Internet - với nguồn thông tin vô cùng dồi dào và nhiều tiện ích thiết yếu gắn liền với cuộc sống hàng ngày của chúng ta – đã trở thành công cụ không thể thiếu đối với hoạt động kinh doanh và các mục đích cá nhân. Tuy nhiên Internet cũng có mặt trái của nó. Trải qua các năm, Internet đã mang lại các giá trị ấn tượng, nhưng giờ đây Internet cũng đã trở thành một nơi rất nguy hiểm đối với công việc hoặc giải trí. Nhiều báo cáo gần đây cho thấy Internet là nguồn chủ yếu phát tán virus, trojan, các mã độc hại và hình thức lừa đảo phishing, pharming... Các đe doạ ngày càng tăng và mức độ càng tinh vi hơn. Người ta đã phải thốt lên rằng “Web không còn chỉ mang đến những điều thú vị”. Nhưng may mắn là Websense đã phát triển công nghệ đỉnh cao để ngăn chặn các đe doạ ngay từ nơi chúng xuất phát và thậm chí các tấn công zero-day*. Hiển nhiên là không có Internet thì môi trường kinh doanh ngày nay không thể tồn tại. Chính vì vậy, việc trang bị hệ thống chống lại các đe doạ từ web đã trở nên vấn đề vô cùng quan trọng đối với bất kỳ tổ chức, công ty kinh doanh nào.
Công nghệ Websense ThreatSeeker™
Websense ThreatSeeker là khái niệm chung để định nghĩa tất cả công nghệ mà Websense sử dụng để vô hiệu hoá các đe doạ từ Internet. ThreatSeeker sử dụng rất nhiều kỹ thuật và công nghệ khác nhau để chủ động phát hiện các tấn công đã biết và ngay cả các đe doạ chưa biết để ngăn chặn chúng trước khi các đe doạ này có thể lây nhiễm vào hệ thống. Bài viết này sẽ phân tích cách thức làm thế nào mà công nghệ Threat-Seeker có thể ngăn chặn các đe doạ từ Internet.
WebCatcher, KILO, và Websense Master Database
Việc duy trì, cập nhật CSDL - Websense Master Database là một trong những yếu tố chủ chốt trong công nghệ của Websense. Các web site mới liên tục xuất hiện và do vậy các web site này cùng với các đe doạ tiềm ẩn phải được phân loại và cập nhật thường xuyên. Một trong những phương pháp mà Websense sử dụng để cập nhật CSDL của mình là công nghệ WebCatcher. Khi người dùng truy cập tới các web site mới mà chưa được phân loại trong CSDL thì WebCatcher tự động gửi báo cáo tới Websense về các web site mới này. Các web site chưa được phân loại này sẽ được tập hợp và đưa vào trong quy trình xử lý của Websense.
Trong quy trình xử lý, các web site mới chưa được phân loại đầu tiên được kiểm tra để chắc chắn là chúng phân giải ra địa chỉ IP thực. Sau đó một tiến trình tự động sẽ tải về toàn bộ nội dung của web site và nội dung này được chuyển tới phần mềm phân tích dựa trên tri thức nhận biết (Knowledge Indexing Learning and Organization -KILO). KILO áp dụng kỹ thuật trí tuệ nhân tạo trong việc phân tích và phân loại các web site mới. Ngôn ngữ web site sẽ được xác định (Websense hỗ trợ hơn 50 ngôn ngữ quốc tế) và bộ lọc tìm kiếm các từ ngữ được sử dụng để hỗ trợ việc phân loại web site. Sau khi được xử lý bởi phần mềm KILO, web site sẽ được gán một con số để phân nhóm vào thuộc một trong 90 nhóm (category) trong CSDL Websense. Con số âm thể hiện web site không nằm trong một nhóm cụ thể, con số dương thể hiện web site được phân loại chính xác trong nhóm xác định. Ngoài ra, một giá trị số được gán bởi KILO để thể hiện độ tin cậy. Nếu số này giá trị dương càng lớn thì KILO phân loại web site càng chính xác. Ngược lại, nếu KILO gán một giá trị âm lớn thì web site không được phân loại chính xác và một nhóm mục cụ thể nào đó. Cách tính trọng số như vậy rất giống với cách hoạt động của các chương trình lọc thư rác (spam) để xác định email có phải là thư rác hay không.
