Trung tâm xuất sắc về an toàn không gian mạng quốc gia (National Cybersecurity Center of Excellence - NCCoE) của Mỹ được thành lập vào năm 2012, là một bộ phận của Viện Tiêu chuẩn và Công nghệ Quốc gia. Đây là một trung tâm hợp tác, nơi các tổ chức nghề nghiệp, các cơ quan chính phủ và các tổ chức học thuật làm việc cùng nhau để giải quyết các vấn đề an ninh mạng cấp bách nhất. Quan hệ đối tác công-tư này cho phép tạo ra các giải pháp an ninh mạng thực tế cho các ngành cụ thể, cũng như cho các thách thức công nghệ liên ngành, rộng lớn. Thông qua liên minh theo Thỏa thuận Hợp tác Nghiên cứu và Phát triển (Cooperative Research and Development Agreements - CRADA), bao gồm các đối tác công nghệ từ các công ty hàng đầu thị trường trong danh sách Fortune 50, NCCoE đã áp dụng các tiêu chuẩn và thực tiễn tốt nhất để phát triển các giải pháp an ninh mạng theo từng mô-đun, dễ dàng thích ứng bằng cách sử dụng công nghệ có sẵn trên thị trường. NCCoE tài liệu hóa các giải pháp trong loạt NIST SP 1800, trong đó ánh xạ các năng lực so với Khung an ninh không gian mạng của NIST [1] và nêu chi tiết các bước cần thiết để thực hiện lại các giải pháp mẫu.
Thành công của mã độc tống tiền liên quan đến tính toàn vẹn của dữ liệu, nhưng mã độc tống tiền chỉ là một trong nhiều rủi ro tiềm ẩn mà qua đó một tổ chức có thể bị mất tính toàn vẹn của dữ liệu. Tính toàn vẹn là một phần của bộ ba tính an toàn bao gồm Tính bí mật, Tính toàn vẹn và Tính khả dụng. Thuộc tính toàn vẹn của dữ liệu được hiểu là “dữ liệu không bị thay đổi, bị phá hủy hoặc bị mất đi một cách trái phép hoặc ngẫu nhiên”. Một cuộc tấn công chống lại tính toàn vẹn của dữ liệu có thể gây ra hỏng hóc, sửa đổi và/hoặc phá hủy dữ liệu mà cuối cùng dẫn đến mất tin tưởng vào dữ liệu.
Hình 1. Các dự án về an toàn dữ liệu
NCCoE đã và đang tích cực tham gia giải quyết thách thức của mã độc tống tiền và các sự kiện toàn vẹn dữ liệu khác thông qua nhiều dự án. Các dự án này giúp các tổ chức triển khai các năng lực kỹ thuật để giải quyết các vấn đề về tính toàn vẹn của dữ liệu. Mã độc tống tiền là một trong những trường hợp được sử dụng trong các dự án này.
Trong năm 2020, NCCoE đã phát hành 3 tài liệu Hướng dẫn thực hành dành cho tính toàn vẹn dữ liệu [2-4]. Để tiếp tục công việc của mình với bộ ba tính an toàn, NCCoE đang tiếp tục phát triển các dự án Bí mật dữ liệu thông qua các ấn phẩm là SP 1800-28 và SP 1800-29. Tính khả dụng của dữ liệu vẫn chưa được thực hiện như công bố thuộc SP 1800, nhưng việc nghiên cứu đang được tiến hành để xác định cách mà NIST có thể giải quyết vấn đề này tốt nhất như thế nào thông qua NCCoE.
Mã độc tống tiền, phần mềm độc hại, các mối đe dọa từ bên trong và thậm chí cả những sai lầm của người dùng đều là những mối đe dọa đang xảy ra đối với một tổ chức. Dữ liệu của tổ chức, chẳng hạn như bản ghi cơ sở dữ liệu, các tệp hệ thống, các cấu hình, các tệp người dùng, các ứng dụng và dữ liệu khách hàng, đều là mục tiêu tiềm ẩn của việc làm hỏng, sửa đổi và phá hủy dữ liệu.
Hình 2. Năm chức năng cốt lõi của khung an ninh không gian mạng
NIST đã xuất bản phiên bản 1.1 của Khung an ninh không gian mạng [1] vào tháng 4/2018 để cung cấp hướng dẫn về bảo vệ và phát triển năng lực phục hồi cho cơ sở hạ tầng quan trọng và các lĩnh vực khác. Khung an ninh không gian mạng chứa 05 chức năng cốt lõi:
- Xác định (identify): Phát triển sự hiểu biết về tổ chức để quản lý rủi ro an ninh mạng đối với hệ thống, con người, tài sản, dữ liệu và năng lực.
- Bảo vệ (protect): Phát triển và triển khai các biện pháp bảo vệ thích hợp để đảm bảo cung cấp các dịch vụ quan trọng.
