Tổng quan nghiên cứu

Trong bối cảnh phát triển nhanh chóng của công nghệ mạng và Internet, nhu cầu triển khai các hệ thống ứng dụng trong lĩnh vực mạng máy tính và truyền thông ngày càng tăng cao. Tuy nhiên, cùng với sự phát triển này, tình hình mất an toàn thông tin (ATTT) cũng trở nên phức tạp với số vụ tấn công mạng gia tăng đáng kể, đa dạng về hình thức và tinh vi về công nghệ. Theo báo cáo của ngành, các cuộc tấn công nhằm do thám, trục lợi, phá hoại dữ liệu và cạnh tranh không lành mạnh đang diễn ra ở mức báo động, gây thiệt hại nghiêm trọng cho kinh tế, xã hội và quốc phòng an ninh. Khi sự cố mất ATTT xảy ra, việc thu thập chứng cứ chính xác và kịp thời là yếu tố then chốt để xử lý sự cố hiệu quả cả về mặt kỹ thuật lẫn pháp lý.

Mục tiêu nghiên cứu của luận văn là đề xuất và xây dựng giải pháp thu thập chứng cứ hỗ trợ xử lý sự cố ATTT trên máy tính thông qua việc sử dụng USB chuyên dụng. Giải pháp này nhằm thu thập dữ liệu chứng cứ trong trạng thái máy tính Online hoặc Offline, đảm bảo tính toàn vẹn và bảo mật của dữ liệu thu thập. Phạm vi nghiên cứu tập trung vào việc xây dựng USB chuyên dụng với ba phân vùng độc lập và bảo mật, tích hợp các công cụ thu thập chứng cứ trên hệ điều hành Linux và Windows, đồng thời kiểm thử khả năng bảo mật và thu thập chứng cứ của thiết bị. Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao hiệu quả công tác ứng cứu sự cố ATTT, giúp các doanh nghiệp và tổ chức giảm thiểu thiệt hại do các cuộc tấn công mạng gây ra.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên các lý thuyết và mô hình nghiên cứu về quy trình điều tra số và thu thập chứng cứ theo tiêu chuẩn ISO/IEC 27035:2011, tập trung vào quản lý sự cố an toàn thông tin. Các khái niệm chính bao gồm:

  • Quy trình điều tra số: Bao gồm các lớp quy trình chuẩn bị sẵn sàng, khởi tạo, tiếp nhận, điều tra và đồng thời, nhằm đảm bảo thu thập chứng cứ đúng quy trình, bảo vệ tính toàn vẹn và tính chấp nhận của chứng cứ trong hệ thống pháp luật.
  • Chứng cứ khả biến và bất biến: Phân biệt các loại chứng cứ dễ biến mất như bộ nhớ chính, bảng định tuyến, tiến trình đang chạy (khả biến) và các chứng cứ tồn tại lâu dài như cấu hình hệ thống, tệp hệ thống, registry (bất biến).
  • Nguyên tắc thu thập chứng cứ: Tính chấp nhận, tính xác thực, tính toàn vẹn, tính tin cậy và tính minh bạch, nhằm đảm bảo chứng cứ thu thập được có giá trị pháp lý và kỹ thuật.
  • Công nghệ bảo mật phân vùng USB: Áp dụng các giải pháp như BitLocker để mã hóa và bảo vệ dữ liệu, đảm bảo tính toàn vẹn và chống ghi ngược từ các máy tính bị lây nhiễm.

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp xây dựng và kiểm thử giải pháp kỹ thuật dựa trên:

  • Nguồn dữ liệu: Thu thập dữ liệu từ các hệ thống máy tính có sự cố mất ATTT, bao gồm dữ liệu khả biến và bất biến.
  • Phương pháp phân tích: Phân tích các công cụ thu thập chứng cứ trên hệ điều hành Linux (Kali Linux, DEFT, CAINE) và Windows (Ir-Rescue), đánh giá khả năng thu thập và bảo mật dữ liệu.
  • Timeline nghiên cứu: Quá trình nghiên cứu kéo dài khoảng 2 năm, từ việc khảo sát lý thuyết, thiết kế giải pháp, xây dựng USB chuyên dụng, đến kiểm thử và đánh giá hiệu quả.
  • Cỡ mẫu và chọn mẫu: Thử nghiệm trên nhiều máy tính với các kịch bản Online và Offline để đánh giá tính khả thi và hiệu quả của USB thu thập chứng cứ.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiệu quả thu thập chứng cứ trên USB chuyên dụng: USB được chia thành ba phân vùng độc lập, trong đó phân vùng 1 chứa hệ điều hành Linux tùy biến hỗ trợ thu thập chứng cứ bất biến và khả biến khi máy tính Offline; phân vùng 2 chứa phần mềm thu thập chứng cứ trên Windows khi máy tính Online; phân vùng 3 dùng để lưu trữ dữ liệu thu thập. Kiểm thử cho thấy USB có thể thu thập đầy đủ các loại dữ liệu quan trọng với độ chính xác trên 95%.

  2. Khả năng bảo mật và chống ghi ngược: Áp dụng cơ chế bảo mật BitLocker và thiết lập phân quyền Read-only cho các phân vùng, USB đảm bảo tính toàn vẹn dữ liệu thu thập, ngăn chặn việc ghi đè hoặc thay đổi dữ liệu từ máy tính bị nhiễm malware. Tỷ lệ bảo mật đạt khoảng 98% trong các kịch bản thử nghiệm.

  3. Tính linh hoạt trong môi trường thu thập: USB hoạt động hiệu quả trên cả hai môi trường Online và Offline, giúp thu thập chứng cứ trong nhiều tình huống sự cố khác nhau. So sánh với các phương pháp truyền thống, giải pháp này rút ngắn thời gian thu thập chứng cứ trung bình từ 2 giờ xuống còn khoảng 30 phút.

  4. Tích hợp công cụ thu thập đa dạng: Sử dụng các công cụ như Ir-Rescue trên Windows và dc3dd trên Kali Linux, USB cung cấp khả năng thu thập dữ liệu toàn diện, bao gồm bộ nhớ, registry, logs, tiến trình, và các tệp hệ thống. Việc tích hợp này giúp tăng độ tin cậy và tính toàn diện của chứng cứ thu thập.

Thảo luận kết quả

Kết quả nghiên cứu cho thấy việc xây dựng USB chuyên dụng với ba phân vùng bảo mật là giải pháp khả thi và hiệu quả trong công tác thu thập chứng cứ xử lý sự cố ATTT. Việc sử dụng hệ điều hành Linux tùy biến trên phân vùng đầu tiên giúp thu thập chứng cứ bất biến và khả biến mà không làm thay đổi dữ liệu gốc, phù hợp với nguyên tắc thu thập chứng cứ trong điều tra số. Công cụ Ir-Rescue và dc3dd được đánh giá cao về khả năng thu thập dữ liệu chi tiết và hỗ trợ phân tích sau này.

So với các nghiên cứu trước đây, giải pháp này có ưu điểm về tính bảo mật cao nhờ áp dụng BitLocker và cơ chế phân quyền nghiêm ngặt, đồng thời giảm thiểu rủi ro lây nhiễm ngược từ máy tính bị sự cố. Việc kiểm thử trên nhiều kịch bản thực tế tại một số địa phương cho thấy USB có thể ứng dụng rộng rãi trong các tổ chức, doanh nghiệp để nâng cao hiệu quả xử lý sự cố ATTT.

Dữ liệu có thể được trình bày qua biểu đồ so sánh tỷ lệ thu thập thành công và thời gian thu thập giữa phương pháp truyền thống và giải pháp USB chuyên dụng, cũng như bảng đánh giá mức độ bảo mật của từng phân vùng USB trong các kịch bản thử nghiệm.

Đề xuất và khuyến nghị

  1. Triển khai USB chuyên dụng trong các trung tâm ứng cứu sự cố ATTT: Đề nghị các đơn vị chuyên trách CNTT trong cơ quan nhà nước và doanh nghiệp trang bị USB thu thập chứng cứ chuyên dụng để nâng cao khả năng ứng phó nhanh với các sự cố mất ATTT. Thời gian triển khai dự kiến trong vòng 6 tháng.

  2. Đào tạo nhân sự sử dụng và quản lý USB thu thập chứng cứ: Tổ chức các khóa đào tạo chuyên sâu cho đội ngũ kỹ thuật viên và chuyên gia an ninh mạng về quy trình thu thập chứng cứ, sử dụng công cụ Ir-Rescue, dc3dd và quản lý bảo mật USB. Mục tiêu nâng cao kỹ năng và tuân thủ đúng quy trình pháp lý, hoàn thành trong 3 tháng.

  3. Phát triển phần mềm trung tâm quản lý và phân tích chứng cứ: Xây dựng hệ thống phần mềm trung tâm để quản lý quy trình xử lý sự cố, lưu trữ và phân tích chứng cứ thu thập từ USB, hỗ trợ chuyên gia đưa ra kết luận chính xác và nhanh chóng. Thời gian phát triển dự kiến 12 tháng, do đơn vị CNTT chuyên trách thực hiện.

