Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (tt)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN QUỐC TUẤN NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CƠNG CĨ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN CHUYÊN NGÀNH : MÃ SỐ: HỆ THỐNG THÔNG TIN 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VÕ VĂN KHANG TP.HỒ CHÍ MINH– 2017 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Võ Văn Khang Phản biện 1: ……………………………………………… Phản biện 2: ……………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm … Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Tính cấp thiết đề tài Trong năm gần đây, cơng mạng có quy mơ mức độ lớn gia tăng dẫn đến gây mát liệu, thiệt hại kinh tế Theo thống kê Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm 2016 có 13.000 trang web bị hack, đến 15/5/2017 có 5.500 trang web bị hack với 10.900 liên kết (URL) bị công cài mã độc Trong quý I/2017, ghi nhận có 952 cố website lừa đảo, 2.709 trang web bị công thay đổi giao diện, 2.381 cố phát tán mã độc Trong đó, website quan nhà nước có 64 website bị công thay đổi giao diện, website bị phát tán mã độc, website bị công lừa đảo Đối với tỉnh Long An, Trung tâm tích hợp liệu tỉnh quản lý vận hành hệ thống thông tin trọng điểm tỉnh bao gồm: Hệ thống Cổng thông tin điện tử, hệ thống thư điện tử, hệ thống quản lý văn điều hành, hệ thống cửa điện tử phục vụ cho nhu cầu đạo điều hành lãnh đạo tỉnh cơng tác chun mơn quan hành nhà nước địa bàn tỉnh Vì vậy, việc đảm bảo an tồn thơng tin cho Trung tâm tích hợp liệu tỉnh vấn đề quan trọng Theo chuyên gia bảo mật thời gian tới, tình hình tội phạm mạng tiếp tục diễn biến phức tạp, khó lường Thay kiểu cơng trước dùng chúng sử dụng công nghệ liên tục thay đổi phương thức, thủ đoạn để tránh bị phát dẫn đến việc phòng chống vơ khó khăn Một dạng công tiêu biểu, nhắc đến nhiều công APT (Advanced Persistent Threat) Tấn công APT hình thức cơng nguy hiểm, có chủ đích mục tiêu rõ ràng sử dụng nhiều loại phương pháp, công nghệ tinh vi phức tạp để công vào mục tiêu nhằm đạt thông tin mật, nhạy cảm Theo thông tin từ Hiệp hội an tồn thơng tin VNISA, tháng năm 2015, Hãng bảo mật Mỹ FireEye công bố nghiên cứu báo cáo phương thức kỹ thuật đích danh nhóm cơng APT30 xuất phát từ Trung Quốc công thâm nhập nhiều năm qua vào máy tính Việt Nam đặc biệt đối tượng phóng viên báo đài Báo cáo cho thấy kiểu công APT thông dụng công bố tiếp tục uy hiếp đến an ninh thông tin Việt Nam, ý thức người sử dụng chưa nâng cao Mặc dù thiệt hại mà công APT gây nghiêm trọng nhiên việc phòng chống công APT bị xem nhẹ chưa đầu tư đắn Do đó, việc nghiên cứu chế hoạt động công APT giải pháp phòng chống điều quan trọng góp phần bảo vệ tốt hệ thống thơng tin Từ học viên chọn đề tài “nghiên cứu biện pháp phát cơng có chủ đích APT để bảo vệ Trung tâm tích hợp liệu tỉnh Long An” để có nhìn tổng quan công APT, nghiên cứu giải pháp phòng chống từ đề xuất giải pháp phòng chống cơng cho Trung tâm tích hợp liệu tỉnh Long An Tổng quan vấn đề cần nghiên cứu Vấn đề bảo đảm an tồn thơng tin cho hệ thống thông tin vấn đề quan trọng cần cân nhắc suốt q trình thiết kế, thi cơng, vận hành bảo dưỡng hệ thống thông tin Ngày nay, cơng khơng gian mạng có xu hướng nhắm vào quan hành nhà nước với mục đích có ý đồ rõ ràng nhằm gây nhiễu thông tin phá hoại thông tin tổ chức hành nhà nước (thu thập thơng tin tình báo có tính chất thù địch, đánh cắp liệu, làm uy tín quan tổ chức, phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….) Việc nghiên cứu chế hoạt động cơng APT giải pháp phòng chống nhằm đưa nhìn tổng quan cơng APT, tìm hiểu biện pháp phát cơng APT, tìm hiểu giải pháp phòng chống cơng APT từ đề xuất giải pháp để phòng chống cơng cho Trung tâm tích hợp liệu tỉnh Long An Mục đích nghiên cứu Nghiên cứu công nghệ công APT: kỹ thuật, giai đoạn, mục đích, phương pháp; tìm hiểu biện phát phát cơng APT, tìm hiểu giải pháp phòng chống cơng APT từ đề xuất giải pháp để phòng chống cơng cho Trung tâm tích hợp liệu tỉnh Long An Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Hiện trạng Trung tâm tích hợp liệu tỉnh Long An; nghiên cứu phương pháp công, mã độc hại công APT; vấn đề an tồn thơng tin Trung tâm tích hợp liệu tỉnh Long An; cách thức công APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại công APT Phạm vi nghiên cứu:Nghiên cứu phương pháp công cơng có chủ đích APT Phương pháp nghiên cứu Nghiên cứu lý thuyết: Nghiên cứu lý thuyết chế hoạt động lây nhiễm malware; nghiên cứu hình thức cơng APT phổ biến năm gần đây; phương pháp phát phòng chống APT Khảo sát thực tế: Khảo sát mơ hình Trung tâm Tích hợp liệu tỉnh Long An; tìm hiểu cơng cụ bảo vệ hữu Trung tâm Tích hợp liệu tỉnh Long An Luận văn gồm chương phần kết luận tập trung nghiên cứu vấn đề sau: Chương 1: Tổng quan công APT Chương 2: Cách thức cơng APT phương pháp phòng chống Chương 3: Xây dựng đề xuất số giải pháp bảo đảm an tồn thơng tin cho Trung tâm tích hợp liệu trước công APT Chương - TỔNG QUAN VỀ TẤN CÔNG APT 1.1 Tổng quan cơng có chủ đích APT Advanced Persistent Threat từ viết tắt phát triển MANDIANT, đề cập trước Mike Cloppart, dùng để mô tả kiểu công dai dẳng có chủ đích vào thực thể nhắm đến Thơng thường cơng APT có chuẩn bị kỹ thực hiện, hỗ trợ tổ chức cao cấp phủ nước nhằm tìm kiếm thơng tin tình báo từ cá nhân, doanh nghiệp, phủ nước khác Các thành phần kỹ thuật công APT [12]: Advanced (Nâng cao): thuật ngữ Advanced kiểu công cao cấp thể loại thông thường Trong APT, tin tặc sử dụng malware biến thể khác để tiến hành qua mặt xâm nhập vào hệ thống Các malware phần lớn qua mặt phương pháp bảo vệ truyền thống khác Firewall, IPS, phần mềm diệt virus Persistent (Dai dẳng): thuật ngữ Persistent mang ý nghĩa việc công theo sát để đạt mục đích Mục tiêu cơng khơng bị cơng tức mà mã độc theo nhiều đường khác xâm nhập vào hệ thống, sau chờ thời Chúng thực kích hoạt cơng phát mục tiêu Threat (Mối đe dọa): APT mối đe dọa có tiềm lực chủ đích Các cơng APT thực hoạt động kết hợp, có mục tiêu cụ thể kẻ cơng có kĩ năng, có tổ chức có nguồn tài trợ dồi 1.2 Lịch sử phát triển công APT Câu hỏi phải tự hỏi là: "Nguồn gốc cơng APT có từ đâu?" Trước thuật ngữ APT sử dụng, có số phiên nguyên thủy APT Ngày thiết lập công APT dựa tảng gọi botnet có máy chủ huy kiểm soát (C&C) Hầu hết chúng tự động Bot (như Zombies) Botnet tồn thời gian dài kể từ năm 1999 Trước công APT chúng đạo phối hợp cẩn thận tổ chức tội phạm công APT Một số cơng APT điển hình [13]: - Operation Aurora (2010) - NightDragon (2009 - 2011) - Operation Shady Rat (2006 – 2011) - Stuxnet (2010) - Shamoon (2012) - Năm 2016 xảy vụ tin tặc công sân bay Việt Nam ngày 29/7/2016 1.3 Tấn công APT thông qua công cụ malware 1.4 Tấn cơng APT thơng qua hình thức khác - Kỹ thuật Social Engineering - Khai thác lỗ hổng Zero-day Exploit khác - Insiders Recruits - Forged Fake Certificates (giả mạo chứng điện tử) 1.5 Xác định đặc tính APT Các đặc tính cơng APT: - Targeted (mục tiêu): - Persistent (Dai dẳng) - Evasive (Tránh né ẩn mình) - Complex (Phức tạp) Điểm khác biệt lớn công APT công khác việc APT sử dụng phối kết hợp nhiều kỹ thuật khác cách khoa học nhằm mục tiêu nhiều lỗ hổng bảo mật tổ chức Lý để gọi Advanced Persistent Threat lên kế hoạch khoa học thực phối hợp với tất cơng cụ có sẵn Tấn cơng APT có mục tiêu tổ chức cụ thể (hoặc nhóm tổ chức) APT sử dụng loạt công cụ từ malware đơn giản đến phức tạp Những mã độc hại tạo để khai thác lỗ hổng "zero-day" (các lỗ hổng chưa biết đến chưa công bố) Ví dụ, cơng APT dựa kỹ thuật lừa đảo (social engineering) qua điện thoại để xác định cá nhân cần thiết tổ chức; lừa đảo email gửi đến cá nhân cần thiết với liên kết đến trang web chứa mã Javascript để cài đặt công cụ truy cập từ xa, 1.6 Sự khác biệt APT với mối đe dọa truyền thống Sự khác biệt quan trọng APT mối đe dọa truyền thống đặc điểm targeted (mục tiêu) Trong việc bảo vệ vòng ngồi (vành đai) sử dụng kiểm sốt an ninh tiêu chuẩn bảo vệ tổ chức từ công tiêu chuẩn, kỹ thuật khơng đủ đối mặt với APT Các kẻ cơng kiên nhẫn chờ đợi lỗ hổng để khai phá điểm yếu kết hợp lỗ hổng nhỏ thành lỗ hổng lớn để công Trong bảng 1.1, tổng kết lại khác biệt công APT mối đe dọa truyền thống Bảng 1.1: Những khác biệt công APT công truyền thống Tấn công truyền thống Kẻ cơng Mục tiêu Mục đích Tiếp cận Tấn cơng APT Chủ yếu cá nhân Nhóm có tổ chức, xác định có nguồn lực tốt Khơng xác định, hệ thống chủ yếu Các tổ chức, quan cá nhân, đơn lẻ phủ, doanh nghiệp thương mại cụ thể Lợi ích tài chính, khả thể Lợi cạnh tranh, lợi ích thân chiến lược Một lần, phá lấy cắp thời Nỗ lực lặp lặp lại, di chuyển gian ngắn thấp chậm, thích ứng để chống lại phòng thủ, trì diện dài hạn 1.7 Kết luận chương Những kết đạt chương sau: - Trình bày vấn đề công APT khái niệm, lịch sử, đặc điểm, hình thức cơng - Trình bày khác biệt công APT công truyền thống Chương - CÁCH THỨC TẤN CƠNG APT VÀ PHƯƠNG PHÁP PHỊNG CHỐNG 2.1 Phân tích giai đoạn cơng APT Tấn cơng APT có mục tiêu tổ chức cụ thể (hoặc nhóm tổ chức) APT sử dụng loạt công cụ từ malware đơn giản đến phức tạp, mã độc hại tạo để khai thác lỗ hổng "zero-day" [5] Các giai đoạn công APT [14] mô tả hình 2.1 Tổn thương ban đầu Thiết lập chỗ đứng Leo thang quyền ưu tiên Trinh sát nội Dịch chuyển biên Duy trì diện Hình 2.1: Các giai đoạn cơng APT Hồn tất nhiệm vụ - Tổn thương ban đầu (Initial Compromise) - Thiết lập chỗ đứng (Establish Foothold) - Leo thang quyền ưu tiên (Escalate Privileges) - Trinh sát nội (Internal Reconnaissance) - Dịch chuyển biên (Move Laterally) - Duy trì diện (Maintain Presence) - Hoàn tất nhiệm vụ (Complete Mission) 2.2 Các thuật toán điều khiển cập nhật tính APT Máy chủ C&C đóng vai trò thiết yếu việc điều khiển phần mềm độc hại Những kẻ công thiết lập máy chủ C&C để phân phối lệnh thu thập liệu nhạy cảm từ máy tính nạn nhân Các thiết lập C&C đơn giản dựa IP mã hóa cứng dễ dàng phát Nhà phân tích liệt kê danh sách đen địa IP tên miền máy chủ C&C cấm truy cập rộng gỡ bỏ máy chủ xuống Để hạn chế việc bị phát máy chủ C&C, biến thể mã độc sử dụng thuật toán sinh tên miền (Domain Generation Algorithm – DGA) để tương thích với phương pháp giao tiếp với C&C thông thường mã độc [21] Các mã độc sử dụng DGA để định kỳ tạo số lượng lớn tên miền sử dụng truyền thơng với máy chủ C&C, để tên miền sống vào thời điểm định, máy tính bị lây nhiễm mã độc cố gắng liên lạc với số tên miền định ngày để nhận cập nhật tính lệnh từ máy chủ C&C Những tên miền sinh DGA phần lớn không đăng ký tên miền không tồn NXDomain (Non-eXistent Domain) Kẻ công lợi dụng DGA qua mặt chế chặn theo tên miền, chống đánh sập tên miền chống phân tích động trích xuất tên miền C&C Ví dụ: Đoạn mã giả đánh dấu hình 2.4 thể mã độc Locky (một loại mã độc ransomware) sử dụng DGA sinh tên miền dựa ngày tháng năm Với thuật toán này, địa C&C tạo ngày 2.3 Phương pháp phát công APT 2.3.1 Phân tích tĩnh 2.3.2 Phân tích động 2.3.3 Cập nhật phân tích thơng qua cơng cụ thu thập thơng tin tình báo 2.4 Các cơng cụ phòng chống APT đại nguyên lý hoạt động 2.4.1 Công cụ hãng bảo mật FireEye Các thành phần giải pháp FireEye Mơ hình tích hợp 2.4.2 Cơng cụ hãng bảo mật McAfee Mơ hình triển khai 2.4.3 Cơng cụ hãng bảo mật NPCore Đặc điểm Zombie ZERO 2.5 Kết luận chương Trong chương nghiên cứu giai đoạn công APT, phương pháp phát cơng APT Trình bày số giải pháp phòng chống cơng APT hãng bảo mật Chương - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TỒN THƠNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC CÁC CUỘC TẤN CÔNG APT 3.1 Hiện trạng hạ tầng Trung tâm tích hợp liệu tỉnh Long An Trung tâm tích hợp liệu tỉnh Long An đầu tư xây dựng từ năm 2005 bổ sung thêm số trang thiết bị từ dự án triển khai (Dự án Một cửa điện tử, dự án Nâng cấp Hệ thống thư điện tử, Cổng thông tin điện tử,…) Tuy nhiên, trang thiết bị đầu tư phục vụ riêng lẻ khơng có tính dự phòng, nguy tiềm ẩn an tồn liệu, an tồn thơng tin Đến trạng sở hạ tầng Trung tâm THDL trình bày bảng 3.1 đây: 15 Firewalls: Tường lửa có lịch sử lâu dài việc ngăn chặn cho phép gói tin mạng dựa nguồn gốc địa IP đích số cổng Penetration Testing: Đánh giá độ an toàn cách cơng (đánh trận giả) Hay người sử dụng phải thực số công việc sau đây: - Xác định khả bị công, khả kết hợp nguy nhỏ thành mối nguy lớn - Xác định nguy mà công cụ tự động không phát - Khả hệ thống việc ngăn chặn loại hình cơng - Lượng hố vấn đề cần đầu tư cho bảo mật Data Leak Prevention (DLP - ngăn chặn rò rỉ liệu): Tăng cường giám sát lưu lượng truy cập cho hoạt động bên độc hại yêu cầu từ trang web độc hại, server DNS động truyền file nhạy cảm Quét email từ bên lưu lượng web tập quy tắc động để ngăn chặn liệu bị đánh cắp Whitelisting: Network whitelisting sử dụng phép giao vận nội định đạt tài nguyên mạng khác Network whitelisting ngăn chặn người dùng truy cập vào trang web trực tuyến mà không chấp thuận cách rõ ràng Ứng dụng whitelisting sử dụng phép danh sách tập hợp ứng dụng chạy máy tính Điều ngăn chặn kẻ cơng chạy chương trình máy tính mục tiêu Blacklisting: Trong whitelist danh sách rõ ràng cho phép thực truy cập vào tài nguyên, blacklist danh sách item bị ngăn truy cập vào tài nguyên, trang web, ứng dụng coi khơng an tồn Instrution Prevention(IPS)/Instrution Detection (IDS): Việc sử dụng sản phẩm IPS IDS, tổ chức thêm lớp giám sát giao vận để theo sát hoạt động đáng nghi Một hệ thống IPS/IDS tốt cảnh báo nhân viên IT mối đe dọa tiềm tàng phát triển Two-Factor Authentication (Xác thực dùng hai nhân tố) 16 Có nhiều hình thức xác thực dùng hai nhân tố có sẵn cho người dùng cuối Bằng cách thực xác thực hai yếu tố cho người dùng từ xa người dùng mà yêu cầu truy cập thông tin nhạy cảm, tổ chức gây khó khăn cho kẻ công, kẻ công cần phải cung cấp form định danh thứ hai để truy cập vào mạng Phương pháp xác thực dùng hai nhân tố sử dụng thông thường bao gồm username password tiêu chuẩn cộng với token xác thực dựa phần mềm phần cứng, cung cấp mật sử dụng lần, phải nhập vào username password trình bày cho máy chủ xác thực Web Filtering/IP reputation: Web filtering để chặn truy cập đến trang web không tốt trang web chứa phần mềm độc hại Network Access Control (NAC - Điều khiển truy cập mạng): Giải pháp kiểm tra tính tuân thủ bảo mật hệ thống NAC giải pháp ngăn chặn máy tính mạng truy cập vào nguồn tài nguyên Các máy móc thiết bị kết nối mạng chưa đảm bảo tiêu chuẩn mặt an ninh bị chặn lại cô lập thông báo cho người quản trị Application Control (Kiểm soát ứng dụng): Ngày nay, dịch vụ Web Facebook, Twitter Skype phổ biến Trong nhiều đơn vị chấp nhận cho phép sử dụng tảng này, việc truy cập tồn diện khơng giới hạn đến dịch vụ đặt tổ chức trước đe dọa phần mềm độc hại web Application Control cho phép xác định kiểm soát ứng dụng mạng, cổng, giao thức hay địa IP Sử dụng công cụ phân tích hành vi, liên kết người dùng cuối phân loại ứng dụng xác định ngăn chặn ứng dụng malware độc hại tiềm tàng Web Gateway: Web Gateway lọc chặn virus, Spyware, Phishing, trước chúng thâm nhập vào hệ thống, ngăn chặn nguy liệu Web Gateway tự động bảo vệ chống lại mối đe dọa người dùng truy cập Internet Bằng cách kết hợp với điều khiển ứng dụng, quét phần mềm độc hại, kiểm tra web theo thời gian thực, lọc URL, phát chống botnet Mail Gateway: 17 Mail Gateway tích hợp khả phòng chống thư rác nhiều lớp chống lừa đảo (anti-phishing) sử dụng lọc mã độc phần mềm gián điệp Khả lọc nội dung (content filtering) Mail Gateway giúp tổ chức dễ dàng thiết lập sách kiểm sốt việc tn thủ ứng dụng CNTT người dùng ngăn chặn rò rỉ liệu Device Control: Kiểm soát thiết bị ngoại vi phép sử dụng đơn vị hay tổ chức Security Information Event Management (SIEM): Là giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an toàn thông tin cho hệ thống Security for Endpoint: Ngăn chặn virus máy trạm, khả chống bùng nổ virus mạng cục bộ, kiểm soát việc truy cập web Client Quản lý tập trung toàn hệ thống phòng chống virus ngăn chặn Client truy cập tới trang web độc hại Internet 3.4.2 Mơ hình an tồn cho Trung tâm THDL Hình 3.3: Mơ hình Trung tâm TTDL hồn chỉnh Trong mơ hình Trung tâm THDL hình 3.3, Hệ thống chia làm vùng riêng biệt: 18 - Vùng DMZ: nơi tập trung máy chủ cung cấp dịch vụ bên bao gồm Front-end Web server, Front-end Mail Server, Front-end Sharepoint - Vùng Server: Tập trung máy chủ sở liệu SQL Servers, LDAP - Vùng Application: Tập trung máy chủ ứng dụng Web Portal, Mail server - Vùng Management: Tập trung máy chủ LAN Management, Security Management - Vùng WAN: Bao gồm máy tính sở ngành, UBND cấp huyện Trong đó, hệ thống External Firewall bố trí thiết bị tường lửa (Firewall) có tích hơ ̣p tích phát xâm nhập IPS bảo vê ̣ các máy chủ vùng an toàn, vùng quản trị, tăng cường khả dự phòng, sẵn sàng cao; bố trí thiết bị bảo mật ứng dụng Web Application Firewall (WAF) giúp bảo vệ ứng dụng web, phát ngăn chặn khai thác tin tặc cổng thông tin điện tử tỉnh trang thông tin điện tử thành phần; vùng Internal Firewall bố trí tường lửa có tốc độ cao, có khả bảo mật tầng ứng dụng, có khả phân tích, phát hiện, cảnh báo với xâm nhập bất hợp pháp tin tặc, ; bố trí thêm phần mềm theo dõi hoạt động hệ thống, có khả tự động phân tích bất thường thiết bị, ứng dụng dùng hệ thống, có nhiệm vụ dùng để quản lý phân tích file log tập trung vùng Management 3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL 3.4.3.1 Đánh giá an tồn thơng tin cho Trung tâm THDL Nhằm tăng cường cơng tác bảo đảm an tồn thơng tin cho Trung tâm THDL tỉnh Long An, phòng tránh cơng mạng (đặc biệt cơng có chủ đích APT) Trung tâm THDL tỉnh định kỳ triển khai đánh giá an tồn thơng tin Cổng thơng tin điện tử tỉnh, trang thông tin điện tử thành phần, ứng dụng dùng chung web base hệ thống máy chủ Phần mềm sử dụng để đánh giá an tồn thơng tin phần mềm Acunetix Web Vulnerability Scanner 10.5 phần mềm Nessus Vulnerability Scanner 19 Hình 3.4: Qt Cổng thơng tin điện tử tỉnh (longan.gov.vn) 3.4.3.2 Yêu cầu kỹ thuật cho Trung tâm THDL * Yêu cầu thiết kế hệ thống: - Có phương án chặn lọc phần mềm độc hại mơi trường mạng; - Có phương án phòng chống cơng từ chối dịch vụ - Có phương án giám sát an toàn hoạt động cho hệ thống - Có phương án giám sát an tồn thơng tin - Có phương án quản lý tập trung việc lưu, dự phòng hệ thống - Có phương án quản lý tập trung phần mềm phòng chống mã độc máy chủ/máy tính người dùng hệ thống - Có phương án bảo đảm an tồn cho mạng khơng dây (nếu có) - Các thiết bị mạng có thiết kế dự phòng * u cầu kiểm sốt truy nhập từ bên ngồi mạng: - Phân quyền cấp quyền truy nhập từ bên vào hệ thống theo theo người dùng nhóm người dùng theo yêu cầu nghiệp vụ, yêu cầu quản lý - Giới hạn số lượng kết nối đồng thời từ địa nguồn tổng số lượng kết nối đồng thời cho ứng dụng, dịch vụ hệ thống cung cấp theo lực thực tế hệ thống * Yêu cầu kiểm soát truy nhập từ bên mạng: - Giới hạn truy nhập ứng dụng, dịch vụ bên theo thời gian * Yêu cầu nhật ký hệ thống: -Thông tin truy cập ứng dụng dịch vụ cần ghi nhật ký bao gồm: 20 + Thời gian kết nối, + Thông tin kết nối mạng (địa IP, cổng kết nối), + Hành động kết nối (cho phép, ngăn chặn), + Thông tin thiết bị đầu cuối kết nối vào hệ thống theo địa vật lý logic, + Thông tin cảnh báo từ thiết bị; - Lưu trữ quản lý tập trung nhật ký hệ thống hệ thống quản lý nhật ký hệ thống tập trung, gửi liệu nhật ký hệ thống hệ thống trung tâm theo thời gian thực; - Lưu trữ nhật ký hệ thống thiết bị tối thiểu 03 tháng * Yêu cầu phòng chống xâm nhập: - Có phương án phòng chống xâm nhập để bảo vệ vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ sở liệu vùng mạng nội bộ; * Yêu cầu phòng chống phần mềm độc hại: - Có phương án phòng chống phần mềm độc hại môi trường mạng để bảo vệ vùng mạng nội bộ; - Tự động cập nhật thời gian thực sở liệu cho hệ thống phòng chống phần mềm độc hại - Bảo đảm lực hệ thống bảo đảm đáp ứng đủ theo yêu cầu theo quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp * Yêu cầu bảo vệ thiết bị hệ thống: - Hạn chế số lần đăng nhập sai quản trị kết nối quản trị từ xa theo địa IP nguồn; - Phân quyền truy nhập, quản trị thiết bị tài khoản quản trị có quyền hạn khác * Yêu cầu xác thực: - Hạn chế số lần đăng nhập sai khoảng thời gian định với tài khoản định; - Thiết lập cấu hình để vơ hiệu hóa tài khoản tài khoản đăng nhập sai nhiều lần vượt số lần quy định * Yêu cầu kiểm soát truy nhập máy chủ: - Thay đổi cổng quản trị mặc định máy chủ; - Giới hạn địa IP nguồn phép truy nhập, quản trị máy chủ từ xa; 21 - Thiết lập hệ thống để không cho phép quản trị máy chủ trực tiếp từ mạng bên ngồi; thực gián tiếp thơng qua kết nối mạng riêng ảo phương thức khác tương đương 3.5 Phương pháp đánh giá an tồn thơng tin theo hướng tiếp cận phòng chống APT 3.5.1 Giới thiệu công cụ đánh giá 3.5.1.1 VMware Workstation 12 Máy ảo chương trình đóng vai trò máy vi tính ảo Nó chạy hệ điều hành (hệ điều hành chủ) cung cấp phần cứng ảo tới hệ điều hành khách VMware phần mềm ảo hóa máy tính mạnh mẽ dành cho nhà phát triển, kiểm tra phần mềm chuyên gia IT cần chạy nhiều hệ điều hành lúc máy PC Chức VMware: - Giúp máy tính chạy song song nhiều hệ điều hành - Giúp khai thác tối đa cơng suất máy tính - Tăng tính linh hoạt nâng cấp phần cứng 3.5.1.2 Kali Linux Kali Linux OS hữu ích chuyên gia đánh giá bảo mật, OS tập hợp phân loại gần tất công cụ thiết yếu mà chuyên gia đánh giá bảo mật cần sử dụng để tác nghiệp Kali Linux nâng cấp cao cấp BackTrack Kali cài đặt 200 công cụ tùy theo nhu cầu đánh giá Nếu công cụ không xếp phân loại rõ ràng khả sử dụng thực đánh giá bảo mật không tối ưu So với BackTrack, tất công cụ Kali phân loại dựa mục đích sử dụng Phân loại Information Gathering (Thu thập thông tin) Nhóm phân loại gồm cơng cụ tập trung vào việc thu thập thông tin mục tiêu Trong phân loại có số lượng lớn cơng cụ phân chia theo loại thông tin cần thu thập Ví dụ, OS Fingerprinting (Thu thập thơng tin hệ điều hành), Network Scanners (Dò quét cổng, dò quét mạng, dò quét phiên dịch vụ), SSL Analysis (Phân tích giao thức SSL), VoIP Analysis (Phân tích giao thức VoIP) nhiều cơng cụ khác 22 Từ cơng cụ này, chọn công cụ tiếng, hiệu thực đánh giá bảo mật hạ tầng mạng, Nmap Đây cơng cụ thăm dò, phân tích, thám mạng hữu dụng Sniffing/Spoofing (Nghe lén/Giả mạo) cung cấp công cụ để intercept lưu lượng mạng đường truyền, Web lưu lượng VoIP Một chương trình Sniffer tốt Wireshark Với Wireshark bạn intercept lưu lượng mạng xác định giao thức sử dụng, phân tích highlight liệu quan trọng 3.5.1.3 Veil-Evasion Veil-Evasion công cụ Veil-Framework sử dụng để tạo payload có khả qua mặt phần mềm antivirus [23] 3.5.2 Thực nghiệm công Máy công: Sử dụng HĐH Kali Linux 2.0 Máy nạn nhân: Windows Công cụ: mFileBinder, Veil-Evasion, Armitage Lỗ hổng khai thác: sử dụng payload từ công cụ Veil-Evasion 3.5.3 Kịch công Một cán quan X tỉnh Long An trang bị máy tính để làm việc Trên máy tính có chứa tài liệu quan trọng gói thầu dự án Một kẻ công công vào máy tính cán đánh cắp liệu quan trọng Kẻ cơng sử dụng file pdf có chứa mã độc gửi cho nạn nhân, phương pháp Social Engineering (kỹ thuật xã hội), kẻ công tạo email với nội dung hấp dẫn để dụ nạn nhân download file pdf Sau nạn nhân download mở file pdf, kẻ cơng chiếm quyền điều khiển máy tính thực hành vi cần thiết để khai thác, đánh cắp liệu 3.5.4 Mô cơng - Giai đoạn thăm dò: Kẻ công xác định mục tiêu cần công, anh cán quan X tỉnh Long An - Giai đoạn chuẩn bị công: 23 + Sau xác định thông tin nạn nhân, kẻ cơng sử dụng chương trình Armitage nhằm khai thác lỗ hổng xâm nhập + Máy công: Sử dụng HĐH Kali Linux 2.0 + Công cụ: Armitage + Lỗ hổng: payload tạo từ công cụ Veil-Evasion - Giai đoạn công: Kẻ công tiến hành thực nội dung sau: Cài đặt Veil-Framework vào HĐH Kali, sau thực mở cơng cụ Veil-Evasion dòng lệnh /Veil-Evasion.py, chương trình có giao diện hình 3.6 Tiếp theo, kẻ cơng xác định payload cần tạo chương trình, kẻ cơng tạo payload vị trí số (c/meterpreter/rev_tcp) với lệnh hình 3.7 Sử dụng cú pháp LHOST 192.168.1.4 để đặt địa IP máy dùng để công LPORT 4444 cổng dùng để lắng nghe Hình 3.7: Tạo IP Port để lắng nghe Sau dùng lệnh generate, chương trình tự động tạo file mã độc exe (madocAPT.exe) Tiếp theo, kẻ công sử dụng công cụ mFileBinder để chèn mã độc vào file pdf để thực giả mạo email hình 3.8 24 Hình 3.8: Công cụ mFileBinder Tiến hành gửi file pdf chứa mã độc cho nạn nhân qua email Kẻ công sử dụng kỹ thuật social engineering để tăng độ tin cậy dễ dàng đánh lừa nạn nhân, kẻ cơng giả mạo tài khoản email quen biết với nạn nhân Hình 3.9: Giả mạo email 25 Kẻ công tiếp tục sử dụng công cụ Armitage, tạo listener loại meterpreter với port lắng nghe 4444, để chờ kết nối từ máy nạn nhân hình 3.10 Hình 3.10: Lắng nghe kết nối Ngay nạn nhân mở mail tải file xem, payload nhanh chóng khởi tạo kết nối đến máy kẻ công Từ đây, kẻ công có quyền truy cập vào máy tính nạn nhân 26 Hình 3.11: Kết nối tạo 3.5.5 Đề xuất giải pháp cho Trung tâm TTDL Để ngăn chặn mối đe dọa từ công APT, bên cạnh trang thiết bị firewalls có Trung tâm TTDL cần có giải pháp tồn diện để giám sát an toàn cho hệ thống, sớm phát mối đe dọa giúp tổ chức nhanh chóng ứng phó cố, hạn chế bị cơng Đề xuất sử dụng giải pháp hãng AlienVault, Unified Security Management (USM), USM kết hợp tính bảo mật chủ yếu để tổ chức đối phó với mối đe dọa giảm thiểu việc triển khai tích hợp nhiều sản phẩm - Quản lý tài sản (Asset Discovery): Nhận thông tin máy tính hoạt động người dùng có hệ thống - Đánh giá lỗ hổng (Vulnerability Assessment): quét hệ thống để phát máy tính đánh giá lỗ hổng hướng dẫn khắc phục - Phát xâm nhập (Intrusion Detection): kiểm tra lưu lượng thiết bị bảo vệ máy tính quan trọng hệ thống - Giám sát hành vi (Behavioral Monitoring): giúp xác định hành vi đáng ngờ máy tính có khả bị xâm nhập - Hệ thống giám sát an tồn mạng (Siem): phân tích liệu kiện bảo mật từ hệ thống có 27 3.5.6 Kết thử nghiệm đánh giá Sau triển khai hệ thống AlienVault Unified Security Management vào hệ thống Trung tâm TTDL tỉnh Long An, kết cho thấy máy tính hệ thống giám sát tồn diện Hình 3.12 cho thấy USM cảnh báo 01 hành động đáng ngại hệ thống Hình 3.12: Giao diện USM Hình 3.13 cho thấy USM ghi nhận máy tính (IP: 10.180.96.69) hệ thống mở port 49521 để kết nối C&C bên ngồi (IP: 113.171.226.38) 28 Hình 3.13: Giao diện ghi nhận cố Hình 3.14: Giao diện chi tiết cố 3.6 Kết luận chương Chương phần đầu cung cấp trạng Trung tâm THDL tỉnh Long An, nguy ảnh hưởng đến Trung tâm THDL Tiếp theo đề xuất thiết kế tổng thể hệ thống Trung tâm THDL, khuyến nghị cần áp dụng để bảo đảm an toàn cho Trung tâm THDL kết triển khai giải pháp USM giám sát toàn diện hệ thống, cảnh báo mối nguy hại hệ thống 29 KẾT LUẬN VÀ KIẾN NGHỊ Qua nghiên cứu luận văn đạt số kết sau: Trình bày tổng quan công APT bao gồm đặc tính, giai đoạn cơng, mức độ nguy hiểm APT với công thông thường Trình bày số biện pháp, kỹ thuật cơng nghệ phòng chống cơng APT hãng bảo mật tiếng Kết nghiên cứu rằng: để đảm bảo an tồn bảo mật thơng tin trước cơng APT khơng thể áp dụng kỹ thuật, công cụ hay công nghệ mà cần phải áp dụng tổ hợp cơng nghệ để đạt hiệu Tìm hiểu trạng Trung tâm THDL tỉnh Long An, nguy ảnh hưởng đến Trung tâm THDL Đề xuất mơ hình mạng an tồn cho Trung tâm THDL, khuyến nghị cần áp dụng để bảo đảm an toàn cho Trung tâm THDL, đề xuất triển khai hệ thống giám sát an tồn thơng tin USM cho Trung tâm THDL, hệ thống hoạt động đạt hiệu tiền đề tham mưu lãnh đạo triển khai thời gian tới Tuy nhiên, thời gian nghiên cứu kinh nghiệm có hạn, nên luận văn đề xuất mơ hình mạng an tồn, khuyến nghị kỹ thuật cần áp dụng cho Trung tâm THDL triển khai hệ thống giám sát an tồn thơng tin USM Định hướng nghiên cứu phát triển tiếp theo: Trên kết làm luận văn nghiên cứu phát triển theo hướng tiếp tục nghiên cứu dạng cơng APT từ đề biện pháp tốt để bảo vệ Trung tâm THDL giảm thiểu rủi ro Nghiên cứu phương pháp truy tìm dấu vết cơng APT; triển khai nhân rộng hệ thống giám sát an tồn thơng tin USM cho hệ thống thông tin tỉnh ... vệ Trung tâm tích hợp liệu tỉnh Long An để có nhìn tổng quan công APT, nghiên cứu giải pháp phòng chống từ đề xuất giải pháp phòng chống cơng cho Trung tâm tích hợp liệu tỉnh Long An Tổng quan... TOÀN THƠNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC CÁC CUỘC TẤN CÔNG APT 3.1 Hiện trạng hạ tầng Trung tâm tích hợp liệu tỉnh Long An Trung tâm tích hợp liệu tỉnh Long An đầu tư xây dựng từ năm... Trung tâm tích hợp liệu tỉnh Long An; cách thức công APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại công APT Phạm vi nghiên cứu :Nghiên cứu phương pháp công cơng có chủ