Giải pháp chống tấn công APT với Sanbox và EDR của Kaspersky

Giải pháp chống tấn công APT với Sanbox và EDR của Kaspersky

I.        Yêu cầu chung đối với giải pháp

1.         Hiện trạng và nhu cầu

Số lượng các vụ tấn công nhắm vào các doanh nghiệp đang phát triển, các kỹ thuật và kỹ năng của những kẻ tấn công phức tạp hơn bao giờ hết. Các cuộc tấn công ngày hôm nay và các mối đe dọa tiên tiến khó bị phát hiện, khó khăn hơn để xử lý và loại bỏ, vì vậy các doanh nghiệp cần có một chiến lược an ninh toàn diện, thích nghi.

Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một thực thể xác định. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác. Tuy nhiên không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân. Trong một cuộc tấn công có chủ đích, kẻ xấu luôn bắt đầu bằng việc tìm hiểu kỹ lượng về tổ chức trước khi sử dụng các kỹ thuật tấn công và lẩn tránh phù hợp để vượt qua các hệ thống bảo vệ; một khi đã xâm nhập thành công, chúng kiên trì trú ẩn trong hệ thống để có thể thu thập tối đa thông tin trước khi bị phát hiện, hoặc đơn giản hơn là chờ tới thời điểm mong muốn để gây ảnh hưởng lên hệ thống.

Các cuộc tấn công có chủ đích được thực hiện lâu dài cung cấp cho kẻ tấn công kiểm soát trái phép hệ thống IT của doanh nghiệp tránh kẻ tấn công bị phát hiện bởi các công nghệ bảo mật thông dụng như (AV, IPS, FW,…). Mặc dù một số cuộc tấn công có thể sử dụng các mối đe doạ liên tục nhưng cũng có những cuộc tấn công rất công phu và đắt tiền để thực hiện. Có cuộc tấn công đơn giản chỉ sử dụng một loại mã độc đơn giản, có cuộc tấn công sử dụng những kỹ thuật phức tạp từ phần mềm phần cứng và yếu tố con người.

Hầu hết các doanh nghiệp đã thực hiện ác khoản đầu tư lớn cho các giải pháp bảo mật truyền thống: Firewall, Anti-Virus, IPS, Proxy, Encrypt,… Tuy nhiên mặc dù các công nghệ bảo mật đó có thể chống lại các mối đe doạ phổ biến bao gồm cả phần mềm độc hại và các cuộc tấn công có chủ đích đơn giản. Các cuộc tấn công phức tạp có thể không bị phát hiện trong nhiều tuần, nhiều tháng, nhiều năm. Các tội phạm mạng âm thầm thu thập các thông tin có giá trị hoặc tác động đến các quá trình kinh doanh quan trọng. Các cuộc tấn công theo phướng pháp mới có thể dễ dàng vượt qua khả năng bảo vệ của các giải pháp an ninh truyền thống.

Để nâng cao mức độ bảo mật mà các giải pháp truyền thống có thể cung cấp, nhiều doanh nghiệp đã xây dựng hệ thống quản lý sự kiện (SIEM) và phát triển những ứng dụng chuyên dụng để tập trung hoá quản lý an ninh và ứng phó sự cố (SOC). Tuy nhiên để những giải pháp này có hiệu quả cần đội ngũ nhân viên có đầy đủ khả năng bảo vệ cần có tầm nhìn toàn cầu về an ninh, chiều sâu chuyên môn về khả năng phân tích các Cyberthreat. Trong khi đó các tập đoàn đa quốc gia cũng khó có thể tuyển được đầy đủ những chuyên gia như vậy.

Giải pháp hộp cát (Sandbox) kết hợp tự động phát hiện và phản ứng (Endpoint detaction and respond – EDR) cho phép phát hiện và ngăn chặn các cuộc tấn công chủ đích với một nguồn lực tối thiểu. Giải pháp có khả năng phát hiện chi tiết dựa vào sự hiểu biết về hành vi bình thường trong hệ thống và hành vi của người dùng cộng với phân tích liên tục tất cả các hoạt động để đảm bảo có tầm nhìn đầy đủ tất cả các cơ sở hạ tầng CNTT; trong trường hợp phát hiện ra các nguy cơ, giải pháp sẽ tự động thực hiện các thao tác cần thiết để ngăn chặn rủi ro được phát tán rộng hơn.

2.         Giải pháp kỹ thuật

2.1.            Mô hình giải pháp

Giải pháp hộp cát (Sandbox) kết hợp tự động phát hiện và phản ứng (Endpoint detection and respond – EDR) bao gồm các thành phần sau:

• Thành phần bảo vệ Endpoint: Endpoint Security + EDR
• Thành phần Quản trị tập trung: Security Center
• Thành phần phân tích: Sandbox

Bảo vệ Endpoint: Phần mềm diệt virus cho máy trạm và máy chủ (Endpoint Protection) đồng thời là các Endpoint Sensor cho giải pháp chống tấn công APT có khả năng thu thập dữ liệu mạng được cài đặt tại các máy trạm nhằm thu thập và gửi thông tin về máy chủ quản trị tập trung để phân tích và phát hiện cũng như ngăn chặn các dạng tấn công APT.

Khả năng quản trị tập trung: Có chức năng thu thập và phân tích thông tin từ các Endpoint Sensor và thông tin từ công nghệ Sandbox. Công cụ quản trị tập trung là đầu não của giải pháp chống tấn công APT, cho phép thiết lập quản trị, đưa ra các báo cáo,…

Có tích hợp công nghệ Advanced Sandbox: Công nghệ cho phép tạo môi trường giả lập nơi các khả nghi gửi về.  Từ quá trình phân tích trên môi trường giả lập này có khả năng phát hiện các nguy cơ tiềm ẩn mà các công nghệ cũ không có khả năng phát hiện ra.

Các tính năng bảo vệ chính:

• Phát hiện sự cố tại Endpoint trong thời gian thực

+ Phát hiện các mã độc chưa được biết tới, các mã độc mới và Ransomware
+ Phát hiện các kiểu tấn công theo Zero day và các kiểu tấn công khác dựa trên hành vi
+ Bảo vệ và phát hiện trong quá trình quét
+ Phân tích các đối tượng qua công nghệ SandBox

• Ngăn chặn

+ Cách ly
+ Chặn các đối tượng nghi vấn
+ Cho phép người dụng thực thi nhiều tác vụ

• Phản ứng sự cố

+ Khôi phục và khắc phục sự cố (Roll-Back and repair).
+ Khắc phục điểm yếu
+ Phân tích sâu các nguy cơ để phát hiện các mối đe doạ tiềm ẩn.

• Tập trung thu thập và phân tích bằng chứng mã độc và các loại tấn công.
• Tập trung nhận lệnh và gửi các yêu cầu tới các thành phần trong giải pháp
• Hỗ trợ điều tra và phân tích.

2.2.            Cơ chế hoạt động của Sandbox

Sandbox khai thác thực tiễn tốt nhất trong việc chống lại các mối đe dọa phức tạp và các cuộc tấn công cấp độ APT và được tích hợp chặt chẽ với Endpoint Security. Nó được quản lý từ một Trung tâm bảo mật (Security Center), dựa trên một chính sách thống nhất từ Bảng điều khiển quản lý.

Các Agent từ Endpoint Security yêu cầu dữ liệu về một đối tượng đáng ngờ từ bộ đệm hoạt động được chia sẻ của các phán quyết từ máy chủ cài đặt Sandbox. Nếu đối tượng đã được quét, Endpoint Security sẽ nhận các phán quyết này và áp dụng một hoặc nhiều hơn các tùy chọn khắc phục như sau:

• Hủy bỏ (Remove) và kiểm dịch (quarantine)
• Thông báo cho người dùng (Notify user)
• Bắt đầu quét các khu vực quan trọng
• Tìm kiếm đối tượng được phát hiện trên các máy khác trong mạng được quản lý.

Nếu bản phán quyết về danh tiếng của một đối tượng, không thể lấy lấy được từ bộ đệm, thì Agent trên Endpoint Security sẽ gửi tệp tin đáng ngờ tới Sandbox và chờ phản hồi. Sandbox nhận yêu cầu quét đối tượng, tại điểm đó đối tượng thử nghiệm được chạy trong một môi trường cách ly với cơ sở hạ tầng thực

Việc quét tệp tin được thực hiện trong các máy ảo được trang bị các công cụ mô phỏng môi trường làm việc điển hình (hệ điều hành / ứng dụng đã cài đặt). Để phát hiện mục đích xấu của đối tượng, phân tích hành vi được thực hiện, các tạo tác (thành phần lạ) được thu thập và phân tích, và nếu đối tượng thực hiện các hành động độc hại, Sandbox sẽ nhận diện ra đó là phần mềm độc hại. Trong quá trình phân tích của Sandbox, một phán quyết được gán cho đối tượng.

Ngay khi quá trình mô phỏng đối tượng hoàn tất, kết quả phán quyết được gửi theo thời gian thực tới bộ đệm hoạt động chia sẻ của các phán quyết, cho phép các máy chủ (host) khác có cài đặt Endpoint Security nhanh chóng lấy dữ liệu về danh tiếng của đối tượng được quét mà không phải phân tích cùng một tập tin thêm một lần nữa. Cách tiếp cận này đảm bảo xử lý nhanh chóng các đối tượng đáng ngờ, giảm tải cho máy chủ Sandbox và cải thiện tốc độ và hiệu quả của phản ứng trước các mối đe dọa

Sandbox là một bổ sung thiết yếu cho Endpoint Security. Nó tự động chặn các mối đe dọa tiên tiến, chưa được biết tới và phức tạp mà không cần thêm tài nguyên và giải phóng các nhà phân tích bảo mật CNTT để tập trung vào các nhiệm vụ khác.

2.3.            Cơ chế hoạt động của hệ thống EDR

EDR có thể tích hợp với Enpoint protection để hoạt động như một phần mềm duy nhất. Nhiệm vụ chính của của hệ thống EDR là phát hiện và loại bỏ các cuộc tấn công APT và ngăn chặn sự lây lan của mã động trong hệ thống, các tính năng của EDR có thể được chia thành ba nhóm như sau:

• Quan sát:
• Giám sát các endpoint trong hệ thống trong thời gian thực trên một giao diện quản trị tập trung.
• Hiển thị toàn bộ thông tin về hoạt động của endpoint bao gồm: các cây tiến trình, lịch sử hoạt động và các mối quan hệ giữa các endpoint trên toàn công ty
• Thu thập các dữ kiện bảo mật để phục vụ quá trình điều tra sâu và phản ứng
• Phân tích:
• Sử dụng các kết quả từ nhiều phương pháp phân tích khác nhau để thực hiện phân tích từng sự cố và đưa ra kết luận về  chiến thuật, quy trình và kỹ thuật của cuộc tấn công
• Phân tích quá trình lây lan của mã độc
• Phân tích các sự kiện diễn ra giữa các đối tượng đáng tin cậy và các đối tượng chắc chắn độc hại
• Phản ứng:
• Các hành động phản ứng trước một sự cố an toàn thông tin bao gồm: cách ly host, cách ly file, kích hoạt tiến trình dò quét trên host và ngăn thực thi file
• Phản ứng ngay lập tức khi phát hiện sự cố chỉ với một click.
• Tạo quy trình phản ứng tự động dò quét trên toàn hệ thống dựa trên các chỉ dấu xâm phạm (Indicator of compromised – IoC)

2.4.            Ứng dụng

• Hỗ trợ cho các kịch bản tự động trong việc chống lại các mối đe dọa chưa được biết tới (unknown threat) mà không cần phải thuê các chuyên gia
• Bảo vệ các máy chủ đầu cuối (Server) thực hiện tải trọng cao, ngay cả khi mô-đun phân tích hành vi trong hệ thống Endpoint Security bị tắt
• Bảo vệ các điểm đầu cuối (Endpoint), ngay cả khi không có bất kỳ tương tác nào với Cơ sở dữ liệu mối đe dọa toàn cầu
• API cho phép tích hợp với các ứng dụng của bên thứ ba trong cơ sở hạ tầng sẵn có.