Một số hoạt động tác nghiệp an toàn thông tin trong không gian mạng
Quản lý ứng phó sự cố là các hành động được thực hiện nhằm giám sát, phát hiện và thực hiện ứng phó với các biến cố an toàn gây hại đến tính bí mật, tính toàn vẹn và tính sẵn sàng của các thông tin được xử lý, lưu trữ và truyền tải trên mạng. Việc quản lý sự cố đòi hỏi phải có một quy trình, với một nhóm chuyên gia đủ kỹ năng để thực hiện quy trình ứng phó sự cố, được gọi là Đội ứng phó sự cố.
Quy trình ứng phó sự cố: Mỗi tổ chức cần định nghĩa một quy trình xử lý sự cố phù hợp với tổ chức của họ, phụ thuộc vào các rủi ro mà hệ thống của họ có thể găp phải. Quy trình cung cấp phương pháp phù hợp để đội ứng phó sự cố thực hiện, nhằm đảm bảo rằng tiến trình xử lý sự cố và phục hồi các dịch vụ nhanh nhất có thể và gây ảnh hưởng ít nhất lên các hoạt động của tổ chức, đảm bảo yêu cầu hoạt động liên tục. Quy trình ứng phó sự cố bao gồm sáu bước:
Bước 1, chuẩn bị: Bước này yêu cầu thực hiện đánh giá tác động của các sự cố lên mỗi hoạt động của tổ chức và xác định những bước cụ thể để làm giảm hoặc xử lý nó. Trong bước này cần ra một kế hoạch ứng phó sự cố bao gồm các bước thực hiện trong trường hợp khẩn cấp. Kế hoạch nên dễ hiểu, có thể sử dụng bởi những người không tạo ra nó nhưng cần phải sử dụng trong trường hợp khẩn cấp.
Bước 2, xác định sự cố: Mục đích của bước này là để phân tích xác định xem sự cố có thực xảy ra không, đồng thời phân loại và gán độ ưu tiên cho sự cố để thực hiện các hành động xử lý phù hợp.
Bước 3, hạn chế: Mục đích của bước này là để hạn chế phạm vi và tầm ảnh hưởng của sự cố xảy ra trong khi thực hiện các bước để loại bỏ sự cố. Bước này phải được thực hiện càng sớm càng tốt ngay sau khi phát hiện được sự cố.
Bước 4, loại bỏ: Thực hiện loại bỏ các nguyên nhân của sự cố như loại bỏ virus, xác định danh tính của thủ phạm hoặc sa thải các nhân viên đã gây ra sự cố.
Bước 5, khôi phục: khôi phục lại hoạt động bình thường cho hệ thống. Khi quá trình khôi phục đã kết thúc, cần thực hiện kiểm tra lại xem hoạt động đã thành công và hệ thống trở lại tình trạng bình thường như trước hay chưa.
Bước 6, rút ra bài học kinh nghiệm: Bước này chủ yếu đề cập đến quá trình xem lại sự việc và rút ra các bài học kinh nghiệm để thực hiện tốt hơn khi gặp lại sự cố tương tự. Đồng thời, đây cũng là một thời điểm tốt để xem xét đánh giá lại các biện pháp phòng ngừa trên các khía cạnh như: tính đúng đắn của biện pháp và sự phù hợp về chi phí cho các nguồn tài nguyên đã sử dụng.
Đội ứng phó sự cố do từng tổ chức xây dựng lên. Đây là một tổ chức dịch vụ có trách nhiệm tiếp nhận, xem xét và xử lý sự cố an toàn đã được báo cáo. Một đội ứng phó có thể là một nhóm chính thức hoặc một đội ngũ biệt phái. Một nhóm chính thức sẽ thực hiện công tác ứng phó sự cố như chức năng công việc chính của họ. Nhóm biệt phái chỉ tham gia trong một sự cố an toàn máy tính đang diễn ra hoặc để đối phó với sự cố khi có nhu cầu. Thành viên của đội xử lý sự cố thường có kỹ năng về kỹ thuật, giao tiếp tốt, có khả năng giải quyết các công việc khẩn cấp và thường bao gồm các thành phần như: Lãnh đạo cơ quan, trợ lý truyền thông, các chuyên viên quản lý sự cố, các chuyên viên quản lý điểm yếu, phân tích viên, các chuyên gia công nghệ. Ngoài ra, đội cũng có thể bao gồm các thành viên khác như: quản trị hệ thống, nhân viên hỗ trợ kỹ thuật, các lập trình viên và các nhân viên về pháp lý.
2. Hoạt động phân tích mã độc hại
Mục tiêu của phân tích mã độc là để hiểu được cách thức hoạt động của mã độc cũng như biện pháp phát hiện và xử lý nó. Trong các phần mềm phòng chống mã độc, hoạt động phân tích mã độc hại đóng một vai trò quan trọng trong việc cung cấp các mẫu nhận dạng giúp cho phần mềm đó phát hiện và loại bỏ mã độc.
Trước khi thực hiện phân tích mẫu mã độc, chuyên gia phân tích tạo ra một bản gốc của hệ thống bao gồm các tệp đang tồn tại (tên, giá trị băm, nhãn thời gian), nội dung của registry, nội dung bộ nhớ… trong trạng thái đang hoạt động bình thường.
Bước 1: Tạo ra/phục hồi bản sao lưu toàn bộ thông tin hệ thống ở trạng thái sạch (môi trường chưa có mã độc), sau khi thực hiện xong quy trình phân tích mã độc, hệ thống sẽ được phục hồi trở lại trạng thái ban đầu này để tiếp tục thực hiện phân tích các mẫu mã độc khác.
Bước 2: Đưa mã độc vào trong môi trường phân tích
Bước 3: Thiết lập các tham số của môi trường, khởi động các công cụ phân tích trước khi thực hiện kích hoạt mã độc
Bước 4: Thực hiện kích hoạt mã độc
Bước 5: Thu thập các dữ liệu mã độc thực hiện hành vi của nó trong môi trường phân tích
Bước 6: Thực hiện phân tích mã độc dùng phương pháp phân tích tĩnh, phân tích động hoặc kết hợp cả hai phương pháp để tìm ra nguyên lý, cơ chế hoạt động của mã độc, đưa ra dấu hiệu nhận biết và đưa ra biện pháp phòng chống, xử lý mã độc.
Bước 7: Người phân tích mã độc tổng hợp, lập báo cáo về mẫu mã độc
3. Hoạt động đánh giá an toàn hệ thống
Đánh giá an toàn hệ thống là quá trình xác định khả năng đáp ứng mục tiêu an toàn thông tin của đối tượng được đánh giá, ví dụ: máy chủ, hệ thống mạng, thủ tục, con người... Ba loại phương pháp đánh giá có thể được sử dụng để thực hiện như: kiểm thử, kiểm tra và phỏng vấn…
Việc đánh giá an toàn thông tin phải sử dụng đến các nguồn tài nguyên như: thời gian, con người, phần cứng và phần mềm. Tài nguyên thường là có giới hạn, bởi vậy phải lựa chọn phương pháp đánh giá nhằm xác định nguồn tài nguyên cần thiết và cấu trúc đánh giá phù hợp, để giảm thiểu sự tiêu tốn nguồn tài nguyên. Phương pháp luận cũng sẽ đưa ra khả năng tổ chức để có thể tái sử dụng các nguồn tài nguyên, ví dụ chuyên gia đánh giá được đào tạo và chuẩn hóa kỹ năng để làm giảm thời gian và chí phí trang bị các công cụ đánh giá. Phương pháp luận đánh giá nên bao gồm tối thiểu các bước sau:
Bước 1, lập kế hoạch: Là giai đoạn quan trọng nhằm thu thập các các thông tin cần thiết cho quá trình đánh giá như: các đối tượng (tài sản) đánh giá, các nguy cơ có thể xảy ra và các biện pháp an toàn để làm giảm các nguy cơ đối với tài sản. Một quá trình đánh giá an toàn nên được thực hiện như một dự án. Việc lập kế hoạch quản lý dự án để chỉ rõ mục đích, phạm vi, yêu cầu, vai trò, trách nhiệm, nguồn tài nguyên sử dụng, thời gian, lịch trình thực hiện dự án.
