Hiện nay, mức độ nguy hiểm của tội phạm mạng không ngừng tăng bởi giờ đây chúng xác đỉnh rõ mục tiêu tấn công cùng với sự đầu tư nhiều hơn về thời gian, tiền bạc cũng như chất xám. Các phương pháp tấn công tiên tiến ngày càng được áp dụng nhiều hơn, hậu quả gây ra cũng ngày càng nghiêm trọng hơn. Điều này đòi hỏi một giải pháp phòng chống hiệu quả. Khái niệm ATD ra đời và những yêu cầu an ninh mạng mới đòi hỏi các hãng bảo mật phát triển những sản phẩm mới thực sự tiên tiến để đáp ứng nhu cầu của các tổ chức, doanh nghiệp.
ATD LÀ GÌ?
Hiện nay, tội phạm mạng ngày càng trở nên tinh vi hơn, các kiểu tấn công như Trojans, DOS, Botnets. chỉ được sử dụng với các doanh nghiệp, tổ chức có quy mô nhỏ, không được đầu tư nhiều vào vấn đề bảo mật. Còn với những tập đoàn, tổ chức lớn, cơ quan chính phủ cần phải sử dụng các phương pháp tấn công tiên tiến mới mong xâm nhập vào được. Không có gì đảm bảo những công nghệ như Firewall, Antivirus, IPS. sẽ giữ cho hệ thống của bạn được an toàn. Những nhược điểm của chúng vẫn được biết đến như:
-Antivirus (diệt virus): chưa từng được coi là giải pháp tuyệt đối an toàn cho toàn bộ hệ thống, Phần mềm được cài đặt trên các máy cá nhân nhằm hỗ trợ tâm lý an toàn cho người dùng và tin tặc có vô vàn cách "qua mặt“ các phần mềm Antivirus hiện nay.
-Firewall: không đủ thông minh để hiểu từng loại thông tin và phân tích chúng mà chỉ có thể ngăn chặn sự xâm nhập khi đã xác định rõ các thông số; không thể chống lại các cuộc tấn công bằng dữ liệu hay rò rỉ thông tin hoặc xâm nhập từ nội bộ.
-IPS: giải pháp này khắc phục được nhiều hạn chế nhưng chúng vẫn có thể gây ra tình trạng phát hiện nhầm, có thể không cho phép truy cập hợp lệ tới hệ thống.
Đối với tội phạm mạng tinh vi, chúng ta cần có phương án mạnh mẽ hơn và khái niệm phương pháp phòng chống các mối đe dọa an ninh tiên tiến (ATD) ra đời.
ATD (Advanced Threat Defense) là phương pháp phòng chống các mối đe dọa an ninh mạng tiên tiến để chống lại cách thức tấn công có chủ đích APT (Advanced Persistent Threat), những lỗ hổng zero- day. Thực ra, mối quan tâm chính của ATD là APT, bởi đây là công nghệ tấn công tiên tiến mà những phương pháp bảo mật truyền thống chưa giải quyết được.
Để hiểu rõ ATD, ta cũng cần biết về "kẻ thù“ chính mà nó phải đối mặt - APT. APT là hình thức tấn công dai dẳng, tập trung, có chủ đích, được thiết kế riêng cho từng mục tiêu, để xâm nhập vào đối tượng có chứa dữ liệu nhằm tìm kiếm các thông tin giá trị và gửi ra cho đối tượng bên ngoài. Việc thâm nhập vào các hệ thống phòng thủ của một tổ chức hay quốc gia cụ thể để đánh cắp thông tin mà không bị phát hiện đòi hỏi thời gian nghiên cứu và thực hiện trong vài tháng, thậm chí là vài năm, dưới sự phối hợp của một tổ chức gồm những chuyên gia hàng đầu. Chính vì chi phí cũng như phạm vi và thời gian tham gia, APT thường được khởi xướng nhằm vào những tổ chức lớn, cơ quan chính phủ. Các vụ thất thoát dữ liệu như vậy đã từng xảy ra với RSA, CitiBank và Global Payments.
Thế giới cũng đã được chứng kiến những vụ tấn công APT gây hậu quả nghiêm trọng. Năm 2010, sâu Stuxnet tấn công hơn 1.000 máy ly tâm trong chương trình hạt nhân của Iran, làm chúng ngừng hoạt động hoàn toàn. Hay sâu Hydraq được sử dụng để khai thác lỗ hổng trên trình duyệt Internet Explorer, nhằm đánh cắp dữ liệu như tài khoản ngân hàng, mật khẩu đăng nhập, hợp đồng kinh doanh, danh sách khách hàng, dữ liệu, văn bản quan trọng của nạn nhân trong nhiều tháng trời.
Ngoài APT, các dòng sản phẩm của nhiều hãng bảo mật còn hỗ trợ chống lại lỗ hổng zero-day. Zero-day là một thuật ngữ chỉ những lỗ hổng chưa được công bố hoặc chưa khắc phục. Lợi dụng những lỗ hổng này, hacker có thể xâm nhập vào hệ thống của các doanh nghiệp, tổ chức nhằm đánh cắp hay thay đổi dữ liệu. Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày, thậm chí có những lỗ hổng tồn tại hơn 1.000 ngày, tương đương gần 3 năm mà chưa bị phát hiện.
Chính vì những mối nguy hiểm như trên, yêu cầu về một sản phẩm chống lại chúng đặt ra bài toán không hề dễ đối với các hãng bảo mật, khi mà Firewall, IPS vẫn còn bộc lộ nhiều khuyết điểm.
NHIỆM VỤ CHÍNH CỦA HỆ THỐNG ATD
Khi đã triển khai các giải pháp ATD trên toàn bộ hệ thống, chúng phải đảm bảo hai nhiệm vụ chính như sau:
-Phát hiện và ngăn chặn các mối đe dọa để bảo vệ hệ thống khỏi các cuộc tấn công trong nội bộ cũng như từ bên ngoài. Yêu cầu kỹ thuật then chốt ở đây là hệ thống ATD phải có khả năng xác định các mối đe dọa trong thời gian thực - khi chúng xảy ra - và chủ động có hành động phòng ngừa khi phát hiện ra chúng. Khả năng này rất quan trọng bởi vì trong nhiều trường hợp, hệ thống ATD là chốt chặn duy nhất trong cơ sở hạ tầng an ninh mạng, có thể xác định chính xác các mối đe dọa cũng như ngăn chặn nó mà không làm gián đoạn việc lưu thông trong mạng.
-Ứng phó trong mọi tình huống giúp tự động khắc phục và đẩy nhanh chu trình ứng cứu khi có sự cố. Trong vai trò này, hệ thống ATD phải có khả năng phát hiện ra hệ thống bị xâm nhập, điều tra các mối đe dọa đang hoạt động cũng như "ngủ đông”, bao gồm cả mục tiêu mà chúng sẽ hướng tới trước khi dữ liệu bị mất. Có một thực tế là không có sản phẩm ATD nào đảm bảo chắc chắn hệ thống an toàn trước những kỹ thuật tiên tiến mới phát triển, nhất là chúng lại được tạo ra cho các mục tiêu đã xác định trước. Do đó, chúng phải đảm bảo có bộ nhớ cho việc lưu trữ thông tin mã độc phục vụ cho công tác tìm kiếm, truy vấn và phân tích, cũng như cập nhật thường xuyên thông tin về các mã độc trên toàn thế giới, đồng thời cung cấp khả năng ứng cứu khẩn cấp, nhanh chóng khi có xâm nhập.
NHỮNG YÊU CẦU ĐỐI VỚI GIẢI PHÁP ATD
Một giải pháp ATD toàn diện cần đảm bảo ba yêu cầu sau:
-Chống lại những mối đe dọa:
Giải pháp ATD thực sự cần cung cấp khả năng chống lại các cuộc tấn công nhằm vào từng giai đoạn của vòng đời APT: trước khi tải về, khi chúng lưu thông trong mạng cho đến khi chúng đã được cài đặt trên thiết bị đầu cuối. Để làm được điều đó, giải pháp ATD cần có các tính năng:
•Nâng cao khả năng phát hiện phần mềm độc hại: Phân tích liên tục dòng dữ liệu đi qua mạng, duy trì khả năng phát hiện với tỉ lệ sai sót thấp.
•Giám định phần mềm độc hại: Mô tả chi tiết các phần mềm độc hại nhờ môi trường ảo hóa được tạo ra trước đó để nắm rõ cách đăng nhập, thay đổi tập tin, thay đổi cách vận hành hệ thống, cách đưa dữ liệu ra ngoài...
•Phòng chống các nguy cơ tại thời gian thực: Phân tích lưu lượng mạng, cung cấp khả năng phát hiện và phòng ngừa ngay tức khắc.
•Tự động nhận biết các mối đe dọa: Nhanh chóng xác định các hoạt động đáng ngờ và nguy hiểm, đồng thời tự động tiêu diệt những mối đe dọa đã từng được hệ thống biết tới.
• Chính sách linh hoạt: Có khả năng áp dụng các chuẩn mã nguồn mở, ví dụ như YARA (YARA là một công cụ mã nguồn mở đa nền tảng được thiết kế để giúp các chuyên gia bảo mật xác định và phân loại phần mềm độc hại).
•Hiệu suất cao: Đảm bảo phân tích lưu lượng cao (hàng Gigabit) trong thời gian thực mà vẫn cung cấp khả năng hiển thị, phân tích và bảo vệ khỏi các mối đe dọa trước khi chúng có thể gây tổn hại cho tổ chức.
-Bảo vệ dữ liệu khỏi bị đánh cắp
Một giải pháp toàn diện ATD thực sự sẽ trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin nhạy cảm, có giá trị. Các yêu cầu kỹ thuật cần có bao gồm:
•Kiểm soát luồng dữ liệu: Bằng cách sử dụng những luật và kỹ thuật phức tạp để ngăn chặn các hành vi trộm cắp dữ liệu nhạy cảm và bí mật ra khỏi mạng thông tin.
•Hiển thị nội dung: Cung cấp khả năng hiển thị, phân tích và kiểm soát tất cả các giao thức, ứng dụng và các loại tập tin để bảo vệ chống lại các mối đe dọa tiên tiến và ngăn chặn hành vi trộm cắp dữ liệu trong thời gian thực.
•Hỗ trợ phân loại dữ liệu: Thông qua những cơ chế linh hoạt, bạn có thể xác định các đặc tính của dữ liệu có giá trị tại mức nào sẽ được coi là nhạy cảm và tránh cho chúng đi ra khỏi hệ thống mạng.
•Cảnh báo: Cung cấp khả năng cảnh báo toàn diện, thông tin về các hoạt động cho phép bạn phân loại nhanh chóng và khắc phục các mối đe dọa.
-Phân tích được các vấn đề an ninh mạng
Một giải pháp ATD toàn diện còn cung cấp hồ sơ lịch sử của tất cả các hoạt động mạng, do đó, bạn có thể "quay ngược thời gian“ để tìm kiếm những mối đe dọa mà hệ thống không hề biết tại thời điểm đó. Các yêu cầu kỹ thuật gồm có:
•Ghi lại đầy đủ dữ liệu: Thu thập thông tin chi tiết (siêu dữ liệu) về tất cả các giao dịch trong mạng. Siêu dữ liệu này được lưu trữ trong bộ nhớ hệ thống và làm cơ sở cho việc phát hiện sau này.
•Phân tích đa chiều: Phân tích nội dung và so sánh với nhiều nguồn khác nhau như lịch sử của hệ thống, các chính sách được cài đặt sẵn cũng như các mối đe dọa được cập nhật thường xuyên từ các tổ chức khác.
•Tổng kết: Tự động cung cấp bản tổng kết và xu hướng trong hệ thống về các yếu tố như máy chủ, các cảnh báo, vị trí hay các giao thức để có cái nhìn tổng quan về những mối đe dọa đối với doanh nghiệp, tổ chức.
•Báo cáo linh hoạt: Có khả năng đưa ra những bản báo cáo theo tiêu chuẩn hay tùy chỉnh riêng dựa vào siêu dữ liệu được thu thập theo thời gian.
•Cảnh báo nguy cơ: Với những giao dịch có nhiều nét tương đồng với các mối đe dọa đã được biết đến cần cảnh báo cho nhân viên quản trị biết và có hướng xử lý.
GIẢI PHÁP ATD CỦA CÁC HÃNG BẢO MẬT
Dựa trên những yêu cầu về một sản phẩm ATD, các hãng bảo mật đã nghiên cứu và cho ra đời các giải pháp của riêng mình. Có thể kể đến một vài cái tên nổi tiếng như: McAfee, Trend Micro, Cyphort, General Dynamics...
McAfee đã tích hợp phương pháp phòng chống tiên tiến vào sản phẩm McAfee Advanced Threat Defense (McAfee ATD) của mình với hai phiên bản mang tên ATD-3000 và ATD-6000. Đồng thời, McAfee ATD có thể kết hợp với các sản phẩm khác để cung cấp cho bạn một cơ chế bảo vệ đa lớp chống lại phần mềm độc hại. Các tính năng của McAfee ATD hỗ trợ gồm:
•Cơ chế phát hiện sơ bộ của nó chứa một danh sách đen (black list) các phần mềm độc hại đã được biết đến để nhanh chóng phát hiện ra chúng.
•Tích hợp McAfee GTI (McAfee Global Threat Intelligence) hỗ trợ việc tra cứu trên đám mây (cloud) nhằm sớm phát hiện phần mềm độc hại được xác định bởi các tổ chức trên toàn thế giới.
•Có cổng McAfee Anti-Malware để hỗ trợ khả năng mô phỏng.
•Tự động phân tích các tập tin bằng cách thực hiện nó trong một môi trường sandbox ảo (Sandbox là một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm ăn cắp thông tin cá nhân của bạn). Căn cứ vào cách các tập tin phản ứng lại, McAfee ATD sẽ xác định tính chất nguy hiểm của nó.
Trend Micro có giải pháp Deep Discovery, được tạo thành bởi 2 công cụ Deep Discovery Inspector (DDI - nhằm giám sát lưu lượng mạng, phát hiện và bảo vệ chống lại tấn công APT, phishing, lỗ hổng zero-day .) và Deep Discovery Advisor (DDA - có chức năng phân tích chuyên sâu các mẫu đáng ngờ bằng cách sử dụng phương pháp phân tích Heuristic, cung cấp khả năng phân tích và báo cáo thông minh để chống lại các botnet và mã độc). Cùng với 2 công cụ này, giải pháp Websense Content Security với công nghệ lọc nội dung (ACE - Advanced Classification Engine) gồm nhiều phương pháp lọc và phân loại sẽ hỗ trợ kiểm tra, phát hiện và chống lại các mối đe dọa xâm nhập vào hệ thống.
Hãng Cyphort có giải pháp phân phối trên nền tảng Cyphort Advanced Threat Defense như phần mềm có thể cài đặt trên các thiết bị phần cứng thông thường, máy ảo và môi trường đám mây. Cyphort ATD bao gồm bốn thành phần cốt lõi:
-Cyphort Collectors: Thiết bị dò được triển khai ở tất cả các điểm quan trọng trên khắp cơ sở hạ tầng mạng doanh nghiệp để thu thập các thông tin đáng ngờ.
-Cyphort Core: Giữ nhiệm vụ phân tích những đối tượng tình nghi được Cyphort Collectors gửi đến.
-Cyphort Manager: Quản lý trên giao diện web, cho phép việc giám sát triển khai toàn bộ hệ thống và cung cấp quyền truy cập tới các tính năng cũng như báo cáo.
-Cyphort Threat Network: Dịch vụ đám mây để các Cyphort Core trao đổi thông tin với nhau nhằm cập nhật những mối đe dọa được phát hiện trên toàn cầu.
Ngoài ra, nhiều hãng bảo mật khác cũng có những giải pháp của riêng mình, như General Dynamics với giải pháp Fidelis Cybersecurity hay Cipher với Cypher ATD...
Chi phí cho các thiết bị không hề nhỏ, dao động từ khoảng 20.000 USD đến hàng trăm ngàn USD tùy thuộc vào từng hãng. Với những phương pháp tấn công truyền thống đã có nhiều phương án giải quyết như Firewall, IPS, IDS, Anti-virus..., tuy nhiên sự nguy hiểm thật sự đối với các tổ chức, doanh nghiệp lớn, các cơ quan chính phủ hiện nay đến từ các phương pháp tấn công tiên tiến. Vì vậy, rất nên xem xét khả năng áp dụng các giải pháp ATD nếu tổ chức cảm thấy đủ điều kiện để triển khai trên hệ thống của mình.
Tài liệu tham khảo
[1].General Dynamics Fidelis Cybersecurity Solutions, Comprehensive Advanced Threat Defense, June 2014.
[2].Product Guide, McAfee Advanced Threat Defense 3.0.4,2014.
[3].http://antoanthongtin.vn.
[4].http://en.wikipedia.org/wiki/Advanced_persistent_threat.
[5].http://www.bayshorenetworks.com.
[6].http://www.cyphort.com.
Đỗ Hữu Tuyến
.jpg "Thu hút nhân tài tham gia khu vực công trong bối cảnh chuyển đổi số tại Việt Nam")
![[Podcast] Phần Lan làm thay đổi thế giới với những phát minh sáng tạo](https://ictv.1cdn.vn/thumbs/540x360/2025/05/09/a1.jpg "[Podcast] Phần Lan làm thay đổi thế giới với những phát minh sáng tạo")
