Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.49 MB, 29 trang )
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
---------------------------------------
LÊ THÁI GIANG
NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ
THỐNG THÔNG TIN NGÀNH HẢI QUAN
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ:
0
60.48.01.04
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2017
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. Phạm Hoàng Duy
Phản biện 1: Hoàng Xuân Dậu
Phản biện 2: Lương Thế Dũng
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc:
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Tính cấp thiết của đề tài
i với nước ta tình trạng tin t c xâm nhập cài đ t ph n m m gi n điệp vào hệ
th ng mạng của Chính phủ c c Bộ Ngành đ a phương có kết n i tới mạng Internet đ gây
ra s c
làm sai lệch d liệu đ nh c p thông tin cũng đ t ng x y ra. Ch ri ng năm 2008
hàng ch c hệ th ng mạng của c c cơ quan đ b tmạng lưới gi n điệp điện t Ghostnet xâm
nhập. Bản thân một s ứng d ng của ngành Tài chính cũng đ t ng b hacker tấn công và
gây ra thiệt hại ở c c mức độ kh c nhau. Trong ngành hải quan c c hệ th ng CNTT Hải
quan có vai trò đ c biệt quan trọng để đảm bảo cho toàn bộ hoạt động Hải quan hàng ngày
và th c hiện cơ chế một c a qu c gia. ến nay g n 100% tờ khai hải quan th c hiện thủ t c
hải quan điện t . C c nghiệp v kh c của ngành như kiểm tra sau thông quan thông tin tình
b o ... cũng được x lý thông qua c c ứng d ng tập trung tại TTDL. Do vậy đảm bảo an
ninh an toàn cho hệ th ng thông tin hải quan có ý nghĩa s ng còn đến hoạt động của ngành
Hải quan.
Li n quan đến việc đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin thì
việc triển khai an ninh an toàn phải đồng bộ toàn diện t cơ chế chính s ch bộ m y tổ chức
đến c c giải ph p kỹ thuật cho ph n cứng hạ t ng kỹ thuật ph n m m ứng d ng k nh
truy n theo ti u chu n TCVN ISO/IEC 27001:2009.
Năm 2014 C c Công nghệ thông tin và th ng k Hải quan đ có đ tài nghi n cứu
cấp ngành với nội dung “Nghi n cứu p d ng ti u chu n TCVN ISO/IEC 27001:2009 trong
đảm bảo an ninh an toàn cho hệ th ng thông tin Hải quan”. Nội dung của đ tài tập trung
nghi n cứu v chế độ chính s ch hoàn thiện c c quy đ nh để đảm bảo an ninh an toàn và
đồng thời nâng cao nhận thức của L nh đạo c n bộ trong toàn Ngành v đảm bảo an ninh
an toàn. Tiếp đó trong năm 2015 C c Công nghệ thông tin và th ng k Hải quan bước đ u
triển khai để hoàn hiện quy chế quy trình đảm bảo an ninh chu n hóa công t c quản lý mật
kh u hệ th ng.
Tuy nhi n để đảm bảo an ninh an toàn cho hệ th ng CNTT Hải quan cũng c n phải
có nh ng giải ph p tổng thể phù hợp với Kế hoạch ứng d ng CNTT 5 năm giai đoạn 20162020. Trong c c năm trước ngành Hải quan cũng đ chủ động có nh ng biện ph p bảo
mật an ninh an toàn nhưng đa ph n là có tính chất t ph t phân t n nhỏ lẻ. Do đó để đảm
bảo an ninh an toàn hệ th ng thông tin ngành Hải quan toàn diện thì c n phải có kế hoạch
tổng thể cũng như nh ng giải ph p kỹ thuật c thể phù hợp với phương n quản lý tập trung
2
và c c hệ th ng ứng d ng phù hợp với ti u chu n trong và ngoài nước v đảm bảo an ninh
thông tin. Tr n cơ sở nhu c u cấp thiết đó đ tài “Nghi n cứu giải ph p đảm bảo an toàn
cho hệ th ng thông tin ngành Hải quan” ra đời nhằm hiện th c hóa nh ng y u c u đảm bảo
an ninh an toàn cho hệ th ng công nghệ thông tin ngành Hải quan.
Nội dung chính của đ tài này là đ nh gi th c trạng việc đảm bảo an ninh thông tin
trong ngành Hải quan t đó đ xuất thiết kế tổng thể và kế hoạch triển khai hệ th ng an
ninh thông tin ngành Hải quan giai đoạn 2016-2020 nhằm đảm bảo cho hệ th ng hoạt động
ổn đ nh an toàn ch ng được c c nguy cơ tấn công t Hacker.
Mục đích nghiên cứu
Nghi n cứu đ xuất c c giải ph p đảm bảo an ninh an toàn cho hệ th ng công nghệ
thông tin ngành hải quan.
Đối tƣợng nghiên cứu và phạm vi nghiên cứu
Luận văn tập trung vào nghi n cứu c c khuyến ngh của ti u chu n ISO 27001 v hệ
th ng quản lý an toàn thông tin và c c giải ph p ph t hiện và ngăn ch n tấn công APT để p
d ng vào bảo vệ c c hệ th ng công nghệ thông tin ngành hải quan.
Cấu trúc luận văn
Cấu trúc luận văn bao gồm: Mở đ u; Ba chương nội dung; Kết luận của luận văn; và
Tài liệu tham khảo.
Chƣơng I: Thực trạng hệ thống an ninh, an toàn ngành hải quan
Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành hải quan
trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá rủi ro đối với các
hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn công APT có thể khai
thác được.
Nội dung chi tiết:
1. Th c trạng hệ th ng mạng ngành hải quan.
2. Mô hình triển khai ứng d ng nghiệp v ngành hải quan.
3. Th c trạng hệ th ng bảo mật ngành hải quan.
4.
nh gi rủi ro.
Chƣơng II: Các giải pháp phòng chống tấn công APT
Trong chương này giới thiệu các kiến thức căn bản về cách thức tấn công APT và
trình bày hai giải pháp phòng chống tấn công APT đang được đánh giá cao của hãng
3
Fireeye và hãng Checkpoint. Chương này cung cấp các thông tin nền tảng cho việc xây
dựng mô hình đảm bảo an toàn thông tin cho ngành hải quan trong chương tiếp theo.
Nội dung chi tiết:
1. Vấn đ tấn công APT.
2. Giải ph p ngăn ch n tấn công APT của h ng Fireeye.
3. Giải ph p ngăn ch n tấn công APT của h ng Checkpoint.
Chƣơng III: Mô hình đảm bảo an toàn cho hệ thống thông tin ngành hải
quan
Nội dung chính của chương là trình bày biện pháp phòng chống tấn công APT đồng
thời đề xuất ra mô hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải quan
phòng chống tấn công APT. Cụ thể phần đầu chương sẽ tiến hành phân tích kết hợp với các
ý kiến của các chuyên gia nghiên cứu về APT từ đó lựa chọn giải pháp phù hợp với hiện
trạng đã được tìm hiểu trong phần đầu của luận văn. Phần tiếp theo trình bày mô hình và
phương án triển khai giải pháp APT được đề xuất cho hệ thống thông tin ngành hải quan.
Cuối cùng là một số kết quả triển khai thử nghiệm và đánh giá.
Nội dung chi tiết:
1. Thiết kế hệ th ng an toàn ch ng lại APT.
2.
xuất cho hệ th ng thông tin ngành hải quan.
3. Một s kết quả th nghiệm và đ nh gi .
CHƢƠNG 1.
THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN
NGÀNH HẢI QUAN
Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành hải quan
trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá rủi ro đối với các
hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn công APT có thể khai
thác được.
1.1 Thực trạng hệ thống mạng ngành hải quan
Ngành hải quan hiện nay hoạt động theo mô hình x lý tập trung tiếp nhận và x lý
d liệu tại cấp Tổng c c Hải quan. Theo mô hình này c c C c hải quan tại c c T nh và c c
Chi c c hải quan cấp Quận Huyện c n phải có kết n i mạng với Tổng c c hải quan thông
4
qua hạ t ng mạng WAN. Mô hình tổng thể kết n i mạng ngành hải quan được thể hiện qua
hình dưới đây:
Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan
Mạng của ngành hải quan bao gồm:
Mạng tại Tổng c c Hải quan:
Mạng tại 35 C c Hải quan(CHQ): 9 C c Hải quan lớn và 26 C c Hải quan nhỏ
Mạng tại khoảng hơn 200 đơn v Hải quan cấp Chi c c(CCHQ) và tương đương;
a) Hạ tầng tại Cục Hải quan có Trung tâm dữ liệu
DMZ
Internet
IPS
DataBase
IPS
FW
MGT
Proxy
APP
Proxy
IWSS
FW
AD
WAN BTC
Users Zone
Ghi chú:
1 GbE Copper
1 GbE Fibber
Kết nối WAN
Hình 2: Hiện trạng mô hình mạng tại 9 Cục Hải quan có TTDL
5
- Kh i mạng người dùng cu i: đ được chia thành c c VLAN với vai trò người dùng
kh c nhau.
- Kh i Trung tâm d liệu tại C c gồm c c vùng mạng: VLAN MGT, VLAN AD,
VLAN – Database, VLAN APP.
- Kh i Internet: Vùng Internet Access VLAN DMZ.
- Kh i kết n i WAN gi a c c Chi c c và Tổng c c qua hạ t ng truy n thông của Bộ
Tài chính. S d ng chung tường l a với c p tường l a tại kh i trung tâm d liệu.
b) Hạ tầng Cục Hải quan không có Trung tâm dữ liệu
Internet
WAN BTC
FW
Hình 3: Hiện trạng mô hình mạng của Cục Hải quan không có TTDL
- Kh i mạng người dùng cu i: đ được chia thành c c Vlan với vai trò cho người
dùng kh c nhau.
- Kh i Trung tâm d liệu tại C c gồm c c vùng mạng:VLAN MGT, VLAN AD,
VLAN DB & APP.
- Kh i Internet: Vùng Internet Access VLAN Public.
- Kh i kết n i WAN gi a c c Chi c c và Tổng c c qua hạ t ng truy n thông của Bộ
Tài chính. S d ng chung tường l a với c p tường l a tại kh i trung tâm d liệu.
c) Hạ tầng truyền thông tại Chi cục Hải quan
C c chi c c Hải quan (hình 4) kết n i tr c tiếp vào hạ t ng truy n thông của Bộ
Tài chính
Tại Chi c c Hải quan ch có mạng LAN không có hệ th ng server.
6
Hiện trạng hệ thống tại Chi cục
User Zone
WAN
/HT BTC
Ghi chú:
1 GbE Copper
1 GbE Fibber
10 GbE
Kết nối WAN
Hình 4: Hạ tầng truyền thông tại Chi cục Hải quan
d) Hạ tầng trung tâm dữ liệu Tổng cục Hải quan:
Internet
Core Servers
APP
DB
Core Network
Internet Service
IPS
Core
IPS
IPS
FW
Anti-DDoS
FW
Partners
(LL, MegaWAN)
SSL VPN
WAN Module
FW
WAN BTC
DDoS
QOS
Hình 5: Hiện mạng mô hình mạng tại TTDL Tổng cục Hải quan
Kh i Internet: bao gồm c c vùng mạng Internet Access, DMZ, Internet Service,
Remote Access:
Kh i mạng lõi: Trung tâm chuyển s d ng 01 c p Core Switch. S d ng c c giải
ph p bảo mật mức mạng để ngăn ch n tấn công gi a c c vùng mạng:
Kh i m y chủ ứng d ng/CSDL (Datacenter):
Kh i kết n i WAN gi a c c chi c c và c c v tổng c c qua hạ t ng truy n thông
của Bộ Tài chính.
7
Kh i người dùng (LAN Building)
1.2 Mô hình triển khai ứng dụng ngành hải quan.
a) Thông tin chung các ứng dụng:
- C c ứng d ng nội bộ (kh i văn phòng);
- Ứng d ng nghiệp v c t lõi dành cho c n bộ làm công t c nghiệp v hải quan, bao
gồm:
+ Hệ th ng Thông quan điện t ;
+ Hệ th ng kế to n Thuế- Xuất nhập kh u;
+ Hệ th ng thông tin quản lý d liệu gi tính thuế;
+ Hệ th ng thông tin hỗ trợ quản lý rủi ro;
+ Hệ th ng thông tin th ng k tập trung;
+ Hệ th ng tiếp nhận tập trung.
b) Mô hình Logic chung của các ứng dụng
Hình 6: Mô hình logic tổng thể các ứng dụng nghiệp vụ
8
1.3 Thực trạng hệ thống bảo mật ngành hải quan.
1.3.1 Mô hình hệ thống
1
Internet
3
Core Servers
4
5
LB
WAF
APP
DB
Core Network
Internet Service
2
6
IPS
13
8
12
Core
IPS
IPS
7
Anti-DDoS
FW
FW
Partners
(LL, MegaWAN)
9
SSL VPN
14
WAN Module
FW
10
WAN BTC
11
DDoS
15
QOS
Hình 7: Hiện trạng bảo mật Trung tâm dữ liệu TCHQ
Hiện trạng c c hạng m c bảo mật đ được triển khai như sau:
S d ng 01 c p thiết b có chức năng Proxy caching và lọc web;
S d ng giải ph p ngăn ch n thư r c m độc đính kèm trong thư;
Tại module SSL VPN;
C p tường l a triển khai tại Internet Service Modue;
C p tường l a triển khai tại WAN Modue ;
C p tường l a Juniper SRX3600 triển khai tại Core Modue ;
Thiết b tường l a triển khai tại Lan Building;
C p thiết b ph t hiện ngăn ch n xâm nhập tr i phép IPS;
Hệ th ng m y chủ Anti-Virus quản tr hệ th ng m y trạm trong toàn Ngành.
9
1.3.2 Các hệ thống bảo mật đã được trang bị
1.4 Đánh giá rủi ro
Phương pháp đánh giá hiện trạng:
D a tr n ti u chu n ISO27001:2005 với phạm vi là:
- Văn Phòng C c Công nghệ thông tin và Thông k Hải quan.
Việc đánh giá được thực hiện trên 2 hình thức:
- Xem xét c c tài liệu văn bản mà ngành hải quan đ ph t hành;
- Khảo s t th c tế qua trao đổi mẫu bảng khảo s t tr c tiếp quan s t.
Các nội dung đánh giá
- i u khoản 4-8 Ti u chu n ISO27001:2005);
- C c biện ph p kiểm so t c n
p d ng (Ph
l c A ti u chu n
ISO27001:2005).
- Đối với các ứng dụng và máy chủ, máy trạm:
+
nh gi m nguồn;
+ Th c hiện tấn công th t ngoài Internet thông qua ứng d ng;
+ Th c hiện tấn công th t mạng nội bộ ngành hải quan.
+ Dò quét c c lỗ hổng bằng c c công c ;
+ Kiểm tra hiện trạng cập nhật c c bản v ;
+ Kiểm tra chính s ch.
- Kết quả c c lỗ hổng được tìm thấy qua qu trình đ nh gi c c chương trình nghiệp
v ngành hải quan m y chủ m y trạm
STT
Lỗ hổng
Sản ph m
Mức độ ảnh hưởng
1
CVE-2015-5122
Flash Player Kẻ tấn công th c thi m độc tr n m y tính nạn
2
CVE-2015-5119
Flash Player nhân và cài đ t ph n m m độc hại t xa
Một kẻ tấn công có thể khai th c lỗ hổng này bằng
việc làm giả một trang web độc hại bao gồm tệp
3
CVE-2015-1645
Windows
hình ảnh độc hại giả mạo làm cho người s d ng
mở tệp hình ảnh giả mạo thông qua một vài
phương tiện như thư điện t .
4
CVE-2015-1643
Windows
2 lỗ hổng này cho phép kẻ tấn công khai th c và
5
CVE-2015-1644
Windows
leo thang quy n trong Windows.
10
Bảng 1: Kết quả đánh giá rủi ro đối với máy chủ, máy trạm
Kết quả đ nh gi rủi ro đ i với m y chủ m y trạm và c c chương trình nghiệp v
cho ta thấy đ tồn tại c c lỗ hổng c c kỳ nghi m trọng. Kẻ tấn công có thể khai th c để
chiếm quy n đi u khiển hay th c thi m độc t xa. Hiện nay c c m độc này c c nhà sản
xuất đ có nh ng bản v để kh c ph c tuy nhi n vẫn có c c nguy cơ còn tồn tại c c lỗ hổng
chưa được công b .
