Tương tác giữa các thực thể trong tình huống ra quyết định về an ninh
Hình 1: Sơ đồ tương tác giữa các thực thể trong tình huống ra quyết định về an ninh
Chúng ta đã biết rằng, người sử dụng luôn là điểm yếu nhất trong các hệ thống nói chung và hệ thống an ninh nói riêng. Bài này góp phần cùng bàn luận về những mối quan tâm mà chủ sở hữu cần xem xét khi xây dựng hệ thống an ninh để bảo vệ khối tài sản giá trị của mình (khối tài sản ở đây có thể là thông tin).
Trước hết, sơ đồ tương tác giữa các thực thể được Bruce Schneier [1] xây dựng và đã được công bố gần đây trong một bài viết đăng trên tạp chí IEEE Security and Privacy. Sơ đồ đã có sự chỉnh sửa so với nguyên gốc, đó là việc nhóm con người tin cậy và hệ thống tin cậy trong một thực thể chung là đơn vị chức năng, nơi có trách nhiệm thay mặt cho chủ sở hữu thực hiện các chính sách an ninh bảo vệ tài sản của chủ sở hữu (hình 1).
Với quyền sở hữu tài sản, chủ sở hữu là người ra các quyết định liên quan đến an ninh cho khối tài sản mà họ sở hữu. Quá trình ra quyết định thực tế chịu rất nhiều áp lực, có nhiều nguồn thông tin cần quan tâm xử lý. Trong đó, có thể kể đến những báo cáo phân tích về hiểm họa, những lợi ích cần thỏa mãn đối với người sử dụng hợp pháp và những thiết kế dự án mà đơn vị chức năng đệ trình bên cạnh những khía cạnh kinh tế - xã hội khác cần phải điều hòa. Hiệu quả của hệ thống an ninh cần phải được xem xét trong tổng hòa các mối quan hệ và đôi khi trở thành nhỏ bé.
Theo Bruce, trung tâm của hệ thống an ninh là khối tài sản cần được bảo vệ. Hệ thống an ninh có thể gặp một trong hai sai lầm là không ngăn cản được hành động tấn công hoặc ngăn cản người sử dụng hợp pháp sử dụng các tài sản mà nó bảo vệ. Dĩ nhiên là người sử dụng luôn nhiều hơn kẻ phá hoại và vì thế sai lầm thứ hai nguy hại hơn. Như một tất yếu, chủ sở hữu luôn ra những quyết định đem lại thuận lợi cho việc sử dụng. Hệ thống an ninh phải đáp ứng sự thỏa hiệp đó. Có ý kiến cho rằng, cách bảo đảm an toàn tốt nhất là đem tài sản chôn giấu ở một nơi nào đó bí mật (chôn giấu vàng xưa kia chẳng hạn), nhưng điều gì sẽ xảy ra nếu chủ sở hữu bị đột tử mà không kịp dặn dò hậu duệ? Vì vậy ngày nay, đặc biệt là đối với tài sản là thông tin thì không thể làm như vậy.
Hiểm họa an ninh xuất hiện từ những mối đe dọa đối với toàn hệ thống. Kẻ tấn công (kể cả những đe dọa tự nhiên như mưa lụt, bão lũ...) có mục đích hoặc không có mục đích rõ ràng thông qua hành động đẩy hệ thống an ninh đứng trước những hiểm họa mà nó có thể chống đỡ hoặc bị khuất phục. Tuy nhiên, nhận thức của con người lại là một quá trình lịch sử và do đó không phải mọi hiểm họa đều được nhận thức đầy đủ. Có nghĩa là hệ thống an ninh mà con người dựng lên chỉ sẵn sàng đối phó được với những gì đã biết rõ. Việc dự phòng thảm họa là một ví dụ, một chuyên gia kiểm toán hệ thống có kinh nghiệm hơn 10 năm công tác cho rằng phần lớn những danh mục kiểm toán hệ thống mà ông phải kiểm tra đều có mục: Hệ thống dự phòng thảm họa có hoạt động không? (C/K). Đúng ra, để đảm bảo an ninh, mục này cần phải yêu cầu kiểm tra xem: Hệ thống dự phòng thảm họa chạy đến khi nào thì hỏng? Sự khác nhau giữa hai phép thử là rất lớn. Một chuyên gia khác cũng cho rằng, phân tích các vụ hệ thống an ninh bị bẻ gãy hầu hết đều xuất hiện những vấn đề mới cần bổ sung cho danh sách những hiểm họa đã biết.
Người sử dụng hợp pháp, như đã phân tích trước đây [2], là một điểm yếu của hệ thống. Một mặt, họ góp phần làm giàu thêm kiến thức về hiểm họa, mặt khác, do nhiều lý do khác nhau họ có thể trở thành kẻ tấn công từ bên trong hoặc tiếp tay cho bên ngoài (trong trường hợp này họ là nội gián). Chúng ta có thể liên tưởng đến những tên khủng bố cuồng tín tìm cách làm nổ máy bay trên bầu trời trong khi chính mình là một hành khách trong chuyến bay đó. Về mặt xã hội, nhiều người trong số này luôn lớn tiếng phàn nàn về hệ thống an ninh mỗi khi họ quên cách thức đã được hướng dẫn tỉ mỉ (đôi khi chỉ gồm gõ một vài phím và sau đó là bấm OK).
Cũng xuất phát từ góc độ con người tham gia hệ thống, chúng ta hãy xem xét đơn vị chức năng. Đây là một bộ phận có nhiệm vụ thực hiện chính sách an ninh, thực tế họ cũng còn là người chuẩn bị (tham mưu) chính sách để chủ sở hữu ban hành. Dưới góc độ kỹ thuật, hạn chế của bộ phận nhân sự được tin cậy này sẽ là những hạn chế của chính sách, của thực hành chính sách an ninh. Chuyên viên thiết kế hệ thống có thể lý luận rằng: hiểm họa là vô bờ bến, là không thể nhìn thấy hết được, để đi đến kết luận rằng: Mô hình gọn nhất là mô hình trong đó chỉ có một câu hỏi “Kiểm toán hệ thống có yêu cầu không? (C/K)”. Nếu có, có nghĩa là hệ thống phải đáp ứng, nếu không thì đó là một lựa chọn mà câu trả lời được mặc định là không. Quy trình thiết kế sẽ dựa vào danh mục cần kiểm toán hệ thống. Rõ ràng cách làm việc này là cứng nhắc và không bao giờ có thể giải quyết được trọn vẹn yêu cầu an ninh.
Gần đây có nhiều thông tin cho thấy một số hệ thống đã áp dụng một chiến thuật đánh lừa các tấn công bằng cách cho xây dựng những kho chứa đồ “giá trị” nhưng có hình thức sơ hở nhằm thu hút những đợt tấn công hướng tới để hy vọng rằng mục tiêu chính sẽ ít bị chú ý hơn. Nếu đứng trên góc độ phân tích mật độ thông tin trao đổi, có lẽ đây là một biện pháp có nhiều hy vọng. Bạn đọc quan tâm đến vấn đề này có thể tìm hiểu về thuật ngữ honey-pot mới xuất hiện gần đây trong cộng đồng Internet. Một ý nghĩa khác mà Bruce Schneier đề cập khi đưa vào mô hình của mình thực thể mục tiêu khác, đó chính là sự cường điệu hóa về những mối họa không thực tế đối với hệ thống. Kẻ tấn công vẫn có mục đích, vẫn sẵn sàng hành động nhưng hướng tới một mục tiêu khác chứ không phải là khối tài sản của ta. Trong trường hợp này, phải chăng sự tính toán là quá mức cần thiết?
Có lẽ còn nhiều vấn đề để suy ngẫm về sơ đồ ra quyết định mà Bruce Schneier đề xuất. Chẳng hạn như đáp ứng của hệ thống an ninh trong trường hợp bị tấn công và trường hợp người sử dụng gặp khó khăn. Liệu các đáp ứng này có gợi mở (tiết lộ) thông tin gì cho kẻ tấn công? Liệu đáp ứng “hư ảo” có làm cho người sử dụng nản chí mà không đoái hoài đến nguồn lực nữa?