Tài liệu Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại tổng công ty viễn thông mobifone

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2019 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE Chuyên ngành: Kỹ thuật Viễn Thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS.LÊ NGỌC THÚY HÀ NỘI - 2019 i LỜI CAM ĐOAN Tôi xin cam đoan bài luận văn là công trình nghiên cứu của riêng tôi. Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác. Tác giả luận văn ký và ghi rõ họ tên Lê Văn Tú ii LỜI CẢM ƠN Tôi xin trân trọng cảm ơn các thầy cô trong khoa Kỹ thuật viễn thông, khoa Đào tạo sau đại học đã tạo điều kiện cho tôi một môi trường học tập tốt, đồng thời truyền đạt cho tôi một vốn kiến thức quý báu, một tư duy khoa học để phục vụ cho quá trình học tập và công tác của tôi. Tôi xin gửi lời cảm ơn đến các bạn trong lớp Cao học Kỹ thuật viễn thông M17CQTE01-B khóa 2017-2019 đã giúp đỡ tôi trong suốt thời gian học tập vừa qua. Đặc biệt, tôi xin được bày tỏ lòng biết ơn sâu sắc đến TS. Lê Ngọc Thúy đã tận tình chỉ bảo cho tôi trong suốt quá trình học tập và nghiên cứu, giúp tôi có nhận thức đúng đắn và kiến thức khoa học, tác phong học tập và làm việc, tạo điều kiện thuận lợi để tôi hoàn thành luận văn này. Cuối cùng, tôi xin được gửi lời cảm ơn tới gia đình, đồng nghiệp, người thân, bạn bè đã động viên, giúp đỡ tôi trong quá trình hoàn thành luận văn. Một lần nữa tôi xin chân thành cảm ơn các thầy cô giáo, chúc thầy cô luôn mạnh khỏe, thành công, công tác tốt để tiếp tục thực hiện sứ mệnh cao đẹp của mình là truyền đạt kiến thức cho thế hệ mai sau. Hà Nội, tháng 11 năm 2018 Tác giả luận văn Lê Văn Tú iii MỤC LỤC LỜI CAM ĐOAN ................................................................................................................... i LỜI CẢM ƠN ........................................................................................................................ ii MỤC LỤC ............................................................................................................................iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ........................................................ v DANH SÁCH BẢNG .......................................................................................................... vii DANH SÁCH CÁC HÌNH .................................................................................................viii MỞ ĐẦU ............................................................................................................................... 1 CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP ................ 2 1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới ................................................ 2 1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam ............................................... 3 1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thông ............................................ 5 1.3.1 Tấn công từ bên ngoài mạng vào ............................................................................ 5 1.3.2 Mã hóa dữ liệu ........................................................................................................ 7 1.3.3 Đánh cắp dữ liệu ..................................................................................................... 8 1.3.4 Tấn công bằng phần mềm độc hại........................................................................... 9 1.3.5 Tấn công rà quét .................................................................................................... 10 1.3.6 Tấn công DoS, DDoS ............................................................................................ 11 1.3.7 Tấn công lừa đảo mật khẩu ................................................................................... 13 1.4 Kết luận Chương 1 ......................................................................................................... 