NIST và toàn vẹn dữ liệu chống lại các tấn công của mã độc tống tiền (Phần II)
SP 1800-26 TOÀN VẸN DỮ LIỆU: PHÁT HIỆN VÀ ỨNG PHÓ VỚI MÃ ĐỘC TỐNG TIỀN VÀ CÁC SỰ KIỆN PHÁ HOẠI KHÁC
SP 1800-26 (Hình 1) tập trung vào thời điểm khi xảy ra một cuộc tấn công toàn vẹn dữ liệu. Kiến trúc này biểu thị rằng các chính sách và công cụ cần ở đúng chỗ để phát hiện và phản hồi các sự kiện toàn vẹn dữ liệu. Trước một sự kiện, thông tin phải được thu thập để hiểu phạm vi của hoạt động bình thường, phải có công cụ để phát hiện bất kỳ sai lệch nào so với bình thường thì mới đảm bảo được sự kiện toàn vẹn dữ liệu. Các chính sách phải được thiết lập để đáp ứng một cách hiệu quả và thực tế. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ, thủ tục để phát hiện các sự kiện toàn vẹn dữ liệu và phản hồi một cách thích hợp, kịp thời.
Hình 1. Kiến trúc của SP 1800-26
Năng lực giám sát toàn vẹn tiếp tục được sử dụng trong kiến trúc này. Tuy nhiên, trọng tâm chuyển từ việc thiết lập các ranh giới cho tài sản và dữ liệu của chúng sang việc giám sát chúng để phát hiện những thay đổi trái phép. Năng lực Ghi nhật ký cung cấp khả năng tổng hợp nhật ký từ nhiều nguồn. Các nhật ký này được đưa vào năng lực Phát hiện sự kiện, nó có khả năng chỉ ra các sự kiện như phần mềm độc hại, sự xâm nhập và các hiện tượng bất thường có thể có tác động không mong muốn đến tính toàn vẹn của dữ liệu của tổ chức. Năng lực Phát hiện sự kiện biến các bản ghi thành thông tin được các chuyên gia bảo mật dễ dàng phân loại. Năng lực Điều tra/Phân tích cũng sử dụng nhật ký tổng hợp để khám phá nguồn gốc và ảnh hưởng của bất kỳ sự kiện phá hoại nào đối với dữ liệu và cho phép các Nhóm bảo mật thực hiện các thay đổi cần thiết để ngăn chặn các sự kiện tương tự trong tương lai.
Năng lực Giảm thiểu và Kiểm soát cung cấp khả năng hạn chế ảnh hưởng của sự kiện phá hoại đối với doanh nghiệp và dữ liệu của doanh nghiệp. Phản hồi có thể được tự động hóa hoặc tích hợp với hoạt động của Nhóm bảo mật, có thể dẫn đến dừng thực thi các chương trình liên quan, vô hiệu hóa tài khoản người dùng, ngắt kết nối hệ thống khỏi mạng hoặc hơn thế nữa, tùy thuộc vào mối đe dọa.
Thành phần Lập báo cáo chủ yếu là giao diện giữa các thành phần khác nhau của kiến trúc và Nhóm bảo mật. Nó cho phép thông báo qua email và trang tổng quan dựa trên các sự kiện được xác định trước, tùy thuộc vào nhu cầu của tổ chức. Năng lực Lập báo cáo được sử dụng tốt nhất trong suốt thời gian diễn ra sự kiện. Chúng có thể được sử dụng để cảnh báo cho nhóm bảo mật khi sự kiện bắt đầu, cũng như cung cấp thông tin cập nhật trạng thái thường xuyên khi sự kiện không diễn ra hoặc vừa kết thúc.
Khi các thành phần này hoạt động cùng nhau, các nhóm bảo mật và các công cụ của họ sẽ được kích hoạt để phát hiện sự kiện mất tính toàn vẹn của dữ liệu và phản hồi đối với sự kiện.
SP 1800-11 TOÀN VẸN DỮ LIỆU: PHỤC HỒI TỪ MÃ ĐỘC TỐNG TIỀN VÀ CÁC SỰ KIỆN PHÁ HOẠI KHÁC
SP 1800-11 (Hình 2) cho thấy rằng nếu tính toàn vẹn của dữ liệu bị đe dọa, nhiều hệ thống sẽ phối hợp hoạt động để khôi phục sau sự kiện này. Giải pháp đề xuất các khả năng, khám phá các vấn đề xung quanh việc kiểm toán và báo cáo để hỗ trợ phục hồi, điều tra. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ và thủ tục để khôi phục thành tập dữ liệu ở trạng thái tốt lúc cuối cùng.
Hình 2. Kiến trúc của SP 1800-11
Để khôi phục sau khi mất tính toàn vẹn của dữ liệu, một tổ chức phải thực hiện hành động trước khi sự kiện phá hoại xảy ra. Trong khi trọng tâm của dự án này là các quy trình khôi phục, nó cũng chứng minh rằng những năng lực phải có sẵn để tạo điều kiện cho việc khôi phục.
