Tấn công APT đƣợc kẻ tấn công thực hiện rất tinh vi, bao gồm nhiều bƣớc và đƣợc thiết kế riêng cho từng hệ thống, do đó điểm yếu của APT là nó có thể thành công với một số nạn nhân nhất định vì kẻ tấn công thƣờng viết mã độc dựa trên các lỗ hổng đang tồn tại trên hệ thống của nạn nhân.
Mặt khác, mỗi tổ chức luôn luôn phải có kế hoạch ứng phó tấn công APT. Luôn thực hiện theo phƣơng châm “phòng hơn chống” để giảm thiểu đƣợc tối đa tổn thất mà APT gây ra cho chính phủ hay doanh nghiệp.
Khi đã triển khai các giải pháp phòng chống APT trên toàn bộ hệ thống, các giải pháp này phải đảm bảo hai nhiệm vụ chính nhƣ sau. Trƣớc hết, phát hiện và ngăn chặn các mối đe dọa để bảo vệ hệ thống khỏi các cuộc tấn công trong nội bộ cũng nhƣ từ bên ngoài. Yêu cầu kỹ thuật then chốt ở đây là hệ thống phòng chóng phải có khả năng xác định các mối đe dọa trong thời gian thực - khi chúng xảy ra và chủ động có hành động phòng ngừa khi phát hiện ra chúng. Khả năng này rất quan trọng bởi vì trong nhiều trƣờng hợp hệ thống phòng chống là chốt chặn duy nhất trong cơ sở hạ tầng an ninh mạng. Việc có thể xác định chính xác các mối đe dọa cũng nhƣ ngăn chặn nó mà không làm gián đoạn việc lƣu thông trong mạng có ý nghĩa rất quan trọng trong việc đảm bảo vận hành hệ thống.
Tiếp theo, giải pháp phòng chống cần đảm bảo ứng phó trong mọi tình huống giúp tự động khắc phục và đẩy nhanh chu trình ứng cứu khi có sự cố. Trong vai trò này, hệ thống phòng chống phải có khả năng phát hiện ra hệ thống bị xâm nhập, điều tra các mối đe dọa đang hoạt động cũng nhƣ “ngủ đông”, bao gồm cả mục tiêu mà vụ tấn công sẽ hƣớng tới trƣớc khi dữ liệu bị mất. Trên thực tế, không có giải
phát triển, nhất là chúng lại đƣợc tạo ra cho các mục tiêu đã xác định trƣớc. Do đó, cần phải đảm bảo có bộ nhớ cho việc lƣu trữ thông tin mã độc phục vụ cho công tác tìm kiếm, truy vấn và phân tích, cũng nhƣ cập nhật thƣờng xuyên thông tin về các mã độc trên toàn thế giới, đồng thời cung cấp khả năng ứng cứu khẩn cấp, nhanh chóng khi có xâm nhập.
Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu sau:
Chống lại những mối đe dọa: Giải pháp phòng chống thực sự cần cung cấp khả năng chống lại các cuộc tấn công nhằm vào từng giai đoạn của vòng đời APT: trƣớc khi tải về, khi chúng lƣu thông trong mạng cho đến khi chúng đã đƣợc cài đặt trên thiết bị đầu cuối. Để làm đƣợc điều đó, giải pháp phòng chống cần có các tính năng:
Nâng cao khả năng phát hiện phần mềm độc hại: Phân tích liên tục dòng dữ liệu đi qua mạng, duy trì khả năng phát hiện với tỉ lệ sai sót thấp.
Giám định phần mềm độc hại: Mô tả chi tiết các phần mềm độc hại nhờ môi trƣờng ảo hóa đƣợc tạo ra trƣớc đó để nắm rõ cách đăng nhập, thay đổi tập tin, thay đổi cách vận hành hệ thống, cách đƣa dữ liệu ra ngoài…
Phòng chống các nguy cơ tại thời gian thực: Phân tích lƣu lƣợng mạng, cung cấp khả năng phát hiện và phòng ngừa ngay tức khắc. Tự động nhận biết các mối đe dọa: Nhanh chóng xác định các hoạt
động đáng ngờ và nguy hiểm, đồng thời tự động tiêu diệt những mối đe dọa đã từng đƣợc hệ thống biết tới.
Hiệu suất cao: Đảm bảo phân tích lƣu lƣợng cao (hàng Gigabit) trong thời gian thực mà vẫn cung cấp khả năng hiển thị, phân tích và bảo vệ khỏi các mối đe dọa trƣớc khi chúng có thể gây tổn hại cho tổ chức.
Bảo vệ dữ liệu khỏi bị đánh cắp: Một giải pháp phòng chống toàn diện thực sự sẽ trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin nhạy cảm, có giá trị. Các yêu cầu kỹ thuật cần có bao gồm:
Kiểm soát luồng dữ liệu: Bằng cách sử dụng những luật và kỹ thuật phức tạp để ngăn chặn các hành vi trộm cắp dữ liệu nhạy cảm và bí mật ra khỏi mạng thông tin.
