Tại sao các giải pháp an ninh truyền thống thất bại trong việc kiểm soát tấn công APT (Phần 2)

0

Malware tấn công có chủ đích

Trước khi malware trở thành một mối nguy có hệ thống, mục đích chính của nó từng là sao chép và phát tán malware xa nhất có thể. Thực chất đây là cách mà ngành an ninh xếp loại các malware suốt nhiều năm nay – có bao nhiêu máy bị malware nhiễm trong một khoảng thời gian nhất định. Điều này giúp nhiều mẫu malware mới sẵn có và khá dễ thu thập.

Tuy nhiên, malware cấp tiến đã làm thay đổi mô hình này. Malware cấp tiến thông minh hơn và mạng lưới kết nối chặt chẽ hơn, giúp kẻ tấn công có thể điều khiển một hoặc nhiều máy người dùng từ xa. Đối với những kẻ tấn công có tầm thì điều này có nghĩa là họ không còn cần đến hàng triệu máy nhiễm nữa. Tùy vào mục đích của cuộc tấn công, ngay cả chỉ với một máy bị nhiễm cũng đủ cho một kẻ tấn công có tay nghề thực hiện một cuộc tấn công tinh vi.

Trong những trường hợp đó, người tấn công dần chuyển sang tấn công bằng malware có chủ đích. Những loại malware này thường được thiết kế cho một người dùng hoặc mạng lưới cụ thể. Siêu mã độc Stuxnet là một ví dụ cho tấn công bằng malware có chủ đích. Nó được thiết kế để vận hành trong một mạng lưới cụ thể với những tài sản cụ thể trên mạng lưới đó. Cách tiếp cận này đạt được hai thứ vô cùng quan trọng. Thứ nhất, nó khiến những mẫu malware cực kì khó bị phát hiện bởi tới nay chỉ có một vài mẫu thay vì hàng triệu bị phát hiện. Thứ hai, nó được thiết kế để tránh lây nhiễm những mạng lưới không phải là mục tiêu, từ đó tránh gây sự chú ý không đáng có. Cách tiếp cận có chủ đích này đang nhanh chóng trở thành “tiêu chuẩn” của một vài cuộc tấn công mạng lưới có chủ đích tinh vi nhất thế giới nhằm vào tài sản trí tuệ.

Đa hình (Polymorphism)

Đa hình được dùng bởi malware trong một khoảng thời gian dài, nhưng nó vẫn phổ biến đến nay. Cách tiếp cận này chủ yếu tránh mã nhận diện bằng cách thay đổi hình dạng liên tục để tránh đối chiếu mã nhận diện đơn giản. Vài ứng dụng malware có hẳn một phần code với một mục đích duy nhất là thay đổi mã nhận diện của malware.

Phương án kiểm soát mạng lưới truyền thống không hiệu quả

Những phần mềm an ninh mạng truyền thống đơn giản chưa bao giờ được thiết kế để đương đầu với malware cấp tiến. Tường lửa thông thường và IPS (hệ thống ngăn chặn tấn công xâm nhập) phân loại dòng giao lượng, tường lửa chấp nhận hoặc ngăn chặn lưu thông, và một IPS quyết định mã nhận diện nào thì được áp dụng, mọi thứ đều dựa trên port. Kết quả là, một mối nguy hại giỏi lẩn tránh và linh hoạt như malware cấp tiến, nó đơn giản chỉ cần nhảy đến một port không ngờ tới, giành quyền truy cập vào mạng lưới, và tránh phát hiện.

Tường lửa

Tường lửa dựa trên port thường được sử dụng như là lớp bảo vệ đầu tiên, lọc dữ liệu thô trong giao lượng hoặc phân đoạn mạng lưới vào những vùng có mật khẩu bảo vệ. Một điểm trừ của tường lửa dựa trên port là chúng sử dụng giao thức mạng và port để xác nhận và kiểm soát những gì ra vào mạng lưới. Thiết kế tập trung vào port này sẽ không hiệu quả khi đối mặt với malware và ứng dụng muốn lảng tránh nó bởi chúng có thể nhảy từ port này sang port khác cho đến khi chúng tìm ra một kết nối mở dẫn đến mạng lưới. Bản thân những bức tường lửa này có rất ít khả năng để xác định và kiểm soát malware.

Nhiều giải pháp như thêm những tính năng diệt malware vào tường lửa dựa trên port như nền tảng máy chủ mật độ cao (blade module) hoặc nền tảng UTM (giải pháp bảo mật toàn diện – Unified Threat Management) cũng thường có độ chính xác thấp và sự suy giảm hiệu suất nghiêm trọng.

Ngăn chặn xâm nhập

IPS cho ta một bước đi đúng hướng hơn, nó tìm hiểu kỹ giao lượng hơn là tường lửa. Tuy nhiên, những giải pháp của IPS không áp dụng toàn bộ mã nhận diện lên tất cả giao lượng. Nói đúng hơn, IPS áp dụng mã nhận diện phù hợp với từng loại giao lượng cụ thể, dựa trên port. Những hạn chế này đồng nghĩa với việc malware hoặc exploit xuất hiện ở port không ngờ tới hay port không theo chuẩn thường sẽ bị bỏ qua. Thêm vào đó, những giải pháp của IPS không tìm malware đủ sâu để bảo vệ mạng lưới – hầu hết những giải pháp IPS chỉ có thể tìm ra vài trăm loại malware phổ thông trong số hàng ngàn malware đang tồn tại.

Proxy

Proxy là một phương tiện khác nữa giúp kiểm soát giao lượng trong mạng lưới. Nhưng nó cũng chỉ chú ý vào một số ứng dụng hoặc giao thức giới hạn và chỉ xem xét được một phần trong giao lượng của mạng lưới cần giám sát. Như thiết kế, proxy cần bắt chước các ứng dụng đang cố giành quyền kiểm soát, khiến chúng phải chật vật với những cập nhật cho ứng dụng có sẵn cũng như ứng dụng mới. Kết quả là mặc dù proxy có thể hiểu rõ về một vài giao thức, đơn giản là kiến thức hỗ trợ cần thiết về giao thức của nó không đủ nhiều để có thể kiểm soát các đường hầm và phương pháp “giao thức bên trong giao thức” mà hacker sử dụng để giấu giao lượng thực của chúng. Vấn đề cuối cùng gây khó khăn cho proxy là hiệu suất của giao lượng, gây ra bởi cách proxy chấm dứt một ứng dụng trên chính proxy đó và gửi trả lại vị trí ban đầu của nó.

Thử thách của bất kỳ việc kiểm soát mạng lưới này là chúng không có khả năng xác định chính xác ứng dụng hay malware; chúng chỉ có thể xem xét một phần của giao lượng và gặp khó khăn bởi những vấn đề hiệu suất.

Chính sách bảo mật phải được dựa trên danh tính người dùng và ứng dụng đang được sử dụng – không phải chỉ trên những địa chỉ IP, port, và giao thức. Việc không hiểu rõ hay kiểm soát chính xác ai (người dùng) và cái gì (ứng dụng và lượng dữ liệu) có quyền truy cập vào mạng lưới, những mạng lưới doanh nghiệp có thể sẽ bị tổn hại bởi các ứng dụng và malware dễ dàng thông qua sự kiểm soát mạng lưới dựa trên port.

Vượt qua sự kế thừa an toàn silo

Qua nhiều năm, doanh nghiệp đã cố gắng bù đắp cho những thiếu sót vốn có của tường lửa dựa trên port bằng cách triển khai một loạt các thiết bị bảo mật bổ sung, như các giải pháp dựa trên máy chủ và các thiết bị độc lập.

Các phương pháp tiếp cận: network-based đối đầu với host-based

Theo cách truyền thống thì doanh nghiệp sẽ tập trung hầu hết thời gian và tiền bạc diệt malware của họ vào máy tính của người dùng cuối, thường là qua các máy chủ chống virus, tường lửa cá nhân, và những thứ tương tự. Tuy nhiên với sự phát triển của malware từ chỉ nhiễm các điểm cuối (endpoint) một cách riêng lẻ sang phối hợp nhiều mạng lưới malware, doanh nghiệp cần mở mang góc nhìn về an ninh của họ để kết hợp kiến thức với sự kiểm soát ở mức độ hệ thống, từ đó bổ sung các biện pháp bảo mật điểm cuối. An ninh mạng có một điểm mạnh độc đáo đó là cho phép bạn tập trung vào một đặc điểm rất đặc thù giúp phân biệt được botnet và những dạng malware trước đó – đó chính là sự phụ thuộc vào kết nối của nó với hệ thống bot lớn hơn. Trái với câu nói nổi tiếng của John Gage “mạng lưới chính là máy tính”, nói một cách thực tế thì bản thân mối nguy hại đã trở thành một mạng lưới. Nếu biện pháp bảo mật của bạn không vận hành ở mức độ tương tự, thì bạn đang mạo hiểm bởi quá chú trọng chi tiết mà bỏ quên toàn cảnh.

Thêm vào đó, cơ chế an ninh mạng cung cấp một lớp giám sát và kiểm soát độc lập, không như phương pháp bảo mật điểm cuối có thể bị làm tổn hại bởi malware. Botnet và malware cấp tiến có thể bao gồm nhiều rootkit để thu được quyền truy cập cấp cơ sở và hạ bệ các chương trình diệt virus hay các cơ chế bảo mật khác trên máy đối tượng. Điều này tạo ra một nghịch lý cho nhóm an ninh, bởi bất cứ phần mềm bảo mật nào chạy trên host bị hại đều không thể tin tưởng được. Điều này chắc hẳn không có ý rằng bảo mật dựa trên host là lỗi thời, đúng hơn là minh họa những mối nguy hại kết hợp chống lại cả host và server, mạng lưới cũng sẽ yêu cầu một phản ứng bảo mật có thể tận dụng được những điểm mạnh độc đáo của cả hai biện pháp bảo mật máy chú và mạng lưới.

Tích hợp các giải pháp đa ngành

Ngăn chặn các cuộc tấn công APT và tấn công mạng yêu cầu một phương pháp có tính tích hợp và đa lĩnh vực, để dò tìm lưu lượng độc hại, liên hệ các sự kiện, và phản ứng một cách hợp lý trong mạng lưới doanh nghiệp.

Nhiều tổ chức đã triển khai vô số giải pháp bảo mật ngoài những tường lửa dựa trên port kế thừa của họ, bao gồm những hệ thống ngăn chặn (IPS), máy chủ proxy, bộ lọc dữ liệu web, cổng chống virus, và giải pháp dành cho ứng dụng cụ thể như tin nhắn tức thời hay thiết bị an toàn email (chống spam), trong nỗ lực củng cố hàng phòng thủ của họ trước các mối nguy malware cấp tiến.

Tuy nhiên, chính bản thân những phương pháp tiếp cận đi liền với nhau này tạo ra nhiều vấn đề lên cơ sở hạ tầng của an ninh, như:

  • Những điểm cần kiểm tra thực ra thường bị bỏ qua, bởi những giải pháp này không thể xem xét tất cả giao lượng hay phụ thuộc vào sơ đồ phân loại dựa trên port và dựa trên giao thức như tường lửa dựa trên port.
  • Thông tin không dễ liên hệ với nhau, và ngữ cảnh quan trọng nhất giữa các sự kiện bị mất bởi các giải pháp bảo mật bị phân tách thành các silo chuyên biệt.
  • Quản lý chính sách, điều luật kiểm soát truy cập, và những yêu cầu kiểm tra được phát tán ở mọi thiết bị và bảng điều khiển, khiến việc phát triển và thực thi chính sách bảo mật doanh nghiệp một cách nhất quán trở nên khó khăn.
  • Hiệu suất bị ảnh hưởng do độ đình trệ của việc tổng hợp tương đối cao bởi vì dòng giao lượng được quét và phân tích trên nhiều thiết bị.

Nhiều thiết bị bảo mật không nhất thiết có nghĩa là sẽ có nhiều môi trường an toàn hơn. Thực tế thì sự phức tạp và không nhất quán của cách tiếp cận này thực ra có thể gây hại cho an ninh tổ chức của bạn. Bằng cách làm choáng ngợp nhóm an ninh của bạn với lượng dữ liệu đến từ nhiều nguồn khác nhau mà khó có thể nào được liên hệ và phân tích.

Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: 
www.vina-aspire.com | Email: info@vina-aspire.com

Thegioibantin.com | Vina-Aspire News

Nguồn: Cybersecurity for Dummies

(Dịch bởi Vina Aspire)

Để lại một câu trả lời

Địa chỉ email của bạn sẽ không được công bố.

may lam kem nguyen lieu lam kem - nguyen lieu lam yogurt bột lm kem may ao thun may ba lo theo yeu cau san xuat moc khoa gia re may o thun quảng co dịch vụ bốc xếp Sản xuất đồ bộ