Lab #4: Assessment Worksheet

Part A – Perform a Qualitative Risk Assessment for an IT

Infrastructure

Course Name: IAA202

Student Name: NGUYỄN TUẤN LINH_SE130002
Instructor Name: MAI HOÀNG ĐỈNH
Lab Due Date: 26/01/2021
1. Scenario/Vertical Industry:

a. Healthcare provider under HIPPA compliance law

b. Regional bank under GLBA compliance law

c. Nationwide retailer under PCI DSS standard requirements

d. Higher-education institution under FERPA compliance law

2. Given the list, perform a qualitative risk assessment by assigning a risk

impact/risk factor to each of identified risks, threats, and vulnerabilities
throughout the seven domains of a typical IT infrastructure that the risk,
threat, or vulnerability resides

Primary Domain Risk

Risk-Threat-Vulnerability
Impacted Impact/Factor

Unauthorized access from public Remote Access

1
Internet Domain
User destroys data in application and Systems/Application
3
deletes all files Domain
Hacker penetrates your IT LAN-to-WAN Domain
infrastructure and gains access to 1
your internal network
Intra-office employee romance gone User Domain
3
bad
Fire destroys primary data center Systems/Application
1
Domain
Service provider SLA is not achieved WAN Domain 3
Workstation OS has a known Workstation Domain
2
software vulnerability
Unauthorized access to organization Workstation Domain
1
owned workstations
Loss of production data Systems/Application
2
Domain
Denial of service attack on LAN-to-WAN Domain
1
organization DMZ e-mail server
Remote communications from home Remote Access
2
office Domain
LAN server OS has a known LAN Domain
2
software vulnerability
User downloads and clicks on an User Domain
1
unknown
Workstation browser has a software Workstation Domain
3
vulnerability
Mobile employee needs secure Remote Access
browser access to sales order entry Domain 3
system
Service provider has a major network WAN Domain
2
outage
Weak ingress/egress traffic filtering LAN-to-WAN Domain
3
degrades performance
User inserts CDs and USB hard User Domain
drives with personal photos, music,
2
and videos on organization owned
computers
VPN tunneling between remote LAN-to-WAN Domain
computer and ingress/egress router is 2
needed
WLAN access points are needed for LAN Domain
LAN connectivity within a 3
warehouse
Need to prevent eavesdropping on LAN Domain 1
WLAN due to customer privacy data
access
DoS/DDoS attack from the WAN Domain
1
WAN/Internet
3. For each of the identified risks, threats, and vulnerabilities, prioritize them

by listing a “1”, “2”, and “3” next to each risk, threat, vulnerability found

within each of the seven domains of a typical IT infrastructure. “1” =

Critical, “2” = Major, “3” = Minor. Define the following qualitative risk

impact/risk factor metrics:

a. “1” Critical – a risk, threat, or vulnerability that impacts compliance

(i.e., privacy law requirement for securing privacy data and

implementing proper security controls, etc.) and places the

organization in a position of increased liability.

b. “2” Major – a risk, threat, or vulnerability that impacts the C-I-A of

an organization’s intellectual property assets and IT infrastructure.

c. “3”Minor – a risk, threat, or vulnerability that can impact user or

employee productivity or availability of the IT infrastructure.

User Domain Risk Impacts:

1) User downloads and clicks on an unknown e-mail attachment.

2) User inserts CDs and USB hard drives with personal photos, music, and videos

on organization owned computers.

3) Intra-office employee romance gone bad.

Workstation Domain Risk Impacts:

1) Unauthorized access to organization owned workstations.

2) Workstation OS has a known software vulnerability.

3) Workstation browser has software vulnerability.

LAN Domain Risk Impacts:

1) Need to prevent eavesdropping on WLAN due to customer privacy data access.

2) LAN server OS has a known software vulnerability.

3) WLAN access points are needed for LAN connectivity within a warehouse.

LAN-to-WAN Domain Risk Impacts:

1) Denial of service attack on organization DMZ and e-mail server.

2) VPN tunneling between remote computer and ingress/egress router is needed.

3) Weak ingress/egress traffic filtering degrades performance.

WAN Domain Risk Impacts:

1) DoS/DDoS attack from the WAN/Internet.

2) Service provider has a major network outage.

3) Service provider SLA is not achieved.

Remote Access Domain Risk Impacts:

1) Unauthorized access from public Internet.

2) Remote communications from home office.

3) Mobile employee needs secure browser access to sales order entry system.
Systems/Applications Domain Risk Impacts:

1) Fire destroys primary data center.

2) Loss of production data.

3) User destroys data in application and deletes all files.

