CEH v13 AI – CEH VIETNAM

Giáo Trình Official Học & Ôn Thi Chứng Chỉ Quốc Tế CEH v12 Module 01 ETHICAL HACKER p2

Giáo Trình Official Học & Ôn Thi Chứng Chỉ Quốc Tế CEH v12 Module 01 ETHICAL HACKER p2 Mối đe dọa Bảo mật Thông tin và Vector Tấn công Có nhiều loại mối đe dọa bảo mật thông tin, chẳng hạn như mối đe dọa mạng, mối đe dọa máy chủ và mối đe dọa ứng…

IT-PRO

Giáo Trình Official Học & Ôn Thi Chứng Chỉ Quốc Tế CEH v12 Module 01 ETHICAL HACKER p2

Mối đe dọa Bảo mật Thông tin và Vector Tấn công

Có nhiều loại mối đe dọa bảo mật thông tin, chẳng hạn như mối đe dọa mạng, mối đe dọa máy chủ và mối đe dọa ứng dụng, và các vector tấn công khác nhau, chẳng hạn như virus, sâu, botnet, có thể ảnh hưởng đến bảo mật thông tin của một tổ chức.

Phần này giới thiệu cho bạn về động cơ, mục tiêu và mục đích của các cuộc tấn công bảo mật thông tin, các vector tấn công bảo mật thông tin hàng đầu, các danh mục mối đe dọa bảo mật thông tin và các loại tấn công vào hệ thống.

Động cơ, Mục tiêu và Mục đích của Các cuộc Tấn công Bảo mật Thông tin

Kẻ tấn công thường có động cơ (mục tiêu) và mục đích đằng sau các cuộc tấn công bảo mật thông tin. Một động cơ bắt nguồn từ ý tưởng rằng hệ thống mục tiêu lưu trữ hoặc xử lý thứ gì đó có giá trị, điều này dẫn đến mối đe dọa tấn công vào hệ thống. Mục đích của cuộc tấn công có thể là để phá vỡ hoạt động kinh doanh của tổ chức mục tiêu, để đánh cắp thông tin có giá trị vì mục đích tò mò, hoặc thậm chí để trả thù. Do đó, những động cơ hoặc mục tiêu này phụ thuộc vào trạng thái tinh thần của kẻ tấn công, lý do của họ để thực hiện hoạt động như vậy, cũng như nguồn lực và khả năng của họ. Khi kẻ tấn công xác định mục tiêu của mình, họ có thể sử dụng nhiều công cụ, kỹ thuật tấn công và phương pháp khác nhau để khai thác các lỗ hổng trong hệ thống máy tính hoặc chính sách và biện pháp kiểm soát bảo mật.

Tấn công = Động cơ (Mục tiêu) + Phương pháp + Lỗ hổng

Động cơ đằng sau các cuộc tấn công bảo mật thông tin:

  • Phá vỡ tính liên tục kinh doanh
  • Thực hiện trộm cắp thông tin
  • Thao túng dữ liệu
  • Tạo ra nỗi sợ hãi và hỗn loạn bằng cách phá vỡ cơ sở hạ tầng quan trọng
  • Gây tổn thất tài chính cho mục tiêu
  • Truyền bá niềm tin tôn giáo hoặc chính trị
  • Đạt được mục tiêu quân sự của nhà nước
  • Làm tổn hại danh tiếng của mục tiêu
  • Trả thù
  • Đòi tiền chuộc

Vector Tấn công Bảo mật Thông tin Hàng đầu

Dưới đây là danh sách các vector tấn công bảo mật thông tin mà qua đó kẻ tấn công có thể truy cập vào máy tính hoặc máy chủ mạng để thực hiện payload hoặc kết quả độc hại.

  • Các Mối đe dọa Điện toán Đám mây: Điện toán đám mây là việc cung cấp các khả năng CNTT theo yêu cầu trong đó cơ sở hạ tầng và ứng dụng CNTT được cung cấp cho người đăng ký dưới dạng dịch vụ đo lường qua mạng. Khách hàng có thể lưu trữ thông tin nhạy cảm trên đám mây. Lỗ trong ứng dụng đám mây của một khách hàng có thể cho phép kẻ tấn công truy cập dữ liệu của khách hàng khác.
  • Các Mối đe dọa Liên tục Nâng cao (APT): Mối đe dọa Liên tục Nâng cao (APT) là một cuộc tấn công tập trung vào việc đánh cắp thông tin từ máy nạn nhân mà không để người dùng biết. Những cuộc tấn công này thường nhắm vào các công ty lớn và mạng lưới chính phủ. Các cuộc tấn công APT có bản chất chậm, vì vậy tác động đến hiệu suất máy tính và kết nối Internet là không đáng kể. APT khai thác các lỗ hổng trong các ứng dụng chạy trên máy tính, hệ điều hành và hệ thống nhúng.
  • Virus và Sâu: Virus và sâu là mối đe dọa mạng phổ biến nhất, có khả năng lây nhiễm một mạng trong vòng vài giây. Virus là một chương trình tự nhân bản tạo ra một bản sao của chính nó bằng cách gắn vào một chương trình khác, sector khởi động máy tính hoặc tài liệu. Sâu là một chương trình độc hại tự nhân bản, thực thi và lan truyền qua các kết nối mạng.

Virus xâm nhập vào máy tính khi kẻ tấn công chia sẻ một tệp độc hại chứa nó với nạn nhân thông qua Internet, hoặc thông qua bất kỳ phương tiện lưu trữ di động nào. Sâu xâm nhập vào mạng khi nạn nhân tải xuống một tệp độc hại, mở thư rác hoặc duyệt một trang web độc hại.

  • Ransomware: Ransomware là một loại phần mềm độc hại, hạn chế quyền truy cập vào các tệp và thư mục của hệ thống máy tính và đòi thanh toán tiền chuộc trực tuyến cho (những) người tạo phần mềm độc hại để xóa bỏ các hạn chế. Chúng thường được lây lan thông qua các tệp đính kèm độc hại vào tin nhắn email, ứng dụng phần mềm bị nhiễm, đĩa bị nhiễm hoặc các trang web bị xâm phạm.
  • Các Mối đe dọa Di động: Kẻ tấn công ngày càng tập trung vào các thiết bị di động, do việc ngày càng nhiều smartphone được sử dụng cho mục đích kinh doanh và cá nhân và các biện pháp kiểm soát bảo mật tương đối ít hơn.

Người dùng có thể tải xuống các ứng dụng độc hại (APK) vào điện thoại thông minh của họ, có thể gây hại cho các ứng dụng và dữ liệu khác và chuyển thông tin nhạy cảm cho kẻ tấn công.

Kẻ tấn công có thể truy cập từ xa vào camera và ứng dụng ghi âm của điện thoại thông minh để xem hoạt động của người dùng và theo dõi giao tiếp bằng giọng nói, điều này có thể hỗ trợ họ trong một cuộc tấn công.

  • Botnet: Botnet là một mạng lưới lớn các hệ thống bị xâm phạm được kẻ tấn công sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ. Bot, trong một botnet, thực hiện các nhiệm vụ như tải lên virus, gửi thư có botnet đính kèm, đánh cắp dữ liệu, v.v. Các chương trình chống virus có thể không tìm thấy – hoặc thậm chí quét – phần mềm gián điệp hoặc botnet. Do đó, điều cần thiết là triển khai các chương trình được thiết kế đặc biệt để tìm và loại bỏ các mối đe dọa như vậy.
  • Tấn công Nội gián: Một cuộc tấn công nội gián là một cuộc tấn công của ai đó từ bên trong một tổ chức, người có quyền truy cập được ủy quyền vào mạng của tổ chức và biết về kiến trúc mạng.
  • Phishing: Phishing là một thực hành gửi email bất hợp pháp giả mạo từ một trang web hợp pháp trong nỗ lực thu thập thông tin cá nhân hoặc tài khoản của người dùng. Kẻ tấn công thực hiện các cuộc tấn công phishing bằng cách phân phối các liên kết độc hại qua một số kênh giao tiếp hoặc email để lấy thông tin riêng tư như số tài khoản, số thẻ tín dụng, số điện thoại di động, v.v. từ nạn nhân. Kẻ tấn công thiết kế email để lôi kéo nạn nhân theo cách khiến chúng xuất hiện từ một nguồn hợp pháp nào đó hoặc đôi khi họ gửi các liên kết độc hại giống như một trang web hợp pháp.
  • Các Mối đe dọa Ứng dụng Web: Các cuộc tấn công ứng dụng web như SQL injection, cross-site scripting đã khiến các ứng dụng web trở thành mục tiêu ưa thích của kẻ tấn công để đánh cắp thông tin đăng nhập, thiết lập trang phishing, hoặc lấy thông tin riêng tư. Phần lớn các cuộc tấn công như vậy là kết quả của việc mã hóa có lỗi và làm sạch không đúng cách dữ liệu đầu vào và đầu ra từ ứng dụng web. Các cuộc tấn công ứng dụng web có thể đe dọa hiệu suất của trang web và làm tổn hại đến bảo mật của nó.
  • Các Mối đe dọa IoT: Các thiết bị IoT kết nối với Internet có ít hoặc không có bảo mật khiến chúng dễ bị tấn công các loại khác nhau. Các thiết bị này bao gồm nhiều ứng dụng phần mềm được sử dụng để truy cập thiết bị từ xa. Do các hạn chế về phần cứng như bộ nhớ, pin, v.v. các ứng dụng IoT này không bao gồm các cơ chế bảo mật phức tạp để bảo vệ thiết bị khỏi các cuộc tấn công. Những nhược điểm này khiến các thiết bị IoT dễ bị tổn thương hơn và cho phép kẻ tấn công truy cập thiết bị từ xa và thực hiện các cuộc tấn công khác nhau.

Các Danh mục Mối đe dọa Bảo mật Thông tin

Có ba loại mối đe dọa bảo mật thông tin:

  • Các Mối đe dọa Mạng Một mạng là tập hợp các máy tính và phần cứng khác được kết nối bởi các kênh giao tiếp để chia sẻ tài nguyên và thông tin. Khi thông tin đi từ hệ thống này sang hệ thống khác thông qua kênh giao tiếp, một người độc hại có thể đột nhập vào kênh giao tiếp và đánh cắp thông tin đang di chuyển qua mạng.

Dưới đây là một số mối đe dọa mạng:

  • Thu thập thông tin
  • Sniffing và nghe trộm
  • Giả mạo
  • Chiếm đoạt phiên
  • Tấn công Man-in-the-Middle
  • Đầu độc DNS và ARP
  • Các cuộc tấn công dựa trên mật khẩu
  • Tấn công từ chối dịch vụ
  • Tấn công khóa bị xâm phạm
  • Tấn công tường lửa và IDS
  • Các Mối đe dọa Máy chủ Các mối đe dọa máy chủ nhắm vào một hệ thống cụ thể nơi thông tin có giá trị tồn tại. Kẻ tấn công cố gắng phá vỡ bảo mật của tài nguyên hệ thống thông tin.

Dưới đây là một số mối đe dọa máy chủ:

  • Các cuộc tấn công phần mềm độc hại
  • Dò dấu chân
  • Lập hồ sơ
  • Các cuộc tấn công mật khẩu
  • Các cuộc tấn công từ chối dịch vụ
  • Thực thi mã tùy ý
  • Truy cập trái phép
  • Leo thang đặc quyền
  • Các cuộc tấn công cửa hậu
  • Các mối đe dọa bảo mật vật lý
  • Các Mối đe dọa Ứng dụng Các ứng dụng có thể dễ bị tổn thương nếu không áp dụng các biện pháp bảo mật thích hợp trong quá trình phát triển, triển khai và bảo trì chúng. Kẻ tấn công khai thác các lỗ hổng hiện có trong một ứng dụng để đánh cắp hoặc phá hủy dữ liệu.

Dưới đây là một số mối đe dọa ứng dụng:

  • Xác thực dữ liệu/đầu vào không đúng cách
  • Các cuộc tấn công xác thực và ủy quyền
  • Cấu hình bảo mật sai
  • Xử lý lỗi và quản lý ngoại lệ không đúng cách
  • Tiết lộ thông tin
  • Thao túng trường ẩn
  • Quản lý phiên bị hỏng
  • Các vấn đề tràn bộ đệm
  • Các cuộc tấn công mật mã
  • SQL injection
  • Phishing

Các loại Tấn công vào Hệ thống

Có nhiều cách tiếp cận để kẻ tấn công có được quyền truy cập vào hệ thống. Một yêu cầu chung cho tất cả các cách tiếp cận như vậy là kẻ tấn công tìm và khai thác điểm yếu hoặc lỗ hổng của hệ thống.

  • Các cuộc Tấn công Hệ điều hành Các Hệ điều hành (OS) ngày nay được tải với nhiều tính năng và ngày càng phức tạp. Trong khi người dùng tận dụng các tính năng này, chúng dễ bị lỗ hổng hơn, do đó thu hút kẻ tấn công. Các hệ điều hành chạy nhiều dịch vụ như giao diện người dùng đồ họa (GUI) hỗ trợ các ứng dụng và công cụ hệ thống, và cho phép truy cập Internet. Cần phải điều chỉnh mở rộng để khóa chúng lại. Kẻ tấn công liên tục tìm kiếm các lỗ hổng của hệ điều hành cho phép họ khai thác và có quyền truy cập vào hệ thống hoặc mạng mục tiêu. Để ngăn chặn kẻ tấn công xâm phạm mạng, quản trị viên hệ thống hoặc mạng phải cập nhật các khai thác và phương pháp mới được kẻ tấn công áp dụng, và giám sát mạng thường xuyên.

Theo mặc định, hầu hết các chương trình cài đặt hệ điều hành cài đặt một số lượng lớn dịch vụ và mở cổng. Tình huống này dẫn đến kẻ tấn công tìm kiếm các lỗ hổng. Áp dụng các bản vá và bản sửa lỗi nhanh không dễ dàng với các mạng phức tạp ngày nay. Hầu hết các bản vá và bản sửa lỗi có xu hướng giải quyết một vấn đề ngay lập tức. Để bảo vệ hệ thống khỏi các cuộc tấn công hệ điều hành nói chung, cần thiết phải loại bỏ và/hoặc vô hiệu hóa bất kỳ cổng và dịch vụ không cần thiết nào.

Một số lỗ hổng của hệ điều hành bao gồm:

  • Các lỗ hổng tràn bộ đệm
  • Lỗi trong hệ điều hành
  • Hệ điều hành chưa được vá

Các cuộc tấn công được thực hiện ở cấp độ hệ điều hành bao gồm:

  • Khai thác các triển khai giao thức mạng cụ thể
  • Tấn công các hệ thống xác thực tích hợp
  • Phá vỡ bảo mật hệ thống tệp
  • Bẻ khóa mật khẩu và cơ chế mã hóa
  • Các cuộc Tấn công Cấu hình Sai Cấu hình bảo mật sai hoặc kiểm soát bảo mật được cấu hình kém có thể cho phép kẻ tấn công có được quyền truy cập trái phép vào hệ thống, xâm phạm tệp hoặc thực hiện các hành động không mong muốn khác. Các lỗ hổng cấu hình sai ảnh hưởng đến máy chủ web, nền tảng ứng dụng, cơ sở dữ liệu, mạng hoặc khung công tác có thể dẫn đến truy cập bất hợp pháp hoặc có thể chiếm quyền điều khiển hệ thống. Quản trị viên nên thay đổi cấu hình mặc định của các thiết bị trước khi triển khai chúng trong mạng sản xuất. Để tối ưu hóa cấu hình của máy, hãy loại bỏ bất kỳ dịch vụ hoặc phần mềm không cần thiết nào. Các máy quét tự động phát hiện các bản vá bị thiếu, cấu hình sai, sử dụng tài khoản mặc định, dịch vụ không cần thiết, v.v.
  • Các cuộc Tấn công cấp Ứng dụng Các nhà phát triển phần mềm thường chịu áp lực mạnh mẽ để đáp ứng thời hạn, điều này có thể có nghĩa là họ không có đủ thời gian để kiểm tra hoàn toàn sản phẩm của mình trước khi giao hàng, để lại các lỗ hổng bảo mật chưa được phát hiện. Điều này đặc biệt gây rắc rối trong các ứng dụng phần mềm mới hơn đi kèm với một số lượng lớn tính năng và chức năng, khiến chúng ngày càng phức tạp hơn. Sự gia tăng về độ phức tạp có nghĩa là có nhiều cơ hội hơn cho các lỗ hổng. Kẻ tấn công tìm và khai thác các lỗ hổng này trong các ứng dụng bằng cách sử dụng các công cụ và kỹ thuật khác nhau để có quyền truy cập trái phép và đánh cắp hoặc thao túng dữ liệu.

Bảo mật không phải lúc nào cũng là ưu tiên cao đối với các nhà phát triển phần mềm, và họ xử lý nó như một thành phần “bổ sung” sau khi phát hành. Điều này có nghĩa là không phải tất cả các phiên bản của phần mềm sẽ có cùng mức độ bảo mật. Kiểm tra lỗi trong các ứng dụng này có thể rất kém (hoặc thậm chí không tồn tại), dẫn đến:

  • Các cuộc tấn công tràn bộ đệm
  • Tiết lộ thông tin nhạy cảm
  • Cross-site scripting
  • Chiếm đoạt phiên
  • Các cuộc tấn công Man-in-the-middle
  • Các cuộc tấn công từ chối dịch vụ
  • Các cuộc tấn công SQL injection
  • Phishing
  • Giả mạo tham số/biểu mẫu
  • Các cuộc tấn công duyệt thư mục

Ví dụ về Các cuộc Tấn công cấp Ứng dụng

o Chiếm đoạt Phiên Kẻ tấn công có thể khai thác thông tin phiên trong các ứng dụng dễ bị tổn thương để thực hiện chiếm đoạt phiên nếu mã triển khai xác thực không có cookie. Khi mục tiêu cố gắng duyệt qua một URL, token phiên hoặc xác thực xuất hiện trong URL yêu cầu thay vì cookie an toàn, để cấp quyền truy cập vào URL được yêu cầu bởi mục tiêu. Ở đây, một kẻ tấn công sử dụng kỹ năng và công cụ giám sát của mình có thể chiếm đoạt phiên của mục tiêu và đánh cắp tất cả thông tin nhạy cảm.

Mã Dễ bị Tổn thương Dưới đây là mã dễ bị tổn thương, cho phép kẻ tấn công thực hiện chiếm đoạt phiên bằng cách khai thác lỗ hổng hiện có tại dòng 4.

HÌNH 1.1: Mã Dễ bị Tổn thương Chiếm đoạt Phiên

Mã An toàn Sử dụng “UseCookies” thay vì “UseUri” tại dòng 4 trong mã trên để bảo vệ nó khỏi các cuộc tấn công chiếm đoạt phiên.

HÌNH 1.2: Mã An toàn Chiếm đoạt Phiên

o Từ chối Dịch vụ Từ chối Dịch vụ (DoS) là một cuộc tấn công vào máy tính hoặc mạng làm giảm, hạn chế hoặc ngăn chặn việc sử dụng hợp pháp các tài nguyên của nó. Trong một cuộc tấn công DoS, kẻ tấn công làm tràn ngập hệ thống nạn nhân bằng các yêu cầu dịch vụ hoặc lưu lượng không hợp lệ để quá tải tài nguyên của nó.

Mã Dễ bị Tổn thương Dưới đây là mã dễ bị tổn thương cho phép kẻ tấn công thực hiện một cuộc tấn công từ chối dịch vụ, vì nó không giải phóng tài nguyên kết nối.

HÌNH 1.3: Mã Dễ bị Tổn thương Từ chối Dịch vụ

Mã An toàn Bạn có thể sử dụng một khối “finally” để bảo vệ mã trên.

HÌNH 1.4: Mã An toàn Từ chối Dịch vụ

  • Các cuộc Tấn công Mã Shrink-Wrap Các nhà phát triển phần mềm thường sử dụng các thư viện miễn phí và mã được cấp phép từ các nguồn khác trong các chương trình của họ để giảm thời gian và chi phí phát triển. Điều này có nghĩa là các phần lớn của nhiều phần mềm sẽ giống nhau, và nếu một kẻ tấn công phát hiện ra các lỗ hổng trong mã đó, nhiều phần mềm sẽ gặp rủi ro.

Kẻ tấn công khai thác cấu hình và cài đặt mặc định của các thư viện và mã có sẵn. Vấn đề là các nhà phát triển phần mềm để lại các thư viện và mã không thay đổi. Họ cần tùy chỉnh và tinh chỉnh mọi phần của mã của họ để không chỉ làm cho nó an toàn hơn, mà còn đủ khác biệt để cùng một khai thác sẽ không hoạt động.

Ví dụ về mã shrink-wrap:

HÌNH 1.5: Một Ví dụ về Mã Shrink-Wrap

Chiến tranh Thông tin

Thuật ngữ chiến tranh thông tin hoặc InfoWar đề cập đến việc sử dụng công nghệ thông tin và truyền thông (CNTT) để có lợi thế cạnh tranh so với đối thủ. Ví dụ về vũ khí chiến tranh thông tin bao gồm virus, sâu, trojan, bom logic, cửa bẫy, máy nano và vi trùng, gây nhiễu điện tử, và khai thác và công cụ xâm nhập.

Martin Libicki đã chia chiến tranh thông tin thành các danh mục sau:

  • Chiến tranh chỉ huy và kiểm soát (chiến tranh C2): Trong ngành bảo mật máy tính, chiến tranh C2 đề cập đến tác động mà kẻ tấn công có đối với hệ thống hoặc mạng bị xâm phạm mà họ kiểm soát.
  • Chiến tranh dựa trên tình báo: Chiến tranh dựa trên tình báo là công nghệ dựa trên cảm biến trực tiếp làm hỏng các hệ thống công nghệ. Theo Libicki, “chiến tranh dựa trên tình báo” là một cuộc chiến bao gồm việc thiết kế, bảo vệ và từ chối các hệ thống tìm kiếm đủ kiến thức để thống trị không gian chiến đấu.
  • Chiến tranh điện tử: Theo Libicki, chiến tranh điện tử sử dụng các kỹ thuật vô tuyến điện tử và mật mã để làm suy yếu truyền thông. Các kỹ thuật vô tuyến điện tử tấn công phương tiện vật lý của việc gửi thông tin, trong khi các kỹ thuật mật mã sử dụng bit và byte để phá vỡ phương tiện gửi thông tin.
  • Chiến tranh tâm lý: Chiến tranh tâm lý là việc sử dụng các kỹ thuật khác nhau như tuyên truyền và khủng bố để làm nản lòng đối thủ trong nỗ lực thành công trong trận chiến.
  • Chiến tranh hacker: Theo Libicki, mục đích của loại chiến tranh này có thể thay đổi từ tắt hệ thống, lỗi dữ liệu, trộm cắp thông tin, trộm cắp dịch vụ, giám sát hệ thống, gửi tin nhắn giả mạo và truy cập vào dữ liệu. Hacker thường sử dụng virus, bom logic, trojan và sniffer để thực hiện các cuộc tấn công này.
  • Chiến tranh kinh tế: Theo Libicki, chiến tranh thông tin kinh tế có thể ảnh hưởng đến nền kinh tế của một doanh nghiệp hoặc quốc gia bằng cách chặn dòng chảy thông tin. Điều này có thể đặc biệt tàn phá đối với các tổ chức thực hiện nhiều giao dịch kinh doanh trong thế giới kỹ thuật số.
  • Chiến tranh mạng: Libicki định nghĩa chiến tranh mạng là việc sử dụng các hệ thống thông tin chống lại các nhân cách ảo của cá nhân hoặc nhóm. Đây là hình thức chiến tranh thông tin rộng rãi nhất và bao gồm khủng bố thông tin, tấn công ngữ nghĩa (tương tự như chiến tranh Hacker, nhưng thay vì làm hại hệ thống, nó chiếm quyền điều khiển hệ thống và hệ thống sẽ được coi là đang hoạt động chính xác), và chiến tranh mô phỏng (chiến tranh mô phỏng, ví dụ, mua vũ khí chỉ để trưng bày thay vì sử dụng thực sự).

Mỗi hình thức chiến tranh thông tin được đề cập ở trên bao gồm cả chiến lược phòng thủ và tấn công.

  • Chiến tranh Thông tin Phòng thủ: Liên quan đến tất cả các chiến lược và hành động để bảo vệ chống lại các cuộc tấn công vào tài sản CNTT.
  • Chiến tranh Thông tin Tấn công: Liên quan đến các cuộc tấn công chống lại tài sản CNTT của đối thủ.

HÌNH 1.6: Sơ đồ khối của Chiến tranh Thông tin

Khái niệm Hacking

Phần này đề cập đến các khái niệm cơ bản về hacking: hacking là gì, ai là hacker, và các lớp hacker – năm giai đoạn hacking riêng biệt mà người ta nên làm quen trước khi tiến hành phương pháp ethical hacking.

Hacking là gì?

Hacking trong lĩnh vực bảo mật máy tính đề cập đến việc khai thác các lỗ hổng hệ thống và xâm phạm các biện pháp kiểm soát bảo mật để có quyền truy cập trái phép hoặc không phù hợp vào tài nguyên hệ thống. Chúng liên quan đến việc sửa đổi các tính năng của hệ thống hoặc ứng dụng để đạt được mục tiêu ngoài mục đích ban đầu của người tạo ra. Hacking có thể được sử dụng để đánh cắp, chiếm đoạt và phân phối lại tài sản trí tuệ, dẫn đến tổn thất kinh doanh.

Hacking trên mạng máy tính thường được thực hiện bằng các script hoặc lập trình mạng khác. Các kỹ thuật hacking mạng bao gồm tạo virus và sâu, thực hiện các cuộc tấn công từ chối dịch vụ (DoS), thiết lập kết nối truy cập từ xa trái phép vào một thiết bị bằng cách sử dụng trojan/backdoor, tạo botnet, sniffing gói tin, phishing và bẻ khóa mật khẩu. Động cơ đằng sau hacking có thể là để đánh cắp thông tin và/hoặc dịch vụ quan trọng, vì sự thích thú, thử thách trí tuệ, tò mò, thí nghiệm, kiến thức, lợi ích tài chính, uy tín, quyền lực, sự công nhận của đồng nghiệp, trả thù và báo thù, v.v.

Ai là Hacker?

Một hacker là một người phá vỡ hệ thống hoặc mạng mà không được ủy quyền để phá hủy, đánh cắp dữ liệu nhạy cảm hoặc thực hiện các cuộc tấn công độc hại. Hacker là một cá nhân thông minh với kỹ năng máy tính xuất sắc, cùng với khả năng tạo ra và khám phá phần mềm và phần cứng của máy tính. Thông thường, một hacker sẽ là một kỹ sư hoặc lập trình viên có kỹ năng với đủ kiến thức để phát hiện các lỗ hổng trong hệ thống mục tiêu. Anh/cô ấy thường là một chuyên gia về chủ đề và thích học hỏi chi tiết của các ngôn ngữ lập trình và hệ thống máy tính khác nhau.

Đối với một số hacker, hacking là một sở thích để xem họ có thể xâm nhập bao nhiêu máy tính hoặc mạng. Ý định của họ có thể là để có được kiến thức hoặc để tìm tòi để làm những điều bất hợp pháp. Một số người thực hiện hacking với ý định độc hại đằng sau các hành động của họ, như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, số an sinh xã hội, mật khẩu email, v.v.

Các loại Hacker

Hacker thường rơi vào một trong các danh mục sau, theo hoạt động của họ:

  • Black Hats: Black hats là những cá nhân sử dụng kỹ năng máy tính phi thường của họ cho mục đích bất hợp pháp hoặc độc hại. Danh mục hacker này thường liên quan đến các hoạt động tội phạm. Chúng cũng được gọi là cracker.
  • White Hats: White hats hoặc kiểm thử viên thâm nhập là những cá nhân sử dụng kỹ năng hacking của họ cho mục đích phòng thủ. Ngày nay, hầu hết mọi tổ chức đều có các nhà phân tích bảo mật am hiểu về các biện pháp chống lại hacking, có thể bảo vệ mạng và hệ thống thông tin của họ khỏi các cuộc tấn công độc hại. Họ được phép từ chủ sở hữu hệ thống.
  • Gray Hats: Gray hats là những cá nhân làm việc cả về mặt tấn công và phòng thủ tại các thời điểm khác nhau. Gray hats nằm giữa white hat và black hat. Gray hats có thể giúp hacker tìm ra các lỗ hổng khác nhau của hệ thống hoặc mạng và đồng thời giúp nhà cung cấp cải thiện sản phẩm (phần mềm hoặc phần cứng) bằng cách kiểm tra hạn chế và làm cho chúng an toàn hơn.
  • Suicide Hackers: Suicide hackers là những cá nhân nhằm mục đích hạ gục cơ sở hạ tầng quan trọng vì một “nguyên nhân” và không lo lắng về việc phải đối mặt với án tù hoặc bất kỳ hình phạt nào khác. Suicide hackers tương tự như những kẻ đánh bom tự sát, hy sinh mạng sống của họ cho một cuộc tấn công và do đó không quan tâm đến hậu quả của hành động của họ.
  • Script Kiddies: Script kiddies là những hacker không có kỹ năng xâm phạm hệ thống bằng cách chạy các script, công cụ và phần mềm do các hacker thực sự phát triển. Họ thường tập trung vào số lượng cuộc tấn công hơn là chất lượng của các cuộc tấn công mà họ khởi xướng.
  • Cyber Terrorists: Cyber terrorists là những cá nhân có phạm vi kỹ năng rộng, được thúc đẩy bởi niềm tin tôn giáo hoặc chính trị để tạo ra nỗi sợ hãi về sự gián đoạn quy mô lớn của mạng máy tính.
  • State Sponsored Hackers: State sponsored hackers là những cá nhân được chính phủ thuê để thâm nhập và có được thông tin tối mật và để làm hỏng hệ thống thông tin của các chính phủ khác.
  • Hacktivist: Hacktivism là khi hacker phá vỡ hệ thống máy tính của chính phủ hoặc doanh nghiệp như một hành động phản đối. Hacktivist sử dụng hacking để nâng cao nhận thức về chương trình nghị sự xã hội hoặc chính trị của họ, cũng như về bản thân họ, trong cả lĩnh vực trực tuyến và ngoại tuyến. Họ là những cá nhân thúc đẩy một chương trình nghị sự chính trị bằng cách hacking, đặc biệt là bằng cách phá hoại hoặc vô hiệu hóa các trang web.

Các mục tiêu hacktivist phổ biến bao gồm các cơ quan chính phủ, tập đoàn đa quốc gia, hoặc bất kỳ thực thể nào mà họ coi là một mối đe dọa. Tuy nhiên, vẫn là một thực tế rằng việc có được quyền truy cập trái phép là một tội phạm, bất kể ý định của họ là gì.

Các giai đoạn Hacking

Nói chung, có năm giai đoạn của hacking:

  • Reconnaissance (Trinh sát)
  • Scanning (Quét)
  • Gaining Access (Có được quyền truy cập)
  • Maintaining Access (Duy trì quyền truy cập)
  • Clearing Tracks (Xóa dấu vết)

Giai đoạn Hacking: Reconnaissance

Reconnaissance đề cập đến giai đoạn chuẩn bị trong đó kẻ tấn công thu thập càng nhiều thông tin càng tốt về mục tiêu trước khi khởi động cuộc tấn công. Trong giai đoạn này, kẻ tấn công dựa vào thông tin tình báo cạnh tranh để tìm hiểu thêm về mục tiêu. Nó có thể là điểm quay lại trong tương lai, được ghi chú để dễ dàng xâm nhập cho một cuộc tấn công khi biết thêm về mục tiêu trên quy mô rộng. Phạm vi mục tiêu reconnaissance có thể bao gồm khách hàng, nhân viên, hoạt động, mạng và hệ thống của tổ chức mục tiêu.

Giai đoạn này cho phép kẻ tấn công lập kế hoạch cho cuộc tấn công. Điều này có thể mất một thời gian khi kẻ tấn công thu thập càng nhiều thông tin càng tốt. Một phần của reconnaissance này có thể liên quan đến kỹ thuật xã hội. Một kỹ sư xã hội là một người thuyết phục mọi người tiết lộ thông tin như số điện thoại không được liệt kê, mật khẩu và thông tin nhạy cảm khác. Ví dụ, hacker có thể gọi cho nhà cung cấp dịch vụ Internet của mục tiêu và, sử dụng bất kỳ thông tin cá nhân nào đã thu thập được trước đó, thuyết phục đại diện dịch vụ khách hàng rằng hacker thực sự là mục tiêu, và trong quá trình đó, thu được thêm thông tin về mục tiêu.

Một kỹ thuật reconnaissance khác là dumpster diving. Dumpster diving đơn giản là tìm kiếm thông tin nhạy cảm bị loại bỏ trong thùng rác của một tổ chức. Kẻ tấn công có thể sử dụng Internet để thu thập thông tin như thông tin liên hệ của nhân viên, đối tác kinh doanh, công nghệ hiện đang sử dụng và các kiến thức kinh doanh quan trọng khác. Nhưng dumpster diving có thể cung cấp cho họ thông tin nhạy cảm hơn, chẳng hạn như tên người dùng, mật khẩu, bảng sao kê thẻ tín dụng, bảng sao kê ngân hàng, biên lai ATM, số an sinh xã hội, số điện thoại riêng, số tài khoản séc và bất kỳ thứ gì khác.

Tìm kiếm trang web của công ty mục tiêu trong cơ sở dữ liệu Whois của Internet có thể dễ dàng cung cấp cho hacker địa chỉ IP, tên miền và thông tin liên hệ của công ty.

Các loại Reconnaissance

Các kỹ thuật reconnaissance được phân loại rộng rãi thành chủ động và thụ động.

Khi kẻ tấn công sử dụng các kỹ thuật reconnaissance thụ động, anh ta/cô ta không tương tác trực tiếp với mục tiêu. Thay vào đó, kẻ tấn công dựa vào thông tin có sẵn công khai, bản tin, v.v.

Các kỹ thuật reconnaissance chủ động, mặt khác, liên quan đến tương tác trực tiếp với mục tiêu bằng cách sử dụng các công cụ để phát hiện các cổng mở, máy chủ có thể truy cập, vị trí router, lập bản đồ mạng, chi tiết về hệ điều hành và ứng dụng. Kẻ tấn công sử dụng reconnaissance chủ động khi có xác suất thấp về việc phát hiện các hoạt động này. Ví dụ, các cuộc gọi điện thoại đến bộ phận hỗ trợ hoặc phòng kỹ thuật.

Là một ethical hacker, bạn phải có khả năng phân biệt giữa các phương pháp reconnaissance khác nhau, và ủng hộ các biện pháp phòng ngừa dựa trên các mối đe dọa tiềm ẩn. Các công ty, về phần mình, phải giải quyết bảo mật như một phần không thể thiếu của chiến lược kinh doanh và/hoặc hoạt động của họ, và được trang bị các chính sách và thủ tục phù hợp để kiểm tra các lỗ hổng tiềm ẩn.

Giai đoạn Hacking: Scanning

Scanning là giai đoạn ngay trước cuộc tấn công. Ở đây, kẻ tấn công sử dụng các chi tiết thu thập được trong quá trình reconnaissance để quét mạng để tìm thông tin cụ thể. Scanning là một phần mở rộng hợp lý của reconnaissance chủ động, và thực tế, một số chuyên gia không phân biệt scanning từ reconnaissance chủ động. Tuy nhiên, có một sự khác biệt nhỏ, đó là scanning liên quan đến việc thăm dò sâu hơn từ phía kẻ tấn công. Thường thì các giai đoạn reconnaissance và scanning chồng chéo lên nhau, và không phải lúc nào cũng có thể tách biệt hai giai đoạn này. Kẻ tấn công có thể thu thập thông tin mạng quan trọng như việc lập bản đồ các hệ thống, router và tường lửa bằng cách sử dụng các công cụ đơn giản như tiện ích Windows tiêu chuẩn Traceroute. Ngoài ra, họ có thể sử dụng các công cụ như Cheops để thêm thông tin bổ sung vào kết quả của Traceroute.

Scanning có thể bao gồm việc sử dụng các công cụ quay số, scanner cổng, mapper mạng, công cụ ping, scanner lỗ hổng, v.v. Kẻ tấn công trích xuất thông tin như các máy hoạt động, cổng, trạng thái cổng, chi tiết hệ điều hành, loại thiết bị, thời gian hoạt động của hệ thống, v.v. để khởi động cuộc tấn công.

Scanner cổng phát hiện các cổng đang lắng nghe để tìm thông tin về bản chất của các dịch vụ đang chạy trên máy mục tiêu. Kỹ thuật phòng thủ chính chống lại scanner cổng là tắt các dịch vụ không cần thiết, cũng như triển khai lọc cổng thích hợp. Tuy nhiên, kẻ tấn công vẫn có thể sử dụng các công cụ để xác định các quy tắc được triển khai bởi việc lọc cổng.

Các công cụ được sử dụng phổ biến nhất là scanner lỗ hổng, có thể tìm kiếm hàng nghìn lỗ hổng đã biết trên mạng mục tiêu. Điều này mang lại lợi thế cho kẻ tấn công vì họ chỉ cần tìm một phương tiện xâm nhập duy nhất, trong khi các chuyên gia hệ thống phải bảo vệ càng nhiều lỗ hổng càng tốt bằng cách áp dụng các bản vá. Các tổ chức sử dụng hệ thống phát hiện xâm nhập vẫn phải duy trì cảnh giác, vì kẻ tấn công có thể và sẽ sử dụng các kỹ thuật né tránh ở mọi bước trên đường đi.

