Hacking Với Kali Linux Nâng Cao (PreOSCP) Phần 3.5
Security365
Tháng mười một 23, 2024
PreOSCP

3.5. Luật, Quy định, Tiêu chuẩn và Khung về An ninh mạng

Đơn vị học tập này bao gồm các Mục tiêu sau:

  • Có được hiểu biết rộng về các vấn đề pháp lý và quy định khác nhau liên quan đến an ninh mạng
  • Hiểu các khuôn khổ và tiêu chuẩn khác nhau giúp các tổ chức định hướng hoạt động an ninh mạng của họ
  • Làm quen với các quan điểm mạng

3.5.1. Luật và Quy định

Có thể viết nhiều về luật và quy định an ninh mạng, đặc biệt là vì các quốc gia và khu vực pháp lý khác nhau đều có luật riêng. Hầu hết các mục chúng ta sẽ thảo luận ở đây đều tập trung ở Hoa Kỳ; tuy nhiên, một số cũng có thể áp dụng trên toàn cầu. Là một chuyên gia an ninh, điều quan trọng là phải hiểu chính xác luật và quy định nào mà một người có thể phải tuân theo.

HIPAA : Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế năm 1996 (HIPAA) là luật liên bang của Hoa Kỳ điều chỉnh phạm vi bảo hiểm chăm sóc sức khỏe và quyền riêng tư của thông tin sức khỏe bệnh nhân. Luật này bao gồm yêu cầu tạo ra một bộ tiêu chuẩn để bảo vệ thông tin sức khỏe bệnh nhân, được gọi là Thông tin sức khỏe được bảo vệ (PHI). Các tiêu chuẩn điều chỉnh cách PHI có thể được sử dụng và tiết lộ được thiết lập theo Quy tắc bảo mật . Quy tắc này đặt ra giới hạn về thông tin nào có thể được chia sẻ mà không cần sự đồng ý của bệnh nhân và cấp cho bệnh nhân một số quyền bổ sung đối với thông tin của họ, chẳng hạn như quyền được sao chép hồ sơ sức khỏe của họ.

Một quy tắc khác được gọi là Quy tắc bảo mật nêu rõ cách PHI điện tử (e-PHI) phải được bảo vệ. Quy tắc này mô tả ba lớp bảo vệ phải được áp dụng:

  • hành chính (có một viên chức an ninh được chỉ định
  • quy trình quản lý an ninh, đánh giá định kỳ, v.v.)
  • vật lý (kiểm soát truy cập cơ sở, bảo mật thiết bị) và kỹ thuật (kiểm soát truy cập, bảo mật truyền dẫn, khả năng kiểm toán, v.v.).

Các quy tắc này cũng bao gồm các điều khoản về thực thi và hình phạt tiền đối với hành vi không tuân thủ. Quan trọng là, HIPAA cũng yêu cầu các thực thể được bảo vệ (nhà cung cấp dịch vụ chăm sóc sức khỏe, chương trình bảo hiểm sức khỏe, đối tác kinh doanh, v.v.) phải thông báo nếu xảy ra vi phạm PHI.

FERPA : Đạo luật về Quyền riêng tư và Giáo dục Gia đình năm 1974 (FERPA) là luật liên bang của Hoa Kỳ điều chỉnh quyền riêng tư của hồ sơ giáo dục của người học. Luật này đặt ra giới hạn về việc tiết lộ và sử dụng các hồ sơ này mà không có sự đồng ý của phụ huynh hoặc người học. Một số trường hợp trường học được phép tiết lộ các hồ sơ này là chuyển trường, trường hợp khẩn cấp về sức khỏe hoặc an toàn và tuân thủ lệnh của tòa án.

FERPA cũng cấp cho phụ huynh và người học trên 18 tuổi một số quyền đối với thông tin. Các quyền này bao gồm quyền kiểm tra các hồ sơ này, quyền yêu cầu sửa đổi hồ sơ không chính xác hoặc gây hiểu lầm, v.v. Các trường không tuân thủ các luật này có nguy cơ mất quyền tiếp cận nguồn tài trợ của liên bang.

GLBA : Đạo luật Gramm-Leach-Bliley (GLBA), do Quốc hội Hoa Kỳ ban hành năm 1999, thiết lập một số yêu cầu mà các tổ chức tài chính phải tuân theo để bảo vệ thông tin tài chính của người tiêu dùng. Luật này yêu cầu các tổ chức phải mô tả cách họ sử dụng và chia sẻ thông tin và cho phép cá nhân từ chối trong một số trường hợp nhất định.

Giống như các luật an ninh mạng khác, GLBA yêu cầu các tổ chức tài chính phải đảm bảo tính bảo mật và toàn vẹn của thông tin tài chính của khách hàng bằng cách dự đoán các mối đe dọa đối với an ninh và thực hiện các bước để bảo vệ chống lại truy cập trái phép. Ngoài ra, các tổ chức tài chính cũng phải mô tả các bước mà họ đang thực hiện để đạt được điều này.

GDPR : Quy định bảo vệ dữ liệu chung (GDPR) là luật được Liên minh châu Âu thông qua vào năm 2016, quy định về quyền riêng tư và bảo mật dữ liệu. Quy định này áp dụng cho khu vực tư nhân và hầu hết các tổ chức khu vực công thu thập và xử lý dữ liệu cá nhân. Quy định này cung cấp cho cá nhân một loạt các quyền đối với dữ liệu của họ, bao gồm "quyền bị lãng quên" nổi tiếng và các quyền khác liên quan đến thông báo về vi phạm dữ liệu và khả năng di chuyển dữ liệu giữa các nhà cung cấp. Tại Việt nam cũng có luật quy định về quyền riêng tư tương tự, có hiệu lực vào tháng 6 năm 2023

GDPR nêu rõ một đường cơ sở pháp lý nghiêm ngặt để xử lý dữ liệu cá nhân. Ví dụ, dữ liệu cá nhân chỉ có thể được xử lý nếu chủ thể dữ liệu đã đồng ý, để tuân thủ các nghĩa vụ pháp lý, để thực hiện một số nhiệm vụ vì lợi ích công cộng hoặc vì các "lợi ích hợp pháp" khác. Đối với các doanh nghiệp xử lý dữ liệu trên quy mô lớn hoặc đối với những doanh nghiệp mà xử lý dữ liệu là hoạt động cốt lõi, thì phải chỉ định một viên chức bảo vệ dữ liệu - người chịu trách nhiệm giám sát bảo vệ dữ liệu.

GDPR cũng thiết lập một cơ quan giám sát độc lập để kiểm toán và thực thi việc tuân thủ các quy định này và xử phạt nếu không tuân thủ. Mức phạt vi phạm các quy định này rất cao: tối đa là 20 triệu Euro hoặc 4% doanh thu (tùy theo mức nào cao hơn), cộng với bất kỳ khoản bồi thường bổ sung nào mà cá nhân có thể yêu cầu.

Một khía cạnh độc đáo của GDPR là nó áp dụng cho bất kỳ thực thể nào thu thập hoặc xử lý dữ liệu liên quan đến mọi người trong Liên minh Châu Âu, bất kể thực thể đó ở đâu . Vào thời điểm thông qua, nó được coi là luật bảo mật dữ liệu nghiêm ngặt nhất trên thế giới và kể từ đó đã trở thành mô hình cho một số luật và quy định được ban hành trên toàn cầu.

