Latest posts for the topic "Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống."

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

myquartz — GMT

Hi! Tớ quyết định đưa ra chủ đề này ra thảo luận, sau khi 1 vụ việc liên quan đến bảo mật, cụ thể là HVAOnline, một web site chuyên bảo mật lại bị tấn công. Lỗ hổng được phát hiện lại là do yếu tố con người, cụ thể là máy tính của bác admin sơ ý bị dính trojan nên website do bác này quản trị cũng bị compromised luôn. Thảo luận ở đây, chú yếu xét về cách tiếp cận high level, theo cách nhìn của 1 ông CIO, hoặc là 1 ông Chief Security Officier (CSO). Không xét đến 1 anh System Security Admin (SSA) làm 1 việc cụ thể hoặc 1 hệ thống cụ thể nào cả. 1. Cách bottom-up: Cách này, theo tớ thấy, ở VN đa số các CIO/CSO thường làm cách này. Nghĩ rằng bảo mật chỉ đơn giản là mua thiết bị, firewall, IDS..., mua phần mềm bảo mật, mua nọ mua kia là xong. Với anh SSA thì nó là cài cái nọ, config cái kia, mở port này port kia, còn cái gì phải xài cái port đó thì ... kệ. Ngoài ra kỹ thuật cao siêu về 1 lãnh vực cũng thường được sử dụng thái quá, tuỳ theo khả năng của SSA và sở thích của anh ta. Tớ đã từng chứng kiến công ty, nói rằng tôi đầu tư bảo mật rất nhiều tiền, mua đủ thiết bị, trang bị tới tận răng, thuê 1 SSA có trình độ cực đỉnh về cấu hình firewall và network security. Cơ mà, khi xem cấu hình của firewall, tôi mới phát hiện ra rằng, họ có 1 cái rule rất là hay, đó là any -> any (fw admin do yêu cầu phải chạy 1 dịch vụ nào đó, ko biết được port của dịch vụ đó cần những gì, thế là mở any cho nó chắc ăn). Không có kiến trúc, không chính sách, không có kiểm soát, không cần biết fw đó đóng vai trò gì trong hệ thống, tôi chỉ cần biết cách gõ lệnh cho nó, sếp kêu gì tôi cấu hình vậy. Một việc làm nữa, là cách dùng tool hoặc dùng 1 anh hacker có kỹ năng để quét hệ thống A, B, C để tìm lỗ hổng để bít lại. (gọi 1 cách lịch sự, việc này là security assessment, nhưng chỉ là 1/2 cái bánh thôi nhé). Quét 1 hồi ra 1 số cái, bịt lại hết, block port hết. Tuy nhiên, cái tool dở hơi đó nó ko quét ra ... mật khẩu đã đặt như thế nào, và 1 SSH server có mật khẩu root rất chi là bảo mật: tên tắt + số điện thoại của công ty, không có trong từ điển (có bạn nào thử ... cái mật khẩu đó chưa?). Không phủ nhận cách này là 1 trong những phương thức tiếp cận có hiệu quả trong ngắn hạn, dài hạn thì không chắc và xét trên thực tế, nó thường bị phụ thuộc vào 1 số cá nhân giỏi của tổ chức. Một hệ thống có nhiều