Trong gần 30 năm phát triển, các phần mềm diệt virus (AV) hầu như không thể thay đổi được cuộc chiến với những kẻ viết mã độc. Yếu tố khách quan ở đây, đó là mã độc được viết ra một cách chủ động, kẻ tấn công luôn có mục tiêu là phải lách được sự phát hiện của các phần mềm bảo vệ. Tuy nhiên, điều quan trọng nhất dẫn đến sự thua cuộc là bản thân các phần mềm hiện nay gặp hạn chế về vấn đề công nghệ: chỉ sử dụng signature-based (theo mẫu) hoặc behaviour-based (theo hành vi) để phát hiện mã độc.
Kiến trúc của các phần mềm AV truyền thống tập trung vào việc phát hiện thời gian thực các mã độc tấn công qua đường web, email.. tại máy tính đầu cuối. Cách tiếp cận này, chủ yếu dựa vào các mẫu nhận diện và do đó không thể theo kịp sự nở rộ của các mã độc mới nhất. Việc lựa chọn nhận diện theo mẫu của các AV cũng là điều dễ hiểu, vì nếu áp dụng kỹ thuật phát hiện các mã độc nâng cao, sẽ đòi hỏi khả năng tính toán của máy tính và bộ nhớ lớn. Điều đó dẫn đến hầu hết các giải pháp hiện nay không thể thực hiện được trên máy tính cá nhân, hay thiết bị thông minh.
Thực tế cho thấy, hầu như các cuộc tấn công APT (Advanced Persistent Threat) đều thành công dù trong mạng của các doanh nghiệp có cài các phần mềm diệt virus mới nhất của các hãng nổi tiếng. Ngay cả Kaspersky, trong năm 2015 cũng trở thành nạn nhân của APT. Thực tế đó dẫn đến nhu cầu xuất hiện những giải pháp phát hiện tấn công thế hệ mới, nhanh hơn, hiệu quả hơn và sử dụng được ưu điểm của các công nghệ mới.
Thế nào là giải pháp phát hiện tấn công nâng cao ?
Giải pháp phát hiện tấn công nâng cao sẽ không được dựa trên tập luật hoặc mẫu nhận diện cho trước. Ngoài ra, để có thể phân tích được sâu các hiểm hoạ tấn công, hệ thống phải được triển khai phân tích lưu lượng mạng trên một thiết bị riêng biệt, thay vì đặt nặng phần tính toán trên các máy tính như các AV truyền thống. Đồng thời, có một số giải pháp áp dụng những công nghệ mới như xử lý dữ liệu lớn, học máy, sandbox,… để giúp cho việc phát hiện tấn công được chính xác và sớm hơn.
Giải pháp mới cơ bản, sẽ bao gồm các thành phần như sau:
  • Các cảm biển: Để giải mã lưu lượng mạng và tách ra các thành phần có nội dung như các file HTML, JavaScript hay các file thực thi được để phân tích tìm các dấu hiệu tấn công. Một số hãng sẽ triển khai cảm biến đặt ở giữa đường truyền, tuy nhiên hầu hết các hãng hiện nay điều lựa chọn chế độ out-of-band, tức là nhận một bản copy của lưu lượng mạng.
  • Môi trường thực thi ảo (Sandbox): Hệ thống tập trung, chuyên phân tích các đoạn mã một cách tự động, ghi nhận và đánh giá điểm độc hại của các đoạn mã và file này. Hệ thống sandbox có thể được đặt trên một thiết bị vật lý riêng (dạng appliance) hoặc cài đặt trên máy ảo, thậm chí có thể đưa lên cloud.
  • Thành phần phát hiện tấn công: lấy kết quả phân tích từ sandbox, hoặc giám sát phát hiện các kết nối tới tên miền, địa chỉ IP độc hại hay phân tích các lưu lượng đến và đi từ các máy chủ điều khiển C&C (Control & Command)… Việc phát hiện cũng có thể sử dụng thêm các thuật toán về kiểm tra bất thường trong mạng, machine learning, phân tích dữ liệu lớn…
Ưu điểm:
  • Không phụ thuộc vào mẫu nhận diện (signatures) hay luật (rules)
  • Sử dụng thiết bị/máy chủ riêng hoặc đưa lên cloud, nên mạnh mẽ hơn xử lý trên từng máy tính cá nhân
  • Không ảnh hưởng bởi các hệ điều hành khác nhau (iOS, Windows, Android, Linux…)
  • Phù hợp áp dụng các công nghệ đòi hỏi tính toán: xử lý dữ liệu lớn, học máy…
Nhược điểm:
  • Việc phân tích các mã độc hại để đưa ra biện pháp gỡ bỏ (một cách tự động) vẫn còn đang ở giai đoạn phát triển. Điều đó có nghĩa là, hệ thống mới chỉ mạnh phần phát hiện tấn công, việc xử lý chưa tốt bằng các AV
  • Việc vận hành và quản lý đòi hỏi kinh nghiệm
Bức tranh về thị trường các giải pháp
Thị trường của các giải pháp ngăn chặn tấn công nâng cao (advanced threat protection) đang thay đổi rất nhanh. Tất cả các hãng đang tìm kiếm công nghệ để có thể phát hiện được những cuộc tấn công hiện đang qua mặt các phần mềm truyền thống. Thực tế sẽ có 3 nhóm hãng sản xuất, thể hiện 3 cách tiếp cận khác nhau:
  • Các hãng phần mềm diệt virus: Họ có thể sử dụng lợi thế kinh nghiệm lâu năm và chuyển mình để đưa ra các giải pháp mới như: McAfee, TrendMicro…
  • Các hãng thiết bị an ninh mạng: Thế mạnh của họ là các thiết bị như tường lửa hoặc IDS nên việc đầu tư nghiên cứu và sản xuất giải pháp phòng chống mã độc là điều khả thi. Họ cũng có thể mua lại một vài hãng khác đã có kinh nghiệm về phòng chống mã độc để bổ sung sức mạnh: Cisco, Blue Coat, Palo Alto Networks, Fidelis…
  • Các hãng mới: Họ là các nhân tố mới, có thể sở hữu một số công nghệ riêng, đột phá như: Damballa, FireEye, Lastline… Một trong những đặc điểm là các hãng này hoàn toàn mới, họ không ngại các sản phẩm đưa ra sẽ xung đột với các sản phẩm truyền thống như các hãng trên. Một sản phẩm của Việt Nam, CyRadar, vừa mới đạt danh hiệu “Sản phẩm an toàn thông tin chất lượng cao 2015” do VNISA đánh giá, cũng thuộc nhóm này.
CyRadar – Giải pháp phát hiện tấn công nâng cao của Việt Nam
Được phát triển bởi nhóm nghiên cứu về an toàn thông tin tại Ban công nghệ, FPT. CyRadar là giải pháp chạy trên một thiết bị riêng và đặt trong mạng của doanh nghiệp/tổ chức, chuyên phân tích lưu lượng mạng để phát hiện các cuộc tấn công nâng cao. CyRadar không sử dụng agent cài trên các máy, không sử dụng các luật hoặc signatures để phát hiện các tấn công. CyRadar hướng tới xu hướng đổi mới trong môi trường làm việc hiện đại của các doanh nghiệp khi mà số lượng thiết bị cá nhân mang vào doanh nghiệp rất đa dạng, xu hướng BYOD và IoT tăng cao.
 CyRadar sử dụng một số công nghệ chính như sau:
  • Malware Graph:  Công nghệ đã được đăng ký sáng chế. Ý tưởng được khởi nguồn từ một nghiên cứu Phát hiện khủng bố trên mạng điện thoại di động: Nếu bạn có gọi điện cho những kẻ tội phạm, bạn cũng có thể là tội phạm. Khi đưa vào lĩnh vực giám sát mạng, nếu một máy tính nào có các kết nối tới “vùng nguy hiểm”, máy tính đó sẽ nằm trong diện cần kiểm tra chặt chẽ hơn so với các máy tính khác. “Vùng nguy hiểm” này được chúng tôi gọi là Malware Graph. Đây là cơ sở dữ liệu dạng đồ thị được phát triển dựa trên việc phân tích hàng chục triệu mã độc đã từng xuất hiện, chúng tôi khoanh vùng được những tên miền, máy chủ và các nhóm tội phạm mạng trên thế giới. Từ đó, chúng tôi kết nối thành phần độc hại đó thành một đồ thị khổng lồ có tên là malware graph.
  • Machine Learning: Dựa trên một thực tế là các nhóm tội phạm đã tự động hoá rất nhiều bước để triển khai các cuộc tấn công mới trong đó có nhiều tên miền độc hại được sinh ra. CyRadar giám sát thời gian thực tất cả các tên miền được tạo ra, để ngay lập tức phát hiện ra đâu là những tên miền được dùng vào mục đích xấu. Từ đó chúng tôi biết được các cuộc tấn công ngay cả khi nó chưa diễn ra.
  • Sandbox: Tự động phân tích các tập tin nhị phân trên CyRadar Cloud. Chúng tôi xây dựng một môi trường hoàn toàn tự động kiểm tra các file nghi ngờ được đưa vào hệ thống mạng của doanh nghiệp. Chúng có thể vượt qua các phần mềm anti virus truyền thống, nhưng với hệ thống đánh giá các hành vi độc hại của CyRadar, chúng ta dễ dàng phát hiện ra các cuộc tấn công mới sử dụng mã độc.
  • Anomaly Detection:  Ứng dụng việc pháp hiện các hành vi bất thường trên mạng để ngăn chặn tấn công. Bằng cách giám sát mạng một cách thông minh, CyRadar có thể sớm phát hiện ra những hành vi không bình thường đang xảy ra trong mạng của tổ chức. Những sự thay đổi bất thường về kết nối tới những địa chỉ IP lạ hay sự thay đổi về băng thông, tần suất kết nối mạng, thời điểm kết nối mạng… đều sẽ được CyRadar ghi nhận và chỉ ra các hành động tấn công mạng ẩn nấp trong đó.
Hiện tại, CyRadar đã được thử nghiệm ở một số tổ chức và được đánh giá cao như: Mobifone, MoMo, Vietnamnet, FPT Telecom, VTC Intercom… và một số các cơ quan của chính phủ.
Tài liệu tham khảo:
  1. Malware Protection Systems for Detecting Malicious Code in the Network, Mario de Boer, Gartner.
  2. Building Malware Graph for detecting unknown threats, Nguyen Minh Duc, FPT.
Nguyễn Minh Đức FTI 
Tin liên quan: