Một số giải pháp phòng chống mã độc hiệu quả
Diễn đàn - Ngày đăng : 15:44, 18/01/2017
XÂY DỰNG CHÍNH SÁCH PHÒNG CHỐNG MÃ ĐỘC
Các cơ quan, tổ chức phải có chính sách ngăn chặn các sự cố liên quan đến mã độc. Chính sách này cần rõ ràng, cho phép khả năng thực hiện một cách nhất quán và hiệu quả. Các chính sách phòng chống mã độc nên càng tổng quát càng tốt để cung cấp sự linh hoạt trong việc thực hiện, bên cạnh đó cũng làm giảm việc phải cập nhật chính sách thường xuyên. Hiện nay có nhiều cơ quan, tổ chức có chính sách về xử lý mã độc riêng biệt, tuy nhiên một số cơ quan, tổ chức có thể có chính sách phòng chống mã độc trùng lặp với các chính sách khác.
Chính sách phòng chống mã độc bao gồm các quy định liên quan đến các nhân viên, những người sử dụng hệ thống máy tính bên trong tổ chức và những người sử dụng hệ thống bên ngoài tổ chức, như máy tính của đơn vị làm thuê, máy tính của các cán bộ làm việc từ xa (tại nhà), máy tính của đối tác kinh doanh, thiết bị di động.
Chính sách phòng chống mã độc thường tập trung vào một số quy định sau:
- Yêu cầu dùng phần mềm quét các thiết bị lưu trữ của các đơn vị bên ngoài tổ chức trước khi sử dụng.
- Yêu cầu những tập tin đính kèm trong thư điện tử, bao gồm cả các tập tin nén như file .zip cần được lưu vào ổ đĩa và kiểm tra trước khi được mở ra.
- Cấm gửi hoặc nhận một số loại tập tin có các đuôi tệp tin là exe qua thư điện tử.
- Hạn chế hoặc cấm việc sử dụng phần mềm không cần thiết, ví dụ như các ứng dụng những dịch vụ không cần thiết hoặc các phần mềm được cung cấp bởi các tổ chức không rõ nguồn gốc.
- Hạn chế cung cấp quyền quản trị cho người sử dụng
- Yêu cầu luôn cập nhật phần mềm, các bản vá, cho hệ điều hành.
- Hạn chế sử dụng các thiết bị di động (ví dụ: đĩa mềm, đĩa CD, USB), đặc biệt là trên hệ thống có nguy cơ ảnh hưởng cao, như các điểm truy cập công cộng.
- Yêu cầu nêu rõ các loại phần mềm phòng chống mã độc (ví dụ: phần mềm Anti virus, phần mềm phát hiện gián điệp) đối với từng hệ thống (máy chủ chia sẻ tệp tin, máy chủ thư điện tử, máy trạm, máy chủ proxy, thiết bị kỹ thuật số cá nhân) và các ứng dụng (ứng dụng thư điện tử của khách hàng, trình duyệt web).
- Người dùng nếu muốn có quyền truy cập vào các mạng khác (bao gồm cả Internet) cần thông qua sự đồng ý của tổ chức.
- Yêu cầu thay đổi cấu hình tường lửa để phù hợp với chính sách công ty (Tránh tạo các kết nối lạ ra bên ngoài Internet, đề phòng trước các nguy cơ máy tính trong tổ chức trở thành một thành phần của mạng Botnet)
- Hạn chế việc sử dụng các thiết bị di động trên các mạng tin cậy.
GIÁO DỤC NÂNG CAO NHẬN THỨC CỦA NGƯỜI DÙNG
Các tổ chức cần cung cấp các khóa học để giúp nâng cao nhận thức cho các cán bộ, nhân viên trong tổ chức mình. Các khóa học này giúp họ hiểu rõ được chính sách phòng chống mã độc của tổ chức, các quy định xử lý phù hợp trước các tình huống xảy ra. Nội dung khóa học nên bao gồm những nội dung như: Hướng dẫn cho các cán bộ, nhân viên cách phòng tránh sự cố liên quan đến mã độc hại, giảm thiểu mức độ nghiêm trọng của sự cố. Tất cả cán bộ, nhân viên trong tổ chức đều phải được đào tạo và hiểu được các nguy cơ, cách thức phần mềm độc hại xâm nhập vào hệ thống, lây nhiễm, lây lan, các chính sách phòng chống mã độc cũng như thực hành thường xuyên các khuyến cáo để tránh sự cố phần mềm độc hại. Các khóa học nên thiết kế phù hợp với nhiều môi trường làm việc khác nhau, ví dụ hướng dẫn nhân viên không thực hiện một số công việc như sau:
- Không mở những thư điện tử hoặc tập tin đính kèm từ những địa chỉ của người gửi không rõ ràng hoặc có dấu hiệu nghi ngờ.
- Không truy cập vào các popup trên trình duyệt mà cảm thấy nghi ngờ hoặc có dấu hiệu bất thường.
- Không truy cập vào những trang web có khả năng chứa nội dung độc hại.
- Không mở các tập tin với phần mở rộng có khả năng kết hợp với phần mềm độc hại (Ví dụ: .bat, .exe, .pif, .vbs...).
- Không được vô hiệu hoá các cơ chế kiểm soát an ninh (ví dụ như không được tắt phần mềm Anti-virus, phần mềm phát hiện gián điệp, tường lửa cá nhân).
- Không sử dụng những tài khoản có quyền quản trị cấp cao cho hoạt động thông thường.
- Không tải hoặc thực thi các ứng dụng từ các nguồn không tin cậy.
Các tổ chức cũng nên đào tạo giúp cho các cán bộ, nhân viên biết về chính sách và phương pháp áp dụng để xử lý sự cố phần mềm độc hại (Ví dụ: làm thế nào để xác định thiết bị, máy tính đang dùng bị nhiễm mã độc, làm thế nào để báo cáo một máy tính nghi ngờ bị nhiễm, những gì nhân viên có thể cần phải làm ngay để hỗ trợ xử lý sự cố (Ví dụ: cập nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại). Các nhân viên nên được biết về các sự cố về mã độc hại phổ biến, như vậy khi xảy ra việc tương tự họ có phương hướng báo cáo để xử lý. Ngoài ra, các nhân viên cần phải biết cách thích ứng với môi trường làm việc thay đổi, khi xảy ra các sự cố liên quan đến mã độc, hệ thống có thể bị cách ly hoặc hệ thống thư điện tử bị vô hiệu hóa, các nhân viên cần có các giải pháp để vẫn tiếp tục hoàn thành công việc trong đơn vị tổ chức.
QUẢN LÝ CÁC LỖ HỔNG
Các phần mềm độc hại tấn công vào hệ thống bằng cách khai thác lỗ hổng trong hệ điều hành, dịch vụ và ứng dụng. Có nhiều phần mềm độc hại được tạo ra ngay sau khi công bố một lỗ hổng mới, hoặc thậm chí trước khi một lỗ hổng được công khai thừa nhận (lỗi Zero-day). Một lỗ hổng thường có thể được xử lý bằng một hoặc nhiều phương pháp, như cập nhật bản vá lỗi hoặc cấu hình lại phần mềm (ví dụ có thể vô hiệu hoá một dịch vụ dễ bị khai thác).
Với yêu cầu của tổ chức là giảm thiểu các lỗ hổng trong hệ thống máy tính, bao gồm cả việc xử lý các lỗ hổng mới liên tục được phát hiện, các tổ chức cần phải có tài liệu chính sách, quy trình và thủ tục giảm thiểu lỗ hổng và cũng nên xem xét về việc tạo ra một chương trình quản lý các lỗ hổng đó để hỗ trợ. Ngoài ra cũng nên liên tục đánh giá lỗ hổng để giảm thiểu khả năng bị khai thác. Thông tin về lỗ hổng mới và các mối đe doạ mã độc mới cần được thu thập thông qua sự kết hợp các nguồn thông tin khác nhau. Thu thập các khuyến cáo, các cảnh báo từ các đội ứng phó xử lý sự cố An toàn thông tin (Ví dụ: các đội ứng cứu sự cố máy tính khẩn cấp - Cert, bản tin bảo mật của các công ty về bảo mật, hoặc tư vấn về mã độc từ các công ty phần mềm Anti-virus). Tổ chức cũng nên thiết lập một cơ chế để đánh giá lỗ hổng mới và các thông tin về các mối đe doạ mới, xác định phương pháp giảm thiểu thích hợp và phân phối thông tin cho các bên thích hợp. Các tổ chức cũng cần phải có một phương pháp để theo dõi đánh giá thường kỳ năng lực xử lý sự cố của mình. các kỹ thuật giúp giảm thiểu các lỗ hổng gồm có: (1) Quản lý bản vá; (2) Đặc quyền tối thiểu; (3) Biện pháp hỗ trợ khác.
Quản lý bản vá
Đơn vị tổ chức cần sử dụng các bản vá lỗi hệ thống để giảm thiểu lỗ hổng trong hệ điều hành và các ứng dụng. Việc quản lý bản vá là cần thiết, công việc này gồm nhiều bước, trong đó có một bước quan trọng là đánh giá mức độ ảnh hưởng của bản vá với hệ thống khi áp dụng hoặc không áp dụng. Kiểm tra bản vá một cách kỹ lưỡng trước khi đưa vào sử dụng là việc quan trọng, cần thiết. Đây là công việc cần quá trình thử nghiệm đủ dài vì người quản trị cần kiểm tra các bản vá lỗi có phù hợp với hệ thống không trước khi có thể áp dụng vào hệ thống thật.
Đặc quyền tối thiểu
Sử dụng nguyên tắc đặc quyền tối thiểu áp dụng vào cấu hình máy chủ, hệ thống máy tính, mạng để cung cấp các quyền tối thiểu phù hợp cho các cán bộ, nhân viên, các tiến trình và các máy chủ. Sử dụng nguyên tắc đặc quyền tối thiểu để hạn chế hoạt động của mã độc vì mã độc thường yêu cầu thực thi các quyền mà chỉ có quản trị cấp cao mới được phép.
Các biện pháp hỗ trợ khác
Bên cạnh các biện pháp giảm thiểu lỗ hổng như quản lý bản vá, đặc quyền tối thiểu, các đơn vị tổ chức cũng cần xem xét các phương án bảo vệ khác giúp giảm thiểu hơn nữa các nguy cơ từ mã độc. Có thể thực hiện các công việc như sau:
- Vô hiệu hóa, gỡ bỏ những dịch vụ không cần thiết (đặc biệt các dịch vụ về mạng).
- Loại bỏ những tập tin chia sẻ không đảm bảo.
- Sử dụng những tên đăng nhập và mật khẩu phức tạp phù hợp với chính sách của công ty.
- Yêu cầu xác thực trước khi cho phép truy cập vào dịch vụ mạng.
- Vô hiệu hoá cơ chế tự động thực thi các tệp tin nhị phân và các tệp tin scripts.
TRIỂN KHAI CÁC CÔNG NGHỆ PHÒNG CHỐNG MÃ ĐỘC
Phần mềm Anti-virus
Phần mềm Anti-virus là một trong những phương pháp kỹ thuật thường được sử dụng để giảm thiểu các rủi ro về mã độc. Hệ điều hành và những ứng dụng phổ biến luôn là mục tiêu của các loại mã độc. Hiện nay có rất nhiều hãng phần mềm Anti-virus với hầu hết các các chức năng cung cấp bảo vệ, tuy nhiên tất cả các sản phẩm đều thực hiện các yêu cầu chức năng như sau:
- Quét các thành phần hệ thống như các tập tin khởi động và bản ghi khởi động.
- Xem các hoạt động thời gian thực trên hệ thống và kiểm tra các hoạt động đáng nghi ngờ. Quét toàn bộ các tệp đính kèm, email gửi và nhận. Phần mềm Anti-virus được cấu hình để thực hiện quét thời gian thực với chức năng khi mở mỗi tập tin được tải về đều quét trước khi thực thi.
- Giám sát hành vi của các ứng dụng phổ biến, chẳng hạn trình duyệt thư phía máy khách, trình duyệt Web, chương trình truyền file và chương trình nhắn tin. Phần mềm diệt virus giám sát hoạt động liên quan đến các ứng dụng có nhiều khả năng được sử dụng để làm hệ thống lây nhiễm hoặc lây lan mã độc tới hệ thống khác.
