Tiểu Phương

Cùng học (tiếp!) với tôi 7 từ mới trong An toàn thông tin (Phần 3)

numbers projected on face

Lại là bạn Tiểu Từ-Mới đây. Câu chuyện là 8 khoá học trong chứng chỉ Google Cybersecurity nhồi vào đầu tôi lượng kiến thức mà trong một bài viết không bao hết được, nên tôi phải “bẻ” nó ra thành nhiều phần. Vừa là để bạn dễ tiếp cận hơn, vừa là để cho chính bản thân tôi ôn bài và chuẩn bị “lên thớt” cho đợt review thực tập sinh sắp tới của NCSC (cứu!).

Bài viết này là tiếp nối của hai phần trước:

[Ký sự NCSC] Cùng tôi học 7 từ mới trong An toàn thông tin
(Lại) Cùng tôi học 7 từ mới trong An toàn thông tin (Phần 2)

Có chỗ nào không hiểu, bạn có thể tham khảo các bài viết này hoặc Google tìm kiếm nhé.

Bài viết hôm nay sẽ nhiều từ khoá mà cá nhân tôi cho là “cao cấp” và “ghê gớm” hơn nhiều loạt từ tôi đã giới thiệu trước đây. Trừ khi tôi siêu giỏi và được giao task khó, không thì có lẽ sẽ chẳng bao giờ tôi phải chạm trán với những khái niệm này. Nhưng trót được học rồi, vả lại nhỡ đâu sau này tôi cũng trót… “khủng” thật thì tôi cũng biết là mình đã được chuẩn bị sẵn 🙂

Happy monitoring!

1 – Assets – Threats – Vulnerabilities

Tôi thấy cái nghề làm hacker (bất kể mũ màu gì) luôn khá là khó để giải thích với mọi người xung quanh. “Cháu làm security”, nói thế các cụ lại tưởng mình ăn học tốn bao tiền chỉ để đi… gác cổng và dắt xe. Mà thôi, thà thế, chứ tòi ra mình “nguy hiểm” thật thì người ta nhìn mình với con mắt khác lắm.

Từ lúc tụi bạn biết tôi tìm thấy chân ái ở định hướng “làm bảo vệ” này, chúng nó cảnh giác với tôi hơn hẳn. Cứ như thể tôi sẽ làm gì chúng nó ấy? Tôi chỉ được cái khiêm tốn nhưng sâu bên trong thì tôi… vẫn cùi, chả làm gì được các bạn đâu. Hoặc có…? 🙂

Post by @tieucreates
View on Threads

Để làm bác bảo vệ tốt thì trước hết là bạn phải biết mình đang bảo vệ cái gì. Nếu bạn là người bảo vệ toà nhà, nhiệm vụ khá dễ hiểu. Sáng sáng đến sớm, mặc đồng phục, chào hỏi ông bạn bảo vệ còn lại/ mấy nhân viên quen/ bà bán trà đá bên đường ta vẫn hay lân la tới. Công việc nói chung cũng rảnh, có thời gian mở YouTube xem cái này cái kia.

Thỉnh thoảng có đứa tóc ngắn mặt non choẹt, đã mặc “long bào” Bách khoa rồi lại còn hay đi muộn, lớ ngớ “chào bác” rồi xoè hai tay xin vé gửi xe (cháu xin!) thì biết đấy là con nhóc thực tập sinh ở tầng 16, soi soi xem nom có gì khả nghi không rồi đưa vé cho nó. Mầm non hacker của đất nước đấy, có phải đơn giản đâu.

Tóm lại là ta đảm bảo người đi ra đi vào toà nhà là người được phép làm như vậy.

Vậy nếu ta là người gác “hệ thống” thì sao? Rốt cục là ta phải bảo vệ những gì?

Assets (Tài sản)

Bao gồm các nguồn lực hữu hình hoặc vô hình như vật, tiền, giấy tờ – có giá trị và các quyền tài sản của doanh nghiệp tại một thời điểm nhất định – và có khả năng mang lại lợi ích cho doanh nghiệp trong tương lai.

Thường thì những doanh nghiệp luôn phải thực hiện công cuộc quản lý tài sản (Asset Management) để xác định được họ đang nắm trong tay những gì và rủi ro đi kèm với mỗi loại tài sản. Thoạt nghe thì tưởng là một quy trình lý thuyết và không quá quan trọng, nhưng nó là thứ phải làm đấy nhé.

Ví dụ như ở NCSC, mấy chiếc máy tính anh chị tôi dùng đều dán tem kiểm kê tài sản của Cục. Cả chiếc giá sách thân yêu mà tôi hay ngồi cạnh cũng vậy.

Có không giữ, mất đừng tìm – có mà không biết là có còn tệ hơn thế. Bạn cần phải biết mình có những gì, rồi mới lên kế hoạch bảo vệ cho nó được. (Ở cấp độ cá nhân cũng có thể áp dụng điều này – ví dụ sức khoẻ của bạn chẳng hạn?)

Tài sản nào cũng đi liền với rủi ro. Rủi ro được định nghĩa bởi hai thành tố là Threat (Mối đe doạ) và Vulnerability (Lỗ hổng).

Threat (Mối đe doạ)

Cái này đọc có lẽ cũng hiểu rồi, nên tôi khỏi định nghĩa nữa, không lại nghe hơi bị sách vở. Các mối đe doạ có thể được chia thành hai loại là mối đe doạ có chủ đích (Intentional) hoặc mối đe doạ không có chủ đích (Unintentional).

Một mối đe doạ có chủ đích có thể là một xu hướng hay chiến dịch tấn công nhằm vào một cá nhân hay tổ chức nào đó. Mối đe doạ không có chủ đích có thể đến từ sự vô ý, ví dụ như việc thiếu đi công tác tập huấn về an toàn thông tin cho đội ngũ nhân viên, để lộ lọt này kia, nước đến chân mới… rửa, thì thôi thì thôi thế/thế thì thôi

Trong ngành An ninh mạng đang có một hướng đi tuy mới (so với tuổi đời những hướng khác nhé, chứ đến thời điểm này nó cũng không còn mới lắm rồi) nhưng cũng rất phát triển là Threat Intelligence – tình báo thông tin – chuyên thu thập các mối đe dọa đã, đang và sắp nhắm mục tiêu đến tổ chức trên không gian mạng. Bạn đọc quan tâm có thể đọc thêm trên diễn đàn White Hat Việt Nam:

https://whitehat.vn/threads/threat-intelligence-huong-di-moi-trong-nganh-an-ninh-mang.16869

Vulnerability (Lỗ hổng)

Anh em bảo vệ, à nhầm, bảo mật, hay cãi nhau cái câu chuyện như thế nào thì mới được coi là một lỗ hổng: Biết là bug, nhưng bug không khai thác được thì có tính là lỗ hổng không?

Về cơ bản thì tôi đồng tình với quan điểm là phải khai thác được thì mới coi là lỗ hổng, còn không thì nó chỉ coi là điểm yếu thôi. Một lỗ hổng là thứ hội tụ cả ba yếu tố:

  • Một hệ thống có tồn tại điểm yếu;
  • Kẻ tấn công có khả năng tiếp cận điểm yếu đó; và
  • Điểm yếu đó có thể bị khai thác bởi kẻ tấn công.

Bạn đọc nào mà thấy “chưa thuyết phục lắm” thì có thể đọc blog sau và thử cho tôi câu trả lời của bạn nhé. Case study là một bài viết của các anh @ienpp, @thaidn (← anh idol tôi), @superkhung của đội VNSec trong một sự cố của Vietcombank với SmartOTP vào năm 2016.

https://www.vnsecurity.net/research/2016/08/13/Ve-su-vu-khach-hang-Vietcombank-bi-mat-tien.html

Một điều chúng ta hay bỏ quên, đấy là lỗ hổng bao gồm lỗ hổng kỹ thuật và lỗ hổng con người. Cái này nói mãi rồi, nhưng cá nhân tôi thấy các tổ chức làm vẫn chưa chặt lắm. Bạn cứ gọi thử vài cuộc điện thoại tới tổng đài nào đó và lấy thử thông tin cá nhân của ai đó xem… Tóm lại là chúng ta cần phải tính đến việc bảo vệ trước cả các tấn công kỹ thuật và tấn công phi kỹ thuật (Social Engineering).

Chị đẹp Jessica Clark đã hack tung toé anh nhà báo Kevin Roose chỉ với một cuộc điện thoại trong DEF CON 2017. Tôi là tôi thần tượng lắm các chị hacker vừa xinh vừa giỏi, đố có anh nào mà sống lỗi được với các chị.

2 – APT

APT là viết tắt của Advanced Persistent Threats. Mấy trang tiếng Việt họ hay gọi chung chung là “cuộc tấn công có chủ đích”, tôi nghe mà không thấy lọt tai tí nào (thậm chí còn chẳng đúng nếu dịch word-by-word!). Định nghĩa mỗi nơi mỗi khác, nhưng để được coi là APT thì cần thoả ba điều kiện như cái tên:

  • Advanced (Cấp cao): Sử dụng kết hợp nhiều kỹ thuật thu thập thông tin khác nhau, từ công nghệ xâm nhập máy tính phổ biến đến các công cụ tiên tiến.
  • Persistent (Lâu dài/ liên tục): Có mục tiêu rõ ràng và thực hiện tấn công một cách kiên trì, thường với phương pháp “chậm và ổn định” để duy trì quyền truy cập vào đối tượng.
  • Threat (Đe doạ): Là mối đe dọa nghiêm trọng, vì chúng “nói được là làm được”, thực hiện bởi các nhóm người có tổ chức, có kỹ năng và được tài trợ tốt (read: giỏi + giàu + rảnh); chứ không chỉ là các đoạn mã tự động hay như bạn sinh viên vừa ‘gà’ vừa nghèo nào đó đang viết mấy dòng này.

APT là tấn công thuộc hàng cao cấp, top-tier, nên cũng có quy trình hẳn hoi nhé. Đặc điểm của nó là tính bí mật cao (vô cùng cẩn trọng, im lặng, khó phát hiện), trong thời gian dài (ăn nhờ ở đậu trong hệ thống từ nhiều tháng đến nhiều năm), và nhắm vào các các nhân quan trọng và tổ chức lớn bao gồm tư nhân hoặc nhà nước vì các động cơ kinh tế hay chính trị.

Khỏi phải nói về thiệt hại mà nó gây ra: APT có thể làm khuynh đảo cả trật tự an ninh của một hay nhiều quốc gia.

Tiến trình của một tấn công APT bao gồm 3 giai đoạn chính:

Giai đoạn 1: Xâm nhập (Infiltration)

Doanh nghiệp thường bị xâm nhập qua lỗ hổng ứng dụng web, tài nguyên mạng, hoặc do sự bất cẩn của nhân viên. Kẻ tấn công có thể tải lên các tệp độc hại, thực hiện tấn công DDoS để làm phân tâm quản trị viên, và cài đặt backdoor hoặc Trojans để duy trì quyền truy cập.

Giai đoạn 2: Mở rộng phạm vi (Escalation and Lateral Movement)

Sau khi có quyền kiểm soát ban đầu, kẻ tấn công mở rộng quyền kiểm soát trong hệ thống mạng, rà quét các hệ thống khác, và thu thập thông tin nhạy cảm như dữ liệu tài chính và thông tin nhân viên. Dữ liệu thu thập được có thể bị lợi dụng để gây thiệt hại hoặc bán cho đối thủ.

Giai đoạn 3: Khai thác (Exfiltration)

Thông tin bị đánh cắp thường được lưu trữ tạm thời trong hệ thống mục tiêu và được trích xuất khi đã thu thập đủ. Các chiến thuật tấn công như DDoS có thể được sử dụng để đánh lạc hướng nhóm bảo mật, tạo điều kiện cho việc lấy cắp thông tin mà không bị phát hiện.

Dell SecureWorks vẽ cái vòng đời APT trông rõ phức tạp, nhưng vì thực tế không phải lúc nào cũng đơn giản (!), nên tôi lại đưa nó vào đây.

Cuộc tấn công APT nổi danh nhất trong lịch sử nhân loại là Stuxnet (2005~2010). Nói không quá thì nó đã suýt châm ngòi cho chiến tranh thế giới thứ ba.

Ngoài ra, các quốc gia còn có đủ các lực lượng hacker thực hiện APT với những cái tên vô cùng đáng yêu, như Charming Kitten (Iran), Berserk Bear (Nga), SandCat (Uzbekistan), Double Dragon (Trung Quốc) và có-trời-mới-biết những cái tên khác nữa. Các tổ chức nghiên cứu đứng ra tìm hiểu về APT gọi mỗi nhóm với một cái tên khác nhau, nên rất có thể nhiều cái tên cùng trỏ đến một nguồn.

