3.3. Bộ ba CIA

Đơn vị học tập này bao gồm các Mục tiêu sau:

• Hiểu được lý do tại sao việc bảo vệ tính bảo mật của thông tin lại quan trọng
• Tìm hiểu lý do tại sao việc bảo vệ tính toàn vẹn của thông tin lại quan trọng
• Khám phá lý do tại sao việc bảo vệ tính khả dụng của thông tin lại quan trọng

Để hiểu các kỹ thuật tấn công, chúng ta cần hiểu các nguyên tắc mà nhóm phòng thủ phải tuân theo để có thể nhanh chóng xác định cơ hội khai thác lỗi của họ. Tương tự như vậy, những hộ vệ hay vệ sĩ mạng sẽ được hưởng lợi từ việc hiểu cách những kẻ tấn công hoạt động, bao gồm cả những loại thiên vị và lỗi mà họ dễ mắc phải.

Một trong những mô hình thường được sử dụng để mô tả mối quan hệ giữa bảo mật và các đối tượng của nó được gọi là bộ ba CIA . CIA là viết tắt của Confidentiality ( Tính bảo mật) , Integrity (Tính toàn vẹn ) và Availability ( Tính khả dụng). Mỗi thuộc tính này là một thuộc tính mong muốn của những thứ mà chúng ta có thể muốn bảo mật và mỗi thuộc tính trong ba thuộc tính này đều có thể bị tấn công. Hầu hết (mặc dù không phải tất cả) các cuộc tấn công vào hệ thống máy tính và mạng sẽ đe dọa một trong những thuộc tính này. Chúng ta hãy bắt đầu bằng một bản tổng quan cấp cao trước khi đi sâu vào từng thuộc tính:

• Tính bảo mật : Những tác nhân không được phép truy cập vào hệ thống hoặc thông tin có thể truy cập vào hệ thống hoặc thông tin không?
• Tính toàn vẹn : Dữ liệu hoặc hệ thống có thể bị sửa đổi theo cách không mong muốn không?
• Tính khả dụng : Dữ liệu hoặc hệ thống có thể truy cập được vào thời điểm và theo cách thức như mong muốn không?

Điều quan trọng cần lưu ý là trong một số trường hợp, chúng ta có thể quan tâm nhiều hơn đến một khía cạnh của bộ ba CIA so với những khía cạnh khác. Ví dụ, nếu ai đó có một cuốn nhật ký cá nhân chứa đựng những suy nghĩ thầm kín nhất của họ, thì tính bảo mật của cuốn nhật ký có thể quan trọng hơn nhiều đối với chủ sở hữu so với tính toàn vẹn hoặc tính khả dụng của nó. Nói cách khác, họ có thể không quan tâm đến việc liệu ai đó có thể viết nhật ký hay không (trái ngược với việc đọc nó) hoặc liệu nhật ký có luôn có thể truy cập được hay không.

Mặt khác, nếu chúng ta bảo mật một hệ thống theo dõi đơn thuốc, tính toàn vẹn của dữ liệu sẽ là yếu tố quan trọng nhất. Mặc dù điều quan trọng là ngăn không cho người khác đọc được loại thuốc mà ai đó sử dụng và điều quan trọng là những người phù hợp có thể truy cập vào danh sách thuốc này. Nếu ai đó có thể thay đổi nội dung của hệ thống, điều đó có thể dẫn đến hậu quả có khả năng đe dọa đến tính mạng.

Khi chúng ta bảo mật một hệ thống và phát hiện ra một vấn đề, chúng ta sẽ muốn xem xét vấn đề đó tác động đến khái niệm nào trong ba khái niệm này hoặc sự kết hợp nào của chúng. Điều này giúp chúng ta hiểu vấn đề một cách toàn diện hơn và cho phép chúng ta phân loại các vấn đề và phản hồi phù hợp.

3.3.1. Bảo mật

Một hệ thống được coi là Bảo mật nếu những người duy nhất có thể truy cập vào hệ thống là những người được cấp phép rõ ràng. Thông tin tài khoản mạng xã hội của một người được coi là bảo mật miễn là mật khẩu của người dùng chỉ được chủ sở hữu biết. Nếu tin tặc đánh cắp hoặc đoán được mật khẩu và có thể truy cập vào tài khoản, thì đây sẽ là hành vi tấn công vào tính bảo mật. Các cuộc tấn công phổ biến vào tính bảo mật bao gồm nghe lén mạng và nhồi thông tin xác thực .

Hãy xem xét một ví dụ về cuộc tấn công vào tính bảo mật, đánh giá tác động của nó và hiểu cách nó có thể được ngăn chặn hoặc giảm thiểu. Vào tháng 8 năm 2021, T-Mobile thông báo rằng tin tặc đã truy cập dữ liệu liên quan đến hơn 50 triệu khách hàng hiện tại, trước đây và tương lai. Mặc dù không có thông tin thanh toán, mật khẩu hoặc mã PIN nào bị truy cập, một số dữ liệu bao gồm tên và họ, ngày sinh, số an sinh xã hội và thông tin ID/giấy phép lái xe. Dữ liệu này sau đó được rao bán trên dark web.

Cuộc tấn công đã tác động đến tính bảo mật của thông tin cá nhân của hàng triệu khách hàng hiện tại, trước đây và tương lai. Tính bảo mật của thông tin này sau đó đã bị xâm phạm thêm nữa khi được bán trên dark web. Điều này cũng dẫn đến thiệt hại thêm về uy tín của T-Mobile vì cuộc tấn công là một trong số nhiều vụ vi phạm gần đây.

Có thông tin hạn chế về phương pháp chính xác mà những kẻ tấn công sử dụng; tuy nhiên, chúng tuyên bố rằng trước tiên đã xâm phạm một bộ định tuyến để truy cập vào hơn 100 máy chủ bao gồm cơ sở dữ liệu hoặc các cơ sở dữ liệu chứa dữ liệu khách hàng bị ảnh hưởng. Vi phạm này có thể được ngăn chặn bằng cách đảm bảo rằng tất cả các tài nguyên hướng đến internet đều được cấu hình, vá và cập nhật đúng cách. Sau đó, mạng phải theo dõi hành vi bất thường của người dùng và bằng cách thiết lập phân đoạn mạng tốt hơn.

Các tài liệu riêng tư như giấy phép lái xe phải được bảo mật vì chúng chứa thông tin có thể nhận dạng cá nhân.

Tuy nhiên, không phải mọi thông tin mà một công ty sở hữu đều nhất thiết phải được bảo mật. Ví dụ, các thành viên hội đồng quản trị của T-Mobile được liệt kê công khai trên trang web của họ. Do đó, nếu một cuộc tấn công tiết lộ thông tin đó, thì đó sẽ không phải là vi phạm tính bảo mật.

3.3.2. Tính toàn vẹn

Một hệ thống có tính toàn vẹn nếu thông tin và chức năng mà nó lưu trữ chỉ là những thông tin mà chủ sở hữu có ý định lưu trữ. Tính toàn vẹn liên quan đến việc duy trì tính chính xác và độ tin cậy của dữ liệu và dịch vụ. Chỉ cần đăng nhập vào tài khoản mạng xã hội của người dùng bằng cách đoán mật khẩu của họ không phải là một cuộc tấn công vào tính toàn vẹn. Tuy nhiên, nếu kẻ tấn công bắt đầu đăng tin nhắn hoặc xóa thông tin, thì đây cũng sẽ trở thành một cuộc tấn công vào tính toàn vẹn. Một cuộc tấn công phổ biến vào tính toàn vẹn là thực thi mã tùy ý .

Vào tháng 1 năm 2022 , các nhà nghiên cứu đã xác định được một phần mềm độc hại wiper mới, được gọi là WhisperGate , đang được sử dụng chống lại các mục tiêu ở Ukraine. Phần mềm độc hại này có hai giai đoạn: giai đoạn một ghi đè lên Master Boot Record (MBR) để hiển thị một ghi chú ransomware giả, trong khi giai đoạn hai tải xuống phần mềm độc hại tiếp theo ghi đè lên các tệp có phần mở rộng cụ thể, do đó khiến chúng bị hỏng và không thể khôi phục. Cuộc tấn công này ảnh hưởng đến tính toàn vẹn của dữ liệu trên hệ thống bị ảnh hưởng bằng cách ghi đè lên các tệp theo cách không thể khôi phục, về cơ bản là xóa chúng.

Trong lời khuyên của mình, Microsoft khuyến nghị các mục tiêu tiềm năng thực hiện các bước sau để tự bảo vệ mình: bật MFA để giảm thiểu thông tin đăng nhập có khả năng bị xâm phạm, bật Quyền truy cập thư mục được kiểm soát (CFA) trong Microsoft Defender để ngăn chặn việc giả mạo MBR/VBR, sử dụng IoC được cung cấp để tìm kiếm các vi phạm tiềm ẩn, xem xét và xác thực hoạt động xác thực cho tất cả các quyền truy cập từ xa và điều tra các hoạt động bất thường khác. CrowdStrike đã công bố thêm thông tin về các chi tiết kỹ thuật của cuộc tấn công .

Nói một cách đơn giản, tính toàn vẹn rất quan trọng mà một doanh nghiệp cần bảo vệ vì các doanh nghiệp và người tiêu dùng khác cần tin tưởng vào thông tin mà doanh nghiệp nắm giữ.

3.3.3. Tính khả dụng

Một hệ thống được coi là Sẵn sàng nếu những người được cho là có thể truy cập vào hệ thống đó có thể làm như vậy. Hãy tưởng tượng một kẻ tấn công đã có được quyền truy cập vào một tài khoản mạng xã hội và cũng đăng nội dung mà họ chọn. Cho đến nay, điều này sẽ cấu thành một cuộc tấn công vào tính bảo mật và toàn vẹn. Nếu kẻ tấn công thay đổi mật khẩu của người dùng và ngăn họ đăng nhập, thì đây cũng sẽ trở thành một cuộc tấn công vào tính sẵn sàng. Một cuộc tấn công phổ biến vào tính sẵn sàng là một cuộc tấn công từ chối dịch vụ .

Vào ngày 24 tháng 2 năm 2022, khi Nga bắt đầu xâm lược Ukraine, dịch vụ băng thông rộng vệ tinh của Viasat đã bị tấn công Từ chối dịch vụ (DoS) khiến internet vệ tinh của khách hàng Ukraine, bao gồm cả chính phủ và quân đội Ukraine, bị sập. Cuộc tấn công này sử dụng phần mềm độc hại xóa dữ liệu mới có tên là AcidRain .

Tác động của cuộc tấn công này là internet vệ tinh của Viasat tạm thời không khả dụng ở Ukraine vào thời điểm quan trọng khi bắt đầu cuộc xâm lược, làm gián đoạn liên lạc và phối hợp. Rất ít thông tin có sẵn về cách thức cuộc tấn công này diễn ra. Viasat tuyên bố rằng một "sai cấu hình" VPN đã cho phép truy cập ban đầu. Mặc dù không rõ sai cấu hình cụ thể là gì, cuộc tấn công này có thể đã được ngăn chặn bằng cách đảm bảo cấu hình VPN phù hợp.

Có thể cuộc tấn công này đã được ngăn chặn, mặc dù chúng ta nên thừa nhận những khó khăn nổi tiếng liên quan đến việc phòng ngừa, bằng cách tuân theo hướng dẫn chung để phòng thủ chống lại các mối đe dọa dai dẳng nâng cao (APT). Hướng dẫn này đề xuất đảm bảo khả năng hiển thị hoàn toàn vào môi trường của một người, tham gia vào tình báo mối đe dọa và thực hiện săn tìm mối đe dọa, cùng với các khuyến nghị khác.

3.3.4. Cân bằng Bộ ba với Mục tiêu Tổ chức

Trước khi kết thúc phần này, chúng ta hãy thu nhỏ lại và xem xét cách ưu tiên bộ ba CIA có thể tác động đến một tổ chức. Đặc biệt, một sắc thái quan trọng cần xem xét là bản thân các biện pháp kiểm soát bảo mật đôi khi có thể gây bất lợi cho tính khả dụng. Bảo mật cực kỳ mạnh không phải lúc nào cũng là tối ưu cho một tổ chức. Nếu bảo mật quá mạnh đến mức người dùng không thể sử dụng hệ thống hoặc thường xuyên thất vọng với hệ thống, điều này có thể dẫn đến tình trạng kém hiệu quả, tinh thần thấp và có khả năng dẫn đến sự sụp đổ của tổ chức.

Cân bằng các biện pháp kiểm soát bảo mật với tính khả dụng là một quá trình đánh giá, khám phá, mô hình hóa mối đe dọa, thảo luận, thử nghiệm và phát hành quan trọng và liên tục. Việc tạo ra các quy tắc ngăn cản nhân viên tham gia cải tiến là một cách dễ dàng để phá hỏng chương trình bảo mật.

Bảo mật là trách nhiệm của mọi người và các quy trình tiếp nhận phản hồi từ toàn bộ tổ chức cũng như hướng dẫn nhân viên cách sử dụng các biện pháp kiểm soát thường rất quan trọng đối với một chương trình bảo mật thành công.

Phòng thí nghiệm

1. Chính sách đặt độ dài mật khẩu hợp lý sẽ giúp bảo vệ thuộc tính nào của bộ ba CIA?

Trả lời

2. Thuật toán mã hóa mạnh giúp bảo vệ thuộc tính nào của bộ ba CIA?

Trả lời

3. Thuộc tính nào của bộ ba CIA được hàm băm và tổng kiểm tra bảo vệ?

Trả lời

4. Bank Corp có một biểu mẫu trên trang web của họ. Mã xử lý các biểu mẫu không khử trùng một số tham số nhất định. Điều này cho phép bất kỳ người dùng nào thay đổi các giá trị được lưu trữ trong các bảng trên cơ sở dữ liệu SQL. Do đó, người dùng có thể thay đổi số tiền họ có trong tài khoản của mình. Đây là ví dụ về vi phạm thuộc tính nào của bộ ba CIA?

Trả lời

5. Acme Co vô tình để một thùng AWS S3 không được bảo mật, cho phép bất kỳ ai truy cập vào dữ liệu nhận dạng cá nhân nhạy cảm. Đây là ví dụ về vi phạm tài sản của bộ ba CIA nào?

Trả lời

6. Bệnh viện Hope lưu trữ tất cả dữ liệu của mình trên một máy chủ duy nhất mà không có bản sao lưu. Một ngày nọ, một người gác cổng vô tình vấp phải dây điện, giật nó ra khỏi ổ cắm và ngắt kết nối máy chủ mà nhân viên đang dựa vào. Đây là một ví dụ về vi phạm tài sản của bộ ba CIA nào?

Trả lời

Đối với những câu hỏi sau, hãy tham khảo tình huống này:

Vào năm 2016, Linux Mint đã bị xâm phạm. Những kẻ tấn công đã có thể truy cập vào máy chủ web lưu trữ các bản tải xuống ISO của chúng và thay thế chúng bằng các ISO khác có chứa các cửa hậu được cài đặt trên đó. Chúng cũng đã thay đổi các tổng kiểm tra công khai của các ISO trên cùng một trang web. Các quản trị viên Linux Mint đã xác định được vấn đề và giải quyết trong vòng 24 giờ. Một phần trong khám phá của họ là các ISO và tổng kiểm tra, có thể tải xuống thông qua torrent (một cách để tải xuống tệp trên mạng ngang hàng), không bị ảnh hưởng bởi vi phạm.

7. Bộ phận nào của CIA bị ảnh hưởng khi kẻ tấn công thay đổi các tập tin ISO trên trang web?

Trả lời

8. Bộ phận nào trong bộ ba CIA bị ảnh hưởng khi kẻ tấn công truy cập được vào máy chủ web trước khi thực hiện bất kỳ thay đổi nào?

Trả lời

9. Giả sử kẻ tấn công quyết định xóa tất cả các tệp quan trọng trên máy chủ web, ngăn máy chủ hoạt động theo cách mong muốn. Phần nào của bộ ba CIA sẽ bị ảnh hưởng?

Trả lời

10. Linux Mint đang giải quyết vấn đề nào trong bộ ba CIA khi có hai vị trí tải xuống?

Trả lời