Ngay cả với các lớp bảo mật tại điểm cuối (như phần mềm diệt virus, hệ thống phát hiện và phản hồi tại điểm cuối…), mạng (như hệ thống phát hiện xâm nhập, tường lửa, kiểm tra lưu lượng mạng…) và xung quanh các ứng dụng (như bảo mật email cho Exchange…), các mối đe dọa nâng cao vẫn có khả năng thành công xâm nhập vào hệ thống. Nguyên nhân chủ yếu là dựa vào khả năng che giấu hành vi dưới vỏ bọc là các hành vi hệ thống đáng tin cậy. Chuỗi hành vi của kẻ tấn công được gọi là “Chuỗi tiêu diệt” (kill chain) thường bao gồm các bước sau:

- Dành quyền truy cập ban đầu vào “Điểm cuối”, thường thông qua lừa đảo, tải xuống web, hoặc do Web, hệ thống phân giải tên miền DNS và các máy chủ công khai khác bị cấu hình sai.

- Thiết lập chỗ đứng bằng cách tiến hành trinh sát hệ thống và mạng nội bộ thông qua quét thụ động để tìm các điểm dễ bị tấn công.

- Cài đặt backdoor và đường hầm có mã hóa để thiết lập kết nối C2.

- Duy trì sự tồn tại bằng cách ẩn trong bộ nhớ và các vị trí khó giám sát khác, tự sửa đổi, tắt khi biết đang bị theo dõi, ẩn khỏi các công cụ bảo mật (hoặc thậm chí là thao túng các công cụ này).

- Leo thang đặc quyền có quyền truy cập quản trị nhằm kiểm soát nhiều điểm cuối và hệ thống.

- Tấn công các hệ thống khác với quyền truy cập của quản trị viên (thường là do quản trị viên sử dụng mật khẩu dễ đoán).

- Thiết lập máy chủ kiểm soát nội bộ để ẩn dữ liệu bị đánh cắp bên trong mạng trước truyền dữ liệu đó ra các máy chủ thứ cấp do kẻ tấn công duy trì.

- Thiết lập các kênh C2 để truyền dữ liệu và thông tin xác thực bị đánh cắp ra bên ngoài.

- Truyền dữ liệu ra ngoài mạng, thường được mã hóa, theo từng đợt chậm để không bị phát hiện.

Chỉ báo xâm phạm

Các hành vi tấn công cần được ngăn chặn được càng sớm càng tốt trong “chuỗi tiêu diệt”. Việc phát hiện sớm các mối đe dọa nâng cao thường khó khăn hơn vì không có thông tin tình báo nâng cao về các tấn công này và nhiều công cụ không phát hiện ra các dấu hiệu của chúng.

Chỉ báo xâm phạm (Indicator of compromise - IOC) là một phương pháp phổ biến được sử dụng để phát hiện các mối đe dọa nâng cao trong hệ thống và mạng. Nhưng các chỉ báo này được ẩn và che giấu rất kỹ trong các phương pháp tấn công nên các chuyên gia bảo mật cần có khả năng hiển thị theo ngữ cảnh để quan sát và phân loại các hành vi, tiến trình bất thường từ các điểm cuối và hệ thống trên mạng và trên đám mây. Điều này đòi hỏi khả năng giám sát thụ động các mẫu lưu lượng bên trong mạng, kết hợp với khả năng hiển thị trên các thiết bị và khối lượng công việc tại cơ sở và trên đám mây. Vì lưu lượng trong nhiều tấn công nâng cao, bao gồm lưu lượng C2, được mã hóa nên các nhà quản trị mạng cũng cần có khả năng giải mã lưu lượng một cách an toàn và xác định hoạt động độc hại trong siêu dữ liệu của gói lưu lượng.

Nhiều tổ chức nạn nhân chưa phát hiện đầy đủ, chưa nói đến việc xóa các môđun tấn công SUNBURST khỏi hệ thống của họ, vì vậy SUNBURST vẫn tồn tại và lây lan. Theo WSJ, Zero-day của Exchange được phát hiện nhanh hơn, nhưng trước đó, những kẻ tấn công đã quét và xâm phạm khoảng 250.000 máy chủ. Sau khi phát hiện ra, Microsoft đã nhanh chóng phát hành các bản vá cho các lỗ hổng khi chúng đang bị khai thác tích cực. Họ cũng phát hành một tập lệnh cho các tổ chức để kiểm tra trạng thái bảo mật của máy chủ Exchange. Tuy nhiên, ngay cả sau các giải pháp được cung cấp cho người dùng Exchange, các tấn công khai thác lỗ hổng này vẫn tiếp tục lan rộng.

Phân tích hành vi bất thường

Các tấn công “lén lút” đòi hỏi các biện pháp phòng thủ bí mật, vì các phương pháp tấn công liên tục nâng cao có khả năng lẩn tránh các giải pháp bảo mật. Các phương pháp tấn công này có thể tắt ghi nhật ký và xóa nhật ký, vô hiệu hóa agent và phần mềm diệt virus, chiếm đoạt các công cụ bảo mật để sử dụng cho hoạt động độc hại. Những kẻ tấn công nâng cao cũng ẩn các hoạt động trong lưu lượng mạng, DNS và HTTPS, đồng thời điều chỉnh tường lửa mạng và lọc đầu ra.

Các chuyên gia bảo mật cần chuẩn bị các giải pháp bảo mật tổng thể để nâng cao khả năng đối phó với các mối đe dọa nâng cao. Điều này có thể này bắt đầu bằng quản lý chặt chẽ các lỗ hổng, các chương trình truy cập và định danh, nhưng không nên chỉ dừng lại ở đó. Vì hầu hết các giải pháp bảo mật đều khó phát hiện ra các tấn công nâng cao, các tổ chức nên xem xét hoạt động mạng (cả tại chỗ và trên đám mây) để đánh dấu hoạt động bất thường. Lưu lượng bất thường bên trong và bên ngoài doanh nghiệp, bao gồm cả các dịch vụ đám mây, đều là các chỉ báo về hoạt động độc hại.

Khi phát hiện ra hành vi đáng ngờ, các nhóm chuyên gia cần có khả năng phân tích chuyên sâu lưu lượng đó. Dữ liệu gói cho phép quản trị viên xác định địa chỉ IP, cổng và tên miền làm điểm khởi đầu. Giải mã và ghép lại toàn bộ luồng được hỗ trợ bởi phân tích giao thức cho phép xác định các dịch vụ, ứng dụng, lưu lượng bị lỗi và nhiều hơn nữa. Mức dữ liệu này kết hợp với các đường cơ sở hành vi giúp phát hiện và phản hồi hoạt động ngoài giờ hoặc bất thường cho thấy hoạt động độc hại, đồng thời cung cấp cho các nhà phân tích bối cảnh để phân biệt giữa hoạt động bất thường (nhưng lành tính) và hoạt động thực sự độc hại.

Các dấu hiệu hành vi bất thường và phân tích mạng

Các cuộc tấn công APT thường để lại dấu vết là những hành vi bất thường trong hệ thống. Để phát hiện APT, cần phân tích kỹ các dấu hiệu sau: Kết nối bất thường giữa các hệ thống nội bộ thường không giao tiếp (chẳng hạn như mạng phát triển - vận hành phần mềm và máy chủ tài chính); Di chuyển ngang sử dụng thông tin xác thực khác nhau; Tăng lưu lượng được mã hóa với các lệnh thực thi từ xa; Yêu cầu nhiều kết nối HTTPS bên trong và bên ngoài mạng; Sử dụng các cổng và dịch vụ bất thường, dễ bị tấn công, nằm ngoài chính sách bảo mật đã được phê duyệt (ví dụ: SSH, Telnet, SMTP DNS, NetBIOS,…); Truy cập, đọc các file bất thường.

Để phân tích sâu để phát hiện tấn công APT cần kiểm tra siêu dữ liệu về lưu lượng truy cập, bao gồm thông tin đăng nhập, địa chỉ IP nguồn và đích, cổng và dịch vụ, giao thức như SMTP (để chuyển thư)… ngay cả khi các gói tin đã được mã hóa. Ngoài ra, hãy theo dõi tất cả lưu lượng truy cập đến và tương tác với phần mềm bảo mật, xác nhận trạng thái của các agent điểm cuối, tường lửa mạng và dịch vụ DNS.

Đối với tấn công chuỗi cung ứng, cần chú ý đến những hành vi bất thường sau: Tất cả những dấu hiệu tấn công APT nêu trên, thêm vào đó cần chú ý máy chủ “nhạy cảm”, các kết nối với máy chủ bên ngoài; Tên máy chủ của kẻ tấn công trùng với môi trường của nạn nhân; Hay các phần mềm độc hại đã biết (như TEARDROP và BEACON trong các thành phần của tấn công); Kết nối DNS từ hệ thống nội bộ đến các miền bên ngoài bất thường, bao gồm cả phần mở rộng quốc gia nằm ngoài khu vực địa lý thông thường; Thay thế tệp tạm thời và sửa đổi tác vụ….

Phân tích sâu để phát hiện tấn công chuỗi cung ứng, các chuyên gia cần cập nhật phần mềm bảo mật để phát hiện phần mềm độc hại đã biết (như TEARDROP và BEACON vì phần mềm độc hại đã biết thường được sử dụng làm thành phần của các tấn công liên tục nâng cao); Giám sát mạng để tìm các yêu cầu và hành vi DNS bất thường, so sánh tên máy chủ và tên miền, theo dõi các lần chuyển hướng và cổng, mở tiêu đề gói để so sánh siêu dữ liệu (so sánh tên máy chủ, IP đích và máy chủ, yêu cầu truyền tệp),….

Tấn công Zero-day vốn khai thác các lỗ hổng bảo mật chưa được biết đến, thường rất khó phát hiện do tính mới và rất ít thông tin về chúng. Tuy nhiên, bằng cách quan sát kỹ lưỡng, quản trị viên vẫn có thể nhận ra một số dấu hiệu bất thường trong hệ thống, ví dụ như: Thực thi lệnh bất thường trên Exchange; Xuất hiện các file định dạng ASPX hoặc các file lạ trong thư mục tạm thời và thư mục người dùng; Các thư mục có tài nguyên không tồn tại; Các agent HTTP giả mạo; Các yêu cầu Snapin PowerShell Exchange bất thường….

Phân tích sâu để phát hiện tấn công Zero-day cần kiểm tra các thư mục nhật ký trên các điểm cuối và thiết bị mạng; Phân tích lưu lượng mạng để phát hiện các hành vi, hành động, đích đến, dịch vụ và tệp bất thường như ASPX nằm bất thường trong các hệ thống tệp tạm thời và hệ thống tệp người dùng. Ngoài ra, vì tấn công Zero-day thường đi kèm với các kỹ thuật APT để duy trì quyền truy cập, nên áp dụng các kỹ thuật phát hiện APT sẽ giúp tăng cường khả năng phát hiện tấn công Zero-day.

Giám sát thụ động

Các chuyên gia bảo mật cần có khả năng quan sát cao đối với các hành vi bất thường trên mạng vật lý và đám mây, nhưng các nỗ lực giám sát phải không bị phát hiện. Một vị trí bí mật bị đánh bại sẽ cho phép kẻ tấn công ẩn náu trong các không gian không được giám sát và tránh bị phát hiện.

Trách nhiệm của các nhà cung cấp phần mềm

Các nhà cung cấp phần mềm phải liên tục giám sát vành đai để phát hiện kẻ tấn công đang cố gắng xâm nhập. Bên trong vành đai, các nhà cung cấp phần mềm phải liên tục giám sát các lưu lượng di chuyển ngang và theo dõi các khu vực này đặc biệt chặt chẽ. Bởi vì họ là những nhà cung cấp phần mềm đưa các bản cập nhật đến hàng trăm nghìn khách hàng, quy trình phát triển phần mềm và máy chủ dựng là rất quan trọng. Nếu các hành vi di chuyển ngang bất thường hoặc các hành vi khác tiếp cận đến máy chủ thì phải được phát hiện ngay lập tức.

Trách nhiệm của doanh nghiệp

Các lưu lượng mạng được tạo ra khi backdoor gửi thông tin cần phải hiển thị đối với hệ thống phát hiện và ngăn chặn mạng. Các tấn công hand-on-keyboard thường tạo ra các lưu lượng tương tác bất thường, kẻ tấn công có thể trực tiếp thao túng các điểm cuối thông qua các công cụ truy cập từ xa như Cơ sở hạ tầng máy tính bàn ảo, Giao thức kết nối từ xa, Quản lý từ xa WinRM, Powershell,… các lưu lượng này cũng phải được hiển thị đối với hệ thống phát hiện và ngăn chặn mạng.

Kết luận

Tấn công chuỗi cung ứng là hình thức tấn công ngày càng phổ biến, nhắm vào các mắt xích yếu trong chuỗi cung ứng để xâm nhập và gây thiệt hại cho nhiều mục tiêu. Tấn công chuỗi cung ứng luôn là mục tiêu hấp dẫn cho tội phạm mạng, thường là các nhóm được tài trợ mạnh, sử dụng kết hợp APT và Zero-day để tăng hiệu quả tấn công. Chỉ cần tấn công một lần và lan sang nhiều đối tượng khác dọc theo chuỗi cung ứng, chúng sẽ tấn công được vào các công ty công nghệ, cơ quan chính phủ và tổ chức nghiên cứu đang làm việc với tài sản trí tuệ có giá trị.

Để đối phó với các mối đe dọa nâng cao, việc nắm rõ phương thức hoạt động, nhóm tấn công và mục tiêu của chúng là vô cùng quan trọng. Các chuyên gia bảo mật cần chủ động cập nhật quy trình, biện pháp kiểm soát để phát hiện và ngăn chặn tấn công ngay từ giai đoạn đầu. Bên cạnh các kỹ thuật bảo mật truyền thống (bảo mật điểm cuối, ứng dụng, mạng), cần nâng cao khả năng hiển thị hoạt động mạng và điểm cuối một cách vô hình là yếu tố then chốt để đánh bại những kẻ tấn công bằng chính công cụ của chúng.