Ưu, nhược điểm của các
phương pháp bảo mật

Deb Shinder
Quản trị mạng - Có nhiều phương pháp để bảo mật CNTT
khác nhau, chẳng hạn như bằng danh sách đen, danh sách
trắng, các kỹ thuật dựa trên hành vi, tuy nhiên bên cạnh đó
cũng có rất nhiều tranh luận trong lĩnh vực bảo mật CNTT về
tính hiệu quả của mỗi một phương pháp đó.
Trong bài này chúng tôi sẽ xem xét một số phương pháp bảo
mật, cụ thể là về cách hoạt động của chúng như thế nào, điểm
mạnh và điểm yếu của mỗi phương pháp đó cùng với đó là
một số thảo luận về các cơ chế bảo mật ảo hóa.
Các phương pháp bảo mật
Nếu muốn tránh xa những người có nguy cơ nguy hiểm trên
máy bay hoặc tránh xa những đoạn mã độc xuất hiện trong
mạng của mình thì bạn có thể cần đến một trong các phương
pháp để quyết định ai hoặc những đoạn mã gì được ở trong
hoặc không. Trong trường hợp kịch bản đầu tiên đó là xem
xét các phương pháp “chiếu tướng” hành khách:
 Bạn có thể biện dịch một danh sách các tên khủng bố
hoặc các tên tội phạm đã có tung tích và kiểm tra nhận dạng
cá nhân tại cổng vào, xem tên có hơp với danh sách của bạn
hay không và không cho phép những thành phần này lên máy
bay. Đây là một ví dụ về phương pháp bảo mật dựa trên danh
sách đen và nó được sử dụng bởi các hãng hàng không và
Transportation Security Administration (TSA) các lực lượng
an ninh tại hầu hết các sân bay.
 Có thể biên dịch một danh sách những cá nhân có lý lịch

tốt – những người đã được các tổ chức có pháp lý xác nhận
một cách trung thực, cung cấp cho họ các thẻ nhận dạng cá
nhân và cho phép họ lên máy bay mà không cần phải thực
hiện những hành vi kiểm tra tỉ mỉ. Đây là dạng bảo mật dựa
trên danh sách trắng và nó chính là những vấn đề cơ bản đối
với chương trình “người du hành thân thiện” được đưa ra bởi
TSA (hiện được biết đến với tư cách là chương trình
Registered Traveler).
 Bạn có thể đóng vai trò một nhân viên an ninh, người đã
được đào tạo trong một số tình huống tra hỏi và quan sát
những người có mang theo vé máy bay và những người hành
động một cách khả nghi sẽ bị ngăn chặn hoặc cấm không cho
qua cửa.
Các trường hợp này áp dụng cho bảo mật mạng như thế nào?
 Danh sách đen có thể được sử dụng để lọc spam, nhờ có
danh sách đen đó mà bạn sẽ có một danh sách các địa chỉ
email hoặc các miền là các kẻ spam đã hay biết, khi phần
mềm phát hiện thấy một thông báo nào đó có nguồn gốc từ
một trong số các nguồn đó, nó sẽ để các thư này vào thư mục
Junk Mail. Danh sách đen cũng có thể được sử dụng để bảo
vệ các hệ thống chống lại các mã độc. Khi bạn có một danh
sách các file hoặc các chương trình được biết là malware, các
chương trình và các file này sẽ bị khóa để không thể mở và
cũng không thể chạy.
 Danh sách trắng cũng có thể được sử dụng để lọc spam,
nhờ có nó là bạn có được một danh sách các người gửi và
miền được coi là “an toàn”. Mail từ các nguồn này được cho
phép luôn chuyển; còn lại các mail từ các nguồn khác sẽ bị
khóa. Danh sách trắng cũng có thể được sử dụng để bảo vệ hệ
thống trong việc tránh mã độc. Khi bạn có một danh sách các

chương trình mong muốn trong tay thì các thực thi không nằm
trong danh sách này của bạn sẽ không được phép chạy.
 Phương pháp hành vi cố gắng truy cập rủi ro rằng mã đó
là mã độc dựa trên các đặc tính và các mẫu. Các cơ chế bảo
mật dựa trên chữ ký và điểm dị thường thực hiện kiểu bảo mật
dựa trên hành vi. Các file và các chương trình có khả năng
chứa mối nguy hiểm, dựa trên các mẫu hành vi của chúng, và
từ đó sẽ khóa chúng.
Tất cả trong số các phương pháp này đều là các phương pháp
hợp lệ và tất cả chúng đều có điểm mạnh và điểm yếu riêng,
chính vì vậy chúng ta sẽ đi xem xét đến chúng trong các phần
dưới đây.
Dự đoán dựa vào hành vi và dấu hiệu
Phương pháp bảo mật dựa trên hành vi rất hữu dụng cho
những trường hợp mà ở đó người, hoặc chương trình hoặc file
không được phân loại từ trước là “tốt” hay “xấu”. Đây là một
phương pháp hiệu quả (tuy nhiên không hoàn hảo) để phát
hiện những mối đe dọa mới mà không cần phải đợi cho đến
khi chúng thực hiện những hành vi gây hại. Có một câu châm
ngôn rằng “nếu trông giống như vịt, đi cũng giống như vịt và
kêu cũng giống như vịt thì rất có thể đó là vịt”. Ở mức đơn
giản nhất, đó là những gì cơ bản nhất đói với phương pháp
bảo mật dựa trên hành vi.
Các lực lượng an ninh
thường sử dụng nhiều
phương pháp khác nhau để
định hình hành vi của chúng.
Họ nghe ngóng ngôn ngữ
của đối tượng, quan sát nét mặt, những từ ngữ và hành động
để cố gắng phát hiện ra những đối tượng này có nguy hiểm

hay không. Những chuyển động của mắt, cường độ của giọng
nói và các hệ số lý học khác có thể chỉ thị stress, điều này có
thể chỉ thị rằng một ai đó đang cố gắng che dấu thứ gì. Tương
tự như vậy, các thuật toán bảo mật dựa trên hành vi cũng sẽ
tìm kiếm các dấu hiệu của một file hoặc một phần của mã
không phải là chương trình hợp lệ.
Bộ lọc bảo mật dựa trên chữ ký hoạt động giống như một
nhân viên an ninh tìm kiếm các dấu hiệu tội phạm dựa trên
cách làm việc hoặc mốt hoạt động của họ. Các hành động cụ
thể và các chuỗi mã được so sánh với một cơ sở dữ liệu các
dấu hiệu đã biết, hoặc các chuỗi đã được định nghĩa từ trước
trong mã để biểu thị đó là malware. Phương pháp bảo mật dựa
trên những hành vi dị thường kém rõ ràng; nó nhắm đến các
hành vi hoặc các lệnh/chỉ lệnh trong mã dị thường.
Thuật toán tìm thường được sử dụng để nhận ra các dấu hiệu
dị thường, bằng cách phân tích lưu lượng mạng đi qua,
email,… và so sánh nó với các mẫu hiện hành hoặc phân tích
cấu trúc của bản thân mã. Các cỗ máy tìm kiếm ngày nay
thường là các cỗ máy có khả năng “học” từ những kinh
nghiệm trước đó và xây dựng các công thức mới theo đó. Hầu
hết các chương trình chống virus đều sử dụng cách thức tìm
kiếm để nhận diện malware và các biến thể trước khi các nâng
cấp về dấu hiệu có sẵn.
Một điểm quan trọng được chỉ ra bởi John Douglas, một
chuyên gia có tiếng trong việc định hình tội phạm là, một
trong nhiều công cụ có thể hữu dụng trong việc điều tra tội
phạm và trong thực tế, việc định hình cần được sử dụng chỉ
sau khi có nhiều phương pháp nghiên cứu truyền thống đã
được sử dụng. Hay nói theo cách khác, việc định hình đơn lẻ
không đủ chính xác để có thể được coi như một chỉ thị về tội

phạm. Bởi cùng dấu hiệu như vậy, phương pháp bảo mật dựa
trên hành vi đơn lẻ sẽ không bảo vệ tốt cho máy tính và mạng
của bạn. Nó có thể để lọt một số malware qua đó vì các
malware này được viết giống như mã hợp lệ và có lẽ quan
trọng hơn nữa nó sẽ nhận nhầm một số các chương trình hợp
lệ của bạn là malware vì những dấu hiệu khả nghi đáng phải
xem xét của nó.
Danh sách đen
Danh sách đen là một khái niệm được biết đến nhiều và nó
nghe có vẻ xấu khi được sử dụng trong vấn đề chính trị, nổi
tiếng nhất trong Hollywood trong những năm 1940 và 1950
khi những người viết kịch bản phim đã bị cấm làm việc trong
lĩnh vực điện ảnh vì những mối quan hệ chính trị của họ. Tuy
nhiên trong bảo mật máy tính, danh sách đen lại là một
phương pháp hoàn toàn đơn giản trong việc ngăn chặn các
chương trình mã độc tiêm nhiễm hoặc ngăn chặn các thông
báo đến từ các kẻ spam nham hiểm và những người gửi không
mong muốn khác vào được hòm thư của người dùng. Cập
nhật cho danh sách có thể được thực hiện một cách nhanh
chóng thông qua một máy chủ chuyên cập nhật. Hầu hết các
chương trình chống virus đều sử dụng một dạng danh sách
đen đẻ khóa các mối hiểm họa đã biết. Việc lọc spam sẽ phụ
thuộc vào danh sách đen.
Danh sách đen làm việc tốt trong một số ứng dụng nào đó. Ví
dụ như việc đã xảy ra một vấn đề đối với danh sách đen ở Mỹ
vào năm 2004 khi một thượng nghị sỹ bị cấm bay bởi một tên
giống với tên của anh ta lại được dùng làm bí danh bởi một kẻ
tình nghi là kẻ khủng bố và như vậy tên anh ta nằm trong
danh sách “cấm bay” của chính phủ.
Một vấn đề vẫn xảy ra với việc lọc spam dựa trên danh sách

đen là tình trạng bao vây của những người gửi hợp lệ, ví du
như người được báo cáo đến hoặc được bổ sung vào danh
sách lại không phải là spammer, cũng không phải là kẻ thù
địch. Một số tổ chức và các cá nhân riêng lẻ đã nhận thấy rất
khó có thể lấy được các địa chỉ của đã bị remove khi chúng đã
nằm trong danh sách đen. Khi bạn sử dụng một danh sách đen
mang tính thương mại, bạn sẽ hưởng lợi rất nhiều về hiệu suất
lưu lượng mạng đối với hãng của nhóm thứ ba.
Tuy nhiên vẫn còn một vấn đề khác nữa đối với danh sách đen
đó là nó chỉ làm việc với những người, những chương trình và
người gửi không mong muốn. Nó không bảo vệ để chống lại
những mối nguy hiểm (những tấn công zero day). Việc quét
lưu lượng incoming và so sánh nó với các danh sách đen có
thể sử dụng nhiều tài nguyên và làm chậm lưu lượng mạng.
Danh sách trắng
Ngược với danh sách đen làm việc theo nguyên lý cho phép
mọi thứ không bị ngăn cấm, danh sách trắng lại sử dụng
phương pháp ngược lại, từ chối mọi thứ không được phép. Kỹ
thuật sử dụng trong danh sách trắng làm việc từ một danh
sách các thực thể “known good” (các chương trình, địa chỉ
email, các miền và các URL) và chỉ cho phép các thực thể
nằm trong danh sách. Danh sách trắng có nhiều ưu điểm đó là:
 Không cần phải chạy phần mềm chống virus được cập
nhật thường xuyên. Mọi thứ không có trong danh sách sẽ
không được phép để chạy.
 Các hệ thống được bảo vệ tránh được các tấn công zero
day.
 Người dùng không thể chạy các chương trình không
thẩm định mà không nằm trong danh sách, chính vì vậy bạn
không phải lo lắng về chúng hay bị cài đặt các thực thi xấu.

Danh sách trắng là một kỹ thuật đơn giản và cho các quản trị
viên và các công ty kiểm soát được những gì xảy ra với mạng
hoặc chạy trên chạy các máy tính. Ưu điểm là vậy, tuy nhiên
danh sách trắng cũng có những nhược điểm của nó.
Khi sử dụng độc lập, danh sách trắng rất hiệu quả trong việc
tránh malware và spam, tuy nhiên cũng có thể tổ chức cho các
mã hợp lệ có thể chạy và các thông tin hợp lệ đi qua. Với hầu
hết người dùng, giải pháp danh sách trắng không làm việc tốt
đối với việc lọc email vì chúng thường nhận email từ nhiều
người mà chúng ta không hề hay biết, chúng ta đang nói đó là
mail hợp lệ và mong muốn. Giải pháp này cũng không thực tế
đối với những người bán hàng vì họ phải nhận nhiều yêu cầu
từ những người hoàn toàn lạ, hay những nhà viết văn nhận thư
từ các độc giả của họ, hay những người làm doanh nghiệp
nhận mail từ các khách hàng của mình. Trong trường hợp này
nó có thể làm việc tốt trong các tài khoản email cá nhân vì đây
là những người chỉ muốn đáp trả lại một nhóm các bạn và các
thành viên gia đình họ.
Danh sách trắng phát triển phổ biến và thường được sử dụng
kết hợp với các phương pháp bảo mật khác. Cho ví dụ, nhiều
máy khách email có chứa các bộ lọc spam dùng để phân tích
các thông báo và đánh dấu các tiêu chí nào đó (từ khóa, định
dạng, sự lặp lại) sẽ là spam. Bên cạnh đó chúng cũng cho
phép người dùng biên dịch danh sách “người gửi an toàn”
(danh sách trắng) để mail từ các địa chỉ đó sẽ không bị đánh
dấu là spam dù nó không có đủ các tiêu chuẩn cần thiết.
Trong thiết lập doanh nghiệp điển hình, danh sách trắng rất
hữu dụng trong việc điều khiển những thực thi nào có thể
chạy trên máy. Tuy nhiên điều này có thể gây ra vấn đề,
chẳng hạn như một điều khiển nào đó cần để hiển thị đúng

website lại không nằm trong danh sách trắng và người dùng
cần truy cập vào site đó để thực hiện công việc của anh ta.
Nếu danh sách trắng này được cấu trúc đúng thì điều này sẽ
không gây ra vấn đề gì, tuy nhiên phương pháp này cũng tạo
gánh nặng rất nhiều lên vai các quản trị viên về những chương
trình gì cần phải biết để cho phép chúng có thể hoạt động
trong mạng.
Kết luận
Mỗi một phương pháp bảo mật có những điểm mạnh và điểm
yếu riêng. Mỗi một phương pháp đều có thể cho các kết quả
không mong muốn hoặc mong muốn. Nhiều phương pháp
khác nhau làm việc tốt trong những tình huống khác nhau.
Chính vì vậy khi nói đến việc lọc spam thì sự kết hợp tất cả
các phương pháp này sẽ là một lựa chọn tốt nhất. Cho phép
các bộ lọc tự tìm để phân tích mail với những tiêu chuẩn spam
chung, cho phép các danh sách đen để mail nào từ những
người gửi nào hoặc miền nào có thể bị khóa nếu không hội tụ
đủ các tiêu chuẩn cần thiết, cùng với đó là danh sách trắng,
nhờ có đó mà mail từ những người gửi hoặc miền nào đó sẽ
được phép đi qua nếu nó hội tụ đủ các điều kiện cần thiết. Đây
chính là phương pháp được sử dụng bởi hầu hết các giải pháp
của phần mềm chống virus hiệu quả nhất đang sử dụng.

Trong môi trường doanh nghiệp, danh sách trắng sạch thuần
khuyết là một giải pháp an toàn nhất với những gì cần thực
hiện trong việc triển khai mã trên các máy tính.