Tƣờng lửa là chốt chặn đầu tiên bảo vệ hệ thống internet banking của các ngân hàng, tuy nhiên tƣờng lửa chỉ kiểm soát các kết nối mạng bằng cách phân tích header các gói tin trong khi nội dung mã độc hay các nguy cơ về an ninh nằm trong phần dữ liệu lại không đƣợc phân tích nên các tƣờng lửa không đảm bảo an toàn triệt để cho hệ thống. Đó là lý do
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mà các ngân hàng thƣờng trang bị thiết bị phòng chống xâm nhập kết hợp với tƣờng lửa để bảo vệ hệ thống của mình.
2.8.3.1 Thiết bị phòng chống xâm nhập IPS là gì?
Thiết bị phòng chống xâm nhập là thiết bị phân tích toàn bộ luồng thông tin, phân tích dữ liệu và phát hiện các đoạn mã độc hại nằm trong phần payload của gói tin. Một hệ thống IPS đầy đủ thƣờng bao gồm các thành phần sau:
Thiết bị IPS lớp mạng (đóng vai trò quan trọng nhất và bắt buộc phải có). Phần mềm IPS cài trên máy chủ.
Thành phần quản trị tập trung.
Hệ thống quản lý điểm yếu (tùy chọn thêm).
2.8.3.2 Hoạt động của IPS
Lƣu lƣợng mạng khi đi qua IPS sẽ đƣợc phân loại dựa vào phần header của gói tin theo các luật phân loại đã định sẵn, vừa vào phân loại ban đầu này các thông tin đƣợc phân loại sẽ tiếp tục đi qua các bộ lọc tƣơng ứng nhƣ hình trên, mỗi bộ lọc tƣơng ứng sẽ phân tích một loại gói tin với một số rules nhất định, các gói tin phù hợp với các luật sẽ đƣợc đánh dấu và loại bỏ vào bƣớc 4 đồng thới các thông tin trang thái có lien quan sẽ đƣợc update. Thiết bị IPS lớp mạng thƣờng đƣợc cấu hình hoạt động nội tuyến với thông lƣợng lớn cùng khả năng xử lý một số luonug75 lớn các kết nối cùng lúc sẽ đáp ứng yêu cầu bảo vệ hệ thống cũng nhƣ không gây ảnh hƣởng đến hoạt động của các dịch vụ của hệ thống Internet banking.
Công nghệ bản vá ảo: Đối với hoạt động của hệ thống Internet banking thì độ sẵn sang của dịch vụ là rất quan trọng, hệ thống phải đáp ứng yêu cầu của khách hàng 24/7. Tuy nhiên các lỗ hổng của hệ điều hành hay phần mềm lại đƣợc cập nhật lien tục bằng các bản vá an ninh, nếu hệ thống không đƣợc cập nhật kịp thời sẽ đúng trƣớc nguy cơ tấn công zero day nhằm vào các lỗ hổng an ninh này, Một số IPS với công nghệ bản vá ảo cho phép ngƣời quản trị bảo vệ an ninh hệ thống trƣớc các lỗi bảo mật trong khi chờ hệ thống đƣợc bảo trì và cập nhật các bản vá an ninh chính thức.
Hệ thống quản lý điểm yếu: là một tùy chọn của hệ thống IPS cho phép ngƣời quản trị dò quét hệ thống nhằm phát hiện các lỗi bảo mật và các điểm yếu an ninh có thể bị khai thác. Hệ thống quản lý điểm yêu kết hợp với IPS giúp ngƣời quản trị có thể xác định các điểm yêu cần đƣợc vá, xác định đƣợc khả năng bảo vệ của IPS trƣớc các cuộc tấn công vào những điểm yếu này.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
2.8.3.3 Lựa chọn IPS cho hệ thống internet banking
Sản phẩm IPS trên thị trƣờng rất phong phú với nhiều lựa chọn từ các hang khác nhau, thị phần dành cho các thiết bị IPS so với các thiết bị bảo vệ truyện thống nhƣ firewall, anti virus ngày càng tăng chứng tỏ nhu cầu của khách hàng với nhóm sản phẩm này.
Trƣớc tốc độ phát triển ngày càng nhanh của thị trƣờng các thiết bị IPS, IPS trở thành một phần không thể thiếu trong các hệ thống Internet banking của các ngân hàng. Với tốc độ phát triển nhanh nhƣ vậy các thiết bị IPS ngày càng trở nên phức tạp thì việc lựa chọn một thiết bị IPS tốt sẽ dựa trên khả năng bảo vệ đón đầu, ngăn chặn các cuộc tấn công trƣớc khi chúng ảnh hƣởng tới hệ thống Internet banking. Một hệ thống IPS có khả năng phát hiện và bảo vệ đón đầu trƣớc các nguy cơ an ninh là một hệ thống có hiệu năng hoạt động cao, cung cấp các giải pháp bảo vệ an ninh tốt dựa trên các kết quả nghiên cứu về các nguy cơ an ninh cũng nhƣ các điểm yếu an ninh.
Các hệ thống IPS ngày nay có khả năng phân tích một lƣợng lớn các giao thức mạng và định dạng file, sử dụng nhiều phƣơng thức phân tích và nhận dạng tấn công, IPS sẽ bảo vệ cho hệ thống trƣớc các cuộc tấn công: Application attacks, Drive by downloads Insider threats Instant messaging, Malicious file,…
IPS không chỉ giúp bảo vệ hệ thống trƣớc những cuộc tấn công từ mạng bên ngoài mà còn bảo vệ hệ thống khỏi những nguy cơ khác từ vùng mạng nội bộ bên trong các ngân hàng. Hệ thống IPS đƣợc sử dụng để phân tách vùng Internet banking ra khỏi các vùng mạng khác trong cùng hệ thống mạng của ngân hàng, giúp hệ thống Internet banking đƣợc bảo vệ trƣớc các nguy cơ tấn công, khai thác điểm yếu an ninh, hay lây nhiểm mả độc hại từ chính các vùng mạng nội bộ.
a. Tiêu chí hiệu năng
Khi hoạt động hệ thống IPS sẽ hoàn toàn trong suốt trong môi trƣờng mạng không gây ảnh hƣởng đến hoạt động của hệ thống. Tiêu chí hiệu năng đƣợc đánh giá thông qua các khả năng sau:
Hiệu năng cao: thiết bị IPS lớp mạng hoạt động nhƣ một thiết bị chuyển mạch hoặc định tuyến trong khi vẫn ngăn chặn đƣợc những cuộc tấn công vào hệ thống.
Khả năng hoạt động nôi tuyến.
Độ tin cậy cao, không xảy ra sự cố hay lỗi trong thời gian dài.
Độ sẵn sàng cao, thiết bị phải có khả năng fail open để khi bị sự cố không gây ảnh hƣởng đến hệ thống internet banking của ngân hàng.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Độ trễ thấp: là tiêu chí quan trọng nhất với thiết bị IPS mức mạng, đảm bảo độ trẽ thấp giúp không ảnh hƣởng đến hoạt động của hệ thống. Trong số các thiết bị IPS trên thị trƣờng thì sản phẩm IPS dòng IBM ISS là một trong các sản phẩm có độ trễ thấp nhất.
Tính mềm dẻo, dễ thay đổi có khả năng đáp ứng một số lƣợng lớn phiên làm việc của ngƣời dùng và các giao dịch mà không làm ảnh hƣởng đến hoạt động của hệ thống.
b. Tiêu chí an toàn trong bảo vệ hệ thống.
Khả năng bảo vệ hệ thống trƣớc các cuộc tấn công là một tiêu chí rất quan trong với hệ thống IPS. Những kẻ tấn công thƣờng có một loại các công cụ nhằm vào các kẽ hở của hệ thống nên thiết bị IPS cũng cần có một loạt các công cụ đễ chống lại các cuộc tấn công. Các công cụ phòng chống tấn công của thiết bị IPS dựa vào hai kỹ thuật là xác định và phân tích. Kỹ thuật xác định chứa các công cụ cho phép IPS biết chính xác những giao thức mà nó gặp khi phân tích các lƣu lƣợng mạng, kỹ thuật phân tích xác định các giao thức có hành vi đáng ngờ và quyết định xem nó có bị ngăn chặn hay đƣợc phép đi qua.
Một hệ thống IPS tốt phải đƣợc trang bị nhiều phƣơng thức xác định và phân tích hoạt động cách đồng thời để ngăn chặn các cuộc tấn công đã biết và chƣa biết. Các kỹ thuật cơ bản mà một IPS cần có nhƣ: Port Assignment Port following Heuristics Pattern match Protocol tunnel TCP reassembly Flow reassembly Statistical analysis RFC compliance
c. Tiêu chí nghiên cứu các nguy cơ an ninh
Trƣớc sự phát triển không ngừng của các hình thức tấn công mới, một hệ thống IPS tốt luôn phải đƣợc cập nhật thì mới có thể đáp ứng yêu cầu ngăn chặng đón đầu cá nguy cơ tấn công. Tuy nhiên không phải nhà sản xuất nào cũng có đủ nguồn lực để nghiên cứu đầy
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
đủ các phƣơng thức bảo vệ trƣớc các nguy cơ tấn công mới xuất hiện. Các biện pháp nghiên cứu về các nguy cơ an ninh và các điểm yêu phổ biến là:
Reactive Reasearch Proactive Reasearch Global event monitor
Information sharing partnerships
Khi lựa chọn thiết bị IPS cho hệ thống nên lựa chọn nhà sản xuất có khả năng nghiên cứu cập nhật các nguy cơ an ninh có hiệu quả để đƣa ta các chức năng phòng chống tấn công hữu hiệu. Đội nghiên cứu phát triển an ninh của IDM ISS đƣợc đa số chuyên gia và khách hàng trên thế giới đánh giá là một trong những tổ chức nghiên cứu về các điểm yếu an ninh hiệu quả nhất. Sản phẩm của IBM ISS luôn đƣợc khuyến khích sử dụng cho các hệ thống Internet banking cần độ an toàn cao trên thế giới.