Bước 2, thực hiện: Mục đích chính của bước này là xác định các điểm yếu của hệ thống được đánh giá và xác nhận tính đúng đắn của phương pháp đánh giá. Bước này thực hiện các hành động theo các phương pháp và kỹ thuật đánh giá đã xác định.
Bước 3, phát hiện: Là bước tập trung vào việc phân tích các lỗ hổng bảo mật, xác định nguyên nhân gây ra, đưa ra các biện pháp làm giảm nhẹ và lập báo cáo.
Có nhiều kỹ thuật kiểm thử và kiểm tra khác nhau và được phân thành ba loại:
- Kỹ thuật rà soát: đây là kỹ thuật kiểm tra được sử dụng để đánh giá các hệ thống, ứng dụng, chính sách và thủ tục nhằm tìm ra các điểm yếu, và thường được thực hiện thủ công (bằng tay). Kỹ thuật này được thực hiện thông qua các tài liệu, tệp nhật ký, tệp luật và các cấu hình hệ thống, chặn bắt gói tin trên mạng và kiểm tra tính toàn vẹn các tệp tin.
- Kỹ thuật quét điểm yếu: Đây là kỹ thuật kiểm thử hệ thống để xác định sự tồn tại của các cổng mở, các dịch vụ và các điểm yếu tiềm năng. Kỹ thuật này có thể được thực hiện thủ công hoặc bằng các công cụ quét tự động, để thực hiện khám phá hệ thống mạng, quét điểm yếu của các dịch vụ, quét mạng không dây, kiểm tra sự an toàn của các ứng dụng, …
- Kỹ thuật khai thác điểm yếu: Là kỹ thuật sử dụng các công cụ phần mềm, thực hiện thủ công hoặc tự động để khai thác hệ thống nhằm xác định các điểm yếu như: phá mật khẩu, kiểm thử thâm nhập, kỹ nghệ xã hội và khai thác lỗi phần mềm.
Đội đánh giá an toàn hệ thống là một nhóm chuyên gia an toàn mạng, có trách nhiệm cùng với các quản trị viên hệ thống xây dựng các kế hoạch đánh giá phù hợp; Thực hiện các kiểm thử, kiểm tra để thu thập thông tin hệ thống; Phân tích dữ liệu đã thu thập và xác định biện pháp an toàn để làm giảm rủi ro; Thực hiện kiểm tra, kiểm thử hệ thống để xác nhận các biện pháp an toàn đã được thực thi.
4. Hoạt động tác nghiệp mật mã
Hoạt động tác nghiệp mật mã trong đảm bảo an toàn mạng là nghiên cứu, sử dụng các công cụ mật mã để đảm bảo tính bí mật, toàn vẹn và chân thực thông tin khi lưu trữ, xử lý và truyền đi trên mạng máy tính.
Vai trò chính của mật mã trong đảm bảo an toàn mạng là: Đảm bảo tính bí mật cho thông tin khi lưu trữ và khi truyền đi qua hệ thống mạng; Đảm bảo tính toàn vẹn của thông tin khi lưu trữ và khi truyền tải qua hệ thống mạng; Đảm bảo tính chân thực của nguồn gốc dữ liệu; Đảm bảo tính chân thực của đối tác liên lạc qua mạng.
Nhiệm vụ tác nghiệp mật mã bao gồm: Thiết lập, vận hành, giám sát hoạt động của phân hệ mật mã trong các hệ thống thông tin; Xây dựng và giám sát sự thực thi chính sách sử dụng mật mã trong các hệ thống thông tin; Phân tích dữ liệu được bảo vệ bằng mật mã của đối phương.
Cùng với sự phát triển của công nghệ thông tin và truyền thông, các đối tượng tấn công và hình thức tấn công mạng ngày một đa dạng, phức tạp, thiệt hại do mất an toàn thông tin ngày một lớn. Các sản phẩm công nghệ thông tin phát triển nhanh chóng, đa dạng cũng đòi hỏi các giải pháp và công nghệ an toàn thông tin cũng phải được đầu tư nghiên cứu và phát triển tương ứng. Bên cạnh đó, các hoạt động tác nghiệp an toàn mạng cần được chú trọng và đây là một nhân tố quyết định đến khả năng an toàn của hệ thống thông tin.