Chương 1. CÁC HIỂM HỌA VỀ AN NINH HỆ THỐNG THÔNG TIN 1. TỔNG QUAN VỀ CÁC HIỂM HỌA Các hệ thống thông tin, cơ sở dữ liệu (CSDL) của các cơ quan, tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công. Bởi đây là nơi lưu trữ các thông tin về khách hàng và nhiều dữ liệu bí mật khác.
Một trong những nguyên nhân khiến cho các CSDL dễ bị tổn thương bởi các tấn công là do các cơ quan, tổ chức, doanh nghiệp chưa có biện pháp bảo vệ đầy đủ cho tài nguyên này. Khi kẻ xấu truy nhập vào dữ liệu nhạy cảm, có thể thực hiện tất cả các công việc để gây mất mát về tài chính hoặc phá hoại danh tiếng của tổ chức, doanh nghiệp. Theo thống kê của Imperra so với năm 2013 thì các hiểm họa trong năm 2014 hầu như không khác biệt, nhưng thứ tự xếp hạng của chúng lại thay đổi. Trong đó, hai hiểm họa mới được bổ sung dựa trên các xu thế phát triển của khách hàng và thị trường, một loại hiểm họa mới là các tấn công liên quan đến mã độc.
Bảng dưới đây đưa ra mười hiểm họa hàng đầu với CSDL năm 2013 và 2014, đồng thời đưa ra thứ tự xếp hạng của chúng để thấy được sự khác biệt của các hiểm họa này trong hai năm 2013 và 2014. Xếp Những hiểm họa năm 2013 Những hiểm họa năm 2014 hạng Lạm dụng các đặc quyền vượt mức và Lạm dụng quyền vượt mức 1 các đặc quyền không còn được dùng (Excessive Privilege Abuse) (Excessive and Unused Privileges) Lạm dụng quyền hợp pháp 2 Lạm dụng đặc quyền (Privilege Abuse) (Legitimate Privilege Abuse) Nâng cấp quyền bất hợp pháp 3 Tấn cân SQL Ịnection (Unauthorized Privilege Elevation) Lợi dụng các điểm yếu nền tảng 4 Mã độc (Mailware) (Platform Vulnerabilities) 11 TIEU LUAN MOI download : skknchat@gmail.com 5 Vết kiểm toán yếu (Weak Audit Trail) SQL Injection Lợi dụng sự sơ hở để khai thác phương Lợi dụng dấu vết kiểm toán yếu 6 tiện lưu trữ (Storage Media Exposure) (Weak Audit Trail) Khai thác các CSDL có điểm yếu và bị lỗi cấu hình (Exploitation of Tấn công từ chối dịch vụ (Denial of 7 Vulnerabilities and Misconfigured Service) Database) Lợi dụng các điểm yếu trong giao Rò rỉ các dữ liệu nhạy cảm không được thức giao tiếp cơ sở dữ liệu 8 quản lý (Unmanaged Sensitive Data) (Database Communication Protocol Vulnerabilities) Tấn công từ chối dịch vụ (Denial of Lợi dụng sự xác thực yếu (Weak 9 Service) Authentication) Sự thiếu hụt các chuyên gia an ninh và Lợi dụng sự sơ hở của dữ liệu dự 10 hạn chế trong đào tạo (Limited Security phòng (Backup Data Exposure) Expertise and Education) Bảng 1. Danh sách các dạng tấn công phổ biến trong năm 2013, 2014 Các tổ chức có thể đưa ra những giải pháp thực tế tốt hơn để bảo vệ dữ liệu của mình và xử lý những rủi ro có thể xảy ra, trong đó có mười hiểm họa hàng đầu này. Sau đây, chúng ta sẽ tìm hiểu về mười hiểm họa 2014 này.
Lạm dụng quyền vượt mức (Excessive Privilege Abuse) Khi người dùng được gán các đặc quyền truy nhập cơ sở dữ liệu vượt quá các yêu cầu trong chức năng công việc của họ, thì những đặc quyền này có thể bị lạm dụng cho các mục đích xấu. Ví dụ, một người phụ trách cơ sở dữ liệu của trường đại học với công việc là thay đổi các thông tin liên lạc của sinh viên, người này có thể lạm dụng quyền cập nhật cơ sở dữ liệu của mình để sửa đổi điểm của sinh viên (trái phép). 12 TIEU LUAN MOI download : skknchat@gmail.com Có thể đơn giản là do những quản trị viên cơ sở dữ liệu vì bận rộn với công việc quản trị của mình nên không định nghĩa và cập nhật cơ chế kiểm soát quyền truy nhập cho mỗi người dùng. Kết quả là một số lượng lớn người dùng được gán các đặc quyền truy nhập mặc định vượt xa so với yêu cầu công việc của họ.
Ngăn chặn lạm dụng quyền vượt mức – Bằng kiểm soát truy nhập mức truy vấn Sử dụng cơ chế kiểm soát truy nhập mức truy vấn (Query-level) sẽ hạn chế các đặc quyền cơ sở dữ liệu bằng những toán tử SQL (SELECT, UPDATE,…) và dữ liệu được yêu cầu một cách tối thiểu. Trong ví dụ trên, nếu sử dụng cơ chế kiểm soát truy nhập mức truy vấn một cách đầy đủ thì người phụ trách cơ sở dữ liệu chỉ được phép cập nhật cột thông tin liên lạc của sinh viên, và nếu anh ta cố gắng sửa đổi cột điểm thì hệ thống sẽ phát ra cảnh báo. Kiểm soát truy nhập mức truy vấn không chỉ có lợi trong việc phát hiện việc lạm dụng quyền vượt mức mà còn giúp ngăn chặn hầu hết những hành hiểm họa an toàn cơ sở dữ liệu. Lạm dụng quyền hợp pháp (Legitimate Privilege Abuse) Người dùng lạm dụng các đặc quyền hợp pháp của mình để thực hiện những mục đích không hợp pháp.
Hãy xét một nhân viên chăm sóc sức khỏe, nhân viên này có quyền xem các bản ghi liên quan đến chỉ một bệnh nhân trong cơ sở dữ liệu qua một ứng dụng Web. Tuy nhiên, thường cấu trúc của ứng dụng Web sẽ hạn chế không cho phép người dùng được xem nhiều bản ghi về lịch sử khám chữa bệnh liên quan đến nhiều bệnh nhân một cách đồng thời. Khi đó, nhân viên này có thể bỏ qua hạn chế của ứng dụng Web đó bằng cách kết nối tới cơ sở dữ liệu bằng một ứng dụng khác, chẳng hạn MS-Exel. Sử dụng MS-Exel với đăng nhập hợp lệ của mình, anh ta có thể lấy ra và lưu lại tất cả các bản ghi về các bệnh nhân trong cơ sở dữ liệu.
Ở đây, cần xét hai rủi ro. Thứ nhất là người nhân viên có mục đích xấu, người sẵn sàng bán các bản ghi thông tin bệnh nhân để lấy tiền. Thứ hai (phổ biến hơn) là người nhân viên cẩu thả, người này truy xuất và lưu trữ một lượng lớn thông tin bệnh nhân vào máy khách của họ với mục đích công việc hợp pháp. Tuy nhiên, do lơ đễnh, nhân viên này có thể để lộ dữ liệu bệnh nhân ở một máy tính đầu cuối, và nó trở thành điểm yếu cho Trojan, hay những kẻ lấy cắp máy tính,… 13 TIEU LUAN MOI download : skknchat@gmail.com Ngăn chặn lạm dụng quyền hợp pháp – Bằng cách hiểu được bối cảnh của truy nhập cơ sở dữ liệu: Giải pháp cho hiểm họa này chính là kiểm soát truy nhập cơ sở dữ liệu nhưng không chỉ bằng các truy vấn cụ thể, mà còn áp dụng cho bối cảnh xung quanh truy nhập cơ sở dữ liệu.
