Hình minh họa (Nguồn: khcn.cinet.vn)
Giới thiệu
Cùng với sự phát triển của Internet, các giải pháp phát hiện và ngăn chặn việc xâm nhập trái phép mạng máy tính đã được biết đến từ lâu, như một phần tất yếu của mạng máy tính toàn cầu. Một số sản phẩm an ninh mạng ra đời như tường lửa (firewall), tường lửa kiểm tra sâu theo trạng thái (Stateful Inspection Firewall – SIF), kiểm tra sâu (Deep Inspection), hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS), hệ thống ngăn chặn xâm nhập (Intrusion Prevention System – IPS)… và gần đây là hệ thống phát hiện và ngăn chặn các xâm nhập IDPS (Intrusion Detection and Prevention System). Về cơ bản, kiểm tra sâu theo trạng thái đưa ra quyết định dựa trên thông tin về phiên làm việc trong nhiều giao thức. Ngược lại, tường lửa ứng dụng web, hoặc máy chủ an ninh proxy can thiệp đến các lớp ứng dụng logic để đưa ra quyết định, nhưng chúng chỉ có thể hỗ trợ một đến hai giao thức. Các hệ thống phát hiện xâm nhập (IDS), các IPS và kiểm tra sâu trạng thái có thể can thiệp vào tận các gói tin của lớp ứng dụng để đưa ra quyết định, tuy nhiên khác biệt cơ bản giữa những công nghệ này là ở số lượng giao thức chúng có thể hỗ trợ. Các sản phẩm chống vi rút cổng phân tích các file ứng dụng để phát hiện lưu lượng có mục đích khả nghi và thường chỉ hỗ trợ một số lượng hữu hạn các giao thức. Vì vậy, một số hãng đã đưa ra giải pháp tích hợp là hệ thống phát hiện và ngăn chặn các xâm nhập IDPS.
Phát hiện xâm nhập là quá trình giám sát các sự kiện xuất hiện trong một hệ thống máy tính hoặc mạng và phân tích các dấu hiệu của các biến cố, các xâm nhập hoặc mối đe dọa sắp xảy ra với các chính sách an toàn máy tính. Các hệ thống ngăn chặn xâm nhập có thể được triển khai dưới hình thức thiết bị cổng (gateway) để phát hiện và ngăn chặn có hiệu quả các tấn công trên mạng, tối thiểu hoá thời gian chết và chi phí do tấn công mạng gây ra. Các hệ thống ngăn chặn xâm nhập được triển khai ở những vị trí nằm ngoài phạm vi kiểm soát của tường lửa, có khả năng nhận dạng tấn công chính xác thông qua phân tích lưu lượng dưới nhiều cách thức khác nhau, để xác định mục tiêu đích thực của một kết nối và xác định xem đó là kết nối khả nghi hay tin cậy. Dựa trên kết quả phân tích đó, hệ thống đưa ra những cơ chế đáp ứng khác nhau, từ ghi chép đến cảnh báo để xoá và ngắt kết nối, nhờ đó người quản trị mạng có thể phản ứng phù hợp với các dạng tấn công khác nhau trong các phần khác nhau của mạng lưới. Nhiều hệ thống ngăn chặn xâm nhập còn có thể được triển khai ở chế độ thụ động để thu nhận và phân tích các gói dữ liệu cho phép quản trị mạng có được thông tin về lưu lượng và những nguy cơ tồn tại trên mạng. Tuy vậy, chúng vẫn có thể được chuyển sang chế độ dự phòng hoặc chế độ cổng ngay khi người quản trị mạng cảm nhận được hệ thống đang bị xâm nhập, tấn công để có thể phản ứng trước tấn công, loại bỏ lưu lượng hoặc các kết nối khả nghi để đảm bảo các kết nối đó không ảnh hưởng đến hệ thống. Ngoài ra, các hệ thống ngăn chặn xâm nhập còn cung cấp các công cụ phân tích và điều tra giúp nhà quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra những quyết định sáng suốt góp phần làm tăng hiệu quả của giải pháp an ninh mạng.
