A+ R A-
Giải pháp APT của LastLine Inc. bảo vệ TTDL trước tấn công của các Advanced Threats

Chúng tôi hiện là Nhà phân phối ủy quyền các sản phẩm và dịch vụ của Hãng LastLine Inc., USA tại thị trường Việt Nam.

Cập nhật diễn biến của Advanced Threat

Theo báo cáo mới nhất của Arbor Networks, 2013 & 2014 là năm của một loạt các sự kiện tấn công mạng đặc biệt qui mô lớn đã và đang diễn ra trên nhiều lĩnh vực khác nhau ở mức độ toàn cầu.

Các sự kiện này cho thấy cùng với sự tiến bộ và phát triển sâu rộng của Internet theo làn sóng thế hệ thứ ba, SMAC (Social Networks, Mobility, Big Data Analytics và Cloud Computing – Theo IDC) xu hướng an ninh thông tin và an toàn mạng đã trở thành mối quan tâm đặc biệt của các tổ chức, doanh nghiệp và cả lĩnh vực an ninh quốc gia của nhiều nước trên Thế giới.

 

Trong diễn biến đó, việc bảo vệ TTDL của Doanh nghiệp hay tổ chức trước các tấn công mạng trở nên thực sự quan trọng và cần có được những nhận thức mới hơn cũng như cách tiếp cận theo hướng phi truyền thống.

Hiện tại, những dạng tấn công đã khác rất nhiều, không giống như các cách tấn công và lây nhiễm của Virus, Worm hay Malware trước đây chủ yếu khai thác điểm hỏng của hệ thống để lây nhiễm với mục tiêu chính là phá hoại từng phần hay toàn bộ hệ thống TTDL (thường hiếm xảy ra). Các tấn công ngày nay chủ yếu khai thác các điểm nhạy cảm của hệ thống (đơn giản đó là những lỗi của ứng dụng, hệ điều hành hay chính các công cụ, nền tảng được sử dụng để tạo nên những ứng dụng phần mềm, gọi tắt là Zero-Day Threat).

Chúng được thiết kế tinh vi hơn, ứng dụng nhiều kỹ thuật phức tạp, đa dạng hơn và có chiến lược cụ thể theo thời gian với mục tiêu rõ ràng. Mục đích tấn công cũng đã thay đổi căn bản, chúng lấy cắp dữ liệu số (thông tin có tính giá trị nhất khi ứng dụng CNTT) và thách thức người sở hữu nó bằng cách chuộc tiền, hay vì mục đích tiền nếu không muốn nói đó là mục đích cuối cùng chủ yếu nhất. Trong các dạng tấn công mới này, Advanced Threat hay APT (Advanced Persistent Threat) là đại diện quan trọng nhất.

Vì vậy, để đáp ứng các nhu cầu theo tình hình mới, các nhà cung cấp các giải pháp an toàn thông tin cũng ráo riếc nghiên cứu và cho ra đời các kiến trúc, ứng dụng mới. Một trong những kiến trúc đó, Chúng tôi trân trọng giới thiệu đến Quý đối tác và khách hàng tại Việt Nam kiến trúc độc đáo của Hãng LastLine danh tiếng của Mỹ (xem thông tin chi tiết bên duới).

Cách tiếp cận của Advanced Threat nhắm đến TTDL như thế nào?

Trước khi cung cấp về kiến trúc của LastLine, Chúng tôi muốn tóm tắt căn bản cách mà Advanced Threat tấn công vào các hệ thống TTDL của doanh nghiệp như thế nào và các giải pháp truyền thống đang được áp dụng là gì?

Như trình bày ở phần trên về khái niệm của Advanced Threat (gọi tắt là APT), thông thường chúng sẽ diễn biến theo trình tự 5 bước căn bản của một kịch bản sau:

 

