Chỉ một số ít các cuộc tiến công xứng đáng được gọi là cao cấp
Các cuộc tiến công có chủ đích APT xuất hiện trên các mặt báo thường được biểu đạt như một kiểu tấn công cao siêu mà dường như không cách nào có thể ngăn chặn hoặc phát hiện. Bên cạnh đó, với sự tương trợ của các phương tiện truyền thông đã đóng góp một vai trò lớn trong việc thêu dệt và làm cho APT đáng sợ hơn thực tại rất nhiều. Bất cứ bài báo nào diễn đạt cuộc tiến công mạng có can dự đến lỗ hổng zero-day, các công cụ truyền thông sẽ ngay lập tức gán cho nó các tên gọi như "cuộc tấn công cao cấp" hoặc "tiến công có chủ đích APT". Tuy nhiên, với những người đích thực đang làm việc và nghiên cứu trong lĩnh vực an toàn thông báo thì lỗ hổng zero-day không phải là một bí mật và cũng không phải là lỗ hổng "ngày tận thế". Lỗ hổng zero-day có mặt trong các phần mềm và nền tảng phổ thông (thí dụ: Windows, Android, iOS,…) đang được giao dịch mỗi ngày một cách công khai hoặc bí ẩn bởi các các nhà nghiên cứu bảo mật. Để có được lỗ hổng zero-day cũng không phải là khó; vấn đề là đối tượng cần mua sẵn sàng chi trả bao lăm.
Các kỹ thuật tấn công được sử dụng hiện nay bởi đa số các nhóm tấn công APT không phải là mới và các lỗ hổng bị khai hoang đều đã có bản vá lỗi (chúng không phải là zero-day). ngoại giả những công nghệ và giải pháp bảo mật ngày nay đều có thể phát hiện và giảm thiểu các nguy cơ của việc cài đặt các phần mềm điệp báo viên. Đa phần, các cuộc tấn công an ninh mạng hiện thời thường xứng đáng với danh hiệu có chủ đích (Persistence) bởi vì nó có một kế hoạch tiến công và kết hợp rất tốt, cộng với sự nhẫn nại trong việc chọn lựa ra các mục tiêu quan trọng. Chỉ có một số ít các cuộc tấn công xứng đáng được gọi là cao cấp (Advanced) hoặc đột phá về phương thức kỹ thuật tấn công.
APT không đáng sợ như những gì mọi người vẫn nghĩ nếu hiểu được các phương thức tiến công, các lỗ hổng và các kỹ thuật khai thác được sử dụng. hiện tại đã có khá nhiều quy trình bảo mật, công nghệ, và các biện pháp để giảm thiểu những rủi ro gây ra bởi các cuộc tấn công APT bất chấp cuộc tiến công đó có đi kèm với lỗ hổng zero-day hay không.
Thiết kế bảo mật ngày nay có giúp giảm nguy cơ bị tiến công có chủ đích APT?
Trong một thời kì dài, các tổ chức đã đặt cược quá nhiều vào cơ chế bảo mật đề phòng (Prevention) mặc dầu các cơ chế này cứ thất bại từ năm này qua năm khác. tấn công an ninh mạng vẫn xảy ra hàng ngày trên khắp thế giới bất chấp việc sử dụng hàng trăm cơ chế an ninh bảo vệ khác nhau. Đó là một dấu hiệu cho thấy phải thay đổi cách nghĩ suy về phương thức tấn công và phòng ngự. Hãy nhìn vào thực tại, để qua mặt các biện pháp an ninh thông thường như tường lửa, chương trình chống virus, hoặc các giải pháp IDS / IPS là việc khá đơn giản và đòi hỏi không quá nhiều cụ từ một kẻ tiến công. Tuy nhiên các nhà cung cấp giải pháp bảo mật trên đã phóng đại các tính năng của sản phẩm này và điều đó mang lại cảm giác hệ thống của tổ chức sẽ không thể tồn tại một ngày trên Internet mà không có các sản phẩm bảo mật đó.
Theo Công ty tham vấn bảo mật E-CQURITY (ECQ), để chống lại bất kỳ cuộc tiến công APT hoặc các cuộc tiến công phức tạp đòi hỏi việc đồ mưu hoạch và xây dựng kiến trúc bảo mật một cách cẩn thận dựa theo chiến lược phòng thủ nhiều lớp (defense-in-depth). phòng ngự nhiều lớp đòi hỏi phải xây dựng các cơ chế phòng vệ hợp cho tuốt tuột các lớp quan trọng của một hệ thống thông tin (Information System): Mạng (Network), Hệ Thống/Hệ Điều Hành (Host/OS), vận dụng (Application), và Dữ Liệu (Data).
Các lớp quan trọng trong hệ thống thông báo
đích của bất kỳ kẻ tiến công nà phải tiếp cận được lớp Dữ Liệu. Lớp Dữ Liệu thường nhật chứa các thông tin quan trọng và cần phải được đảm bảo an toàn. Nhưng rất đáng tiếc, lớp Dữ Liệu dù rằng quan yếu nhưng thường ít được quan hoài và không nhiều các biện pháp bảo mật so với Mạng và Hệ Điều Hành. Khi một kiến trúc an ninh mạng có thiết kế bảo mật không cân bằng và triển khai không đồng dều, đánh sập chỉ là vấn đề thời kì khi một kẻ tấn công sáng ý có thể phát hiện ra điểm yếu nhất trong sự kết liên giữa các lớp và dễ dàng thâm nhập sâu vào sâu các mạng bên trong và có thể chạm tới lớp dữ liệu quan yếu.
phòng vệ theo chiều sâu và nhiều lớp là một chiến lược an ninh đề nghị mỗi một lớp hệ thống thông tin phải có đầy đủ các nguyên tố bảo mật cần thiết.Ý tưởng đằng sau một thiết kế an ninh mạng nhiều lớp là để bảo đảm nếu một giải pháp bảo mật không hoạt đông hoặc bị qua mặt, cơ chế bảo mật khác sẽ thay thế để làm chậm hoặc ngăn chặn cuộc tấn công và không cho tiến xa hơn nữa. Thiết kế kiến trúc bảo mật của các tổ chức thường bị sa đà quá nhiều vào việc "Ngăn chặn" hoặc "đề phòng" mà quên đi các nhân tố quan trọng khác của bảo mật như "Phát hiện" và "Phản ứng". "Phát Hiện" là một cơ chế bảo mật giúp nhận ra ngay một cuộc tiến công khi mới vừa xảy ra và "Phản ứng" kịp thời trong thời gian ngắn nhất để có thể đạt được hiệu quả tốt nhất, tránh những mất mát không đáng có của hệ thống. Trên thực tế, nếu làm đúng, cơ chế bảo mật có tính "Phát hiện" và "Phản ứng" là phương thức bảo mật có giá trị nhất để phát hiện và giảm thiểu các rủi ro bởi các cuộc tấn công có chủ đích hoặc phức tạp.
thành thử, phải lưu ý là các cơ chế bảo mật "phòng ngừa", "Phát Hiện", và "Ngăn Chặn" phải có mặt trong tất tật bốn lớp của một hệ thống thông báo. Điều này là để đảm bảo rằng nếu một kẻ tiến công vượt qua cả thảy các biện pháp an ninh được lắp đặt tại tầng Mạng, vẫn sẽ phải tìm cách vượt qua cả thảy các biện pháp an ninh được lắp đặt ở tầng Hệ Thống/Hệ Điều Hành, tầng vận dụng, và sau rốt là tầng Dữ Liệu.
Mọi thông tin liên hệ:
Công ty TNHH E-CQURITY VIỆT NAM (ECQ)
Website:
Fanpage:
Hotline: +84 28 627 277 04
Văn phòng chính: 33 Ubi Ave 3, #08-66, Vertex, Singapore, 408868
Văn phòng Hồ Chí Minh: 16-18 Xuân Diệu, Phường 4, Quận Tân Bình, thành thị Hồ Chí Minh
Mình là tác giả auto thả tim Fb, nếu bạn không hiểu phần nào thì cứ nhắn tin mình nhé.
