G
gamepro
Guest
Giới thiệu module Competitive Intelligence Review trong chuẩn OSSTMM.
G
- gamepro
- 2.564 Lượt xem
Giới thiệu module Competitive Intelligence Review trong chuẩn OSSTMM.
Bài viết trước mình đã giới thiệu các thành phần trong chuẩn OSSTMM để các bạn có được cái nhìn tổng quan về các phương pháp kiểm tra an ninh trong chuẩn này. Bắt đầu từ bài này mình sẽ đi sâu vào giới thiệu các module kiểm tra an ninh trong chuẩn OSSTMM.
Để kiểm tra an ninh cho bất cứ hệ thống thông tin nào thì người kiểm tra hay các chuyên gia an ninh mạng đều phải tuân thủ theo những tiêu chuẩn nhất định được công nhận bởi cộng đồng để đảm bảo phát hiện sớm và đầy đủ nhất các mối đe dọa an ninh với các doanh nghiệp cơ quan chủ thể của hạ tầng thông tin được kiểm tra. Qua đó đưa ra những giải pháp tốt nhất để khắc phục những lỗ hổng an ninh.
1.Giới thiệu Competitive Intelligence Review
Competitive Intelligence Review là modul đầu tiên của section Information Security mà mình đã giới thiệu trong bài viết trước. Đây là modul xác định những nguy cơ an ninh có thể gặp phải với hạ tầng thông tin của doanh nghiệp. Quá trình bao gồm nhiều bước kiểm tra nhiều hạng mục trong hệ thống thông tin như: dịch vụ public (web), dịch vụ sử dụng cho mạng nội bộ (FTP), dịch vụ đặt trong mô trường DMZ (mail).
2. Các hạng mục kiểm tra:
2.1, Sơ đồ cấu trúc thư mục webserver:
Thông thường khi deloy một server chạy dịch vụ web kỹ thuật viên thường để mặc định là đường dẫn khi cài webserver, chính vì vậy hacker có thể lần ra thư mục gốc của website và các giá trị của thư mục đó để khai thác trong quá trình scanning hệ thống. Các tham số phân quyền cho như các giá trị truy cập (read, write, execute) cũng tiềm ẩn nguy cơ cho hacker khai thác nếu không được phân quyền chặt chẽ.
2.2, Sơ đồ cấu trúc thư mục FTP server:
Việc chia sẻ thư mục, file, tài liệu trong bất cứ doang nghiệp nào là một nhu cầu thiết yếu nhưng lại tồn tại nhiều nguy cơ an ninh phát sinh như: cách phân quyền không chặt chẽ các thư mục chia sẻ, quản lý user truy cập. Với mỗi user chỉ được cho phép truy cập vào đúng thư mục được phân quyền và cấm các user nặc danh truy cập.
Cần có chức năng nhật ký truy cập nhằm ghi lại log truy cập của các user lên hệ thống file chia sẻ để đảm bảo xác định được đối tượng chịu trách nhiệm khi có sự cố xảy ra.
2.3, Kiểm tra dịch vụ mail:
Bất cứ doanh nghiệp nào đều có hệ thống mail riêng phục vụ cho trao đổi công việc, quản lý, giao dịch.
Nội dung mail thường chứa những thông tin nhạy cảm, đây cũng là hình thức tấn công phổ biến nhất hacker sử dụng để phát tán virus/malware.
Vì hệ thống mail thường được public ra ngoài internet nên server đặt trong mạng DMZ để đảm bảo truy cập được thông tin từ mạng nội bộ và public. Cần kiểm tra phương pháp cấu hình mail server: POP, IMAP, bộ lọc spam. Giao thức sử dụng cần được mã hóa, dịch vụ webmail cần sử dụng https để tránh bị lộ thông tin trên đường truyền.
2.4, Kiểm tra cơ sở dữ liệu WHOIS tên miền đăng ký:
Tên miền là đại diện cho thương hiệu của doanh nghiệp trên internet.Việc kiểm tra thông tin hiển thị về doanh nghiệp như địa chỉ, mail đăng ký, số điện thoại trên WHOIS sẽ đảm bảo tên miền luôn được thể hiện chính xác thông tin về doanh nghiệp.
Nguy cơ mất tên miền luôn tiềm ẩn chính vì vậy cần theo dõi ra hạn tên miền cũng như tăng cường an ninh trong khâu quản lý khai thác tên miền. Luôn chọn nhà cung cấp tên miền tốt nhất và có văn bản pháp lý sở hữu khi đăng ký tên miền đó để có thể khiếu nại khi có tranh chấp nhằm tránh ảnh hưởng tới thương hiệu của doanh nghiệp.
2.5, Xác định chi phí xây dựng hạ tầng an ninh thông tin.
Một hệ thống đảm bảo mặt an ninh cần có sự đầu tư đúng đắn về hạ tầng, thiết bị an ninh như firewall, IDS/IPS.
Việc xác định đúng chi phí đầu tư ban đầu sẽ tránh thừa thiếu thiết bị khi triển khai hệ thống. Việc xác định chi phí đầu tư cần đi liền với khâu thiết kế hạ tầng thông tin.
Việc xây dựng hạ tầng an ninh hợp lý phù hợp với nhu cầu doanh nghiệp sẽ giảm thiểu các nguy cơ an ninh ảnh hưởng tới hệ thống.
Bài viết trên mình đã giới thiệu hạng mục kiểm tra an ninh là modul Competitive Intelligence Review. Trong bài viết tiếp theo mình sẽ tiếp tục giới thiệu một modul kiểm tra an ninh trong chuẩn OSSTMM.