Luật tiết lộ khóa là luật bắt buộc phải tiết lộ khóa mật mã hoặc mật khẩu trong những điều kiện cụ thể. Điều này thường được thực hiện như một phần của cuộc điều tra hình sự khi tìm kiếm bằng chứng về tội phạm bị tình nghi. Một số quốc gia đã thông qua luật tiết lộ khóa yêu cầu phải tiết lộ trong những điều kiện khác nhau. Ví dụ, Phần III của Đạo luật Quy định về Quyền điều tra năm 2000 (RIPA) của Vương quốc Anh trao cho các cơ quan có thẩm quyền buộc nghi phạm phải tiết lộ khóa giải mã hoặc giải mã dữ liệu. Không tuân thủ có thể bị phạt tối đa hai năm tù hoặc năm năm nếu liên quan đến vấn đề an ninh quốc gia hoặc hành vi khiếm nhã với trẻ em.

CCPA : Đạo luật về quyền riêng tư của người tiêu dùng California năm 2018 (CCPA) là luật của California cấp cho cư dân của tiểu bang một số quyền riêng tư liên quan đến thông tin cá nhân do các doanh nghiệp vì lợi nhuận nắm giữ. Một trong những quyền này là "quyền được biết", theo đó các doanh nghiệp phải tiết lộ cho người tiêu dùng, khi được yêu cầu, thông tin cá nhân nào đã được thu thập, sử dụng và bán về họ, và lý do tại sao.

"Quyền từ chối" cũng cho phép người tiêu dùng yêu cầu không bán thông tin cá nhân của họ, một điều phải được chấp thuận, với một số ít trường hợp ngoại lệ. Một quyền khác là "quyền xóa", cho phép người tiêu dùng yêu cầu doanh nghiệp xóa thông tin cá nhân đã thu thập. Tuy nhiên, trong trường hợp này, một số trường hợp ngoại lệ cho phép doanh nghiệp từ chối những yêu cầu này.

3.5.2. Tiêu chuẩn và Khung

PCI DSS : Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là một tiêu chuẩn bảo mật thông tin, được công bố lần đầu tiên vào năm 2004, dành cho các tổ chức xử lý dữ liệu thanh toán của khách hàng cho một số công ty thẻ tín dụng lớn. Tiêu chuẩn này do Hội đồng tiêu chuẩn ngành thẻ thanh toán quản lý. Mục đích của tiêu chuẩn này là đảm bảo dữ liệu thanh toán được bảo mật đúng cách để giảm rủi ro gian lận thẻ tín dụng. Giống như các khuôn khổ khác, PCI DSS bao gồm một số yêu cầu và việc tuân thủ của tổ chức phải được đánh giá hàng năm.

Hầu hết các yêu cầu này giống với các thông lệ tốt nhất khác của ngành liên quan đến bảo mật mạng và hệ thống, kiểm soát truy cập, quản lý lỗ hổng, giám sát, v.v. Ví dụ: Yêu cầu 2 cấm sử dụng các mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các tham số liên quan đến bảo mật khác. Các yêu cầu khác là các công thức cụ thể cho thẻ tín dụng của các thông lệ tốt nhất quen thuộc khác. Ví dụ: Yêu cầu 3 phác thảo các loại dữ liệu thẻ tín dụng nào có thể được lưu trữ và cách bảo vệ dữ liệu đó.

CIS Top 18 : Các biện pháp kiểm soát bảo mật quan trọng của Trung tâm bảo mật Internet (CIS), còn được gọi là CIS Controls , là một bộ gồm 18 (trước đây là 20) biện pháp kiểm soát được khuyến nghị nhằm tăng cường thế trận bảo mật của một tổ chức. Mặc dù không phải là luật hoặc quy định, nhưng các biện pháp kiểm soát này liên quan đến các lĩnh vực mà các quy định quan tâm, bao gồm bảo vệ dữ liệu, quản lý kiểm soát truy cập, quản lý lỗ hổng liên tục, phát hiện phần mềm độc hại, v.v.

Các biện pháp kiểm soát này được chia thành các biện pháp bảo vệ (trước đây gọi là các biện pháp kiểm soát phụ), sau đó được nhóm thành ba nhóm triển khai (IG1, IG2, IG3) nhằm mục đích giúp ưu tiên triển khai biện pháp bảo vệ.

IG1 bao gồm các biện pháp kiểm soát được coi là tiêu chuẩn tối thiểu cho bảo mật thông tin nhằm bảo vệ chống lại các cuộc tấn công phổ biến nhất và nên được mọi tổ chức triển khai. Chúng thường được triển khai bởi các doanh nghiệp nhỏ có chuyên môn CNTT hạn chế quản lý dữ liệu có độ nhạy thấp. IG2 bao gồm các biện pháp bảo vệ bổ sung nhằm áp dụng cho các tổ chức phức tạp hơn, thường là những tổ chức có nhiều phòng ban và nhân viên chuyên quản lý cơ sở hạ tầng CNTT với dữ liệu khách hàng và dữ liệu độc quyền nhạy cảm hơn. IG3, bao gồm tất cả các biện pháp bảo vệ, thường được triển khai bởi các tổ chức có chuyên gia an ninh mạng chuyên quản lý dữ liệu nhạy cảm có thể bị giám sát.

NIST Cyber ​​Security Framework : Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) Cybersecurity Framework là tập hợp các tiêu chuẩn và thông lệ được thiết kế để giúp các tổ chức hiểu và giảm thiểu rủi ro an ninh mạng. Ban đầu, nó được phát triển để giúp bảo vệ cơ sở hạ tầng quan trọng; tuy nhiên, sau đó nó đã được nhiều tổ chức áp dụng .

Khung NIST bao gồm ba thành phần : Lõi, Bậc triển khai và Hồ sơ. Lõi khung là tập hợp các hoạt động và kết quả an ninh mạng. Nó được chia thành sáu chức năng cấp cao: Quản lý, Nhận dạng (ID), Bảo vệ (PR), Phát hiện (DE), Phản hồi (RS) và Phục hồi (RC) như được hiển thị bên dưới.

Mỗi chức năng bao gồm một số danh mục. Ví dụ, chức năng Xác định bao gồm ba danh mục Quản lý tài sản (ID.AM), Đánh giá rủi ro (ID.RA) và Cải thiện (ID.IM). Đến lượt mình, các danh mục này bao gồm các danh mục con bao gồm các tuyên bố mô tả kết quả của bảo mật được cải thiện và phù hợp với Tham chiếu thông tin. Ví dụ, ID.RA bao gồm 10 danh mục con bắt đầu bằng ID.RA.1: Các lỗ hổng trong tài sản được xác định, xác thực và ghi lại cho đến ID.RA.10: Các nhà cung cấp quan trọng được đánh giá trước khi mua lại . Các danh mục con này đi sâu hơn vào chi tiết về các triển khai kỹ thuật có thể.

Các Bậc triển khai Khung xác định mức độ mà các hoạt động An ninh mạng của một tổ chức đáp ứng được kết quả được mô tả bởi các tiểu thể loại của Khung cốt lõi. Có bốn Bậc như vậy: một phần (mức độ thấp nhất), có tính đến rủi ro, có thể lặp lại và thích ứng. Hồ sơ Khung đề cập đến mối quan hệ giữa việc triển khai hiện tại các hoạt động an ninh mạng của một tổ chức (Hồ sơ hiện tại) và kết quả mong muốn của chúng (Hồ sơ mục tiêu). Điều này được xác định bởi các mục tiêu kinh doanh, yêu cầu, biện pháp kiểm soát và mức độ chấp nhận rủi ro của tổ chức. Việc so sánh các hồ sơ này có thể giúp tổ chức thực hiện phân tích khoảng cách, cũng như hiểu và ưu tiên công việc cần thiết để lấp đầy khoảng cách đó.