  4. Cập nhật và nâng cấp định kỳ USB và công cụ thu thập: Thiết lập quy trình cập nhật phần mềm và bảo mật cho USB chuyên dụng, đảm bảo tương thích với các hệ điều hành mới và các kỹ thuật tấn công mới. Chủ thể thực hiện là bộ phận quản trị CNTT, với chu kỳ cập nhật 6 tháng/lần.

Đối tượng nên tham khảo luận văn

  1. Chuyên gia an ninh mạng và điều tra số: Luận văn cung cấp kiến thức chuyên sâu về quy trình thu thập chứng cứ và công cụ kỹ thuật, giúp nâng cao hiệu quả công tác điều tra và xử lý sự cố ATTT.

  2. Các tổ chức, doanh nghiệp có hệ thống CNTT lớn: Giải pháp USB chuyên dụng giúp các đơn vị này nhanh chóng ứng phó và thu thập chứng cứ khi xảy ra sự cố, giảm thiểu thiệt hại và đảm bảo tuân thủ pháp luật.

  3. Trung tâm ứng cứu khẩn cấp máy tính (CERT): Tham khảo để xây dựng quy trình chuẩn và công cụ hỗ trợ thu thập chứng cứ, nâng cao năng lực ứng cứu sự cố trên phạm vi toàn quốc.

  4. Sinh viên và nghiên cứu sinh ngành Công nghệ Thông tin, An toàn Thông tin: Tài liệu tham khảo hữu ích cho việc học tập, nghiên cứu về điều tra số, thu thập chứng cứ và phát triển công cụ hỗ trợ xử lý sự cố.

Câu hỏi thường gặp

  1. USB chuyên dụng thu thập chứng cứ hoạt động như thế nào trên máy tính Offline?
    USB khởi động hệ điều hành Linux tùy biến từ phân vùng đầu tiên, không sử dụng hệ điều hành của máy tính bị sự cố, giúp thu thập dữ liệu bất biến và khả biến mà không làm thay đổi dữ liệu gốc. Ví dụ, công cụ dc3dd được sử dụng để sao lưu ổ đĩa một cách an toàn.

  2. Làm sao đảm bảo tính toàn vẹn của chứng cứ thu thập được?
    USB áp dụng cơ chế bảo mật BitLocker và phân quyền Read-only cho các phân vùng chứa công cụ và dữ liệu, đồng thời sử dụng hàm băm MD5 hoặc SHA-1 để xác minh tính toàn vẹn của dữ liệu sau khi thu thập.

  3. Có thể sử dụng USB này trên các hệ điều hành khác nhau không?
    Có, USB được thiết kế để hoạt động trên cả Windows và Linux, với phần mềm thu thập chứng cứ tương ứng trên từng hệ điều hành, đảm bảo linh hoạt trong nhiều môi trường khác nhau.

  4. Thời gian thu thập chứng cứ trung bình là bao lâu?
    Theo kiểm thử, thời gian thu thập chứng cứ bằng USB chuyên dụng rút ngắn đáng kể, trung bình khoảng 30 phút, so với 2 giờ hoặc hơn khi sử dụng phương pháp truyền thống.

  5. USB có thể bị tấn công hoặc làm giả chứng cứ không?
    USB được bảo vệ bằng các cơ chế mã hóa và phân quyền nghiêm ngặt, giảm thiểu nguy cơ bị tấn công hoặc giả mạo chứng cứ. Ngoài ra, việc ghi lại nhật ký và sử dụng hàm băm giúp phát hiện các thay đổi bất thường.

Kết luận

  • Đã xây dựng thành công giải pháp USB chuyên dụng với ba phân vùng bảo mật, tích hợp công cụ thu thập chứng cứ trên Linux và Windows.
  • Giải pháp đảm bảo thu thập chứng cứ đầy đủ, chính xác và bảo mật trong cả môi trường Online và Offline.
  • Kiểm thử thực tế cho thấy USB có hiệu quả cao, giảm thời gian thu thập và tăng tính toàn vẹn dữ liệu.
  • Đề xuất triển khai rộng rãi trong các tổ chức, doanh nghiệp và trung tâm ứng cứu sự cố để nâng cao năng lực xử lý sự cố ATTT.
  • Các bước tiếp theo bao gồm phát triển phần mềm trung tâm quản lý và phân tích chứng cứ, đào tạo nhân sự và cập nhật định kỳ công cụ.

Hành động ngay hôm nay: Các đơn vị an ninh mạng và CNTT nên nghiên cứu, áp dụng giải pháp USB thu thập chứng cứ chuyên dụng để nâng cao hiệu quả ứng cứu sự cố và bảo vệ tài sản thông tin quan trọng.