PHƯƠNG PHÁP BẢO MẬT DỰA TRÊN MỐI ĐE DỌA
Bảo vệ mạng trước các cuộc tấn công có chủ đích (Advarced Presisten Threat - APT) vẫn đang là nhiệm vụ quan trọng và vô cùng phức tạp. Các giải pháp phòng chống APT đòi hỏi công nghệ và cách tiếp cận tiên tiến. Năm 2010, MITRE đã triển khai một nghiên cứu về nguồn dữ liệu và quy trình phân tích để phát hiện nhanh hơn các cuộc tấn công APT bằng việc “dự kiến” các vi phạm thông qua dữ liệu điểm cuối được cung cấp từ xa. Cụ thể, công việc của MITRE tập trung vào phát hiện hậu xâm nhập, tức các hành vi của tin tặc sau khi họ có quyền truy cập vào hệ thống trên mạng. Một trong những yếu tố thúc đẩy phương pháp MITRE là thông tin công khai về các vụ tấn công mạng, cho thấy đối thủ có xu hướng thể hiện các hành vi nhất quán khi tương tác với các hệ thống cuối hoặc hệ thống của nạn nhân [1-4].
Phương pháp phát hiện xâm nhập mạng bằng cách phân tích hành vi của MITRE bao gồm 5 nguyên tắc [5]. Đó là những nguyên tắc thiết yếu dựa trên mối đe dọa, có hiệu quả đối với lĩnh vực an ninh mạng (Hình 1).
Hình 1. Năm nguyên tắc bảo mật dựa trên mối đe dọa của MITRE
Nguyên tắc 1: Phát hiện hậu xâm nhập (Include Post-Compromise Detection) - Theo thời gian, công cụ bảo mật truyền thống không thể đáp ứng trước các mối đe dọa mạng hiện nay. Chính vì vậy, khi các mối đe dọa có thể vượt qua tính năng bảo mật của mạng hoặc sử dụng cách thức mới để xâm nhập mạng thì khả năng phát hiện hậu xâm nhập là rất cần thiết.
Nguyên tắc 2: Tập trung vào hành vi (Focus on Behavior) - các dấu hiệu và thông số là các thông tin có giá trị để xác định công cụ của kẻ tấn công. Các công cụ bảo mật dựa vào dấu hiệu đã biết có thể trở nên không đáng tin do dấu hiệu bị lỗi thời hoặc do các mối đe dọa ngày càng phát triển. Vì vậy, một chính sách bảo mật tinh vi cũng nên bao gồm phát hiện và nghiên cứu hành vi độc hại hậu xâm nhập.
Nguyên tắc 3: Sử dụng mô hình dựa trên mối đe dọa (Use a Threat-based Model) - Một mô hình mối đe dọa chính xác và đầy đủ là cần thiết để đảm bảo rằng các hoạt động phát hiện có hiệu quả trong việc chống lại các hành vi độc hại thực tế.
Nguyên tắc 4: Lặp lại theo thiết kế (Iterate by Design) - Công cụ và kỹ thuật không ngừng phát triển vì vậy các hành vi độc hại đối với mạng cũng không ngừng thay đổi. Do đó phương pháp bảo mật cũng phải liên tục và không ngừng phát triển, hoàn thiện trước sự thay đổi của các hành vi độc hại, trước tấn công APT.
Nguyên tắc 5: Phát triển thử nghiệm trong môi trường thực (Develop and Test in a Realistic Environment) - Để đo độ nhiễu cảm biến dự kiến tạo trong quá trình sử dụng mạng tiêu chuẩn, thì các hành vi của người dùng mạng phải được mô phỏng một cách chân thực nhất. Các khả năng phát hiện hành vi độc hại cần được kiểm tra bằng cách mô phỏng lại trong môi trường này.
ATT&CK
Hành vi hậu xâm nhập dựa trên mô hình hóa các hành vi độc hại
ATT&CK là một khung (framework) về kỹ thuật-chiến thuật-chiến lược (Tactics, Techniques and Procedures (TTPs)) tấn công của kẻ tấn công (adversary) dựa vào những tình huống thực tế. ATT&CK đưa ra cách nhìn tổng quan về các hành vi cụ thể của kẻ tấn công sau khi xâm nhập vào mạng. Mô hình ATT&CK cung cấp thông tin chi tiết về hành vi tấn công trên cơ sở quan sát hành vi của tin tặc. Phương pháp ATT&CK chủ yếu hướng đến các hệ thống sử dụng hệ điều hành Windows dành cho doanh nghiệp. Do số lượng lớn các báo cáo xâm nhập có sẵn công khai chứa các thông tin chi tiết và công cụ cảnh báo hoạt động chống lại Windows. ATT&CK được chia thành các loại chiến thuật cấp cao và các phương pháp riêng lẻ mà kẻ tấn công có thể áp dụng trong mỗi loại chiến thuật riêng biệt.
Chiến thuật
Các loại chiến thuật ATT&CK mà khung đề cập bao gồm [6]:
• Duy trì truy cập (Persistence) - Bất kỳ quyền truy cập, hành động hoặc cấu hình nào thay đổi đối với một hệ thống đều mang lại cho đối thủ sự hiện diện lâu dài trên hệ thống đó.
• Nâng cao đặc quyền (Privilege Escalation) - Kết quả của các kỹ thuật mà từ đó kẻ tấn công được cấp quyền cao hơn trên hệ thống hoặc mạng.
• Lảng tránh hệ thống bảo vệ (Defense Evasion) - Kỹ thuật tin tặc có thể sử dụng cho mục đích lẩn tránh phát hiện hoặc tránh các biện pháp phòng vệ khác.
• Truy cập thông tin xác thực (Credential Access) - Kỹ thuật dẫn đến việc truy cập hoặc kiểm soát thông tin đăng nhập hệ thống, tên miền hoặc dịch vụ được sử dụng trong môi trường mạng.
• Phát hiện (Discovery) - Kỹ thuật cho phép tin tặc có kiến thức về hệ thống và mạng nội bộ.
• Mở rộng khai thác (Lateral Movement) - Kỹ thuật cho phép tin tặc truy cập và kiểm soát các hệ thống từ xa trên mạng.
• Thực thi (Execution) - Kỹ thuật dẫn đến việc thực thi mã do tin tặc kiểm soát trên hệ thống cục bộ hoặc từ xa.
• Sưu tập (Collection) - Kỹ thuật được sử dụng để xác định và thu thập thông tin, chẳng hạn như các tệp nhạy cảm từ mạng đích trước khi lọc.
• Trích xuất dữ liệu (Exfiltration) - Kỹ thuật cho phép trích xuất file hoặc thông tin khỏi mạng đích.
• Điều khiển và kiểm soát (Command and Control) - Kỹ thuật và thuộc tính về cách thức giao tiếp của tin tặc với hệ thống dưới sự kiểm soát của họ trong mạng đích. Ví dụ bao gồm sử dụng các giao thức hợp pháp như HTTP để mang thông tin C&C.
Ở cấp độ này, ATT&CK giống với các mô hình mối đe dọa khác mô tả vòng đời của kẻ tấn công, sự khác biệt là ở phạm vi của nó. Các thể loại chiến thuật ATT&CK được áp dụng từ một hệ thống đầu cuối riêng biệt sang một hệ thống khác khi kẻ địch di chuyển qua mạng. Trong khi đó, một mô hình như vòng đời của một cuộc tấn công mạng (Hình 2) có tính đến quy mô rộng hơn.
Hình 2. Các loại chiến thuật ATT&CK
Tổng quan về các loại chiến thuật và các phương pháp liên quan được mô tả trong mô hình ATT&CK thể hiện trên Hình 3 [7].
Hình 3. Một phần ma trận MITRE ATT&CK
Các kỹ thuật
Trong mô hình ATT&CK, để đạt được mục tiêu đề ra, mỗi chiến thuật cần thực hiện một số lượng các kỹ thuật nhất định. Sau khi xâm nhập, kẻ tấn công liên tục đưa ra quyết định về việc lựa chọn kỹ thuật tiếp theo trên cơ sở thu thập và phân tích các thông tin của môi trường mạng. Kỹ thuật mô tả hành động theo cách độc lập với phần mềm độc hại và công cụ tấn công cụ thể. Lợi ích từ phương pháp này là nó xét đến toàn bộ hành vi của một kẻ tấn công mà không phụ thuộc vào các phần mềm độc hại và công cụ tấn công cụ thể.
Một điểm khác biệt quan trọng giữa kỹ thuật trong ATT&CK và IOC là rất nhiều kỹ thuật ATT&CK sử dụng các chức năng hệ thống hợp lệ được sử dụng cho mục đích xấu, trong khi IOC được triển khai như một cơ chế phát hiện xâm nhập thông qua các dấu hiệu độc hại đã biết.
PHƯƠNG PHÁP PHÁT TRIỂN DỰA TRÊN PHÂN TÍCH ATT&CK
MITRE đã sử dụng phương pháp phát triển phân tích dựa trên ATT&CK để tạo đánh giá và tinh chỉnh các phân tích với mục đích phát hiện chính xác hơn hành vi đối nghịch trên mạng. Các thuật ngữ White Team, Red Team và Blue Team lần lượt thực hiện các vai trò sau [8]:
• White Team - Phát triển các kịch bản mối đe dọa để thử nghiệm hệ thống bảo mật.
• Red Team - Đóng vai trò là kẻ tấn công mạng.
• Blue Team - Đóng vai trò là đội phòng thủ mạng có vai trò sử dụng các bản phân tích để phát hiện hoạt động của Red Team.
Hình 4. Phương pháp phát triển phân tích dựa trên ATT&CK
Phương pháp phát triển phân tích dựa trên ATT&CK bao gồm 7 bước, được thể hiện trong Hình 4.
Bước 1. Xác định các hành vi (Identify Behaviors) từ mô hình mối đe dọa. Một số yếu tố cần được xem xét khi quyết định cách ưu tiên các hành vi khác nhau:
- Những hành vi phổ biến nhất;
- Những hành vi có tác động độc hại nhất;
- Những hành vi nào có truy cập dữ liệu;
- Hành vi nào phổ biến nhất cho thấy hành vi độc hại.
Bước 2. Thu thập dữ liệu (Acquire Data) - Xác định dữ liệu cần thiết cho phân tích phát hiện hành vi độc hại.
Bước 3. Phát triển phân tích (Develop Analytics) - Phát triển phân tích từ dữ liệu được thu thập để phát hiện các hành vi nghi vấn.
Bước 4. Phát triển kịch bản mô phỏng tấn công (Develop an Adversary Emulation Scenario) - White Team phát triển kịch bản mô phỏng kẻ tấn công dựa trên ATT&CK, bao gồm các hành vi được xác định trong Bước 1. Kịch bản bao gồm các kỹ thuật cụ thể được Red Team sử dụng.
Bước 5. Mô phỏng mối đe dọa (Emulate Threat) - Red Team cố gắng đạt được các mục tiêu mà White Team vạch ra bằng cách thực hiện các hành vi và kỹ thuật được mô tả trong mô hình ATT&CK.
Bước 6. Điều tra tấn công (Investigate Attack) - Blue Team cố gắng tạo lại dòng thời gian của hoạt động Red Team bằng cách sử dụng các phân tích và dữ liệu được phát triển trong Bước 3.
Bước 7. Tổng hợp đánh giá hiệu suất (Evaluate Performance - White, Red and Blue Teams) phân tích sự tương tác để đánh giá mức độ thành công trong phát hiện các hành vi giả lập APT của Blue Team khi sử dụng các phân tích và dữ liệu thu thập được. Sau khi đánh giá chu trình sẽ được lặp lại từ Bước 1.
MỘT VÍ DỤ TỔNG HỢP THÔNG TIN NHÓM TIN TẶC APT27
Nghiên cứu các phương pháp, kỹ thuật của các nhóm tin tặc từ nghiên cứu của MITRE, ta có thể có được tổng quan các kỹ thuật có thể đã biết, hoặc chưa biết nhưng rất phổ dụng trong các nhóm tin tặc. Ví dụ bảng tổng hợp các kỹ thuật và phần mềm của nhóm APT27 (được biết hoạt động ở khu vực Đông Nam Á) công khai từ MITRE.
BẢNG 1. TỔNG HỢP MỘT SỐ KỸ THUẬT TẤN CÔNG CỦA NHÓM APT27
Việc sử dụng dữ liệu tấn công thực tế trong ATT&CK cho phép tập trung chống lại các phương thức được sử dụng phổ biến nhất trong các nhóm APT khác nhau và cho phép xác định các lỗ hổng bảo mật. Hiện tại, không có phương pháp có sẵn để áp dụng kinh nghiệm thế giới về kiến thức, về chiến thuật và kỹ thuật của một hành động tấn công khi thiết kế một hệ thống bảo mật. Do đó, giải pháp sử dụng cơ sở tri thức ATT&CK trong quá trình thiết kế hệ thống bảo mật thông tin cả ở giai đoạn mô hình hóa các mối đe dọa bảo mật thông tin và giai đoạn xác định các biện pháp bảo mật là vô cùng cần thiết và hữu ích.
BẢNG 2. TỔNG HỢP PHÂN MỀM CỦA NHÓM APT27
KẾT LUẬN
Phương pháp phát triển phân tích dựa trên ATT&CK là nền tảng để các chuyên gia bảo mật sử dụng trong việc thiết lập và duy trì khả năng phát hiện các mối đe dọa APT. Việc phát hiện bằng các phương pháp này không phụ thuộc vào các IOC xấu được biết đến điển hình hoặc thông báo bên ngoài về vi phạm mạng và có thể dẫn đến phát hiện nhanh sự xâm nhập mạng, bằng cách sử dụng các kỹ thuật đối nghịch được mô tả trong mô hình ATT&CK.
Các nhà nghiên cứu MITRE sử dụng mô hình ATT&CK để thông báo sự phát triển của phân tích và cấu trúc của Red Team cho các trò chơi mạng (Cyber Games). MITRE sử dụng 7 bước của phương pháp phát triển phân tích ATT&CK nhằm thường xuyên cải thiện khả năng phòng thủ trong các trò chơi mạng với các phân tích mới. MITRE cũng đã xuất bản CAR để phục vụ như là nền tảng chia sẻ phân tích nhằm ghi lại các phân tích được phát triển thông qua nỗ lực này để cộng đồng sử dụng và mở rộng.
Cơ sở tri thức của ATT&CK không ngừng phát triển, do đó việc sử dụng cơ sở kiến thức này cho việc thiết lập hệ thống bảo mật thông tin là rất hữu ích và cần thiết. Nó giúp các chuyên gia xây dựng hệ thống bảo mật trên cở dữ liệu của các cuộc tấn công có thể xảy ra và dựa vào việc dự đoán các lỗ hổng của hệ thống để đưa ra phương án khắc phục kịp thời. Không những thế, việc liên tục cập nhật cơ sở tri thức ATT&CK sẽ giúp giảm thiểu rủi ro trước các cuộc tấn công trong tương lai.
|
TÀI LIỆU THAM KHẢO 1. FireEye, “M-Trends 2016,” [Online]. Available: https://www2.fireeye.com/rs/848-DID-242/ images/Mtrends2016.pdf. 2. S. Tomonaga, [Online]. Available: Http://blog.jpcert.or.jp/2016/01/windows- commands-abused-by-attackers.html. 3. The MITRE Corporation, 2018. [Online]. URL: https://attack.mitre.org 4. The MITRE Corporation, September 2018. [Online]. Available: https://car.mitre.org 5. Sushil Jajodia, V.S. Subrahmanian, Vipin Swarup, Cliff Wang, Springer, pp. 8-15, 2016. 6. Emmanouel Garoufallou, 2019, pp. 109-125. 7. Daniel Regalado, Shon Harris, Allen Harper, Chris Eagle, Jonathan Ness, Branko Spasojevic, Ryan Linn, Stephen Sims, 2019, pp. 135-155. 8. Brook S.E. Schoenfield, 2019, P. 250. |
TS. Đào Tuấn Hùng, TS. Hoàng Thái Hổ
08:00 | 09/03/2020
08:00 | 16/06/2020
14:00 | 14/01/2021
10:00 | 06/05/2019
09:04 | 07/08/2017
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
23:00 | 22/01/2023
Với sự bùng nổ và phát triển của công nghệ mạng Internet cùng nhiều tiện ích và giải trí hiện nay, kéo theo đó là tần suất gia tăng các cuộc tấn công mạng, việc sử dụng hàng loạt những website lừa đảo không an toàn, nhằm mục đích đánh lừa người dùng truy cập vào những website độc hại để thực hiện hành vi đánh cắp thông tin, hay lây lan những phần mềm chứa mã độc đang trở thành một xu hướng tấn công của tin tặc. Nhận thức được tầm quan trọng của việc truy cập an toàn trên môi trường mạng, bài báo sau đây sẽ cung cấp đến độc giả những kỹ năng cần thiết để sử dụng các công cụ hỗ trợ nhằm kiểm tra chỉ số về độ an toàn của website, qua đó giúp người dùng an tâm và tránh được việc thông tin của bản thân bị đánh cắp và lợi dụng cho những mục đích xấu.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