thành phần và càng ngày càng phức tạp, và bỏ sót 1 góc nào đó, 1 mảng nào đó không ngờ tới hàon toàn có thể có rủi ro xảy ra, có khi lại là đòn chí mạng cho hệ thống. HVA dính đòn cũng vì bản thân admin không nghĩ rằng máy mình xài dính trojan, không phòng bị cho tình huống này. Ngay 1 lúc thì nghĩ ra liền, nhưng nhiều năm làm đôi lúc chúng ta quên. Rồi rủi ro con người, thằng SSA nó bất đồng với sếp, nghỉ việc, thế là hệ thống nó đang quản trị đi theo nó luôn (dù mật khẩu có được bàn giao lại), chả còn ai ngó được nữa, nó đã làm gì, tại sao lại làm vậy ko ai biết. Còn nữa, software lậu và cracking, cái này ở VN khỏi nói, cực nhiều. Vậy rủi ro nếu xài lậu ở mức nào? Đố ai mà biết xài lậu phần mềm sẽ ảnh hưởng gì tới bảo mật (câu trả lời là có ảnh hưởng nhưng có vẻ hiếm gặp lắm). Các anh SSA anh nào chả 1 vài lần... xài lậu, ko ít thì nhiều, nguy hiểm hơn là xài trên chính máy tính quản trị của mình. 2. Cách top-down. Ở đâu đó, có nói đến cái này, 1 cách tiếp cận tốt hơn trong dài hạn. Rất tiếc, nó lại khá là khó áp dụng và đòi hỏi CSO phải có tầm nhìn + CIO phải hỗ trợ + tính chuyên nghiệp của tổ chức. Một số nơi cũng làm, nào là: Security Policies (1 cái mà chỗ nào cũng có, nhưng có ai tuân thủ thì ko biết), rồi thì chứng chỉ ISO 27001 (chủ yếu là áp dụng cho 1 bộ phận trong công ty thôi), chỗ nọ chỗ kia cần thắt chặt. 1 hệ thống được design với tầng tầng lớp lớp firewall, IDS, rồi hàng loạt các phần mềm bổ trợ. Dường như vẫn chưa đủ. Change Management ở đâu? Configuration DB là cái gì? Business Continuity và Disaster Recovery Plan ở đâu? Assessment Procedure ra sao? toàn câu hỏi khó. Trả lời được, bạn đã kiểm soát được thêm 1 ít rủi ro rồi đó. Đâu có dễ trỉển khai mấy cái quy trình này. Có anh SSA nào khi thay đổi 1 chút về cấu hình firewall mà lại chịu họp ban CAB (Change Advisory Board) để trình bày là tại sao cần làm việc đó đâu? Hay configuration của FW có được lưu và được mã hoá bảo vệ hay không? Rồi thì Access Control thực hiện ở mức nào? Audit ra sao? ai làm đúng và ai chưa làm đúng? cũng không dễ. Trong công ty, bộ phận IT, về bảo mật, thì SSA hay là tối cao, ko ai có quyền nhóm ngó công việc của anh ta, anh ta có quyền "vượt hơn tất cả" người khác đối với hệ thống máy móc. Một cái nữa, liên quan đến phần mềm, đó là update and patch. Dĩ nhiên xài lậu thì cái này khó khăn vô cùng. Update làm gì? mất thời gian, hoặc chỉ cần update cái ... server là đủ. Vấn đề là con trojan nó ko đánh vào server, nó đánh vào laptop của