14 CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO CÁC DOANH NGHIỆP VIỄN THÔNG ..................................................................................................... 15 2.1 Giải pháp an ninh cho lớp trung gian............................................................................. 15 2.2 Giải pháp phần mềm ...................................................................................................... 16 2.3 Giải pháp bảo mật thông qua Firewall ........................................................................... 18 2.4 Giải pháp bảo mật IDS/IPS ............................................................................................ 22 2.5 Giải pháp phi kỹ thuật .................................................................................................... 26 2.6 Kết luận Chương 2 ......................................................................................................... 26 iv CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE.......................................................................................................... 27 3.1 Nghiên cứu các giải pháp nâng cao an ninh mạng đang được áp dụng tại Tổng Công ty Viễn thông MobiFone hiện nay. .......................................................................................... 27 3.1.1 Nhóm giải pháp phần cứng ................................................................................... 28 3.1.2 Nhóm giải pháp phần mềm ................................................................................... 41 3.1.3 Nhóm giải pháp chống mất dữ liệu ....................................................................... 42 3.1.4 Nhóm giải pháp khác ............................................................................................ 43 3.2 Nghiên cứu đề xuất các biện pháp tăng cường an ninh mạng cho Tổng công ty Viễn thông MobiFone ................................................................................................................... 44 3.2.1 Triển khai hệ thống giám sát và bảo vệ cho cơ sở dữ liệu Impreva ...................... 45 3.2.2 Triển khai tính năng bảo mật của thiết bị mạng .................................................... 52 3.2.3 Triển khai tính năng bảo mật của hệ điều hành .................................................... 59 3.2.4 Triển khai tính năng bảo mật của cơ sở dữ liệu .................................................... 61 3.3 Kết luận Chương 3 ........................................................................................................ 66 KẾT LUẬN VÀ KIẾN NGHỊ ............................................................................................. 67 DANH MỤC TÀI LIỆU THAM KHẢO ............................................................................. 68 v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt ACL ARP CDN Tiếng Anh Access Control List Advanced Interactive eXecutive Address Resolution Protocol Content delivery network CMS Content Management System DAI DBA Dynamic ARP Inspection Database Administrator AIX DDOS Distributed Denial of Service DNS DOS DR DVD EU FTP Dynamic Host Configuration Protocol Domain Name System Denial of Service Disaster Recovery Digital Versatile Disc European Union File Transfer Protocol HIDS Host-based IDS HIPS Host-based Intrusion Prevention HTTP HyperText Transfer Protocol DHCP ICMP IDS ISP IPS IPV4 LAN NAS NAT NFS Internet Control Message Protocol Instrustion Detection System Internet Service Provider Intrusion Prevention Systems Internet Protocol version 4 Local Area Network Network Attached Storage Network Address Translation Network File System Ý nghĩa Danh sách cấm truy cập Hệ điều hành của hãng IBM Giao thức phân giải địa chỉ Mạng giao dịch nội dung Trung tâm điều khiển các hoạt động đặc biệt là những phần nội dung hiển thị trên một website Tính năng bảo mật của Cisco Quản trị database Tấn công từ chối dịch vụ phân tán Giao thức cấp phát địa chỉ IP Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Hệ thống khôi phục thảm họa Định dạng lưu