1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu phương pháp phòng chống tấn công APT lên hệ thống thông tin

26 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên cứu phương pháp phòng chống tấn công APT lên hệ thống thông tin
Tác giả Nguyên Thị Khánh Chi
Người hướng dẫn TS. Đỗ Xuân Chợ
Trường học Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành Hệ thống thông tin
Thể loại Luận văn
Năm xuất bản 2015
Thành phố Hà Nội
Định dạng
Số trang 26
Dung lượng 7,08 MB

Nội dung

Trang 1

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

NGUYÊN THỊ KHÁNH CHI

NGHIÊN CỨU PHƯƠNG PHÁP PHÒNG CHONG TAN CÔNG APT LÊN HỆ THÓNG THÔNG TIN

CHUYÊN NGÀNH: HỆ THÓNG THÔNG TIN

MÃ SỐ : 60.48.01.04

HÀ NOI - 2015

Trang 2

Luận văn được hoàn thành tại:

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ

Phản biện I: TS HOÀNG XUAN DẬU - :s:

Phản biện 2: PGS.TS TRINH NHẬT TIÉN - - - :

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện Công

nghệ Bưu chính Viễn Thông

Vào lúc: 13 giờ 00 ngày 20 tháng 09 năm 2015

Có thể tìm hiểu luận văn tại:

- Thu viện của Học viện Công nghệ Bưu chính Viễn Thông

Trang 3

MỞ ĐẦU

1 Lý do chọn đề tài

Ngày nay, cùng với sự phát triển không ngừng của Internet đã tạo ra điều kiện thuận lợi cho mọi mặt của đời sống xã hội Tuy nhiên, song song với những mặt thuận lợi đó là nguy cơ về mat an toàn thông tin Trong thực tế, các cơ quan chính phủ, các tổ chức hay các doanh nghiệp lớn đang là đích ngắm của tội phạm máy tính Các cuộc tan công vào hệ thông máy tính thì ngày càng tinh vi hơn, chúng được đầu tu kỹ lưỡng về cả tiền bạc và thời gian Chính vì vậy, có những cuộc tấn công nguy hiểm mà hậu quả của nó để lại là vô cùng lớn từ những thiệt hại của doanh nghiệp, tô chức đến những thông tin chính trị quan trọng của các

chính phủ.

Một trong các dạng tan công tiêu biểu, được nhắc đến rất nhiều hiện nay là tan công

APT (Advanced Persistent Threat) Tan công APT là hình thức tan công nguy hiểm, có chủ

đích mục tiêu rõ ràng Bằng cách sử dụng nhiều loại phương pháp, công nghệ tinh vi và

phức tạp dé tan công vào mục tiêu nhằm đạt được những thông tin mật, nhạy cảm Các nước lớn có nền công nghệ thông tin phát triển như Mỹ, Ấn Độ, Anh và cả Việt Nam cũng đã đều là nạn nhân của cuộc tấn công có chủ đích này.

Mặc dù, thiệt hai mà cuộc tan công APT đã gây ra rất nghiệm trọng tuy nhiên việc

phòng chống tân công APT hiện nay vẫn bị xem nhẹ, chưa được đầu tư đúng đắn Do đó,

việc nghiên cứu về cơ chế hoạt động của tan công APT là điều rat quan trọng, giúp hiểu tan

công này Chỉ khi hiểu rõ thì mới đưa ra được những phương án phòng chống APT thích hợp dé đạt được hiệu quả tốt nhất Với mục đích đưa ra cái nhìn tổng quan nhất về tan công APT từ đó sẽ đề xuất các giải pháp dé phòng chống cuộc tan công này, học viên xin chọn dé

tài “Nghiên cứu phương pháp phòng chong tan công APT lên hệ thống thông tin”.

2 Mục đích nghiên cứu

Nghiên cứu sâu về tan công APTnhu: khái niệm, các đặc điểm chính, các giai đoạn cơ ban của một cuộc tan công va các công cụ thường được sử dụng trong tan công APT.

Nghiên cứu các giải phápphòng chống cuộc tấn công APT như quản lý rủi ro, vấn đề

công nghệ và đào tạo nhân viên, con người từ đó đưa ra duoc phương án phòng chống tan

công APT hiệu quả.

Nghiên cứu, mô phỏng, đánh giá một tan công và phòng chống APT 3 Đối tượng và phạm vi nghiên cứu

Trang 4

Đối tượng nghiên cứu: Các giải pháp công nghệ nham phòng chống cuộc tan công

APT lên hệ thống thông tin.

Pham vi nghiên cứu: Các kỹ thuật, các phương thức, các giải pháp, các công nghệ mới đề có thê phòng chống các cuộc tan công APT vào hệ thống thông tin.

4 Phương pháp nghiên cứu

Dựa trên co sở lý thuyết của tan công APT và các giải pháp công nghệ an toàn trong

hệ thống thông tin cùng các kết quả thực nghiệm nhận được trong quá trình thực hiện.

5 Cấu trúc của luận van

Ngoài phần mở đầu, kết luậnluận văn gồm 4 chương chứa nội dung chính:

Chương 1 Tổng quan về an toàn hệ thong thông tin: Trinh bày một cách khái quát về

hệ thống thông tin và an toàn hệ thống thông tin Đồng thời, chương này cũng sẽ trình bày về các mối đe doa, 16 hồng và các dạng tan công điển hình vào hệ thống thông tin hiện nay.

Chương 2: Nghiên cứu tấn công APT: Nghiên cứu sâu về khái niệm, các đặc điểm, cơ chế hoạt động của tan công APT Trong chương này cũng sẽ nêu lên được những đặc điểm khác nhau giữa tan công APT và các cuộc tan công khác cùng các cuộc tan công APT điển hình đã xảy ra tại Việt Nam.

Chương 3: Phương pháp phòng chống tấn công APT: Nội dung chính của chương 3

là nghiên cứu các phương pháp kỹ thuật phòng chống tấn công APT Bên cạnh việc phân tích đánh giá cuộc tấn công APT, trong chương 3 của luận văn đặt ra những yêu cầu, nhiệm vụ đối với hệ thống phòng chống tấn công APT cũng như các biện pháp, phương pháp phòng chống tan công cụ thé: bao gồm 3 yếu tố: con người, chính sách và công nghệ.

Chương 4: Mô phỏng và thứ nghiệm: Trong chương 4, luận văn trình bày thực nghiệm tan công APT lên HTTT với sự hỗ trợ của các công cụ hiện đại và bao gồm các quy trình tấn công cụ thể Đồng thời trong chương này, luận văn cũng thực hiện mô phỏng phòng chống tấn công APT bằng một trong các giải pháp phòng chống tấn công đã nghiên

cứu ở chương 3.

Trang 5

CHƯƠNG 1 TONG QUAN VE AN TOÀN HE THONG THONG TIN

1.1 Tim hiểu an toàn trong hệ thống thông tin

1.1.1 Khái niệm an toàn trong hệ thống thông tin

An toàn thông tin (Information System): là việc bảo vệ chống truy nhập, sử dụng, tiết lộ, sửa đôi, hoặc phá hủy thông tin một cách trái phép Hai lĩnh vực chính của AT TT:

- An toàn công nghệ thông tin (IT Security): là ATTT áp dụng cho các hệ thống công

- Dam bảo thông tin (Information Assurance): là việc dam bảo thông tin không bị mất khi xảy ra các sự cô (thiên tai, hỏng hóc hệ thống, trộm cắp, phá hoại, ).

1.1.2 Những thuộc tính an toàn của hệ thong thông tin

> Tinh bí mật (Confidentiality): Bảo vệ dữ liệu không bị lộ ra ngoài một cách trai phép .

Các thông tin bí mật có thể gồm: dữ liệu riêng của cá nhân, các thông tin thuộc quyền sở

hữu trí tuệ của các doanh nghiệp hay các cơ quan/tô chức, các thông tin có liên quan đến an

ninh quốc gia.

> Tinh toàn vẹn (Integrity):Thông tin chỉ có thê được sửa đổi bởi những người dùng có thầm quyền Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu.