ATT&CK và D3FEND : Tổ chức MITRE đã lập bảng và sắp xếp một khuôn khổ để lập danh mục cách các nhóm kẻ tấn công làm việc cùng nhau để xâm nhập vào hệ thống và đạt được mục tiêu của chúng. Khuôn khổ này được gọi là khuôn khổ MITRE ATT&CK , liên tục được cập nhật để phản ánh các TTP mới nhất được các nhóm độc hại trên toàn cầu sử dụng.

Gần đây , MITRE đã phát hành một khuôn khổ phản chiếu từ góc độ phòng thủ . Trong khi ATT&CK có mục đích lập danh mục và phân loại các cách thức khác nhau mà các tác nhân đe dọa hoạt động trong thế giới thực, D3FEND mô tả một tập hợp các biện pháp, hành động và phương pháp hay nhất được các bên phòng thủ sử dụng để ngăn chặn, phát hiện, giảm thiểu và phản ứng với các cuộc tấn công.

ISA/IEC 62443 : Một tiêu chuẩn quan trọng đối với các tổ chức vận hành hệ thống tự động hóa công nghiệp là ISA/IEC 62443. Tiêu chuẩn này định nghĩa các yêu cầu bảo mật để bảo vệ Hệ thống tự động hóa và điều khiển công nghiệp (IACS) . Tiêu chuẩn này cũng được gọi là Công nghệ vận hành (OT). Các tiêu chuẩn này thiết lập các biện pháp thực hành tốt nhất cho các biện pháp kiểm soát bảo mật và cung cấp một cách để đánh giá mức độ trưởng thành của bảo mật vận hành của một tổ chức.

Cyber ​​Kill Chain : Cyber ​​Kill Chain là một phương pháp do Lockheed Martin phát triển để giúp những người bảo vệ xác định và phòng thủ chống lại các cuộc tấn công mạng. Nó phác thảo bảy giai đoạn của vòng đời tấn công: trinh sát, vũ khí hóa, phân phối, khai thác, cài đặt, chỉ huy và kiểm soát, và hành động vào các mục tiêu .

Trong giai đoạn trinh sát , kẻ tấn công xác định mục tiêu và liệt kê các điểm yếu tiềm ẩn mà qua đó mục tiêu có thể bị khai thác. Vũ khí hóa là quá trình xác định phương pháp tấn công để khai thác điểm yếu này. Cuộc tấn công này được triển khai trong giai đoạn phân phối và trong giai đoạn khai thác , tải trọng được thực thi trên hệ thống mục tiêu. Điều này dẫn đến giai đoạn cài đặt trong đó phần mềm độc hại được cài đặt trên hệ thống. Phần mềm độc hại này được sử dụng để thực hiện các lệnh tiếp theo trong giai đoạn chỉ huy và kiểm soát . Trong giai đoạn hành động theo mục tiêu , kẻ tấn công thực hiện các hành động cần thiết để đạt được mục tiêu cuối cùng của chúng, có thể là đánh cắp dữ liệu, sửa đổi, phá hủy, v.v.

Đối với các bạn thi chứng chỉ quốc tế như CEH, CHFI, Security+ hay Pentest+, CySA+ đôi khi gặp các câu hỏi so sánh quy trình hacking hay pentest với Cyber Kill Chain.

FedRAMP : Chương trình Quản lý Rủi ro và Ủy quyền Liên bang (FedRAMP) là một chương trình của Hoa Kỳ cung cấp khuôn khổ bảo mật chuẩn hóa cho các dịch vụ đám mây do chính phủ liên bang sử dụng. Trước đây, một dịch vụ đám mây có thể được yêu cầu phải có các ủy quyền khác nhau cho các cơ quan liên bang khác nhau, FedRAMP cho phép một dịch vụ đám mây có được một ủy quyền duy nhất cho tất cả các cơ quan chính phủ. Mục tiêu của nó là đẩy nhanh việc chính phủ áp dụng các dịch vụ đám mây đồng thời đảm bảo rằng các dịch vụ này được bảo mật. Các biện pháp kiểm soát dựa trên NIST SP 800-53 Phiên bản 4 và được tăng cường bởi các biện pháp kiểm soát bổ sung liên quan cụ thể đến điện toán đám mây. Chi tiết hơn về công nghệ đám mây được khám phá trong CLD-100 của OffSec.

