Trang

[Security] Các mức độ cảnh báo An Ninh

Bài này mình giới thiệu các mức độ cảnh báo an ninh, tham khảo dựa trên website của tổ chức phi lợi nhuận Center for Internet Security. Trang chủ: http://www.cisecurity.org.
Link tham khảo: http://msisac.cisecurity.org/alert-level/


Phần 1: Các mức độ cảnh báo an ninh
Bộ chỉ thị cảnh báo đưa ra mức cảnh báo hiện tại của các hoạt động phá hoại thông qua Internet, chỉ ra những nguy hiểm tiềm ẩn hay có thật. Bộ chỉ thị này có 5 mức.

1.  Mức 1: Low

low

a. Định nghĩa: Mức này chỉ ra cấp độ nguy hiểm thấp. Không có hành động bất thường cần phải quan tâm như những hành động hacking dễ bị phát hiện, những loại virus đã biết, hay những hoạt động phá hoại khác chỉ dừng lại ở mức độ các nguy cơ tiềm ẩn.
b. Mô tả cụ thể:
  • Hoạt động thăm dò, quét hệ thống mạng thông thường.
  • Các loại virus độ nguy hiểm thấp.
c. Hành động xử lí:
  • Tiếp tục các phương pháp bảo vệ thường xuyên bao gồm ứng dụng những security patches của nhà cung cấp và cập nhật antivirus software signature files một cách đều đặn.
  • Tiếp tục giám sát an ninh đều đặn.
  • Đảm bảo nhân viên có được sự đào tạo bài bản về những nguyên tắc an ninh qua Internet.
d. Cảnh báo:
  • Không cần cảnh báo nếu trạng thái vẫn nằm ở mức hiện tại.
  • Thông báo sẽ được thực hiện thông qua website đồng thời với khi mức cảnh báo tăng lên.

2. Mức 2: Guarded

muc 2

a. Định nghĩa: Mức 2 chỉ mức nguy hiểm ở mức độ trung bình của việc hacking, virus xâm nhập tăng hay những hoạt động phá hoại khác. Khả năng tồn tại những hoạt động phá hoại nhưng không có sự exploit đã biết được nhận ra, hoặc những exploit đã biết được nhận ra nhưng không có tác động đáng kể.
Exploit: khai thác lỗi
b. Mô tả cụ thể:
  • Một lỗ hổng nghiêm trọng bị phát hiện nhưng không có sự khai thác.
  • Một lỗ hổng nghiêm trọng bị khai thác nhưng không có tác động đáng kể.
  • Phát hiện loại virus mới với khả năng lan truyền nhanh.
  • Cảnh báo độ đáng tin của việc thăm dò và quét hệ thống mạng.
  • Tấn công đến những hệ thống không quan trọng nhưng không làm mất data.
c. Hành động xử lí:
  • Tiếp tục những hành động đã được đề cập ở mức trước.
  • Nhận diện những hệ thống bị hổng.
  • Bổ sung những Counter-measure (các biện pháp bảo vệ hệ thống) phù hợp để bảo vệ những hệ thống bị hổng.
  • Khi có thể, thực hiện kiểm tra và vá lỗi, thiết lập update anti-virus…trong những lần tiếp sau.
d. Cảnh báo:
  • Thông báo được thực hiện thông qua website ngay khi mức cảnh báo thay đổi.

3. Mức 3: Elevated

muc 3
a. Định nghĩa: Chỉ ra mức nguy hiểm đáng kể do việc hacking, virus hay những hoạt động phá hoại khác tăng lên mà gây hại hệ thống hay làm giảm chất lượng service. Ở mức độ này, có những lổ hỗng đã biết và đang bị khai thác với mức độ phá hủy nhẹ, hay tiềm ẩn nguy cơ gây nguy hiểm cao.
b. Mô tả cụ thể:
  • Một sự khai thác những lỗ hổng nghiêm trọng mà có khả năng gây ra sự hư hỏng đáng kể.
  • Một lổ hổng nghiêm trọng đang bị khai thác và có tác động nhẹ.
  • Gây ảnh hưởng đến an ninh hay các hệ thống quan trọng chứa các thông tin mang tính chất nhạy cảm.
  • Làm hại những hệ thống quan trọng, chứa những thông tin không mang tính chất nhạy cảm.
  • Virus lan truyền nhanh thông qua Internet tác động đến network traffic.
  • Một cuộc tấn công DDoS (Distributes Denial of Service)
c. Hành động xử lí:
  • Tiếp tục những hành động đã đề cập ở mức trước.
  • Nhận diện những hệ thống bị hổng.
  • Tăng cường giám sát các hệ thống quan trọng.
  • Bổ sung ngay những counter-measure phù hợp để bảo vệ những hệ thống quan trọng bị hổng.
  • Khi có thể, thực hiện kiểm tra, đưa vào những bản vá, cài đặt anti-virus updates, …càng sớm càng tốt.
d. Cảnh báo:
  • Cảnh báo được đưa ra thông qua đường email riêng của tổ chức, đơn vị hay điện thoại trực tiếp khi mức cảnh báo được đưa lên mức độ màu vàng (hoặc Elevated).
  • Cảnh báo thông qua website được thực hiện ngay khi mức cảnh báo thay đổi.

4. Mức 4: High

muc 4
a. Định nghĩa: Mức này chỉ ra mức độ nguy hiểm cao của việc hacking, virus, hay các hoạt động phá hoạt thông qua Internet tăng lên, mà chúng nhắm tới hay phá hủy những cấu trúc hạ tầng lõi dẫn đến ngừng dịch vụ, làm hại hệ thống hay làm hại những cấu trúc hạ tầng quan trọng. Ở mức độ này, những lỗ hổng bị khai thác ở mức độ phá hủy cao, hay khả năng cao gây ra mức độ phá hủy nghiêm trọng.
b. Mô tả cụ thể:
  • Một sự khai thác lỗ hổng nghiêm trọng mà có khả năng gây ra sự phá hủy nghiêm trọng.
  • Một lỗ hổng bị khai thác và gây ra tác động đáng kể.
  • Kẻ tấn công đã giành được quyền quản trị trên hệ thống bị xâm nhập.
  • Nhiều virus có khả năng phá hủy tấn công.
  • Nhiều cuộc tấn công DoS chống lại những dịch vụ hạ tầng quan trọng.
c. Hành động xử lí:
  • Tiếp tục những hành động đã được đề cập ở các mức độ trước.
  • Giám sát sít sao các công cụ security bao gồm firewall, web log files, anti-virus gateway, system log files,…cùng với những hành động bất thường.
  • Xem xét giới hạn hay gỡ những kết nối đến những mạng ngoài ít quan trọng như Internet.
  • Xem xét tách những mạng bên trong quan trọng, ít nhiệm vụ, để giới hạn hay giảm khả năng việc bất ngờ xảy ra.
  • Xem xét sử dụng những phương pháp truyền thông thay thế như phone, fax hay radio thay cho email hay những phương pháp truyền thông điện tử khác.
  • Khi có thể, thực hiện kiểm tra, bổ sung những bản vá, cài đặt anti-virus updates,…ngay lập tức.
d. Cảnh báo:
  • Cảnh báo thông qua đường email riêng của tổ chức, đơn vị hay điện thoại trực tiếp khi tổ chức đưa cảnh báo ở màu cam (hay mức high).
  • Cảnh báo qua website ngay khi mức cảnh báo thay đổi.
  • Cảnh báo thông qua đường email riêng sẽ được gởi đến các tổ chức chính và có liên quan khi bất kì mức độ cảnh báo quốc gia hay tổ chức khác nâng lên mức High (hiển thị cảnh báo màu cam).

5.  Mức 5: severe

muc 5

a. Định nghĩa: Mức này chỉ ra mức độ nguy hiểm cực kì của các hoạt động hacking, virus hay các hoạt động phá hoại khác, dẫn đến sự hỏng hóc trên diện rộng và/hoặc sự phá hủy đáng kể đến hệ thống mà không tìm ra phương pháp cứu chữa, hay làm yếu các đoạn cấu trúc hạ tầng quan trọng. Ở mức độ này, lỗ hổng bị khai thác ở mức độ cực kì nghiêm trọng, hay mức độ phá hủy tài sản cấu trúc hạ tầng quan trọng ở diện rộng.
b. Mô tả cụ thể:
  • Sự cố toàn mạng.
  • Sự cố các ứng dụng quan trọng.
  • Làm hại hay mất quyền điều khiển các hệ thống quan trọng.
  • Mất các hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA).
  • Có khả năng hoặc thật sự mất sự tồn tại hay tác động đáng kể đến nền an ninh kinh tế, an ninh chính trị.
c. Hành động xử lí:
  • Tiếp tục những hoạt động đã được đề cập ở các mức trước.
  • Ngắt các kết nối đến Internet và các đối tác kinh doanh bên ngoài cho đến khi các hoạt động sửa lỗi được đưa ra.
  • Tách những mạng bên trong để chặn hay giảm sự hư hại.
  • Sử dụng những phương pháp truyền thông thay thế như phone, fax hay radio thay cho email hay những phương pháp truyền thông điện tử khác.
d. Cảnh báo:
  • Cảnh báo thông qua đường email riêng của tổ chức, đơn vị, thông qua telephone, pager hay fax sẽ được đưa ra khi mức cảnh báo lên màu đỏ (hoặc mức severe).
  • Cảnh báo thông qua website được thực hiện đồng thời với việc thay đổi mức cảnh báo.
  • Cảnh báo thông qua đường email riêng của tổ chức, đơn vị sẽ được gởi đến tổ chức chính và các tổ chức liên quan khi bất kì mức độ cảnh báo quốc gia hay tổ chức khác nâng lên mức Severe (hiển thị cảnh báo màu đỏ).
Tài sản cơ sở hạ tầng quan trọng: (Critical Infracstructure Assets)
Đối với mục đích của quy trình này, tài sản cơ sở hạ tầng quan trọng được định nghĩa như sau: Tài sản cơ sở hạ tầng quan trọng là những tài sản mang tính chất vật lí hay logic rất quan trọng mà sự rò rỉ, mất khả năng, năng lực, sự phá hoại hay lạm dụng của chúng sẽ tác động ảnh hưởng đến sức khỏe, độ an toàn và giảm an ninh kinh tế.

Phần 2: Phương pháp xác định mức cảnh báo:

1. Công thức:

Để tính mức độ cảnh báo an ninh, cần dựa vào các tham số liên quan đến an ninh của hệ thống như khả năng phòng thủ của hệ thống lúc bị tấn công, khả năng phòng thủ và cơ chế chính sách của các thiết bị an ninh mạng lúc hệ thống bị tấn công, khả năng gây nguy hiểm và mức độ tác động của các phương pháp tấn công, … Từ đó đưa ra các mức cảnh báo cho phù hợp, một hệ thống càng an ninh, càng nhiều thiết bị và các lớp an ninh thì càng ít có khả năng bị đưa vào các mức độ cảnh báo an ninh càng cao. Việc xác định mức cảnh báo được thực hiện theo công thức như chỉ dẫn sau:
Severity= (Criticality+Lethality)-(System CounterMeasures+Network CounterMeasures) Trong đó:
  • Severity:  chỉ số quyết định mức độ cảnh báo an ninh được đưa ra.
  • Criticality: mức độ tác động đến hệ thống.
  • Lethality: mức độ xâm nhập vào hệ thống
  • System Counter Measures: những phương pháp bảo vệ trên host hiện có.
  • Network Counter Measures: những phương pháp bảo vệ thuộc network hiện có

2. Xác định các tham số:

a. Criticality: mức độ tác động đến hệ thống.
Giá trị Mức độ tác động
5 Các core service như các router, firewall, VPN, hệ thống IDS, DNS server hay authentication server (như LDAP)
4 E-mail, web, database và các server ứng dụng quan trọng.
3 Các server ứng dụng ít quan trọng
2 Các hệ thống máy tính dùng trong kinh doanh
1 Người dùng tại nhà
b. Lethality: mức độ xâm nhập vào hệ thống  
Giá trị Mức độ xâm nhập:
5
  • Exploit exists
  • Kẻ tấn công giành được quyền quản trị.
  • Kẻ tấn công thực hiện DoS
4
  • Exploit exists
  • Kẻ tấn công giành được quyền truy cập mức độ user.
  • Kẻ tấn công thực hiện DoS
3
  • No known exploit exists
  • Kẻ tấn công giành được quyền quản trị.
  • Kẻ tấn công có thể làm giảm chất lượng dịch vụ
2
  • No known exploit exists
  • Kẻ tấn công giành được quyền truy cập mức độ user.
1
  • No known exploit exists
  • Kẻ tấn công không thể thực hiện truy cập.
  3. System CounterMeasures: những phương pháp bảo vệ trên host hiện có
Giá trị CounterMeasures
5
  • Hệ điều hành đang lưu hành với những bản patch thích hợp được ứng dụng.
  • Server đã được củng cố, chỉnh sửa thông qua scan lỗ hổng.
  • Chạy IDS hay các bộ kiểm tra tích hợp trên host
  • Antivirus signature hiện hành và được ứng dụng ở hệ thống đích
4
  • Hệ điều hành đang lưu hành với những bản patch thích hợp được ứng dụng.
  • Hệ điều hành đã được củng cố.
  • Antivirus signature hiện hành và được ứng dụng ở hệ thống đích
3
  • Hệ điều hành hiện hành với bản patch cập nhật được ứng dụng.
  • Antivirus signature thông dụng
2
  • Hệ điều hành đang lưu hành nhưng thiết vài bản patch phù hợp.
  • Antivirus signature hoặc không tồn tại hoặc không được ứng dụng vào hệ thống đích.
1
  • Các hệ điều hành cũ như Window NT 3.51, Solaris 2.6, Windows 95/98/ME,
  • Không có phần mềm anti-virus bảo vệ.
d. Network CounterMeasures: phương pháp bảo vệ dựa trên network
Giá trị CounterMeasures
5
  • Firewall hạn chế (từ chối tất cả ngoại trừ những gì được cho phép)
  • Các quy định firewall đã được thông qua bởi việc test sự xâm nhập
  • Tất cả các kết nối bên ngoài bao gồm VPNs phải qua firewall
  • IDS dựa trên network được bổ sung.
  • Email gateway thực hiện lọc các đính kèm bởi virus.
4
  • Firewall hạn chế
  • Những kết nối bên ngoài (VPNs, Wireless, Internet, Business partnet…)  được bảo vệ bởi firewire.
  • Email gateway thực hiện lọc các đính kèm bởi virus.
3
  • Firewall hạn chế
  • Email gateway lọc các đính kèm thực thi thông thường.
2
  • Firewall cho phép (vd: cho phép tất cả nhưng…) hay dịch vụ cho phép (HTML, SMTP, …)
  • Email gateway không thực hiện lọc tất cả các đính kèm bởi virus
1
  • Không có firewall
  • Email gateway không lọc bất kì đính kèm nào.

3. Các mức cảnh báo:

Sử dụng công thức đưa ra như trên, bộ chỉ thị cảnh báo được tạo ra ở các mức độ quan trọng như sau
Mức cảnh báo Giá trị tính được
Xanh lá – Low -8 ~ -5
Xanh dương – Gaurded -4 ~ -2
Vàng – Elevated -1 ~ +2
Cam –High +3 ~ +5
Đỏ – Severe +6 ~ +8

Nguồn Blog
http://mcle8.wordpress.com/2013/01/

Chú Ý:

Coppy phải ghi rõ nguồn Dương-UG Blog's
 

0 nhận xét:

Đăng nhận xét

:) :( :)) :(( =))

Copyright © Dương-UG Blog's - Nguyễn Bình Dương