Tin tặc liên tục cải tiến phương pháp tấn công của chúng và việc đi trước một bước đang trở thành nhiệm vụ chính của thị trường bảo mật thông tin. Trong số những nhiệm vụ khó khăn nhất là các cuộc tấn công có mục tiêu (APT). Các hệ thống lớp chống APT được thiết kế để phát hiện và ngăn chặn chúng. Hãy cùng xem các hệ thống chống APT trong nước đã phát triển như thế nào, sử dụng ví dụ về Kaspersky Anti Targeted Attack (KATA) và hoạt động của nhóm iTPROTECT.
- Giới thiệu
- Sự phát triển của hệ thống chống APT
- 2.1. Nhìn lại quá khứ
- 2.2. Hệ sinh thái
- Anti-APT đã thay đổi như thế nào
- 3.1. Hệ điều hành tiếng Nga
- 3.2. Hỗ trợ ảo hóa
- 3.3. Làm việc với mạng
- 3.4. Các tác nhân trên máy chủ
- Làm thế nào để triển khai hệ thống bảo vệ chống tấn công có mục tiêu
- Xu hướng phát triển hệ thống chống APT trong nước
- Kết luận
Giới thiệu
Thuật ngữ “tấn công có mục tiêu nâng cao” (APT) xuất hiện vào giữa những năm 2000 sau chiến dịch Titan Rain, nhắm vào các nhà thầu quốc phòng và cơ quan chính phủ Hoa Kỳ. Một trong những cuộc tấn công có mục tiêu nổi tiếng nhất là chiến dịch Stuxnet, tấn công các cơ sở hạt nhân của Iran và ngăn chặn chương trình hạt nhân của nước này.
Sự khác biệt chính giữa các cuộc tấn công APT và các cuộc tấn công thông thường là sự phát triển chi tiết của một kịch bản cho một nạn nhân cụ thể. Bất kỳ thông tin nào có sẵn đều có thể được sử dụng cho việc này: bắt đầu bằng việc phân tích phần mềm được sử dụng trong tổ chức, cho đến các phiên bản và thiết bị và thậm chí là thói quen của các nhân viên cụ thể. Một kịch bản điển hình trông như thế này: các lá thư lừa đảo theo phong cách công ty được chuẩn bị, hoặc các tài nguyên Internet giả mạo giống nhất có thể với các cổng dịch vụ, cũng như các chương trình độc hại có thể vượt qua các công cụ bảo mật được sử dụng trong công ty, với các thiết lập của chúng.
Chuẩn bị cho một cuộc tấn công có chủ đích đòi hỏi rất nhiều hành động và sự tinh vi. Theo đó, việc phòng thủ sẽ khó khăn hơn nhiều. Tin tặc thu thập một lượng thông tin khổng lồ đến mức cuối cùng chúng có thể nhìn thấy các lỗ hổng trong cơ sở hạ tầng tốt hơn các bộ phận CNTT và an ninh thông tin.
Cần có một cách tiếp cận toàn diện để ngăn chặn các cuộc tấn công có chủ đích. Một trong những nền tảng của cách tiếp cận này là sử dụng các hệ thống chống APT. Ví dụ, vào năm 2023, như một phần của chương trình phát sóng Chống phần mềm độc hại, những người tham gia đã nói về kinh nghiệm tương tác với các cuộc tấn công như vậy và chống lại chúng. Kết quả là, gần một phần tư (24%) số người được hỏi đã gặp phải chúng và cố gắng chống lại chúng.
Hình 1. Kết quả khảo sát về kinh nghiệm chống lại các cuộc tấn công có chủ đích
Một cuộc khảo sát khác cho thấy các cuộc tấn công có chủ đích thường dẫn đến hậu quả tiêu cực trong hầu hết các trường hợp.
Hình 2. Kết quả khảo sát về hậu quả của các cuộc tấn công có chủ đích
Hãy cùng xem xét xu hướng trên thị trường trong nước về bảo vệ chống lại các cuộc tấn công có chủ đích.
