Các tấn công có chủ đích (targeted attacks) và các mối đe dọa bền bỉ tiên tiến (Advanced Persistent Threat – APT) đang nhanh chóng trở thành một tiêu chuẩn mới của các mối đe dọa an ninh mạng – bao gồm các tấn công tập trung, có chủ đích được thiết kế riêng để xâm nhập vào doanh nghiệp và các cơ quan chính phủ nhằm tìm kiếm các thông tin có giá trị, các bí mật kinh doanh, và truy xuất vào các hệ thống nội bộ bên trong. Các vụ thất thoát dữ liệu quan trọng xảy ra với RSA, Citibank, và Global Payments đều đã được đăng trên trang nhất trên các báo trong năm vừa qua, và theo một cuộc khảo sát gần đây của ISACA, 21% các câu trả lời thừa nhận rằng doanh nghiệp của họ đã là nạn nhân của tấn công APT, và 63% nghĩ rằng việc doanh nghiệp của họ bị tấn công chỉ là vấn đề thời gian.
ADVANCE PERSISTENT THREAT (APT) OVERVIEW
Trình tự của tấn công APT điển hình
Các tấn công tiên tiến ngày nay sử dụng một phương pháp nhiều giai đoạn để lấy được các dữ liệu có giá trị – đạt được một điểm xâm nhập, download các malware, mở cổng hậu (backdoor), định vị và xâm chiếm các hệ thống mục tiêu, và upload dữ liệu.
Trong khi việc xâm chiếm dữ liệu trên laptop có thể diễn ra nhanh chóng, thì thời gian từ lúc xâm nhập ban đầu tới lúc xâm chiến được dữ liệu thường mất hàng ngày hay hàng tuần. Thời gian thực tế để phát hiện và tiêu diệt hoàn toàn các mối đe dọa có thể mất hàng tháng. Trong suốt tiến trình này, một mạng của doanh nghiệp đang chứa chấp một kể xâm nhập với mục đích là không ngừng xâm chiếm các dữ liệu có giá trị.
APT and Targeted Attack Profile
Mô hình kịch bản tấn công điển hình.
APT và các tấn công có chủ đích thường tuân theo một kịch bản nhiều bước sử dụng các thủ đoạn như:
1. Social – Xác định mục tiêu và tấn công những người cụ thể với social engineering và các malware tiên tiến
2. Sophisticated – Khai thác các lỗ hổng bảo mật, sử dụng backdoor controls, ăn cắp và sử dụng các thông tin quan trọng hợp lệ
3. Stealthy – Được thực hiện trong một chuỗi các chuyển động ở mức thấp mà các giải pháp bảo mật thông thường không thể pháp hiện ra được, hoặc bị chìm lẫn giữa hàng ngàn các nhật ký sự kiện khác được thu thập hàng ngày.
Cuộc tấn công bắt đầu với việc thu thập thông minh để tạo và thực hiện một tấn công social engineer với nhân viên, sau đó xâm nhập vào mạng, di chuyển âm thầm trong tổ chức, và cuối cùng là khai phá và gửi dữ liệu ra bên ngoài – trong suốt thời gian đó, giao tiếp điều khiển và dòng lệnh (command & control) và các điều khiển backdoor được thực hiện thông qua kiểm soát từ xa.
Advanced Persistent Threats (APT) và các tấn công có chủ đích đã chứng minh khả năng của chúng trong việc tránh bị phát hiện bởi các biện pháp phòng vệ an ninh truyền thống, không bị phát hiện trong khoảng thời gian dài, và xâm nhập dữ liệu của tổ chức và các tài sản trí tuệ. Sự nghiêm trọng của các tấn công này được sắp xếp bởi các xu hướng công nghệ chẳng hạn như consumerization và cloud computing, những thứ mà sẽ khiến cho mạng bị hứng chịu nhiều tấn công hơn bởi việc làm giảm vai trò của bảo vệ vành đai. Các nhà phân tích và các chuyên gia đã nhận ra những vấn đề này và khuyến cáo các doanh nghiệp nên phát triển hệ thống bảo mật của họ để bao quát công nghệ phát hiện mối đe dọa đặc thù và một tiến trình quản trị mối đe dọa theo thời gian thực một cách chủ động.
GIỚI THIỆU GIẢI PHÁP TREND MICRO DEEP DISCOVERY
Trend Micro Deep Discovery cung cấp cái nhìn toàn cảnh, sâu sắc và kiểm soát hệ thống mạng mà các doanh nghiệp và các tổ chức chính phủ cần để làm giảm nguy cơ hứng chịu các tấn công APTs và các tấn công có chủ đích. Deep Discovery phát hiện và xác định các mối đe dọa xâm nhập theo thời gian thực, và cung cấp sự phân tích sâu và các hành động cần thiết để phòng tránh, khám phá và ngăn chặn các tấn công vào các dữ liệu của doanh nghiệp.
Các phương pháp đã được chứng minh của Deep Discovery mang đến sự phát hiện tốt nhất với khả năng lọc nhầm (false positives) ít nhất và trải rộng với việc xác định các nội dung, các giao tiếp, và các hành động độc hại trên tất các các bước của một cuộc tấn công. Mặc dù phát hiện và phân tích sâu cả các loại malware tiên tiến và các hành động xâm nhập của kẻ tấn công, Deep Discovery còn cung cấp cho các doanh nghiệp và các tổ chức chính phủ một mức độ mới của việc nhìn nhận (visibility) và giải pháp thông minh để đánh bật các tấn công APTs và các tấn công có chủ đích trên môi trường điện toán đang phát triển.
Deep Discovery Inspector (DDI)
- Giám sát lưu lượng mạng
- Phát hiện các mối đe dọa tiên tiến
- Báo cáo và phân tích theo thời gian thực
PHÁT HIỆN VÀ BẢO VỆ CHỐNG LẠI
- Các tấn công APTs và các tấn công có chủ đích
- Zero-day malware và các tấn công khai thác tài liệu
- Hành động mạng của kẻ tấn công
- Các mối đe dọa trên Web (các tấn công khai thác, tải về tự động)
- Các mối đe dọa trên Email (phishing, spear-phishing)
- Ăn cắp dữ liệu (Data exfiltration)
- Bots, Trojans, Worms
- Key Loggers and Crime ware
- Các ứng dụng gây rối
Deep Discovery Advisor (DDA)
Deep Discovery Advisor (DDA) có sức mạnh để thực hiện sự phân tích các mẫu đáng ngờ bằng cách tận dụng phương pháp phân tích heuristics, cung cấp phân tích và báo cáo Threat Intelligence để thực hiện sự bảo vệ toàn diện chống lại botnet và các mối đe dọa malware tiên tiến khác, bao gồm Advanced Persistent Threats (APT).
Deep Discovery Advisor (DDA) có thể được tích hợp với Deep Discovery Inspector (DDI) và Interscan Messaging Security Virtual Appliance (IMSVA – Giải pháp Mail Gateway của Trend Micro) để thực hiện việc phân tích malware chưa được biết đến bằng cách sử dụng phân tích heuristics và có thể cung cấp sự phân tích và báo cáo mối đe dọa theo thời gian thực. Bộ máy phân tích VMware Sandbox Analysis được tích hợp sẵn bên trong cho phép DDA tiến hành theo dõi và phân tích các hành động khả nghi và phát hiện hiệu quản malware hay các tấn công chẳng hạn như giao tiếp C&C, các tấn công social engineering và các tấn công DDoS.
CÁC TÍNH NĂNG CHÍNH
Threat Analyzer
- Phân tích và mô phỏng mối đe dọa chuyên sâu
- Các môi trường thực thi sandbox tùy chỉnh
- Sự cung cấp mở, tự động và thủ công
- Có thể tích hợp với DDI và IMSVA
Threat Intelligence Center
- Sự phân tích sâu các sự kiện và sự cố
- Báo cáo tập trung Deep Discovery Inspector (DDI) central reporting
Security Update Server
- IP/URL blacklist export
- Cập nhật signature tùy chỉnh (tương lai)
Deep Discovery Analyzer (DDAN)
Deep Discovery Analyzer (DDAN) là máy chủ dạng sanbox có khả năng mở rộng cung cấp dịch vụ sanboxing kiểu On-Demand và On-Premise. DDAN giúp bạn xác định đa môi trường ảo hóa sanbox tùy biến mà chính xác phù hợp với cấu hình phần mềm của máy tính để bàn. Nó hỗ trợ tích hợp dạng out – of – the – box với các sản phẩm bảo mật về web và email của Trend Micro cũng như các sản phẩm khác của nền tảng DD. Một dịch vụ Web mở có tên gọi API cho phép bất kỳ sản phẩm hoặc được ủy quyền riêng biệt nào đó đề xuất (nộp) mẫu và có được báo cáo phân tích chi tiết.
CÁC TÍNH NĂNG CHÍNH
Dịch vụ sandboxing có khả năng mở rộng
Đảm bảo hiệu xuất tối ưu với giải pháp có khả năng mở rộng cho phép giữ hệ thống hoạt động ổn định với mẫu về email, network, enpoint hay bất kỳ mẫu nguồn nào
Sanboxing tùy chỉnh
Thực hiện mô phỏng và phân tích sandbox trong môi trường mà nó chính xác phù hợp với cấu hình phần mềm trên máy để bàn, đảm bảo phát hiện tối ưu và tỷ lệ sai xót thấp
Phạm vi phân tích tệp tin rộng
Kiểm tra một phạm vi rộng tệp tin trên nền tảng Windows, thực thi trên Microsoft Office, PDF, nội dung Web và một số kiểu tệp tin nén bằng cách sử dụng các loại công cụ phát hiện và sandboxing
Phát hiện ra bằng việc khai thác tài liệu
Phát hiện các mã độc và khai thác tài liệu văn phòng thông thường bằng cách sử dụng cơ chế phát hiện và sandboxing đặc biệt
Phân tích các URL
Thực hiện quét trang và phân tích sandbox các URL mà nó được đề xuất (nộp) thủ công
Báo cáo chi tiết
Mạng lại những kết quả phân tích đầy đủ bao gồm chi tiết các hoạt động mẫu và giao tiếp C&C thông qua bảng điều khiển trung tâm và các báo cáo
Tích hợp với các sản phẩm của TrendMicro
Cho phép việc tích hợp Out-of-the-box với hầu hết các sản phẩm an ninh web và mail của TrendMicro
Dịch vụ Web API và đề xuất (nộp) thủ công
Cho phép bất kỳ sản phẩm hoặc nhà nghiên cứu về mối đe dọa được ủy quyền đề xuất (nộp) mẫu
Tích hợp phòng thủ tùy chỉnh
Chia sẻ cơ chế phát hiện IOC Intelligence mới một cách tự động với những giải pháp khác của TrendMicro và sản phẩm bảo mật của bên thứ 3
Deep Discovery Enpoint Sensor (DDES)
Deep Discovery Enpoint Sensor (DDES) là phần mềm giám sát bảo mật thiết bị đầu cuối nhận biết ngữ cảnh mà nó ghi lại và báo cáo chi tiết các hoạt động ở cấp độ hệ thống cho phép phân tích các mối đe dọa để đánh giá một cách nhanh chóng bản chất và phạm vi của một cuộc tấn công. Cảm biến đầu cuối (Enpoint Sensor) sử dụng thông tin IOC (Indicators of Compromise) từ Deep Discovery và những nguồn khác nhau để thực hiện việc tìm kiếm đa cấp qua thiết bị đầu cuối người sử dụng và máy chủ để xác minh thâm nhập và khám phá các bối cảnh đầy đủ và thời gian của cuộc tấn công.
CÁC TÍNH NĂNG CHÍNH
Ghi lại sự kiện về phạm vi thiết bị đầu cuối
- Enpoint Sensor sử dụng một máy trạm ít quan trọng để ghi lại những hoạt động có ý nghĩa và các sự kiện truyền thông ở cấp độ nhân (kernel). Nó theo dõi các sự kiện này trong bối cảnh qua thời gian, cung cấp chiều sâu về lịch sử mà nó có thể được truy cập theo thời gian thực
Dồi dào tham số tìm kiếm
- Enpoint có thể được truy vấn về truyền thông cụ thể, mã độc cụ thể, hoạt động đăng k., hoạt động tài khoản, tiến trình đang chạy cụ thể và hơn thế nữa. Tham số tìm kiếm có thể là tham số riêng biệt như tệp tin Open IOC hoặc YARA
Quản lý tập trung việc tìm kiếm và phân tích
- Tìm kiếm có thể được thực hiện một cách trực tiếp từ Enpoint Sensor Manager hoặc từ TrendMicro Control Manager chính vì thế bạn có thể ngay lập tức ứng phó với các cuộc tấn công dựa trên thông số thời gian thực IOC và dữ liệu hành động từ những sản phẩm khác
Kết quả và việc phân tích ngữ cảnh đa cấp độ
- Các biểu đồ (dashboard) tương tác cho phép bạn xem và phân tích các hoạt động của hệ thống theo thời gian, đánh giá thời hạn hoặt động của cả doanh nghiệp và xuất các kết quả điều tra
Triển khai tại trạm, từ xa và trên đám mây
- Enpoint Sensor báo cáo và ghi lại những hoặc động cụ thể theo cấp độ của hệ thống thông qua máy chủ, máy trạm, máy tính xách tay chạy trên nền tảng Windows và ở tại bất kể ở vị trí địa lý nào
Tương thích với phần mềm chống virut
- Tương thích và cùng tốn tại với bất kể các phần mềm diệt virut trên máy trạm/ máy chủ nào
Điều tra và ứng phó với việc phát hiện ra các mối đe dọa cho người dùng và mạng
– Bước 1: Deep Discovery nhận dạng hoạt động của mã độc hoặc phần mềm độc hại
– Bước 2: Deep Discovery Indicators of Compromise (IOC) thông minh được sử dụng như một tiêu chí tìm kiếm
– Bước 3: Điều tra đa cấp độ Enpoint Sensor có thể
o Xác nhận và điều tra các cảnh báo thâm nhập
o Quét các Enpoint cho cùng các IOC
o Bản đồ tấn công theo thời gian/ tiến trình
o Kế hoạch ngăn chặn và khắc phục
Comments are closed.