Quản lý rủi ro và hệ thống thông tin (Certified in Risk and Information Systems Control – CRISC) là chứng chỉ có uy tín nhất hiện nay trong việc giám sát rủi ro, hiệu quả cho nhân sự CNTT và nhân sự các ngành khác trong các công ty, xí nghiệp, tổ chức về tài chính. Khi đạt được chứng chỉ CRISC, người học đã có đủ kiến thức và trình độ chuyên môn trong việc quản lý rủi ro cho doanh nghiệp của mình. Chứng chỉ này giúp người học chứng minh trình độ kỹ thuật của mình để triển khai các giải pháp quản lý trong hệ thống thông tin.
Tổ chức phi lợi nhuận ISACA được viết tắt từ Information Systems Audit and Control Association (Hiệp Hội Kiểm Tra và Kiểm Toán Hệ Thống Thông Tin), các nhà cung cấp và quản lý chứng chỉ CRISC. Chứng chỉ này được thiết kế dành riêng cho các chuyên viên IT, các nhà quản lý dự án, những người có nhiệm vụ xác định và quản lý rủi ro về CNTT và những rủi ro kinh doanh thông qua hệ thống thông tin quản lý quá trình hoạt động kinh doanh. Chứng chỉ CRISC của ISACA được giới thiệu vào năm 2010, bao gồm toàn bộ quá trình đào tạo, từ thiết kế đến việc thực hiện, duy trì liên tục.
CISM (Certified Information Security Manager) là chứng chỉ quản lý bảo mật được công nhận bởi tổ chức ISACA (Information Systems Audit and Control Association). Chứng chỉ CISM và CISSP được cho là có cùng cấp độ nhưng cách tiếp cận khác nhau. CISM thiên về các hoạt động, công tác bảo mật cũng như cách thức phát triển, tích hợp duy trì các chương trình bảo mật dựa theo mô hình tổng thể. Chương trình bao gồm các nội dung cần thiết cho người quản lý bảo mật thông tin của doanh nghiệp, đồng thời đưa ra cách thức, các bước hoặc hướng dẫn, gợi ý (mở) để có thể thực hiện hoàn tất tốt công việc của người quản trị. Nội dung của chương trình bao gồm 4 chủ đề: quản trị an toàn thông tin, quản trị rủi ro trong thông tin và sự tuân thủ, phát triển và quản lý chương trình bảo mật thông tin, quản lý sự cố và phản ứng nhanh.
Certified Information Security Manager (CISM) là chứng chỉ hàng đầu cho các chuyên gia IT có trách nhiệm quản lý, phát triển và giám sát hệ thống bảo mật thông tin trong các ứng dụng cấp doanh nghiệp, hoặc để phát triển bảo mật trong tổ chức. Người có chứng chỉ CISM có kỹ năng thành thạo trong việc quản lý rủi ro bảo mật, quản trị, quản lý và phát triển các chương trình, quản lý và khắc phục sự cố.
Chuyên gia Kiểm định Hệ thống thông tin (Certified Information Systems Auditor - CISA) là một chứng nhận quan trọng của tổ chức ISACA (Information Systems Audit and Control Association). Đây là chứng chỉ dành cho chuyên gia đánh giá (kiểm định) hệ thống thông tin và bảo mật. CISA được công nhận bởi Viện tiêu chuẩn của Mỹ (ANSI) và được thừa nhận rộng rãi trên thế giới. Trong lĩnh vực kiểm định hệ thống thông tin (IT) ngân hàng, chứng khoán hoặc chính phủ, đặc biệt là kiểm định hệ thống thì CISA dường như là yêu cầu bắt buộc.
Chương trình đào tạo chứng chỉ này mang đến cái nhìn tổng quan về các hoạt động doanh nghiệp, mối quan hệ giữa việc quản trị với các vấn đề vận hành hệ thống, các dịch vụ cũng như việc bảo vệ thông tin quan trọng trong hệ thống. Những kiến thức cần được trang bị trước khi thi lấy chứng chỉ bao gồm quy trình kiểm toán hệ thống thông tin, vai trò của quản trị CNTT, quản trị vòng đời của hệ thống và hạ tầng, dịch vụ CNTT và hỗ trợ, bảo vệ an toàn cho các tài sản thông tin. Với CISA, các chuyên gia CNTT có thể đánh giá rủi ro, báo cáo về việc tuân thủ và kiểm soát trong doanh nghiệp. Sau khi đạt chứng chỉ thì một điều kiện khác cần có trong quá trình làm việc là tích luỹ điểm rèn luyện CPE, giống như những người được trang bị CISSP. Bài thi của CISA có 200 câu hỏi được yêu cầu hoàn thành tron 4 giờ và số điểm đậu là 450.
Chứng chỉ CISA thường do những người có trách nhiệm công việc bao gồm kiểm toán, giám sát, kiểm soát và/hoặc đánh giá các hệ thống CNTT và/hoặc hệ thống kinh doanh. CISA được thiết kế để kiểm tra khả năng quản lý các lỗ hổng của ứng viên và đề xuất các biện pháp kiểm soát, quy trình và cập nhật các chính sách của công ty nhằm đảm bảo tuân thủ các tiêu chuẩn về CNTT và kinh doanh được chấp nhận.
Công nghệ thông tin (Information technology - IT) được ISACA định nghĩa là “... phần cứng, phần mềm, thông tin liên lạc và các phương tiện khác được sử dụng để nhập, lưu trữ, xử lý, truyền và xuất dữ liệu dưới bất kỳ hình thức nào ....”.
Theo Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006 "Công nghệ thông tin là tập hợp các phương pháp khoa học, công nghệ và công cụ kỹ thuật hiện đại để sản xuất, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin số".
Tài liệu tham khảo
1. Sandi J. Davies, "Industry Specific Q&A: Information Security, Information Technology Security, and Cybersecurity", Women in the Security Profession, Butterworth-Heinemann, 2017, doi: 10.1016/B978-0-12-803817-8.00015-8.
Geek là một người bị cuốn hút, có lẽ ám ảnh, bởi những lĩnh vực kiến thức và trí tưởng tượng rất riêng biệt, có thể là một bản chất thông thái hoặc uyên bác.
Geek thường được coi là những người có kiến thức gần như bách khoa về các câu đố ngẫu nhiên, thường khó hiểu ở mức cùng cực và thường gắn liền với công nghệ, đặc biệt là máy tính và các phương tiện truyền thông mới. Thường hết lòng dành cho một thứ gì đó khiến họ nằm ngoài xu hướng chính, những người Geek đã được liên kết với các chủ đề khác nhau, chẳng hạn như vô tuyến điện, ngôn ngữ học trong Star Trek và Tolkien, ...
Tài liệu tham khảo
1. J. Richards, "A new term for a new age?," in ITNOW, vol. 48, no. 4, pp. 26-26, July 2006, doi: 10.1093/itnow/bwl036.
Stuxnet là một chương trình máy tính độc hại và phức tạp được xây dựng để phân tách và tạo ra các hệ thống điều khiển từ xa độc lập. Đây là một trong những ví dụ nổi tiếng về APTs và đại diện cho một loại phần mềm độc hại mới nhằm vào các hệ thống cụ thể trên không gian mạng. Stuxnet không yêu cầu mục tiêu của nó phải kết nối với Internet, tuy nhiên, nó có thể truy cập và thiết lập quyền kiểm soát chúng bằng cách sử dụng một số thiết bị phụ như USB. Stuxnet đã khai thác các lỗ hổng Zero-day. Nó đã truy cập vào hệ điều hành Windows bằng cách chạy các mật khẩu mặc định của Siemens vào giờ nghĩ trưa của WinCC và PCS 7 là các chương trình điều khiển logic có thể lập trình (Programmable Logic Controller - PLC) được sử dụng để chỉ đạo các nhà máy công nghiệp, nhằm làm cho chúng không hoạt động bình thường. PLC thực hiện nhiều nhiệm vụ như đóng mở vòi ống nước và điều khiển thời gian của đèn giao thông. Tính năng tuyệt vời của Stuxnet là khả năng đánh trúng và lập trình lại mục tiêu của nó. Hơn nữa, Stuxnet có thể tự cập nhật bằng hai phương pháp, thứ nhất, bằng cách học cập nhật mới bằng cách sử dụng giao tiếp ngang hàng với PC bị vi phạm, phương pháp thứ hai là cố gắng kết nối PC bị vi phạm với các máy chủ điều khiển (Command-And-Control - C&C) để cung cấp cho chúng dữ liệu ăn cắp và tải xuống các tập tin thực thi tùy ý.
