TỔNG QUAN Trong thời đại phát triển của kỷ nguyên công nghệ 4.0, các thành phố ngày càng trở nên năng động, guồng quay của cuộc sống gắn liền với sự phát triển của các hệ thống công nghệ thông tin [CNTT]. CNTT cũng vì thế mà được áp dụng rộng rãi trong các tổ chức, doanh nghiệp để phục vụ sự “năng động” đó và trở thành một phần không thể thiếu của các tổ chức, doanh nghiệp nhằm phục vụ nhu cầu truy cập thông tin tức thì, mọi nơi, mọi lúc, kể cả trong các nghiệp vụ quan trọng như tài chính, ngân hàng, hay thậm chí là chỉ huy điều khiển các hệ thống trọng yếu.
Chính vì lẽ đó, việc bảo vệ những hệ thống CNTT đang càng ngày càng trở nên quan trọng, đóng vai trò tiên quyết trong việc đảm bảo ATTT cho các tổ chức, doanh nghiệp.
SỰ CẦN THIẾT CỦA VIỆC KIỂM TRA VÀ ĐÁNH GIÁ ATTT
Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật mà tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trước tin tặc một bước, cụ thể là tìm ra điểm yếu trong hệ thống CNTT của đơn vị và khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.
Tuy nhiên, việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, và đòi hỏi tính khách quan cao nên các tổ chức đã hướng đên việc sử dụng các Dịch vụ Kiểm định và Đánh giá ATTT của các tổ chức bên ngoài.
Dịch vụ Kiểm tra và Đánh giá ATTT [Penetration Testing], hay còn gọi ngắn gọn là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thể bị tấn công hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thử nghiệm vào hệ thống của khách hàng. Các mục tiêu chính của dịch vụ Pentest bao gồm:
• Xác định các điểm yếu bảo mật trong hệ thống. • Đưa ra những khuyến nghị và phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình pentest. • Kiểm tra các chính sách ATTT của tổ chức.
• Kiểm tra, đánh giá nhận thức của người dùng khi xảy ra tấn công mạng vào tổ chức.
Thông thường, các thông tin về những điểm yếu bảo mật được xác định và khai thác qua quá trình pentest sẽ được tổng hợp và cung cấp cho các tổ chức nhằm hỗ trợ các tổ chức hoạch định các chiến lược và ưu tiên trong việc tăng cường an ninh bảo mật cho hệ thống CNTT của đơn vị.
CÔNG TY AN NINH MẠNG VIETTEL
Công ty An ninh mạng Viettel là đơn vị trực thuộc Tập đoàn Công nghiệp - Viễn thông Quân đội, thực hiện nghiên cứu chuyên sâu và phát triển giải pháp ATTT, đồng thời cung cấp dịch vụ đảm bảo ATTT mạng cho các tổ chức, doanh nghiệp trong và ngoài nước.
Công ty đã thực hiện nghiên cứu, bổ sung và áp dụng các kỹ thuật ethical hacking đối với các ứng dụng CNTT nhằm phát hiện các lỗ hổng ATTT với mục đích mang đến khách hàng những dịch vụ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX VÀ WHITEBOX t ối ưu, hiệu quả nhất.
