Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
172,5 KB
Nội dung
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÀI TẬP LỚN CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU GIẢI PHÁP PHỊNG CHỐNG VÀ XỬ LÝ SỰ CỐ PHẦN MỀM ĐỘC HẠI CHO MÁY TÍNH ĐỂ BÀN VÀ MÁY TÍNH XÁCH TAY Giảng viên hướng dẫn: Sinh viên thực hiện: Ths.Bùi Thị Vân ĐÀO THỊ HUYỀN ANH – AT150301 NGUYỄN TUẤN ANH – AT120602 VŨ HOÀNG ÁNH – AT150404 NHÓM 01 Hà nội, 10 - 2021 MỤC LỤC CHƯƠNG 1: TÌM HIỂU VỀ CÁC MỐI ĐE DỌA PHẦN MỀM ĐỘC HẠI Khái niệm phần mềm độc hại Phần mềm độc hại (Malware) đề cập đến chương trình chèn cách bí mật vào chương trình khác với mục đích phá hủy liệu, chạy chương trình phá hoại xâm nhập làm tổn hại đến tính bảo mật, tính tồn vẹn tính khả dụng liệu, ứng dụng hệ điều hành nạn nhân - Phần mềm độc hại mối đe dọa bên phổ biến hầu hết máy chủ, gây thiệt hại gián đoạn diện rộng đòi hỏi nỗ lực phục hồi rộng rãi hầu hết tổ chức 1.1 - Các dạng phần mềm độc hại Dựa cách mà phần mềm độc hại lây lan, chúng phân loại sau: 1.2.1 Virus - Là loại ứng dụng độc hại phổ biến nắm rõ ràng chương trình độc hại tự thực thi lây lan việc lây nhiễm chương trình tệp khác.Virus tự nhân cách chèn vào chương trình máy chủ tệp liệu.Virus thường kích hoạt thơng qua tương tác người dùng, chẳng hạn mở tệp chạy chương trình.Virus chia thành hai loại nhỏ sau: + Virus tổng hợp: Một virus biên dịch thực thi hệ điều hành Các loại biên dịch virus bao gồm virus trình nạp tệp, chúng tự gắn vào chương trình thực thi; khởi động virus sector, lây nhiễm ghi khởi động ổ đĩa cứng lĩnh vực khởi động phương tiện di động; virrus đa chủng, kết hợp đặc điểm trình nạp tệp virus khu vực khởi động + Virus thông dịch: Các virus thông dịch thực thi ứng dụng Trong khoảng danh mục con, virus macro tận dụng khả macro ứng dụng ngôn ngữ lập trình để lây nhiễm tài liệu ứng dụng mẫu tài liệu, virus kịch lây nhiễm 1.2 tập lệnh hiểu ngôn ngữ kịch xử lý dịch vụ hệ điều hành 1.2.2 Worm - Một worm phần mềm độc hại có khả tự chép lây lan mà khơng có hành động người dùng cuối, gây tàn phá thực Virus cần người dùng cuối để loại bỏ chúng để chúng tiếp tục lây nhiễm tệp hệ thống khác Worm không cần hành động người dùng cuối Nó đơn giản tự lan truyền, tự chép trình phá hủy hệ thống, thiết bị, mạng sở hạ tầng kết nối - Worms lây lan cách khai thác tệp chương trình khác để thực cơng việc lây lan Khi người tổ chức mở email có chứa Worm, tồn mạng tổ chức bị lây nhiễm sau vài phút 1.2.3 Trojan - Trojan chủ yếu đến qua email lây lan từ trang web bị nhiễm mà người dùng truy cập Họ làm việc nạn nhân thực - Một người dùng tìm thấy popup cho biết hệ thống họ bị nhiễm Popup hướng dẫn họ chạy chương trình để dọn dẹp hệ thống Người dùng thực theo mà khơng biết Trojan Trojans phổ biến, đặc biệt dễ viết Ngồi ra, chúng dễ dàng lan truyền cách lừa người dùng cuối thực thi chúng Điều có làm cho phần mềm bảo mật trở nên vô dụng 1.2.4 Spyware - Phần mềm gián điệp, tên cho thấy, giúp kẻ công theo dõi hệ thống người dùng Loại phần mềm độc hại sử dụng làm key-logging hoạt động tương tự, giúp chúng truy cập vào liệu cá nhân (bao gồm thông tin đăng nhập) tài sản trí tuệ - Phần mềm gián điệp sử dụng người muốn kiểm tra hoạt động máy tính người mà cá nhân họ biết Phần mềm gián điệp, giống phần mềm quảng cáo, dễ dàng để loại bỏ 1.2.5 Ransomware - Ransomware đòi tiền chuộc từ bạn để đưa thứ trở lại cũ Vấn đề với ransomware, loại phần mềm độc hại lan truyền nhanh khắp tổ chức, mạng quốc gia Họ mã hóa tất tệp hệ thống mạng, khiến chúng truy cập Một lưu ý tiền chuộc bật lên, yêu cầu toán tiền điện tử, để giải mã tệp Nếu tiền chuộc không trả, tệp mã hóa cuối bị phá hủy Do đó, ransomware coi hình thức phần mềm độc hại tàn phá 1.2.6 Adware - Phần mềm quảng cáo (Adware) khơng việc cố gắng đưa người dùng đến quảng cáo độc hại không mong muốn Những quảng cáo lây nhiễm cho thiết bị người dùng Có chương trình phần mềm quảng cáo chuyển hướng người dùng, trình tìm kiếm trình