quản trị viên cơ, hoặc nó đánh vào 1 ông user ngu ngơ nào đó, và từ đó đi tiếp. Dĩ nhiên trong cuộc đua để đạt tới zero day, không phải bản patch nào cũng sẽ tới trước, nhưng chỉ cần 80% tới trước, rủi ro đã giảm đi đáng kể. Nhìn hệ thống bảo mật theo hướng top-down chỉ gồm mấy cái: con người, quy trình, thiết kế và công cụ. 2 lĩnh vực khó control nhất là 2 cái đầu tiên, tuy con người có thể thuê được và quy trình thì tư vấn có thể áp đặt được, nhưng nó là "văn hoá CNTT" trong doanh nghiệp, 1 ngày ko thể làm xong, 1 tháng cũng chưa chắc, 1 năm thì có thể. Cái thứ 3 đi thuê được và cái thứ 4 thì mua được. Cách tiếp cận bảo mật top-down, chỉ có mục tiêu là giảm rủi ro tới mức có thể, không triệt tiêu được nguy cơ. Cứ thế phân rã tiếp, sẽ thành: - Con người: Security Policy/Access Control + Training + ép buộc tuân thủ Process. - Quy trình: Change/Config/Assessment/Disaster Recovery/Audit/Monitoring + hàng loạt standard. - Thiết kế: Multi-layer protection/Encryption/AAA/Availability/Capacity + được kiểm định độc lập (tỉ dụ kiểm toán). - Công cụ: FW/OS/IDS... cái này hàng tá. Đây chỉ là ví dụ, liệt kê ra thì khá nhiều, và mỗi cái lại tiếp tục phân rã tiếp, cái nào thì làm thế nào. Mọi thứ trong hệ thống đều được xem xét và lựa chọn phương pháp bảo mật phù hợp. Cái này khác hẳn với bottom-up, chỉ nhìn vào đúng 1 vấn đề trong cái mớ ở trên. Dĩ nhiên kết hợp cả 2 cái sẽ ra 1 cách làm tuyệt vời về bảo mật, CSO quan tâm đến cái top-down, còn SSA thì là bottom-up. Trường hợp của HVA, nếu Assessment Procedure được thực hiện và hiệu quả hơn, đánh giá rằng nguy cơ remote access là có thể xảy ra khi máy tính của Admin bị dính trojan và lúc đó hậu quả sẽ rất lớn, do đó cần phải tìm cách giảm rủi ro ở điểm đó đi, thì chắc hậu quả sẽ nhỏ hơn. Vài mẹo để giảm nó, tỉ dụ máy tính sử dụng để quản trị luôn là cái chỉ dùng để quản trị, được phân tách vật lý riêng biệt. Rồi thì remote access cần thêm 1 authentication factor, token hoặc smart card, không chỉ fixed IP + user + password (hoặc SSH key lưu trên file ko an toàn, lưu trên token thì tốt hơn). Nguy cơ mất cái token đó sẽ nhỏ hơn nhiều và tổng lại toàn bộ rủi ro sẽ thấp đi, dĩ nhiên chi phí phải có nhưng có thể rẻ hơn nhiều so với hậu quả nếu có. Một cái nữa, đó là bản backup của HVA DB. Chỉ đơn giản là nếu nó được mã hoá khi lưu trên thiết bị sao lưu (ở đây là máy tính của admin), thì sẽ khó khăn hơn nhiều để khai thác nó. Mã hoá hiện tại rất hiệu quả và dễ dàng, tại sao không áp dụng nó?

