[CEH Tiếng Việt] Module 1 – Phần 1: Tổng quan về bảo mật thông tin

Tôn Tử đã nói “Tri kỷ tri bỉ, bách chiến bất đãi; bất tri bỉ tri kỷ, nhất thắng nhất phụ, bất tri bỉ bất tri kỷ, mỗi chiến tất đãi.” tức là mình biết người trăm trận trăm thắng, biết mình mà không biết người thì có thể thắng có thể thua, không biết mình và không biết người thì xuất binh liền thất bại. 

Những kẻ tấn công đột nhập vào hệ thống vì nhiều lý do và mục đích khác nhau. Do đó, điều quan trọng là phải hiểu cách thức các hacker tấn công và khai thác hệ thống và các hậu quả có thể xảy ra đằng sau các cuộc tấn công đó.

Nội dung Module 1 – CEH Tiếng Việt

Trong chương trình CEH Tiếng Việt, nội dung của Module 1: Introduction to Ethical Hacking này tìm hiểu về:

• Mô tả các yếu tố của bảo mật thông tin
• Giải thích các cuộc tấn công bảo mật thông tin và chiến tranh thông tin
• Mô tả phương pháp luận kill chain methodology, TTP và loC
• Mô tả các khái niệm, loại và giai đoạn trong hacking
• Giải thích các khái niệm và phạm vi đạo đức hacking
• Hiểu các biện pháp kiểm soát an ninh thông tin (chuyên sâu về phòng thủ, quản lý rủi ro, mối đe dọa, mô hình hóa mối đe dọa, quy trình quản lý sự cố và AI/ML)
• Biết về các luật và hành vi bảo mật thông tin

Tổng quan về bảo mật thông tin

An toàn thông tin đề cập đến việc bảo vệ thông tin và hệ thống thông tin, các thiết bị lưu trữ và truyền thông tin khỏi bị truy cập, tiết lộ, thay đổi và phá hủy trái phép. Thông tin là tài sản quan trọng mà các tổ chức phải bảo mật. Nếu thông tin nhạy cảm rơi vào tay kẻ xấu, thì tổ chức tương ứng có thể bị thiệt hại lớn về tài chính, uy tín thương hiệu, khách hàng, …

Các yếu tố của bảo mật thông tin

An toàn (bảo mật) thông tin là “trạng thái hoạt động tốt của thông tin và cơ sở hạ tầng, trong đó khả năng bị đánh cắp, giả mạo hoặc gián đoạn thông tin và dịch vụ được giữ ở mức thấp hoặc có thể chấp nhận được.”. Nó dựa trên năm yếu tố chính: tính bảo mật, tính toàn vẹn, tính khả dụng, tính xác thực và tính không từ chối.

Tính bí mật (Confidentiality)

• Tính bảo mật là sự đảm bảo rằng thông tin chỉ có thể truy cập được đối với những người có thẩm quyền.
• Vi phạm bảo mật có thể xảy ra do xử lý dữ liệu không đúng cách hoặc do cố tình lấy cắp dữ liệu.
• Các biện pháp kiểm soát bảo mật bao gồm: phân loại dữ liệu, mã hóa dữ liệu và xử lý thiết bị thích hợp (như DVD, ổ USB và đĩa Blu-ray).

Tính toàn vẹn (Integrity)

• Tính toàn vẹn là mức độ đáng tin cậy của dữ liệu hoặc tài nguyên trong việc ngăn chặn các thay đổi không đúng và trái phép – đảm bảo rằng thông tin đủ chính xác cho mục đích của nó.
• Các biện pháp để duy trì tính toàn vẹn của dữ liệu như là tính checksum (một số được tạo ra bởi một hàm toán học để xác minh rằng một khối dữ liệu nhất định không bị thay đổi) và kiểm soát truy cập (đảm bảo rằng chỉ những người được ủy quyền mới có thể cập nhật, thêm hoặc xóa dữ liệu).