Stuxnet đã nhắm vào các hệ thống điều khiển giám sát và thu thập dữ liệu (Supervisory Control and Data Acquisition - SCADA) và làm tổn hại đến chương trình hạt nhân của Iran. Stuxnet bao gồm ba thành phần: thứ nhất, Worm thực hiện tất cả các thủ tục liên quan đến Payload của cuộc tấn công; thứ hai, một tập tin liên kết tự động tạo ra các bản sao của Worm; thứ ba, một thành phần Rootkit ngăn chặn việc phát hiện ra Stuxnet. Sự xuất hiện của Stuxnet tuyên bố rằng các cuộc tấn công mạng có thể mở rộng đến cuộc sống thực, chúng có thể khai thác các thành phần cơ bản và cơ sở hạ tầng vật lý quan trọng trong công nghiệp hiện đại được điều khiển bởi phần mềm để đạt được các mục tiêu độc hại của chúng.
Stuxnet khác với các phần mềm độc hại phổ biến khác ở nhiều khía cạnh như sau:
- Mục tiêu: Stuxnet chọn mục tiêu của nó, những phần mềm độc hại phổ biến thì không.
- Loại mục tiêu: Stuxnet nhắm mục tiêu các hệ thống điều khiển công nghiệp trong các điều kiện cụ thể trong khi các phần mềm độc hại phổ biến nhắm mục tiêu khác.
- Kích thước: Kích thước Stuxnet là 500 Kbyte trong khi các loại khác nhỏ hơn 1 Mbyte.
- Vectơ lây nhiễm ban đầu có thể cung cấp: Stuxnet dựa trên ổ đĩa USB trong khi các phần mềm độc hại phổ biến sử dụng Internet và các mạng khác.
Stuxnet bao gồm ba hoạt động:
1. Stuxnet đã thâm nhập Hệ điều hành Windows bằng cách sử dụng bốn cuộc tấn công zero-day.
a) Stuxnet được lan truyền từ các USB có các Shortcut tập tin để bắt đầu mã thực thi.
b) Stuxnet khai thác các máy tính khác được kết nối (ngang hàng hoặc trong mạng riêng) với máy bị nhiễm để gây hại cho chúng.
c) Stuxnet khai thác các lỗ hổng zero-day.
d) Stuxnet có khả năng Rootkit ở chế độ người dùng và chế độ hạt nhân, trong đó nó đã được ký điện tử bằng khóa riêng của hai chứng chỉ bị đánh cắp từ hai công ty nổi tiếng.
2. Lây nhiễm phần mềm
Thư viện giao tiếp quan trọng của WinCC có tên S7otbxdx.dll bị phá hủy khi các tập tin Stuxnet liên quan được cài đặt trên một hệ thống Windows có các phần mềm điều khiển WinCC / PCS 7 SCADA của Siemens. Ngoài ra, nó chặn liên lạc giữa WinCC và các thiết bị Siemens PLC mục tiêu khi mạng ngang hàng được kết nối nơi Stuxnet có thể cấu hình và lập trình các thiết bị PLC Siemens được kết nối với hệ thống bị nhiễm. Sau đó, Stuxnet sẽ tạo bản sao của chính nó trên các thiết bị Siemens PLC được kết nối và ẩn chính nó để WinCC phát hiện. Ngoài ra, Stuxnet sử dụng khai thác Zero-day trong phần mềm cơ sở dữ liệu WinCC / SCADA làm mật khẩu cơ sở dữ liệu được mã hóa cứng.
3. Lây nhiễm PLC
Để gắn Stuxnet vào hệ thống Siemens S7-300 và các mô-đun liên kết của Siemens S7-300, cần có các bộ biến tần đặc biệt (trình điều khiển tần số thay đổi). Stuxnet nhắm mục tiêu đến hai loại PLC có trình điều khiển tần số thay đổi, một trong số đó là Vacon do Phần Lan sản xuất và loại còn lại là Fararo Paya do Iran sản xuất. Tuy nhiên, Stuxnet chỉ xem xét các hệ thống có tần số của chúng từ 807 Hz đến 1.210 Hz bằng cách theo dõi tần số của động cơ được gắn kèm. Ngoài ra, nó nhắm mục tiêu vào PLC giám sát bus thông điệp hệ thống (Profibus) bằng cách cài đặt vào bộ nhớ của nó phần mềm độc hại tại khối DB890. Trong các điều kiện cụ thể, Stuxnet điều chỉnh tần số để tác động đến hiệu suất trên các động cơ được kết nối bằng cách thay đổi tốc độ quay của chúng. Ngoài ra, Stuxnet đã che giấu các sửa đổi về tốc độ quay và phần mềm độc hại bằng cách cài đặt Rootkit.
Tài liệu tham khảo
1. S. Al-Rabiaah, "The “Stuxnet” Virus of 2010 As an Example of A “APT” and Its “Recent” Variances," 2018 21st Saudi Computer Society National Computer Conference (NCC), 2018, pp. 1-5, doi: 10.1109/NCG.2018.8593143.
Zeus được biết đến như một bộ công cụ thần thánh của DIY (Do-It-Yourself), cung cấp cho người viết ra phần mềm độc hại phần lớn các công cụ cần thiết để lắp ráp và quản trị một mạng Botnet. Bộ công cụ Zeus bao gồm bảng quản trị, tập tin cấu hình, tập tin cấu hình được mã hóa và tập tin nhị phân Zeus cùng với chương trình tạo Bot. Zeus là một Bot phần lớn được sử dụng để giữ dữ liệu về tiền bằng cách sử dụng cuộc tấn công người dùng trong chương trình (Man-In-The-Program - MITB). Zeus còn được gọi là ZBOT, WSNPoem, PRG, NTOS, Kneber và Gorhax. Hoạt động của bộ công cụ Zeus rất đơn giản vì Bot được tạo bởi công cụ đang âm thầm chạy trên nền của máy nạn nhân (Victim), lấy thông tin và gửi lại cho Botmaster. Zeus nằm trong danh sách mười Botnet hàng đầu, được phân biệt ban đầu vào tháng 7 năm 2007, được sử dụng để lấy dữ liệu từ 'Bộ Giao thông Vận tải Hoa Kỳ', nó trở nên phổ biến vào tháng 5 năm 2009. Vào tháng 6 năm 2009, Công ty bảo mật Prevx đã phát hiện ra rằng Zeus đã thâm nhập hơn 74.000 tài khoản FTP của Ngân hàng. Cục Điều tra Liên bang đã phát hiện ra Zeus ở Mỹ vào ngày 1 tháng 10 năm 2010. Mục đích chính là Hack máy tính và đánh cắp khoảng 70 triệu đô la.
Tài liệu tham khảo
1. Y. D. Mane, "Detect and deactivate P2P Zeus bot," 2017 8th International Conference on Computing, Communication and Networking Technologies (ICCCNT), 2017, pp. 1-7, doi: 10.1109/ICCCNT.2017.8203918.
Chiến tranh mạng (Cyberwarfare) là hoạt động tấn công và phòng thủ của các tổ chức hoặc nhóm (riêng tư và cộng đồng) nhằm lấy hoặc sử dụng thông tin với sự hỗ trợ của công nghệ thông tin nhằm đạt được ưu thế trong cuộc chiến với đối thủ.