  1. Tìm kiếm lỗ hỏng của hệ thống (System Exploitation): Các lỗ hỏng thường gặp chính là các Zero-day bugs của các phần mềm ứng dụng được các Hãng phát triển công bố chính thức trên các phương tiện đại chúng hoặc từ chính các thủ thuật lừa đảo trực tiếp người dùng cuối của các Attacker.
  2. Tải phần mềm độc hại (Malware Downloading): Một khi lỗ hỏng được Attacker phát hiện, khai thác thành công, chúng bắt đầu tải về máy chủ đích (Targeted machine, Compromised host hay Zombie host) một hay nhiều mã độc (malicious code) có khả năng thực thi như: Password cracker, Trojan backdoor, Key logger hay bằng các tập tin cài đặt đơn giản như File grabber,..v.v và tiến hành lây lan nhanh chóng trên cùng một hệ thống.
  3. Thiết lập điều khiển (Control Established): Ngay khi cài đặt xong, các mã độc này sẽ được thiết lập quyền điều khiển bởi Attacker bên ngoài hệ thống, bất chấp các hệ thống phòng thủ hiện có trong doanh nghiệp đang được triển khai (như NGFW, IPS hay AV Gateway, thậm chí cả hệ thống SANDBOX). Chúng ẩn mình một cách tinh vi, khó được phát hiện và từ thời điểm này Attacker hoàn toàn có thể điều khiển và chỉ thị các hành động có chủ đích của chúng ngay chính bên trong TTDL của doanh nghiệp.
  4. Đánh cấp dữ liệu (Data Exfiltration): Mục đích cuối cùng là dữ liệu số. Các dữ liệu này sẽ được Attackers đánh cắp sau đó, và tuồn ra ngoài Internet bằng các cách truyền thống trên các giao thức cho phép thông thường của hệ thống Firewall như FTP hay HTTP. Chúng có thể mã hoá các dữ liệu trước khi hành động hoặc chuyển dữ liệu này ra khỏi doanh nghiệp tới một máy tính bị nhiễm khác ở NCC dịch vụ chẳn hạng để che đậy các cách có thể nhận dạng ra chúng.
  5. Mở rộng địa bàn khai thác (Lateral Movement): Không ngừng ở đó, Attacker tiếp tục mở rộng sự hiện diện của chúng tại các hệ thống khác trong TTDL, trong cùng mạng doanh nghiệp bị nhiễm, để lây lan, xâm nhập và đánh cắp các quyền điều khiển của các User quan trọng, cả User Administrator, để chiếm đánh khả năng sử dụng và điều khiển các ứng dụng đặc biệt nhạy cảm của doanh nghiệp như: ERP, CRM, hay các quy trình, bí quyết công nghệ, sở hữu phát minh và kết quả nghiên cứu và phát triển các sản phẩm mới trong lúc còn phôi thai của doanh nghiệp…

Vậy, câu hỏi đặt ra là có bao nhiêu cách thức Attacker có thể xâm nhập, cài đặt và điều khiển các mã độc của chúng bên trong doanh nghiệp?

Theo cách truyền thống và rất đơn giản, các hệ thống bảo vệ tấn công như NG Firewall, IPS, AV Gateway hay Sandbox Simulation thường được thiết lập để giám sát và ngăn chặn từ 2 nguồn tấn công cơ bản gồm: Nguồn bên ngoài và nguồn bên trong mạng doanh nghiệp. Và liệu cách bảo vệ này có thực sự hiệu quả không?

Với cách bảo vệ các xâm nhập từ bên ngoài hiện nay, các Advanced Threat hoàn toàn có thể đi qua dễ dàng lớp bảo vệ này và trực tiếp tấn công phân khúc mạng DMZ và lây nhiễm đến vùng Internal network bên trong qua các lỗ hỏng nói trên hoặc từ chính ý thức người dùng chưa được đào tạo tốt khi bị các thủ thuật lừa đảo phi kỹ thuật của Attacker, chúng giao tiếp thông qua các ứng dụng Web, Email, File hay Messaging có liên hệ với Internet. Đây có thể gọi là cách đánh trực diện hệ thống từ Internet.

Ngoài cách trên, một nguồn tấn công quan trọng là chính từ bên trong mạng doanh nghiệp. Các máy chủ, cơ sở dự liệu, hệ thống qui trình sản xuất hay các tài nguyên quan trọng nhất của doanh nghiệp đều được triển khai bên trong nội mạng này. LAN User là đối tượng đầu tiên mà các Attacker có thể khai thác. Chúng có thể cài đặt mã độc khi User tải về một phần mềm hay một tiện ích miễn phí nào đó từ Internet để phục vụ nhu cầu công việc hoặc cá nhân ngay trên máy tính của họ, hoặc có thể dễ dàng bị lây nhiễm khi vô tình kích hoạt những đường link trên Web Browser, link trên những Email nhận được từ người gửi hoặc mở xem các file đính kèm đã đuợc cài sẵn mã độc mà họ hoàn toàn không hề biết hay nguy hiểm hơn từ chính USB, thiết bị lưu trữ di động,…v.v. Tất cả các cách này đều dẫn đến máy tính User đó bị chiếm dụng và điều khiển bởi Attacker bên ngoài Internet.

Ngoài ra, xu hướng BYOD cho phép các nhân viên trong doanh nghiệp được linh động sử dụng thiết bị di động của họ cho mục đích đăng nhập vào hệ thống doanh nghiệp để làm việc, hay trao đổi dữ liệu. Xu hướng này cho thấy mức độ rủi ro của TTDL trước các mối đe dọa của Advanced Threat sẽ được nhân lên gấp bội khi chính các thiết bị sở hữu cá nhân này hoàn toàn rất khó được quản lý (nếu không có giải pháp an toàn nào khác được ứng dụng).

Từ đó cho thấy, nguy cơ và các rủi ro cho người dùng hệ thống CNTT trong TTDL là rất lớn, thường nhật và bất cứ lúc nào đều có thể trở thành nạn nhân của các tấn công mạng hiện nay.

Và Kiến trúc của LastLine?

Nhận thấy đầy đủ các rủi ro nói trên, Hãng bảo mật LastLine Inc. của Mỹ đã cho ra đời một kiến trúc tiếp cận mới để giúp doanh nghiệp nhận thức và ứng phó hiệu quả trước các tấn công mạng của Advanced Threat.

Tóm tắt:

- LastLine tiếp cận theo kiến trúc Software thay cho kiến trúc Appliance đắt giá.

- LastLine cho phép linh hoạt tích hợp kiến trúc này với các kiến trúc khác hiện hữu thông qua bộ API hoàn thiện.

- LastLine cung cấp đầy đủ hai cơ chế tùy chọn Cloud-based hoặc On-Premise phù hợp với tất cả các hệ thống TTDL đa dạng khác nhau.

- LastLine đặc biệt giải quyết rất hiệu quả các nguy cơ của APT nhắm đến các dịch vụ mạng như: Email, Web, File và cả các ứng dụng trên thiết bị di động như Laptop, Smartphones của người dùng cuối.

- LastLine cung cấp phần mềm bản quyền tính theo số lượng người dùng cuối để giúp dễ mở rộng linh hoạt và không phụ thuộc vào kiến trúc hạ tầng TTDL khi có thay đổi trong tương lai.

 

Thành phần của kiến trúc:



Mô hình lựa chọn khi triển khai

1. Tùy chọn Cloud-based (Hosted by LastLine):


Trong tùy chọn này, Khách hàng chỉ cần triển khai Thành phần “Sensor” tại những phân khúc mạng cần thiết để giám sát và ngăn chặn APT thông qua cách thức triển khai linh hoạt bằng Tap/Span mode.

Tùy theo dịch vụ mạng bên trong Doanh nghiệp đang triển khai là gì mà có cách thức thiết lập Sensor cụ thể, đặc biệt thời gian triển khai chỉ trong vòng 30 phút hoặc dưới 60 phút là có thể hoàn tất mô hình cài đặt này một cách nhanh chóng.

2. Tùy chọn On-Premise (Đặt tại TTDL của Doanh nghiệp):


Trong tùy chọn này, Khách hàng sẽ thiết lập cả thành phần “Sensor”, “Engine” và “Manager” tại TTDL của Doanh nghiệp. Cả 3 thành phần này đều được cài đặt dưới dạng Software Package đóng gói theo tiêu chuẩn của LastLine Inc. trên nền tảng phần cứng được khuyến nghị chi tiết.

Chức năng của mỗi thành phần sẽ được mô tả trong phần ngay bên dưới cùng với cách thức hoạt động tương ứng của mỗi mô hình tùy chọn.

Khả năng tích hợp & Cách thức hoạt động:

1. Mức độ tích hợp:

2. Cách hoạt động:

Trên tùy chọn Cloud-based:


Trên tùy chọn On-Premise:


 

Những lợi ích chính mang lại:

- Dễ dàng triển khai giải pháp của LastLine tại bất kỳ phân mạng nào cần quan tâm cho bất kỳ giao thức hay ứng dụng mạng nào đang triển khai.

- Cơ chế phát hiện nhanh chóng và ngăn chặn tấn công tự động không lệ thuộc vào hệ điều hành, máy chủ ảo hay vật lý, và giao thức /dịch vụ mạng đang được triển khai.

- Gỡ bỏ giới hạn khoảng cách khi tích hợp với các hệ thống an ninh có sẵn, đã được đầu tư trước đây trong mạng doanh nghiệp.

- Chỉ định đích danh những tấn công lẫn tránh mà các hệ thống an ninh truyền thống và Sandbox trước đây không thể phát hiện được.

- Phân tích theo thời gian thực để đánh giá tức thì, chính xác tình trạng hệ thống đang diễn biến.

- Khả năng cập nhật liên tục với Tài nguyên Intelligence Threat mới nhất của LastLine Inc.

- Tạo báo cáo chi tiết, phù hợp với các tiêu chuẩn an toàn mạng phổ biến.

 

Để tìm hiểu và được tư vấn chi tiết về giải pháp này của Chúng tôi, Quý khách hàng, đối tác vui lòng liên hệ sớm với Bộ phận tư vấn kỹ thuật để được phục vụ tốt nhất!

Trân trọng cảm ơn,

Bộ phận tư vấn kỹ thuật.

(Presales Department)

Phân phối chính thức