Công nghệ an ninh đời tiếp theo đem lại gì cho cuộc chiến chống APT (Phần 1)

Trong bài này, tôi đề ra một phương pháp đề phòng malware – cũng như các thiết bị phát hiện và sửa chữa các mạng lưới có thể đã bị xâm nhiễm – sử dụng khả năng kiểm soát và hiển thị của tường lửa thế hệ tiếp theo.

0

Tường lửa thế hệ tiếp theo cung cấp một vũ khí có thể nói là quan trọng nhất trong trận chiến chống lại malware cấp tiến– khả năng kiểm soát và hiển thị mọi giao lượng trong mạng lưới đáng tin cậy, bất chấp kẻ tấn công có sử dụng bất kỳ chiến thuật xâm chiếm hay port nào. Nói một cách đơn giản, nếu bạn không phân tích đầy đủ tất cả giao lượng, bạn không thể bảo vệ bản thân khỏi những đe dọa ẩn trong đó. 

Giới thiệu tường lửa thế hệ tiếp theo

Bằng cách hiểu được các hành vi full stack của tất cả các giao lượng trong mạng lưới, bạn có thể kiểm soát tốt được những hành vi được cho phép trong môi trường doanh nghiệp và loại bỏ những điểm mù mà các cuộc tấn công APT thường trốn vào để trú ẩn. Những cuộc tấn công này cần phải giao tiếp kết nối để có thể hoạt động. Vì thế, việc tìm thấy những thiết bị kết nối của chúng là một phần quan trọng trong công cuộc kiểm soát tấn công an ninh mạng, cũng như những mối đe dọa mà chúng đem lại.

Tường lửa của thế hệ tiếp theo thực hiện một quy trình phân loại giao lượng dựa trên không chỉ port và giao thức, mà còn trên các quá trình phân loại ứng dụng, giải mã, giải code, và suy nghiệm. Những khả năng này từng bước lột bỏ từng tầng lớp của một giao lượng để xác định bản chất thật của nó. Khả năng phát hiện và phân tích ngay cả những giao lượng chưa xác định – mà không dựa trên port hay mã – chính là đặc điểm nhận diện của một tường lửa thế hệ tiếp theo thật thụ và đóng góp của chúng trong trận chiến chống lại APT quả là vô giá.

Những tội phạm mạng hiện nay dựa vào khả năng có thể trà trộn vào giao lượng đã được thông qua hoặc “bình thường”. Do đó chất lượng hiển thị giao lượng là một trong những điểm mạnh của bạn.

Tường lửa thế hệ tiếp theo.

Bên cạnh đó, tường lửa thế hệ tiếp theo cung cấp một phương pháp tích hợp toàn diện cho quá trình phòng chống các mối đe dọa có cùng ngữ cảnh như sau: sự phối hợp toàn diện giữa vô số các phương pháp an ninh (ví dụ như, nhận biết ứng dụng, phát hiện malware và exploit, phòng chống xâm nhập, lọc URL, quản lý các dạng thư mục, và kiểm tra nội dụng), thay vì chỉ đặt máy chủ của chúng trong cùng một nơi. Sự tích hợp này đem lại những hiểu biết chính xác và hợp lý về malware hơn bất cứ một công nghệ riêng lẻ nào có thể – và việc này thực sự cần thiết để thấy và hiểu được những tín hiệu của các mối đe dọa chưa xác định.

Đề phòng xâm nhiễm với Tường lửa thế hệ tiếp theo

Một trong những bước đi quan trọng nhất mà một doanh nghiệp nên thực hiện để kiểm soát các malware cấp tiến là gia giảm các trung gian tấn công và loại trừ khả năng giúp các bot có thể lẩn trốn trong mạng lưới. Ngày nay phần lớn các trung gian bị malware lợi dụng thường không được kiểm tra, và giao lượng malware thường đủ nhỏ để có thể dễ dàng ẩn mình vào sau các giao lượng mạng lưới “bình thường”. Bằng cách có đầy đủ độ hiển thị và quyền kiểm soát chính xác các giao lượng nào được cho phép gia nhập mạng lưới và tại sao, những nhóm an ninh có thể đạt được hai mục đích sau.

Thu hẹp mặt bằng các cuộc tấn công

Đẩy mạnh quyền kiểm soát quản lý tích cực là vô cùng cần thiết trong trận chiến chống lại malware. Quyền kiểm soát tích cực làm giảm đi đáng kể mặt bằng các cuộc tấn công cũng như các rủi ro nhìn chung. Từ đó, một bước đi đầu quan trọng cho doanh nghiệp đó là quay trở về mô hình quản lý tích cực. Quản lý tích cực đơn giản nghĩa là chỉ cho phép những ứng dụng và giao lượng nhất định mà bạn muốn, thay vì cố chặn mọi thứ mà bạn không muốn.

Quyền quản lý tích cực từ lâu đã là đặc điểm nhận diện của các tường lửa cho mạng lưới, tách biệt chúng với những dạng thiết bị an ninh mạng lưới khác.

Ví dụ như, nếu bạn muốn cho phép Telnet, nghĩa là bạn cho phép port TCP số 23 qua tường lửa của bạn. Đáng tiếc thay, những tường lửa truyền thống không thể xác định chính xác những ứng dụng và giao thức khác cũng có thể sử dụng port 23. Những ứng dụng và malware hiện sử dụng những port không theo chuẩn và thường mở (ví dụ như port TCP 80, 443, và 53) hoặc đơn giản là nhảy qua lại giữa những port được mở sẵn để vào các tường lửa truyền thống.

Mở rộng khả năng quản lý tích cực để bao gồm mọi ứng dụng bất kể số port, thật không phải việc dễ dàng làm được. Nhân viên có thể sử dụng những ứng dụng nhất định mà không có một giá trị kinh doanh rõ ràng và sẵn có. Thêm vào đó, vài ứng dụng có thể được sử dụng cho cả mục đích kinh doanh và cá nhân. Ví dụ như Facebook vừa là mạng xã hội nhưng cùng lúc cũng có thể là một công cụ quan trọng cho chiến lược marketing, kinh doanh, và tuyển dụng của các công ty.

Vì thế, nhóm bảo mật IT của tổ chức nên thăm dò những nhóm đối tượng và phòng ban trong công ty một cách hợp lý để xác định các ứng dụng được duyệt và để đưa ra những chính sách hợp lý. Những chính sách này chỉ nên cho phép một số các người dùng nhất định có thể truy cập vào những ứng dụng nhất định, hoặc giới hạn việc sử dụng các tính năng nhất định của những ứng dụng đó.

Để giảm bề mặt tấn công, những doanh nghiệp nên:

  • Áp dụng quyền kiểm soát tích cực với tất cả các luồng giao lượng trên mạng lưới nhằm tránh những giao lượng không cần thiết hoặc có rủi ro cao, ngay cả khi các công nghệ mã hóa hay xâm chiếm port được sử dụng để che đậy giao lượng đó.
  • Áp dụng các chính sách dành cho các ứng dụng được phê duyệt dựa trên nhu cầu cũng như văn hóa doanh nghiệp bằng cách xác định
    • Ứng dụng và giao thức nào đang được sử dụng trong mạng lưới?
    • Ứng dụng nào cần thiết cho doanh nghiệp và những ai cần sử dụng chúng?
    • Ứng dụng cá nhân hoặc ứng dụng lưỡng dụng nào mà doanh nghiệp cho phép sử dụng?

Kiểm soát các ứng dụng cho phép malware cấp tiến xâm nhập

Ứng dụng là một phần không thể thay thế được trong vòng đời của một cuộc tấn công, và có vai trò quan trọng đối với cả những bước xâm nhiễm đầu trong máy của mục tiêu và quá trình điều khiển của cuộc tấn công.

Sự liên quan giữa malware với các ứng dụng cũng không còn xa lạ. Trong quá khứ, ứng dụng thực ra đã cho phép malware xâm nhập là e-mail của doanh nghiệp. Từ góc nhìn bảo mật, virus và e-mail đơn giản luôn là một cặp đôi đi chung. Mặc dù e-mail vẫn bị các kẻ tấn công sử dụng, nhưng dường như sự hấp dẫn của nó đã dần mất đi khi mảng bảo mật e-mail dần trở thành một điểm chú trọng đối với nhiều doanh nghiệp. Những kẻ tấn công nay đã chuyển sự chú ý của chúng sang những ứng dụng mục tiêu mềm mỏng hơn, có tương tác với người dùng trong thời gian thực và cung cấp các cơ hội tấn công nhiều hơn gấp bội. Chúng giờ đây đã đặt trọng tâm vào những ứng dụng đơn giản hóa phương pháp tấn công social engineering trong khi có thể giấu đi sự hiện diện của các cuộc tấn công này. Các ứng dụng dành cho hoạt động mạng xã hội và ứng dụng cá nhân đáp ứng cả hai yêu cầu này, và nằm trong những nguồn tài nguyên thông thường nhất cho xâm nhiễm malware và có quyền điều khiển mục tiêu về sau (theo hình 4-2). Những ứng dụng này bao gồm mạng xã hội, e-mail trên website, nhắn tin tức thời (IM), mạng ngang hàng (P2), và truyền tệp tin.

Các ứng dụng mạng xã hội/ cá nhân và kỹ thuật tấn công malware cấp tiến thường dùng.

Những ứng dụng được thiết kế để có thể dễ dàng chia sẻ thông tin bằng nhiều cách khác nhau, mọi người thường sử dụng chúng với một niềm tin mặc nhiên và một thái độ ung dung bởi họ có thể đã quen với việc sử dụng chúng bên ngoài công ty. Điều này đem lại cho các kẻ xấu vô số cơ hội để tấn công mục tiêu.

Ngoài ra, các ứng dụng xã hội cũng đem lại một môi trường lý tưởng cho các phương thức social engineer, cho phép kẻ tấn công giả danh một người bạn hay đồng nghiệp, để dẫn dụ một con mồi ngơ ngẩn nhấn vào đường link đến trang web nguy hiểm. Bởi mọi xâm nhiễm malware tinh vi của chúng có thể tiếp tục được đều phụ thuộc vào việc câu dẫn được người dùng ngu ngơ thực hiện những hành vi không nên, như là nhấn vào một đường link xấu. Thay vì mở một tệp đính kèm trong e-mail, cú click chuột có thể dẫn đến một bài tweet hoặc một trang Facebook trông có vẻ là của một người bạn của mục tiêu. Lỗ hổng cross-site scripting có thể có trong các đường link xấu từ bạn bè, và các công nghệ nghe trộm gói tin (packet sniffing) như FireSheep cho phép kẻ tấn công chiếm lấy những tài khoản mạng xã hội.

Chủ động kiểm tra các tệp thư mục chưa xác định

Kẻ tấn công có thể dễ dàng điều chỉnh các malware và exploit nhằm giúp cho các cuộc tấn công của họ không bị dò tìm được bởi các mã nhận diện đã xác định. Sự linh hoạt này là một trong những công nghệ then chốt cho phép kẻ tấn công chuyên nghiệp có thể đứng vững trong mạng lưới của mục tiêu mà không hề lôi kéo bất kỳ sự chú ý nào từ hệ thống bảo mật.

Để nhận diện được sự biến chuyển này từ các kẻ tấn công, bạn cần phải áp dụng những công nghệ mới có khả năng nhận biết các mối đe dọa chưa xác định dựa vào cách thức nó hoạt động chứ không đơn giản dựa vào vẻ bề ngoài của nó. Dạng phân tích một cách chủ động này có thể được thực hiện qua việc xem xét các tệp đáng ngờ trong một sandbox. Sandbox là một môi trường ảo nơi bạn có thể chạy thử và quan sát một tệp đáng ngờ có thể làm được gì, từ đó rút ra được phương pháp dò tìm những mối đe dọa mới.

Tuy nhiên, việc kiểm tra dò tìm chỉ là một phần của trận chiến. Các biện pháp đối với những mối nguy này vẫn cần thiết để giữ cho mạng lưới và người dùng an toàn. Trong việc phân tích malware chủ động, điều quan trọng là phải kết nối chặt chẽ với tường lửa thế hệ tiếp theo để kết quả của cuộc phân tích có thể được sử dụng để hỗ trợ cho việc thi hành các biện pháp này. Thông thường thì những biện pháp có thể kể đến bao gồm:

  • Biện pháp bảo vệ động dành cho malware không xác định vừa được phát hiện gần đây, lỗ hổng Zero-day, và những biến thể của nó.
  • Biện pháp bảo vệ dành cho những malware liên quan có thể sử dụng server điều khiển hoặc cơ sở hạ tầng.
  • Biện pháp bảo vệ dành cho những mối nguy tận dụng chiến lược điều khiển tương tự
  • Biện pháp bảo vệ cho những mối đe dọa sử dụng miền và địa chỉ URL có liên quan.

Kiểm soát những ứng dụng có thể cho phép malware xâm nhập như:

  • Chặn sử dụng của những ứng dụng “xấu” như chia sẻ tệp tin mạng ngang hàng P2P
  • Hạn chế việc sử dụng ứng dụng cho người dùng và nhóm có nhu cầu kinh doanh chính đáng
  • Vô hiệu hóa các tính năng cụ thể trong những ứng dụng nguy hiểm như truyền tệp tin, chia sẻ máy tính, và xây đường hầm
  • Ngăn chặn các cuộc tấn công Drive-by-download từ những trang web bị xâm hại, có thể tự động tải về những tệp tin độc hại mà người dùng không biết
  • Mã hóa giao lượng SSL một cách có chọn lọc, dựa trên ứng dụng và địa chỉ URL (mã hóa mạng xã hội và mail công ty, nhưng không phải giao lượng tài chính chẳng hạn

Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com

Thegioibantin.com | Vina-Aspire News

Nguồn: Cybersecurity for Dummies

(Dịch bởi Vina Aspire)

Để lại một câu trả lời

Địa chỉ email của bạn sẽ không được công bố.

may lam kem nguyen lieu lam kem - nguyen lieu lam yogurt bột lm kem may ao thun may ba lo theo yeu cau san xuat moc khoa gia re may o thun quảng co dịch vụ bốc xếp Sản xuất đồ bộ