Sẵn sàng chống tấn công mạng

• Việt Nam trước hiểm họa tấn công APT
• 5 cách chống đỡ cuộc tấn công có chủ đích - APT
• Cần có thao trường diễn tập ATTT chống tấn công mạng
• Diễn tập bảo vệ hệ thống thông tin TP.HCM 2016

Cuộc tấn công vào hệ thống kiểm soát, xếp chỗ cho hành khách đi máy bay tại sân bay Nội Bài, Tân Sơn Nhất cùng với việc thay đổi nội dung trang web (deface website) của Vietnam Airlines và phát tán cơ sở dữ liệu của một số thành viên câu lạc bộ LotusSmile vừa qua là một bài học về An toàn thông tin (ATTT) cho tất cả các tổ chức, doanh nghiệp đang vận hành những hệ thống CNTT trong hoạt động sản xuất – kinh doanh. Một câu hỏi tự nhiên là nên làm gì ngay bây giờ để sẵn sàng đối phó với các tấn công mạng tương tự xảy ra trong tương lai?

Suy nghĩ thử tìm câu trả lời cho câu hỏi trên là mục tiêu của bài viết này.

Mọi hệ thống phòng thủ đều có thể để “lọt lưới” mã độc

Nếu chúng ta biết rằng hầu hết hệ thống chống mã độc đều chỉ có khả năng dưới 100% trong việc phát hiện mã độc; các hệ thống kiểm tra phải có một độ trễ nhất định để thông qua quan sát hành vi, cho phần mềm chạy trong môi trường có giám sát (sandbox) để khẳng định ứng dụng là “lành” hay “độc” thì việc một mã độc “lọt lưới” đi qua hệ thống bảo vệ là hoàn toàn có thể xảy ra mà chúng ta phải chấp nhận.

Mọi hệ thống phòng thủ đều có thể để “lọt lưới” mã độc

Thêm nữa, với tấn công có chủ đích (Advanced Persistent Threat - APT) hiện nay, kẻ tấn công chuẩn bị chu đáo công cụ mã độc của mình, kiểm tra xem nó có bị phát hiện hay không trước khi tìm cách cài cắm vào hệ thống mạng của nạn nhân thì khả năng hệ thống chống mã độc không phát hiện hoặc phát hiện trễ còn cao hơn nữa.

Nếu chúng ta xem xét rộng hơn các hình thức tấn công lừa đảo, hay còn gọi là phi kỹ thuật (social engineering) thì việc cài cắm mã độc vào thiết bị di động như điện thoại thông minh, máy tính xách tay ở tiệm sửa chữa, ngoài quán café, quà biếu dưới dạng các ổ đĩa lưu động (USB) sẽ đảm bảo hoàn toàn việc vô hiệu hóa hệ thống tường lửa, tường lửa ứng dụng email, web. Với những cuộc tấn công có chủ đích lớn, chúng ta cũng không được loại trừ các phương pháp mua chuộc nội bộ, cài cắm nhân viên làm tay trong để chuyển mã độc vào trong mạng của tổ chức.

Với nhiều con đường, cách thức khác nhau, việc mã độc được cài cắm vào một hệ thống mạng chỉ còn là vấn đề mã độc sẽ nằm trong hệ thống bao lâu cho đến lúc bị phát hiện.

Cần thiết kế hệ thống với tinh thần đã bị xâm nhập

Đây là một cách tiếp cận quan trọng trong thiết kế hệ thống phòng thủ hiện nay. Khi chúng ta xây dựng một ngôi nhà với suy nghĩ làm sao để trộm vào được phòng khách nhưng không qua được phòng ngủ sẽ hoàn toàn khác với cách tiếp cận nhằm ngăn chặn kẻ trộm lọt được vào nhà và yên tâm với bộ cửa ngoài có 3 lớp công nghệ tiên tiến.

