Công nghệ an ninh đời tiếp theo đem lại gì cho cuộc chiến chống APT (Phần 1)

Trong bài này, tôi đề ra một phương pháp đề phòng malware – cũng như các thiết bị phát hiện và sửa chữa các mạng lưới có thể đã bị xâm nhiễm – sử dụng khả năng kiểm soát và hiển thị của tường lửa thế hệ tiếp theo.

Bởi Hien VinaAspire On Th1 3, 2021 Last updated Th1 2, 2021

Tường lửa thế hệ tiếp theo cung cấp một vũ khí có thể nói là quan trọng nhất trong trận chiến chống lại malware cấp tiến– khả năng kiểm soát và hiển thị mọi giao lượng trong mạng lưới đáng tin cậy, bất chấp kẻ tấn công có sử dụng bất kỳ chiến thuật xâm chiếm hay port nào. Nói một cách đơn giản, nếu bạn không phân tích đầy đủ tất cả giao lượng, bạn không thể bảo vệ bản thân khỏi những đe dọa ẩn trong đó.

Giới thiệu tường lửa thế hệ tiếp theo

Bằng cách hiểu được các hành vi full stack của tất cả các giao lượng trong mạng lưới, bạn có thể kiểm soát tốt được những hành vi được cho phép trong môi trường doanh nghiệp và loại bỏ những điểm mù mà các cuộc tấn công APT thường trốn vào để trú ẩn. Những cuộc tấn công này cần phải giao tiếp kết nối để có thể hoạt động. Vì thế, việc tìm thấy những thiết bị kết nối của chúng là một phần quan trọng trong công cuộc kiểm soát tấn công an ninh mạng, cũng như những mối đe dọa mà chúng đem lại.

Tường lửa của thế hệ tiếp theo thực hiện một quy trình phân loại giao lượng dựa trên không chỉ port và giao thức, mà còn trên các quá trình phân loại ứng dụng, giải mã, giải code, và suy nghiệm. Những khả năng này từng bước lột bỏ từng tầng lớp của một giao lượng để xác định bản chất thật của nó. Khả năng phát hiện và phân tích ngay cả những giao lượng chưa xác định – mà không dựa trên port hay mã – chính là đặc điểm nhận diện của một tường lửa thế hệ tiếp theo thật thụ và đóng góp của chúng trong trận chiến chống lại APT quả là vô giá.

Những tội phạm mạng hiện nay dựa vào khả năng có thể trà trộn vào giao lượng đã được thông qua hoặc “bình thường”. Do đó chất lượng hiển thị giao lượng là một trong những điểm mạnh của bạn.

Bên cạnh đó, tường lửa thế hệ tiếp theo cung cấp một phương pháp tích hợp toàn diện cho quá trình phòng chống các mối đe dọa có cùng ngữ cảnh như sau: sự phối hợp toàn diện giữa vô số các phương pháp an ninh (ví dụ như, nhận biết ứng dụng, phát hiện malware và exploit, phòng chống xâm nhập, lọc URL, quản lý các dạng thư mục, và kiểm tra nội dụng), thay vì chỉ đặt máy chủ của chúng trong cùng một nơi. Sự tích hợp này đem lại những hiểu biết chính xác và hợp lý về malware hơn bất cứ một công nghệ riêng lẻ nào có thể – và việc này thực sự cần thiết để thấy và hiểu được những tín hiệu của các mối đe dọa chưa xác định.

Đề phòng xâm nhiễm với Tường lửa thế hệ tiếp theo

Một trong những bước đi quan trọng nhất mà một doanh nghiệp nên thực hiện để kiểm soát các malware cấp tiến là gia giảm các trung gian tấn công và loại trừ khả năng giúp các bot có thể lẩn trốn trong mạng lưới. Ngày nay phần lớn các trung gian bị malware lợi dụng thường không được kiểm tra, và giao lượng malware thường đủ nhỏ để có thể dễ dàng ẩn mình vào sau các giao lượng mạng lưới “bình thường”. Bằng cách có đầy đủ độ hiển thị và quyền kiểm soát chính xác các giao lượng nào được cho phép gia nhập mạng lưới và tại sao, những nhóm an ninh có thể đạt được hai mục đích sau.

Thu hẹp mặt bằng các cuộc tấn công

Đẩy mạnh quyền kiểm soát quản lý tích cực là vô cùng cần thiết trong trận chiến chống lại malware. Quyền kiểm soát tích cực làm giảm đi đáng kể mặt bằng các cuộc tấn công cũng như các rủi ro nhìn chung. Từ đó, một bước đi đầu quan trọng cho doanh nghiệp đó là quay trở về mô hình quản lý tích cực. Quản lý tích cực đơn giản nghĩa là chỉ cho phép những ứng dụng và giao lượng nhất định mà bạn muốn, thay vì cố chặn mọi thứ mà bạn không muốn.

Quyền quản lý tích cực từ lâu đã là đặc điểm nhận diện của các tường lửa cho mạng lưới, tách biệt chúng với những dạng thiết bị an ninh mạng lưới khác.

Ví dụ như, nếu bạn muốn cho phép Telnet, nghĩa là bạn cho phép port TCP số 23 qua tường lửa của bạn. Đáng tiếc thay, những tường lửa truyền thống không thể xác định chính xác những ứng dụng và giao thức khác cũng có thể sử dụng port 23. Những ứng dụng và malware hiện sử dụng những port không theo chuẩn và thường mở (ví dụ như port TCP 80, 443, và 53) hoặc đơn giản là nhảy qua lại giữa những port được mở sẵn để vào các tường lửa truyền thống.

Mở rộng khả năng quản lý tích cực để bao gồm mọi ứng dụng bất kể số port, thật không phải việc dễ dàng làm được. Nhân viên có thể sử dụng những ứng dụng nhất định mà không có một giá trị kinh doanh rõ ràng và sẵn có. Thêm vào đó, vài ứng dụng có thể được sử dụng cho cả mục đích kinh doanh và cá nhân. Ví dụ như Facebook vừa là mạng xã hội nhưng cùng lúc cũng có thể là một công cụ quan trọng cho chiến lược marketing, kinh doanh, và tuyển dụng của các công ty.

Vì thế, nhóm bảo mật IT của tổ chức nên thăm dò những nhóm đối tượng và phòng ban trong công ty một cách hợp lý để xác định các ứng dụng được duyệt và để đưa ra những chính sách hợp lý. Những chính sách này chỉ nên cho phép một số các người dùng nhất định có thể truy cập vào những ứng dụng nhất định, hoặc giới hạn việc sử dụng các tính năng nhất định của những ứng dụng đó.

Để giảm bề mặt tấn công, những doanh nghiệp nên:

Áp dụng quyền kiểm soát tích cực với tất cả các luồng giao lượng trên mạng lưới nhằm tránh những giao lượng không cần thiết hoặc có rủi ro cao, ngay cả khi các công nghệ mã hóa hay xâm chiếm port được sử dụng để che đậy giao lượng đó.
Áp dụng các chính sách dành cho các ứng dụng được phê duyệt dựa trên nhu cầu cũng như văn hóa doanh nghiệp bằng cách xác định
- Ứng dụng và giao thức nào đang được sử dụng trong mạng lưới?
- Ứng dụng nào cần thiết cho doanh nghiệp và những ai cần sử dụng chúng?
- Ứng dụng cá nhân hoặc ứng dụng lưỡng dụng nào mà doanh nghiệp cho phép sử dụng?

Có thể bạn chưa biết

ERP và BI – “Cặp đôi” hoàn hảo giúp quản trị doanh nghiệp…

Th4 4, 2024

AN TOÀN THÔNG TIN TRONG NGÀNH DẦU KHÍ – CẦN SỰ QUAN TÂM ĐẶC…

Th4 2, 2024

Dịch vụ Đánh giá mức độ trưởng thành số

Th4 1, 2024

Kiểm soát các ứng dụng cho phép malware cấp tiến xâm nhập

Ứng dụng là một phần không thể thay thế được trong vòng đời của một cuộc tấn công, và có vai trò quan trọng đối với cả những bước xâm nhiễm đầu trong máy của mục tiêu và quá trình điều khiển của cuộc tấn công.

Sự liên quan giữa malware với các ứng dụng cũng không còn xa lạ. Trong quá khứ, ứng dụng thực ra đã cho phép malware xâm nhập là e-mail của doanh nghiệp. Từ góc nhìn bảo mật, virus và e-mail đơn giản luôn là một cặp đôi đi chung. Mặc dù e-mail vẫn bị các kẻ tấn công sử dụng, nhưng dường như sự hấp dẫn của nó đã dần mất đi khi mảng bảo mật e-mail dần trở thành một điểm chú trọng đối với nhiều doanh nghiệp. Những kẻ tấn công nay đã chuyển sự chú ý của chúng sang những ứng dụng mục tiêu mềm mỏng hơn, có tương tác với người dùng trong thời gian thực và cung cấp các cơ hội tấn công nhiều hơn gấp bội. Chúng giờ đây đã đặt trọng tâm vào những ứng dụng đơn giản hóa phương pháp tấn công social engineering trong khi có thể giấu đi sự hiện diện của các cuộc tấn công này. Các ứng dụng dành cho hoạt động mạng xã hội và ứng dụng cá nhân đáp ứng cả hai yêu cầu này, và nằm trong những nguồn tài nguyên thông thường nhất cho xâm nhiễm malware và có quyền điều khiển mục tiêu về sau (theo hình 4-2). Những ứng dụng này bao gồm mạng xã hội, e-mail trên website, nhắn tin tức thời (IM), mạng ngang hàng (P2), và truyền tệp tin.

Các ứng dụng mạng xã hội/ cá nhân và kỹ thuật tấn công malware cấp tiến thường dùng.

Những ứng dụng được thiết kế để có thể dễ dàng chia sẻ thông tin bằng nhiều cách khác nhau, mọi người thường sử dụng chúng với một niềm tin mặc nhiên và một thái độ ung dung bởi họ có thể đã quen với việc sử dụng chúng bên ngoài công ty. Điều này đem lại cho các kẻ xấu vô số cơ hội để tấn công mục tiêu.

Ngoài ra, các ứng dụng xã hội cũng đem lại một môi trường lý tưởng cho các phương thức social engineer, cho phép kẻ tấn công giả danh một người bạn hay đồng nghiệp, để dẫn dụ một con mồi ngơ ngẩn nhấn vào đường link đến trang web nguy hiểm. Bởi mọi xâm nhiễm malware tinh vi của chúng có thể tiếp tục được đều phụ thuộc vào việc câu dẫn được người dùng ngu ngơ thực hiện những hành vi không nên, như là nhấn vào một đường link xấu. Thay vì mở một tệp đính kèm trong e-mail, cú click chuột có thể dẫn đến một bài tweet hoặc một trang Facebook trông có vẻ là của một người bạn của mục tiêu. Lỗ hổng cross-site scripting có thể có trong các đường link xấu từ bạn bè, và các công nghệ nghe trộm gói tin (packet sniffing) như FireSheep cho phép kẻ tấn công chiếm lấy những tài khoản mạng xã hội.

Chủ động kiểm tra các tệp thư mục chưa xác định

Kẻ tấn công có thể dễ dàng điều chỉnh các malware và exploit nhằm giúp cho các cuộc tấn công của họ không bị dò tìm được bởi các mã nhận diện đã xác định. Sự linh hoạt này là một trong những công nghệ then chốt cho phép kẻ tấn công chuyên nghiệp có thể đứng vững trong mạng lưới của mục tiêu mà không hề lôi kéo bất kỳ sự chú ý nào từ hệ thống bảo mật.

Để nhận diện được sự biến chuyển này từ các kẻ tấn công, bạn cần phải áp dụng những công nghệ mới có khả năng nhận biết các mối đe dọa chưa xác định dựa vào cách thức nó hoạt động chứ không đơn giản dựa vào vẻ bề ngoài của nó. Dạng phân tích một cách chủ động này có thể được thực hiện qua việc xem xét các tệp đáng ngờ trong một sandbox. Sandbox là một môi trường ảo nơi bạn có thể chạy thử và quan sát một tệp đáng ngờ có thể làm được gì, từ đó rút ra được phương pháp dò tìm những mối đe dọa mới.

Tuy nhiên, việc kiểm tra dò tìm chỉ là một phần của trận chiến. Các biện pháp đối với những mối nguy này vẫn cần thiết để giữ cho mạng lưới và người dùng an toàn. Trong việc phân tích malware chủ động, điều quan trọng là phải kết nối chặt chẽ với tường lửa thế hệ tiếp theo để kết quả của cuộc phân tích có thể được sử dụng để hỗ trợ cho việc thi hành các biện pháp này. Thông thường thì những biện pháp có thể kể đến bao gồm:

Biện pháp bảo vệ động dành cho malware không xác định vừa được phát hiện gần đây, lỗ hổng Zero-day, và những biến thể của nó.
Biện pháp bảo vệ dành cho những malware liên quan có thể sử dụng server điều khiển hoặc cơ sở hạ tầng.
Biện pháp bảo vệ dành cho những mối nguy tận dụng chiến lược điều khiển tương tự
Biện pháp bảo vệ cho những mối đe dọa sử dụng miền và địa chỉ URL có liên quan.

Kiểm soát những ứng dụng có thể cho phép malware xâm nhập như:

Chặn sử dụng của những ứng dụng “xấu” như chia sẻ tệp tin mạng ngang hàng P2P
Hạn chế việc sử dụng ứng dụng cho người dùng và nhóm có nhu cầu kinh doanh chính đáng
Vô hiệu hóa các tính năng cụ thể trong những ứng dụng nguy hiểm như truyền tệp tin, chia sẻ máy tính, và xây đường hầm
Ngăn chặn các cuộc tấn công Drive-by-download từ những trang web bị xâm hại, có thể tự động tải về những tệp tin độc hại mà người dùng không biết
Mã hóa giao lượng SSL một cách có chọn lọc, dựa trên ứng dụng và địa chỉ URL (mã hóa mạng xã hội và mail công ty, nhưng không phải giao lượng tài chính chẳng hạn

Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.

Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com

Thegioibantin.com | Vina-Aspire News

Nguồn: Cybersecurity for Dummies

(Dịch bởi Vina Aspire)

H	B	T	N	S	B	C
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30