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

ideepc — GMT

Mình đọc thấy bài này phản ánh khá đúng đối với các hệ thống an ninh thông tin mà mình đã từng tiếp cận. Chắc bạn cũng đã từng là một SSA, vậy có thể chia sẻ cụ thể hơn cách tiếp cận của bản thân bạn không?

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

louisnguyen27 — GMT

Không hẳn, một hệ thống tốt là hệ thống tiếp cận có hai chiều. Những gì bottom up tiếp cận phải quay về được top down, bottom up chỉ giải quyết được vấn đề nhất thời không giải quyết được vấn đề lâu dài và ngược lại.

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

thangdiablo — GMT

myquartz wrote:

Hi! Tớ đã từng chứng kiến công ty, nói rằng tôi đầu tư bảo mật rất nhiều tiền, mua đủ thiết bị, trang bị tới tận răng, thuê 1 SSA có trình độ cực đỉnh về cấu hình firewall và network security. Cơ mà, khi xem cấu hình của firewall, tôi mới phát hiện ra rằng, họ có 1 cái rule rất là hay, đó là any -> any (fw admin do yêu cầu phải chạy 1 dịch vụ nào đó, ko biết được port của dịch vụ đó cần những gì, thế là mở any cho nó chắc ăn).

Mất tiền thuê expert mà kiểu này thì ... chắc là doanh nghiệp bị lừa mất rồi. Theo cá nhân mình thấy việc access vào hệ thống mà vẫn tiếp tục dùng phương pháp bảo mật dạng 1 lớp thì vô cùng nguy hiểm. Để hạn chế bớt những rủi ro từ yếu tố con người thì nên force tất cả các phương thức access vào hệ thống phải là 2 lớp như sử dụng Token code + PIN hay Pub key + PIN để chứng thực. Ngoài ra, thì đúng là quy trình và ý thức "quân đội" là rất quan trọng trong vấn đề an toàn thông tin.

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

hmrdung — GMT

Em hoàn toàn tán thành ý kiến của chủ topic . Đặc biệt là em thích cái khái niệm " con người " trong hệ thống của anh . Nếu như người ta ko ý thức thì dù có rules thế nào đi nữa cũng chỉ cực cho SSA hiện nay em đang được tiếp quản 1 hệ thống vì SSA của hệ thống này bất mãn với sếp nên nghỉ việc . Em chỉ có 7 ngày để tiếp quản ?!? Ngay cả con Firewall Fortigate , em cũng chưa đụng tới nhưng mà cứ "ừ" đại với sếp :D

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

dexxa — GMT

@ hmrdung : sao bạn không nói về hệ thống của bạn có những gì và cách bạn tiếp quản nó ra sao để mọi người cùng giúp. Đối với 1 hệ thống dù lớn hay nhỏ mình không rõ nhưng với 7 ngày để tiếp quản thì thật bạn pro quá rồi :)

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

louisnguyen27 — GMT

hmrdung wrote:

Ngay cả con Firewall Fortigate , em cũng chưa đụng tới nhưng mà cứ "ừ" đại với sếp :D

Cái này là chết chắc rồi, không cần nói tới bottomup hay topdown... chết tuốt.

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

conmale — GMT

Bữa nào rảnh, tớ sẽ viết 1 bản tóm lược những "security measurement" mà tớ đã thực hiện sau vụ chủ quan chết người vừa rồi :).

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

odyssey — GMT

conmale wrote:

Bữa nào rảnh, tớ sẽ viết 1 bản tóm lược những "security measurement" mà tớ đã thực hiện sau vụ chủ quan chết người vừa rồi :).

Không một ai trong chúng ta khẳng định tôi không có những sai sót, quan trọng sau những sai sót đó chúng ta rút ra được bài học và kinh nghiệm gì? để sau này những sai sót đấy không lặp lại đó là điều quan trọng. Tặng anh câu ngôn: "Khi 1 người sống hết mình vì người khác, thì cũng đồng nghĩa với việc người đó đã quên đi chính bản thân mình." Cám ơn Anh.

Phương thức tiếp cận bảo mật hệ thống nào? Cụ thể 1 tình huống.

hmrdung — GMT

dexxa wrote:

@ hmrdung : sao bạn không nói về hệ thống của bạn có những gì và cách bạn tiếp quản nó ra sao để mọi người cùng giúp. Đối với 1 hệ thống dù lớn hay nhỏ mình không rõ nhưng với 7 ngày để tiếp quản thì thật bạn pro quá rồi :)

Bạn quá khiêm tốn đó thôi ! Mình cũng chả pro , thứ nhất hệ thống vẫn chưa có gì là phức tạp ngoài quản lý các user trên DC ,.... Nghĩa là những gì cơ bản nhất của Microsoft . Thứ 2 sự minh bạch trong thông tin của các IT đi trước đã giúp mình rất nhiều trong việc rút ngắn thời gian tiếp quản hệ thống . Điều này rất là quan trọng vì 1 số anh IT khác cứ cho hệ thống là 1 cái gì đó rất là "huyền bí " nhưng nếu sếp có kiến thức IT thì điều đó là tối kị . Đơn giản vậy thôi Còn việc về hệ thống của mình thì chắc chắn sẽ chia sẻ nhưng mình cần thời gian . Nếu có gì thắc mắc mong bà con chỉ giáo