Giao thức không an toàn (Unsecure Protocols)

Một cấu hình yếu quan trọng khác cần đề phòng trong doanh nghiệp là các giao thức không an toàn. Một trong những giao thức phổ biến nhất được sử dụng, HTTP, bản chất của nó là không an toàn. Thêm TLS vào HTTP, sử dụng HTTPS, là một thay đổi cấu hình đơn giản nên được thực thi ở mọi nơi. Nhưng còn tất cả các ngăn xếp giao thức khác được xây dựng sẵn trong hệ điều hành và chỉ chờ trở thành lỗ hổng bảo mật, chẳng hạn như FTP, Telnet và SNMP? Các giao thức và dịch vụ truyền thông được bảo mật không phù hợp và thông tin xác thực không an toàn làm tăng nguy cơ truy cập trái phép vào doanh nghiệp Các thiết bị cơ sở hạ tầng mạng có thể bao gồm bộ định tuyến, bộ chuyển mạch, điểm truy cập, cổng, proxy và tường lửa. Khi hệ thống cơ sở hạ tầng được triển khai, các thiết bị này vẫn trực tuyến trong nhiều năm và nhiều thiết bị trong số đó hiếm khi được khởi động lại, vá lỗi hoặc nâng cấp.

Thiết lập mặc định (Default Settings)

Cài đặt mặc định có thể là một rủi ro bảo mật trừ khi chúng được tạo ra có lưu ý đến bảo mật. Các hệ điều hành cũ hơn thường có mọi thứ được bật theo mặc định. Các phiên bản cũ của một số hệ thống có tài khoản quản trị viên ẩn và Máy chủ SQL của Microsoft từng có mật khẩu quản trị viên hệ thống trống theo mặc định. Ngày nay, hầu hết các nhà cung cấp đã giải quyết những vấn đề này, đặt các giá trị mặc định có lưu ý đến bảo mật. Nhưng khi bạn khởi tạo một thứ gì đó trong doanh nghiệp của mình, thì nó sẽ là của bạn. Do đó, bạn nên thực hiện cài đặt những gì bạn cần và chỉ những gì bạn cần, và bạn nên tạo những cài đặt này làm cơ sở cấu hình mặc định. Bằng cách này, các cài đặt và ý nghĩa bảo mật của chúng được hiểu. Không thực hiện các bước này để lại quá nhiều ẩn số trong một doanh nghiệp.

Mở các cổng và dịch vụ (Open Ports and Services)

Để một dịch vụ phản hồi một yêu cầu, cổng của nó phải được mở để giao tiếp. Có cổng mở cũng giống như có cửa trong một tòa nhà. Ngay cả kho tiền ngân hàng cũng có cửa. Có quá nhiều dịch vụ mở chỉ dẫn đến các đường dẫn vào hệ thống của bạn cần được bảo vệ. Việc tắt các dịch vụ không cần thiết, đóng cổng và sử dụng tường lửa để ngăn chặn liên lạc ngoại trừ trên các kênh đã được phê duyệt sẽ tạo ra rào cản đối với sự xâm nhập của người dùng trái phép. Nhiều dịch vụ chạy với các đặc quyền nâng cao theo mặc định và phần mềm độc hại lợi dụng điều này. Các chuyên gia bảo mật nên cố gắng hết sức để kiểm tra các dịch vụ và vô hiệu hóa bất kỳ dịch vụ nào không cần thiết.

Exam Tip  Cấu hình yếu làm tăng đáng kể khả năng tấn công và xâm nhập thành công. Cố gắng hết sức để xóa các ứng dụng không cần thiết, tắt mọi dịch vụ không cần thiết, thay đổi tên người dùng và mật khẩu tài khoản mặc định, đồng thời đóng hoặc bảo mật các cổng không cần thiết

Rủi ro của bên thứ ba (Third-Party Risks)

Môi trường máy tính của doanh nghiệp chứa đầy các bên thứ ba và rủi ro của họ trở thành rủi ro doanh nghiệp. Các rủi ro phổ biến của bên thứ ba thường bị bỏ qua là các vấn đề về quản lý nhà cung cấp, tích hợp hệ thống và thiếu hỗ trợ của nhà cung cấp. Tất cả những điều này đều có liên quan đến thực tế là khi bạn chọn một nhà cung cấp là một phần của giải pháp doanh nghiệp của mình, điều đó hoàn toàn hợp lý. Nhưng theo thời gian, doanh nghiệp thay đổi, nhà cung cấp thay đổi, khả năng và nhu cầu thay đổi, và những gì đã từng là phù hợp có thể không còn trong tương lai. Giữ cho hệ thống được tối ưu hóa không phải là một nhiệm vụ đơn giản và nhiều khi các điều kiện sau này sẽ dẫn đến các quyết định khác nhau liên quan đến bên thứ ba và rủi ro của họ.

Các chuỗi cung ứng hiếm khi dừng lại ở bước tiếp theo, và trong công nghệ, các chuỗi đó có thể dài và phức tạp. Với các chuỗi cung ứng này, rủi ro đến từ các yếu tố như phát triển mã thuê ngoài, bảo trì hệ thống và trong thế giới hệ thống đám mây, lưu trữ dữ liệu trên máy tính của bên khác.

Đối với phần mềm của bên thứ ba đang chạy trong doanh nghiệp, điều quan trọng là phải có một bản kiểm kê về phần mềm đó là gì, theo phiên bản và nơi nó được sử dụng. Điều này hỗ trợ nhóm bảo mật giám sát các nguồn phát hiện lỗ hổng thông qua các nguồn như cơ sở dữ liệu Các lỗ hổng phổ biến và Mức độ phơi nhiễm. Danh sách này cũng sẽ giúp xác định mức độ rủi ro khi phần mềm hết tuổi thọ hoặc kết thúc vòng đời sử dụng.

Các vấn đề bổ sung liên quan đến chính sách liên quan đến quản lý rủi ro của bên thứ ba được đề cập chi tiết ở phần sau của Chương 33, “Chính sách tổ chức.”

Exam Tip Hãy nhớ rằng các mối quan tâm về chuỗi cung ứng và việc thiếu sự hỗ trợ của nhà cung cấp là những mối quan tâm trực tiếp liên quan đến rủi ro và quản lý của bên thứ ba.

Quản lý nhà cung cấp (Vendor Management)

Nhà cung cấp hoặc nhà cung cấp là một công ty có mối quan hệ kinh doanh với doanh nghiệp. Trong hầu hết các trường hợp, mối quan hệ này trong doanh nghiệp là một trong nhiều khách hàng. Trong khi tiếng nói của khách hàng là quan trọng, thì tiếng nói của một khách hàng gần như không bao giờ được nghe thấy. Thách thức của việc quản lý nhà cung cấp là một trong những việc xác định nhu cầu của chính một người và sau đó tìm nhà cung cấp đưa ra đề xuất giá trị tốt nhất so với những nhu cầu đó. Đây không chỉ là lựa chọn và mua một sản phẩm cho hầu hết các thành phần trong doanh nghiệp; các vấn đề về hỗ trợ, thời gian tồn tại của hệ thống và bảo trì đều đóng một vai trò trong giá trị lâu dài của nhà cung cấp và sản phẩm của họ. Lập bản đồ nhu cầu và quản lý vấn đề đa chiều để xác định sự phù hợp nhất và sau đó duy trì mối quan hệ đó theo thời gian là điều cần thiết trong môi trường doanh nghiệp luôn thay đổi.

Hệ thống tích hợp (System Integration)

Doanh nghiệp bao gồm nhiều thành phần khác nhau, tất cả cùng làm việc để xử lý thông tin đi qua doanh nghiệp. Các thành phần khác nhau phục vụ các chức năng khác nhau, nhưng cuối cùng, chúng phải hoạt động cùng nhau. Tích hợp hệ thống là sự kết nối các thành phần này, mỗi thành phần đại diện cho một phần của hệ thống thành một đơn vị hoạt động hoàn chỉnh. Tích hợp hệ thống là một lĩnh vực mà các lỗ hổng có thể tồn tại, vì các phần có thể có lỗ hổng trong tích hợp của chúng hoặc các khả năng không biểu hiện theo đặc điểm kỹ thuật mong muốn. Tích hợp hệ thống đi đôi với quản lý cấu hình vì cấu hình của các phần riêng lẻ có thể ảnh hưởng đến chức năng của toàn bộ hệ thống. Bất kỳ sai lệch nào so với thông số kỹ thuật thiết kế đều thể hiện cơ hội cho rủi ro.

Thiếu hỗ trợ của nhà cung cấp (Lack of Vendor Support)

Lack of vendor support (Thiếu sự hỗ trợ của nhà cung cấp) có thể trở thành một vấn đề ở một số cấp độ khác nhau. Kịch bản rõ ràng nhất là khi nhà sản xuất ban đầu của mặt hàng, có thể là phần cứng hoặc phần mềm, không còn cung cấp hỗ trợ nữa. Khi một mặt hàng hết thời hạn sử dụng (EOL) theo quan điểm của nhà sản xuất ban đầu, điều này biểu thị tuổi thọ cuối cùng của mặt hàng đó trong hầu hết mọi trường hợp. Sau khi nhà sản xuất ngừng hỗ trợ một mặt hàng, các tùy chọn để cập nhật mặt hàng đó với các bản vá và bản sửa lỗi hiếm khi tồn tại. Tại thời điểm này, một tổ chức tiếp tục sử dụng sản phẩm sẽ chịu tất cả rủi ro liên quan đến các vấn đề được phát hiện sau khi sản phẩm đã chuyển sang trạng thái EOL và các tùy chọn để giải quyết những rủi ro này chỉ giới hạn trong việc bù đắp các biện pháp kiểm soát.

Exam Tip Đừng để bị bối rối! End of life (EOL) là thuật ngữ được sử dụng để biểu thị rằng một thứ gì đó đã hết “vòng đời hữu ích”. Kết thúc vòng đời sử dụng (EOSL) hoặc kết thúc hỗ trợ là khi nhà sản xuất ngừng bán một mặt hàng. Trong hầu hết các trường hợp, nhà sản xuất không còn cung cấp dịch vụ bảo trì hoặc cập nhật.

Một tình huống khác trong đó phát sinh sự thiếu hỗ trợ của nhà cung cấp là khi hệ thống được đề cập được triển khai bởi nhà cung cấp bên thứ ba và nhà cung cấp đó không còn hỗ trợ cấu hình hoặc không còn kinh doanh nữa. Công nghệ cơ bản có thể vẫn được hỗ trợ bởi các nhà sản xuất ban đầu, nhưng việc thiếu hỗ trợ cho phần mềm trung gian do bên thứ ba cung cấp đặt ra câu hỏi liệu các sản phẩm cơ bản có thể được cập nhật hoặc vá lỗi hay không. Điều này đặt gánh nặng kiểm tra lên người dùng cuối và trong nhiều trường hợp, người dùng cuối không có kiến thức hoặc kỹ năng cần thiết để tiến hành kiểm tra hồi quy kỹ lưỡng.

Exam Tip Một hệ thống có thể có các lỗ hổng liên quan đến tuổi của nó. Cho dù hệ thống bao gồm các bộ phận cũ, như trong một hệ thống nhúng hay đã trở thành một hệ thống kế thừa cuối đời, việc thiếu hỗ trợ của nhà cung cấp có thể dẫn đến việc chủ sở hữu không thể giải quyết nhiều vấn đề mới phát hiện..

Chuỗi cung ứng (Supply Chain)

Rủi ro chuỗi cung ứng là do các lỗ hổng nằm trong chuỗi cung ứng gây ra. Cho dù những các lỗ hổng nằm trong chính chuỗi cung ứng thực tế hoặc một sản phẩm đến từ bên thứ ba, kết quả là như nhau – mức độ rủi ro tăng lên. Như chúng ta đã thấy vào năm 2020 do hậu quả của đại dịch, chuỗi cung ứng toàn cầu có thể bị gián đoạn bởi các sự kiện bên ngoài và sau đó gây ra các vấn đề cho các công ty phụ thuộc vào chuỗi cung ứng hoạt động hiệu quả. Việc chậm trễ ra mắt sản phẩm, cập nhật và các mốc quan trọng đều có thể xảy ra khi các bộ phận, thành phần hoặc yếu tố phần mềm không được phân phối đúng thời hạn.

Exam Tip Một cuộc tấn công chuỗi cung ứng thường xảy ra tại liên kết bảo mật yếu nhất trong chuỗi cung ứng và điều này thường xảy ra trong quá trình sản xuất hoặc thậm chí trong giai đoạn phân phối sản phẩm.

Outsourced Code Development

Mã có thể là một trong những nguồn lỗ hổng và rủi ro lớn nhất trong một doanh nghiệp. Mã được nhúng vào rất nhiều khía cạnh của doanh nghiệp — từ thiết bị đến các quy trình kinh doanh, từ các ứng dụng giúp mọi thứ vận hành đến cơ sở hạ tầng mà tất cả đều chạy trên đó. Mã là chất keo kết dính tất cả lại với nhau. Tuy nhiên, khi mã bị chôn vùi trong các quy trình và mã đó được phát triển bởi bên thứ ba, thường sử dụng các đoạn mã của bên thứ ba, thì chuỗi rủi ro sẽ trở nên dài và khó quản lý. Rủi ro không chỉ nằm ở thực tế là mã được thuê ngoài, mà thực tế là khả năng hiển thị và kiểm soát đối với những rủi ro này trở nên khó quản lý hơn với mỗi bước rời khỏi nguồn.

Tạo mã có thể bảo trì và an toàn không phải là một nhiệm vụ đơn giản. Điều quan trọng là phải có các điều kiện trong hợp đồng yêu cầu áp dụng các biện pháp phát triển thích hợp cho mã của bên thứ ba, bao gồm quyền kiểm tra và xác minh chức năng bảo mật. Các mục như backdoor, được đặt cố ý hoặc bị bỏ lại từ quá trình thử nghiệm, thường yêu cầu quyền truy cập vào mã nguồn để tìm và xóa. Việc đảm bảo các nhà phát triển bên thứ ba có các phương pháp mã hóa an toàn phù hợp và việc người kiểm tra độc lập xem xét mã của họ và được đưa vào ký quỹ để lưu giữ an toàn được coi là các phương pháp hay nhất.

Lưu trữ dữ liệu (Data Storage)

Lưu trữ dữ liệu là một khía cạnh quan trọng của mọi doanh nghiệp và nó thường được phân phối trong toàn doanh nghiệp với các dung lượng và cấu hình khác nhau. Nếu tất cả dữ liệu ở một vị trí duy nhất, thì việc quản lý lưu trữ dữ liệu, bao gồm các chức năng sao lưu và phục hồi, sẽ dễ dàng quản lý. Do việc lưu trữ dữ liệu được phân phối trong toàn doanh nghiệp thành nhiều vùng với các yêu cầu và mức độ quan trọng khác nhau, việc quản lý lưu trữ dữ liệu trở nên khó khăn hơn. Đảm bảo các biện pháp kiểm soát truy cập chính xác và các biện pháp bảo vệ bảo mật, chẳng hạn như sao lưu, là điều quan trọng đối với tất cả các kho lưu trữ dữ liệu và khi các lỗ hổng trong các kiểm soát này xuất hiện, điều này sẽ tạo ra các lỗ hổng. Nếu những kẻ tấn công có thể thao túng các kho dữ liệu, thì chúng có thể ảnh hưởng đến hoạt động của doanh nghiệp. Để đảm bảo tất cả dữ liệu được bảo vệ khỏi trở thành lỗ hổng cho hệ thống, việc có một chính sách lưu trữ dữ liệu được chuẩn hóa và danh sách kiểm tra là thông lệ tốt trong doanh nghiệp. Các yếu tố có thể thay đổi dựa trên mức độ quan trọng của kho dữ liệu, nhưng việc tuân theo một quy trình chuẩn sẽ giảm nguy cơ tồn tại các lỗ hổng do giám sát hoặc sai sót.

Quản lý bản vá không đúng hoặc yếu (Improper or Weak Patch Management)

Tất cả các hệ thống cần bản vá định kỳ vì các lỗi và lỗ hổng được phát hiện và các nhà cung cấp phát hành bản sửa lỗi phần mềm cho các lỗ hổng này. Một trong những điểm quan trọng của việc vá lỗi là khi một nhà cung cấp vá phần mềm của họ, tin tặc có thể thiết kế ngược lại lỗ hổng bảo mật từ bản vá. Do đó, một khi bản vá được phát hành, những kẻ tấn công sẽ tìm hiểu nơi để tấn công. Để quản lý rủi ro liên quan đến các lỗ hổng quản lý bản vá, điều quan trọng là phải thiết lập một chương trình quản lý bản vá mạnh mẽ bao gồm tất cả các hệ thống và tất cả phần mềm. Tài liệu về các lỗi bảo mật có đầy đủ các ví dụ trong đó kẻ tấn công đã mất một hoặc hai hệ thống để xâm nhập vào hệ thống. Có một hệ thống quản lý bản vá không phù hợp hoặc yếu là một lời mời mở để khai thác các lỗ hổng. Điều này làm cho việc quản lý bản vá trở thành một trong những biện pháp kiểm soát bảo mật thiết yếu và là một trong những nơi không có lý do gì để giải thích tại sao nó không được triển khai.

Để giảm thiểu rủi ro liên quan đến việc áp dụng các bản vá cho hệ thống sản xuất, doanh nghiệp nên sử dụng quy trình kiểm soát thay đổi. Bởi vì các bản vá có thể nhạy cảm về thời gian, điều quan trọng là phải có khoảng thời gian xác định khi các bản vá phải được cài đặt cũng như một phương tiện tự động để xác định những bản vá nào cần thiết, chúng cần ở đâu và trạng thái của mức bản vá hiện tại theo vị trí mục tiêu.

Firmware

Firmware chỉ là một dạng phần mềm khác với một điểm khác biệt đáng chú ý: nó được lưu trữ trong phần cứng để có mặt khi hệ thống khởi động. Tuy nhiên, nó vẫn là phần mềm, với tất cả các phần mềm – lỗi, lỗ hổng bảo mật, yêu cầu vá lỗi, cập nhật, v.v. Với phần sụn là một phần của chính hệ thống, luôn tồn tại, nên thường bị bỏ sót khi xem xét cách giữ cho phần mềm được cập nhật. Điều này cũng xảy ra đối với các nhà sản xuất. Nếu bạn đang xem xét một hệ thống có chương trình cơ sở, các câu hỏi hợp lý cần đặt ra trong quá trình nghiên cứu của bạn trước khi lựa chọn bao gồm: Chương trình cơ sở được cập nhật như thế nào? Bao lâu? Và các bản cập nhật được phân phối như thế nào? Vòng đời, các lỗ hổng và các vấn đề bảo trì liên quan đến phần sụn phản chiếu những vấn đề của phần mềm. Vá phần sụn là một vấn đề thường bị bỏ qua và điều này có thể dẫn đến lỗ hổng bảo mật, đặc biệt là do tuổi thọ điển hình của một số thiết bị.

Exam Tip Các bản cập nhật và bản vá được sử dụng để đảm bảo phần mềm và chương trình cơ sở được cập nhật và an toàn. Các nhà sản xuất phần cứng thường cung cấp các bản cập nhật cho chương trình cơ sở và tổ chức có trách nhiệm đảm bảo các bản cập nhật chương trình cơ sở được áp dụng.

Lưu ý : Để xem đầy đủ hình ảnh các bạn hãy tải file pdf ở phần cuối hoặc trên trang Download) – Tài liệu biên soạn bởi Viện Đào Tạo An Ninh Mạng Security365 / CertMaster Đông Dương). Ngoài ra, các bạn có thể Đặt Sách Comptia Bản In (kèm video quốc tế với phụ đề và video giới thiệu tổng quan bằng tiếng Việt về nội dung, chứng chỉ, cách đăng kí thi, cách học …)