Phân tích & Quản lý rủi ro

Phân tích & Quản lý rủi ro Võ Viết Minh Nhật Khoa CNTT – Trường ĐHKH Nội dung trình bày Mở đầu Định nghĩa rủi ro Tính dể bị xâm hại (vulnerability) Mối de dọa (threat) Xác định rủi ro cho một tổ chức Đo lường rủi ro Mở đầu Security is about managing risk. Without an understanding of the security risks to an organization’s information assets, too many or not enough resources might be used or used in the wrong way. Risk management also provides a basis for valuing of information assets. By identifying risk, you learn the value of particular types of information and the value of the systems that contain that information. What is risk? Risk is the underlying concept that forms the basis for what we call “security.” Risk is the potential for loss that requires protection. If there is no risk, there is no need for security. And yet risk is a concept that is barely understood by many who work in the security industry. What is risk? Example of the insurance industry how much the car repair is likely to cost? how much the likelihood that the person will be in an accident? Two components of risk: The money needed for the repair => vulnerability the likelihood of the person to get into an accident => threat Relationship between vulnerability and threat Vulnerability A vulnerability is a potential avenue of attack. Vulnerabilities may exist in computer systems and networks allowing the system to be open to a technical attack or in administrative procedures allowing the environment to be open to a non-technical or social engineering attack. Vulnerability A vulnerability is characterized by the difficulty and the level of technical skill that is required to exploit it. For instance, a vulnerability that is easy to exploit (due to the existence of a script to perform the attack) and that allows the attacker to gain complete control over a system is a high-value vulnerability. On the other hand, a vulnerability that would require the attacker to invest significant resources for equipment and people and would only allow the attacker to gain access to information that was not considered particularly sensitive would be considered a low-value vulnerability. Vulnerabilities are not just related to computer systems and networks. Physical site security, employee issues, and the security of information in transit must all be examined. Threat A threat is an action or event that might violate the security of an information systems environment. There are three components of threat: Targets The aspect of security that might be attacked. Agents The people or organizations originating the threat. Events The type of action that poses the threat. Targets The targets of threat or attack are generally the security services : confidentiality, integrity, availability, and accountability. Confidentiality is targeted when the disclosure of information to unauthorized individuals or organizations is the motivation. Exemples: government information, salary information or medical histories. Integrity is the target when the threat wishes to change information. Examples: bank account balance, important database Targets Availability (of information, applications, systems, or infrastructure) is targeted through the performance of a denial-of-service attack. Threats to availability can be short-term or long-term. Accountability is rarely targeted. The purpose of such an attack is to prevent an organization from reconstructing past events. Accountability may be targeted as a prelude to an attack against another target such as to prevent the identification of a database modification or to cast doubt on the security mechanisms actually in place within an organization. Targets Athreat may have multiple targets. For example, accountability may be the initial target to prevent a record of the attacker’s actions from being recorded, followed by an attack against the confidentiality of critical organizational data. Agents The agents of threat are the people who may wish to do harm to an organization. To be a credible part of a threat, an agent must have three characteristics: Access The ability an agent has to get to the target. Knowledge The level and type of information an agent has about the target. Motivation The reasons an agent might have for posing a threat to the target. Access An agent must have access to the system, network, facility, or information that is desired. This access may be direct (for example, the agent has an account on the system) or indirect (for example, the agent may be able to gain access to the facility through some other means). The access that an agent has directly affects the agent’s ability to perform the action necessary to exploit a vulnerability and therefore be a threat. A component of access is opportunity. Opportunity may exist in any facility or network just because an employee leaves a door propped open. Knowledge An agent must have some knowledge of the target. The knowledge useful for an agent includes User IDs Passwords Locations of files Physical access procedures Names of employees Access phone numbers Network addresses Security procedures Knowledge The more familiar an agent is with the target, the more likely it is that the agent will have knowledge of existing vulnerabilities. Agents that have detailed knowledge of existing vulnerabilities will likely also be able to acquire the knowledge necessary to exploit those vulnerabilities. Motivation An agent requires motivation to act against the target. Motivation is usually the key characteristic to consider regarding an agent as it may also identify the primary target. Motivations to consider include Challenge A desire to see if something is possible and be able to brag about it. Greed A desire for gain. This may be a desire for money, goods, services, or information. Malicious Intent A desire to do harm to an organization or individual. Agents to Consider A threat occurs when an agent with access and knowledge gains the motivation to take action. Based on the existence of all three factors, the following agents must be considered: Employees have the necessary access and knowledge to systems because of their jobs. whether have the motivation to do harm to the organization. be counted when conducting a risk analysis. Agents to Consider Ex-employees have the necessary knowledge to systems due to the jobs that they held. may still have access to systems. Motivation depending upon the circumstances of the separation, for example, if the ex-employee bears a grudge against the organization. Agents to Consider Hackers are always assumed to have a motivation to do harm to an organization. may or may not have detailed knowledge of an organization’s systems and networks. Access may be acquired if the appropriate vulnerabilities exist within the organization. Agents to Consider Commercial rivals should be assumed to have the motivation to learn confidential information about an organization. may have a motivation to do harm to another organization depending on the circumstances of the rivalry. Such rival organizations should be assumed to have some knowledge about an organization since they are in the same industry. Knowledge and access to specific systems may not be available but may be acquired if the appropriate vulnerabilities exist. Agents to Consider Terrorists are always assumed to have a motivation to do harm to an organization. Terrorists will generally target availability. Therefore, access to high-profile systems or sites can be assumed (the systems are likely on the Internet and the sites are likely open to some physical access). Specific motivation for targeting a particular organization is the important aspect of identifying terrorists as a probable threat to an organization. Agents to Consider Criminals are always assumed to have a motivation to do harm to an organization. tend to target items (both physical and virtual) of value. Access to items of value, such as portable computers, is a key aspect of identifying criminals as a probable threat to an organization. Agents to Consider general public must always be considered as a possible source of threat. However, unless an organization has caused some general offense to civilization, motivation must be considered lacking. Likewise, access to and knowledge about the specifics of an organization is considered minimal. Agents to Consider Companies that supply services to an organization may have detailed knowledge and access to the organization’s systems. Business partners may have network connections. Consultants may have people on site performing development or administration functions. Motivation is generally lacking for one organization to attack another but given the extensive access and knowledge that may be held by the suppliers of services, they must be considered a possible source of threat. Agents to Consider Customers of an organization may have access to the organization’s systems and some knowledge of how the organization works. Motivation is generally lacking for one organization to attack another but given the potential access that customers may have, they must be considered a possible source of threat. Agents to Consider Visitors have access to an organization by virtue of the fact that they are visiting the organization. This access may allow a visitor to gain information or admission to a system. Visitors must therefore be considered a possible source of threat. Agents to Consider Disasters such as earthquakes, tornadoes, or floods do not require motivation or knowledge. Disasters must always be considered possible sources of threat. Events Events are the ways in which an agent of threat may cause the harm to an organization. For example, a hacker may cause harm by maliciously altering an organization’s Web site. Another way of looking at the events is to consider what harm could possibly be done if the agent gained access. Events Misuse of authorized access to information, systems, or sites Malicious alteration of information Accidental alteration of information Unauthorized access to information, systems, or sites Malicious destruction of information, systems, or sites Accidental destruction of information, systems, or sites Malicious physical interference with systems or operations Events Accidental physical interference with systems or operations Natural physical events that may interfere with systems or operations Introduction of malicious software (intentional or not) to systems Disruption of internal or external communications Passive eavesdropping of internal or external communications Theft of hardware Threat + Vulnerability = Risk Risk is the combination of threat and vulnerability. Threats without vulnerabilities pose no risk. Likewise, vulnerabilities without threats pose no risk. The measurement of risk is an attempt to identify the likelihood that a detrimental event will occur. Threat + Vulnerability = Risk Risk can be qualitatively defined in three levels: Low The vulnerability poses a level of risk to the organization, however, it is unlikely to occur. Action to remove the vulnerability should be taken if possible but the cost of this action should be weighed against the small reduction in risk. Medium The vulnerability poses a significant level of risk to the confidentiality, integrity, availability, and/or accountability of the organization’s information, systems, or physical sites. There is a real possibility that this may occur. Action to remove the vulnerability is advisable. Threat + Vulnerability = Risk High The vulnerability poses a real danger to the confidentiality, integrity, availability, and/or accountability of the organization’s information, systems, or physical sites. Action should be taken immediately to remove this vulnerability. When available, the ramification of a successful exploitation of a vulnerability by a threat must be taken into account. If the cost estimates are available, they should be applied to the risk level to better determine the feasibility of taking corrective action. Xác định rủi ro Xác định rủi ro cho một tổ chức là xác định tính dể bị xâm hại (vulnerability) của họ và mối đe dọa (threat) đối với họ. Các rủi ro được xác định không nhất thiết liên quan đến rủi ro hiện thời của một tổ chức. Việc xác định rủi ro cho một tổ chức phải đáp ứng được nhu cầu của tổ chức đó Các thành phần trong đáng giá rủi ro của một tổ chức Xác định tính dễ bị xâm hại Tính dể bị xâm hại của một tổ chức có thể ở tại các điểm truy cập thông tin (về logic cũng như vật lý), bao gồm Các kết nối Internet Các điểm truy cập từ xa Các kết nối đến các tổ chức khác Truy cập vật lý đến thiết bị Các điểm truy cập của người dùng Với mỗi điểm truy cập này, chúng ta cần xác định các thông tin và hệ thống có thể bị truy cập, và cách để truy cập vào các thông tin và hệ thống này Xác định mối đe dọa thực Việc đánh giá mối đe dọa là một công việc chi tiết và khó khăn. Nó bao gồm cả việc việc xác định các đối thủ cạnh tranh với mình. Tuy nhiên, những mối đe dọa thực sự thông thường là ẩn, cho đến khi sự kiện đe dọa xuất hiện Một mối đe dọa có mục đích là sự kết hợp của một agent, có khả năng truy cập và có động cơ để thực hiện một hành vi đe dọa. Ví dụ, một nhân viên (agent) làm trong một công ty (access) muốn biết các thông tin chi tiêt về một công nghệ không được phép (động cơ) Xác định mối đe dọa thực Tuy nhiên, việc xác định các mối đe dọa có mục đích là tốn nhiều thời gian và khó khăn. Để xác định được chúng, chúng ta phải giả sử một mức chung của các mối đe dọa. Thông thường, đó là những người có khả năng tiềm tàng truy cập đến hệ thống hay thông tin của một tổ chức (nhân viên, khách hành, nhà cung cấp) Sau đó chúng ta có thể xem xét tính dễ bị xâm hại của tổ chức; tính dễ bị xâm hại sẽ được xem như là các rủi ro mà mối đe dọa sẽ khai thác chúng. Biện pháp đối phó Các biện pháp đối phó có thể là Firewalls phần mềm Anti-virus Điều khiển truy cập Các hệ thống xác thực Badges Sinh trắc học (Biometrics) « Card readers » để truy cập vào thiết bị Guards Điều khiển truy cập « File » Huấn luyện nhân viên Xác định rủi ro Mỗi khi tính dể bị xâm hại, mối đe dọa và biện pháp đối phó đã được xác định, chúng ta sẽ xác định được các rủi ro của một tổ chức: Xác định các mối đe dọa tương ứng với một điểm truy cập nào đó (tính bảo mật, tính toàn vẹn, tính có thể sử dụng và tính accountability) Dựa trên sự thiệt hại có thể phải chịu, mỗi rủi ro sẽ được phân loại ở mức cao, trung bình hay thấp. Cùng một tính dể bị xâm hại, các điểm truy cập khác nhau sẽ có mức độ rủi ro khác nhau (attacker vs. employee) Đo lường rủi ro Để có thể đo lường, các rủi ro sẽ được ấn định các chi phí nếu một cuộc tấn công xảy ra. Một rủi ro có thể không bao giờ loại bỏ được, cho nên cần phải quản lý nó Rủi ro co thể được đo lường bằng tiền bac, thời gian, tài nguyên, danh tiếng, thiệt hại kinh doanh … Đo lường rủi ro Tiền Cách rõ ràng nhất để đo lường rủi ro là số tiền thiệt hại của một tổ chức: Năng suất sản xuất bị mất Số tiền và thiết bị bị lấy Chi phí điều tra Chi phí sửa chữa hay thay thế hệ thống Chi phí mời chuyên gia cộng tác Chi phí nhân viên làm ngoài giờ Đôi khi, một vài chi phí không thể tính được cho đến khi một sự kiện đe dọa xuất hiên. Do đó, các chi phí cần phải được ước lượng trước. Thời gian Việc đo lường bằng thời gian thường khó có thể định lượng. Đó có thể là số lượng thời gian mà một nhân viên kỹ thuật phải thực hiện khắc phục khi khi có một sự kiện đe dọa diễn ra. Đó cũng có thể là thời gian ngưng hoạt động của một hệ thống (ví dụ: Web site). Đó cũng có thể là thời gian chờ (delay) một sản phẩm hay dịch vụ Tài nguyên Rủi ro có thể được đo lường bằng số lượng tài nguyên (bao gồm con người, hệ thống, kết nối, ứng dụng …) được triển khai để khắc phục khi một sự kiện đe dọa xảy ra. Khi đó chi phi (bằng tiền) của các tài nguyên có thể được tính đến. Tuy nhiên cũng tồn tại những loại tài nguyên không thể tính chi phí bằng tiền (ex. con người, kết nối mạng chậm) Danh tiếng Sự mất hay giảm danh tiếng của một tổ chức cũng là một chi phí quan trọng. Tuy nhiên việc đo lường chi phí này là khó khăn. Ví dụ: dịch vụ ngân hàng, tổ chức từ thiện Thiệt hại về kinh doanh Trong kinh doanh trên Internet, rủi ro có thể được đo lường bằng thiệt hại về số lượng những khách hàng mới không phục vụ được, các mặt hàng mới cần bán, các sản phẩm phải sản xuất … khi có một sự kiện đe dọa xảy ra. Phương pháp đo lường rủi ro Rõ ràng, nếu tất cả các rủi ro đều có thể chuyển được thành tiền thì việc đo lường sẽ trở nên dễ dàng. Tuy nhiên, thực tế không phải rủi ro nào đều có thể làm được như thế. Chúng ta có thể đo lường rủi ro (về tiền, thời gian, tài nguyên, danh tiếng và thiệt hại trong kinh doanh) bằng việc đặt ra các câu hỏi. Khi mà các câu hỏi này được trả lời, một danh sách các kết quả tiềm tàng về mỗi rủi ro la được thực hiện và nó dùng để phát triển những cách tiếp cận thích hợp trong quản lý rủi ro. Phương pháp đo lường rủi ro Chi phí sẽ là bao nhiêu nếu một xâm phập thành công (về thời gian phát hiện, thơi gian tư vấn và chi phí thiết bị)? Bao lâu sẽ khắc phuc được một xâm nhập? Một xâm nhập thành công sẽ ảnh hưởng thế nào đến kế hoạc sản xuất các sản phẩm mới hay hiện tại? Tài nguyên nào bị ảnh hưởng nếu một xâm nhập thành công? Phần nào của một tổ chức phu thuộc vào tài nguyên này? Một xâm nhập thành công ảnh hưởng thế nào đến danh tiêng một tổ chức? Một xâm nhập thành công ảnh hưởng đến thiệt hại kinh doanh như thế nào, bao nhiêu và loại kinh doanh nào?