Xu hướng phát triển công nghệ an toàn thông tin thế hệ mới

Trong những năm gần đây, tấn công và phòng thủ trên môi trường mạng đã có nhiều sự thay đổi lớn. Thứ nhất là động cơ tấn công: kẻ tấn công không đơn thuần tấn công với mục đích gây đột phá kỹ thuật mà phần nhiều là muốn vụ lợi. Kẻ tấn công giờ đây lập thành những nhóm tấn công có trong tay thực lực về kinh tế và những kỹ thuật tiên tiến. Thứ hai, việc lựa chọn mục tiêu của kẻ tấn công rõ ràng hơn và tập trung hơn. Thứ ba, các tấn công vào hệ thống điều khiển công nghiệp ngày càng gia tăng cho thấy chiến trường tấn công và phòng thủ mạng đang chuyển từ mạng công cộng sang mạng chuyên dùng. Ngoài ra, sự phát triển mạnh mẽ của điện toán đám mây, ảo hóa, mạng di động đem lại cho người dùng sự linh hoạt và tiện lợi thì đồng thời cũng mang đến những thử thách mới về vấn đề về bảo mật thông tin. Để ứng phó với các thử thách này, các chuyên gia đã đưa ra một khái niệm về an toàn thông tin (ATTT) thế hệ mới. ATTT thế hệ mới là tập hợp các khái niệm, biện pháp, kỹ thuật, sản phẩm và các chế độ dịch vụ được đưa ra để ứng phó với sự phát triển công nghệ IT (công nghệ thông tin) và các đe dọa bảo mật mới mà có thể làm ảnh hưởng nghiêm trọng đến mức độ bảo mật của các công nghệ và dịch vụ bảo mật.

Mô hình nghiên cứu ATTT thế hệ mới (NG: Next Generation)

Mô hình nghiên cứu ATTT thế hệ mới (Hình 1) cho thấy một cái nhìn toàn diện về các nhân tố thay đổi làm ảnh hưởng đến ATTT thế hệ mới. Mô hình này định nghĩa 5 nhân vật đó là: người dùng IT, nhà cung cấp hệ thống IT, cơ quan quản lý, kẻ xâm nhập và nhà cung cấp an toàn thông tin.

Hình 1: Mô hình nghiên cứu ATTT thế hệ mới cùng các nhân vật liên quan.

Người dùng IT: là người sở hữu hoặc sử dụng hệ thống IT. Những hệ thống IT, dịch vụ kinh doanh, dữ liệu liên quan đến người dùng IT là đối tượng của các cuộc tấn công bảo mật đồng thời cũng là đối tượng của dịch vụ bảo mật thông tin.

Nhà cung cấp hệ thống IT: là các tổ chức cung cấp hệ thống IT (phần mềm, phần cứng, mạng và sản phẩm ứng dụng) và các dịch vụ công nghệ cho người dùng IT.

Cơ quan quản lý: là các cơ quan chức năng của quốc gia/ngành nghề chịu trách nhiệm quản lý công nghệ bảo mật thông tin. Cơ quan quản lý đưa ra các chính sách, tiêu chuẩn, quy tắc, yêu cầu, … liên quan đến an toàn thông tin và cung cấp những đánh giá tính tuân thủ, đánh giá hệ thống và dịch vụ tư vấn…

Kẻ xâm nhập: là các cá nhân, nhóm, tổ chức tiến hành tấn công phá hoại hệ thống, dịch vụ, dữ liệu của người dùng IT.

Nhà cung cấp an toàn thông tin: là tổ chức cung cấp những dịch vụ bảo đảm an ninh (sản phẩm bảo mật, dịch vụ bảo mật, tư vấn ...) cho người dùng IT, giúp người dùng chống lại những tấn công của kẻ xâm nhập.

Hình 1 cho thấy, 5 nhân vật kể trên đều tập trung vào đối tượng nghiên cứu tấn công và phòng thủ (người dùng IT và hệ thống IT). Sự thay đổi về công nghệ và khả năng dịch vụ của những nhân vật trên đều có thể làm thay đổi trạng thái ATTT của hệ thống IT của người dùng, thậm chí có thể mang đến những đe dọa ATTT mới cho hệ thống IT đang được bảo vệ cùng với đó là những thử thách mới cho công nghệ và khả năng dịch vụ của các nhà cung cấp ATTT.

Hình 2: Mô hình phân tích ATTT thế hệ mới.

Mô hình trên Hình 2 có thể hỗ trợ phân tích những thay đổi về mô hình dịch vụ và năng lực kỹ thuật của các nhân vật, thảo luận về những nguy cơ bảo mật và những thử thách về dịch vụ an ninh mà hệ thống IT đang gặp phải; đưa ra những biện pháp ứng phó hợp lý, những tổng kết về an ninh thế hệ mới, những xu hướng phát triển và đặc tính quan trọng.

2. Xu hướng phát triển công nghệ của ATTT thế hệ mới

An toàn vận hành

An toàn vận hành chủ yếu nghiên cứu về phương diện bảo vệ hệ thống liên kết các sản phẩm ATTT và mô hình triển khai và bảo trì dịch vụ bảo mật. An toàn vận hành là tổng hợp hành vi mang tính định kỳ nhằm  duy trì hoạt động hệ thống “vòng kín” và liên tục cải tiến, dùng “trạng thái ATTT” làm chất xúc tác, đảm bảo chất lượng trao đổi dữ liệu theo tiêu chuẩn “giờ” và thúc đẩy môi trường của khách hàng, môi trường sản xuất và không ngừng cải thiện môi trường lưu thông.

Thông qua việc mở rộng liên kết nền tảng vận hành quản lý thực hiện sản phẩm bảo mật, thu thập và phân tích những thông tin tình báo an ninh toàn cục, cho thấy một cái nhìn trực quan và hiểu sâu hơn về trạng thái an toàn trong phạm vi mạng quản lý. Từ đó, kết hợp với những chuyên gia trong lĩnh vực, có thể chọn lựa phương thức phù hợp nhất cùng các mô hình dịch vụ điện toán đám mây thực hiện biện pháp thông minh nhanh chóng, phân phối chính sách an toàn và cấu hình thông minh chosản phẩm; từ đó thực hiện những phản ứng chống lại đe dọa ATTT mạng.

An toàn thông minh

An toàn thông minh chủ yếu tập trung vào các ứng dụng xử lý thông tin thông minh và công nghệ trí thông minh nhân tạo trong lĩnh vực ATTT. Hiện nay, trong các sản phẩm ATTT mạng, tuy đã sử dụng những công nghệ xử lý thông tin thông minh nhưng phần nhiều còn hạn chế ở một số quá trình xử lý cơ bản tương quan dựa trên nguyên tắc hoặc chiến lược, như kỹ thuật cảnh báo của hệ thống quản lý ATTT (SIMS), các mô hình kiểm tra và đánh giá dựa trên những công nghệ phù hợp của các dòng sản phẩm đánh giá độ an toàn (quét lỗ hổng) và các sản phẩm kiểm tra độ an toàn (IDS, IPS, AV …). Tuy nhiên, do các sản phẩm bảo mật được phân bố không tập trung, quản lý độc lập nên thông tin bảo mật không được chia sẻ và sử dụng hợp lý. Việc quản lý thiếu quy mô dữ liệu bảo mật chất lượng cao chính là điều đã đưa lĩnh vực ATTT mạng phát triển theo hướng “ thông minh hóa”.

Việc đưa ra khái niệm về an toàn vận hành tạo một không gian thuận lợi cho sự phát triển của công nghệ an toàn thông minh. Việc khai thông nền tảng an toàn vận hành giúp tập hợp các dữ liệu an toàn (nhật ký, cảnh báo …) của sản phẩm an toàn mạng, giám sát hệ thống thông tin, lợi dụng hệ thống mạng hoặc các phương thức khác để có được những thông tin cảnh báo an toàn … Từ đó, có thể giải quyết vấn đề quy mô của các dữ liệu an toàn. Những công việc chính liên quan đến an toàn vận hành như: quản lý thông tin bảo mật quy mô lớn, khai thác mô hình xâm nhập, kiểm tra đánh giá trạng thái an toàn mạng toàn cầu, phân tích cảnh báo và các loại tự động quản lý cấu hình… đều thuộc phạm vi nghiên cứu của an toàn thông minh.

Điện toán đám mây và ảo hóa ngày càng trở nên phổ biến. Việc chia sẻ tại nguyên trên mạng trong điện toán đám mây ngày được chú trọng. Tuy nhiên, việc quản lý, phân bổ tài nguyên trong đám mây cũng không thể tách rời việc tổng hợp, phân tích và dự đoán trạng thái an toàn trong môi trường đám mây toàn cầu, do đó, các ứng dụng công nghệ an toàn thông minh cũng không thể thiếu.