Sau khi KILO gán giá trị số cho web site, chuyên gia của Websense sẽ duyệt lại tính chính xác trong phân loại của KILO và có thể điều chỉnh lại nếu thấy cần thiết. Nếu có sự điều chỉnh bởi chuyên gia, các tham số của KILO cũng được tự động điều chỉnh để phân loại chính xác hơn như cách phân loại của chuyên gia. Đối với các web site chưa phân loại sau này, KILO sẽ học cách phân loại mới nhất của chuyên gia để xử lý. Điều này giúp cho KILO càng hoàn thiện việc phân loại chính xác và càng về sau chuyên gia Websense ít phải tự mình sửa lại bằng tay hơn. Websense tuyển dụng các chuyên gia thông thạo tất cả ngôn ngữ chính được sử dụng trên các web site để đảm bảo rằng các web site được phân loại một cách chính xác nhất.
Các khách hàng Websense hàng ngày nhận được cập nhật các Website mới sau khi đã được phân loại. Đối với các nhóm web nhạy cảm liên quan đến bảo mật, việc cập nhật được thực hiện hàng giờ trong ngày thông qua dịch vụ trực tuyến Real Time Security Updates™.
Tất nhiên là sau khi một web site đã được phân loại, nội dung của nó có thể thay đổi. Sau khi web site được phân loại, web site sẽ tiếp tục được đưa vào chu trình xét duyệt lại đều đặn. Điều này đặc biệt quan trọng đối với các web site có thể nhiễm mã độc. Web site nhiễm mã độc có thể được sửa chữa, do đó cần việc xem xét lại thường xuyên các web site đó cũng là quan trọng để tránh việc phân loại nhầm web site. Các web site nhiễm mã độc được kiểm tra hàng giờ, Websense cho phép người dùng truy cập lại nhanh chóng khi web site đã được quét sạch mã độc. Với qui trình hoạt động như vậy, Websense ngay lập tức bảo vệ người dùng tránh các đe doạ mới phát sinh nhưng cũng cho phép truy cập web site ngay khi các đe doạ được loại bỏ.
AppCatcher và ProtocolCatcher
AppCatcher và ProtocolCatcher tương tự như WebCatcher, nhưng thay vì phân loại các web site chúng phân loại các giao thức và ứng dụng. Websense ghi log mọi kết nối ứng dụng, kiểm tra các cổng (port) và địa chỉ IP của kết nối. Các ứng dụng và cổng giao thức, IP liên quan mà chưa được phân loại sẽ được báo cáo về Websense. Người dùng sẽ được cập nhật hàng giờ các ứng dụng, giao thức mới được phân loại. Điều này giúp cho quản trị hệ thống ngăn chặn các ứng dụng nguy hiểm hoặc không được phép như các ứng dụng điều khiển từ xa, proxy avoidance có thể vòng tránh tường lửa vượt qua được sự kiểm soát theo chính sách an ninh, các ứng dụng IM hoặc chia sẻ ngang hàng – P2P..
Honey Pots
Hacker thường sử dụng các máy tính chưa cài bản vá như một môi trường thử nghiệm để xác định xem hiệu quả của tấn công đối với một hay nhóm các điểm yếu cụ thể. Các tấn công này có thể là sự kết hợp nhiều hình thái biến thể của cùng một tấn công để vượt qua chương trình quét virus hay phòng chống xâm nhập. Khi hacker nhằm vào một hệ thống cụ thể, hắn sẽ thực hiện các kỹ thuật dò quét tự động để tìm ra các điểm yếu trên hệ thống đang nhắm tới. Sau đó hacker sẽ thực hiện các khai thác vào điểm yếu được phát hiện để chiếm quyền điều khiển hệ thống. Honey Pots - kỹ thuật sử dụng các máy tính chưa cài bản vá để làm mồi nhử hacker - cho phép Websense quan sát và theo dõi sự tiến triển và cách thức của tấn công. Khi các “mồi nhử” Honey Pots bị tấn công, các bước khai thác điểm yếu được ghi lại để xác định loại tấn công và cách nào tốt nhất để ngăn chặn nó. Thông thường các tấn công được nhận diện ngay từ giai đoạn phát triển, cho phép chuẩn bị sớm biện pháp đối phó trước khi tấn công có thể lan rộng.
Honey Clients
Honey Clients khác với Honey Pots nhưng mục đích cuối cùng lại giống nhau – nhận diện các đe doạ trước khi chúng hoạt động. Honey Clients là những máy tính được cài bản vá đầy đủ được sử dụng để truy cập nhiều web site khác nhau, cố gắng để bị lây nhiễm mã độc. Honey Clients là chiến thuật rất hiệu quả để chống lại các tấn công zero-day*. Để thực hiện việc tấn công, Hacker sẽ đặt các đoạn mã độc lợi dụng các điểm yếu tiềm ẩn của hệ điều hành và ứng dụng lên một web site. Khi những người dùng vô ý truy cập web site đó và tải đoạn mã độc, máy tính của họ sẽ bị lây nhiễm. Tấn công Zero-day rất nguy hiểm bởi vì chúng có thể lây nhiễm vào bất kỳ máy tính nào bất kể máy đã cài bản vá hay chưa. Mỗi khi Honey Clients tìm ra web site chứa mã độc, CSDL Websense sẽ nhanh chóng được cập nhật. Tấn công Zero-day luôn luôn là mối bận tâm đối với người quản trị hệ thống bởi vì chúng rất khó chống lại. Nhưng, Honey Client lại là cách hiệu quả để phát hiện ra bất kỳ tấn công zero-day nào bằng cách chủ động đi tìm và phát hiện các tấn công tiềm ẩn trong khi chúng vẫn đang trong giai đoạn phát triển. Honey Pot và Honey Client cung cấp cho người dùng nhiều ưu điểm vượt trội để chống lại hacker, do bởi cách tiếp cận mới của Websense chủ động tìm kiếm các web site chứa mã độc, phát hiện các tấn công ngay từ khi chúng bắt đầu nhen nhóm.
Kỹ thuật che giấu Honey Pot và Honey Client
Từ quan điểm của hacker, Honey Pots và Honey Clients là những “quả mìn” và tất nhiên hacker muốn tránh. Vì lý do này cộng đồng hackers có danh sách các Honey Pots và Honey Clients và luôn chủ động cập nhật. Một số hacker đã chủ động phòng tránh đối với các Honey Pots và Honey Clients đã biết đến. Web site độc hại có thể thay đổi tuỳ theo địa chỉ IP của máy tính truy cập. Ví dụ, một web site bị tấn công có thể hiển thị như một web site bán hoa khi Honey Pots và Honey Clients truy cập trong khi nó hiển thị thành web site khiêu dâm đối với các truy cập khác. Websense nhận thức được vấn đề này và có nhiều kỹ thuật để chống lại sự phát hiện Honey Pots và Honey Clients. Tuy nhiên các kỹ thuật này sẽ không được bàn ở đây vì đó sẽ là thông tin quí giá đối với cộng đồng hacker.
Thậm chí khi Honey Pot hoặc Honey Client không bị phát hiện, web site có thể hiển thị khác nhau tuỳ vào vùng địa lý của máy tính truy cập. Ví dụ, một web site ở Trung Quốc có thể hiển thị nội dung hoàn toàn khác khi nó được truy cập từ một máy tính ở Mỹ so với máy tính truy cập từ Trung Quốc. Tuỳ từng vùng địa lý truy cập đến, có thể có nhiều máy chủ web khác nhau phục vụ. Websense đã lưu ý điều này và truy cập web site từ nhiều máy tính tại nhiều vùng địa lý khác nhau để đảm bảo tất cả phiên bản của web site đều được kiểm tra mã độc.
