Chủ động truy tìm các mối đe dọa tiềm ẩn bên trong hạ tầng CNTT

Tồn tại những mối đe doạ tiềm ẩn "qua mặt" các giải pháp bảo mật

Các báo cáo về các chiến dịch tấn công mạng của các công ty bảo mật có uy tín toàn cầu như FireEye, PaloAlto, Kaspersky cho thấy Việt Nam là một trong những quốc gia mục tiêu của các nhóm tấn công có chủ đích như nhóm Mustang Panda, nhóm APT37, nhóm Gallium,... Vì vậy, bên cạnh các giải pháp công nghệ đang được triển khai để giảm thiểu rủi ro mất an toàn thông tin (ATTT), các tổ chức cần có những hướng tiếp cận chủ động hơn để phát hiện sớm các mối đe dọa mà các hệ thống công nghệ thông tin (CNTT) đang gặp phải. Đã đến lúc thay vì quan sát các cuộc tấn công thông qua các hệ thống cảnh báo, phó mặc việc đánh chặn tấn công cho hệ thống ngăn chặn xâm nhập, các đơn vị cần chủ động truy tìm để phát hiện sớm các mối đe dọa an ninh đang tiềm ẩn bên trong hệ thống công nghệ thông tin của tổ chức mình. 

Đây cũng là chủ đề chính được đề cập tới trong sự kiện Webinar tháng 7 với tên gọi "Truy tìm các mối đe dọa an toàn thông tin tiềm ẩn bên trong hạ tầng CNTT". Sự kiện do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Trung tâm VNCERT/CC), Cục ATTT, Bộ TT&TT tổ chức mới đây qua hình thức trực tuyến.

Chia sẻ tại sự kiện, ông Vũ Thế Hải, Trưởng phòng SOC, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cho biết, việc săn tìm các mối đe doạ trong hệ thống CNTT (threat hunting) mới xuất hiện trong khoảng 5 năm gần đây. Săn tìm mối đe doạ bên trong hệ thống là việc các đơn vị chủ động xác định các mối đe doạ bị bỏ lọt hay đang diễn ra mà không được xử lý. Việc này được thực hiện bên trong hệ thống CNTT của các tổ chức. Từ đó có thể thấy rằng, đây là một việc làm chủ động, khác với quá trình khắc phục sự cố khi có cảnh báo. Do đó, công việc này yêu cầu những người thực hiện cũng phải có những kiến thức, kinh nghiệm nhất định, để có thể tìm kiếm những mối đe doạ nếu có bên trong hệ thống của tổ chức mình.

Về nguyên nhân các mối đe doạ bị bỏ lọt bên trong hệ thống, ông Hải cho rằng, có 2 lý do chính. Đầu tiên là do kỹ thuật tấn công mới và tinh vi như tấn công APT nên các hệ thống, công nghệ bảo vệ, giám sát thông thường không thể ngay lập tức ngăn chặn, phát hiện được. "Bởi vì, với những kỹ thuật tấn công mới, sẽ phải mất một khoảng thời gian nhất định từ vài ngày cho đến vài tuần thì mới có các biện pháp ngăn chặn, phát hiện hoặc có những bản vá để khắc phục", ông Hải lý giải.

Còn những cuộc tấn công tinh vi như APT, kẻ tấn công thường là những tin tặc (hacker) có trình độ cao, thực hiện một cách dai dẳng, liên tục, tài trợ lớn thông qua những lỗ hổng do họ tự phát hiện.

Lý do tiếp theo đến từ việc vận hành của con người, với những sai sót nhất định trong quá trình giám sát, phân tích, xử lý cảnh báo như có cảnh báo nhưng không xử lý hoặc thực hiện sai.

Theo ông Hải, câu hỏi tiếp theo đặt ra là tại sao cần phải săn tìm các mối đe doạ. Để trả lời, ông Hải đã đưa ra điểm lại việc công ty an ninh mạng hàng đầu của Mỹ FireEye bị tấn công vào năm 2020. Đầu tiên, vào tháng 6/2020, giải pháp và công ty SolarWinds bị tấn công thoả hiệp, dẫn đến nền tảng SolarWinds Orion Platform bị nhúng mã độc. Để rồi, đến tháng 12/2020, FireEye phát hiện mình bị tấn công và thấy rằng nguyên nhân đến từ giải pháp của SolarWinds nhiễm mã độc. 

"Điều này cho thấy, mọi công ty/tổ chức trên thế giới, kể cả những đơn vị bảo mật hàng đầu thế giới, đều có thể bị tấn công. Nguy cơ tiềm ẩn có thể tồn tại bên trong hệ thống với một khoảng thời gian dài, như FireEye là khoảng 6 tháng mới bị phát hiện, dẫn đến rất nhiều dữ liệu, thông tin…lộ lọt", ông Hải bày tỏ.

Cũng từ đó, ông Hải cho rằng, có một tỷ lệ nhỏ các mối đe doạ vượt qua được tất cả các giải pháp, công nghệ bảo mật. Do đó, nếu các tổ chức muốn giảm tỷ lệ nhỏ này xuống, thì sẽ cần phải xác lập việc xử lý rủi ro. Đồng thời cần phát hiện sớm nhất để giảm thiểu thiệt hại của mối đe doạ cũng như bù đắp những giải pháp, quy trình còn thiếu. "Quan trọng nhất, chúng ta có muốn và xử lý những rủi ro có thể gặp phải hay không", ông Hải nhấn mạnh.

Trước câu hỏi đặt ra, làm thế nào để thực hiện săn tìm các mối đe doạ, theo ông Hải, đầu tiên, các đơn vị có thể săn tìm theo cấu trúc (structured hunting), dựa trên: Chỉ dấu các cuộc tấn công (indicator of attack - IoA) như địa chỉ IP, domail…; Chiến thuật kẻ tấn công thực hiện; Giả thiết để tìm kiếm mối đe doạ đã bị bỏ lọt.

Hướng thứ hai các đơn vị có thể thực hiện là săn tìm phi cấu trúc (unstructured hunting) dựa trên các bất thường bên trong hệ thống bằng cách thu thập một lượng lớn các dữ liệu bao gồm log thiết bị, hệ điều hành, ứng dụng. Lợi thế của phương pháp này là sẽ tìm kiếm được những phương thức tấn công mới. Đổi lại, chi phí sẽ tương đối cao. "Với VSEC, chúng tôi thường thực hiện săn tìm mối đe doạ theo cấu trúc, vì nó phù hợp với các doanh nghiệp Việt Nam hơn", ông Hải nói.

Cần chủ động săn tìm các mối đe doạ từ 1 - 4 lần/năm

Về tần suất săn tìm, theo ông Hải, báo cáo năm 2020 của FireEye cho thấy, thời gian từ lúc hacker xâm nhập vào hệ thống cho đến lúc phát hiện là khoảng 45 ngày. Mục tiêu của việc săn tìm các mối đe doạ trong hệ thống CNTT là giúp giảm ngắn thời gian này xuống còn khoảng từ 10 - 15 ngày, để giảm thiểu thiệt hại cho tổ chức.

Dựa trên 5 cấp độ bảo đảm an toàn hệ thống thông tin do Bộ TT&TT quy định, ông Hải đã đề xuất phân loại tần suất săn tìm các mối đe doạ tương ứng. Theo đó, với hệ thống thông tin cấp độ 1 thì tần suất tương ứng là 1 lần/năm, tương ứng cho đến cấp độ 4,5 là 4 lần/năm, để làm sao có thể nhanh chóng phát hiện các mối đe doạ bị bỏ lọt bên trong hệ thống.

Nói về kinh nghiệm của VSEC trong việc săn tìm các mối đe doạ trong hệ thống CNTT, ông Hải đã đưa ra 5 giả thiết thực hiện. Đầu tiên là săn tìm mã độc có thể khởi chạy lại kể cả khi người dùng khởi động lại máy (mã độc sử dụng kỹ thuật persistance) với giả thiết kẻ tấn công đã tấn công thành công vào trong hệ thống và thực hiện tạo các mã độc sử dụng kỹ thuật persistence. Thống kê của VSEC cho thấy, một tỉ lệ rất lớn, hơn 80% các cuộc tấn công sâu vào hệ thống đều có sử dụng kỹ thuật persistence.

Tiếp theo liên quan đến webshell (tập lệnh độc hại được sử dụng bởi hacker với mục đích leo thang và duy trì quyền truy cập liên tục trên một ứng dụng web) với giả thiết kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng web cũng như thực hiện tạo webshell để dễ dàng thao tác và duy trì kiểm soát. Giả thiết này dựa trên một tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau khi thành công sẽ tạo webshell, đặc biệt là tấn công có chủ đích APT.

Giả thiết thứ ba khi săn tìm persistence trên máy chủ email MS Exchange trong trường hợp kẻ tấn công đã xâm nhập thành công vào trong hệ thống MS Exchange. Sau đó, tin tặc sẽ tạo các persistence trên MS Exchange để kiểm soát luồng email và đánh cắp email trên máy chủ. "Việc này sẽ được thực hiện khi việc săn tìm mã độc thông thường không phát hiện được", ông Hải nói.

Một giả thiết khác liên quan đến máy chủ ra lệnh và điều khiển (Command and Control Server - C&C Server) khi hacker đã tấn công thành công vào trong hệ thống CNTT hay sử dụng mã độc/các công cụ tấn công khác thực hiện kết nối về C&C Server. Cơ sở của giả thiết này là khi mã độc/các công cụ tấn công thường kết nối từ máy tính bị thỏa hiệp về phía C&C Server.

Giả thiết cuối cùng khi kẻ tấn công đã tấn công thành công vào trong máy chủ chạy dịch vụ thư mục (Active Directory Server -AD) và tạo tài khoản đặc quyền trên hệ thống để duy trì truy cập. Giả thiết này dựa trên cơ sở kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm soát toàn bộ hệ thống CNTT, nhất là các cuộc tấn công có chủ đích APT.

Ông Hải cho biết, sau khi săn tìm mối đe dọa tiềm ẩn bên trong hạ tầng CNTT sẽ có 2 kết quả được đặt ra. Đầu tiên là việc hệ thống an toàn khi không tìm thấy những rủi ro bên trong với những kỹ thuật đã thực hiện. Kết quả thứ hai là hệ thống bị hacker tấn công. Để rồi, với kết quả này, các tổ chức cần ứng cứu, xử lý sự cố./.