Tìm hiểu về Cyber Security

Tìm hiểu về Cyber Security

Offensive Security là gì ?

Offensive Security to offer free streaming series to assist cybersecurity learning - SiliconANGLE

Một cách ngắn gọn thì đây là quá trình đột nhập vào hệ thống máy tính, khai thác các lỗi phần mềm, tìm kiếm các lỗ hổng trên ứng dụng để chiếm quyền truy cập một cách trái phép.

Để vượt qua các hac.ker, chúng ta cần làm tương tự họ – tìm lỗ hổng, thực hiện cài đặt các bản vá trước khi bị tấn công.

Defensive Security là gì ?

Defensive Security

Là quá trình bảo vệ hệ thống bằng cách phân tích và xử lý các mối đe dọa bảo mật tiềm ẩn. Với vai trò phòng thủ, có thể là điều tra các máy tính hoặc thiết bị bị ảnh hưởng để tìm hiểu cách nó bị tấn công, theo dõi dấu vết hay giám sát hạ tầng mạng để tìm kiếm cách hoạt động trái phép.

Defensive security liên quan đến 2 nhiệm vụ chính:

  • Ngăn chặn xâm nhập trước khi nó xảy ra.
  • Phát hiện xâm nhập khi nó xảy ra và phản ứng phù hợp.

Trong khi Red team và pentester thuộc về offensive security thì Blue team lại là một phần của defensive security.

Một số mảng liên quan đến defensive security:

  • User security awareness: đào tạo người dùng để ngăn chặn các mối rủi ro về tấn công vào hệ thống.
  • Documenting & managing assets: Hiểu biết về hệ thống và các loại thiết bị thông tin giúp quản lý và bảo vệ một cách đúng đắn hơn.
  • Updating & patching systems: Đảm bảo các máy tính, servers và thiết bị mạng được cập nhật và vá lỗi đầy đủ để chống lại bất kỳ lỗ hổng nào đã biết.
  • Setting security devices: Các hệ thống tường lửa và IPS là các thành phần trọng yếu trong việc phòng ngừa rủi ro bảo mật. Firewall giúp kiểm soát lưu lượng mạng vào ra trong khi IPS thực hiện ngăn chặn bất kỳ traffic nào trùng với rule hay signatures đã được định nghĩa trước.
  • Setting logging & monitoring devices: Nếu không theo dõi và ghi log hệ thống, sẽ không thể hoặc rất khó để phát hiện các hoạt động xâm nhập hay nguy hại. Một ví dụ đơn giản, nếu có thiết bị không được cho phép xuất hiện trong mạng, chúng ta cần phải biết về nó.

2 topic liên quan đến Defensive Security:

SOC (Security Operations Center)

SOC là một team các chuyên viên bảo mật với vai trò monitor hệ thống mạng để phát hiện các sự kiện bảo mật nguy hại.

What is a Security Operations Center (SOC)?

Một số lĩnh vực liên quan tới SOC có thể kể tới bao gồm:

  • Vulnerabilities: Khi một hay nhiều lỗ hổng được phát hiện, điều cần thiết là nhanh chóng cài đặt bản update hay bản patch. Tuy nhiên nếu những lỗ hổng này chưa được hỗ trợ, thì hành động cần thiết là ngăn chặn hacker khai thác được hỗ trợ này.
  • Policy violations: Chúng ta có thể hiểu nó là một tập hợp các rule cần thiết để bảo vệ hệ thống mạng. Một ví dụ đơn giản như hành vi vi phạm là khi người dùng upload dữ liệu nhạy cảm của công ty lên các trang lưu trữ online.
  • Unauthorized activity: Với các trường hợp user/pass của người dùng bị đánh cắp, kẻ tấn công có thể sử dụng nó để đăng nhập vào hệ thống. SOC cần phát hiện các sự kiện này và ngăn chặn nó trước khi các rủi ro có thể xảy ra.
  • Network intrusions: Không quan trọng bảo mật của bạn tốt tới đâu, thì vẫn luôn có nhưng cơ hội nhất định để kẻ tấn công thực hiện hành vi xâm nhập. Ví dụ một xâm nhập có thể xảy ra khi user click vào một link độc hại đã bị kẻ xấu khai thác. Dù thế nào, khi xâm nhập xảy ra, chúng ta phải phát hiện và ngăn chặn các rủi ro có thể phát sinh.

