Giải pháp chống mã độc truyền thống
Chương trình diệt virus là một trong những công cụ phổ biến nhất để bảo vệ hệ thống máy tính khỏi mã độc. Các chương trình này hoạt động dựa trên mẫu mã độc (malware signature), cho phép nhận diện và loại bỏ các tệp tin độc hại đã biết. Tuy nhiên, chúng không thể phát hiện các biến thể mới hoặc các mã độc chưa được cập nhật trong cơ sở dữ liệu.
Giải pháp chống mã độc dựa trên phân tích hành vi
Phân tích hành vi là một kỹ thuật tiên tiến hơn, sử dụng thuật toán để giám sát và phân tích hành vi của các tiến trình chạy trên hệ thống nhằm phát hiện các hoạt động bất thường. Ưu điểm của giải pháp này là giúp nhận diện các mã độc mới hoặc các biến thể của mã độc cũ.
Giải pháp chống mã độc dựa trên trí tuệ nhân tạo và học máy
Sử dụng trí tuệ nhân tạo (AI) và học máy (ML) trong việc phòng chống mã độc là xu hướng ngày càng phổ biến. Các thuật toán học máy được huấn luyện trên các tập dữ liệu lớn để học cách phân
biệt mã độc - phần mềm hợp pháp. Hệ thống AI tự động học hỏi từ các cuộc tấn công mới để điều chỉnh, phát hiện và ngăn chặn trong thời gian thực.
Giải pháp chống mã độc dựa trên Sandboxing
Sandboxing là phương pháp cô lập các ứng dụng trong môi trường ảo hóa an toàn để giám sát hành vi của chúng mà không gây ảnh hưởng đến hệ thống thực. Sandboxing giúp phát hiện các loại mã độc khó chịu và tinh vi, đặc biệt là những mã độc sử dụng kỹ thuật né tránh (evasion techniques) để qua mặt các hệ thống bảo vệ khác.
Giải pháp chống mã độc qua lớp mạng: Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)
IDS giám sát lưu lượng mạng để phát hiện các hành vi bất thường hoặc xâm nhập tiềm tàng, trong khi IPS không chỉ phát hiện mà còn có khả năng ngăn chặn các mối đe dọa trước khi chúng gây ra thiệt hại. IDS/IPS giúp phát hiện các mẫu mã độc đã biết được truyền trong mạng cũng như các hành vi bất thường có thể có sự hiện diện của mã độc.
Giải pháp phòng chống mã độc dựa trên đám mây
Các giải pháp này tận dụng lợi thế của cơ sở hạ tầng đám mây cho phép các tổ chức sử dụng sức mạnh tính toán lớn để phân tích các mối đe dọa và mã độc từ xa. Đám mây liên tục cập nhật thông tin về các mối đe dọa mới nhất, giúp hệ thống chống lại các cuộc tấn công ngay khi được phát hiện.
Giải pháp phát hiện và phản ứng đầu cuối
Giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response - EDR) không chỉ phát hiện các hành vi bất thường mà còn cung cấp các công cụ để phân tích cuộc tấn công, đồng thời đưa ra các biện pháp xử lý nhanh chóng để ngăn chặn sự lây lan của mã độc trên các điểm đầu cuối.
Mặc dù các giải pháp chống mã độc kể trên cung cấp các lớp bảo vệ mạnh mẽ, chúng không hoàn hảo và có những hạn chế riêng. Ví dụ, chương trình diệt virus truyền thống dễ bị tụt hậu trong việc phát hiện mã độc mới, trong khi hệ thống dựa trên AI/ML cần lượng dữ liệu lớn và có thể gặp khó khăn trong việc phân biệt giữa mã độc và phần mềm hợp pháp Sandboxing yêu cầu tài nguyên hệ thống lớn và có thể gây chậm trễ trong việc xử lý tệp, còn các giải pháp dựa trên đám mây phụ thuộc nhiều vào tốc độ và độ tin cậy của kết nối mạng. Do đó, việc nghiên cứu giải pháp tích hợp phòng chống mã độc vào các sản phẩm phần cứng, phần mềm và ứng dụng quan trọng giúp tăng cường bảo mật là cần thiết.
Giới thiệu về bộ công cụ phát triển phần mềm chống mã độc Kaspersky SDK
Bộ công cụ phát triển phần mềm chống mã độc Kaspersky (Kaspersky Anti-Virus Software Development Kit - Kaspersky SDK) là công nghệ của Kaspersky cho phép tích hợp công nghệ lõi phòng chống virus vào các giải pháp phần cứng hoặc phần mềm của bên thứ ba. Kaspersky SDK cung cấp khả năng bảo vệ toàn diện cho các thiết bị khỏi virus, trojan, worm, rootkit, spyware, adware và tất cả các loại phần mềm độc hại khác. Kiến trúc linh hoạt và thông minh của Kaspersky SDK cũng như API toàn diện cho phép tích hợp công nghệ Kaspersky Anti-Malware với nhiều nền tảng phần cứng và phần mềm khác nhau, hỗ trợ nhiều cơ chế như: Bảo vệ theo thời gian thực, Self Defense, Bảo vệ đám mây, Scan Engine, Mobile Security.
Hình 1. Các tính năng chính của Kasperksy SDK
Các tính năng chính mà bộ Kaspersky SDK tích hợp cho nền tảng máy chủ/máy bàn (Windows, Linux/Mobile) cung cấp như Hình 1, bao gồm:
- On demand scanning: Quét tập tin theo nhu cầu.
- Regular file scanning: Quét định kỳ theo lịch.
- Memory block scanning: Quét trên Ram.
- IStream scanning: Quét luồng dữ liệu.
- Boot sectors scanning: Quét boot sector trên ổ cứng.
- Scanning of packed, encoded objects: Quét các tập tin nén định dạng phổ biến.
- Scanning of web addresses for phishing: Quét các địa chỉ web lừa đảo.
- Synchronous and asynchronous scanning:
Quét đồng bộ và bất đồng bộ.
- Disinfection of infected objects: Làm sạch tập tin bị nhiễm mã độc.
- Disinfection of infected archives and encoded objects: Làm sạch tập tin bị nhiễm mã độc trong file nén.
- Reloading anti-malware database on the fly: Tải lại cơ sở dữ liệu về mã độc trong quá trình hoạt động.
- Utilizing several CPUs: Tiết kiệm hiệu năng CPU.
- File system monitoring: tất cả các hoạt động của tệp đều được giám sát an toàn thông tin.
- POP3 and SMTP monitoring: bảo vệ, giám sát tin nhắn email được gửi qua giao thức POP3 và SMTP.
- Web monitoring: phân tích lưu lượng HTTP, chặn các yêu cầu tới các trang web độc hại bằng cách kiểm tra chúng với cơ sở dữ liệu URL độc hại, ngăn chặn việc thực thi các tập lệnh Windows Scripting Host (WHS) độc hại, quét tệp được truyền qua HTTP và cảnh báo người dùng.
- Proactive monitoring: công nghệ chủ động giúp giám sát hoạt động của các tiến trình và ngăn chặn mã độc dựa trên phân tích hành vi. Đây là một trong những biện pháp đối phó hiệu quả đối với các tấn công dạng chèn mã (Injection).
Ngoài ra còn một số tính năng khác như: Giám sát chủ động ( Proactive Defense Monitor), bảo vệ DNS, tự sao lưu…
Tùy thuộc mục đích tích hợp, Kaspersky SDK có thể cung cấp nhiều tính năng khác nhau, tuy nhiên thành phần chính vẫn là trình quét mã độc Kaspersky Engine. Đây là cốt lõi của sản phẩm thực hiện tất cả các hoạt động quét mã độc, giám sát và ngăn chặn.
Ưu điểm của giải pháp tích hợp Kaspersky SDK
- Đảm bảo an toàn cho các sản phẩm quan trọng:
Việc tích hợp Kaspersky SDK vào các sản phẩm phần cứng, phần mềm và ứng dụng quan trọng không chỉ tăng cường khả năng phòng thủ mà còn giúp các tổ chức duy trì hoạt động ổn định và bảo vệ các tài sản thông tin quan trọng.
- Khả năng tương thích và tích hợp linh hoạt:
Kaspersky SDK được thiết kế với kiến trúc linh hoạt và API toàn diện, cho phép tích hợp dễ dàng với nhiều nền tảng phần cứng và phần mềm khác nhau. Điều này cho phép các tổ chức triển khai giải pháp bảo mật mà không phải thay đổi cấu trúc hạ tầng hiện có, tối ưu hóa chi phí và thời gian triển khai.
- Bảo vệ toàn diện và cập nhật liên tục: Với khả năng bảo vệ theo thời gian thực và hỗ trợ từ hệ thống đám mây, Kaspersky SDK đảm bảo rằng hệ thống luôn được cập nhật với các mối đe dọa mới nhất. Điều này giúp giảm thiểu rủi ro bị tấn công bởi các mã độc mới và tinh vi, đồng thời bảo vệ dữ liệu và tài sản thông tin của tổ chức.
- Đáp ứng các yêu cầu bảo mật hiện đại: Trong bối cảnh các quy định và tiêu chuẩn bảo mật ngày càng nghiêm ngặt, việc tích hợp Kaspersky SDK giúp các tổ chức đáp ứng các yêu cầu pháp lý và tiêu chuẩn bảo mật quốc tế.
Tác giả thực hiện nghiên cứu tích hợp Kaspersky SDK vào ứng dụng bảo mật BMTEP. Trước khi tệp tin được mã hóa hoặc giải mã sẽ được Kaspersky SDK thực hiện quét kiểm tra mã độc. Kết quả thực nghiệm dưới đây được thực hiện trên PC hệ điều hành Windows 10, Ram 16GB, Chip Core I7 2,8GHz.
Trong các bài kiểm tra thực nghiệm, thời gian quét trung bình cho một hệ thống tiêu chuẩn là khoảng 5 phút, điều này được đánh giá là chấp nhận được trong các môi trường có yêu cầu bảo mật cao. Khi kích hoạt các chế độ quét nâng cao như quét toàn bộ hệ thống hoặc quét sâu các tệp tin có định dạng phức tạp, thời gian quét có thể kéo dài hơn. Tuy nhiên, nhờ sự tối ưu hóa của Kaspersky SDK, sự chênh lệch về thời gian so với các giải pháp khác không quá đáng kể.
Mặc dù Kaspersky SDK đã cho thấy nhiều ưu điểm vượt trội trong việc bảo vệ hệ thống trước các mối đe dọa từ mã độc, quá trình thực nghiệm cũng đã chỉ ra một số khuyết điểm của sản phẩm. Một số điểm cần lưu ý như sau:
Bảng 1. Kết quả thực nghiệm đánh giá hiệu năng quét mã độc tập tin sau khi tích hợp giải pháp
Bộ SDK do Kaspersky cung cấp có thể tích hợp cho nhiều sản phẩm với ngôn ngữ phát triển và hệ điều hành khác nhau nhưng cũng gây khó khăn cho việc tích hợp do đây là sản phẩm phức tạp, cần hiểu và nắm vững các yêu cầu sản phẩm, nền tảng chạy sản phẩm, kinh nghiệm lập trình cho nhiều ngôn ngữ khác nhau. Việc tích hợp hiện nay chủ yếu với các sản phẩm viết bằng ngôn ngữ C/C++. Với các sản phẩm viết bằng ngôn ngữ khác thì cần phải tự xây dựng thư viện bọc, gọi từ C++ để có thể tích hợp.
Việc tích hợp Kaspersky SDK trực tiếp lên sản phẩm sẽ gây ảnh hưởng đến thời gian khởi động ứng dụng do cần thời gian khởi tạo công nghệ lõi quét mã độc và tiêu tốn hiệu năng của hệ thống cũng như thời gian thực hiện quét tập tin trước khi thực hiện mã hóa dữ liệu. Điều này không thể tránh khỏi.
Bên cạnh đó, để đảm bảo các chức năng của giải pháp hoạt động tốt cũng như duy trì khả năng phát hiện mã độc mới nhất thì cơ sở dữ liệu mẫu phải được thường xuyên cập nhật. Muốn cập nhật các mẫu mã độc mới nhất cần có đầy đủ bản quyền được trả phí theo thỏa thuận với Kaspersky.
Một điểm quan trọng cần lưu ý, Bộ SDK do Kaspersky cung cấp là sản phẩm thương mại mã nguồn đóng, do đó bên cạnh các thỏa thuận phối hợp cũng như cam kết an toàn khác thì việc trực tiếp hiểu về kiến trúc, đánh giá các module mã nguồn sản phẩm do đối tác cung cấp, đảm bảo các tiêu chuẩn an ninh an toàn khi triển khai sản phẩm có tích hợp công nghệ của Kaspersky là điều cần thiết. Hãng có cơ chế cho phép các đối tác được xem mã nguồn sản phẩm tại các trung tâm minh bạch trên toàn cầu, mặc dù cũng giới hạn nhất định với các module được xem mã nguồn. Do đó, cần thiết xây dựng quy trình review mã nguồn sản phẩm để thực hiện đánh giá, hạn chế các thành phần có nguy cơ gây lộ lọt, mất an toàn thông tin.
Tích hợp Kaspersky SDK vào các sản phẩm phần cứng, phần mềm và ứng dụng là một giải pháp tối ưu để nâng cao khả năng bảo mật của các tổ chức. Với công nghệ tiên tiến và khả năng bảo vệ toàn diện, Kaspersky Anti-Virus SDK không chỉ giúp các tổ chức phòng chống mã độc hiệu quả mà còn đảm bảo an toàn cho các hệ thống thông tin quan trọng. Điều này là cần thiết để các cơ quan Đảng, Chính phủ và các tổ chức khác có thể hoạt động một cách an toàn, hiệu quả và bền vững trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.
|
TÀI LIỆU THAM KHẢO [1]. Tài liệu online về các sản phẩm của Kaspersky, https://kaspersky.antivirus.lv/eng/downloads/documentation.. [2]. Tài liệu Kaspersky SDK version 8 do hãng cung cấp cho các đối tác tích hợp, “Kaspersky Anti-Virus Software Development Kit 8 Level 3”, 2022.. |
TS. Trịnh Xuân Hưng (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
13:00 | 03/12/2024
07:00 | 23/09/2024
15:00 | 11/02/2025
13:00 | 03/01/2025
14:00 | 27/01/2025
Khi làm việc trên Internet mỗi ngày, người dùng phải quản lý rất nhiều tài khoản và mật khẩu khác nhau, điều này khiến việc ghi nhớ trở nên khó khăn và dễ gây nhầm lẫn. Khi cần đăng nhập vào bất kỳ tài khoản nào, người dùng phải tìm kiếm lại thông tin khá mất thời gian, ảnh hưởng đến tiến độ công việc. Chính vì vậy, chúng ta cần tạo thói quen sử dụng trình quản lý mật khẩu để quản lý ổn định và an toàn cho các tài khoản, mật khẩu của mình. Bài viết dưới dây sẽ giúp người dùng hiểu và sử dụng dễ dàng phần mềm LastPass, một trong những phần mềm quản lý mật khẩu phổ biến nhất hiện nay.
22:00 | 25/01/2025
Một trong những rủi ro an toàn thông tin (ATTT) nghiêm trọng trong quá trình chuyển đổi số đó là lộ, lọt bí mật trong nội bộ tổ chức, đơn vị thông qua hạ tầng chuyển đổi số. Việc rò rỉ dữ liệu có thể xảy ra ở nhiều mức độ khác nhau như từ hệ thống mạng, thiết bị đầu cuối, in ấn đến lưu trữ tập trung… Mỗi một mức độ đều có những rủi ro riêng cần được quản lý và phòng ngừa chặt chẽ. Đã có nhiều nghiên cứu, sản phẩm quan tâm tới vấn đề phòng chống rò rỉ dữ liệu nhạy cảm nhưng mới tập trung ở một vài mức độ. Trong bài viết này, nhóm tác giả đề xuất một giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu nhạy cảm ở nhiều mức độ khác nhau nhằm bảo vệ hiệu quả ATTT mạng nội bộ tổ chức, đơn vị triển khai chuyển đổi số.
14:00 | 02/10/2024
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
