Tấn công có chủ đích APT thật sự đáng sợ?

Chỉ một số ít các cuộc tấn công xứng đáng được gọi là cao cấp

Các cuộc tấn công có chủ đích APT xuất hiện trên các mặt báo thường được diễn tả như một kiểu tấn công cao siêu mà hình như không cách nào có thể ngăn chặn hoặc phát hiện. Bên cạnh đó, với sự tương trợ của các công cụ truyền thông đã đóng góp một vai trò lớn trong việc thêu dệt và làm cho APT đáng sợ hơn thực tại rất nhiều. Bất cứ bài báo nào biểu thị cuộc tấn công mạng có can dự đến lỗ hổng zero-day, các dụng cụ truyền thông sẽ tức khắc gán cho nó các tên gọi như "cuộc tấn công cao cấp" hoặc "tiến công có chủ đích APT". Tuy nhiên, với những người thực sự đang làm việc và nghiên cứu trong lĩnh vực an toàn thông tin thì lỗ hổng zero-day không phải là một bí mật và cũng không phải là lỗ hổng "ngày tận thế". Lỗ hổng zero-day có mặt trong các phần mềm và nền tảng phổ quát (tỉ dụ: Windows, Android, iOS,…) đang được giao thiệp mỗi ngày càng cách công khai hoặc bí hiểm bởi các các nhà nghiên cứu bảo mật. Để có được lỗ hổng zero-day cũng không phải là khó; vấn đề là đối tượng cần mua sẵn sàng chi trả bao nhiêu.

Các kỹ thuật tấn công được sử dụng hiện giờ bởi phần lớn các nhóm tấn công APT không phải là mới và các lỗ hổng bị khai hoang đều đã có bản vá lỗi (chúng không phải là zero-day). ngoại giả những công nghệ và giải pháp bảo mật ngày nay đều có thể phát hiện và giảm thiểu các nguy cơ của việc cài đặt các phần mềm điệp báo viên. Đa phần, các cuộc tiến công an ninh mạng bây giờ thường xứng đáng với danh hiệu có chủ đích (Persistence) bởi nó có một kế hoạch tấn công và phối hợp rất tốt, cộng với sự nhẫn nại trong việc tuyển lựa ra các đích quan trọng. Chỉ có một số ít các cuộc tiến công xứng đáng được gọi là cao cấp (Advanced) hoặc đột phá về phương thức kỹ thuật tiến công.

APT không đáng sợ như những gì mọi người vẫn nghĩ nếu hiểu được các phương thức tấn công, các lỗ hổng và các kỹ thuật vỡ hoang được sử dụng. hiện tại đã có khá nhiều quy trình bảo mật, công nghệ, và các biện pháp để giảm thiểu những rủi ro gây ra bởi các cuộc tấn công APT bất chấp cuộc tấn công đó có đi kèm với lỗ hổng zero-day hay không.

Thiết kế bảo mật ngày nay có giúp giảm nguy cơ bị tiến công có chủ đích APT?

Trong một thời kì dài, các tổ chức đã đặt cược quá nhiều vào cơ chế bảo mật dự phòng (Prevention) mặc dầu các cơ chế này cứ thất bại từ năm này qua năm khác. tiến công an ninh mạng vẫn xảy ra hàng ngày trên khắp thế giới bất chấp việc dùng hàng trăm cơ chế an ninh bảo vệ khác nhau. Đó là một dấu hiệu cho thấy phải đổi thay cách nghĩ suy về phương thức tấn công và phòng thủ. Hãy nhìn vào thực tiễn, để qua mặt các biện pháp an ninh thông thường như tường lửa, chương trình chống virus, hoặc các giải pháp IDS / IPS là việc khá đơn giản và đòi hỏi không quá nhiều rứa từ một kẻ tấn công. Tuy nhiên các nhà cung cấp giải pháp bảo mật trên đã cường điệu các tính năng của sản phẩm này và điều đó mang lại cảm giác hệ thống của tổ chức sẽ chẳng thể tồn tại một ngày trên Internet mà không có các sản phẩm bảo mật đó.

Theo Công ty tư vấn bảo mật E-CQURITY (ECQ), để chống lại bất kỳ cuộc tiến công APT hoặc các cuộc tấn công phức tạp đòi hỏi việc lập mưu hoạch và xây dựng kiến ​​trúc bảo mật một cách cẩn thận dựa theo chiến lược phòng thủ nhiều lớp (defense-in-depth). phòng ngự nhiều lớp đòi hỏi phải xây dựng các cơ chế phòng ngự thích hợp cho tất các lớp quan yếu của một hệ thống thông tin (Information System): Mạng (Network), Hệ Thống/Hệ Điều Hành (Host/OS), Ứng Dụng (Application), và Dữ Liệu (Data).

Các lớp quan trọng trong hệ thống thông tin

mục tiêu của bất kỳ kẻ tấn công nè phải tiếp cận được lớp Dữ Liệu. Lớp Dữ Liệu thường nhật chứa các thông báo quan trọng và cần phải được bảo đảm an toàn. Nhưng rất đáng tiếc, lớp Dữ Liệu mặc dù quan trọng nhưng thường ít được quan hoài và không nhiều các biện pháp bảo mật so với Mạng và Hệ Điều Hành. Khi một kiến ​​trúc an ninh mạng có thiết kế bảo mật không thăng bằng và khai triển không đồng dều, đánh sập chỉ là vấn đề thời gian khi một kẻ tiến công sáng ý có thể phát hiện ra điểm yếu nhất trong sự liên kết giữa các lớp và dễ dàng thâm nhập sâu vào sâu các mạng bên trong và có thể chạm tới lớp dữ liệu quan yếu.

phòng vệ theo chiều sâu và nhiều lớp là một chiến lược an ninh đề nghị mỗi một lớp hệ thống thông báo phải có đầy đủ các yếu tố bảo mật cần thiết.Ý tưởng đằng sau một thiết kế an ninh mạng nhiều lớp là để bảo đảm nếu một giải pháp bảo mật không hoạt đông hoặc bị qua mặt, cơ chế bảo mật khác sẽ thay thế để làm chậm hoặc ngăn chặn cuộc tấn công và không cho tiến xa hơn nữa. Thiết kế kiến ​​trúc bảo mật của các tổ chức thường bị sa đà quá nhiều vào việc "Ngăn chặn" hoặc "phòng ngừa" mà quên đi các yếu tố quan trọng khác của bảo mật như "Phát hiện" và "Phản ứng". "Phát Hiện" là một cơ chế bảo mật giúp nhận ra ngay một cuộc tiến công khi mới vừa xảy ra và "Phản ứng" kịp thời trong thời gian ngắn nhất để có thể đạt được hiệu quả tốt nhất, tránh những mất mát không đáng có của hệ thống. Trên thực tế, nếu làm đúng, cơ chế bảo mật có tính "Phát hiện" và "Phản ứng" là phương thức bảo mật có giá trị nhất để phát hiện và giảm thiểu các rủi ro bởi các cuộc tiến công có chủ đích hoặc phức tạp.

nên chi, phải lưu ý là các cơ chế bảo mật "đề phòng", "Phát Hiện", và "Ngăn Chặn" phải có mặt trong tuốt bốn lớp của một hệ thống thông báo. Điều này là để đảm bảo rằng nếu một kẻ tấn công vượt qua ắt các biện pháp an ninh được lắp đặt tại tầng Mạng, vẫn sẽ phải tìm cách vượt qua tuốt các biện pháp an ninh được lắp đặt ở tầng Hệ Thống/Hệ Điều Hành, tầng Ứng Dụng, và sau cùng là tầng Dữ Liệu.

Mọi thông báo liên can:

Công ty TNHH E-CQURITY VIỆT NAM (ECQ)

Website:

Fanpage:

Hotline: +84 28 627 277 04

Văn phòng chính: 33 Ubi Ave 3, #08-66, Vertex, Singapore, 408868

Văn phòng Hồ Chí Minh: 16-18 Xuân Diệu, Phường 4, Quận Tân Bình, tỉnh thành Hồ Chí Minh