PHƯƠNG PHÁP BẢO MẬT DỰA TRÊN MỐI ĐE DỌA
Bảo vệ mạng trước các cuộc tấn công có chủ đích (Advarced Presisten Threat - APT) vẫn đang là nhiệm vụ quan trọng và vô cùng phức tạp. Các giải pháp phòng chống APT đòi hỏi công nghệ và cách tiếp cận tiên tiến. Năm 2010, MITRE đã triển khai một nghiên cứu về nguồn dữ liệu và quy trình phân tích để phát hiện nhanh hơn các cuộc tấn công APT bằng việc “dự kiến” các vi phạm thông qua dữ liệu điểm cuối được cung cấp từ xa. Cụ thể, công việc của MITRE tập trung vào phát hiện hậu xâm nhập, tức các hành vi của tin tặc sau khi họ có quyền truy cập vào hệ thống trên mạng. Một trong những yếu tố thúc đẩy phương pháp MITRE là thông tin công khai về các vụ tấn công mạng, cho thấy đối thủ có xu hướng thể hiện các hành vi nhất quán khi tương tác với các hệ thống cuối hoặc hệ thống của nạn nhân [1-4].
Phương pháp phát hiện xâm nhập mạng bằng cách phân tích hành vi của MITRE bao gồm 5 nguyên tắc [5]. Đó là những nguyên tắc thiết yếu dựa trên mối đe dọa, có hiệu quả đối với lĩnh vực an ninh mạng (Hình 1).
Hình 1. Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE
Nguyên tắc 1: Phát hiện hậu xâm nhập (Include Post-Compromise Detection) - Theo thời gian, công cụ bảo mật truyền thống không thể đáp ứng trước các mối đe dọa mạng hiện nay. Chính vì vậy, khi các mối đe dọa có thể vượt qua tính năng bảo mật của mạng hoặc sử dụng cách thức mới để xâm nhập mạng thì khả năng phát hiện hậu xâm nhập là rất cần thiết.
Nguyên tắc 2: Tập trung vào hành vi (Focus on Behavior) - các dấu hiệu và thông số là các thông tin có giá trị để xác định công cụ của kẻ tấn công. Các công cụ bảo mật dựa vào dấu hiệu đã biết có thể trở nên không đáng tin do dấu hiệu bị lỗi thời hoặc do các mối đe dọa ngày càng phát triển. Vì vậy, một chính sách bảo mật tinh vi cũng nên bao gồm phát hiện và nghiên cứu hành vi độc hại hậu xâm nhập.
Nguyên tắc 3: Sử dụng mô hình dựa trên mối đe dọa (Use a Threat-based Model) - Một mô hình mối đe dọa chính xác và đầy đủ là cần thiết để đảm bảo rằng các hoạt động phát hiện có hiệu quả trong việc chống lại các hành vi độc hại thực tế.
Nguyên tắc 4: Lặp lại theo thiết kế (Iterate by Design) - Công cụ và kỹ thuật không ngừng phát triển vì vậy các hành vi độc hại đối với mạng cũng không ngừng thay đổi. Do đó phương pháp bảo mật cũng phải liên tục và không ngừng phát triển, hoàn thiện trước sự thay đổi của các hành vi độc hại, trước tấn công APT.
Nguyên tắc 5: Phát triển thử nghiệm trong môi trường thực (Develop and Test in a Realistic Environment) - Để đo độ nhiễu cảm biến dự kiến tạo trong quá trình sử dụng mạng tiêu chuẩn, thì các hành vi của người dùng mạng phải được mô phỏng một cách chân thực nhất. Các khả năng phát hiện hành vi độc hại cần được kiểm tra bằng cách mô phỏng lại trong môi trường này.
ATT&CK
Hành vi hậu xâm nhập dựa trên mô hình hóa các hành vi độc hại
ATT&CK là một khung (framework) về kỹ thuật-chiến thuật-chiến lược (Tactics, Techniques and Procedures (TTPs)) tấn công của kẻ tấn công (adversary) dựa vào những tình huống thực tế. ATT&CK đưa ra cách nhìn tổng quan về các hành vi cụ thể của kẻ tấn công sau khi xâm nhập vào mạng. Mô hình ATT&CK cung cấp thông tin chi tiết về hành vi tấn công trên cơ sở quan sát hành vi của tin tặc. Phương pháp ATT&CK chủ yếu hướng đến các hệ thống sử dụng hệ điều hành Windows dành cho doanh nghiệp. Do số lượng lớn các báo cáo xâm nhập có sẵn công khai chứa các thông tin chi tiết và công cụ cảnh báo hoạt động chống lại Windows. ATT&CK được chia thành các loại chiến thuật cấp cao và các phương pháp riêng lẻ mà kẻ tấn công có thể áp dụng trong mỗi loại chiến thuật riêng biệt.
Chiến thuật
Các loại chiến thuật ATT&CK mà khung đề cập bao gồm [6]:
• Duy trì truy cập (Persistence) - Bất kỳ quyền truy cập, hành động hoặc cấu hình nào thay đổi đối với một hệ thống đều mang lại cho đối thủ sự hiện diện lâu dài trên hệ thống đó.
• Nâng cao đặc quyền (Privilege Escalation) - Kết quả của các kỹ thuật mà từ đó kẻ tấn công được cấp quyền cao hơn trên hệ thống hoặc mạng.
• Lảng tránh hệ thống bảo vệ (Defense Evasion) - Kỹ thuật tin tặc có thể sử dụng cho mục đích lẩn tránh phát hiện hoặc tránh các biện pháp phòng vệ khác.
• Truy cập thông tin xác thực (Credential Access) - Kỹ thuật dẫn đến việc truy cập hoặc kiểm soát thông tin đăng nhập hệ thống, tên miền hoặc dịch vụ được sử dụng trong môi trường mạng.
• Phát hiện (Discovery) - Kỹ thuật cho phép tin tặc có kiến thức về hệ thống và mạng nội bộ.
• Mở rộng khai thác (Lateral Movement) - Kỹ thuật cho phép tin tặc truy cập và kiểm soát các hệ thống từ xa trên mạng.
• Thực thi (Execution) - Kỹ thuật dẫn đến việc thực thi mã do tin tặc kiểm soát trên hệ thống cục bộ hoặc từ xa.
• Sưu tập (Collection) - Kỹ thuật được sử dụng để xác định và thu thập thông tin, chẳng hạn như các tệp nhạy cảm từ mạng đích trước khi lọc.
• Trích xuất dữ liệu (Exfiltration) - Kỹ thuật cho phép trích xuất file hoặc thông tin khỏi mạng đích.
• Điều khiển và kiểm soát (Command and Control) - Kỹ thuật và thuộc tính về cách thức giao tiếp của tin tặc với hệ thống dưới sự kiểm soát của họ trong mạng đích. Ví dụ bao gồm sử dụng các giao thức hợp pháp như HTTP để mang thông tin C&C.
Ở cấp độ này, ATT&CK giống với các mô hình mối đe dọa khác mô tả vòng đời của kẻ tấn công, sự khác biệt là ở phạm vi của nó. Các thể loại chiến thuật ATT&CK được áp dụng từ một hệ thống đầu cuối riêng biệt sang một hệ thống khác khi kẻ địch di chuyển qua mạng. Trong khi đó, một mô hình như vòng đời của một cuộc tấn công mạng (Hình 2) có tính đến quy mô rộng hơn.
Hình 2. Các loại chiến thuật ATT&CK
Tổng quan về các loại chiến thuật và các phương pháp liên quan được mô tả trong mô hình ATT&CK thể hiện trên Hình 3 [7].
Hình 3. Một phần ma trận MITRE ATT&CK
Các kỹ thuật
Trong mô hình ATT&CK, để đạt được mục tiêu đề ra, mỗi chiến thuật cần thực hiện một số lượng các kỹ thuật nhất định. Sau khi xâm nhập, kẻ tấn công liên tục đưa ra quyết định về việc lựa chọn kỹ thuật tiếp theo trên cơ sở thu thập và phân tích các thông tin của môi trường mạng. Kỹ thuật mô tả hành động theo cách độc lập với phần mềm độc hại và công cụ tấn công cụ thể. Lợi ích từ phương pháp này là nó xét đến toàn bộ hành vi của một kẻ tấn công mà không phụ thuộc vào các phần mềm độc hại và công cụ tấn công cụ thể.
Một điểm khác biệt quan trọng giữa kỹ thuật trong ATT&CK và IOC là rất nhiều kỹ thuật ATT&CK sử dụng các chức năng hệ thống hợp lệ được sử dụng cho mục đích xấu, trong khi IOC được triển khai như một cơ chế phát hiện xâm nhập thông qua các dấu hiệu độc hại đã biết.
PHƯƠNG PHÁP PHÁT TRIỂN DỰA TRÊN PHÂN TÍCH ATT&CK
MITRE đã sử dụng phương pháp phát triển phân tích dựa trên ATT&CK để tạo đánh giá và tinh chỉnh các phân tích với mục đích phát hiện chính xác hơn hành vi đối nghịch trên mạng. Các thuật ngữ White Team, Red Team và Blue Team lần lượt thực hiện các vai trò sau [8]:
• White Team - Phát triển các kịch bản mối đe dọa để thử nghiệm hệ thống bảo mật.
• Red Team - Đóng vai trò là kẻ tấn công mạng.
• Blue Team - Đóng vai trò là đội phòng thủ mạng có vai trò sử dụng các bản phân tích để phát hiện hoạt động của Red Team.
Hình 4. Phương pháp phát triển phân tích dựa trên ATT&CK
Phương pháp phát triển phân tích dựa trên ATT&CK bao gồm 7 bước, được thể hiện trong Hình 4.
Bước 1. Xác định các hành vi (Identify Behaviors) từ mô hình mối đe dọa. Một số yếu tố cần được xem xét khi quyết định cách ưu tiên các hành vi khác nhau:
- Những hành vi phổ biến nhất;
- Những hành vi có tác động độc hại nhất;
- Những hành vi nào có truy cập dữ liệu;
- Hành vi nào phổ biến nhất cho thấy hành vi độc hại.
Bước 2. Thu thập dữ liệu (Acquire Data) - Xác định dữ liệu cần thiết cho phân tích phát hiện hành vi độc hại.
Bước 3. Phát triển phân tích (Develop Analytics) - Phát triển phân tích từ dữ liệu được thu thập để phát hiện các hành vi nghi vấn.
Bước 4. Phát triển kịch bản mô phỏng tấn công (Develop an Adversary Emulation Scenario) - White Team phát triển kịch bản mô phỏng kẻ tấn công dựa trên ATT&CK, bao gồm các hành vi được xác định trong Bước 1. Kịch bản bao gồm các kỹ thuật cụ thể được Red Team sử dụng.
Bước 5. Mô phỏng mối đe dọa (Emulate Threat) - Red Team cố gắng đạt được các mục tiêu mà White Team vạch ra bằng cách thực hiện các hành vi và kỹ thuật được mô tả trong mô hình ATT&CK.
Bước 6. Điều tra tấn công (Investigate Attack) - Blue Team cố gắng tạo lại dòng thời gian của hoạt động Red Team bằng cách sử dụng các phân tích và dữ liệu được phát triển trong Bước 3.
Bước 7. Tổng hợp đánh giá hiệu suất (Evaluate Performance - White, Red and Blue Teams) phân tích sự tương tác để đánh giá mức độ thành công trong phát hiện các hành vi giả lập APT của Blue Team khi sử dụng các phân tích và dữ liệu thu thập được. Sau khi đánh giá chu trình sẽ được lặp lại từ Bước 1.
MỘT VÍ DỤ TỔNG HỢP THÔNG TIN NHÓM TIN TẶC APT27
Nghiên cứu các phương pháp, kỹ thuật của các nhóm tin tặc từ nghiên cứu của MITRE, ta có thể có được tổng quan các kỹ thuật có thể đã biết, hoặc chưa biết nhưng rất phổ dụng trong các nhóm tin tặc. Ví dụ bảng tổng hợp các kỹ thuật và phần mềm của nhóm APT27 (được biết hoạt động ở khu vực Đông Nam Á) công khai từ MITRE.
BẢNG 1. TỔNG HỢP MỘT SỐ KỸ THUẬT TẤN CÔNG CỦA NHÓM APT27
Việc sử dụng dữ liệu tấn công thực tế trong ATT&CK cho phép tập trung chống lại các phương thức được sử dụng phổ biến nhất trong các nhóm APT khác nhau và cho phép xác định các lỗ hổng bảo mật. Hiện tại, không có phương pháp có sẵn để áp dụng kinh nghiệm thế giới về kiến thức, về chiến thuật và kỹ thuật của một hành động tấn công khi thiết kế một hệ thống bảo mật. Do đó, giải pháp sử dụng cơ sở tri thức ATT&CK trong quá trình thiết kế hệ thống bảo mật thông tin cả ở giai đoạn mô hình hóa các mối đe dọa bảo mật thông tin và giai đoạn xác định các biện pháp bảo mật là vô cùng cần thiết và hữu ích.
BẢNG 2. TỔNG HỢP PHÂN MỀM CỦA NHÓM APT27
KẾT LUẬN
Phương pháp phát triển phân tích dựa trên ATT&CK là nền tảng để các chuyên gia bảo mật sử dụng trong việc thiết lập và duy trì khả năng phát hiện các mối đe dọa APT. Việc phát hiện bằng các phương pháp này không phụ thuộc vào các IOC xấu được biết đến điển hình hoặc thông báo bên ngoài về vi phạm mạng và có thể dẫn đến phát hiện nhanh sự xâm nhập mạng, bằng cách sử dụng các kỹ thuật đối nghịch được mô tả trong mô hình ATT&CK.
Các nhà nghiên cứu MITRE sử dụng mô hình ATT&CK để thông báo sự phát triển của phân tích và cấu trúc của Red Team cho các trò chơi mạng (Cyber Games). MITRE sử dụng 7 bước của phương pháp phát triển phân tích ATT&CK nhằm thường xuyên cải thiện khả năng phòng thủ trong các trò chơi mạng với các phân tích mới. MITRE cũng đã xuất bản CAR để phục vụ như là nền tảng chia sẻ phân tích nhằm ghi lại các phân tích được phát triển thông qua nỗ lực này để cộng đồng sử dụng và mở rộng.
Cơ sở tri thức của ATT&CK không ngừng phát triển, do đó việc sử dụng cơ sở kiến thức này cho việc thiết lập hệ thống bảo mật thông tin là rất hữu ích và cần thiết. Nó giúp các chuyên gia xây dựng hệ thống bảo mật trên cở dữ liệu của các cuộc tấn công có thể xảy ra và dựa vào việc dự đoán các lỗ hổng của hệ thống để đưa ra phương án khắc phục kịp thời. Không những thế, việc liên tục cập nhật cơ sở tri thức ATT&CK sẽ giúp giảm thiểu rủi ro trước các cuộc tấn công trong tương lai.
TÀI LIỆU THAM KHẢO 1. FireEye, “M-Trends 2016,” [Online]. Available: https://www2.fireeye.com/rs/848-DID-242/ images/Mtrends2016.pdf. 2. S. Tomonaga, [Online]. Available: Http://blog.jpcert.or.jp/2016/01/windows- commands-abused-by-attackers.html. 3. The MITRE Corporation, 2018. [Online]. URL: https://attack.mitre.org 4. The MITRE Corporation, September 2018. [Online]. Available: https://car.mitre.org 5. Sushil Jajodia, V.S. Subrahmanian, Vipin Swarup, Cliff Wang, Springer, pp. 8-15, 2016. 6. Emmanouel Garoufallou, 2019, pp. 109-125. 7. Daniel Regalado, Shon Harris, Allen Harper, Chris Eagle, Jonathan Ness, Branko Spasojevic, Ryan Linn, Stephen Sims, 2019, pp. 135-155. 8. Brook S.E. Schoenfield, 2019, P. 250. |
TS. Đào Tuấn Hùng, TS. Hoàng Thái Hổ
08:00 | 09/03/2020
08:00 | 16/06/2020
14:00 | 14/01/2021
10:00 | 06/05/2019
09:04 | 07/08/2017
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
13:00 | 18/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
14:00 | 02/10/2024
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.
14:00 | 11/09/2024
Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
10:00 | 30/12/2024