhân viên và lợi dụng lỗ hổng của Windows để nâng quyền…
• Các câu hỏi đặt ra
– Phạm vi tác động và tầm ảnh hưởng như thế nào?
– Các giới hạn cho việc kiểm soát truy cập từ xa từ phía đối tác?
– Các thông tin cần tìm lại để truy vết và biện pháp tìm kiếm các khả năng để lại
back-door
– Biện pháp thực hiện khắc phục sau sự cố.
 Một số tình huống
• Tình huống 3. Nhân viên quản trị nghỉ việc
– Về vấn đề tuân thủ
• Bảng mô tả quyền hạn và phân quyền cho người dùng khi truy cập hệ thống
thông tin
• Các điều kiện sử dụng tài khoản đặc quyền và các phương thức kiểm soát việc
này
• Quản lý các điểm yếu bảo mật (Vulnerability Management, Patch
Management)
• Audit (kiểm toán) hệ thống theo tiêu chuẩn ISO/PCI
– Database Vulnerability Scanning
– Endpoint encryption
– DLP (endpoint DLP, network DLP)
• SIEM (Vulnerability Scan; Firewall, IPS, Web + Mail gateway: Logs)
• Phân tích Logs khi có sự cố
– Những gì cần chú ý khi nhân viên quản trị nghỉ việc
– Các hình thức, công cụ, phương tiện hoặc các kiểm soát cần tiến hành.
Q&A