CIA - Mô hình bảo mật 3 thành phần

Questions and Answers

Nguyên tắc bảo mật nào yêu cầu người dùng chỉ được cấp quyền tối thiểu cần thiết để thực hiện công việc của mình?

• Defense in Depth (Phòng thủ nhiều lớp)
• Zero Trust (Không tin ai cả)
• RBAC (Kiểm soát truy cập theo vai trò)
• Least Privilege (Quyền tối thiểu) (correct)

Mô hình bảo mật nào hoạt động dựa trên nguyên tắc "Không tin tưởng mặc định" và yêu cầu xác minh nghiêm ngặt mọi yêu cầu truy cập?

• Zero Trust (Không tin ai cả) (correct)
• Least Privilege (Quyền tối thiểu)
• RBAC (Kiểm soát truy cập theo vai trò)
• Defense in Depth (Phòng thủ nhiều lớp)

Phương pháp xác thực nào yêu cầu sử dụng nhiều hơn một yếu tố để xác minh danh tính người dùng?

• Encryption (Mã hóa)
• MFA (Multi-Factor Authentication - Xác thực đa yếu tố) (correct)
• Authorization (Ủy quyền)
• Authentication (Xác thực)

Quá trình chuyển đổi dữ liệu gốc thành một dạng không thể đọc được, nhằm ngăn chặn truy cập trái phép được gọi là gì?

Encryption (Mã hóa) (D)

Phương pháp nào chuyển đổi dữ liệu đầu vào thành một chuỗi mã băm cố định, thường dùng để bảo vệ mật khẩu?

Hashing (Băm dữ liệu) (D)

Giải pháp bảo mật nào giúp giám sát và kiểm soát lưu lượng mạng vào và ra, dựa trên các quy tắc bảo mật xác định sẵn?

Firewall (Tường lửa) (A)

Hệ thống nào giúp phát hiện và cảnh báo các hành vi xâm nhập hoặc tấn công vào hệ thống mạng hoặc máy tính?

IDS (Intrusion Detection System - Hệ thống phát hiện xâm nhập) (D)

Công nghệ nào tạo ra một mạng riêng ảo qua mạng công cộng, giúp người dùng kết nối an toàn và bảo mật với một mạng từ xa?

VPN (Virtual Private Network - Mạng riêng ảo) (A)

Kỹ thuật nào sử dụng sự lừa đảo tâm lý để chiếm đoạt thông tin hoặc quyền truy cập vào hệ thống?

Social Engineering (Kỹ thuật xã hội) (C)

Loại phần mềm độc hại nào mã hóa dữ liệu trên máy tính của nạn nhân và yêu cầu tiền chuộc để giải mã?

Ransomware (B)

Đâu là ví dụ về một biện pháp phòng thủ trong mô hình "Defense in Depth" (Phòng thủ nhiều lớp)?

Sử dụng tường lửa, hệ thống phát hiện xâm nhập (IDS) và xác thực đa yếu tố (MFA). (C)

Trong ngữ cảnh của RBAC (Role-Based Access Control - Kiểm soát truy cập dựa trên vai trò), điều gì KHÔNG đúng?

Người dùng được gán quyền trực tiếp. (B)

Trong các nguyên tắc của Zero Trust (Không tin ai cả), điều gì có nghĩa là "Always verify" (Luôn xác minh)?

Kiểm tra trạng thái thiết bị, vị trí địa lý và thời gian truy cập. (D)

Điều gì KHÔNG phải là một lợi ích của việc sử dụng MFA (Multi-Factor Authentication - Xác thực đa yếu tố)

Đơn giản hóa quá trình đăng nhập cho người dùng. (C)

Loại mã hóa nào sử dụng cùng một khóa để mã hóa và giải mã dữ liệu?

Mã hóa đối xứng (Symmetric Encryption) (D)

Tính chất nào sau đây KHÔNG phải là một đặc điểm quan trọng của một hàm băm tốt?

Dễ trùng nhau (Easy to collision) (C)

Trong quá trình tạo chữ ký số, bước nào sau đây được thực hiện ĐẦU TIÊN?

Tạo hash của tài liệu hoặc thông điệp. (C)

Sự khác biệt chính giữa IDS (Intrusion Detection System - Hệ thống phát hiện xâm nhập) và IPS (Intrusion Prevention System - Hệ thống phòng ngừa xâm nhập) là gì?