Một năng lực quan trọng cần có là năng lực Sao lưu dữ liệu để lưu trữ các bản sao mà một tổ chức đã dành ưu tiên. Như vậy, dữ liệu bị xâm phạm được khôi phục từ các phiên bản trước đó không bị xâm phạm trong các tệp sao lưu hiện có. Một phương pháp để đảm bảo rằng các tệp sao lưu này không bị thay đổi cho đến khi chúng cần đến là lưu trữ chúng bằng năng lực Lưu trữ an toàn, giúp giảm hoặc loại bỏ rủi ro đối với dữ liệu được lưu trữ.
Để hiểu dữ liệu nào cần được khôi phục, năng lực Kiểm tra hư hỏng được sử dụng. Công cụ này có thể xác định trạng thái tốt gần đây nhất và giám sát việc khôi phục dữ liệu về trạng thái đó. Năng lực Ghi nhật ký là quan trọng để ghi lại thông tin liên quan và cung cấp thông tin đó cho những người ra quyết định.
Những năng lực này, kết hợp với vai trò của chúng trước khi sự kiện xảy ra, cho phép tổ chức khôi phục một cách thích hợp khi mất tính toàn vẹn của dữ liệu.
TÍCH HỢP DỰ ÁN
Việc xây dựng một bộ toàn vẹn dữ liệu toàn diện giải quyết tất cả các chức năng của Khung an ninh không gian mạng đòi hỏi phải áp dụng tất cả các dự án nói trên. Tuy nhiên, mỗi dự án đều có các thành phần của kiến trúc chồng chéo lên nhau. Do đó, việc áp dụng tất cả các kiến trúc không chỉ đơn thuần là việc xây dựng ba kiến trúc mà còn là sự tích hợp và phủ chồng của ba kiến trúc. Hình 3 mô tả cách tích hợp và ghép chồng ba kiến trúc. Nó cũng cung cấp hướng dẫn về những cân nhắc và hạn chế mà tổ chức cần giải quyết khi sử dụng kiến trúc.
Hình 3. Kiến trúc được kết hợp lại
Một giải pháp toàn vẹn dữ liệu kết hợp được thiết kế để triển khai các công nghệ từ cả ba hướng dẫn thực hành. Nó tìm cách triển khai các biện pháp kiểm soát an toàn đã được nêu trong ba hướng dẫn thực hành thông qua một kiến trúc đảm bảo an toàn kết hợp. Hình 3 cung cấp một cái nhìn ở mức cao của các thành phần cần thiết và các luồng dữ liệu tồn tại giữa chúng.
Các thành phần có chứa ô màu xám (đường viền liền nét) có thể được tìm thấy trong SP 1800-25 và tập trung vào chức năng xác định và bảo vệ. Có thể tìm thấy các thành phần chứa màu xanh lam (đường viền đứt nét) trong SP 1800-26, tập trung vào chức năng phát hiện và phản hồi. Các thành phần có chứa màu xanh lá cây (đường viền chấm) có thể được tìm thấy trong SP 1800-11 và tập trung vào chức năng khôi phục. Những thành phần nào có nhiều màu thì xuất hiện trong nhiều hướng dẫn thực hành và thể hiện các điểm tích hợp chìa khóa giữa chúng.
Các năng lực Giám sát toàn vẹn và Kiểm tra hư hỏng đã được kết hợp trong Hình 3 do các vai trò và các luồng dữ liệu tương tự của chúng trong các giải pháp toàn vẹn dữ liệu tương ứng.
KẾT LUẬN
Sử dụng hướng dẫn [5], tổ chức có thể tích hợp và áp dụng một cách chặt chẽ sự chỉ đạo trong bộ hướng dẫn thực hành về Toàn vẹn Dữ liệu: SP 1800-11, SP 1800-25, SP 1800-26. Việc này sẽ cho phép một tổ chức giải quyết các nhu cầu đảm bảo an toàn liên quan đến tính toàn vẹn dữ liệu trên tất cả 05 chức năng cốt lõi của Khung an toàn không gian mạng của NIST: Xác định, Bảo vệ, Phát hiện, Phản ứng và Phục hồi. Một khi tất cả các công cụ và hệ thống cần thiết được tích hợp, hướng dẫn [5] cũng cung cấp phương pháp không ngừng cải thiện tình hình an ninh mạng của tổ chức bằng cách áp dụng hiệu quả thông tin thu thập được từ mỗi bước vào các lĩnh vực khác. Cuối cùng, các tổ chức sẽ chuẩn bị tốt hơn để xử lý tác động của sự kiện toàn vẹn dữ liệu trong doanh nghiệp của họ.
|
TÀI LIỆU THAM KHẢO 1. NIST Cybersecurity Framework. Framework for Improving Critical Infrastructure Cybersecurity-v1., 16/4/2018. Available: https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11 2. NIST SP 1800-11 Data integrity: Recovering from Ransomware and other destructive events. 9/2020. https://www.nccoe.nist.gov/data-integrity-recovering-ransomware-and-other-destructive-events 3. NIST SP 1800-25 Data integrity: Identifying and Protecting Assets against ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/identify-protect 4. NIST SP 1800-26 Data integrity: Detecting and Responding to ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond 5. Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides, (draft), 1/10/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond. |
Trần Duy Lai
