CÔNG TY CỔ PHẦN CÔNG NGHỆ BẰNG HỮU


Tin tức

Quản lý lỗ hổng bảo mật hệ thống Rapid7 InsightVM

Quản lý lỗ hổng bảo mật hệ thống CNTT là một quy trình liên tục và chủ động, thường được tự động hóa nhằm bảo vệ hệ thống máy tính, mạng và các ứng dụng doanh nghiệp khỏi các cuộc tấn công mạng và vi phạm dữ liệu. Việc này rất quan trọng vì:

  • Phòng ngừa tấn công: Lỗ hổng bảo mật có thể cho phép kẻ tấn công chạy mã độc, truy cập bộ nhớ hệ thống, cài đặt phần mềm độc hại, và đánh cắp hoặc phá hủy dữ liệu nhạy cảm.
  • Bảo vệ thông tin: Lỗ hổng bảo mật là điểm yếu mà tội phạm mạng có thể lợi dụng để truy cập trái phép vào hệ thống và dữ liệu, gây ra thiệt hại không lường trước được.
  • Tuân thủ pháp luật: Quản lý lỗ hổng giúp tổ chức tuân thủ các quy định về bảo mật thông tin và giảm thiểu rủi ro pháp lý.
  • Duy trì uy tín: Một hệ thống an toàn giúp xây dựng niềm tin với khách hàng và đối tác, đồng thời bảo vệ thương hiệu và danh tiếng của tổ chức.

Do thực tế là các cuộc tấn công mạng liên tục phát triển, quản lý lỗ hổng phải là một hoạt động liên tục và lặp đi lặp lại để đảm bảo rằng doanh nghiệp vẫn luôn được bảo vệ. Nhằm đảm bảo khả năng quản lý lỗ hổng bảo mật hệ thống CNTT hiệu quả chúng tôi giới thiệu bộ công cụ quản lý lỗ hổng chuyên dụng của hãng Rapid7 – Rapid7 InsightVM. Dưới đây là sơ lược tính năng giải pháp và điểm ưu việt của Rapid7 InsightVM so với các giải pháp khác:

  • Rà quét, kiểm kê và gộp nhóm/phân mức ưu tiên/quan trọng của các tài sản hệ thống CNTT.
  • Rà quét, định danh các lỗ hổng bảo mật đã và đang tồn tại trên các tài nguyên mạng. 
  • Rà quét, đánh giá tuân thủ (compliance) và kiểm tra mức độ hardening của hệ thống theo các chuẩn Compliance nổi tiếng (CIS,PCI, SOX, …).
  • Đánh giá, quản lý sửa chữa lỗ hổng bảo mật thông qua mức độ rủi ro cao nhất (Real-Risk Score), giúp tối ưu hóa sửa chữa lỗ hổng/ điểm yếu bảo mật.
  • Cung cấp thông tin chi tiết để hướng dẫn sửa chữa lỗ hổng bảo mật.
  • Tích hợp chặt chẽ với công cụ kiểm thử an ninh (như Metasploit, CoreImpact, ….), giúp dễ dàng kiểm thử/ validate những lỗ hổng nào có thể khai thác/tấn công được và ưu tiên xử lý, giúp tối ưu hóa và quản lý hiệu quả lỗ hổng bảo mật.

a. Phát hiện tất cả các tài nguyên mạng

            Một trong các thách thức với đội bảo mật IT trong tổ chức bất kỳ là phải luôn kiểm tra sự hiện diện của các thiết bị hay hệ thống đang hoạt động trong mạng. Có nhiều nguyên nhân dẫn đến thách thức này, bao gồm việc thiếu các quy trình chia sẻ thông tin giữa các tổ chức, các chính sách của công ty thường chứa các thông tin nhạy cảm,  thiếu các hệ thống quản lý tài nguyên hệ thống.

