Chương 3: Giải pháp kỹ thuật đối phó rủi ro trong Thương mại điện tử

Chương 3: Giải pháp kỹ thuật đối phó rủi ro thương mại điện tử. Tìm hiểu các biện pháp bảo mật, xác thực và phòng ngừa gian lận hiệu quả.

Người đăng

Ẩn danh

Thể loại

Bài giảng
46
3
0

Phí lưu trữ

30 Point

Mục lục chi tiết

3. CHƯƠNG 3: Giải pháp mang tính kỹ thuật đối phó với rủi ro trong thương mại

3.1. Nhận biết rủi ro trong TMĐT

3.2. Phân tích rủi ro trong TMĐT

3.3. Đánh giá mối đe dọa của rủi ro trong TMĐT

3.1. Nhận biết rủi ro

3.1.1. Các phương pháp nhận diện rủi ro chủ yếu

3.2. Phân tích rủi ro (Risk Analysis)

3.2. Phân tích RR theo mức độ

3.3. Đánh giá đe dọa của rủi ro

Tóm tắt

I. Tổng Quan Rủi Ro TMĐT Nhận Diện và Phân Loại 55 ký tự

Thương mại điện tử (TMĐT) ngày càng phát triển, mang lại nhiều cơ hội kinh doanh nhưng cũng tiềm ẩn không ít rủi ro thương mại điện tử. Việc nhận diện, phân loại và quản lý hiệu quả những rủi ro này là yếu tố then chốt để đảm bảo hoạt động kinh doanh trực tuyến an toàn và bền vững. Các rủi ro trong TMĐT có thể đến từ nhiều nguồn khác nhau, bao gồm các cuộc tấn công mạng TMĐT, gian lận TMĐT, các vấn đề liên quan đến bảo mật TMĐT, bảo vệ dữ liệu TMĐT, các rủi ro về thanh toán trực tuyếnrủi ro về vận chuyển. Để đối phó rủi ro TMĐT hiệu quả, doanh nghiệp cần có một chiến lược toàn diện bao gồm các biện pháp phòng ngừa rủi ro TMĐT về kỹ thuật, quy trình và pháp lý. Quan trọng nhất, nhận biết rủi ro là cốt lõi của quá trình quản trị rủi ro, giúp chủ động đánh giá mức độ rủi ro và thực hiện các biện pháp bảo vệ phòng ngừa kịp thời. Nếu một đe dọa không được nhận biết, nó không thể được kiểm soát, và một lỗ hổng không được phát hiện sớm có thể gây ra những tác động xấu đến mục tiêu của doanh nghiệp. Các phương pháp nhận diện rủi ro bao gồm sử dụng bảng hỏi phân tích rủi ro, phân tích báo cáo tài chính, kiểm tra thực tế và nghiên cứu các số liệu tổn thất trong quá khứ. Từ tài liệu gốc, 'Nhận biết rủi ro là cốt lõi của quá trình QTRR. Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí.'

1.1. Nhận diện các loại rủi ro bảo mật thông tin TMĐT

Nhận diện rủi ro bảo mật thông tin TMĐT là bước đầu tiên để phòng ngừa rủi ro TMĐT. Các loại rủi ro này bao gồm các đe dọa an toàn (security threats) và các lỗ hổng bảo mật (computing vulnerabilities). Đe dọa an toàn có thể đến từ nhiều nguồn, bao gồm tin tặc, phần mềm độc hại, và thậm chí cả nhân viên nội bộ bất mãn. Lỗ hổng bảo mật là những điểm yếu trong hệ thống có thể bị khai thác để xâm nhập và gây thiệt hại. Doanh nghiệp cần phải liên tục quét và đánh giá hệ thống của mình để phát hiện và vá các lỗ hổng bảo mật. Việc này có thể bao gồm kiểm tra mã nguồn, kiểm tra xâm nhập (penetration testing) và sử dụng các công cụ đánh giá bảo mật tự động. Ngoài ra, cần cập nhật thường xuyên các bản vá bảo mật cho hệ điều hành, phần mềm và ứng dụng để bảo vệ hệ thống khỏi các cuộc tấn công mới nhất.

1.2. Phân loại rủi ro TMĐT theo nguồn gốc và mức độ nghiêm trọng

Việc phân loại rủi ro TMĐT giúp doanh nghiệp tập trung nguồn lực vào những rủi ro quan trọng nhất. Có nhiều cách để phân loại rủi ro, ví dụ như theo nguồn gốc (ví dụ: rủi ro kỹ thuật, rủi ro tài chính, rủi ro pháp lý) hoặc theo mức độ nghiêm trọng (ví dụ: rủi ro cao, rủi ro trung bình, rủi ro thấp). Rủi ro kỹ thuật có thể bao gồm các vấn đề liên quan đến an ninh TMĐT, mã độc TMĐT, hoặc tấn công mạng TMĐT. Rủi ro tài chính có thể bao gồm gian lận TMĐT hoặc các vấn đề liên quan đến thanh toán trực tuyến. Rủi ro pháp lý có thể bao gồm các vấn đề liên quan đến tuân thủ pháp luật TMĐT hoặc chính sách bảo mật TMĐT. Sau khi phân loại rủi ro, doanh nghiệp cần đánh giá mức độ nghiêm trọng của từng rủi ro để xác định ưu tiên quản lý. Các rủi ro có mức độ nghiêm trọng cao cần được giải quyết trước.

II. Phân Tích Rủi Ro TMĐT Đánh Giá và Ưu Tiên 57 ký tự

Sau khi nhận diện, bước tiếp theo là phân tích rủi ro TMĐT. Phân tích rủi ro là quá trình đánh giá toàn diện và chi tiết các rủi ro tiềm ẩn và các lỗ hổng bảo mật. Mục tiêu của phân tích rủi ro là xác định, đánh giá và xếp hạng các rủi ro để tiết kiệm nguồn lực, giảm thiểu tổn thất và tối đa hóa việc thực hiện các cơ hội. Quy trình phân tích rủi ro bao gồm xác định phạm vi, nhận biết các đe dọa, đánh giá lỗ hổng, xác định xác suất xảy ra, xác định tổn hại, xác định cấp độ rủi ro và lập hồ sơ. Các phương pháp phân tích rủi ro bao gồm phương pháp định tính và phương pháp định lượng. Theo tài liệu gốc, 'Là thực hiện đánh giá toàn diện và chi tiết các RR tiềm ẩn và các lỗ hổng bảo mật, tính toàn vẹn, tính sẵn sàng của các thông tin…'. OWASP (The Open Web Application Security Project) đề xuất các nguyên tắc phân tích rủi ro, mức điểm từ 0 - 9, với đánh giá xác suất xảy ra trên hai yếu tố: Yếu tố đe dọa và yếu tố lỗ hổng.

2.1. Phương pháp định tính để đánh giá tác động của rủi ro TMĐT

Phương pháp định tính tập trung vào việc đánh giá tác động của rủi ro dựa trên các tiêu chí chủ quan, chẳng hạn như mức độ ảnh hưởng đến uy tín, khách hàng, hoặc hoạt động kinh doanh. Các yếu tố cần xem xét bao gồm tần suất xuất hiện của rủi ro và thời điểm xuất hiện/xảy ra. Ví dụ, rủi ro có thể được đánh giá là "thường xuyên," "hay xảy ra," "đôi khi," hoặc "hiếm khi". Tương tự, thời điểm xuất hiện có thể được đánh giá là "ngay lập tức," "rất gần," "sắp xảy ra," hoặc "rất lâu". OWASP (The Open Web Application Security Project) đề xuất các nguyên tắc phân tích rủi ro, mức điểm từ 0 - 9, với đánh giá xác suất xảy ra trên hai yếu tố: Yếu tố đe dọa: Mức độ kĩ năng đe dọa, động cơ, cơ hội, thời cơ và quy mô. Yếu tố lỗ hổng (Vulnerability factors): Nhận thức, phát hiện xâm nhập.

2.2. Ứng dụng OWASP trong phân tích rủi ro bảo mật ứng dụng TMĐT

OWASP cung cấp một bộ nguyên tắc và công cụ hữu ích để phân tích rủi ro bảo mật ứng dụng TMĐT. Các nguyên tắc này tập trung vào việc đánh giá các yếu tố đe dọa và các yếu tố lỗ hổng để xác định mức độ rủi ro. Ví dụ, OWASP khuyến nghị đánh giá mức độ kỹ năng của kẻ tấn công, động cơ tấn công, cơ hội tấn công và quy mô của nhóm tấn công. Đồng thời, OWASP cũng khuyến nghị đánh giá mức độ nhận biết về lỗ hổng, khả năng phát hiện xâm nhập và tác động của việc khai thác lỗ hổng. Bằng cách sử dụng các nguyên tắc của OWASP, doanh nghiệp có thể xác định được các rủi ro bảo mật quan trọng nhất và tập trung nguồn lực vào việc giảm thiểu các rủi ro này.

2.3. Phân tích rủi ro tài chính trong TMĐT Thất thoát và gian lận

Phân tích rủi ro tài chính trong TMĐT bao gồm việc đánh giá các nguy cơ về thất thoát tiền bạc do gian lận TMĐT, sai sót, hoặc các vấn đề liên quan đến thanh toán trực tuyến. Các loại gian lận phổ biến bao gồm gian lận thẻ tín dụng, gian lận hoàn tiền, và gian lận tài khoản. Để giảm thiểu rủi ro này, doanh nghiệp cần triển khai các biện pháp bảo mật mạnh mẽ, chẳng hạn như sử dụng cổng thanh toán an toàn, xác thực hai yếu tố TMĐT, và chữ ký số TMĐT. Ngoài ra, cần thường xuyên giám sát các giao dịch và phát hiện các hoạt động đáng ngờ. Từ tài liệu gốc, Phân tích RR theo mức độ Đánh giá tổn thất theo thang điểm từ 0 – 9 Tổn thất về kĩ thuật: được xem xét là: tính bảo mật C, tính sẵn sàng A và tính toàn vẹn I. Mục đích là ước tính độ lớn trên hệ thống nếu lỗ hổng bị khai thác.

III. Giải Pháp Kỹ Thuật TMĐT Phòng Ngừa và Đối Phó 58 ký tự

Sau khi phân tích rủi ro, doanh nghiệp cần triển khai các giải pháp kỹ thuật TMĐT để phòng ngừa rủi ro TMĐTđối phó rủi ro TMĐT khi chúng xảy ra. Các giải pháp này bao gồm việc sử dụng phần mềm bảo mật TMĐT, mã hóa dữ liệu TMĐT, bảo vệ tài khoản người dùng TMĐT, và bảo vệ giao dịch TMĐT. Ngoài ra, cần xây dựng một hệ thống giám sát và cảnh báo để phát hiện sớm các hoạt động đáng ngờ và phản ứng kịp thời. Các giải pháp kỹ thuật TMĐT cần được cập nhật thường xuyên để đối phó với các mối đe dọa mới nhất. Theo tài liệu gốc, 3 Đánh giá đe dọa của rủi ro 3. Đánh giá đe dọa của rủi ro Tầm quan trọng của đánh giá rủi ro - Đánh giá rủi ro là một hoạt động khá cần thiết và quan trọng Mục tiêu và nội dung đánh giá rủi ro, ü Đánh giá rủi ro tập trung vào việc xác định hoặc đo lường mức độ tổn thất và khả năng (hoặc xác suất) xảy ra của các nguy cơ rủi ro được nhận diện.

3.1. Triển khai tường lửa và hệ thống phát hiện xâm nhập IDS

Tường lửa và hệ thống phát hiện xâm nhập (IDS) là các công cụ quan trọng để bảo vệ hệ thống TMĐT khỏi các cuộc tấn công mạng TMĐT. Tường lửa hoạt động như một rào chắn giữa hệ thống và mạng bên ngoài, ngăn chặn các truy cập trái phép. IDS giám sát lưu lượng mạng và phát hiện các hoạt động đáng ngờ, cảnh báo cho người quản trị về các cuộc tấn công tiềm ẩn. Cần cấu hình tường lửa và IDS một cách chính xác để đảm bảo chúng hoạt động hiệu quả mà không gây cản trở hoạt động kinh doanh.

3.2. Sử dụng mã hóa dữ liệu để bảo vệ thông tin khách hàng TMĐT

Mã hóa dữ liệu TMĐT là một phương pháp hiệu quả để bảo vệ thông tin khách hàng TMĐT, chẳng hạn như số thẻ tín dụng, địa chỉ, và thông tin cá nhân. Mã hóa chuyển đổi dữ liệu thành một định dạng không thể đọc được, ngăn chặn kẻ tấn công truy cập vào thông tin nhạy cảm ngay cả khi chúng xâm nhập được vào hệ thống. Cần sử dụng các thuật toán mã hóa mạnh mẽ và quản lý khóa mã hóa một cách an toàn để đảm bảo tính bảo mật của dữ liệu.