Tấn công APT được điều khiển từ xa bởi virus RAT (remote access trojan), có khả năng kiểm soát toàn bộ máy tính nạn nhân

Với cách tiếp cận coi hệ thống đã bị xâm nhập, việc có thể làm trước mắt và nên ưu tiên làm đầu tiên là:

- Rà soát và phân tách (segmentation) mạng nhỏ nhất có thể mà vẫn đảm bảo hệ thống vận hành hiệu quả. Các thành phần CNTT của mỗi quy trình hoạt động cần được tách biệt. Thậm chí các thành phần chính của một quy trình hoạt động cũng có thể nằm ở các phân đoạn mạng khác nhau. Giữa các phân đoạn mạng cần có các trạm kiểm soát, tối thiểu là bộ lọc gói để ngăn chặn, làm khó cho các cuộc tấn công lan tỏa theo chiều rộng cũng như chiều sâu.

- Rà soát và bổ sung tầm nhìn (visibility). Chúng ta không thể bảo vệ cái chúng ta không nhìn thấy (we can’t protect what we can’t see). Vậy phải đảm bảo chúng ta có những khả năng nhìn thấy gì?

• Trước tiên là nhìn thấy các hành vi, hoạt động của tất cả các thiết bị trong mạng. Chúng ta cần có thông tin về hoạt động của một máy tính như thời gian làm việc, giao tiếp mạng, giao tiếp với các máy tính trong và ngoài Internet, hình thái của các giao tiếp. Mỗi máy tính cần có một hồ sơ đặc tính về nó.
• Sau đó, chúng ta cần có khả năng phân tích và phát hiện ra các hành vi bất thường của máy tính trong mạng. Mã độc, cho dù qua mặt được hệ thống phát hiện mã độc trên tường lửa, tường lửa ứng dụng Web, mail hay không bị phát hiện bởi phần mềm Antivirus trên máy tính, cũng sẽ phải hoạt động. Hai hoạt động phổ biến nhất của chúng là kết nối về trung tâm chỉ huy (Command & Control – CC) để nâng cấp, nhận lệnh, cung cấp thông tin lấy được và lây nhiễm qua máy tính khác. Hệ thống bảo vệ của chúng ta phải “nhìn” thấy hoạt động này và đây là tính năng quan trọng nhất của một hệ thống phòng thủ, theo quan điểm tác giả. Để phát hiện ra các hoạt động này, chúng ta phải phát hiện các hành vi khám phá môi trường xung quanh máy bị nhiễm, kết nối từ trong ra các máy tính có địa chỉ IP hay tên miền đáng ngờ, truy vấn phân giải tên miền (DNS) bất thường và giống với cách thức mã độc tìm kiếm CC của nó…Việc ghi nhận các hoạt động thường nhật của tất cả các máy tính trong mạng ở trên đóng vai trò quan trọng giúp cho khả năng phát hiện “kẻ dấu mặt”.
• Nếu một lúc nào đó, khi mã độc bị “vạch mặt chỉ tên” qua các hệ thống phát hiện mã độc trên mạng, trên tường lửa hoặc trên bản thân các máy tính, thì khả năng “chiếu lại (replay)”, hay truy tìm nhằm xác định việc tập tin mã độc bị lộ diện đã xâm nhập bằng cách nào, đã qua những máy tính nào trở nên quan trọng nhất. Chỉ với khả năng liên tục ghi chép lại các hoạt động mạng để khi cần xem lại toàn bộ những gì đã xảy ra thì chúng ta mới tìm ra “cửa vào” của mã độc cũng như những nơi chúng ẩn nấp, những trung tâm điều khiển từ xa mà chúng đã liên lạc. Đây là tiền đề của các biệt pháp tìm và diệt các mã độc trong mạng của chúng ta.

Xây dựng một kế hoạch phản ứng sự cố

Hacker có thể sẽ phát động tấn công, lấy cắp thông tin trước khi chúng ta phát hiện ra chúng. Nếu thiết kế hệ thống của chúng ta có một phân tách (segmentation) tốt thì thiệt hại sẽ được giảm thiểu do tin tặc khó có thể xâm nhập sâu và rộng. Đây chính là ý nghĩa quan trọng nhất của vấn đề phân tách mạng trong thiết kế. Ngoài ra, chúng ta phải có một qui trình xử lý sự cố chi tiết, bài bản. Những yếu tố không thể thiếu được trong công tác chuẩn bị cho xử lý sự cố là:

- Hồ sơ mô tả hệ thống mạng đầy đủ và chính xác. Trong lúc “nước sôi lửa bỏng”, cố nhớ lại hệ thống mạng được thiết kế như thế nào không phải là ý tưởng hay. Mô hình vật lý đảm bảo chúng ta biết chắc chắn thiết bị nào nối với thiệt bị nào khác và qua đường cáp nào; cổng nào máy chủ nối với phân đoạn mạng nào. Sơ đồ logic cho phép chúng ta hiểu được luồng dữ liệu hoạt động trong mạng như thế nào, qua các thiết bị gì.

- Hồ sơ thông tin về ứng dụng đầy đủ và chính xác. Các ứng dụng là các cơ thể sống với các tập tin cấu hình khác nhau và có thể thay đổi trong vòng đời của chúng. Vì vậy biết chắc chắn ứng dụng gì, phần mềm làm gì, license ở đâu, tập tin cấu hình tên gì và lưu ở đâu… là những thông tin hữu ích khi chúng ta phải “cứu” ứng dụng.

Mô hình tam giác BMIS (business model for information security)

- Phân công nhân sự rõ ràng và có dự phòng. Công tác ứng cứu rõ ràng là phải do con người thực hiện hoặc thực hiện phần lớn. Vì vậy, khi có sự cố chúng ta cần biết rõ vai trò của từng người trong đội ứng cứu. Nhân sự dự phòng là cần thiết khi nhân sự chính không có mặt, chuyên gia bên ngoài có thể nhờ hỗ trợ là những gì tối thiểu chúng ta cần phải có.

- Dự kiến trang thiết bị dự phòng tối thiểu. Nếu được, cần có hệ thống trang thiết bị dự phòng như khi làm kế hoạch đối phó với thảm họa (Disaster Recovery Plan hay DRP). Chú ý là công tác khôi phục sự cố và điều tra tìm nguyên gốc tấn công là hai công việc mâu thuẫn nhau.

Nếu điều tra đòi hỏi phải giữ nguyên hiện trường thì khôi phục đòi hỏi phải nhanh chóng triển khai, cài đặt lại hệ thống, đồng nghĩa với việc xóa hết hiện trường cùng dấu vết của nó. Lý tưởng là chúng ta khôi phục hệ thống trên thiết bị dự phòng và giữ nguyên hiện trường cho công tác điều tra.

Có thể còn nhiều công việc cần phải làm nữa, nhưng trên đây chắc là những gì quan trọng nhất, cần ưu tiên thực hiện trước mắt.

Đảm bảo khả năng hiện thực kế hoạch xử lý sự cố

Kế hoạch xử lý sự cố dù sao cũng chỉ là kế hoạch. Liệu chúng ta có người và trình độ, kỹ năng cùng sự sẵn sàng để thực hiện kế hoạch hay không lại là một câu chuyện hoàn toàn khác, và đây là công tác khó nhất vì nó đòi hỏi sự đầu tư, nỗ lực của tất cả các cấp, các bộ phận trong thời gian dài. Hoàn toàn có thể xảy ra việc sau khi đầu tư, chúng ta có đội ngũ ứng cứu tốt, nhưng sau đó đội ngũ này phân tán đi các nơi khác và không còn khả năng như ban đầu nữa. Luôn kiểm tra bằng những biện pháp độc lập (chứ không phải qua báo cáo từ dưới lên) là biện pháp cần thiết để lãnh đạo có được một đánh giá chân thực về khả năng của đội ứng cứu. Chỉ đến bao giờ chúng ta có một hệ thống tổ chức và tài chính như trong công tác phòng cháy chữa cháy thì mới hy vọng có một khả năng ứng cứu mạng máy tính đáng tin cậy.

Còn như hiện nay, một cách khách quan mà nói thì khả năng ứng cứu của chúng ta vẫn còn xa với yêu cầu thực tế.

Xây dựng một hệ thống bảo vệ mạng tin học (Information Security Management System – ISMS) là một chương trình lớn, lâu dài và phải do lãnh đạo cao nhất của tổ chức chịu trách nhiệm. Ở mức ngắn hạn, trong lúc chờ đợi một kế hoạch bài bản được thực thi, chúng ta có thể có những hiệu chỉnh trước mắt như những gì đề cập ở trên để vừa giải quyết được những bài toán rút ra từ đợt tấn công vừa qua, vừa yên tâm rằng các giải pháp trước mắt sẽ phù hợp với kế hoạch chiến lược lâu dài của tổ chức. 

PC WORLD VN, 09/2016