Một số loại công nghệ IDPS
Có nhiều kiểu công nghệ IDPS, được chia thành bốn nhóm dựa vào kiểu sự kiện mà giám sát và cách triển khai:
- Dựa trên Mạng, giám sát lưu lượng mạng đối với phần mạng hoặc thiết bị đặc biệt và phân tích hoạt động giao thức mạng và ứng dụng để xác định hoạt động đáng nghi ngờ. Nó có thể xác định nhiều kiểu sự kiện khác nhau; thường được triển khai ở ranh giới giữa các mạng, như ở gần biên firewall hoặc các bộ định tuyến, máy chủ VPN, máy chủ truy nhập từ xa, và mạng không dây.
- Không dây, giám sát lưu lượng mạng không dây và phân tích giao thức nối mạng không dây để xác định hoạt động đáng nghi ngờ gồm các giao thức. Nó không thể xác định hoạt động đáng nghi ngờ trong các giao thức ứng dụng hoặc các lớp cao hơn (ví dụ, TCP, UDP) nơi lưu lượng mạng không dây được chuyển giao, thường triển khai trong mạng không dây của một tổ chức, nhưng có thể cũng được triển khai tại vị trí mạng không dây không nhận thực.
- Phân tích hành vi Mạng (Network Behavior Analysis – NBA), kiểm tra lưu lượng mạng để xác định mối đe dọa tạo ra các luồng lưu lượng khác thường, như từ chối phân tán sự tấn công dịch vụ (Distributed Denial of Service – DDoS), tạo thành malware (ví dụ vi rút backdoor), và xâm phạm chính sách. Các hệ thống NBA thường được triển khai để giám sát các luồng trên một mạng bên trong một tổ chức, và đôi khi được triển khai nơi chúng có thể giám sát luồng giữa mạng của tổ chức đó và mạng ngoài.
- Dựa trên Máy chủ, nơi giám sát các đặc tính của một máy chủ đơn và các sự kiện xuất hiện hoạt động đáng nghi ngờ bên trong máy chủ đó.
Công nghệ IDPS sử dụng nhiều phương pháp để phát hiện ra các biến cố:
a. Phát hiện dựa trên dấu hiệu
Một “Dấu hiệu” là một mẫu tương ứng với một mối đe dọa đã biết. Sự phát hiện dựa trên Dấu hiệu là quá trình so sánh các dấu hiệu với sự kiện quan sát để xác định các biến cố có thể. Việc phát hiện dựa trên Dấu hiệu rất hiệu quả khi biết các mối đe dọa nhưng không hiệu quả ở phần lớn các phát hiện trước đó không biết các mối đe dọa, các mối đe dọa này sử dụng kỹ thuật lảng tránh, và một số biến thể được biết. Ví dụ, nếu một kẻ tấn công sửa đổi malware để sử dụng một tên file “Freepics2.exe”, dấu hiệu phát hiện “Freepics.exe” không phù hợp với nó.
Phát hiện dựa trên Dấu hiệu là phương pháp phát hiện đơn giản nhất, bởi vì chỉ cần so sánh hiện thời của hoạt động, như một gói hoặc một phần đầu vào, với một danh sách các Dấu hiệu, để liệt kê dấu hiệu, sử dụng thao tác so sánh chuỗi. Các công nghệ phát hiện dựa trên Dấu hiệu cho phép hiểu một số mạng hoặc các giao thức ứng dụng và không thể giám sát và hiểu trạng thái truyền thông phức tạp.
b. Phát hiện dựa trên Bất thường
Phát hiện dựa trên Bất thường là quá trình so sánh các định nghĩa của hoạt động được xem xét bình thường so với sự kiện quan sát được để xác định các sai lệch quan trọng. Một IDPS sử dụng phát hiện dựa trên bất thường có hiện trạng diễn đạt các hành vi bình thường của người sử dụng, các máy chủ, các kết nối mạng, hoặc các ứng dụng. Hiện trạng được phát triển bằng cách giám sát các đặc trưng của hoạt động điển hình trong một khoảng thời gian. Các hiện trạng có thể phát triển cho nhiều thuộc tính, như số e-mail nhắn bởi một người sử dụng, số đăng nhập bị sai khi cố gắng vào một máy chủ, và mức dùng bộ xử lý một máy chủ trong một khoảng thời gian. Lợi ích chính phương pháp phát hiện dựa trên bất thường là chúng rất hiệu quả trong việc phát hiện ra các mối đe dọa không biết trước.
