Warship, CTF, Digital Painting

Information Security Webgoat

[Webgoat][General] CIA Triad


Phần I

Tam giác CIA

Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm cơ bản, cốt lõi của an toàn thông tin. Ba yếu tố của tam giác là các thành phần an ninh thông tin quan trọng nhất và nên được đảm bảo trong mọi hệ thống an ninh.
Nếu một trong ba yếu tố này bị vi phạm sẽ dẫn đến hậu quả vô cùng khôn lường.
Tam giác CIA được tạo ra để cung cấp một tiêu chuẩn cơ bản để đánh giá và triển khai bảo mật cho bất kể hệ thống hoặc / và các tổ chức.

(Bài viết được dịch bởi Đăng Đăng)


Phần II

Tính bí mật


Bí mật là “Tài sản, thông tin không được phép sẵn sàng hay mở cho những cá nhân, thực thể hay tiến trình trái phép. Nói cách khác, bí mật tức là ngăn ngừa những thông tin nhạy cảm rơi vào tay những người không được phép truy cập vào, trong khi những người có quyền vẫn có thể truy cập được.
Tuy khá giống với từ “riêng tư”, nhưng 2 từ này không thể thay thế cho nhau được. Hơn nữa, bí mật là 1 thành phần của riêng tư mà để bảo vệ dữ liệu của chúng ta khỏi những kẻ trái phép.

Một số ví dụ gây nguy hại cho tính bí mật:

- Một hacker truy cập được vào cơ sở dữ liệu password của 1 công ty.
- Những email nhạy cảm bị gửi nhầm cho người khác.
- Một hacker đọc được những thông tin nhạy cảm bằng cách chặn bắt luồng thông tin.

Một số giải pháp đảm bảo tính bí mật

- Mã hóa dữ liệu
- Dùng các phương thức xác thực
+) Mật khẩu
+) Xác minh 2 bước
+) Sinh trắc học
- Tối thiểu hóa số lần và địa điểm mà thông tin hiện hữu.
- Các biện pháp an toàn vật lý như bảo vệ phòng server,…

(Bài viết được dịch bởi Đăng Đăng)

Phần III

Tính toàn vẹn

Toàn vẹn là”tài sản chính xác và đầy đủ”. Nói cách khác, toàn vẹn nghĩa là
Duy trì tính nhất quán, chính xác và tin cậy của dữ liệu trong suốt vòng đời của nó. Dữ liệu không được phép bị thay đổi trong quá trình trao đổi và phải được đảm bảo không bị chỉnh sửa bởi người không có quyền.

Một số ví dụ gây hại đến tính toàn vẹn:

- Lỗi nhập dữ liệu do con người.
- Các lỗi trong khi trao đổi.
- Lỗi phần mềm, phần cứng.
- Hacker thay đổi dữ liệu mà đáng lẽ chúng không được phép truy cập.

Một số ví dụ về các phương pháp đảm bảo tính toàn vẹn:

- Làm tốt các phương thức xác thực và điều khiển truy cập.
- Kiểm tra tính toàn vẹn với hàm băm.
- Sao lưu và phục hồi.

(Bài viết được dịch bởi Đăng Đăng)

Phần IV

Tính sẵn sàng

Sẵn sàng là “tài sản được truy cập và sử dụng bất cứ khi nào cần thiết bởi người có quyền.”. Nói cách khác, mọi thông tin cần được sẵn sàng và có thể truy cập bởi người có quyền bất cứ khi nào họ cần.

Một số ví dụ gây hại đến tính sẵn sàng:

- Tấn công từ chối dịch vụ (DOS)
- Server hỏng
- Hiểm họa vật lý và tự nhiên

Một số ví dụ về phương pháp đảm bảo tính sẵn sàng:

- IDS ( Hệ thống phát hiện xâm nhập)
- Kiểm soát luồng dữ liệu
- Tường lửa
- Các biện pháp an toàn vật lý
- Bảo trì phần cứng thường xuyên.

(Bài viết được dịch bởi Đăng Đăng)

Phần V


Ngày nay, mọi hệ thống đều đã được bảo vệ bởi tường lửa. Tường lửa khiến kẻ xâm nhập bị khóa bên ngoài hệ thống và đảm bảo dữ liệu được an toàn. Giờ hãy thử tưởng tượng hệ thống không có tường lửa bảo vệ:

1. Kẻ xâm nhập gây hại đến tính bí mật như thế nào?
Giải pháp 1: Xóa toàn bộ cơ sở dữ liệu.
Giải pháp 2: Đánh cắp cơ sử dữ liệu nơi mà lưu giữ cấu hình hệ thống
Giải pháp 3: Đánh cắp cơ sở dữ liệu nơi lữu giữ tên và email rồi upload lên mạng.
Giải pháp 4: Tính bí mật không thể bị kẻ xâm nhập làm hại.

2. Kẻ xâm nhập gây hại đến tính toàn vẹn như thế nào?
Giải pháp 1: Thay đổi tên và email của một hay nhiều người trong cơ sở dữ liệu
Giải pháp 2: Bằng cách lắng nghe luồng dữ liệu vào và ra.
Giải pháp 3: Bằng cách vượt qua phương thức xác thực được đặt ra để quản lý hệ thống cơ sở dữ liệu.
Giải pháp 4: Tính toàn vẹn chỉ có thể bị gây hại khi kẻ xâm nhập có địa chỉ vật lý của cơ sở dữ liệu lưu trữ.

3. Kẻ xâm nhập gây hại đến tính sẵn sàng như thế nào?
Giải pháp 1: Bằng cách khai thác lỗ hổng phần mềm hệ thống để vượt qua cơ chế xác thực cho cơ sở dữ liệu.
Giải pháp 2: Bằng cách chuyển hướng email có nội dung nhạy cảm đến những người khác.
Giải pháp 3: Tính sẵn sàng chỉ có thể bị gây hại bằng cách rút nguồn điện của các thiết bị lưu trữ.
Giải pháp 4: Bằng cách tấn công từ chối dịch vụ vào máy chủ.

4. Chuyện gì sẽ xảy ra nếu một trong ba yếu tố của tam giác CIA bị gây hại?
Giải pháp 1: Hệ thống có thể được coi là an toàn cho đến khi tất cả các yếu tố bị tổn hại. Làm hại một mục tiêu không ảnh hưởng đến an toàn hệ thống.
Giải pháp 2: An toàn hệ thống bị xâm phạm ngay cả khi chỉ có một mục tiêu bị gây hại.
Giải pháp 3: Dù kẻ tấn công đọc hoặc thay đổi dữ liệu thì cũng không tệ lắm, ít nhất một số dữ liệu vẫn sẵn sàng, do đó chỉ khi tính sẵn sàng bị tổn hại thì an toàn của hệ thống mới bị xâm phạm.
Giải pháp 4: Nếu kẻ tấn công thay đổi dữ liệu hoặc khiến chúng không sẵn sàng cũng không sao, nhưng đọc dữ liệu nhạy cảm là không thể chấp nhận được. Chỉ khi tính bảo mật bị gây hại thì tam giác CIA mới bị gây hại.

FLAG: 3-1-4-2

(Bài viết được dịch bởi Đăng Đăng)

Nguồn: Webgoat

August 14, 2019
URL Print Email
Labels:

Post a Comment

Bài viết nổi bật

[blogger]

MKRdezign

Contact Form

Name

Email *

Message *

Powered by Blogger.
Javascript DisablePlease Enable Javascript To See All Widget