(TTCNTT) - Tấn công có chủ đích APT thật sự phức tạp nhưng không đáng sợ như chúng ta vẫn nghĩ, các lỗ hổng Zero-day (Lỗ hổng chưa được biết đến và không có bản vá lỗi) được sử dụng trong APT tuy nguy hiểm nhưng không khó kiếm.
Chỉ một số ít các cuộc tấn công xứng đáng được gọi là cao cấp
Các cuộc tấn công có chủ đích APT xuất hiện trên các mặt báo thường được mô tả như một kiểu tấn công cao siêu mà dường như không cách nào có thể ngăn chặn hoặc phát hiện. Bên cạnh đó, với sự hỗ trợ của các phương tiện truyền thông đã đóng góp một vai trò lớn trong việc tô vẽ và làm cho APT đáng sợ hơn thực tế rất nhiều. Bất cứ bài báo nào mô tả cuộc tấn công mạng có liên quan đến lỗ hổng zero-day, các phương tiện truyền thông sẽ ngay lập tức gán cho nó các tên gọi như "cuộc tấn công cao cấp" hoặc "tấn công có chủ đích APT". Tuy nhiên, với những người thực sự đang làm việc và nghiên cứu trong lĩnh vực an toàn thông tin thì lỗ hổng zero-day không phải là một bí mật và cũng không phải là lỗ hổng "ngày tận thế". Lỗ hổng zero-day có mặt trong các phần mềm và nền tảng phổ biến (ví dụ: Windows, Android, iOS,…) đang được giao dịch mỗi ngày một cách công khai hoặc bí mật bởi các các nhà nghiên cứu bảo mật. Để có được lỗ hổng zero-day cũng không phải là khó; vấn đề là đối tượng cần mua sẵn sàng chi trả bao nhiêu.
Các kỹ thuật tấn công được sử dụng hiện nay bởi đa số các nhóm tấn công APT không phải là mới và các lỗ hổng bị khai thác đều đã có bản vá lỗi (chúng không phải là zero-day). Ngoài ra những công nghệ và giải pháp bảo mật hiện tại đều có thể phát hiện và giảm thiểu các nguy cơ của việc cài đặt các phần mềm gián điệp. Đa phần, các cuộc tấn công an ninh mạng hiện nay thường xứng đáng với danh hiệu có chủ đích (Persistence) bởi vì nó có một kế hoạch tấn công và phối hợp rất tốt, cộng với sự kiên nhẫn trong việc lựa chọn ra các mục tiêu quan trọng. Chỉ có một số ít các cuộc tấn công xứng đáng được gọi là cao cấp (Advanced) hoặc đột phá về phương thức kỹ thuật tấn công.
APT không đáng sợ như những gì mọi người vẫn nghĩ nếu hiểu được các phương thức tấn công, các lỗ hổng và các kỹ thuật khai thác được sử dụng. Hiện tại đã có khá nhiều quy trình bảo mật, công nghệ, và các biện pháp để giảm thiểu những rủi ro gây ra bởi các cuộc tấn công APT bất chấp cuộc tấn công đó có đi kèm với lỗ hổng zero-day hay không.
Thiết kế bảo mật hiện tại có giúp giảm nguy cơ bị tấn công có chủ đích APT?
Trong một thời gian dài, các tổ chức đã đặt cược quá nhiều vào cơ chế bảo mật phòng ngừa (Prevention) mặc dù các cơ chế này cứ thất bại từ năm này qua năm khác. Tấn công an ninh mạng vẫn xảy ra hàng ngày trên khắp thế giới bất chấp việc sử dụng hàng trăm cơ chế an ninh bảo vệ khác nhau. Đó là một dấu hiệu cho thấy phải thay đổi cách suy nghĩ về phương thức tấn công và phòng thủ. Hãy nhìn vào thực tế, để qua mặt các biện pháp an ninh thông thường như tường lửa, chương trình chống virus, hoặc các giải pháp IDS / IPS là việc khá đơn giản và đòi hỏi không quá nhiều nỗ lực từ một kẻ tấn công. Tuy nhiên các nhà cung cấp giải pháp bảo mật trên đã thổi phồng các tính năng của sản phẩm này và điều đó mang lại cảm giác hệ thống của tổ chức sẽ không thể tồn tại một ngày trên Internet mà không có các sản phẩm bảo mật đó.
Theo Công ty tư vấn bảo mật E-CQURITY (ECQ), để chống lại bất kỳ cuộc tấn công APT hoặc các cuộc tấn công phức tạp đòi hỏi việc lập kế hoạch và xây dựng kiến trúc bảo mật một cách cẩn thận dựa theo chiến lược phòng thủ nhiều lớp (defense-in-depth). Phòng thủ nhiều lớp đòi hỏi phải xây dựng các cơ chế phòng thủ thích hợp cho tất cả các lớp quan trọng của một hệ thống thông tin (Information System): Mạng (Network), Hệ Thống/Hệ Điều Hành (Host/OS), Ứng Dụng (Application), và Dữ Liệu (Data).
Mục tiêu của bất kỳ kẻ tấn công nào là phải tiếp cận được lớp Dữ Liệu. Lớp Dữ Liệu thông thường chứa các thông tin quan trọng và cần phải được đảm bảo an toàn. Nhưng rất đáng tiếc, lớp Dữ Liệu mặc dù quan trọng nhưng thường ít được quan tâm và không nhiều các biện pháp bảo mật so với Mạng và Hệ Điều Hành. Khi một kiến trúc an ninh mạng có thiết kế bảo mật không cân bằng và triển khai không đồng dều, đánh sập chỉ là vấn đề thời gian khi một kẻ tấn công thông minh có thể phát hiện ra điểm yếu nhất trong sự liên kết giữa các lớp và dễ dàng xâm nhập sâu vào sâu các mạng bên trong và có thể chạm tới lớp dữ liệu quan trọng.
Phòng thủ theo chiều sâu và nhiều lớp là một chiến lược an ninh yêu cầu mỗi một lớp hệ thống thông tin phải có đầy đủ các yếu tố bảo mật cần thiết.Ý tưởng đằng sau một thiết kế an ninh mạng nhiều lớp là để đảm bảo nếu một giải pháp bảo mật không hoạt đông hoặc bị qua mặt, cơ chế bảo mật khác sẽ thay thế để làm chậm hoặc ngăn chặn cuộc tấn công và không cho tiến xa hơn nữa. Thiết kế kiến trúc bảo mật của các tổ chức thường bị sa đà quá nhiều vào việc "Ngăn chặn" hoặc "Phòng ngừa" mà quên đi các yếu tố quan trọng khác của bảo mật như "Phát hiện" và "Phản ứng". "Phát Hiện" là một cơ chế bảo mật giúp nhận ra ngay một cuộc tấn công khi mới vừa xảy ra và "Phản ứng" kịp thời trong thời gian ngắn nhất để có thể đạt được hiệu quả tốt nhất, tránh những mất mát không đáng có của hệ thống. Trên thực tế, nếu làm đúng, cơ chế bảo mật có tính "Phát hiện" và "Phản ứng" là phương thức bảo mật có giá trị nhất để phát hiện và giảm thiểu các rủi ro bởi các cuộc tấn công có chủ đích hoặc phức tạp.
Vì vậy, phải lưu ý là các cơ chế bảo mật "Phòng Ngừa", "Phát Hiện", và "Ngăn Chặn" phải có mặt trong tất cả bốn lớp của một hệ thống thông tin. Điều này là để đảm bảo rằng nếu một kẻ tấn công vượt qua tất cả các biện pháp an ninh được lắp đặt tại tầng Mạng, vẫn sẽ phải tìm cách vượt qua tất cả các biện pháp an ninh được lắp đặt ở tầng Hệ Thống/Hệ Điều Hành, tầng Ứng Dụng, và sau cùng là tầng Dữ Liệu.
(Nguồn: http://ttvn.toquoc.vn/)