Hỏi đáp

1. Tôi đọc một số tài liệu về an toàn bảo mật thông tin có nói đến hai thuật ngữ Phishing và Pharming. Xin cho hỏi thế nào là Phishing, Pharming và sự khác nhau giữa chúng?

  • Phishing: là các tấn công với mục đích cuối cùng là lấy tiền của người bị tấn công. Chúng thực hiện bằng cách đánh cắp các thông tin cá nhân của người sử dụng qua: điện thoại, email, hoặc message, web,… và. Các hoạt động tấn công trực tuyến của Phishing phổ biến núp dươí 2 dạng chính: dạng email và các trang web để lừa gạt người dùng. Chúng có thể sửa trang Web của các ngân hàng, tổ chức tài chính để thu thập thông tin hoặc có thể tấn công giả mạo các trang web, email để đánh lừa người dùng cung cấp các thông tin liên quan đến tài khoản,… Sau đó là dùng các thông tin này chiếm đoạt tài chính của người bị lừa.
  • Pharming: cũng tương tự như Phishing. Tuy nhiên, thay vì cố gắng lấy trực tiếp các thông tin cá nhân, pharming chiếm đoạt các URL hợp pháp ví dụ nhưwww.mybank.com và thay đổi trên DNS để lái sang các địa chỉ IP lừa đảo của chúng. và những địa chỉ IP đó gần giống như địa chỉ IP hợp pháp của URL. Những URL sẽ có giao diện đồ hoạ tổ chức giống như các URL hợp pháp => người dùng tương tác, cung cấp thông tin mà không hề hay biết là đã cung cấp cho kẻ xấu. Pharming yêu cầu kỹ thuật mức cao hơn để thực thi, và vì DNS cũng khó bị thao túng hơn => Pharming ít hơn phishing. Tuy nhiên, có thể đánh giá rằng Pharming sẽ trở thành mối đe doạ nghiêm trọng hàng đầu cho các doanh nghiệp trong tương lai gần.

2. Làm cách nào để bảo vệ các máy PC và thiết bị Mobile trước Phishing và Pharming?

  • Hãy thận trọng. Bạn không nên chủ quan dựa vào những nhận thức cá nhân để phân biệt giữa các hành vi hợp pháp và các hành vi không hợp pháp của các yêu cầu cung cấp thông tin bí mật. Phishers và Pharmer là là những kẻ rất tinh vi và rất hiểu người sử dụng.
  • Không bao giờ cung cấp các thông tin cá nhân cho các doanh nghiệp, hoặc một ai đó nếu bạn không biết, đặc biệt là chưa từng tiếp xúc hoặc liên lạc.
  • Xoá tất cả các email có yêu cầu tiết lộ thông tin cá nhân. Nếu bạn tin rằng các yêu cầu đó là hợp pháp, hãy sử dụng điện thoại để kiểm tralại các yêu cầu này, sau đó hãy chia sẻ thông tin qua điện thoại.
  • Mua và cài đặt phần mềm phòng chống phishing với các giải pháp phòng chống phishing và pharming của các hãng có cung cấp giải pháp này ví dụ như các sản phẩm của Trend Micro
  • Hãy lưu đảm bảo rằng các bản vá được cập nhập, đặc biệt là các bản vá của hệ thống IM, email
  • Kiểm tra với ISP của bạn để biết được bạn đang được bảo vệ trước nạn phishing và pharming tại cấp độ nào.

3. Thế nào là virus file và tác hại của nó? Xin nêu một vài cách nhận biết khi máy bị nhiễm loại virus này và cách phòng chống.

3.1 Định nghĩa

  • File infecting viruses: (hay thường gọi là virus file) là loại mã độc hại thường chèn vào các file chạy ví dụ như các file có đuôi COM, EXE, bat,…. Hầu hết các file lây nhiễm này thường tự nhân bản và phát tán.