Tính sẵn sàng (Availability)

• Tính sẵn sàng là đảm bảo các hệ thống chịu trách nhiệm cung cấp, lưu trữ và xử lý thông tin có thể truy cập được khi người dùng được yêu cầu.
• Các biện pháp để duy trì tính khả dụng của dữ liệu: triển khai các giải pháp dự phòng và các máy được phân cụm (clustering), phần mềm chống virus để chống lại phần mềm độc hại và hệ thống chặn DDoS.

Tính xác thực (Authenticity)

• Vai trò chính của xác thực là xác minh người dùng hợp lệ.
• Các biện pháp kiểm soát như sinh trắc học, smartcard, chứng chỉ kỹ thuật số đảm bảo tính xác thực của dữ liệu, giao dịch, thông tin liên lạc và tài liệu.

Tính không từ chối (Non-Repudiation)

• Không từ chối là một cách để đảm bảo rằng người gửi thông điệp sau này không thể từ chối việc đã gửi và người nhận không thể phủ nhận việc đã nhận được thông điệp đó.
• Cá nhân, tổ chức sử dụng chữ ký số để đảm bảo tính không thể chối cãi.

Động lực của hacker

Những kẻ tấn công thường có động cơ (mục tiêu), có thể là làm gián đoạn hoạt động kinh doanh của tổ chức, đánh cắp thông tin có giá trị vì tò mò, hoặc thậm chí là để trả thù. Khi kẻ tấn công xác định được mục tiêu của mình, chúng có thể sử dụng các công cụ, kỹ thuật tấn công và phương pháp khác nhau để khai thác các lỗ hổng trong hệ thống máy tính hoặc chính sách bảo mật và các biện pháp kiểm soát.

Attacks = Motive (Goal) + Method + Vulnerability

Phân loại tấn công

Theo IATF, các cuộc tấn công bảo mật được phân thành các loại như sau:

Tấn công thụ động (Passive Attacks)

Tấn công thụ động liên quan đến việc chặn và giám sát lưu lượng mạng và luồng dữ liệu trên mạng mục tiêu và không làm xáo trộn dữ liệu. Attacker thực hiện giám sát các hoạt động mạng bằng cách sử dụng các công cụ nghe lén. Các cuộc tấn công này rất khó bị phát hiện vì attacker không tương tác với hệ thống hoặc mạng mục tiêu.

Tấn công thụ động cho phép attacker nắm bắt dữ liệu hoặc thông tin không mã hóa được truyền trong mạng mà không cần sự đồng ý của người dùng. Một số ví dụ về tấn công thụ động:

• Footprinting
• Sniffing and eavesdropping
• Network traffic analysis
• Decryption of weakly encrypted traffic

Tấn công chủ động (Active Attacks)

Tấn công chủ động làm xáo trộn dữ liệu đang truyền, làm gián đoạn giao tiếp hoặc dịch vụ giữa các hệ thống để vượt qua hoặc đột nhập vào các hệ thống. Những kẻ tấn công khởi động các cuộc tấn công vào hệ thống hoặc mạng mục tiêu bằng cách chủ động gửi lưu lượng truy cập.

Các cuộc tấn công này được thực hiện trên mạng mục tiêu để khai thác thông tin trên đường truyền. Chúng xâm nhập hoặc lây nhiễm vào mạng nội bộ của mục tiêu và truy cập vào hệ thống từ xa để xâm nhập mạng nội bộ.

Một số kiểu tấn công chủ động được giới thiệu trong CEH Tiếng Việt:

• Denial-of-service (DoS) attack
• Bypassing protection mechanisms
• Malware attacks (such as viruses, worms, ransomware)
• Modification of information
• Spoofing attacks
• Replay attacks
• Password-based attacks
• Session hijacking
• Man-in-the-Middle attack
• DNS and ARP poisoning
• Compromised-key attack
• Firewall and IDS attack
• Profiling
• Arbitrary code execution
• Privilege escalation
• Backdoor access
• Cryptography attacks
• SQL injection
• XSS attacks
• Directory traversal attacks
• Exploitation of application and OS software

Tấn công gần (Close-in attacks)

Tấn công gần được thực hiện khi kẻ tấn công ở gần hệ thống hoặc mạng mục tiêu. Mục tiêu chính của việc thực hiện kiểu tấn công này là thu thập hoặc sửa đổi thông tin hoặc làm gián đoạn quyền truy cập.