- Phát hiện (detect): Phát triển và triển khai các hoạt động thích hợp để xác định việc xảy ra của sự kiện an ninh mạng.
- Phản ứng (respond): Phát triển và triển khai các hoạt động thích hợp để hành động liên quan đến sự cố an ninh mạng được phát hiện.
- Phục hồi (recovery): Phát triển và triển khai các hoạt động thích hợp để duy trì các kế hoạch về năng lực phục hồi và khôi phục bất kỳ năng lực hoặc dịch vụ nào đã bị suy giảm do sự cố an ninh mạng.
Hình 3. Chia các chức năng của khung an ninh không gian mạng
Khi xây dựng Khung an ninh mạng cho tính toàn vẹn dữ liệu thường dễ thấy là có sự phân tách tự nhiên thành ba dự án riêng biệt dựa trên vòng đời của một cuộc tấn công toàn vẹn dữ liệu. Trước một cuộc tấn công, tất cả các tài sản, các lỗ hổng tiềm ẩn và bảo vệ các tài sản này bao gồm cả việc khắc phục các lỗ hổng được phát hiện cần phải được xác định. Khái niệm này được mô tả trong hướng dẫn thực hành [2]. Để lập kế hoạch cho một tổ chức có thể xử lý như thế nào khi một cuộc tấn công xảy ra, tổ chức cần có năng lực phát hiện và phản ứng với các sự kiện phá hoại. Nên việc xác định và bảo vệ tài sản chống lại mã độc tống tiền và các sự kiện phá hoại khác [3] nhằm giải quyết thách thức này. Cuối cùng, nếu một cuộc tấn công tính toàn vẹn dữ liệu thành công, một tổ chức phải có năng lực khôi phục được mô tả trong [4].
Bộ ba tài liệu [2-4] có dung lượng rất lớn, tổng cộng hơn 1500 trang. Mỗi tài liệu trên bao gồm 3 phần: Phần A: Tóm tắt thực hành; Phần B: Phương pháp tiếp cận, kiến trúc và đặc điểm bảo mật và Phần C: Hướng dẫn cách thực hiện. Để giúp cho người quan tâm dễ nắm bắt được vấn đề, NCCoE đã biên soạn [5] nhằm cung cấp tổng quan về ba dự án Toàn vẹn dữ liệu phù hợp với các chức năng trong Khung an ninh mạng của NIST với các mục tiêu sau: xây dựng biện pháp phòng thủ trước các thách thức về toàn vẹn dữ liệu; cung cấp một mức độ cao giải thích về kiến trúc và các năng lực, cũng như cách các dự án này có thể được kết hợp với nhau thành một giải pháp toàn vẹn dữ liệu. Bài báo này nhằm trình bày lại những nét chính của [5].
SP 1800-25 nhằm vào tính toàn vẹn của dữ liệu trước một cuộc tấn công tiềm tàng. Nó nêu chi tiết sự cần thiết phải có kiến thức toàn diện về các tài sản trong tổ chức và việc bảo vệ các tài sản này trước nguy cơ bị hỏng và phá hủy dữ liệu. Dự án này đề xuất một kiến trúc với nhiều hệ thống hoạt động cùng nhau để xác định và bảo vệ tài sản của tổ chức trước mối đe dọa làm sai lệch, sửa đổi và phá hủy. Mục đích của dự án này là giúp hướng dẫn các tổ chức xác định hiệu quả các tài sản (thiết bị, dữ liệu và ứng dụng) mà có thể trở thành mục tiêu đối với một tấn công toàn vẹn dữ liệu, cũng như các lỗ hổng tạo điều kiện cho các cuộc tấn công này. Nó cũng khám phá các phương pháp để bảo vệ các tài sản này chống lại các cuộc tấn công toàn vẹn dữ liệu.
Hình 4. Kiến trúc của SP 1800-25
Hình 4 mô tả ngắn gọn về các năng lực (các khối chức năng) mà tổ chức cần có. Để xác định và bảo vệ dữ liệu trước các sự kiện phá hoại, cần phải hiểu các hệ thống và thiết bị chứa dữ liệu của tổ chức. Cụ thể: Năng lực Kiểm kê cho phép phát hiện và theo dõi các thiết bị được kết nối với doanh nghiệp. Năng lực Quản lý lỗ hổng bảo mật cung cấp cơ chế phân tích các thành phần mạng khác nhau này, nó giúp hiểu rõ hơn về các lỗ hổng đã được giải quyết và chưa được khắc phục trong tổ chức, đồng thời cho phép tổ chức đưa ra quyết định sáng suốt về việc xử lý các lỗ hổng đã biết để bảo vệ tốt nhất dữ liệu được ưu tiên. Năng lực Ghi nhật ký ghi lại và lưu trữ tất cả các tệp nhật ký được tạo ra bởi các thành phần này trong tổ chức. Quản lý lỗ hổng bảo mật và Ghi nhật ký cùng góp phần vào năng lực Thực thi chính sách. Thực thi chính sách nhắm mục tiêu vào các máy có lỗ hổng bảo mật chưa được khắc phục và giúp duy trì tình trạng an toàn tổng thể của doanh nghiệp.
Năng lực Giám sát tính toàn vẹn thiết lập đường ranh giới của các tệp và hệ thống, điều này rất cần thiết trong việc xác định thông tin về thay đổi tính toàn vẹn bất kỳ xảy ra đối với dữ liệu trong các tệp và hệ thống đó. Đồng thời, năng lực Sao lưu cho phép các thành phần trong tổ chức tạo ra các tệp sao lưu dữ liệu. Một số dữ liệu được lưu trữ, bao gồm cả các tệp sao lưu, có thể được hưởng lợi từ năng lực Lưu trữ an toàn. Lưu trữ an toàn cho phép lưu trữ dữ liệu với các biện pháp bảo vệ dữ liệu bổ sung, chẳng hạn như các công nghệ ghi một lần đọc nhiều lần.
Ngoài bảo vệ ở mức tệp, năng lực Bảo vệ mạng có thể bảo vệ mạng của tổ chức chống lại sự xâm nhập và di chuyển biên của các tác nhân và chương trình độc hại. Bảo vệ mạng có thể được bổ sung bằng năng lực Danh sách từ chối, có thể lọc các chương trình hoặc truyền thông mạng được phép. Thông thường, điều này có thể được cung cấp dưới dạng tường lửa hoặc thậm chí là một danh sách cho phép, nhưng tồn tại các sản phẩm mà cho phép kiểm soát chi tiết hơn các bộ lọc này.
Thông qua việc sử dụng và tích hợp các công nghệ này, một tổ chức có thể chuẩn bị để đối với với việc mất tính toàn vẹn dữ liệu trước khi sự kiện đó xảy ra bằng cách xác định tài sản của họ và bảo vệ chúng khỏi các cuộc tấn công.
TÀI LIỆU THAM KHẢO 1. NIST Cybersecurity Framework. Framework for Improving Critical Infrastructure Cybersecurity-v1., 16/4/2018. Tài liệu có tên đầy đủ là Framework for Improving Critical Infrastructure Cybersecurity. Available: https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11 2. NIST SP 1800-11 Data integrity: Recovering from Ransomware and other destructive events. 9/2020. https://www.nccoe.nist.gov/data-integrity-recovering-ransomware-and-other-destructive-events 3. NIST SP 1800-25 Data integrity: Identifying and Protecting Assets against ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/data-integrity-identifying-and-protecting-assets-against-ransomware-and-other-destructive-events 4. NIST SP 1800-26 Data integrity: Detecting and Responding to ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/data-integrity-detecting-and-responding-ransomware-and-other-destructive-events 5. Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides, (draft), 1/10/2020. https://www.nccoe.nist.gov/data-integrity-detecting-and-responding-ransomware-and-other-destructive-events |
TS. Trần Duy Lai
14:00 | 21/08/2013
10:00 | 14/06/2022
12:00 | 12/08/2022
23:00 | 02/09/2022
09:00 | 12/09/2022
15:00 | 28/07/2022
17:00 | 01/04/2022
18:00 | 16/08/2022
12:00 | 12/08/2022
07:00 | 04/11/2022
07:00 | 17/10/2024
Vào tháng 3/2024, các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát hiện ra một chiến dịch tấn công mạng tinh vi nhắm vào những cá nhân ở Nga bằng phần mềm gián điệp Android có tên gọi là LianSpy, phần mềm này có khả năng ghi lại các bản ghi màn hình, trích xuất tệp của người dùng, thu thập nhật ký cuộc gọi và danh sách ứng dụng. Các tin tặc đã sử dụng nhiều chiến thuật trốn tránh, chẳng hạn như tận dụng dịch vụ đám mây của Nga là Yandex Disk, để liên lạc với máy chủ điều khiển và ra lệnh (C2). Một số tính năng này cho thấy LianSpy rất có thể được triển khai thông qua lỗ hổng bảo mật chưa được vá hoặc truy cập vật lý trực tiếp vào điện thoại mục tiêu. Bài viết này sẽ cùng khám phá và phân tích phần mềm gián điệp LianSpy dựa trên báo cáo của Kaspersky.
10:00 | 04/10/2024
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Cục An toàn thông tin vừa phát đi cảnh báo về chiêu trò lừa đảo mới mạo danh cơ quan an sinh xã hội, dụ người dân nhận tiền hỗ trợ, trợ cấp... Tuy nhiên, đằng sau những lời "có cánh" lại là cái bẫy tinh vi nhằm chiếm đoạt tài sản.
10:00 | 30/10/2024