3.3. Xác thực đa yếu tố MFA để tăng cường bảo mật tài khoản

Xác thực hai yếu tố TMĐT (MFA) hoặc xác thực đa yếu tố yêu cầu người dùng cung cấp nhiều hơn một hình thức xác minh để truy cập vào tài khoản của họ. Điều này có thể bao gồm mật khẩu, mã OTP gửi đến điện thoại, hoặc dấu vân tay. MFA làm cho việc xâm nhập vào tài khoản trở nên khó khăn hơn nhiều, ngay cả khi kẻ tấn công có được mật khẩu của người dùng. Cần khuyến khích người dùng bật MFA cho tất cả các tài khoản quan trọng, đặc biệt là tài khoản quản trị.

IV. Quản Lý Rủi Ro Thanh Toán Trực Tuyến Giải Pháp 59 ký tự

Rủi ro về thanh toán trực tuyến là một trong những mối lo ngại lớn nhất trong TMĐT. Để giảm thiểu rủi ro này, doanh nghiệp cần sử dụng cổng thanh toán an toàn, xác minh thông tin thẻ tín dụng, và theo dõi các giao dịch đáng ngờ. Ngoài ra, cần tuân thủ các tiêu chuẩn bảo mật PCI DSS (Payment Card Industry Data Security Standard) để đảm bảo an toàn cho thông tin thẻ tín dụng của khách hàng. Doanh nghiệp cũng nên cân nhắc sử dụng các dịch vụ chống gian lận để phát hiện và ngăn chặn các giao dịch gian lận. Theo tài liệu gốc, 2. Phân tích rủi ro (Risk Analysis) § Là thực hiện đánh giá toàn diện và chi tiết các RR tiềm ẩn và các lỗ hổng bảo mật, tính toàn vẹn, tính sẵn sàng của các thông tin…

4.1. Lựa chọn cổng thanh toán uy tín và bảo mật

Việc lựa chọn cổng thanh toán an toàn là rất quan trọng để đảm bảo an toàn cho các giao dịch trực tuyến. Cần chọn các cổng thanh toán đã được chứng nhận PCI DSS và có uy tín trên thị trường. Các cổng thanh toán này thường có các biện pháp bảo mật mạnh mẽ, chẳng hạn như mã hóa SSL, xác thực 3D Secure, và hệ thống phát hiện gian lận. Ngoài ra, cần kiểm tra các điều khoản và điều kiện của cổng thanh toán để đảm bảo chúng bảo vệ quyền lợi của doanh nghiệp và khách hàng.

4.2. Áp dụng các biện pháp xác thực giao dịch 3D Secure

3D Secure là một giao thức bảo mật bổ sung cho các giao dịch thẻ tín dụng trực tuyến. Giao thức này yêu cầu người dùng xác minh danh tính của họ bằng một mật khẩu hoặc mã OTP trước khi giao dịch được hoàn tất. 3D Secure giúp giảm thiểu rủi ro gian lận và bảo vệ doanh nghiệp khỏi các khoản bồi hoàn do gian lận.

4.3. Giám sát và phát hiện các giao dịch gian lận

Cần thường xuyên giám sát các giao dịch để phát hiện các hoạt động đáng ngờ, chẳng hạn như các giao dịch có giá trị lớn, các giao dịch từ các quốc gia rủi ro, hoặc các giao dịch được thực hiện nhiều lần trong một khoảng thời gian ngắn. Khi phát hiện một giao dịch đáng ngờ, cần liên hệ với khách hàng để xác minh tính hợp lệ của giao dịch và ngăn chặn gian lận nếu cần thiết.

V. An Toàn Vận Chuyển và Giao Nhận Rủi Ro Giải Pháp 55 ký tự

Ngoài các rủi ro về kỹ thuật và tài chính, rủi ro về vận chuyển và giao nhận cũng cần được quan tâm. Các rủi ro này bao gồm mất mát, hư hỏng hàng hóa, giao hàng chậm trễ, và gian lận trong quá trình vận chuyển. Để giảm thiểu rủi ro này, doanh nghiệp cần lựa chọn các đối tác vận chuyển uy tín, sử dụng dịch vụ bảo hiểm hàng hóa, và theo dõi chặt chẽ quá trình vận chuyển. Ngoài ra, cần có quy trình kiểm tra hàng hóa kỹ lưỡng trước khi giao cho khách hàng. Theo tài liệu gốc, Các lưu ý trong đánh giá rủi ro, ü Đánh giá rủi ro đòi hỏi kiến thức sâu rộng về các hoạt động trong doanh nghiệp, thị trường và môi trường kinh doanh

5.1. Lựa chọn đối tác vận chuyển uy tín và đáng tin cậy

Việc lựa chọn đối tác vận chuyển uy tín là yếu tố then chốt để đảm bảo hàng hóa được vận chuyển an toàn và đúng thời gian. Cần chọn các đối tác có kinh nghiệm, có bảo hiểm hàng hóa, và có hệ thống theo dõi vận chuyển hiệu quả. Nên tham khảo ý kiến của các khách hàng khác và kiểm tra các đánh giá trực tuyến trước khi đưa ra quyết định.

5.2. Sử dụng dịch vụ bảo hiểm hàng hóa để giảm thiểu tổn thất

Sử dụng dịch vụ bảo hiểm hàng hóa giúp giảm thiểu tổn thất trong trường hợp hàng hóa bị mất mát, hư hỏng, hoặc bị đánh cắp trong quá trình vận chuyển. Nên chọn các gói bảo hiểm phù hợp với giá trị và loại hàng hóa. Cần đọc kỹ các điều khoản và điều kiện của hợp đồng bảo hiểm để hiểu rõ phạm vi bảo hiểm và các trường hợp loại trừ.

5.3. Theo dõi và giám sát quá trình vận chuyển hàng hóa

Theo dõi chặt chẽ quá trình vận chuyển hàng hóa giúp phát hiện sớm các vấn đề và giải quyết kịp thời. Sử dụng các công cụ theo dõi vận chuyển trực tuyến để biết vị trí hiện tại của hàng hóa và ước tính thời gian giao hàng. Khi phát hiện các dấu hiệu bất thường, cần liên hệ với đối tác vận chuyển để tìm hiểu nguyên nhân và có biện pháp xử lý.

VI. Kết Luận Tương Lai của An Ninh TMĐT 50 ký tự

An ninh TMĐT là một lĩnh vực luôn thay đổi, đòi hỏi doanh nghiệp phải liên tục cập nhật kiến thức và triển khai các biện pháp bảo mật mới nhất. Trong tương lai, trí tuệ nhân tạo (AI) và học máy (ML) sẽ đóng vai trò quan trọng trong việc phát hiện và ngăn chặn các cuộc tấn công mạng. Ngoài ra, các tiêu chuẩn bảo mật mới, chẳng hạn như PSD2 (Payment Services Directive 2), sẽ có tác động lớn đến cách các giao dịch thanh toán trực tuyến được thực hiện. Doanh nghiệp cần phải chuẩn bị sẵn sàng cho những thay đổi này và đầu tư vào các giải pháp bảo mật tiên tiến để bảo vệ hoạt động kinh doanh trực tuyến của mình. Theo tài liệu gốc, Các phương pháp đánh giá, Phương pháp định lượng, Đánh giá định lượng ước tính được tần suất xảy ra và mức độ nghiêm trọng của tổn thất theo các đơn vị tính cụ thể

6.1. Vai trò của AI và ML trong phòng chống gian lận TMĐT

Trí tuệ nhân tạo (AI) và học máy (ML) có thể được sử dụng để phân tích dữ liệu giao dịch và phát hiện các hoạt động gian lận một cách tự động. Các thuật toán AI và ML có thể học từ các mẫu giao dịch gian lận trong quá khứ và dự đoán các giao dịch gian lận trong tương lai. Điều này giúp doanh nghiệp ngăn chặn các giao dịch gian lận trước khi chúng gây ra thiệt hại.