Một ví dụ của loại tấn công này là Social engineering (Eavesdropping, shoulder surfing, dumpster diving, and other methods) sẽ được giới thiệu trong những bài sau của series CEH Tiếng Việt.

Tấn công nội gián (Insider attacks)

Tấn công nội gián được thực hiện bởi những người đáng tin cậy, những người có quyền truy cập thực tế vào các tài sản quan trọng của mục tiêu. Tấn công này bao gồm việc sử dụng quyền truy cập đặc quyền để vi phạm các quy tắc hoặc cố ý gây ra mối đe dọa đối với thông tin hoặc hệ thống thông tin của tổ chức.

Người trong cuộc có thể dễ dàng vượt qua các quy tắc bảo mật, làm hỏng tài nguyên có giá trị và truy cập thông tin nhạy cảm. Họ lạm dụng tài sản của tổ chức để ảnh hưởng trực tiếp đến tính bảo mật, tính toàn vẹn và tính sẵn có của hệ thống thông tin. Những cuộc tấn công này ảnh hưởng đến hoạt động kinh doanh, danh tiếng và lợi nhuận của tổ chức.Tấn công nội gián rất khó để phát hiện.

• Eavesdropping and wiretapping
• Theft of physical devices
• Social engineering
• Data theft and spoliation
• Pod slurping
• Planting keyloggers, backdoors, or malware

Information Warfare

CEH Tiếng Việt – Nguồn: http://www.iwar.org.uk.

Thuật ngữ chiến tranh thông tin hoặc InfoWar đề cập đến việc sử dụng công nghệ thông tin và truyền thông (ICT) để có lợi thế cạnh tranh so với đối thủ.

Phân loại:

• Chiến tranh chỉ huy và kiểm soát – Command and control warfare (C2 warfare): Trong ngành bảo mật máy tính, chiến tranh C2 đề cập đến tác động của kẻ tấn công đối với hệ thống hoặc mạng bị xâm phạm mà chúng kiểm soát.
• Chiến tranh dựa trên tình báo – Intelligence-based warfare: Chiến tranh dựa trên tình báo là một công nghệ dựa trên cảm biến trực tiếp làm hỏng các hệ thống công nghệ. Theo Libicki, “chiến tranh dựa trên thông tin tình báo” là chiến tranh bao gồm thiết kế, bảo vệ và từ chối các hệ thống tìm kiếm đủ kiến thức để thống trị không gian chiến đấu.
• Chiến tranh điện tử – Electronic warfare: Theo Libicki, chiến tranh điện tử sử dụng các kỹ thuật vô tuyến điện tử và mật mã để làm suy giảm khả năng liên lạc. Các kỹ thuật điện tử vô tuyến tấn công các phương tiện vật lý để gửi thông tin, trong khi các kỹ thuật mật mã sử dụng các bit và byte để phá vỡ các phương tiện gửi thông tin.
• Chiến tranh tâm lý – Psychological warfare: Chiến tranh tâm lý là việc sử dụng các kỹ thuật khác nhau như tuyên truyền và khủng bố để làm mất tinh thần của kẻ thù.
• Chiến tranh kinh tế – Economic warfare: Chiến tranh thông tin kinh tế có thể ảnh hưởng đến nền kinh tế của một doanh nghiệp hoặc quốc gia bằng cách chặn dòng thông tin. Điều này có thể đặc biệt nghiêm trọng đối với các tổ chức kinh doanh nhiều trong thế giới kỹ thuật số.
• Chiến tranh mạng -Cyberwarfare: Chiến tranh mạng là việc sử dụng hệ thống thông tin để chống lại nhân cách ảo của các cá nhân hoặc nhóm. Nó là chiến tranh rộng nhất trong tất cả các chiến tranh thông tin. Nó bao gồm khủng bố thông tin, tấn công ngữ nghĩa và chiến tranh mô phỏng.

Các bạn có thể đọc thêm các bài viết khác về CEH Tiếng Việt tại đây.