Tăng cường bảo mật thông qua giải mã lưu lượng truy cập

Kiến Lập| 02/12/2021 17:05
Theo dõi ICTVietnam trên

Hiện nay, 80-90% lưu lượng truy cập mạng trên toàn bộ hệ thống đã được mã hóa. Tuy nhiên, theo ý kiến của ông Jeff Costlow, Giám đốc An toàn thông tin (CISO) tại ExtraHop, điều này không phải lúc nào cũng mang đến lợi ích về mặt bảo mật.

Tăng cường bảo mật thông qua giải mã lưu lượng truy cập - Ảnh 1.

Giải mã lưu lượng truy cập mạng sẽ giúp tăng cường bảo mật. (Ảnh: Threat Post)

Mã hóa mạnh là yếu tố rất quan trọng để bảo vệ dữ liệu kinh doanh và thông tin cá nhân nhạy cảm. Google ước tính 95% lưu lượng truy cập Internet của họ sử dụng giao thức HTTPS được mã hóa.

Đa số công ty phân tích dữ liệu trong ngành kết luận rằng từ 80-90% lưu lượng mạng Internet hiện nay đã được mã hóa. Đây là một bước tiến quan trọng đối với tính toàn vẹn dữ liệu và quyền riêng tư của người tiêu dùng.

Tuy nhiên, Jeff Costlow, CISO tại công ty an ninh mạng ExtraHop cho rằng không chỉ có các tổ chức đề cao tính bảo mật dữ liệu nhìn thấy giá trị của việc mã hóa lưu lượng truy cập. Tội phạm mạng đã tận dụng mã hóa như một phương tiện giúp chúng che giấu hoạt động bất hợp pháp, trộn lẫn hành vi độc hại vào lưu lượng truy cập thông thường.

Tội phạm ẩn nấp trong lưu lượng truy cập mã hóa

Theo số liệu của Gartner, 70% chiến dịch tấn công của phần mềm độc hại diễn ra trong năm 2020 đã sử dụng một số loại mã hóa. Nền tảng bảo mật Zscaler đang chặn 733 triệu cuộc tấn công mã hóa mỗi tháng trong năm nay, tăng 260% so với năm 2019.

Theo khuyến nghị chung về an ninh mạng do FBI, CISA, Trung tâm An ninh mạng Quốc gia Vương quốc Anh và Trung tâm An ninh mạng Australia đưa ra, các giao thức mã hóa được sử dụng để che giấu việc mở rộng địa bàn khai thác (lateral movement) và các chiến thuật nâng cao khác trong 60% các cuộc tấn công thông qua 30 lỗ hổng mạng bị khai thác nhiều nhất.

Nói cách khác, trong 60% cuộc tấn công sử dụng các lỗ hổng phổ biến nhất, các nạn nhân hoàn toàn không phát hiện mình đã bị xâm nhập, theo CISA.

Các nhà nghiên cứu bảo mật cũng phát hiện ra những kỹ thuật tấn công tinh vi mới bằng các giải mã các giao thức của Microsoft thường xuyên bị khai thác như SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM và TLS 1.3.

Tất cả những điều này đã thúc đẩy nhu cầu về một cách tiếp cận mới khi phát hiện các mối đe dọa tồn tại trong lưu lượng truy cập mạng được mã hóa. Đó chính là giải mã.

Việc giải mã có thể phát hiện hoạt động bất hợp pháp ẩn nấp bên trong mà công cụ phân tích lưu lượng được mã hóa (ETA) đã bỏ sót, bao gồm các chiến dịch ransomware khai thác lỗ hổng PrintNightmare.

Hiện nay, gần như không thể phân biệt được tốt xấu nếu không có khả năng giải mã lưu lượng truy cập mạng một cách an toàn. Ẩn danh đã giúp cho những kẻ tấn công chiếm thế thượng phong.

Lưu lượng truy cập mã hóa đã bị khai thác trong một số cuộc tấn công mạng và những kỹ thuật xâm nhập lỗ hổng lớn nhất trong năm qua, từ Sunburst, Kaseya đến PrintNightmare, ProxyLogon.

Các kỹ thuật tấn công như living-off-the-land và Active Directory Golden Ticket chỉ thành công khi hacker có thể khai thác lưu lượng được mã hóa. Ngoài ra, mã độc tống tiền (ransomware) cũng là mối quan tâm hàng đầu của các doanh nghiệp hiện nay. Tuy nhiên, nhiều người không thể làm gì khác vì họ không thấy được những điều xảy ra bên trong hệ thống mạng đã mã hóa truy cập.

Các tổ chức phải thận trọng với vấn đề giải mã do lo ngại xung quanh việc tuân thủ, quyền riêng tư và bảo mật, cũng như tác động đến hiệu suất và chi phí. Nhưng có nhiều cách để giải mã lưu lượng truy cập mà không ảnh hưởng đến những điều này.

Những quan điểm sai lầm về giải mã lưu lượng truy cập mạng

Lầm tưởng 1: Giải mã làm suy yếu bảo mật

Sự thật: Có hai loại giải mã chính: out-of-band (OOB) và in-line. Trong phương thức giải mã OOB, dữ liệu đã mã hóa và khử nhận dạng sẽ được đưa lên nền tảng đám mây để giải mã bằng công cụ học máy. Điều này có nghĩa là không có bất kỳ dữ liệu thô nào được gửi đi, vì vậy không có thêm mối quan tâm về bảo mật.

Trong khi đó, giải mã in-line, còn được gọi là đánh chặn SSL hoặc man-in-the-middle (MitM), là một cách tiếp cận cũ hơn. Việc này có thể khiến cho các tổ chức gặp một số vấn đề phức tạp khác với chứng chỉ quản lý bảo mật. Hacker có thể tiếp tục nhắm vào dữ liệu đã được giải mã và chứa trong những thư mục có tính bảo mật kém hơn.

Lầm tưởng 2: Giải mã vi phạm Luật Bảo mật & Tiêu chuẩn Tuân thủ

Sự thật: Việc giải mã lưu lượng mạng doanh nghiệp không vi phạm các quy định hoặc luật về quyền riêng tư. Tuy nhiên, một số tính năng giải mã không được cấu hình trên các mạng con nhạy cảm để tránh vi phạm các quy tắc bảo mật thông tin như GDPR, PCI DSS và HIPAA.

Các tổ chức phải chủ động tránh ghi lại dữ liệu liên quan và có các biện pháp kiểm soát quyền truy cập của người dùng để đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào dữ liệu.

Lầm tưởng 3 : Những kẻ tấn công không thể truy cập lưu lượng truy cập được mã hóa

Sự thật: Các giao thức mã hóa không được chấp nhận như SSL và TLS 1.0 và 1.1 có thể khiến lưu lượng truy cập dễ bị những kẻ tấn công tinh vi đánh hơi và giải mã.

Lầm tưởng 4 : Lưu lượng được mã hóa không mang lại lợi ích gì cho những kẻ tấn công

Sự thật: Trong khi hầu hết các công ty sử dụng mã hóa để đảm bảo quyền riêng tư cho dữ liệu của họ, tội phạm mạng cũng đã thành thạo trong việc dùng công nghệ tương tự để che đậy dấu vết của chúng.

Giải mã lưu lượng mạng có lợi ích rất lớn. Đầu tiên, nó cho phép phát hiện các cuộc tấn công sớm hơn trong một đợt xâm nhập vì các lưu lượng độc hại không còn bị ẩn nữa.

Thứ hai, giải mã cải thiện thời gian phản ứng trước sự cố. Nó giúp phát hiện, xác định phạm vi, điều tra và khắc phục các mối đe dọa một cách nhanh chóng. 

Và cuối cùng, việc giải mã cho phép ghi lại đầy đủ hồ sơ pháp lý, phục vụ cho các cuộc điều tra sau các vụ vi phạm./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Thái Nguyên hướng tới trung tâm ứng dụng blockchain của quốc gia
    Theo Chủ tịch UBND tỉnh Thái Nguyên Nguyễn Huy Dũng, Thái Nguyên đang hướng tới việc xây dựng trở thành một trung tâm đổi mới sáng tạo với những lĩnh vực như nghệ thuật số, tài sản số... Do đó, blockchain sẽ được sử dụng như một công cụ mới để giải quyết những vấn đề mà trước đây chưa làm được.
  • “Muốn đất nước vươn mình phải nghĩ khác, làm khác”
    TS Mai Liêm Trực, nguyên Tổng cục trưởng Tổng cục Bưu điện, nguyên Thứ trưởng Thường trực Bộ Bưu chính Viễn thông - người góp công lớn đưa internet về Việt Nam đã dành cho Nhân Dân hằng tháng cuộc trao đổi chung quanh Nghị quyết 57-NQ/TW về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia của Bộ Chính trị vừa mới ban hành và những vấn đề mang tính chiến lược trong kỷ nguyên vươn mình của dân tộc.
  • Cuốn sách giải mã sự bí ẩn và chuyển hoá kỳ diệu của số 0
    Trong lịch sử nhân loại, hiếm có khái niệm nào vừa gây tranh cãi dữ dội lại vừa có sức ảnh hưởng sâu rộng như số 0.
  • “AI: Cơ hội và thách thức với công tác tuyên giáo”
    Sự trỗi dậy của AI đang làm biến đổi sâu sắc không chỉ công cụ truyền thông, mà cả cách con người tiếp cận sự thật, niềm tin và ý nghĩa. Trong làn sóng đó, trí thức không còn chỉ là người phân tích hay cung cấp thông tin, mà còn phải là người kiến tạo định hướng - cho cộng đồng, cho chính sách, và cho chính mình.
  • Phần mềm tống tiền khét tiếng và gây thiệt hại nhất mọi thời đại
    Ransomware (phần mềm tống tiền) và các băng nhóm tội phạm đứng sau chúng đã gây ra thiệt hại nghiêm trọng cho hàng triệu doanh nghiệp (DN) trên toàn cầu, với con số tổn thất lên đến hàng tỷ USD.
Đừng bỏ lỡ
Tăng cường bảo mật thông qua giải mã lưu lượng truy cập
POWERED BY ONECMS - A PRODUCT OF NEKO