> Tính sẵn sang (Availability): Tính sẵn dùng có thê được đo bằng các yếu tố: thời gian

cung cấp dich vụ, thời gian ngừng cung cấp dịch vu,thdi gian trung bình giữa các sự có, thời gian trung binh ngừng dé sửa chữa, thời gian khôi phục sau sự cô.

1.1.3 Các mục tiêucủa an toàn thông tin

> Ngăn chan (prevention): Mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách, có nhiều sự kiệu, hành vi dẫn đến vi phạm chính sách Có những sự kiện đã được nhận diện là nguy cơ của hệ thống nhưng có những sự kiện chưa được ghi nhận là nguy cơ.

> Phát hién( detection): VỀ co bản, các cơ chế phát hiện xâm nhập chủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống và dữ liệu đang lưu thông

trên mạng dé tìm ra các dấu hiệu vi phạm.

> Phục hồi (Recovery): Tùy theo mức độ nghiêm trọng của sự cố mà có các cơ chế phục hồi khác nhau.

1.1.4 Các thành phan can bảo vệ trong hệ thong thông tin

HTTT là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý và trao đổi thông tin, tri thức và các sản phẩm số Các thành phan cần bảo vệ trong

Trang 6

HTTT như phần cứng, phần mềm, nguồn nhân lực, CSDL, mạng Trong đó, phần cứng, phần mềm là đối tượng trung tâm của các HTTT và nguồn nhân lực đóng vai trò quyết đỉnh.

1.1.5 Giải pháp chung bao đảm an toàn thông tin

> Chính sách: Chính sách bảo vệ là tập hợp các quy tắc áp dụng cho mọi đối tượng có

tham gia quản lý và sử dụng các tài nguyên và dịch vụ mạng Một chính sách bảo mật được

coi là tốt khi nó bao gồm các văn bản pháp quy, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp người quản tri phát hiện,ngăn chặn các truy nhập trái phép.

> Xây dựng giải pháp:Trên thực tế không tồn tại giải pháp an toàn, bảo mật thông tin nào có một tài liệu nào có thé lượng hết được mọi lỗ hồng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết.

> Công nghệ: Là quy trình kỹ thuật dé thực hiện giải pháp đảm bảo ATTT Nâng cap

phan cứng, giảm thiêu các điểm yếu do phan cứng yếu kém Cập nhật các phiên ban phan mềm mới đã được xử lý phan nào các điểm yếu của phiên bản trước đó của nó.

> Con người: Đề đảm bảo an toàn hệ thống, cơ sở hạ tang công nghệ thông tin cần phải

chú trọng đến vấn đề con người, chính sách và quy trình bảo vệ.

1.2 Các kỹ thuật tan công lên hệ thống thông tin 1.2.1 Khái quát về mỗi de dọa và lỗ hỗng

Mỗi đe dọa (Threat):Các mối đe dọa (threat) đến an toàn hệ thống là các hành động

hoặc các sự kién/hanh vi có khả năng xâm hai đến độ an toàn của một HTTT.

Lỗ hồng (Vulnerability):Lỗ hồng là bất kỳ khiếm khuyết hoặc điểm yếu trong hệ thống

có thé tạo điều kiện cho phép một mối de dọa gây tác hại Lỗ héng có thé tạo ra sự ngưng trệ các dịch vụ trên hệ thống hay nguy hiểm hơn nó cũng là cửa vào, ra của hệ thống của hacker.

1.2.2 Phân loại các dạng tan công điển hình vào HTTT - Tan công bằng mã độc.

- Tan công từ chối dịch vụ DoS.

- Tan công từ chối dich vụ phân tán DdoS.

- _ Tấn công giả mao địa chi IP (IP Spoofing).

- _ Tấn công sử dụng cửa hau (Back doors hoặc Trap doors).

- _ Tấn công kiểu Social Engineering - Tan công SQL Injection attack.

Trang 7

1.3. Kết luận chuong!1:

Trình bày tổng quan về ATTT trong HTTT bao gồm: đưa ra khái niệm, phân tích các

thuộc tính, mục tiêu của ATTT Đồng thời cũng đã chỉ ra các thành phần quan trọng

cần phải được bảo vệ trong HTTT.

Phân tích, phân loại các dạng tan công điền hình lên HTTT.

Trang 8

CHƯƠNG 2: TONG QUAN VE TAN CÔNG APT

2.1 Khai niém APT

Thuật ngữ APT (Advanced Persistent Threat) được dùng dé chỉ kiểu tan công dai dang và có chủ đích vào một thực thé Kẻ tan công có thé được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác.

Thuật ngữ APT lần đầu tiên được đặt ra bởi Không Quân Hoa Kỳ (United States Air

Force — USAF) vào khoảng năm 2006, để mô tả các cuộc tan công mạng (cyper — attacks)

phức tap (advanced) đối với các mục tiêu cụ thé trong một khoảng thời gian đài (persistent) Tan công APT thường được dùng với mục dich:

¢ Thu thập thông tin tình báo có tính chat thù địch.

e Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ « Lam mất uy tín của cơ quan tô chức.

« Pha hoại, gây bất 6n hạ tang công nghệ thông tin, viễn thông, điện lực

Các thành phần của từ viết tắt APT:

Advanced (Nâng cao):Hacker sử dụng các kĩ thuật nâng cao dé tan công vào hệ thong mục tiêu một cách bai ban Tinh “Advanced” thé hiện ở kha nang ấn minh, thay đổi liên tục khiến cho việc phát hiện trở nên rất khó khăn.

Persistent (Dai dang ):Hacker xác định cụ thé mục tiêu cần khai thác dé thực hiện

việc tan công, ẩn mình và khai thác theo từng giai đoạn Một cuộc tan công APT có thé diễn

ra vai tháng, vai năm.

Threat (Nguy cơ hay mối đe dọa):APT là một mỗi de doa bởi vì nó có tiềm lực và chủ đích.

2.2 Các đặc điểm chính của APT

2.2.1 Mục tiêu (Targeted)

Tan công APT nhắm vào mục tiêu là tổ chức cụ thé với mục dich đánh cắp dt liệu

hoặc gây ra thiệt hại cho mục tiêu Tan công APT sử dung một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng không hề

hay biết.

2.2.2 Dai dẳng( Persistent)

APT dai dang vi ké tan công rất kiên trì và tập trung dé tránh bị phát hiện Nếu một tổ chức là mục tiêu của APT thì tổ chức đó có thé phải chịu một thất bại nghiêm trọng bởi hình thức tấn công này mat rất nhiều tháng nghiên cứu và lập kế hoạch.

Trang 9

2.2.3 Tránh né và ẩn mình (Evasive)

Tan công APT được thiết kế dé có thé “né tránh” được hau hết các giải pháp bảo mật truyền thống như Firewall, IPS, Antivirus đã được các tô chức dựa vào nhiều năm qua.

2.2.4 Phức tạp( Complex)

Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT sử dụng phối kết hợp nhiều các kĩ thuật khác nhau một cách khoa học và bài bản nhằm những mục tiêu nhiều lỗ hồng bảo mật trong các tô chức.

2.3 Các giai đoạn tan công APT

> Giai đoạn 1: Giai đoạn này được chia thành ba bước: trinh sát, khởi động và lây

nhiễm.Trong giai đoạn khởi dau này, những kẻ tan công nghiên cứu các diém xâm nhập, các

lỗ hồng, các cá nhân chủ chốt và các tài sản quan trọng Sau đó, chúng thường sử dụng một

hoặc nhiều phương pháp nham dat được quyền truy cập vào một máy chủ đặc quyền.

> Giai đoạn 2: Trong giai đoạn này gồm ba bước cơ bản: kiểm soát, khám phá và tồn tại.Kẻ tan công điều khiển máy chủ bị nhiễm độc từ xa với một mệnh lệnh và kiểm soát dịch vụ C&C cho phép kẻ tấn công cập nhật phần mềm độc hại, thêm phần mềm độc hại mới và gửi lệnh đến máy chủ từ xa Công cụ quản trị từ xa RAT (Remote Administration Tool).

> Giai đoạn 3:0 giai đoạn này, kẻ tan công đã kiểm soát được một hoặc nhiều máy chủ

trong mạng mục tiêu, đã có thể thiết lập thông tin truy cập và đã xác định được dữ liệu mục tiêu dang ở đâu( giả sử dữ liệu là mục đích) Điều duy nhất còn lại là làm thé nào dé gửi dit liệu ra ngoài mà không bị các thiết bị, phần mềm bảo mật phát hiện.

2.4 Các công cụ của tan công APT

2.4.1 Malware

Malware là tên viết tắt của "malicious software",là thuật ngữ chung bao gồm nhiều

loại phần mềm với một điểm chung đó là xâm nhập thông tin hoặc một hệ thong vi một hoặc nhiều lý do như: pha vỡ máy tính hoặc các hoạt động mạng, lấy cắp thông tin nhạy cảm hoặc các thông tin có giá trị, tiếp nhận quyền kiêm soát hệ thống mục tiêu.

2.4.2 Kỹ thuật Social Engineering

Thủ đoạn các Social Engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý Nói cách khác, chúng khai thác con người là chính chứ không phải nhằm đến mục tiêu phần

mềm của họ.

Trong tan công APT, kẻ tan công sử dụng Spear-phishing email (một dang phishing) đính kèm với tập tin có vẻ vô hại mà mục tiêu có khả năng sẽ mở Liên kêt đên các trang

Trang 10

web có nhúng mã độc hại (được biết đến như 1a một cuộc tấn công watering hole) Các

chương trình khác như tập tin text và PDF cũng được tận dụng khai thác để thực thi phần mềm độc hại.

2.4.3 Khai thác các lồ hỗng Zero-day và các Exploit khác

Một zero-day exploit là một lỗ hỗng trong một sản phẩm phần mềm mà cho phép một kẻ tan công thực thi mã không mong muốn hoặc giành quyền kiểm soát máy tính của mục tiêu Những exploit này thường được khai thác trong các cuộc tấn công spear-phishing va watering hole Các kẻ tan công khai thác các lỗ hồng zero-day chưa từng được biết đến

hoặc chưa từng được công bố.

2.4.4 Insiders

Nếu một hacker không tìm được cách nao dé tấn công vào tô chức, sự lựa chon tốt

nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất mãn, dé làm nội gián, cung cấp các thông tin cần thiết Đó chính là Insider Attack — tan công nội bộ.

2.4.5 Giả mạo chứng chỉ điện tử

Thông thường các tin tặc sử dụng các chứng chỉ SSL giả mạo cho các website không

có thật và mạo danh là một trang web hợp pháp Những kẻ tan công thường sử dụng các

chứng chỉ số tự kí (self-signed) hoặc các chứng chỉ ăn cắp được (những chứng chỉ này được

hầu hết các trình duyệt chấp nhận).

2.5 Sự khác biệt giữa APT và các hình thức tấn công khác

Sự khác biệt quan trọng nhất giữa APT và các mối đe đọa “bình thường” đó là một tô chức bị nhắm mục tiêu Trong khi việc bảo vệ vòng ngoài (vành đai) và sử dụng các kiêm soát an ninh tiêu chuan có thể bảo vệ một tô chức từ những cuộc tan công tiêu chuẩn, các kĩ thuật này có thé không đủ khi đối mặt với APT Các kẻ tan công kiên nhẫn có thé chờ đợi những lỗ hồng mới dé khai phá một điểm yếu hoặc có thé kết hop các lỗ ông nhỏ thành một lỗ hồng lớn dé tấn công.

2.6 Tình hình tắn công APT tại Việt Nam

> Tan công vào Bộ tài nguyên — môi trường Việt Nam: Kẻ tan công đãthâm nhập và

hạ lớp bảo vệ, mã độc bắt đầu mở cửa sau (backdoor), kết nối đến máy chủ ra lệnh từ xa

(C&C) Đồng thời, mã độc "nhúng" bản thân nó vào tập tin "explorer.exe" (tập tin kích hoạt

Windows Explorer thuần túy) Theo đó, nó mở cửa cho chủ nhân thâm nhập vào máy tính một cách "hợp pháp” mà không lo ngại bi nhận diện.

Trang 11

Trong email, kẻ tấn công đính kèm một tập tin Word Chúng biết rõ các nhân viên Bộ TN-MT sử dụng webmail dé kiểm tra email, và theo đó, họ không thể xem trực tiếp tap tin word đính kèm mà phải tải về máy trước (download).Dang chú ý, mã độc có kha năng "qua mặt" được lớp bảo mật chống virus trên máy tính của nhân viên Theo đó cho thấy, mã độc

này được thiết kế với mục đích nhắm tới máy tính các tổ chức cơ quan chính phủ, thường sử

dụng phan mềm BKAV để ngăn chặn virus.

> Tấn công vào VCCorp: Ngày 13/10/2014, VCCorp bị tấn công liên tục thành nhiều

đợt Bắt đầu bằng việc hàng loạt các trang web trên hệ thống máy chủ của VCC không thể truy cập được Cuộc tan công có chủ ý, làm gián đoạn cung cấp dịch vụ, chiếm quyền điều khiển và chiếm tên miễn, chứ không phải là cuộc tan công từ chối dịch vụ làm tắc nghẽn.

Hậu quả của nó làm cho mat một lượng lớn đữ liệu, tên miền bị điều hướng sang một địa chỉ

Nhóm tội phạm này đã phát tán một phần mềm virus gián điệp được lập trình rất chuyên nghiệp băng cách cài lén vào phần mềm Adobe Flash Player thông dụng”, Khi truy

cập vào website của hãng Adobe để download phần mềm này, người dùng Internet trong nước có thê được điều hướng sang hệ thống của các ISP và bang cách nào đó, những kẻ tan công đã tráo déi được các tập tin Flash Player của hãng Adobe thành các phần mềm đã bị

cài lén virus gián điệp vào đề người dùng download về và cài đặt.

> Hacker APT30 đã tan công Việt Nam trong suốt 10 năm qua: Nhóm tan công APT30 cũng đã xây dựng nhiều loại mã độc khác nhau, chang hạn Backspace, Neteagle,

Shipshape với hình thức chung là nhúng các tập tin thực thi chứa mã độc (tập tin định

dạng exe hoặc com) vào bên trong những tập tin thông thường (tập tin ảnh, tập tin văn

bản ) mà khi người dùng tải những tập tin này về máy, các tập tin bị nhúng mã độc vẫn chỉ

hiển thị đưới dạng các tập tin thông thường Tuy nhiên khi nạn nhân mở những tập tin này, đồng nghĩa với việc họ sẽ kích hoạt tập tin thực thi bị đính kèm trong đó và mã độc sẽ âm thầm xâm nhập vào máy tính của nạn nhân.

Mục tiêu chính của những loại mã độc này đó là đánh cắp một cách có hệ thống các “thông tin nhạy cảm” từ các chính phủ, các tập đoàn và các nhà báo có liên quan đến chính

phủ Trung Quốc, chủ yếu ở khu vực Đông Nam A và An Độ, trong đó có cả Việt Nam.

2.7 Dự đoán về cuộc tan công APT trong những năm tới

Mỗi cuộc tấn công APT đều có chủ đích, tắn công kiên nhẫn vào các doanh nghiệp,

tổ chức cụ thé dé đánh cắp dữ liệu quan trọng bang mọi cach Năm 2015 va các năm tới,

Trang 12

được dự báo APT sẽ biến hóa theo chiều hướng ngày càng nguy hiểm hơn, do đó gây trở

ngại cho cơ quan thực thi pháp luật cũng như các nhà bảo mật.

Nhiều tội phạm mạng tham gia các cuộc chiến tranh mạng hơn: Các nhóm tội phạm APT lớn sẽ “phân chia” thành các nhóm nhỏ hơn, điều này dẫn đến việc nhiều

công ty sẽ bị tắn công hơn.

Công cụ độc hại sẽ nâng cao hơn: Sự phức tạp của các công cụ độc hại dự kiến cũng sẽ tăng, với các kỹ thuật bền bỉ cứng đầu sẽ không bị giới hạn trong một nền tảng duy nhất, nhưng mở rộng cho các thiết bị dựa trên một hệ điều hành nhúng chức

năng mạng.