CrowdStrike đặt tên theo kiểu vườn bách thú (như trên), Mandiant thì chỉ đánh số APT/FIN/UNC-n (rõ thiếu sáng tạo), Microsoft thì gọi theo bảng tuần hoàn hoá học, xong sau lại đổi sang cách đặt tên kiểu dự báo thời tiết (đồ ba phải).

Tôi cũng chẳng hiểu sao họ gọi tên kiểu đó, có lẽ là để xả stress sau những tháng năm đằng đẵng theo dấu những hacker giỏi nhất của nhân loại.

3 – AAA

Nói chuyện APT căng quá, thôi giờ ta chuyển qua xem Thế vận hội. Nếu như người Pháp có AAAAA*, thì anh em cybersecurity chúng tôi có AAA. Ít hơn hai chữ A, chẳng qua là tôi chưa đến Pháp mà thôi. Tôi sẽ bù vào mấy chữ A còn lại cái ngày tôi đến Paris, còn bây giờ thì tôi sẽ giải thích cho bạn cái AAA này là gì.

Một cái note cũ hơn của tôi về AAA trong chứng chỉ Google IT Support tôi cày từ cuối năm nhất.
  • Authentication (Xác thực): Quy trình xác nhận danh tính của người dùng hoặc hệ thống, thường thông qua việc sử dụng tên người dùng và mật khẩu, thẻ thông minh, hoặc các phương pháp xác thực đa yếu tố.
  • Authorization (Ủy quyền): Quy trình xác định quyền hạn của người dùng hoặc hệ thống sau khi đã được xác thực, bao gồm việc quyết định các tài nguyên hoặc hành động nào mà người dùng được phép truy cập hoặc thực hiện.
  • Accounting (Kế toán): Quy trình theo dõi và ghi lại các hoạt động của người dùng hoặc hệ thống, nhằm mục đích giám sát, báo cáo và điều tra các hoạt động cũng như sự tuân thủ chính sách bảo mật.

AAA là framework kiểm soát truy cập tới các hệ thống máy tính, thiết đặt các chính sách và kiểm tra xem người dùng đang sử dụng hệ thống ra sao. Bạn có thể đã tiếp xúc với những cài đặt thực tế dựa trên AAA, nổi bật nhất là SSO (Single Sign-on) khi gặp mấy cái nút “Sign in with Facebook” hay “Sign in with Google”; và MFA (Multi-factor Authentication/ Xác thực đa phương thức) khi nhận mã OTP hay quét khuôn mặt, dấu vân tay, căn cước công dân.

4 – Pyramid of Pain

Trong phim tôi thấy hacker cười nhiều hơn là khóc. Chắc trừ Mr. Robot ra – tôi thấy đấy là cái TV show duy nhất làm sát được với thực tế của chúng tôi (read: trầm cảm). Bấm vài lần Enter trên cái nền đen chữ xanh mà hack được sập cả hệ thống thì cái thế giới này loạn rồi.

Cái top comment khiến tôi không khỏi bụm miệng cười, nên tôi trích nó ra luôn ở đây: “Honestly the most impressive thing out of all of this is his ability to write a complete regex expression without using stack overflow”

Chúng tôi, những cháu gà mũ đỏ, ngày ngày phải nai lưng ra mà học, mà thử sai, mất nhiều tháng nhiều năm mới mong hiểu được cách thức thứ gì đó hoạt động, chứ chưa nói đến chuyện tấn công. May mà có bạn bè, anh chị, đồ ăn ngon và giấc ngủ trưa (NCSC muôn năm!), chứ không tôi đòi ‘trả dép em về’ từ lâu.

Tấn công vào được rồi thì lại lo câu chuyện bị “bắt thóp”. Phía bên kia màn hình, kẻ đang đối mặt với chúng tôi là ai? Một tay sysadmin đáng thương vừa under-paid vừa làm team 1 người, luôn thiếu ngủ và cũng chẳng hiểu những gì bản thân đang làm cho lắm? Hay một đội SOC toàn các anh tài, kiểm tra các thứ cẩn thận và thực ra là đã nắm chúng tôi trong lòng bàn tay, chỉ đợi có thêm động tĩnh là đủ bằng chứng để bắt cả rổ?

Pyramid of Pain là một mô hình trong an ninh mạng giúp phân loại các chỉ báo mối đe dọa (Indicators of Compromise – IoCs) dựa trên mức độ khó khăn của việc phát hiện và phòng chống các mối đe dọa. Mô hình này được giới thiệu bởi David J. Bianco và thường được sử dụng để hướng dẫn các hoạt động phòng thủ an ninh mạng.

