Học Viện Thuật Học Viện Kĩ Kĩ Thuật MậtMật Mã Mã Bài báo cáo sở an thôngMật tin Mã Học Cơ Viện Kĩtồn Thuật Đề tài :Tìm hiểu loại mã độc Nhóm 10 : Lê Minh Huyền-AT150228 Nguyễn Quốc Huy-AT150127 Nguyễn Quang Huy-AT150226 I – Mã độc: Định nghĩa Mã độc chương trình cố ý thiết kế để thực trái phép số hành động gây nguy hại cho hệ thống máy tính, thiết bị di động Phân loại mã độc 2.1 Logic bomb 2.1.1 Định nghĩa Logic bom đoạn mã độc bí mật chèn vào mạng máy tính, hệ điều hành ứng dụng phần mềm Nó nằm im điều kiện cụ thể xảy Khi điều kiện đáp ứng, bom kích hoạt - tàn phá hệ thống cách làm hỏng liệu, xóa tệp xóa ổ cứng 2.1.2 Cách thức hoạt động Các điều kiện kích hoạt bom logic phân loại tích cực tiêu cực Bom logic với trình kích hoạt tích cực phát nổ sau điều kiện đáp ứng, chẳng hạn bạn mở tệp cụ thể Các trình kích hoạt tiêu cực khởi động bom logic điều kiện không đáp ứng chẳng hạn bom khơng vơ hiệu hóa kịp thời 2.1.3 Ví dụ Sự cố năm 2006 công ty ngân hàng đầu tư UBS Quả bom hẹn dàn dựng Roger Duronio, quản trị viên hệ thống UBS Group AG Duronio dường khơng hài lịng với tiền thưởng mình, lên kế hoạch trả thù cách thiết lập công phần mềm độc hại bom hẹn Anh ta tìm cách xóa sổ máy chủ công ty, khiến nhà giao dịch giao dịch Quả bom hẹn nổ ngày Duronio định, đánh sập 2.000 máy chủ 400 chi nhánh văn phòng Nhưng kế hoạch tổng thể ông nhằm giảm giá trị cổ phiếu UBS không thành công Duronio bị kết án năm tù Và anh phải trả 3,1 triệu đô la cho UBS 2.2 Trojan 2.2.1 Định nghĩa Trojan (hay Trojan horse), trước hết chương trình độc hại cho máy tính, ngụy trang vỏ bọc tưởng chừng vô hại để tạo tin tưởng cho người dùng, từ sử dụng vơ tình máy tính bị nhiễm trojan, bị thu thập liệu từ bên thứ để phục vụ cho mục đích xấu 2.2.2 Cách thức hoạt động lây nhiễm trojan Trojan ẩn nhiều hình thức khác từ hát, phần mềm, hình ảnh, link tải, quảng cáo trơng chúng an toàn, hợp pháp để người dùng tải xuống máy tính hay cần click chuột vào Khi phần mềm gián điệp nhanh chóng xâm nhập vào hệ thống máy tính, chờ tín hiệu người muốn xâm nhập máy tính sau để khống chế toàn liệu cá nhân người dùng Khác với virus công trực tiếp dễ bị phần mềm antivirus phát hiện, trojan cơng chương trình, phần mềm khác exe,.com,.scr,.bat, hay.pif Trojan phần mềm thông thường không tự lây lan virus 2.2.3 Ví dụ - Một chương trình mang tên "SEXY.EXE" đăng trang Web với hứa hẹn "ảnh hấp dẫn"; nhưng, chạy, chương trình lại xố tất tệp máy tính hiển thị câu trêu chọc - Ở www.freewebs.com/em_ce_do/doctor.exe Chương trình tự động tắt máy chạy tự chép phiên vào thư mục "StartUp" máy tự động tắt lần máy khởi động Con Trojan horse tự hủy sau hoạt động hay xóa bỏ cách khởi động vào chế độ chờ lệnh (command prompt) từ xóa tệp lệnh xóa Chương trình chạy Windows XP 2.3 Backdoor 2.3.1 Định nghĩa Backdoor attack loại vi phạm tin tặc cài đặt phần mềm độc hại vượt qua yêu cầu bảo mật xác thực thông thường mạng cách gian dối che giấu thích hợp Trong số cơng mạng rõ ràng dễ nhận thấy backdoor thiết kế tinh vi ẩn dạng phần mềm khác trình chuyển đổi tệp, cập nhật phần mềm tải xuống đề xuất Sau cửa hậu cài đặt mạng bạn, kẻ công thường ẩn nấp xung quanh mà không bị phát lâu tốt để tăng khả lây lan mạng bạn Sau bị phát hiện, khó để biết liệu bạn có thực vá tất khu vực mà cửa hậu tiếp cận hay khơng 2.3.2 Cách thức hoạt động Backdoor thường tích hợp vào nhân phần mềm với nhiều mục đích khác nhau, có mục đích tốt xấu Backdoor xuất thiết bị, từ điện thoại, laptop router, miễn có diện phần mềm Nhiệm vụ backdoor lấy thơng tin người dùng sử dụng phần mềm Sau thực hành động đó, ví dụ gửi thơng tin lưu trữ lên server, hay cịn biết đến đánh cắp thông tin người sử dụng phần mềm Như thấy thực chất backdoor việc trao đổi liệu người dùng phần mềm server 2.3.3 Ví dụ Cuộc cơng backdoor Back Orifice xảy vào năm 1999 nhóm hacker tự xưng Cult of the Dead Cow thực Back Orifice kích hoạt điều khiển từ xa máy tính Windows thơng qua lỗ hổng hệ điều hành Đây loại “không phải backdoor, tính năng” (not a backdoor, but a feature) phát lần vào năm 2007 PGP Whole Disk Encryption giúp tạo mật vào tiến trình lúc khởi động cho ổ đĩa mã hoá Đáng sợ mật mặc định khơng cịn hiệu lực lần đầu sử dụng 2.4 Exploit 2.4.1 Định nghĩa Là chương trình mã thiết kế để tận dụng điểm yếu phần mềm gây tác động không mong muốn.Khai thác đơn giản công cụ tạo để tận dụng lỗ hổng cụ thể - khơng có lỗ hổng khơng có để khai thác Mặc dù cơng Exploit chứa phần mềm độc hại, thân việc khai thác độc hại 2.4.2 Cách thức hoạt động Mặc dù, việc khai thác lỗ hổng xảy theo nhiều cách khác nhau, phương pháp phổ biến khai thác từ trang web độc hại Nạn nhân vơ tình truy cập trang web họ bị lừa nhấp vào liên kết đến trang web độc hại email phishing quảng cáo độc hại Các trang web độc hại sử dụng để khai thác lỗ hổng máy tính trang bị gói khai thác, cơng cụ phần mềm, bao gồm phần mềm độc hại sử dụng làm sở cho công vào lỗ hổng trình duyệt khác nhau, từ trang web độc hại từ trang web bị hack Các công thường nhắm mục tiêu vào phần mềm mã hóa Java, trình duyệt chưa cập nhật vá plug-in trình duyệt Chúng thường sử dụng để triển khai phần mềm độc hại máy tính nạn nhân 2.4.3 Ví dụ Năm 2016, Yahoo tuyên bố vụ hack xảy nhiều năm trước khiến liệu tỷ người dùng bị rò rỉ Những kẻ công giành quyền truy cập vào tài khoản email người dùng mật bảo vệ MD5, thuật toán hash yếu lỗi thời Một công khai thác lỗ hổng tiếng năm gần EternalBlue, công vào lỗ hổng vá giao thức Windows Server Message Block Cuộc công cơng bố nhóm Shadow Brokers sau tiếp tục sử dụng công ransomware WannaCry NotPetya Gần nhất, công ty báo cáo tín dụng Equachus gặp phải công vi phạm liệu nghiêm trọng, sau kẻ công khai thác lỗ hổng framework Apache Struts, sử dụng ứng dụng web công ty Một vá phát hành vào đầu năm 2017, Equachus không cập nhật ứng dụng web phát kẻ công 2.5 Virus 2.5.1 Định nghĩa Virus máy tính chương trình độc hại tự chép đoạn mã vào thiết bị bạn mà bạn