Trong bối cảnh các cuộc tấn công mạng phức tạp không được phát hiện bởi các hệ thống bảo mật thông tin tiêu chuẩn, cần có một cách tiếp cận toàn diện để bảo vệ tài nguyên thông tin. Trọng tâm là các công nghệ EDR (phát hiện và phản hồi điểm cuối) và NTA (phân tích lưu lượng mạng), cung cấp khả năng giám sát sâu, phân tích và phản hồi nhanh chóng đối với các mối đe dọa.
- Giới thiệu
- Các cuộc tấn công mạng vào các tổ chức của Nga
- Bảo vệ điểm cuối và phân tích lưu lượng mạng
- Các trường hợp từ thực tế
- Có thể thay thế EDR và NTA không?
- Kết luận
Giới thiệu
Trong thế giới hiện đại, thật khó để tưởng tượng đến sự tồn tại của một tổ chức lớn mà không sử dụng các công cụ bảo mật thông tin tiêu chuẩn, chẳng hạn như phần mềm diệt vi-rút, tường lửa cấp ứng dụng (WAF), hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) và bảo vệ chống lại các cuộc tấn công mạng (UTM), hệ thống ngăn chặn rò rỉ dữ liệu (DLP), hệ thống giám sát sự kiện bảo mật (SIEM).
Tuy nhiên, các cuộc tấn công mạng đang ngày càng trở nên phức tạp và đa dạng do nhiều yếu tố, bao gồm tiến bộ công nghệ, lỗ hổng mới và sự tiến bộ của các kỹ thuật tấn công. Sau đây là một số yếu tố góp phần làm tăng tính phức tạp của các cuộc tấn công mạng:
- Sử dụng các phương pháp và công nghệ tiên tiến. Tội phạm mạng sử dụng trí tuệ nhân tạo và máy học để tự động hóa các cuộc tấn công, tìm lỗ hổng và vượt qua các hệ thống phòng thủ. Điều này được tạo điều kiện thuận lợi bởi sự xuất hiện của các đối tượng tương tự “xấu xa” của ChatGPT, được đào tạo để hoạt động mà không có hạn chế về mặt đạo đức.
- Phát triển phần mềm độc hại. Ví dụ, việc sử dụng các chương trình đa hình và biến hình—phần mềm độc hại có thể thay đổi mã hoặc cấu trúc để tránh bị các chương trình diệt vi-rút phát hiện.
- Sự phức tạp ngày càng tăng của cơ sở hạ tầng của một tổ chức, sự phân đoạn của nó và tính bảo mật được tăng cường thúc đẩy tin tặc tìm kiếm các phương pháp xâm nhập mới, tinh vi hơn. Khi số lượng thiết bị được kết nối tăng lên, số lượng điểm xâm nhập tiềm năng cho kẻ tấn công cũng tăng lên.
- Sử dụng mô hình APT (mối đe dọa dai dẳng nâng cao). Các cuộc tấn công APT bao gồm nhiều giai đoạn như trinh sát, xâm nhập, dai dẳng và đánh cắp dữ liệu, khiến chúng khó bị phát hiện và loại bỏ.
- Căng thẳng địa chính trị gia tăng dẫn đến xung đột mạng ngày càng gia tăng, và với mỗi diễn biến, không chỉ các cuộc tấn công ngày càng dữ dội hơn mà mục tiêu của kẻ tấn công cũng thay đổi: từ DDoS và phá hoại tiêu chuẩn sang các cuộc tấn công có mục tiêu nhằm phá hoại thực sự, theo quy luật, đòi hỏi các kỹ thuật và chiến thuật tiên tiến hơn để thực hiện.
Do đó, các cuộc tấn công mạng ngày càng trở nên tinh vi và khó phát hiện, đòi hỏi các tổ chức phải liên tục cải thiện các kỹ thuật giám sát và ứng phó sự cố.
Thực hành sử dụng công nghệ EDR và NTA là gì, chúng đặc biệt hiệu quả cho những nhiệm vụ nào và có thể thay thế bằng các công nghệ khác có chức năng tương tự không? Hãy cùng tìm hiểu với các chuyên gia từ trung tâm đối phó tấn công mạng Solar JSOC.
Các cuộc tấn công mạng vào các tổ chức của Nga
Năm 2023, số lượng các sự cố nghi ngờ tăng 64% so với năm 2022. Đồng thời, mức tăng 7% của các sự cố nghiêm trọng cho phép chúng ta kết luận rằng các cuộc tấn công có chủ đích tinh vi đang gia tăng.
Theo trung tâm đối phó tấn công mạng Solar JSOC thuộc tập đoàn công ty Solar, một phần đáng kể các sự cố (đã xác nhận và chưa xác nhận) là do nhiễm phần mềm độc hại, kích hoạt chữ ký cảm biến NTA (phân tích lưu lượng mạng) và EDR (bảo vệ điểm cuối) và truy cập trái phép.
Hình 1. Phân bố tất cả các sự cố theo loại
Việc phân bổ một danh mục riêng biệt các sự cố chỉ được phát hiện bằng cách kích hoạt chữ ký EDR và NTA xác nhận sự gia tăng hoạt động của những kẻ tấn công nâng cao – hành động của chúng trong cơ sở hạ tầng là vô hình đối với các công cụ giám sát và bảo vệ tiêu chuẩn. Vì vậy, hóa ra: nếu bạn không thấy hoạt động đáng ngờ, điều này không có nghĩa là nó không tồn tại.
Bảo vệ điểm cuối và phân tích lưu lượng mạng
Ngày nay, việc giám sát mối đe dọa hiệu quả đòi hỏi các công cụ và phương pháp mới để đảm bảo an ninh thông tin, chẳng hạn như EDR và NTA.
EDR
EDR là một tập hợp các công nghệ và công cụ được thiết kế để phát hiện, phân tích, giám sát và ứng phó với các mối đe dọa bảo mật nhắm vào các điểm cuối (máy tính, máy chủ, thiết bị di động).
Hệ thống EDR thu thập dữ liệu về các hoạt động và sự kiện tại điểm cuối theo thời gian thực và sử dụng các thuật toán phân tích hành vi để xác định các hoạt động đáng ngờ (như kết nối mạng bất thường hoặc sửa đổi tệp trái phép), cho phép phát hiện các mối đe dọa ở giai đoạn đầu, trước khi chúng gây ra thiệt hại đáng kể.
Thu thập nhiều thông tin hơn (so với các công cụ bảo mật thông tin cơ bản) cho phép phân tích sự cố chi tiết, giúp xác định nguồn gốc của cuộc tấn công, phương pháp xâm nhập và mức độ thiệt hại. Điều này làm tăng tốc độ phản ứng với các sự cố mạng lên nhiều lần và giảm đáng kể thời gian điều tra chúng.
EDR cũng có khả năng tự động thực hiện các hành động phản hồi khi xảy ra tấn công, chẳng hạn như cô lập điểm cuối bị nhiễm, xóa các tệp độc hại và chặn kết nối mạng. Phản hồi sự cố tức thời giúp giảm thiểu tác động của các cuộc tấn công.
NTA
NTA là một phương pháp và công nghệ được sử dụng để giám sát, phân tích và phản hồi hoạt động mạng nhằm phát hiện và ngăn chặn các mối đe dọa. Hệ thống NTA phân tích các thông tin liên lạc mạng, xác định các bất thường và hoạt động đáng ngờ, đồng thời cung cấp hiểu biết sâu sắc hơn về môi trường mạng.
NTA có thể phát hiện các bất thường về mạng mà các hệ thống giám sát và phân tích sự kiện bảo mật (SIEM) và các công cụ bảo vệ chống vi-rút không thể phát hiện. Bằng cách phân tích tất cả lưu lượng mạng, bao gồm siêu dữ liệu và nội dung gói, nó có thể xác định các mẫu lưu lượng bất thường, việc sử dụng các giao thức hoặc cổng không điển hình cho công ty và xác định các kết nối bất ngờ giữa các nút bên trong và bên ngoài hoặc giữa các nút bên trong không thường xuyên tương tác.
Không giống như IDS (Hệ thống phát hiện xâm nhập), NTA sử dụng dữ liệu lịch sử để xác định các mối đe dọa ẩn và xây dựng bức tranh toàn cảnh về cuộc tấn công (ngoài việc thu thập dữ liệu lưu lượng mạng theo thời gian thực, bao gồm lưu lượng được truyền qua các giao thức không chuẩn). Phân tích hồi cứu cho phép bạn hiểu cách thức cuộc tấn công xảy ra, hệ thống nào bị ảnh hưởng và những hành động nào cần thực hiện để ngăn chặn các sự cố tương tự trong tương lai.
Bằng cách phân tích hành vi của người dùng và so sánh các hành động hiện tại với dữ liệu lịch sử, NTA có thể phát hiện các cuộc tấn công có mục tiêu nâng cao (APT) và các cuộc tấn công được thực hiện bằng thông tin xác thực hợp lệ.
Các trường hợp từ thực tế
Thực hành sử dụng hệ thống NTA và EDR bao gồm một số lĩnh vực. Hãy cùng xem xét chúng bằng cách sử dụng các ví dụ về trung tâm đối phó tấn công mạng Solar JSOC — SOC thương mại lớn nhất của Nga.
Solar JSOC là một trung tâm an ninh mạng cung cấp dịch vụ giám sát và ứng phó sự cố bảo mật, cũng như dịch vụ tư vấn và xây dựng SOC, đánh giá bảo mật, điều tra sự cố, phát hiện mối đe dọa kỹ thuật số bên ngoài, v.v. Đọc về cách chọn SOC thương mại vào năm 2024 trên cổng thông tin của chúng tôi.
Xác định miền DGA bằng NTA
DGA (Thuật toán tạo tên miền) là thuật toán cho phép tạo tên ngẫu nhiên hoặc tên miền giả ngẫu nhiên. Tên miền DGA thường được phần mềm độc hại sử dụng để giao tiếp với trung tâm chỉ huy của kẻ tấn công, thông báo cho trung tâm này về vụ tấn công hoặc thực thi mã độc.
Một trong những khách hàng của Solar JSOC có một máy chủ web có lỗ hổng trên chu vi đã bị kẻ tấn công khai thác thành công (chưa có chữ ký nào cho lỗ hổng này trong các nguồn công khai). Do đó, máy chủ web bắt đầu truy cập vào các tên miền DGA do tin tặc tạo ra. Hệ thống NTA đã đăng ký các tên miền trong lưu lượng mạng phản ánh hoạt động không điển hình của khách hàng và hiển thị chúng trên bảng điều khiển.
Các nhà phân tích của Solar JSOC phát hiện ra rằng những tên miền này đang bị kẻ tấn công sử dụng, sau đó các lỗ hổng trên máy chủ đã được khắc phục nhanh chóng và cuộc tấn công đã bị dừng lại. Sẽ khó khăn và tốn thời gian hơn nhiều để phát hiện ra hoạt động như vậy bằng cách sử dụng một SIEM duy nhất.
Hình 2. Các miền DGA đã xác định
Tính toán kẻ tấn công nội bộ
Nhờ NTA, có thể phát hiện ra hành vi đánh hơi Wi-Fi của một trong những khách hàng của Solar. Đánh hơi Wi-Fi cho phép kẻ tấn công chặn dữ liệu xác thực và khóa mã hóa, cung cấp quyền truy cập vào dữ liệu quan trọng của những người dùng khác. Sau khi NTA ghi lại các sự kiện tải xuống hướng dẫn và phần mềm để nghe lưu lượng Wi-Fi, một cuộc điều tra nội bộ đã bắt đầu – kẻ tấn công hóa ra là một nhân viên của công ty khách hàng. Các biện pháp đã được thực hiện ngay lập tức.
Phát hiện khai thác lỗ hổng
NTA có số lượng lớn các chữ ký phát hiện các nỗ lực khai thác lỗ hổng máy chủ web. Không giống như WAF, NTA cung cấp khả năng bảo vệ cho các tương tác nội mạng, nhưng cũng có thể được triển khai trên chu vi của tổ chức để phân tích lưu lượng chi tiết hơn và phát triển các chữ ký bổ sung cho các loại tấn công mới. Do đó, NTA có thể giúp phát hiện các lỗi trong kiến trúc mạng.
Ví dụ, một trong những khách hàng của Solar JSOC có một máy chủ web trên chu vi không được bảo vệ bởi WAF. Sau khi kết nối phân đoạn mạng này với NTA, các nhà phân tích của Solar phát hiện ra hoạt động bất thường: quét thường xuyên và cố gắng khai thác lỗ hổng, bao gồm cả những lỗ hổng thành công. Máy chủ đã nhanh chóng được đặt sau WAF, ngoài việc phát hiện, còn chặn các cuộc tấn công như vậy.
Hình 3. Hoạt động đáng ngờ trên chu vi
Phát hiện phần mềm độc hại
Với sự trợ giúp của EDR, các nhà phân tích Solar JSOC thường xuyên phát hiện các nỗ lực thu thập thông tin về cơ sở hạ tầng và máy chủ bằng các tiện ích Windows chuẩn. Dữ liệu mà kẻ tấn công thu thập được có thể được sử dụng cho các cuộc tấn công có mục tiêu, ví dụ, để tăng đặc quyền hoặc mở rộng bề mặt tấn công. Phát hiện hoạt động như vậy ở giai đoạn đầu giúp ngăn chặn sự phát triển của nó, cũng như tìm và loại bỏ các nguồn gốc của vấn đề trong cơ sở hạ tầng.
Hình 4. Phát hiện nỗ lực thu thập thông tin máy chủ
Các công cụ EDR cũng liên tục phát hiện các chương trình độc hại bị ẩn khỏi phần mềm diệt vi-rút bằng nhiều phương pháp che giấu khác nhau. EDR phân tích các quy trình đang chạy trong hệ thống, các hành động chúng thực hiện, các tham số khởi chạy và xây dựng chuỗi sự kiện hồi tố cho đến khi hệ thống khởi động, cho phép bạn nhanh chóng xác định các bất thường và ngăn chặn các cuộc tấn công.
Có thể thay thế EDR và NTA không?
Một số tác vụ EDR và NTA có thể được thực hiện bằng các công nghệ và công cụ khác, nhưng rất khó để thay thế hoàn toàn các giải pháp này vì chúng thực hiện các chức năng khá cụ thể để bảo vệ điểm cuối và giám sát lưu lượng mạng.
Ví dụ, bạn có thể sử dụng kiểm toán DNS nâng cao và SIEM để phát hiện các miền DGA, nhưng máy chủ DNS và hệ thống SIEM sẽ bị quá tải do khối lượng sự kiện lớn. Sử dụng biểu thức chính quy, danh sách đen và ngoại lệ (các tùy chọn phát hiện khả thi) đòi hỏi nhiều tài nguyên. Tải trọng cao trên máy chủ DNS có thể dẫn đến mất các sự kiện không có thời gian để đến SIEM.
Hệ thống NTA, ngược lại, được thiết kế để xử lý khối lượng lớn lưu lượng mạng và có thể theo dõi mọi nỗ lực kết nối đến miền, giảm thiểu rủi ro bỏ sót sự kiện. Các bản cập nhật chữ ký thường xuyên cho phép thích ứng nhanh với các cuộc tấn công mới và tính đến các thuật toán tạo miền DGA. NTA sử dụng các công nghệ máy học để phát hiện DGA và cung cấp cho các nhà phân tích các công cụ để xác định các bất thường.
Hệ thống DLP có thể được sử dụng để tìm kiếm những kẻ vi phạm nội bộ, nhưng các giải pháp thuộc loại này thường được cấu hình để giám sát lưu lượng bên ngoài phạm vi công ty, ngoại trừ email, nơi cả thông tin đi và đến đều được giám sát.
Có thể giám sát hoạt động nội bộ bằng DLP, nhưng điều này đòi hỏi phải cấu hình chính sách bảo mật cụ thể, dẫn đến tăng chi phí lao động của các chuyên gia làm việc với các sự cố DLP. Đồng thời, với cấu hình DLP cụ thể, có thể ghi lại sự kiện tải xuống phần mềm độc hại hoặc hướng dẫn, nhưng không thể tìm thấy bất thường trong các quy trình đã khởi chạy bằng giải pháp này.
Để ứng phó với các sự cố và thu thập dữ liệu từ xa mở rộng nói chung, bạn có thể sử dụng các tiện ích để giám sát quy trình (Sysmon, Auditd) và các công cụ quản lý cơ sở hạ tầng từ xa, và thu thập các sự kiện theo cách cổ điển bằng SIEM. Một nhược điểm đáng kể ở đây là phương pháp kiểm toán cổ điển yêu cầu tương tác giữa các phòng ban khác nhau, điều này cho kẻ tấn công thời gian để phát triển một cuộc tấn công. Ngoài ra, trong trường hợp EDR, tải trên SIEM thấp hơn đáng kể và có thể nhanh chóng giám sát trạng thái của các tác nhân.
Kết luận
Công nghệ EDR và NTA đóng vai trò quan trọng trong an ninh mạng hiện đại, cung cấp phương pháp tiếp cận toàn diện để bảo vệ hệ thống thông tin. EDR cung cấp khả năng hiểu sâu sắc và kiểm soát hoạt động điểm cuối, cho phép bạn nhanh chóng phát hiện và phản hồi các mối đe dọa có thể vượt qua các giải pháp diệt vi-rút truyền thống.
NTA bổ sung cho biện pháp bảo vệ này bằng cách phân tích lưu lượng mạng và xác định các bất thường và hoạt động độc hại có thể vẫn chưa được các hệ thống bảo mật thông tin khác phát hiện. Việc sử dụng kết hợp EDR và NTA cung cấp một bộ công cụ mạnh mẽ để bảo vệ toàn diện, phát hiện và phản ứng nhanh với các mối đe dọa mạng, do đó tăng đáng kể khả năng phục hồi tổng thể trước các cuộc tấn công.
Nếu bạn có cơ sở hạ tầng mạng phức tạp, phân nhánh với nhiều phân đoạn có thể truy cập từ Internet hoặc có quyền truy cập vào Internet, thì với sự trợ giúp của NTA, bạn sẽ có thể phát hiện các cuộc tấn công ngay từ giai đoạn đầu phát triển.
Nếu một công ty có nhiều người dùng có trình độ hiểu biết về an ninh mạng không đủ cao (họ thường mắc bẫy lừa đảo, nhấp vào liên kết độc hại, sử dụng tài nguyên giải trí từ máy trạm, v.v.), EDR sẽ không thể thiếu trong việc phát hiện và ứng phó với các cuộc tấn công ở cấp độ điểm cuối (điều này đặc biệt liên quan đến những người dùng có quyền truy cập vào dữ liệu hoặc cơ sở hạ tầng quan trọng).
Các nỗ lực thay thế EDR và NTA bằng các công cụ khác gặp phải những hạn chế nghiêm trọng. Các giải pháp thay thế có thể không cung cấp cùng mức độ chi tiết và tích hợp, nghĩa là chức năng sẽ bị phân mảnh và thời gian phản hồi cuối cùng sẽ dài hơn. Điều này có thể khiến việc quản lý bảo mật trở nên khó khăn hơn và khiến tổ chức dễ bị tấn công nâng cao.