duyệt, đến trang web trơng giống có quảng cáo sản phẩm khác Loại bỏ phần mềm quảng cáo dễ dàng Bạn cần tìm mã độc thực thi loại bỏ 1.2.7 Fileless Malware - Trong phần mềm độc hại truyền thống di chuyển lây nhiễm hệ thống hệ thống tệp, phần mềm độc hại khơng có tệp di chuyển lây nhiễm mà không trực tiếp sử dụng tệp hệ thống tệp Phần mềm độc hại khai thác phát tán nhớ; chúng lan truyền cách sử dụng đối tượng OS tệp, API, registry keys,… - Các cơng phần mềm độc hại khơng có tệp chủ yếu bắt đầu việc khai thác chương trình hợp pháp có cách sử dụng cơng cụ hợp pháp có tích hợp HĐH (ví dụ: Microsoft, Powershell) Do đó, trở nên thực khó khăn để phát ngăn chặn loại công 1.2.8 The Hybrid Attack - Điều nguy hiểm tàn phá Ngày nay, có phần mềm độc hại kết hợp nhiều luồng phần mềm độc hại truyền thống - Ví dụ: số phần mềm độc hại phần virus, phần Trojan phần worm Một phần mềm độc hại xuất dạng Trojan giai đoạn đầu, sau có lẽ lây lan Worm Ngồi cịn có bot, tin tặc sử dụng loại phần mềm độc hại để có quyền truy cập vào hàng trăm máy tính Những hệ thống sau sử dụng (bởi tin tặc người khác mua chúng) để thực công khác Công cụ kẻ công Nhiều loại cơng cụ cơng khác phần mềm độc hại chuyển đến máy chủ Những công cụ cho phép kẻ cơng có quyền truy cập sử dụng trái phép máy chủ bị nhiễm liệu để khởi động công bổ sung Các loại công cụ công phổ biến sau: - Backdoor + Backdoor chương trình độc hại nghe lệnh TCP định cổng udp Hầu hết backdoor cho phép kẻ công thực số hành động định máy chủ, chẳng hạn có mật thực lệnh tùy ý + Các loại backdoor bao gồm zombies (hay gọi bot), cài đặt máy chủ để khiến cơng máy chủ khác từ xa công cụ quản trị, cài đặt máy chủ phép kẻ công từ xa có quyền truy cập vàocác chức liệu máy chủ lưu trữ cần thiết - Keystroke Loggers: giám sát ghi lại việc sử dụng bàn phím Một số u cầukẻ cơng để lấy liệu từ máy chủ lưu trữ, 1.3 - - - - người ghi nhật ký khác chủ động chuyển liệu đếnmáy chủ lưu trữ khác thông qua email, chuyển tệp phương tiện khác Rootkit: Rootkit tập hợp tệp cài đặt máy chủ để thay đổi tiêu chuẩn nóchức theo cách độc hại lút Rootkit thường thực nhiều thay đổi máy chủ lưu trữẩn tồn rootkit, khiến khó xác định rootkit tồn vàxác định rootkit thay đổi Web Browser Plug-Ins: cung cấp cách thức để số loại nội dunghiển thị thực thi thơng qua trình duyệt web Các plug-in trình duyệt web độc hại giám sát tất cảsử dụng trình duyệt E-Mail Generators: Một chương trình tạo email sử dụng để tạo gửi số lượng lớncủa email, chẳng hạn phần mềm độc hại thư rác, đến máy chủ khác mà người dùng không phép Bộ công cụ Attacker: Nhiều kẻ công sử dụng cơng cụ có chứa số loại tiện ích khác tập lệnh sử dụng để thăm dị cơng máy chủ, chẳng hạn trình duyệt gói, trình qt cổng,trình qt lỗ hổng bảo mật, trình bẻ khóa mật chương trình tập lệnh cơng Bởi cơng cụ kẻ cơng phát phần mềm diệt vi rút, số người nghĩ chúng dạng phần mềm độc hại Tuy nhiên, cơng cụ kẻ cơng khơng có khả lây nhiễm; họ dựa vào phần mềm độc hại chế công khác để cài đặt chúng vào máy có mục đích Nói cách xác, công cụ kẻ công phần mềm độc hại CHƯƠNG 2: GIẢI PHÁP PHÒNG CHỐNG SỰ CỐ PHẦN MỀM ĐỘC HẠI 2.1 Chính sách - Các cân nhắc sách liên quan đến phịng chống phần mềm độc hại phổ biến bao gồm điều sau: + Yêu cầu quét phương tiện từ bên ngồi tổ chức để tìm phần mềm độc hại trước chúng sử dụng + Yêu cầu quét tệp đính kèm email trước mở chúng + Cấm gửi nhận số loại tệp (ví dụ: tệp exe) qua email + Hạn chế cấm sử dụng phần mềm không cần thiết, chẳng hạn ứng dụng người dùng thườngđược sử dụng để chuyển phần mềm độc hại (ví dụ: sử dụng cá nhân để nhắn tin tức thời bên chia sẻ tệp dịch vụ) + Hạn chế sử dụng phương tiện di động (ví dụ: ổ đĩa flash), đặc biệt máy chủ mức cao nguy lây nhiễm, chẳng hạn ki-ốt truy cập cơng cộng + Chỉ định loại phần mềm phịng ngừa (ví dụ: phần mềm chống virus, lọc nội dung phần mềm) yêu cầu cho loại máy chủ lưu trữ (ví dụ: máy chủ email, máy chủ web, máy tính xách tay, điện thoại thơng minh) ứng dụng (ví dụ: ứng dụng email, trình duyệt web) liệt kê yêu cầu cấp cao cấu hình bảo trì phần mềm (ví dụ: tần suất cập nhật phần mềm, phạm vi quét máy chủ tần số) + Hạn chế cấm sử dụng thiết bị di động tổ chức phát hành / thuộc sở hữu cá nhân mạng tổ chức để làm việc từ xa / truy cập từ xa 2.2 Nhận thức - Các chương trình nâng cao nhận thức nên bao gồm hướng dẫn cho người dùng cố phần mềm độc hại ngăn chặn, giúp giảm tần suất mức độ nghiêm trọng cố phần mềm độc hại Tất người dùng phải nhận thức cách mà phần mềm độc hại xâm nhập lây nhiễm máy chủ, rủi ro mà phần mềm độc hại gây ra, khơng có khả kiểm sốt kỹ thuật để ngăn chặn tất cố, tầm quan trọng người dùng việc ngăn ngừa cố,nhấn mạnh vào việc tránh công kỹ thuật xã hội sau: + Không mở email đáng ngờ tệp đính kèm email, nhấp vào liên kết khơng xác định người gửi biết truy cập trang web có khả chứa nội dung độc hại + Không nhấp vào cửa sổ bật lên trình duyệt web đáng ngờ + Khơng mở tệp có phần mở rộng tệp có khả liên kết với phần mềm độc hại (ví dụ: bat, com, exe, pif, vbs) + Không tắt chế kiểm sốt bảo mật phần mềm độc hại (ví dụ: phần mềm chống vi-rút, lọc nội dung phần mềm, phần mềm danh tiếng, tường lửa cá nhân) + Không sử dụng tài khoản cấp quản trị viên để vận hành máy chủ lưu trữ thông thường + Không tải xuống thực thi ứng dụng từ nguồn không đáng tin cậy - Là phần hoạt động nâng cao nhận thức, tổ chức nên giáo dục người dùng họ kỹ thuật xã hội kỹ thuật sử dụng để lừa người dùng tiết lộ thơng tin Ví dụ đề xuất cho tránh công lừa đảo hình thức kỹ thuật xã hội khác bao gồm: + Không trả lời yêu cầu email thơng tin tài cá nhân Thay vào đó, liên hệ với người tổ chức số điện thoại trang web hợp pháp Không sử dụng thông tin liên hệ cung cấp email khơng nhấp vào tệp đính kèm liên kết email + Không cung cấp mật khẩu, mã PIN mã truy cập khác để trả lời email cửa sổ bật lên không u cầu cửa sổ Chỉ nhập thơng tin vào trang web ứng dụng hợp pháp + Không mở tệp đính kèm email đáng ngờ, chúng đến từ người gửi biết Nếu nhận tệp đính kèm khơng mong muốn, liên hệ với người gửi (tốt phương thức khác email, chẳng hạn điện thoại) để xác nhận tệp đính kèm hợp pháp + Không trả lời email đáng ngờ không mong muốn (Yêu cầu xóa địa email từ danh sách gửi thư bên độc hại xác nhận tồn sử dụng tích cực địa email đó, có khả dẫn đến nỗ lực công bổ sung) 2.3 Giảm thiểu lỗ hổng bảo mật - Giảm thiểu lỗ hổng bảo mật giải pháp quan trọng để ngăn ngừa cố phần mềm độc hại Cách tốt để bảo vệ hệ thống khỏi lỗ hổng bảo mật cài đặt cập nhật vá bảo mật cho hệ điều hành sớm tốt Đồng thời đảm bảo thường xuyên cập nhật phiên phần mềm, ứng dụng mà bạn cài đặt máy tính Nếu cài đặt sử dụng Adobe Flash Player Java máy tính, người dùng khuyến cáo cài đặt cập nhật 10 sớm tốt, phần mềm dễ bị cơng có nhiều lỗ hổng bảo mật - Ngoài cần đảm bảo bạn cài đặt sử dụng phần mềm bảo mật Internet Hầu hết phần mềm trang bị tính Vulnerability Scan để quét, tìm kiếm loại bỏ lỗ hổng bảo mật hệ điều hành phần mềm cài đặt thiết bị bạn - Các công cụ qt máy tính để tìm kiếm lỗ hổng hệ điều hành đoạn mã chương trình khơng bảo vệ, phát cập nhật phần mềm plug-in lỗi thời để bảo vệ máy tính khỏi cơng độc hại 2.4 Giảm thiểu đe dọa Phần mô tả số loại cơng cụ bảo mật giảm thiểu mối đe dọa phần mềm độc hại: phần mềm diệt virus, hệ thống phòng chống xâm nhập (IPS), firewall, nội dung lọc / kiểm tra đưa vào danh sách cho phép Đối với danh mục này, phần mơ tả tính điển hình, loại phần mềm độc hại công công cụ, phương pháp họ sử dụng để phát dừng phần mềm độc hại Các đề xuất hướng dẫn thực hiện, cấu hình trì cơng cụ cung cấp, giải thích thiếu sót cơng cụ cách mà họ bổ sung cho công cụ khác 2.4.1 Phần mềm diệt virus - Phần mềm diệt vi-rút biện pháp kiểm soát kỹ thuật sử dụng phổ biến để giảm thiểu mối đe dọa phần mềm độc hại Có nhiều phần mềm diệt vi-rút, với hầu hết phần mềm cung cấp khả bảo vệ thông qua cách sau : + Quét thành phần máy chủ quan trọng tệp khởi động ghi khởi động + Theo dõi hoạt động thời gian thực máy chủ để kiểm tra hoạt động đáng ngờ; ví dụ phổ biến quét tất tệp đính kèm email để tìm phần mềm độc hại biết email gửi nhận + Giám sát hoạt động ứng dụng phổ biến, chẳng hạn ứng dụng email, trình duyệt web vàphần mềm nhắn tin nhanh Phần mềm diệt virus phải giám sát hoạt động liên quan đến ứng dụng 11 sử dụng để lây nhiễm máy chủ phát tán phần mềm độc hại sang máy chủ khác + Quét tệp để tìm phần mềm độc hại biết Phần mềm diệt virus máy chủ phải định cấu hình để quét tất ổ cứng thường xuyên để xác định lây nhiễm hệ thống tệp tùy chọn, tùy thuộc vàonhu cầu bảo mật tổ chức, để quét phương tiện di động đưa vào máy chủ trước cho phép sử dụng Người dùng bắt đầu quét theo cách thủ công cần thiết, gọi bật - quét nhu cầu + Xác định loại phần mềm độc hại phổ biến công cụ kẻ công + Khử trùng tệp, đề cập đến việc loại bỏ phần mềm độc hại khỏi tệp cách ly tệp, có nghĩa tệp chứa phần mềm độc hại lưu trữ cách ly để khử trùng tương lai kiểm tra Việc khử trùng tệp thường tốt cách ly tệp phần mềm độc hại gỡ bỏ khôi phục tệp gốc Tuy nhiên, nhiều tệp bị nhiễm khử trùng Theo đó, phần mềm chống virus phải định cấu hình để cố gắng khử trùng tệp bị nhiễm, cách ly xóa tệp khơng thể khử trùng 2.4.2 Hệ thống ngăn chặn xâm nhập - Hệ thống ngăn chặn xâm nhập dựa mạng (IPS) thực dị tìm gói phân tích lưu lượng mạng để xác định dừng hoạt động đáng ngờ Các sản phẩm IPS dựa mạng thường triển khai nội tuyến, có nghĩa phần mềm hoạt động giống tường lửa mạng Nó nhận gói, phân tích chúng cho phép gói chấp nhận để qua Kiến trúc IPS dựa mạng cho phép số công phát mạng trước chúng đạt mục tiêu dự kiến Hầu hết sản phẩm IPS dựa mạng sử dụng kết hợp công chữ kí phân tích giao thức mạng ứng dụng, có nghĩa họ so sánh hoạt động mạng cho ứng dụng thường xun bị cơng (ví dụ: máy chủ email, máy chủ web) với hành vi mong đợi để xác định hoạt động độc hại tiềm ẩn 2.4.3 Tường lửa - Tường lửa ngăn chặn kẻ công người dùng trái phép truy cập máy tính người dùng Nếu khơng có tường lửa, tất tệp tin 12 liệu cá nhân máy tính người dùng có nguy bị cơng Hiện nay, máy tính cài đặt mặc định tường lửa cá nhân, nhiên, hệ điều hành macOS mặc định khơng kích hoạt tính Do đó, người dùng cần kiểm tra kích hoạt q trình sử dụng 2.4.4 Lọc/Kiểm tra nội dung - Người dùng nên sử dụng công nghệ lọc kiểm tra nội dung để ngăn chặn phần mềm độc hại dựa email Người dùng nên sử dụng công nghệ lọc thư rác để giảm lượng thư rác người dùng Thư rác thường sử dụng để gửi phần mềm độc hại, đặc biệt cơng lừa đảo, việc giảm thư rác dẫn đến sụt giảm tương ứng cố phần mềm độc hại spam - Một số cửa sổ bật lên tạo để trông giống hộp thông báo hệ thống trang web hợp pháp lừa người dùng truy cập trang web giả mạo Khi lướt web, người dùng gặp trang web hiển thị cửa sổ bật lên làm cho bạn tin máy tính bạn bị nhiễm yêu cầu bạn tải xuống số phần mềm để tự bảo vệ Chỉ cần đóng cửa sổ bật lên đảm bảo người dùng không nhấp vào bên cửa sổ bật lên 2.4.5 Danh sách cho phép ứng dụng - Danh sách cho phép ứng dụng thực hành định mục ứng dụng phần mềm phê duyệt tệp thực thi phép diện hoạt động hệ thống máy tính Mục tiêu danh sách để bảo vệ máy tính mạng khỏi ứng dụng gây hại - Hầu hết công nghệ danh sách cho phép ứng dụng chạy theo hai chế độ: kiểm toán thực thi + Trong chế độ thực thi, công nghệ thường cấm tất cảcác ứng dụng khơng có danh sách trắng không thực thi + Trong chế độ kiểm tra, công nghệ ghi lại tất trường hợp ứng dụng khơng có danh sách cho phép chạy máy chủ lưu trữ, không hành động để ngăn chặn chúng - Các tổ chức có nhu cầu bảo mật cao môi trường rủi ro cao nên cân nhắc việc sử dụng ứng dụng công nghệ danh sách cho phép cho máy chủ quản lý họ Các công nghệ danh sách cho phép ứng dụng 13 tích hợp vào nhiều hệ điều hành có sẵn thơng qua tiện ích bên thứ ba 2.5 Kiến trúc phòng thủ Cho dù có nỗ lực giảm thiểu lỗ hổng mối đe dọa nghiêm ngặt đến đâu, cố phần mềm độc hại xảy Phần mô tả bốn loại phương pháp bổ sung mà tổ chức nên xem xét sử dụng đểthay đổi kiến trúc phòng thủ phần mềm máy chủ để giảm tác động cố: BIOS bảo vệ, hộp cát, phân tách trình duyệt phân tách thơng qua ảo hóa 2.5.1 Bảo vệ BIOS - Thay đổi trạng thái thay đổi trái phép BIOS phần mềm độc hại cấu thành mối đe dọa đáng kể vị trí đặc biệt đặc quyền BIOS cấu trúc PC Một biến đổi BIOS độc hại phần cơng tinh vi, nhắm mục tiêu theo cách phủ định vĩnh viễn dịch vụ phần mềm độc hại dai dẳng cho máy tính để bàn Di chuyển từ BIOS thông thường đến triển khai dựa giao diện firmware mở rộng làm cho phần mềm độc hại dễ dàng nhắm mục tiêu BIOS theo cách phổ biến tính tồn vẹn BIOS 2.5.2 Sandboxing - Sandboxing đề cập đến mơ hình an tồn nơi ứng dụng điều hành môi trường điều khiển hộp cát – môi trường hạn chế thao tác mà ứng dụng thực tách chúng khỏi ứng dụng khác Trong mơ hình bảo mật cát, thơng thường có phép " thao tác safe” thực hộp cát Hộp cát hạn chế quyền truy cập vào tài nguyên hệ thống, chẳng hạn nhớ hệ thống tập tin, để giữ cho ứng dụng Hộp cát tách khỏi ứng dụng khác máy chủ - Sandboxing cung cấp số lợi ích phòng ngừa xử lý cố phần mềm độc hại Bằng cách hạn chế hoạt động có sẵn, ngăn chặn phần mềm độc hại thực số tất hành động độc hại mà 14 cố gắng thực ; điều ngăn chặn phần mềm độc hại thay giảm thiệt hại mà gây Và mơi trường hộp cát – lập – làm giảm tác động phần mềm độc hại cách hạn chế thông tin hàm phần mềm độc hại truy cập Một lợi ích khác sandboxing thân sandbox đặt lại cho trạng thái tốt biết đến khởi gán 2.5.3 Tách trình duyệt - Nhiều nhãn hiệu trình duyệt Web (ví dụ: Microsoft Internet Explorer, Mozilla Firefox, Apple Safari, Google Chrome, Opera) cài đặt máy chủ Truy cập trang web có chứa nội dung độc hại cách phổ biến để máy chủ bị cơng, chẳng hạn trình cắm độc hại cài đặt trình duyệt Để giảm tác động công vậy, người dùng sử dụng nhãn hiệu trình duyệt cho ứng dụng cơng ty nhãn hiệu trình duyệt khác cho tất truy cập trang web khác Điều ngăn cách liệu nhạy cảm cơng ty trình duyệt từ liệu trình duyệt khác, cung cấp bảo vệ tốt liệu công ty (mặc dù điều bảo mật đầy đủ liệu trình duyệt) giảm khả phần mềm độc hại gặp phải q trình duyệt web Có nhãn hiệu trình duyệt riêng cho ứng dụng cơng ty cho phép trình duyệt bảo mật chặt chẽ, chẳng hạn vơ hiệu hóa tất hình thức mã di động (ví dụ: Java, ActiveX) không cần thiết cho ứng dụng định 2.5.4 Phân tách thơng qua ảo hóa - Sự tách biệt trình duyệt trình duyệt web với Virtualization 15 dùng để tách biệt ứng dụng hệ điều hành với nhau, nghiêm ngặt so với việc tách trình duyệt đơn giản cung cấp Mỗi hệ điều hành hình ảnh ảo hóa tốt có chứa ứng dụng thích hợp bảo mật tương ứng Người dùng tải hình ảnh làm 15 cơng việc họ hình ảnh khách mời này, khơng trực tiếp máy chủ lưu trữ - Một chiến lược khác, hữu dụng an toàn hơn, sử dụng hệ điều hành khách cho hành vi rủi ro (chẳng hạn duyệt web chung) hệ điều hành máy chủ cho ứng dụng công ty Điều giúp cô lập hoạt động rủi ro từ hoạt động khác máy chủ Hệ điều hành máy chủ bị hạn chế danh sách cho phép để ngăn chặn ứng dụng trái phép phạm vi CHƯƠNG 3: XỬ LÝ SỰ CỐ PHẦN MỀM ĐỘC HẠI Một tiến trình xử lý cố mã độc bao gồm pha: chuẩn bị, phát phân tích, ngăn chặn/Loại trừ, khơi phục 3.1 Chuẩn bị 16 3.1.1 Xây dựng trì kỹ liên quan - Mọi nhân viên xử lý cố phải có hiểu biết vững chế lây nhiễm số loại mã độc phổ biến Ngoài ra, nhân viên xử lý cố mã độc phải kiểm sốt cơng cụ cấu hình tương ứng triển khai tổ chức, họ cần cập nhật công nghệ công nghệ mã độc Những nhân viên trực tiếp phân tích mã độc cần có kỹ thục biết sử dụng nhiều công cụ phân tích mã độc so với nhân viên xử lý cố khác 3.1.2 Chuẩn bị tốt cho truyền thông kỹ phối hợp tổ chức Tổ chức cần có nhóm nhân viên chuyên trách ứng phó cố, người quản lý phận mạng định Việc phối hợp tốt xử lý cố giúp thu thập thông tin thích hợp, đưa định tốt cho tổ chức thông báo thông tin định ứng phó tới phận khác tổ chức thời gian ngắn Trong cố mã độc, phận liên quan tổ chức bao gồm người dùng cuối, nhóm người cần hướng dẫn cụ thể cách phòng tránh lây nhiễm mã độc, cách nhận biết dấu hiệu cơng mã độc cần thực máy tính họ bị nhiễm mã độc 3.2 Phát phân tích 3.2.1 Xác định đặc điểm nhận dạng cố mã độc - Khi thu thập đủ thông tin để xác định mã độc, chuyên viên xử lý cố tra cứu sở liệu hãng phần mềm antivirus để xác định thêm thông tin mã độc Nếu mẫu mã độc biết đến từ trước, thơng tin sau khai thác: + Phân loại mã độc (VD: virus, worm, Trojan horse,…) + Dịch vụ, cổng, giao thức,… mà mã độc khai thác + Các lỗ hổng bị khai thác (VD: lỗ hổng phần mềm, lỗi cấu hình, cơng kỹ thuật xã hội,…) 17 + Tên tập tin độc hại, kích cỡ, nội dung siêu liệu khác chúng (VD: tiêu đề email, đường dẫn web,…) + Phiên hệ điều hành, phiên ứng dụng, thiết bị, bị ảnh hưởng + Cách thức lây nhiễm mã độc phương án ngăn chặn + Cách gỡ bỏ mã độc khỏi máy tính bị lây nhiễm 3.2.2 Xác định máy bị lây nhiễm - Phát dựa điều tra: Điều tra xác định máy bị lây nhiễm thông qua chứng cứ( vài phút, vài ngày, vài giờ….), tìm kiếm thêm từ nguồn sau: + DNS Server Logs + Log từ ứng dụng khác + Các công cụ điều tra gói tin + Log từ thiết bị mạng: Firewall, router,các thiết bị mạng… -Phát tức thời:Cho kết có độ xác cao u cầu chuyên viên xử lý xự cố phải thực lặp lại nhiều lần phương pháp sau: + Bảo mật tự động hóa + Chữ ký tùy chỉnh Network-based IPS/IDS + Các cơng cụ bắt gói tin phân tích giao thức - Biện pháp thủ cơng: Phát thủ công phương pháp tốn nhiều nhân lực nhất, nên áp dụng phương pháp tự động không khả thi, chẳng hạn hệ thống mạng bị tải hoàn toàn lưu lượng sử dụng địa giả mạo gây mã độc Khi người dùng có tồn quyền điều khiển máy tính họ, việc kiểm sốt từ quản trị viên không việc phát tự động cơng cụ giám sát thiếu xác thực Trong trường hợp này, chuyên viên xử lý cố bắt buộc phải phát máy tính bị lây nhiễm cách thủ cơng 18 3.2.3 Ưu tiên ứng phó cố - Khi cố phần mềm độc hại xác thực, hoạt động ưu tiên xử lý Một số dạng phần mềm độc hại định, chẳng hạn Worms, có xu hướng lây lan nhanh gây tác động đáng kể vài phút vài giờ, họ thường yêu cầu phản hồi có mức độ ưu tiên cao Các tiêu chí nên kết hợp cân nhắc sau: + Phần mềm độc hại xâm nhập vào môi trường sử dụng chế truyền + Loại phần mềm độc hại (ví dụ: virus, worms, trojan, ) + Loại cơng cụ công phần mềm độc hại đưa vào máy chủ + Phần mềm độc hại ảnh hưởng đến mạng máy chủ lưu trữ ảnh hưởng + Ảnh hưởng cố tăng lên phút, ngày cố khơng kiềm chế 3.2.4 Phân tích phần mềm độc hại - Người xử lý cố nghiên cứu hành vi phần mềm độc hại cách tích cực phân tích (thực thi phần mềm độc hại) mặt pháp lý (kiểm tra máy chủ bị nhiễm để tìm chứng phần mềm độc hại) Các phương pháp tiếp cận pháp y an toàn thực máy chủ bị nhiễm chúng kiểm tra máy chủ mà không cho phép phần mềm độc hại tiếp tục thực Tuy nhiên, đơi việc phân tích phần mềm độc hại nhanh dễ dàng cách giám sát q trình thực Các phương pháp tiếp cận tích cực thực tốt hệ thống kiểm tra phần mềm độc hại để giảm thiểu thiệt hại xảy cho phép phần mềm độc hại thực thi - Các phương pháp tiếp cận tích cực lý tưởng bao gồm người quản lý cố có mẫu phần mềm độc hại từ nhà máy chủ đặt phần mềm độc hại hệ thống thử nghiệm riêng biệt Hệ thống thử nghiệm nên bao gồm công cụ cập nhật để xác định phần mềm độc hại g., phần mềm diệt virút, 19 systems) phát quy trình chạy hiển thị kết nối mạng, nhiều tiện ích hữu ích khác - Những thủ đoạn đánh cắp thơng tin mạng + Tấn công mạng mã độc phần mềm độc hại:cứ 100 máy tính đến 66 máy ghi nhận bị phần mềm độc hại công + “Qua mặt” tất phần mềm diệt virus hành: hacker “thả” phần mềm độc hại, phần mềm gián điệp vào ứng dụng đính kèm mã độc việc số trị chơi trực tuyến + Không nối mạng bị xâm nhập:Khi phủ, tổ chức tập đồn muốn bảo vệ liệu nhạy cảm nhất, họ tạo gọi mạng lưới “air-gap”, nghĩa lưu giữ thông tin máy tính khơng kết nối Internet - nhằm cách ly hoàn toàn khỏi nguy rò rỉ liệu Mạng lưới “air-gap” xem giải pháp “thần kỳ” để bảo vệ liệu Một máy tính nhiễm loại virus đặc biệt, hacker lừa PC chuyển tiếp thơng tin, làm rị rỉ liệu mật mà khơng sử dụng kết nối phổ biến wifi hay Bluetooth, hacker “gián điệp” dùng để tiếp cận bí mật tài liệu, lĩnh vực an ninh, quốc phòng =>Nhiều tổ chức, doanh nghiệp chưa thực ý thức tác hại hiểm họa ATTT tổ chức Cơng tác bảo đảm ATTT lệ thuộc nhiều vào hệ thống kỹ thuật mà chưa trọng đến yếu tố người 3.3 Ngăn chặn 3.3.1 Ngăn chặn nhận thức người dùng - Không tải xuống thực thi ứng dụng không đáng tin cậy - Không sử dụng phần mềm không đáng tin cậy - Quét vius cho thiết bị thường xuyên - Khơng mở file đính kèm từ email đáng ngờ - Không mở đường link nhận qua email, qua mạng xã hội, qua chat - Không cung cấp mật khẩu,mã pin mã truy cập khác 20 3.3.2 Ngăn chặn thông qua tự động phát - Các phương pháp tự động phát khác phần mềm chống virus: + Lọc nội dung: Điều hữu ích phần mềm độc hại có đặc tính tĩnh; phần mềm độc hại cấu hình cao thường khơng hiệu sử dụng tính lọc nội dung Lọc nội dung trang web công nghệ lọc nội dung khác sử dụng cho phần mềm độc hại tĩnh + Phần mềm IPS dựa vào mạng: hầu hết sản phẩm IPS cho phép khả phòng ngừa cho phép chữ ký cụ thể Nếu thiết bị IPS dựa mạng nội tuyến, nghĩa hoạt động mạng, có chữ ký riêng cho phần mềm độc hại, xác định phần mềm độc hại ngăn chặn đạt mục tiêu Nếu thiết bị IPS khơng kích hoạt khả phịng ngừa linh hoạt cố nghiêm trọng để tái định cấu hình triển khai lại nhiều cảm biến IPS cho phép IPS để ngừng hoạt động Các cơng nghệ IPS ngăn chặn cố gắng lây nhiễm từ bên bên Tất nhiên, giá trị IPS phần mềm độc hại ngăn chặn phụ thuộc vào tính sẵn có tính xác chữ ký để xác định phần mềm độc hại + Thực Danh sách đen: Một số hệ điều hành, sản phẩm IPS dựa máy chủ lưu trữ sản phẩm cơng nghệ khác hạn chế số tệp thực thi định chạy 3.3.3 Ngăn chặn thông qua dịch vụ vô hiệu - Một số cố phần mềm độc hại đòi hỏi biện pháp ngăn chặn liệt có khả gây rối loạn Những cố làm cho việc sử dụng rộng rãi dịch vụ cụ thể Cụ thể tắt dịch vụ bị phần mềm độc hại xâm chiếm, chặn dịch vụ định phạm vi mạng vơ hiệu hóa phần dịch vụ Ngồi cịn có dịch vụ cung cấp kênh lây nhiễm chuyển liệu từ vùng bị nhiễm bệnh máy chủ ví dụ lệnh botnet kênh điều khiển sử dụng Internet Relay Chat (IRC) Trường hợp 21 tắt dịch vụ bị ảnh hưởng cách tốt để ngăn chặn lây nhiễm mà không làm tất dịch vụ Hành động thường sử dụng cấp độ ứng dụng cấp độ mạng Mục tiêu để vơ hiệu hóa chức tốt có chứa cố cách hiệu Đến hỗ trợ việc vơ hiệu hóa dịch vụ mạng, tổ chức nên trì danh sách dịch vụ họ sử dụng cổng TCP UDP sử dụng dịch vụ - Từ quan điểm cơng nghệ, vơ hiệu hố dịch vụ nói chung q trình đơn giản Tắt dịch vụ mà tổ chức phải đánh giá xem có tác động tiêu cực đến chức tổ chức Ngồi ra, vơ hiệu hố dịch vụ vơ tình làm gián đoạn dịch vụ khác phụ thuộc vào 3.3.4 Ngăn chặn thơng qua vơ hiệu hóa kết nối - Việc ngăn chặn cố cách vơ hiệu hóa kết nối mạng đem lại hiệu cao Ví dụ, máy tính bị nhiễm cố gắng thiết lập kết nối với máy chủ bên để tải rootkits lúc nên xử lý cách chặn tất quyền truy cập vào máy chủ lưu trữ từ bên Tương tự, máy bị nhiễm mã độc tổ chức cố gắng lây lan phần mềm độc hại họ ngăn chắn lưu lượng mạng từ địa IP máy chủ để kiểm sốt tình - Một cách khác để ngăn chặn quyền truy cập mạng cho địa IP cụ thể để ngắt kết nối máy bị nhiễm từ mạng, hồn thành cách cấu hình lại thiết bị mạng để từ chối truy cập mạng ngắt kết nối loại cáp mạng từ máy chủ bị nhiễm - Bước ngăn chặn liệt cố ý phá vỡ kết nối mạng cần thiết để không bị nhiễm đến máy chủ Điều loại bỏ truy cập mạng cho nhóm máy chủ, chẳng hạn người dùng VPN từ xa Trong trường hợp xấu kịch bản, cách ly mạng từ mạng Internet cần thiết để ngăn chặn lây lan phần mềm độc hại, ngăn chặn thiệt hại cho máy chủ, cung cấp hội để giảm thiểu lỗ hổng 3.3.5 Đề xuất ngăn chặn 22 - Muốn ngăn chặn sử dụng bốn phương pháp đề xuất bên trên, nhiên khơng có phương pháp ngăn chặn loại phần mềm độc hại định trước, nhiều trường hợp người xử lý cố cần chọn kết hợp phương pháp ngăn chặn có hiệu hạn chế thiệt hại cho máy chủ giảm tác động mà phương pháp ngăn chặn có máy chủ khác Ví dụ, tắt tất truy cập mạng hiệu việc ngăn chặn lây lan phần mềm độc hại, cho phép nhiễm trùng máy chủ để tiếp tục làm hỏng tập tin làm gián đoạn nhiều chức quan trọng tổ chức - Các phương pháp ngăn chặn mạnh chấp nhận hầu hết tổ chức khoảng thời gian ngắn Theo tổ chức nên hỗ trợ định ngăn chặn cách có sách nêu rõ người có quyền định định trường hợp thích hợp 3.3.6 Loại trừ - Mục đích việc loại trừ loại bỏ phần mềm độc hại khỏi máy chủ bị nhiễm, việc loại trừ thường liên quan đến nhiều yếu tố Một phần mềm độc hại lây lan thành cơng hành động xóa bỏ thường củng cố với nỗ lực ngăn chặn - Các tình khác địi hỏi kết hợp kỹ thuật loại trừ Trong trường hợp khử trùng có thể, cơng cụ phổ biến để loại trừ phần mềm chống virus, bị tổn thương công nghệ quản lý, phần mềm kiểm sốt truy cập mạng cơng cụ khác thiết kế để loại bỏ phần mềm độc hại sửa lỗ hổng Các phương pháp loại trừ tự động, chẳng hạn kích hoạt quét vi rút từ xa,hiệu nhiều so với phương pháp thủ công, chẳng hạn truy cập máy bị lây nhiễm người chạy phần khử trùng từ đĩa CD 3.4 Khơi phục 23 - Hai khía cạnh phục hồi từ cố phần mềm độc hại khơi phục lại chức liệu máy chủ bị nhiễm đồng thời loại bỏ biện pháp ngăn chặn tạm thời Các hành động bổ sung để khôi phục máy chủ cần thiết cho hầu hết cố phần mềm độc hại gây thiệt hại máy chủ hạn chế (ví dụ: đơn giản thay đổi số tập tin liệu hoàn toàn rời với phần mềm chống virus) - Xác định thời điểm để xác định biện pháp ngăn chặn tạm thời, chẳng hạn dịch vụ bị tạm ngưng (ví dụ email) hay kết nối (truy cập internet, VPN cho telecommuters) thường định khó khăn khoảng thời gian lớn cố phần mềm độc hại 3.5 Bài học kinh nghiệm - Bài học kinh nghiệm cho cố phần mềm độc hại khơng có khác so với loại cố khác sau: + Thay đổi sách bảo mật: Chính sách bảo mật sửa đổi để ngăn ngừa cố tương tự Ví dụ, kết nối thiết bị di động cá nhân với máy tính xách tay tổ chức gây nhiễm độc, sửa đổi sách tổ chức để đảm bảo, hạn chế cấm thiết bị kết nối khuyến khích + Thay đổi chương trình nhận thức: Đào tạo nâng cao nhận thức an toàn cho người dùng thay đổi để giảm số ca nhiễm bệnh để cải thiện hành động người sử dụng việc báo cáo cố hỗ trợ xử lý cố máy chủ họ + Cấu hình lại Phần mềm: Có thể cần phải thay đổi cài đặt hệ điều hành ứng dụng để hỗ trợ thay đổi sách an ninh để đạt tuân thủ với sách + Triển khai phần mềm phát phần mềm độc hại: Nếu máy bị lây nhiễm qua đường truyền chế không bảo vệ phần mềm chống vi rút công cụ phát phần mềm độc hại khác, cố cung cấp đủ biện minh để mua triển khai phần mềm bổ sung 24 + Phần mềm xác định lại phần mềm độc hại Phần mềm phát cần phải cấu hình lại theo nhiều cách khác nhau, sau: • • Tăng tần suất cập nhật phần mềm chữ ký Nâng cao độ xác việc phát (ví dụ: dương tính giả, sai số âm) • Tăng phạm vi giám sát (ví dụ: theo dõi chế truyền dẫn bổ sung, giám sát tệp bổ sung hệ thống tệp tin) • Thay đổi hành động tự động thực để đáp ứng với phần mềm độc hại phát • Nâng cao hiệu phân phối cập nhật DANH MỤC TÀI LIỆU THAM KHẢO NIST Special Publication 800-83 Revision 1, Guide to Malware Incident Prevention and Handling for Desktops and Laptops - https://searchsecurity.techtarget.com/feature/Ten-ways-to-prevent-insidersecurity-threats? fbclid=IwAR0iYD7A6Uu7NEWLCcqjn4eko6nLcUu0jEntB2m_ICyQLd fJVJHbG87bQeU - 25 ... cố mã độc, phận liên quan tổ chức bao gồm người dùng cuối, nhóm người cần hướng dẫn cụ thể cách phòng tránh lây nhiễm mã độc, cách nhận biết dấu hiệu cơng mã độc cần thực máy tính họ bị nhiễm mã. .. định thêm thông tin mã độc Nếu mẫu mã độc biết đến từ trước, thơng tin sau khai thác: + Phân loại mã độc (VD: virus, worm, Trojan horse,…) + Dịch vụ, cổng, giao thức,… mà mã độc khai thác + Các... chế lây nhiễm số loại mã độc phổ biến Ngoài ra, nhân viên xử lý cố mã độc phải kiểm sốt cơng cụ cấu hình tương ứng triển khai tổ chức, họ cần cập nhật công nghệ công nghệ mã độc Những nhân viên