không phép 2.5.2 Cách thức hoạt động Virus gồm loại chính: loại bắt đầu lây nhiễm nhân rộng chúng truy cập vao máy tính bạn loại khơng hoạt đơng, chờ bạn kích hoạt chúng ( tức chờ bạn vơ tình thực thi đoạn mã nó) Có giai đoạn: - Giai đoạn không hoạt động: virus ẩn hệ thống bạn nằm chờ - Giai đoạn lan truyền: lúc virus lây lan Nó chép, lưu trữ tệp, chương trình phần khác đĩa bạn Các bị thay đổi chút để tránh bị phát chúng tự chép, tạo nhiều tiếp tục chép minh - Giai đoạn kích hoạt: hành động cụ thể thường yêu cầu kích hoạt kích hoạt virus Đây có thê hành động người dùng, chảng hạn nhấp vào biểu tượng mở ứng dụng số loại virus khac lập trình để hoạt động sau khaongr thời gian định, chảng hạn sau máy tính bạn khởi động 10 lần - Giai đoạn thực hiện: virus phóng tải trọng nó, mã độc hại gây hại cho thiết bị bạn Virus lây lan qua số chế lây nhiễm qua internet Bạn bị nhiễm virus thông qua: email, tệp tải xuống, dịch vụ nhắn tin, phầm mềm cũ, quảng cáo độc hại 2.5.3 Ví dụ Morris (1988) Thiệt hại ước tính: 10-100 triệu USD Sâu Morris virus máy tính phát tán qua Internet; sâu thu hút ý đáng kể phương tiện thông tin đại chúng Tác giả Robert Tappan Morris, sinh viên Đại học Cornell Sâu Morris thả lên mạng vào ngày tháng 11 năm 1988 từ học viện MIT, ước tính có đến 10% máy tính kết nối với Internet bị ảnh hưởng Phần mềm độc hại làm chậm hàng ngàn hệ thống cách tạo file thư mục tạm thời với mục đích nhân rộng Các máy tính bị vơ hiệu hóa (trong vịng 90 phút sau bị nhiễm) phần mềm gỡ bỏ Và phải khoảng hai ngày để thực điều nhiều thời gian để xóa khỏi tồn hệ thống mạng Đại học California, Berkeley ước tính phải 20 ngày làm việc để loại bỏ hoàn tồn worm khỏi máy tính Robert Morris bị xử buộc tội vi phạm Điều luật năm 1986 lạm dụng gian lận máy tính (Computer Fraud and Abuse Act) Sau kháng án, bị phạt năm án treo, 400 lao động cơng ích khoản tiền phạt 10.050 la Mỹ Sâu Morris gọi "Great Worm" (Sâu khổng lồ) hậu nặng nề mà gây Internet đó, tổng thời gian hệ thống không sử dụng được, lẫn ảnh hưởng tâm lý nhận thức an ninh độ tin cậy Internet CIH (1998) Thiệt hại ước tính: 20-80 triệu USD tồn giới (khơng tính liệu PC bị phá huỷ) CIH người đàn ơng Đài Loan có tên Chen Ing-hau tạo vào năm 1998 CIH biết đến với tên khác virus Chernobyl Lý thời điểm kích hoạt virus trùng với ngày xảy vụ nổ nhà máy nguyên tử Chernobyl Mục đích Chen tạo loại virus để chứng minh cho người thấy hệ thống mạng máy tính trường học dễ bị virus cơng Và sau loại virus nhanh chóng lan rộng qua trường đại học khắp giới CIH công vào file thực thi hệ điều hành Windows 95, 98 ME; có khả cư trú nhớ máy tính để lây nhiễm file thực thi khác Thiệt hại ước tính lên đến 20-80 triệu USD tồn giới (khơng tính liệu PC bị phá huỷ) Sự nguy hiểm CIH chỗ sau thời gian ngắn hoạt động, ghi đè liệu ổ cứng máy tính, biến liệu thành mớ vơ dụng CIH có khả ghi đè thơng tin BIOS, ngăn khơng cho máy tính khởi động Bởi khả lây nhiễm vào file thực thi nên CIH phát tán rộng rãi Ngày nay, virus CIH khơng cịn nguy hiểm tảng hệ điều hành Windows 2000, XP NT cải tiến 2.6 Worm 2.6.1 Định nghĩa Là loại phần mềm độc hại thiết kế để lây lan nhiều thiết bị hoạt động thiết bị Sự khác biệt sâu virus cách sâu tự lây lan sang máy khơng bị nhiễm 2.6.2 Cách thức hoạt động Ngay sau sâu có chỗ đứng máy chủ, lây lan khắp mạng mà khơng cần hỗ trợ hành động từ bên ngồi Là phần mềm độc lập khơng cần đánh lừa bạn kích hoạt Trojan Worms hồn thành công việc cách khai thác lỗ hổng ẩn hệ điều hành (OS) máy tính bạn Tin tặc tạo sâu theo cách mà chúng xâm nhập vào hệ điều hành mục tiêu thực công việc bẩn thỉu chúng mà bạn Dưới đây, hướng dẫn bạn cách nhận biết máy tính bạn có bị nhiễm sâu hay khơng để bạn thực bước để loại bỏ Trong nhiều năm, phần mềm độc hại sâu dựa vào phương tiện vật lý để xâm nhập vào mạng Một tin tặc đặt sâu họ vào đĩa mềm ổ đĩa phương tiện khác sau chờ nạn nhân khơng khiêm tốn đưa vào máy tính họ Ngay bây giờ, chiến thuật khả thi - nhiều hành vi gián điệp phá hoại công ty bắt đầu ổ đĩa flash USB tưởng vô hại Nhưng ngày nay, việc gặp phải sâu dựa vào phương tiện phân tán hoàn toàn điện tử, chẳng hạn email, dịch vụ nhắn tin tức thời mạng chia sẻ tệp phổ biến nhiều 2.6.3 Ví dụ WannaCry minh họa gần mức độ tàn phá sâu gây ra, với công cụ an ninh mạng đại Sâu WannaCry 2017 ví dụ ransomware, mã hóa tệp nạn nhân yêu cầu toán tiền chuộc để truy cập lại Chỉ ngày, WannaCry xâm nhập vào 230.000 máy tính cá nhân 150 quốc gia , bao gồm mục tiêu tiếng Dịch vụ Y tế Quốc gia Anh nhiều chi nhánh phủ, trường đại học công ty tư nhân khác WannaCry sử dụng phương thức khai thác EternalBlue để nhắm vào lỗ hổng bảo mật phiên Windows cũ Windows Khi tìm thấy máy tính dễ bị cơng, cài đặt nó, bắt đầu mã hóa tệp nạn nhân sau hiển thị thơng báo địi tiền chuộc q trình hồn tất 2.7 Zombie 2.7.1 Định nghĩa Sâu (Worms) có khả tự lây nhiễm từ máy sangnmáy khác mà không cần trợ giúp người dùng (khác email viruses) Khi sâu lây nhiễm vào máy, sử dụng máy làm “bàn đạp” để tiếp tục công máy khác Các sâu mạng sử dụng kết nối mạng để lây lan từ máy sang máy khác Khi sâu hoạt động, tương tự virus 2.7.2 Cách thức hoạt động Lây lan qua thư điện tử: sử dụng email để gửi copy sâu đến máy khác Lây lan thông qua khả thực thi từ xa: Sâu thực thi copy máy khác nhờ lợi dụng lỗ hổng an ninh hệ điều hành, dịch vụ phần mềm ứng dụng Lây lan thông qua khả log-in (đăng nhập) từ xa: sâu đăng nhập vào hệ thống xa user sử dụng lệnh để copy thân từ máy sang máy khác II APT Trình bày mã độc APT 1.1 Mã độc APT gì? APT viết tắt Advanced Presistent Threat – thuật ngữ rộng dùng để mô tả chiến dịch công, thường nhóm kẻ cơng, sử dụng kỹ thuật cơng nâng cao để diện tồn lâu dài mạng Internet nhằm khai thác liệu có độ nhảy cảm cao Tấn cơng mạng dạng APT kiểu cơng có chủ đích khó phát hiện, hacker lợi dụng lỗ hổng bảo mật phần mềm công thông qua malware tiên tiến mà phần mềm virus phát 1.2 Mục tiêu cơng Mục tiêu vụ công thường lựa chọn nghiên cứu cẩn thận Thường doanh nghiệp lớn, tổ chức an ninh quan phủ Hậu thường lớn: ⁻ Bị đánh cắp tài sản trí tuệ (ví dụ: bí mật thương mại sáng chế… ) ⁻ Thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân….) ⁻ Cơ sở hạ tầng quan trọng tổ chức bị phá hủy (ví dụ: sở liệu, máy chủ quản trị ) ⁻ Chiếm đoạt toàn tên miền tổ chức ⁻ Đánh cắp thông tin liệu quan trọng từ đối tượng ⁻ Giám sát theo dõi đối tượng bị công ⁻ Phá hoạt đối tương bị công APT ⁻ Thu thập thông tin tình báo có tính chất thù địch ⁻ Đánh cắp liệu bán lại bí mật kinh doanh cho đối thủ ⁻ Làm uy tín quan tổ chức ⁻ Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực… 1.3 Đặc điểm mã độc APT ⁻ Cách giao tiếp APT không cụ thể, rõ ràng không để lại dấu vết nên chương trình anti-virus khơng phát ⁻ Malware APT phát tán hệ thống có khoảng thời gian cụ thể tiến hành thành công ⁻ Sử dụng công nghệ tiên tiến lợi dụng lỗ hổng zero-day phần mềm (các phần mềm chưa cập nhật vá – patches từ nhà cung cấp) Tiến trình công Giai đoạn 1: Xâm nhập Các doanh nghiệp thường bị xâm nhập thông qua đường sau: ứng dụng web, tài nguyên mạng bất cẩn nhân viên Bắt đầu kẻ công thường cố gắng tải lên tệp tin độc hại thông qua lỗ hổng web, ứng dụng mạng qua kỹ thuận công lừa đảo, mối đe dọa mà tổ chức phải đối mặt Ngoài ra, kẻ cơng đồng thời thực công DDOS chống lại mục tiêu Điều thường dùng để đánh lạc hướng nhân viên quản trị, làm cho họ cảnh giác Khi thâm nhập vào mạng mục tiêu, kẻ cơng nhanh chóng cài đặt cửa hậu để truy cập dễ dàng hơn, mã độc hoạt động ẩn cho phép truy cập từ xa Mã độc đến từ loại Trojan đánh dấu phần mềm hợp pháp Giai đoạn 2: Mở rộng phạm vi Sau đứng vững mạng mục tiêu, kẻ công chuyển sang mở rộng diện họ mạng mục tiêu Kẻ công thực rà quét hệ thống khác mạng, thu thập thông tin nhân viên, thực phát tán mã độc để chiếm quyền truy cập vào liệu nhạy cảm Bằng cách này, kẻ cơng thu thập thông tin kinh doanh quan trọng, bao gồm thơng tin dịng sản phẩm, liệu nhân viên hồ sơ tài Tùy thuộc vào mục tiêu cơng cuối cùng, dự liệu tích lũy bán cho cơng ty cạnh tranh, sửa đổi phá hủy dòng sản phẩm cơng ty sử dụng để chiếm tồn tổ chức Nếu động lực phá hoại, giai đoạn sử dụng để kiểm soát chức quan trọng thao tác chúng theo trình tự để gây thiệt hại tối đa Chắc hạn việc kẻ cơng xóa tồn sở liệu công ty làm sập hệ thống mạng để kéo dài thời gian khôi phục liệu Giai đoạn 3: Khai thác Trong công APT tiến hành, thông tin bị đánh cắp thường lưu trữ vị trí an tồn mạng bị công Khi liệu thu thập đủ, kẻ công phải xuất liệu mà không bị phát Thông thường, chiến thuật gây nhiễu loạn sử dụng để đánh lừa đội ngũ bảo vệ cơng ty để thơng tin chuyển ngồi Điều xảy dạng công DDOS, rà quét website ứng dụng mạng Các cách thức mà APT lây nhiễm 3.1 APT lây nhiễm qua cách nào? ⁻ Phương thích lợi dụng người qua Spear phising Email hay gọi Social Engineering Attacks, công thông qua trang web giả mạo nhằm lợi dụng nhiều người tải file malware từ Internet ⁻ Sử dụng phần mềm/giao thức remote tạo cửa hậu cho phép hacker đánh cắp liệu mà khơng bị phát hiện, sử dụng C&C Server điều khiển máy bị nhiễm nhằm đánh cắp liệu phá hoại hệ thống mạng ⁻ Sử dụng nhiều biện pháp khác bao gồm lợi dụng bẻ khóa mật Administrator nhằm đánh cắp thông tin tài khoản quan trọng bao gồm hệ thống Windows Domain 3.2 Một số ví dụ điển hình cơng APT: Tháng 3/2013, cán ngành Cơng an có nhận thư điện tử gửi đích danh từ địa email mang tên cán thuộc Bộ Khoa học Cơng nghệ Email có chữ ký với đầy đủ thông tin, số điện thoại di động người gửi, kèm theo tập văn đính kèm công văn mang tên “CV xin xác nhận LLKH- CN.doc” Nhận thấy email có số điểm nghi vấn, đồng chí liên lạc với người gửi biết hộp thư email thực bị đánh cắp password từ lâu chủ sở hữu quyền sử dụng Người gửi email không quen biết cán công an Bằng biện pháp nghiệp vụ, quan chuyên môn xác định email gửi lên máy chủ Yahoo từ máy tính nối mạng có địa IP 118.145.2.250 nước ngồi, thơng qua cơng ty cung cấp dịch vụ internet nước Cơ quan cảnh sát khẳng định virus backdoor có chức gửi truy vấn tới máy chủ có địa IP 182.242.233.53 nước ngồi thơng qua nhà cung cấp dịch vụ Nếu không bị phát ngăn chặn, virus bắt đầu trình âm thầm đánh cắp liệu mà nạn nhân khơng biết Qua ví dụ thấy, rõ ràng kẻ cơng nghiên cứu kỹ nạn nhân mà định nhằm tới, từ chức danh đến nội dung công việc thực Với cách tiếp cận này, làm việc khơng gian mạng mà khơng cảnh giác dễ dàng bị “mắc bẫy” Kẻ cơng tổ chức cơng từ bên ngồi biên giới hồn toàn “ảo” Điều làm cho việc truy xét, tìm thủ phạm để ngăn chặn truy cứu trách nhiệm khó khăn Kỹ thuật cơng hồn tồn khơng có ” Điều làm cho việc truy xét, tìm thủ phạm để ngăn chặn truy cứu trách nhiệm khó khăn Kỹ thuật cơng hồn tồn khơng có đặc biệt: kẻ cơng đánh cắp mật người trung gian, giả mạo thư điện tử, cài đặt backdoor… Đây kỹ thuật xuất từ lâu tồn phổ biến https://www.vietnamplus.vn/fireeye-cong-bo-nhom-tin-tac-tan-cong-viet-nam-trong10-nam-qua/324418.vnp (Nhóm APT30 cơng APT việt nam 10 năm) https://vietgiaitri.com/sau-vu-vietnam-airlines-bi-hack-vncert-cong-bo-nhung-madoc-can-ngan-chan-20160804i2553606/ https://zingnews.vn/web-vietnam-airlines-bihack-lo-400000-du-lieu-khach-hang-post669677.html (Web Vietnam Airlines bị hack, lộ 400.000 liệu khách hàng) https://nld.com.vn/cong-nghe/canh-bao-ve-dot-tancong-apt-vao-to-chuc-ngan-hang-tai-viet-nam-20180724115239594.htm (tấn công APT vào tổ chức, ngân hàng Việt Nam) http://ictvietnam.vn/nhung-bai-hoc-rut-ratu-cuoc-tan-cong-mang-apt-vao-singhealth-4509.htm công APT vào Tổ chức Y tế lớn Singapore SingHealth Demo công APT https://www.facebook.com/watch/?v=228926144441776 Phát ngăn chặn công APT 4.1 Giám sát đường truyền Theo dõi lưu lượng truy cập vào xem phương pháp tốt để ngăn chặn việc cài cắm cửa hậu, ngăn chặn việc trích xuất liệu bị đánh cắp Kiểm tra lưu lượng truy cập mạng giúp cảnh báo cho nhân viên an ninh hành vi bất thường có liên quan tới hành vi công Một tường lửa ứng dụng web triển khai gateway giúp bảo ứng dụng web khỏi công RFI, SQL injection… thường dùng cho việc tiếp cận mạng tổ chức từ phía kẻ cơng Giám sát lưu lượng nội bộ, sử dụng tường lửa giúp cho quản trị viên xem xét chi tiết cách người dùng tương tác mạng công ty, đồng thời giúp xác định bất thường lưu lượng nội 4.2 Whitelist ứng dụng tên miền Whitelist để kiểm sốt tên miền truy cập từ mạng công ty, ứng dụng cài đặt nhân viên công ty Đây phương pháp hữu ích khác để giảm tỷ lệ thành công công APT cách giảm thiểu bề mặt bị cơng Tuy nhiên, biện pháp bảo mật khơng phải điều dễ dàng, tên miền ứng dụng đáng tin cậy bị xâm nhập Để có whitelist hiệu quả, phải thực thi sách cập nhật cách nghiêm ngặt để đảm bảo người dùng bạn chạy phiên ứng dụng xuất danh sách 4.3 Kiểm soát truy cập Đối với kẻ công, nhân viên thường điểm yếu dễ bị công vì: Những nhân viên bất cẩn bỏ qua sách an ninh mạng vơ tình cấp quyền truy cập vào mối đe dọa tiềm ẩn Những nhân viên xấu cố ý lạm dụng thông tin người dùng họ để cấp quyền truy cập vào thủ phạm Người dụng bị thông tin mật thông tin sử dụng kẻ cơng Phát triển sách kiểm sốt hiệu u cầu có đánh giá tồn diện nhân viên tổ chức – đặc biệt thông tin mà họ truy cập Các thông tin quan trọng phải bảo đảm với xác thực hai yếu tố (2FA) Điều giúp cho thông tin quan trọng an toàn 4.4 Các biện pháp khuyến cáo khác Ngoài biện pháp trên, biện pháp thực hành tốt để đảm bảo an toàn mạng bạn: - Vá phần mềm hệ điều hành nhanh - Mã hóa kết nối từ xa để tránh việc bị nghe đường truyền - Có lọc thư rác quét virus cho hệ thống mail - Thực chế ghi nhật ký để giám sát điều tra Chống lại APT 5.1 Những nguyên nhân khiến công APT khó thành cơng ⁻ Khơng có thông tin nạn nhân (tên tuổi, địa email, số điện thoại,…), khơng có mơ tả hệ thống nạn nhân, việc đưa kịch cơng bế tắc ⁻ Khơng có điểm yếu, lỗ hổng hệ thống (lỗi hệ điều hành, lỗi ứng dụng, lỗi phần mềm bên thứ 3), kẻ cơng khơng có hội để lợi dụng lấn sâu, khai thác hệ thống ⁻ Phát ngăn chặn kịp thời kết nối tới máy chủ điều khiển ⁻ Phát ngăn chặn kịp thời hành động phát tán, cài đặt mã độc hại hệ thống 5.2 Mơ hình Phomát Thụy Sỹ - Swiss Cheese Nguyên tắc mô hình là: Một miếng phomat có lỗ thủng ta khéo léo sếp chúng so le với nhau, hệ thống bịt kín Từ nguyên tắc này, việc triển khai hành động cụ thể chống lại cơng APT theo số bước sau: ⁻ Nắm rõ giá trị tài ngun thơng tin hệ thống, từ xác định biện pháp cất giữ, bảo vệ cách phù hợp tài nguyên trọng yếu ⁻ Có hệ thống biện pháp an tồn thơng tin bản, phù hợp với thực trạng nhiệm vụ hệ thống Điều giúp nhà quản lý an tồn thơng tin tổ chức kịp thời phát chặn đứng khâu cơng Ví dụ: hệ thống SIEM giúp sớm phát hành vi luồng công ⁻ Luôn quan tâm tới luồng di chuyển liệu quan trọng, kiểm soát hành vi diễn tài nguyên trọng yếu hệ thống – công cụ tự động, hay thao tác quản lý hàng ngày ⁻ Kịp thời áp dụng biện pháp cụ thể, giải pháp, cơng cụ nhằm có “lát phomát” thích hợp, che kín lỗ hổng hệ thống