Các phương pháp rò rỉ dữ liệu mới:Các phương pháp khác có thê sẽ được xem xét

để loại bỏ thông tin từ các máy tính bị lây nhiễm, chăng hạn như sử dụng các trang web đáng tin cậy bị xâm nhập, các giao thức WebDAV, các yêu cầu DNS, thông qua UDP hoặc ICMP.

Các nhà khai thác sẽ tìm mọi cách để khó bị nắm bắt hơn:Các Botnet có thê cũng đóng vai trò quan trọng trong năm tới.

Kết luận chương 2:

Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, các đặc điểm, các

giai đoạn chính và các công cụ thường được sử dụng trong tấn công APT Từ đó thấy

được rằng: tan công APT rất khó phát hiện và nguy hiểm.

Lam rõ sự khác biệt giữa tan công APT và các tan công mã độc truyền thống.

Nghiên cứu và chỉ ra một vài cuộc tan công APT điển hình ở Việt Nam trong thời

gian qua.

Trang 13

CHƯƠNG 3 CÁC PHƯƠNG PHÁP PHÒNG CHÓNG

TÁN CÔNG APT

3.1 Nhiệm vụ và yêu cầu đối với hệ thống phòng chống APT

3.1.1 Nhiệm vụ của hệ thống phòng chống APT

Khi đã triển khai các giải pháp phòng chống APT trên toàn bộ hệ thống, chúng phải đảm bảo các vụ chính như sau:

Phát hiện và ngăn chặn các mối đe doa dé bảo vệ hệ thống khỏi các cuộc tan công

trong nội bộ cũng như từ bên ngoài Yêu cầu kỹ thuật then chốt ở đây là hệ thống

phòng chóng phải có khả năng xác định các mối đe dọa trong thời gian thực - khi chúng xảy ra - và chủ động có hành động phòng ngừa khi phát hiện ra chúng.

Ứng phó trong mọi tình huống giúp tự động khắc phục và đây nhanh chu trình ứng

cứu khi có sự cố Trong vai trò này, hệ thống phòng chống phải có khả năng phát

hiện ra hệ thống bị xâm nhập, điều tra các mối đe dọa đang hoạt động cũng như “ngủ

đông”, bao gôm cả mục tiêu mà chúng sẽ hướng tới trước khi dữ liệu bi mat.

3.1.2 Yêu cầu đối với hệ thong phòng chống APT

Các yêu cầu đối với một hệ thống phòng chống APT:

Chống lại những mối de dọa: Chính là việc nâng cao khả năng phát hiện phần mềm

độc hại, giám định được phần độc hạ và phòng chống các nguy cơ tại thời gian thực.

Bảo vệ dữ liệu khỏi bị đánh cắp:Một giải pháp phòng chống toàn diện thực sự sẽ trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin nhạy cảm, có giá trị bằng việc kiếm soát được luồng dữ liệu, hỗ trợ phân loại dữ liệu và có đưa ra cảnh báo.

Phân tích được các van dé an ninh mạng:Một giải pháp phòng chống còn cung cấp

hồ sơ lịch sử của tất cả các hoạt động mang, do đó,có thé "quay ngược thời gian” dé

tìm kiếm những mối đe dọa mà hệ thống không hề biết tại thời điểm đó bằng cách ghi lại đầy đủ dữ liệu, phân tích đa chiều và có tông kết báo cáo.

3.2 Mô hình Phomat Thụy Sỹ trong phòng chống APT

Điều đầu tiên và vô cùng quan trọng đó là phải hiểu rằng không có giải pháp duy nhất

nào có thé bảo vệ khỏi một cuộc tan công APT,chi có bằng cách tích hợp nhiều giải pháp

với nhau, trong đó sức mạnh của phương pháp này sẽ bù đắp nhược điểm của phương pháp

kia, từ đó sẽ có khả năng bảo vệ tô chức chống lại APT.

Ngày đăng: 07/04/2024, 12:27

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w