Công nghệ an ninh đời tiếp theo đem lại gì cho cuộc chiến chống APT (phần 2)
Ngăn chặn việc sử dụng Circumventor
Những người dùng cuối và ứng dụng Web 2.0 thông thường có thể bị đồng chọn bởi malware để lợi dụng chống lại doanh nghiệp. Quan trọng không kém, một tầng lớp khác của ứng dụng đang được thiết kế một cách chủ động để xâm nhập chương trình bảo mật mạng lưới truyền thống. Những ứng dụng này bao gồm:
- Công nghệ điều khiển máy tính từ xa.
- Proxy
- Ứng dụng phá hoại được chế tạo có chủ đích.
Trong số đó, một vài ứng dụng còn có công dụng kinh doanh chính đáng, trong khi những ứng dụng còn lại chắc chắn dành cho các hoạt động nguy hiểm và bị cấm. Trong mọi trường hợp, chúng yêu cầu sự kiểm soát chặt chẽ để phòng ngừa những trung gian chứa rủi ro không thể quản lý vào trong doanh nghiệp.
Công nghệ điều khiển máy tính từ xa rất phổ biến với người dùng cuối và nhóm hỗ trợ IT. Nhiều ứng dụng hội nghị trên web đã thêm vào cho khả năng điều khiển máy tính người dùng từ xa. Những công nghệ này đã mở ra hai rủi ro nguy hiểm:
- Khi người dùng kết nối với một PC từ xa, người này được tự do lướt bất kỳ điểm đích nào hay dùng bất kỳ ứng dụng mà không lo bị tường lửa kiểm tra. Cùng với chính sách phá hoại, máy tính từ xa mở ra một trung gian không được quản lý bằng cách cho phép người dùng thực hiện mọi hành vi nguy hại từ xa, sau đó dẫn thành quả về lại máy của người này trong mạng lưới doanh nghiệp thông qua đường hầm.
- Công nghệ máy tính từ xa tiềm ẩn khả năng cho phép người dùng không hợp lệ có thể giành được trọn vẹn quyền truy cập vào máy nội bộ mà mạng lưới doanh nghiệp này hẳn phải tin tưởng. Kiểu kiểm soát từ xa này là một trong những mục tiêu đầu tiên của malware, do chúng tạo cơ hội để kích hoạt xâm nhập. Theo Báo cáo Điều tra của Verizon về rò rỉ dữ liệu vào năm 2011, có 71% dữ liệu bị rò rỉ và 27% dữ liệu bị mất có thể được gây ra bởi việc truy cập từ xa.
Những ứng dụng thông thường có lợi ích chính đáng bên trong doanh nghiệp có thể được tạo ra lỗ hổng một cách vô ý nếu không được sử dụng hợp lý, hoặc do người dùng không được cấp phép hay chưa qua đào tạo. Ví dụ, nhiều phòng IT sử dụng hệ thống quản lý mã SSH và ứng dụng ở trung tâm dữ liệu của công ty. Bằng cách mở một đường hầm bên trong trung tâm dữ liệu đó, SSH có thể cấp quyền truy cập trực tiếp, không bị quản lý để tiếp cận tài sản giá trị nhất của doanh nghiệp. Những ứng dụng này cần được kiểm soát chặt chẽ, chỉ giới hạn cho vài cá nhân, cũng như giám sát kỹ càng và ghi lại lịch sử đăng nhập.
Cuối cùng, nhiều proxy của web và ứng dụng đường hầm được mã hóa đã được phát triển để cung cấp bảo mật và liên kết ẩn danh giữa các tường lửa và cơ sở hạ tầng bảo mật khác. Công nghệ proxy như CGIProxy hay PHProxy cho người dùng lướt Internet an toàn và dễ dàng mà không bị doanh nghiệp kiểm soát, và các proxy này được tìm thấy có hơn 75% trên mạng lưới doanh nghiệp. Những ứng dụng như UltraSurf, Hamachi, và Tor được tạo ra chủ yếu để vượt qua cơ sở hạ tầng an ninh và thường xuyên được cập nhật để duy trì trạng thái không bị phát hiện. Những ứng dụng này thường có rất ít, hoặc hầu như không có, lợi ích chính đáng gì trong doanh nghiệp, và sự hiện diện của chúng nói chung đều biểu hiện một nỗ lực để lẩn tránh bộ phận an ninh của doanh nghiệp. Những công cụ này không chỉ luồn lách vào giao lượng mà không bị phát hiện, chúng còn được dùng để thực hiện hành vi có mức nguy hiểm cao, như chia sẻ tệp hoặc truy cập vào các nội dung và trang web bị chặn, để tăng nguy cơ lây nhiễm malware. Vì vậy, những ứng dụng này cần phải bị chặn trong mọi trường hợp.
Ngăn việc sử dụng Circumventor bằng cách:
- Hạn chế sử dụng điều khiển máy tính từ xa, chẳng hạn như chỉ cho nhân viên IT hỗ trợ.
- Kích hoạt SSH một cách an toàn nhưng ngăn chặn việc đào hầm SSH.
- Chặn các proxy và đường hầm mã hóa không được thông qua, như UltraSurf và Hamachi.
Cách để điều tra mọi giao lượng chưa xác định
Một khi doanh nghiệp giành lại được quyền kiểm soát, có khả năng kiểm tra và phân loại chính xác giao lượng đã được duyệt trên mạng lưới, doanh nghiệp có thể xem xét mọi giao lượng chưa xác định còn sót lại trong mạng lưới. Giao lượng malware và APT thường hiện diện như một “vật không xác định” bởi hành vi đặc thù và sử dụng mã hóa độc quyền của chúng.
Không như tường lửa truyền thống thường bỏ qua mọi giao lượng lưu thông qua port hợp lệ, tường lửa thế hệ tiếp theo cung cấp khả năng tìm và phân tích dữ liệu không xác định trong mạng lưới. Giao lượng không xác định thường được gửi từ cùng một máy khách hàng, nên được điều tra xem liệu chúng có phải được tạo ra bởi một ứng dụng hợp pháp nhưng không được nhận diện, hay bởi một cuộc xâm nhiễm malware tiềm ẩn. Nhóm an ninh mạng cũng có thể điều tra giao lượng này đi đến đâu:
- Nó có đi đến trang web độc hại hay đến trang web mạng xã hội?
- Nó có được chuyển đi theo một lịch trình nào không?
- Có ai đang cố tải về hay đăng tải một tệp đến một địa chỉ URL không xác định hay không?
Bất kỳ hành vi nào ở trên đều có thể xác định rằng có sự hiện diện của bot trong máy khách hàng. Do sử dụng tường lửa thế hệ tiếp theo để xác định giao lượng chính xác trên mạng lưới, giao lượng“chưa xác định” nên trở nên ngày càng hiếm gặp, bởi việc kích hoạt giao lượng độc hại tiềm ẩn có thể bị tìm thấy và phân tích nhanh chóng.
Hơn cả việc phân tích giao lượng chưa xác định, tường lửa thế hệ tiếp theo còn có thể tự động phân tích tệp chưa xác định bên trong môi trường sandbox để nhận diện những hành vi độc hại của các mối đe dọa. Điều này cho phép bạn tập trung vào các tệp và giao lượng chưa xác định. Những vật chưa xác định trong mạng lưới cần phải được điều tra, nhận diện, và quản lý. Bạn có thể quản lý giao lượng chưa xác định nhanh hơn và có hệ thống hơn bằng cách:
- Áp dụng chính sách cho tường lửa để chặn, hoặc cho phép rồi kiểm tra mọi giao lượng chưa xác định đó.
- Kiểm tra ứng dụng nội bộ nào đang tồn tại trong mạng lưới, áp dụng việc ghi đè ứng dụng (đổi tên giao lượng) và tạo dấu hiệu tùy chỉnh.
- Phân tích tệp chưa xác định hoặc khả nghi trong sandbox để tìm ra nhiều hành vi độc hại.
- Sử dụng chụp gói tin (PCAP) để ghi lại giao lượng chưa xác định và đưa nó đến nhà cung cấp bảo mật của bạn.
- Tận dụng các báo cáo về hành vi botnet và những điều tra số khác hoặc công cụ báo cáo để kiểm tra liệu giao lượng đó có phải là mối đe dọa hay không.
Điều tra giao lượng “chưa xác định” để tìm ra hành vi người dùng hay malware không chính đáng tiềm ẩn:
- Theo dõi nguồn, địa điểm, và khối lượng giao dịch của giao lượng chưa xác định.
- Liên hệ các hồ sơ của địa chỉ URL, IPS, malware, và truyền tệp tin với nhau.
- Định dạng các ID ứng dụng tùy chỉnh cho bất kỳ ứng dụng nội bộ hay tùy chỉnh nào, nếu cần thiết.
- Chuyển các PCAP đến nhà cung cấp bảo mật của bạn để phân tích và kiểm định sâu hơn.
Truy tìm các máy chủ bị xâm nhiễm bằng tường lửa thế hệ tiếp theo
Dù là với sự kiểm soát tốt nhất, máy tính của doanh nghiệp vẫn sẽ không thể tránh khỏi việc bị xâm nhiễm malware, có lẽ bằng một loại malware mới, một trung gian chưa xác định, hoặc bằng một cái USB. Malware đã được chứng minh rất nhiều lần rằng dù với hệ thống an ninh dày đặc đến đâu thì chúng vẫn có thể bị xâm nhiễm. Do đó, giả định rằng thiết bị đầu cuối đã bị nhiễm là một việc khôn ngoan để phát triển những kỹ năng cần thiết cho việc truy tìm các thiết bị đầu cuối bị xâm nhiễm trong mạng lưới. Đây có thể là một công việc đầy thách thức, bởi con bot có thể đã tránh được những dấu hiệu của malware truyền thống và giành được quyền truy cập root trên máy tính bị xâm nhiễm.
Để xác định những máy bị nhiễm, sự tập trung của bạn phải di chuyển ra xa khỏi những mã nhận dạng malware. Thay vào đó, bạn cần phân tích những hành vi bất thường và chưa xác định mà bạn theo dõi trên mạng lưới. Mối liên kết là “gót chân của Achilles”[1], là điểm yếu trí mạng của mã độc cấp tiến. Nó phải liên kết để hoạt động và có thể sẽ rất khó khăn để truy tìm vàtheo dõi nó. Những yêu cầu cơ bản này tạo ra các hành vi đặc thù mà có thể được dùng để nhận dạng bot trong giao lượng hay hành vi nổi bật từ giao lượng thông thường, dẫu con bot này có hoàn toàn mới và chưa xác định đi nữa.
[1]: Gót chân của Achilles: một thành ngữ xuất phát từ thần thoại Hi Lạp, thường dùng để ám chỉ điểm yếu trí mạng của một ai đó.
Truy tìm giao lượng điều khiển
Một trong những lợi thế lớn nhất của tường lửa thế hệ tiếp theo là khả năng phân loại giao lượng phức tạp tiềm ẩn ở tầng ứng dụng của nó. Điều này bao gồm khả năng scan những thứ bên trong giao lượng và “lột” từng lớp giao thức đang chạy bên trong các giao thức khác, cho đến khi lớp ứng dụng thực sự đang ẩn sâu được xác định. Khả năng nhận dạng giao lượng phức tạp rất quan trọng trong việc điều tra giao lượng điều khiển độc nhất của các cuộc tấn công nâng cao. Với những khả năng đó, botnet là một ứng dụng và giao lượng độc nhất của nó có thể bị xác định bởi một tường lửa thế hệ tiếp theo.
Tự động theo dõi và liên hệ
Những thủ thuật đã được miêu tả trong những phần trước rất trọng yếu, nhưng đa số tổ chức không có nhiều thời gian để điều tra mọi thứ bằng cách thủ công. Tường lửa thế hệ tiếp theo có thể truy tìm và liên hệ một cách tự động bằng những tính năng thông minh gồm có:
- TCP/UDP chưa xác định. Giao lượng APT thường được mã hóa và không xác định được. Theo dõi hoạt động của một TCP hay UDP chưa xác định là một điểm khởi đầu tuyệt vời trong việc truy tìm các máy tính bị nhiễm bot.
- Dynamic DNS (DDNS). Malware thường dùng DDNS để di chuyển giao lượng giữa các máy chủ bị nhiễm với một danh sách địa chỉ IP thay đổi liên tục, làm cho việc theo dõi nguồn hay địa điểm thực sự của con bot rất khó khăn.
- Các trang malware đã xác định. Công cụ lọc URL của tường lửa thế hệ tiếp theo theo dõi liên tục các trang web có malware đã xâm nhiễm vào máy dù cố ý hay vô tình.
- Các miền được đăng ký gần đây. Malware thường sử dụng các miền mới do chúng di chuyển liên tục để tránh bị phát hiện cũng như để hồi phục. Những lần ghé thăm lặp đi lặp lại tới một miền mới được đăng ký gần đây không phải là yếu tố quyết định, nhưng nó có thể là bằng chứng cho thấy có một cuộc xâm nhiễm.
- Địa chỉ IP thay vì tên miền. Bot thường sử dụng địa chỉ IP, ngược lại với người bình thường lại có xu hướng thích dùng các địa chỉ URL thân thiện.
- Giao lượng giao thức IRC. Giao lượng IRC là một trong những phương pháp liên kết phổ biến nhất dành cho botnet, và cung cấp bằng chứng bổ sung về một cuộc xâm nhiễm qua bot.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
Thegioibantin.com | Vina-Aspire News
Nguồn: Cybersecurity for Dummies
(Dịch bởi Vina Aspire)