Đang tải... (xem toàn văn)
Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)
1 LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chƣa đƣợc công bố tài liệu khác Tác giả luận văn ký ghi rõ họ tên Lê Thái Giang LỜI CẢM ƠN Để hoàn thành đƣợc luận văn này, nghiên cứu cố gắng thân, em xin gửi lời cảm ơn sâu sắc tới giảng viên hƣớng dẫn khoa học TS Phạm Hoàng Duy tận tình bảo định hƣớng cho em suốt trình nghiên cứu thực luận văn Em xin gửi lời cảm ơn chân thành thầy cô giảng viên khoa Quốc Tế Sau Đại Học, khoa Công Nghệ Thông Tin, khoa Cơ Bản Học Viện Công Nghệ Bƣu Chính Viễn Thông tận tình giảng dạy, hƣớng dẫn em suốt trình học tập nghiên cứu Học Viện Bƣu Viễn Thông Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè ngƣời bên em cổ vũ tinh thần, tạo điều kiện thuận lợi cho em để em học tập tốt hoàn thiện luận văn Em xin chân thành cảm ơn! Học viên Lê Thái Giang MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT DANH SÁCH HÌNH VẼ MỞ ĐẦU CHƢƠNG THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN NGÀNH HẢI QUAN 12 1.1 Thực trạng hệ thống mạng ngành hải quan 12 1.2 Mô hình triển khai ứng dụng ngành hải quan 18 1.3 Thực trạng hệ thống bảo mật ngành hải quan 22 1.3.1 Mô hình hệ thống 22 1.3.2 Các hệ thống bảo mật đƣợc trang bị 23 1.4 Đánh giá rủi ro 24 1.5 Kết luận chƣơng 37 CHƢƠNG CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT 40 2.1 Vấn đề công APT 40 2.2 Giải pháp ngăn chặn công APT hãng Fireeye 47 2.2.1 Giải pháp kỹ thuật chống lại APT Fireeye 48 2.2.2 Mô hình triển khai giải pháp 52 2.2.3 Mô hình quản lý 53 2.3 Giải pháp ngăn chặn công APT hãng Checkpoint 55 2.3.1 Giải pháp kỹ thuật chống lại APT Checkpoint 56 2.3.2 Các mô hình triển khai giải pháp 57 2.3.3 Mô hình quản lý 58 2.4 Kết luận chƣơng 61 CHƢƠNG MÔ HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN NGÀNH HẢI QUAN 63 3.1 Thiết kế hệ thống an toàn chống lại APT 63 3.2 Đề xuất cho hệ thống thông tin ngành hải quan 69 3.3 Một số kết thử nghiệm đánh giá 71 3.4 Kết luận chƣơng 73 KẾT LUẬN 74 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 76 DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt TCHQ Tổng cục Hải quan TQĐT Thông quan điện tử HTTT Hạ tầng truyền thông TTM Trung tâm miền TTV Trung tâm vùng BTC Bộ Tài CNTT Công nghệ thông tin CSDL Cơ sở liệu Cục CNTT&TK HQ Cục Công nghệ thông tin thống kê hải quan GTT Giá tính thuế QLRR Quản lý rủi ro KTT Kế toán thuế APP Application Ứng dụng APT Advanced Persistent Threat Tấn công có chủ đích DB Database Cơ sở liệu Database Administrator Quản trị hệ thống sở liệu Data Center Trung tâm liệu DBA DC DLP Data loss prevention Phòng chống rò rỉ liệu DMZ Demilitarized Zone Vùng mạng trung lập mạng nội mạng internet Dos/Ddos Denial of Service/ Distributed Tấn công từ chối dịch vụ/ Denial of Service công từ chối dịch vụ phân tán Trung tâm liệu dự phòng DR FTP File Transfer Protocol Giao thức chuyển nhƣợng tập tin FW Firewall Tƣờng lửa GUI Graphical User Interface Giao diện HyperText Transfer Protocol Giao thức truyền tải siêu văn HTTP IDS/IPS Intrusion system/Intrusion System detection Phát xâm nhập/ phát Prevention ngăn chặn xâm nhập Ghi