Các hoạt động bảo mật bao gồm rất nhiều các nhiệm vụ khác nhau, một trong số đó là “Threat Intelligence”

Threat intelligence:

Intelligence được hiểu là thông tin thu thập được về đối thủ. Một “threat” là bất kỳ hành động nào có thể gây gián đoạn hoặc có tác động xấu đến hệ thống. Threat intelligence nhắm đến việc thu thập các thông để giúp các công ty có thể chuẩn bị tốt hơn trong việc chống lại các mối đe dọa. Mỗi loại hình công ty thì lại có những mối đe dọa khác nhau. Một vài mối đe dọa như là việc đánh cắm dữ liệu khách hàng, hoặc cũng có thể là ảnh hưởng đến hoạt động sản xuất. Thậm chí là liên quan đến các hoạt động chính trị, hay ransomware nhắm đến các mục đích tài chính.

Cốt lõi của intelligence là data, data được thu thập, xử lý và phân tích. Data có thể từ nguồn cục bộ như network log hay các nguồn public như các website chia sẻ, forum. Xử lý data nhắm đến việc sắp xếp thành định dạng phù hợp để phân tích.

Kết quả của quá trình threat intelligence cho phép chúng ta xác định được đối thủ, dự đoán hành động của họ, từ đó giảm thiểu các cuộc tấn công và chuẩn bị các chiến lược để đối phó.

Digital Forensics

Forensics là ứng dụng của khoa học điều tra tội phạm và xác định sự thật. Trước đây pháp y là hình ảnh gắn liền với điều tra tội phạm mà mọi người vẫn thường biết đến qua các bộ phim. Tuy nhiên với sự ra đời và phát triển của hàng loạt các thiết bị số như máy tính, smartphone, các thiết bị IoT… một nhánh mới của pháp y đã ra đời đó là “computer forensic” mà sau này đã phát triển lên thành “digital forensic” – pháp y số.

The Evolution of Digital Forensics

Trong defensive security, mục tiêu của pháp y số là tập trung phân tích các bằng chứng của các vụ tấn công như trộm cắp tài sản trí tuệ, gián điệp, hay sở hữu nội dung trái phép. Có thể kể đến một số đối tượng thực hiện như:

  • File System: Phân tích một ảnh pháp y kỹ thuật số (đã được low-level-copy) từ một hệ thống lưu trữ sẽ tiết lộ nhiều thông tin ví dụ như các chương trình đã được cài đặt, các file đã được tạo, sửa xóa….
  • System memory: Nếu kẻ tấn công chạy chương trình độc hại từ bộ nhớ mà không lưu nó lên ổ đĩa, tạo một bản ảnh số (low-level-copy) tương tự như trên từ bộ nhớ hệ thống là cách tốt nhất để tìm hiểu về cách họ thực hiện tấn công.
  • System logs: Mỗi thiết bị client hoặc server đều lưu trữ rất nhiều thông tin nhật ký khác nhau về các vấn đề xảy ra. Mặc dù kẻ tấn công có thể thực hiện xóa log, nhưng không phải tất cả đều có thể xóa được.
  • Network logs: Nhật ký các gói tin mạng cũng cho biết rằng liệu một cuộc tấn công có diễn ra hay không cũng như hình thức tấn công của nó ra sao.

