Giải pháp phòng chống tấn công APT

05/12/2017

Mối nguy hiểm cao thường trực cấp cao (Advanced Persistent Threat - APT) được dùng để chỉ kiểu tấn công dai dẳng, có chủ đích vào các đối tượng cụ thể. Đối tượng chính của tấn công APT thông thường là tổ chức kinh tế, chính trị và mục tiêu của các cuộc tấn công này là nhằm đánh cắp các thông tin quan trọng hay thực hiện các hành vi phá hoại. Tấn công APT thường được thực hiện bởi nhóm tội phạm mạng có tổ chức, được đầu tư bài bản. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác. Tuy nhiên không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân. Tấn công APT đang nhanh chóng trở thành mối đe dọa lớn tới vấn đề an toàn bảo mật, không chỉ với các cơ quan, tổ chức, mà còn tới an toàn an ninh quốc gia.

Hình 1. Các cuộc tấn công APT nhắm đến rất nhiều các đối tượng khác nhau trong đó chủ yếu là các cơ quan, chính phủ
(Nguồn: www.securestate.com)
Trong các cuộc tấn công APT, tội phạm mạng thường sử dụng mã độc Zeroday đây là những mã độc chưa được phát hiện hoặc chưa được cập nhật mẫu (signature). Các giải pháp truyền thống phát hiện và ngăn chặn mã độc sử dụng kỹ thuật phân tích chữ ký. Hạn chế của các giải pháp này là nó không thể phát hiện và ngăn chặn mẫu mã độc hoàn toàn mới chưa được nhận biết trước đó. Hệ quả là, kẽ tấn công hoàn toàn có thể vượt qua được hàng rào an ninh bảo mật và thực hiện hành vi của mình mà không bị phát hiện.
Giải pháp ZomebieZERO đây là giải pháp bảo mật mới được thiết kế có thể phát hiện và ngăn chặn APT attack trên hệ thống mạng cũng như phía người dùng dựa trên kỹ thuật phân tích hành vi.
Lớp hệ thống mạng: Phân tích lưu lượng mạng, phát hiện và ngăn chăn mã độc thông qua phân tích chữ ký và phân tích hành vi trên môi sandbox.
Lớp người dùng: Phát hiện và ngăn chăn malware dựa trên phân tích hành vi sử dụng Agent cài đặt trên máy người dùng.
Tương ứng với lớp bảo vệ hệ thống mạng có thành phần ZombieZERO Inspector, và ZombieZERO Agent là hệ thống bảo vệ lớp người dùng. Ngoài ra còn có hệ thống ESM làm mục đích quản lý và giám sát hệ thống.
mail1.jpg
Hình 2. Hệ thống phát hiện và ngăn chặn HAI LỚP phòng chống tấn công APT
ZombieZERO Inspector
Để phát hiện và ngăn chặn tấn công APT, Inspector dựa trên 2 kỹ thuật phân tích: phân tích chữ ký, và phân tích hành vi. Đầu tiên hệ thống thực hiện phân tích dựa trên chữ ký. Bước phân tích chữ ký giúp nhanh chóng phát hiện được các loại mã độc đã được nhận diện. Tuy nhiên các mẫu mã độc chưa được nhận diện có thẻ vượt qua được bước phân tích này. Trong trường hợp việc phân tích chữ ký không phát hiện được malware, hệ thống sẽ thực hiện phân tích hành vi thực hiện trên môi trường sandbox.
Quá trình phân tích bên trong Inspector bao gồm rất nhiều bước. Đầu tiên Inspector thu thập lưu lượng mạng thông qua cơ chế Mirroring hoặc Tapping, các file thu thập được phân loại để tiến hành phân tích. Tiếp đó, hệ thống thực hiện việc phân tích dưa trên chữ ký sử dụng Anti Virus Engine. Hệ thống cũng gữi mã hash của file phân tích lên VirusTotal để nâng cao độ chính xác cho quá trình phân tích chữ ký. Đồng thời cũng giảm thiểu thời gian xử lý chung, nếu bước phân tích chữ ký đã cho kết quả chính xác. Trong trường hợp malware không được phát hiện, hệ thống sẽ thực hiện phân tích dựa trên hành vi trên môi trường giả lập. Ngoài ra, nó có thể phát hiện và ngăn chặn kết nối đến các C&C server dựa trên việc phân tích mẫu của các Outbound URL và URI. Các phân tích này tham chiếu đến hệ thống cơ sở dữ liệu tại trung tâm phân tích C&C. Trong trường hợp phát hiện có truy cập trái phép, kết nối sẽ bị chặn sử dung kỹ thuật DNS Sinkhole và TCP Reset.
mail2.jpg
Hình 3. Phân tích bên trong Zombie ZERO Inspector
ZombieZERO Agent
Agent được cài đặt trên máy người dùng. Khác với các phần mềm AntiVirus thông thường phân tích malware dựa trên phân tích mẫu, Agent có khả năng phát hiện và ngăn chặn các mẫu malware hoàn toàn mới, hoặc đã biến thể dựa trên phân tích hành vi sử dụng Engine phát triển bởi NPCore. Một điểm mạnh của Agent là nó được cài đặt ở mức NIC driver đảm bảo tối ưu về sử dụng tài nguyên, không gây xung đột với các phần mềm ứng dụng khác trên máy người dùng.
ZombieZERO Agent được cài đặt trên máy người dùng. Khác với các phần mềm AntiVirus thông thường phân tích malware dựa trên phân tích mẫu, Agent có khả năng phát hiện và ngăn chặn các mẫu malware hoàn toàn mới, hoặc đã biến thể dựa trên Engine phân tích hành. Khi malware có hành động nguy hại, Agent có thể phát hiện và ngăn chặn kịp thời. Các hành vi bất bình thường có một số biểu hiện như: việc tăng bất thường CPU, RAM, hay sự thay đổi Registry. Khi Engine phát hiện hành động có nguy hại, lập tức nó sẽ ngăn chặn và cách ly. Một điểm mạnh của ZombieZERO Agent là nó được cài đặt ở mức NIC driver nhằm đảm bảo tối ưu về mặt sử dụng tài nguyên, không gây xung đột với các phần mềm ứng dụng khác trên máy người dùng.
ZombieZERO ESM
ESM là công cụ trực quan phục vụ cho mục đích giám sát và quản lý hệ thống. ESM cho phép:
Quản lý thời gian thực trạng thái của hệ thống.
Dễ dàng quản lý thông qua giao diện web
Cung cấp các dạng báo cáo định kỳ theo ngày tuần, tháng
Cho phép tìm kiếm sử dụng các keyword
Người quản trị có thể quản lý trạng thái trên toàn bộ hệ thống mạng cũng như phương án khắc phục
Quản lý thuận tiện dựa trên phân nhóm IP và chính sách bảo mật
mail4.jpg
Hình 4. Giao diện quản lý Zombie ZERO ESM
Mô hình triển khai hệ thống có 2 thành phần chính, thành phần bảo mật ở lớp mạng Inspector là thiết bị phần cứng (Appliance) được đấu nối vào hệ thống mạng theo 2 cơ chế Tapping hoặc Mirroring. Đối với hệ thống quản lý tập trung, bao gồm một hoặc nhiều mạng LAN trong một khu vực vật lý, Mô hình kết nối được mô tả trong sơ đồ dưới đây:
mail5.jpg mail6.jpg
Hình 5. Sơ đồ kết nối theo cơ chế Mirroring Hình 6. Sơ đồ kết nối theo cơ chế Tapping
Thành phần Agent, được cài đặt tại các máy tính, thực hiện vài trò bảo mật lớp người dùng.
Đối với các tổ chức có hệ thống mạng người dùng phân tán. Ví dụ, các đơn vị có các phòng ban, hoặc chi nhánh (các đơn vị cơ sở) ở các vị trí vật lý khác nhau. Tại các các đơn vị cơ sở này sẽ có các hệ thống quản lý cơ sở. Hệ thống quản lý trung tâm tại khu vực điều hành liên kết với các phân hệ cơ sở, đồng thời quản lý giám sát toàn bộ hệ thống.
mail7.jpg
Hình 7. Hệ thống quản lý tập trung
Ưu điểm của giải pháp
Nhiều bước phân tích, với tốc độc phân tích nhanh và độc chính xác cao: Hệ thống bao gồm đồng thời cả phân tích chữ ký và phân tích hành vi. Việc sử dụng đồng thời hai bước phân tích này mang lại nhiều ưu điểm. Thứ nhất, bước phân tích chữ ký phát hiện nhanh chóng mã độc đã nhận biết, giảm thiểu thời gian xử lý cho toàn bộ tiến trình. Việc gửi mã hash phân tích trên VirusTotal nâng cao khả năng phát hiện cho bước phân tích này nhờ tận dụng khả năng của rất nhiều các Anti Virus Engine. Bước phân tích hành vi bao gồm đồng thời phân tích tĩnh và phân tích động trong môi trường sandbox, giúp phát hiện nhanh chóng các mã độc mới, chưa được nhận biết.
Giải pháp bảo mật 2 lớp mạnh mẽ: Giải pháp bao gồm đồng thời cả 2 thành phần bảo mật lớp mạng, và lớp người dùng. Việc sử dụng đồng thời cả 2 thành phần giúp ngăn chặn các nguy cơ đến từ bên ngoài, cũng như từ phía người dùng trong hệ thống mạng. Ngoài ra, thành phần Agent còn có khả năng phát hiện và ngăn chặn đánh cắp dữ liệu, kết nối ngược về phía hacker, phát tán lưu lượng DDoS, truyền nhận file qua Web, hoặc Messenger, và các hành động scanning, hay tấn công nội bộ (Ví dụ như ARP Spoofing).
mail8.jpg
Phát hiện và ngăn chặn kết nối đến C&C và kiểm duyệt URL: Một điểm mạnh của giải pháp ZombieZERO là khả năng phát hiện và ngă chặn nhanh chóng các kết nối đối với máy chủ C&C. Các danh sách máy chủ C&C liên tục được cập nhật theo thời gian thực. Các kết nối trài phép đến các máy chủ này lập tức bị ngăn bởi hệ thống. Hệ thống cũng được tích hợp thành phần kiểm dịch URL giúp phát hiện và ngăn chặn các kết nối đến các Website phát tán mã độc.

mail9.jpg
Thu thập các file thông qua phân tích lưu lượng
Gửi file đến hệ thống phân tích giúp phát hiện malware và thu thập các URL là nguồn phát tán malware
Gửi kết quả phân tích để tạo các mẫu kiểm dịch và ngăn chặn URL bị nhiễm độc
Người dùng kết nối với URL bị nhiễm độc
Chặn kết nối giữa PC và URL, hiển thị thông tin chặn trên trang web.
Hình 8. Hệ thống kiểm duyệt URL
Có đầy đủ tất cả các thành phần trong một thiết bị: Hệ thống đồng thời bao gồm tất cả các thành phần bảo mật như: hệ thống bảo mật Web, hệ thống bảo mật Email. Giúp phát hiện và ngăn chặn các loại mã độc phát tán qua Email, Web, hay gửi nhận File.
mail10.jpg
Hình 9. Nhiều thành phần mật trong một thiết bị
Tấn công APT đang là mối đe dọa thường trực đối với tất cả các cơ quan, tổ chức. Các giải pháp an toàn bảo mật truyền thống chỉ phát hiện và ngăn chặn những loại malware đã được cập nhật, và hoàn toàn vô hiệu khi đối phó với các loại malware mới. Để ngăn chặn tấn công APT, ngoài đầu tư về mặt con người và xây dựng các chính sách về an toàn bảo mật thông tin, việc xây dựng một giải pháp an toàn bảo mật hiệu quả rất cần quan tâm. Giải pháp ZombieZERO được đánh giá cao về mặt hiệu quả, dễ dàng cài đặt cũng như quản lý. ZombieZERO thực thi việc an toàn bảo mật ở 2 lớp: lớp hệ thống và lớp người dùng có thể phát hiện và ngăn chặn tấn APT dựa trên kỹ thuật phân tích hành vi. Đây thực sự là sự lựa chọn hiệu quả, tin cậy trong việc phòng chống tấn công APT.