Kỹ thuật trốn tiên tiến (AETs) - Mối nguy hiểm cho toàn bộ hệ thống bảo mật trên thế giới

Với tình hình bảo mật hệ thống ngày càng diễn biến phức tạp như hiện nay, các nhà cung cấp thiết bị cũng như nhiều doanh nghiệp, tổ chức luôn phải đau đầu tìm giải pháp bảo vệ chống lại vô số mối đe dọa từ mọi hướng. Khi mà cách tổ chức, sự tinh vi của các nhóm tin tặc ngày càng tăng, nhiều phương pháp đã được chúng sử dụng để xâm nhập hệ thống nhằm đánh cắp, kiểm soát thông tin hay thực hiện nhiều ý đồ xấu khác. Kỹ thuật trốn tiên tiến (AETs) là một trong những phương án ưa thích mà tin tặc thường sử dụng. Vậy AETs là gì? Nó hoạt động như thế nào? Các doanh nghiệp, tổ chức có thể làm gì để đối phó với tình trạng hiện nay?

RỦI RO VỀ AN TOÀN THÔNG TIN

Nếu bạn có thể đặt mình vào vị trí của một tin tặc, nhìn thế giới mạng dưới con mắt của chúng, bạn sẽ thấy Internet chứa đầy những mục tiêu có thể tấn công.

Không có quy định chung, không có những luật lệ nghiêm ngặt, chính điều đó khiến tội phạm xác định Internet là một môi trường phạm tội có rủi ro thấp. Tội phạm mạng rất khó theo dõi, khả năng bị phát hiện và bắt giữ thấp, thậm chí ngay cả khi bị bắt, mức án tù giam cũng khá ngắn; trong khi kết quả đạt được khi tiến hành trót lọt vô cùng hấp dẫn. Bởi vì tội phạm mạng có thể tiếp cận hàng triệu mục tiêu trên toàn thế giới và một lần phạm tội lại không lớn. Nếu bạn ăn cắp 100 USD từ hàng triệu mục tiêu khác nhau sẽ khác hẳn việc ăn cắp 100 triệu USD từ một đối tượng. Nếu mỗi nạn nhân chỉ mất 100 USD, thì đó là số tiền chưa đủ lớn để cảnh sát tích cực tiến hành điều tra.

Với những lý do đó, dễ hiểu tại sao tội phạm mạng không ngừng tăng và luôn là vấn đề nan giải với pháp luật. Đặc biệt, khi chúng có xu hướng trở thành những tổ chức hoạt động chuyên nghiệp, tinh vi thì đó sẽ là mối đe dọa lớn cho hoạt động kinh doanh của các doanh nghiệp, tổ chức.

AETS LÀ GÌ?

Những mô hình an ninh mạng hiện nay đang phải đối mặt ngày càng nhiều với các phương pháp tấn công mới và khó phát hiện hơn. Một trong các phương pháp đó là kỹ thuật trốn tiên tiến (AETs -Advanced Evasion Techniques). Mặc dù kỹ thuật trốn (evasion) đã được ghi nhận rộng rãi trong suốt 15 năm qua, nhưng dường như các hãng bảo mật vẫn đánh giá thấp mối đe dọa từ chúng.

Kỹ thuật trốn (evasion) không phải là khái niệm mới. Tháng 1/1998, Ptacek và Newsham đã công bố một báo cáo khoa học mang tên: "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection". Trong đó, họ giải thích cách hoạt động của kỹ thuật trốn đơn giản và cách mà những kẻ tấn công có thể sử dụng để vượt qua các thiết bị an ninh mạng. [1]

Trong an ninh mạng, kỹ thuật trốn (evasion) là việc vượt qua một thiết bị bảo mật nhằm mục đích khai thác, tấn công hoặc gửi mã độc hướng tới mục tiêu là hệ thống mạng, máy chủ mà không bị phát hiện. Kỹ thuật trốn thường được sử dụng để chống lại sự phát hiện của các hệ thống ngăn chặn xâm nhập trái phép qua mạng (IPS, IDS), tường lửa. Mục tiêu xa hơn của kỹ thuật trốn là làm tê liệt thiết bị bảo mật mạng, mở đường cho các cuộc tấn công vào những mục tiêu tiếp theo. Nó giống như cách máy bay chiến đấu tàng hình tấn công mà không bị phát hiện bởi radar hay các hệ thống phòng thủ tương tự khác. [3]

Kỹ thuật trốn tiên tiến (AETs) là cách kết hợp một số phương pháp trốn được biết đến để tạo ra các kỹ thuật mới nhằm chia nhỏ, phân phối các đoạn mã qua nhiều lớp mạng cùng lúc. Các đoạn mã của chúng không nhất thiết phải là mã độc, nhưng sự nguy hiểm là nó cung cấp cho những kẻ tấn công khả năng truy cập hệ thống mà rất khó phát hiện được. Có thể hiểu đơn giản là AETs là sự kết hợp của nhiều kỹ thuật trốn lại với nhau nhằm tăng mức độ phức tạp và nguy hiểm. [4]

Cách thức hoạt động

Hình 1 là ví dụ mô tả cách hoạt động của kỹ thuật trốn:

Coi dòng chữ "MALWARE" đại diện cho chuỗi mã độc đã được biết đến, và chúng muốn xâm nhập vào hệ thống, đoạn mã sẽ được gửi đến mục tiêu như những yêu cầu (request) thông thường khác mà hàng ngày hệ thống phải tiếp nhận. Khi một IDS (hệ thống phát hiện xâm nhập) xác định được chuỗi này, chúng sẽ can thiệp và từ chối cho mã độc đi sâu vào trong. Tuy nhiên, nhờ kỹ thuật trốn, mã độc sẽ được chia ra từng phần và gửi đi cùng những "request" bình thường khác. Khi đã vượt qua tường lửa đi vào trong, chúng sẽ sắp xếp lại và xâm nhập sâu hơn. Lúc này, IDS không thể nhận ra mã độc và chỉ là "bù nhìn" không hơn không kém. [2]

Hiện nay có khoảng 200 kỹ thuật trốn được công nhận bởi các nhà cung cấp. Một AET có thể tạo ra hàng triệu cách chỉ từ một vài sự kết hợp, mà các sản phẩm bảo mật hiện nay khó phát hiện được. Nếu 200 kỹ thuật trốn đã biết đến được đưa vào sử dụng, số lượng hoán vị với nhau để tạo ra kỹ thuật mới là không giới hạn. [4]

Một kỹ thuật trốn tiên tiến thực hiện thành công mà không bị phát hiện dù các đoạn mã đó đã được biết đến bởi một số lý do sau:

-Kết hợp một hoặc một số phương pháp trốn đã biết để tạo ra kỹ thuật mới và đưa qua đồng thời nhiều lớp mạng.

-Có khả năng thay đổi sự kết hợp của các kỹ thuật trốn trong suốt cuộc tấn công.

-Tránh được sự kiểm tra thông qua thiết kế thông minh.

Stonesoft - nhà cung cấp sản phẩm bảo mật dữ liệu tại Phần Lan (thuộc hãng bảo mật McAfee) là nơi đầu tiên xác định và công bố những báo cáo về sự nguy hiểm của AETs trong năm 2007. Tại thời điểm đó, họ không thể tìm được một công cụ kiểm tra kỹ thuật trốn tốt trên thị trường để thử nghiệm những sản phẩm của mình. Do đó, họ đã bắt tay vào việc tạo ra chúng. Tuy nhiên, việc thử nghiệm kiểm tra kỹ thuật trốn không phải dễ dàng. Các chuyên gia an ninh mạng hàng đầu phải mất hơn bốn năm để tạo ra một công cụ kiểm thử AETs.

LÀM GÌ ĐỂ CHỐNG LẠI AETS?

Khi AETs đe dọa tới hệ thống, không thiết bị bảo mật mạng nào trên thị trường hiện nay có thể đảm bảo an toàn tuyệt đối. Tuy nhiên, các tổ chức vẫn cần thực hiện từng bước để tăng khả năng tự vệ của mình. Nếu không có những biện pháp phòng tránh nguy cơ từ AETs thì hệ thống của họ dễ dàng bị tấn công bất cứ lúc nào. Trong thời đại tội phạm mạng ngày càng trở nên tinh vi, nhiều tổ chức - bao gồm cả các cơ quan chính phủ và doanh nghiệp lớn - đang đối mặt với những rủi ro nghiêm trọng khi họ chưa sẵn sàng trong cuộc chiến chống AETs.

Stonesoft đã đưa ra 6 lời khuyên cho các tổ chức có thể áp dụng để tăng cường mức độ bảo vệ chống lại AETs:

Nâng cao kiến thức về AETs

Cần hiểu rằng AETs không phải là mã độc có khả năng tấn công hệ thống, nó chỉ cung cấp phương tiện phân phối đưa mã độc tới những mục tiêu dễ bị tổn thương mà tường lửa hay các thiết bị IPS không thể phát hiện. Hiện chưa có giải pháp bảo vệ triệt để, nhưng bạn có thể giảm thiểu rủi ro nhờ sử dụng nhiều lớp an ninh. Do tính chất biến đổi liên tục của AETs nên bạn cần triển khai những nền tảng bảo mật thông minh và có khả năng cập nhật liên tục các phương pháp chống lại chúng cũng như các kỹ thuật trốn mới được phát hiện.

Việc nhận thức được tình hình, phân tích chi tiết các phương pháp tấn công và sự hiểu biết về cách thức chúng thực hiện giữ một vai trò quan trọng. Biết các cuộc tấn công đã xảy ra là chưa đủ, bạn cần phải biết tội phạm mạng tấn công như thế nào.

Phân tích rủi ro

Kiểm tra cơ sở hạ tầng và đưa ra đánh giá những tài sản nào quan trọng trong tổ chức của bạn:

-Bạn lưu trữ chúng như thế nào?

-Bạn lưu trữ chúng ở đâu?

-Bạn có dễ dàng sao lưu dữ liệu không?

Khi bạn xác định rõ tài sản quan trọng cần bảo vệ, bước tiếp theo là phải vạch ra tất cả các "con đường” có thể dẫn tới đó. AETs thường sử dụng nhiều hướng để tìm cách lọt qua hệ thống. Bạn cần đảm bảo những đường dẫn truy cập sử dụng các giải pháp bảo mật tiên tiến, các công nghệ truyền thống thường không đủ linh hoạt để đối phó với mối đe dọa từ AETs. Việc bỏ sót một đường đi sẽ khiến bao công sức của bạn trở nên vô nghĩa nếu tội phạm mạng có thể xâm nhập hệ thống qua chính con đường đó.

Đánh giá lại việc quản lý bản vá lỗi

Cập nhật thường xuyên các bản vá lỗi cho hệ thống là một biện pháp tự vệ cần thiết. Kỹ thuật trốn có thể giúp tin tặc vượt qua các thiết bị an ninh mạng, nhưng chưa chắc chúng có thể tấn công một hệ thống đã vá lỗi.

Tuy nhiên, do bản vá cần thời gian thử nghiệm và triển khai, ngay cả trong những điều kiện tốt nhất. Vì vậy, bạn nên có các thiết bị an ninh mạng có thể sử dụng bản vá ảo hoặc các biện pháp bảo mật khác.

Kiểm tra giải pháp hiện tại của bạn để ngăn chặn xâm nhập

Để đánh giá khả năng các thiết bị an ninh mạng hiện có của bạn có khả năng chống lại AETs hay không, bạn nên trả lời hai câu hỏi:

-Làm thế nào để chống lại kỹ thuật trốn ngay lúc này?

-Chúng có cho phép bạn phản ứng nhanh với các cuộc tấn công hoặc dễ dàng cập nhật chống lại các mối đe dọa mới được phát hiện?

Nếu hệ thống đáp ứng được hai câu hỏi trên, bạn đã có một giải pháp tốt, còn nếu không, bạn nên xem lại giải pháp hiện tại. Hãy chủ động tìm kiếm phương án phù hợp cho doanh nghiệp vì phòng bệnh hơn chữa bệnh.

Triển khai phương pháp tiếp cận tập trung

Thiết bị an ninh mạng chỉ phát hiện và ngăn chặn được AETs đã xác định trước. Chỉ cần kỹ thuật trốn thay đổi chút ít hoặc kết hợp với nhau phức tạp hơn, các thiết bị này sẽ không kiểm tra được.

Các doanh nghiệp thường triển khai hàng loạt giải pháp như tường lửa, IPS, VPN, cũng như nhiều thiết bị mạng khác. Đồng thời, tính biến động và không ngừng phát triển của kỹ thuật trốn đòi hỏi tổ chức phải liên tục cập nhật các biện pháp bảo vệ an ninh mạng để theo kịp các mối đe dọa. Nếu không quản lý được tập trung, chỉ một cập nhật nhỏ lên toàn hệ thống cũng trở nên khó khăn, tốn thời gian và dễ phát sinh lỗi.

Kiểm tra khả năng chống AETs trong môi trường thực tế

Nhiều nhà cung cấp các sản phẩm bảo mật có thể hoạt động tốt trong môi trường mô phỏng tại phòng thí nghiệm. Tuy nhiên, khi phải đối mặt thực tế với kỹ thuật trốn, các hệ thống này dường như bị "mù” và không có khả năng bảo vệ dữ liệu của bạn.

Nếu bạn thực sự muốn biết khả năng hiện tại của hệ thống đối với các phương pháp chống lại AETs, nên kiểm tra chính thiết bị an ninh mạng với những chính sách và cấu hình riêng của bạn xem năng lực chống lại kỹ thuật trốn của thiết bị đến đâu. [1,5]

Việc nắm chắc hệ thống cũng như luôn cập nhật thông tin sẽ giúp bạn bảo vệ tốt hơn cho hệ thống của mình, phòng tránh được tối đa những rủi ro có thể xảy ra.

Lời khuyên cho các tổ chức là như vậy, nhưng làm cách nào để lựa chọn được sản phẩm có khả năng chống AETs tốt nhất, phù hợp nhất? Kể từ khi Stonesoft đưa ra báo cáo về những rủi ro từ AETs, đề tài này đã được đem ra thảo luận rộng rãi cũng như được nhiều hãng bảo mật đầu tư nghiên cứu.

Đầu năm 2013, Stonesoft chính thức cung cấp công cụ Evader 2.01 miễn phí cho các tổ chức sử dụng để kiểm tra hệ thống mạng của mình có khả năng chống lại AETs đến đâu. Kể từ khi phát hành phiên bản đầu tiên của mình năm 2012, hàng ngàn công ty đã sử dụng công cụ này để xác định rủi ro trong hệ thống mạng. Họ có thể thử nghiệm tự động hoặc thủ công một loạt các cách kết hợp kỹ thuật trốn, sau đó công cụ sẽ đưa ra thông tin về các mục tiêu dễ bị tổn thương. Ngoài ra, McAfee cũng đưa ra thế hệ tường lửa mới tích hợp nhiều tính năng như điều khiển ứng dụng, IPS, ngăn ngừa các kỹ thuật trốn, truy cập từ xa,... với giá cả phải chăng. Nhờ khả năng phân tích nội dung thực tế trong luồng dữ liệu, quản lý tập trung với giao diện đơn giản, tính sẵn sàng cao và khả năng mở rộng, thế hệ mới này được McAfee kỳ vọng sẽ là giải pháp hữu hiệu trong bảo mật nói chung cũng như việc chống lại AETs nói riêng. [7]

Hãng bảo mật CND (Computer Network Defence) của Anh sau một thời gian làm việc với Stonesoft để hiểu rõ hơn về AETs, họ cũng tích hợp tính năng kiểm tra AETs vào công cụ CPR (Cyber Perimeter Review) của mình. [6]

Trong tương lai, chúng ta kỳ vọng McAfee cùng những hãng bảo mật khác sẽ tiếp tục tập trung nghiên cứu, đưa ra các sản phẩm tốt hơn để giảm thiểu nguy cơ từ AETs cũng như nhiều mối đe dọa khác, đảm bảo an toàn cho thế giới số.

Tài liệu tham khảo

[1]. KLAUS MAJEWSKI, Advanced Evasion Techniques for Dummes.
[2].THOMAS H. PTACEK, TIMOTHY N. NEWSHAM, Insertbn, Evasbn, and Denial of Service Eluding Network Intrusion Detection, January, 1998.
[3].http://en.wikipedia.org/wiki/Evasion_(network_security).
[4].http://searchsecunty.techtarget.com/definition/advanced- evasion-technique-AET.
[5].http://www.itbusinessedge.com/slideshows/show. aspx?c=89280.
[6].http://www.cndltd.com/index.php?option=com_content&vi ew=article&id=32&Itemid=88.
[7].http://www.mcafee.com/us/products/next-generation- firewall.aspx.

Đỗ Hữu Tuyến