1.5 Kết luận chƣơng 1
C c ph n trình bày tr n đ thể hiện được tổng quan v hiện trang trang thiết b bảo
mật mô hình mạng mô hình c c ứng d ng quan trọng của ngành hải quan. B n cạnh đó
cũng đ th c hiện đ nh gi rủi ro đ i với hệ th ng mạng c c ứng d ng nghiệp v và hệ
th ng bảo mật ngành hải quan. C c kết quả đ nh gi rủi ro thu được cho thấy trong hệ th ng
của ngành hải quan tồn tại c c dạng lỗ hổng tr n cả thiết b ph n cứng và ph n m m mà kẻ
tấn công có thể lợi d ng khai th c để đưa c c m độc chưa được ph t hiện vào hệ th ng.
C c nguy cơ căn bản được tổng hợp và trình bày trong bảng dưới đây.
Bảng 2: Tổng hợp các nguy cơ
TT
1
2
3
4
5
6
7
Thành phần
Nguy cơ
ường truy n Kết n i Hệ th ng tại chi c c b DOS/
WAN
DDOS
Tấn công khai th c c c điểm
yếu tr n m y chủ khiến m y
M y chủ trong DC
chủ b d ng hoạt động ho c
mất lộ d liệu
Tấn công khai th c c c điểm
M y trạm trong User yếu tr n m y trạm khiến m y
network
trạm b d ng hoạt động ho c
mất lộ d liệu
C c m y chủ cung cấp d ch v
M y chủ Database &
này b khai th c tấn công t
M y
chủ
Web
ch i d ch v ho c lấy c p
Services của DC
thay đổi thông tin
D ch v
Internet Truy cập tr i phép thông qua
Remote Access
d ch v remote access
Băng thông truy cập internet
ường truy n truy
b hạn chế do c c truy cập
cập Internet của d ch
không ph c v m c đích
v Internet Access
nghiệp v
M y chủ m y trạm
Tấn công APT
Yếu tố chủ quan (điểm yếu)
Chưa có IPS để ch ng DOS
Việc quản lý c c bản v lỗi
chưa được triển khai ho c
th c hiện nghi m túc
Chưa có giải ph p bảo mật
chuy n d ng cho database
web services
Chưa có c c biện ph p x c
th c mạnh
Chưa quản lý nội dung của
c c truy cập web nội bộ
Chưa có giải ph p phòng
ch ng tấn công APT
11
C c nguy cơ kể tr n có thể b đ i tượng có m c đích xấu khai th c theo nhi u c ch
kh c nhau. Ví d kẻ tấn công có thể lợi d ng c c lỗ hổng tồn tại tr n hệ đi u hành Windows
CVE-2015-1645 để đưa m độc vào hệ th ng của ngành hải quan đồng thời kết hợp với lỗ
hổng CVE-2015-1643 để tăng quy n hạn cho m độc mà kẻ tấn công đ đưa vào và nằm sâu
trong hệ th ng của ngành hải quan chờ thời cơ khai th c thông tin ho c nhằm m c đích ph
hoại. M c dù c c lỗ hổng đ biết tr n c c thiết b chuyển mạch thiết b bảo mật ph n m m
hệ đi u hành đ có c c biện ph p kh c ph c tuy nhi n có thể còn tồn tại c c lỗ hổng chưa
được công b .
Th c tế cho thấy tấn công APT là dạng tấn công phức tạp hơn thế c ch tấn công này
khai th c nhi u lỗ hổng an toàn bảo mật kh c nhau và s d ng tổng hợp nhi u kỹ thuật xâm
nhập. Với c c đ c trưng nói tr n y u c u người xây d ng và quản tr mô hình an toàn của hệ
th ng phải s d ng c ch tiếp cận tổng hợp để ngăn ch n và đ i phó với hình thức tấn công
này. Chính vì vậy trong s c c nguy cơ đ n u trong bảng tr n, nội dung tiếp theo của luận
văn tập trung vào việc xây d ng mô hình kh c ph c nguy cơ b tấn công APT.
CHƢƠNG 2.
CÁC GIẢI PHÁP PHÕNG CHỐNG TẤN CÔNG
APT
Chương II sẽ trình bày các kiến thức căn bản về cách thức tấn công APT, tiếp đó sẽ
giới thiệu 02 giải pháp phòng chống tấn công APT của hãng Fireeye và hãng Checkpoint.
Các nội dung này cung cấp nền tảng cho việc đề xuất và xây dựng mô hình an toàn hướng
tới việc đề phòng và ngăn chặn hình thức tấn công này trong chương cuối của luận văn.
2.1. Vấn đề tấn công APT
Thuật ng APT (Advanced Persistent Threat) được dùng để ch kiểu tấn công dai
dẳng và có chủ đích vào một hệ th ng. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của
một nước nào đó nhằm tìm kiếm thông tin tình b o t một chính phủ nước kh c. Tuy nhi n
không loại tr m c ti u tấn công có thể ch là một tổ chức tư nhân nhằm tr c lợi ho c ph
hoại kinh tế đ i thủ. Là hình thức tấn công tập trung có chủ đích mỗi cuộc tấn công APT
được thiết kế ri ng cho t ng m c ti u để xâm nhập vào đ i tượng có chứa d liệu nhằm tìm
kiếm c c thông tin gi tr và g i ra b n ngoài.
Tấn công APT thường được dùng với m c đích:
Thu thập thông tin tình b o có tính chất thù đ ch.
12
nh c p d liệu và b n lại bí mật kinh doanh cho c c đ i thủ.
Làm mất uy tín của cơ quan tổ chức.
Ph hoại gây bất ổn hạ t ng công nghệ thông tin viễn thông điện l c….
C c sản ph m bảo mật truy n th ng có thể bảo vệ ch ng lại m độc và c c lỗ hổng
bảo mật đ được biết đến nhưng chúng trở n n không hiệu quả khi ch ng lại c c tấn công
có chủ đích được thiết kế ri ng “chậm và ch c”.
Các thành phần của từ viết tắt APT:
- Advanced (Nâng cao);
- Persistent (Dai dẳng);
- Threat (Nguy cơ hay mối đe dọa);
b) Các đặc điểm chính của APT
Mục tiêu (Targeted):
Dai dẳng (Persistent):
Tránh né và ẩn mình (Evasive):
Phức tạp (Complex):
c) Các giai đoạn tấn công APT
Giai đoạn 1 : Trong giai đoạn này gồm ba bƣớc cơ bản:
- Trinh sát;
- Khởi động;
- Lây nhiễm.
Giai đoạn 2: Giai đoạn này đƣợc chia thành ba bƣớc cơ bản:
- Kiểm soát;
- Khám phá;
- Tồn tại:
Ngoài ra APT còn được thiết kế để tồn tại bằng c ch gọi lại trung tâm để cập nhật
tải v nh ng m độc mới không b ph t hiện bởi c c ph n m m ch ng virus. Tìm c ch cài
th m càng nhi u c a hậu càng t t chứ không ch d a vào c a hậu ở c c giai đoạn trước đó.
Do đó nạn nhân sẽ khó x c đ nh và loại bỏ hết được c c c a hậu b cài vào.
Giai đoạn 3: Ở giai đoạn này kẻ tấn công đ kiểm so t được một ho c nhi u m y
chủ trong mạng m c ti u đ có thể thiết lập thông tin truy cập và đ x c đ nh được d liệu
m c ti u đang ở đâu (giả s d liệu là m c đích).
i u duy nhất còn lại là làm thế nào để
g i d liệu ra ngoài mà không b c c thiết b ph n m m bảo mật ph t hiện.
13
2.2. Giải pháp ngăn chặn tấn công APT của hãng Fireeye
2.2.1. Giải pháp kỹ thuật chống lại APT của Fireeye
ể ngăn ch n c c cuộc tấn công Zero-day c c thiết b FireEye MPS s d ng Virtual
Excution (VX) engine và Callback Filter để ph t hiện c c m độc chưa biết đi vào b n
trong:
Virtual Excution (VX) engine: tất cả c c thiết b của FireEye - MAS, MPS Web,
MPS Email và File MPS - th c thi file nghi ngờ file đính kèm tập tin và URL. T động
quét ph n m m độc hại đ ng nghi ngờ thông qua c c quy t c(rules) lọc để so s nh nó với
c c thiết lập hiện có được biết đến sau đó chuyển qua môi trường giả lập ảo của FireEye
(VX) để được th c thi.
Hình 8: Môi trƣờng giả lập FireEye MVX
Trong môi trường ảo (VX) c c ph n m m độc hại b nghi ngờ được th c thi trong
c c th nghiệm và kiểm tra tr n một loạt c c hệ đi u hành ứng d ng trình duyệt và tiện ích
kh c nhau. Trong môi trường VX của FireEye ph n m m độc hại được phép kích hoạt cuộc
tấn công zero-day callbacks và c c chức năng kh c để FireEye có thể kiểm tra và đ nh gi
nó đ y đủ ti m năng đe dọa. M i đe dọa th c s đ i với c c doanh nghiệp được x c đ nh và
d ng lại ngay trong môi trường giả lập VX của FireEye và FireEye đưa ra b o c o v kết
quả th c thi. Giải ph p FireEye thu thập đ y đủ thông tin t môi trường VX như: đ a ch IP
ph n m m độc hại c c giao thức mạng s d ng cổng c thể được nh m tới và c ch thức
ph n m m n nấp giao tiếp và phân ph i payload. S d ng d liệu này c c giải ph p
FireEye ch n callback và tất cả trao đổi dư liệu gi a ph n m m độc hại và m y chủ C&C.
14
Với tính năng b o c o chi tiết có thể dễ dàng ph t hiện c c m y trạm b nhiễm và đưa ra lộ
trình để duyệt ph n m m độc hại.
FireEye đi ti n phong trong việc s d ng c c m y tính ảo đóng vai trò là nạn nhân
trong su t hoạt động trong thiết b mạng để ph t hiện c c cuộc tấn công mới và phân tích
c c ph n m m m độc b nhiễm trong thời gian th c. VX Engine th c hiện bao gồm giai
đoạn phân tích đ u ti n để n m b t c c đ i tượng Web c c email và c c hành động đ ng
ngờ s d ng thuật to n chu n đo n tích c c. Sau khi thu thập thông tin v c c m độc bước
thứ hai được triển khai để loại bỏ c c mẫu dương tính với m độc.
Bước 1 : n m b t c c luồng d liệu nghi ngờ d a tr n qu trình chu n đo n phức tạp;
Bước 2 : loại bỏ c c mẫu dương tính c c d liệu Web nghi ngờ được t i tạo lại trong
c c m y chủ ảo “nạn nhân” để x c đ nh rõ c c m độc zero-day cả biết và chưa biết.
Với c c ph n m m độc hại zero-day được x c nhận trong môi trường ảo c c đ c tính
th m vào của m độc được thu thập trong su t qu trình phân tích như đích đến callback
phân tích nh phân thay đổi registry hay gây ra tình trạng lỗi c c file. Qu trình phân tích
được đưa vào một vòng l p và được g i tới FireEye Malware Protection Cloud để bảo vệ
nh ng đ i tượng kh c.
Hình 9: Công nghệ của Fireeye
Callback Filter : theo dõi c c d liệu đi ra và ngăn ch n tr n c c giao thức kết n i
không được phép tới c c m y chủ của tội phạm mạng.
FireEye có thể chính x c ngăn ch n c c m i đe dọa chưa biết với việc s d ng VX
Engine một môi trường th nghiệm ảo đ y đủ tính năng th c thi c c đoạn m độc hại nhằm
giúp ph t hiện c c lỗ hổng trong hệ đi u hành ứng d ng trình duyệt và c c plug-in. Nó b t
15
thông tin v c c cuộc tấn công cho phép FireEye x c nhận c c dấu hiệu nhận biết v c c m
độc và ngăn ch n m độc b n ngoài mạng qua c c giao thức kh c nhau như HTTP IRC
FTP và c c giao thức kh c được thiết kế bởi c c tổ chức tội phạm mạng.
C c thiết b FireEye triển khai b n trong lớp an ninh mạng để bổ sung c c giải ph p
an ninh mạng và endpoint hiện có bằng c ch ngăn ch n c c m i đe dọa chưa biết và c c kết
n i ra b n ngoài và đảm bảo tính bảo mật thông minh cho hệ th ng IT của c c tổ chức. C c
ph n m m bảo mật thiết b đ u cu i vẫn đóng một vai trò bảo mật quan trọng trong hệ th ng
thông tin.
Bằng c ch theo dõi c c kết n i ra b n ngoài bất hợp ph p tới c c m y chủ C&C
(Control & Command) của bọn tội phạm c c m y tính b nhiễm ph n m m độc hại n có
thể được g n cờ cho việc dọn dẹp và ch n tạm thời việc khai th c d liệu. FireEye đồng thời
cũng phân tích c c giao thức và nội dung được s d ng để kết n i tới chính c c m y chủ
C&C ph t hiện chính x c c c m y tính b nhiễm m độc và ngăn ch n nỗ l c trộm c p d
liệu tr n c c m y tính này.
FireEye Malware Protection Cloud: d a tr n n n tảng điện to n đ m mây FireEye
cung cấp một cơ sở d liệu cho toàn bộ c c kh ch hàng. D liệu luôn được cập nhật và chia
sẻ đ i với mỗi một loại m độc mới nào được ph t hiện tr n thế giới.
Hệ th ng ngăn ch n m độc FireEye là một giải ph p hoàn ch nh duy nhất để ngăn
ch n c c cuộc tấn công nâng cao nh m m c ti u qua Web và email hay c c ph n m m độc
hại trong qu trình chia sẻ file. C c giải ph p của FireEye bổ sung khả năng phòng thủ
truy n th ng chẳng hạn như c c thiết b tường l a truy n th ng tường l a thế hệ mới c c
thiết b IPS AV và WebGateway không thể ngăn ch n c c loại m độc ti n tiến do đó để
lại c c lỗ hổng trong hệ th ng mạng của ph n lớn doanh nghiệp tổ chức.
2.2.2. Mô hình triển khai giải pháp
Mô hình triển khai giải ph p của Fireeye rất linh hoạt có thể tùy theo t ng tình
hu ng c thể để tích hợp vào hệ th ng mạng của kh ch hàng. C c thành ph n của giải ph p
FireEye có thể triển khai theo 2 mô hình sau:
- Mô hình triển khai cổng mở rộng (Span port) c c thiết b ở chế độ gi m s t và nằm
ri ng biệt so với hệ th ng mạng của kh ch hàng:
16
Hình 10: Mô hình triển khai cổng mở rộng (SPAN port)
- Mô hình triển khai tr c tiếp (Inline) c c thiết b sẽ hoạt động ở chế độ ngăn ch n và
gi m s t hệ th ng:
Hình 11: Mô hình triển khai trực tiếp
2.2.3. Mô hình quản lý
Bằng c ch kết hợp khả năng ph t hiện theo ch ký(Signature) ho c Signature-less,
tích hợp khả năng bảo vệ web email và file FireEye ch n đứng c c cuộc tấn công nh m
m c ti u ti n tiến hiện nay với sai s g n như tuyệt đ i. C c thành ph n của giải ph p
FireEye bao gồm:
17
Hình 12: Các thành phần quản lý của giải pháp Fireeye
Web Malware Protection System;
Email Malware Protection System;
File Malware Protection System;
Malware Analysis System;
Central Management System;
FireEye Dynamic Threat Intelligent cloud.
Hình 13: Mô hình thu thập và chia sẻ thông tin về các cuộc tấn công
18
Khi một thiết b x c nhận một cuộc tấn công khu v c nó tạo ra một signature động và
n danh của cuộc tấn công và phân ph i thông qua hệ th ng đ m mây để cảnh b o người
dùng kh c.
2.3. Giải pháp ngăn chặn tấn công APT của hãng Checkpoint
Check Point Software Technologies Ltd. là nhà tiên phong trong lĩnh vực An ninh
Internet. Check Point đề xuất các giải pháp an ninh tổng thể có tính năng một cổng hợp
nhất, một agent điểm cuối (endpoint) đơn nhất và một kiến trúc quản trị duy nhất, được tùy
biến để thích ứng nhất với nhu cầu kinh doanh năng động của khách hàng. Check Point hợp
nhất trong đề xuất này như một thành quả của sự tiên phong và đổi mới trên thị trường
tường lửa doanh nghiệp, tường lửa/endpoint cá nhân, An ninh dữ liệu, VPN và giải pháp
chống tấn công có chủ đích thế hệ mới.
2.3.1 Giải pháp kỹ thuật chống lại APT của Checkpoint
ể tăng cường khả năng bảo vệ cho hệ th ng thông tin ph t hiện và ngăn ch n sớm
c c cuộc tấn công APT và c c m i đe dọa chưa biết h ng Checkpoint đưa ra hệ th ng ph t
hiện và ngăn ch n sớm c c m i đe dọa an ninh (Threat Dection & Prevention –TDP).
TDP cho phép ph t hiện ngăn ch n sớm c c nguy cơ đe dọa có khả năng ph t hiện
và ngăn ch n m độc d a tr n c c mẫu (Signatures) và nh ng cuộc tấn công chưa biết d a
tr n n n tảng công nghệ CPU-level và Sandboxing (môi trường th c thi ảo). Khi c c tệp tin
(file) được g i/nhận qua email tải v t ngoài Internet được truy n gi a c c vùng mạng
trong hệ th ng…sẽ được chuyển đến thiết b Threat Emulation. C c tệp tin này sẽ được
kiểm tra d a theo mẫu có sẵn nếu không ph t hiện m độc sẽ được đưa vào th c thi trong
môi trường ảo Sandbox tr n thiết b TDP. Sandbox sẽ theo dõi qu trình tập tin th c thi x c
đ nh c c tệp tin chứa m độc hại hay không? D a tr n c c hành động nghi ngờ như: thay đổi
registry kết n i mạng tới m y chủ C&C tạo tệp tin mới xóa c c file hệ đi u hành…Tệp tin
chứa m độc sẽ b ph t hiện và ngăn ch n. B n cạnh đó Checkpoint còn kết hợp với cả IPS
Anti-Bot, Anti-Virus và Sandbox để tạo n n một giải ph p có đa lớp bảo vệ v ng ch c.
Công nghệ CPU-level: không gi ng như c c giải ph p kh c Check Point s d ng
một công nghệ độc đ o mà tiến hành kiểm tra tại CPU-lever để ngăn ch n c c cuộc tấn công
trước khi chúng có cơ hội để khởi động. Hiện có hàng ngàn lỗ hổng và hàng triệu ph n m m
độc hại nhưng có rất ít phương ph p mà tội phạm mạng s d ng để khai th c lỗ hổng.
Check Point gi m s t c c dấu hiệu d a tr n CPU c c ph n m m c g ng để vượt qua vòng
19
kiểm so t an ninh của hệ đi u hành. Bằng c ch ph t hiện c c dấu hiệu trong thời gian trước
khi chúng có cơ hội lây nhiễm vào c c khu v c kh c.
Giải pháp IPS: là một hệ th ng phòng ch ng xâm nhập chuy n d ng cung cấp s
bảo vệ cho nh ng trường hợp quan trọng thiết yếu với khả năng quản lý và phân tích chứng
cứ độc đ o và triển khai linh hoạt.
Giải pháp Anti-Bot: Checkpoint đ hoàn thành giải ph p Anti-Bot và tích hợp vào
kiến trúc Check Point Software Blade giúp kh m ph
ngăn ch n và đ nh gi thiệt hại bot
tr n một cổng duy nhất, quản lý th ng nhất và tập trung.
Giải pháp Antivirus: bảo vệ hệ th ng theo thời gian th c với hàng triệu mẫu virus
được lưu tr tr n mạng với công nghệ điện to n đ m mây và có mạng lưới cộng t c để
ch ng lại tội phạm mạng để ph t hiện và ngăn ch n ph n m m độc hại trước khi người
dùng b ảnh hưởng.
2.3.2. Các mô hình triển khai của giải pháp
TDP có thể triển khai theo c c mô hình: Inline; tích hợp MTA (Message Transfer
Agent); Private Cloud và Mirror/TAP mode.
- Triển khai Inline: Thiết b đ t Inline c c file đi qua thiết b sẽ được kiểm tra thông
qua Sandbox. C c file đính kèm sẽ được th c thi tr n Sandbox. Nếu file đó chứa m
độc sẽ b ch n ngay lập tức.
- Triển khai Mirror/TAP mode: Phân tích tệp tin nhận được t Mirror Port ho c TAP
device.
ưa ra b o c o phân tích mô hình này ch có khả năng ph t hiện không có
khả năng ngăn ch n.
- Private Cloud: Khi đó TDP đóng vai cho như một Private Clould cho phép c c
gateways cấu hình g i file l n phân tích tại Private Cloud.
Hình 14: Mô hình triển khai giải pháp Threat Dection & Prevention
20
2.3.3. Mô hình quản lý
TDP kết hợp với hệ th ng bảo mật sẵn có của kh ch hàng tạo l n hệ th ng phòng thủ
toàn diện như sau:
- NGFW IPS AV SWG Email Secure: Ngăn ch n c c m i đe đ biết d a vào c c
mẫu tấn công đ biết;
- TDP th c hiện kiểm tra sâu ở mức CPU level ch n cả nh ng cuộc tấn công nguy
hiểm trước khi ph n m m độc hại có cơ hội th c thi và l n tr nh. TDP kiểm tra nhi u
đ nh dạng file ở cấp OS-level bao gồm cả c c file th c thi và c c tập tin d liệu. Với
khả năng kiểm tra mức CPU-Level và OS-Level TDP mang lại tỷ lệ b t thành công
cao nhất và là g n như miễn nhiễm với c c kỹ thuật tr n sandbox.
- Sanboxing: bổ sung khả năng ph t hiện ngăn ch n c c tấn công khai th c lỗ hổng
mới (Zero-day attacks) và c c cuộc tấn công có chủ đích s
d ng công nghệ
Sandboxing (môi trường th c thi ảo).
Hình 15: Mô hình khả năng tích hợp với các hệ thống hiện có
2.4. Kết luận chƣơng 2
Nội dung chính của chương trình bày tổng quan v tấn công APT l n HTTT bao
gồm: đ nh nghĩa c c kh i niệm phân tích c c đ c điểm giai đoạn chính và phân loại c c
công c thường được s d ng trong cuộc tấn công APT. T đó thấy được tấn công APT rất
khó ph t hiện nguy hiểm và s kh c biệt rất rõ với c c cuộc tấn công truy n th ng. S kh c
biệt này thể hiện ở nh ng biến thể mới của tấn công APT trong tương lai.
Chương này cũng trình bày 02 giải ph p phòng ch ng tấn công APT của h ng
Fireeye và CheckPoint và cung cấp c c phân tích và đ nh gi c c giải ph p này v khả năng
phòng ch ng tấn công APT. kết quả đ nh gi cho thấy giải ph p của h ng Checkpoint phù
21
hợp cho Tổng c c Hải quan đ c biệt xét v góc độ tích hợp với trang thiết b hiện có của
ngành hải quan. Hiệu quả của giải ph p đ xuất d kiến đạt được:
Ngăn ch n ph t hiện sớm c c cuộc tấn công mới và chưa biết (Zero day attacks) theo
thời gian th c;
Tích hợp với c c gateways để ra quyết đ nh chính x c và tức thì;
Nâng cao bảo mật với việc chia sẻ thông tin tấn công l n Cloud. C c chuy n gia sớm
tìm ra tấn công và đưa ra c c mẫu tấn công và giúp chia sẻ cho cả cộng đồng mạng
cùng s d ng.
CHƢƠNG 3.
MÔ HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG
THÔNG TIN NGÀNH HẢI QUAN
Chương III sẽ chỉ ra cách thức phòng chống tấn công APT, đồng thời đề xuất ra mô
hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải quan phòng chống tấn công
APT. Phần tiếp theo trình bày các kết quả thu được từ mô hình đề xuất và đánh giá hiệu quả
khi áp dụng giải pháp được chọn lựa.
3.1. Thiết kế hệ thống an toàn chống lại APT
Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu sau:
Chống lại những mối đe dọa: c n có c c tính năng:
Nâng cao khả năng ph t hiện ph n m m độc hại:
Gi m đ nh ph n m m độc hại:
Phòng ch ng c c nguy cơ tại thời gian th c:
T động nhận biết c c m i đe dọa:
Hiệu suất cao:
Bảo vệ dữ liệu khỏi bị đánh cắp: c c y u c u kỹ thuật c n có bao gồm:
Kiểm so t luồng d liệu:
Hiển th nội dung:
Hỗ trợ phân loại d liệu:
Cảnh b o:
Phân tích được các vấn đề an ninh mạng: y u c u kỹ thuật gồm có:
Ghi lại đ y đủ d liệu:
Phân tích đa chi u:
Tổng kết:
22
B o c o linh hoạt:
Cảnh b o nguy cơ:
Thiết kế tổng thể hệ th ng ATTT cho TCHQ được xây d ng tr n cơ sở tham khảo
th m c c giải ph p kỹ thuật để th c hiện nh ng biện ph p kiểm so t theo ISO27001.
Dưới đây là bảng mô tả c c giải ph p kỹ thuật c n được đ p ứng để đảm bảo đ p ứng
c c kiểm so t theo một s m c ti u kiểm so t trong ti u chu n ISO27001.
Các kiểm soát trong ISO
27001:2005 trong các lĩnh
vực
STT
Giải pháp kỹ thuật cần áp dụng
Mục tiêu kiểm soát
Bảo vệ hệ thống khỏi
1
mã độc hại và mã
phần mềm kích hoạt
từ xa
- Giải ph p phòng ch ng m độc hại
- Giải ph p bảo vệ thư điện t
1.1
M độc hại
- Giải ph p lọc nội dung
- Giải ph p ngăn ch n tấn công có chủ đích
- Giải ph p quản lý điểm yếu lỗ hổng bảo mật
Bảo vệ hệ th ng khỏi
1.2
c c ph n m m kích hoạt
t xa
- Giải ph p tường l a ứng d ng web;
- Giải ph p gi m s t dò quét đ nh gi website;
- Giải ph p lọc nội dung
- Giải ph p ngăn ch n tấn công có chủ đích
- Giải ph p tường l a;
Các biện pháp kiểm
2
soát ATTT cho mạng
máy tính
- Giải ph p kiểm so t truy cập (NAC);
- Giải ph p ngăn ng a và phòng ch ng xâm nhập (IPS);
- Giải ph p ch ng thất tho t d liệu (DLP);
- Giải ph p ngăn ch n tấn công có chủ đích
- Giải ph p quản lý lỗ hổng điểm yếu bảo mật.
Bảng 3: Bảng mô tả các giải pháp kỹ thuật cần đƣợc thực hiện theo các kiểm soát của
ISO27001
xuất đưa ra thiết kế tổng thể cho Tổng c c hải quan:
23
Hình 16: Thiết kế mô hình tổng thể chống lại APT
-
V trí s 1: đ t 01 c p thiết b có chức năng Proxy caching và lọc web cho hệ
th ng người dùng ra ngoài Internet;
-
V trí s 2: đ t giải ph p phòng ch ng tấn công APT;
-
V trí s 3: đ t thiết b cân bằng tải;
-
V trí s 4: đ t thiết b t i ưu hóa ứng d ng;
-
V trí s 5: đ t c c m y chủ vùng DMZ;
-
V trí s 6: đ t thiết b IPS;
-
V trí s 7: đ t thiết b tường l a vùng DMZ;
-
V trí s 8: đ t thiết b phòng ch ng DDoS;
-
V trí s 9: đ t thiết b VPN;
-
V trí s 10: đ t thiết b tường l a vùng WAN;
-
V trí s 11: đ t thiết b QoS;
-
V trí s 12: đ t thiết b tường l a vùng Core;
-
V trí s 13: đ t thiết b IPS vùng Core;
-
V trí s 14: đ t thiết b tường l a vùng người dùng cu i;
-
V trí s 15: vùng người dùng cu i;
-
V trí s 16: vùng ứng d ng Core và cơ sở d liệu Core;