trữ đĩa quang Liên minh châu âu Giao thức truyền tập tin Hệ thống phát hiện xâm nhập host Hệ thống ngăn ngừa xâm nhập host Giao thức truyền tải siêu văn bản Giao thức gói Internet Hệ thống phát hiện xâm nhập Nhà cung cấp dịch vụ Internet Hệ thống ngăn ngừa xâm nhập Giao thức Internet phiên bản 4 Mạng cục bộ Thiết bị lưu trữ gắn vào mạng Kĩ thuật biên dịch địa chỉ mạng Dịch vụ chia sẻ tài nguyên vi NIDS NIPS OSI POP3 PVLAN SAN SCB SFTP SMTP SNMP TCP UDP URL VLAN VNC VPN WAN Network-based IDS Network-based Intrusion Prevention) Open Systems Interconnection Post Office Protocol 3 Private Virtual Local Area Network Hệ thống phát hiện xâm nhập mạng Hệ thống ngăn ngừa xâm nhập mạng Mô hình tham chiếu kết nối các hệ thống mở Giao thức truyền nhận thư điện tử Mạng cục bộ riêng ảo Mạng kết nối các máy chủ tới hệ thống lưu trữ dữ liệu Hệ thống giám sát bảo mật tập Shell Control Box trung Giao thức upload/download dữ Secure File Transfer Protocol liệu trên máy chủ Simple Mail Transfer Giao thức truyền tải thư điện tử Protocol đơn giản Simple Network Management Giao thức quản lý mạng đơn Protocol giản Transmission Control Giao thức điều khiển truyền vận Protocol User Datagram Protocol Giao thức truyền tin Uniform Resource Locator Định vị tài nguyên hệ thống Virtual Local Area Network Mạng LAN ảo Công nghệ kỹ thuật chia sẻ màn Virtual Network Computing hình từ xa Virutual Private Networks Mạng riêng ảo Wide area network Mạng diện rộng Storage Area Network vii DANH SÁCH BẢNG Bảng 3. 1 Ví dụ số thứ tự dải mạng xác định port kết nối ........................................36 Bảng 3. 2 Ví dụ số thứ tự giao thức tương ứng port kết nối .....................................37 viii DANH SÁCH CÁC HÌNH VẼ Hình 1. 1 Mô hình tấn công từ chối dịch vụ DoS ........................................................ 12 Hình 1. 2 Mô hình tấn công từ chối dịch vụ phân tán DDoS ....................................... 13 Hình 2. 1 Mô hình hệ thống VPN cơ bản ..................................................................... 17 Hình 2. 2 Mô hình kết nối cơ bản của Firewall trong mạng ........................................ 19 Hình 2. 3 Mô hình kết nối Firewall cứng ..................................................................... 21 Hình 2. 4 Mô hình kết nối Firewall mềm ..................................................................... 21 Hình 3. 1 Thiết bị Firewall Palo Alto ........................................................................... 28 Hình 3. 2 Thiết bị Firewall Check Point 12400 ........................................................... 30 Hình 3. 3 Mô hình hoạt động của hệ thống SCB ......................................................... 33 Hình 3. 4 Mô hình kết nối tới hệ thống qua SCB theo IP và port ................................ 34 Hình 3. 5 Luồng kết nối giữa client và hệ thống qua SCB........................................... 34 Hình 3. 6 Ví dụ thông số kết nối tới máy chủ qua SCB map theo port ........................ 36 Hình 3. 7 Ví dụ thông tin kết nối tới máy chủ qua SCB map theo dải mạng ............... 37 Hình 3. 8 Mô hình giao diện các mức cảnh báo của hệ thống Polestar ....................... 39 Hình 3. 9 Mô hình VPN Client to Site tại MobiFone................................................... 40 Hình 3. 10 Mô hình VPN Site to Site tại MobiFone .................................................... 40 Hình 3. 11 Mô hình phân loại và đánh giá loại dữ liệu ................................................ 48 Hình 3. 12 Dữ liệu được Impreva giám sát và ghi lại .................................................. 48 Hình 3. 13 Dữ liệu quản lý người dùng của CSDL ...................................................... 49 Hình 3. 14 Hồ sơ của các một số bảng trong CSDL .................................................... 50 Hình 3. 15 Dự kiến mô hình triển khai của hệ thống ................................................... 51 Hình 3. 16 Mô hình VLAN chia nhỏ............................................................................ 57 Hình 3. 17 Mô hình giao tiếp giữa Isolated Port và Promiscuous Port ........................ 58 Hình 3. 18 Màn hình khai báo tính năng ủy quyền của hệ thống SCB ........................ 65 Hình 3. 19 Mô hình giám sát Policy SCB .................................................................... 65 1 MỞ ĐẦU An ninh mạng là sự phòng chống và ngăn chặn những truy cập trái phép, sử dụng sai mục đích, chống lại những sửa đổi, hủy hoại hoặc đánh cắp, tiết lộ thông tin hoặc cũng có thể được hiểu là quá trình thực hiện các biện pháp phòng chống những lỗ hổng về bảo mật hoặc virus có trong các phần mềm, ứng dụng, website, server, dữ liệu… nhằm bảo vệ hạ tầng mạng. Bảo mật an ninh mạng hiện nay đang được đặt lên hàng đầu với bất kỳ doanh nghiệp nào nói chung cũng như các doanh nghiệp hoạt động và kinh doanh trong lĩnh vực viễn thông nói riêng. Với đặc thù của các doanh nghiệp viễn thông lưu trữ nhiều thông tin quan trọng các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập vào hệ thống của doanh nghiệp viễn thông để lấy thông tin khách hàng, thông tin nội bộ, thông tin mật. Chính vì vậy các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống mạng của mình một cách tốt nhất có thể và luôn cố gắng hoàn thiện hệ thống để tránh mọi lỗ hổng có thể bị tấn công. Các cuộc tấn công mạng hiện nay đều có chủ đích và gây thiệt hại rất lớn, vì vậy an ninh mạng đang là vấn đề cực kỳ cấp thiết và được quan tâm hiện nay. Tại Việt Nam, tháng 10 và 11 năm 2017, hàng loạt website các trang tin và báo điện tử gồm dantri.com.vn, giadinh.net.vn, VCCorp.vn, GameK.vn... bị tấn công và chiếm quyền điều khiển. Theo điều tra của các chuyên gia an ninh mạng cùng C50 Bộ Công an, vụ tấn công vào VCCorp, mã độc tấn công trong vụ việc này được viết ra bởi những nhóm hacker rất chuyên nghiệp và nguy hiểm. Bản thân công việc hiện tại của học viên cũng làm việc có liên quan trực tiếp tới các hệ thống bảo mật, an ninh mạng, với mục đích tìm hiểu vấn đề mới đang cấp thiết hiện nay phục vụ thực tiễn cho công việc hiện tại của học viên, học viên đăng ký đề tài luận văn nghiên cứu “Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty Viễn thông MobiFone”. 2 CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP 1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới Có thể thấy trong thời đại ngày nay với sự phát triển vượt bậc của khoa học, công nghệ đã có những đóng góp vô cùng quan trọng làm thay đổi cơ bản mọi mặt của đời sống kinh tế xã hội các quốc gia. Đặc biệt sự ra đời phát triển của máy tính và mạng Internet đã tạo nên những đột phá trong kết nối, chia sẻ thông tin, thúc đẩy phát triển kinh tế, giao lưu văn hóa. Mối nguy hiểm từ tội phạm mạng: với những ưu thế vượt trội của máy tính và Internet tác động đến mọi mặt, mọi lĩnh vực trong đời sống xã hội, nhờ có Internet mà xã hội phát triển nhanh hơn, mạnh hơn, xã hội càng phát triển thì vai trò của máy tính và Internet càng được thể hiện rõ hơn, con người khó có thể làm việc nếu như thiếu máy tính và Internet. Tuy nhiên, bên cạnh những thuận lợi và đóng góp tích cực thì thế giới cũng đã và đang đứng trước không ít thách thức, nguy cơ ảnh hưởng tiêu cực tới đời sống cá nhân, nhà nước, xã hội, thậm chí có thể đe dọa nghiêm trọng tới hòa bình và an ninh thế giới từ chính Internet. Internet đang dần trở thành phương tiện hữu hiệu của tội phạm sử dụng công nghệ cao và là công cụ được sử dụng để can thiệp vào an ninh, chính trị và các quốc gia và doanh nghiệp. Trong thời gian vừa qua, trên thế giới đã có không ít cuộc xâm nhập, tấn công trái phép được cho là có tổ chức vào cơ sở hạ tầng thông tin của các quốc gia và doanh nghiệp trên môi trường mạng. Xu thế này ngày càng gia tăng, diễn biến phức tạp, khó lường. Theo các chuyên gia, do các kết nối mạng không phân chia biên giới nên các rủi ro trên không gian mạng sẽ không phân biệt biên giới quốc gia, không phân biệt giới hạn giữa các tổ chức. Đặc biệt, với đặc trưng có mặt ở khắp nơi, có khả năng cảm biến, liên tục thu