Sự phát triển của hệ thống chống APT
Các nhóm tin tặc liên tục phát triển các phương thức tấn công vào doanh nghiệp, do đó các hệ thống chống APT liên tục được cải thiện.
Nhìn lại quá khứ
Chỉ vài năm trước, ở giai đoạn hình thành thị trường, các hệ thống chống APT bao gồm một số thành phần, thành phần chính là hộp cát được sử dụng để phân tích các tệp đáng ngờ từ nhiều luồng dữ liệu khác nhau trong cơ sở hạ tầng. Đồng thời, các nhà sản xuất đã thấy việc triển khai tìm kiếm tấn công có mục tiêu khác nhau.
Ngày nay, các hệ thống như vậy đã trở nên phức tạp hơn nhiều. Để vận hành thành công, không chỉ cần thu thập dữ liệu từ lưu lượng mạng (NGFW, NDR, NTA) mà còn cần nhận dữ liệu đo từ xa từ máy chủ cuối (EPP, EDR) cũng như tương quan dữ liệu đã nhận sau đó có tính đến thông tin về mối đe dọa (TI).
Phần quan trọng nhất của anti-APT là logic và các quy tắc phát hiện, mà nhà phát triển đặt ra, thu hút các nguồn lực tốt nhất, chẳng hạn như các phòng ban nghiên cứu các mối đe dọa hiện đại. Với sự trợ giúp của thành phần này, trong ba năm qua, các nhà nghiên cứu đã xác định được nhiều cuộc tấn công không chuẩn không thể chống lại bằng các chữ ký chuẩn.
Hệ sinh thái
Do đó, các hệ thống chống APT hiện đại phần lớn là các sản phẩm hệ sinh thái bao gồm nhiều thành phần từ một nhà sản xuất trao đổi dữ liệu với nhau. Ví dụ, sự xuất hiện của một lá thư độc hại trong cơ sở hạ tầng, việc khởi chạy một dịch vụ độc hại, việc nâng cao đặc quyền, quét mạng sau đó – tất cả những sự kiện này sẽ được ghi lại bởi các thành phần khác nhau của một hệ sinh thái.
Sự khác biệt chính so với SIEM, sử dụng nhật ký sự kiện trong hoạt động, là nó hoạt động với một tập hợp dữ liệu khác: dữ liệu từ xa từ các nút cuối, thông tin lưu lượng truy cập, liên kết độc hại.
Anti-APT đã thay đổi như thế nào
Lấy KATA (Kaspersky Anti Targeted Attack) làm ví dụ, chúng ta hãy xem các hệ thống chống APT đã thay đổi như thế nào trong vài năm qua.
Hệ điều hành tiếng Nga
Các nhà cung cấp trong nước quyết định áp dụng các thông lệ tốt nhất của nước ngoài, đó là lý do tại sao có thể cài đặt các cụm để đảm bảo bảo vệ cơ sở hạ tầng không bị gián đoạn. Hệ thống bắt đầu hỗ trợ cài đặt trên các hệ điều hành của Nga, cũng như hình ảnh của hệ điều hành sau trong “hộp cát”. Cũng có thể tùy chỉnh hình ảnh đã tải xuống. Kỹ thuật này hữu ích khi khách hàng cần máy ảo mà đối tượng độc hại sẽ được kiểm tra phải giống nhất có thể với hình ảnh của máy trạm trong cơ sở hạ tầng thực.
Hỗ trợ ảo hóa
Với các nhà cung cấp ảo hóa nước ngoài rời đi, các nhà phát triển chống APT đang cố gắng thêm hỗ trợ cho các giải pháp nguồn mở trong nước. Ví dụ, KATA bắt đầu hỗ trợ ảo hóa KVM và VK Cloud. Chúng tôi hy vọng các nhà sản xuất khác cũng sẽ phát triển theo hướng này.
Làm việc với mạng
Phân tích lưu lượng mạng là một trong những phương pháp tìm kiếm các cuộc tấn công trong cơ sở hạ tầng CNTT lâu đời nhất và được chứng minh nhiều nhất. KATA bắt đầu hỗ trợ tích hợp ICAP với phản hồi, cũng như các chức năng bổ sung, chẳng hạn như thu thập và lưu trữ lưu lượng mạng. Nhiều chức năng phát hiện mối đe dọa hơn sẽ xuất hiện vào mùa thu này với sản phẩm Kaspersky NDR (Phát hiện và phản hồi mạng).
Các tác nhân trên máy chủ
Nếu kẻ tấn công đã có quyền truy cập vào máy chủ cuối của tổ chức, thì hệ thống chống APT phải giám sát hoạt động của các quy trình và người dùng trong hệ điều hành. Trong KATA, chức năng của tác nhân EDR và danh sách hệ điều hành được hỗ trợ đã được mở rộng. Một tác nhân cho macOS đã xuất hiện và tác nhân Linux đang bắt kịp “đồng nghiệp” của mình cho Windows về mặt chức năng.
Làm thế nào để triển khai hệ thống bảo vệ chống tấn công có mục tiêu
Việc triển khai giải pháp chống APT vào cơ sở hạ tầng của một doanh nghiệp hiện đại là một nhiệm vụ phức tạp đòi hỏi phải có sự chuẩn bị kỹ lưỡng.
Một “phi công”, hai “phi công”
Trước tiên, cần cân nhắc đến vấn đề thu thập và phân tích lưu lượng: những thiết bị mạng nào được sử dụng trong tổ chức, cách thu thập lưu lượng từ chúng (ICAP, phản chiếu, thiết bị TAP, một số phương pháp khác), liệu chúng có cần được thay thế bằng những thiết bị hiện đại hơn hay không. Cũng cần cân nhắc đến độ rộng của các kênh truyền thông và thông lượng của chúng. Chủ đề tiếp theo cần chú ý là nhiệm vụ thu thập dữ liệu từ các thiết bị đầu cuối. Ở đây chúng ta sẽ tính đến các hệ điều hành được sử dụng, phần mềm ứng dụng cũng như các đặc điểm kỹ thuật của ARM (máy trạm tự động).
Sau khi kiểm toán sơ bộ, sử dụng thông tin thu được, một hệ thống cụ thể được chọn và thử nghiệm thí điểm. Trong quá trình “thí điểm”, lưu lượng truy cập và dữ liệu từ xa được cung cấp cho các cảm biến hệ thống và nhiều cuộc tấn công khác nhau được mô phỏng. Kết quả của “thí điểm” có thể là các yêu cầu điều chỉnh cho hệ thống chống APT và kết luận về khả năng triển khai và hoạt động công nghiệp của hệ thống trong công ty. Sau đó, hệ thống được cài đặt và tích hợp hoàn toàn với cơ sở hạ tầng của công ty, cũng như mở rộng quy mô. Đôi khi, trong quá trình “thí điểm”, khách hàng thậm chí có thể ghi lại các sự cố thực tế.
Điều quan trọng cần lưu ý là các hệ thống chống APT là những sản phẩm phức tạp và toàn diện đòi hỏi sức mạnh tính toán đáng kể. Trong điều kiện hiện đại, việc chuẩn bị các hệ thống như vậy có thể gây ra vấn đề nếu công ty có yêu cầu sử dụng thiết bị của Nga.
Kiểm tra môi trường
Điều quan trọng cần nhớ là các hệ thống chống APT có mối quan hệ rất phức tạp với ảo hóa: logic của phần mềm độc hại có thể bao gồm một giai đoạn kiểm tra môi trường mà nó được thực thi. Ví dụ, Trojan có thể cố gắng tìm hiểu xem nó có nằm trong cơ sở hạ tầng ảo hay không, điều này có thể gián tiếp chỉ ra rằng nó đang ở trong hộp cát. Một số phần mềm cố gắng tìm hiểu chi tiết về môi trường mà nó đã xâm nhập, xuống đến tên miền, tên người dùng và tên máy chủ cụ thể, và ẩn nội dung độc hại của nó nếu máy chủ không phải là mục tiêu của cuộc tấn công.