Giai đoạn Hacking: Gaining Access

Đây là giai đoạn khi thực sự xảy ra việc xâm phạm mục tiêu. Kẻ tấn công có thể khai thác một lỗ hổng được phát hiện trong giai đoạn pre-attack hoặc sử dụng các lỗ hổng bảo mật như chính sách bảo mật yếu để có quyền truy cập vào hệ thống. Điểm quan trọng ở đây là trong khi kẻ tấn công chỉ cần một cổng xâm nhập, các tổ chức cần phải bảo vệ nhiều cổng. Một khi đã vào bên trong, kẻ tấn công có thể leo thang đặc quyền và cài đặt một cửa hậu để duy trì quyền truy cập vào hệ thống và khai thác nó.

Trong giai đoạn tấn công, kiểm thử viên thâm nhập cần:

  • Xâm nhập vòng ngoài
  • Chiếm được mục tiêu
  • Leo thang đặc quyền
  • Thực thi, cài đặt, rút lui

Hoạt động: Kiểm tra Vòng ngoài

Kỹ thuật xã hội sẽ là một hoạt động liên tục trong suốt giai đoạn kiểm thử. Các bài kiểm tra trong bối cảnh này bao gồm, nhưng không giới hạn ở, thực hiện các cuộc gọi điện thoại giả mạo hoặc giả danh để thu thập thông tin nhạy cảm, xác minh thông tin thu thập được thông qua các hoạt động như lục thùng rác, và cố gắng lấy được thông tin xác thực hợp pháp như mật khẩu và đặc quyền truy cập. Các phương tiện khác bao gồm kiểm tra email, thu thập người đáng tin cậy, và cố gắng truy xuất chi tiết xác thực hợp pháp như mật khẩu và đặc quyền truy cập. Kiểm thử viên có thể sử dụng thông tin thu thập được ở đây trong kiểm thử ứng dụng web.

  • Kiểm tra Tường lửa

Nhóm kiểm thử thâm nhập sử dụng thông tin thu được trong giai đoạn pre-attack bằng các kỹ thuật như Firewalking. Họ cố gắng vượt qua IDS và tường lửa.

Điều này bao gồm tạo và gửi các gói tin để kiểm tra quy tắc tường lửa – ví dụ, gửi các gói SYN để kiểm tra phát hiện ẩn. Điều này sẽ xác định bản chất của các phản hồi gói tin khác nhau thông qua tường lửa. Kiểm thử viên thâm nhập có thể sử dụng các gói TCP/IP tùy chỉnh với các kết hợp cờ khác nhau để liệt kê mạng mục tiêu. Điều này cũng cho biết về kiểm soát cổng nguồn của mục tiêu.

Thông thường, kiểm tra vòng ngoài đo lường khả năng của tường lửa trong việc xử lý phân mảnh, các phân đoạn gói lớn, các phân đoạn chồng chéo, một lượng lớn gói tin, v.v. Các phương pháp kiểm tra bảo mật vòng ngoài bao gồm, nhưng không giới hạn ở, các kỹ thuật sau:

o Đánh giá báo cáo lỗi và quản lý lỗi với các probe ICMP o Kiểm tra danh sách kiểm soát truy cập với các gói được tạo ra o Đo ngưỡng cho từ chối dịch vụ bằng cách cố gắng kết nối TCP liên tục, đánh giá kết nối TCP tạm thời và cố gắng kết nối UDP liên tục o Đánh giá quy tắc lọc giao thức bằng cách cố gắng kết nối sử dụng các giao thức khác nhau như SSH, FTP và Telnet o Đánh giá khả năng IDS bằng cách truyền nội dung độc hại (như URL được tạo sai) và quét mục tiêu khác nhau để đáp ứng với lưu lượng bất thường o Kiểm tra phản ứng của hệ thống bảo mật vòng ngoài đối với việc quét máy chủ web sử dụng nhiều phương pháp như POST, DELETE và COPY

Liệt kê Thiết bị

Một bản kiểm kê thiết bị là một danh mục các thiết bị mạng với mô tả về từng thiết bị. Trong các giai đoạn đầu của kiểm thử thâm nhập, nhóm kiểm thử có thể tham chiếu các thiết bị bằng định danh của chúng trong mạng (như địa chỉ IP, địa chỉ MAC, v.v.). Họ có thể sử dụng các công cụ liệt kê thiết bị và “ping” tất cả các thiết bị trên mạng để tạo một bản kiểm kê tất cả các thiết bị.

Sau đó, khi có kiểm tra bảo mật vật lý, các thiết bị có thể được kiểm tra chéo để xác minh vị trí và danh tính của chúng. Bước này có thể giúp xác định các thiết bị trái phép trên mạng. Một phương pháp khác là thực hiện quét ping để phát hiện phản hồi từ các thiết bị và sau đó tương quan kết quả với bản kiểm kê thực tế.

Sau đây là các tham số có thể có trong một bảng kiểm kê:

  • ID thiết bị
  • Mô tả
  • Tên máy chủ
  • Vị trí vật lý
  • Địa chỉ IP và địa chỉ MAC
  • Khả năng truy cập mạng

Hoạt động: Chiếm được Mục tiêu

Thông thường, việc chiếm được mục tiêu đề cập đến tất cả các hoạt động để khai thác càng nhiều thông tin càng tốt về một máy hoặc hệ thống cụ thể. Chiếm được một mục tiêu đề cập đến tập hợp các hoạt động trong đó kiểm thử viên đặt máy mục tiêu vào các thách thức xâm nhập hơn như quét lỗ hổng và đánh giá bảo mật. Điều này giúp thu thập thêm thông tin về mục tiêu và khai thác nó trong giai đoạn khai thác.

Ví dụ về các hoạt động như vậy bao gồm việc đặt máy vào các thủ tục sau:

  • Các cuộc tấn công dò dẫm chủ động: Điều này có thể sử dụng kết quả của các lần quét mạng để thu thập thêm thông tin có thể dẫn đến xâm phạm.
  • Chạy quét lỗ hổng: Các lần quét lỗ hổng được hoàn thành trong giai đoạn này.
  • Đánh giá hệ thống và quy trình đáng tin cậy: Điều này liên quan đến việc cố gắng truy cập tài nguyên của máy bằng cách sử dụng thông tin hợp pháp thu được thông qua kỹ thuật xã hội hoặc các phương tiện khác.

Hoạt động: Leo thang Đặc quyền

Kẻ tấn công lợi dụng các lỗi, thiếu sót trong thiết kế hoặc cấu hình sai trong hệ điều hành hoặc ứng dụng để có quyền truy cập nâng cao vào các tài nguyên thường được bảo vệ từ một ứng dụng hoặc người dùng. Leo thang đặc quyền thường được thực hiện bởi kẻ tấn công để thực hiện các hoạt động độc hại khác nhau như xóa tệp, xem thông tin nhạy cảm hoặc cài đặt các chương trình độc hại như trojan và virus. Do đó, một khi kiểm thử viên thâm nhập quản lý xâm nhập vào hệ thống mục tiêu, anh ta hoặc cô ta phải cố gắng khai thác hệ thống và có thêm quyền truy cập vào các tài nguyên được bảo vệ.

Các hoạt động bao gồm (nhưng không giới hạn ở) các kỹ thuật sau:

  • Kiểm thử viên có thể lợi dụng các chính sách bảo mật yếu, email hoặc mã web không an toàn để thu thập thông tin có thể dẫn đến leo thang đặc quyền.
  • Sử dụng các kỹ thuật như tấn công vét cạn để đạt được trạng thái đặc quyền. Các công cụ cho mục đích này bao gồm GetAdmin và các công cụ bẻ khóa mật khẩu.
  • Sử dụng trojan và phân tích giao thức.
  • Sử dụng thông tin thu được thông qua các kỹ thuật như kỹ thuật xã hội để có quyền truy cập trái phép vào các tài nguyên đặc quyền.

Hoạt động: Thực thi, Cài đặt và Rút lui

Trong giai đoạn này, kiểm thử viên thực sự xâm phạm hệ thống đã chiếm được bằng cách thực thi mã tùy ý. Mục tiêu ở đây là khám phá mức độ mà bảo mật thất bại. Kiểm thử viên sẽ cố gắng thực thi mã tùy ý, ẩn các tệp trong hệ thống bị xâm phạm và rời khỏi hệ thống mà không gây ra cảnh báo. Sau đó kiểm thử viên sẽ cố gắng quay lại hệ thống một cách bí mật. Các hoạt động bao gồm các quy trình sau:

  • Thực thi các khai thác đã có sẵn hoặc được tạo ra đặc biệt để tận dụng các lỗ hổng được xác định trong hệ thống mục tiêu.
  • Đặt hệ thống vào các cuộc tấn công từ chối dịch vụ. Điều này cũng có thể được thực hiện trong giai đoạn trước.
  • Khai thác tràn bộ đệm để lừa hệ thống chạy mã tùy ý. Kiểm thử viên có thể tạo ra một shell từ xa và cố gắng tải lên các tệp và che giấu chúng trong hệ thống.
  • Kiểm thử viên cũng có thể sử dụng virus, trojan và rootkit lợi dụng các lỗ hổng để khai thác hệ thống. Việc thiết lập một rootkit hoặc trojan có thể dẫn đến việc truy cập các hệ thống quan trọng hơn cũng có thể là một phần của quá trình kiểm thử.
  • Xóa các tệp nhật ký hoặc ngụy trang các sửa đổi để tránh các hệ quả pháp lý. Các hoạt động trong giai đoạn rút lui bao gồm thao tác các tệp nhật ký kiểm toán để xóa dấu vết của các hoạt động. Ví dụ bao gồm sử dụng các công cụ như Auditpol. Kiểm thử viên cũng có thể thay đổi cài đặt hệ thống để duy trì ẩn danh trong quá trình quay lại, thay đổi cài đặt nhật ký, v.v.
  • Quay lại hệ thống bằng cách sử dụng cửa hậu được cài đặt bởi kiểm thử viên.

Giai đoạn Hacking: Maintaining Access

Duy trì quyền truy cập đề cập đến giai đoạn khi kẻ tấn công cố gắng duy trì quyền sở hữu của họ đối với hệ thống. Một khi kẻ tấn công có được quyền truy cập vào hệ thống mục tiêu với đặc quyền admin/root (do đó sở hữu hệ thống), anh ta hoặc cô ta có thể sử dụng cả hệ thống và tài nguyên của nó theo ý muốn, và có thể sử dụng hệ thống như một bàn đạp để quét và khai thác các hệ thống khác, hoặc duy trì một hồ sơ thấp và tiếp tục khai thác hệ thống. Cả hai hành động này đều có thể gây ra một lượng lớn thiệt hại. Ví dụ, hacker có thể triển khai một sniffer để bắt tất cả lưu lượng mạng, bao gồm cả các phiên Telnet và FTP (giao thức truyền tệp) với các hệ thống khác, và sau đó truyền dữ liệu đó đến bất cứ nơi nào anh ta hoặc cô ta muốn.

Kẻ tấn công chọn không bị phát hiện sẽ xóa bằng chứng về việc xâm nhập của họ và cài đặt một cửa hậu hoặc trojan để có quyền truy cập lặp lại. Họ cũng có thể cài đặt rootkit ở cấp độ kernel để có quyền truy cập quản trị đầy đủ vào máy tính mục tiêu. Rootkit có quyền truy cập ở cấp độ hệ điều hành, trong khi trojan có quyền truy cập ở cấp độ ứng dụng. Cả rootkit và trojan đều yêu cầu người dùng cài đặt chúng cục bộ. Trong các hệ thống Windows, hầu hết các trojan tự cài đặt như một dịch vụ và chạy như hệ thống cục bộ, với quyền truy cập quản trị.
Kẻ tấn công có thể tải lên, tải xuống hoặc thao tác dữ liệu, ứng dụng và cấu hình trên hệ thống đã sở hữu và cũng có thể sử dụng trojan để chuyển tên người dùng, mật khẩu và bất kỳ thông tin nào khác được lưu trữ trên hệ thống. Chúng có thể duy trì quyền kiểm soát hệ thống trong thời gian dài bằng cách đóng các lỗ hổng để ngăn chặn các hacker khác chiếm quyền kiểm soát từ chúng, và đôi khi, trong quá trình này, cung cấp một mức độ bảo vệ nào đó cho hệ thống khỏi các cuộc tấn công khác. Kẻ tấn công sử dụng hệ thống bị xâm phạm để khởi động các cuộc tấn công tiếp theo.

Giai đoạn Hacking: Clearing Tracks

Vì những lý do rõ ràng, chẳng hạn như tránh rắc rối pháp lý và duy trì quyền truy cập, kẻ tấn công thường sẽ cố gắng xóa tất cả bằng chứng về hành động của họ. Xóa dấu vết đề cập đến các hoạt động được thực hiện bởi kẻ tấn công để che giấu các hành vi độc hại. Ý định của kẻ tấn công bao gồm tiếp tục truy cập vào hệ thống của nạn nhân, duy trì không bị phát hiện và không bị bắt, xóa bằng chứng có thể dẫn đến việc truy tố anh ta hoặc cô ta. Chúng sử dụng các tiện ích như công cụ PsTools (https://docs.microsoft.com) hoặc Netcat hoặc trojan để xóa dấu chân của chúng khỏi các tệp nhật ký của hệ thống. Một khi trojan được cài đặt, kẻ tấn công có khả năng đã có quyền kiểm soát hoàn toàn hệ thống và có thể thực thi các script trong trojan hoặc rootkit để thay thế các tệp hệ thống và nhật ký quan trọng để che giấu sự hiện diện của chúng trong hệ thống. Kẻ tấn công luôn che giấu dấu vết của chúng để ẩn danh tính của chúng.

Các kỹ thuật khác bao gồm steganography và tunneling. Steganography là quá trình ẩn dữ liệu trong dữ liệu khác, ví dụ như tệp hình ảnh và âm thanh. Tunneling tận dụng giao thức truyền tải bằng cách mang một giao thức qua giao thức khác. Kẻ tấn công có thể sử dụng thậm chí một lượng nhỏ không gian thêm trong tiêu đề TCP và IP của gói dữ liệu để ẩn thông tin. Kẻ tấn công có thể sử dụng hệ thống bị xâm phạm để khởi động các cuộc tấn công mới chống lại các hệ thống khác hoặc như một phương tiện để tiếp cận một hệ thống khác trên mạng mà không bị phát hiện. Do đó, giai đoạn này của cuộc tấn công có thể biến thành giai đoạn reconnaissance của một cuộc tấn công khác. Quản trị viên hệ thống có thể triển khai IDS (hệ thống phát hiện xâm nhập) dựa trên máy chủ và phần mềm chống virus để phát hiện trojan và các tệp và thư mục dường như bị xâm phạm khác. Là một ethical hacker, bạn phải nhận thức được các công cụ và kỹ thuật mà kẻ tấn công triển khai, để bạn có thể ủng hộ và thực hiện các biện pháp đối phó, được mô tả chi tiết trong các module tiếp theo.

Khái niệm Ethical Hacking

Một ethical hacker tuân theo các quy trình tương tự như một hacker độc hại. Các bước để có được và duy trì quyền truy cập vào hệ thống máy tính là tương tự bất kể ý định của hacker.

Phần này cung cấp tổng quan về ethical hacking, tại sao ethical hacking là cần thiết, phạm vi và giới hạn của ethical hacking, và các kỹ năng của một ethical hacker.

Ethical Hacking là gì?

Ethical hacking là việc sử dụng các công cụ, thủ thuật và kỹ thuật hacking để xác định các lỗ hổng nhằm đảm bảo bảo mật hệ thống. Chúng tập trung vào mô phỏng các kỹ thuật được sử dụng bởi kẻ tấn công để xác minh sự tồn tại của các lỗ hổng có thể khai thác trong bảo mật hệ thống. Ethical hackers thực hiện đánh giá bảo mật của tổ chức của họ với sự cho phép của các cơ quan có thẩm quyền liên quan.

Ngày nay, thuật ngữ hacking gắn liền chặt chẽ với các hoạt động bất hợp pháp và phi đạo đức. Có một cuộc tranh luận liên tục về việc liệu hacking có thể mang tính đạo đức hay không, với thực tế là truy cập trái phép vào bất kỳ hệ thống nào đều là một tội phạm. Hãy xem xét các định nghĩa sau:

  • Danh từ “hacker” đề cập đến một người thích tìm hiểu chi tiết của các hệ thống máy tính và mở rộng khả năng của họ.
  • Động từ “to hack” mô tả việc phát triển nhanh chóng các chương trình mới hoặc kỹ thuật đảo ngược các phần mềm hiện có để làm cho nó tốt hơn hoặc hiệu quả hơn theo những cách mới và sáng tạo.
  • Thuật ngữ “cracker” và “attacker” đề cập đến những người sử dụng kỹ năng hacking của họ cho mục đích tấn công.
  • Thuật ngữ “ethical hacker” đề cập đến các chuyên gia bảo mật sử dụng kỹ năng hacking của họ cho mục đích phòng thủ.

Hầu hết các công ty sử dụng các chuyên gia CNTT để kiểm tra hệ thống của họ đối với các lỗ hổng đã biết. Mặc dù đây là một thực hành có lợi, crackers thường quan tâm hơn đến việc sử dụng các lỗ hổng mới hơn, ít được biết đến hơn, và vì vậy các cuộc kiểm tra hệ thống theo số liệu này là không đủ. Một công ty cần ai đó có thể suy nghĩ như một cracker, cập nhật với các lỗ hổng và khai thác mới nhất, và có thể nhận ra các lỗ hổng tiềm ẩn mà những người khác không thể. Đây là vai trò của ethical hacker.

Ethical hackers thường sử dụng các công cụ và kỹ thuật tương tự như hackers, với ngoại lệ quan trọng là họ không gây hại cho hệ thống. Họ đánh giá bảo mật hệ thống, cập nhật cho quản trị viên về bất kỳ lỗ hổng nào được phát hiện, và đề xuất các thủ tục để vá những lỗ hổng đó.

Sự khác biệt quan trọng giữa ethical hackers và crackers là sự đồng thuận. Crackers đang cố gắng có được quyền truy cập trái phép vào hệ thống, trong khi ethical hackers luôn hoàn toàn cởi mở và minh bạch về những gì họ đang làm và cách họ làm điều đó. Do đó, ethical hacking luôn là hợp pháp.

Tại sao Ethical Hacking là Cần thiết

Khi công nghệ đang phát triển với tốc độ nhanh hơn, sự tăng trưởng của các rủi ro liên quan đến nó cũng vậy. Để đánh bại một hacker, bạn cần phải suy nghĩ như một hacker!

