SP 1800-26 (Hình 1) tập trung vào thời điểm khi xảy ra một cuộc tấn công toàn vẹn dữ liệu. Kiến trúc này biểu thị rằng các chính sách và công cụ cần ở đúng chỗ để phát hiện và phản hồi các sự kiện toàn vẹn dữ liệu. Trước một sự kiện, thông tin phải được thu thập để hiểu phạm vi của hoạt động bình thường, phải có công cụ để phát hiện bất kỳ sai lệch nào so với bình thường thì mới đảm bảo được sự kiện toàn vẹn dữ liệu. Các chính sách phải được thiết lập để đáp ứng một cách hiệu quả và thực tế. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ, thủ tục để phát hiện các sự kiện toàn vẹn dữ liệu và phản hồi một cách thích hợp, kịp thời.
Hình 1. Kiến trúc của SP 1800-26
Năng lực giám sát toàn vẹn tiếp tục được sử dụng trong kiến trúc này. Tuy nhiên, trọng tâm chuyển từ việc thiết lập các ranh giới cho tài sản và dữ liệu của chúng sang việc giám sát chúng để phát hiện những thay đổi trái phép. Năng lực Ghi nhật ký cung cấp khả năng tổng hợp nhật ký từ nhiều nguồn. Các nhật ký này được đưa vào năng lực Phát hiện sự kiện, nó có khả năng chỉ ra các sự kiện như phần mềm độc hại, sự xâm nhập và các hiện tượng bất thường có thể có tác động không mong muốn đến tính toàn vẹn của dữ liệu của tổ chức. Năng lực Phát hiện sự kiện biến các bản ghi thành thông tin được các chuyên gia bảo mật dễ dàng phân loại. Năng lực Điều tra/Phân tích cũng sử dụng nhật ký tổng hợp để khám phá nguồn gốc và ảnh hưởng của bất kỳ sự kiện phá hoại nào đối với dữ liệu và cho phép các Nhóm bảo mật thực hiện các thay đổi cần thiết để ngăn chặn các sự kiện tương tự trong tương lai.
Năng lực Giảm thiểu và Kiểm soát cung cấp khả năng hạn chế ảnh hưởng của sự kiện phá hoại đối với doanh nghiệp và dữ liệu của doanh nghiệp. Phản hồi có thể được tự động hóa hoặc tích hợp với hoạt động của Nhóm bảo mật, có thể dẫn đến dừng thực thi các chương trình liên quan, vô hiệu hóa tài khoản người dùng, ngắt kết nối hệ thống khỏi mạng hoặc hơn thế nữa, tùy thuộc vào mối đe dọa.
Thành phần Lập báo cáo chủ yếu là giao diện giữa các thành phần khác nhau của kiến trúc và Nhóm bảo mật. Nó cho phép thông báo qua email và trang tổng quan dựa trên các sự kiện được xác định trước, tùy thuộc vào nhu cầu của tổ chức. Năng lực Lập báo cáo được sử dụng tốt nhất trong suốt thời gian diễn ra sự kiện. Chúng có thể được sử dụng để cảnh báo cho nhóm bảo mật khi sự kiện bắt đầu, cũng như cung cấp thông tin cập nhật trạng thái thường xuyên khi sự kiện không diễn ra hoặc vừa kết thúc.
Khi các thành phần này hoạt động cùng nhau, các nhóm bảo mật và các công cụ của họ sẽ được kích hoạt để phát hiện sự kiện mất tính toàn vẹn của dữ liệu và phản hồi đối với sự kiện.
SP 1800-11 (Hình 2) cho thấy rằng nếu tính toàn vẹn của dữ liệu bị đe dọa, nhiều hệ thống sẽ phối hợp hoạt động để khôi phục sau sự kiện này. Giải pháp đề xuất các khả năng, khám phá các vấn đề xung quanh việc kiểm toán và báo cáo để hỗ trợ phục hồi, điều tra. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ và thủ tục để khôi phục thành tập dữ liệu ở trạng thái tốt lúc cuối cùng.
Hình 2. Kiến trúc của SP 1800-11
Để khôi phục sau khi mất tính toàn vẹn của dữ liệu, một tổ chức phải thực hiện hành động trước khi sự kiện phá hoại xảy ra. Trong khi trọng tâm của dự án này là các quy trình khôi phục, nó cũng chứng minh rằng những năng lực phải có sẵn để tạo điều kiện cho việc khôi phục.
Một năng lực quan trọng cần có là năng lực Sao lưu dữ liệu để lưu trữ các bản sao mà một tổ chức đã dành ưu tiên. Như vậy, dữ liệu bị xâm phạm được khôi phục từ các phiên bản trước đó không bị xâm phạm trong các tệp sao lưu hiện có. Một phương pháp để đảm bảo rằng các tệp sao lưu này không bị thay đổi cho đến khi chúng cần đến là lưu trữ chúng bằng năng lực Lưu trữ an toàn, giúp giảm hoặc loại bỏ rủi ro đối với dữ liệu được lưu trữ.
Để hiểu dữ liệu nào cần được khôi phục, năng lực Kiểm tra hư hỏng được sử dụng. Công cụ này có thể xác định trạng thái tốt gần đây nhất và giám sát việc khôi phục dữ liệu về trạng thái đó. Năng lực Ghi nhật ký là quan trọng để ghi lại thông tin liên quan và cung cấp thông tin đó cho những người ra quyết định.
Những năng lực này, kết hợp với vai trò của chúng trước khi sự kiện xảy ra, cho phép tổ chức khôi phục một cách thích hợp khi mất tính toàn vẹn của dữ liệu.
Việc xây dựng một bộ toàn vẹn dữ liệu toàn diện giải quyết tất cả các chức năng của Khung an ninh không gian mạng đòi hỏi phải áp dụng tất cả các dự án nói trên. Tuy nhiên, mỗi dự án đều có các thành phần của kiến trúc chồng chéo lên nhau. Do đó, việc áp dụng tất cả các kiến trúc không chỉ đơn thuần là việc xây dựng ba kiến trúc mà còn là sự tích hợp và phủ chồng của ba kiến trúc. Hình 3 mô tả cách tích hợp và ghép chồng ba kiến trúc. Nó cũng cung cấp hướng dẫn về những cân nhắc và hạn chế mà tổ chức cần giải quyết khi sử dụng kiến trúc.
Hình 3. Kiến trúc được kết hợp lại
Một giải pháp toàn vẹn dữ liệu kết hợp được thiết kế để triển khai các công nghệ từ cả ba hướng dẫn thực hành. Nó tìm cách triển khai các biện pháp kiểm soát an toàn đã được nêu trong ba hướng dẫn thực hành thông qua một kiến trúc đảm bảo an toàn kết hợp. Hình 3 cung cấp một cái nhìn ở mức cao của các thành phần cần thiết và các luồng dữ liệu tồn tại giữa chúng.
Các thành phần có chứa ô màu xám (đường viền liền nét) có thể được tìm thấy trong SP 1800-25 và tập trung vào chức năng xác định và bảo vệ. Có thể tìm thấy các thành phần chứa màu xanh lam (đường viền đứt nét) trong SP 1800-26, tập trung vào chức năng phát hiện và phản hồi. Các thành phần có chứa màu xanh lá cây (đường viền chấm) có thể được tìm thấy trong SP 1800-11 và tập trung vào chức năng khôi phục. Những thành phần nào có nhiều màu thì xuất hiện trong nhiều hướng dẫn thực hành và thể hiện các điểm tích hợp chìa khóa giữa chúng.
Các năng lực Giám sát toàn vẹn và Kiểm tra hư hỏng đã được kết hợp trong Hình 3 do các vai trò và các luồng dữ liệu tương tự của chúng trong các giải pháp toàn vẹn dữ liệu tương ứng.