6.2. Tác động của PSD2 đến bảo mật thanh toán trực tuyến

PSD2 (Payment Services Directive 2) là một tiêu chuẩn bảo mật mới của Liên minh Châu Âu (EU) nhằm tăng cường an ninh cho các giao dịch thanh toán trực tuyến. PSD2 yêu cầu các nhà cung cấp dịch vụ thanh toán sử dụng xác thực đa yếu tố (MFA) cho các giao dịch thanh toán trực tuyến. Điều này giúp giảm thiểu rủi ro gian lận và bảo vệ người tiêu dùng.

6.3. Đầu tư vào nghiên cứu và phát triển các giải pháp bảo mật mới

Doanh nghiệp cần đầu tư vào nghiên cứu và phát triển các giải pháp bảo mật mới để đối phó với các mối đe dọa ngày càng tinh vi. Điều này có thể bao gồm việc hợp tác với các công ty bảo mật, tham gia các hội thảo và hội nghị về an ninh mạng, và đào tạo nhân viên về các biện pháp bảo mật mới nhất.

20/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 3 Giải pháp mang tính kỹ thuật đối phó với rủi ro trong thương mại ThS. Dương Đắc Quang Hảo TS Nguyễn Thị Diệu Linh điện Giảng tử viên Đại học Kinh tế - Đại học Huế NỘI DUNG 1 Nhận biết rủi ro trong TMĐT 2 Phân tích rủi ro trong TMĐT 3 Đánh giá mối đe dọa của rủi ro trong TMĐT 2 1 Nhận biết rủi ro Ý nghĩa của việc nhận biết RR TMĐT Nhận biết rủi ro là cốt lõi của quá trình QTRR. Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí. § Nhận biết RR thông tin TMĐT là nhận biết các đe dọa, tấn công, lỗ hổng ATTT.

§ Nếu một đe dọa không được nhận biết nó không thể được kiểm soát. Một lỗ hổng không được phát hiện sớm, được vá, một tấn công không được đối phó, sẽ có những tác động xấu tới các mục tiêu của DN 4 Cách thức tiếp cận nhận biết rủi ro TMĐT như thế nào? 5 6 7 Các khái niệm liên quan nhận biết rủi ro TMĐT Nhận biết rủi ro (Risk Identification): là liệt kê các RR mà DN, KH có thể gặp phải và đánh giá (sơ bộ) mức độ xảy ra của chúng. Đây là bước tiếp sau xây dựng kế hoạch QTRR. Nhận biết RR thông tin trong TMĐT bao gồm nhận biết các đe dọa an toàn (security threats) và + xác định các lỗ hổng bảo mật/an toàn (computing vulnerabilities).

8 Các khái niệm liên quan nhận biết rủi ro TMĐT Khái niệm đe dọa an toàn Đe dọa (threat): theo nghĩa rộng • là các nguồn nguy hiểm; • bất kì lực lượng đối lập, • điều kiện, nguồn hoặc tình huống => có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm giảm khả năng thực hiện nhiệm vụ, KH. 9 Khái niệm đe dọa an toàn Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất an toàn. Nguồn đe dọa: • Khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại (khả năng xảy ra) • Có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng (động đất, sóng thần…) 10 Nguồn đe dọa (tiếp…) • Tổ chức tội phạm, • Phần mềm gián điệp, phần mềm độc hại, • Các công ty phần mềm quảng cáo, • Các nhân viên nội bộ bất bình bắt đầu tấn công sử dụng lao động của họ. • Sâu máy tính và virus cũng đặc trưng cho một mối đe dọa khi chúng có thể có thể gây ra thiệt hại bằng cách lây nhiễm các máy móc và gây thiệt hại tự động 11 1.

Nhận biết rủi ro 1. Các phương pháp nhận diện rủi ro chủ yếu Œ Sử dụng mẫu Bảng hỏi phân tích rủi ro - Nội dung của phương pháp - Ưu điểm: các câu hỏi được sắp xếp theo chủ đề, dễ hiểu - Hạn chế: mất thời gian và chi phí thu thập thông tin; khó nhận dạng tất cả các rủi ro (nhất là rủi ro đặc trưng), khó tìm kiếm các thông tin bổ sung 12 1. Nhận biết rủi ro 1. Các phương pháp nhận diện rủi ro chủ yếu  Phân tích các báo cáo tài chính - Nội dung của phương pháp - Phân tích sự biến động của các tài khoản, các báo cáo hoạt động kinh doanh, bảng cân đối kế toán, các chỉ tiêu tài chính và các tài liệu bổ trợ.