thập thông tin về hoạt động của con người, môi trường xung quanh 3 và liên tục kết nối, hàng chục tỷ thiết bị IoT đang hoạt động trên thế giới có thể bị lợi dụng để tạo ra những mạng lưới thu thập thông tin với phạm vi hoạt động cực rộng, len lỏi vào từng khía cạnh của đời sống con người, tạo ra những nguy cơ chưa từng có với các doanh nghiệp, cá nhân trước hoạt động của tội phạm mạng. Có thể nói, đề tài về bảo đảm an ninh mạng đang là một trong những vấn đề được ưu tiên toàn cầu, khu vực và mỗi quốc gia và doanh nghiệp. Điển hình gần đây nhất là vụ lây lan mã độc tống tiền WannaCry hồi tháng 5 năm 2017 gây ảnh hưởng đến khoảng 200.000 hệ thống mạng tại ít nhất 150 quốc gia và vùng lãnh thổ trên thế giới. Mã độc WannaCry đã làm tê tiệt hệ thống máy tính của rất nhiều ngân hàng, bệnh viện, trường học... theo đó, người sử dụng mạng sẽ không thể truy cập dữ liệu trừ khi đồng ý trả cho tin tặc một khoản tiền ảo Bitcoin, trị giá từ 300 - 600 USD. 1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm 62,76% dân số) đứng đầu Đông Nam Á về số lượng tên miền quốc gia xếp thứ 2 khu vực Đông Nam Á, thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (số liệu tính đến tháng 12/2016). Hoạt động tấn công mạng vào các cơ sở hạ tầng thông tin trọng yếu ngày càng gia tăng về quy mô và tính chất nguy hiểm. Riêng năm 2016, có tới gần 7.000 trang/cổng thông tin điện tử của nước ta bị tấn công. Nhiều thiết bị kết nối Internet IoT tồn tại lỗ hổng bảo mật dẫn đến nguy cơ tin tặc khai thác, chiếm đoạt sử dụng làm bàn đạp cho các cuộc tấn công mạng trên thế giới, hệ thống thông tin trọng yếu, nhất là hàng không, ngân hàng, viễn thông có nguy cơ bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam ngày 29/7/2016. Cơ sở hạ tầng viễn thông và công nghệ thông tin (CNTT) của Việt Nam chưa đáp ứng yêu cầu bảo mật thiết yếu làm gia tăng nguy cơ bị tấn công mạng. 4 Vấn đề bảo mật tăng cường an ninh, đảm bảo an toàn thông tin (ATTT) đang trở thành vấn đề cấp thiết không chỉ riêng ngành viễn thông, CNTT, tài chính, ngân hàng, điện lực…. mà các ngành khác cũng đang rất quan tâm thực hiện. Các vụ tấn công mạng tại Việt Nam ngày càng nghiêm trọng và phức tạp hơn. Trong 9 tháng đầu năm 2017 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã ghi nhận có gần 10 nghìn sự cố tấn công mạng trong nước, trong đó có gần một nửa là các sự cố về phát tán mã độc. Các vụ tấn công mạng tăng cả về số lượng, quy mô, hình thức ngày càng tinh vi, nhiều cuộc tấn công có chủ đích nhằm vào cơ quan Chính phủ, các hệ thống thông tin quan trọng trong nhiều lĩnh vực như viễn thông, CNTT, tài chính, ngân hàng, điện lực.... Chỉ số An ninh mạng toàn cầu là một chỉ số tổng hợp đánh giá và so sánh mức độ cam kết đảm bảo an ninh mạng của các nước thành viên dựa trên 5 yếu tố: công nghệ, tổ chức, luật pháp, hợp tác và tiềm năng phát triển. Mục đích chính để phân loại, xếp thứ hạng và sau đó là đánh giá, dự báo, định hướng quá trình phát triển trong tầm khu vực cũng như trên quy mô toàn cầu. Việt Nam đã gia nhập tổ chức này từ năm 1951. Theo bản báo cáo trong nửa đầu năm 2017 của tổ chức này Việt Nam xếp thứ 101 trên tổng số 193 nước thành viên về khả năng đảm bảo an ninh mạng. Trên phạm vi thế giới Singapore được xếp hạng cao nhất với 0,925 điểm xếp trên cả Mỹ. Việt Nam cũng như các nước trên thế giới nổi bật nhất năm 2017 có lẽ là cuộc tấn công của mã độc có tên WannaCry vào tháng 5 năm 2017, cuộc tấn công quy mô lớn này đã ảnh hưởng tới nhiều quốc gia trên thế giới trong đó có Việt Nam, chỉ vài giờ lây lan Việt Nam đã có đến hơn 200 doanh nghiệp bị nhiễm mã độc này. Qua khảo sát đánh giá chỉ số ATTT năm 2017 đối với nhóm doanh nghiệp Hiệp hội ATTT Việt Nam thực hiện của 360 doanh nghiệp tại 3 vùng trọng điểm Hà Nội, Đà Nẵng, TP.HCM cho thấy chỉ số ATTT đang rất thấp và đang chỉ ở mức độ trung bình. Chỉ số ATTT của các doanh nghiệp thấp chứng tỏ nguy cơ mất ATTT đối với nhóm doanh nghiệp là rất cao. Từ những thực trạng trên học viên nhận thấy các doanh 5 nghiệp cần tăng