Phần 24: Analyzing Output from Vulnerability Scanners

Scan Reports

Báo cáo kết quả vulnerability scan, hiển thị các lỗ hổng được phát hiện trên hệ thống.

Color-coded Vulnerabilities

Các lỗ hổng trong scan report thường được mã màu theo mức độ nghiêm trọng (criticality) như:

• Critical

• High

• Medium

• Low

• Informational

Scan Dashboard

Giao diện trung tâm cho phép:

• Xem scan reports hiện tại và trước đây

• Theo dõi xu hướng lỗ hổng theo thời gian

Manual Report Distribution

Việc phân phối báo cáo scan thủ công để:

• Kiểm soát nội dung được chia sẻ

• Cho phép analyst giải thích và diễn giải kết quả

Importance of Common Identifiers

Các công cụ scan khác nhau cần xác định cùng một lỗ hổng theo cùng chuẩn, giúp:

• Dễ đối chiếu

• Dễ ưu tiên xử lý

• Chuẩn hóa báo cáo

Common Vulnerabilities and Exposures (CVE)

Hệ thống định danh lỗ hổng phổ biến do MITRE phát triển, được NIST chấp nhận.

CVE Identifier Format

Mỗi lỗ hổng có mã định danh theo dạng:
CVE-YYYY-####

👉 Ví dụ: CVE-2024-12345

National Vulnerability Database (NVD)

Cơ sở dữ liệu do NIST quản lý, là superset của CVE, cung cấp thêm:

• Phân tích lỗ hổng

• Điểm mức độ nghiêm trọng (CVSS)

• Thông tin bản vá và hướng dẫn khắc phục

CVSS (Common Vulnerability Scoring System)

Hệ thống chấm điểm mức độ nghiêm trọng của lỗ hổng, thường được lấy từ NVD.

Common Attack Pattern Enumeration and Classification (CAPEC)

Kho tri thức do MITRE duy trì, dùng để:

• Phân loại attack patterns

• Tập trung vào application security và exploit techniques

MITRE ATT&CK

Framework dùng để hiểu hành vi của attacker trong các sự kiện xâm nhập mạng (tactics & techniques).

Common Platform Enumeration (CPE)

Chuẩn dùng để định danh:

• Phần cứng

• Hệ điều hành

• Ứng dụng

CPE Format

Cú pháp định danh CPE:
cpe:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}

Common Configuration Enumeration (CCE)

Chuẩn dùng để xác định và chuẩn hóa các cấu hình bảo mật tốt (best practices) trên nhiều nền tảng.

CCE Purpose

CCE là tập hợp các configuration best-practice statements giúp:

• Đánh giá cấu hình bảo mật

• So sánh cấu hình giữa các hệ thống

• Hỗ trợ compliance

Common Vulnerability Scoring System (CVSS)

Một phương pháp quản lý rủi ro dùng để định lượng mức độ nghiêm trọng của lỗ hổng và đánh giá mức độ ảnh hưởng của chúng đối với các hệ thống hoặc loại thông tin khác nhau.

Purpose of CVSS

CVSS giúp ưu tiên hành động ứng phó, vá lỗi và phân bổ nguồn lực dựa trên mức độ rủi ro của lỗ hổng.

Base Metrics

Nhóm chỉ số đo lường đặc tính cố hữu của lỗ hổng, không thay đổi theo thời gian hoặc môi trường.