- Ưu điểm: Xác định được nhiều loại rủi ro, dễ hiểu, dễ thực hiện, có tính tin cậy cao, khách quan, rõ ràng - Hạn chế: Khó phát hiện các rủi ro đặc thù, rủi ro mới, và các đối tượng có nguy cơ rủi ro cụ thể 13 1. Nhận biết rủi ro 1. Các phương pháp nhận diện rủi ro chủ yếu Ž Kiểm tra thực tế và làm việc trực tiếp với các bộ phận/ các hệ thống liên quan Nội dung của phương pháp Điều kiện thực hiện: + Sự hợp tác của các bộ phận khác + Quy định về trách nhiệm rõ ràng 14 1. Nhận biết rủi ro 1.

Các phương pháp nhận diện rủi ro chủ yếu  Nghiên cứu các số liệu tổn thất trong quá khứ - Nội dung của phương pháp: Phân tích các hồ sơ lưu trữ số liệu (dữ liệu) về rủi ro và những tổn thất đã xảy ra - Ưu điểm: Cung cấp thông tin đầy đủ về tất cả các rủi ro đã từng xảy ra - Hạn chế: Khó phát hiện rủi ro mới 15 2 Phân tích rủi ro (Risk Analysis) 2. Phân tích rủi ro (Risk Analysis) § Là thực hiện đánh giá toàn diện và chi tiết các RR tiềm ẩn và các lỗ hổng bảo mật, tính toàn vẹn, tính sẵn sàng của các thông tin… § Là việc xác định, đánh giá và xếp hạng các RR với mục đích tiết kiệm các nguồn lực cũng như giảm thiểu kiểm soát, tổn thất và tác động không mong muốn và tối đa hóa việc thực hiện các cơ hội. Phân tích rủi ro (Risk Analysis) Quy trình phân tích rủi ro § Xác định phạm vi, mục tiêu các đối tượng cần bảo vệ (Map Objectives) § Nhận biết các đe dọa, tấn công (ID threats) § Đánh giá lỗ hổng (Assess Vulnerabilities) § Xác định xác suất xảy ra (Determine Risk Likelihood § Xác định tổn hại (Determine Threat Impact) § Xác định cấp độ RR (Determine Level or Risk) § Lập hồ sơ (Documentation) 18 2. Phân tích rủi ro (Risk Analysis) Œ PP định tính phân tích RR Theo tần xuất xuất hiện của RR: có 4 mức qua ước lượng sự quan trọng của nó.

§ Mức thường xuyên § Mức hay xảy ra § Mức đôi khi, thỉnh thoảng § Mức hiếm (ít) khi 19 2. Phân tích rủi ro (Risk Analysis) Œ PP định tính phân tích RR Theo thời điểm xuất hiện/xảy ra: có 4 mức để ước lượng thời điểm rủi ro xuất hiện, tùy sự tác động của nó. § Mức ngay lập tức § Mức rất gần § Mức sắp xảy ra § Mức rất lâu 20 2. Phân tích rủi ro (Risk Analysis)  Các nguyên tắc phân tích RR theo OWASP OWASP (The Open Web Application Security Project) đề xuất các nguyên tắc phân tích RR, mức điểm từ 0 - 9, với đánh giá xác suất xảy ra trên hai yếu tố: 1.

Yếu tố đe dọa: Mức độ kĩ năng đe dọa (Skill level): nhóm đe dọa có kĩ năng đe dọa như thế nào? Không có kĩ năng (1) Một số kĩ năng (3) Có nhiều kĩ năng dùng máy tính (4) Kĩ năng lập trình và mạng (6) Kĩ năng truy nhập bảo mật (9) 21  Các nguyên tắc phân tích RR theo OWASP 1. Yếu tố đe dọa: Động cơ (Motive): của phát hiện, tìm ra lỗ hổng là gì? • Không vì được phần thưởng, lợi ích (1) • Có thể được phần /khen thưởng (4) • Được khen thưởng, vụ lợi (9) Cơ hội, thời cơ (Opportunity): những nguồn lực và cơ hội nào cần thiết để tấn công khai thác lỗ hổng xảy ra • Tiếp cận hoàn toàn các nguồn lực được yêu cầu (0) • Tiếp cận đặc biệt các nguồn lực yêu cầu (4) • Tiếp cách lẻ tẻ các nguồn lực yêu cầu (7) • Không thể tiếp cận các nguồn lực yêu cầu (9) 22  Các nguyên tắc phân tích RR theo OWASP 1. Yếu tố đe dọa: Quy mô (Size): Nhóm đe doạ lớn đến mức nào? • Người phát triển (2) • Hệ thống hành chính (2) • Users nội bộ (4) • Đối tác (5) • Users thật (6) • Người dùng internet ẩn danh (9) 23  Các nguyên tắc phân tích RR theo OWASP 2. Yếu tố lỗ hổng (Vulnerability factors) Nhận thức (Awareness): • Không xác định (1) • Giấu kín (4) • Hiển nhiên (6) • Biết rộng rãi (9) Phát hiện xâm nhập (Intrusion detection): • Xâm nhập sâu (1) • Đã đăng nhập và xem xét (3) • Đã đăng nhập nhưng chưa xem xét(8) • Chưa đăng nhập (9) 24 2.

