Giải pháp bảo vệ trước cuộc tấn công mạng

(PCWorldVN) Ngăn chặn mã độc xâm nhập hệ thống là vấn đề không thể giải quyết trọn vẹn. Do vậy, cần phải có cách tiếp cận nhằm phát hiện được các mối de dọa tiềm tàng và ngăn chặn chúng.

• Việt Nam trước hiểm họa tấn công APT
• 5 cách chống đỡ cuộc tấn công có chủ đích - APT
• Cần có thao trường diễn tập ATTT chống tấn công mạng
• Diễn tập bảo vệ hệ thống thông tin TP.HCM 2016

Mã độc (malware) hiện nay có khả năng che dấu, ẩn mình và vượt qua các biện pháp phòng thủ truyền thống. Đội an ninh thông tin luôn phải đối mặt với nhiều thách thức vì những công cụ bảo mật mà họ được trang bị không đủ khả năng kiểm soát cũng như phát hiện và loại bỏ các mối đe dọa trước khi mã độc gây ra thiệt hại cho hệ thống.

Thống kê cho thấy các tổ chức đang từng ngày phải đối mặt với những đợt tấn công âm thầm và liên tục. Doanh nghiệp bị tấn công mạng, mất cắp dữ liệu luôn là vấn đề nóng. Hacker trên toàn cầu đã và đang tạo ra những loại mã độc tinh vi, lây nhiễm vảo hệ thống bằng nhiều cơ chế khác nhau. Những công cụ bảo mật hiện đại thường quan sát dữ liệu, tập tin ngay khi mã độc xâm nhập vào hệ thống mạng, nhưng lại cung cấp rất hạn chế thông tin về hoạt động của những mối đe dọa đang tìm cách vượt qua hệ thống phòng thủ. Vì vậy, các cuộc tấn công có chủ đích thường dễ dàng vượt qua những công cụ phòng thủ truyền thống như Firewall, IPS…

Như đã đề cập, việc ngăn chặn mã độc xâm nhập vào hệ thống là vấn đề không thể giải quyết trọn vẹn. Do vậy, cần phải có những cách tiếp cận nhằm phát hiện được các mối de dọa tiềm tàng và ngăn chặn trước khi chúng gây thiệt hại.

Trong phần này chúng ta sẽ xem xét hai giải pháp điển hình: AMP của Cisco và MATD của Intel.

Advanced Malware Protection của Cisco
Cisco là một trong những nhà tiên phong trong việc đưa ra giải pháp giúp doanh nghiệp theo dõi được mọi hoạt động đang diễn ra trong hệ thống mạng, từ đó có khả năng chủ động ứng phó trước những đợt tấn công của hacker.

Advanced Malware Protection (AMP) là giải pháp bảo mật cho phép xử lý mã độc ở các giai đoạn phát tán hay đang ẩn mình trong hệ thống. Giải pháp mang lại khả năng kiểm soát, nhanh chóng phát hiện, cách ly và triệt tiêu các mối đe dọa bằng mã độc ngay cả khi chúng đã vượt qua được lớp tường lửa phòng thủ hay các hệ thống AntiVirus truyền thống hiện nay. AMP là một công cụ không thể thiếu cho công tác điều tra các sự cố an ninh mạng có liên quan tới mã độc. Giải pháp AMP không những mang lại hiệu quả về mặt chi phí mà còn gây ảnh hưởng tối thiểu đến khả năng vận hành của hệ thống.

Bảo mật là một chuỗi quá trình kiểm tra
AMP là giải pháp được tích hợp thông tin, khả năng phân tích và phòng chống mã độc hiện đại. Hệ thống sẽ được bảo vệ một cách toàn diện và liên tục: trước khi, trong khi và sau khi những cuộc tấn công đã vượt qua được lớp bảo mật truyền thống như tường lửa, antivirus.  

• Trước khi bị tấn công. AMP sử dụng thông tin về các mối đe dọa trên toàn cầu được thu thập từ Cisco’s Collective Security Intelligence, Talos Security Intelligence and Research Group, và AMP Threat Grid để ngăn chặn những cuộc tấn công bằng mã độc đã được biết đến trước đó hay đã được công bố trên thế giới, củng cố phòng thủ cũng như chống lại những mối đe dọa tiềm tàng.

• Trong khi bị tấn công. AMP sử dụng những thông tin có được từ những cuộc tấn công đã biết (signature), kết hợp với công nghệ AMP Threat Grid với khả năng tự động phân tích mã độc để xác định và ngăn chặn những tập tin nghi ngờ, nguy hiểm đang cố gắng xâm nhập vào hệ thống mạng.

