Quartz 🪬

Search

SearchSearch

Security Engineer

Nov 21, 20249 min read

Khái niệm kỹ sư bảo mật không được định nghĩa một cách chặt chẽ và vai trò của họ trong từng tổ chức có thể khác nhau.

The Role of a Security Engineer

Kỹ sư bảo mật có các vai trò sau:

Asset Management/Asset Inventory

Chịu trách nhiệm quản lý các kho tài sản của tổ chức, bao gồm việc đảm bảo:

  • Các tài sản này được bảo trì và cập nhật thường xuyên.
  • Có đầy đủ các thông tin liên quan đến tài sản chẳng hạn như tên tài sản, loại tài sản, địa chỉ IP, địa chỉ vật lý, vị trí trong mạng, các ứng dụng chạy trên tài sản, các quyền truy cập và thông tin chi tiết về chủ sở hữu tài sản.

Ngoài ra, kỹ sư bảo mật cũng cần phải theo dõi những sự thay đổi xảy ra trong các tài sản mà có thể ảnh hưởng đến tình hình an ninh để triển khai các biện pháp cải thiện. Ví dụ, tổ chức muốn thêm một module thương mại điện tử vào website của họ. Module mới này sẽ cần phải trải qua quá trình đánh giá rủi ro (risk assessment), kiểm thử xâm nhập (penetration testing) và đánh giá lỗ hổng (vulnerability assessment) trước khi được tích hợp vào website. Đồng thời, kỹ sư bảo mật cũng cần phải đảm bảo module mới này tuân thủ các chính sách bảo mật do tổ chức đặt ra.

Security Policies

Tạo ra các chính sách bảo mật dựa trên những nguyên lý bảo mật sẵn có. Các chính sách này sẽ được hiện thực hóa cho toàn bộ tổ chức. Ngoài ra, nếu có yêu cầu chấp nhận ngoại lệ nhằm thỏa mãn business model, kỹ sư bảo mật sẽ xem xét dựa trên các nguyên lý bảo mật để cho phép hoặc từ chối ngoại lệ đó. Nếu cho phép thì cần phải đưa ra các hướng dẫn để giảm thiểu thiệt hại nếu có.

Secure by Design

Hiện thực các giải pháp bảo mật mạng, đảm bảo các hệ thống Windows, Linux và Active Directory đủ vững chãi và quá trình phát triển phần mềm tuân thủ vòng đời phát triển phần mềm an toàn (secure software development life-cycle).

Security Assessment and Assurance

Thực hiện các cuộc đánh giá và kiểm tra an ninh thường xuyên để phát hiện các điểm yếu và chuẩn bị các biện pháp khắc phục. Kỹ sư bảo mật có thể không tự thực hiện nhưng họ có thể giúp các tổ chức bên ngoài lập lịch để triển khai chúng.

Ensuring Awareness

Duy trì một mức độ nhận thức bảo mật nhất định cho tổ chức bằng cách thực hiện các buổi đánh giá nhận thức về các cuộc tấn công phi kỹ thuật. Các buổi đánh giá này cũng có thể được thực hiện cho một số team nhất định liên quan đến lĩnh vực chuyên môn của họ chẳng hạn như phát triển phần mềm an toàn hoặc xây dựng kiến trúc mạng an toàn.

Managing Risks

Nhận diện, xác định khả năng xảy ra và ảnh hưởng của các rủi ro chẳng hạn như lộ dữ liệu và kiện tụng.

Đôi khi, việc loại bỏ toàn bộ rủi ro là không thể (do mô hình kinh doanh) và tổ chức có thể chấp nhận các rủi ro đó. Trong trường hợp này, kỹ sư bảo mật cần thực hiện một số hành động nhằm giảm thiểu rủi ro, bao gồm cả việc đưa ra lời khuyên cho tổ chức trước khi họ cấp nhận rủi ro.