3.2 Hậu quả

  • Loại virus này có thể gây hư hỏng các chương trình, ứng dụng, hoặc thậm chí phá hoại máy móc, thiết bị, như format ổ cứng,…

3.3 Một vài cách nhận biết khi bị nhiễm virus file

  • Ứng dụng, chương trình bị hỏng (ko fải do lý do sử dụng không đúng, sau khi mất điện đột ngột,…)
  • Kiểm tra thấy các mục bất thường trong registry:

Ví dụ như trong:

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersion

Kiểm tra thấy các processes lạ trong “Task Manager”

3.4 Một vài cách phòng chống

  • Cần sử dụng các chương trình diệt virus có khả năng quét virus trong chế độ real-time và được cập nhật thường xuyên ví dụ như: Trend Micro PC-Cillin, Trend Micro Office Scan,…
  • Quét virus khi cắm các thiết bị nhớ ngoài vào máy
  • Không nên chạy, mở các file khi nhận được từ các email lạ, hoặc chạy các file trên các trang web lạ (đặc biệt là các trang web đen, crack)
  • Khi thấy máy có khả năng bị nhiễm virus hãy thông báo cho quản trị hệ thống, đừng cố chạy các chương trình, ứng dụng cũng như không nên vội vàng khởi động lại máy mà hãy thử quét virus bằng chương trình diệt virus đã được cập nhật mẫu virus mới nhất
  • Cần cập nhật đầy đủ các miếng vá của hệ điều hành, ứng dụng

MỘT SỐ CÂU HỎI THƯỜNG GẶP KHÁC

1. Công ty tôi có một hệ thống mạng với các máy chủ như: máy chủ e-mail, máy chủ web, máy chủ cơ sở dữ liệu,… và cho các nhân viên truy cập Internet, vậy tôi cần trang bị những gì để bảo vệ hệ thống của mình?

TL:

  • Hiện nay có rất nhiều giải pháp bảo mật, mỗi giải pháp tập trung vào bảo vệ một đối tượng cụ thể, ví dụ như:
  • Tường lửa (firewall) được được đặt trước các tài nguyên cần bảo vệ, dùng để kiểm soát các truy cập đến các tài nguyên, ngăn chặn các truy cập bất hợp pháp vào các tài nguyên cần bảo vệ.
  • Phòng ngừa virus: dùng để quét virus trên các máy chủ, máy trạm và tại cổng kết nối với mạng bên ngoài mà điển hình là Internet.
  • Giải pháp phát hiện và ngăn chặn xâm nhập: được đặt ngay sau tường lửa và trước các máy chủ quan trọng, dùng để ngăn chặn các kết nối trái phép vào các tài nguyên quan trọng khi chúng qua mặt được tường lửa.
  • Các giải pháp khác như: mạng riêng ảo (VPN) mã hóa các dữ liệu trên đường truyền, kiểm soát truy cập web (Web Filtering, URL Filtering) giảm thiểu các nguy cơ mất an toàn cho các máy trạm khi truy cập web, ngăn chặn thư rác (Spam Mail), tường lửa cho ứng dụng web (Web Application Firewall),…

2. Tôi phải trang bị tất cả các giải pháp trên không? Có sản phẩm nào bao gồm tất cả các giải pháp trên không?

TL:

  • Mỗi sản phẩm bảo mật của mỗi nhà cung cấp có một thế mạnh riêng, nếu có điều kiện (kinh phí và con người để quản trị) thì công ty bạn có thể trang bị từng sản phẩm chuyên từng lĩnh vực cho hệ thống của mình là tốt nhất. Trong trường hợp kinh phí hạn hẹp công ty bạn cần trang bị tối thiểu 2 sản phẩm sau:
  • Giải pháp an ninh tích hợp: ngày nay có nhiều sản phẩm tích hợp các tính năng: tường lửa (firewall), mạng riêng ảo (VPN), ngăn chặn xâm nhập (Intrusion Prevention – IPS), quét virus tại cổng kết nối mạng(anti-virus), kiểm soát truy cập web của các nhân viên (Web Filtering, URL Filtering),…bạn có thể tham khảo sản phẩm có các chức năng trên tại: http://www.checkpoint.com/products/utm-1/index.html
  • Giải pháp phòng ngừa virus: ngoài việc trang bị sản phẩm an ninh tích hợp bạn vẫn cần trang bị sản phẩm phòng ngừa virus cho các máy chủ và các máy trạm

3. Gần đây trên các phương tiện thông tin đại chúng nói rất nhiều về lỗ hổng bảo mật web, vậy nó là cái gì và làm sao để khắc phục nó?

TL:

  • Lỗ hổng bảo mật web tập trung chủ yếu vào các lỗi trong quá trình phát triển web, các lập trình viên để lại các điểm yếu mà các hacker có thể lợi dụng để tấn công vào hệ thống web. Để khắc phục điểm yếu này hiện nay trên thế giới chia thành 2 trường phái:
  • Dùng các công cụ đánh giá và phát hiện các lỗ hổng bảo mật và sửa.
  • Dùng các giải pháp bảo mật như tường lửa(firewall), ngăn chặn xâm nhập(Intrusion Prevention – IPS) và không thể thiếu một bức tường lửa chuyên cho web (Web Application Firewall).
  • Tìm hiểu về hệ thống ngăn chặn xâm nhập (IPS –Intrusion Prevention System)

Đỗ Văn Ngọc- Misoft

1. Các khái niệm, định nghĩa về xâm nhập và ngăn chặn xâm nhập

1.1 Hành vi xâm nhập là gì?

Hành vi xâm nhập được định nghĩa là sự vi phạm hoặc cố vượt qua các chính sách an ninh của máy tính hoặc mạng. Các xâm nhập có thể được thực hiện thông qua sâu mạng, phần mềm gián điệp, kẻ tấn công đang kiếm quyền truy cập hợp pháp vào máy tính từ Internet, người sử dụng hợp lệ có các hành vi vượt qua các đặc quyền truy cập được định trước hoặc lạm dụng đặc quyền của họ.

1.2 Hệ thống ngăn chặn xâm nhập (IPS –Intrusion Prevention System) là gì?

Một hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP- Intrusion Detection and Prevention.

1.3 Kẻ xâm nhập là ai?

Kẻ xâm nhập có thể được chia làm 2 loại:

Kẻ xâm nhập từ bên ngoài: thực hiện xâm nhập từ bên ngoài hệ thống của chúng ta và những kẻ tấn công các tài nguyên bên ngoài (tấn công máy chủ web, gửi thư rác bằng máy chủ mail…). Những kẻ xâm nhập này cũng có thể tìm cách vượt qua tường lửa để tấn công vào mạng bên trong. Kẻ xâm nhập từ bên ngoài có thể tấn công thông qua Internet, qua đường quay số, tấn công qua môi trường vật lý hoặc thông qua hệ thống mạng của các đối tác (nhà cung cấp các sản phẩm mạng, khách hàng…) có liên kết với hệ thống mạng của bạn.

Kẻ xâm nhập bên trong: Có thể là các nhân viên trong cơ quan/tổ chức… sử dụng sai quyền của họ, truy cập các tài nguyên không được phép, lợi dụng các quyền của người khác để truy cập tài nguyên thông tin của hệ thống..

1.4 Kẻ tấn công làm thế nào xâm nhập vào hệ thống?

Có nhiều cách để xâm nhập vào hệ thống mạng:

Xâm nhập thông qua con đường vật lý: Nếu kẻ xâm nhập tiếp cận được một thiết bị thông tin trong hệt hống mạng, họ có khả năng xâm nhập vào hệ thống. Hành vi xâm nhập có thể là đạt được các quyền quản trị của thiết bị đó, hoặc tháo rời thiết bị để lấy ổ đĩa và đọc/ghi ổ đĩa này trên một máy khác.

Xâm nhập vào hệ thống: Kẻ xâm nhập đã có một tài khoản người dùng mức user trên hệ thống. Nếu hệ thống chưa được cập nhật đủ các bản vá an ninh, kẻ tấn công có khả năng sử dụng các kỹ thuật khai thác các điểm yếu đang tồn tại trên hệ thống để đạt được quyền quản trị.

Xâm nhập từ xa: thực hiện xâm nhập từ xa vào hệ thống.

1.5 Tại sao có thể xâm nhập vào hệ thống?

Các phần mềm luôn luôn có sai sót, kẻ tấn công chỉ cần tìm ra các lỗ hổng trên các phần mềm để xâm nhập vào hệ thống. Các lỗi này bao gồm:

Các lỗi phần mềm : Các lỗi phần mềm có thể bị khai thác trên deamon, trên các ứng dụng client, trên hệ điều hành và các ngăn xếp mạng. Các lỗi phần mềm có thể được chia ra làm các loại sau: tràn bộ đệm, các kết quả bất ngờ khi đưa vào một dữ liệu được nhiều lớp mã lệnh trong cùng một chương tình xử lý, các dữ liệu đầu vào không hợp lệ, tình trạng tranh đua (race condition).

Các sai sót trong cấu hình hệ thống: các sai sót này có thể do người sử dụng để nguyên cấu hình mặc định, do người quản trị lười biếng, do trong các chương trình trong quá trình hoạt động tạo ra các lỗ hổng

Hoạt động phá mật khẩu: Các mật khẩu yếu dễ dàng bị lộ, ngoài ra kẻ xâm nhập có thể thực hiện các hành vi phá mật khẩu bằng tấn công từ điển, tấn công brute force

Các hành vi nghe lén các giao thông mạng không được bảo vệ: nghe lén trên môi trường chia sẻ (Ethernet), nghe lén các hoạt động của máy chủ và nghe lén từ xa.

Các thiếu sót trong thiết kế: Các phần mềm có thể hoàn toàn đúng như yêu cầu thiết kế, tuy nhiên vẫn có các thiếu sót ngay từ khi thiết kế, tạo điều kiện cho kẻ tấn công thực hiện các hành vi xâm nhập. Ví dụ như lỗi trong giao thức TCP/IP, dẫn đến các vấn để như tấn công kiểu smurf, IP spoofing, và SYN floods

1.6 Một kịch bản xâm nhập sẽ xảy ra như thế nào?

Bước 1: Do thám từ bên ngoài. Kẻ tấn công sẽ tìm kiếm càng nhiều thông tin càng tốt: tìm kiếm các thông tin được công bố rộng rãi như tên miền, bảng DNS, tên website và FTP. Kẻ tấn công có thể thu thập được các tài liệu và các chủ đề về chúng ta. Tại bước này, chúng ta không có cách nào để phát hiện được họ.

Bước 2: Do thám từ bên trong. Kẻ tấn công sử dụng các kỹ thuật để dò quét các thông tin nhưng không gây bất cứ tổn hại nào đến hệ thống. Họ có thể xâm nhập vào trang web và xem các đoạn mã CGI, thực hiện ping sweep để kiểm tra các máy có đnag hoạt động hay không, thực hienẹ dò quét TCP/UDP để phát hiện các dịch vụ đang hoạt động…Tới lúc này, họ vẫn thực hiện được các hoạt động trên mạng mà không bị coi là xâm nhập. Hệ thống phát hiện xâm nhập cũng có thể cảnh báo cho chúng ta là có người đang thăm dò hệ thống.

Bước 3: Khai thác. Kẻ tấn công bắt đầu khai thác các lỗ hổng có trong hệ thống: tấn công CGI, khai thác các lỗi tràn bộ đệm, kiểm tra các tài khoản đăng nhập bằng các mật khẩu thông thường, dễ đoán hoặc mật khẩu trắng.. Nếu kẻ tấn công có được tài khoản user, họ sẽ tiếp tục để đạt được quyền root/admin.

Bước 4: Kẻ tấn công đã đặt chân được vào hệ thống của chúng ta. Mục tiêu của kẻ xâm nhập bây giờ là xóa dấu vết tấn công và đảm bảo có thể xâm nhập lại vào hệ thống. Kẻ tấn công có thể cài đặt các công cụ, phần mềm giúp họ truy cập trở lại, thay thế các dịch vụ hiện tại bằng các dịch vụ có Trojan, hoặc tạo một tài khoản riêng… Sau này kẻ tấn công có thể mở rộng việc tấn công vào các máy khác trong hệ thống mạng của chúng ta.

Bước 5: Kẻ tấn công lúc này có thể lấy các thông tin bí mật, sử dụng các tài nguyên mạng hoặc làm sập trang web…

1.7 Một số dấu hiệu xâm nhập thông thường?

Có 3 loại tấn công được coi là các dấu hiệu xâm nhập thông thường:

Các hành vi do thám: bao gồm ping sweeps, DNS zone transfers, do thám thư điện tử, dò quét TCP/UDP, tìm kiếm các lỗ hổng cgi của máy chủ web….

Khai thác: khai thác các lỗ hổng để truy cập được vào hệ thống

Tấn công từ chối dịch vụ: làm hệ thống/dịch vụ ngừng hoạt động, làm quá tải kết nối mạng, làm CPU quá tải, đầy ổ đĩa….