Phân tích rủi ro (Risk Analysis) Ž Phân tích RR theo mức độ Đánh giá tổn thất theo thang điểm từ 0 – 9 Tổn thất về kĩ thuật: được xem xét là: tính bảo mật C, tính sẵn sàng A và tính toàn vẹn I. Mục đích là ước tính độ lớn trên hệ thống nếu lỗ hổng bị khai thác. Tổn thất tính bảo mật: Dữ liệu bị tiết lộ, và dữ liệu nhạy cảm. Dữ liệu bị tiết lộ rất nhỏ (2) Dữ liệu quan trọng bị tiết lộ rất nhỏ (6) Dữ liệu bị tiết lộ mở rộng (6) Dữ liệu quan trọng bị tiết lộ mở rộng (7) Tất cả dữ liệu bị tiết lộ (9) 25 Ž Phân tích RR theo mức độ Tổn thất tính toàn vẹn: Bao nhiêu dữ liệu bị chiếm giữ và thiệt hại? Một số dữ liệu bị chiếm giữ (1) Một số dữ liệu quan trọng bị chiếm giữ (3) Một số lớn dữ liệu bị chiếm giữ (5) Một số lớn dữ liệu quan trọng bị chiếm giữ (7) Tất cả dữ liệu bị chiếm giữ (9) Tổn thất tính sẵn sàng: Bao nhiêu dịch vụ bị mất và mức quan trọng của dịch vụ đó? Một số DV bổ sung bị gián đoạn (1) Một số DV chủ yếu bị gián đoạn (5) Các DV bổ sung bị gián đoạn mở rộng (5) Các DV chính bị gián đoạn mở rộng (7) Tất cả các DV bị đứt, ngưng (9) 26 Ž Phân tích RR theo mức độ Giá trị tài sản Giá trị C+I+A Thấp (1) 1-3 Trung bình (2) 4-6 Cao (3) 7-9 Rất cao (4) 10-12 Cực cao (5) 13-15 27 Ž Phân tích RR theo mức độ Mô hình DREAD • Thiệt hại (Damage_D1) • Khả năng tái tạo (Reproductivity_R) • Khả năng khai thác (Exploitability_E) • Người bị ảnh hưởng ( Affected Users_A) • Khả năng phát hiện (Discoverability_ D2) 28 Ž Phân tích RR theo mức độ Tác động: • Damage (D1) • Người bị ảnh hưởng (A) Xác suất xảy ra: • R • E • D2 29 Ž Phân tích RR theo mức độ Tác động: • Damage (D1)= C+I+A • Người bị ảnh hưởng: được phân thành 5 nhóm Ø Quản trị viên Ø Người dùng cấp cao Ø Nhóm Ø User Ø Công chúng 30 Ž Phân tích RR theo mức độ Xác Suất xảy ra: • Khả năng tái tạo_ R: gồm 3 mức độ Ø KHó tái tạo ngay cả khi có kiến thức về lỗ hổng bảo mật Ø Có thể tái tạo nhưng chỉ với một khoảng thời gian và tình huống cụ thể Ø Dễ tái tạo mọi lúc mọi nơi 31 Ž Phân tích RR theo mức độ Xác Suất xảy ra: • Khả năng khai thác_ E: mức độ khó sử dụng lỗ hổng để thực hiện cuộc tấn công?

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