Hiển thị nội dung: Cung cấp khả năng hiển thị, phân tích và kiểm soát tất cả các giao thức, ứng dụng và các loại tập tin để bảo vệ
chống lại các mối đe dọa tiên tiến và ngăn chặn hành vi trộm cắp dữ liệu trong thời gian thực.
Hỗ trợ phân loại dữ liệu: Thông qua những cơ chế linh hoạt, có thể xác định các đặc tính của dữ liệu có giá trị tại mức nào sẽ đƣợc coi là nhạy cảm và tránh cho chúng đi ra khỏi hệ thống mạng.
Cảnh báo: Cung cấp khả năng cảnh báo toàn diện, thông tin về các hoạt động cho phép phân loại nhanh chóng và khắc phục các mối đe dọa.
Phân tích được các vấn đề an ninh mạng: Một giải pháp phòng chống còn cung cấp hồ sơ lịch sử của tất cả các hoạt động mạng, do đó,có thể "quay ngƣợc thời gian” để tìm kiếm những mối đe dọa mà hệ thống không hề biết tại thời điểm đó. Các yêu cầu kỹ thuật gồm có:
Ghi lại đầy đủ dữ liệu: Thu thập thông tin chi tiết (siêu dữ liệu) về tất cả các giao dịch trong mạng. Siêu dữ liệu này đƣợc lƣu trữ trong bộ nhớ hệ thống và làm cơ sở cho việc phát hiện sau này. Phân tích đa chiều: Phân tích nội dung và so sánh với nhiều nguồn
khác nhau nhƣ lịch sử của hệ thống, các chính sách đƣợc cài đặt sẵn cũng nhƣ các mối đe dọa đƣợc cập nhật thƣờng xuyên từ các tổ chức khác.
Tổng kết: Tự động cung cấp bản tổng kết và xu hƣớng trong hệ thống về các yếu tố nhƣ máy chủ, các cảnh báo, vị trí hay các giao thức để có cái nhìn tổng quan về những mối đe dọa đối với doanh nghiệp, tổ chức.
Báo cáo linh hoạt: Có khả năng đƣa ra những bản báo cáo theo tiêu chuẩn hay tùy chỉnh riêng dựa vào siêu dữ liệu đƣợc thu thập theo thời gian.
Cảnh báo nguy cơ: Với những giao dịch có nhiều nét tƣơng đồng với các mối đe dọa đã đƣợc biết đến cần cảnh báo cho nhân viên quản trị biết và có hƣớng xử lý.
Bên cạnh đó những yêu cầu cho thiết kế tổng thể còn đƣợc xây dựng trên cơ sở áp dụng các tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nƣớc (DM1), cũng nhƣ áp dụng các biện pháp kiểm soát đƣợc khuyến cáo theo ISO 27001.
để thực thi những biện pháp kỹ thuật này. Do vậy, thiết kế tổng thể hệ thống ATTT cho TCHQ đƣợc xây dựng trên cơ sở tham khảo thêm các giải pháp kỹ thuật để thực hiện những biện pháp kiểm soát theo ISO27001.
Dƣới đây là bảng mô tả các giải pháp kỹ thuật cần đƣợc đáp ứng để đảm bảo đáp ứng các kiểm soát theo một số mục tiêu kiểm soát trong tiêu chuẩn ISO27001.
Bảng 8: Bảng mô tả các giải pháp kỹ thuật cần đƣợc thực hiện theo các kiểm soát của ISO27001
Các kiểm soát trong ISO 27001:2005 trong các lĩnh
vực Giải pháp kỹ thuật cần áp dụng STT Mục tiêu kiểm soát
1 Bảo vệ hệ thống khỏi mã độc hại và mã phần mềm kích hoạt từ xa 1.1 Mã độc hại - Giải pháp phòng chống mã độc hại - Giải pháp bảo vệ thƣ điện tử - Giải pháp lọc nội dung
- Giải pháp ngăn chặn tấn công có chủ đích - Giải pháp quản lý điểm yếu, lỗ hổng bảo mật 1.2
Bảo vệ hệ thống khỏi các phần mềm kích
hoạt từ xa
- Giải pháp tƣờng lửa ứng dụng web;
- Giải pháp giám sát, dò quét, đánh giá website; - Giải pháp lọc nội dung
- Giải pháp ngăn chặn tấn công có chủ đích
2
Các biện pháp kiểm soát ATTT cho mạng máy tính
- Giải pháp tƣờng lửa;
- Giải pháp kiểm soát truy cập (NAC);
- Giải pháp ngăn ngừa và phòng chống xâm nhập (IPS);
- Giải pháp chống thất thoát dữ liệu (DLP); - Giải pháp ngăn chặn tấn công có chủ đích - Giải pháp quản lý lỗ hổng, điểm yếu bảo mật. Các giải pháp kỹ thuật đƣa ra trƣớc hết nhằm đảm bảo hệ thống chống lại các mã độc hại một cách hiệu quả tại các vị trí trọng yếu và có nhiều nguy cơ bị tấn công APT nhất nhƣ là vùng Internet Access, cụ thể:
Comment [M25]: Cấn phải viết giới thiệu về nội dung thông tin trong bảng. Không thể chỉ nêu mỗi bảng ra. Ý nghĩa các cột và hàng trong bảng. Bảng trình bày về giải pháp kỹ thuật nào có gì đặc biệt cần để ý. Đơn giản nhất là tóm tắt lại nội dung của bảng.
- Giải pháp phòng chống mã độc hại: đƣợc triển khai nhằm cảnh báo và loại trừ các mã độc hại thông qua đƣờng truy cập Internet của ngƣời dùng.
- Giải pháp bảo vệ thƣ điện tử: đƣợc triển khai nhằm bảo vệ hệ thống thƣ điện tử.
- Giải pháp lọc nội dung: đƣợc triển khai nhằm bảo vệ
- Giải pháp tƣờng lửa ứng dụng web: đƣợc triển khai nhằm bảo vệ các ứng dụng web đƣợc public ra ngoài Internet;
- Giải pháp kiểm soát truy cập: nhằm kiểm soát truy cập mạng, định danh ai, sử dụng thiết bị nào kết nối vào trong hệ thống mạng của TCHQ; Bảng 7 đã dựa vào “Mục tiêu cần kiểm soát” và các giải pháp cần có để bảo vệ đƣợc mục tiêu đó, kết hợp với hiện trạng để đƣa ra các giải pháp cần áp dụng để tăng cƣờng cho các vị trí cần bảo vệ nhƣ: giải pháp kiểm soát truy cập, giải pháp phòng chống tấn công có chủ đích, giải pháp quản lý lỗ hổng, điểm yếu bảo mật, giải pháp chống thất thoát dữ liệu.... Qua đó đã đƣa ra nhiều giải pháp cần có để bảo vệ hệ thống mạng của ngành hải quan đƣợc an toàn hơn, tuy nhiên trong phạm vi của luận văn này tôi chỉ xin phép đƣợc đề cập đến giải pháp phòng chống tấn công có chủ đích.
Căn cứ vào các kết quả khảo sát và đánh giá rủi ro đối với từng hệ thống và các tham khảo các khuyến nghị của bộ tiêu chuẩn ISO 27001 và của các chuyên gia tƣ vấn về bảo mật, tôi xin đề xuất đƣa ra thiết kế tổng thể cho Tổng cục hải quan, cụ thể là bổ sung giải pháp phòng chống tấn công APT bảo vệ vùng Internet Access. Thiết kế tổng thể đƣợc biểu diễn bằng sơ đồ logic dƣới đây:
Comment [M26]: Kiếm tra lại số ảng
Comment [M27]: Mục tiêu này đƣợc diễn giải ở đâu. Nếu có rồi thì bổ sung mục tham chiếu tới.
Hình 20: Thiết kế mô hình tổng thể chống lại APT
Với mô hình tổng thể này, giải pháp phòng chống tấn công APT đã đƣợc bổ sung vào vị trí số 2 để bảo vệ vùng có nguy cơ cao nhất bị tấn công APT là từ ngoài vùng Internet. Nội dung chi tiết về các vị trí trong hình nhƣ sau:
- Vị trí số 1: đặt 01 cặp thiết bị có chức năng Proxy caching và lọc web cho hệ thống ngƣời dùng ra ngoài Internet;
- Vị trí số 2: đặt giải pháp phòng chống tấn công APT; - Vị trí số 3: đặt thiết bị cân bằng tải;
- Vị trí số 4: đặt thiết bị tối ƣu hóa ứng dụng; - Vị trí số 5: đặt các máy chủ vùng DMZ; - Vị trí số 6: đặt thiết bị IPS;
- Vị trí số 7: đặt thiết bị tƣờng lửa vùng DMZ; - Vị trí số 8: đặt thiết bị phòng chống DDoS; - Vị trí số 9: đặt thiết bị VPN;
Comment [M28]: HÌnh vẽ này không khác gì các hình vẽ về hiện trạng mạng. Anh cần phải giải thích các điểm khác biệt.
Em đã bổ sung giải pháp phòng chống tấn công APT tại vùng Internet Access
Comment [M29]: Chooxx này cần giải thích thêm. Việc tấn công APT có thể xuất phát từ bên trong (nội gián) do bị gài phần mềm xấu song để điều khiển đƣợc vụ tấn công và khai thác thông tin kẻ tấn công cần sử dụng đƣờng kết nối Internet. (anh có thể mở rộng thêm để tăng tính thuyết phục)
- Vị trí số 10: đặt thiết bị tƣờng lửa vùng WAN; - Vị trí số 11: đặt thiết bị QoS;
- Vị trí số 12: đặt thiết bị tƣờng lửa vùng Core; - Vị trí số 13: đặt thiết bị IPS vùng Core;
- Vị trí số 14: đặt thiết bị tƣờng lửa vùng ngƣời dùng cuối; - Vị trí số 15: vùng ngƣời dùng cuối;
- Vị trí số 16: vùng ứng dụng Core và cơ sở dữ liệu Core;