Sử dụng hướng dẫn [5], tổ chức có thể tích hợp và áp dụng một cách chặt chẽ sự chỉ đạo trong bộ hướng dẫn thực hành về Toàn vẹn Dữ liệu: SP 1800-11, SP 1800-25, SP 1800-26. Việc này sẽ cho phép một tổ chức giải quyết các nhu cầu đảm bảo an toàn liên quan đến tính toàn vẹn dữ liệu trên tất cả 05 chức năng cốt lõi của Khung an toàn không gian mạng của NIST: Xác định, Bảo vệ, Phát hiện, Phản ứng và Phục hồi. Một khi tất cả các công cụ và hệ thống cần thiết được tích hợp, hướng dẫn [5] cũng cung cấp phương pháp không ngừng cải thiện tình hình an ninh mạng của tổ chức bằng cách áp dụng hiệu quả thông tin thu thập được từ mỗi bước vào các lĩnh vực khác. Cuối cùng, các tổ chức sẽ chuẩn bị tốt hơn để xử lý tác động của sự kiện toàn vẹn dữ liệu trong doanh nghiệp của họ.
|
TÀI LIỆU THAM KHẢO 1. NIST Cybersecurity Framework. Framework for Improving Critical Infrastructure Cybersecurity-v1., 16/4/2018. Available: https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11 2. NIST SP 1800-11 Data integrity: Recovering from Ransomware and other destructive events. 9/2020. https://www.nccoe.nist.gov/data-integrity-recovering-ransomware-and-other-destructive-events 3. NIST SP 1800-25 Data integrity: Identifying and Protecting Assets against ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/identify-protect 4. NIST SP 1800-26 Data integrity: Detecting and Responding to ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond 5. Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides, (draft), 1/10/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond. |
Trần Duy Lai
07:00 | 20/05/2022
23:00 | 02/09/2022
14:00 | 30/12/2018
17:00 | 20/06/2022
12:00 | 12/08/2022
07:00 | 04/11/2022
15:00 | 28/07/2022
12:00 | 12/08/2022
18:00 | 16/08/2022
10:00 | 17/12/2018
09:00 | 12/09/2022
12:00 | 23/09/2022
09:00 | 26/03/2024
Những năm gần đây, Phần Lan cũng như nhiều quốc gia khác trên thế giới phải đứng trước thách thức ngày càng lớn từ các mối đe dọa an ninh mạng. Các cơ quan, doanh nghiệp Phần Lan đang trở thành mục tiêu nhắm đến của các cuộc tấn công mạng. Số lượng thông báo liên quan đến vi phạm bảo mật dữ liệu mà Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) nhận được ngày càng gia tăng qua từng năm. Một phần của sự gia tăng này bị ảnh hưởng bởi sự quan tâm và nhận thức về an ninh mạng đã tăng lên, ngoài ra còn do tác động của những hoạt động tấn công mạng nhắm mục tiêu vào Phần Lan, từ khi quốc gia này trở thành thành viên mới của NATO.
08:00 | 11/01/2024
Hoa Kỳ là một trong những quốc gia dẫn đầu thế giới về chiến lược, quy định và triển khai các hoạt động cụ thể trong bảo vệ an ninh thông tin cơ sở hạ tầng quan trọng. Dưới thời Tổng thống Biden, hàng loạt biện pháp được áp dụng đã nâng cao hiệu quả bảo đảm an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.
09:00 | 08/12/2023
Luật Giao dịch điện tử số 20/2023/QH15 được Quốc hội Khóa XV thông qua tại Kỳ họp thứ 5 ngày 20/06/2023, có hiệu lực thi hành từ ngày 01/7/2024. Để triển khai thi hành Luật, Phó Thủ tướng Trần Lưu Quang ký quyết định số 1198/QĐ-TTg ban hành Kế hoạch triển khai thi hành Luật Giao dịch điện tử. Quyết định có hiệu lực thi hành kể từ ngày 13/10/2023.
07:00 | 12/06/2023
Khi vai trò của an ninh mạng trong các doanh nghiệp lớn tăng lên đáng kể qua từng năm thì tầm quan trọng của các Trung tâm Điều hành An ninh mạng (SOC) cũng sẽ trở nên tối quan trọng. Công ty bảo mật Kaspersky đã đưa ra những dự đoán về SOC từ nhiều khía cạnh khác nhau. Trước tiên, từ bên ngoài, đó là dự đoán về những mối đe dọa mới nhất mà tất cả các SOC có thể phải đối mặt vào năm 2023. Cùng với đó là những thách thức đối với các nhà quản lý liên quan đến nhân sự, ngân sách và chức năng từ bên trong nội bộ trong mối liên hệ chặt chẽ với những mối đe dọa đang rình rập các tập đoàn vào năm 2023.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