Ethical hacking là cần thiết vì nó cho phép chống lại các cuộc tấn công từ các hacker độc hại bằng cách dự đoán các phương pháp được sử dụng bởi họ để phá vỡ hệ thống. Ethical hacking giúp dự đoán các lỗ hổng có thể xảy ra trước khi chúng xảy ra và khắc phục chúng mà không phải chịu bất kỳ cuộc tấn công nào từ bên ngoài. Vì hacking liên quan đến tư duy sáng tạo, kiểm tra lỗ hổng và kiểm toán bảo mật không thể đảm bảo rằng mạng là an toàn. Để đạt được bảo mật, các tổ chức cần thực hiện chiến lược “phòng thủ theo chiều sâu” bằng cách thâm nhập vào mạng của họ để ước tính các lỗ hổng và phơi bày chúng.

Lý do tại sao các tổ chức tuyển dụng ethical hackers

  • Để ngăn chặn hacker có quyền truy cập vào hệ thống thông tin của tổ chức
  • Để phát hiện các lỗ hổng trong hệ thống và khám phá tiềm năng của chúng như một rủi ro
  • Để phân tích và củng cố tư thế bảo mật của tổ chức bao gồm chính sách, cơ sở hạ tầng bảo vệ mạng và thực hành của người dùng cuối
  • Để cung cấp các biện pháp phòng ngừa đầy đủ để tránh các vi phạm bảo mật
  • Để giúp bảo vệ dữ liệu của khách hàng có sẵn trong các giao dịch kinh doanh
  • Để nâng cao nhận thức về bảo mật ở tất cả các cấp trong doanh nghiệp

Đánh giá của một ethical hacker về bảo mật hệ thống thông tin của khách hàng tìm kiếm câu trả lời cho ba câu hỏi cơ bản:

  1. Kẻ tấn công có thể nhìn thấy gì trên hệ thống mục tiêu? Kiểm tra bảo mật thông thường bởi quản trị viên hệ thống thường bỏ qua một số lỗ hổng. Một ethical hacker sẽ phải suy nghĩ về những gì mà kẻ tấn công sẽ nhìn thấy trong các giai đoạn reconnaissance và scanning của một cuộc tấn công.
  2. Kẻ xâm nhập có thể làm gì với thông tin đó? Ethical hacker cần phân biệt ý định và mục đích đằng sau các cuộc tấn công để xác định các biện pháp đối phó thích hợp. Trong các giai đoạn gaining-access và maintaining-access của một cuộc tấn công, ethical hacker cần phải đi trước một bước so với hacker để cung cấp sự bảo vệ đầy đủ.
  3. Các nỗ lực của kẻ tấn công có được chú ý trên các hệ thống mục tiêu không? Đôi khi kẻ tấn công sẽ cố gắng trong nhiều ngày, tuần hoặc thậm chí nhiều tháng để xâm phạm một hệ thống. Các lần khác, họ sẽ có được quyền truy cập, nhưng sẽ chờ đợi trước khi làm bất cứ điều gì gây hại, thay vào đó dành thời gian để đánh giá tiềm năng sử dụng thông tin được phơi bày. Trong các giai đoạn reconnaissance và covering tracks, ethical hacker nên nhận thấy và ngăn chặn cuộc tấn công.

Sau khi thực hiện các cuộc tấn công, hacker có thể xóa dấu vết của họ bằng cách sửa đổi tệp nhật ký và tạo cửa hậu, hoặc bằng cách triển khai trojan. Ethical hackers cần điều tra xem liệu các hoạt động như vậy có được ghi lại hay không và các biện pháp phòng ngừa nào đã được thực hiện. Điều này không chỉ cung cấp cho họ đánh giá về trình độ của kẻ tấn công, mà còn cung cấp cho họ cái nhìn sâu sắc về các biện pháp bảo mật hiện có của hệ thống đang được đánh giá. Toàn bộ quá trình ethical hacking và việc vá lỗi các lỗ hổng được phát hiện sau đó phụ thuộc vào các câu hỏi như:

  • Tổ chức đang cố gắng bảo vệ điều gì?
  • Họ đang cố gắng bảo vệ nó khỏi ai hoặc cái gì?
  • Tất cả các thành phần của hệ thống thông tin có được bảo vệ, cập nhật và vá lỗi đầy đủ không?
  • Khách hàng sẵn sàng đầu tư bao nhiêu thời gian, nỗ lực và tiền bạc để có được sự bảo vệ đầy đủ?
  • Các biện pháp bảo mật thông tin có tuân thủ các tiêu chuẩn ngành và pháp lý không?

Đôi khi, để tiết kiệm nguồn lực hoặc ngăn chặn việc phát hiện thêm, khách hàng có thể quyết định kết thúc đánh giá sau khi lỗ hổng đầu tiên được tìm thấy; do đó, điều quan trọng là ethical hacker và khách hàng phải làm việc ra một khuôn khổ điều tra phù hợp trước đó. Khách hàng phải được thuyết phục về tầm quan trọng của các bài tập bảo mật này thông qua mô tả ngắn gọn về những gì đang xảy ra và những gì đang bị đe dọa. Ethical hacker cũng phải nhớ truyền đạt cho khách hàng rằng không bao giờ có thể bảo vệ hoàn toàn các hệ thống, nhưng chúng luôn có thể được cải thiện.

Phạm vi và Giới hạn của Ethical Hacking

Ethical hacking là một thành phần quan trọng của đánh giá rủi ro, kiểm toán, chống gian lận và thực hành tốt nhất về bảo mật hệ thống thông tin. Nó được sử dụng để xác định các rủi ro và nhấn mạnh các hành động khắc phục, đồng thời giảm chi phí công nghệ thông tin và truyền thông (ICT) bằng cách xác định và khắc phục các lỗ hổng hoặc điểm yếu.

Các chuyên gia bảo mật xác định phạm vi của đánh giá bảo mật theo mối quan tâm bảo mật của khách hàng. Nhiều ethical hackers là thành viên của một “Tiger Team”. Một tiger team làm việc cùng nhau để thực hiện một bài kiểm tra toàn diện bao gồm tất cả các khía cạnh của mạng, cũng như xâm nhập vật lý và hệ thống.

Một ethical hacker nên biết các hình phạt của việc hack trái phép vào một hệ thống. Không có hoạt động ethical hacking nào liên quan đến kiểm tra thâm nhập mạng hoặc kiểm toán bảo mật nên bắt đầu cho đến khi nhận được một tài liệu pháp lý đã ký cho phép ethical hacker thực hiện các hoạt động hacking từ tổ chức mục tiêu. Ethical hackers cần phải thận trọng với kỹ năng hacking của họ và nhận ra hậu quả của việc lạm dụng những kỹ năng đó.

Ethical hacker phải tuân theo một số quy tắc nhất định để thực hiện các nghĩa vụ đạo đức và đạo đức. Một ethical hacker phải làm những điều sau:

  • Có sự cho phép từ khách hàng và có một hợp đồng đã ký cho phép người kiểm tra thực hiện bài kiểm tra.
  • Duy trì bảo mật khi thực hiện bài kiểm tra và tuân theo Thỏa thuận Không Tiết lộ (NDA) với khách hàng đối với thông tin bí mật được tiết lộ trong quá trình kiểm tra. Thông tin thu thập được có thể chứa thông tin nhạy cảm và ethical hacker không được tiết lộ bất kỳ thông tin nào về bài kiểm tra hoặc dữ liệu công ty bí mật cho bên thứ ba.
  • Thực hiện bài kiểm tra đến nhưng không vượt quá giới hạn đã thỏa thuận. Ví dụ, ethical hackers chỉ nên thực hiện các cuộc tấn công DoS nếu chúng đã được thỏa thuận trước với khách hàng. Mất doanh thu, uy tín và thậm chí tồi tệ hơn có thể xảy ra với một tổ chức mà các máy chủ hoặc ứng dụng của họ không khả dụng cho khách hàng do việc kiểm tra.

Các bước sau đây cung cấp một khuôn khổ để thực hiện kiểm toán bảo mật của một tổ chức, điều này sẽ giúp đảm bảo rằng bài kiểm tra được tổ chức, hiệu quả và có đạo đức:

  • Nói chuyện với khách hàng và thảo luận về các nhu cầu cần được giải quyết trong quá trình kiểm tra.
  • Chuẩn bị và ký các tài liệu NDA với khách hàng.
  • Tổ chức một nhóm ethical hacking và chuẩn bị lịch trình kiểm tra.
  • Tiến hành bài kiểm tra.
  • Phân tích kết quả kiểm tra và chuẩn bị báo cáo.
  • Trình bày các phát hiện của báo cáo cho khách hàng.

Tuy nhiên, cũng có những hạn chế. Trừ khi các doanh nghiệp trước tiên biết họ đang tìm kiếm gì và tại sao họ thuê một nhà cung cấp bên ngoài để hack hệ thống ngay từ đầu; có khả năng sẽ không có nhiều thứ để thu được từ trải nghiệm. Một ethical hacker do đó chỉ có thể giúp tổ chức hiểu rõ hơn về hệ thống bảo mật của họ, nhưng việc đặt các biện pháp bảo vệ phù hợp trên mạng là tùy thuộc vào tổ chức.

Kỹ năng của một Ethical Hacker

Điều cần thiết đối với một ethical hacker là có được kiến thức và kỹ năng để trở thành một chuyên gia hacker và sử dụng kiến thức này một cách hợp pháp. Các kỹ năng kỹ thuật và phi kỹ thuật để trở thành một ethical hacker giỏi được thảo luận dưới đây:

  • Kỹ năng Kỹ thuật o Kiến thức sâu rộng về các môi trường hoạt động chính, như Windows, Unix, Linux và Macintosh o Kiến thức sâu rộng về các khái niệm mạng, công nghệ và phần cứng và phần mềm liên quan o Là một chuyên gia máy tính thành thạo trong các lĩnh vực kỹ thuật o Kiến thức về các lĩnh vực bảo mật và các vấn đề liên quan o Kiến thức kỹ thuật cao để khởi động các cuộc tấn công phức tạp
  • Kỹ năng Phi Kỹ thuật Một số đặc điểm phi kỹ thuật của một ethical hacker bao gồm: o Khả năng học hỏi và thích ứng nhanh với các công nghệ mới o Đạo đức làm việc mạnh mẽ và kỹ năng giải quyết vấn đề và giao tiếp tốt o Cam kết với chính sách bảo mật của tổ chức o Nhận thức về các tiêu chuẩn và luật pháp địa phương

Các Biện pháp Kiểm soát Bảo mật Thông tin

Các biện pháp kiểm soát bảo mật thông tin ngăn chặn sự xuất hiện của các sự kiện không mong muốn và giảm rủi ro cho tài sản thông tin của tổ chức. Các khái niệm bảo mật cơ bản quan trọng đối với thông tin trên Internet là tính bảo mật, tính toàn vẹn và tính khả dụng; những khái niệm liên quan đến những người truy cập thông tin là xác thực, ủy quyền và không thể chối bỏ. Thông tin là tài sản lớn nhất đối với một tổ chức, và điều cần thiết là phải bảo vệ nó bằng các phương tiện như, ví dụ, các chính sách khác nhau, tạo nhận thức và sử dụng các cơ chế bảo mật.

Phần này đề cập đến Đảm bảo Thông tin (IA), phòng thủ theo chiều sâu, chính sách bảo mật thông tin, bảo mật vật lý, quản lý rủi ro, mô hình hóa mối đe dọa, quản lý sự cố, kiểm soát truy cập, Quản lý Nhận dạng và Truy cập (IAM), ngăn chặn mất dữ liệu, sao lưu và khôi phục dữ liệu, và các vấn đề khác.

Đảm bảo Thông tin (IA)

IA đề cập đến việc đảm bảo tính toàn vẹn, tính khả dụng, tính bảo mật và tính xác thực của thông tin và hệ thống thông tin trong quá trình sử dụng, xử lý, lưu trữ và truyền tải thông tin. Các chuyên gia bảo mật thực hiện đảm bảo thông tin với sự giúp đỡ của các biện pháp kiểm soát vật lý, kỹ thuật và hành chính. Đảm bảo Thông tin và Quản lý Rủi ro Thông tin (IRM) đảm bảo rằng chỉ nhân viên được ủy quyền mới có thể truy cập và sử dụng thông tin. Điều này giúp đạt được bảo mật thông tin và tính liên tục kinh doanh.

Một số quy trình giúp đạt được đảm bảo thông tin bao gồm:

  • Phát triển chính sách, quy trình và hướng dẫn địa phương theo cách mà các hệ thống thông tin được duy trì ở mức bảo mật tối ưu.
  • Thiết kế chiến lược xác thực mạng và người dùng — Một mạng an toàn đảm bảo quyền riêng tư của hồ sơ người dùng và thông tin khác trên mạng. Triển khai một chiến lược xác thực người dùng hiệu quả bảo mật dữ liệu hệ thống thông tin.
  • Xác định các lỗ hổng và mối đe dọa của mạng — Đánh giá lỗ hổng phác thảo tư thế bảo mật của mạng. Thực hiện đánh giá lỗ hổng để tìm kiếm các lỗ hổng và mối đe dọa mạng giúp thực hiện các biện pháp thích hợp để khắc phục chúng.
  • Xác định các vấn đề và yêu cầu tài nguyên.
  • Tạo kế hoạch cho các yêu cầu tài nguyên đã xác định.
  • Áp dụng các biện pháp kiểm soát đảm bảo thông tin thích hợp.
  • Thực hiện quá trình Chứng nhận và Kiểm định (C&A) của các hệ thống thông tin giúp truy tìm các lỗ hổng và thực hiện các biện pháp an toàn để vô hiệu hóa chúng.
  • Cung cấp đào tạo đảm bảo thông tin cho tất cả nhân viên trong các tổ chức liên bang và tư nhân mang lại nhận thức về công nghệ thông tin cho họ.

Kiến trúc Bảo mật Thông tin Doanh nghiệp (EISA)

EISA là một tập hợp các yêu cầu, quy trình, nguyên tắc và mô hình xác định cấu trúc và hành vi hiện tại và/hoặc tương lai của các quy trình bảo mật, hệ thống bảo mật thông tin, nhân sự và các đơn vị phụ của tổ chức. Nó đảm bảo rằng kiến trúc bảo mật và các biện pháp kiểm soát phù hợp với các mục tiêu cốt lõi và hướng chiến lược của tổ chức.

Mặc dù EISA liên quan đến bảo mật thông tin, nó liên quan rộng hơn đến thực hành bảo mật của tối ưu hóa kinh doanh. Do đó, nó cũng đề cập đến kiến trúc bảo mật kinh doanh, quản lý hiệu suất và kiến trúc quy trình bảo mật. Mục tiêu chính của việc triển khai EISA là đảm bảo rằng bảo mật CNTT phù hợp với chiến lược kinh doanh.
Sau đây là các mục tiêu của EISA:

  • Để giúp giám sát và phát hiện hành vi mạng trong thời gian thực, hành động đối với các rủi ro bảo mật nội bộ và bên ngoài.
  • Để giúp tổ chức phát hiện và khôi phục từ các vi phạm bảo mật.
  • Để hỗ trợ trong việc ưu tiên hóa nguồn lực của tổ chức và chú ý đến các mối đe dọa khác nhau.
  • Để mang lại lợi ích cho tổ chức về mặt chi phí khi được kết hợp trong các điều khoản bảo mật như phản ứng sự cố, khôi phục thảm họa, tương quan sự kiện, v.v.
  • Để giúp phân tích các thủ tục cần thiết để bộ phận CNTT hoạt động đúng cách và xác định tài sản.
  • Để giúp thực hiện đánh giá rủi ro đối với tài sản CNTT của tổ chức với sự hợp tác của nhân viên CNTT.

Phân vùng Bảo mật Mạng

Cơ chế phân vùng bảo mật mạng cho phép tổ chức quản lý môi trường mạng an toàn bằng cách chọn các mức bảo mật thích hợp cho các vùng khác nhau của mạng Internet và Intranet. Nó giúp giám sát và kiểm soát hiệu quả lưu lượng vào và ra.

Ví dụ về các vùng bảo mật mạng bao gồm:

  • Vùng Internet: Vùng Internet, còn được gọi là vùng không đáng tin cậy, là phần của Internet nằm ngoài ranh giới của tổ chức. Nó rất dễ bị vi phạm bảo mật, vì có thể có ít hoặc không có biện pháp kiểm soát bảo mật có thể chặn một cuộc xâm nhập.
  • DMZ Internet: DMZ Internet (“demilitarized zone”; còn được gọi là vùng được kiểm soát) là một vùng được kiểm soát, hướng ra Internet thường chứa các thành phần hướng ra Internet của máy chủ web và cổng email mà qua đó nhân viên của tổ chức giao tiếp trực tiếp. Nó hoạt động như một rào cản giữa mạng riêng của tổ chức và mạng công cộng của nó.
  • Vùng Mạng Sản xuất: Vùng mạng sản xuất, còn được gọi là vùng hạn chế, hỗ trợ các chức năng mà quyền truy cập nên được hạn chế. Nó kiểm soát chặt chẽ quyền truy cập trực tiếp từ các mạng không được kiểm soát. Thông thường, một vùng hạn chế sử dụng một hoặc nhiều tường lửa để lọc lưu lượng vào và ra.
  • Vùng Intranet: Vùng intranet, còn được gọi là vùng được kiểm soát, chứa một tập hợp các máy chủ trong mạng của tổ chức nằm sau một tường lửa hoặc bộ tường lửa duy nhất, và thường có ít hạn chế hơn. Vùng này không bị hạn chế nhiều trong việc sử dụng, nhưng có một phạm vi kiểm soát thích hợp được thiết lập để đảm bảo rằng lưu lượng mạng không ảnh hưởng đến hoạt động của các chức năng kinh doanh quan trọng.
  • Vùng Mạng Quản lý hoặc Vùng An toàn: Quyền truy cập vào vùng này được giới hạn cho người dùng được ủy quyền. Quyền truy cập vào một khu vực của vùng không nhất thiết áp dụng cho một khu vực khác của vùng. Đây là một vùng an toàn với các chính sách nghiêm ngặt.

Phòng thủ theo Chiều sâu

Phòng thủ theo chiều sâu là một chiến lược bảo mật trong đó các chuyên gia bảo mật sử dụng nhiều lớp bảo vệ trong toàn bộ hệ thống thông tin. Chiến lược này sử dụng nguyên tắc quân sự rằng việc kẻ thù đánh bại một hệ thống phòng thủ phức tạp và nhiều lớp khó khăn hơn việc xâm nhập một rào cản duy nhất. Phòng thủ theo chiều sâu giúp ngăn chặn các cuộc tấn công trực tiếp chống lại hệ thống thông tin và dữ liệu của nó bởi vì một lỗ hổng trong một lớp chỉ dẫn kẻ tấn công đến lớp tiếp theo.

Chiêu sinh Khóa Học CEH v12 ANSI (Online 40 giờ qua Zoom)

Bình luận về bài viết này

Thịnh hành