Tại sao các giải pháp an ninh truyền thống thất bại trong việc kiểm soát APT
Cảnh quan các mối đe dọa ngày nay khiến cho những tường lửa truyền thống dựa trên port, hệ thống chống xâm nhập (IPS), và các giải pháp an ninh khác dần mất hiệu lực trong việc bảo vệ mạng lưới của doanh nghiệp.
Hiện trạng các cuộc tấn công ngày càng tân tiến
Trong quá khứ, các server mục tiêu bị lợi dụng và malware được gửi đến cho người dùng qua email. Những mối đe dọa này phần lớn có tính độc lập và được xử lý bằng nhiều cách khác nhau. Ngày nay, các exploit cũng nhắm vào những người dùng cuối và cùng lúc đó, làm việc với một số các ứng dụng để gắn các malware đến cho người dùng bằng những phương pháp không thể ngờ đến. Các ứng dụng này bao gồm
- Ứng dụng truyền tập tin
- Ứng dụng nhắn tin tức thì
- Webmail
- Các mạng lưới ứng dụng xã hội
- Mạng blog nhỏ (microblog)
- Ứng dụng quản lý workflow (dòng chảy công việc) và ứng dụng hợp tác
Điều này có nghĩa là các kẻ tấn công có thậm chí còn nhiều mục tiêu hơn cho các đợt tấn công của chúng và một kho tài nguyên dồi dào các thiết bị để hỗ trợ cho các đợi tấn công đó. Còn tệ hơn thế, những ứng dụng thường hoạt động dựa trên mô hình thời gian thực. Khó có ai có thể để ý những đợt email bị trì hoãn chính là khi các tin nhắn được dò tìm xem có malware hay không trên một server email trước khi gửi đi. Nhưng hiện nay mối đe dọa được bởi trình duyệt và các nền tảng ứng dụng khác mà nếu bị trì hoãn sẽ đưa ra những lời phàn nàn từ người dùng.
Thiếu hụt tính rõ ràng
Nhằm tối đa hóa khả năng truy cập và sử dụng, nhiều ứng dụng được thiết kế từ đầu để phá vỡ các tường lửa dựa trên port truyền thống bằng cách chỉnh sửa cách chúng giao tiếp với nhau. Điều này thường dẫn đến sự xuất hiện của malware. Các đợt tấn công APT nhận thấy xu hướng này và dựa trên đó mà mở rộng ra. Nói một cách đơn giản, bạn không thể kiểm soát mối đe dọa mà bạn không thể thấy, và đợt tấn công APT sử dụng nhiều thể loại thủ đoạn để che giấu bản chất hoặc sự tồn tại của chúng trên mạng lưới. Trong đó bao gồm:
Số port không theo chuẩn và port hopping. Các ứng dụng xâm nhập là một trong những nhân tố chủ chốt dẫn đến “cái chết” của các tường lửa truyền thống dựa trên port. Tuy nhiên, các sản phẩm IPS và đe dọa truyền thống cũng phần nhiều dựa trên port để xác định nên ứng dụng kỹ thuật phân tích hay tín hiệu nhận dạng nào vào luồng giao lượng. Điểm yếu này được làm rõ hơn bởi việc các đợt tấn công APT thường kết nối từ bên trong của mạng lưới bị xâm nhiễm đến với kẻ tấn công ở bên ngoài. Từ đó kẻ tấn công có thể hoàn toàn linh hoạt sử dụng bất kỳ số port, giao thức, hay mã hóa nào mà hắn muốn. Qua đó, hoàn toàn đánh bại bất cứ phương thức kiểm soát dựa trên số port nào.
Mã hóa lớp socket bảo mật SSL. Những người tạo nên malware phần lớn dựa vào đa dạng các thể loại mã hóa để che đậy sự xâm nhiễm của giao lượng, cũng như giao lượng điều khiển CAC (command-and-control) có liên kết với botnet. SSL là phương thức được yêu thích, đơn giản vì nó đã là giao thức mặc định trong rất nhiều các trang mạng xã hội, như Gmail hoặc Facebook. Những trang này một cách trùng hợp lại là một cơ hội màu mỡ cho dạng tấn công social engineering và malware. Nhiều nhóm an ninh IT thiếu khả năng nhận biết các dòng malware trong mạng lưới của họ. Các dạng mã hóa khác cũng nổi lên nhờ khả năng che đậy malware trong giao lượng của chúng. Các ứng dụng ngang hàng có cả chức năng xâm nhiễm và điều khiển, và thường dùng các mã độc quyền, một lần nữa cho phép các nội dung độc hại đi qua mạng lưới truyền thống mà không bị phát hiện.
Tunneling. Kỹ thuật Tunneling đem lại cho các kẻ tấn công một công cụ mới để che đậy các . Nhiều ứng dụng và giao thức hỗ trợ khả năng luồn các ứng dụng và giao thức khác ở trong chúng. Điều này cho phép các kẻ tấn công có thể ngụy trang đường kết nối của họ như các dịch vụ hoặc ứng dụng được cho phép để vượt qua phương thức an ninh truyền thống của mạng lưới.
Proxy. Phần mềm malware cao cấp và các hacker dùng proxy để vượt qua các tường lửa truyền thống. TD;-4, botnet “bất diệt” cài đặt một server proxy vào mọi máy chủ mà nó xâm nhiễm. Từ đó cho phép con bot không chỉ tự bảo vệ phương thức kết nối của nó mà còn tạo dụng một mạng lưới vô danh mà bất cứ ai cũng có thể sử dụng để che giấu hành tung trong quá trình hack hoặc thực hiện các hành vi trái pháp luật khác.
Anonymizer và circumventor. Các công cụ như UltraSurf, Tor, và Hamachi được đặc biệt làm để tránh kiểm soát an ninh mạng lưới. Khác với phần lớn các công nghệ khác được nhắc đến trong phần này, circumventor hầu như không có công dụng chính thống nào trong một mạng lưới doanh nghiệp. Những ứng dụng này được cập nhật mỗi tháng một lần (hoặc thậm chí mỗi tuần một lần) để tránh bị phát hiện trong một vòng lặp đuổi bắt không điểm dừng với các phương thức bảo mật truyền thống.
Encode và obfuscation. Malware gần như luôn mã hóa các chuyển giao bằng những phương thức đặc biệt. Encoding và Obfuscation không chỉ giúp nó tránh bị phát hiện dấu vân tay số (signature), mà còn giấu đi mục tiêu thực sự của malware đó. Kỹ thuật này có thể chỉ đơn giản là chuyển đổi các chuỗi ký tự thành hệ thập lục phân, hoặc có thể tinh vi như phát triển một thuật toán để xuất ra các bản dịch chi tiết.
Chiến đấu trong tối: Sự hội tụ của Mạng xã hội, SSL, và Tấn công kỹ thuật cao
Phương tiện truyền thông mạng xã hội, Social Media, là một mục tiêu “bền vững” cho social engineering, xâm nhiễm malware, và điều khiển. Nhóm các loại ứng dụng đa dạng này bao gồm social networking, e-mail của webmail, tin nhắn tức thời, giao thức truyền tin dựa trên web, và đa dạng các loại blog, bảng tin nhắn, và các nền tảng microblog như Twitter.
Như một nhóm, các ứng dụng này đã trở thành những mục tiêu được các hacker yêu thích bởi chúng cung cấp quyền truy cập dễ dàng, hầu như không hạn định vào đường link yếu nhất của mạng lưới bảo mật của doanh nghiệp, đó là người dùng. Nói riêng, những ứng dụng này tạo nên nhiều cơ hội để lấy lòng tin của mục tiêu và mời mọc với vô số các đường link, thẻ script, quảng cáo, và các hình ảnh, trong đó mọi thứ có thể được dùng để xâm nhập vào máy của một người dùng vô nghi. Thêm vào đó, độ nổi tiếng của những ứng dụng này khiến cho giao lượng của kẻ tấn công dễ dàng hòa nhập vào dòng giao lượng của người dùng thông thường và di chuyển quanh mạng lưới mà không bị nghi ngờ. Đặc điểm này đúng với cả giao lượng inbound và outbound, với đa dạng các bot và malware biết sử dụng social networking, mạng blog nhỏ (microblogging), và bảng tin nhắn như các kênh điều khiển để quản lý một botnet hoặc một đợt xâm chiếm đang diễn ra.
Với nỗ lực để nâng cấp mảng bảo mật cho người dùng, nhiều ứng dụng bắt đầu sử dụng SSL như một chương trình bảo vệ mặc định cho mọi giao lượng. Việc chuyển giao sang SSL, mỉa mai thay, lại khiến một tình huống bảo mật có vẻ tệ nay còn tệ hơn bằng cách mã hóa chính các kênh mà hacker đang sử dụng để tấn công mạng lưới. Giờ đây, thay vì cố gắng trốn tránh hoặc bị ép phải sử dụng ứng dụng circumventor, thứ có thể sẽ lôi kéo sự chú ý không mong muốn, những kẻ tấn công nay có thể dễ dàng hoạt động ngay trong kết nối của SSL giữa ứng dụng và mục tiêu người dùng. Điều này cung cấp một nền tảng gần như là hoàn hảo cho hacker với vô số các mục tiêu, đầy đủ các trung gian tấn công và các lớp áo choàng bảo vệ có sẵn khỏi các phương thức an ninh bảo mật.
Cuối cùng, nhiều ứng dụng kinh doanh mới cũng dùng những kỹ thuật trên để làm quy trình dễ dàng hơn đồng thời giảm sai sót cho người dùng, đối tác, cũng như chính các bộ phận kế hoạch-kinh doanh và an ninh bảo mật của tổ chức. Ví dụ như, RPC (các cuộc gọi thủ tục từ xa) và SharePoint sử dụng port hopping bởi nó quan trọng với cách giao thức và ứng dụng (theo thứ tự) hoạt động, hơn là bởi nó là một cách để tránh bị phát hiện hoặc để nâng cao tính có sẵn.
Tránh Mã nhận diện Signature
Cách thức tiếp cận truyền thống nhằm phát hiện và ngăn chặn malware đươc đơn giản dựa trên việc thu thập các mẫu malware và viết ra một mã nhận diện (signature) cho mẫu đó. Ngay cả khi nó hoạt động ở mức tốt nhất, cách thức này cũng có nhiều điểm trừ đơn giản do tính chất phản ứng của chiến lược này.
Vốn dĩ, ta không thể áp dụng hàng bảo vệ cho tới khi malware đã được tung ra , tuy nhiên trong khoảng thời gian này thì các mạng lưới vẫn còn dửng dưng với mối đe dọa này. Để có thể bảo vệ cho các mạng lưới của doanh nghiệp, một mẫu từ một giao lượng đáng ngờ mới hoặc vô danh phải được thu thập và nhận diện trước khi các công ty an ninh bảo mật có thể tạo ra một mã nhận diện. Mô hình phản ứng này mở ra cơ hội mới cho kẻ tấn công, từ đó khiến cho các mạng lưới trở nên yếu thế – điều này thỉnh thoảng kéo dài qua nhiều tuần và thậm chí nhiều tháng – cho tới khi malware mới bị nghi ngờ, thu thập, phân tích và nhận diện. Trong khoảng thời gian này, các kẻ tấn công có thể tự do mà xâm nhiễm các mạng lưới và máy người dùng.
Malware cấp tiến đã lợi dụng điểm yếu này để phát triển và tiến hoác các kỹ thuật để tránh bị thu thập và để tránh các mã nhận diện vốn đã được tạo ra. Malware có mục tiêu và đa hình là các kỹ thuật đang ngày càng thông dụng nhằm khai thác những điểm yếu vốn có của hệ thống dò tìm dựa trên mã nhận diện.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
Thegioibantin.com | Vina-Aspire News
Nguồn: Sách Cybersecurity for Dummies – Dịch bởi Vina Aspire