Virus máy tính nói riêng và các chƣơng trình mã độc nói chung là mối đe dọa cho bất kì hệ thống thông tin nào trong đó có Internet Banking. Trong bối cảnh các phần mềm
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mã độc nhắm tới các hoạt động ngân hàng ngày càng nhiều thì việc triển khai một hệ thống bảo vệ phòng chống mã độc cho dịch vụ Internet Banking là điều ngày càng cấp thiết. Kịch bản phổ biến khi một phần mềm mã độc tấn công vào hệ thống thƣờng trải qua các bƣớc sau:
Bƣớc 1: Phần mềm mã độc tìm các điểm yêu, lỗ hổng trên hệ thống để lây lan vào hệ thống.
Bƣớc 2: Sauk hi lây lan thành công vào hệ thống, mã độc sẽ tìm cách lan ra trên diện rộng toàn hệ thống, bắt đầu các hành vi nguy hiểm với an toàn của hệ thống.
Bƣớc 3: Mã độc ẩn mình trong hệ thống, tránh bị các phần mềm diệt virus tiêu diệt để chờ đợi thời cơ cho những cuộc tấn công mới.
Để đối phó với các hình thức tấn công của mã đọc ngày càng tinh vi cần có một chiến lƣợc phòng chống tổng thể kết hợp với một hệ thống phòng chống mã độc mạnh. Chiến lƣợc phòng chống mã độc toàn diện EPS thế hệ thứ 3 là một mô hình phòng chống mã độc hiệu quả của công ty Trend Micro đƣợc sử dụng rộng rãi trên thế giới và đƣợc các chuyên gia cũng nhƣ khách hàng đánh giá cao. Chúng ta hãy cùng xem xét cách thức hoạt động theo 4 giai đoạn của chiến lƣợc này.
2.8.5.1 Chiến lược phòng chống mã độc EPS thế hệ thứ 3
*Giai đoạn 1: Phòng vệ điểm yếu
Nhiệm vụ của giai đoạn này là bảo vệ các lỗ hổng, điểm yếu của hệ thống mà các mã độc thƣờng lợi dụng để tấn công. Muốn thực hiện việc này thì cần có hệ thống dò tìm điểm yếu, cập nhật các bản vá lỗi hệ điều hành, lỗi trình duyệt cũng nhƣ phần mềm ứng dụng, ngoài ra cần có hệ thống quản lý việc phòng chống mã độc, giám sát và thực thi các chính sách phòng chống mã độc đã đƣợc đặt ra.
*Giai đoạn 2: Chống mã độc bùng nổ
Ở giai đoạn này mã độc đã lây lan đƣợc vào trong hệ thống mạng của ngân hàng, nhiệm vụ đặt ra lúc này không để cho mã độc lây lan ra rộng trong hệ thống. Các đoạn mã độc hiện nay đƣợc lập trình rất tinh vi, chúng có thể lây lan ra toàn hệ thống trong một thời gian rất ngắn nếu hệ thống phòng chống virus trong hệ thống không có tính năng chống bủng nổ một cách hiệu quả. Phƣơng pháp truyền thống của các phần mềm diệt virus là phát hiện và tiêu diệt virus dựa theo mẫu, nếu virus lây lan vào hệ thống đã đƣợc cập nhật trong database của phần mềm thì nó sẽ bị tiêu diệt ngay ở giai đoạn này. Tuy nhiên nếu virus là một biến thể mới xuất hiện thì các phần mềm diệt virus theo phƣơng pháp truyền thống sẽ không thể
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
phát hiện và tiêu diệt ngay đƣợc mà cần có thời gian cập nhật từ nhà sản xuất, trong thời gian ấy virus đã có thể bùng nổ trong cả hệ thống, sự lây lan của virus gây ra tắc nghẽn mạng và và các hành động nguy hại đến an ninh hệ thống. Vì cây ở giai đoạn này cần có các công cụ phòng chống virus hiệu quả hơn với các phƣơng pháp tiên tiến để có thể ngăn cản sự lây lan của virus, công cụ này cần phải có tốc độ cập nhật nhanh với các mẫu virus mới, đồng thời có chế độ nhận dạng mã độc theo hành vi để có hành động kịp thời ngằm đối phó với virus mới một cách hiệu quả.
*Giai đoạn 3: Quét và diệt mã độc trong hệ thống
Công việc của giai đoạn này là kết hợp các phần mềm để diệt hoàn toàn các mã độc đã lây lan trong hệ thống. Nếu nhƣ trƣớc đây ngƣời quản trị thƣờng chỉ quan tâm đến các sản phẩm diệt virus trên desktop với nguồn lây lan chính của virus là từ mạng nên cần có các biện pháp toàn toàn diện mới có thể giải quyết tận gốc của vấn đề chứ không chỉ riêng việc diệt mã độc trên desktop riêng lẻ. Hơn thế nữa các đoạn mã độc hiện nay đƣợc thiết kế rất tinh vi, chúng có thể ẩn mình trong hệ thống để tránh bị các phần mềm diệt virus tiêu diệt và chờ thời cơ bùng phát trở lại nên muốn diệt trừ một cách tận gốc thì phải quét và diệt trên quy mô toàn hệ thống chứ không chỉ ở các máy riêng lẻ.
Bộ sản phẩm tiêu diệt mã độc toàn diện bao gồm các phần mềm tìm và diệt mã độc trên Internet Gateway, Mail Server và trên các máy client. Các phần mềm hoạt động đồng thời sẽ đem lại hiệu quả cao trong việc quét và diệt mã độc.
*Giai đoạn 4: Khôi phụ và đánh giá lại hệ thống
Hệ thống sau khi bị mã độc tấn công thì dù có tiêu diệt và làm sạch hoàn toàn hệ thống nhƣng vẫn để lại có hậu quả nhất định. Các đoạn mã độc thƣờng tấn công vào các file hệ thống của hệ điều hành, registry và để lại các file rác trong hệ thống. Một số trƣờng hợp virus có thể phá hỏng các file hệ thống của hệ điều hành và các phần mềm đến mức không thể khôi phục đƣợc vì vậy chúng ta cần có giải pháp backup để có thể khôi phục lại hệ thống nguyên trang nhƣ ban đầu. Các công cụ hỗ trợ trong giai đoạn này có nhiệm vụ giúp ngƣời dùng dọn sạch rác do mã độc để lại, sửa lỗi registry và file hệ điều hành giúp hệ thống có thể hoạt động lại bình thƣờng.
2.8.5.2 Một số công cụ phòng chống mã độc theo chiến lược EPS của Trend Micro
Tƣơng ứng với các giai đoạn đƣợc để ra trong chiến lƣợc EPS, Trend Micro cung cấp các sản phẩm tƣơng ứng với từng giai đoạn:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Network VirusWall Enforcer là công cụ phù hợp cho giai đoạn 1 của chiếu lƣợc EPS, nó giúp kiểm tra tình trang của hệ thống, các lỗi bảo mật chƣa đƣợc vá, đảm bảo cho hệ thống luôn đƣợc cài đặt bản vá lỗi sớm nhất, ngăn chặn virus lợi dụng các lỗ hổng này đế xâm nhập vào hệ thống
*Sản phẩm chống bùng nổ mã độc trong hệ thống:
Sản phẩm diệt mã độc từ Trend Micro có chức năng Outbreak Prevention Services, chức năng này khi hoạt động sẽ có tác dụng sau:
Cung cấp các chính sách an ninh cho hệ thống nhằm cô lập, hạn chế sự bùng nổ của virus.
Phát hiện những dấu hiệu bùng nổ virus trong mạng, cập nhật nhanh chóng các chính sách phòng chống bùng nổ của Trend Micro.
Đánh giá mức độ nguy hiểm tƣ các mối đe dọa để ngƣời quản trị có những chính sách ƣu tiên nhất định.
Triển khai công tác phòng chống các mối đe dọa cụ thể bằng các chính sách tự động hoặc bằng tay đến các thiết bị mạng và thiết bị đầu cuối cụ thể.
Ngăn chặn các cơ chế lây lan virus nhƣ lây lan qua các tập tin thực thi, tập tin đính kèm email, chặn các cổng, các nguồn download…
Tăng tốc triển khai công tác phòng chống nhất quán trên toàn mạng. *Sản phẩm quét và diệt virus:
Sản phẩm InternetScan VirusWall với thị phần chiếm tới 54% thị phần (theo con số từ IDC) đƣợc xếp hạng nhất trong thị trƣờng sản phẩm anti virus cho Internet Gateway cũng nhƣ trong công nghê bảo mật dựa vào nội dung. InterScan VirusWall là giải pháp bảo vệ hệ thống của các công ty khỏi virus từ cổng Internet Gateway gồm 3 thành phần.
InterScan Email VirusWall InterScan FTP VirusWall InterScan HTTP VirusWall
Tích hợp thêm InterScan eManager: lọc email theo nội dung, chống email spam, quản lý băng thông,…
Các thành phần này phòng chống mã độc tại mức gateway, quét virus trên các luồng HTTP, FTP ngoài ra còn kiểm soát việc truy cập tới các URL nhạy cảm của ngƣời dùng
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
trong mạng. Ngoài thanh phần InterScan đóng vai trò chính, Trend Micro còn cung cấp một số sản phẩm khác nhƣ:
Trend Virus Control System: là hệ thống quản lý giúp ngƣời quản trị thiết lập cấu hình, định ra các chính sách an ninh, điều khiển các sản phẩm khác của Trend đƣợc cài đặt trong hệ thống.
Scan Mail: dò tìm virus trong các mail box, hỗ trợ các mail server phổ biến nhƣ MS Exchange, HP OpenMail…
Server Protect: dò tìm, tiêu diệt virus trên server, hỗ trợ các hệ điều hành phổ biến trên server mà không làm giảm hiệu suất hoạt động của hệ điều hành.
Office Scan Corpotate Edition: giúp triển khai giải pháp phòng chống mã độc tới từng nhân viên trong công ty, cho phép quản lý tập trung, dễ dành cấu hình giúp ngƣời quaa3n trị có thể diệt virus hiệu quả trên từng desktop mà không làm giảm hiệu suất hoạt động của chúng.
*Sản phẩm khôi phục và đánh giá hệ thống:
Sản phẩm OfficeScan ngoài chức năng quét và diệt virus còn có vai trò làm sạch các file rác do virus, Trojan, spyware… để lại trong hệ thống, giúp repair lại các file hệ thống, khôi phục lại registry đã bị virus phá hoại.