cường đảm bảo nâng cao an toàn an ninh mạng để ứng phó với tình hình hiện tại để đảm bảo thông tin mạng trong suốt, an toàn và bảo mật. 1.3 Các mối đe dọa tới an ninh mạng của doanh nghiệp viễn thông Với các đặc thù của các doanh nghiệp viễn thông lưu trữ nhiều thông tin và dữ liệu quan trọng mà thường xuất hiện các hình thức tấn công như tấn công từ bên ngoài mạng, mã hóa dữ liệu, đánh cắp dữ liệu, tấn công bằng phần mềm độc hại, tấn công rà quét, tấn công Dos, DDoS và tấn công lừa đảo mật khẩu. Đánh cắp dữ liệu và tống tiền đang là các xu hướng tấn công chính của các hacker ở thời điểm hiện nay các doanh nghiệp viễn thông cũng không là các nạn nhân ngoại lệ, đây là hình thức tấn công mang lại lợi nhuận cao cho tội phạm, mỗi cá nhân, doanh nghiệp, tổ chức bị tấn công sẽ bị yêu cầu một khoản tiền rất lớn, đó là mối đe dọa chính tới an ninh mạng các doanh nghiệp. 1.3.1 Tấn công từ bên ngoài mạng Hình thức tấn công từ bên trong mạng chỉ được sử dụng đối với cá nhân đã có quyền truy cập một cách dễ dàng, đối với một hacker khi không thể đứng trong mạng nội bộ để tấn công hệ thống họ sẽ tấn công từ bên ngoài vào mạng của bạn. Việc tấn công từ nội bộ trong mạng của các doanh nghiệp viễn thông là rất khó khăn và gần như không thể thực hiện được buộc các hacker phải tấn công từ bên ngoài vào. Tấn công phổ biến của hacker hiện nay hướng tới các website, CSDL nhằm lợi dụng các loại lỗ hổng bảo mật để cài các phần mềm gián điệp, điều khiển từ xa, xâm nhập để phá họai và lấy cắp thông tin với các mục đích xấu về kinh tế và chính trị gây thiệt hại và ảnh hưởng xấu tới các doanh nghiệp, các vụ tấn công từ bên ngoài vào hệ thống của doanh nghiệp ngày càng gia tăng về số vụ và hình thức tấn công ngày càng tinh vi và nguy hiểm. Các cuộc tấn công phổ biến hiện nay là tấn công website, CSDL, lợi dụng các lỗ hổng bảo mật web, lỗ hổng bảo mật của Microsoft, Adobe... để cài phần mềm gián điệp, điều khiển từ xa để xâm nhập nhằm phá hoại và trộm cắp thông tin bất hợp pháp. 6 Các doanh nghiệp viễn thông tuy có triển khai các giải pháp an toàn và bảo mật, song lại thiếu sự đồng bộ giữa cơ sở hạ tầng, giải pháp phần mềm và giải pháp quản trị. Sự thay đổi liên tục của nhiều kiểu tấn công mạng từ khắp thế giới cộng thêm tính phức tạp và lỗ hổng trong cơ sở hạ tầng mạng đã khiến nền tảng web trở nên dễ bị tổn thương trước những tấn công. Hacker tạo ra ngày càng nhiều Malware với các module phức tạp, chứa các lệnh khác nhau để trao đổi, xây dựng ra các mạng Botnet riêng với nhu cầu và mục đích khác nhau, ví dụ như Grum là mạng Botnet để phát tán thư rác, hoạt động ở chế độ ẩn của rookit, lây nhiễm vào khóa registry AutoRun để luôn luôn được kích hoạt và phát tán hàng chục tỷ thư mỗi ngày. Zeus và SpyEye được thiết kế để thiết lập mạng Botnet lấy cắp thông tin tài khoản ngân hàng qua các giao dịch trực tuyến và gửi về một Domain trung gian, sau đó được chuyển tiếp đến một Domain chứa CSDL cung cấp cho Hacker. Phổ biến nhất là các mạng Botnet được sử dụng để tấn công từ chối dịch vụ, tấn công DDoS với quy mô lớn. Tấn công lỗ hổng bảo mật web: loại thứ nhất là các tấn công như SQL injection được sử dụng ngày càng nhiều, đặc biệt là các website sử dụng chung server hoặc chung hệ thống máy chủ của nhà cung cấp dịch vụ ISP dễ bị trở thành cầu nối tấn công sang các đích khác, loại thứ hai là tấn công vào mạng nội bộ LAN thông qua VPN, loại thứ ba là tấn công vào CSDL của trang web với mục đích lấy cắp dữ liệu, phá hủy, thay đổi nội dung rồi từng bước thay đổi quyền điều khiển và tiến tới chiếm toàn quyền điều khiển trang web và CSDL. Thực tế đã có nhiều vụ hacker đã lấy được quyền truy cập cao nhất của webserver, mailserver backup và đã kiểm soát hoàn toàn hệ thống mạng một cách bí mật, để cùng lúc tấn công và phá hoại CSDL của cả website và hệ thống dự phòng. Sử dụng Proxy tấn công mạng: Proxy server là một Internet server làm nhiệm vụ chuyển tiếp và kiểm soát thông tin đảm bảo cho việc truy cập Internet của máy khách hàng sử dụng dịch vụ Internet. Proxy