Bằng cách bắt buộc tuân thủ chính sách cho các ứng dụng khách, thời gian trong ngày, vị trí, … thì có thể nhận dạng được những người dùng đang sử dụng các quyền truy nhập hợp pháp của mình với hành động mờ ám, đáng nghi. Với hiểm họa này, SecureSphere sử dụng công nghệ Hồ sơ động (Dynamic Profiling) để thực hiện kiểm soát truy nhập dựa vào bối cảnh. Ngoài thông tin truy vấn, công nghệ Hồ sơ động tạo ra một mô hình của ngữ cảnh xung quanh các tương tác cơ sở dữ liệu thông thường. Thông tin về ngữ cảnh cụ thể được lưu trong profile bao gồm: thời gian trong ngày, địa chỉ IP nguồn, khối dữ liệu được truy xuất, trình khách ứng dụng,… Bất kỳ kết nối nào đến cơ sở dữ liệu mà ngữ cảnh của nó không phù hợp với thông tin được lưu trong hồ sơ của người dùng đó, thì cổng SecureSphere sẽ phát ra cảnh báo.
Chẳng hạn, người nhân viên có trong ví dụ trên sẽ bị phát hiện bởi SecureSphere không chỉ vì việc sử dụng một trình khách MS-Exel không chuẩn mà còn vì khối dữ liệu mà người dùng này truy xuất cũng không hợp lệ đối với một phiên đơn lẻ. Trong trường hợp cụ thể này, sự sai lệch trong cấu trúc của truy vấn MS-Exel không chuẩn đó, cũng gây ra một sự xâm phạm mức truy vấn. Nâng cấp quyền bất hợp pháp (Unauthorized Privilege Elevation) Kẻ tấn công có thể dựa trên các điểm yếu trong phần mềm cơ sở dữ liệu để biến quyền truy nhập của một người dùng bình thường thành quyền truy nhập của một người quản trị. Những điểm yếu này có thể tìm thấy trong các thủ tục được lưu, trong các hàm được xây dựng bên trong, trong việc thực thi giao thức, thậm chí trong các câu lệnh SQL.
Ví dụ, một nhà phát triển phần mềm ở một tổ chức tài chính có thể lợi dụng một hàm chứa điểm yếu để thu được đặc quyền quản trị cơ sở dữ liệu. Với đặc quyền quản trị này, nhà phát triển ác ý đó có thể tắt các cơ chế kiểm toán, tạo những tài khoản ma, hay chuyển tiền bất hợp pháp, … 14 TIEU LUAN MOI download : skknchat@gmail.com Ngăn chặn nâng quyền bất hợp pháp – Bằng IPS và kiểm soát truy nhập mức truy vấn Hiểm họa này có thể bị ngăn chặn bằng việc kết hợp các hệ thống ngăn chặn xâm nhập (IPS) và kiểm soát truy nhập mức truy vấn. IPS sẽ kiểm tra lưu lượng cơ sở dữ liệu để nhận ra các mẫu phù hợp với những điểm yếu đã biết. Chẳng hạn, với một hàm có điểm yếu đã biết, thì một IPS có thể chặn tất cả các truy nhập tới hàm đó, hoặc (nếu có thể) chỉ chặn những truy nhập (của các tấn công) tới hàm này.
Tuy nhiên, thật khó khăn để xác định một cách chính xác những yêu cầu truy nhập nào gắn với các tấn công khi chỉ sử dụng IPS. Bởi vì nhiều truy nhập hợp pháp vẫn sử dụng các hàm cơ sở dữ liệu chứa điểm yếu. Do đó, IPS không có tùy chọn để chặn tất cả các truy nhập đến các hàm chứa điểm yếu. IPS phải phân biệt chính xác các hàm được sử dụng hợp pháp và các hàm được sử dụng cho một tấn công nào đó.
Trong nhiều trường hợp, điều này là không thể do sự đa dạng của các tấn công, cho nên với những trường hợp như vậy, hệ thống IPS chỉ đưa ra cảnh báo (không chặn) đối với những truy nhập vào các hàm cơ sở dữ liệu chứa điểm yếu. Để cải thiện độ chính xác, IPS có thể được gắn với một bộ chỉ thị tấn công khác, chẳng hạn như kiểm soát truy nhập truy vấn. Kiểm soát truy nhập truy vấn kiểm tra xem yêu cầu truy nhập có phù hợp với hoạt động của người dùng thông thường hay không, trong khi đó IPS sẽ kiểm tra xem yêu cầu cơ sở dữ liệu này có truy nhập vào một hàm chứa điểm yếu hay không. Nếu một yêu cầu cơ sở dữ liệu có truy nhập vào một hàm chứa điểm yếu và có hoạt động bất thường thì chắc chắn có một tấn công vào cơ sở dữ liệu đang hoạt động.