SP 1800-26 (Hình 1) tập trung vào thời điểm khi xảy ra một cuộc tấn công toàn vẹn dữ liệu. Kiến trúc này biểu thị rằng các chính sách và công cụ cần ở đúng chỗ để phát hiện và phản hồi các sự kiện toàn vẹn dữ liệu. Trước một sự kiện, thông tin phải được thu thập để hiểu phạm vi của hoạt động bình thường, phải có công cụ để phát hiện bất kỳ sai lệch nào so với bình thường thì mới đảm bảo được sự kiện toàn vẹn dữ liệu. Các chính sách phải được thiết lập để đáp ứng một cách hiệu quả và thực tế. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ, thủ tục để phát hiện các sự kiện toàn vẹn dữ liệu và phản hồi một cách thích hợp, kịp thời.
Hình 1. Kiến trúc của SP 1800-26
Năng lực giám sát toàn vẹn tiếp tục được sử dụng trong kiến trúc này. Tuy nhiên, trọng tâm chuyển từ việc thiết lập các ranh giới cho tài sản và dữ liệu của chúng sang việc giám sát chúng để phát hiện những thay đổi trái phép. Năng lực Ghi nhật ký cung cấp khả năng tổng hợp nhật ký từ nhiều nguồn. Các nhật ký này được đưa vào năng lực Phát hiện sự kiện, nó có khả năng chỉ ra các sự kiện như phần mềm độc hại, sự xâm nhập và các hiện tượng bất thường có thể có tác động không mong muốn đến tính toàn vẹn của dữ liệu của tổ chức. Năng lực Phát hiện sự kiện biến các bản ghi thành thông tin được các chuyên gia bảo mật dễ dàng phân loại. Năng lực Điều tra/Phân tích cũng sử dụng nhật ký tổng hợp để khám phá nguồn gốc và ảnh hưởng của bất kỳ sự kiện phá hoại nào đối với dữ liệu và cho phép các Nhóm bảo mật thực hiện các thay đổi cần thiết để ngăn chặn các sự kiện tương tự trong tương lai.
Năng lực Giảm thiểu và Kiểm soát cung cấp khả năng hạn chế ảnh hưởng của sự kiện phá hoại đối với doanh nghiệp và dữ liệu của doanh nghiệp. Phản hồi có thể được tự động hóa hoặc tích hợp với hoạt động của Nhóm bảo mật, có thể dẫn đến dừng thực thi các chương trình liên quan, vô hiệu hóa tài khoản người dùng, ngắt kết nối hệ thống khỏi mạng hoặc hơn thế nữa, tùy thuộc vào mối đe dọa.
Thành phần Lập báo cáo chủ yếu là giao diện giữa các thành phần khác nhau của kiến trúc và Nhóm bảo mật. Nó cho phép thông báo qua email và trang tổng quan dựa trên các sự kiện được xác định trước, tùy thuộc vào nhu cầu của tổ chức. Năng lực Lập báo cáo được sử dụng tốt nhất trong suốt thời gian diễn ra sự kiện. Chúng có thể được sử dụng để cảnh báo cho nhóm bảo mật khi sự kiện bắt đầu, cũng như cung cấp thông tin cập nhật trạng thái thường xuyên khi sự kiện không diễn ra hoặc vừa kết thúc.
Khi các thành phần này hoạt động cùng nhau, các nhóm bảo mật và các công cụ của họ sẽ được kích hoạt để phát hiện sự kiện mất tính toàn vẹn của dữ liệu và phản hồi đối với sự kiện.
SP 1800-11 (Hình 2) cho thấy rằng nếu tính toàn vẹn của dữ liệu bị đe dọa, nhiều hệ thống sẽ phối hợp hoạt động để khôi phục sau sự kiện này. Giải pháp đề xuất các khả năng, khám phá các vấn đề xung quanh việc kiểm toán và báo cáo để hỗ trợ phục hồi, điều tra. Mục đích của dự án này là giúp hướng dẫn các tổ chức thiết lập các công cụ và thủ tục để khôi phục thành tập dữ liệu ở trạng thái tốt lúc cuối cùng.
