Phát hiện tấn công theo hành vi và bài toán chống tấn công có chủ đích
Cách mạng công nghiệp 4.0 với các đặc trưng về hệ thống điều khiển số, IoT, điện toán đám mây và trí tuệ nhân tạo đã mở ra cho nhân loại những cơ hội mới nhưng cũng đặt ra những thách thức mới. Một vấn đề lớn đòi hỏi phải tập trung giải quyết ngay từ đầu là đảm bảo an toàn thông tin cho các hệ thống công nghệ thông tin phục vụ công nghiệp 4.0. Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Một trong số đó là tấn công có chủ đích (Advanced Persistent Threat - APT).
Tấn công APT là hình thức tấn công mạng có mục tiêu cụ thể được thực hiện bằng các công nghệ tiên tiến và kỹ thuật lừa đảo trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Các cuộc tấn công APT thường sử dụng phần mềm tùy biến tinh vi khó bị hệ thống bảo mật phát hiện, theo nhiều hình thức khác nhau như: sử dụng lỗ hổng zero-day, kỹ nghệ xã hội, lây lan mã độc.... Chủ quản hệ thống chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Các cuộc tấn công APT thường được tổ chức chặt chẽ, có nguồn lực tài chính lớn và công nghệ hiện đại. Đặc biệt, các tấn công này nhiều khi còn được đứng sau bởi các hoạt động gián điệp được hỗ trợ bởi các tổ chức chính phủ và quân đội và có khả năng tránh hầu hết các chương trình phát hiện tấn công thương mại sử dụng kỹ thuật cổ điển phổ biến. Thực tế cho thấy, hầu như các cuộc tấn công APT đều thành công dù trong mạng của các doanh nghiệp có cài các phần mềm diệt virus mới nhất của các hãng nổi tiếng. Ngay cả hãng Kaspersky, trong năm 2015 cũng trở thành nạn nhân của APT. APT là một tấn công khó có thể phát hiện bởi một giải pháp phần cứng hay phần mềm cụ thể, mà thường qua thông qua một quá trình chủ động điều tra và tổng hợp thông tin từ nhiều nguồn khác nhau. Thực tế đó dẫn đến nhu cầu xuất hiện những giải pháp phát hiện tấn công thế hệ mới, nhanh hơn, hiệu quả hơn và sử dụng được ưu điểm của các công nghệ mới.
Ngoài tấn công APT, các hiểm họa nội gián cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng nhất. Tấn công nội gián không có dấu hiệu rõ ràng, có thể do những nhân viên bất mãn trong nội bộ tổ chức, gián điệp công nghiệp hoặc do chính sự bất cẩn của các nhân viên trong nội bộ tổ chức gây lộ, lọt, mất mật khẩu hoặc định danh cá nhân, hay cũng có thể do bị lợi dụng tấn công bằng kỹ nghệ xã hội nhằm chiếm quyền trên hệ thống. Dạng tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Một hạn chế dễ thấy của các hệ thống bảo mật thông tin hiện nay là sử dụng các hình thức xác thực đơn giản bằng mật khẩu. Với sức mạnh tính toán như hiện nay, các mật khẩu có thể dễ dàng bị vô hiệu hóa, dễ đoán và đánh cắp, gây ra những hiểm họa về an toàn cho hệ thống. Khi tin tặc đã có được mật khẩu hoặc thông tin kết nối trích xuất từ mật khẩu thì tất cả các giải pháp về kiểm soát truy cập đều bị “tê liệt”.
Kiến trúc của các phần mềm phát hiện tấn công truyền thống tập trung vào việc phát hiện các tấn công trong thời gian thực qua đường web, email... tại máy tính đầu cuối. Việc phát hiện các tấn công theo hành vi sẽ bổ sung cho phương pháp phát hiện truyền thống, nhằm nâng cao khả năng phát hiện ra các tấn công và các hiểm họa bất thường do người dùng hợp lệ gây ra trên hệ thống. Một hệ thống muốn có hiệu quả (tính chính xác cao) thì cần kết hợp đồng thời cả 2 phương pháp này.
Các mô hình phát hiện tấn công theo hành vi
Một số mô hình phát hiện tấn công theo hành vi được áp dụng hiệu quả bao gồm: Mô hình thống kê, Mô hình dựa trên lý thuyết thông tin, Mô hình phân cụm và Mô hình phân lớp.
Mô hình thống kê
Ý tưởng chính của mô hình này là dựa trên việc các hiện tượng (hay các mô hình hành vi truy cập) thường tuân theo một quy luật thống kê nào đó (như luật phân phối chuẩn, luật χ2, luật Poison…). Căn cứ trên quy luật đó, ta có thể đánh giá hiện tượng nào là bất thường với một xác suất nào đó. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) sẽ giúp tạo ra ngưỡng và xác suất sai chấp nhận để đưa ra cảnh báo. Ví dụ: Khi lưu lượng tăng cao một cách bất thường có thể sẽ xảy ra những nguy cơ rò rỉ thông tin hoặc tấn công DDoS, hoặc nếu lưu lượng giảm thấp đột ngột hay hiệu suất hệ thống bị suy giảm có thể xảy ra trường hợp bất thường về hoạt động của hệ thống. Một số phương pháp thường được sử dụng thuộc mô hình này bao gồm: phân tích hồi quy, phân tích chuỗi thời gian, phân tích tương quan....
Mô hình này có ưu điểm đơn giản và dễ dàng thực thi, không cần phải xử lý trước các dữ liệu phức tạp.
Tuy nhiên, mô hình này chỉ có hiệu quả tốt trên một số hình thức tấn công APT đã biết trước mô hình, đồng thời, đòi hỏi phải có thời gian rất dài và lượng dữ liệu phân tích khá lớn mới có thể cho kết quả chính xác.
Hình 1. Kiến trúc IDS dựa trên sự bất thường
Mô hình dựa trên lý thuyết thông tin
Mô hình này dựa trên việc đo độ hỗn loạn của thông tin được truyền trong phiên truyền thông để phát hiện bất thường. Độ hỗn loạn của thông tin thường được xác định bằng entropy. Nói theo một cách dễ hình dung thì nó là khả năng có thể đoán ra sự xuất hiện của ký tự tiếp theo trong đoạn văn bản đang xuất hiện. Nếu không đoán được ký tự sau thì độ hỗn loạn là cao nhất (hay entropy cao nhất). Claude E. Shannon đã xây dựng định nghĩa về entropy để thoả mãn các giả định sau:
- Entropy phải tỷ lệ thuận liên tục với các xác suất xuất hiện của các phần tử ngẫu nhiên trong tín hiệu. Bất kỳ thay đổi nhỏ nào trong xác suất cũng dẫn đến thay đổi nhỏ trong entropy.
- Nếu các phần tử ngẫu nhiên đều có xác suất xuất hiện bằng nhau, thì việc tăng số lượng phần tử ngẫu nhiên phải làm tăng entropy.
- Có thể tạo các chuỗi tín hiệu theo nhiều bước và entropy tổng cộng phải bằng tổng trọng số entropy của từng bước.
Từ những giả định trên, entropy có thể được sử dụng để đo độ hỗn loạn của nội dung gói tin, các địa chỉ IP, tên miền DNS… để xác định các tấn công. Ví dụ, có thể sử dụng độ hỗn loạn của thông tin gửi đến máy chủ để xác định có hành vi khai thác mã hay không? Độ hỗn loạn của tên miền, độ hỗn loạn của địa chỉ IP có thể được dùng để xem xét sự xuất hiện của các tấn công DDoS.
Mô hình này có ưu điểm đơn giản và dễ dàng thực thi, không cần phải xử lý trước các dữ liệu phức tạp.
Tuy nhiên, mô hình cũng tồn tại một số nhược điểm như: Cần phải xác định các mô hình ngữ nghĩa để đo tính bất định của thông tin. Do đó, cần có những mẫu cố định trước, điều này dẫn đến độ chính xác không cao và khó xác định các tấn công nhiều pha phức tạp. Phương pháp này có hiệu quả tốt trong việc dự đoán các pha sớm của tấn công APT khi đã biết trước mô hình và cũng có thể dự đoán được các thông tin mật bị rò rỉ với tấn công nội gián và khi người dùng bị đánh cắp mật khẩu hợp lệ. Điều này, phụ thuộc khá lớn vào mô hình ngữ nghĩa.
Mô hình phân cụm (cluster)
Mô hình này hoạt động bằng cách gom nhóm thông tin thành các cụm theo các tiêu chí khác nhau. Những thành viên trong cụm sẽ có chung các tính chất và độ tương đồng. Nếu thông tin đầu vào không được dán nhãn thì sẽ không biết số lượng các nhóm.
Ví dụ, sử dụng Self-Organizing Map (SOM) để biết có bao nhiêu cụm hình thái khác nhau. Quá trình giám sát sẽ ánh xạ các hiện trạng vào các nhóm gần nhất. Các nhóm này có thể là các mô hình truy cập hợp lệ, các trường hợp bình thường. Khi các trạng thái mới của hệ thống không ở gần những nhóm này sẽ được coi là bất thường và sinh ra các cảnh báo. Một số mô hình phân cụm thường gặp như: mô hình phân cụm phân cấp dựa trên khoảng cách, mô hình k khoảng cách gần nhất (k-means)....
Mô hình phân cụm có ưu điểm cho phép xác định nhiều trạng thái khác nhau của hệ thống. Ví dụ, trạng thái bình thường theo thời gian trong ngày, bình thường của các phân vùng mạng khác nhau. Mô hình này cho phép miêu tả hệ thống với rất nhiều trạng thái “bình thường”. Điều này giúp có thể dự đoán những tấn công mới, những hành vi bất thường một cách hiệu quả. Ngoài ra, còn có thể sử dụng để phát hiện các tấn công APT mới và phức tạp, các hành vi nội gián và việc người dùng mất mật khẩu dựa trên mô hình hành vi bất thường.
Tuy nhiên, thời gian và khối lượng tính toán khá lớn là nhược điểm của mô hình phân cụm. Nhất là khi chúng ta cần cập nhật thông tin về các cụm thường xuyên để tăng độ chính xác của cảnh báo. Thêm nữa, việc có nhiều cụm sẽ tăng khối lượng tính toán khoảng cách tới các cụm trong quá trình giám sát và có thể làm trễ cảnh báo. Ngoài ra, cũng cần xây dựng những mô hình hành vi tin cậy và xác định các ngưỡng phù hợp, việc này có khả năng gây ra số lượng cảnh báo giả khá lớn.
Mô hình phân lớp
Ý tưởng chính của mô hình này là phân lớp các dữ liệu dựa trên các mô hình dán nhãn sẵn. Dữ liệu đưa vào “học” đã được dán nhãn (tức là đã biết kết luận). Từ đó, tìm ra các cách phân tách tốt nhất các thông tin. Đây còn gọi là mô hình học có giám sát. Khi thực hiện giám sát, hệ thống sẽ xem vị trí của dữ liệu thật với cách phân tách của lớp để đưa ra kết luận. Một số thuật toán như: máy vector hỗ trợ (SVM), mạng neuron, mô hình Bayesian, cây quyết định.... Mô hình này rất phù hợp cho phát hiện tấn công theo hành vi đã biết như hành vi chuyển mã độc trong dòng dữ liệu mã hóa, hành vi dò quét mạng.
Hoạt động của mô hình này thực chất là phát hiện tấn công theo hành vi xấu đã biết. Ưu điểm của nó là cung cấp khả năng giám sát nhanh, giúp cho việc xác định các cuộc tấn công được tiến hành kịp thời.
Tuy nhiên, nhược điểm lớn nhất của mô hình này là phải có số lượng dữ liệu đầu vào cho quá trình “học” lớn và chính xác (tức là phải được dán nhãn đúng). Nếu số lượng các thuộc tính (attribute) sử dụng như thông tin đầu vào lớn thì thời gian “học” có thể sẽ dài.
Nhìn chung, việc sử dụng mô hình phát hiện tấn công theo hành vi hoạt động là không thể thiếu và khá hiệu quả trong việc phát hiện các hình thức tấn công mới, phức tạp, các hành vi tấn công nội gián và hành vi của người dùng đánh cắp mật khẩu. Tuy nhiên, hạn chế của hướng tiếp cận này là tỉ lệ cảnh báo giả khá lớn. Hơn nữa, so với phương pháp nhận dạng dựa trên dấu hiệu đặc trưng thì phương pháp này yêu cầu khối lượng dữ liệu xử lý khá lớn, hiệu năng tính toán yêu cầu cao hơn.
Giới thiệu giải pháp StealthWatch của Cisco
StealthWatch là một giải pháp phát hiện tấn công theo hành vi sử dụng mô hình thống kê có khả năng quan sát, theo dõi, giám sát ngầm các hệ thống mạng. StealthWatch có khả năng lưu lại, giám sát và truy vết tất cả các phiên giao tiếp trên mạng thông qua việc thu thập các bản ghi (metadata) từ Netflow (tính năng thực hiện giám sát, phân tích, tính toán lưu lượng gói) về các phiên làm việc trên mạng ở các thiết bị trên như: switch, router hay tường lửa. Đây là giải pháp có thể theo dõi và giám sát hầu hết các kiểu dữ liệu mạng từ các gói tin đến các dữ liệu phiên, dữ liệu sự kiện và có khả năng định nghĩa có mô hình phát hiện bất thường do người dùng nhập vào. Ngay cả với những dòng dữ liệu được mã hóa như HTTPS, SSL/TLS. Stealthwatch cũng có khả năng phân tích các thông tin mở rộng nhận được từ các Switch dòng Cat9K để phát hiện ra mã độc trong các dòng dữ liệu được mã hóa này. Nhìn chung, Stealthwatch có một số đặc điểm như:
- Khả năng tự học, tự xây dựng baseline phối hợp với cấu hình baseline thủ công bởi quản trị viên.
- Khả năng giám sát và phát hiện tấn công cho hệ thống mạng có kích thước lớn.
- Tính năng phối hợp (correlation) nhiều nguồn tin khác nhau để cảnh báo, nâng cao tính chính xác của cảnh báo, giảm báo động giả (fault positive).
- Khả năng phối hợp với một số thiết bị khác để ngăn chặn khi phát hiện sự cố.
Kết luận
Do sự phát triển mạnh mẽ của các tấn công mới, các phương pháp nhận dạng tấn công truyền thống dựa trên mẫu dấu hiệu trở nên ít hiệu quả, dẫn đến nhu cầu phát hiện tấn công theo hành vi ngày càng quan trọng. Nhận dạng tấn công theo hành vi cho phép phát hiện ra những tấn công mới và phức tạp dựa trên các mô hình thống kê và học máy. Điểm yếu của phát hiện tấn công theo hành vi là lượng cảnh báo giả lớn. Để hạn chế nhược điểm này với mỗi giải pháp thực tế, cần chú ý những vấn đề sau khi xem xét, đánh giá một sản phẩm phát hiện tấn công theo hành vi: Thông tin đầu vào; Khả năng xử lý trong quá trình nhận dữ liệu đầu vào, quá trình học và khi giám sát; Khả năng hiệu chỉnh, học liên tục để hệ thống ngày càng thu được baseline chính xác hơn và qua đó giảm được cảnh báo giả.
Trần Anh Tú, Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