CHƯƠNG 2: NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI

AN TOÀN THÔNG TIN

BẢNG PHÂN CÔNG

STT Thành viên Công việc Mức độ hoàn thành

10 Trần Thị Thu Hiền Chỉnh sửa và tổng hợp bài 100%

11 Trương Thị Huệ Exercises 1,3,4,5 100%

31 Nguyễn Thị Mỹ Ngọc Review questions 100%

06 Lưu Uyển Đạt Thảo luận, chỉnh sửa bài 100%

I. Review questions

1. Vì bảo mật liên quan đến nhiều đến việc quản lý rủi ro, chính sách và việc thực thi an
toàn thông tin hơn là công nghệ triển khai nó. Ban quản lý chịu trách nhiệm thực hiện bảo
mật thông tin để bảo vệ khả năng hoạt động của tổ chức. Họ phải thiết lập chính sách và vận
hành tổ chức theo cách tuân thủ luật pháp quản lý việc sử dụng công nghệ. Chỉ riêng công
nghệ không thể giải quyết được vấn đề bảo mật thông tin. Ban quản lý phải đưa ra các lựa
chọn chính sách và thực thi các chính sách đó để bảo vệ giá trị của tổ chức.

2. Dữ liệu rất quan trọng đối với một tổ chức vì nếu không có nó, tổ chức sẽ mất hồ sơ
giao dịch và/hoặc khả năng cung cấp các sản phẩm có giá trị cho khách hàng của mình. Các
tài sản khác cần được bảo vệ bao gồm khả năng hoạt động của tổ chức, hoạt động an toàn của
các ứng dụng và tài sản công nghệ.

3. Nhóm quản lý chịu trách nhiệm thực hiện bảo mật thông tin để bảo vệ khả năng hoạt
động của tổ chức là: Nhóm quản lý chung, nhóm quản lý CNTT và nhóm quản lý An toàn
thông tin.

4. Việc triển khai công nghệ mạng, như đám mây cũng mang đến nhiều rủi ro với thông
tin của tổ chức. Mạng doanh nghiệp hiện được kết nối với internet và các mạng khác bên
ngoài tổ chức. Điều này đã giúp mọi người dễ dàng truy cập trái phép vào mạng của tổ chức
hơn.

5. Information extortion là hành động của kẻ tấn công hoặc người trong cuộc đáng tin cậy
đánh cắp hoặc làm gián đoạn quyền truy cập thông tin từ hệ thống máy tính và yêu cầu bồi
thường cho việc lấy lại hoặc thỏa thuận không tiết lộ thông tin.

Ví dụ: 1 hacker đã tấn công tài khoản điện thoại hoặc thông qua quyền truy cập trái phép
chiếc điện thoại của một người nổi tiếng, để đánh cắp thông tin cá nhân, hình ảnh nhạy cảm
của họ nhằm mục đích tống tiền.
6. Nhân viên là 1 trong những mối đe dọa lớn nhất đối với an ninh thông tin vì nhân viên
sử dụng dữ liệu và thông tin trong các hoạt động hàng ngày để tiến hành hoạt động kinh
doanh của tổ chức nên sai lầm của họ là mối đe dọa nghiêm trọng đối với tính bảo mật, tính
toàn vẹn và tính sẵn có của dữ liệu—thậm chí liên quan đến các mối đe dọa từ bên ngoài.
Những sai sót của nhân viên có thể dễ dàng dẫn đến việc tiết lộ dữ liệu mật, nhập dữ liệu sai,
vô tình xóa hoặc sửa đổi dữ liệu, lưu trữ dữ liệu ở những khu vực không được bảo vệ và
không bảo vệ thông tin. Để thông tin mật ở những khu vực không được bảo vệ, chẳng hạn
như trên máy tính để bàn, trên trang Web hoặc thậm chí trong thùng rác, cũng là mối đe dọa
tương đương với việc một người tìm cách khai thác thông tin, vì sự bất cẩn có thể tạo ra lỗ
hổng và do đó là cơ hội cho kẻ tấn công.

7. Để tránh shoulder surfing, cố gắng không truy cập thông tin bí mật khi có mặt người
khác, hạn chế số lần truy cập dữ liệu bí mật và chỉ nên làm điều đó khi chắc chắn rằng không
có ai quan sát chúng. Người dùng phải liên tục nhận thức được sự hiện diện của người khác
khi truy cập thông tin nhạy cảm.

8. Nhận thức về một hacker đã phát triển qua nhiều năm. Hồ sơ hacker truyền thống là
nam, từ 13-18 tuổi, với sự giám sát hạn chế của cha mẹ, những người dành toàn bộ thời gian
rảnh rỗi bên máy tính. Hồ sơ hacker hiện tại là nam hoặc nữ, độ tuổi từ 12 - 60, với trình độ
kỹ thuật khác nhau và có thể ở nội bộ hoặc bên ngoài tổ chức. Ngày nay có cả những hacker
chuyên nghiệp và những hacker không có kĩ năng. Các tin tặc chuyên gia tạo ra phần mềm và
các kế hoạch tấn công hệ thống máy tính trong khi các tin tặc mới vào nghề là những người
chỉ sử dụng phần mềm do tin tặc chuyên gia tạo ra.

9. Hacker chuyên nghiệp là một hacker sử dụng kiến thức sâu rộng về hoạt động bên trong
phần cứng và phần mềm máy tính để truy cập trái phép vào hệ thống và thông tin, đồng thời
thường tạo ra các hoạt động khai thác, tập lệnh và công cụ tự động được hacker khác sử
dụng; còn được biết đến như 1 hacker ưu tú.

Hacker mới vào nghề: 1 hacker tương đối không có kỹ năng sử dụng công việc của các
hacker chuyên nghiệp để thực hiện các cuộc tấn công, được biết như 1 newbie, neophyte,
script kiddie or packet money.

Việc bảo vệ chống lại các hacker chuyên nghiệp rất khó khăn vì họ sử dụng mã tấn công mới
được phát triển mà các chương trình chống vi-rút chưa phát hiện được. Việc bảo vệ chống lại
các tin tặc không có kỹ năng dễ dàng hơn vì chúng sử dụng các mã hack có sẵn công khai và
có thể bị ngăn chặn bằng cách chỉ cần cập nhật các bản vá phần mềm mới nhất và nắm rõ các
công cụ mới nhất do các tin tặc chuyên nghiệp tạo ra.

10. Các loại phần mềm độc hại khác nhau bao gồm: vi-rút, sâu, Trojan horses, bom logic và
cửa hậu. Worm khác với virus ở chỗ chúng không cần môi trường chương trình để tự nhân
bản. Trojan horses có thể ngụy trang cả virus và/hoặc sâu thành một phần mềm không gây
nguy hiểm để xâm nhập vào mạng máy tính.

11. Tính đa hình gây ra mối lo ngại lớn hơn phần mềm độc hại vì nó có thể thay đổi kích
thước của nó và các đặc điểm tệp bên ngoài khác để tránh bị các chương trình phần mềm
chống virus phát hiện.

12. Hình thức vi phạm quyền sở hữu trí tuệ phổ biến nhất liên quan đến việc sử dụng trái
pháp luật hoặc sao chép quyền sở hữu trí tuệ dựa trên phần mềm hoặc vi phạm bản quyền
phần mềm. Một số cách mà một tổ chức có thể bảo vệ chống lại nó là hình mờ kỹ thuật số,
mã nhúng, mã bản quyền và yêu cầu đăng ký trực tuyến để có thể sử dụng tất cả các tính
năng của phần mềm. Có hai tổ chức điều tra vi phạm bản quyền phần mềm, Hiệp hội Công
nghiệp Thông tin và Phần mềm (SIIA) và Liên minh phần mềm doanh nghiệp (BSA).

13. Những loại bất khả kháng bao gồm: hỏa hoạn, lũ lụt, động đất, lỡ đất, gió bão, bão cát,
sét, núi lửa, sóng thần, xả tĩnh điện (ESO), ô nhiễm bụi,… có thể làm gián đoạn không chỉ
cuộc sống các cá nhân, mà còn cả việc lưu trữ, truyền tải và sử dụng thông tin.

- Mối quan tâm lớn nhất đối với các tổ chức ở thành phố Oklahoma là lốc xoáy; ô
nhiễm bụi và xã tĩnh điện ở Las Vegas; cơ bão ở Miami và trận động đất ở Los
Angeles.

14. Khi cơ sở hạ tầng trở nên lạc hậu dẫn đến các hệ thống không đáng tin cậy, rủi ro mất
tính toàn vẹn của dữ liệu từ các cuộc tấn công sẽ luôn hiện hữu.

Biện pháp ngăn chặn:

- Ban quản lý cần lập kế hoạch phù hợp để ngăn ngừa rủi ro đến từ sự lỗi thời về công
nghệ.
- Việc thay thế hệ thống mới sẽ tốn ít chi phí hơn ở các tổ chức mà nhân viên CNTT
kịp thời báo thời điểm hệ thống/công nghệ sắp sửa lỗi thời cho ban quản lý hơn là bảo
khi công nghệ/hệ thống đang ở trạng thái đã lỗi thời.

15. Tài sản trí tuệ thuộc sở hữu của một tổ chức có giá trị. Trọng số của giá trị phụ thuộc vào
loại hình và mức độ phổ biến của tài sản trí tuệ. Những kẻ tấn công có thể đe dọa giá trị đó vì
chúng có thể truy cập vào dữ liệu đó và công khai tài sản để tổ chức không còn độc quyền sử
dụng tài sản trí tuệ đó nữa.

16. Các loại tấn công mật khẩu: bẻ khóa, brute force, tấn công bằng từ điển mật khẩu, bảng
cầu vồng, tấn công mật khẩu bằng kỹ thuật xã hội. Quản trị viên hệ thống nên đặt mật khẩu
mạnh, giới hạn số lần truy cập không thành công trong một thời gian nhất định để bảo vệ khỏi
các cuộc tấn công mật khẩu.

17. Một cuộc tấn công từ chối dịch vụ được thực hiện khi kẻ tấn công gửi một số lượng lớn
yêu cầu thông tin kết nối đến mục tiêu và do đó làm hệ thống bị quá tải. Một cuộc tấn công từ
chối dịch vụ phân tán là khi kẻ tấn công điều phối một luồng yêu cầu chống lại mục tiêu từ
nhiều vị trí khác nhau và làm hệ thống bị quá tải. Các cuộc tấn công từ chối dịch vụ phân tán
nguy hiểm hơn vì cuộc tấn công Ddos khó chống lại hơn và không có biện pháp kiểm soát
nào mà bất kỳ tổ chức có thể áp dụng

18. Để cuộc tấn công sniffer thành công, kẻ tấn công phải có quyền truy cập vào mạng để cài
đặt sniffer. Kẻ tấn công sử dụng kỹ thuật giả mạo IP để đạt được quyền truy cập trái phép vào
máy tính trong mạng bằng các sử dụng địa chỉ IP nguồn giả mạo hoặc sử đổi để tạo ra nhận
thức rằng thư đến từ 1 máy chủ đáng tin cậy

19. Kỹ thuật xã hội là quá trình sử dụng các kỹ năng xã hội để thuyết phục mọi người tiết lộ
thông tin truy cập và/hoặc thông tin quan trọng khác. Một ví dụ về điều này có thể là một
hacker đóng giả là giám đốc điều hành của một tổ chức đang gọi điện để lấy thông tin. Tin
tặc cũng có thể giả làm nhân viên mới hoặc nhân viên khác của tổ chức đang cầu xin thông
tin để tránh bị sa thải. Một cuộc tấn công nhắm vào nhân viên nhập dữ liệu có thể thành công
chỉ bằng cách đề cập đến một tên của người điều hành và đe dọa sự phẫn nộ của người điều
hành nếu họ không chắc chắn thông tin. Một cuộc tấn công nhắm vào trợ lý hành chính có thể
sẽ cần thêm thông tin chi tiết và thông tin khác để khiến các yêu cầu trở nên đáng tin cậy hơn.

20. Buffer overflow (Tràn bộ đệm): là lỗi ứng dụng xảy ra khi có nhiều dữ liệu được gửi đến
bộ đệm chương trình hơn mức được thiết kế xử lý.

Những loại lỗi này có thể được sử dụng để chống lại máy chủ web bằng cách đính kèm mã
độc hại vào cuối dữ liệu bổ sung, cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ và
chạy bất kỳ mã nào mà kẻ tấn công muốn.

II. Exercises (1,3,4,5)

Exercise 1:

Truy cập trái phép: Tin tặc có quyền truy cập vào mạng mà không được phép.

Trộm cắp: Sao chép tập tin là một hình thức đánh cắp tài sản trí tuệ hoặc dữ liệu nhạy cảm.

Phá hoại: Làm xấu mặt một trang Web là một hình thức phá hoại, vì nó làm tổn hại đến hình
ảnh của công ty và có thể cả hoạt động của công ty.

Lừa đảo: Ăn cắp số thẻ tín dụng để mua hoặc bán trái phép được coi là gian lận.

Exercise 3:

Sổ tay hướng dẫn chính thức của Phreaker" là hướng dẫn có thể cung cấp cái nhìn sâu sắc cho
quản trị viên bảo mật về việc giám sát và sắp xếp lại thông tin giữa các hệ thống liên lạc và
xử lý dữ liệu. Sổ tay hướng dẫn đi sâu vào các phương pháp hack, đặc biệt tập trung vào hệ
thống điện thoại, có thể giúp quản trị viên hiểu các lỗ hổng tiềm ẩn trong hệ thống liên lạc và
đưa ra các chiến lược để giảm thiểu rủi ro.

Exercise 4:

Microsoft: Vulnerabilities down, threats up http://www.securityfocus.com/brief/727

Web application vulnerabilities: https://www.symantec.com/connect/articles/five-common-

web-application-vulnerabilities

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA): CISA thảo luận về cách các tác nhân
mạng và quốc gia tinh vi khai thác các lỗ hổng để đánh cắp thông tin và tiền bạc, cũng như
phát triển các khả năng làm gián đoạn, phá hủy hoặc đe dọa việc cung cấp các dịch vụ thiết
yếu. Cơ quan này nhấn mạnh tầm quan trọng của việc phòng thủ trước các cuộc tấn công này
để duy trì an ninh quốc gia.

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST): NIST cung cấp Khung An ninh mạng
(CSF) để giúp các tổ chức hiểu các rủi ro an ninh mạng (mối đe dọa, lỗ hổng và tác động) và
cách giảm thiểu những rủi ro đó bằng các biện pháp tùy chỉnh. Khung này ban đầu được thiết
kế dành cho các chủ sở hữu và nhà điều hành cơ sở hạ tầng quan trọng thuộc khu vực tư nhân
của Hoa Kỳ nhưng đã chứng kiến cơ sở người dùng của nó phát triển trên toàn cầu.
TechTarget: Tài nguyên này cung cấp thông tin cập nhật về các mối đe dọa và lỗ hổng khác
nhau, chẳng hạn như mối đe dọa email, tấn công quốc gia, kỹ thuật lừa đảo, ransomware và
phần mềm độc hại, tấn công DdoS.

Exercise 5:

Có tất cả 12 loại mối đe dọa được đề cập trong chương, ví dụ về mỗi mối đe dọa được liệt kê
dưới đây:

1. Xâm phạm sở hữu trí tuệ – Đánh cắp phần mềm quản lý khách sạn.

2. Những sai lệch về chất lượng dịch vụ – Các vấn đề về tốc độ kết nối và ổn định trong
quảng cáo, thường xuyên gặp sự cố gián đoạn.

3. Gián điệp hoặc xâm phạm – Hacker tấn công vào hệ thống máy tính của một công ty để lấy
thông tin quan trọng như dữ liệu khách hàng, thông tin tài khoản ngân hàng,...

4. Các thế lực tự nhiên – động đất, bão, lũ lụt, lốc xoáy, sóng thần,...

5. Lỗi của con người – Nhiều người thường chọn mật khẩu dễ đoán hoặc sử dụng mật khẩu
giống nhau cho nhiều tài khoản khiến kẻ gian có thể dễ dàng suy đoán và tìm ra mật khẩu để
truy cập vào hệ thống và đánh cắp thông tin,.

6. Tống tiền thông tin – Một hacker tấn công vào hệ thống mạng của một tổ chức, mã hóa
hoặc chiếm đoạt dữ liệu quan trọng, sau đó đe dọa công bố hoặc phổ biến thông tin đó trực
tuyến nếu không nhận được một khoản tiền chuộc.

7. Phá hoại - Truy cập và sửa đổi dữ liệu trong hệ thống để tạo ra thông tin giả mạo hoặc gây
hỗn loạn trong quá trình kinh doanh của một tổ chức.

8. Các cuộc tấn công phần mềm – virus, sâu, macro, từ chối dịch vụ (các cuộc tấn công của
Mafiaboy)

9. Lỗi hoặc lỗi kỹ thuật phần cứng – lỗi thiết bị, lỗ hổng bảo mật trong firmware của một thiết
bị.

10. Lỗi hoặc lỗi phần mềm kỹ thuật – lỗi, vấn đề về mã, sơ hở không xác định.

11. Công nghệ lạc hậu – một phiên bản phần mềm, hệ điều hành, hoặc thiết bị mà không còn
nhận được các bản vá bảo mật mới từ nhà sản xuất.

12. Trộm cắp – tịch thu bất hợp pháp thiết bị hoặc thông tin (đánh cắp thông tin cá nhân như
số thẻ tín dụng, bằng lái xe, số an sinh xã hội, v.v.).