An ninh bảo mật - Chương 4: Phát hiện xâm nhập cơ sở dữ liệu trái phép

reate' và 'delete' cho toàn bộ quan hệ đó. Các phép toán 'retrieve' trong CSDL đó tương ứng với các phép toán 'đọc file'; 'update', 'insert' và 'delete' tương ứng với các phép toán 'ghi file'. 62/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Sự mô tả profile  Profile truy nhập CSDL  Nếu chức năng kiểm toán được thực hiện ở mức quan hệ, thì các profile được sử dụng để kiểm soát hoạt động của file, có thể được sử dụng để kiểm soát hoạt động của CSDL. Nếu việc kiểm toán được thực hiện ở mức thấp hơn (ví dụ, các bản ghi đơn), khi đó các nguyên lý tương tự có thể được áp dụng tới các file, nhưng DBMS đó phải được cung cấp hỗ trợ trong việc tạo ra dữ liệu kiểm toán ở mức bản ghi. Một hệ thống phát hiện xâm nhập ở mức bản ghi thì thường không khả thi. Với một số hệ thống, cần kiểm soát đầy đủ ở mức 'CSDL', mà không cần phân tích CSDL thành các file cấu thành của nó. 63/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm Sự mô tả profile  Profile truy nhập CSDL Sử dụng một CSDL và một tập tiến trình, IDES kiểm soát:  Các tấn công xâm nhập.  Giả mạo.  Xâm nhập hệ thống bằng những người sử dụng bên ngoài.  Các tấn công suy diễn và gộp.  Các kênh truyền thông tin: hai loại kênh chuyển đổi được kiểm soát: các kênh bộ nhớ, có thể liên quan đến sự bão hoà tài nguyên và các điều kiện ngoại lệ; và các kênh thời gian (dẫn tới việc suy diễn sử dụng các đặc tính thời gian hệ thống)  Từ chối dịch vụ. 64/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Các yêu cầu kiểm toán của TCSEC chỉ rõ: một tập các sự kiện (có thể đếm được) cần được xác định rõ và mỗi sự kiện phải liên quan đến một người sử dụng và được ghi lại trong audit log - nhật ký kiểm toán có bảo vệ, cùng với ngữ cảnh phù hợp của sự kiện đó (proper event context), chẳng hạn như ID của người sử dụng, ngày, giờ, kiểu sự kiện, v.v. File nhật ký kiểm toán đặc biệt cần thiết khi thiếu các biện pháp an toàn. Việc sử dụng hiệu quả cơ chế kiểm toán cũng có thể phát hiện ra các thiếu sót và các điểm yếu trong hệ thống. 65/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các câu hỏi chính cần được nhận diện:  Khối dữ liệu kiểm toán (Audit data volume): Các khối dữ liệu lớn ảnh hưởng như thế nào đến hiệu năng và hoạt động của các hệ thống TDBMS?  Tính nhạy cảm của ứng dụng (Application sensitivity): Trong các hệ thống tin cậy, việc ghi lại các sự kiện là một chức năng của chính sách kiểm soát truy nhập, đúng hơn là một chức năng của ứng dụng. Điều đó lý giải tại sao người ta mong muốn chức năng kiểm toán của TDBMS có thể tương thích với các ứng dụng (ví dụ, để đảm bảo tính toàn vẹn hoặc bí mật)? 66/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các câu hỏi chính cần được nhận diện:  Nhật ký kiểm toán và nhật ký giao tác (audit log and transaction log): Hầu hết các DBMS thương mại ghi lại các sự kiện "sửa đổi" trong CSDL, transacion log thường xuyên được sử dụng để lưu giữ thông tin về tình trạng hỏng hóc của CSDL, hoặc để nhận dạng nguồn của các sửa đổi trên CSDL. Audit log và transaction log có thể đáp ứng phần nào trong chức năng kiểm toán an toàn?  Thực tế và sự đảm bảo (Verisimilitude and assurance): Quan hệ nào tồn tại giữa các sự kiện (có thể ghi lại được) trên một TDBMS và những gì xảy ra thực tế trên hệ thống? Ví dụ, câu truy vấn được ghi lại trước khi thực hiện, nhưng sau khi thực hiện xong câu truy vấn này, có nên kết thúc ghi? Có thể trả lại dữ liệu cho người đưa ra câu truy vấn mà vẫn đảm bảo được tính tương thích về mặt ngữ nghĩa của câu truy vấn? 67/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Khi kiểm toán trên các hệ thống tin cậy, các yêu cầu của TCSEC là ghi lại các quyết định dàn xếp truy nhập. Ban đầu, các yêu cầu của TCSEC hướng kiểm toán trên các hệ thống tin cậy, với mối quan tâm chủ yếu là toàn vẹn dữ liệu. Sau đó, chúng được mở rộng cho các hệ thống TDBMS liên quan tới một số vấn đề, chẳng hạn như các kiểm soát truy nhập phức tạp, các điểm yếu bổ sung, độ chi tiết và volume cao hơn, các đối tượng truy nhập và lạm dụng quyền (trong nhiều TDBMS, việc lạm dụng quyền do những người sử dụng hợp pháp gây ra có thể dẫn đến rủi ro cao hơn, so với việc lạm dụng quyền do những người sử dụng trái phép gây ra). 