Trung tâm xuất sắc về an toàn không gian mạng quốc gia (National Cybersecurity Center of Excellence - NCCoE) của Mỹ được thành lập vào năm 2012, là một bộ phận của Viện Tiêu chuẩn và Công nghệ Quốc gia. Đây là một trung tâm hợp tác, nơi các tổ chức nghề nghiệp, các cơ quan chính phủ và các tổ chức học thuật làm việc cùng nhau để giải quyết các vấn đề an ninh mạng cấp bách nhất. Quan hệ đối tác công-tư này cho phép tạo ra các giải pháp an ninh mạng thực tế cho các ngành cụ thể, cũng như cho các thách thức công nghệ liên ngành, rộng lớn. Thông qua liên minh theo Thỏa thuận Hợp tác Nghiên cứu và Phát triển (Cooperative Research and Development Agreements - CRADA), bao gồm các đối tác công nghệ từ các công ty hàng đầu thị trường trong danh sách Fortune 50, NCCoE đã áp dụng các tiêu chuẩn và thực tiễn tốt nhất để phát triển các giải pháp an ninh mạng theo từng mô-đun, dễ dàng thích ứng bằng cách sử dụng công nghệ có sẵn trên thị trường. NCCoE tài liệu hóa các giải pháp trong loạt NIST SP 1800, trong đó ánh xạ các năng lực so với Khung an ninh không gian mạng của NIST [1] và nêu chi tiết các bước cần thiết để thực hiện lại các giải pháp mẫu.
Thành công của mã độc tống tiền liên quan đến tính toàn vẹn của dữ liệu, nhưng mã độc tống tiền chỉ là một trong nhiều rủi ro tiềm ẩn mà qua đó một tổ chức có thể bị mất tính toàn vẹn của dữ liệu. Tính toàn vẹn là một phần của bộ ba tính an toàn bao gồm Tính bí mật, Tính toàn vẹn và Tính khả dụng. Thuộc tính toàn vẹn của dữ liệu được hiểu là “dữ liệu không bị thay đổi, bị phá hủy hoặc bị mất đi một cách trái phép hoặc ngẫu nhiên”. Một cuộc tấn công chống lại tính toàn vẹn của dữ liệu có thể gây ra hỏng hóc, sửa đổi và/hoặc phá hủy dữ liệu mà cuối cùng dẫn đến mất tin tưởng vào dữ liệu.
Hình 1. Các dự án về an toàn dữ liệu
NCCoE đã và đang tích cực tham gia giải quyết thách thức của mã độc tống tiền và các sự kiện toàn vẹn dữ liệu khác thông qua nhiều dự án. Các dự án này giúp các tổ chức triển khai các năng lực kỹ thuật để giải quyết các vấn đề về tính toàn vẹn của dữ liệu. Mã độc tống tiền là một trong những trường hợp được sử dụng trong các dự án này.
Trong năm 2020, NCCoE đã phát hành 3 tài liệu Hướng dẫn thực hành dành cho tính toàn vẹn dữ liệu [2-4]. Để tiếp tục công việc của mình với bộ ba tính an toàn, NCCoE đang tiếp tục phát triển các dự án Bí mật dữ liệu thông qua các ấn phẩm là SP 1800-28 và SP 1800-29. Tính khả dụng của dữ liệu vẫn chưa được thực hiện như công bố thuộc SP 1800, nhưng việc nghiên cứu đang được tiến hành để xác định cách mà NIST có thể giải quyết vấn đề này tốt nhất như thế nào thông qua NCCoE.
Mã độc tống tiền, phần mềm độc hại, các mối đe dọa từ bên trong và thậm chí cả những sai lầm của người dùng đều là những mối đe dọa đang xảy ra đối với một tổ chức. Dữ liệu của tổ chức, chẳng hạn như bản ghi cơ sở dữ liệu, các tệp hệ thống, các cấu hình, các tệp người dùng, các ứng dụng và dữ liệu khách hàng, đều là mục tiêu tiềm ẩn của việc làm hỏng, sửa đổi và phá hủy dữ liệu.
Hình 2. Năm chức năng cốt lõi của khung an ninh không gian mạng
NIST đã xuất bản phiên bản 1.1 của Khung an ninh không gian mạng [1] vào tháng 4/2018 để cung cấp hướng dẫn về bảo vệ và phát triển năng lực phục hồi cho cơ sở hạ tầng quan trọng và các lĩnh vực khác. Khung an ninh không gian mạng chứa 05 chức năng cốt lõi:
- Xác định (identify): Phát triển sự hiểu biết về tổ chức để quản lý rủi ro an ninh mạng đối với hệ thống, con người, tài sản, dữ liệu và năng lực.
- Bảo vệ (protect): Phát triển và triển khai các biện pháp bảo vệ thích hợp để đảm bảo cung cấp các dịch vụ quan trọng.
- Phát hiện (detect): Phát triển và triển khai các hoạt động thích hợp để xác định việc xảy ra của sự kiện an ninh mạng.
- Phản ứng (respond): Phát triển và triển khai các hoạt động thích hợp để hành động liên quan đến sự cố an ninh mạng được phát hiện.
- Phục hồi (recovery): Phát triển và triển khai các hoạt động thích hợp để duy trì các kế hoạch về năng lực phục hồi và khôi phục bất kỳ năng lực hoặc dịch vụ nào đã bị suy giảm do sự cố an ninh mạng.
Hình 3. Chia các chức năng của khung an ninh không gian mạng
Khi xây dựng Khung an ninh mạng cho tính toàn vẹn dữ liệu thường dễ thấy là có sự phân tách tự nhiên thành ba dự án riêng biệt dựa trên vòng đời của một cuộc tấn công toàn vẹn dữ liệu. Trước một cuộc tấn công, tất cả các tài sản, các lỗ hổng tiềm ẩn và bảo vệ các tài sản này bao gồm cả việc khắc phục các lỗ hổng được phát hiện cần phải được xác định. Khái niệm này được mô tả trong hướng dẫn thực hành [2]. Để lập kế hoạch cho một tổ chức có thể xử lý như thế nào khi một cuộc tấn công xảy ra, tổ chức cần có năng lực phát hiện và phản ứng với các sự kiện phá hoại. Nên việc xác định và bảo vệ tài sản chống lại mã độc tống tiền và các sự kiện phá hoại khác [3] nhằm giải quyết thách thức này. Cuối cùng, nếu một cuộc tấn công tính toàn vẹn dữ liệu thành công, một tổ chức phải có năng lực khôi phục được mô tả trong [4].
Bộ ba tài liệu [2-4] có dung lượng rất lớn, tổng cộng hơn 1500 trang. Mỗi tài liệu trên bao gồm 3 phần: Phần A: Tóm tắt thực hành; Phần B: Phương pháp tiếp cận, kiến trúc và đặc điểm bảo mật và Phần C: Hướng dẫn cách thực hiện. Để giúp cho người quan tâm dễ nắm bắt được vấn đề, NCCoE đã biên soạn [5] nhằm cung cấp tổng quan về ba dự án Toàn vẹn dữ liệu phù hợp với các chức năng trong Khung an ninh mạng của NIST với các mục tiêu sau: xây dựng biện pháp phòng thủ trước các thách thức về toàn vẹn dữ liệu; cung cấp một mức độ cao giải thích về kiến trúc và các năng lực, cũng như cách các dự án này có thể được kết hợp với nhau thành một giải pháp toàn vẹn dữ liệu. Bài báo này nhằm trình bày lại những nét chính của [5].
SP 1800-25 nhằm vào tính toàn vẹn của dữ liệu trước một cuộc tấn công tiềm tàng. Nó nêu chi tiết sự cần thiết phải có kiến thức toàn diện về các tài sản trong tổ chức và việc bảo vệ các tài sản này trước nguy cơ bị hỏng và phá hủy dữ liệu. Dự án này đề xuất một kiến trúc với nhiều hệ thống hoạt động cùng nhau để xác định và bảo vệ tài sản của tổ chức trước mối đe dọa làm sai lệch, sửa đổi và phá hủy. Mục đích của dự án này là giúp hướng dẫn các tổ chức xác định hiệu quả các tài sản (thiết bị, dữ liệu và ứng dụng) mà có thể trở thành mục tiêu đối với một tấn công toàn vẹn dữ liệu, cũng như các lỗ hổng tạo điều kiện cho các cuộc tấn công này. Nó cũng khám phá các phương pháp để bảo vệ các tài sản này chống lại các cuộc tấn công toàn vẹn dữ liệu.
Hình 4. Kiến trúc của SP 1800-25
Hình 4 mô tả ngắn gọn về các năng lực (các khối chức năng) mà tổ chức cần có. Để xác định và bảo vệ dữ liệu trước các sự kiện phá hoại, cần phải hiểu các hệ thống và thiết bị chứa dữ liệu của tổ chức. Cụ thể: Năng lực Kiểm kê cho phép phát hiện và theo dõi các thiết bị được kết nối với doanh nghiệp. Năng lực Quản lý lỗ hổng bảo mật cung cấp cơ chế phân tích các thành phần mạng khác nhau này, nó giúp hiểu rõ hơn về các lỗ hổng đã được giải quyết và chưa được khắc phục trong tổ chức, đồng thời cho phép tổ chức đưa ra quyết định sáng suốt về việc xử lý các lỗ hổng đã biết để bảo vệ tốt nhất dữ liệu được ưu tiên. Năng lực Ghi nhật ký ghi lại và lưu trữ tất cả các tệp nhật ký được tạo ra bởi các thành phần này trong tổ chức. Quản lý lỗ hổng bảo mật và Ghi nhật ký cùng góp phần vào năng lực Thực thi chính sách. Thực thi chính sách nhắm mục tiêu vào các máy có lỗ hổng bảo mật chưa được khắc phục và giúp duy trì tình trạng an toàn tổng thể của doanh nghiệp.
Năng lực Giám sát tính toàn vẹn thiết lập đường ranh giới của các tệp và hệ thống, điều này rất cần thiết trong việc xác định thông tin về thay đổi tính toàn vẹn bất kỳ xảy ra đối với dữ liệu trong các tệp và hệ thống đó. Đồng thời, năng lực Sao lưu cho phép các thành phần trong tổ chức tạo ra các tệp sao lưu dữ liệu. Một số dữ liệu được lưu trữ, bao gồm cả các tệp sao lưu, có thể được hưởng lợi từ năng lực Lưu trữ an toàn. Lưu trữ an toàn cho phép lưu trữ dữ liệu với các biện pháp bảo vệ dữ liệu bổ sung, chẳng hạn như các công nghệ ghi một lần đọc nhiều lần.
Ngoài bảo vệ ở mức tệp, năng lực Bảo vệ mạng có thể bảo vệ mạng của tổ chức chống lại sự xâm nhập và di chuyển biên của các tác nhân và chương trình độc hại. Bảo vệ mạng có thể được bổ sung bằng năng lực Danh sách từ chối, có thể lọc các chương trình hoặc truyền thông mạng được phép. Thông thường, điều này có thể được cung cấp dưới dạng tường lửa hoặc thậm chí là một danh sách cho phép, nhưng tồn tại các sản phẩm mà cho phép kiểm soát chi tiết hơn các bộ lọc này.
Thông qua việc sử dụng và tích hợp các công nghệ này, một tổ chức có thể chuẩn bị để đối với với việc mất tính toàn vẹn dữ liệu trước khi sự kiện đó xảy ra bằng cách xác định tài sản của họ và bảo vệ chúng khỏi các cuộc tấn công.
TÀI LIỆU THAM KHẢO 1. NIST Cybersecurity Framework. Framework for Improving Critical Infrastructure Cybersecurity-v1., 16/4/2018. Tài liệu có tên đầy đủ là Framework for Improving Critical Infrastructure Cybersecurity. Available: 2. NIST SP 1800-11 Data integrity: Recovering from Ransomware and other destructive events. 9/2020. 3. NIST SP 1800-25 Data integrity: Identifying and Protecting Assets against ransomware and other destructive events. 12/2020. 4. NIST SP 1800-26 Data integrity: Detecting and Responding to ransomware and other destructive events. 12/2020. 5. Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides, (draft), 1/10/2020. |
TS. Trần Duy Lai
14:00 | 21/08/2013
10:00 | 14/06/2022
12:00 | 12/08/2022
23:00 | 02/09/2022
09:00 | 12/09/2022
15:00 | 28/07/2022
17:00 | 01/04/2022
18:00 | 16/08/2022
12:00 | 12/08/2022
07:00 | 04/11/2022
08:00 | 26/08/2024
DNS Tunneling là một kỹ thuật sử dụng giao thức DNS (Domain Name System) để truyền tải dữ liệu thông qua các gói tin DNS. Giao thức DNS được sử dụng để ánh xạ các tên miền thành địa chỉ IP, nhưng DNS tunneling sử dụng các trường dữ liệu không được sử dụng thông thường trong gói tin DNS để truyền tải dữ liệu bổ sung. DNS Tunneling thường được sử dụng trong các tình huống mà việc truy cập vào Internet bị hạn chế hoặc bị kiểm soát, như trong các mạng cơ quan, doanh nghiệp hoặc các mạng công cộng. Tuy nhiên, DNS Tunneling cũng có thể được sử dụng để thực hiện các cuộc tấn công mạng, bao gồm truy cập trái phép vào mạng hoặc truyền tải thông tin nhạy cảm mà không bị phát hiện.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
14:00 | 22/06/2023
Việc áp dụng rộng rãi công nghệ 5G sẽ thay đổi thế giới theo nhiều cách. Với dữ liệu không giới hạn, tốc độ nhanh hơn và độ trễ thấp, 5G đang thúc đẩy những thay đổi cơ bản trong hành vi sử dụng dữ liệu của người dùng. Bài viết này sẽ giới thiệu về các yếu tố thúc đẩy việc áp dụng 5G hàng loạt, cạnh tranh của các nhà cung cấp dịch vụ truyền thông có liên quan và rủi ro mạng đang gia tăng trong thế giới 5G và tầm quan trọng của giải pháp Network Native Security trong việc quản lý rủi ro mạng của người tiêu dùng và đảm bảo sự phát triển liên tục của 5G.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
13:00 | 28/08/2024