            InsightVM Vulnerability Management cho phép tất cả người sử dụng, từ người không có kinh nghiệm đến chuyên gia, rà quét hệ thống nhanh chóng và chính xác. InsightVM Vulnerability Management có thể phát hiện ra bất cứ thiết bị nào có dùng địa chỉ TCP/IP

b. Rà quét an ninh toàn diện cho hệ thống

            InsightVM Vulnerability Management có khả năng rà quét, đánh giá an ninh tổng thể cho hệ thống mạng của tổ chức với cơ sở dữ liệu hơn 18000 Security Checks. Các đối tượng tài nguyên được đánh giá an ninh bao gồm:

  • Hệ điều hành: InsightVM thực hiện rà quét, kiểm tra và phát hiện các lỗ hổng bảo mật (lỗ hổng thiếu bản patch, buffer Overflow, weak password, trojan/spyware,…) đang tồn tại trên hệ điều hành của máy chủ, máy trạm bao gồm Windows, Linux/Unix, MacOS X (Apple), Solaris và nhiều loại hệ điều hành khác. Với cơ chế quét có đặc quyền (sử dụng tài khoản trên hệ thống đích), InsightVM có thể thực thi rà quét và đánh giá an ninh ở mức độ sâu hơn không giới hạn bao gồm:
    • Danh sách ứng dụng/software được phép, không được phép
    • Permission của file/registry
    • Độ dài của password, ngưỡng lockout, …
    • User/goup membership
    • Các service có chạy/không chạy.
  • Thiết bị mạng: InsightVM có thể rà quét và đánh giá an ninh cho hầu hết các thiết bị mạng mà tổ chức sử dụng như: Router, Switch, Firewall, thiết bị VPN. Thiết bị Wireless Access Point.
  • Các ứng dụng: Với chế độ dò quét sử dụng đặc quyền, InsightVM có thể quét và định danh ra các lỗ hổng bảo mật đang tồn tại trên hệ thống ứng dụng đang cài đặt trên máy trạm/máy chủ. Các ứng dụng phổ biến thường tồn tại nhiều lỗ hổng bảo mật bao gồm: trình duyệt web (Mozilla, Firefox, Internet Explore, …) các chương trình media (Realplayer, App Quicktime, …), các trình đọc và soạn văn bản (Adobe Reader, Microsoft Office), … Ở mức độ sâu hơn, InsightVM còn có thể rà quét an ninh cho các phần mềm diệt Virus bao gồm: Norton/Symantec, McAfee, Trendmicro, F-Secure,…
  • Các hệ quản trị cơ sở dữ liệu: InsightVM hỗ trợ rà quét, đánh giá an ninh cho hầu hết các hệ quản trị cơ sở dữ liệu nổi tiếng trên thị trường hiện tại bao gồm: DB2, Oracle, MySQL, MSSQL, Postgres.
  • Các Web Service và Web application: InsightVM rà quét và đánh giá an ninh cho các dịch vụ Web Service của hệ thống, cũng như đánh giá an ninh cho hệ thống các ứng dụng Web (Web Application).

c. Cung cấp sẵn các mẫu rà quét bảo mật / tuân thủ tối ưu

            InsightVM Vulnerability Management cung cấp sẵn nhiều mẫu quét bảo mật tối ưu với mục tiêu đánh giá mức độ bảo mật, an ninh của hệ thống mạng. Các mẫu quét bảo mật bao gồm: Denial of service, Discovery scan, Discovery scan (aggressive), Exhaustive, Full audit,  Internet DMZ audit, Linux RPMs , Microsoft hotfix, Penetration test, Safe network audit, SCADA Audit, Web audit,….

Bên cạnh các mẫu quét bảo mật, InsightVM Vulnerability Management cũng cung cấp các mẫu quét tuân thủ (compliance) đảm bảo khả năng rà quét, đánh giá mức độ tuân thủ của hệ thống mạng, mức độ hardening của hệ thống so với các chuẩn tuân thủ nổi tiếng như PCI, SOX, HIPAA, CIS, DISA,…

Tùy theo nhu cầu của tổ chức, InsightVM cho phép quản trị viên tự tạo và và thiết lập các mẫu rà quét riêng, phù hợp với yêu cầu về đánh giá an ninh của tổ chức mình.

d. Đánh giá an ninh và quản lý lỗ hổng tối ưu với RiskScore

            Rapid7 InsightVM thực hiện đánh giá an ninh triệt để dựa trên giá trị RiskScore, giúp tổ chức ưu tiên xác định được lỗ hổng nào là rủi ro nhất và cần xử lý ngay.

