ĐÁNH GIÁ AN NINH MẠNG: Ví dụ, Danh sách kiểm tra & Công cụ

Vì bối cảnh các mối đe dọa mạng luôn thay đổi nên các đánh giá an ninh mạng định kỳ là một thành phần thiết yếu của chương trình quản lý rủi ro toàn diện. Tại mọi thời điểm, công ty của bạn phải giám sát tình trạng không gian mạng của toàn bộ hệ sinh thái của mình, bao gồm cả các nhà cung cấp bên thứ ba và bên thứ tư. Đánh giá rủi ro an ninh mạng giúp bạn thực hiện điều này bằng cách xác định các rủi ro mạng ảnh hưởng đến tình trạng bảo mật của bạn, cho phép bạn đưa ra quyết định sáng suốt hơn về cách phân bổ ngân quỹ để triển khai các biện pháp kiểm soát an ninh và bảo vệ mạng. Hãy xem xét một số đánh giá rủi ro an ninh mạng phổ biến nhất và các hành động với các công cụ mà công ty của bạn có thể thực hiện để tiến hành đánh giá hiệu quả:

Đánh giá an ninh mạng là gì?

Đánh giá an ninh mạng là một quy trình xác định trạng thái hiện tại của tình trạng an ninh mạng của tổ chức bạn và đề xuất các bước cải thiện. Mặc dù có nhiều loại đánh giá khác nhau, nhưng bài viết này tập trung vào NIST SP 800-115: Thực hiện Kiểm soát An ninh cho Hệ thống Thông tin Liên bang (ICS) – Phương pháp Đánh giá An ninh Phiên bản 2 (SAM2). Mục tiêu ở đây là cung cấp một số thông tin cơ bản về cách thức hoạt động của SAM2 để bạn có thể quyết định xem nó có phù hợp với tình huống cụ thể của mình hay không.

Công cụ đánh giá an ninh mạng

Các công cụ đánh giá an ninh mạng đánh giá tình trạng an ninh mạng của công ty bạn. Đánh giá bao gồm một loạt câu hỏi giúp xác định tình hình an ninh mạng hiện tại của tổ chức bạn, xác định các rủi ro và cơ hội tiềm ẩn, đồng thời tạo cơ hội để đánh giá các biện pháp kiểm soát hiện tại của bạn.

Đánh giá được thiết kế để hoàn thành bởi một chuyên gia đánh giá bên ngoài, người chưa từng đánh giá tổ chức của bạn trước đó. Báo cáo đánh giá sẽ được tạo dựa trên kết quả đánh giá, có thể bao gồm các đề xuất để cải thiện tình trạng an ninh mạng của bạn.

Làm thế nào để bạn thực hiện đánh giá an ninh mạng?

Bước đầu tiên trong việc tiến hành đánh giá an ninh mạng là hiểu phạm vi dự án của bạn. Đánh giá an ninh mạng có thể được định nghĩa là một phân tích xem xét tất cả các khía cạnh của bảo mật thông tin, bao gồm bảo mật mạng và hệ thống, phát triển và triển khai ứng dụng, mô hình ủy quyền người dùng (ví dụ: đăng nhập một lần) và các chính sách và quy trình quản lý phân loại dữ liệu.

Phạm vi đánh giá của bạn nên bao gồm những điều sau đây:

• Tác động kinh doanh nếu một mối đe dọa hoặc lỗ hổng xảy ra;
• Các mức độ rủi ro hiện tại đối với từng lĩnh vực được xác định ở trên; 
• Mỗi khu vực bảo vệ chống lại các mối đe dọa đã biết tốt như thế nào? Nếu không, hãy xác định những biện pháp kiểm soát nào có thể cần được thực hiện dựa trên các tiêu chuẩn/thông lệ tốt nhất hiện tại của ngành;
• Những khu vực khác cần chú ý? Ví dụ: Chúng tôi có đủ khả năng giám sát lưu lượng mạng của mình không? Có đủ khả năng hiển thị những gì khách hàng làm trực tuyến như một phần trong hoạt động hàng ngày của họ mà không cần thông qua chúng tôi mỗi khi họ đăng nhập không?