3.5.3. Giải phẫu của Cyber

An ninh mạng về cơ bản là một hình thức quản lý rủi ro cụ thể. Nó liên quan đến các mối đe dọa từ mạng ảnh hưởng đến tài sản được xử lý và lưu trữ trong các hệ thống công nghệ. Các hệ thống đó được sử dụng trong hoạt động kinh doanh của tổ chức để tạo ra giá trị, do đó các cuộc tấn công vào chúng có thể dẫn đến mất giá trị. Do đó, chúng tôi sử dụng các biện pháp kiểm soát để quản lý rủi ro đó. Chúng tôi có thể biểu diễn các yếu tố khác nhau hoặc giải phẫu của an ninh mạng theo cách thể hiện mối quan hệ của các yếu tố trong sơ đồ bên dưới.

Ở cuối hình, chúng tôi hiển thị Khung bảo mật cung cấp các biện pháp kiểm soát để bảo vệ tổ chức bằng cách giảm rủi ro . Khung này có thể là ISO27000, Khung bảo mật mạng NIST hoặc bất kỳ khung nào kết hợp các biện pháp kiểm soát. Một trong những biện pháp kiểm soát đó là Quản lý sự cố bảo mật .

Ở đầu sơ đồ, chúng ta có một mối đe dọa mà khi khai thác lỗ hổng sẽ gây ra sự kiện bảo mật sau đó được phân loại là sự cố bảo mật . Điều này sẽ gây hại cho tổ chức, làm giảm giá trị của tổ chức theo nhiều cách, bao gồm cả chi phí chạy phản hồi sự cố. Yếu tố cuối cùng trong sơ đồ là tài sản có giá trị đối với tổ chức nhưng khi trở thành mục tiêu tấn công cũng gây ra rủi ro.

Kiểm soát Quản lý sự cố bảo mật là quy trình tổng thể trong đó các sự kiện được phát hiện và phân loại, một số trở thành sự cố. Sau đó, những sự cố đó được điều tra và giải quyết.

Lấy NIST Cyber ​​Security Framework (CSF) làm ví dụ về những gì có thể là Security Framework trong sơ đồ, chúng ta có thể định vị sáu chức năng của CSF xung quanh sơ đồ để chỉ ra nơi các biện pháp kiểm soát đó phát huy tác dụng. Điều này chắt lọc bản chất của an ninh mạng thành một hình thức rất dễ hiểu, phù hợp để giúp các giám đốc điều hành và chuyên gia an ninh mạng hiểu cách bảo mật bảo vệ doanh nghiệp.

Phòng thí nghiệm

  1. Quy định nào theo HIPAA chịu trách nhiệm nêu rõ cách thức bảo vệ Thông tin sức khỏe điện tử được bảo vệ?

Trả lời

Đúng hay sai: GDPR áp dụng cho các thực thể (công ty, tổ chức, v.v.) không nằm trong Liên minh Châu Âu nhưng thu thập dữ liệu về công dân EU?

Trả lời

  1. Tên của chương trình cung cấp khuôn khổ bảo mật chuẩn hóa cho các dịch vụ đám mây được chính phủ liên bang Hoa Kỳ sử dụng là gì?

Trả lời

  1. Các khuôn khổ ATT&CK và D3FEND được tổ chức nào duy trì?

Trả lời

  1. Có bao nhiêu giai đoạn hành vi của kẻ tấn công được xác định trong khuôn khổ Cyber ​​Kill Chain?

Trả lời

  1. Trong số 18 nhóm triển khai hàng đầu của CIS, nhóm nào có quy định nghiêm ngặt nhất?

Trả lời

Share on Facebook
Share on Twitter

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *