Monday , 22 April 2019
Home » Bảo Mật » An ninh mạng làm gì?

An ninh mạng làm gì?

An ninh mạng làm gì?

Hôm nay an ninh mạng xin giới thiệu tới các bạn một số công việc của một An ninh mạng viên:

1. Kiểm tra các lỗ hỗng của phần mềm (Vulnerability) của phần mềm và đưa ra các giải pháp khắc phục

Trong hầu hết các trường hợp, lỗ hổng xuất hiện là do lỗi của người lập trình. Kẻ tấn công có thể lợi dụng những lỗ hổng này để tấn công máy tính của bạn. Vì vậy, điều quan trọng là phải thường xuyên cập nhật các bản vá từ nhà sản xuất phần mềm

Ví dụ phát hiện lỗi SQL Injection trên Website bằng cách dùng công cụ Acunetix, Kali Linux…Giả sử sau khi chúng ta phát hiện thấy lổi, ta đề xuất cách khắc phục tới đội lập trình như: Xử lý các ký tự lạ, không cho nhập các ký tự ngoài ý muốn tại các Textbox, Box Search… thiết lập cơ chế bảo mật cho hệ quản trị cơ sở dữ liệu…

kiemtraloi

2. Phân tích Malware, virus, Trojan…

Việc phân tích này đòi hỏi người an ninh mạng có kiến thức về lập trình tương đối tốt, nhất là ngôn ngữ Assembly, các công cụ dịch ngược mã nguồn như:

+ OllyDBG

OllyDBG hay còn gọi tắt là Olly là công cụ debug rất phổ biến. Nhờ giao diện trực quan và dễ sử dụng nên Olly phù hợp với người dùng ở mọi trình độ khác nhau.

Tôi sẽ dành bài viết tiếp theo để nói về Olly: cách cài đặt, những chức năng chính và demo việc sử dụng Olly để thực hiện 1 crackme đơn giản.

+Net Reflector

Nếu như ta có Olly để debug các chương trình window 32-bit thì các chương trình chạy trên nền tảng .NET Framework ta có công cụ .Net Reflector.
Trong bài viết tiếp theo tôi sẽ giới thiệu về tính năng và cách sử dụng của .Net Refector.

+ IDA

IDA là công cụ disassembler và debuger đa nền tảng, có thể sử dụng trên nền tảng Windows, Linux or Mac OS X. Đây là tính năng ưu việt hơn hẳn so với Olly và .Net Reflector- chỉ sử dụng cho 1 nền tảng nhất định.
Tôi sẽ giới thiệu chi tiết về IDA và cách sử dụng trong bài viết tiếp theo, cùng với .Net Reflector.
dich-nguoc-manguon
+ Hex Editor

Trong quá trình thực hiện công việc Reverse, ta cần đến các công cụ Hex Editor để đọc và chỉnh sửa các file dưới định dạng hex.
Có rất nhiều Hex Editor, mỗi người thường lựa chọn 1 công cụ phù hợp với điều kiện và sử dụng quen tay.
Có một số công cụ đưa ra để gợi ý cho mọi người như : 010 Hex Editor (phần mềm trả phí), Winhex (phần mềm miễn phí), CFF Explorer VIII (1 chương trình nằm trong bộ công cụ Explorer Suite)

3. Phân tích nhật ký (logging)

logging

Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống.

Các loại log chính trong hệ thống

  • Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
  • Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. Log ứng dụng, log của hệ điều hành…
  • Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích Log thực sự là một điều vô cùng khó khăn.

4. Giám sát hệ thống

Phat-hien-tan-cong

Giám sát an ninh mạng là việc thu thập các thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống.

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ thống mạng

  • Các máy trạm
  • Cơ sở dữ liệu
  • Các ứng dụng
  • Các server
  • Các thiết bị mạng

5. Triển khai các công cụ phát hiện và ngăn chặn xâm nhập

Gồm các công cụ trên: http://sectools.org/tag/ids/

Hệ thống phát hiện và ngăn chặn xâm nhập – IDS/IPS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin tặc).

IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường.

6. Điều tra số

dieutraso

Các chuyên gia trong lĩnh vực computer forensic đã liệt kê một số bước mà những điều tra viên cần làm mỗi khi muốn truy hồi bằng chứng từ máy tính:

6.1. Kiểm soát hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an toàn. Điều này có nghĩa điều tra viên cần phải nắm quyền bảo mật để không có một cá nhân nào có thể truy cập máy tính và thiết bị lưu trữ đang được kiểm tra.

Nếu hệ thống máy tính có kết nối với Internet, điều tra viên phải kiểm soát được kết nối này.

6.2. Tìm kiếm tất cả các tập tin có trong hệ thống máy tính, bao gồm các tập tin đã được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng chưa bị ghi đè.

Nhân viên điều tra nên sao chép lại tất cả các tập tin của hệ thống, bao gồm các tập tin có trong ổ đĩa của máy tính hay tập tin từ các ổ cứng cắm ngoài. Bởi khi truy cập các tập tin có thể thay đổi nó nên nhân viên điều tra chỉ nên làm việc với các bản copy của các tập tin khi tìm kiếm bằng chứng. Bản nguyên gốc cần được bảo quản và không được động đến.

6.3. Khôi phục lại càng nhiều thông tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể tìm kiếm và truy hồi dữ liệu bị xóa.

6.4. Tìm kiếm thông tin của tất cả các tập tin ẩn

6.5. Giải mã và truy cập các tập tin được bảo vệ

6.6. Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể tiếp cận.

6.7. Ghi lại tất cả các bước của quá trình. Điều này rất quan trọng đối với nhân viên điều tra để cung cấp bằng chứng rằng công việc điều tra của họ thực hiện có bảo vệ thông tin của hệ thống máy tính mà không làm thay đổi hoặc làm hỏng chúng.

Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu không có tài liệu xác thực, bằng chứng thậm chí còn không được chấp nhận. Những tài liệu xác thực này không chỉ bao gồm các tập tin và dữ liệu được khôi phục từ hệ thống mà còn bao gồm cả bản vẽ của hệ thống và nơi các tập tin được mã hóa hoặc được ẩn.

7. Triển khai các công cụ phòng chống

Có nhiều công cụ chống lại các cuộc tấn công DDOS, các ứng dụng Web, Virus… bằng các hệ thống phần cứng lẫn phần mềm. Công việc này đòi hỏi an ninh mạng phải hiểu rộng, sâu các thiết bị cũng như các các tấn công của hacker để từ đó phòng chống lại

 

modsecurity

và có thể rất nhiều công việc khác nữa…

Thanks for all,

Lượt xem (1868)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

Công cụ bảo mật chuyên nghiệp Burp suite (Phần 2)

Burp suite là một ứng dụng java dùng để kiểm thử xâm nhập ứng dụng …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *