Cách mạng công nghiệp 4.0 với các đặc trưng về hệ thống điều khiển số, IoT, điện toán đám mây và trí tuệ nhân tạo đã mở ra cho nhân loại những cơ hội mới nhưng cũng đặt ra những thách thức mới. Một vấn đề lớn đòi hỏi phải tập trung giải quyết ngay từ đầu là đảm bảo an toàn thông tin cho các hệ thống công nghệ thông tin phục vụ công nghiệp 4.0. Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Một trong số đó là tấn công có chủ đích (Advanced Persistent Threat - APT).
Tấn công APT là hình thức tấn công mạng có mục tiêu cụ thể được thực hiện bằng các công nghệ tiên tiến và kỹ thuật lừa đảo trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Các cuộc tấn công APT thường sử dụng phần mềm tùy biến tinh vi khó bị hệ thống bảo mật phát hiện, theo nhiều hình thức khác nhau như: sử dụng lỗ hổng zero-day, kỹ nghệ xã hội, lây lan mã độc.... Chủ quản hệ thống chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Các cuộc tấn công APT thường được tổ chức chặt chẽ, có nguồn lực tài chính lớn và công nghệ hiện đại. Đặc biệt, các tấn công này nhiều khi còn được đứng sau bởi các hoạt động gián điệp được hỗ trợ bởi các tổ chức chính phủ và quân đội và có khả năng tránh hầu hết các chương trình phát hiện tấn công thương mại sử dụng kỹ thuật cổ điển phổ biến. Thực tế cho thấy, hầu như các cuộc tấn công APT đều thành công dù trong mạng của các doanh nghiệp có cài các phần mềm diệt virus mới nhất của các hãng nổi tiếng. Ngay cả hãng Kaspersky, trong năm 2015 cũng trở thành nạn nhân của APT. APT là một tấn công khó có thể phát hiện bởi một giải pháp phần cứng hay phần mềm cụ thể, mà thường qua thông qua một quá trình chủ động điều tra và tổng hợp thông tin từ nhiều nguồn khác nhau. Thực tế đó dẫn đến nhu cầu xuất hiện những giải pháp phát hiện tấn công thế hệ mới, nhanh hơn, hiệu quả hơn và sử dụng được ưu điểm của các công nghệ mới.
Ngoài tấn công APT, các hiểm họa nội gián cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng nhất. Tấn công nội gián không có dấu hiệu rõ ràng, có thể do những nhân viên bất mãn trong nội bộ tổ chức, gián điệp công nghiệp hoặc do chính sự bất cẩn của các nhân viên trong nội bộ tổ chức gây lộ, lọt, mất mật khẩu hoặc định danh cá nhân, hay cũng có thể do bị lợi dụng tấn công bằng kỹ nghệ xã hội nhằm chiếm quyền trên hệ thống. Dạng tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Một hạn chế dễ thấy của các hệ thống bảo mật thông tin hiện nay là sử dụng các hình thức xác thực đơn giản bằng mật khẩu. Với sức mạnh tính toán như hiện nay, các mật khẩu có thể dễ dàng bị vô hiệu hóa, dễ đoán và đánh cắp, gây ra những hiểm họa về an toàn cho hệ thống. Khi tin tặc đã có được mật khẩu hoặc thông tin kết nối trích xuất từ mật khẩu thì tất cả các giải pháp về kiểm soát truy cập đều bị “tê liệt”.
Kiến trúc của các phần mềm phát hiện tấn công truyền thống tập trung vào việc phát hiện các tấn công trong thời gian thực qua đường web, email... tại máy tính đầu cuối. Việc phát hiện các tấn công theo hành vi sẽ bổ sung cho phương pháp phát hiện truyền thống, nhằm nâng cao khả năng phát hiện ra các tấn công và các hiểm họa bất thường do người dùng hợp lệ gây ra trên hệ thống. Một hệ thống muốn có hiệu quả (tính chính xác cao) thì cần kết hợp đồng thời cả 2 phương pháp này.
Các mô hình phát hiện tấn công theo hành vi
Một số mô hình phát hiện tấn công theo hành vi được áp dụng hiệu quả bao gồm: Mô hình thống kê, Mô hình dựa trên lý thuyết thông tin, Mô hình phân cụm và Mô hình phân lớp.
Mô hình thống kê
Ý tưởng chính của mô hình này là dựa trên việc các hiện tượng (hay các mô hình hành vi truy cập) thường tuân theo một quy luật thống kê nào đó (như luật phân phối chuẩn, luật χ2, luật Poison…). Căn cứ trên quy luật đó, ta có thể đánh giá hiện tượng nào là bất thường với một xác suất nào đó. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) sẽ giúp tạo ra ngưỡng và xác suất sai chấp nhận để đưa ra cảnh báo. Ví dụ: Khi lưu lượng tăng cao một cách bất thường có thể sẽ xảy ra những nguy cơ rò rỉ thông tin hoặc tấn công DDoS, hoặc nếu lưu lượng giảm thấp đột ngột hay hiệu suất hệ thống bị suy giảm có thể xảy ra trường hợp bất thường về hoạt động của hệ thống. Một số phương pháp thường được sử dụng thuộc mô hình này bao gồm: phân tích hồi quy, phân tích chuỗi thời gian, phân tích tương quan....
Mô hình này có ưu điểm đơn giản và dễ dàng thực thi, không cần phải xử lý trước các dữ liệu phức tạp.
Tuy nhiên, mô hình này chỉ có hiệu quả tốt trên một số hình thức tấn công APT đã biết trước mô hình, đồng thời, đòi hỏi phải có thời gian rất dài và lượng dữ liệu phân tích khá lớn mới có thể cho kết quả chính xác.
Mô hình dựa trên lý thuyết thông tin
Mô hình này dựa trên việc đo độ hỗn loạn của thông tin được truyền trong phiên truyền thông để phát hiện bất thường. Độ hỗn loạn của thông tin thường được xác định bằng entropy. Nói theo một cách dễ hình dung thì nó là khả năng có thể đoán ra sự xuất hiện của ký tự tiếp theo trong đoạn văn bản đang xuất hiện. Nếu không đoán được ký tự sau thì độ hỗn loạn là cao nhất (hay entropy cao nhất). Claude E. Shannon đã xây dựng định nghĩa về entropy để thoả mãn các giả định sau:
- Entropy phải tỷ lệ thuận liên tục với các xác suất xuất hiện của các phần tử ngẫu nhiên trong tín hiệu. Bất kỳ thay đổi nhỏ nào trong xác suất cũng dẫn đến thay đổi nhỏ trong entropy.
- Nếu các phần tử ngẫu nhiên đều có xác suất xuất hiện bằng nhau, thì việc tăng số lượng phần tử ngẫu nhiên phải làm tăng entropy.
- Có thể tạo các chuỗi tín hiệu theo nhiều bước và entropy tổng cộng phải bằng tổng trọng số entropy của từng bước.
Từ những giả định trên, entropy có thể được sử dụng để đo độ hỗn loạn của nội dung gói tin, các địa chỉ IP, tên miền DNS… để xác định các tấn công. Ví dụ, có thể sử dụng độ hỗn loạn của thông tin gửi đến máy chủ để xác định có hành vi khai thác mã hay không? Độ hỗn loạn của tên miền, độ hỗn loạn của địa chỉ IP có thể được dùng để xem xét sự xuất hiện của các tấn công DDoS.
Mô hình này có ưu điểm đơn giản và dễ dàng thực thi, không cần phải xử lý trước các dữ liệu phức tạp.
Tuy nhiên, mô hình cũng tồn tại một số nhược điểm như: Cần phải xác định các mô hình ngữ nghĩa để đo tính bất định của thông tin. Do đó, cần có những mẫu cố định trước, điều này dẫn đến độ chính xác không cao và khó xác định các tấn công nhiều pha phức tạp. Phương pháp này có hiệu quả tốt trong việc dự đoán các pha sớm của tấn công APT khi đã biết trước mô hình và cũng có thể dự đoán được các thông tin mật bị rò rỉ với tấn công nội gián và khi người dùng bị đánh cắp mật khẩu hợp lệ. Điều này, phụ thuộc khá lớn vào mô hình ngữ nghĩa.
Mô hình phân cụm (cluster)
Mô hình này hoạt động bằng cách gom nhóm thông tin thành các cụm theo các tiêu chí khác nhau. Những thành viên trong cụm sẽ có chung các tính chất và độ tương đồng. Nếu thông tin đầu vào không được dán nhãn thì sẽ không biết số lượng các nhóm.
Ví dụ, sử dụng Self-Organizing Map (SOM) để biết có bao nhiêu cụm hình thái khác nhau. Quá trình giám sát sẽ ánh xạ các hiện trạng vào các nhóm gần nhất. Các nhóm này có thể là các mô hình truy cập hợp lệ, các trường hợp bình thường. Khi các trạng thái mới của hệ thống không ở gần những nhóm này sẽ được coi là bất thường và sinh ra các cảnh báo. Một số mô hình phân cụm thường gặp như: mô hình phân cụm phân cấp dựa trên khoảng cách, mô hình k khoảng cách gần nhất (k-means)....
Mô hình phân cụm có ưu điểm cho phép xác định nhiều trạng thái khác nhau của hệ thống. Ví dụ, trạng thái bình thường theo thời gian trong ngày, bình thường của các phân vùng mạng khác nhau. Mô hình này cho phép miêu tả hệ thống với rất nhiều trạng thái “bình thường”. Điều này giúp có thể dự đoán những tấn công mới, những hành vi bất thường một cách hiệu quả. Ngoài ra, còn có thể sử dụng để phát hiện các tấn công APT mới và phức tạp, các hành vi nội gián và việc người dùng mất mật khẩu dựa trên mô hình hành vi bất thường.
Tuy nhiên, thời gian và khối lượng tính toán khá lớn là nhược điểm của mô hình phân cụm. Nhất là khi chúng ta cần cập nhật thông tin về các cụm thường xuyên để tăng độ chính xác của cảnh báo. Thêm nữa, việc có nhiều cụm sẽ tăng khối lượng tính toán khoảng cách tới các cụm trong quá trình giám sát và có thể làm trễ cảnh báo. Ngoài ra, cũng cần xây dựng những mô hình hành vi tin cậy và xác định các ngưỡng phù hợp, việc này có khả năng gây ra số lượng cảnh báo giả khá lớn.
Mô hình phân lớp
Ý tưởng chính của mô hình này là phân lớp các dữ liệu dựa trên các mô hình dán nhãn sẵn. Dữ liệu đưa vào “học” đã được dán nhãn (tức là đã biết kết luận). Từ đó, tìm ra các cách phân tách tốt nhất các thông tin. Đây còn gọi là mô hình học có giám sát. Khi thực hiện giám sát, hệ thống sẽ xem vị trí của dữ liệu thật với cách phân tách của lớp để đưa ra kết luận. Một số thuật toán như: máy vector hỗ trợ (SVM), mạng neuron, mô hình Bayesian, cây quyết định.... Mô hình này rất phù hợp cho phát hiện tấn công theo hành vi đã biết như hành vi chuyển mã độc trong dòng dữ liệu mã hóa, hành vi dò quét mạng.
Hoạt động của mô hình này thực chất là phát hiện tấn công theo hành vi xấu đã biết. Ưu điểm của nó là cung cấp khả năng giám sát nhanh, giúp cho việc xác định các cuộc tấn công được tiến hành kịp thời.
Tuy nhiên, nhược điểm lớn nhất của mô hình này là phải có số lượng dữ liệu đầu vào cho quá trình “học” lớn và chính xác (tức là phải được dán nhãn đúng). Nếu số lượng các thuộc tính (attribute) sử dụng như thông tin đầu vào lớn thì thời gian “học” có thể sẽ dài.
Nhìn chung, việc sử dụng mô hình phát hiện tấn công theo hành vi hoạt động là không thể thiếu và khá hiệu quả trong việc phát hiện các hình thức tấn công mới, phức tạp, các hành vi tấn công nội gián và hành vi của người dùng đánh cắp mật khẩu. Tuy nhiên, hạn chế của hướng tiếp cận này là tỉ lệ cảnh báo giả khá lớn. Hơn nữa, so với phương pháp nhận dạng dựa trên dấu hiệu đặc trưng thì phương pháp này yêu cầu khối lượng dữ liệu xử lý khá lớn, hiệu năng tính toán yêu cầu cao hơn.
Giới thiệu giải pháp StealthWatch của Cisco
StealthWatch là một giải pháp phát hiện tấn công theo hành vi sử dụng mô hình thống kê có khả năng quan sát, theo dõi, giám sát ngầm các hệ thống mạng. StealthWatch có khả năng lưu lại, giám sát và truy vết tất cả các phiên giao tiếp trên mạng thông qua việc thu thập các bản ghi (metadata) từ Netflow (tính năng thực hiện giám sát, phân tích, tính toán lưu lượng gói) về các phiên làm việc trên mạng ở các thiết bị trên như: switch, router hay tường lửa. Đây là giải pháp có thể theo dõi và giám sát hầu hết các kiểu dữ liệu mạng từ các gói tin đến các dữ liệu phiên, dữ liệu sự kiện và có khả năng định nghĩa có mô hình phát hiện bất thường do người dùng nhập vào. Ngay cả với những dòng dữ liệu được mã hóa như HTTPS, SSL/TLS. Stealthwatch cũng có khả năng phân tích các thông tin mở rộng nhận được từ các Switch dòng Cat9K để phát hiện ra mã độc trong các dòng dữ liệu được mã hóa này. Nhìn chung, Stealthwatch có một số đặc điểm như:
- Khả năng tự học, tự xây dựng baseline phối hợp với cấu hình baseline thủ công bởi quản trị viên.
- Khả năng giám sát và phát hiện tấn công cho hệ thống mạng có kích thước lớn.
- Tính năng phối hợp (correlation) nhiều nguồn tin khác nhau để cảnh báo, nâng cao tính chính xác của cảnh báo, giảm báo động giả (fault positive).
- Khả năng phối hợp với một số thiết bị khác để ngăn chặn khi phát hiện sự cố.
Kết luận
Do sự phát triển mạnh mẽ của các tấn công mới, các phương pháp nhận dạng tấn công truyền thống dựa trên mẫu dấu hiệu trở nên ít hiệu quả, dẫn đến nhu cầu phát hiện tấn công theo hành vi ngày càng quan trọng. Nhận dạng tấn công theo hành vi cho phép phát hiện ra những tấn công mới và phức tạp dựa trên các mô hình thống kê và học máy. Điểm yếu của phát hiện tấn công theo hành vi là lượng cảnh báo giả lớn. Để hạn chế nhược điểm này với mỗi giải pháp thực tế, cần chú ý những vấn đề sau khi xem xét, đánh giá một sản phẩm phát hiện tấn công theo hành vi: Thông tin đầu vào; Khả năng xử lý trong quá trình nhận dữ liệu đầu vào, quá trình học và khi giám sát; Khả năng hiệu chỉnh, học liên tục để hệ thống ngày càng thu được baseline chính xác hơn và qua đó giảm được cảnh báo giả.
Trần Anh Tú, Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ
11:00 | 07/05/2020
13:00 | 28/06/2018
10:00 | 25/07/2018
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
23:00 | 22/01/2023
Với sự bùng nổ và phát triển của công nghệ mạng Internet cùng nhiều tiện ích và giải trí hiện nay, kéo theo đó là tần suất gia tăng các cuộc tấn công mạng, việc sử dụng hàng loạt những website lừa đảo không an toàn, nhằm mục đích đánh lừa người dùng truy cập vào những website độc hại để thực hiện hành vi đánh cắp thông tin, hay lây lan những phần mềm chứa mã độc đang trở thành một xu hướng tấn công của tin tặc. Nhận thức được tầm quan trọng của việc truy cập an toàn trên môi trường mạng, bài báo sau đây sẽ cung cấp đến độc giả những kỹ năng cần thiết để sử dụng các công cụ hỗ trợ nhằm kiểm tra chỉ số về độ an toàn của website, qua đó giúp người dùng an tâm và tránh được việc thông tin của bản thân bị đánh cắp và lợi dụng cho những mục đích xấu.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024