Bài viết trước mình đã giới thiệu các thành phần trong chuẩn OSSTMM để các bạn có được cái nhìn tổng quan về các phương pháp kiểm tra an ninh trong chuẩn này. Bắt đầu từ bài này mình sẽ đi sâu vào giới thiệu các module kiểm tra an ninh trong chuẩn OSSTMM.
Để kiểm tra an ninh cho bất cứ hệ thống thông tin nào thì người kiểm tra hay các chuyên gia an ninh mạng đều phải tuân thủ theo những tiêu chuẩn nhất định được công nhận bởi cộng đồng để đảm bảo phát hiện sớm và đầy đủ nhất các mối đe dọa an ninh với các doanh nghiệp cơ quan chủ thể của hạ tầng thông tin được kiểm tra. Qua đó đưa ra những giải pháp tốt nhất để khắc phục những lỗ hổng an ninh.
1.Giới thiệu Competitive Intelligence Review
Competitive Intelligence Review là modul đầu tiên của section Information Security mà mình đã giới thiệu trong bài viết trước. Đây là modul xác định những nguy cơ an ninh có thể gặp phải với hạ tầng thông tin của doanh nghiệp. Quá trình bao gồm nhiều bước kiểm tra nhiều hạng mục trong hệ thống thông tin như: dịch vụ public (web), dịch vụ sử dụng cho mạng nội bộ (FTP), dịch vụ đặt trong mô trường DMZ (mail).
2. Các hạng mục kiểm tra:
2.1, Sơ đồ cấu trúc thư mục webserver:
Thông thường khi deloy một server chạy dịch vụ web kỹ thuật viên thường để mặc định là đường dẫn khi cài webserver, chính vì vậy hacker có thể lần ra thư mục gốc của website và các giá trị của thư mục đó để khai thác trong quá trình scanning hệ thống. Các tham số phân quyền cho như các giá trị truy cập (read, write, execute) cũng tiềm ẩn nguy cơ cho hacker khai thác nếu không được phân quyền chặt chẽ.
2.2, Sơ đồ cấu trúc thư mục FTP server:
Việc chia sẻ thư mục, file, tài liệu trong bất cứ doang nghiệp nào là một nhu cầu thiết yếu nhưng lại tồn tại nhiều nguy cơ an ninh phát sinh như: cách phân quyền không chặt chẽ các thư mục chia sẻ, quản lý user truy cập. Với mỗi user chỉ được cho phép truy cập vào đúng thư mục được phân quyền và cấm các user nặc danh truy cập.
Cần có chức năng nhật ký truy cập nhằm ghi lại log truy cập của các user lên hệ thống file chia sẻ để đảm bảo xác định được đối tượng chịu trách nhiệm khi có sự cố xảy ra.
2.3, Kiểm tra dịch vụ mail:
Bất cứ doanh nghiệp nào đều có hệ thống mail riêng phục vụ cho trao đổi công việc, quản lý, giao dịch.
Nội dung mail thường chứa những thông tin nhạy cảm, đây cũng là hình thức tấn công phổ biến nhất hacker sử dụng để phát tán virus/malware.
Vì hệ thống mail thường được public ra ngoài internet nên server đặt trong mạng DMZ để đảm bảo truy cập được thông tin từ mạng nội bộ và public. Cần kiểm tra phương pháp cấu hình mail server: POP, IMAP, bộ lọc spam. Giao thức sử dụng cần được mã hóa, dịch vụ webmail cần sử dụng https để tránh bị lộ thông tin trên đường truyền.
2.4, Kiểm tra cơ sở dữ liệu WHOIS tên miền đăng ký:
Tên miền là đại diện cho thương hiệu của doanh nghiệp trên internet.Việc kiểm tra thông tin hiển thị về doanh nghiệp như địa chỉ, mail đăng ký, số điện thoại trên WHOIS sẽ đảm bảo tên miền luôn được thể hiện chính xác thông tin về doanh nghiệp.
Nguy cơ mất tên miền luôn tiềm ẩn chính vì vậy cần theo dõi ra hạn tên miền cũng như tăng cường an ninh trong khâu quản lý khai thác tên miền. Luôn chọn nhà cung cấp tên miền tốt nhất và có văn bản pháp lý sở hữu khi đăng ký tên miền đó để có thể khiếu nại khi có tranh chấp nhằm tránh ảnh hưởng tới thương hiệu của doanh nghiệp.
2.5, Xác định chi phí xây dựng hạ tầng an ninh thông tin.
Một hệ thống đảm bảo mặt an ninh cần có sự đầu tư đúng đắn về hạ tầng, thiết bị an ninh như firewall, IDS/IPS.
Việc xác định đúng chi phí đầu tư ban đầu sẽ tránh thừa thiếu thiết bị khi triển khai hệ thống. Việc xác định chi phí đầu tư cần đi liền với khâu thiết kế hạ tầng thông tin.
Việc xây dựng hạ tầng an ninh hợp lý phù hợp với nhu cầu doanh nghiệp sẽ giảm thiểu các nguy cơ an ninh ảnh hưởng tới hệ thống.
Bài viết trên mình đã giới thiệu hạng mục kiểm tra an ninh là modul Competitive Intelligence Review. Trong bài viết tiếp theo mình sẽ tiếp tục giới thiệu một modul kiểm tra an ninh trong chuẩn OSSTMM.
Chỉnh sửa lần cuối bởi người điều hành: