Tải bản đầy đủ (.pdf) (20 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

An ninh mạng xâm nhập trái phép và phần mềm độc hại

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.58 MB, 20 trang )

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
TRUNG TÂM ĐÀO TẠO SAU ĐẠI HỌC

---------------------------

MƠN HỌC : AN TỒN HỆ THỐNG VÀ AN NINH MẠNG
ĐỀ TÀI

TÌM HIỂU VỀ XÂM NHẬP TRÁI PHÉP VÀ PHẦN MỀM ĐỘC
HẠI
Cao học Hệ thống thông tin

Hà Nội, tháng 07 năm 2022

1


Mục lục
Mục lục ................................................................................................................. 2
MỞ ĐẦU .............................................................................................................. 3
Chương 1: TỔNG QUAN .................................................................................... 4
1. Xâm nhập trái phép....................................................................................... 4
2. Malware - Phần mềm độc hại ....................................................................... 7
Chương 2: Ứng dụng thực tế .............................................................................. 11
1. Xâm nhập trái phép..................................................................................... 11
2. Phần mềm độc hại....................................................................................... 15
KẾT LUẬN ........................................................................................................ 20
TÀI LIỆU THAM KHẢO .................................................................................. 20

2



MỞ ĐẦU
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông
tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính. Cùng với sự
phát triển của tổ chức là những địi hỏi ngày càng cao của mơi trường hoạt động
cần phải chia sẻ thơng tin của mình cho nhiều đối tượng khác nhau qua mạng.
Việc mất mát, rò rỉ thơng tin có thể ảnh hưởng nghiêm trọng đến tài ngun thơng
tin, tài chính, danh tiếng của tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể
dẫn đến mất mát thơng tin, thậm chí có thể làm sụp đổ hồn tồn hệ thống thơng
tin của tổ chức. Vì vậy an tồn thơng tin là nhiệm vụ quan trọng, nặng nề và khó
đốn trước đối với các hệ thống thơng tin.
Với sự phát triển mạnh mẽ của Internet, vấn đề an ninh, an tồn các hệ thống
thơng tin ngày càng trở nên cấp thiết khi các hệ thống thông tin được kết nối với
nhau và với mạng Internet, chúng phải đối diện với nhiều nguy cơ bị tấn công lấy
cắp thông tin hoặc phá hoại hệ thống. Trong số các tác nhân tấn công phá hoại các
hệ thống thông tin và mạng, các phần mềm độc hại là một trong các dạng gây
nhiều thiệt hại nhất do khả năng lan truyền nhanh chóng. Các phần mềm độc hại
được phát triển ngày càng tinh vi, rất khó phát hiện với các kỹ thuật nhận dạng
thơng thường, như kỹ thuật phân tích tĩnh và phân tích động.
Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng
ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm
mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ
hổng về bảo mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể
thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền
thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa,
và mạng riêng ảo(VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion
Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu
tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt

với các phương pháp bảo mật truyền thống.

3


Chương 1: TỔNG QUAN
1. Xâm nhập trái phép
• Giới thiệu
Cùng với sự phát triển của Internet, các giải pháp phát hiện và ngăn chặn việc
xâm nhập trái phép mạng máy tính đã được biết đến từ lâu, như một phần tất yếu
của mạng máy tính tồn cầu. Một số sản phẩm an ninh mạng ra đời như tường lửa
(firewall), tường lửa kiểm tra sâu theo trạng thái (Stateful Inspection Firewall –
SIF), kiểm tra sâu (Deep Inspection), hệ thống phát hiện xâm nhập (Intrusion
Detection System – IDS), hệ thống ngăn chặn xâm nhập (Intrusion Prevention
System – IPS)… và gần đây là hệ thống phát hiện và ngăn chặn các xâm nhập
IDPS (Intrusion Detection and Prevention System). Về cơ bản, kiểm tra sâu theo
trạng thái đưa ra quyết định dựa trên thông tin về phiên làm việc trong nhiều giao
thức. Ngược lại, tường lửa ứng dụng web, hoặc máy chủ an ninh proxy can thiệp
đến các lớp ứng dụng logic để đưa ra quyết định, nhưng chúng chỉ có thể hỗ trợ
một đến hai giao thức. Các hệ thống phát hiện xâm nhập (IDS), các IPS và kiểm
tra sâu trạng thái có thể can thiệp vào tận các gói tin của lớp ứng dụng để đưa ra
quyết định, tuy nhiên khác biệt cơ bản giữa những công nghệ này là ở số lượng
giao thức chúng có thể hỗ trợ. Các sản phẩm chống vi rút cổng phân tích các file
ứng dụng để phát hiện lưu lượng có mục đích khả nghi và thường chỉ hỗ trợ một
số lượng hữu hạn các giao thức. Vì vậy, một số hãng đã đưa ra giải pháp tích hợp
là hệ thống phát hiện và ngăn chặn các xâm nhập IDPS.
Phát hiện xâm nhập là quá trình giám sát các sự kiện xuất hiện trong một hệ
thống máy tính hoặc mạng và phân tích các dấu hiệu của các biến cố, các xâm
nhập hoặc mối đe dọa sắp xảy ra với các chính sách an tồn máy tính. Các hệ
thống ngăn chặn xâm nhập có thể được triển khai dưới hình thức thiết bị cổng

(gateway) để phát hiện và ngăn chặn có hiệu quả các tấn cơng trên mạng, tối thiểu
hố thời gian chết và chi phí do tấn công mạng gây ra. Các hệ thống ngăn chặn
xâm nhập được triển khai ở những vị trí nằm ngồi phạm vi kiểm sốt của tường
lửa, có khả năng nhận dạng tấn cơng chính xác thơng qua phân tích lưu lượng
dưới nhiều cách thức khác nhau, để xác định mục tiêu đích thực của một kết nối
và xác định xem đó là kết nối khả nghi hay tin cậy. Dựa trên kết quả phân tích đó,
hệ thống đưa ra những cơ chế đáp ứng khác nhau, từ ghi chép đến cảnh báo để
4


xố và ngắt kết nối, nhờ đó người quản trị mạng có thể phản ứng phù hợp với các
dạng tấn công khác nhau trong các phần khác nhau của mạng lưới. Nhiều hệ thống
ngăn chặn xâm nhập cịn có thể được triển khai ở chế độ thụ động để thu nhận và
phân tích các gói dữ liệu cho phép quản trị mạng có được thơng tin về lưu lượng
và những nguy cơ tồn tại trên mạng. Tuy vậy, chúng vẫn có thể được chuyển sang
chế độ dự phịng hoặc chế độ cổng ngay khi người quản trị mạng cảm nhận được
hệ thống đang bị xâm nhập, tấn cơng để có thể phản ứng trước tấn công, loại bỏ
lưu lượng hoặc các kết nối khả nghi để đảm bảo các kết nối đó khơng ảnh hưởng
đến hệ thống. Ngồi ra, các hệ thống ngăn chặn xâm nhập còn cung cấp các cơng
cụ phân tích và điều tra giúp nhà quản trị mạng hiểu được về những gì đang diễn
ra trên mạng và đưa ra những quyết định sáng suốt góp phần làm tăng hiệu quả
của giải pháp an ninh mạng.
• Một số loại cơng nghệ IDPS
Có nhiều kiểu cơng nghệ IDPS, được chia thành bốn nhóm dựa vào kiểu sự
kiện mà giám sát và cách triển khai:
- Dựa trên Mạng, giám sát lưu lượng mạng đối với phần mạng hoặc thiết bị
đặc biệt và phân tích hoạt động giao thức mạng và ứng dụng để xác định hoạt
động đáng nghi ngờ. Nó có thể xác định nhiều kiểu sự kiện khác nhau; thường
được triển khai ở ranh giới giữa các mạng, như ở gần biên firewall hoặc các bộ
định tuyến, máy chủ VPN, máy chủ truy nhập từ xa, và mạng không dây.

- Không dây, giám sát lưu lượng mạng không dây và phân tích giao thức nối
mạng khơng dây để xác định hoạt động đáng nghi ngờ gồm các giao thức. Nó
khơng thể xác định hoạt động đáng nghi ngờ trong các giao thức ứng dụng hoặc
các lớp cao hơn (ví dụ, TCP, UDP) nơi lưu lượng mạng khơng dây được chuyển
giao, thường triển khai trong mạng không dây của một tổ chức, nhưng có thể cũng
được triển khai tại vị trí mạng khơng dây khơng nhận thực.
- Phân tích hành vi Mạng (Network Behavior Analysis – NBA), kiểm tra lưu
lượng mạng để xác định mối đe dọa tạo ra các luồng lưu lượng khác thường, như
từ chối phân tán sự tấn công dịch vụ (Distributed Denial of Service – DDoS), tạo
thành malware (ví dụ vi rút backdoor), và xâm phạm chính sách. Các hệ thống
NBA thường được triển khai để giám sát các luồng trên một mạng bên trong một
tổ chức, và đôi khi được triển khai nơi chúng có thể giám sát luồng giữa mạng của
tổ chức đó và mạng ngoài.
5


- Dựa trên Máy chủ, nơi giám sát các đặc tính của một máy chủ đơn và các sự
kiện xuất hiện hoạt động đáng nghi ngờ bên trong máy chủ đó.
Cơng nghệ IDPS sử dụng nhiều phương pháp để phát hiện ra các biến cố:
a. Phát hiện dựa trên dấu hiệu
Một “Dấu hiệu” là một mẫu tương ứng với một mối đe dọa đã biết. Sự phát
hiện dựa trên Dấu hiệu là quá trình so sánh các dấu hiệu với sự kiện quan sát để
xác định các biến cố có thể. Việc phát hiện dựa trên Dấu hiệu rất hiệu quả khi biết
các mối đe dọa nhưng không hiệu quả ở phần lớn các phát hiện trước đó khơng
biết các mối đe dọa, các mối đe dọa này sử dụng kỹ thuật lảng tránh, và một số
biến thể được biết. Ví dụ, nếu một kẻ tấn cơng sửa đổi malware để sử dụng một
tên file “Freepics2.exe”, dấu hiệu phát hiện “Freepics.exe” khơng phù hợp với
nó.
Phát hiện dựa trên Dấu hiệu là phương pháp phát hiện đơn giản nhất, bởi vì
chỉ cần so sánh hiện thời của hoạt động, như một gói hoặc một phần đầu vào, với

một danh sách các Dấu hiệu, để liệt kê dấu hiệu, sử dụng thao tác so sánh chuỗi.
Các công nghệ phát hiện dựa trên Dấu hiệu cho phép hiểu một số mạng hoặc các
giao thức ứng dụng và không thể giám sát và hiểu trạng thái truyền thông phức
tạp.
b. Phát hiện dựa trên Bất thường
Phát hiện dựa trên Bất thường là quá trình so sánh các định nghĩa của hoạt
động được xem xét bình thường so với sự kiện quan sát được để xác định các sai
lệch quan trọng. Một IDPS sử dụng phát hiện dựa trên bất thường có hiện trạng
diễn đạt các hành vi bình thường của người sử dụng, các máy chủ, các kết nối
mạng, hoặc các ứng dụng. Hiện trạng được phát triển bằng cách giám sát các đặc
trưng của hoạt động điển hình trong một khoảng thời gian. Các hiện trạng có thể
phát triển cho nhiều thuộc tính, như số e-mail nhắn bởi một người sử dụng, số
đăng nhập bị sai khi cố gắng vào một máy chủ, và mức dùng bộ xử lý một máy
chủ trong một khoảng thời gian. Lợi ích chính phương pháp phát hiện dựa trên
bất thường là chúng rất hiệu quả trong việc phát hiện ra các mối đe dọa khơng
biết trước.
c. Phân tích Giao thức trạng thái
Phân tích giao thức trạng thái là q trình so sánh các hiện trạng định trước đã
có định nghĩa được công nhận chung của hoạt động giao thức tốt cho mỗi trạng
6


thái giao thức đối với việc quan sát các sự kiện để xác định sai lệch. Không giống
sự phát hiện dựa trên bất thường, khi sử dụng máy chủ hoặc hiện trạng chuyên
biệt về mạng, ở đây sự phân tích giao thức dựa vào hiện trạng nhà cung cấp đã chỉ
rõ cách các giao thức cần và không cần được sử dụng như thế nào. “Trạng thái”
trong phân tích giao thức trạng thái có nghĩa là IDPS có khả năng hiểu và giám
sát trạng thái của mạng, việc chuyển giao, và các giao thức ứng dụng có khái niệm
của trạng thái.
Sự phân tích giao thức trạng thái có thể xác định một chuỗi không mong muốn

các lệnh, như việc phát cùng lệnh lặp lại nhiều lần hoặc phát một lệnh mà khơng
phụ thuộc lệnh đó. Trạng thái khác giám sát đặc tính của phân tích giao thức trạng
thái là các giao thức thực hiện sự nhận thực, IDPS có thể giám sát việc nhận thực
được sử dụng cho mỗi phiên, và bản ghi việc nhận thực sử dụng cho hoạt động
đáng nghi ngờ. Đây là điều có ích cho việc điều tra một biến cố. IDPS khác có thể
cũng sử dụng thông tin nhận thực để định nghĩa hoạt động chấp nhận được khác
nhau cho nhiều lớp của người sử dụng hoặc người sử dụng đặc biệt.
“Phân tích giao thức” được thực hiện bởi phương pháp phân tích giao thức
trạng thái thông thường, bao gồm kiểm tra các lệnh riêng lẻ, như độ dài đối số
cực tiểu và cực đại. Hạn chế cơ bản của phương pháp phân tích giao thức trạng
thái là có độ biến đổi tài nguyên cường độ cao do sự phức tạp của việc phân tích
và tham gia vào thực hiện giám sát trạng thái cho nhiều phiên đồng thời. Vấn đề
quan trọng khác là phương pháp phân tích giao thức trạng thái khơng thể phát hiện
ra tấn công mà không xâm phạm, như thực hiện một số hoạt động tốt trong một
thời gian ngắn để gây ra một sự từ chối dịch vụ.
2. Malware - Phần mềm độc hại
• Malware là một trong những mối đe dọa phổ biến nhất. Nó là một phần
mềm được các tội phạm mạng tạo ra để ngăn chặn hoặc phá hủy máy của một
người dùng. Malware thường được phát tán dưới dạng tệp đính kèm trong email
hoặc những phần mềm “trơng có vẻ an tồn”. Malware được các tên tội phạm sử
dụng cho mục đích kiếm tiền hoặc các động cơ chính trị, hướng đến việc tạo ra
các cuộc tấn công mạng.

7


• Một số loại Malware khác nhau bao gồm:
- Virus: Một chương trình tự nhân chủng bám vào các file sạch và phát
tán ra toàn bộ hệ thống máy, khiến các file dính mã code độc.


8


- Trojans : Một loại malware ngụy trang trong vỏ bọc phần mềm an
toàn. Các tội phạm mạng lừa người dùng đưa Trojans vào hệ thống rồi
sau đó phá hủy và thu thập dữ liệu.

- Spyware: Một chương trình bí mật ghi lại những hoạt động trên máy
tính của người dùng. Tội phạm mạng có thể lợi dụng các thơng tin này
để đưa virus hoặc trojans vào máy tính.

- Ransomware: Đây là phần mềm khóa file hay dữ liệu của người dùng
lại, yêu cầu họ phải trả tiền chuộc để mở khóa.

9


- Adware: Những phần mềm quảng cáo sử dụng để phát tán malware.

- Botnets: Mạng lưới các máy tính bị nhiễm phần mềm độc, hacker sử
dụng để hoạt động trực tuyến mà khơng cần sự cho phép của người
dùng.
• Các bước tấn cơng của ransomware
Quy trình chi tiết của một cuộc tấn công Ransomware:

10


Lây nhiễm: Sau khi được gửi đến hệ thống qua email lừa đảo, hoặc phần mềm
tải xuống, (Hoặc bằng các phương thức tấn công khác) ransomware sẽ tự cài đặt

trên thiết bị đầu cuối và mọi thiết bị mạng mà nó có thể truy cập.
Tạo khóa mã hóa : Các ransomware liên lạc với máy chủ được điều hành bởi
hacker đứng đằng sau cuộc tấn công để tạo ra các khóa cryptographic được sử
dụng trên hệ thống cục bộ.
Mã hóa : Các ransomware bắt đầu mã hóa mọi dữ liệu có giá trị mà nó có thể
tìm thấy trên các máy cục bộ và mạng.
Thông báo : Sau khi mã hóa được thực hiện, ransomware hiển thị các hướng
dẫn về tống tiền và thanh toán tiền chuộc, đe dọa hủy dữ liệu nếu thanh tốn
(thường bằng Bitcoin) khơng được thực hiện.
Mở khóa : Các tổ chức có thể trả tiền chuộc và hy vọng tội phạm mạng thực
sự giải mã các tệp bị ảnh hưởng (trong nhiều trường hợp trả tiền nhưng vẫn sẽ
không được thực sự giải mã). Hoặc họ có thể thử phục hồi bằng cách xóa các tệp
và hệ thống bị nhiễm khỏi mạng và khôi phục dữ liệu từ các bản sao lưu sạch.

Chương 2: Ứng dụng thực tế
1. Xâm nhập trái phép
• Ứng dụng của công nghệ IDPS
Các IDPS chủ yếu tập trung vào việc xác định các biến cố có thể xảy ra. IDPS
có thể sau đó báo cáo biến cố tới người quản trị bảo mật, nơi có thể khởi động
ngay các hoạt động đáp lại biến cố để tối giản thiệt hại gây ra bởi biến cố đó. IDPS
cũng có thể làm gián đoạn thông tin do người gây biến cố sử dụng. Nhiều IDPS
có thể định cấu hình để nhận dạng xâm nhập các chính sách an tồn. Vì vậy, một
số IDPS có thể giám sát việc chuyển tệp (file) và nhận dạng ngay khi đáng nghi
ngờ, như việc copy lại một cơ sở dữ liệu lớn lên một người dùng laptop. Một số
IDPS cũng có thể nhận dạng hoạt động thăm dị, có thể cảnh báo một tấn cơng sắp
xảy ra. Ví dụ , một số cơng cụ và dạng tấn công của malware, đặc biệt là vi
rút thực hiện các hoạt động thăm dò như quét máy chủ và cổng để nhận dạng các
đích cho lần tấn cơng kế tiếp.
Cùng với việc giám sát và phân tích các sự kiện để xác định hoạt động không
được phép, tất cả các kiểu cơng nghệ IDPS điển hình thực hiện các chức năng sau:


11


- Ghi thông tin liên quan đến các sự kiện quan sát được. Thông tin thường được
ghi nội bộ, và có thể được gửi cho các hệ thống riêng biệt như máy chủ trung tâm,
các giải pháp quản lý sự kiện (SIEM) và thơng tin an tồn, và các hệ thống quản
lý.
- Thông báo cho người quản trị bảo mật về các sự kiện quan trọng quan sát
được: Thông báo này, được coi như một cảnh báo, xuất hiện qua một số phương
pháp, bao gồm: các e-mail, các trang, các thông báo trên giao diện người sử dụng
IDPS, các bẫy giao thức quản lý mạng đơn giản (SNMP), các bản tin thơng báo
syslog, và các chương trình, các tập lệnh của người sử dụng. Một bản tin thơng
báo điển hình bao gồm thông tin cơ bản liên quan tới một sự kiện; người quản trị
cần truy nhập tới IDPS để có thơng tin bổ sung.
- Tạo báo cáo: Các báo cáo tóm tắt các sự kiện giám sát hoặc cung cấp chi tiết
về các sự kiện đặc biệt quan tâm.
Ngoài ra, IDPS còn sử dụng để:
- Xác định các vấn đề chính sách an tồn: Một IDPS có thể cung cấp một cấp
độ nào đó để điều khiển chất lượng thực thi chính sách an tồn, như sao lại bộ quy
tắc firewall và cảnh báo khi nó phát hiện thấy lưu lượng mạng cần phải được ngăn
bởi firewall nhưng không phải do lỗi cấu hình firewall.
- Cung cấp tài liệu về mối đe dọa hiện tại cho một tổ chức: Các IDPS cắt khúc
thông tin về mối đe dọa mà chúng phát hiện ra. Việc biết được tần suất và các đặc
trưng của kẻ tấn công chống lại các tài ngun máy tính của một tổ chức là rất có
ích trong việc xác định biện pháp an tồn thích hợp để bảo vệ tài ngun. Thơng
tin có thể cũng sử dụng để cảnh báo người quản lý về mối đe dọa mà tổ chức đó
phải đối mặt.
- Ngăn cản các cá nhân khỏi việc xâm phạm các chính sách an toàn: Nếu các
cá nhân ý thức được rằng các hoạt động của họ đang bị giám sát bởi công nghệ

IDPS đối với việc xâm nhập chính sách an tồn, thì chúng có thể sẽ bớt sự xâm
phạm như vậy do tính mạo hiểm của việc dị tìm. Do sự phụ thuộc ngày càng tăng
trên các hệ thống thông tin và ảnh hưởng tiềm tàng của việc xâm nhập chống lại
các hệ thống đó, các IDPS đã trở thành một bổ sung cần thiết cho cơ sở hạ tầng
an toàn của mỗi tổ chức.
Thuộc tính chung khác của các cơng nghệ IDPS là khơng thể cung cấp sự phát
hiện chính xác hồn tồn. Khi một IDPS xác định khơng đúng hoạt động bình
12


thường thành nguy hiểm, một khẳng định sai đã xuất hiện. Khi một IDPS sai trong
xác định hoạt động nguy hiểm, một phủ định sai đã xuất hiện. Không thể loại trừ
tất cả các khẳng định và phủ định sai; trong đa số các trường hợp, việc giảm bớt
biến cố này làm tăng thêm biến cố khác. Nhiều tổ chức chọn giảm bớt các phủ
định sai do chi phí của phủ định sai ngày càng tăng, có nghĩa là nhiều sự kiện
nguy hiểm được phát hiện hơn nhưng phải phân tích nhiều tài nguyên hơn để
phân biệt khẳng định sai từ các sự kiện nguy hiểm thật.
• Sử dụng kết hợp nhiều loại công nghệ IDPS
Trong nhiều trường hợp, giải pháp IDPS không thể thực hiện được nếu không
sử dụng nhiều cơng nghệ IDPS khác nhau. Ví dụ, IDPS dựa trên mạng (networkbased) không thể giám sát được các giao thức không dây, và IDPS không dây
không thể giám sát được các giao thức ứng dụng. Bảng 1 so sánh 4 loại công nghệ
IDPS.
Trong hầu hết các môi trường, sự tổ hợp của hai công nghệ IDP dựa trên mạng
và máy chủ là cần thiết để có được giải pháp IDPS hiệu quả. IDPS khơng dây
cũng có thể cần thiết nếu nhà khai thác xác định rằng mạng không dây cần được
giám sát. Các sản phẩm NBA cũng có thể được cung cấp nếu nhà khai thác mong
muốn mạng có khả năng phát hiện các tấn công từ chối dịch vụ (DoS), sâu (worm),
và các loại tấn công khác. Hơn nữa, một số tổ chức còn sử dụng nhiều sản phẩm
IDPS của cùng một công nghệ. Giải pháp này thường được thực hiện nhằm nâng
cao khả năng phát hiện tấn cơng, vì mỗi sản phẩm sử dụng các phương thức khác

nhau và hỗ trợ phát hiện các tấn công khác nhau mà các sản phẩm khác có thể
khơng có. Sử dụng nhiều loại sản phẩm cho phép khả năng phát hiện nhiều các
loại tấn công với số lượng nhiều hơn và đa dạng hơn, dễ dàng phân tích và nhận
dạng tấn cơng, tăng cường khả năng dự phịng khi có thiết bị lỗi.
Nhiều tổ chức lại sử dụng nhiều sản phẩm IDPS có xuất xứ từ nhiều nhà cung
cấp khác nhau (hầu hết các nhà sản xuất chỉ sản xuất thiết bị theo một loại cơng
nghệ nhất định). Theo đó, các sản phẩm của các hãng khác nhau có các tính năng
độc lập với các sản phẩm của các hãng khác. Tuy nhiên, nếu các sản phẩm khơng
tương thích với nhau thì sẽ làm giới hạn tác dụng lẫn nhau. Dữ liệu không được
chia sẻ giữa các thiết bị, IDPS người dùng và quản trị có thể bị hạn chế khả năng
giám sát và quản lý nhiều thiết bị. Các sản phẩm IDPS có thể kết hợp với nhau
13


theo hình thức trực tiếp theo kiểu một thiết bị cấp cảnh báo thiết bị khác, hoặc
được kết nối theo kiểu không trực tiếp, tất cả các thiết bị IDPS cấp cảnh báo vào
hệ thống quản trị an ninh và an ninh mạng chung.
Kết nối IDPS trực tiếp thường được sử dụng khi một tổ chức sử dụng nhiều
sản phẩm IDPS từ một nhà cung cấp thiết bị. Ví dụ, một số nhà cung cấp thiết bị
thường sản xuất thiết bị hỗ trợ cả hai công nghệ: dựa trên mạng và dựa trên máy
chủ. Thiết bị loại này thường có một bàn điều khiển và hỗ trợ cả hai khả năng theo
hai loại công nghệ trên. Điều này sẽ tạo nhiều thuận lợi cho người dùng và người
quản trị vì đơn giản hóa cơng việc của họ. Một số sản phẩm cũng hỗ trợ chia sẻ
dữ liệu, làm tăng tốc độ xử lý và giúp người sử dụng có thể phân loại các tấn công
theo mức ưu tiên tốt hơn. Hạn chế thứ nhất của giải pháp này là lỗi hoặc thỏa hiệp
có thể gây nguy hiểm cho tất cả các thiết bị IDPS. Hạn chế thứ hai là phải có một
thiết bị IDPS cung cấp dữ liệu cho thiết bị khác.
Kết nối IDPS không trực tiếp thường được sử dụng với phần mềm quản lý
thông tin an ninh và sự kiện (SIEM). SIEM được thiết kế để thu nhận thông tin từ
nhiều bản ghi bảo mật khác nhau và các sự kiện liên quan giữa chúng. Những ưu

điểm bổ sung của SIEM cho IDPS gồm: SIEM có thể nhận dạng một số loại sự
kiện mà IDPS không hỗ trợ bởi việc sử dụng các công nghệ khác nhau. Giao tiếp
SIEM có thể lấy dữ liệu từ nhiều nguồn khác nhau qua một giao diện. Giao tiếp
SIEM cũng hỗ trợ nhiều cơng cụ phân tích và báo cáo mà giao tiếp IDPS khơng
hỗ trợ. Người dùng có thể dễ dàng kiểm tra tính chính xác của các cảnh báo IDPS
vì SIEM có thể kết nối mỗi cảnh báo tới các thông tin hỗ trợ từ các bản ghi khác.
Hạn chế của SIEM là khoảng thời gian trễ giữa thời điểm biến cố bắt đầu và thời
điểm SIEM thấy được bản ghi dữ liệu tương ứng. Các sản phẩm SIEM chỉ chuyển
nhượng một vài trường dữ liệu từ bản ghi gốc. SIEM có thể khơng hỗ trợ các tác
nhân cho tất cả IDPS. Điều này yêu cầu người quản trị ghi các tác nhân theo yêu
cầu để chuyển nhượng dữ liệu IDPS tới máy chủ SIEM.
Có thể dùng nhiều loại kỹ thuật IDPS hoặc thậm chí nhiều sản phẩm bên trong
một lớp kỹ thuật IDPS đơn, nên xem xét có hay khơng có các sản phẩm IDPS phải
được tích hợp theo một số cách. Sự tích hợp IDPS trực tiếp thường được dùng
nhất khi một tổ chức dùng nhiều sản phẩm IDPS từ một nhà cung cấp đơn lẻ, bằng
việc có được màn hình kiểm sốt được dùng để quản lý và giám sát nhiều sản
phẩm. Một số sản phẩm cũng có thể chia sẻ dữ liệu, có thể tăng tốc độ xử lý và
14


giúp người sử dụng với ưu tiên tốt hơn. Các IDPS vô tuyến cũng là cần thiết nếu
tổ chức nào muốn quyết định mạng vô tuyến cần được giám sát thêm hoặc muốn
đảm bảo mạng vô tuyến của kẻ xấu khơng hoạt động trong các thiết bị của tổ chức
đó. Kỹ thuật NBA cũng có thế được sử dụng nếu các tổ chức có các khả năng phát
hiện thêm đối với các tấn công DOS, sâu, và các mối đe doạ khác mà NBA có đặc
tính tốt để phát hiện. Ngồi các IDPS chun dụng, các tổ chức có các loại kỹ
thuật khác để cung cấp một số khả năng IDPS và bổ sung thêm, nhưng không thay
thế các IDPS cơ bản. Các kỹ thuật này bao gồm các công cụ phân tích tính pháp
lý mạng, các kỹ thuật anti-malware (phần mềm antivirus và phần mềm
antispyware), tường lửa và bộ định tuyến.

Khi lựa chọn các sản phẩm IDPS, một tổ chức trước hết cần đánh giá thiết bị
IDPS, định nghĩa các yêu cầu chung mà thiết bị cần đáp ứng, các tính năng thiết
bị có thể hỗ trợ. Người đánh giá phải hiểu biết các đặc tính của hệ thống và các
điều kiện của mạng lưới cũng như các kế hoạch phát triển, mở rộng trong tương
lai gần. Người đánh giá cũng cần xem xét lại chính sách an ninh hiện tại và các
chính sách an ninh khác trước khi đánh giá, lựa chọn sản phẩm. Ngoài ra, các yêu
cầu chú ý chi tiết gồm:
- Các khả năng an ninh, bao gồm thu thập thông tin, bản ghi, phát hiện và ngăn
chặn.
- Hiệu năng, bao gồm dung lượng tối đa và các tính năng thực thi.
- Quản lý, bao gồm thiết kế và thực thi, vận hành và bảo dưỡng, đào tạo, tài
liệu và hỗ trợ kỹ thuật.
- Vòng đời giá, cả giá khởi điểm và giá bảo dưỡng.
2. Phần mềm độc hại
• Cách nhận biết

15


Dưới đây là một số tình huống mà người ta có thể sử dụng để xác định xem hệ
thống máy tính có bị ảnh hưởng bởi phần mềm độc hại hay khơng:
Tốc độ máy tính hoặc trình duyệt web chậm. Máy tính chạy chậm hơn rất nhiều
so với bình thường rất có thể là kết quả khi các phần mềm mã độc bắt đầu làm cạn
kiệt các nguồn xử lý trong máy tính của bạn. Nếu bạn khơng chạy ứng dụng nặng
mà máy tính vẫn chạy rất chậm, bạn có thể đã “dính” một con virus máy tính.
Máy tính thường xuyên bị đơ hoặc gặp sự cố. Nếu chương trình, hệ thống bị
lỗi liên tục hoặc lỗi màn hình xanh xuất hiện thường xun thì đó chính là một
cảnh báo rõ ràng rằng máy tính đang có vấn đề.
Xuất hiện các biểu tượng hoặc cửa sổ thông báo lạ. Một trong những dấu hiệu
gây phiền nhiễu nhất của phần mềm độc hại chính là những cửa sổ pop-up khơng

mong muốn thường xuyên nhảy ra trên máy tính. Nếu việc này xảy ra với tần suất
cao thì chắc chắn máy tính của bạn đã dính phần mềm độc hại rồi nhé.
Các chương trình đang chạy, tắt hoặc tự cấu hình lại.
Máy tính của bạn xuất hiện các hiện tượng sau:
Vài chương trình tự động mở, đóng
Hệ điều hành Windows tắt mà khơng có lý do
Windows thơng báo bạn mất quyền truy cập vào một số ổ đĩa của mình
16


Loại trừ yếu tố kỹ thuật, thì đây rất có thể là dấu hiệu cho thấy máy bạn đã
dính virus.
Phần mềm diệt virus bị tắt. Một số phần mềm độc hại được thiết kế đặc biệt để
vơ hiệu hóa các phần mềm diệt virus, khiến bạn khơng có bất cứ biện pháp phòng
tránh nào. Nếu đã cố gắng khởi động lại máy tính, đóng và mở lại phần mềm diệt
virus mà vẫn khơng có tiến triển gì thì chắc chắn máy đã bị lây nhiễm phần mềm
độc hại.
Email / tin nhắn được gửi tự động và người dùng không biết. Máy của bạn tự
động gửi các tin nhắn đến bạn bè của bạn mà bạn khơng biết thì máy bạn đã bị
dính các mã độc chiếm quyền điều khiển.
Những thay đổi trên trình duyệt Trang chủ trên trình duyệt bị thay đổi dù bạn
khơng làm điều đó, thanh toolbar mới xuất hiện và những website không mong
muốn tự động được truy cập dù bạn khơng gõ địa chỉ của nó.
Ổ cứng nhanh hết dung lượng trống Nếu nhận ra ổ cứng hết dung lượng bất
ngờ trong khi bạn không cài bất cứ phần mềm nào, rất có thể máy tính đã bị mã
độc xâm nhập và tự động cài những tệp độc hại.
Tài liệu bị thay đổi đuôi: Khi bị nhiễm mã độc các tài liệu, văn bản sẽ bị thay
đổi nội dung, đổi tên file và đổi tên phần mở rộng như .locky, virus cerber,
kimcilware..., phổ biến là các tệp tin có định dạng: .doc, .docx, .pdf, .xls, .xlsx,
.jpg, .txt, .ppt, .pptx,..

• Cách phịng tránh

17


Ngày nay, việc bảo vệ máy tính hoặc các thiết bị di động của người dùng trước
các rủi ro lây nhiễm mã độc là một thách thức không nhỏ, do sự phát triển của
hàng triệu chương trình phần mềm độc hại với nhiều biến thể tinh vi. Để giảm
thiểu các rủi ro này, người dùng cần thực hiện ngăn chặn các mối đe dọa tiềm ẩn
và thường xuyên cập nhật các bản vá bảo mật. Các biện pháp dưới đây sẽ giúp
bạn đảm bảo an toàn cho thiết bị của mình:
Cài đặt phần mềm chống mã độc
Đảm bảo rằng Tường lửa của Windows được bật khi truy cập Internet
Thường xuyên cập nhật phần mềm
Khơng sử dụng phần mềm bẻ khóa trái phép
Luôn quét ổ đĩa bút, đĩa CD của các thiết bị bên ngồi trước khi mở chúng
Khơng tải xuống phần mềm không xác định từ internet. Chỉ tải xuống các phần
mềm từ nguồn đáng tin cậy.
Chạy quét toàn bộ hệ thống ít nhất một lần trong một tháng.
Khơng mở email từ người gửi không xác định.
Kiểm tra kỹ trước khi nhấp vào các liên kết để đảm bảo bạn được chuyển đến
đúng trang web.
18


Sử dụng một chương trình bảo mật mạng uy tín.
Sao lưu dữ liệu để tránh mất mát khi xảy ra sự cố
Nếu nghi ngờ máy tính bị dính mã độc. Cần tiến hành quét ngay bằng các phần
mềm diệt virus. Mang máy đến những nơi bảo hành uy tín để được xử lí kịp thời.


19


KẾT LUẬN
Phát hiện xâm nhập là quá trình giám sát các sự kiện xuất hiện trong một hệ
thống máy tính hoặc mạng và phân tích các dấu hiệu có thể của các biến cố, là sự
xâm phạm hoặc mối đe dọa sắp xảy ra xâm phạm các chính sách an tồn máy
tính, hoặc các chuẩn an tồn. Ngăn ngừa xâm nhập là quá trình thực hiện phát
hiện xâm nhập và cố gắng ngăn chặn xảy ra các biến cố có thể. Các hệ thống IDPS
chủ yếu tập trung xác định biến cố có thể xảy ra, thơng tin về chúng, cố gắng dừng
chúng, và báo cáo với người quản trị mạng.
Hệ thống IDPS đã trở thành một bổ sung cần thiết cho cơ sở hạ tầng an toàn
của mỗi tổ chức.Vì vậy, các tổ chức nên xem xét sử dụng nhiều loại kỹ thuật IDPS
để đạt được sự phát hiện và ngăn chặn chính xác và tồn diện. Trong nhiều loại
môi trường, một giải pháp IDPS mạnh không thể đạt được mà không dùng nhiều
loại kỹ thuật IDPS. Đối với hầu hết môi trường, sự kết hợp của IDPS trên nền
mạng và trên nền máy chủ là cần thiết để có một giải pháp IDPS hiệu quả.

TÀI LIỆU THAM KHẢO
[1] />[2] />
.1242779.html
[3] />[4] />[5] />[6] />[7] />
20



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×