Tóm lại, ngoại trừ cảnh báo của SIMS, mô hình kiểm nghiệm của IDS/IPS, kiểm nghiệm và thanh lọc lưu lượng bất thường, thì những khái niệm, lý luận, phát triển và ứng dụng công nghệ liên quan đến an toàn thông minh như uy tín bảo mật, nhận thức trạng thái bảo mật, đánh giá đe dọa, biện pháp an toàn, kiểm tra hành vi bất thường, quản lý cấu hình tự động … đều trở thành  những nội dung được chú trọng trong an toàn thế hệ mới.

Điện toán đám mây và an toàn ảo hóa

An toàn điện toán đám mây tập trung chủ yếu vào các vấn đề an toàn máy ảo, hệ thống phần mềm, phần cứng liên quan đến đám mây, các lỗ hổng mạng và giao thức ứng dụng. Ảo hóa các sản phẩm bảo mật quan tâm đến việc sử dụng máy ảo để thực hiện các tính năng của sản phẩm bảo mật, dùng SDN (mạng định nghĩa bằng phần mềm) để quản lý và triển khai ảo sản phẩm bảo mật tầng mạng. Về mô hình dịch vụ an toàn đám mây, có ba mô hình chính:

- An toàn điện toán đám mây cho người dùng (Security Cloud for User): liên kết các dịch vụ đám mây và chức năng an toàn, ví dụ : An toàn máy chủ ảo được đề xuất cho FireHost.

- An toàn cho người dùng điện toán đám mây (Security for Cloud User): cung cấp các giải pháp an toàn cho những người sử dụng dịch vụ điện toán đám mây. Dịch vụ của CipherCloud có thể cung cấp chức năng mã hóa thống nhất nội dung cho người dùng dịch vụ online trên Gmail, Amazon, Salesforce, Office365….

- An toàn cho nhà cung cấp dịch vụ điện toán đám mây (Security for Cloud Vendor): Các nhà cung cấp bảo mật thiết bị ảo, cung cấp dịch vụ truy cập liên tục cho môi trường điện toán đám mây, đóng vai trò là tùy chọn plug-in cho người dùng đầu cuối.

Sự phát triển trong các lĩnh vực ứng dụng kỹ thuật điện toán đám mây, ảo hóa tạo nên sự thay đổi to lớn của các mô hình dịch vụ và triển khai sản phẩm bảo mật. Đồng thời, do nhu cầu hệ thống hóa bảo vệ an toàn thông tin và dịch vụ an toàn vận hành nên điện toán đám mây và kỹ thuật ảo hóa đã trở thành nguồn tài nguyên tối ưu hóa cấu hình trong nền tảng an toàn vận hành và đặt nền tảng cho “SaaS hóa” dịch vụ bảo mật. Điều này cho thấy dịch vụ điện toán đám mây và ảo hóa an toàn dữ liệu cũng là một đặc tính quan trọng trong ATTT thế hệ mới.

An toàn dữ liệu

An toàn dữ liệu tập trung nghiên cứu các cơ chế an toàn có mục đích bảo vệ những dữ liệu quan trọng trong mạng và trong hệ thống, đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng của dữ liệu. Trước kia, các dữ liệu được bảo mật chủ yếu là các thông tin cơ mật của chính phủ, quân đội hoặc những thông tin nhạy cảm của doanh nghiệp. Do đó, công nghệ mã hóa dữ liệu dựa trên mật khẩu để lưu trữ, mã hóa truyền tải, xác thực và ủy quyền cũng như một loạt các công nghệ phòng chống rò rỉ dữ liệu được chú trọng quan tâm. Ngày nay, cùng với sự phát triển của Internet, thông tin di động, điện toán đám mây và công nghệ ảo hóa, làm thế nào để đảm bảo rằng thông tin của người sử dụng được nhận dạng, thông tin cá nhân và thậm chí cả dữ liệu quan trọng trong công việc không bị rò rỉ? Làm thế nào để dữ liệu được lưu trữ an toàn, khắc phục các thảm họa và cấp phép sử dụng? Làm thế nào để đảm bảo được tính sẵn sàng cho dữ liệu với quy mô lớn? Làm sao để đảm bảo tính xác thực của dữ liệu trên Internet, quản lý các thông tin có hại ….. sẽ trở thành vấn đề bảo mật dữ liệu quan trọng mà không thể chỉ dựa vào kỹ thuật mật mã là có thể giải quyết được.