Hình 2. Kiến trúc của SP 1800-11
Để khôi phục sau khi mất tính toàn vẹn của dữ liệu, một tổ chức phải thực hiện hành động trước khi sự kiện phá hoại xảy ra. Trong khi trọng tâm của dự án này là các quy trình khôi phục, nó cũng chứng minh rằng những năng lực phải có sẵn để tạo điều kiện cho việc khôi phục.
Một năng lực quan trọng cần có là năng lực Sao lưu dữ liệu để lưu trữ các bản sao mà một tổ chức đã dành ưu tiên. Như vậy, dữ liệu bị xâm phạm được khôi phục từ các phiên bản trước đó không bị xâm phạm trong các tệp sao lưu hiện có. Một phương pháp để đảm bảo rằng các tệp sao lưu này không bị thay đổi cho đến khi chúng cần đến là lưu trữ chúng bằng năng lực Lưu trữ an toàn, giúp giảm hoặc loại bỏ rủi ro đối với dữ liệu được lưu trữ.
Để hiểu dữ liệu nào cần được khôi phục, năng lực Kiểm tra hư hỏng được sử dụng. Công cụ này có thể xác định trạng thái tốt gần đây nhất và giám sát việc khôi phục dữ liệu về trạng thái đó. Năng lực Ghi nhật ký là quan trọng để ghi lại thông tin liên quan và cung cấp thông tin đó cho những người ra quyết định.
Những năng lực này, kết hợp với vai trò của chúng trước khi sự kiện xảy ra, cho phép tổ chức khôi phục một cách thích hợp khi mất tính toàn vẹn của dữ liệu.
Việc xây dựng một bộ toàn vẹn dữ liệu toàn diện giải quyết tất cả các chức năng của Khung an ninh không gian mạng đòi hỏi phải áp dụng tất cả các dự án nói trên. Tuy nhiên, mỗi dự án đều có các thành phần của kiến trúc chồng chéo lên nhau. Do đó, việc áp dụng tất cả các kiến trúc không chỉ đơn thuần là việc xây dựng ba kiến trúc mà còn là sự tích hợp và phủ chồng của ba kiến trúc. Hình 3 mô tả cách tích hợp và ghép chồng ba kiến trúc. Nó cũng cung cấp hướng dẫn về những cân nhắc và hạn chế mà tổ chức cần giải quyết khi sử dụng kiến trúc.
Hình 3. Kiến trúc được kết hợp lại
Một giải pháp toàn vẹn dữ liệu kết hợp được thiết kế để triển khai các công nghệ từ cả ba hướng dẫn thực hành. Nó tìm cách triển khai các biện pháp kiểm soát an toàn đã được nêu trong ba hướng dẫn thực hành thông qua một kiến trúc đảm bảo an toàn kết hợp. Hình 3 cung cấp một cái nhìn ở mức cao của các thành phần cần thiết và các luồng dữ liệu tồn tại giữa chúng.
Các thành phần có chứa ô màu xám (đường viền liền nét) có thể được tìm thấy trong SP 1800-25 và tập trung vào chức năng xác định và bảo vệ. Có thể tìm thấy các thành phần chứa màu xanh lam (đường viền đứt nét) trong SP 1800-26, tập trung vào chức năng phát hiện và phản hồi. Các thành phần có chứa màu xanh lá cây (đường viền chấm) có thể được tìm thấy trong SP 1800-11 và tập trung vào chức năng khôi phục. Những thành phần nào có nhiều màu thì xuất hiện trong nhiều hướng dẫn thực hành và thể hiện các điểm tích hợp chìa khóa giữa chúng.
Các năng lực Giám sát toàn vẹn và Kiểm tra hư hỏng đã được kết hợp trong Hình 3 do các vai trò và các luồng dữ liệu tương tự của chúng trong các giải pháp toàn vẹn dữ liệu tương ứng.
Sử dụng hướng dẫn [5], tổ chức có thể tích hợp và áp dụng một cách chặt chẽ sự chỉ đạo trong bộ hướng dẫn thực hành về Toàn vẹn Dữ liệu: SP 1800-11, SP 1800-25, SP 1800-26. Việc này sẽ cho phép một tổ chức giải quyết các nhu cầu đảm bảo an toàn liên quan đến tính toàn vẹn dữ liệu trên tất cả 05 chức năng cốt lõi của Khung an toàn không gian mạng của NIST: Xác định, Bảo vệ, Phát hiện, Phản ứng và Phục hồi. Một khi tất cả các công cụ và hệ thống cần thiết được tích hợp, hướng dẫn [5] cũng cung cấp phương pháp không ngừng cải thiện tình hình an ninh mạng của tổ chức bằng cách áp dụng hiệu quả thông tin thu thập được từ mỗi bước vào các lĩnh vực khác. Cuối cùng, các tổ chức sẽ chuẩn bị tốt hơn để xử lý tác động của sự kiện toàn vẹn dữ liệu trong doanh nghiệp của họ.
|
TÀI LIỆU THAM KHẢO 1. NIST Cybersecurity Framework. Framework for Improving Critical Infrastructure Cybersecurity-v1., 16/4/2018. Available: https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11 2. NIST SP 1800-11 Data integrity: Recovering from Ransomware and other destructive events. 9/2020. https://www.nccoe.nist.gov/data-integrity-recovering-ransomware-and-other-destructive-events 3. NIST SP 1800-25 Data integrity: Identifying and Protecting Assets against ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/identify-protect 4. NIST SP 1800-26 Data integrity: Detecting and Responding to ransomware and other destructive events. 12/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond 5. Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides, (draft), 1/10/2020. https://www.nccoe.nist.gov/projects/building-blocks/data-integrity/detect-respond. |
Trần Duy Lai
07:00 | 20/05/2022
23:00 | 02/09/2022
14:00 | 30/12/2018
17:00 | 20/06/2022
12:00 | 12/08/2022
07:00 | 04/11/2022
15:00 | 28/07/2022
12:00 | 12/08/2022
18:00 | 16/08/2022
10:00 | 17/12/2018
09:00 | 12/09/2022
12:00 | 23/09/2022
14:00 | 05/03/2024
Cơ quan An ninh và Tình báo Quân đội Hà Lan (Military Intelligence and Security Service - MIVD) đóng vai trò là bức tường thành chống lại các mối đe dọa có thể làm suy yếu an ninh quốc gia. Trực thuộc Bộ Quốc phòng Hà Lan, MIVD đóng vai trò quan trọng trong việc đưa ra các quyết định chiến lược dựa trên những phát hiện tình báo của mình. Nhiệm vụ chính của MIVD là thu thập thông tin tình báo để hỗ trợ các hoạt động quân sự và đóng góp cho an ninh quốc gia, trong đó các quy trình và thách thức mà cơ quan này phải giải quyết vô cùng phức tạp. Bài báo sẽ phân tích làm rõ các hoạt động, cơ cấu tổ chức và hợp tác của MIVD, cùng với những thách thức mà cơ quan này đang phải đối mặt hiện nay.
14:00 | 18/01/2024
Tọa đàm trực tuyến với chủ đề “Nâng cao sức phòng thủ cho các mạng công nghệ thông tin trọng yếu quốc gia” được Tạp chí An toàn thông tin tổ chức với sự tham dự của ông Trương Thanh Tùng, Phó Giám đốc Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ tập trung chia sẻ thực trạng mất an toàn thông tin hiện nay đối với các mạng công nghệ thông tin trọng yếu quốc gia và phân tích vai trò của công tác giám sát an toàn thông tin. Từ đó, bàn về cách nâng cao sức phòng thủ cho hệ thống mạng công nghệ thông tin trọng yếu quốc gia.
16:00 | 06/10/2023
Mới đây, Bộ Xã hội và Kinh tế số Thái Lan đã công bố kế hoạch ba điểm nhằm trấn áp mạnh tay hoạt động lừa đảo trực tuyến, đặc biệt là lừa đảo qua điện thoại. Kế hoạch này bao gồm xây dựng Phòng tác chiến, áp dụng Trí tuệ nhân tạo (AI) và “vaccine mạng”.
08:00 | 26/09/2023
Ngày 13/9, Chủ tịch Ủy ban châu Âu (EC) đã kêu gọi thành lập một hội đồng toàn cầu gồm các chuyên gia và đại diện công ty công nghệ để giải quyết những thách thức do công nghệ trí tuệ nhân tạo (AI) đặt ra.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