Về vấn đề này, một số nhà cung cấp khuyến nghị cài đặt các hệ thống như vậy trên máy chủ vật lý, vì ảo hóa kép tạo ra quá nhiều “đuôi” cho hộp cát. Tuy nhiên, một số nhà cung cấp khẳng định rằng việc sử dụng ảo hóa kép là hoàn toàn khả thi và họ đã học được cách “ẩn” thực tế sử dụng hộp cát khỏi các chương trình độc hại.
Đối với mô-đun Sandbox trong bối cảnh bảo vệ APT, cần đặc biệt chú ý đến việc kích hoạt mô-đun này. Đặc biệt, nếu các mô-đun khác không kích hoạt, điều này có thể chỉ ra một cuộc tấn công phức tạp. Một ví dụ nằm trong hình bên dưới.
Hình 3. Kích hoạt mô-đun Sandbox
Tính linh hoạt của các phương pháp bảo vệ tòa nhà
Nếu mọi tình huống đều có thể được giải quyết bằng cùng một bộ công cụ, mọi thứ sẽ trở nên đơn giản. Nhưng thực tế lại có phần khác: hầu như mọi dự án đều có bộ thành phần riêng. Sử dụng ví dụ về một số trường hợp từ nhóm của chúng tôi, chúng tôi sẽ chứng minh bộ thành phần tạo nên hệ thống chống APT có thể linh hoạt như thế nào.
Một tổ chức chính quyền khu vực cần được bảo vệ khỏi một lượng lớn các mối đe dọa đến qua thư. Đồng thời, dự án này bao gồm các danh mục người dùng xử lý hàng trăm tin nhắn mỗi ngày và không có thời gian để nhận ra các mối đe dọa. Để giải quyết vấn đề, nhóm của chúng tôi đã triển khai KATA (nút trung tâm, Sandbox) để kiểm tra lưu lượng mạng. Các tác nhân MDR đã được cài đặt để phân tích dữ liệu đo từ xa từ các máy chủ cuối. Trong quá trình hiện đại hóa hệ thống chống thư rác, các chính sách bảo mật đã được tinh chỉnh. Khi xử lý dữ liệu đo từ xa từ các máy chủ, SOC của nhà cung cấp sẽ tính đến bối cảnh của các sự cố được KATA phát hiện.
Như vậy, với chi phí bảo trì hệ thống thấp, khách hàng đã nhận được một công cụ phát hiện xâm nhập có thể giám sát mọi luồng dữ liệu chính được sử dụng trong các cuộc tấn công có chủ đích.
Trong một dự án khác, cho một công ty luyện kim, chúng tôi đã triển khai Kaspersky Symphony XDR. Trong quá trình tích hợp giải pháp với các dịch vụ CNTT trong tổ chức (máy chủ thư, cổng mạng, bộ chuyển mạch lõi, v.v.), đã phát sinh khó khăn trong việc vận hành các cổng từ nhà sản xuất nước ngoài. Để giải quyết vấn đề, chúng tôi đã sử dụng các biện pháp bù trừ cho phép phát hiện các mối đe dọa bằng dữ liệu từ các cảm biến khác.
Việc xây dựng giải pháp chống APT trong một hệ sinh thái sử dụng các sản phẩm từ một nhà cung cấp duy nhất cho phép tổ chức tiến hành quét sâu các mối đe dọa qua email bằng mô-đun hộp cát sau khi được xử lý bởi chương trình chống thư rác mà không tạo ra thêm điểm lỗi.
Xu hướng phát triển hệ thống chống APT trong nước
Hãy cùng xem xét các xu hướng chính trong việc phát triển các hệ thống chống lại các cuộc tấn công có chủ đích bằng cách sử dụng KATA làm ví dụ.
Một trong số đó là việc điều chỉnh phần mềm được sử dụng để đáp ứng các yêu cầu thay thế nhập khẩu, bao gồm hỗ trợ cho hệ điều hành, thiết bị và công cụ ảo hóa trong nước. Các hệ thống chống APT không chỉ phải hoạt động theo hệ điều hành của Nga mà còn phải có môi trường để mô phỏng các hành động của các đối tượng độc hại dựa trên hệ điều hành được chứng nhận được sử dụng trong tổ chức.
Xu hướng tiếp theo là phát triển dịch vụ chống APT. Điều kiện tiên quyết cho việc này là sự thiếu hụt nhân sự trong ngành an ninh thông tin.
Sự phát triển của các khả năng chức năng cũng có thể được nhấn mạnh như một xu hướng. Các nhà cung cấp đang tăng cường chức năng và tính phức tạp của các mô-đun để nhận dạng các cuộc tấn công theo nhiều hướng khác nhau. Ví dụ, trong những năm gần đây, Kaspersky Anti Targeted Attack đã mở rộng phạm vi chức năng của tác nhân EDR trên các máy chủ cuối, cũng như khả năng ngăn chặn các mối đe dọa. Về mặt tìm kiếm hành vi độc hại trên mạng, sản phẩm NDR đã được triển khai, sẽ được tích hợp gốc vào hệ thống chống APT và tất cả chỉ bằng cách thêm giấy phép, tức là chỉ bằng vài cú nhấp chuột.
Các nhà cung cấp khác cũng đang mở rộng chức năng của họ trong những lĩnh vực này, tạo ra một môi trường cạnh tranh đưa các hệ thống bảo vệ chống tấn công có mục tiêu lên một tầm cao mới.
Kết luận
Trong bài viết này, chúng tôi đã xem xét sự phát triển của thị trường trong nước về các hệ thống chống APT. Sự phát triển của lĩnh vực này được thúc đẩy bởi việc chấm dứt hoạt động của các nhà cung cấp nước ngoài tại Liên bang Nga và sự gia tăng nhanh chóng về số lượng các cuộc tấn công mạng. Nếu trong những năm trước, các giải pháp chống APT của Nga tụt hậu so với các giải pháp tương tự của nước ngoài về mặt chức năng, thì ngày nay chúng ta đang thấy các sản phẩm trong nước đã trưởng thành, cạnh tranh thành công với các sản phẩm nước ngoài.
Khi nói về bảo vệ hiện đại chống lại các cuộc tấn công có chủ đích, cần nhớ rằng đây là toàn bộ hệ sinh thái bao gồm các sản phẩm thuộc nhiều lớp khác nhau: EDR, EPP, phần mềm diệt vi-rút, NTA, Sandbox, công cụ bảo vệ lưu lượng thư và các sản phẩm khác. Ví dụ, không nên nhầm lẫn với hệ thống SIEM, hệ thống này nhằm mục đích phân tích thông tin cụ thể, cụ thể là nhật ký từ các tài sản được kết nối.
Việc tích hợp các hệ thống như vậy có thể được thực hiện bằng nỗ lực của riêng mình hoặc với sự tham gia của các công ty tích hợp có kinh nghiệm liên quan. Cách tiếp cận này cho phép tiết kiệm thời gian không chỉ trong việc triển khai mà còn trong việc hỗ trợ hệ thống, vì trong quá trình tích hợp, các vấn đề về cài đặt trong các môi trường khác nhau sẽ được giải quyết và các kết quả dương tính giả sẽ được khắc phục.
Dựa trên kinh nghiệm của iTPROTECT, khi triển khai anti-APT hoặc các thành phần của nó, bạn có thể tiết kiệm đáng kể chi phí bảo trì hệ thống nếu bạn tìm ra các quy tắc và cách tiếp cận để xác định đúng các mối đe dọa. Nếu bạn cần tư vấn về bất kỳ vấn đề nào liên quan đến anti-APT, chúng tôi sẽ rất vui lòng giúp đỡ.
Quảng cáo, JSC “INFOZASHITA”, TIN 7719672244
Mã số: 2Vfnxwq2cTA
