• Thứ Năm, 02/12/2004 10:24 (GMT+7)

    CERT: đội phản ứng nhanh an ninh mạng máy tính


    Lịch sử hình thành CERT (Computer Emergency Response Team)

    Tháng 12/1988, sau khi xảy ra sự cố một sâu (worm) máy tính được phát tán và lây lan khoảng 10% số lượng máy tính kết nối vào Internet trong thời gian ngắn, văn phòng DARPA (The Defense Applied Research Projects Agency - thuộc BQP Mỹ) đã quyết định thành lập Trung tâm Phản Ứng Nhanh Sự Cố Mạng Máy Tính, viết tắt là CERT Coordination Center trực thuộc Học Viện Công Nghệ Phần Mềm (SEI - www.sei.cmu.edu) tọa lạc tại trường ĐH Carnegie Mellon, thành phố Pittsburgh, bang Pennsylvania, Mỹ. Các chương trình hoạt động của CERT Coordination Center (CERT/CC) là một phần trong chương trình An Toàn Mạng Máy Tính (NSS - Networked Systems Survivability). Mục đích của chương trình này nhằm đảm bảo tính tối ưu trong việc áp dụng các công nghệ hiện đại kết hợp với kinh nghiệm thực tế trong quản lý hệ thống thông tin từ đó hạn chế tối đa những cuộc tấn công trên mạng, giảm thiểu tổn thất đồng thời đảm bảo sự hoạt động thông suốt liên tục của các hệ thống bất chấp mức độ xâm hại của những cuộc tấn công.

    Bài viết này giới thiệu sơ lược về mô hình CERT, những dịch vụ của nó, nhằm giúp bạn đọc có cái nhìn tổng quan về một hệ thống an ninh mạng hoạt động hiệu quả.

    Các nghiệp vụ điển hình

    Mục đích chính của CERT là tập trung vào khía cạnh kĩ thuật bảo mật máy tính trên Internet, có nghĩa là CERT tập trung nghiên cứu 'cái gì xảy ra' và 'làm thế nào', chứ không quan tâm đến những vấn đề như 'ai thực hiện' và 'tại sao' xảy ra. Những mô hình CERT trên thế giới thường cung cấp các dịch vụ sau:

     Hỗ trợ, tư vấn giải pháp kĩ thuật cho các đơn vị, doanh nghiệp, tổ chức, cá nhân gặp sự cố trên mạng.

     Phân tích những điểm yếu của các phần mềm, hệ thống liên kết trên mạng máy tính. Đồng thời phân tích xu hướng phát triển của các sự cố máy tính và phương thức thực hiện của các cuộc xâm hại.

     Hỗ trợ các nhà quản trị hệ thống mạng tăng mức độ an toàn cho hệ thống của họ thông qua việc nêu ra những điểm yếu, sơ hở cập nhật mới nhất trên trang web của CERT. Tuy nhiên cần đảm bảo an toàn thông tin nhằm hạn chế sự lợi dụng nó vào mục đích xấu.

     Hỗ trợ thành lập các đội phòng chống tội phạm trên mạng cho các doanh nghiệp, tổ chức. Phối hợp hoạt động của các đội an ninh mạng cùng với các chuyên gia nhằm đối phó lại sự cố có phạm vi lớn.

     Cung cấp tài liệu, mở những khóa đào tạo chuyên nghiệp cho các nhà quản trị hệ thống thông tin và an ninh mạng. Đồng thời phổ biến kiến thức cho cộng đồng những người sử dụng mạng nhằm tăng mức độ quan tâm của mọi người về vấn đề bảo mật mạng máy tính.

     Nghiên cứu những nguyên nhân của lỗ hổng bảo mật, phương thức phòng chống, phương thức tăng cường khả năng bảo mật và đảm bảo hoạt động thông suốt của các hệ thống mạng phạm vi lớn, nhỏ.

    Mô hình hoạt động

    Hình 1 là mô hình hoạt động điển hình của CERT/CC, tham khảo tại www.cert.org, thuộc ĐH Carnegie Mellon.

    Mô hình hoạt động của CERT nói chung cần có sự phối hợp và hỗ trợ của nhiều tổ chức, đặc biệt là các tổ chức chính phủ; các cơ quan quản lý mạng Internet của vùng. Đội ngũ chính tham gia CERT là các chuyên gia giỏi có kinh nghiệm, đặc biệt ở lĩnh vực bảo mật máy tính. Ngoài mô hình chính hoạt động ở trung tâm, CERT cần phối hợp với các đơn vị, tổ chức khác để hình thành các đơn vị phản ứng nhanh ở cấp thấp hơn được bố trí tại chỗ nhằm tăng hiệu quả hoạt động. Về cơ bản, hoạt động của CERT thể hiện qua mô hình ở hình 1 bao gồm 3 bộ phận chính: Vulnerability Handling (xử lý các điểm yếu bảo mật), Artifact Analysis (phân tích các yếu tố liên quan) và Incident Handling (xử lý sự cố). Những bộ phận này hoạt động hỗ tương với nhau.