Incident Response

Thuật ngữ này ám chỉ đến các vi phạm về dữ liệu hay tấn công mạng. Tuy nhiên trong nhiều trường hợp. Nó có thể chỉ là các sự cố ít nghiêm trọng, ví dụ như lỗi cài đặt (misconfiguration), hay cố gắng thử đăng nhập hoặc vi phạm chính sách. Trong thực tế, kẻ tấn công cũng có thể thực hiện nhiều hành vi khác như làm gián đoạn hệ thống mạng, thay đổi giao diện website hoặc ăn cắp dữ liệu.

8 Best Incident Response Use Cases - Logsign

Vấn đề là chúng ta phản ứng với các cuộc tấn công này như thế nào. Incident response chỉ định ra một phương pháp để thực hiện theo khi xảy ra các vấn đề như vậy. Mục tiêu nhắm đến đó là giảm thiểu tối đa hậu quả và nhanh chóng khôi phục lại trong thời gian ngắn nhất.

4 giai đoạn chính của incident response bao gồm:

  • Preparation: Ban đầu cần một team đã được đào tạo và sẵn sàng ứng phó với các sự cố có thể xảy ra. Các biện pháp có thể được đưa ra trước để ngăn chặn các sự cố xảy ra.
  • Detection and Analysis: Team này cũng cần có các nguồn tài nguyên (công cụ) để có thể phát hiện các sự cố, phân tích cũng như đánh giá mức độ nghiêm trọng của nó.
  • Containment, Eradication and recovery: Khi một sự cố được phát hiện, điều quan trọng nhất cần thực hiện đó là ngừng sự ảnh hưởng của nó đến hệ thống, loại bỏ nó, khôi phục lại các đối tượng bị ảnh hưởng. Ví dụ như khi máy tính bị nhiễm virus, điều cần làm là dừng tác động của virus đến hệ thống, loại bỏ virus, và khôi phục lại các đối tượng trên máy tính.
  • Post-incident activity: Khi một tác vụ khôi phục hoàn thành, cần thiết thực hiện một báo cáo, qua đó để các bên liên quan có thể học hỏi và ngăn chặn những điều tương tự xảy ra trong tương lai.

The Cyber Incident Response Lifecycle

Malware Analysis

Malware được hiểu là các phần mềm độc hại mà có thể là một chương trình, file văn bản hoặc các file thông thường mà chúng ta lưu trên ổ đĩa hay gửi qua mạng. Có nhiều kiểu malware, ví dụ như:

  • Virus là một đoạn mã, được đính kèm vào chương trình. Nó được thiết kế để lây lan từ máy này sang máy khác. Nó hoạt động bằng cách thay đổi, ghi đè và xóa các file để gây ảnh hưởng lên máy tính.Kết quả là máy tính có thể trở nên chậm chạp hay thiếu ổn định.
  • Trojan horse là một chương trình được đính kèm theo một chương trình khác. Bằng cách này, kẻ tấn công có thể đánh lừa người dùng chạy chương trình A nhưng thật ra là đã chạy cả chương trình B, từ đó kẻ tấn công có thể nắm quyền kiểm soát hệ thống của victim.
  • Ransomware là loại chương trình chuyên mã hóa file của người dùng. Mã hóa được hiểu là người dùng sẽ không thể đọc được những file này nữa nếu không biết mật khẩu đã được sử dụng để mã hóa. Thường thì kẻ tấn công sẽ đòi tiền chuộc và cung cấp lại mật khẩu mã hóa.

Malware analysis chính là quá trình phân tích các chương trình độc hại mà chủ yếu là một trong hai cách sau:

  1. Static analysis: Không chạy malware mà chỉ thực hiện phân tích nó về mặt code (điều này đòi hỏi nhiều kiến thức về ngôn ngữ lập trình)
  2. Dynamic analysis: cho phép khởi chạy malware trong môi trường đã được cách ly hoặc kiểm soát, sau đó giám sát mọi hoạt động của nó. Từ đó biết được cách thức hoạt động của malware ra sao.

 

SADmin Blog

Take care of your body, that is the first place you check-in and the last place before you start new journey.

Give a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.