Sống còn trong tâm bão APT

22/03/2016 07:43 GMT+7

Các kỹ thuật, phương thức và thủ đoạn được dùng trong tấn công APT thường dễ dàng qua mặt, thậm chí vô hiệu hóa mọi giải pháp đảm bảo an ninh mạng hiện nay.

Các kỹ thuật, phương thức và thủ đoạn được dùng trong tấn công APT thường dễ dàng qua mặt, thậm chí vô hiệu hóa mọi giải pháp đảm bảo an ninh mạng hiện nay.

Ông Đỗ Ngọc Duy Trác, Phó viện trưởng Viện CSO	- Ảnh: Lương NhungÔng Đỗ Ngọc Duy Trác, Phó viện trưởng Viện CSO - Ảnh: Lương Nhung
Tấn công APT (Advanced Persistent Threat) là hình thức mà tin tặc, hay một nhóm tin tặc có năng lực công nghệ cao, được hậu thuẫn từ nhiều nguồn lực mạnh mẽ để tổ chức tấn công bền bỉ có chủ đích nhắm vào những mục tiêu cụ thể của một tổ chức, doanh nghiệp, chẳng hạn như đánh cắp dữ liệu quan trọng bằng mọi cách.
Các kỹ thuật, phương thức và thủ đoạn được dùng trong tấn công APT thường dễ dàng qua mặt, thậm chí vô hiệu hóa mọi giải pháp đảm bảo an ninh mạng hiện nay.
“Cơn bão tàn khốc” mang tên APT


Không tổ chức nào có thể an toàn khi tội phạm mạng đang gia tăng xu hướng tấn công có mục đích, có tổ chức và có trình độ cao

Keshav Dhakad - Giám đốc khu vực Microsoft châu Á

Trong APT, tin tặc sử dụng các chiêu thức lừa đảo (social engineering) tinh vi nhất phối hợp với việc sử dụng các phiên bản mã độc và các kỹ thuật khai thác tiên tiến nhất (Advanced) để qua mặt các phương pháp bảo vệ truyền thống. Mặt khác, Persistent mang ý nghĩa chiến dịch tấn công luôn bám sát mục tiêu một cách bền bỉ, dài hạn cho đến khi đạt được mục đích, nhiều chiến dịch có thể kéo dài nhiều năm.
Điều đặc biệt nguy hiểm của tấn công APT là tin tặc có thể tạo ra mã độc riêng cho từng mục tiêu cụ thể, có thể ẩn mình rất lâu. Thậm chí theo chia sẻ của các chuyên gia bảo mật thì có những loại mã độc rất ít tạo ra các dấu vết bất thường nên rất khó phát hiện, kể cả khi chạy kiểm thử trong môi trường giả lập Sandbox. Các giải pháp phát hiện và ngăn chặn truyền thống dựa trên các bộ nhận dạng (signature) thường bất lực với những loại mã độc này.
Báo cáo vào tháng 5.2015 của Hãng bảo mật Kaspersky đã công bố thông tin về nhóm tin tặc Trung Quốc - Naikon chuyên tấn công các cơ quan, tổ chức nhạy cảm tại Đông Nam Á và khu vực xung quanh Biển Đông như: Myanmar, Campuchia, VN, Thái Lan và Lào. Sau hơn nửa thập niên tung hoành, nhóm này hiện vẫn đang tiếp tục hoạt động, kiểm soát hạ tầng thông tin xung yếu và thu thập thông tin trên diện rộng trong khu vực.
Làm gì để sống còn trong tâm bão APT ?


Tại Hội nghị RSA USA 2016, Phó chủ tịch Tenable Network Security đã nhận định mô hình an ninh với nhiều lớp phòng vệ truyền thống đã lỗi thời, thay vào đó cần chuyển hướng sang chiến lược phòng vệ có chiều sâu Depth in Defense tập trung vào việc tăng cường nắm bắt về hệ thống đang bảo vệ, phát hiện sớm và ứng phó nhanh.

Chúng tôi đã có cuộc phỏng vấn ông Đỗ Ngọc Duy Trác, lãnh đạo Viện Nghiên cứu và huấn luyện an ninh mạng (Viện CSO) về chủ đề này:
Theo ông, vì sao có những tổ chức và doanh nghiệp dù đã đầu tư rất nhiều cho an ninh mạng nhưng vẫn bị xâm nhập nghiêm trọng kéo dài mà không hề hay biết?
Trong 2 năm gần đây, giới bảo mật quốc tế nhận ra một thực tế là họ đã thua toàn diện trước sự phát triển của thế giới ngầm và các giải pháp đảm bảo an ninh mạng truyền thống đã trở nên quá lỗi thời và hoàn toàn không có tác dụng gì đối với các mối nguy mới nổi như APT. Tại VN, phần lớn tổ chức và doanh nghiệp dựa trên các giải pháp và thiết bị bảo mật thương mại, được các đối tác cung cấp và triển khai sử dụng các kiến trúc an ninh mạng truyền thống chỉ tập trung vào việc ngăn chặn tin tặc xâm nhập vào từ vùng biên nên không thể đối phó với những chiêu thức tấn công mới.
Ngoài ra, lực lượng nhân sự chuyên trách an ninh mạng còn rất mỏng và chất lượng chưa cao, cùng với việc sử dụng một cách thụ động các giải pháp an ninh mạng lạc hậu nên không thể đối phó với các cuộc tấn công kiểu mới. Điều này dẫn đến một tình trạng rất nguy hiểm là cấp quản lý nghĩ rằng đã đầu tư rất nhiều cho đảm bảo an ninh mạng, các nhân sự chuyên trách thì không phát hiện được APT trên hệ thống CNTT nên vẫn báo cáo cấp trên là hệ thống an toàn, trong khi APT đã ở sâu tận trong “nhà” nhiều năm liền mà không hề hay biết.
Vậy các tổ chức và doanh nghiệp cần phải làm gì trước tình trạng này, thưa ông?


Viện CSO do một tiến sĩ về CNTT đang làm việc ở nước ngoài và ông Đỗ Ngọc Duy Trác, một chuyên gia an ninh mạng hoạt động lâu năm tại VN hợp tác thành lập. Viện CSO có đội ngũ giảng viên được đào tạo bài bản đẳng cấp quốc tế và là những chuyên gia trực tiếp làm việc trong lĩnh vực an ninh mạng tại VN. Gần đây nhất, ông Nguyễn Sơn Tùng, Trưởng khoa Đào tạo Viện CSO, vừa trở thành chuyên gia người VN đầu tiên và là người thứ 91 trên thế giới có chứng nhận bảo mật GMON mới nhất của Viện Nghiên cứu SANS về giám sát an ninh mạng.

Để đương đầu với APT, trước tiên các tổ chức và doanh nghiệp cần phải thay đổi nhận thức về phòng vệ mạng, cụ thể là cần chấp nhận một thực tế là không thể ngăn chặn được tin tặc xâm nhập, đặc biệt là các nhóm tin tặc có nguồn lực dồi dào hay được nguồn lực tầm quốc gia bảo trợ. Điều này có nghĩa là, chấp nhận một tiên đề là tin tặc đã và đang nằm bên trong hệ thống và cần phải triển khai các biện pháp phòng vệ mạng hiện đại.
Phòng vệ mạng hiện đại cần chuyển đổi từ việc tập trung ngăn chặn xâm nhập trực diện sang kiến trúc mới phòng vệ hướng mục tiêu, hướng phát hiện sớm và ứng phó nhanh nhằm ngăn không cho tin tặc đạt được mục đích khi đã nằm bên trong hệ thống CNTT của tổ chức. Các tổ chức và doanh nghiệp cần tăng cường công tác giám sát an ninh liên tục theo khung chuẩn quốc tế và xây dựng các cơ chế, kiến trúc phòng vệ mạng hiện đại, an ninh thiết bị đầu cuối và đưa vào các yếu tố tự động hóa để có thể đương đầu với APT.
Theo ông, yếu tố nào là quan trọng nhất trong việc đảm bảo an ninh thông tin hiện nay trong các tổ chức và doanh nghiệp VN? Viện CSO có hoạt động gì để hỗ trợ các hoạt động đảm bảo an ninh thông tin tại VN?
Trong lĩnh vực an ninh mạng nói chung, yếu tố quan trọng nhất là con người, chính con người viết ra vi rút, phát hiện các lỗ hổng và phát triển các công cụ tấn công. Ngược lại, cũng chính con người phát triển ra các giải pháp bảo vệ như tường lửa, IDS/IPS, endpoint protection hay phần mềm diệt vi rút. Các giải pháp thương mại phát huy rất ít tác dụng nếu người sử dụng không có kiến thức và kỹ năng để khai thác. Để có thể đạt sự linh hoạt cần thiết trong chống APT, nhân sự chuyên trách an ninh mạng phải thật sự nắm sâu các nguyên lý và hiểu biết về APT để tùy biến, nhúng sự hiểu biết của mình vào hệ thống phòng vệ hiện đại để tạo ra năng lực “kháng APT”.
Viện CSO đã dành thời gian nhiều năm để nghiên cứu và sẽ cung cấp khóa huấn luyện cao cấp về phòng vệ mạng hiện đại và chống APT cho các tổ chức và doanh nghiệp tại VN trong tháng 4.2016. Đây sẽ là một khóa học hoàn toàn mới dành cho những người quản trị và chịu trách nhiệm bảo vệ các hệ thống thông tin xung yếu tại VN. Khóa học này được xây dựng từ kinh nghiệm làm việc thực tế nhiều năm của các chuyên gia an ninh mạng thuộc Viện CSO.
Viện CSO: thực tế tại VN cho thấy, phần lớn các tổ chức tài chính, ngân hàng đã và đang bị ít nhất một chiến dịch APT do tin tặc nước ngoài kiểm soát. Trong đó có cả những ngân hàng có chứng chỉ ISO 27001 trong nhiều năm và đã đầu tư hàng chục triệu USD để xây dựng hệ thống đảm bảo an ninh mạng nhưng vẫn bị xâm nhập, kiểm soát toàn diện trong nhiều năm liền mà không hề hay biết. Tình hình trong các cơ quan, tổ chức xung yếu khác còn nghiêm trọng hơn rất nhiều. Thật sự VN đã và đang ở giữa tâm bão APT.
Nghiên cứu của FireEye và Mandiant về các phòng tuyến an ninh mạng cho thấy 97% các tổ chức có sử dụng các sản phẩm và giải pháp an ninh mạng truyền thống đã thất bại trong việc bảo vệ hệ thống trước các vụ tấn công xâm nhập của tin tặc.
Viện CSO khai giảng khóa học đặc biệt: Phòng vệ mạng hiện đại CSO - APT
Thời lượng: 18 buổi học, 3 buổi/tuần, 18 giờ 30 - 21 giờ các ngày hai, tư, sáu hoặc ba, năm, bảy. Giảm 30% học phí cho 10 người đăng ký đầu tiên. Chi tiết vui lòng liên hệ: Viện Nghiên cứu và huấn luyện an ninh mạng CSO. 137C Nguyễn Chí Thanh, P.9, Q.5, TP.HCM. Hotline: 0938.205.466 Website: http://cso.edu.vn Email: info@cso.edu.vn

Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.