Chiến tranh mạng (Cyberwarfare) là việc tiến hành trái phép sự thâm nhập, bao gồm cả việc chuẩn bị, thay mặt hoặc ủng hộ của một chính phủ vào máy tính hoặc mạng của quốc gia khác hoặc bất kỳ hoạt động nào khác ảnh hưởng đến hệ thống máy tính, trong đó mục đích là thêm, thay đổi, làm sai lệch hoặc xóa dữ liệu, hoặc gây gián đoạn hoặc làm hỏng máy tính hoặc mạng, hoặc các đối tượng mà hệ thống máy tính kiểm soát (chẳng hạn như hệ thống điều khiển giảm sát và thu thập dữ liệu (Supervisory Control and Data Acquisition - SCADA)).
Tài liệu tham khảo
1. Golling, Mario & Stelte, Björn. (2011). Requirements for a future EWS-Cyber Defence in the internet of the future. 3rd International Conference on Cyber Conflict (ICCC).
2. Bernik, Igor. (2014). Cybercrime and Cyber Warfare. 1-165. 10.1002/9781118898604.
Traceroute là một công cụ được sử dụng để bảo trì và phân tích mạng. Với một địa chỉ IP, Traceroute sẽ điền vào danh sách tất cả các nút trên Internet mà một gói dữ liệu đi qua để đến máy tính được đại diện bởi địa chỉ IP. Mỗi nút được liệt kê theo thứ tự mà nó được truy cập, do đó, danh sách đại diện cho đường dẫn mạng mà dữ liệu truyền từ máy tính này sang máy tính khác. Mỗi nút được đại diện bởi địa chỉ IP của nó cũng như tên máy chủ của máy tính, nếu có. Được sử dụng như một công cụ mạng, nó có thể xác định các liên kết bị hỏng trong mạng, cũng như xác định các tuyến đường không hiệu quả. Traceroute xác định lộ trình của dữ liệu, chứ không phải là đích mà chúng ta đang theo đuổi.
Tài liệu tham khảo
1. G. Connolly, A. Sachenko and G. Markowsky, "Distributed traceroute approach to geographically locating IP devices," Second IEEE International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications, 2003. Proceedings, 2003, pp. 128-131, doi: 10.1109/IDAACS.2003.1249532.
Mạng được điều khiển bằng phần mềm (Software Defined Network - SDN) được định nghĩa là một kiến trúc mạng mới được sử dụng để đơn giản hóa việc quản lý mạng và giảm độ phức tạp trong công nghệ mạng. Trong mô hình này, bộ điều khiển mạng được coi như một thành phần mới trong mạng. Bộ điều khiển này có toàn quyền để quản lý và lập trình mạng. Lập trình mạng không giống như cấu hình các thiết bị mạng. Trong quá trình cấu hình, kỹ sư mạng sử dụng một tập hợp các lệnh được xác định trước để thay đổi cài đặt của các thiết bị mạng nhằm thực hiện một số tác vụ nhất định. Ngược lại, khả năng lập trình mạng là quá trình mà một chuyên gia mạng viết các chương trình điều khiển nhiều thiết bị chuyển tiếp gói tin có thể được cấu hình bằng cách sử dụng một số giao thức như OpenFlow. Ví dụ, thiết bị chuyển mạch tầng 2 có thể được lập trình thông qua bộ điều khiển để hoạt động như bất kỳ thiết bị mạng nào, chẳng hạn như tường lửa hoặc bộ định tuyến. Sử dụng cách tiếp cận này, độ phức tạp của quản lý mạng và gỡ lỗi giao thức có thể được giảm bớt. Hơn nữa, nhiều vấn đề bảo mật, chẳng hạn như nhiễm độc giao thức phân giải địa chỉ (ARP) có thể được giải quyết.
SDN là công nghệ mạng mới tách mặt phẳng dữ liệu khỏi mặt phẳng điều khiển. Mặt phẳng dữ liệu được xử lý bởi phần cứng bên dưới truyền các luồng hoặc chặn nó dựa trên các cấu hình được thao tác bởi bộ điều khiển. Tuy nhiên, mặt phẳng điều khiển được xử lý bởi giao thức Openflow và bộ điều khiển. Để hiểu các yếu tố này, Hình 1 cho thấy một sơ đồ đơn giản của cấu trúc liên kết mạng SDN. Trong cấu trúc liên kết này, có thể quan sát thấy ba loại phần cứng khác nhau; Switch, Server ‘bộ điều khiển’ và Computer ‘người dùng’ và hai loại liên kết khác nhau; liên kết điều khiển - chuyển mạch và các liên kết truy cập. Trong phần phụ tiếp theo, chúng tôi sẽ giới thiệu bộ điều khiển (Controller) và liên kết điều khiển - chuyển mạch (Controller-Switch Link) vì chúng là những bộ phận quan trọng nhất trong kiến trúc này.
Hình 1. Cấu trúc liên kết SDN đơn giản
Bộ điều khiển mạng (Controller) là phần chính của mạng SDN. Nó là một máy chủ nơi các nhà phát triển có thể phát triển và viết các thuật toán và cấu trúc liên kết của họ. Nói cách khác, họ lập trình cách mạng sẽ phản ứng với các sự kiện khác nhau. Các ứng dụng này có thể được viết bằng các ngôn ngữ lập trình khác nhau tùy thuộc vào bộ điều khiển được cài đặt. Nhiều bộ điều khiển đã được phát triển trong nhiều năm. Bảng I trình bày tóm tắt về một số bộ điều khiển SDN. Nhiều tài liệu nghiên cứu đã được thực hiện trong lĩnh vực so sánh các số liệu hiệu suất, chẳng hạn như, độ trễ, số lượng luồng và tắc nghẽn của các bộ điều khiển này.
Controller | Development Language |
Floodlight | JAVA |
OpenIRIS | JAVA |
Maestro | JAVA |
NOX | C++/Python |
POX | Python |
Ryu | Python |
Liên kết điều khiển - chuyển mạch (Controller-Switch link): phần quan trọng thứ hai của kiến trúc SDN là giao thức chạy trên liên kết giữa Switch và máy chủ điều khiển. Giao thức này được gọi là Openflow. Openflow định nghĩa định dạng thông điệp, hành động và quy tắc. Trước khi bất kỳ thông điệp nào chuyển giữa bộ điều khiển và Switch, kết nối TCP phải được thiết lập qua Controller-Switch Link. Các bước sau đây cho thấy kiến trúc SDN hoạt động như thế nào.
Đầu tiên, Switch hỗ trợ SDN xử lý thông điệp từ bất kỳ người dùng nào qua bất kỳ liên kết truy cập nào. Nó kiểm tra xem gói tin mới đến có khớp với bất kỳ quy tắc luồng nào được đưa vào trong Switch hay không. Nếu gói tin phù hợp với bất kỳ quy tắc luồng nào, Switch sẽ hoạt động theo hành động được đính kèm với quy tắc này. Thứ hai, nếu không có quy tắc nào được tìm thấy cho gói tin này, Switch sẽ đặt gói tin vào một thông điệp và gửi nó đến bộ điều khiển qua Controller-Switch Link. Thứ ba, bộ điều khiển xử lý gói tin và phân tích nó theo thuật toán đang chạy. Sau đó, nó tạo ra một quy tắc quyết định cho luồng này. Cuối cùng, bộ điều khiển gửi quy tắc luồng mới này đến Switch để thao tác với loại gói tin này.
Tài liệu tham khảo
1. M. Z. Masoud, Y. Jaradat and I. Jannoud, "On preventing ARP poisoning attack utilizing Software Defined Network (SDN) paradigm," 2015 IEEE Jordan Conference on Applied Electrical Engineering and Computing Technologies (AEECT), 2015, pp. 1-5, doi: 10.1109/AEECT.2015.7360549.
Web lưu trữ kiến thức cá nhân đã tham khảo và thấy hữu ích cho người đọc. Các bạn có thể đóng góp bài viết qua địa chỉ: dzokha1010@gmail.com