IDS chỉ phát hiện tấn công và cảnh báo, trong khi IPS có thể ngăn chặn tấn công tự động. (C)

Mục đích chính của DLP (Data Loss Prevention - Ngăn mất dữ liệu) là gì?

Bảo vệ dữ liệu nhạy cảm khỏi bị rò rỉ hoặc mất mát. (A)

Chức năng chính của SIEM (Security Information and Event Management) là gì?

Thu thập, phân tích và báo cáo sự kiện bảo mật trong thời gian thực. (D)

Loại Threat Intelligence (Tình báo về mối đe dọa) nào cung cấp thông tin chi tiết về các mối đe dọa kỹ thuật như IP, domain, hash file?

Technical (Kỹ thuật) (C)

Kỹ thuật tấn công nào mạo danh một tổ chức đáng tin cậy để lừa người dùng tiết lộ thông tin cá nhân?

Phishing (D)

Biện pháp nào sau đây KHÔNG giúp phòng tránh Ransomware?

Mở tất cả các email và tệp đính kèm từ người gửi không xác định. (C)

Điều gì KHÔNG phải là một biện pháp bảo mật không dây tốt?

Để mạng Wi-Fi mở, không cần mật khẩu. (B)

Các biện pháp an toàn dữ liệu sau đây, biện pháp nào bảo vệ tính bí mật của dữ liệu?

Mã hóa dữ liệu khi truyền qua mạng. (B)

Loại tấn công nào mà kẻ tấn công ngồi giữa giao tiếp của hai bên, nghe lén hoặc sửa đổi dữ liệu?

MITM (Man-in-the-Middle) (D)

Cho tình huống sau: Một nhân viên trong bộ phận kế toán có quyền truy cập vào hệ thống quản lý nhân sự. Điều này vi phạm nguyên tắc bảo mật nào?

Least Privilege (Quyền tối thiểu) (A)

Điểm yếu trong hệ thống, phần mềm hoặc con người có thể bị khai thác bởi một mối đe dọa, được gọi là gì?

Vulnerability (Lỗ hổng) (B)

Để đảm bảo tính toàn vẹn của dữ liệu khi truyền qua mạng, phương pháp nào thường được sử dụng?

Kiểm tra checksum (A)

Các biện pháp sau đây, biện pháp nào giúp bảo vệ mật khẩu an toàn nhất?

Băm mật khẩu (hashing) và lưu trữ giá trị băm. (A)

Khi một công ty yêu cầu nhân viên WFH (làm việc tại nhà) sử dụng xác thực 2 yếu tố (2FA) ngoài mật khẩu, nhân viên còn phải thao tác thêm bước nữa để lấy mã OTP, đâu là yếu tố xác thực mà công ty đã áp dụng?

Cái bạn có. (A)

Trong một hệ thống Zero Trust, giả sử nhân viên A đã được xác thực, và laptop cá nhân của người này bị nhiễm virus. Điều gì sẽ xảy ra tiếp theo?

Hệ thống phải xác thực lại danh tính của A, đồng thời laptop phải kiểm tra virus một cách liên tục. (B)

Bạn là một chuyên gia bảo mật và đang cố gắng giải thích về sự khác biệt của IDS và IPS cho những người mới bắt đầu. Để họ có thể hiểu một cách sâu sắc, bạn nên ví IDS và IPS tương ứng với hình ảnh nào sau đây?

IDS như là một chiếc camera an ninh âm thầm ghi lại sự việc; IPS như là lực lượng cảnh sát ngay lập tức ngăn chặn sự việc đó. (B)

Sau một cuộc tấn công ransomware thành công, bạn là một chuyên gia bảo mật và cần phải giải thích cho cấp trên hiểu tầm quan trọng của sao lưu dữ liệu. Bạn sẽ nhấn mạnh điều gì để cấp trên thấy được tầm quan trọng của việc sao lưu?

Sao lưu giúp khôi phục dữ liệu mà không cần trả tiền chuộc cho hacker. (D)

Một người dùng là nhân viên kế toán có quyền truy cập vào hệ thống kế toán của công ty và có quyền xem bảng lương của các nhân viên khác. Nhưng một ngày, tài khoản người này bị khóa và không thể đăng nhập được nữa. Biện pháp bảo mật tiếp theo bạn có thể nghĩ đến là gì?

Xác định lại quyền. (C)

Khi xem xét mô hình CIA (Confidentiality, Integrity, Availability), điều gì khiến một trang web bán hàng trực tuyến bị tấn công DDoS (từ chối dịch vụ phân tán)?

