LÝ THUYẾT AN NINH VS. AN NINH DỰA TRÊN THỰC TIỄN: RẤT KHÁC NHAU


Với những tiến bộ nhanh chóng trong kỷ nguyên số hiện nay, tội phạm mạng cũng đang áp dụng các kỹ thuật tiên tiến để tấn công các mục tiêu của họ. Họ thường có thể được nhìn thấy thích nghi và sử dụng các kỹ thuật tinh vi để nhắm mục tiêu và lây nhiễm nạn nhân của họ. Chẳng hạn, khi tin tặc có tên Shadow Brokers đã rò rỉ khai thác bí mật NSA, có tên là EternalBlue vào tháng 4 năm 2017, trong vài ngày tới, một số tội phạm mạng đã lạm dụng khai thác để tạo ra vũ khí hủy diệt hàng loạt. Các kỹ thuật bảo mật truyền thống như phần mềm chống phần mềm độc hại dựa trên chữ ký không còn khả năng chống lại các mối đe dọa tinh vi như vậy.

Các phương pháp tiên tiến hơn để phát hiện và ngăn chặn phần mềm độc hại thông qua phân tích dựa trên hành vi không chỉ là từ thông dụng mà còn trở thành một tiêu chuẩn cho một số ngành công nghiệp. Bài viết này cung cấp một số hiểu biết về những thiếu sót của bảo mật dựa trên chữ ký và cách bảo mật dựa trên hành vi giúp đạt được mức độ bảo mật cần thiết. Liên kết tham khảo: http://techgenix.com/behavior-basing-security/

Bảo mật dựa trên chữ ký
Mỗi phần mềm độc hại có một chữ ký duy nhất (một chuỗi bit duy nhất, hàm băm khó hiểu hoặc mẫu nhị phân) có thể được coi là dấu vân tay để nhận dạng duy nhất phần mềm độc hại đó. Kể từ khi bắt đầu sử dụng phần mềm độc hại, hầu hết các công nghệ chống vi-rút đã sử dụng phát hiện phần mềm độc hại dựa trên chữ ký làm vũ khí chính chống lại các nỗ lực xâm nhập của phần mềm độc hại. Phần mềm chống phần mềm độc hại sẽ giám sát tất cả dữ liệu nhập vào hệ thống và quét nội dung để kiểm tra xem mã nguồn hoặc băm trong các tệp hoặc gói có khớp với bất kỳ mối đe dọa phần mềm độc hại nào đã biết không. Các phương pháp phát hiện dựa trên chữ ký rất đơn giản để thực hiện và cập nhật cho các nhà cung cấp bảo mật. Đối với điều này, tất cả các nhà cung cấp chống phần mềm độc hại duy trì thư viện các mối đe dọa đã biết và đã xác định. Hiệu quả và độ chính xác của các sản phẩm phần mềm này được đo lường bằng cách nhà cung cấp có chữ ký phần mềm độc hại tối đa và khả năng bao gồm chữ ký mới và đẩy chúng đến hệ thống máy khách. Phương pháp này cung cấp sự bảo vệ tuyệt vời và đáng tin cậy chống lại hàng triệu mối đe dọa đã biết và đang hoạt động.

Hạn chế của bảo mật dựa trên chữ ký
Phần mềm dựa trên chữ ký rất hữu ích trong việc phát hiện và bảo vệ chống lại mối đe dọa đã được biết hoặc đã được xác định, nhưng chúng có một số hạn chế. Họ không thể phát hiện các mối đe dọa mới được phát hiện như các cuộc tấn công không ngày, không được thế giới biết đến trước khi chúng được nhìn thấy trong tự nhiên. Một số ví dụ gần đây về các cuộc tấn công như vậy bao gồm WannaCry và Petya ransomware bùng phát gây thiệt hại tối đa vì lỗ hổng cơ bản này trong các hệ thống bảo mật hiện có. Ngoài ra, để khai thác sự thiếu sót này, những kẻ tấn công mạng đã bắt đầu thay đổi mã độc của chúng bằng cách thực hiện các thay đổi nhỏ theo cách phần mềm độc hại của chúng tiếp tục tạo chữ ký mới trong khi vẫn giữ chức năng độc hại. Điều này có thể được thực hiện thông qua các phương thức chuyển đổi mã đơn giản, như chèn mã rác, áp dụng hoán vị mã, mở rộng hoặc thu hẹp mã và đăng ký đổi tên. Điều này cho phép kẻ tấn công tấn công liên tiếp, gây ra tác động thảm khốc. Để đối phó với các cuộc tấn công như vậy, thay vì dựa vào việc quét các tệp lành tính, các nhà cung cấp bảo mật cần tập trung vào việc phát hiện bản chất cơ bản hoặc hành vi của phần mềm độc hại.

Bảo mật dựa trên hành vi
Phần mềm bảo mật dựa trên hành vi được phát triển với trí thông minh nhúng để xem xét độ lệch so với chữ ký của phần mềm độc hại và có khả năng xác định xem các tệp đến có thể gây ra bất kỳ mối đe dọa nào đối với mạng hoặc hệ thống hay không. Điều này cung cấp một cách hiệu quả để bảo mật các thiết bị của người dùng cuối, các thành phần mạng và máy chủ khỏi mọi hoạt động độc hại hoặc thậm chí có khả năng gây hại.

Trong phát hiện dựa trên hành vi, phần mềm được lập trình để phân tích và đánh giá từng dòng mã và phân tích tất cả các hành động tiềm năng có thể được thực hiện bởi mã đó, như truy cập vào bất kỳ tệp, quy trình hoặc dịch vụ nội bộ quan trọng hoặc không liên quan nào. Việc thực thi các hướng dẫn cấp độ hệ điều hành và mã cấp độ cấp thấp của rootkit cũng được bao gồm trong phân tích này. Phần mềm cố gắng phát hiện tất cả các hoạt động độc hại hoặc có khả năng gây hại có thể có bất kỳ tác động bất lợi nào và thông báo cho những người liên quan thực hiện các hành động cần thiết.

Có thể có nhiều chiều của hành vi độc hại, được yêu cầu quét. Điều này bao gồm phát hiện xâm nhập dựa trên hành vi, phân tích mối đe dọa dựa trên hành vi và các sản phẩm phân tích hành vi người dùng. Hầu hết các chương trình dựa trên hành vi tuân theo cơ chế kiểm soát dựa trên chính sách. Một bộ chính sách tiêu chuẩn dựa trên kinh nghiệm và chuyên môn của nhà cung cấp giúp xác định các hành vi có thể được phép thực hiện. Ngoài ra, phần mềm này cũng cho phép quản trị viên tạo hoặc sửa đổi các chính sách để cho phép hoặc không cho phép bất kỳ yêu cầu cụ thể nào có thể dành riêng cho tổ chức hoặc ngành đó.

Hầu hết các giải pháp phát hiện hành vi được trang bị các công nghệ tiên tiến như học máy, công cụ tương quan nâng cao và sinh trắc học hành vi cho phép ánh xạ hành vi độc hại điển hình như cài đặt rootkit, cố gắng phát hiện môi trường hộp cát hoặc cố gắng vô hiệu hóa kiểm soát bảo mật.

Hạn chế của bảo mật dựa trên hành vi
Phát hiện dựa trên chữ ký sử dụng cơ chế phân tích tĩnh, có thể được thực hiện trong thời gian thực. Nhưng đây không phải là trường hợp với bảo mật dựa trên hành vi. Một phân tích động trên nhiều chiều giới thiệu một số độ trễ, ảnh hưởng tiêu cực đến hiệu suất.

Ngoài ra, có một loại phần mềm độc hại đầu tiên cố gắng phát hiện nếu nó đang chạy trong hộp cát. Phần mềm độc hại như vậy được trang bị kỹ thuật chống hộp cát có thể tránh bị phát hiện bằng cách ngăn chặn mọi hoạt động độc hại. Ngoài ra, một số giải pháp bảo mật dựa trên hành vi chỉ dựa trên đám mây, có thể không phù hợp với các chính sách và quy tắc tuân thủ.

Áp dụng bảo mật dựa trên hành vi: Mẹo nhanh
Mỗi ngành và tổ chức là duy nhất và có các định nghĩa và tham số riêng để bảo mật. Ví dụ, trong một số tổ chức tài chính, có hai đến ba lần thử thất bại có thể là một tiêu chuẩn chấp nhận được, nhưng trong một số ngành công nghiệp quan trọng như năng lượng hoặc dầu, có một nỗ lực thất bại duy nhất cũng có thể được coi là một tình huống đáng báo động.

Do tính chất của bảo mật dựa trên hành vi, gần như chắc chắn rằng một số mức độ điều chỉnh sẽ được yêu cầu khi bạn muốn thực hiện nó trong môi trường của mình. Các tùy chỉnh dựa trên nhu cầu kinh doanh của bạn không thể được mong đợi ngoài luồng. Đường cơ sở ban đầu do nhà cung cấp đặt ra và các khuyến nghị của các nhà lãnh đạo cụ thể trong ngành có thể giúp bắt đầu, nhưng cuối cùng, bạn sẽ được yêu cầu tinh chỉnh để tối ưu hóa mọi phần mềm bảo mật dựa trên hành vi cho tổ chức của bạn.

Khi thực hiện bảo mật dựa trên hành vi, các tổ chức phải xem xét các điều sau:

Bắt đầu sớm: Thay vì chờ đợi bất kỳ điểm bùng phát hoặc sự cố lớn nào xảy ra, hãy bắt đầu khám phá tất cả các tùy chọn có thể để áp dụng bảo mật dựa trên hành vi. Hãy thử các tùy chọn có sẵn để có được một số bí quyết trước khi thực hiện đầu tư thực tế.
Thu thập tất cả dữ liệu có thể: Khi có nhiều dữ liệu hơn để phân tích, hệ thống dựa trên máy học sẽ có cơ hội xác định dị thường tốt hơn.
Sử dụng các công cụ tối ưu: Có một số công cụ học máy có sẵn trên thị trường, cả nguồn mở cũng như thương mại. Khám phá chúng và chọn một trong đó bạn sẽ có sự kết hợp đúng về chuyên môn, khả năng tương thích và ngân sách trong tổ chức của bạn.
Tự nâng cao bản thân thường xuyên: Bọn tội phạm tiếp tục thay đổi phương thức tấn công của chúng và tiếp tục thử những cách mới và khác nhau để thâm nhập vào các mạng mục tiêu. Vì vậy, bạn cũng phải tiếp tục xem xét và nâng cao các chính sách bảo mật dựa trên hành vi của mình để tìm và chặn những đối thủ này.
Bảo mật dựa trên chữ ký và bảo mật dựa trên hành vi: Sử dụng kết hợp đúng
Cả hai kỹ thuật phát hiện phần mềm độc hại dựa trên chữ ký và dựa trên hành vi đều có những ưu điểm và nhược điểm riêng. Sử dụng kết hợp đúng cả hai sẽ giúp các tổ chức đạt được mức độ bảo vệ tiên tiến. Chẳng hạn, trong khi bảo mật dựa trên hành vi có thể giúp tránh mọi mối đe dọa phần mềm độc hại mới trong 0 ngày, việc xem lại nhanh các thông số liên quan (chỉ số thỏa hiệp) vào tường lửa dựa trên chữ ký hiện tại và phần mềm chống phần mềm độc hại có thể giúp ngăn chặn lũ lụt lớn hoặc làn sóng của các cuộc tấn công này, cung cấp thêm các lớp bảo mật trên các mạng. Bảo mật tối ưu có thể đạt được bằng cách kết hợp đúng cả hai công nghệ.