Triển khai giải pháp phòng chống tấn công có chủ đích APT Server tại Trung tâm và APT Client tại Công an quận và Công an các phường. Giải pháp phòng chống APT cụ thể như sau:
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một thực thể. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác. Tuy nhiên không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân.
Cho đến nay, tấn công APT thường được dùng với mục đích: - Thu thập thông tin tình báo có tính chất thù địch.
- Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ. - Làm mất uy tín của cơ quan tổ chức.
- Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực,....
APT diễn ra như thế nào?
“Vòng đời” của một cuộc tấn công APT được mô tả theo ba giai đoạn chính như sau, mỗi giai đoạn có thể có nhiều bước.
Hình 3.5. Mô hình hóa tấn công APT
Giai đoạn chuẩn bị:
Ở giai đoạn này, kẻ tấn công sẽ xác định mục đích tấn công, từ đó tìm kiếm mục tiêu phù hợp. Sau khi đã nhắm được mục tiêu tấn công, chúng sẽ chế tạo công cụ tấn công và đầu tư thời gian, công sức để nghiên cứu mục tiêu (về con người và hạ tầng CNTT của mục tiêu). Bước tiếp theo, chúng sẽ thực hiện tấn công thử.
Giai đoạn khởi động cuộc tấn công – xâm nhập:
Kẻ tấn công sẽ triển khai cuộc tấn công theo kịch bản đã dựng sẵn, sau đó khởi tạo việc xâm nhập, cài cắm virus, backdoor vào hệ thống bị tấn công và khởi sinh các kết nối “ẩn” từ bên ngoài thông qua các backdoor.
Thực hiện đánh cắp dữ liệu, phá hoại:
Thông qua các kết nối đã được cài cắm, kẻ tấn công sẽ tìm cách mở rộng ảnh hưởng vào hệ thống thông tin của nạn nhân và thực hiện các hoạt động đánh cắp định danh, đánh cắp dữ liệu.... Sau đó, chúng sẽ thực hiện bước xóa dấu vết nhằm che giấu các hành vi đã thực hiện.
Đánh giá về tấn công APT
Có thực sự là “Advance”: trong tất cả các ví dụ minh họa và các thống kê về tấn công APT đều không có mô tả về một kỹ thuật tấn công mới, hay cao siêu nào được áp dụng khi kẻ tấn công tiến hành APT. Từng kỹ thuật được sử dụng đều rất quen thuộc với các chuyên gia an toàn thông tin. Hầu hết các tấn công sau khi đã được phân tích đều thấy rằng, đó là tổng hợp của một số kiểu tấn công đang phổ biến. Kẻ tấn công đã phối hợp các biện pháp với nhau rất khoa học, tỉ mỉ và thông minh.
Đánh giá này sẽ giúp bên phòng thủ nhận thức được rằng: việc áp dụng các công cụ, biện pháp bảo mật tối tân, đắt tiền, chưa chắc tránh được các cuộc tấn công APT đã và sẽ xảy ra. Không phải ngẫu nhiên mà một số tài liệu đã gọi kẻ tấn công là các “Nghệ sĩ” và các “Nghệ sĩ” này thường rất kiên trì để vòng tránh qua các biện pháp bảo mật sẵn có. Có nhiều ví dụ về việc nạn nhân có đủ các biện pháp bảo mật như Firewall, IPS, Antivirus,... nhưng hệ thống vẫn bị thiệt hại bởi tấn công APT.
Bị tấn công “Dai dẳng”: Kẻ tấn công có thể bỏ hàng tháng để thu thập thông tin cá nhân của nạn nhân nhằm làm tiền đề cho cuộc tấn công, từ cách đặt tên file, mối quan tâm khi mở email, mối quan hệ của nạn nhân trên thế giới ảo,... Kẻ tấn công cũng có thể bỏ nhiều tháng để thử đi thử lại một công cụ, một phương thức tấn công sao cho có thể khai thác được một lỗi bảo mật trên hệ thống của “nạn nhân”, sau đó có thể chờ vài tháng để kích hoạt các hành động tấn công.
Chống lại APT
Một điều rất dễ nhận thấy là trong một chuỗi các thao tác, chỉ cần một trong các thao tác bị phát hiện và chặn đứng, thì cuộc tấn công APT sẽ coi như thất bại. Nếu một trong các tình huống sau đây xảy ra thì tấn công APT khó có thể thành công:
- Không có các thông tin về nạn nhân (tên tuổi, địa chỉ email, số điện thoại,...), không có mô tả về hệ thống của nạn nhân, thì việc đưa ra kịch bản tấn công là bế tắc.
- Không có các điểm yếu, các lỗ hổng trên hệ thống (lỗi trên hệ điều hành, lỗi trên ứng dụng, lỗi do các phần mềm của bên thứ 3), kẻ tấn công sẽ không có cơ hội để lợi dụng lấn sâu, khai thác hệ thống.
- Phát hiện và ngăn chặn kịp thời kết nối tới máy chủ điều khiển.
- Phát hiện và ngăn chặn kịp thời các hành động phát tán, cài đặt mã độc hại trong hệ thống.
Chính vì tấn công APT rất tỉ mỉ, bao gồm nhiều bước và dường như được thiết kế riêng cho từng cá nhân, do đó điểm yếu của APT là nó có thể thành công với một số nạn nhân nhất định, nhưng sẽ thất bại nếu môi trường của nạn nhân thay đổi.
Từ cách thức, đánh giá và giải pháp chống lại APT trình bày trên, hiện tại có nhiều hãng đã cho ra đời các kiến trúc nhằm ứng phó hiệu quả trước các tấn công mạng của Advanced Threat. Đơn cử như kiến trúc của Hãng bảo mật LastLine Inc. - Mỹ, cụ thể:
- LastLine tiếp cận theo kiến trúc Software thay cho kiến trúc Appliance đắt giá. - LastLine cho phép linh hoạt tích hợp kiến trúc này với các kiến trúc khác hiện hữu thông qua bộ API hoàn thiện.
- LastLine cung cấp đầy đủ hai cơ chế tùy chọn Cloud-based hoặc On-Premise phù hợp với tất cả các hệ thống TTDL đa dạng khác nhau.
- LastLine đặc biệt giải quyết rất hiệu quả các nguy cơ của APT nhắm đến các dịch vụ mạng như: Email, Web, File và cả các ứng dụng trên thiết bị di động như Laptop, Smartphones của người dùng cuối.
- LastLine cung cấp phần mềm bản quyền tính theo số lượng người dùng cuối để giúp dễ mở rộng linh hoạt và không phụ thuộc vào kiến trúc hạ tầng TTDL khi có thay đổi trong tương lai.
Mô hình lựa chọn khi triển khai
* Tùy chọn Cloud-based (Hosted by LastLine):
Trong tùy chọn này, chúng ta chỉ cần triển khai Thành phần “Sensor” tại những phân khúc mạng cần thiết để giám sát và ngăn chặn APT thông qua cách thức triển khai linh hoạt bằng Tap/Span mode.
Tùy theo dịch vụ mạng bên trong hệ thống đang triển khai là gì mà có cách thức thiết lập Sensor cụ thể, đặc biệt thời gian triển khai chỉ trong vòng 30 phút hoặc dưới 60 phút là có thể hoàn tất mô hình cài đặt này một cách nhanh chóng.
Trong tùy chọn này, chúng ta sẽ thiết lập cả thành phần “Sensor”, “Engine” và “Manager” tại Trung tâm quản lý, lưu trữ CATP. Cả 3 thành phần này đều được cài đặt dưới dạng Software Package đóng gói theo tiêu chuẩn của LastLine Inc. trên nền tảng phần cứng được khuyến nghị chi tiết.
Chức năng của mỗi thành phần sẽ được mô tả trong phần ngay bên dưới cùng với cách thức hoạt động tương ứng của mỗi mô hình tùy chọn.
Khả năng tích hợp & Cách thức hoạt động:
* Mức độ tích hợp:
Trên tùy chọn Cloud-based:
Trên tùy chọn On-Premise:
Những lợi ích chính mang lại:
- Dễ dàng triển khai giải pháp của LastLine tại bất kỳ phân mạng nào cần quan tâm cho bất kỳ giao thức hay ứng dụng mạng nào đang triển khai.
- Cơ chế phát hiện nhanh chóng và ngăn chặn tấn công tự động không lệ thuộc vào hệ điều hành, máy chủ ảo hay vật lý, và giao thức /dịch vụ mạng đang được triển khai.
- Gỡ bỏ giới hạn khoảng cách khi tích hợp với các hệ thống an ninh có sẵn, đã được đầu tư trước đây trong mạng doanh nghiệp.
- Chỉ định đích danh những tấn công lẫn tránh mà các hệ thống an ninh truyền thống và Sandbox trước đây không thể phát hiện được.
- Phân tích theo thời gian thực để đánh giá tức thì, chính xác tình trạng hệ thống đang diễn biến.
- Khả năng cập nhật liên tục với Tài nguyên Intelligence Threat mới nhất của LastLine Inc.
- Tạo báo cáo chi tiết, phù hợp với các tiêu chuẩn an toàn mạng phổ biến.
Hiện tại, triển khai giải pháp phòng chống tấn công có chủ đích APT Server tại Trung tâm và APT Client tại Công an quận và Công an các phường là giải pháp hữu hiệu nhằm phòng ngừa, ngăn chặn tin tặc sẽ lợi dụng các điểm yếu, các lỗ hổng bảo mật (lỗi trên hệ điều hành, lỗi trên phần mềm điều khiển nhúng của hãng sản xuất CCTV) để cài mã độc cửa hậu, chiếm quyền điều khiển Camera, tấn công có chủ đích (tấn công APT- Advanced Persistent Threat) vào hệ thống Camera, chúng cũng có thể sử dụng hệ thống Camera tạo thành mạng Botnet để tấn công từ chối dịch vụ vào hệ thống thông tin của các cơ quan, doanh nghiệp, gây tổn hại uy tín của CATP.