tek4

Hiểm họa, rủi ro, tấn công và lỗ hổng

by - September. 25, 2021
Kiến thức
Học
Công nghệ
<p style="text-align: justify;">Hiểm họa, rủi ro, tấn c&ocirc;ng v&agrave; lỗ hổng l&agrave; những kh&aacute;i niệm cốt l&otilde;i của an to&agrave;n th&ocirc;ng tin. Tuy nhi&ecirc;n, c&aacute;c thuật ngữ n&agrave;y thường xuy&ecirc;n bị sử dụng nhầm lẫn v&agrave; chồng ch&eacute;o lẫn nhau. Mặc d&ugrave; c&oacute; những mối li&ecirc;n hệ nhất định giữa c&aacute;c kh&aacute;i niệm n&agrave;y, nhưng ch&uacute;ng l&agrave; c&aacute;c thuật ngữ ri&ecirc;ng biệt với &yacute; nghĩa kh&aacute;c nhau. B&agrave;i viết n&agrave;y sẽ tr&igrave;nh b&agrave;y v&agrave; ph&acirc;n biệt sự kh&aacute;c nhau giữa c&aacute;c kh&aacute;i niệm n&agrave;y.</p> <h2>Hiểm họa</h2> <p style="text-align: justify;"><strong>Hiểm họa an to&agrave;n th&ocirc;ng tin</strong> l&agrave; những <strong>khả năng t&aacute;c động</strong> l&ecirc;n th&ocirc;ng tin hoặc hệ thống th&ocirc;ng tin dẫn tới sự thay đổi, hư hại, sao ch&eacute;p, sự ngăn chặn tiếp cận tới th&ocirc;ng tin; ph&aacute; huỷ hoặc l&agrave;m ngừng trệ hoạt động của vật mang th&ocirc;ng tin. Hiểm họa an to&agrave;n th&ocirc;ng tin đề cập đến c&aacute;c t&igrave;nh huống hoặc sự kiện c&oacute; khả năng t&aacute;c động g&acirc;y hại đến hệ thống th&ocirc;ng tin.</p> <p><img class=" wp-image-4695 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/Hiểm-họa.jpg" alt="Hiểm họa" width="423" height="281" /></p> <p style="text-align: justify;">Hiểm họa c&oacute; thể chia th&agrave;nh 3 loại phổ biến: c&aacute;c hiểm họa tự nhi&ecirc;n (b&atilde;o hoặc lũ lụt), c&aacute;c hiểm họa kh&ocirc;ng chủ &yacute; (chẳng hạn như một nh&acirc;n vi&ecirc;n truy cập sai th&ocirc;ng tin, quản trị vi&ecirc;n v&ocirc; t&igrave;nh để dữ liệu kh&ocirc;ng được bảo vệ tr&ecirc;n hệ thống g&acirc;y lộ lọt, r&ograve; rỉ dữ liệu) v&agrave; c&aacute;c hiểm họa c&oacute; chủ &yacute;. C&oacute; rất nhiều c&aacute;c hiểm họa c&oacute; chủ &yacute; như&nbsp;c&aacute;c cuộc <a href="https://tek4.vn/15-cong-cu-tan-cong-mang-khong-day-pho-bien/">tấn c&ocirc;ng mạng</a>, <a href="https://tek4.vn/chu-de/ma-doc/">m&atilde; độc</a>, phần mềm gi&aacute;n điệp, phần mềm quảng c&aacute;o,&nbsp;lừa đảo hoặc kỹ nghệ x&atilde; hội dẫn đến việc kẻ tấn c&ocirc;ng c&agrave;i đặt trojan v&agrave; đ&aacute;nh cắp th&ocirc;ng tin c&aacute; nh&acirc;n từ c&aacute;c ứng dụng của bạn hoặc h&agrave;nh động của một nh&acirc;n vi&ecirc;n bất m&atilde;n nhằm đ&aacute;nh cắp c&oacute; chủ đ&iacute;ch c&aacute;c dữ liệu quan trọng trong tổ chức.</p> <p style="text-align: justify;">Gần đ&acirc;y nhất, v&agrave;o ng&agrave;y 12 th&aacute;ng 5 năm 2017, Ransomware WannaCry đ&atilde; bắt đầu tấn c&ocirc;ng c&aacute;c m&aacute;y t&iacute;nh v&agrave; mạng tr&ecirc;n to&agrave;n cầu v&agrave; từ đ&oacute; được m&ocirc; tả l&agrave; cuộc tấn c&ocirc;ng lớn nhất của loại h&igrave;nh tội phạm n&agrave;y. Tội phạm mạng li&ecirc;n tục đưa ra những c&aacute;ch s&aacute;ng tạo mới để tấn c&ocirc;ng v&agrave; thỏa hiệp dữ liệu của bạn.</p> <p>Trong an to&agrave;n th&ocirc;ng tin c&aacute;c hiểm họa c&oacute; xu hướng được cụ thể h&oacute;a đối với từng m&ocirc;i trường nhất định. V&iacute; dụ một số loại <a href="https://tek4.vn/ma-doc-la-gi/">m&atilde; độc</a> c&oacute; thể rất nguy hiểm tr&ecirc;n hệ điều h&agrave;nh Windows, tuy nhi&ecirc;n lại kh&ocirc;ng c&oacute; bất kỳ t&aacute;c dụng g&igrave; tr&ecirc;n hệ điều h&agrave;nh Linux...</p> <p style="text-align: justify;">C&aacute;c hiểm họa an ninh mạng được thực hiện bởi c&aacute;c t&aacute;c nh&acirc;n đe dọa. C&aacute;c t&aacute;c nh&acirc;n đe dọa thường l&agrave; những người hoặc thực thể c&oacute; khả năng khởi đầu một hiểm họa tiềm ẩn đối với hệ thống. V&iacute; dụ tội phạm c&oacute; động cơ t&agrave;i ch&iacute;nh (tội phạm mạng), động cơ ch&iacute;nh trị (kẻ tấn c&ocirc;ng), đối thủ cạnh tranh, nh&acirc;n vi&ecirc;n bất cẩn, nh&acirc;n vi&ecirc;n bất m&atilde;n v&agrave; những kẻ tấn c&ocirc;ng được hậu thuẫn bởi c&aacute;c tổ chức ch&iacute;nh phủ, quốc gia kh&aacute;c. Mặc d&ugrave; c&aacute;c thảm họa tự nhi&ecirc;n, cũng như c&aacute;c sự kiện ch&iacute;nh trị v&agrave; m&ocirc;i trường kh&aacute;c cũng tạo th&agrave;nh c&aacute;c mối hiểm họa an to&agrave;n th&ocirc;ng tin, nhưng ch&uacute;ng thường kh&ocirc;ng được coi l&agrave; t&aacute;c nh&acirc;n đe dọa (điều n&agrave;y kh&ocirc;ng c&oacute; nghĩa l&agrave; c&aacute;c hiểm họa đ&oacute; c&oacute; thể được coi nhẹ hoặc &iacute;t quan trọng hơn).</p> <p style="text-align: justify;">C&aacute;c hiểm họa an to&agrave;n th&ocirc;ng tin cũng c&oacute; thể trở n&ecirc;n nguy hiểm hơn nếu c&aacute;c t&aacute;c nh&acirc;n đe dọa tận dụng một hoặc nhiều lỗ hổng để c&oacute; quyền truy cập v&agrave;o hệ thống, thường bao gồm cả hệ điều h&agrave;nh.</p> <h2>Lổ hổng</h2> <p style="text-align: justify;">Lỗ hổng đề cập đến c&aacute;c điểm yếu m&agrave; c&oacute; thể được sử dụng để g&acirc;y hại cho một hệ thống, l&agrave; những <strong>khiếm khuyết trong chức năng, th&agrave;nh phần</strong> n&agrave;o đ&oacute; của hệ thống th&ocirc;ng tin m&agrave; c&oacute; thể bị lợi dụng để g&acirc;y hại cho hệ thống. Về mặt bản chất, lỗ hổng l&agrave; những điểm yếu c&oacute; thể bị khai th&aacute;c bởi c&aacute;c hiểm họa nhằm g&acirc;y hại cho hệ thống. N&oacute;i c&aacute;ch kh&aacute;c, đ&acirc;y l&agrave; một vấn đề đ&atilde; biết cho ph&eacute;p một cuộc tấn c&ocirc;ng diễn ra th&agrave;nh c&ocirc;ng. V&iacute; dụ: khi một nh&acirc;n vi&ecirc;n trong c&ocirc;ng ty từ chức v&agrave; bạn qu&ecirc;n v&ocirc; hiệu h&oacute;a quyền truy cập của họ v&agrave;o t&agrave;i khoản từ b&ecirc;n ngo&agrave;i c&oacute; thể tạo ra những lỗ hổng an to&agrave;n cho c&aacute;c hiểm họa c&oacute; chủ &yacute; hoặc v&ocirc; &yacute;.</p> <p><img class=" wp-image-4696 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/lỗ-hổng.jpg" alt="lỗ hổng" width="547" height="365" /></p> <p style="text-align: justify;">Một hệ thống c&oacute; thể được khai th&aacute;c th&ocirc;ng qua một lỗ hổng duy nhất, v&iacute; dụ, một cuộc tấn c&ocirc;ng SQL Injection duy nhất c&oacute; thể cung cấp cho kẻ tấn c&ocirc;ng to&agrave;n quyền kiểm so&aacute;t dữ liệu nhạy cảm. Kẻ tấn c&ocirc;ng cũng c&oacute; thể x&acirc;u chuỗi v&agrave; tạo ra một chuỗi c&aacute;c tấn c&ocirc;ng sử dụng một số c&aacute;ch khai th&aacute;c với nhau, lợi dụng nhiều hơn một lỗ hổng để gi&agrave;nh quyền kiểm so&aacute;t nhiều hơn đối với hệ thống.</p> <p style="text-align: justify;">Lỗ hổng c&oacute; thể xuất hiện ở khắp mọi nơi, đ&oacute; c&oacute; thể l&agrave; một lỗ hổng của hệ điều h&agrave;nh, một ứng dụng, thậm ch&iacute; ở một vị tr&iacute; vật l&yacute; trong văn ph&ograve;ng, một trung t&acirc;m dữ liệu được ph&acirc;n bố hoạt động vượt qu&aacute; khả năng cho ph&eacute;p của hệ thống l&agrave;m m&aacute;t, thiếu m&aacute;y ph&aacute;t điện dự ph&ograve;ng hoặc c&aacute;c yếu tố kh&aacute;c.</p> <p style="text-align: justify;">Mộ số lỗ hổng phổ biến m&agrave; ch&uacute;ng ta hay gặp tr&ecirc;n thực tế l&agrave; <strong>SQL Injection, XSS</strong>, cấu h&igrave;nh sai m&aacute;y chủ, truyền dữ liệu nhạy cảm dưới dạng bản r&otilde;,...</p> <p style="text-align: justify;">Hiểu r&otilde; về c&aacute;c lỗ hổng l&agrave; bước đầu ti&ecirc;n để quản l&yacute; rủi ro cho hệ thống th&ocirc;ng tin. C&aacute;c hiểm họa khai th&aacute;c c&aacute;c lỗ hổng để tạo n&ecirc;n c&aacute;c rủi ro đối với hệ thống.</p> <h2>Rủi ro</h2> <p style="text-align: justify;">Rủi ro l&agrave; khả năng một c&aacute;i g&igrave; đ&oacute; xấu sẽ xảy ra v&iacute; dụ như: c&aacute;c tổn thất t&agrave;i ch&iacute;nh do sự gi&aacute;n đoạn kinh doanh, mất quyền ri&ecirc;ng tư, thiệt hại về mặt danh tiếng, li&ecirc;n đới đến c&aacute;c vấn đề ph&aacute;p l&yacute; v&agrave; thậm ch&iacute; c&oacute; thể bao gồm mất mạng. Rủi ro đề cập đến khả năng mất m&aacute;t hoặc thiệt hại khi c&aacute;c hiểm họa khai th&aacute;c lỗ hổng.&nbsp;Để một rủi ro xảy ra trong một m&ocirc;i trường cụ thể th&igrave; cần phải c&oacute; cả một hiểm họa v&agrave; một lỗ hổng m&agrave; hiểm họa cụ thể c&oacute; thể khai th&aacute;c. V&iacute; dụ nếu ch&uacute;ng ta c&oacute; một hệ thống m&aacute;y t&iacute;nh, ch&uacute;ng ta c&oacute; hiểm họa (mất điện) v&agrave; một điểm yếu (lỗ hổng) ph&ugrave; hợp với n&oacute; (kh&ocirc;ng c&oacute; bộ lưu điện). Trong trường hợp n&agrave;y ch&uacute;ng ta chắc chắn c&oacute; một rủi ro (tắt m&aacute;y). Tuy nhi&ecirc;n, ngược lại, nếu ch&uacute;ng ta vẫn c&oacute; c&ugrave;ng hiểm họa l&agrave; mất điện, nhưng hệ thống m&aacute;y t&iacute;nh l&uacute;c n&agrave;y lại c&oacute; bộ lưu điện, ch&uacute;ng ta sẽ kh&ocirc;ng c&ograve;n rủi ro tắt m&aacute;y trong trường hợp n&agrave;y bởi v&igrave; hiểm họa của ch&uacute;ng ta ở đ&acirc;y kh&ocirc;ng c&oacute; lỗ hổng để khai th&aacute;c.</p> <p><img class=" wp-image-4697 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/Rủi-ro.png" alt="Rủi ro" width="443" height="305" /></p> <p>Rủi ro c&oacute; thể được định nghĩa như sau:</p> <table> <tbody> <tr> <td style="text-align: center;">Rủi ro = Hiểm họa x Lỗ hổng</td> </tr> </tbody> </table> <p style="text-align: justify;">Bạn c&oacute; thể giảm nguy cơ rủi ro bằng c&aacute;ch tạo v&agrave; thực hiện kế hoạch quản l&yacute; rủi ro. V&agrave; để quản l&yacute; rủi ro hiệu quả, bạn cần đ&aacute;nh gi&aacute; mức độ rủi ro:</p> <table> <tbody> <tr> <td style="text-align: center;">Mức độ rủi ro = X&aacute;c suất xảy ra rủi ro * Thiệt hại ước t&iacute;nh</td> </tr> </tbody> </table> <p>V&iacute; dụ:</p> <ul> <li style="text-align: justify;">Ch&uacute;ng ta c&oacute; SQL Injection l&agrave; một <strong>lỗ hổng</strong></li> <li><strong>Hiểm họa</strong> trộm dữ liệu nhạy cảm l&agrave; một trong những mối đe dọa lớn nhất c&oacute; thể xảy ra với lỗ hổng SQL Injection.</li> <li style="text-align: justify;">Những kẻ tấn c&ocirc;ng c&oacute; động cơ t&agrave;i ch&iacute;nh l&agrave; một trong những <strong>t&aacute;c nh&acirc;n đe dọa.</strong></li> <li style="text-align: justify;"><strong>Rủi ro</strong> xảy ra khi dữ liệu nhạy cảm bị đ&aacute;nh cắp đ&oacute; l&agrave; c&aacute;c chi ph&iacute; t&agrave;i ch&iacute;nh đ&aacute;ng kể (tổn thất t&agrave;i ch&iacute;nh v&agrave; danh tiếng) cho doanh nghiệp</li> </ul> <p style="text-align: justify;">X&aacute;c suất của một cuộc tấn c&ocirc;ng như vậy l&agrave; rất cao, do SQL Injection l&agrave; một lỗ hổng dễ tiếp cận, được khai th&aacute;c rộng r&atilde;i v&agrave; dễ d&agrave;ng do c&aacute;c trang web thường phải tương t&aacute;c với b&ecirc;n ngo&agrave;i. Do đ&oacute;, lỗ hổng SQL Injection trong kịch bản n&agrave;y phải được coi l&agrave; lỗ hổng c&oacute; mức độ rủi ro cao.</p> <h2>Kết luận</h2> <p>Để t&oacute;m tắt lại c&aacute;c kh&aacute;i niệm về hiểm họa, lỗ hổng v&agrave; rủi ro, ch&uacute;ng ta sử dụng v&iacute; dụ về một cơn b&atilde;o trong thế giới thực.</p> <p style="text-align: justify;">Hiểm họa từ một cơn b&atilde;o nằm ngo&agrave;i tầm kiểm so&aacute;t của ch&uacute;ng ta. Tuy nhi&ecirc;n, ch&uacute;ng ta biết rằng một cơn b&atilde;o c&oacute; thể c&oacute; khả năng g&acirc;y thiệt hại cho hệ thống v&agrave; l&uacute;c n&agrave;y ch&uacute;ng ta cần đ&aacute;nh gi&aacute; khả năng v&agrave; mức độ thiệt hại c&oacute; thể c&oacute; đồng thời đ&aacute;nh gi&aacute; c&aacute;c điểm yếu c&oacute; thể xuất hiện đối với cơn b&atilde;o v&agrave; đưa ra một kế hoạch h&agrave;nh động để giảm thiểu t&aacute;c động từ b&atilde;o. Trong trường hợp n&agrave;y, một lỗ hổng của hệ thống sẽ l&agrave; kh&ocirc;ng c&oacute; kế hoạch kh&ocirc;i phục dữ liệu trong trường hợp thiết bị lưu trữ vật l&yacute; của bạn bị hư hại do gi&oacute; b&atilde;o lốc hoặc mưa lớn. Rủi ro đối với doanh nghiệp của bạn sẽ l&agrave; mất th&ocirc;ng tin hoặc gi&aacute;n đoạn trong kinh doanh do kh&ocirc;ng giải quyết được c&aacute;c lỗ hổng của bạn.</p> <p><img class=" wp-image-4698 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/Hiểm-họa-Rủi-ro-Lỗ-hổng.jpg" alt="Hiểm họa Rủi ro Lỗ hổng" width="355" height="306" /></p> <p>Việc hiểu ch&iacute;nh x&aacute;c c&aacute;c định nghĩa của c&aacute;c th&agrave;nh phần bảo mật n&agrave;y sẽ gi&uacute;p bạn hiệu quả hơn trong việc thiết kế một khung để x&aacute;c định c&aacute;c mối đe dọa tiềm ẩn, ph&aacute;t hiện v&agrave; giải quyết c&aacute;c lỗ hổng của bạn để giảm thiểu rủi ro.</p> <p style="text-align: justify;">Sự kh&aacute;c biệt giữa lỗ hổng v&agrave; hiểm họa, giữa lỗ hổng v&agrave; rủi ro thường kh&aacute; dễ hiểu. Tuy nhi&ecirc;n, sự kh&aacute;c biệt giữa hiểm họa v&agrave; rủi ro c&oacute; thể mang nhiều sắc th&aacute;i hơn. Việc hiểu được sự kh&aacute;c biệt về thuật ngữ n&agrave;y cho ph&eacute;p khả năng li&ecirc;n kết r&otilde; r&agrave;ng hơn giữa c&aacute;c nh&oacute;m bảo mật v&agrave; c&aacute;c b&ecirc;n kh&aacute;c nhau nhằm gi&uacute;p hiểu r&otilde; hơn về c&aacute;c mối đe dọa tiềm ẩn v&agrave; ảnh hưởng của n&oacute; khi g&acirc;y ra c&aacute;c rủi ro đến hệ thống. Sự hiểu biết tốt cũng l&agrave; điều cần thiết để đ&aacute;nh gi&aacute; rủi ro v&agrave; quản l&yacute; rủi ro hiệu quả, đồng thời gi&uacute;p thiết kế c&aacute;c giải ph&aacute;p bảo mật, cũng như để x&acirc;y dựng một ch&iacute;nh s&aacute;ch bảo mật v&agrave; chiến lược an ninh mạng tối ưu ph&ugrave; hợp cho tổ chức.</p>