1.8 Các khai thác thông dụng?

Một số hành vi khai thác thông dụng:

CGI scripts: Các đoạn mã CGI thông dụng mà kẻ tấn công thường khai thác là TextCounter, GuestBook, EWS, info2www, Count.cgi, handler, webdist.cgi, php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail. Nếu chúng ta thấy có người đang cố gắng sử dụng các mã CGI này thì chắc chắn đang có kẻ muốn thực hiện hành vi xâm nhập.

Tấn công máy chủ web: kẻ tấn công có thể thực hiện xâm nhập bằng cách tấn công vào các lỗ hổng của các ứng dụng, lỗ hổng của hệ điều hành… của máy chủ web

Tấn công nhằm vào trình duyệt web: kẻ xâm nhập có thể khai thác các lỗ hổng liên quan đến trình duyệt web: URL, HTTP, HTML, JavaScript, Frames, Java, và ActiveX.

Tấn công SMTP (SendMail)

Các hành vi truy cập: truy cập khi không có tài khoản, phá mật khẩu, …

IMAP: lấy các e-mail trên máy chủ thông qua giao thức IMAP

IP spoofing: các hành vi smurf, TCP sequence number prediction, DNS poisoning

Tấn công tràn bộ đệm

Tấn công DNS: DNS cache poisoning, DNS poisoning , DNS overflow

1.9 Một số hành vi do thám?

Ping sweeps, TCP scans, UDP scans, OS identification, Account scans

1.10 Một số tấn công từ chối dịch vụ thông dụng?

Ping-of-Death, SYN Flood, Land/Latierra, WinNuke…

1.11 Những công cụ nào thường được sử dụng để xâm nhập vào hệ thống?

Các công cụ sử dụng trên UNIX: ping, traceroute, nslookup/dig, whois, finger, rpcinfo, showmount, SAMBA, telnet

Trên nền WinNT: hầu hết các công cụ nói trên đều có thể sử dụng được trên WưinNT, ngoài ra còn có nbtstat, net view

Các công cụ tấn công: netcat, crack / NTcrack / L0phtCrack /.., Gobbler, tcpdump, TCP and UDP port scanners, Ping sweepers …

2. Các câu hỏi về hoạt động của hệ thống IPS

2.1 Các vụ xâm nhập được phát hiện như thế nào ?

Hầu hết các hệ thống phát hiện và ngăn chặn xâm nhập đều sử dụng một trong các cơ chế sau để phát hiện xâm nhập:

Phát hiện sự bất thường. Đầu tiên chúng ta sẽ xây dựng và lưu giữ các thông tin về trạng thái hoạt đông ổn định của toàn bộ hệ thống mạng: CPU được sử dụng đến mức nào, hoạt động của ổ đĩa, các haọt động đăng nhập của người dùng…. Khi có bất thường xảy ra, ví dụ như rất nhiều máy trạm cùng đăng nhập vào một máy chủ để thực hiện một tác vụ nào đó, hệ thống phát hiện và ngăn chặn xâm nhập sẽ báo động.

Nhận dạng dấu hiệu (Phát hiện việc sử dụng sai). Cơ chế phát hiện xâm nhập này dựa vào việc kiểm tra để phát hiện ra các giao thông mạng có đặc điểm giống với các mẫu tấn công. Một ví dụ điển hình là việc phát hiện ra các gói tin chứa đoạn “/cgi-bin/phf?”, cho biết có hành vi khai thác lỗ hổng CGI trên máy chủ web. Một số hệ thống phát hiện và ngăn chặn xâm nhập được xây dựng trên cơ sở dữ liệu với một số lượng rất lớn các mẫu tấn công kiểu này.

Phân tích giao thức. Cơ chế này được thực hiện thông qua việc phân tích các luồng dữ liệu dựa trên các hoạt động thông thường của các giao thức mạng. Hệ thống phát hiện và ngăn chặn xâm nhập kiểm tra tính hợp lệ của các gói tin đối với định nghĩa của giao thức và sau đó tìm kiếm các mẫu đặc trưng trong các trường của giao thức hoặc trong payload của gói tin. Kỹ thuật này có thể kiểm tra tính hợp lệ của gói tin và tìm được các thông tin về tấn công nằm trong payload hoặc trong trường giao thức của gói tin.

2.2 Điều gì sẽ xảy ra khi hệ thống ngăn chặn xâm nhập phát hiện được tấn công?

Tùy thuộc vào các nhà cung cấp, các sản phẩm IPS sẽ thực hiện một số trong các tác vụ sau khi phát hiện có tấn công:

Cấu hình lại tường lửa: để lọc ra địa chỉ IP của kẻ xâm nhập. Tuy nhiên kẻ tấn công vẫn có thể sử dụng một địa chỉ IP khác để thực hiện hành vi xâm nhập.

Báo động bằng âm thanh

SNMP Trap: gửi SNMP trap tới thành phần quản trị tập trung

WinNT OS Event: ghi vào file log của hệ điều hành Windows

Syslog : ghi vào file log của UNIX

Send e-mail : gửi cảnh báo bằng thư điện tử đến người quản trị hệ thống

Log the attack: lưu lại các thông tin về tấn công: thời gian, địa chỉ tấn công, địa chỉ/cổng bị tấn công, thông tin về giao thức được sử dụng để tấn công…

Save evidence: lưu lại các gói tin để phân tích sau

Launch program: chạy một chương trình định trước để xử lý sự kiện tấn công

Terminate the TCP session: ngắt các phiên TCP

2.3 Có các biện phát nào khác ngoài việc sử dụng hệ thống ngăn chặn xâm nhập để chống xâm nhập không?

Ngoài việc triển khai một hệ thống ngăn chặn xâm nhập, chúng ta có thể sử dụng thêm các biện pháp sau để phát hiện và ngăn chặn xâm nhập:

Sử dụng tường lửa

Sử dụng các biện pháp xác thực

Sử dụng mạng riêng ảo (VPN)

Mã hóa các thông tin

Xây dựng các honeypots

2.4 Có để đặt thiết bị/phần mềm IPS ở đâu trong hệ thống mạng của chúng ta?

Các thiết bị/phần mềm IPS có thể được đặt ở các vị trí trong hình vẽ sau:

Phân đoạn mạng Internet: Thiết bị IPS 1 bảo vệ toàn bộ hệ thống mạng bên trong trước các xâm nhập từ bên ngoài Internet. Thay vì kiểm tra các giao thông mạng từ ngòai tường lửa, thiết bị IPS 2 sẽ chỉ phải kiểm tra các giao thông mạng đã được tường lửa cho phép đi qua và bảo vệ hệ thống mạng bên trong.

Phân đoạn mạng Extranet: Thiết bị IPS 3 bảo vệ hệ thống mạng của cơ quan/tổ chức khi kết nối với hệ thống mạng của đối tác.

Phân đoạn mạng Intranet: thiết bị IPS bảo vệ từng đoạn mạng trong hệ thống. Ví dụ như IPS 4 bảo vệ vùng máy chủ Finance trước các tấn công từ các vùng mạng khác. Các thiết bị IPS 4, 6 này sẽ ngăn chặn các tấn công giữa các đoạn mạng trong một hệ thống mạng.

Phân đoạn mạng truy cập từ xa: thiết bị IPS 5 ngăn chặn các xâm nhập xuất phát từ các kết nối dial-up vào trong hệ thống mạng cần bảo vệ.

Trên máy chủ và máy trạm: các phần mềm IPS 7-11 được cài đặt lên máy chủ và máy trạm, bảo vệ các máy chủ và máy trạm này.

2.5 Làm thế nào để kết hợp hệ thống IPS với các hệ thống an ninh khác để đảm bảo an toàn cho mạng?

Đặt các tường lửa giữa các vùng mạng có các yêu cầu về an ninh khác nhau, ví dụ như giữa các vùng mạng internet- bên trong, vùng mạng LAN- vùng máy chủ, …

Sử dụng các công cụ dò quét điểm yếu để kiểm tra và tìm kiếm các lỗ hổng còn tồn tại trong hệ thống

Sử dụng các công cụ dò quét, đánh giá chính sách an ninh để đảm bảo các hệ thống đã được cập nhật

Sử dụng hệ thống phát hiện, ngăn chặn xâm nhập mức mạng để theo dõi hoạt động của hệ thống mạng

Sử dụng các hệ thống phát hiện, ngăn chặn xâm nhập mức host để bảo vệ máy chủ và máy trạm

Tạo ra các chính sách an ninh giúp người quản trị, người sử dụng có khả năng phản ứng lại khi có xâm nhập.