c. Phân tích Giao thức trạng thái
Phân tích giao thức trạng thái là quá trình so sánh các hiện trạng định trước đã có định nghĩa được công nhận chung của hoạt động giao thức tốt cho mỗi trạng thái giao thức đối với việc quan sát các sự kiện để xác định sai lệch. Không giống sự phát hiện dựa trên bất thường, khi sử dụng máy chủ hoặc hiện trạng chuyên biệt về mạng, ở đây sự phân tích giao thức dựa vào hiện trạng nhà cung cấp đã chỉ rõ cách các giao thức cần và không cần được sử dụng như thế nào. “Trạng thái” trong phân tích giao thức trạng thái có nghĩa là IDPS có khả năng hiểu và giám sát trạng thái của mạng, việc chuyển giao, và các giao thức ứng dụng có khái niệm của trạng thái.
Sự phân tích giao thức trạng thái có thể xác định một chuỗi không mong muốn các lệnh, như việc phát cùng lệnh lặp lại nhiều lần hoặc phát một lệnh mà không phụ thuộc lệnh đó. Trạng thái khác giám sát đặc tính của phân tích giao thức trạng thái là các giao thức thực hiện sự nhận thực, IDPS có thể giám sát việc nhận thực được sử dụng cho mỗi phiên, và bản ghi việc nhận thực sử dụng cho hoạt động đáng nghi ngờ. Đây là điều có ích cho việc điều tra một biến cố. IDPS khác có thể cũng sử dụng thông tin nhận thực để định nghĩa hoạt động chấp nhận được khác nhau cho nhiều lớp của người sử dụng hoặc người sử dụng đặc biệt.
“Phân tích giao thức” được thực hiện bởi phương pháp phân tích giao thức trạng thái thông thường, bao gồm kiểm tra các lệnh riêng lẻ, như độ dài đối số cực tiểu và cực đại. Hạn chế cơ bản của phương pháp phân tích giao thức trạng thái là có độ biến đổi tài nguyên cường độ cao do sự phức tạp của việc phân tích và tham gia vào thực hiện giám sát trạng thái cho nhiều phiên đồng thời. Vấn đề quan trọng khác là phương pháp phân tích giao thức trạng thái không thể phát hiện ra tấn công mà không xâm phạm, như thực hiện một số hoạt động tốt trong một thời gian ngắn để gây ra một sự từ chối dịch vụ.
3. Ứng dụng của công nghệ IDPS
Các IDPS chủ yếu tập trung vào việc xác định các biến cố có thể xảy ra. IDPS có thể sau đó báo cáo biến cố tới người quản trị bảo mật, nơi có thể khởi động ngay các hoạt động đáp lại biến cố để tối giản thiệt hại gây ra bởi biến cố đó. IDPS cũng có thể làm gián đoạn thông tin do người gây biến cố sử dụng. Nhiều IDPS có thể định cấu hình để nhận dạng xâm nhập các chính sách an toàn. Vì vậy, một số IDPS có thể giám sát việc chuyển tệp (file) và nhận dạng ngay khi đáng nghi ngờ, như việc copy lại một cơ sở dữ liệu lớn lên một người dùng laptop. Một số IDPS cũng có thể nhận dạng hoạt động thăm dò, có thể cảnh báo một tấn công sắp xảy ra. Ví dụ , một số công cụ và dạng tấn công của malware, đặc biệt là vi rút thực hiện các hoạt động thăm dò như quét máy chủ và cổng để nhận dạng các đích cho lần tấn công kế tiếp.
Cùng với việc giám sát và phân tích các sự kiện để xác định hoạt động không được phép, tất cả các kiểu công nghệ IDPS điển hình thực hiện các chức năng sau:
- Thông báo cho người quản trị bảo mật về các sự kiện quan trọng quan sát được: Thông báo này, được coi như một cảnh báo, xuất hiện qua một số phương pháp, bao gồm: các e-mail, các trang, các thông báo trên giao diện người sử dụng IDPS, các bẫy giao thức quản lý mạng đơn giản (SNMP), các bản tin thông báo syslog, và các chương trình, các tập lệnh của người sử dụng. Một bản tin thông báo điển hình bao gồm thông tin cơ bản liên quan tới một sự kiện; người quản trị cần truy nhập tới IDPS để có thông tin bổ sung.