Tính khả dụng. (C)

Flashcards

CIA là gì?

Mô hình bảo mật tập trung vào bảo mật dữ liệu, bao gồm tính bảo mật, tính toàn vẹn và tính khả dụng.

Threat là gì?

Bất kỳ tác nhân hoặc hành vi nào có khả năng khai thác lỗ hổng của hệ thống, gây tổn hại đến tính bảo mật, toàn vẹn, hoặc khả dụng của dữ liệu.

Vulnerability là gì?

Một điểm yếu trong hệ thống, phần mềm, hoặc con người có thể bị khai thác bởi một mối đe dọa (threat) để gây tổn hại đến bảo mật.

Least Privilege là gì?

Nguyên tắc bảo mật yêu cầu người dùng, hệ thống, hoặc tiến trình chỉ được cấp quyền tối thiểu cần thiết để thực hiện công việc của mình, và không hơn.

RBAC là gì?

Mô hình quản lý quyền truy cập trong đó quyền được gán cho các vai trò (roles), và người dùng được gán vai trò phù hợp. Người dùng không được gán quyền trực tiếp, mà gián tiếp thông qua vai trò.

Zero Trust là gì?

Mô hình bảo mật với nguyên tắc không mặc định tin tưởng bất kỳ ai, dù bên trong hay bên ngoài hệ thống. Mọi yêu cầu truy cập đều phải được xác minh nghiêm ngặt.

Authentication là gì?

Quá trình xác minh danh tính của người dùng, thiết bị hoặc hệ thống trước khi cấp quyền truy cập.

Authorization là gì?

Quá trình hệ thống xác định xem người dùng đã xác thực có được phép truy cập tài nguyên hay không, và được phép làm gì với tài nguyên đó.

MFA là gì?

Phương pháp bảo mật yêu cầu nhiều hơn một yếu tố xác thực để cho phép truy cập hệ thống.

Encryption là gì?

Quá trình chuyển đổi dữ liệu gốc (plaintext) thành một dạng không thể đọc được (ciphertext), nhằm ngăn truy cập trái phép.

Hashing là gì?

Quá trình chuyển đổi một chuỗi dữ liệu đầu vào thành một chuỗi mã băm cố định (hash), thường có độ dài ngắn và không thể đảo ngược.

Digital Signature là gì?

Một dạng mã hóa bất đối xứng sử dụng khóa riêng của người ký để xác nhận tính xác thực và toàn vẹn của dữ liệu.

IDS là gì?

Hệ thống phần mềm hoặc phần cứng dùng để phát hiện và cảnh báo các hành vi xâm nhập hoặc tấn công vào hệ thống mạng hoặc máy tính.

Firewall là gì?

Hệ thống bảo mật mạng giúp kiểm soát và giám sát lưu lượng mạng vào và ra của mạng nội bộ, dựa trên các quy tắc bảo mật xác định sẵn.

VPN là gì?

Công nghệ giúp tạo ra một mạng riêng ảo qua mạng công cộng, cho phép người dùng kết nối an toàn và bảo mật với một mạng từ xa, như khi làm việc từ nhà.

IDS (Intrusion Detection System)?

Hệ thống phát hiện xâm nhập, phát hiện các cuộc tấn công hoặc hành vi bất thường trong mạng hoặc hệ thống và cảnh báo cho quản trị viên.

IPS (Intrusion Prevention System)?

Hệ thống phòng ngừa xâm nhập, phát hiện và ngăn chặn các cuộc tấn công ngay lập tức, thay vì chỉ báo động như IDS.

DLP là gì?

Các công nghệ và quy trình nhằm ngăn chặn rò rỉ hoặc mất mát dữ liệu nhạy cảm, bao gồm cả dữ liệu trong quá trình sử dụng và khi truyền qua mạng.

SIEM là gì?

Hệ thống tích hợp cung cấp khả năng giám sát, phân tích và báo cáo sự kiện bảo mật trong thời gian thực.

Threat Intelligence là gì?

Việc thu thập và phân tích thông tin về các mối đe dọa tiềm ẩn đối với hệ thống mạng và tổ chức, nhằm mục đích giúp các tổ chức chủ động đối phó và bảo vệ tài sản công nghệ thông tin.

Social Engineering là gì?

Việc lừa đảo tâm lý để chiếm đoạt thông tin hoặc quyền truy cập vào hệ thống mà không cần phải sử dụng kỹ thuật xâm nhập trực tiếp.

Cryptography là gì?

Khoa học và nghệ thuật mã hóa thông tin nhằm bảo vệ tính bảo mật và sự toàn vẹn của dữ liệu trong quá trình truyền tải hoặc lưu trữ.

Ransomware là gì?

Một loại phần mềm độc hại (malware) được thiết kế để mã hóa dữ liệu trên máy tính của nạn nhân hoặc khóa quyền truy cập vào hệ thống, và yêu cầu một khoản tiền chuộc (ransom) để giải mã hoặc khôi phục quyền truy cập.

Confidentiality là gì?

Đảm bảo thông tin chỉ được truy cập bởi những người được phép.

Integrity là gì?

Đảm bảo rằng dữ liệu không bị thay đổi, sửa chữa hoặc xóa trái phép trong quá trình lưu trữ, xử lý hoặc truyền tải.

Availability là gì?

Đảm bảo rằng thông tin và hệ thống luôn sẵn sàng để truy cập và sử dụng khi cần thiết, tránh gián đoạn dịch vụ.

Study Notes

CIA – Mô hình bảo mật 3 thành phần

• CIA là mô hình bảo mật với ba thành phần chính: Confidentiality (Tính bảo mật), Integrity (Tính toàn vẹn), và Availability (Tính sẵn sàng).

Confidentiality (Tính bảo mật)

• Đảm bảo thông tin chỉ được truy cập bởi những đối tượng được ủy quyền, ngăn chặn rò rỉ hoặc truy cập trái phép.
• Mã hóa dữ liệu khi truyền qua mạng bằng SSL hoặc VPN.
• Hạn chế quyền truy cập thông tin, ví dụ chỉ nhân viên kế toán mới được xem bảng lương.
• Sử dụng mật khẩu mạnh và xác thực hai yếu tố để bảo vệ tài khoản.

Integrity (Tính toàn vẹn)

• Đảm bảo dữ liệu không bị thay đổi, sửa chữa hoặc xóa trái phép trong quá trình lưu trữ, xử lý hoặc truyền tải.
• Sử dụng mã hash như SHA-256 để kiểm tra file tải về có bị sửa đổi không.
• Kiểm tra checksum trong quá trình truyền dữ liệu qua mạng.
• Sử dụng chữ ký số để xác thực nội dung tài liệu không bị chỉnh sửa.

Availability (Tính sẵn sàng)

• Đảm bảo thông tin và hệ thống luôn sẵn sàng để truy cập và sử dụng khi cần thiết, tránh gián đoạn dịch vụ.
• Triển khai hệ thống máy chủ dự phòng (redundancy).
• Sử dụng hệ thống load balancing để dịch vụ ngân hàng online hoạt động 24/7.
• Dự phòng UPS để hệ thống không bị tắt đột ngột khi mất điện.

Threats – Mối đe dọa bảo mật

• Threat (Mối đe dọa) là bất kỳ tác nhân hoặc hành vi nào có khả năng khai thác lỗ hổng của hệ thống, gây tổn hại đến tính bảo mật, toàn vẹn, hoặc khả dụng của dữ liệu.

Các loại Threat phổ biến

• Malware (Phần mềm độc hại): Bao gồm virus, worm, trojan, ransomware, spyware. Tác hại: Phá hoại hệ thống, đánh cắp dữ liệu, mã hóa tống tiền.
• Phishing (Lừa đảo qua mạng): Gửi email/tin nhắn giả mạo ngân hàng, công ty uy tín để đánh cắp thông tin người dùng. Tác hại: Người dùng cung cấp thông tin đăng nhập/thẻ ngân hàng cho kẻ tấn công.
• DDoS (Tấn công từ chối dịch vụ phân tán): Hacker dùng hàng ngàn máy tính nhiễm mã độc để gửi yêu cầu ồ ạt tới máy chủ, làm hệ thống bị treo, gián đoạn dịch vụ.

Cách phòng tránh Threat:

• Cập nhật hệ điều hành và phần mềm thường xuyên
• Sử dụng phần mềm diệt virus có bản quyền
• Không tải file từ nguồn không tin cậy
• Kiểm tra kỹ địa chỉ email/số điện thoại gửi đến
• Không bấm vào link lạ
• Kích hoạt xác thực 2 yếu tố (2FA)
• Sử dụng hệ thống tường lửa, IDS/IPS
• Triển khai CDN, Load Balancer
• Giới hạn lưu lượng truy cập