Danh sách kiểm tra đánh giá an ninh mạng

Bạn có thể sử dụng danh sách kiểm tra đánh giá bảo mật tiêu chuẩn để đảm bảo rằng bạn đang bao quát tất cả các cơ sở trong đánh giá an ninh mạng của mình. Điều này đặc biệt quan trọng khi làm việc trong các dự án và nhóm lớn, vì nó giúp giảm thời gian cần thiết để mỗi người hoàn thành phần của họ trong quy trình.

Sau đây là danh sách kiểm tra mẫu mà bạn có thể tùy chỉnh và sử dụng khi cần:

• NIST 800-53 (Khung bảo mật máy tính) – Tài liệu này xác định các yêu cầu tối thiểu để quản lý bảo mật thông tin trong suốt vòng đời của tổ chức. Nó mô tả năm lĩnh vực cần quan tâm: Đánh giá rủi ro, Kiểm tra thâm nhập, Phát triển và triển khai kế hoạch ứng phó sự cố, Phát triển và triển khai kế hoạch quản lý an ninh cơ sở, Khả năng tạo/cập nhật tài liệu hướng dẫn chính sách

Đánh giá an ninh mạng bao gồm những gì?

Đánh giá bảo mật là một quy trình sử dụng các công cụ và kỹ thuật để thu thập thông tin về môi trường mạng của bạn. Đánh giá bảo mật tốt nhằm mục đích đảm bảo rằng dữ liệu, hệ thống và ứng dụng của tổ chức của bạn an toàn nhất có thể.

Một đánh giá bảo mật tốt bao gồm:

• Phạm vi, lịch trình và chi phí đánh giá;
• Nhóm sẽ thực hiện nó;
• Cách tiếp cận được sử dụng để tiến hành nó (ví dụ: thử nghiệm bút hoặc quét lỗ hổng);
• Các công cụ/kỹ thuật được sử dụng trong các giai đoạn thu thập – chẳng hạn như quét cổng hoặc phần mềm làm mờ;
• Những người nhận kết quả từ hoạt động này – tức là người dùng cuối lần lượt xem qua máy của họ (không cần ghi nhật ký thủ công), đối tác/nhà cung cấp nhận báo cáo trực tiếp từ chúng tôi qua (các) tệp đính kèm email.

Dịch vụ đánh giá an ninh mạng

Đánh giá bảo mật là một tập hợp dữ liệu có hệ thống để xác định mức độ rủi ro và xác định các điểm yếu trong bảo mật thông tin của tổ chức bạn. Mục tiêu của đánh giá bảo mật là xác định lỗ hổng trong các quy trình và chính sách hiện tại của tổ chức bạn, cũng như đánh giá các lỗ hổng mà tin tặc có thể khai thác.

Đánh giá bảo mật có thể được thực hiện bằng cách sử dụng phần mềm nguồn mở như Nessus hoặc Bộ quản lý lỗ hổng bảo mật (VMS) của Qualys, cung cấp cho bạn ảnh chụp nhanh cấu hình mạng của bạn ngay bây giờ—hoặc chúng có thể được thuê ngoài (chẳng hạn như thông qua Đánh giá bảo mật mạng). Quá trình này có nhiều lợi ích: nó rẻ hơn; nó cung cấp phản hồi thời gian thực; không có vấn đề khóa nhà cung cấp vì bạn có quyền truy cập vào tất cả các công cụ cùng một lúc và nếu bạn gặp sự cố với bất kỳ công cụ cụ thể nào trong giai đoạn đánh giá thì có thể có một công cụ khác miễn phí!

Ví dụ về báo cáo đánh giá an ninh mạng

Báo cáo đánh giá an ninh mạng là một tài liệu mô tả tình trạng bảo mật hiện tại của tổ chức bạn và những lỗ hổng trong đó. Nó cũng cung cấp các đề xuất để cải thiện an ninh mạng cho tổ chức của bạn, bao gồm triển khai các công nghệ và phương pháp hay nhất.

Một báo cáo đánh giá an ninh mạng nên bao gồm những nội dung sau:

• Mục đích của báo cáo (ví dụ: “Để cung cấp thông tin về mức độ bảo vệ hiện tại của chúng tôi”)
• Mô tả về loại thông tin nào sẽ được đưa vào (ví dụ: “Các chủ đề sau sẽ được đề cập:”)
• Một danh sách các tài liệu tham khảo được sử dụng xuyên suốt tài liệu này, bao gồm bất kỳ nguồn bên ngoài nào đã được tư vấn trong quá trình tạo ra nó (ví dụ:.. "Tiến sĩ John Doe đã viết bài báo này.")

Đánh giá an ninh mạng mất bao lâu?

Nó phụ thuộc vào quy mô doanh nghiệp của bạn, loại đánh giá bạn muốn thực hiện và thời gian bạn có sẵn. Tốc độ hoàn thành từng phần cũng ảnh hưởng đến tốc độ bạn có thể nhận được kết quả từ bên thứ ba, vì vậy nếu họ phản hồi chậm hoặc hoàn toàn không cung cấp bất kỳ kết quả nào thì điều đó có thể làm chậm trễ các dự án khác đang diễn ra trong vài ngày hoặc vài tuần (tùy thuộc vào số lượng tài nguyên có liên quan). Nếu điều này xảy ra, thì đôi khi, tốt hơn hết bạn nên thử lại với một nhà cung cấp khác cho đến khi có một nhà cung cấp phù hợp với nhu cầu của bạn!

Đánh giá bảo mật NIST là gì?

NIST là Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Đây là một cơ quan không theo quy định trong Bộ Thương mại Hoa Kỳ, có nghĩa là nó không đưa ra luật hoặc thực thi các quy định của chính phủ. Thay vào đó, NIST tạo và xuất bản các tiêu chuẩn cho các tòa nhà, thiết bị điện tử và phần mềm—bao gồm các tiêu chuẩn bảo mật thông tin!

Từ “đánh giá” đề cập đến một quy trình đánh giá trong đó một tổ chức đánh giá tình trạng hiện tại của mình dựa trên một hoặc nhiều tiêu chí hoặc mục tiêu cụ thể; sau đó thực hiện hành động dựa trên những phát hiện đó. Đánh giá bảo mật có thể giúp các tổ chức tìm hiểu về các lỗ hổng của họ bằng cách xem xét các vi phạm trong quá khứ hoặc các mối đe dọa hiện tại do tội phạm mạng gây ra; xác định xem họ có đủ tài nguyên để ngăn chặn các cuộc tấn công trong tương lai hay không; xác định các lĩnh vực có thể thực hiện các cải tiến để tin tặc lại thất bại–và hơn thế nữa!

Ba giai đoạn của một kế hoạch đánh giá an ninh là gì?

Đánh giá bảo mật là một quy trình bao gồm thu thập thông tin về mạng và khách hàng của bạn, xác định mục tiêu của đánh giá, thiết kế phương pháp thu thập dữ liệu từ các nguồn khác nhau và phân tích kết quả.

Giai đoạn đầu tiên của bất kỳ đánh giá bảo mật nào là lập kế hoạch. Trong giai đoạn này, bạn sẽ quyết định những thông tin cần thu thập để đánh giá tình trạng an ninh mạng của tổ chức mình. Bạn cũng có thể muốn xem xét ai sẽ tham gia thực hiện nhiệm vụ này và mỗi người (và nhóm của họ) sẽ mất bao lâu để hoàn thành nhiệm vụ đó.

Khi kế hoạch của bạn đã được tạo, đã đến lúc thực hiện! Trong giai đoạn này, tất cả những nhiệm vụ được giao trong quá trình lập kế hoạch sẽ bắt đầu thực hiện chúng một cách độc lập hoặc cùng nhau, tùy thuộc vào trình độ chuyên môn của họ.

Làm cách nào để bắt đầu đánh giá an ninh mạng?

Bước đầu tiên trong việc thiết lập mục tiêu là xác định vấn đề. Điều này có thể khó khăn nếu bạn chưa bao giờ làm điều này trước đây, nhưng bạn phải bắt đầu với sự hiểu biết rõ ràng về những gì tổ chức của bạn đang cố gắng đạt được và tình trạng hiện tại của nó.