Ví dụ, tổ chức sử dụng sử dụng một phần mềm cơ sở dữ liệu để quản lý chuỗi cung ứng chạy trên một phiên bản của Linux có dính lỗ hổng. Phần mềm này là thiết yếu đối với tổ chức và việc cập nhật lên phiên bản không bị dính lỗi mà không làm ảnh hưởng đến quá trình vận hành có thể mất nhiều nỗ lực (hơn một năm). Khi đó, kỹ sư bảo mật có thể gợi ý biện pháp giảm thiểu rủi ro chẳng hạn như gia cố hệ điều hành và cài đặt reverse proxy để ngăn chặn việc nó bị công khai ra ngoài internet.

Vulnerability Management

Theo dõi các lỗ hổng có trong tổ chức và lên kế hoạch để vá hoặc giảm thiểu rủi ro.

Một số ví dụ:

Vulnerability 1

Vulnerability 1

Asset Name

Oracle-backend-DB-Server
ORACLE MYSQL VULNERABILITY: CVE-2022-21417

Description

Vulnerability in the MySQL Server product of Oracle MySQL (component: InnoDB). Supported versions that are affected are 5.7.37 and prior and 8.0.28 and prior. Easily exploitable vulnerability allows a high privileged attacker with network access via multiple protocols to compromise MySQL Server. Successful attacks of this vulnerability can result in unauthorized ability to cause a hang or frequently repeatable crash (complete DOS) of MySQL Server. CVSS 3.1 Base Score 4.9 (Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).

Recommended Solution

Upgrade to the latest version of Oracle MySQL
Download and apply the upgrade from: http://dev.mysql.com/downloads/mysql

Ta sẽ chọn “Restrict accessibility of the server only through VPN or internal network” vì:

Quote

Easily exploitable vulnerability allows a high privileged attacker with network access via multiple protocols to compromise MySQL Server.

Vulnerability 2

Vulnerability 2

Asset Name

corporate-client-portal
OPENSSL THE C_REHASH SCRIPT ALLOWS COMMAND INJECTION (CVE-2022-2068)

Description

In addition to the c_rehash shell command injection identified in CVE-2022-1292, further circumstances where the c_rehash script does not properly sanitise shell metacharacters to prevent command injection were found by code review. When the CVE-2022-1292 was fixed, it was not discovered that there were other places in the script where the file names of certificates being hashed were possibly passed to a command executed through the shell. This script is distributed by some operating systems in a manner where it is automatically executed. On such operating systems, an attacker could execute arbitrary commands with the privileges of the script. Use of the c_rehash script is considered obsolete and should be replaced by the OpenSSL rehash command line tool. Fixed in OpenSSL 3.0.4 (Affected 3.0.0,3.0.1,3.0.2,3.0.3). Fixed in OpenSSL 1.1.1p (Affected 1.1.1-1.1.1o). Fixed in OpenSSL 1.0.2zf (Affected 1.0.2-1.0.2ze).

Recommended Solution

Upgrade to version 1.0.2zf of OpenSSL ([http://www.openssl.org](http://www.openssl.org/)). The source code for this release can be downloaded from OpenSSL's website([http://ftp.openssl.org/source/openssl-1.0.2zf.tar.gz](http://ftp.openssl.org/source/openssl-1.0.2zf.tar.gz)). To obtain binaries for your platform, please visit your vendor's site. Please note that many operating system vendors choose to apply the most recent OpenSSL security patches to their distributions without changing the package version to the most recent OpenSSL version number.

Tương tự, chọn “Restrict accessibility of the server only through VPN or internal network” vì đây là client portal.

Vulnerability 3

Vulnerability 3

Asset Name

corporate-website-public
APACHE HTTPD: MOD_LUA USE OF UNINITIALIZED VALUE OF IN R:PARSEBODY (CVE-2022-22719)

Description

A carefully crafted request body can cause a read to a random memory area which could cause the process to crash. This issue affects Apache HTTP Server 2.4.52 and earlier.

Recommended Solution

  • Apache HTTPD >= 2.4 and < 2.4.53
  • Upgrade to Apache HTTPD version 2.4.53
  • Apache HTTPD version 2.4.53 Download and apply the upgrade from: http://archive.apache.org/dist/httpd/httpd2.4.53.tar.gz
  • Many platforms and distributions provide pre-built binary packages for Apache HTTP server. These pre-built packages are usually customized and optimized for a particular distribution, therefore we recommend that you use the packages if they are available for your operating system.

Chọn “Patch the vulnerability” vì đây là public website.

Compliance and Audits

Đảm bảo tuân thủ các tiêu chuẩn chẳng hạn như PCI-DSS, HIPAA, SOC2, ISO27001, NIST-800-53, … tùy thuộc vào ngành nghề, nhóm khách hàng và vị trí địa lý của tổ chức. Kỹ sư bảo mật sẽ làm việc với các kiểm soát viên bên trong và bên ngoài tổ chức để phát hiện và xử lý cũng như là duy trì các chứng chỉ bảo mật của tổ chức khi cần thiết.

Một số ví dụ:

Observation 1

Observation 1

Requirements

All assets of XYZ Inc. should have the latest Operating System security updates installed.

Observation

Though most systems had the latest OS security updates, some legacy systems that supported XYZ Inc.’s older hardware didn’t have the latest security updates.

XYZ Inc. Comments

These systems are older and installing security updates on them might break the functionality of these systems.

Chọn “Restrict accessibility of the servers to only required usage” vì việc cập nhật có thể làm ảnh hưởng đến việc của các hệ thống.

Observation 2

Observation 2

Requirements

All network communication, user activity,and security device logs shall be aggregated in a single platform (SIEM) and monitored continuously.

Observation

XYZ Inc. has some assets in the cloud and others on-prem. It was observed that the cloud assets were not integrated with the SIEM, which is present on-prem.

XYZ Inc. Comments

The logs from the cloud are not integrated with the SIEM because this will require enabling internet access to the SIEM, which is not desirable.

Chọn “Aggregate cloud logs in a single place. Forward the logs from that place to on-prem network using a restricted tunnel” vì việc tích hợp với SIEM yêu cầu quyền truy cập internet vào SIEM.

Additional Roles and Responsibilities

Trong một số tổ chức, kỹ sư bảo mật có thể có thêm trách nhiệm giúp đỡ các team khác:

  • Cấu hình hoặc tinh chỉnh các công cụ bảo mật chẳng hạn như SIEMs, tường lửa, WAFs, EDRs, …
  • Thực hiện các bài tập table top để đánh giá sự sẵn sàng hoạt động của tổ chức từ góc độ bảo mật. Ví dụ, đội bảo mật đưa ra một sự cố nào đó chẳng hạn như việc xâm phạm một thiết bị đầu cuối thông qua email lừa đảo. Sau đó, các thành viên sẽ lần lượt giải thích vai trò tương ứng của họ khi sự cố xảy ra theo sách hướng dẫn của tổ chức.
  • Tham gia vào quá trình khắc phục thảm họa, duy trình kinh doanh (ưu tiên) và quản lý khủng hoảng theo theo các quy định và chính sách của công ty.

Ngoài ra, kỹ sư bảo mật cũng cần phải quan tâm đến khía cạnh kinh doanh chẳng hạn như việc vận hành, chi phí, tính dễ hiện thực, tính dễ sử dụng, …

Qualifications Required for a Security Engineer

Các yêu cầu cơ bản:

  • 0-2 năm kinh nghiệm trong lĩnh vực quản trị IT, helpdesk, networks hoặc security operation.
  • Hiểu biết cơ bản về network, operating system và lập trình.
  • Hiểu biết cơ bản về các khái niệm bảo mật chẳng hạn như quản trị, rủi ro và tuân thủ (governance, risk và compliance - GRC).
list
from outgoing([[Security Engineer]])
sort file.ctime asc

Resources

Backlinks

  • No backlinks found