Càng lên cao trong mô hình thì càng đau đớn – đau đớn với kẻ tấn công, khi có làm gì thì cũng đều bị phát hiện và ngăn chặn cả rồi. Nhưng có lẽ điều ấy cũng đúng với bên phòng thủ, vì để nắm được đến một mức độ cao, có trong tay cả bàn cờ như vậy cũng đòi hỏi khả năng và nhiều công sức.

5 – Kill Chain

Lại nói một câu chuyện nữa mà phim ảnh làm sai, ấy là hacker chúng tôi không ngồi phịch xuống trước cái máy tính và gõ ầm ầm, gửi hết cái này đến cái kia đến target để bắt đầu. Để thực hiện một cuộc tấn công thành công, tôi thấy cũng không khác việc làm hồ sơ apply học bổng là mấy, nó đòi hỏi bạn phải đi qua nhiều bước và luôn phải cố gắng hết sức ở mọi bước.

Nhiều bước ấy gom lại thành một quy trình mà bấy giờ người ta đặt cho nó cái tên khá hay: Cyber Kill Chain. Thuật ngữ “Kill chain” này không mới. Nó xuất phát từ bên quân đội, ý chỉ chuỗi các bước tiến hành một cuộc tấn công. Cyber Kill Chain, dĩ nhiên, là chuỗi các bước tiến hành một cuộc tấn công mạng. Chuỗi này bao gồm 8 giai đoạn:

8 bước để “nấu” một cuộc tấn công. Nguồn: Varonis.

Reconnaissance – Thu thập thông tin Giai đoạn này là bước đầu tiên của cuộc tấn công, nơi các hacker thu thập thông tin về mục tiêu, tìm kiếm lỗ hổng bảo mật và điểm yếu trong hệ thống. Họ có thể sử dụng các công cụ quét mạng và khai thác từ các nguồn như firewall, hệ thống IPS, hoặc tài khoản mạng xã hội. Hoặc đơn giản là một cuộc điện thoại vô thưởng vô phạt như chị đẹp hacker tôi giới thiệu phía trên.

Intrusion – Xâm nhập Dựa trên thông tin đã thu thập, các hacker xâm nhập vào hệ thống mục tiêu bằng malware hoặc khai thác lỗ hổng bảo mật. Giai đoạn này thường bao gồm phát tán malware qua email phishing, trang web bị xâm nhập, hoặc WiFi công cộng.

Exploitation – Khai thác Trong giai đoạn khai thác, các hacker sử dụng lỗ hổng để phát tán mã độc và cài đặt công cụ bổ sung, sửa đổi chứng chỉ bảo mật và tạo script mới nhằm mục đích phạm pháp.

Privilege Escalation – Leo thang đặc quyền Để có quyền truy cập nhiều hơn và khai thác tối đa hệ thống, các hacker cần nâng cấp đặc quyền của mình, thường lên vai trò Admin. Họ sử dụng các kỹ thuật như brute force, khai thác lỗ hổng password và zero-day để thực hiện việc này.

Lateral Movement – Lây lan lân cận Khi đã có quyền truy cập vào hệ thống, hacker di chuyển giữa các hệ thống khác để thu thập thêm dữ liệu và quyền truy cập. Họ sử dụng các công cụ như PowerShell để tìm kiếm thông tin quan trọng và quyền truy cập admin.

Obfuscation / Anti-forensics – Che giấu và chống điều tra Các hacker làm việc để che giấu dấu vết cuộc tấn công bằng cách xóa log, chỉnh sửa metadata, và thay đổi thông tin quan trọng để làm hệ thống trông như chưa bị tấn công.

Denial of Service – Từ chối dịch vụ Hacker có thể tấn công từ chối dịch vụ (DDoS) để làm gián đoạn quyền truy cập và hoạt động của hệ thống, ngăn không cho cuộc tấn công bị phát hiện hoặc ngăn chặn.

Exfiltration – Trích xuất dữ liệu Giai đoạn cuối cùng là trích xuất dữ liệu nhạy cảm ra khỏi hệ thống bị xâm nhập. Các hacker sao chép hoặc di chuyển dữ liệu để kiểm soát, thao túng và có thể bán hoặc công khai dữ liệu trên các nền tảng thương mại hoặc WikiLeaks.

