Tấn công có chủ đích APT thật sự đáng sợ?

Chỉ một số ít các cuộc tiến công xứng đáng được gọi là cao cấp

Các cuộc tiến công có chủ đích APT xuất hiện trên các mặt báo thường được biểu thị như một kiểu tiến công cao siêu mà chừng như không cách nào có thể ngăn chặn hoặc phát hiện. Bên cạnh đó, với sự hỗ trợ của các phương tiện truyền thông đã đóng góp một vai trò lớn trong việc thêu dệt và làm cho APT đáng sợ hơn thực tế rất nhiều. Bất cứ bài báo nào biểu thị cuộc tấn công mạng có liên hệ đến lỗ hổng zero-day, các phương tiện truyền thông sẽ tức tốc gán cho nó các tên gọi như "cuộc tiến công cao cấp" hoặc "tấn công có chủ đích APT". Tuy nhiên, với những người thực sự đang làm việc và nghiên cứu trong lĩnh vực an toàn thông tin thì lỗ hổng zero-day không phải là một bí ẩn và cũng không phải là lỗ hổng "ngày tận thế". Lỗ hổng zero-day có mặt trong các phần mềm và nền móng phổ quát (ví dụ: Windows, Android, iOS,…) đang được giao du mỗi ngày một cách công khai hoặc bí hiểm bởi các các nhà nghiên cứu bảo mật. Để có được lỗ hổng zero-day cũng không phải là khó; vấn đề là đối tượng cần mua sẵn sàng chi trả bao lăm.

Các kỹ thuật tấn công được sử dụng hiện bởi phần lớn các nhóm tấn công APT không phải là mới và các lỗ hổng bị khai hoang đều đã có bản vá lỗi (chúng không phải là zero-day). Ngoài ra những công nghệ và giải pháp bảo mật ngày nay đều có thể phát hiện và giảm thiểu các nguy cơ của việc cài đặt các phần mềm điệp viên. Đa phần, các cuộc tiến công an ninh mạng hiện thường xứng đáng với danh hiệu có chủ đích (Persistence) bởi vì nó có một kế hoạch tấn công và kết hợp rất tốt, cộng với sự nhẫn nại trong việc tuyển lựa ra các mục tiêu quan trọng. Chỉ có một số ít các cuộc tiến công xứng đáng được gọi là cao cấp (Advanced) hoặc đột phá về phương thức kỹ thuật tấn công.

APT không đáng sợ như những gì mọi người vẫn nghĩ nếu hiểu được các phương thức tấn công, các lỗ hổng và các kỹ thuật khẩn hoang được sử dụng. hiện tại đã có khá nhiều quy trình bảo mật, công nghệ, và các biện pháp để giảm thiểu những rủi ro gây ra bởi các cuộc tiến công APT bất chấp cuộc tấn công đó có đi kèm với lỗ hổng zero-day hay không.

Thiết kế bảo mật ngày nay có giúp giảm nguy cơ bị tiến công có chủ đích APT?

Trong một thời kì dài, các tổ chức đã đặt cược quá nhiều vào cơ chế bảo mật dự phòng (Prevention) mặc dù các cơ chế này cứ thất bại từ năm này qua năm khác. tấn công an ninh mạng vẫn xảy ra hàng ngày trên khắp thế giới bất chấp việc dùng hàng trăm cơ chế an ninh bảo vệ khác nhau. Đó là một dấu hiệu cho thấy phải thay đổi cách nghĩ suy về phương thức tiến công và phòng thủ. Hãy nhìn vào thực tại, để qua mặt các biện pháp an ninh thông thường như tường lửa, chương trình chống virus, hoặc các giải pháp IDS / IPS là việc khá đơn giản và đòi hỏi không quá nhiều vậy từ một kẻ tiến công. Tuy nhiên các nhà cung cấp giải pháp bảo mật trên đã cường điệu các tính năng của sản phẩm này và điều đó mang lại cảm giác hệ thống của tổ chức sẽ không thể tồn tại một ngày trên Internet mà không có các sản phẩm bảo mật đó.

Theo Công ty tư vấn bảo mật E-CQURITY (ECQ), để chống lại bất kỳ cuộc tiến công APT hoặc các cuộc tấn công phức tạp đòi hỏi việc lập kế hoạch và xây dựng kiến ​​trúc bảo mật một cách cẩn thận dựa theo chiến lược phòng vệ nhiều lớp (defense-in-depth). phòng vệ nhiều lớp đòi hỏi phải xây dựng các cơ chế phòng vệ thích hợp cho tất cả các lớp quan trọng của một hệ thống thông tin (Information System): Mạng (Network), Hệ Thống/Hệ Điều Hành (Host/OS), vận dụng (Application), và Dữ Liệu (Data).

Các lớp quan trọng trong hệ thống thông báo

đích của bất kỳ kẻ tiến công này phải tiếp cận được lớp Dữ Liệu. Lớp Dữ Liệu thông thường chứa các thông báo quan yếu và cần phải được đảm bảo an toàn. Nhưng rất đáng tiếc, lớp Dữ Liệu dù rằng quan yếu nhưng thường ít được quan tâm và không nhiều các biện pháp bảo mật so với Mạng và Hệ Điều Hành. Khi một kiến ​​trúc an ninh mạng có thiết kế bảo mật không thăng bằng và khai triển không đồng dều, đánh sập chỉ là vấn đề thời kì khi một kẻ tấn công sáng dạ có thể phát hiện ra điểm yếu nhất trong sự liên kết giữa các lớp và dễ dàng xâm nhập sâu vào sâu các mạng bên trong và có thể chạm tới lớp dữ liệu quan yếu.

phòng thủ theo chiều sâu và nhiều lớp là một chiến lược an ninh yêu cầu mỗi một lớp hệ thống thông báo phải có đầy đủ các nguyên tố bảo mật cần thiết.Ý tưởng đằng sau một thiết kế an ninh mạng nhiều lớp là để đảm bảo nếu một giải pháp bảo mật không hoạt đông hoặc bị qua mặt, cơ chế bảo mật khác sẽ thay thế để làm chậm hoặc ngăn chặn cuộc tấn công và không cho tiến xa hơn nữa. Thiết kế kiến ​​trúc bảo mật của các tổ chức thường bị sa đà quá nhiều vào việc "Ngăn chặn" hoặc "ngừa" mà quên đi các yếu tố quan trọng khác của bảo mật như "Phát hiện" và "Phản ứng". "Phát Hiện" là một cơ chế bảo mật giúp nhận ra ngay một cuộc tấn công khi mới vừa xảy ra và "Phản ứng" kịp thời trong thời kì ngắn nhất để có thể đạt được hiệu quả tốt nhất, tránh những mất mát không đáng có của hệ thống. Trên thực tại, nếu làm đúng, cơ chế bảo mật có tính "Phát hiện" và "Phản ứng" là phương thức bảo mật có giá trị nhất để phát hiện và giảm thiểu các rủi ro bởi các cuộc tấn công có chủ đích hoặc phức tạp.

do vậy, phải lưu ý là các cơ chế bảo mật "ngừa", "Phát Hiện", và "Ngăn Chặn" phải có mặt trong cả thảy bốn lớp của một hệ thống thông báo. Điều này là để bảo đảm rằng nếu một kẻ tiến công vượt qua tất cả các biện pháp an ninh được lắp đặt tại tầng Mạng, vẫn sẽ phải tìm cách vượt qua tuốt luốt các biện pháp an ninh được lắp đặt ở tầng Hệ Thống/Hệ Điều Hành, tầng áp dụng, và sau rốt là tầng Dữ Liệu.

Mọi thông báo liên quan:

Công ty TNHH E-CQURITY VIỆT NAM (ECQ)

Website:

Fanpage:

Hotline: +84 28 627 277 04

Văn phòng chính: 33 Ubi Ave 3, #08-66, Vertex, Singapore, 408868

Văn phòng Hồ Chí Minh: 16-18 Xuân Diệu, Phường 4, Quận Tân Bình, thành thị Hồ Chí Minh