An toàn hạ tầng thông tin quan trọng (CII)

An toàn CII (Critical Information Infrastructure) là vấn đề an toàn của hệ thống thông tin các ngành nghề quan trọng của quốc gia như điện lực, giao thông, công nghiệp dầu mỏ ….  Trong những năm gần đây, “chiến tranh mạng” xảy ra ngày càng nhiều, các thông tin về cơ sở hạ tầng, hệ thống quản lý các ngành công nghiệp quan trọng đều trở thành mục tiêu của các tổ chức xâm nhập mạng trái phép. Các tổ chức này xâm nhập với mục đích phá hoại tính sẵn sàng hoặc đánh cắp các dữ liệu nhạy cảm, thậm chí kiểm soát các phương tiện truyền thông làm ảnh hưởng đến sự ổn định của xã hội. Do đó, tăng cường an ninh CII là một trong những yếu tố vô cùng quan trọng trong chiến lược an ninh quốc phòng. Cùng với sự tăng trưởng về kinh tế thì đây cũng sẽ là chủ đề nóng trong lĩnh vực an toàn thông tin.

Những cuộc tấn công vào CII gần đây cho thấy, những tấn công này được thực hiện một cách có tổ chức, mục đích lớn cùng với những thủ đoạn tình vi mới mẻ (như tấn công có chủ đích APT). Để có thể đạt được mục đích của mình, APT phải có thời gian để thu hút nhân tài và kỹ thuật, cần thu thập những thông tin tình báo, cập nhật những lỗ hổng zero-day, có khả năng luồn lách qua các thiết bị kiểm tra tối tân và tận dụng nguồn tài nguyên có sẵn. Việc tấn công cần phải có sự hỗ trợ của lực lượng triển khai và tổ chức hành động liên tục, nhanh chóng. Những tấn công như vậy rõ ràng không thể chỉ dựa vào một công nghệ duy nhất để có thể ngăn ngừa và phát hiện mà cần tổng hợp biện pháp an ninh đa cấp để phòng chống. Đây cũng là thử thách mới mẻ và đầy cam go cho các nhà cung cấp bảo mật và tổ chức nghiên cứu dịch vụ bảo mật.

3. Phân tích đặc tính ATTT thế hệ mới

Đặc tính thế hệ mới (NG) trong an toàn vận hành

Nhận thức mối đe dọa dựa trên việc kết hợp sản phẩm và phân tích thông minh, đặc tính này chủ yếu đề cập đến khả năng mạng lưới nhận biết mối đe dọa ATTT thông qua Internet, thực hiện các báo cáo về nhận biết mối đe dọa (như thống kê nhật ký, thông tin cảnh bao, thông tin lỗ hổng cấu hình hệ thống…) và phân tích quản lý, nhanh chóng thu thập các thông tin về việc thay đổi trạng thái an toàn hệ thống (thống kê, tương quan, hội nhập , dự báo…); dự báo xu hướng phát triển mạng lưới hoặc trạng thái ATTT hệ thống, đánh giá nguy cơ bảo mật đang phải đối mặt.

a) rực quan về trạng thái ATTT và quản lý tài nguyên

Tính năng này chủ yếu đề cập đến việc thu thập các thông tin về an toàn sản sinh từ các sản phẩm an toàn (như thông tin cấu hình, cảnh báo, nhật ký), phân tích quá trình, đánh giá dữ liệu (trạng thái an toàn, phân tích kết quả ….) và quản lý hệ thống cấu hình của sản phẩm an toàn, quản lý chức năng, chiến lược, thông qua trực quan dùng hình ảnh biểu thị giúp người dùng giao diện dễ sử dụng.

b) Duy trì trạng thái ATTT vòng kín dựa trên thiết bị cảm ứng mối đe dọa, đánh giá trạng thái, phản ứng nhanh và chủ động phòng chống.

Vòng kínphản hồi thông tin hệ thống điều khiển, thường được sử dụngđể mô tả cácphương tiệnđể đo lườngsản lượng hệ thống.An toàncủa nền tảngquản lý ATTT mạng dựa trêntrạng tháiliên tục cải tiến. Đặc điểm hoạt động của các vòng kín:

• Thuộc bộ sưu tập cơ bản các mối đe dọa ATTT tình báo, phân tích tình báo và đánh giá tình hình trên toàn bộ mạng lưới. Tối ưu hóa trạng thái an toàn, tinh chỉnh chính sách bảo mật để đạt được phát hiện thời gian thực của các mối đe dọa an toàn, phản ứng nhanh chóng và phòng ngừa chủ động.

• Sau khi một vòng khép kín hoàn chỉnh cho mỗi chu kỳ (mối đe dọa nhận thức, đánh giá tình hình, phản ứng nhanh, phòng ngừa hoạt động), có thể cải thiện tình trạng của mạng.

Đặc tính NG trong an toàn thông minh

a) Kiểm tra tình trạng bất thường dựa vào các mô hình hành vi và độ an toàn

Dựa vào các mô hình về hành vi và lưu lượng để phát hiện ra những hành vi bất thường của hệ thống. Đầu tiên tạo một chủ thể trong hệ thống bảo vệ (người dùng, quy trình…) truy cập vào hệ thống (dữ liệu, tài nguyên của hệ thống…) rồi đặt ra một định mức hoặc một mô hình đặc trưng  lưu lượng mạng, nếu khi kiểm tra phát hiện có hành vi vượt quá định mức này (hoặc mô hình đặc trưng lưu lượng mạng) sẽ được quy vào là hành vi bất thường (hoặc lưu lượng mạng bất thường).

- Chức năng này có thể nâng cao khả năng phát hiện những hiểm họa an ninh chưa biết đến, những chức năng chưa công bố và khả năng đối phó với các tấn công 0-day.   

- Lợi dụng kĩ thuật an toàn tín nhiệm có thể tăng tỷ lệ phát hiện thâm nhập và đánh giá đe dọa của sản phẩm.

b) Khả năng hiệp đồng trong môi trường tấn công và phòng ngự

Chức năng chủ yếu nói về việc chia sẻ thông tin, hợp tác hoàn thành nhiệm vụ, tích hợp các hệ thống bảo vệ an toàn trong môi trường tấn công và phòng ngự, thực hiện các biện pháp bảo vệ an toàn, hiệp đồng phối hợp lẫn nhau để đạt hiệu quả cao hơn. Sự hiệp đồng được thực hiện trong quy mô giữa các hệ thống với nhau và cả giữa những người dùng với nhau.

Đặc tính NG trong điện toán đám mây và an ninh ảo hóa

a) Ảo hóa sản phẩm bảo mật trong môi trường điện toán đám mây.

Ảo hóa sản phẩm bảo mật trong môi trường điện toán đám mây có hai tầng ý nghĩa: một là lợi dụng kỹ thuật ảo hóa thực hiện ảo hóa sản phẩm bảo mật như ảo hóa nền tảng phần mềm, phần cứng sản phẩm, hỗ trợ quản lý điều chỉnh và di dời tài nguyên của máy ảo, hỗ trợ tính năng an toàn trong sản phẩm ảnh ảo; Hai là tiến hành triển khải ảo hóa linh hoạt nhanh chóng sản phẩm an toàn trong môi trường điện toán đám mây như các sản phẩm bảo mật dựa vào OpenvSwitch hỗ trợ OF/SDN. Chức năng này được ứng dụng trong:

-  Ảo hóa các sản phẩm bảo mật như tường lửa, hệ thống phòng chống xâm nhập, hệ thống quét luồng (flow cleaning system)…

- Tối ưu hóa quản lý và ảo hóa cấu hình sản phẩm bảo mật trong đám mây (như quản lý thuận tiện hơn, linh hoạt hơn…)

b)  Đám mây an toàn trong môi trường điện toán đám mây (MSS\SaaS)

Lợi dụng đám mây, kỹ thuật ảo hóa, các sản phẩm an toàn ảo hóa, dịch vụ SaaS an toàn và nền tảng an toàn vận hành để cung cấp dịch vụ giám sát an toàn cho người dùng. Chức năng này được ứng dụng trong :

Cung cấp dịch vụ giám sát an toàn bao gồm các chức năng: phát hiện, phân tích, phòng chống.

Hỗ trợ đánh giá độ an toàn và dịch vụ chia sẻ của nền tảng quản lý an toàn vận hành:

-  Đánh giá trạng thái ATTT toàn cầu, các dịch vụ dự báo nguy cơ;

-  Đưa ra những kiến nghị về các phương thức bảo mật tốt nhất, chia sẻ tư vấn online về kiến thức bảo mật (dịch vụ SaaS)….