Các dịch vụ chính Dựa trên các mô tả lỗ hổng trong danh sách Top 10 do tổ chức OWASP đưa ra, Viettel đã xây dựng các tiêu chí để xác định các lỗ hổng của một
hệ thống web, bao gồm 7 mục chính:
• Quản lý xác thực: Tránh các lỗ hổng gây mất tài khoản • Quản lý phiên đăng nhập: Tránh lỗ các hổng chiếm quyền đăng nhập • Phân quyền: Tránh các lỗ hổng cho phép thực hiện chức năng không đúng quyền • Tương tác với back-end: Tránh lỗ hổng gây thất thoát dữ liệu • Kiểm soát dữ liệu đầu vào: Đảm bảo ATTT cho các dữ liệu được đưa lên máy chủ • Kiểm soát dữ liệu đầu ra: Đảm bảo ATTT cho người dùng
• Kiểm soát lỗ hổng 1-day của các thư viện, framework
PHƯƠNG PHÁP THỰC HIỆN
Viettel cung cấp 2 loại hình Pentest là BLACKBOX và WHITEBOX BLACKBOX PENTEST
Là phương pháp đánh giá ATTT bằng cách tiếp cận hệ thống CNTT của khách hàng từ bên ngoài Internet: • Không yêu cầu cung cấp thông tin nội bộ • Thực hiện đánh giá như những tin tặc. • Chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệ thống của khách hàng
Các thông tin lấy được trong quá trình khai thác chỉ nhằm mục đích demo sẽ được hủy bỏ khi kết thúc quá trình đánh giá. Quá trình đánh giá sẽ tiết lộ các lỗ hổng, mức độ thiệt hại và mức độ nghiêm trọng
WHITEBOX PENTEST Khác với BLACKBOX, phương pháp đánh giá WHITEBOX yêu cầu khách hàng cung cấp những thông tin liên quan đến hệ thống CNTT nội bộ và bên ngoài để thực hiện đánh giá: • Thực hiện đánh giá như một người quản trị trong mạng. • Đánh giá nguy cơ tiềm ẩn từ mã nguồn hệ thống • Chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệ thống của khách hàng
Kết quả đánh giá sử dụng WHITEBOX toàn diện hơn BLACKBOX do có sự hiểu biết rõ ràng hơn về hệ thống CNTT của khách hàng.
Quy trình thực hiện:
Quy trình Đánh giá ATTT được thực hiện qua các bước sau: Bước 1: Khách hàng gửi yêu cầu đánh giá Bước 2: Viettel gửi lại kế hoạch đánh giá Bước 3: Khách hàng chuẩn bị môi trường đánh giá. Bước 5: Viettel thực hiện đánh giá. Bước 6: Viettel gửi kết quả đánh giá và hướng dẫn khắc phục các lỗ hổng phát hiện được. Bước 7: Khách hàng thực hiện khắc phục theo hướng dẫn và gửi
yêu cầu đánh giá lại.
Quy trình kết thúc trong các trường hợp sau: • Kết quả đánh giá và đánh giá khắc phục không còn lỗi. • Sau 2 tuần, khách hàng không yêu cầu đánh giá lại các lỗi đã khắc phục. • Sau 2 lần đánh giá các lỗi khắc phục, khách hàng vẫn chưa hoàn thành khắc phục.
CÁC GIẢI THƯỞNG ĐẠT ĐƯỢC
Trong suốt những năm vừa qua, đội ngũ cán bộ, chuyên gia của Công ty An ninh mạng Viettel đã nỗ lực không ngừng trong quá trình nghiên cứu và phát triển để cho ra đời những sản phẩm tối ưu nhất, phục vụ các nhu cầu về công tác đảm bảo an toàn thông tin của khách hàng trên khắp mọi miền của đất nước cũng như những khách hàng khác trong khu vực. Trong suốt quá trình hoạt động, Viettel đã nghiên cứu và sở hữu khoảng 50 lỗ hổng zero-day trên nhiều nền tảng ứng dụng như Microsoft, Zimbra, Facebook, Paypal,…Nhờ những kết quả quan trọng trong việc phát hiện nhiều lỗ hổng của nhiều ứng dụng được sử dụng rộng rãi trên thế giới, Công ty An ninh mạng Viettel đã được thị trường trong nước và các nước lân cận công nhận là đơn vị xuất sắc trong lĩnh vực Đánh giá, Giám sát và Đảm bảo An toàn thông tin.
[KHCN]-Theo quy định của Luật An toàn thông tin mạng có hiệu lực từ ngày 1/7/2016, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an toàn thông tin của hệ thống thông tin, với 5 cấp độ tăng dần từ 1 đến 5. Trong đó, cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia. Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia. Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia; Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia; và cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
I. Nội dung, hình thức kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin gồm:
5. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.
II. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ 1. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm: a] Kiểm tra việc tuân thủ quy định của pháp luật về xác định cấp độ an toàn hệ thống thông tin; b] Kiểm tra việc tuân thủ quy định của pháp luật về thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ. 2. Đơn vị chủ trì kiểm tra là một trong những đơn vị sau đây: a] Cục An toàn thông tin; b] Đơn vị chuyên trách về an toàn thông tin. 3. Kế hoạch kiểm tra định kỳ bao gồm các nội dung sau: a] Danh sách các đơn vị, hệ thống thông tin [nếu có] sẽ tiến hành kiểm tra; b] Phạm vi và nội dung kiểm tra; c] Thời gian tiến hành kiểm tra; d] Đơn vị phối hợp kiểm tra [nếu có]. 4. Quyết định kiểm tra được lập sau khi kế hoạch kiểm tra định kỳ được cấp có thẩm quyền phê duyệt hoặc khi có kiểm tra đột xuất của cấp có thẩm quyền. 5. Đối với kiểm tra định kỳ: a] Đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện; b] Trường hợp có thay đổi so với kế hoạch kiểm tra định kỳ đã được phê duyệt, đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh; c] Kế hoạch kiểm tra định kỳ được gửi cho đối tượng kiểm tra và cơ quan cấp trên của đối tượng kiểm tra trong thời hạn tối đa 10 ngày kể từ ngày được phê duyệt nhưng tối thiểu 10 ngày trước ngày tiến hành kiểm tra. 6. Đối với kiểm tra đột xuất: Căn cứ yêu cầu kiểm tra đột xuất, quyết định kiểm tra, Trưởng đoàn kiểm tra quy định các nội dung kiểm tra cho phù hợp. 7. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, Đoàn kiểm tra có trách nhiệm thông báo cho đối tượng kiểm tra biết và bàn giao tài liệu, trang thiết bị sử dụng [nếu có] trong quá trình kiểm tra. Đoàn kiểm tra có trách nhiệm dự thảo Báo cáo kiểm tra, gửi cho đối tượng kiểm tra để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo kiểm tra, đối tượng kiểm tra có trách nhiệm có ý kiến đối với các nội dung dự thảo. 8. Trên cơ sở dự thảo Báo cáo kiểm tra, ý kiến tiếp thu giải trình của đối tượng kiểm tra, trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra tại cơ sở, Đoàn kiểm tra hoàn thiện Báo cáo kiểm tra và dự thảo kết luận kiểm tra trình cấp có thẩm quyền yêu cầu kiểm tra xem xét, phê duyệt.Kết luận kiểm tra phải gửi cho đối tượng kiểm tra và cơ quan quản lý cấp trên của đối tượng kiểm tra [nếu có] và các đơn vị có liên quan [nếu cần thiết]
III. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin 1. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin đã được áp dụng là cơ sở để tiến hành điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp với yêu cầu thực tiễn. 2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây: a] Cục An toàn thông tin; b] Đơn vị chuyên trách về an toàn thông tin; c] Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp; d] Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng. 3. Đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện. Kế hoạch đánh giá bao gồm: a] Danh sách các đơn vị, hệ thống thông tin sẽ tiến hành đánh giá; b] Thời gian tiến hành đánh giá; c] Đơn vị thực hiện: Tự thực hiện hoặc do đơn vị chuyên trách về an toàn thông tin thực hiện hoặc thuê ngoài theo quy định của pháp luật. 4. Trường hợp có thay đổi so với kế hoạch đánh giá đã được phê duyệt, đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh. 5. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, đơn vị chủ trì đánh giá có trách nhiệm thông báo cho đơn vị vận hành hệ thống thông tin biết và bàn giao tài liệu, trang thiết bị sử dụng [nếu có] trong quá trình kiểm tra. Đơn vị chủ trì đánh giá có trách nhiệm dự thảo Báo cáo đánh giá, gửi cho đơn vị vận hành hệ thống thông tin để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo đánh giá, đơn vị vận hành hệ thống thông tin có trách nhiệm có ý kiến đối với các nội dung dự thảo. 6. Trên cơ sở dự thảo Báo cáo đánh giá, ý kiến của đơn vị vận hành hệ thống thông tin, đơn vị chủ trì đánh giá hoàn thiện Báo cáo đánh giá, gửi đơn vị vận hành và chủ quản hệ thống thông tin. Điều 13. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống 1. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là việc thực hiện dò quét, phát hiện lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể có của hệ thống thông tin khi bị đối tượng tấn công xâm nhập. 2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây: a] Cục An toàn thông tin; b] Đơn vị chuyên trách về an toàn thông tin; c] Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp; d] Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống. 3. Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm: a] Thông báo cho chủ quản hệ thống thông tin về điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin; b] Thực hiện công tác bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không công bố dữ liệu liên quan khi chưa được sự đồng ý của chủ quản hệ thống thông tin;c] Việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống phải bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống.
TH