• Sau khi tin tặc đã thực hiện được xâm nhập. AMP không chỉ kiểm tra, giám sát tại thời điểm bị tấn công mà vẫn tiếp tục theo dõi và phân tích toàn bộ hoạt động, đường đi của dữ liệu dù được coi trước đó là “sạch”, tìm kiếm dấu hiệu của những hành vi nguy hiểm. Khi phát hiện một tập tin có chứa mã độc hại, AMP cung cấp cho nhà quản trị các thông tin trực quan về hoạt động trong mạng, trong từng thiết bị đầu cuối của mã độc, AMP cũng cho phép ứng phó nhanh và giải quyết sự cố thông qua giao diện web đơn giản. Những tính năng này cho phép đội an ninh có thể quản lý và kiểm soát sâu bên trong hệ thống, nhanh chóng phát hiện tấn công, xác định phạm vi lây lan và cô lập mã độc trước khi chúng gây ra thiệt hại đáng kể hơn cho hệ thống.

Phân tích & theo dõi liên tục mọi hành vi trong hệ thống
Hầu hết các hệ thống chống mã độc nằm trên mạng hoặc trên thiết bị đầu cuối chỉ kiểm soát dữ liệu khi chúng đi vào hệ thống. Nhưng mã độc ngày nay rất tinh vi và có khả năng vượt qua những phát hiện ban đầu nhờ vào kỹ thuật ẩn mình như mã hóa hay sử dụng những giao thức chưa từng được biết tới. Không thể ngăn chặn những thứ mà bạn không thể thấy, đó là nguyên nhân chính dẫn đến nhiều hệ thống thất thủ trước những cuộc tấn công. Đội an ninh không thấy được mối đe dọa và không hề hay biết về sự tồn tại của mã độc. Vì vậy, họ không thể tiến hành biện pháp cách ly và ngăn chặn. Thông thường, mã độc chỉ bị phát hiện sau một thời gian dài hoặc sau khi hacker đã đạt được mục tiêu đánh cắp dữ liệu và gây ra thiệt hại cho hệ thống.

AMP mang lại giá trị khác biệt trong phương thức và nhận thức về bảo mật, đó là phương pháp phòng ngừa, ngăn chặn ngay cả khi hệ thống phát hiện mã độc không phát huy hiệu quả 100%. AMP tiếp tục phân tích các tập tin, dữ liệu ngay cả đối với các tập tin được coi là “lành tính” . Với các tập tin này, AMP cùng hệ thống hỗ trợ thu thập thông tin và phân tích mã độc trên đám mây tiếp tục theo dõi, phân tích và ghi lại toàn bộ hoạt động của những tập tin, giao tiếp giữa các thiết bị đầu cuối và trên mạng nhằm nhanh chóng phát hiện những mối đe dọa đang ẩn mình. Ngay khi có các kết quả phân tích mới về mã độc được cập nhật từ đám mây AMP sẽ đưa ra cảnh báo cũng như cung cấp đầy đủ thông tin dựa trên hành vi của mối đe dọa, từ đó người quản trị mạng có thể tự mình trả lời những câu hỏi quan trọng sau:

• Mã độc đến từ đâu?
• Mã độc xâm nhập vào hệ thống nào đầu tiên , bằng cách nào?
• Mã độc đã tác động vào những phân vùng nào của hệ thống và những hệ thống đã bị lây nhiễm?
• Mã độc đã và đang làm gì?
• Làm thế nào ngăn chặn và loại bỏ chúng?

Dựa trên những thông tin này, đội ngũ an ninh có thể nhanh chóng nắm bắt được điều gì đang xảy ra và tiến hành những biện pháp kỹ thuật để cách ly hoặc ngăn chặn mã độc tiếp tục xâm hại đến hệ thống cũng như các thiết bị đầu cuối như PC, server. Với khả năng liên tục kiểm tra, giám sát, đánh dấu lại toàn bộ lưu lượng mạng ra vào hệ thống, cũng như thông tin các tập tin được lưu trữ và thực thi tại những thiết bị đầu cuối nào, AMP có thể ngăn chặn được những đợt tấn công, cũng như là công cụ đắc lực cho công tác điều tra sự cố sau các đợt tấn công có sử dụng mã độc.

McAfee Advanced Threat Defense của Intel
Việc đầu tư và triển khai các giải pháp bảo mật mới theo nhu cầu đã trở thành nỗi ác mộng dai dẳng của hầu hết các tổ chức hiện nay. Hệ thống bảo mật trở nên phức tạp, các chức năng trùng lặp đã gây khó khăn trong việc bảo vệ, phát hiện và xử lý sự cố an ninh. Bên cạnh đó, chi phí đầu tư mới cũng như bảo trì cho toàn bộ hệ thống bảo mật tăng lên một cách đáng kể.

Từ những vấn đề trên, Intel Security đưa ra chiến lược xây dựng hệ thống bảo mật “Threat Defense LifeCycle” trên nền tảng kiến trúc Enterprise Security Connected. Với kiến trúc này, các sản phẩm bảo mật được kết nối với nhau để chia sẻ thông tin về các mối nguy hại, đồng thời được tích hợp để tự động hóa các tác vụ phát hiện, xử lý sự cố và bảo vệ hệ thống CNTT nhanh và hiệu quả hơn.

McAfee Advanced Threat Defense (MATD) được thiết kế để phát hiện mã độc tàng hình, zero-day. Nó sử dụng một cách hiệu quả các nguồn thông tin: chữ ký để phát hiện virus, dịch vụ đánh giá mức độ uy tín, và mô phỏng thời gian thực, thông qua đó nhanh chóng xác định và ngăn chặn mã độc.

Việc phát hiện mã độc là quan trọng, nhưng đó chỉ là một phần của một giải pháp hiệu quả. Do đó, mở rộng tầm bảo vệ từ hệ thống mạng đến hệ thiết bị cuối là cần thiết, để không chỉ nhận dạng được mã độc mà còn bảo vệ chống lại các mối nguy hại từ nó. Một trong những điểm cốt lõi của an ninh tích hợp hệ thống là khả năng chia sẻ thông tin giữa các cơ sở hạ tầng với nhau để cung cấp khả năng bảo mật mạnh mẽ hơn.

Giải pháp của McAfee đã thay đổi hành vi “phát hiện” truyền thống bằng cách kết nối khả năng phân tích mã độc với các hệ thống phòng thủ, từ mạng vành đai đến các thiết bị đầu cuối, và chia sẻ thông tin về mối đe dọa đã được phân tích với toàn bộ môi trường CNTT.

McAfee tập trung vào ba yếu tố quan trọng để giải quyết vấn đề mã độc là: tìm mối đe dọa (Find), đóng băng nó (Freeze), và khắc phục (Fix).

Find: Khi các giải pháp Endpoint Security, Web Filtering, Network IPS không thể xác định chắc chắn 100% một tập tin đáng ngờ là mã độc, chúng chuyển thông tin này cho MATD, và MATD sẽ phân tích tập tin trong một môi trường ảo hóa, tương đồng với hệ thống thực. MATD không chỉ nhìn vào mã thực thi, mà còn nhìn những mã không hoạt động.

Freeze: Việc tích hợp chặt chẽ giữa các giải pháp của McAfee cho phép chia sẻ kết quả phân tích của MATD với Endpoint Security, Web Gateway và Network IPS…  Từ đó giúp các thành phần này có thể chủ động phát hiện và ngăn chặn tập tin đáng ngờ do MATD đã dán nhãn mã độc. Network Security Platform thậm chí có thể cô lập hệ thống đã bị lây nhiễm để ngăn chặn mã độc lây lan.

Fix: Có thể sử dụng Real Time với ePO để khắc phục bất kỳ thiệt hại gây ra bởi mã độc. Real Time sẽ đặt “câu hỏi” cho các thiết bị đầu cuối trong mạng và sau đó hành động theo câu “trả lời” nhận được. Dựa trên kết quả phân tích của MATD, có thể nhanh chóng phát hiện hệ thống bị nhiễm. Sau đó, Real Time tự động loại bỏ các tập tin liên quan và các hành động đã được khởi tạo bởi mã độc.

Các thành phần của MATD
MATD dễ dàng tích hợp với các giải pháp bảo mật khác của McAfee như McAfee Network Security Platform, Web Gateway, Endpoint Protection. MATD kết hợp nhiều khả năng phát hiện phần mềm độc hại ở nhiều lớp khác nhau:

• McAfee Antivirus cung cấp chữ ký để nhanh chóng phát hiện các phần mềm độc hại đã được biết.
• McAfee Global Threat Intelligence theo dõi những hành vi bất bình thường và xác định danh tiếng các trang web độc để sản phẩm bảo mật McAfee có thể chặn truy cập.
• Real-Time Emulation Engine: mô phỏng việc thực thi của một file và ghi lại kết quả hành vi, kết quả phân tích tương ứng với thời gian thực.
• Dynamic analysis: là công nghệ chạy mã độc trong một môi trường an toàn (môi trường ảo, được gọi là sandbox) để quan sát hành vi của mã độc.
• Full Static Analysis: là công nghệ liên quan đến việc giải mã thực tế và phân tích mã độc để xác định nó sẽ thực thi như thế nào.

Cách tiếp cận theo nhiều lớp được thiết kế để đảm bảo bất cứ khi nào mã độc được lọc ra bởi nhiều lớp mà không mất thêm thời gian và nguồn lực để phân tích. Cách tiếp cận này nhằm để phân tích nhanh hơn và bảo vệ tốt hơn.

Thay vì triển khai riêng lẻ các giải pháp, MATD quản trị tập trung cùng với sự tích hợp liền mạch với các sản phẩm khác của McAfee, được thiết kế một cách thống nhất để đơn giản hóa việc quản trị và giảm chi phí vận hành trong khi tối đa hóa khả năng bảo vệ.

PC WORLD VN, 09/2016