Dĩ nhiên là tôi chưa khủng đến mức làm được full combo như thế kia, nhưng các hacker kỳ cựu tôi đọc thì họ luôn làm từng bước như vậy. Mấy tháng nay tôi đã ngốn hết 3 cuốn sách của Kevin Mitnick trên kệ sách ở NCSC (The Art of Deception, The Art of Intrusion, Ghost in the Wires) – ít nhất tôi có thể qua đó mà khẳng định – những hacker thực sự rất biết tính toán thấu đáo đấy.

6 – Attack Signature

Không phải cuộc tấn công nào cũng mới, chẳng qua là lỗ hổng cũ năm nào vẫn chưa được vá…

Tôi nghĩ đa phần là vậy. Khi thực hành, gà-mũ-đỏ tụi tôi có hàng tá danh sách các payload, cứ ném vào rồi cho chạy tự động thử từng cái một xem cái nào “xiên chết” được ứng dụng. Cái tôi thấy ngán ngẩm ấy là việc làm lười biếng ấy đôi khi… vẫn có tác dụng, chứng tỏ đúng security hạng bét.

Ở một mức cao hơn hạng bét, người bảo vệ biết lấy đúng điểm mạnh của chúng tôi để chống lại chúng tôi. Attack Signature, chữ ký của một cuộc tấn công, là tổng hợp của những tính chất hay quy luật thường thấy gắn với một loại tấn công hay hoạt động đáng nghi nào đó. Ví dụ với lỗi SQL injection sẽ có các SQL injection signature, những chữ ký chỉ ra các request có khả năng là một kẻ nào đó đang muốn khai thác lỗ hổng này. Người dùng bình thường tìm kiếm “cat videos”, trong khi một đứa muốn đâm chọt hệ thống sẽ đi tìm kiếm dấu nháy đơn chẳng hạn.

Các chữ ký thường được lập nên từ những gì đã biết, tương tự như cách các danh sách payload được tạo nên. Vì tính đã biết của nó nên chữ ký này thường được dùng trong các hệ thống phát hiện tự động, và nó khá hiệu quả để bảo vệ bạn trước những mối nguy cơ bản.

7 – NIST-CSF

NIST là viết tắt của National Institute of Standards and Technology, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ, là cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Mỹ (U.S. Department of Commerce). NIST được thành lập với nhiệm vụ chính thức là thúc đẩy sự đổi mới và cạnh tranh công nghiệp của Mỹ bằng cách cải tiến hệ thống đo lường, tiêu chuẩn và công nghệ để nâng cao nền kinh tế và cải thiện phúc lợi xã hội.

NIST là tổ hợp của những cái đầu to ngày đêm thiết kế ra các bộ tiêu chuẩn và hướng dẫn, và số lượng tài liệu họ làm ra là một ma trận khổng lồ (FIPS, SP, và mớ Internal/Interagency Report), tôi khó lòng mà giới thiệu hết được.

Trong bài này tôi sẽ giới thiệu về NIST-CSF, tức NIST – Cybersecurity Framework, thứ framework tôi đã học trong chứng chỉ. Về cơ bản các bạn cứ nhìn cái hình này là hiểu:

Khung cấu trúc cốt lõi bao gồm 5 giai đoạn, tương ứng với 5 danh mục con bao bên ngoài:

  • Nhận dạng (Identify): Tăng cường hiểu biết để quản lý rủi ro an ninh mạng. Các công tác cần làm bao gồm quản lý tài sản, quản trị rủi ro, đánh giá rủi ro,… như tôi nói ở từ mới đầu tiên.
  • Bảo vệ (Protect): Thực hiện các biện pháp bảo vệ thích hợp để đảm bảo cung cấp dịch vụ cơ sở hạ tầng quan trọng. Phần này cần tới việc gia tăng nhận thức, đào tạo về quy trình, bảo trì,…
  • Phát hiện (Detect): Xây dựng và triển khai các hoạt động phù hợp để xác định sự xuất hiện của một sự kiện an ninh mạng. Cái này thì chắc tôi khỏi nói là phải làm gì – giảm sát an toàn không gian mạng, đúng tên nơi tôi thực tập luôn.
  • Phản hồi (Respond): Hành động trước một sự kiện an ninh mạng được phát hiện. Bao gồm việc lập kế hoạch ứng phó, giảm thiểu thiệt hại, phân tích sự cố,…
  • Khôi phục (Recover): Khôi phục lại các dịch vụ, hệ thống,… đã bị ảnh hưởng sau sự cố an ninh mạng. Đây là câu chuyện của việc rút ra bài học, đi dọn rác sau đám cháy, và thề với lòng là đừng lặp lại một lỗi sai đến lần thứ hai.

Vòng vàng ở trong là yếu tố mới được giới thiệu, Quản trị (Govern). Về cơ bản thì chức năng này nhấn mạnh việc tiếp cận tổng thể của tổ chức với an ninh mạng phải phù hợp với chiến lược của doanh nghiệp, được đo lường bằng hoạt động và được quản lý bởi các giám đốc điều hành an ninh, bao gồm cả ban giám đốc. Hiểu đơn giản thì người lãnh đạo ở cao tít mù tắp cũng nên để ý công cuộc security một tí, chứ không thể là chẳng biết gì về quy trình quản lý rủi ro an ninh mạng cả.

(Viết đến đây tự dưng tôi trộm nghĩ, có lẽ tháng vừa rồi các anh tôi đi dạy học cho các bác sếp các đơn vị khác khả năng cao một phần là do cái NIST-CSF 2.0 này. Nếu bạn tò mò thì nó là DVWA và Portswigger giống như tụi intern chúng tôi đang học.)

Phew…! Nhiều thứ quá nhỉ. Đấy là tôi chưa nói đến các Tier, các Profile được định nghĩa trong CSF nữa đấy. Nếu ai có hứng thú thì tự tra Google hoặc đặt gạch để tôi viết riêng một bài khác nhé, chứ viết nữa thì dài lắm.

Một thực tế mà tôi sớm nhận ra khi làm ngành này, và ngành IT nói chung, ấy là nếu bạn dừng học nghĩa là bạn lăn ngược xuống núi. Hơi ác liệt nhỉ, nhưng cuộc chơi nó như vậy đấy. Bạn sẽ tụt hậu nhanh khủng khiếp nếu như bạn không học liên tục.

Tháng 2 năm nay (2024), NIST đã đưa ra framework phiên bản 2.0; trong khi phiên bản tôi học từ chứng chỉ Google Cybersecurity là một phiên bản cũ hơn, không có cái vòng tròn vàng “Govern” ở bên trong như trên. Đấy cũng chính là thay đổi lớn nhất khi CSF 2.0 ra mắt. Trong lúc tìm kiếm tư liệu cho bài viết này tôi mới nhận ra điều ấy. Ta nói học hành đến vỡ mặt thật mà…

Vở tôi đây. Đây là NIST-CSF đời thứ nhất.

P/s. Hôm nay là đã sắp là ngày thi đấu cuối cùng của Olympics Paris 2024, với ngày thi đấu Breaking. Tôi dừng bút để đi xem nhảy đây. Ngoài chuyện “hack hủng” ra thì tôi muốn cập nhật là tôi vẫn đi nhảy múa đều, với cái hẹn biểu diễn là cuối tháng 9 này ở Nhà hát Tuồng Việt Nam, các bạn nhé.

Bữa vừa rồi tôi đi xem anh tôi, Tú Hoàng, trong vở diễn “Đối diện với vô cùng”, cũng ở nhà hát này, sau 18 năm anh đi công tác ở Hà Lan (thực ra là ít hơn – tôi đã support anh trong một vở diễn trước đó ở Kinergie Studio vào năm ngoái là “Rabbit Hole/ Hang Thỏ”). Cùng với anh là những cái tên Nguyễn Quốc Hoàng Anh, Hà Nguyên Long, Nguyễn Duy Thành, Tom Phạm, Trần Công Tuấn Anh, Nhơn Võ, Võ Trọng Nghĩa… toàn là những trụ cột trẻ của nền nghệ thuật đương đại nước nhà.

Tự nhủ với bản thân là đường đi hack với đường đi nhảy, đường nào cũng hẵng còn dài lắm…!

* AAAAA, viết tắt của “Association Amicale des Amateurs d’Andouillette Authentique”, nghĩa là “Hội ái hữu những người thích ăn dồi lợn chính hiệu”. 5 chữ A này thường được ghi bên cạnh tên các món nhất định trong thực đơn của các nhà hàng tại Pháp. Trông hơi ghê nhưng thấy bảo ngon – tôi nói thế thôi chứ tôi không ăn nổi mấy món đó – bạn có thể thử và nói cho tôi cảm nghĩ nhé.

In