Khi bạn đã xác định được vấn đề, đã đến lúc đặt ra các kết quả có thể đo lường được để giúp nhân viên của bạn hiểu họ đang tiến tới những mục tiêu đó như thế nào. Nếu có thể, hãy cố gắng không dựa vào nhận thức của người khác về việc họ đang làm tốt như thế nào—bạn phải luôn nhận lỗi và thất bại với tư cách là một cá nhân hoặc thành viên trong nhóm (và đừng quên chính mình!). Có tham vọng nhưng thực tế sẽ tiến xa để đạt được thành công ở đây; hãy nghĩ về những điều chẳng hạn như: “Tôi muốn mức độ thể lực của các thành viên trong nhóm của tôi tăng 20% ​​trong sáu tháng tới”.

Công cụ đánh giá an ninh mạng miễn phí

Các công cụ miễn phí có thể hữu ích nếu bạn đang tìm kiếm tổng quan về đánh giá an ninh mạng nhanh chóng. Họ sẽ hiển thị cho bạn thông tin cần thiết về mạng của bạn và cung cấp ảnh chụp nhanh về vị trí của mọi thứ. Tuy nhiên, những công cụ này không chi tiết hoặc đáng tin cậy như những công cụ trả phí, vì vậy chúng sẽ không cung cấp cho bạn tất cả thông tin chi tiết về mức độ an toàn của môi trường.

Các công cụ đánh giá an ninh mạng trả phí có giá trị bằng vàng vì chúng đi sâu vào chi tiết hơn so với các công cụ miễn phí. Chúng cũng chính xác hơn nhiều khi đánh giá mức độ rủi ro trên các phần khác nhau trong cơ sở hạ tầng của công ty bạn (chẳng hạn như máy tính để bàn so với thiết bị di động).

Dưới đây là những lựa chọn hàng đầu về các công cụ đánh giá an ninh mạng miễn phí mà bạn phải xem qua.

#1. KaliLinux

Kali Linux là một hệ điều hành phổ biến để thử nghiệm thâm nhập, còn được gọi là hack đạo đức. Nó dựa trên Debian Linux và có hơn 600 công cụ bảo mật được cài đặt sẵn. Điều này làm cho nó trở nên lý tưởng để kiểm tra tính bảo mật của mạng hoặc ứng dụng web.

Kali có thể kiểm tra tính bảo mật của mạng hoặc ứng dụng web bằng cách thực hiện các cuộc tấn công khác nhau chống lại nó (chẳng hạn như quét cổng).

#2. đi lừa đảo

Go phish là một bộ công cụ lừa đảo dành cho người kiểm tra thâm nhập và đào tạo nâng cao nhận thức về bảo mật. Nó cung cấp khả năng tạo các email, trang web và tin nhắn SMS lừa đảo thực tế có thể được sử dụng trong môi trường đánh giá hoặc lớp học.

Công cụ này được tạo ra bởi Adrienne Porter Felt, người cũng đã tạo ra khung kiểm tra bút phổ biến Metasploit Framework (MSF). Dự án này nhằm mục đích giúp những người không có nhiều kinh nghiệm lập trình xây dựng công cụ của họ trên các API của MSF dễ dàng hơn mà không cần phải tìm hiểu cách các API đó hoạt động trước–và đây chính xác là những gì họ đã làm!

#3. bảo vệ

Defending là một trình quét bảo mật dựa trên web sử dụng Top 10 của OWASP để giúp bạn tìm và khắc phục các lỗ hổng trong ứng dụng web của mình. Nó có thể được sử dụng để kiểm tra bảo mật ứng dụng web và thâm nhập. Tuy nhiên, nó được viết bằng Python và mã nguồn mở, vì vậy nếu bạn muốn tìm hiểu thêm về các chức năng của nó, hãy xem trạm gốc của họ trên GitHub!

#4. máy bay-ng

Aircrack-ng là một bộ công cụ có thể được sử dụng để kiểm tra các mạng không dây. Nó được sử dụng để kiểm tra bảo mật WiFi và khôi phục các khóa và mật khẩu mạng.