có địa chỉ IP và một cổng truy cập cố định làm server trung gian giữa máy trạm yêu cầu dịch vụ và máy chủ cung cấp tài nguyên, khi có một yêu cầu từ một máy trạm trước tiên yêu cầu này được chuyển 7 tiếp tới Proxy server để kiểm tra, nếu dịch vụ này đã được ghi nhớ (cache) sẵn sàng trong bộ nhớ Proxy sẽ trả về kết quả trực tiếp cho máy trạm mà không cần truy cập tới máy chủ chứa tài nguyên. Nếu không có trong cache proxy sẽ kiểm tra tính hợp lệ của các yêu cầu, nếu yêu cầu hợp lệ proxy thay mặt máy trạm chuyển tiếp tới máy chủ chứa tài nguyên. Kết quả sẽ được máy chủ cung cấp tài nguyên trả về qua proxy và proxy sẽ trả về kết quả về cho máy trạm. Hacker luôn ẩn danh khi thực hiện các cuộc tấn công website, upload hoặc download dữ liệu bằng cách sử dụng các Proxy server – loại công cụ mạnh nhất để giả mạo hoặc che dấu thông tin cá nhân và IP truy cập tránh bị cơ quan chức năng phát hiện, nhu cầu sử dụng của Proxy ẩn danh chủ yếu xuất phát từ những hoạt động trái pháp luật của hacker. Với chức năng ẩn danh, Proxy cũng được sử dụng để truy cập vào các tài nguyên bị Firewall cấm. Khi muốn vào một trang web bị chặn, để che giấu địa chỉ IP thật của trang web đó, có thể truy cập vào một proxy server, thay máy chủ của trang web giao tiếp với máy tính của người sử dụng. Khi đó, Firewall chỉ biết Proxy Server và không biết địa chỉ trang web thực đang truy cập. Proxy Server không nằm trong danh sách cấm truy cập (Access Control List – ACL) của Firewall nên Firewall không thể chặn truy cập này. Phần lớn HTTP Proxy chỉ có tác dụng cho dịch vụ HTTP (web browsing), còn SOCKS Proxy có thể được sử dụng cho nhiều dịch vụ khác nhau (HTTP, FTP, SMTP, POP3...) 1.3.2 Mã hóa dữ liệu Mã hóa dữ liệu là chuyển dữ liệu từ dạng này sang dạng khác hoặc sang dạng code mà chỉ có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới đọc được nó, bằng cách sử dụng các thuật toán lồng nhau, thường dựa trên 1 khóa để mã hóa dữ liệu. Số lượng nhân viên văn phòng của các doanh nghiệp viễn thông là rất lớn đây là điều kiện để Ransomware – một loại mã độc mã hóa dữ liệu có tính nguy hiểm cao bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính làm cho nạn nhân không thể mở được file. 8 Gần đây nhất điển hình là mã độc WannaCry là loại mã độc khi xâm nhập thiết bị máy tính của người dùng trong hệ thống doanh nghiệp sẽ tự động mã hóa toàn bộ các tập tin theo những định dạng như văn bản tài liệu, hình ảnh. Người dùng sẽ phải trả một khoản tiền không hề nhỏ nếu muốn được mở khóa và lấy lại dữ liệu đó. Ransomware sử dụng công nghệ mã hóa Public-Key vốn là một phương pháp đáng tin cậy nhằm bảo vệ dữ liệu nhạy cảm. Tội phạm đã lợi dụng công nghệ này và tạo ra những chương trình độc hại để mã hóa dữ liệu của người dùng, một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được, lợi dụng yếu tố này Hacker thường tống tiền người dùng để cùng trao đổi chìa khóa bí mật này, nguy hiểm ở chỗ chỉ duy nhất có chìa khóa bí mật này mới có thể giải mã và phục hồi dữ liệu, một số Ransomware được tạo ra với mục đích là dữ liệu bị mã hóa hoàn toàn và sẽ không bao giờ được phục hồi lại được dù có chìa khóa mở khóa đi chăng nữa. Lưu ý rằng Ransomware chỉ có thể hoạt động sau khi được cài đặt trên máy tính. 1.3.3 Đánh cắp dữ liệu Dữ liệu trong các doanh nhiệp viễn thông có giá trị cực kỳ lớn và là thông tin bảo mật điều này đồng nghĩa với việc các hacker không thể bỏ qua nạn nhân là các doanh nghiệp viễn thông. Trong vòng đời an toàn dữ liệu gồm các chu kỳ tạo ra dữ liệu, lưu trữ dữ liệu, sử dụng dữ liệu, chia sẻ dữ liệu, phá hủy dữ liệu mấu chốt ngay từ lúc tạo ra dữ liệu phải đảm bảo môi trường tạo dữ liệu là “sạch”. Sau đó ngoại trừ khi sử dụng và phá hủy tất cả các chu kỳ còn lại đòi hỏi dữ liệu phải được mã hóa, đảm bảo người ta phải trả một cái giá đắt nhất để có thể lấy cắp được dữ liệu, tất cả các pha đều đòi hỏi phải phân quyền truy cập và sử dụng thông tin giữa các thành viên trong tổ chức một cách chặt chẽ để có thể theo dõi và quản lý được từng “đường đi nước bước của dữ liệu”. Việc này cần được cân nhắc xem nên bảo vệ những dữ liệu cụ thể nào vì nếu khối lượng mật là quá lớn thì cái giá để bảo vệ sẽ là rất lớn. Hướng tiếp cận này đưa đến hai gợi ý quan trọng đó là cần có các giải pháp phần mềm bao gồm từ hệ điều hành, các công cụ văn phòng phần mềm soạn thảo văn bản, email ... để hình 9 thành một “môi trường sạch” cho việc tạo ra, lưu trữ dữ liệu đồng thời phải đầu tư cho các nghiên cứu bảo mật để tạo ra các công nghệ mã hóa hiệu quả. Nói đến khía cạnh an toàn và an ninh, phần mềm mã nguồn mở thường được coi là lựa chọn hàng đầu do mô hình phát triển của nó dựa vào cộng đồng, tức là các lỗi của mỗi sản phẩm nguồn mở đều được rà soát và kiểm tra bởi hàng trăm tổ chức, doanh nghiệp và hàng nghìn cá nhân trong cộng đồng đó, đông hơn đội ngũ kiểm thử của bất kì tập đoàn mã nguồn đóng nào. 1.3.4 Tấn công bằng phần mềm độc hại Phần mềm độc hại hay còn được gọi là mã độc (Malware, viết tắt của Malicious Software), có thể dễ dàng mô tả là phần mềm không mong muốn được cài đặt trên hệ thống của bạn mà không được sự cho phép của bạn, với mục đích lây lan phát tán trên hệ thống máy tính và Internet nhằm thực hiện các hành vi bất hợp pháp nhằm vào người dùng cá nhân, cơ quan, tổ chức để thực hiện các hành vi chuộc lợi cá nhân, kinh tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở thích của người viết Virus và phần mềm trojan là các ví dụ về phần mềm độc hại thường được xếp cùng nhóm với nhau và được gọi là phần mềm độc hại. Đặc điểm của Malware - Không thể tự tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó. - Tự nhân bản khi ứng dụng được kích hoạt. - Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này sẽ không gây hậu quả. - Sau thời kỳ “nằm vùng” mới bắt đầu phát tác. Phân loại và đặc tính của mã độc Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta phân biệt mã độc thành nhiều loại khác nhau như: virus, trojan, backdoor, adware, spyware… - Trojan: đặc tính phá hoại máy tính, thực hiện các hành vi phá hoại như: xóa file làm hỏng các chương trình thông thường, ngăn chặn người dùng kết nối Internet. 10 - Worm: giống trojan về hành vi phá hoại tuy nhiên nó có thể tự nhân bản để thực hiện lây nhiễm qua nhiều máy tính. - Spyware: là phần mềm được cài đặt trên máy tính người dùng nhằm thu thập thông tin một cách bí mật, trái phép không được sự cho phép của người dùng. - Adware: phần mềm quảng cáo, hỗ trợ quảng cáo là các phần mềm tự động tải, pupup, hiển thị hình ảnh và các thông tin quảng cáo ép người dùng đọc, xem thông tin quảng cáo. Các phần mềm này không có tính phá hoại nhưng nó làm ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho người dùng. - Ransomware: đây là phần mềm khi lây nhiễm vào máy tính nó sẽ kiểm soát hệ thống hoặc kiểm soát máy tính và yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại hệ thống điển hình là mã độc WanaCry gần đây. - Virus: là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau. Quá trình lây lan được thực hiện qua hành vi lây file. Ngoài ra virus cũng có thể thực hiện các hành vi phá hoại, lấy cắp thông tin… - Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che dấu danh tính của bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể được hỗ trợ các module khác tấn công, khai thác hệ thống. Nổi bật gần đây là Ransomware (phần mềm độc hại mã hóa tống tiền). Đặc điểm chung của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả các dữ liệu quan trọng của người dùng và yêu cầu tiền chuộc để lấy lại dữ liệu, điển hình là mã độc WannaCry hồi tháng 5 năm 2017. 1.3.5 Tấn công rà quét Các hệ thống bảo mật an toàn thông tin ở các doanh nghiệp viễn thông sẽ không thể để các hacker tấn công một cách dễ dàng. Nếu như kẻ trộm trước khi đột nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò, quan sát ngôi nhà, đường đi lối lại và các điểm yếu sơ hở. Tương tự như vậy đối với các cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn nhân), các dịch vụ đang chạy và các lỗ hổng. Các công cụ mà kẻ tấn công thường sử