Tìm kiếm nguồn tấn công từ Web
Websense duy trì lượng lớn các hệ thống máy tính để thực hiện kiểm tra liên tục các web site trên toàn cầu. Mỗi ngày hệ thống máy tính Websense truy cập thông tin tới khoảng 90 triệu web site. Để phân loại chính xác và gỡ bỏ các web site ra khỏi danh sách đen sau khi chúng đã được quét sạch các chương trình độc hại, mỗi web site được kiểm tra lại ít nhất sau mỗi 12 giờ. Một ngoại lệ là đối với các web site lớn có thể bị nhiễm mã độc thì chúng được kiểm tra lại đều đặn sau mỗi 20 phút. Hệ thống máy tính của Websense quét các web site để tìm các đe dọạ đã biết hoặc có các đặc điểm, hành vi có mức độ nghi ngờ cao.
Tất cả kết quả kiểm tra các web site sẽ được lưu vào trong CSDL cho phép người dùng cập nhật trong thời gian thực. Cách tiếp cận này rất giống với giải pháp chống thư rác là tạo một danh sách đen gồm các nguồn phát tán thư rác, chỉ khác đây là danh sách các địa chỉ web site độc hại hoặc bị nhiễm mã độc.
Khi một web site bị tấn công, thông thường hacker sẽ sửa đổi mọi trang web trong web site này mà không chỉ sửa mỗi trang chủ. Do vậy khi một web site nhiễm mã độc được phát hiện, Websense sẽ kiểm tra toàn bộ trang web trong web site này. Web site chỉ được gỡ bỏ khỏi danh sách đen khi tất cả trang web trong site này được quét sạch mã độc.
Các tấn công từ Internet được khởi đầu từ nhiều nguồn khác nhau, đặc biệt là từ email. Nhưng may mắn là, các hãng giải pháp chống virus, chống thư rác đã làm tốt phần việc của mình trong việc bảo vệ các công ty trước loại tấn công này. Các Hacker cũng thấy là ngày càng khó hơn trong việc sử dụng tấn công qua email, do vậy chúng gần đây tập trung vào việc xây dựng các web site độc hại hoặc làm lây nhiễm các web site đã có, và thực hiện các tấn công lừa đảo phishing, pharming. Các hình thức tấn công này có chiều hướng hiệu quả hơn chủ yếu bởi vì chúng khó chống hơn. Giải pháp Websense chống lại hình thức tấn công này bằng cách chủ động tìm kiếm các nguồn tấn công và ngăn chặn chúng trong thời gian thực.
Cảnh báo các tấn công do phòng Lab của Websense phát hiện
Websense đóng góp thông tin có giá trị cho cộng đồng với việc liệt kê các tấn công được phát hiện trên trang web cảnh báo của mình:http://www.WebsenseSecurityLabs.com/alerts. Websense phát hiện và cập nhật các tấn công hàng giờ. Ví dụ gần đây Websense phát hiện tấn công phishing IRS Scam làm lây nhiễm một Trojan horse mà chưa có chương trình chống virus nào phát hiện được. Phòng lab Websense công bố các thông tin về các tấn công, bao gồm cách mà Websense phát hiện tấn công, cách tấn công thực hiện như thế nào và tấn công bắt nguồn từ đâu. Trang web cảnh báo cho phép người dùng được thông báo thường xuyên về các tấn công.
Tấn công lợi dụng máy tìm kiếm
Một cách thức mà hacker sử dụng để đánh lừa người dùng truy cập vào các trang web độc hại là lợi dụng máy tìm kiếm (search engine poisoning). Với cách thức này, hacker lợi dụng các từ khoá tìm kiếm phổ biến nhất để khi người dùng nhập vào trên trang tìm kiếm sẽ cho ra các kết quả bao gồm các trang web độc hại. Hacker sử dụng hình thức tấn công này cùng với tấn công qua DNS (DNS poisoning). Với DNS poisoning, người dùng bị đánh lừa truy cập tới trang web độc hại bởi vì truy vấn DNS trả về địa chỉ IP giả mạo. Để chống lại loại hình tấn công này, Websense sử dụng Honey Client thực hiện các tìm kiếm thông qua các máy tìm kiếm phổ biến. Dựa trên kết quả tìm kiếm, Websense lần theo các website để kiểm tra xem các trang web đó chứa mã độc không và sau đó chúng sẽ được cập nhật vào CSDL trong thời gian thực.
Các quan hệ đối tác chính thức và không chính thức
Bên cạnh các hoạt động nghiên cứu nội bộ của Websense, công ty còn xây dựng các quan hệ đối tác chính thức và không chính thức với nhiều tổ chức để cùng cộng tác trong lĩnh vực bảo mật. Một trong các quan hệ đối tác chính thức đó là với tổ chức Anti Phishing Working Group (APWG http://www.antiphishing.org/) mà Websense cũng là một thành viên. APWG là hiệp hội tập trung vào hoạt động ngăn chặn các gian lận và phát hiện các hành vi đánh cắp từ các tấn công giả mạo email, lừa đảo – phishing và pharming. Bên cạnh đó, Websense còn xây dựng quan hệ đối tác với nhiều hiệp hội, tổ chức nghiên cứu IT và bảo mật khác. Websense tích cực chia sẻ thông tin về các tấn công, và chung sức cùng với cộng đồng đóng góp các hoạt động có ý nghĩa trong lĩnh vực an toàn thông tin.
Bảo vệ người dùng từ xa
Việc đảm bảo an toàn cho máy tính của người dùng làm việc từ xa luôn luôn là vấn đề được đặt ra. Hầu hết mọi công ty đều có người dùng làm việc từ xa hay đi công tác cần truy cập về mạng công ty. Người dùng làm việc từ xa có nguy cơ bị tấn công cao bởi vì họ bên ngoài mạng công ty không nằm trong sự bảo vệ của tường lửa và các hệ thống bảo mật khác, và thường xuyên họ không cập nhật các bản vá mới nhất. Nếu máy tính của người dùng từ xa bị lây nhiễm bởi chương trình độc hại, thì hacker có thể chiếm quyền điều khiển và mở cửa hậu để lây ngược về mạng công ty qua VPN (Mạng riêng ảo) hoặc khi người dùng trở về kết nối vào mạng công ty chương trình độc hại có cơ hội lây nhiễm sang các máy tính khác trong mạng.
Giải pháp của Websense bảo vệ cho người dùng từ xa thậm chí khi họ ngắt kết nối với mạng công ty. Một chương trình máy trạm được cài đặt trên máy tính người dùng truy cập từ xa, khi người dùng đó truy cập Internet, chương trình đó sẽ kết nối về máy chủ Websense tại công ty để giám sát mọi kết nối của người dùng và thực thi chính sách bảo mật như khi người dùng ở trong mạng công ty.
Kết luận
Việc phòng chống các đe doạ từ Internet ngày càng trở nên khó khăn và quyết liệt hơn. Dù vậy, Websense đã có các công nghệ tiên tiến cung cấp sự bảo vệ rất hiệu quả trước các tấn công hỗn hợp từ Internet. Việc kiểm soát và phát hiện các web site độc hại cũng như việc gỡ bỏ chúng khỏi danh sách ngăn chặn mỗi khi chúng được quét sạch mã độc luôn đòi hỏi nỗ lực rất lớn, tuy nhiên điều này được giải quyết một cách đơn giản và chính xác chỉ với các công nghệ của Websense. Với giải pháp Websense, Internet đã trở thành môi trường an toàn hơn và là nơi hiệu quả để khách hàng hoàn toàn yên tâm thực hiện các công việc kinh doanh của mình.
(*) Tấn công Zero-day là các khai thác vào điểm yếu, lỗ hổng trong hệ điều hành hoặc ứng dụng mà nhà sản xuất chưa phát hiện ra, do đó vẫn chưa có bản vá cho các điểm yếu, lỗ hổng đó.