Tổng lượt truy cập

Tuesday, August 20, 2013

Hardening Hệ thống Sẽ Fix Được 80% Lỗ Hổng Kỹ Thuật.


Hi!
        Hôm nay mình xin chia sẽ chút kinh nghiệm về thực tế công việc vận hành bảo mật.
Trong 3 năm gần đây các tổ chức VN cũng đã chú trọng hơn nhiều về an ninh bảo mật cho hệ thống doanh nghiệp của mình, đặc biệt các tổ chức, doanh nghiệp về tài chính . Họ đã đầu tư firewall, đồng tư IDS/IPS đắt tiền, đầu tư giải pháp NAC (Network Access Control), Antivirus….Nhưng một thực tế rằng vấn đề mất an ninh vẫn xảy ra thường xuyên. Đảm bảo an ninh hệ thống tất nhiêu gồm 3 mắt xích đó là : Con người, Công nghệ và Chính sách.



Điểm yếu của hệ thống tương đương với mắt xích yếu nhất của hệ thống. Vậy để đảm bảo an ninh chúng ta phải đảm bảo tốt cả 3 mắt xích trên. Nhưng một điểm nhấn nữa mà các chúng ta nên chú ý đó là: trong 3 yếu mắc xích trên thì mắt xích con người đóng vai trò trung tâm và quan trọng nhất, quyết định đến hai mắt xích còn lại. Con người tại nên chính sách, con người sẽ là chủ thể để công nghệ hoạt động đúng theo chuẩn (con người lên kiến trúc, hardening hệ thống....) Con người xây dựng chính sách đưa ra quy định, quy trình đảm bảo an ninh thông tin… Đồng thời con người là mắt xích yếu nhất vì nếu con người không được đào tạo nâng cao nhận thức về an toàn thông tin , không có trình độ về an ninh thông tin thì hệ thống rất dễ bị tấn công, vì:
- Hệ thống bảo mật không được cấu hình theo chuẩn, 
- Không có phân tích đúng đắn về bảo mật (Không hiểu để phân tích để tìm nguyên lý của sự kiên an ninh)
- Không có quy định đúng đắn hợp lý về an ninh bảo mật.
Quay lại chủ đề về các tổ chức đã đâu tư trang thiết bị đắt tiền về sử dụng. Nhưng có một thực tế mình nhận thấy rằng, thường các thiết bị mua về hoặc được các tổ chức dựng lên và chỉ được cấu hình mặc định hoặc thêm vào cấu hình cơ bản mà chưa thật sự hiểu nhiều về chúng.
Bản thân hệ thống thông thường dựng lên dù là OS nào vd: Linux, windows, AIX hay unix  đều có function hặc module về security , tương tự các ứng dụng (APP) chạy trên các OS đấy cũng vậy vd: Apache, ISS, Mysql, …..Các hệ thống bảo mật mua về (Firewall, IDS/IPS, trang bị DLP....) . Nhưng một điều thường thấy ở tổ chức là việc người quản trị ứng dụng thường không hiểu biết về an ninh bảo mật, dẫn đến hệ thống dù trang bị thiết bị rất hiện đại nhưng vẫn tồn tại những lỗ hổng nghiêm trọng.  Việc cấu hình các module hoặc các function security của các IOS , các hệ thống hoặc các APP hay gọi là (hardening )đóng vai trò cực quan trọng ,việc  hardening sẽ giúp tổ chức fix 95% lỗ hổng bảo mật về kỹ thuật.  
Hardening là việc chúng ta cấu hình thắt chặn an ninh cho từng ứng dụng, từng hệ thống.. (Các bạn tìm hiểu thêm link hardening).
Thật vậy hiện nay các tổ chức đã chú trọng về đầu tư công nghệ , nhưng việc đầu về con người là các chuyên gia, những kỹ sư về Bảo mật thì chưa được chú trọng cao. 
Việc hardening được tốt thì cần có mắt xích con người tốt (Đầu tư về con người)

Một ví dụ điểm hình: dù các cơ quan đã trược trang bị firewall, ips phần nhiều lớp bảo vệ nhưng lỗ hổng đơn giản sau vẫn tốn tại.


=> Hiện nay mình có check thấy một lỗ hổng DoS via HTTP (get or post) các hệ thống đang bị rất nhiều , ngay cả hệ thống được đầu tư về bảo mật như Bank.

DOS via http: Là  lỗ hổng hacker lợi dụng vào điểm yếu của giao thức http để thực hiện tấn công vào hệ thống máy chủ web server ( http://code.google.com/p/slowhttptest/ ). Việc hacker lợi dụng lỗ hổng để để tấn công , tương tự như cuộc tấn công DoS làm cho máy chủ web tiêu tốn tài nguyên (CPU/RAM) làm cho hệ thống máy chủ ngừng hoạt động.  Lỗ hổng này sẽ được fix khi bạn thực hiện hardening và chỉ thêm một số rule đơn giản nhưng đúng bản chất để giới hạn thời gian request, timeout và của client , theo nguyên lý bắt tay TCP là có thể fix được điểm yếu này. Điểm yếu này không OS , hay APP nên chúng ta không có các bản patch tương ứng từ hãng , mà bắt buộc từ con người để thực hiện hardening hệ thống. 

Note: Mysun đã liên hệ một số tổ chức fix các lỗ hổng trên, vậy bản hãy chủ động kiểm tra xem lỗ hổng trên còn tồn tại trên hệ thống của bạn không nhé.



Để bảo bảo an ninh bảo mật ngay từ lúc này bạn hãy thực hiện hardening hệ thống của bạn, 



Tôi có thể hỗ trợ bạn: mysunsecurity@gmail.com