68/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các kết quả nghiên cứu  Các mục tiêu của kiểm toán phụ thuộc phần lớn vào ứng dụng, chính sách an toàn và các hiểm hoạ môi trường. Tuy nhiên, khả năng lấy dữ liệu để sử dụng khi kiểm toán có thể bị hạn chế trong kiến trúc của TDBMS. Điều này có nghĩa là chính sách và ứng dụng quyết định những gì nên được kiểm toán, trong khi đó kiến trúc hệ thống quyết định những gì có thể kiểm toán.  Một số sản phẩm TDBMS cung cấp dữ liệu kiểm toán. Dữ liệu này thích hợp hơn so với dữ liệu được OS của máy chủ tập hợp. Hơn nữa, nhiều dữ liệu giao tác được tập hợp, nhưng chỉ có một số ít trong đó được phân tích bởi vì thiếu các công cụ tự động. 69/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Các kết quả nghiên cứu  Các phân tích yêu cầu tập hợp dữ liệu và đảm bảo tính tương quan của dữ liệu kiểm toán trong các giai đoạn xử lý câu truy vấn. Người ta có thể áp dụng được điều này nếu việc dàn xếp truy nhập được thực hiện tại các mức kiến trúc và mức trừu tượng khác nhau, thông qua các cơ chế khác nhau.  Kỹ thuật phát hiện xâm nhập được thể hiện rõ trong một số thành công khi sử dụng các vết kiểm toán OS và có thể mở rộng cho việc phân tích các vết kiểm toán TDBMS.  Tuỳ thuộc vào "thực tế" của sự kiện được ghi trong các vết kiểm toán, câu hỏi nảy sinh là sự kiện được kiểm toán có thực sự xảy ra hay không. 70/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Quản lý giao tác đặt ra các vấn đề xuất phát từ ảo tưởng:  Các sự kiện xác định nào đó thực sự xảy ra trên CSDL, nhưng không phải như vậy. Điều này xảy ra khi một giao tác không được hoàn thành và DBMS phục hồi CSDL.  Các vấn đề về tính bí mật cũng nảy sinh. Trong thực tế, trước khi được lưu giữ, một giao tác có thể thử các hoạt động ghi và đọc. Vì vậy, một vết kiểm toán đúng đắn có thể chứa profile của các sự kiện. Đây là các sự kiện đã xảy ra trong các giao tác bị huỷ bỏ. Nói cách khác, hệ thống kiểm toán phải phân biệt được các sự kiện kiểm toán, sự kiện nào là sự kiện được hoàn tất, với từng sự kiện thì thời gian tác động của nó ra sao. 71/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy  Nói chung khi DBMS không tin cậy được ghép thêm vào các kiến trúc hệ thống có OS tin cậy, khả năng thiết lập tùy thuộc vào các nguyên tắc được trình bày trong phần "Thiết kế CSDL an toàn", ở đây có hai vấn đề cơ bản liên quan đến kiểm toán:  Nếu câu truy vấn được lấy ở dạng văn bản và được OS/TCB ghi lại trước khi chuyển tới DBMS back- end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa hình thức của câu truy vấn hay không?  Nếu một phiên bản của câu truy vấn được phân tích cú pháp (hoặc tuân theo), OS/TCB lấy nó ra và ghi lại trước khi chuyển tới DBMS back-end, người ta có thể làm như thế nào để xác định: đáp ứng của DBMS và dữ liệu trả lại có đúng với ngữ nghĩa học hình thức của câu truy vấn hoặc dạng được phân tích/tuân theo cú pháp của câu truy vấn hay không? 72/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Các kiến trúc này không nhất thiết đưa chính sách truy nhập bắt buộc vào chương trình không tin cậy bất kỳ, do vậy các yêu cầu của TCSEC MAC nên được các kiến trúc này duy trì. Có thể phê chuẩn việc xoá các quan hệ/các CSDL, bằng cách chứng minh rằng câu truy vấn (lệnh của một người sử dụng) được chương trình tin cậy lấy ra, hoặc chứng minh rằng ở đây tồn tại một ánh xạ giữa đối tượng của CSDL và các đối tượng của OS, hoặc chứng minh rằng OS ghi lại quá trình tham gia của nó trong sự kiện xoá kết quả. 73/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.4 