Hình 1.

6 Mối quan hệ so sánh của các thành phần chính sách bảo mật

Chính sách

Tiêu chuẩn /
Đường cơ sở

Nguyên tắc

thủ tục

Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa

Mô hình hóa mối đe dọa là quá trình bảo mật trong đó các mối đe dọa tiềm ẩn được xác
định, phân loại và phân tích.Mô hình mối đe dọacó thể được thực hiện như một biện
pháp chủ động trong quá trình thiết kế và phát triển hoặc như một biện pháp phản ứng
sau khi một sản phẩm đã được triển khai.

Trong cả hai trường hợp, quy trình xác định tác hại tiềm ẩn, xác suất xảy ra, mức độ ưu
tiên cần quan tâm và các phương tiện để loại bỏ hoặc giảm bớt mối đe dọa. Trong phần
này, chúng tôi trình bày các ví dụ khác nhau về các khái niệm mô hình mối đe dọa cũng
như một số phương pháp luận mô hình hóa mối đe dọa.

Mô hình mối đe dọa không có nghĩa là một sự kiện duy nhất. Thay vào đó, một tổ
chứcthường bắt đầu lập mô hình mối đe dọa sớm trong quá trình thiết kế hệ thống và
tiếp tục trong suốt vòng đời của nó. Ví dụ: Microsoft sử dụngVòng đời phát triển bảo
mật (SDL) quy trình xem xét và thực hiện bảo mật ở từng giai đoạn phát triển của sản
phẩm. Điều này ủng hộ phương châm “Bảo mật theo thiết kế, Bảo mật theo mặc định,
Bảo mật khi triển khai và giao tiếp” (còn được gọi làSD3 + C). Nó có hai mục tiêu
trong quá trình này:
Để giảm số lượng lỗi thiết kế và mã hóa liên quan đến bảo mật Để giảm
mức độ nghiêm trọng của bất kỳ lỗi nào còn lại
Nói cách khác, nó cố gắng giảm thiểu các lỗ hổng và giảm tác động của bất kỳ lỗ hổng
nào còn sót lại. Kết quả chung là giảm rủi ro.
Tại tiếp cận chủ độngđể mô hình hóa mối đe dọa diễn ra trong giai đoạn đầu của quá
trình phát triển hệ thống, cụ thể là trong quá trình thiết kế ban đầu và thiết lập thông số
kỹ thuật. Kiểu mô hình hóa mối đe dọa này còn được gọi là cách tiếp cận phòng thủ.
Phương pháp này dựa trên việc dự đoán các mối đe dọa và thiết kế các biện pháp phòng
thủ cụ thể trong quá trình viết mã và chế tạo, thay vì dựa vào các bản cập nhật và bản vá
sau khi triển khai. Trong hầu hết các trường hợp, các giải pháp bảo mật tích hợp hiệu
quả hơn về chi phí và thành công hơn so với những giải pháp được cải tiến sau này.
Thật không may, không phải tất cả các mối đe dọa đều có thể được dự đoán trong giai
đoạn thiết kế, do đó, mô hình mối đe dọa theo cách tiếp cận phản ứng vẫn cần thiết để
giải quyết các vấn đề không lường trước được.
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 31
Tại cách tiếp cận phản ứngđể mô hình hóa mối đe dọa diễn ra sau khi một sản phẩm đã
được tạo và triển khai. Việc triển khai này có thể trong môi trường thử nghiệm hoặc
phòng thí nghiệm hoặc trên thị trường chung. Loại mô hình hóa mối đe dọa này còn
được gọi là phương pháp tiếp cận đối thủ. Kỹ thuật mô hình hóa mối đe dọa này là khái
niệm cốt lõi đằng sau hack đạo đức, kiểm tra thâm nhập, xem xét mã nguồn và kiểm tra
lông tơ. Mặc dù các quy trình này thường hữu ích trong việc tìm ra các lỗ hổng và mối
đe dọa cần được giải quyết, nhưng rất tiếc, chúng dẫn đến nỗ lực bổ sung trong việc mã
hóa để bổ sung các biện pháp đối phó mới. Quay trở lại giai đoạn thiết kế có thể tạo ra
các sản phẩm tốt hơn về lâu dài, nhưng việc bắt đầu lại từ đầu sẽ rất tốn kém và gây ra
sự chậm trễ đáng kể trong thời gian phát hành sản phẩm. Do đó, cách tắt là tạo các bản
cập nhật hoặc bản vá để thêm vào sản phẩm sau khi triển khai.