    Bộ phận xử lý điểm yếu bảo mật (Vulnerability Handling)

    Bộ phận này chủ yếu tập trung phân tích những yếu điểm, sơ hở của các hệ thống trên Internet bằng cách tiếp nhận những thông báo về lỗi bảo mật trực tiếp từ người dùng Internet, hoặc có đội ngũ theo dõi và thu thập các thông tin liên quan đến các vấn đề bảo mật từ các nguồn tin trực tuyến như các dịch vụ mail công cộng, các trang web, các hệ thống theo dõi, firewall... Sau đó xác nhận và phân tích các thông báo lỗi nhằm phân định mức độ đúng đắn của chúng: có thật sự là lỗi bảo mật không; mức độ ảnh hưởng và tác hại của nó; những hệ thống nào bị ảnh hưởng; những chương trình/mã nguồn khai thác có được công bố rộng khắp không, và lỗi có đang được khai thác trên mạng chưa... Kế đến, bộ phận sẽ liên hệ với tác giả thông báo lỗi, chủ nhân hệ thống bị lỗi và các chuyên gia khác để tìm hiểu sâu hơn về lỗi bảo mật đó, xây dựng các giải pháp phòng chống và sửa lỗi. Cuối cùng là công bố rộng rãi những thông tin liên quan đến lỗi mới phát hiện kèm với các kết quả nghiên cứu, biện pháp khắc phục và cập nhật vào cơ sở dữ liệu lỗi bảo mật của CERT.

    Bộ phận phân tích thông tin (Artifact Analysis)

    Bộ phận này tập trung phân tích mã nguồn của các chương trình mà kẻ tấn công tạo ra và sử dụng với mục đích khai thác những sơ hở, như mã nguồn của các virus máy tính, trojan, backdoor, các script khai thác viết bằng các ngôn ngữ web thông dụng. Từ đó tìm hiểu mục đích của đoạn mã, chúng khai thác lỗi bảo mật nào, làm sao để khắc phục hoặc chống lại, đối tượng bị khai thác là ai, hệ thống nào... Kết quả sau khi phân tích là danh mục các lỗi tìm được kèm thông tin phân tích chi tiết của chúng. Đồng thời xây dựng các bảng đánh giá và dự đoán trước xu hướng phát triển, tính năng của các loại mã nguy hiểm.

    Bộ phận xử lý sự cố (Incident Handling)

    Tương tự bộ phận xử lý điểm yếu bảo mật, nhưng sâu hơn về kĩ thuật. Bộ phận này thực hiện việc đo lường mức độ xâm hại, trợ giúp khắc phục các điểm yếu và thiệt hại thông qua việc tiếp nhận các thông báo, báo cáo liên quan đến bảo mật máy tính từ các site trên Internet, gồm những thông tin chi tiết về số lượng các lần tấn công, dò tìm, duyệt cổng; số lượng các lần tấn công thành công và đoạt được quyền điều khiển hệ thống, tấn công từ chối dịch vụ và các kiểu khác; các loại công cụ, kiểu tấn công mới... Sẵn sàng hỗ trợ liên tục trực tuyến 24/24 đối với các trường hợp như: các hành động có tiềm năng hoặc nguy cơ gây tác hại đến an ninh mạng nói chung hoặc có sự đe dọa hoặc tấn công đối với cơ sở hạ tầng mạng Internet, cụ thể là nhắm vào các máy chủ chính (root) và các máy chủ quản lý thông tin DNS, các cơ sở/thiết bị định tuyến (router), các trang web dữ liệu chính của Internet, các điểm truy cập mạng. Đây là các thành phần cơ sở chiếm vị trí rất quan trọng xây dựng nên nền tảng Internet nên nếu chúng bị tổn hại sẽ gây ảnh hưởng nghiêm trọng đến hoạt động của mạng Internet. Ngoài ra, bộ phận này có khả năng xử lý những cuộc tấn công đồng loạt được thực hiện tự động có ảnh hưởng trên phạm vi lớn, nhiều điểm, nhiều trang web, đặc biệt đối với các cơ sở Internet của chính phủ.

    Phối hợp với bộ phận phân tích thông tin để phân tích các thông báo, báo cáo về bảo mật máy tính nhằm xác định rõ phương thức tấn công, định vị chính xác tầm mức, phạm vi ảnh hưởng của chúng và rút ra những kinh nghiệm từ cuộc tấn công như: những kiểu tấn công mới, sự thay đổi trong tần suất của các phương thức tấn công, những yêu cầu cần có để hình thành các cách thức phòng chống mới...

    Cuối cùng là thông báo trên cộng đồng mạng Internet những thông tin về thực trạng hoạt động của nhóm CERT; những thông tin bảo mật mới, những phương thức tấn công mới; cách thức phát hiện và phục hồi khi gặp sự cố; cách thức thiết lập các hệ thống phòng thủ chống lại các cuộc tấn công trong tương lai; các tài liệu kĩ thuật khác.

    Qui trình thông báo, xử lý sự cố

    Nhóm CERT định nghĩa
     một qui trình chuyên biệt phục vụ trong suốt quá trình làm việc, từ nhận cảnh báo, xử lý và đáp ứng sự cố. Qui trình này bao gồm tập hợp qui định chung, các mẫu biểu để người dùng Internet dùng để thông báo, tài liệu hướng dẫn...

    1. Qui trình nhận diện và đáp ứng sự cố:

    Về cơ bản, sau khi nhận báo cáo về sự cố từ các nguồn khác nhau, qui trình thực hiện sẽ bao gồm các bước sau:

     Định danh sự cố: Bộ phận nhận thông báo (theo vùng và tại trung tâm chính) sẽ chịu trách nhiệm kiểm soát mức độ tin cậy của thông báo, của nguồn thông tin, người gởi thông báo... và đánh giá sơ bộ mức độ nguy hại của sự cố. Nếu xác định là sự cố nghiêm trọng, cần nâng mức cảnh báo lên cao và thông báo trực tiếp lên bộ phận quản lý trung tâm.

     Phân tích đánh giá sự cố: Từ thông tin nhận được, bộ phận phân tích sẽ đánh giá chính xác mức độ nghiêm trọng của sự cố phân loại theo các cấp độ từ thấp đến cao như sau:

    - Cấp 1: Sự cố về virus máy tính có mức độ ảnh hưởng không nghiêm trọng, ít tính phá hoại; sử dụng tài khoản thông thường không được phép.

    - Cấp 2: Sử dụng và thay đổi thông tin riêng của các tài khoản quan trọng (system/root) không được phép; lấy cắp thông tin quan trọng; chỉnh sửa, xóa nội dung trên trang chủ và dữ liệu khác trong trang web.

    - Cấp 3: Tạo và phát tán virus máy tính đến nhiều vùng, trên nhiều trang web; sử dụng hệ thống thư tín (mail) không được phép.

    - Cấp 4: Chiếm quyền điều khiển ứng dụng web quản lý nhiều trang quan trọng; chiếm quyền điều khiển bộ định tuyến (router) của hệ thống mạng.

    Việc đánh giá các cấp độ của sự cố cũng cần liên hệ tới yếu tố kinh doanh và các yếu tố khách quan khác phụ thuộc vào địa điểm và thời gian xảy ra sự cố. Do đó, những cấp độ ở trên có thể không phù hợp trong những hoàn cảnh nhất định, vì vậy cần xác định rõ những yếu tố áp dụng để đánh giá và phân cấp.

     Hồi đáp sự cố: Sau khi phân tích chi tiết sự cố, bộ phận đáp ứng nhanh sẽ áp dụng theo mẫu chuẩn định sẵn và các qui định chung khác để phản hồi cho phía thông báo sự cố. Các mẫu này bao gồm các thông tin như:

    - Mức độ (hoặc độ ưu tiên) của sự cố

    - Phạm vi cần được cảnh báo

    - Mô tả chi tiết sự cố

    - Mức ảnh hưởng

    - Những đề xuất cần thực hiện ngay

    - Những thông tin bổ trợ khác phục vụ cho việc xử lý sự cố

    - Những yêu cầu thông báo khác (nếu cần)

     Theo dõi, giám sát: Tình trạng sự cố cần được theo dõi liên tục để đảm bảo tính hiệu quả của việc đáp ứng, từ khi bắt đầu cho đến lúc giải quyết xong sự cố. Việc liên lạc giữa các bên có thể thực hiện thông qua các phương tiện liên lạc như: điện thoại, email...

     Kiểm duyệt: Sau khi giải quyết xong sự cố, bộ phận kiểm duyệt cần kiểm tra lại toàn bộ qui trình làm việc để đảm bảo qui trình được tuân thủ nghiêm ngặt; các chi tiết, tài liệu, giấy tờ liên quan từ đầu đến khi giải quyết xong sự cố cần được lưu trữ, tổng hợp để đánh giá tiến độ và tính hiệu quả; rút ra bài học kinh nghiệm (nếu có) từ đó tiếp tục hoàn thiện qui trình.

    2. Qui trình công bố sơ hở bảo mật, sự cố:

    Thiết lập cơ sở hạ tầng (máy chủ lưu trữ cơ sở dữ liệu lỗi bảo mật và sự cố, các tài liệu thuộc qui trình làm việc...), hệ thống mạng, tên miền, trang web.

     Phối hợp các bên liên quan để thống nhất những chi tiết sẽ được công bố trên cộng đồng Internet.

     Công bố lỗi bảo mật lên trang chủ, các danh sách mail công cộng của nhóm, báo chí và các phương tiện truyền thông có liên quan khác.

     Theo dõi và đóng thông báo khi đã công bố theo lượng thời gian nhất định.

     Hỗ trợ các tài liệu kĩ thuật cập nhật mới nhất trên web hoặc thông qua các cuộc hội thảo, các khóa đào tạo về an ninh mạng máy tính.

    Nguyễn Văn Sơn
    Email:
    sonnv@cybersoft-vn.com 

     

    CÁC MÔ HÌNH CERT THAM KHẢO

     

     

    www.cert.org
    www.us-cert.gov
    www.auscert.org.au
    www.jpcert.or.jp
    www.thaicert.nectec.or.th

     

    ID: A0410_102