Perform a Qualitative Risk Assessment for an IT Infrastructure

1. What is the goal or objective of an IT risk assessment?

 Để xác định và đánh giá rủi ro. Rủi ro sau đó được định lượng dựa trên

mức độ quan trọng hoặc mức độ ảnh hưởng của chúng. Sau đó, các rủi ro

được ưu tiên, chúng là một phần chính của chương trình quản lý rủi ro

tổng thể và chúng giúp xác định rủi ro nào là quan trọng.

2. Why is it difficult to conduct a qualitative risk assessment for an IT

infrastructure?

 Bởi vì rất khó để thực hiện đánh giá rủi ro định tính cho cơ sỡ hạ tầng

CNTT vì việc có được các yếu tố chi phí chính xác và các khoảng nợ

tiềm tàng rất khó xác định đối với một tổ chức. Do đó, nhiều tổ chức lựa
 chọn thực hiện đánh giá rủi tác động rủi ro/ yếu tố rủi ro của các mối đe

dọa và lỗ hổng được xác định đối với một tổ chức.

3. What was your rationale in assigning “1” risk impact/ risk factor value of

“Critical” for an identified risk, threat, or vulnerability?

 Lý do đằng sau việc gán giá trị yếu tố rủi ro/yếu tố rủi ro của 1 trong một đối

với rủi ro, mối đe dọa hoặc tính dễ bị tổn thương là bời vì bất kỳ điều gì ảnh

hưởng đến sự tuân thủ pháp lý và trách nhiệm pháp lý của khách hàng đối

với việc không tuân thủ là rủi ro lớn nhất của một tổ chức.

4. When you assembled all of the “1” and “2” and “3” risk impact/risk factor

values to the identified risks, threats, and vulnerabilities, how did you

prioritize the “1”, “2”, and “3” risk elements? What would you say to

executive management in regards to your final recommended prioritization?

 Trước tiên, bạn xác định các rủi ro bằng cách khảo sát và phỏng vấn các

chuyên gia và sau đó gán giá trị xác suất và tác động cho các rủi ro. Sau đó

biên dịch và tóm tắt để đặt giá trị số. Rồi sẽ nói với ban quản lý điều hành

rằng rủi ro level 3 cần phải được tham gia càng sớm càng tốt.

5. Identify a risk mitigation solution for each of the following risk factors:

a. User downloads and clicks on an unknown e-mail attachment –

 Tổ chức nên cung cấp đào tạo cho tất cả nhân viên trong việc xử lý

thích hợp các tệp đính kèm email và liên kết. Không bao giờ mở bất

kỳ tệp đính kèm hoặc nhấp và liên kết từ các nguồn không xác định.

b. Workstation OS has a known software vulnerability –

Áp dụng các bản vá và cập nhật hệ điều hành mới nhất để loại bỏ lỗ

hổng phần mềm.

c. Need to prevent eavesdropping on WLAN due to customer privacy

data access –

Đảm bảo tất cả các cổng không sử dụng được tắt trên các bộ định

tuyến biên. Sử dụng thiết bị theo dõi gói để tìm và chặn bất kỳ lưu

lượng đánh ngờ nào được tìm thấy trên các mạch WAN

d. Weak ingress/egress traffic filtering degrades performance –

Cập nhấp và áp dụng tất cả các bản vá hệ điều hành bộ định tuyến.

Xây dựng các bộ lọc để chặn nhân viên khỏi cơ sỡ dữ liệu torrent âm

nhạc và phim. Các cơ sở dữ liệu này nổi tiếng là có phần mềm gián

điệp, phần mềm độc hại và virut làm giảm hiệt suất mạng.

e. DoS/DDoS attack from the WAN/Internet –

Đảm bảo các quản trị viên hệ thống nội bộ biết về bất kỳ nguồn lưu

lượng đáng ngờ nào đã được xem xét và được biết là khởi chạy các

cuộc tấn công DDos. Nếu xảy ra DDos, điều quan trong là các tài
 nguyên kỹ thuật phù hợp sẽ được thông báo ngay lập tức để họ có thể

xác định vị trí các địa chỉ IP vi phạm và chặn chụng tại tường lửa của

tổ chức.

f. Remote access from home office –remote policies,

Đảm bảo rằng tất cả nhân viên một lần nữa được thông báo và đào tạo

về việc sử dụng đúng các kết nối VPN. Họ cần lưu ý rằng không có ổ

đĩa USB nào đucợ phép kết nối với PC hoặc máy tính xách tay ở nhà

của họ. Các PC tại nhà phải có các chương trình chống virus và

malware.

g. Production server corrupts database –

Server cần phải có các công cụ chống virus cần được triển khai để loại

bỏ dữ liệu bị hỏng. Bất kì dữ liệu hỏng nào sau đó sẽ bị sao chép lại từ

dữ liệu sao lưu mà tổ chức lưu trữ tại cơ sỡ ngoại vi khác.