nhật ký Log NAC NOC/SOC Network Access Control Kiểm soát truy cập mạng Network Operations Center/ Trung tâm giám sát mạng/ Security Operations Center Trung tâm giám sát bảo mật Thiết bị ký số PKI QoS Quality of Service Chất lƣợng dịch vụ RDP Remote Desktop Protocol Giao thức truy cập từ xa SIEM Security information and event Quản lý thông tin bảo mật management SMB Server Message Block Giao thức SMB SQL Structured Query Language Ngôn ngữ truy vấn mang tính cấu trúc SSL Secure Sockets Layer Giao thức SSL DANH SÁCH HÌNH VẼ Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan 12 Hình 2: Hiện trạng mô hình mạng Cục Hải quan có TTDL .13 Hình 3: Hiện trạng mô hình mạng Cục Hải quan TTDL .14 Hình 4: Hạ tầng truyền thông Chi cục Hải quan 16 Hình 5: Hiện mạng mô hình mạng TTDL Tổng cục Hải quan .16 Hình 6: Mô hình logic tổng thể ứng dụng nghiệp vụ 19 Hình 7: Hệ thống TQDT_TT trao đổi liệu với hệ thống TNTT 20 Hình 8: Hệ thống TQDT_TT trao đổi liệu với hệ thống nghiệp vụ 21 Hình 9: Hiện trạng bảo mật Trung tâm liệu TCHQ 22 Hình 10: Malware khởi tạo kết nối gửi từ nạn nhân đến C&C 46 Hình 11: Môi trƣờng giả lập FireEye MVX .49 Hình 12: Công nghệ Fireeye 50 Hình 13: Mô hình triển khai cổng mở rộng (SPAN port) 52 Hình 14: Mô hình triển khai trực tiếp 53 Hình 15: Các thành phần quản lý giải pháp Fireeye 53 Hình 16: Mô hình thu thập chia sẻ thông tin công .55 Hình 17: Mô hình triển khai giải pháp Threat Dection & Prevention 58 Hình 18: Mô hình khả tích hợp với hệ thống có 59 Hình 19: Báo cáo tổng hợp hệ thống 71 Hình 20: Báo cáo mã độc bị phát 72 Hình 21: Báo cáo tổng hợp kiểu mã độc 72 MỞ ĐẦU Đối với nƣớc ta, tình trạng tin tặc xâm nhập, cài đặt phần mềm gián điệp vào hệ thống mạng Chính phủ, Bộ, Ngành, địa phƣơng có kết nối tới mạng Internet gây cố, làm sai lệch liệu, đánh cắp thông tin xảy Trong năm 2015, công mạng có quy mô mức độ lớn gia tăng dẫn đến gây mát liệu, thiệt hại kinh tế Theo thống kê VNCERT, xu hƣớng công lừa đảo, mã độc, thay đổi giao diện trở nên phổ biến Cụ thể, có 4.484 cố công lừa đảo, 6.122 cố thay đổi giao diện, 14.115 cố mã độc 3.257 cố khác đƣợc ghi nhận 11 tháng đầu năm Bên cạnh đó, trang web/cổng thông tin điện tử Cơ quan nhà nƣớc có website bị công thay đổi giao diện với 144 đƣờng dẫn bị thay đổi; 106 website bị cài mã độc với 227 đƣờng dẫn phát tán mã độc, website bị công cài mã lừa đảo Bản thân số ứng dụng ngành Tài bị hacker công gây thiệt hại mức độ khác Đối với ngành Hải quan, hệ thống CNTT Hải quan có vai trò đặc biệt quan trọng để đảm bảo cho toàn hoạt động Hải quan hàng ngày đƣợc thông suốt thực chế cửa quốc gia Đến gần 100% tờ khai hải quan thực thủ tục hải quan điện tử Các nghiệp vụ khác ngành nhƣ kiểm tra sau thông quan, thông tin tình báo đƣợc xử lý thông qua ứng dụng tập trung TTDL Do vậy, đảm bảo an ninh, an toàn cho hệ thống thông tin hải quan có ý nghĩa sống đến hoạt động ngành Hải quan Theo chuyên gia bảo mật thời gian tới, tình hình tội phạm máy tính tiếp tục diễn biến phức tạp, khó lƣờng Thay kiểu công trƣớc dùng chúng sử dụng công nghệ liên tục thay đổi phƣơng thức, thủ đoạn để tránh bị phát dẫn đến việc phòng chống vô khó khăn Một dạng công tiêu biểu, đƣợc nhắc đến nhiều công APT(Advanced Persistent Threat) Tấn công APT hình thức công nguy hiểm, có chủ đích mục tiêu rõ ràng sử dụng nhiều loại phƣơng pháp, công 10 nghệ tinh vi phức tạp để công vào mục tiêu nhằm đạt đƣợc thông tin mật, nhạy cảm Các nƣớc lớn có công nghệ thông tin phát triển nhƣ Mỹ, Ấn Độ, Anh… Việt Nam nạn nhân công có chủ đích Các nhà nghiên cứu bảo mật dự đoán năm 2015, 2016 hoạt động công APT đạt đến tầm cao mới, công tăng thêm tần số nhƣ số lƣợng lớn tội phạm tham gia Mặc dù thiệt hại mà công APT gây nghiêm trọng nhiên việc phòng chống công APT bị xem nhẹ chƣa đƣợc đầu tƣ đắn Do đó, việc nghiên cứu chế hoạt động công APT giải pháp phòng chống điều quan trọng Chỉ hiểu rõ loại công đề xuất phƣơng án phòng chống APT thích hợp đạt đƣợc hiệu tốt Với mục đích đƣa nhìn tổng quan công APT, nghiên cứu giải pháp phòng chống từ đề xuất giải pháp để phòng chống công này, học viên chọn đề tài “Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan” Cấu trúc luận văn bao gồm: Mở đầu; Hai chƣơng nội dung; Kết luận luận văn; Tài liệu tham khảo Chƣơng I: Thực trạng hệ thống an ninh, an toàn ngành hải quan Chương giới thiệu trạng hệ thống mạng, phần mềm ngành hải quan trước đưa đề xuất xây dựng mô hình tổng thể Tiếp đánh giá rủi ro hệ thống để điểm yếu tồn hệ thống mà công APT khai thác Nội dung chi tiết: Thực trạng hệ thống mạng ngành hải quan Mô hình triển khai ứng dụng nghiệp vụ ngành hải quan Thực trạng hệ thống bảo mật ngành hải quan Đánh giá rủi ro 64 phát triển, chúng lại đƣợc tạo cho mục tiêu xác định trƣớc Do đó, cần phải đảm bảo có nhớ cho việc lƣu trữ thông tin mã độc phục vụ cho công tác tìm kiếm, truy vấn phân tích, nhƣ cập nhật thƣờng xuyên thông tin mã độc toàn giới, đồng thời cung cấp khả ứng cứu khẩn cấp, nhanh chóng có xâm nhập Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu sau: Chống lại mối đe dọa: Giải pháp phòng chống thực cần cung cấp khả chống lại công nhằm vào giai đoạn vòng đời APT: trƣớc tải về, chúng lƣu thông mạng chúng đƣợc cài đặt thiết bị đầu cuối Để làm đƣợc điều đó, giải pháp phòng chống cần có tính năng: Nâng cao khả phát phần mềm độc hại: Phân tích liên tục dòng liệu qua mạng, trì khả phát với tỉ lệ sai sót thấp Giám định phần mềm độc hại: Mô tả chi tiết phần mềm độc hại nhờ môi trƣờng ảo hóa đƣợc tạo trƣớc để nắm rõ cách đăng nhập, thay đổi tập tin, thay đổi cách vận hành hệ thống, cách đƣa liệu ngoài… Phòng chống nguy thời gian thực: Phân tích lƣu lƣợng mạng, cung cấp khả phát phòng ngừa tức khắc Tự động nhận biết mối đe dọa: Nhanh chóng xác định hoạt động đáng ngờ nguy hiểm, đồng thời tự động tiêu diệt mối đe dọa đƣợc hệ thống biết tới Hiệu suất cao: Đảm bảo phân tích lƣu lƣợng cao (hàng Gigabit) thời gian thực mà cung cấp khả hiển thị, phân tích bảo vệ khỏi mối đe dọa trƣớc chúng gây tổn hại cho tổ chức Bảo vệ liệu khỏi bị đánh cắp: Một giải pháp phòng chống toàn diện thực trực tiếp phát ngăn chặn việc tiếp cận trái phép thông tin nhạy cảm, có giá trị Các yêu cầu kỹ thuật cần có bao gồm: Kiểm soát luồng liệu: Bằng cách sử dụng luật kỹ thuật phức tạp để ngăn chặn hành vi trộm cắp liệu nhạy cảm bí mật khỏi mạng thông tin Hiển thị nội dung: Cung cấp khả hiển thị, phân tích kiểm soát tất giao thức, ứng dụng loại tập tin để bảo vệ 65 chống lại mối đe dọa tiên tiến ngăn chặn hành vi trộm cắp liệu thời gian thực Hỗ trợ phân loại liệu: Thông qua chế linh hoạt, xác định đặc tính liệu có giá trị mức đƣợc coi nhạy cảm tránh cho chúng khỏi hệ thống mạng Cảnh báo: Cung cấp khả cảnh báo toàn diện, thông tin hoạt động cho phép phân loại nhanh chóng khắc phục mối đe dọa Phân tích vấn đề an ninh mạng: Một giải pháp phòng chống cung cấp hồ sơ lịch sử tất hoạt động mạng, đó,có thể "quay ngƣợc thời gian” để tìm kiếm mối đe dọa mà hệ thống thời điểm Các yêu cầu kỹ thuật gồm có: Ghi lại đầy đủ liệu: Thu thập thông tin chi tiết (siêu liệu) tất giao dịch mạng Siêu liệu đƣợc lƣu trữ nhớ hệ thống làm sở cho việc phát sau Phân tích đa chiều: Phân tích nội dung so sánh với nhiều nguồn khác nhƣ lịch sử hệ thống, sách đƣợc cài đặt sẵn nhƣ mối đe dọa đƣợc cập nhật thƣờng xuyên từ tổ chức khác Tổng kết: Tự động cung cấp tổng kết xu hƣớng hệ thống yếu tố nhƣ máy chủ, cảnh báo, vị trí hay giao thức để có nhìn tổng quan mối đe dọa doanh nghiệp, tổ chức Báo cáo linh hoạt: Có khả đƣa báo cáo theo tiêu chuẩn hay tùy chỉnh riêng dựa vào siêu liệu đƣợc thu thập theo thời gian Cảnh báo nguy cơ: Với giao dịch có nhiều nét tƣơng đồng với mối đe dọa đƣợc biết đến cần cảnh báo cho nhân viên quản trị biết có hƣớng xử lý Bên cạnh yêu cầu cho thiết kế tổng thể đƣợc xây dựng sở áp dụng tiêu chuẩn kỹ thuật ứng dụng công nghệ thông tin quan nhà nƣớc (DM1), nhƣ áp dụng biện pháp kiểm soát đƣợc khuyến cáo theo ISO 27001 Để đảm bảo ATTT cách toàn diện cho TCHQ cần phải kết hợp quy định, sách với biện pháp kỹ thuật xây dựng đội ngũ tổ chức ngƣời 66 để thực thi biện pháp kỹ thuật Do vậy, thiết kế tổng thể hệ thống ATTT cho TCHQ đƣợc xây dựng sở tham khảo thêm giải pháp kỹ thuật để thực biện pháp kiểm soát theo ISO27001 Dƣới bảng mô tả giải pháp kỹ thuật cần đƣợc đáp ứng để đảm bảo đáp ứng kiểm soát theo số mục tiêu kiểm soát tiêu chuẩn ISO27001 Bảng 8: Bảng mô tả giải pháp kỹ thuật cần đƣợc thực theo kiểm soát ISO27001 Các kiểm soát ISO 27001:2005 lĩnh vực STT Mục tiêu kiểm soát Bảo vệ hệ thống khỏi mã độc hại mã phần mềm kích hoạt từ xa 1.1 Mã độc hại 1.2 Bảo vệ hệ thống khỏi phần mềm kích hoạt từ xa Các biện pháp kiểm soát ATTT cho mạng máy tính Giải pháp kỹ thuật cần áp dụng - Giải pháp phòng chống mã độc hại - Giải pháp bảo vệ thƣ điện tử - Giải pháp lọc nội dung - Giải pháp ngăn chặn công có chủ đích - Giải pháp quản lý điểm yếu, lỗ hổng bảo mật - Giải pháp tƣờng lửa ứng dụng web; - Giải pháp giám sát, dò quét, đánh giá website; - Giải pháp lọc nội dung - Giải pháp ngăn chặn công có chủ đích - Giải pháp tƣờng lửa; - Giải pháp kiểm soát truy cập (NAC); - Giải pháp ngăn ngừa phòng chống xâm nhập (IPS); - Giải pháp chống thất thoát liệu (DLP); - Giải pháp ngăn chặn công có chủ đích - Giải pháp quản lý lỗ hổng, điểm yếu bảo mật Các giải pháp kỹ thuật đƣa trƣớc hết nhằm đảm bảo hệ thống chống lại mã độc hại cách hiệu vị trí trọng yếu có nhiều nguy bị công APT nhƣ vùng Internet Access, cụ thể: Comment [M25]: Cấn phải viết giới thiệu nội dung thông tin bảng Không thể nêu bảng Ý nghĩa cột hàng bảng Bảng trình bày giải pháp kỹ thuật có đặc biệt cần để ý Đơn giản tóm tắt lại nội dung bảng 67 - Giải pháp phòng chống mã độc hại: đƣợc triển khai nhằm cảnh báo loại trừ mã độc hại thông qua đƣờng truy cập Internet ngƣời dùng - Giải pháp bảo vệ thƣ điện tử: đƣợc triển khai nhằm bảo vệ hệ thống thƣ điện tử - Giải pháp lọc nội dung: đƣợc triển khai nhằm bảo vệ - Giải pháp tƣờng lửa ứng dụng web: đƣợc triển khai nhằm bảo vệ ứng dụng web đƣợc public Internet; - Giải pháp kiểm soát truy cập: nhằm kiểm soát truy cập mạng, định danh ai, sử dụng thiết bị kết nối vào hệ thống mạng TCHQ; Bảng dựa vào “Mục tiêu cần kiểm soát” giải pháp cần có để bảo vệ đƣợc mục tiêu đó, kết hợp với trạng để đƣa giải pháp cần áp dụng để tăng cƣờng cho vị trí cần bảo vệ nhƣ: giải pháp kiểm soát truy cập, giải pháp phòng chống công có chủ đích, giải pháp quản lý lỗ hổng, điểm yếu bảo mật, giải pháp chống thất thoát liệu Qua đƣa nhiều giải pháp cần có để bảo vệ hệ thống mạng ngành hải quan đƣợc an toàn hơn, nhiên phạm vi luận văn xin phép đƣợc đề cập đến giải pháp phòng chống công có chủ đích Căn vào kết khảo sát đánh giá rủi ro hệ thống tham khảo khuyến nghị tiêu chuẩn ISO 27001 chuyên gia tƣ vấn bảo mật, xin đề xuất đƣa thiết kế tổng thể cho Tổng cục hải quan, cụ thể bổ sung giải pháp phòng chống công APT bảo vệ vùng Internet Access Thiết kế tổng thể đƣợc biểu diễn sơ đồ logic dƣới đây: Comment [M26]: Kiếm tra lại số ảng Comment [M27]: Mục tiêu đƣợc diễn giải đâu Nếu có bổ sung mục tham chiếu tới 68 Hình 20: Thiết kế mô hình tổng thể chống lại APT Comment [M28]: HÌnh vẽ không khác hình vẽ trạng mạng Anh cần phải giải thích điểm khác biệt Em bổ sung giải pháp phòng chống công APT vùng Internet Access Với mô hình tổng thể này, giải pháp phòng chống công APT đƣợc bổ sung vào vị trí số để bảo vệ vùng có nguy cao bị công APT từ vùng Internet Nội dung chi tiết vị trí hình nhƣ sau: - Vị trí số 1: đặt 01 cặp thiết bị có chức Proxy caching lọc web cho hệ thống ngƣời dùng Internet; Vị trí số 2: đặt giải pháp phòng chống công APT; Vị trí số 3: đặt thiết bị cân tải; Vị trí số 4: đặt thiết bị tối ƣu hóa ứng dụng; Vị trí số 5: đặt máy chủ vùng DMZ; Vị trí số 6: đặt thiết bị IPS; Vị trí số 7: đặt thiết bị tƣờng lửa vùng DMZ; Vị trí số 8: đặt thiết bị phòng chống DDoS; Vị trí số 9: đặt thiết bị VPN; Comment [M29]: Chooxx cần giải thích thêm Việc công APT xuất phát từ bên (nội gián) bị gài phần mềm xấu song để điều khiển đƣợc vụ công khai thác thông tin kẻ công cần sử dụng đƣờng kết nối Internet (anh mở rộng thêm để tăng tính thuyết phục) 69 - Vị trí số 10: đặt thiết bị tƣờng lửa vùng WAN; Vị trí số 11: đặt thiết bị QoS; Vị trí số 12: đặt thiết bị tƣờng lửa vùng Core; Vị trí số 13: đặt thiết bị IPS vùng Core; Vị trí số 14: đặt thiết bị tƣờng lửa vùng ngƣời dùng cuối; Vị trí số 15: vùng ngƣời dùng cuối; Vị trí số 16: vùng ứng dụng Core sở liệu Core; 3.2 Đề xuất cho hệ thống thông tin ngành hải quan Giải pháp ngăn chặn mối đe dọa (Check Point Threat Prevention) hoàn thiện bổ sung tính Threat Emulation Bên cạnh tính có nhƣ: IPS Software Blade ngăn chặn công khai thác điểm yếu biết, AntiBot Software Blade phát ngăn chăn mối nguy hiểm từ bot, Antivirus Software Blade ngăn chặn mã độc theo mẫu Để lựa chọn đƣợc giải pháp chống lại đƣợc công APT phù hợp với hệ thống ngành hải quan, xin đề xuất so sánh hai giải pháp nêu theo yếu tố sau để lựa chọn giải pháp phù hợp: Giải pháp bảo vệ mạng khỏi tất loại mối đe dọa; Giải pháp chặn phần mềm độc hại trƣớc đến với mạng; Giải pháp nên đơn giản dễ dàng để thiết lập quản lý; Có khả tƣơng thích tích hợp với giải pháp bảo mật khác có tổ chức Về việc phát mã độc, Fireeye sử dụng lọc để phân biệt mã độc biết chƣa biết Đối với mã độc nhận biết đƣợc trƣớc lƣu trữ Cloud, Fireeye ngăn chặn mã độc đó, tập tin nghi ngờ Fireeye chuyển vào môi trƣờng giả lập (VX) để thực thi, từ phân tích xem tập tin có chứa mã độc hay không, phân tích xem tác động môi trƣờng giả lập để có biện pháp ngăn chặn tƣơng lai Check Point ngăn chặn mối đe dọa cách rà soát tập tin tải file đính kèm email phổ biến, nhƣ file thực thi EXE, Adobe PDF tập tin Microsoft sử dụng công nghệ Sandbox (môi trƣờng thực thi ảo) Tệp tin đáng ngờ bị Sandbox theo dõi, giám sát hành vi: nhƣ thay đổi registry, xóa file hệ thống, tạo file mới, kết nối mạng tới máy chủ điều khiển bot (C&C) cung cấp 70 kết đánh giá tệp tin theo thời gian thực Nếu tệp tin bị phát mã độc bị ngăn chặn trƣớc chúng nhiễm vào hệ thống thật Mẫu mã độc đƣợc phát đƣợc cập nhật lên Check Point ThreatClould™ tất khách hàng Check Point đƣợc chia sẻ mẫu bảo vệ chống lại phần mềm độc hại cách tự động Về hai giải pháp có cách tiếp cận tƣơng tự việc phát ngăn chặn mối đe dọa tiềm với hệ thống Khi đƣa so sánh, đánh giá tổng thể giải pháp FireEye lại yếu giải pháp CheckPoint tiêu chí, cụ thể: Giải pháp đa lớp CheckPoint bảo vệ khỏi công biết, công chƣa biết: kết hợp nhiều giải pháp với nhƣ IPS, AV, AB Sandbox Ngoài CheckPoint có đội ngũ chuyên gia nghiên cứu kết hợp với mạng lƣới thu thập thông tin toàn cầu, sở hạ tầng an ninh hợp tác để chống lại tội phạm mạng Trong Fireeye lại đƣa mẫu chƣa biết vào thực thi VX để đánh giá tác động mẫu vào hệ thống.[19] Checkpoint ngăn chặn phần mềm độc hại trƣớc đến với mạng: Cấu hình theo chế độ trực tiếp MTA giúp ngăn chặn phần mềm độc hại trƣớc đến vào mạng, kiểm tra phòng chống mối đe dọa qua việc hỗ trợ kiểm tra giao thức SSL đồng thời cho phép ngăn chặn mối đe dọa với thời gian thực Fireeye không làm đƣợc điều [19] Giải pháp CheckPoint đơn giản để thiết lập quản lý: phần cứng bổ sung cần thiết thiết bị, tăng cƣờng thêm sở hạ tầng quản lý an ninh bạn Hỗ trợ nhiều cách thức cấu hình quản lý nhƣ trực tiếp, gián tiếp, MTA, điện toán đám mây Còn Fireeye cần phải trang bị thêm thiết bị phần cứng, cấu hình phức tạp khó quản trị cán quản trị ngành hải quan quen với việc sử dụng sản phẩm Checkpoint lâu [19] Qua phần đánh giá trên, ta thấy 02 giải pháp phòng chống công có chủ đích hiệu mặt giải pháp phòng chống Tuy nhiên, xét tổng thể giải pháp phòng chống công có chủ đích Checkpoint trội hẳn giải pháp Fireeye phƣơng diện: bảo vệ khỏi công biết, công chưa biết, ngăn chặn phần mềm độc hại trước đến với mạng, đơn giản để thiết lập quản lý 71 Mặt khác, cán quản trị quen thuộc với cách quản trị hệ thống Checkpoint, đƣa thêm nội dung phòng chống công có chủ đích vào công việc đào tạo cán quản trị tiếp cận nhanh chóng tiếp cận giải pháp hoàn toàn Do giải pháp phù hợp ngành hải quan giải pháp hãng Checkpoint 3.3 Một số kết thử nghiệm đánh giá Sau triển khai hệ thống phòng chống công APT vào hệ thống ngành hải quan, kết thu đƣợc cho thấy có nhiều mã độc mà chƣơng trình diệt virus chƣa phát Hình 19 cho thấy số 317 thiết bị đƣợc dò quét ngành có 12 thiết bị đƣợc phát thành phần Anti-Bot, thiết bị đƣợc phát thành phần Anti-Virus, thiết bị đƣợc phát thành phần Thread-Emulation Ngoài ra, cho thấy loại mã mã độc tồn hệ thống ngành hải quan Hình 19: Báo cáo tổng hợp hệ thống 72 Hình 20: Báo cáo mã độc bị phát Hình 21: Báo cáo tổng hợp kiểu mã độc 73 3.4 Kết luận chƣơng Phần mở đầu chƣơng cung cấp sở lý thuyết thiết kế tổng thể hệ thống mạng bảo mật cho Tổng cục Hải quan dựa khuyến cáo theo tiêu chuẩn ISO 27001 Đây sở cho việc đề xuất thiết kế tổng thể hệ thống mạng ngành hải quan Tiếp đó, mô hình lựa chọn giải pháp phòng chống APT cho hệ thống ngành hải quan đƣợc đề xuất dựa vào kết so sánh 02 giải pháp Fireeye Checkpoint, đƣợc giới thiệu Chƣơng Các kết báo cáo từ hệ thống triển khai cho thấy đƣợc mô hình đề xuất xác định nhiều mã độc mà biện pháp ngăn ngừa khác không phát đƣợc Nhƣ vậy, mô hình đề xuất chứng tỏ hiệu ngăn chặn phát sớm cho hệ thống thông tin ngành hải quan 74 KẾT LUẬN A Những vấn đề giải đƣợc luận văn Để giải toán đảm bảo an toàn cho hệ thống ngành hải quan trƣớc công APT tránh đƣợc rủi ro đáng tiếc xảy gây ảnh hƣởng đến hoạt động ngành hải quan doanh nghiệp xuất nhập khẩu, luận văn đạt đƣợc kết quan trọng: Một là: Trình bày đƣợc tổng quan trang trang thiết bị bảo mật, mô hình mạng, mô hình ứng dụng quan trọng Đồng thời thực đánh giá rủi ro hệ thống mạng, ứng dụng nghiệp vụ, hệ thống bảo mật ngành hải quan Hai là: Trình bày tổng quan công APT lên HTTT bao gồm: định nghĩa khái niệm, phân tích đặc điểm, giai đoạn phân loại công cụ thƣờng đƣợc sử dụng công APT Từ thấy đƣợc rằng: công APT khó phát hiện, nguy hiểm khác biệt rõ với công truyền thống Sự khác biệt thể biến thể công APT tƣơng lai Ba là: Trình bày sở lý thuyết để thiết kế tổng thể hệ thống mạng, bảo mật cho Tổng cục Hải quan dựa khuyến cáo ISO 27001 từ thiết kế tổng thể hệ thống mạng Đồng thời trình bày 02 giải pháp phòng chống công APT hãng Fireeye CheckPoint từ đề xuất lựa chọn giải pháp thích hợp cho Tổng cục Hải quan B Kiến nghị hƣớng nghiên cứu tƣơng lai Việc trang bị hệ thống phòng chống công APT cho ngành hải quan để đảm bảo an toàn thông tin tổ chức Tuy nhiên, việc không khẳng định ngành hải quan an toàn tuyệt đối Do vậy, cần liên tục nghiên cứu thêm dạng công APT, đánh giá rủi ro, xác định mối đe dọa điểm yếu hệ thống để có hiểu biết tốt hệ thống thông tin, từ nghiên cứu giải pháp để giảm thiểu rủi ro Để nâng cao trình độ cho thân, thân mong muốn tiếp tục tìm hiểu, nghiên cứu, hoàn thiện, áp dụng phƣơng pháp tiên tiến để đạt đƣợc hiệu tốt việc phòng chống, đáp trả công APT để áp dụng 75 đƣa vào hệ thống Tổng cục Hải quan Đồng thời nghiên cứu thêm phƣơng pháp truy tìm dấu vết công APT 76 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Nguyễn Thị Khánh Chi “Nghiên cứu phƣơng pháp phòng chống công APT lên hệ thống thông tin” 2015 [2] Hoàng Xuân Dậu (2013), Bài giảng an toàn bảo mật HTTT, Học viện công nghệ bƣu viễn thông, Hà Nội [3] Nguyễn Trần Hiệu “Nghiên cứu áp dụng tiêu chuẩn TCVN ISO/IEC 27001:2009 đảm bảo an ninh, an toàn cho hệ thống thông tin Hải quan”, 2014 [4] Bộ TTTT, Báo cáo ATTT Việt Nam 2015, 2015 [5] VNISA, Hiện trạng an toàn thông tin khu vực phía Nam 2016, 2016 [6] Shuai, Zhang "The Detection and Defense about APT Attack." Information Security and Technology (2011): 028 [7] NEW ISO/IEC 27001:2013 Information Security Management Systems [8] FireEye CLI Command Reference Guide Ver 6.1 FireEye, Inc (2012) [9] Information technology - Security techniques - Information security management systems – Requirements (ISO 27001 -2013) 2013 [10] Ask, Merete, et al "Advanced Persistent Threat (APT) Beyond the hype."Project report in IMT4582 NetworN security at GjoviN University College, Springer (2013) [11] Mustafa, Tarique "Malicious data leak prevention and purposeful evasion attacks: An approach to Advanced Persistent Threat (APT) management."Electronics, Communications and Photonics Conference (SIECPC), 2013 Saudi International [12] JASEK, ROMAN, MARTIN KOLARIK, and TOMAS VYMOLA "Apt detection system using honeypots." Proceedings of the 13th International Conference on Applied Informatics and Communications (AIC'13), WSEAS Press 2013 77 [13] Mirza, Natasha Arjumand Shoaib, et al "Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms."Biometrics and Security Technologies (ISBAST), 2014 International Symposium on IEEE, 2014 [14] Moon, Daesung, Hansung Lee, and Ikkyun Kim "Host based feature description method for detecting APT attack." Journal of the Korea Institute of Information Security and Cryptology 24.5 (2014): 839-850 [15] IEEE, 2013 Son, Kyungho, Taijin Lee, and Dongho Won "Design for Zombie PCs and APT Attack Detection based on traffic analysis." Journal of the Korea Institute of Information Security and Cryptology 24.3 (2014): 491-498 [16] Choi, Junho, et al "Polymorphic Malicious JavaScript Code Detection for APT Attack Defence." J UCS 21.3 (2015): 369-383 [17] Kim, Byungik, Hyeisun Cho, and Taijin Lee "Intelligent Network Surveillance Technology for APT Attack Detections." (2015) [18] Threat Prevention Check Point Software Technologies Ltd.(2016) [19] Check Point Software FIREEYE(2016) Technologies CHECK POINT VS 78 ... CHƢƠNG MÔ HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN NGÀNH HẢI QUAN 63 3.1 Thiết kế hệ thống an toàn chống lại APT 63 3.2 Đề xuất cho hệ thống thông tin ngành hải quan 69 3.3... đảm bảo an toàn cho hệ thống thông tin ngành hải quan Nội dung chương trình bày biện pháp phòng chống công APT đồng thời đề xuất mô hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải. .. công APT, nghiên cứu giải pháp phòng chống từ đề xuất giải pháp để phòng chống công này, học viên chọn đề tài Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan Cấu trúc