Kiểm toán trong hệ quản trị CSDL tin cậy Độ chi tiết ánh xạ giữa các đối tượng của DBMS/OS cũng liên quan đến kiểm toán, tuỳ thuộc vào các dạng cập nhật khác, bao gồm cả yêu cầu tái sử dụng của đối tượng. Nếu OS/TCB phải bảo vệ các quan hệ cá nhân hoặc các bộ, nó có thể quyết định sửa đổi hoặc xoá câu truy vấn nào. Nói cách khác, chúng ta vẫn có thể nhận dạng được các thông tin thô mặc dù giá trị của nó cho các mục đích phân tích vẫn còn là một câu hỏi. Ở đây vẫn không có bằng chứng chứng tỏ rằng các ngữ nghĩa học đầy đủ của câu truy vấn có liên quan đến profile thực hiện của DBMS/OS hay không (đây là profile đã được lấy ra và ghi lại). 74/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập Có hai xu hướng được tiếp cận phát hiện xâm nhập trong thời gian thực, đó là: Machine learning (ML) Công nghệ phần mềm 75/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập Machine learning (ML) Các công nghệ ML có thể được sử dụng trong các IDS để quan sát một hệ thống nào đó, 'tìm hiểu' nhằm xác định rõ các hoạt động 'thông thường', nhờ đó phát hiện ra các tình trạng không bình thường. Ứng dụng của các công nghệ ML đã được đề xuất và sử dụng trong một số nghiên cứu, ví dụ trong các hệ thống Windom & Sense. Bốn mảng sau đây của ML được coi là có tiềm năng lớn nhất cho các IDS: Concept learning, Clustering, Predictive learning, Extraction of features. 76/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập  Công nghệ phần mềm Thông qua nhiều điểm yếu của hệ thống, kẻ xâm nhập có thể thu được hoặc mở rộng các đặc quyền truy nhập, đây được xem là các vấn đề trong phê chuẩn và kiểm tra phần mềm. Thậm chí, các điểm yếu trong hoạt động/quản trị cũng là các điểm yếu dễ bị tấn công cho dù hệ thống được thiết kế tốt nhất, nếu chúng không được thực hiện chính xác. Vì vậy, các công nghệ xây dựng và quản lý phần mềm tốt hơn (cho phép tránh và phát hiện ra những điểm yếu mà kẻ xâm nhập có thể lợi dụng) là một biện pháp bảo vệ, chống lại các tấn công xâm nhập. 77/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập  Công nghệ phần mềm  Có 3 kiểu điểm yếu (thông qua đó kẻ xâm nhập có thể gây ra các xâm nhập tiểm ẩn vào hệ thống) được nhận dạng như sau: 1. Các điểm yếu về thiết kế (design flaws): Các điểm yếu này xuất phát từ việc hiểu sai các yêu cầu, hoặc thiết lập không đúng các đặc tả. Các kỹ thuật phê chuẩn và kiểm tra phần mềm là các biện pháp thích hợp. 78/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập Các lỗi thiết kế phổ biến bao gồm: • phê chuẩn không đúng số lượng, kích cỡ hoặc địa chỉ của các đối số được cung cấp cho các lời gọi đặc quyền, • sơ suất khi xử lý dữ liệu nhạy cảm trong bộ nhớ/các heap/thư mục dùng chung, báo cáo sai các điều kiện và các lỗi không bình thường, • không đảm bảo khôi phục lỗi an toàn. Các tấn công dựa trên những vấn đề này có thể là đặc trưng (chúng ta có thể biết được một lớp các hệ thống có điểm yếu xác định nào đó), hoặc chung (một người nào đó cố gắng khám phá nếu tồn tại một điểm yếu). 79/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập 2. Các lỗi (faults): Các lỗi hoặc các con bọ sinh ra khi tạo ra các chương trình nhưng không thiết lập các đặc tả. Nhiều điểm yếu về an toàn do các con bọ gây ra, chẳng hạn như chọn lựa không đúng kiểu dữ liệu, sử dụng các tham số không chính xác, các lỗi đồng bộ, .v.v. Giám sát cũng có thể trợ giúp cho việc phát hiện các tấn công. 80/81 Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4.5 Các xu hướng chung trong phát hiện xâm nhập 3. Các điểm yếu về hoạt động /quản trị (Operational/administrative flaws): Việc khởi tạo các giá trị không phù hợp hoặc không nhất quán cho các tham số có thể làm giảm độ an toàn của hệ thống. Hầu hết các điểm yếu đều là đặc trưng và phổ biến, vì vậy có thể nhận dạng được những kẻ xâm nhập (cố gắng lợi dụng các điểm yếu này), bằng cách giám sát các vùng chương trình nơi xuất hiện các điểm yếu.