            Khác với các giải pháp rà quét lỗ hổng khác – mức độ nguy hiểm (critical/severity) của lỗ hổng chỉ dựa trên giá trị điểm CVSS. Rapid7 InsightVM sử dụng RiskScore để định danh chính xác mức độ rủi ro của lỗ hổng. Giá trị RiskScore được tính toán dựa trên các tham số sau đây:

  • Điểm số CVSS
  • Thời gian mà lỗ hổng đó được công bố (nếu cùng CVSS, lỗ hổng nào được khám phá, công bố sớm hơn thì riskscore cao hơn vì attack có nhiều thời gian hơn để nghiên cứu/khai thác).
  • Payload Attack: Nếu lỗ hổng đã có payload để tấn công/khai thác thì lỗ hổng đó có riskscore cao hơn (ví dụ như Payload Eternalblue cho lỗ hổng MS17-010)
  • Malware Kit: Nếu lỗ hổng đã có Malware Kit tương ứng với lỗ hổng đó (Ví dụ như WannaCry tương ứng với lỗ hổng MS17-010) thì Riskscore cao hơn.

            Như vậy, dựa trên RiskScore, quản trị viên có thể xác định được chính xác lỗ hổng nào tiềm ẩn rủi ro cao nhất đối với hệ thống, từ đó ưu tiên Phương án xử lý để giảm thiểu tối đa rủi ro an ninh cho hệ thống.

e. Tích hợp kiểm thử an ninh với CoreImpact

InsightVM Vulnerability Management có thể tích hợp với trình khai thác lỗ hổng CoreImpact để thực hiện kiểm thử xâm nhập, theo đó:

  • Rapid7 InsightVM dò quét hệ thống, định danh các lô hổng bảo mật đã và đang tồn tại trên tài nguyên của hệ thống.
  • Kết quả rà quét của Rapid7 InsightVM sẽ được import vào CoreImpact.
  • Dựa trên kết quả rà quét, CoreImpact tự động đánh giá khả năng tấn công, xâm nhập thành công vào các lỗ hổng đã định danh này và cung cấp bằng chứng chi tiết.
  • Dựa trên kết quả kiểm thử an ninh với CoreImpact, Tổ chức xác định được chính xác các lỗ hổng bảo mật/ điểm yếu bảo mật mà Attacker/ Hacker có thể xâm nhập hệ thống cũng như mức độ ảnh hưởng nếu bị xâm nhập. Từ đó tổ chức dễ dàng phân mức ưu tiên cần xử lý để xử lý lỗ hổng bảo mật, giúp tổ chức tối ưu hóa sửa chữa và đảm bảo mức độ hiệu quả và an toàn nhất.

f. Quản lý sửa chữa lỗ hổng bảo mật

               InsightVM cung cấp tính năng Remediation, cho phép tích hợp với các hệ thống Ticket Workflow để quản lý các lỗ hổng bảo mật theo ticket. Theo đó, các lỗ hổng bảo mật khi được định danh sẽ được gán cho những người có trách nhiệm để thực hiện xử lý.

               Các lỗ hổng bảo mật được định danh sẽ có đầy đủ thông tin chi tiết giúp người quản trị có thể thực hiện sửa chữa bao gồm: Tên lỗ hổng bảo mật, mức độ rủi ro, mô tả chi tiết, hướng dẫn sửa chữa, thông tin về các Exploit & payload có thể được sử dụng để tấn công lỗ hổng này, thông tin tham chiếu từ các nguồn bên ngoài về lỗ hổng bảo mật. 

Linh Vu Thuy

Linh Vu Thuy