1. Quét mạng
2. Quét lỗ hổng bảo mật
Phương pháp quét lỗ hổng bảo mật thực chất là việc quét các cổng ở mức độ cao hơn. Ngoài việc xác định các máy tính hoạt động và các cổng mở, nó còn cung cấp thêm các thông tin về lỗ hổng của các máy tính đó. Phương pháp này cung cấp cho hệ thống và người quản trị mạng một công cụ để phát hiện các lỗ hổng trước khi kẻ tấn công có thể tiếp cận đến nó, bao gồm các khả năng sau: Xác định các máy tính hoạt động trên mạng; Xác định các dịch vụ (cổng) đang hoạt động trên mạng và các điểm yếu của chúng nếu có; Xác định các ứng dụng và đọc “biểu ngữ” được trả lời từ các ứng dụng; Xác định hệ điều hành; Xác định các lỗ hổng thông qua việc tìm hiểu hệ điều hành và các ứng dụng chạy trên nó; Xác định các thiết lập cấu hình sai; Kiểm tra việc tuân thủ sử dụng ứng dụng hoặc chính sách bảo mật; Thiết lập nền tảng cho việc kiểm tra sự xâm nhập.
Kết quả của quá trình quét lỗ hổng bảo mật phải được lưu giữ lại và làm căn cứ để tiến hành khắc phục các lỗ hổng nếu có. Một số biện pháp cần phải làm ngay sau khi quét lỗ hổng là: Nâng cấp hoặc vá lỗi hệ thống để giảm thiểu các nguy cơ từ lỗ hổng; Triển khai các biện pháp giảm nhẹ nguy cơ nếu như hệ thống chưa được vá lỗi; Cấu hình và nâng cấp thường xuyên chương trình quản lý; Giám sát và cảnh báo về lỗ hổng, thay đổi cấu hình hệ thống để giảm thiểu nguy cơ; Thay đổi các chính sách bảo mật, kiến trúc hệ thống hoặc các tài liệu khác để đảm bảo hoạt động ổn định cho hệ thống.
3. Phá mật khẩu
Chương trình phá mật khẩu được sử dụng để xác định các mật khẩu yếu. Mật khẩu được lưu trữ và truyền đi dưới dạng mã hóa “băm”. Khi người dùng đăng nhập vào hệ thống, hệ thống sẽ tạo ra dãy mã hóa băm từ mật khẩu đăng nhập và so sánh với dãy mã hóa băm đã được lưu. Nếu chúng trùng nhau tức là người dùng đã được xác thực.
Trong suốt quá trình thâm nhập hoặc tấn công, việc phá mật khẩu đòi hỏi phải lấy được dãy mã hóa băm của mật khẩu. Việc chặn bắt này xảy ra khi dãy mã hóa của mật khẩu truyền đi trên mạng hoặc được lấy từ hệ thống mục tiêu. Khi đã lấy được dãy băm của mật khẩu, chương trình sẽ nhanh chóng tạo ra các dãy băm cho đến khi trùng với dãy băm của mật khẩu đã nhận được. Phương pháp nhanh nhất của cách này là sử dụng bộ từ điển tấn công gồm rất nhiều từ phổ biến trên thế giới.
Phương pháp mạnh nhất để phá mật khẩu là chương trình “tấn công tổng lực”, tức là chương trình sẽ tấn công tất cả các mật khẩu có thể có.
Sau đây là một số phương pháp có thể sử dụng để giảm thiểu khả năng phá mật khẩu của kẻ tấn công:
- Thay đổi chính sách để giảm tỉ lệ mật khẩu bị phá hoặc thay thế phương pháp xác thực (ví dụ sử dụng token key).
- Phổ biến với người sử dụng về những tác hại của mật khẩu yếu. Nếu người dùng vẫn sử dụng mật khẩu yếu thì người quản trị nên áp dụng các biện pháp bổ sung để đảm bảo.
4. Kiểm tra file log
Các file log trên hệ thống bao gồm firewall log, IDS log, server log hoặc bất kỳ một file nào ghi lại quá trình kiểm tra dữ liệu trên hệ thống. Việc kiểm tra các file log và phân tích chúng sẽ cho biết các hoạt động đang diễn ra trên hệ thống, để có thể so sánh với mục đích và nội dung của chính sách bảo mật. Vì thế, việc kiểm tra này sẽ xác định hệ thống có vận hành theo đúng chính sách bảo mật hay không.
Ví dụ, khi ta đặt một hệ thống phát hiện xâm nhập (IDS) đằng sau tường lửa thì file log của nó sẽ được sử dụng để kiểm tra các yêu cầu dịch vụ và các giao dịch được tường lửa cấp phép. Nếu như trên file log của IDS này ghi lại các hoạt động không được phép, điều đó chứng tỏ tường lửa đã bị vượt qua và hệ thống mạng đã mất an toàn.
Nên định kỳ cho việc kiểm tra file log, trừ những trường hợp yêu cầu kiểm tra do việc nâng cấp hệ thống. Nếu hệ thống không được cấu hình theo đúng chính sách bảo mật thì có thể thực hiện những việc sau: Gỡ bỏ các dịch vụ có lỗ hổng nếu chúng không cần thiết; Cấu hình lại hệ thống; Thay đổi chính sách bảo mật của tường lửa để hạn chế quyền truy cập vào các hệ thống hoặc dịch vụ có lỗ hổng.
5. Kiểm tra sự toàn vẹn
Kiểm tra sự toàn vẹn của một file là tạo và lưu trữ một biến phát hiện lỗi checksum cho mọi file được bảo vệ và thiết lập một cơ sở dữ liệu của biến checksum đó. Phương pháp này cung cấp một công cụ cho quản trị hệ thống nhận ra sự thay đổi của các file, đặc biệt là sự thay đổi trái phép. Các biến checksum lưu trữ nên được tính toán lại thường xuyên để so sánh với giá trị hiện tại được lưu trữ, sau đó xác định có sự thay đổi file hay không. Chức năng kiểm tra sự toàn vẹn của file thường được tích hợp vào trong hệ thống phát hiện xâm nhập trên máy chủ thương mại.
Phương pháp kiểm tra sự toàn vẹn là một công cụ hữu ích mà không đòi hỏi sự can thiệp của con người ở mức độ cao, nhưng nó cần phải thực hiện một cách thận trọng để đảm bảo tính hiệu quả.
Một số công cụ kiểm tra sự toàn vẹn của dữ liệu như Aide, LANGuard, Tripwire,....
6. Phát hiện virus
Mọi hệ thống mạng đều có nguy cơ nhiễm virus, trojan, sâu nếu như chúng kết nối với mạng Internet hoặc sử dụng USB, phần mềm miễn phí.
Có hai dạng chương trình diệt virus chính là chương trình được cài đặt trên hạ tầng mạng và chương trình cài đặt trên máy người sử dụng. Mỗi loại có những ưu điểm và nhược điểm riêng, nhưng với những hệ thống yêu cầu bảo mật cao thì nên sử dụng cả hai loại chương trình diệt virus đó.
7. Kiểm tra mạng không dây
Giao thức mạng không dây phổ biến nhất là 802.11b có nhiều lỗi nghiêm trọng khi sử dụng công cụ mã hóa WEP, bởi vì ở chế độ mặc định nó được cấu hình không an toàn.
Mỗi một hệ thống mạng không dây nên được kiểm tra định kỳ để tìm ra các kết nối trái phép hoặc các cấu hình yếu, đồng thời cũng phải kiểm tra các tín hiệu của mạng không dây lân cận. Một số phần mềm kiểm tra sự an toàn của hệ thống mạng không dây như Aerosol, AirSnort, Kismet, Sniffer Wireless,....
8. Thâm nhập thử nghiệm
Đây là việc kiểm tra an toàn của hệ thống bằng cách phá vỡ các tính năng an toàn của chúng dựa trên các hiểu biết về thiết kế và hoạt động của hệ thống. Mục đích là để xác định các phương pháp tiếp cận hệ thống thông qua các công cụ và kỹ thuật cơ bản của kẻ tấn công. Việc thâm nhập phải được tiến hành sau khi khảo sát hệ thống một cách cẩn thận, thông báo cho toàn hệ thống và lập kế hoạch thâm nhập đầy đủ.
Việc thử nghiệm thâm nhập chính là tạo ra một mô phỏng cuộc tấn công vào hệ thống, nên có thể bị pháp luật hoặc chính sách bảo mật ngăn cấm. Do đó, trước khi thực hiện phải được sự cho phép và chỉ nên thực hiện như sau: Thực hiện trên một địa chỉ hoặc một dải địa chỉ cụ thể; Không thực hiện trên một số máy tính bị ngăn cấm; Dùng một số các kỹ thuật thâm nhập cho phép; Xác định rõ thời gian thực hiện việc thâm nhập; Xác định khoảng thời gian hữu hạn cho việc thâm nhập; Xác định rõ địa chỉ IP từ máy sẽ thực hiện thâm nhập để người quản trị có thể phân biệt cuộc tấn công thử nghiệm với các cuộc tấn công thực sự khác; Xử lý các thông tin được thu thập bởi đội thử nghiệm thâm nhập.
Kết luận
Như vậy, việc kiểm tra an toàn của hệ thống thông tin chính là hoạt động tìm kiếm các lỗ hổng bảo mật sau đó khắc phục các điểm yếu đó. Thông thường, nhiều phương pháp kiểm tra sẽ được kết hợp cùng lúc để đánh giá một cách toàn diện về tình trạng bảo đảm an toàn của mạng. Ví dụ, để kiểm tra sự thâm nhập mạng thì kết hợp việc quét mạng và quét lỗ hổng để xác định các máy tính dễ bị tấn công và các dịch vụ có thể là mục tiêu của sự tấn công sau này. Một số phương pháp quét lỗ hổng bảo mật lại cần đi kèm với phương pháp phá mật khẩu và không một phương pháp nào có thể cung cấp một bức tranh toàn diện về mạng và tình trạng bảo mật của chúng.
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024