Công cụ này ban đầu được phát triển bởi Simon Paška, người đã phát hiện ra rằng mã hóa WPA/WPA2 dễ bị tấn công từ chối dịch vụ (DoS) bằng cách sử dụng tập lệnh tự động được gọi là “Aircrack”. Phiên bản đầu tiên của Aircrack được phát hành vào năm 2002 bởi Wichert Akkerman và Michal Zalewski.[4] Vào năm 2004, Mikko Hyppönen đã tạo ra một phiên bản mới gọi là Airmon hỗ trợ mon0 thay vì mon0/1.[5] Đến năm 2007, aircrack-ng đã được tích hợp vào plugin Linux Shodan của Kismet (được phát hành lần đầu vào năm 2006).

#5. bộ ợ

Burp Suite là một nền tảng tích hợp để thực hiện kiểm tra bảo mật cho các ứng dụng web. Nó chứa một tập hợp các công cụ hỗ trợ toàn bộ quá trình thử nghiệm, từ việc chặn và giám sát lưu lượng thông qua việc tạo báo cáo ding.

Burp Suite có thể chặn, thao tác và ghi nhật ký HTTP cũng như các yêu cầu và phản hồi để tăng cường bảo mật cho trang web hoặc ứng dụng. Nó bao gồm các tính năng như:

• Ủy quyền - Đưa tải trọng tùy ý vào các kết nối mạng trực tiếp mà không có quyền đặc biệt; cũng hữu ích trong việc thử nghiệm các bên thứ ba như Twitter hoặc LinkedIn (thường yêu cầu các quyền đặc biệt).
• Bộ lặp – Cho phép bạn lặp lại các yêu cầu nhiều lần bằng các đầu vào khác nhau một cách dễ dàng; hữu ích khi thử các kết hợp tham số/tiêu đề khác nhau, v.v., ví dụ: thay đổi tham số GET giữa hai URL khác nhau bằng cách lặp lại một yêu cầu nhiều lần!

Tổng kết

Tóm lại, cần lưu ý rằng đánh giá an ninh mạng là một quy trình giúp các doanh nghiệp đánh giá khả năng bị tấn công và trộm cắp của họ. Quá trình đánh giá bao gồm tiến hành kiểm kê cơ sở hạ tầng mạng của bạn, đánh giá các rủi ro liên quan đến từng hệ thống, kiểm tra các lỗ hổng trong các hệ thống đó và nhà phát triển, lập kế hoạch hành động để khắc phục mọi sự cố trước khi chúng trở thành sự cố nghiêm trọng hơn. Ngoài ra, điều cần thiết là phải liên tục đào tạo để nhân viên biết cách tốt nhất để tự bảo vệ mình khỏi tin tặc, những kẻ có thể cố lấy cắp thông tin bí mật từ hệ thống của công ty bạn.

Câu hỏi thường gặp về đánh giá an ninh mạng

Đánh giá an ninh mạng là gì?

Một ứng dụng máy tính để bàn độc lập hướng dẫn chủ sở hữu và người điều hành tài sản thông qua một quy trình có hệ thống để đánh giá Công nghệ Hoạt động và Công nghệ Thông tin.

Danh sách kiểm tra đánh giá rủi ro bảo mật là gì?

Cung cấp danh sách các mối đe dọa ảnh hưởng đến tính toàn vẹn, tính bảo mật và tính khả dụng của tài sản của tổ chức.

Làm thế nào để bạn thực hiện đánh giá rủi ro an ninh mạng trong 5 bước?

• Bước 1: Xác định phạm vi đánh giá rủi ro
• Bước 2: Cách xác định rủi ro an ninh mạng
• Bước 3: Phân tích rủi ro và xác định tác động tiềm ẩn
• Bước 4: Xác định và ưu tiên rủi ro
• Bước 5: Ghi lại tất cả các rủi ro

Bài viết liên quan

• ĐÁNH GIÁ RỦI RO BẢO MẬT CỦA CYBER: Tất cả những gì bạn cần biết
• MỞ RỘNG CYBER: Định nghĩa, Trung bình và Ví dụ
• HỆ THỐNG BẢO MẬT DOANH NGHIỆP: Tất cả về giới thiệu, các loại và chi phí

dự án

• kinh tế dữ liệu
• Mục tiêu công nghệ
• thẻ điểm bảo mật