- Tạo báo cáo: Các báo cáo tóm tắt các sự kiện giám sát hoặc cung cấp chi tiết về các sự kiện đặc biệt quan tâm.
Ngoài ra, IDPS còn sử dụng để:
- Xác định các vấn đề chính sách an toàn: Một IDPS có thể cung cấp một cấp độ nào đó để điều khiển chất lượng thực thi chính sách an toàn, như sao lại bộ quy tắc firewall và cảnh báo khi nó phát hiện thấy lưu lượng mạng cần phải được ngăn bởi firewall nhưng không phải do lỗi cấu hình firewall.
- Cung cấp tài liệu về mối đe dọa hiện tại cho một tổ chức: Các IDPS cắt khúc thông tin về mối đe dọa mà chúng phát hiện ra. Việc biết được tần suất và các đặc trưng của kẻ tấn công chống lại các tài nguyên máy tính của một tổ chức là rất có ích trong việc xác định biện pháp an toàn thích hợp để bảo vệ tài nguyên. Thông tin có thể cũng sử dụng để cảnh báo người quản lý về mối đe dọa mà tổ chức đó phải đối mặt.
- Ngăn cản các cá nhân khỏi việc xâm phạm các chính sách an toàn: Nếu các cá nhân ý thức được rằng các hoạt động của họ đang bị giám sát bởi công nghệ IDPS đối với việc xâm nhập chính sách an toàn, thì chúng có thể sẽ bớt sự xâm phạm như vậy do tính mạo hiểm của việc dò tìm. Do sự phụ thuộc ngày càng tăng trên các hệ thống thông tin và ảnh hưởng tiềm tàng của việc xâm nhập chống lại các hệ thống đó, các IDPS đã trở thành một bổ sung cần thiết cho cơ sở hạ tầng an toàn của mỗi tổ chức.
Thuộc tính chung khác của các công nghệ IDPS là không thể cung cấp sự phát hiện chính xác hoàn toàn. Khi một IDPS xác định không đúng hoạt động bình thường thành nguy hiểm, một khẳng định sai đã xuất hiện. Khi một IDPS sai trong xác định hoạt động nguy hiểm, một phủ định sai đã xuất hiện. Không thể loại trừ tất cả các khẳng định và phủ định sai; trong đa số các trường hợp, việc giảm bớt biến cố này làm tăng thêm biến cố khác. Nhiều tổ chức chọn giảm bớt các phủ định sai do chi phí của phủ định sai ngày càng tăng, có nghĩa là nhiều sự kiện nguy hiểm được phát hiện hơn nhưng phải phân tích nhiều tài nguyên hơn để phân biệt khẳng định sai từ các sự kiện nguy hiểm thật.
4. Sử dụng kết hợp nhiều loại công nghệ IDPS
Trong nhiều trường hợp, giải pháp IDPS không thể thực hiện được nếu không sử dụng nhiều công nghệ IDPS khác nhau. Ví dụ, IDPS dựa trên mạng (network-based) không thể giám sát được các giao thức không dây, và IDPS không dây không thể giám sát được các giao thức ứng dụng. Bảng 1 so sánh 4 loại công nghệ IDPS.
Trong hầu hết các môi trường, sự tổ hợp của hai công nghệ IDP dựa trên mạng và máy chủ là cần thiết để có được giải pháp IDPS hiệu quả. IDPS không dây cũng có thể cần thiết nếu nhà khai thác xác định rằng mạng không dây cần được giám sát. Các sản phẩm NBA cũng có thể được cung cấp nếu nhà khai thác mong muốn mạng có khả năng phát hiện các tấn công từ chối dịch vụ (DoS), sâu (worm), và các loại tấn công khác. Hơn nữa, một số tổ chức còn sử dụng nhiều sản phẩm IDPS của cùng một công nghệ. Giải pháp này thường được thực hiện nhằm nâng cao khả năng phát hiện tấn công, vì mỗi sản phẩm sử dụng các phương thức khác nhau và hỗ trợ phát hiện các tấn công khác nhau mà các sản phẩm khác có thể không có. Sử dụng nhiều loại sản phẩm cho phép khả năng phát hiện nhiều các loại tấn công với số lượng nhiều hơn và đa dạng hơn, dễ dàng phân tích và nhận dạng tấn công, tăng cường khả năng dự phòng khi có thiết bị lỗi.
Nhiều tổ chức lại sử dụng nhiều sản phẩm IDPS có xuất xứ từ nhiều nhà cung cấp khác nhau (hầu hết các nhà sản xuất chỉ sản xuất thiết bị theo một loại công nghệ nhất định). Theo đó, các sản phẩm của các hãng khác nhau có các tính năng độc lập với các sản phẩm của các hãng khác. Tuy nhiên, nếu các sản phẩm không tương thích với nhau thì sẽ làm giới hạn tác dụng lẫn nhau. Dữ liệu không được chia sẻ giữa các thiết bị, IDPS người dùng và quản trị có thể bị hạn chế khả năng giám sát và quản lý nhiều thiết bị. Các sản phẩm IDPS có thể kết hợp với nhau theo hình thức trực tiếp theo kiểu một thiết bị cấp cảnh báo thiết bị khác, hoặc được kết nối theo kiểu không trực tiếp, tất cả các thiết bị IDPS cấp cảnh báo vào hệ thống quản trị an ninh và an ninh mạng chung.
Kết nối IDPS trực tiếp thường được sử dụng khi một tổ chức sử dụng nhiều sản phẩm IDPS từ một nhà cung cấp thiết bị. Ví dụ, một số nhà cung cấp thiết bị thường sản xuất thiết bị hỗ trợ cả hai công nghệ: dựa trên mạng và dựa trên máy chủ. Thiết bị loại này thường có một bàn điều khiển và hỗ trợ cả hai khả năng theo hai loại công nghệ trên. Điều này sẽ tạo nhiều thuận lợi cho người dùng và người quản trị vì đơn giản hóa công việc của họ. Một số sản phẩm cũng hỗ trợ chia sẻ dữ liệu, làm tăng tốc độ xử lý và giúp người sử dụng có thể phân loại các tấn công theo mức ưu tiên tốt hơn. Hạn chế thứ nhất của giải pháp này là lỗi hoặc thỏa hiệp có thể gây nguy hiểm cho tất cả các thiết bị IDPS. Hạn chế thứ hai là phải có một thiết bị IDPS cung cấp dữ liệu cho thiết bị khác.
Kết nối IDPS không trực tiếp thường được sử dụng với phần mềm quản lý thông tin an ninh và sự kiện (SIEM). SIEM được thiết kế để thu nhận thông tin từ nhiều bản ghi bảo mật khác nhau và các sự kiện liên quan giữa chúng. Những ưu điểm bổ sung của SIEM cho IDPS gồm: SIEM có thể nhận dạng một số loại sự kiện mà IDPS không hỗ trợ bởi việc sử dụng các công nghệ khác nhau. Giao tiếp SIEM có thể lấy dữ liệu từ nhiều nguồn khác nhau qua một giao diện. Giao tiếp SIEM cũng hỗ trợ nhiều công cụ phân tích và báo cáo mà giao tiếp IDPS không hỗ trợ. Người dùng có thể dễ dàng kiểm tra tính chính xác của các cảnh báo IDPS vì SIEM có thể kết nối mỗi cảnh báo tới các thông tin hỗ trợ từ các bản ghi khác. Hạn chế của SIEM là khoảng thời gian trễ giữa thời điểm biến cố bắt đầu và thời điểm SIEM thấy được bản ghi dữ liệu tương ứng. Các sản phẩm SIEM chỉ chuyển nhượng một vài trường dữ liệu từ bản ghi gốc. SIEM có thể không hỗ trợ các tác nhân cho tất cả IDPS. Điều này yêu cầu người quản trị ghi các tác nhân theo yêu cầu để chuyển nhượng dữ liệu IDPS tới máy chủ SIEM.
Có thể dùng nhiều loại kỹ thuật IDPS hoặc thậm chí nhiều sản phẩm bên trong một lớp kỹ thuật IDPS đơn, nên xem xét có hay không có các sản phẩm IDPS phải được tích hợp theo một số cách. Sự tích hợp IDPS trực tiếp thường được dùng nhất khi một tổ chức dùng nhiều sản phẩm IDPS từ một nhà cung cấp đơn lẻ, bằng việc có được màn hình kiểm soát được dùng để quản lý và giám sát nhiều sản phẩm. Một số sản phẩm cũng có thể chia sẻ dữ liệu, có thể tăng tốc độ xử lý và giúp người sử dụng với ưu tiên tốt hơn. Các IDPS vô tuyến cũng là cần thiết nếu tổ chức nào muốn quyết định mạng vô tuyến cần được giám sát thêm hoặc muốn đảm bảo mạng vô tuyến của kẻ xấu không hoạt động trong các thiết bị của tổ chức đó. Kỹ thuật NBA cũng có thế được sử dụng nếu các tổ chức có các khả năng phát hiện thêm đối với các tấn công DOS, sâu, và các mối đe doạ khác mà NBA có đặc tính tốt để phát hiện. Ngoài các IDPS chuyên dụng, các tổ chức có các loại kỹ thuật khác để cung cấp một số khả năng IDPS và bổ sung thêm, nhưng không thay thế các IDPS cơ bản. Các kỹ thuật này bao gồm các công cụ phân tích tính pháp lý mạng, các kỹ thuật anti-malware (phần mềm antivirus và phần mềm antispyware), tường lửa và bộ định tuyến.
Khi lựa chọn các sản phẩm IDPS, một tổ chức trước hết cần đánh giá thiết bị IDPS, định nghĩa các yêu cầu chung mà thiết bị cần đáp ứng, các tính năng thiết bị có thể hỗ trợ. Người đánh giá phải hiểu biết các đặc tính của hệ thống và các điều kiện của mạng lưới cũng như các kế hoạch phát triển, mở rộng trong tương lai gần. Người đánh giá cũng cần xem xét lại chính sách an ninh hiện tại và các chính sách an ninh khác trước khi đánh giá, lựa chọn sản phẩm. Ngoài ra, các yêu cầu chú ý chi tiết gồm:
- Các khả năng an ninh, bao gồm thu thập thông tin, bản ghi, phát hiện và ngăn chặn.
- Hiệu năng, bao gồm dung lượng tối đa và các tính năng thực thi.
- Quản lý, bao gồm thiết kế và thực thi, vận hành và bảo dưỡng, đào tạo, tài liệu và hỗ trợ kỹ thuật.
- Vòng đời giá, cả giá khởi điểm và giá bảo dưỡng.
5. Kết luận
Phát hiện xâm nhập là quá trình giám sát các sự kiện xuất hiện trong một hệ thống máy tính hoặc mạng và phân tích các dấu hiệu có thể của các biến cố, là sự xâm phạm hoặc mối đe dọa sắp xảy ra xâm phạm các chính sách an toàn máy tính, hoặc các chuẩn an toàn. Ngăn ngừa xâm nhập là quá trình thực hiện phát hiện xâm nhập và cố gắng ngăn chặn xảy ra các biến cố có thể. Các hệ thống IDPS chủ yếu tập trung xác định biến cố có thể xảy ra, thông tin về chúng, cố gắng dừng chúng, và báo cáo với người quản trị mạng.
Hệ thống IDPS đã trở thành một bổ sung cần thiết cho cơ sở hạ tầng an toàn của mỗi tổ chức.Vì vậy, các tổ chức nên xem xét sử dụng nhiều loại kỹ thuật IDPS để đạt được sự phát hiện và ngăn chặn chính xác và toàn diện. Trong nhiều loại môi trường, một giải pháp IDPS mạnh không thể đạt được mà không dùng nhiều loại kỹ thuật IDPS. Đối với hầu hết môi trường, sự kết hợp của IDPS trên nền mạng và trên nền máy chủ là cần thiết để có một giải pháp IDPS hiệu quả.