Access Vector (AV)

Mô tả cách thức attacker có thể khai thác lỗ hổng:

• Physical (P)

• Local (L)

• Adjacent Network (A)

• Network (N)

Access Complexity (AC)

Mức độ khó để khai thác lỗ hổng:

• High (H)

• Low (L)

Privileges Required (PR)

Mức quyền mà attacker cần có trước khi khai thác:

• None (N)

• Low (L)

• High (H)

User Interaction (UI)

Xác định liệu người dùng có cần tương tác để khai thác lỗ hổng hay không:

• None (N)

• Required (R)

Scope (S)

Xác định liệu việc khai thác có ảnh hưởng ra ngoài phạm vi bảo mật ban đầu hay không:

• Unchanged (U)

• Changed (C)

Confidentiality Impact (C)

Mức độ ảnh hưởng đến tính bảo mật dữ liệu:

• High (H)

• Medium (M)

• Low (L)

Integrity Impact (I)

Mức độ ảnh hưởng đến tính toàn vẹn dữ liệu:

• High (H)

• Medium (M)

• Low (L)

Availability Impact (A)

Mức độ ảnh hưởng đến tính sẵn sàng của hệ thống hoặc dịch vụ:

• High (H)

• Medium (M)

• Low (L)

Temporal Metrics

Các chỉ số phản ánh trạng thái hiện tại của lỗ hổng, có thể thay đổi theo thời gian.

Exploit Code Maturity

Đánh giá mức độ sẵn sàng của mã khai thác (exploit) trên thực tế.

Remediation Level

Phản ánh mức độ sẵn có của biện pháp khắc phục, như bản vá hoặc workaround.

Report Confidence

Mức độ đáng tin cậy của thông tin lỗ hổng, dựa trên nguồn và mức xác thực.

Environmental Metrics

Các chỉ số điều chỉnh điểm CVSS dựa trên môi trường cụ thể của tổ chức.

Modified Base Metrics

Phiên bản điều chỉnh của Base Metrics để phản ánh tầm quan trọng thực tế của hệ thống trong môi trường doanh nghiệp.

CVSS Limitation

CVSS rất hữu ích trong đánh giá rủi ro, nhưng không nên sử dụng độc quyền mà cần kết hợp với:

• Context hệ thống

• Giá trị tài sản

• Threat intelligence

• Business impact

🧠 Mẹo ghi nhớ nhanh (hay ra đề)

• Base = bản chất lỗ hổng

• Temporal = tình trạng hiện tại

• Environmental = bối cảnh doanh nghiệp

• CVSS ≠ quyết định cuối cùng

Vulnerability Report

Báo cáo lỗ hổng chỉ có giá trị khi được xác thực (validated); nếu không xác thực, báo cáo gần như vô dụng.

True Positive

Một cảnh báo khớp với lỗ hổng và lỗ hổng thực sự tồn tại trên hệ thống.

False Positive

Một cảnh báo khớp với lỗ hổng nhưng lỗ hổng không tồn tại trên hệ thống.

Impact of False Positives

False positive tốn thời gian điều tra và lãng phí tài nguyên của tổ chức.

Reducing False Positives

Các biện pháp giảm false positive:

• Điều chỉnh phạm vi (scope) quét phù hợp

• Tạo baseline mới cho heuristic scan

• Thêm ứng dụng vào exception list

Vulnerability Exists but Isn’t Exploitable

Lỗ hổng tồn tại nhưng không thể khai thác trong môi trường thực tế do bối cảnh hoặc biện pháp kiểm soát khác.

Exception Management

Quy trình giám sát chặt chẽ các hệ thống không thể vá lỗi, buộc phải loại trừ khỏi quá trình quét lỗ hổng.

True Negative

Không có cảnh báo được tạo ra vì không tồn tại lỗ hổng trên hệ thống.

False Negative

Không có cảnh báo được tạo ra dù lỗ hổng thực sự tồn tại trên hệ thống.

Impact of False Negatives

False negative khiến lỗ hổng hoặc bản vá bị thiếu không được phát hiện, tạo rủi ro bảo mật nghiêm trọng.

Reducing False Negatives

Các biện pháp giảm false negative:

• Chạy quét lặp lại (repeated scans)

• Sử dụng nhiều loại scan khác nhau

• Thay đổi mức độ sensitivity

• Sử dụng scanner khác

Validating Scan Reports

Quá trình xác thực kết quả quét vì scanner có thể hiểu sai phản hồi từ các probe.

Reconciling Results

Đối chiếu và hợp nhất kết quả vì mỗi scanner có thể diễn giải dữ liệu khác nhau.

Correlating Scan Results

Liên kết kết quả quét với log hệ thống và log mạng để xác nhận tính chính xác.

Best Practice Comparison

So sánh kết quả quét với best practices để xác định lỗ hổng là ưu tiên cao hay rủi ro thấp.

Identifying Exceptions

Xác định các phát hiện mà rủi ro đã được chấp nhận hoặc chuyển giao (risk accepted / risk transferred).

🧠 Mẹo thi CySA+ (rất hay ra)

• False Positive → tốn công

• False Negative → nguy hiểm

• Không validate report = sai quyết định

• Exception ≠ bỏ qua → vẫn phải giám sát

Nessus

Một commercial vulnerability scanner do Tenable phát triển, dùng để quét lỗ hổng cho on-premise và cloud environments.

Nessus Home

Phiên bản miễn phí cho người dùng cá nhân (home users), thường dùng cho học tập và lab, không dùng cho mục đích thương mại.

Purpose of Nessus

Dùng để phát hiện lỗ hổng, cấu hình sai, và hệ thống chưa vá lỗi trên host, server, network device và ứng dụng.

Nessus Plug-ins

Các module kiểm tra lỗ hổng được Nessus sử dụng để phát hiện vulnerabilities cụ thể trên hệ thống mục tiêu.

NASL (Nessus Attack Scripting Language)

Ngôn ngữ kịch bản dùng để viết và tùy chỉnh Nessus plug-ins nhằm kiểm tra các lỗ hổng mới hoặc đặc thù.

Advantage of NASL

Cho phép tùy biến, mở rộng và cập nhật nhanh các bài kiểm tra lỗ hổng mà không cần chờ vendor cập nhật.

Nessus in Vulnerability Management

Nessus hỗ trợ các giai đoạn:

• Vulnerability identification

• Risk prioritization (CVSS)

• Reporting & remediation tracking

🧠 Mẹo thi CySA+

• Nessus = Tenable

• Commercial tool nhưng có bản Home

• Plug-ins viết bằng NASL

• Rất hay được nhắc cùng CVE / CVSS / vulnerability scanning

Nessus (Origin)

Nessus ban đầu là một dự án mã nguồn mở, sau đó được chuyển sang mô hình commercial bởi Tenable.

OpenVAS

Một open-source vulnerability scanner được phát triển từ codebase của Nessus khi Nessus trở thành phần mềm thương mại.

Purpose of OpenVAS

Dùng để phát hiện lỗ hổng bảo mật trên hệ thống, host và ứng dụng, phù hợp cho môi trường không yêu cầu công cụ thương mại.

OpenVAS vs Nessus

• OpenVAS: Open-source, cộng đồng phát triển

• Nessus: Commercial, hỗ trợ chính thức, nhiều plug-in nâng cao

Qualys

Một cloud-based vulnerability management solution dùng để phát hiện, đánh giá và quản lý lỗ hổng bảo mật.

Qualys Architecture

Qualys sử dụng sensor agents được cài trong mạng nội bộ, thu thập dữ liệu và upload lên cloud platform để phân tích.

Advantage of Qualys

• Không cần hạ tầng scanning on-premise

• Quản lý tập trung trên cloud

• Phù hợp với enterprise và môi trường phân tán

OpenVAS vs Qualys

• OpenVAS: On-premise, open-source

• Qualys: Cloud-based, commercial, agent-driven

When to Use Qualys

Khi tổ chức cần continuous vulnerability management, báo cáo tập trung và khả năng mở rộng lớn.

🧠 Mẹo thi CompTIA CySA+

• OpenVAS = open-source kế thừa Nessus

• Qualys = cloud-based + sensor agents

• Câu hỏi thi hay hỏi: on-premise vs cloud, agent vs server-based