- Quét những tập tin nghi ngờ có virus. Phần mềm Anti-virus được thiết lập để thường xuyên quét các ổ cứng để xác định bất kỳ tập tin hệ thống là bị nhiễm và tuỳ chọn quét các phương tiện lưu trữ khác. Người dùng cũng có thể khởi động quét thủ công khi cần (theo yêu cầu).
- Xác định các loại mã độc hại phổ biến như virus, worm, trojan horses, mã độc hại di động và các mối đe doạ hỗn hợp như các công cụ của kẻ tấn công như keylogger và backdoor. Hầu hết các sản phẩm Anti-virus cũng hỗ trợ cho việc phát hiện phần mềm gián điệp.
- Làm sạch các tập tin, trong đó có việc loại bỏ mã độc trong một tập tin, cách ly tập tin. Làm sạch tập tin là gỡ bỏ mã độc hại và trả lại tập tin nguyên bản, tuy nhiên nhiều tập tin bị nhiễm không thể được làm sạch. Theo đó, phần mềm Anti-virus được cấu hình lại để cố gắng làm sạch các tập tin bị nhiễm và cho cách ly hoặc xoá tập tin không làm sạch được.
Phần mềm phát hiện phần mềm gián điệp
Phần mềm phát hiện phần mềm gián điệp (spyware) và công cụ loại bỏ được thiết kế nhằm mục địch xác định nhiều dạng khác nhau của phần mềm gián điệp trên hệ thống từ đó cách ly hoặc gỡ bỏ chúng. Không giống như phần mềm Anti-virus (để xác định nhiều kiểu mã độc), phần mềm phát hiện spyware và tiện ích gỡ bỏ dùng cho cả các loại mã độc kể cả không phải dạng spyware. Thông thường, phần mềm phát hiện spyware và công cụ gỡ bỏ cung cấp các khả năng xử lý spyware mạnh mẽ hơn phần mềm Anti-virus. Ngăn ngừa sự cố bị phần mềm spyware quan trọng không chỉ vì phần mềm spyware vi phạm quyền riêng tư của người dùng mà nó còn thường xuyên gây ra vấn đề trên hệ thống, như làm chậm hệ thống hoặc làm cho ứng dụng không ổn định.
Hệ thống phòng chống xâm nhập mạng
Hệ thống phòng chống xâm nhập mạng (IPS) thực hiện công việc thanh tra gói tin và phân tích lưu lượng mạng để xác định và ngăn chặn các hoạt động bất thường. Hệ thống này thường được triển khai trong mạng giống tường lửa. Hệ thống IPS có thể ngăn chặn hiệu quả những mối nguy hại đã biết như sâu tấn công dịch vụ mạng, sâu tấn công thư điện tử và virus với đặc điểm dễ nhận biết (file đính kèm). Tuy nhiên, hệ thống IPS không có khả năng ngăn chặn mã độc hại trên các thiết bị di động hoặc Trojan, có thể phát hiện và ngăn chặn một số mối đe doạ chưa biết thông qua phân tích giao thức mạng.
Tường lửa và bộ định tuyến
Các thiết bị mạng như tường lửa và bộ định tuyến cũng như phần mềm tường lửa chạy trên các máy chủ có nhiệm vụ thanh tra các lưu lượng mạng, cho phép hoặc từ chối dựa trên các tập luật thiết lập. Thiết bị định tuyến sử dụng danh sách điều khiển truy cập (Acess-list) để cản lọc các gói tin đi vào ra mạng. Có hai loại tường lửa: tường lửa mạng và tường lửa cho máy chủ. Tường lửa mạng là thiết bị được triển khai giữa các hệ thống mạng để hạn chế các lưu lượng mạng không phù hợp truyền từ mạng này qua mạng khác. Tường lửa chạy trên máy chủ để cản lọc thông tin vào ra máy chủ. Cả hai loại tường lửa này có hữu ích trong việc phòng ngừa sự cố mã độc hại.