Kiểm tra lông tơlà một kỹ thuật kiểm thử chuyên dụng động cung cấp nhiều loại đầu
vào khác nhau cho phần mềm để nhấn mạnh các giới hạn của nó và tìm ra các sai sót
chưa được phát hiện trước đó. Phần mềm kiểm tra Fuzz cung cấp đầu vào không hợp lệ
cho phần mềm, được tạo ngẫu nhiên hoặc được tạo đặc biệt để kích hoạt các lỗ hổng
phần mềm đã biết. Sau đó, trình kiểm tra fuzz sẽ theo dõi hiệu suất của ứng dụng, xem
các lỗi phần mềm, lỗi tràn bộ đệm hoặc các kết quả không mong muốn và / hoặc không
thể đoán trước khác. Xem Chương 15, “Đánh giá và kiểm tra bảo mật” để biết thêm về
kiểm tra lông tơ.

Xác định các mối đe dọa

Có khả năng xảy ra gần như vô hạn về các mối đe dọa, vì vậy điều quan trọng là sử
dụng phương pháp tiếp cận có cấu trúc để xác định chính xác các mối đe dọa có liên
quan. Ví dụ: một số tổ chức sử dụng một hoặc nhiều trong ba cách tiếp cận sau:
Tập trung vào tài sảnPhương pháp này sử dụng kết quả định giá tài sản và cố gắng xác
định các mối đe dọa đối với tài sản có giá trị đó. Ví dụ, một tài sản cụ thể có thể được
đánh giá để xác định xem nó có dễ bị tấn công hay không. Nếu nội dung lưu trữ dữ liệu,
các kiểm soát truy cập có thể được đánh giá để xác định các mối đe dọa có thể bỏ qua
cơ chế xác thực hoặc ủy quyền.
Tập trung vào những kẻ tấn côngMột số tổ chức có thể xác định những kẻ tấn công tiềm
năng và có thể xác định các mối đe dọa mà họ đại diện dựa trên mục tiêu của kẻ tấn
công. Ví dụ, một chính phủ thường có thể xác định những kẻ tấn công tiềm năng và
nhận ra những gì những kẻ tấn công muốn đạt được. Sau đó, họ có thể sử dụng kiến
thức này để xác định và bảo vệ các tài sản liên quan của mình. Một thách thức với cách
tiếp cận này là những kẻ tấn công mới có thể xuất hiện mà trước đây không được coi là
một mối đe dọa.
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 32
Tập trung vào phần mềmNếu một tổ chức phát triển phần mềm, tổ chức đó có thể xem
xét các mối đe dọa tiềm ẩn đối với phần mềm đó. Mặc dù các tổ chức thường không
phát triển phần mềm của riêng họ cách đây nhiều năm, nhưng ngày nay việc làm đó là
phổ biến. Cụ thể, hầu hết các tổ chức đều có sự hiện diện trên web và nhiều tổ chức tạo
ra các trang web của riêng họ. Các trang web ưa thích thúc đẩy nhiều lưu lượng truy
cập hơn, nhưng chúng cũng yêu cầu lập trình phức tạp hơn và đưa ra các mối đe dọa bổ
sung.
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 33

Nếu mối đe dọa được xác định là kẻ tấn công (trái ngược với mối đe dọa tự nhiên), mô
hình mối đe dọa sẽ cố gắng xác định những gì kẻ tấn công có thể đang cố gắng thực
hiện. Một số kẻ tấn công có thể muốn vô hiệu hóa hệ thống, trong khi những kẻ tấn
công khác có thể muốn đánh cắp dữ liệu. Một khi các mối đe dọa như vậy được xác
định, chúng được phân loại dựa trên mục tiêu hoặc động cơ của chúng. Ngoài ra, người
ta thường ghép các mối đe dọa với các lỗ hổng để xác định các mối đe dọa có thể khai
thác các lỗ hổng và thể hiện các rủi ro đáng kể cho tổ chức. Mục tiêu cuối cùng của mô
hình hóa mối đe dọa là ưu tiên các mối đe dọa tiềm ẩn đối với các tài sản có giá trị của
tổ chức.
Khi cố gắng kiểm kê và phân loại các mối đe dọa, việc sử dụng tài liệu hướng dẫn hoặc
tài liệu tham khảo thường rất hữu ích. Microsoft đã phát triển một sơ đồ phân loại mối
đe dọa được gọi là mô hình mối đe dọa STRIDE. STRIDE thường được sử dụng liên
quan đến việc đánh giá các mối đe dọa chống lại các ứng dụng hoặc hệ điều hành. Tuy
nhiên, nó cũng có thể được sử dụng trong các ngữ cảnh khác.STRIDElà từ viết tắt của
từ sau:
Giả mạo: Một cuộc tấn công với mục tiêu giành quyền truy cập vào hệ thống mục tiêu
thông qua việc sử dụng danh tính giả. Giả mạo có thể được sử dụng để chống lại địa chỉ
Giao thức Internet (IP), địa chỉ MAC, tên người dùng, tên hệ thống, số nhận dạng bộ
dịch vụ mạng không dây (SSID), địa chỉ email và nhiều loại nhận dạng logic khác. Khi
kẻ tấn công giả mạo danh tính của họ như một thực thể hợp lệ hoặc được ủy quyền, họ
thường có thể vượt qua các bộ lọc và phong tỏa để chống lại truy cập trái phép. Khi một
cuộc tấn công giả mạo đã cấp thành công cho kẻ tấn công quyền truy cập vào hệ thống
mục tiêu, các cuộc tấn công lạm dụng, đánh cắp dữ liệu hoặc leo thang đặc quyền tiếp
theo có thể được bắt đầu.
Giả mạo: Bất kỳ hành động nào dẫn đến thay đổi hoặc thao tác trái phép dữ liệu, cho dù
đang trong quá trình vận chuyển hay đang được lưu trữ. Giả mạo được sử dụng để làm
sai lệch thông tin liên lạc hoặc thay đổi thông tin tĩnh. Các cuộc tấn công như vậy là vi
phạm tính toàn vẹn cũng như tính khả dụng.
Thoái thác: Khả năng người dùng hoặc kẻ tấn công từ chối đã thực hiện một hành động
hoặc hoạt động. Thông thường những kẻ tấn công tham gia vào các cuộc tấn công từ
chối để duy trì sự từ chối hợp lý để không phải chịu trách nhiệm về hành động của
chúng. Các cuộc tấn công từ chối cũng có thể dẫn đến việc các bên thứ ba vô tội bị đổ
lỗi cho các vi phạm bảo mật.
Công bố thông tin: Tiết lộ hoặc phân phối thông tin riêng tư, bí mật hoặc được kiểm
soát cho các thực thể bên ngoài hoặc trái phép. Điều này có thể bao gồm thông tin nhận
dạng khách hàng, thông tin tài chính hoặc chi tiết hoạt động kinh doanh độc quyền.
Việc tiết lộ thông tin có thể lợi dụng các lỗi triển khai và thiết kế hệ thống, chẳng hạn
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 34
như không xóa được mã gỡ lỗi, để lại các ứng dụng và tài khoản mẫu, không làm sạch
các ghi chú lập trình khỏi nội dung mà máy khách hiển thị (chẳng hạn như nhận xét
trong tài liệu Ngôn ngữ đánh dấu siêu văn bản (HTML)), bằng cách sử dụng các trường
biểu mẫu ẩn hoặc cho phép người dùng hiển thị các thông báo lỗi quá chi tiết.
Từ chối dịch vụ (DoS): Một cuộc tấn công nhằm ngăn chặn việc sử dụng tài nguyên
được phép. Điều này có thể được thực hiện thông qua khai thác lỗ hổng, quá tải kết nối
hoặc ngập lụt giao thông. Một cuộc tấn công DoS không nhất thiết dẫn đến sự gián
đoạn hoàn toàn đối với tài nguyên; thay vào đó, nó có thể làm giảm thông lượng hoặc
tạo ra độ trễ để cản trở việc sử dụng tài nguyên một cách hiệu quả. Mặc dù hầu hết các
cuộc tấn công DoS là tạm thời và chỉ kéo dài miễn là kẻ tấn công duy trì sự tấn công dữ
dội, nhưng vẫn có một số cuộc tấn công DoS vĩnh viễn. Một cuộc tấn công DoS vĩnh
viễn có thể liên quan đến việc phá hủy tập dữ liệu, thay thế phần mềm bằng các lựa
chọn thay thế độc hại hoặc buộc hoạt động flash phần sụn có thể
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 35

bị gián đoạn hoặc cài đặt chương trình cơ sở bị lỗi. Bất kỳ cuộc tấn công DoS nào trong
số này sẽ làm cho một hệ thống bị hư hỏng vĩnh viễn và không thể khôi phục lại hoạt
động bình thường chỉ với một lần khởi động lại đơn giản hoặc bằng cách chờ đợi những
kẻ tấn công. Cần phải sửa chữa toàn bộ hệ thống và khôi phục sao lưu để khôi phục sau
cuộc tấn công DoS vĩnh viễn.
Nâng cao đặc quyền: Một cuộc tấn công trong đó tài khoản người dùng hạn chế được
chuyển đổi thành tài khoản có đặc quyền, quyền hạn và quyền truy cập lớn hơn. Điều
này có thể được thực hiện thông qua hành vi trộm cắp hoặc khai thác thông tin đăng
nhập của tài khoản cấp cao hơn, chẳng hạn như thông tin của quản trị viên hoặc người
dùng gốc. Nó cũng có thể được thực hiện thông qua một hệ thống hoặc khai thác ứng
dụng cấp quyền bổ sung tạm thời hoặc vĩnh viễn cho một tài khoản có giới hạn khác.

Mặc dù STRIDE thường được sử dụng để tập trung vào các mối đe dọa ứng dụng, nó có
thể áp dụng cho các tình huống khác, chẳng hạn như mối đe dọa mạng và mối đe dọa
máy chủ. Các cuộc tấn công khác có thể cụ thể hơn đối với các mối quan tâm về mạng
và máy chủ, chẳng hạn như đánh hơi và chiếm quyền điều khiển mạng và phần mềm
độc hại và thực thi mã tùy ý cho máy chủ, nhưng sáu khái niệm về mối đe dọa của
STRIDE được áp dụng khá rộng rãi.
Quy trình phân tích mối đe dọa và mô phỏng tấn công (PASTA)là một phương pháp lập
mô hình mối đe dọa gồm bảy giai đoạn (Hình 1.7). PASTA là một cách tiếp cận lấy rủi
ro làm trung tâm nhằm mục đích lựa chọn hoặc phát triển các biện pháp đối phó liên
quan đến giá trị của tài sản cần được bảo vệ. Sau đây là bảy bước của PASTA:
Giai đoạn I: Định nghĩa các Mục tiêu (DO) để Phân tích Rủi ro Giai
đoạn II: Định nghĩa Phạm vi Kỹ thuật (DTS) Giai đoạn III: Phân tích và
phân tích ứng dụng (ADA) Giai đoạn IV: Phân tích mối đe dọa (TA)
-

Giai đoạn V: Phân tích điểm yếu và lỗ hổng bảo mật (WVA)
Giai đoạn VI: Mô hình hóa & mô phỏng tấn công (AMS) Giai
đoạn VII: Phân tích và quản lý rủi ro (RAM)
Mỗi giai đoạn của PASTA có một danh sách cụ thể các mục tiêu cần đạt được và các
công việc cần sản
xuất để hoàn thành giai đoạn. Để biết thêm thông tin về PASTA, vui lòng xem sáchMô
hình hóa mối đe dọa trung tâm rủi ro: Quy trình mô phỏng cuộc tấn công và phân tích
mối đe dọa, ấn bản đầu tiên, bởi Tony Uceda Velez và Marco M. Morana. (Bạn có thể
xem phần phụ lục của cuốn sách này trực tuyến, nơi PASTA được khám phá
tạihttp://www.isaca.org/cha Chapter5/
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 36
Ireland / Tài liệu / 2013% 20 Bản trình bày / PASTA% 20Methodology% 20Phụ lục%
20-% 20
tháng 11% 202013.pdf.)
xe ba gáclà một phương pháp luận mô hình mối đe dọa khác tập trung vào cách tiếp cận
dựa trên rủi ro thay vì phụ thuộc vào mô hình mối đe dọa tổng hợp được sử dụng trong
STRIDE và Thảm họa, Khả năng tái tạo, Khả năng khai thác, Người dùng bị ảnh hưởng
và Khả năng phát hiện (DREAD) (xem phần “Ưu tiên và ứng phó” sau chương nầy).
Trike cung cấp một phương pháp thực hiện đánh giá bảo mật theo một quy trình đáng
tin cậy và có thể lặp lại. Nó cũng cung cấp một khuôn khổ nhất quán để giao tiếp và
cộng tác giữa các nhân viên bảo mật. Trike được sử dụng để đánh giá mức độ rủi ro có
thể chấp nhận được đối với từng loại tài sản, sau đó được sử dụng để xác định các hành
động ứng phó rủi ro thích hợp.
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 37

Hình 1. 7Một ví dụ về lập sơ đồ để tiết lộ mối quan tâm về mối đe dọa

HỌC BỔNG I -

Định nghĩa của

Mục tiêu (DO) cho Xử lý
rủi ro

GIAI ĐOẠN VII - GIAI ĐOẠN II -

Phân tích rủi ro & Định nghĩa của Phạm vi kỹ

Quản lý (RAM) thuật (DTS)

GIAI ĐOẠN III -

GIAI ĐOẠN VI -

Mô hình tấn công &

Ứng dụng Phân hủy &
Khẳng định (ADA)
Mô phỏng (AMS)

GIAI ĐOẠN V -
GIAI ĐOẠN IV -
Yếu đuối &
mối đe dọa
sự dễ bị tổn thương
Phân tích (TA)
Phân tích (WVA)

Đe doạ trực quan, nhanh nhẹn và đơn giản (VAST)là một khái niệm mô hình hóa mối
đe dọa dựa trên các nguyên tắc lập trình và quản lý dự án Agile. Mục tiêu của VAST là
tích hợp quản lý rủi ro và mối đe dọa vào môi trường lập trình Agile trên cơ sở có thể
mở rộng.
Đây chỉ là một vài trong số rất nhiều các khái niệm và phương pháp luận mô hình mối
đe dọa có sẵn từ các nhóm cộng đồng, thực thể thương mại, cơ quan chính phủ và hiệp
hội quốc tế.
Nói chung, mục đích của STRIDE và các phương pháp lập mô hình mối đe dọa khác là
xem xét phạm vi các mối quan tâm bị xâm phạm và tập trung vào mục tiêu hoặc kết quả
cuối cùng của một cuộc tấn công. Cố gắng xác định từng phương pháp và kỹ thuật tấn
công cụ thể là một nhiệm vụ bất khả thi — các cuộc tấn công mới đang được phát triển
liên tục. Mặc dù các mục tiêu hoặc mục đích của các cuộc tấn công có thể được phân
loại và nhóm lại một cách lỏng lẻo, nhưng chúng vẫn tương đối không đổi theo thời
gian.

Cảnh giác với các Đe doạ Cá nhân

Cạnh tranh thường là một phần quan trọng của tăng trưởng kinh doanh, nhưng cạnh tranh quá đối nghịch có thể làm tăng mức
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 38

những nhân viên bất mãn, đối thủ, nhà thầu, nhân viên, và thậm chí cả những đối tác
đáng tin cậy có thể là mối đe dọa đối với tổ chức nếu các mối quan hệ trở nên xấu đi.

-
Đừng bao giờ cho rằng một nhà tư vấn hoặc nhà thầu có lòng trung thành với tổ chức
của bạn như một nhân viên lâu năm. Các nhà thầu và nhà tư vấn là những người lính
đánh thuê hiệu quả, những người sẽ làm việc cho người trả giá cao nhất. Cũng đừng
coi lòng trung thành của nhân viên là điều hiển nhiên.
Những nhân viên thất vọng với môi trường làm việc của họ hoặc cảm thấy họ bị đối
xử bất công có thể tìm cách trả đũa. Một nhân viên đang gặp khó khăn về tài chính có
thể coi các hoạt động phi đạo đức và bất hợp pháp gây ra mối đe dọa cho doanh
nghiệp của bạn vì lợi ích riêng của họ.

-
Một đối tác đáng tin cậy chỉ là một đối tác đáng tin cậy miễn là vì lợi ích chung
của các bạn để thân thiện và hợp tác với nhau. Cuối cùng thì mối quan hệ hợp tác
có thể trở nên khó khăn hoặc trở thành đối thủ; sau đó, đối tác cũ của bạn có thể
thực hiện các hành động gây ra mối đe dọa cho doanh nghiệp của bạn.

Các mối đe dọa tiềm ẩn đối với doanh nghiệp của bạn rất rộng và đa dạng. Một công ty
phải đối mặt với các mối đe dọa từ thiên nhiên, công nghệ và con người. Hầu hết các
doanh nghiệp tập trung vào các thảm họa thiên nhiên và các cuộc tấn công CNTT để
chuẩn bị cho các mối đe dọa, nhưng điều quan trọng là phải xem xét khả năng đe dọa từ
các cá nhân. Luôn xem xét các kết quả tốt nhất và xấu nhất có thể xảy ra đối với các
hoạt động, quyết định và tương tác của tổ chức bạn. Xác định các mối đe dọa là bước
đầu tiên để thiết kế các biện pháp phòng thủ nhằm giúp giảm hoặc loại bỏ thời gian
chết, thỏa hiệp và mất mát.

Xác định và lập sơ đồ các cuộc tấn công tiềm ẩn

Khi đã có được sự hiểu biết về các mối đe dọa mà dự án phát triển hoặc cơ sở hạ tầng
đã triển khai của bạn phải đối mặt, bước tiếp theo trong mô hình mối đe dọa là xác định
các khái niệm tấn công tiềm năng có thể thành hiện thực. Điều này thường được thực
hiện thông qua việc tạo ra một sơ đồ của các phần tử liên quan đến một giao dịch cùng
 Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 39
với các chỉ dẫn về luồng dữ liệu và ranh giới đặc quyền (Hình 1.8). Hình ảnh này là một
ví dụ về sơ đồ luồng dữ liệu cho thấy từng thành phần chính của hệ thống, ranh giới
giữa các vùng bảo mật và luồng tiềm năng hoặc chuyển động của thông tin và dữ liệu.
Bằng cách tạo một sơ đồ như vậy cho từng môi trường hoặc hệ thống, có thể kiểm tra
chặt chẽ hơn từng điểm có thể xảy ra thỏa hiệp.

Các sơ đồ luồng dữ liệu như vậy rất hữu ích trong việc hiểu rõ hơn về các mối quan hệ
của tài nguyên và chuyển động của dữ liệu thông qua một biểu diễn trực quan. Quá
trình lập sơ đồ này còn được gọi là tạo sơ đồ kiến trúc. Việc tạo ra sơ đồ giúp trình bày
chi tiết các chức năng và mục đích của từng yếu tố trong nhiệm vụ kinh doanh, quá
trình phát triển hoặc hoạt động công việc. Điều quan trọng là phải bao gồm người dùng,
bộ xử lý, ứng dụng, kho lưu trữ dữ liệu và tất cả các yếu tố thiết yếu khác cần thiết để
thực hiện tác vụ hoặc hoạt động cụ thể. Đây là tổng quan cấp cao và không phải là đánh
giá chi tiết về logic mã hóa. Tuy nhiên, đối với các hệ thống phức tạp hơn, có thể cần
tạo nhiều sơ đồ ở các điểm lấy nét khác nhau và ở các mức độ phóng đại chi tiết khác
nhau.
Hiểu và áp dụng các khái niệm và phương pháp lập mô hình mối đe dọa 40