<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

HỌC VIEN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

NGUYÊN THỊ KHÁNH CHI

NGHIÊN CỨU PHƯƠNG PHÁP PHÒNG CHONG TAN CƠNG APT LÊN HỆ THĨNG THƠNG TIN

CHUN NGÀNH: HỆ THĨNG THƠNG TIN

MÃ SỐ : 60.48.01.04

HÀ NOI - 2015

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<small>Luận văn được hồn thành tại:</small>

HỌC VIEN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

Người hướng dẫn khoa học: TS. ĐỖ XUÂN CHỢ

Phản biện I:... TS. HOÀNG XUAN DẬU...-..--..--:s:

Phản biện 2:... PGS.TS. TRINH NHẬT TIÉN...- - - :

<small>Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện Cơng</small>

<small>nghệ Bưu chính Viễn Thơng</small>

<small>Vào lúc: 13 giờ 00 ngày 20 tháng 09 năm 2015</small>

Có thể tìm hiểu luận văn tại:

<small>- Thu viện của Học viện Cơng nghệ Bưu chính Viễn Thơng</small>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

MỞ ĐẦU

1. Lý do chọn đề tài

Ngày nay, cùng với sự phát triển không ngừng của Internet đã tạo ra điều kiện thuận lợi cho mọi mặt của đời sống xã hội. Tuy nhiên, song song với những mặt thuận lợi đó là nguy cơ về mat an tồn thơng tin. Trong thực tế, các cơ quan chính phủ, các tổ chức hay các doanh nghiệp lớn đang là đích ngắm của tội phạm máy tính. Các cuộc tan cơng vào hệ thơng máy tính thì ngày càng tinh vi hơn, chúng được đầu tu kỹ lưỡng về cả tiền bạc và thời gian. Chính vì vậy, có những cuộc tấn cơng nguy hiểm mà hậu quả của nó để lại là vô cùng lớn từ những thiệt hại của doanh nghiệp, tơ chức đến những thơng tin chính trị quan trọng của các

<small>chính phủ.</small>

Một trong các dạng tan cơng tiêu biểu, được nhắc đến rất nhiều hiện nay là tan cơng

APT (Advanced Persistent Threat). Tan cơng APT là hình thức tan cơng nguy hiểm, có chủ

đích mục tiêu rõ ràng. Bằng cách sử dụng nhiều loại phương pháp, công nghệ tinh vi và

phức tạp dé tan công vào mục tiêu nhằm đạt được những thông tin mật, nhạy cảm. Các nước lớn có nền cơng nghệ thơng tin phát triển như Mỹ, Ấn Độ, Anh... và cả Việt Nam cũng đã đều là nạn nhân của cuộc tấn cơng có chủ đích này.

Mặc dù, thiệt hai mà cuộc tan cơng APT đã gây ra rất nghiệm trọng tuy nhiên việc

phòng chống tân công APT hiện nay vẫn bị xem nhẹ, chưa được đầu tư đúng đắn. Do đó,

việc nghiên cứu về cơ chế hoạt động của tan công APT là điều rat quan trọng, giúp hiểu tan

công này. Chỉ khi hiểu rõ thì mới đưa ra được những phương án phịng chống APT thích hợp dé đạt được hiệu quả tốt nhất. Với mục đích đưa ra cái nhìn tổng quan nhất về tan cơng APT từ đó sẽ đề xuất các giải pháp dé phịng chống cuộc tan cơng này, học viên xin chọn dé

tài “Nghiên cứu phương pháp phịng chong tan cơng APT lên hệ thống thơng tin”.

<small>2. Mục đích nghiên cứu</small>

Nghiên cứu sâu về tan cơng APTnhu: khái niệm, các đặc điểm chính, các giai đoạn cơ ban của một cuộc tan công va các công cụ thường được sử dụng trong tan công APT.

Nghiên cứu các giải phápphịng chống cuộc tấn cơng APT như quản lý rủi ro, vấn đề

công nghệ và đào tạo nhân viên, con người từ đó đưa ra duoc phương án phịng chống tan

<small>công APT hiệu quả.</small>

Nghiên cứu, mô phỏng, đánh giá một tan cơng và phịng chống APT.

3. Đối tượng và phạm vi nghiên cứu

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

Đối tượng nghiên cứu: Các giải pháp cơng nghệ nham phịng chống cuộc tan công

APT lên hệ thống thông tin.

<small>Pham vi nghiên cứu: Các kỹ thuật, các phương thức, các giải pháp, các cơng nghệ</small> mới đề có thê phịng chống các cuộc tan công APT vào hệ thống thông tin.

<small>4. Phương pháp nghiên cứu</small>

Dựa trên co sở lý thuyết của tan cơng APT và các giải pháp cơng nghệ an tồn trong

hệ thống thông tin cùng các kết quả thực nghiệm nhận được trong quá trình thực hiện.

5. Cấu trúc của luận van

Ngoài phần mở đầu, kết luậnluận văn gồm 4 chương chứa nội dung chính:

Chương 1. Tổng quan về an tồn hệ thong thơng tin: Trinh bày một cách khái qt về

hệ thống thơng tin và an tồn hệ thống thơng tin. Đồng thời, chương này cũng sẽ trình bày về các mối đe doa, 16 hồng và các dạng tan cơng điển hình vào hệ thống thơng tin hiện nay.

Chương 2: Nghiên cứu tấn công APT: Nghiên cứu sâu về khái niệm, các đặc điểm, cơ chế hoạt động của tan công APT. Trong chương này cũng sẽ nêu lên được những đặc điểm khác nhau giữa tan công APT và các cuộc tan công khác cùng các cuộc tan cơng APT điển hình đã xảy ra tại Việt Nam.

Chương 3: Phương pháp phịng chống tấn cơng APT: Nội dung chính của chương 3

là nghiên cứu các phương pháp kỹ thuật phịng chống tấn cơng APT. Bên cạnh việc phân tích đánh giá cuộc tấn cơng APT, trong chương 3 của luận văn đặt ra những yêu cầu, nhiệm vụ đối với hệ thống phịng chống tấn cơng APT cũng như các biện pháp, phương pháp phòng chống tan công cụ thé: bao gồm 3 yếu tố: con người, chính sách và cơng nghệ.

<small>Chương 4: Mơ phỏng và thứ nghiệm: Trong chương 4, luận văn trình bày thực</small> nghiệm tan công APT lên HTTT với sự hỗ trợ của các công cụ hiện đại và bao gồm các quy trình tấn cơng cụ thể. Đồng thời trong chương này, luận văn cũng thực hiện mơ phỏng phịng chống tấn cơng APT bằng một trong các giải pháp phịng chống tấn công đã nghiên

<small>cứu ở chương 3.</small>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

CHƯƠNG 1. TONG QUAN VE AN TOÀN HE THONG THONG TIN

1.1. Tim hiểu an tồn trong hệ thống thơng tin

1.1.1. Khái niệm an tồn trong hệ thống thơng tin

An tồn thông tin (Information System): là việc bảo vệ chống truy nhập, sử dụng, tiết lộ, sửa đôi, hoặc phá hủy thơng tin một cách trái phép. Hai lĩnh vực chính của AT TT:

- An tồn cơng nghệ thơng tin (IT Security): là ATTT áp dụng cho các hệ thống công

- Dam bảo thông tin (Information Assurance): là việc dam bảo thông tin không bị mất khi xảy ra các sự cơ (thiên tai, hỏng hóc hệ thống, trộm cắp, phá hoại,...).

1.1.2. Những thuộc tính an tồn của hệ thong thơng tin

<small>> Tinh bí mật (Confidentiality): Bảo vệ dữ liệu khơng bị lộ ra ngồi một cách trai phép. .</small>

Các thơng tin bí mật có thể gồm: dữ liệu riêng của cá nhân, các thơng tin thuộc quyền sở

hữu trí tuệ của các doanh nghiệp hay các cơ quan/tô chức, các thơng tin có liên quan đến an

<small>ninh quốc gia.</small>

> Tinh tồn vẹn (Integrity):Thơng tin chỉ có thê được sửa đổi bởi những người dùng có thầm quyền. Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu.

> Tính sẵn sang (Availability): Tính sẵn dùng có thê được đo bằng các yếu tố: thời gian

cung cấp dich vụ, thời gian ngừng cung cấp dịch vu,thdi gian trung bình giữa các sự có, thời gian trung binh ngừng dé sửa chữa, thời gian khôi phục sau sự cô.

<small>1.1.3. Các mục tiêucủa an tồn thơng tin</small>

> Ngăn chan (prevention): Mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách, có nhiều sự kiệu, hành vi dẫn đến vi phạm chính sách. Có những sự kiện đã được nhận diện là nguy cơ của hệ thống nhưng có những sự kiện chưa được ghi nhận là nguy cơ.

> Phát hién( detection): VỀ co bản, các cơ chế phát hiện xâm nhập chủ yếu dựa vào việc theo dõi và phân tích các thơng tin trong nhật ký hệ thống và dữ liệu đang lưu thông

trên mạng dé tìm ra các dấu hiệu vi phạm.

> Phục hồi (Recovery): Tùy theo mức độ nghiêm trọng của sự cố mà có các cơ chế phục hồi khác nhau.

1.1.4. Các thành phan can bảo vệ trong hệ thong thông tin

HTTT là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý và trao đổi thông tin, tri thức và các sản phẩm số. Các thành phan cần bảo vệ trong

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

HTTT như phần cứng, phần mềm, nguồn nhân lực, CSDL, mạng. Trong đó, phần cứng, phần mềm là đối tượng trung tâm của các HTTT và nguồn nhân lực đóng vai trị quyết đỉnh.

<small>1.1.5. Giải pháp chung bao đảm an tồn thơng tin</small>

> Chính sách: Chính sách bảo vệ là tập hợp các quy tắc áp dụng cho mọi đối tượng có

<small>tham gia quản lý và sử dụng các tài nguyên và dịch vụ mạng. Một chính sách bảo mật được</small>

coi là tốt khi nó bao gồm các văn bản pháp quy, kèm theo các công cụ bảo mật hữu hiệu và <small>nhanh chóng giúp người quản tri phát hiện,ngăn chặn các truy nhập trái phép.</small>

> Xây dựng giải pháp:Trên thực tế khơng tồn tại giải pháp an tồn, bảo mật thơng tin nào có một tài liệu nào có thé lượng hết được mọi lỗ hồng trong hệ thống và cũng khơng có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết.

> Công nghệ: Là quy trình kỹ thuật dé thực hiện giải pháp đảm bảo ATTT. Nâng cap

phan cứng, giảm thiêu các điểm yếu do phan cứng yếu kém. Cập nhật các phiên ban phan mềm mới đã được xử lý phan nào các điểm yếu của phiên bản trước đó của nó.

> Con người: Đề đảm bảo an tồn hệ thống, cơ sở hạ tang công nghệ thông tin cần phải

chú trọng đến vấn đề con người, chính sách và quy trình bảo vệ.

1.2. Các kỹ thuật tan cơng lên hệ thống thông tin

1.2.1. Khái quát về mỗi de dọa và lỗ hỗng

Mỗi đe dọa (Threat):Các mối đe dọa (threat) đến an toàn hệ thống là các hành động

hoặc các sự kién/hanh vi có khả năng xâm hai đến độ an toàn của một HTTT.

Lỗ hồng (Vulnerability):Lỗ hồng là bất kỳ khiếm khuyết hoặc điểm yếu trong hệ thống

có thé tạo điều kiện cho phép một mối de dọa gây tác hại. Lỗ héng có thé tạo ra sự ngưng trệ các dịch vụ trên hệ thống hay nguy hiểm hơn nó cũng là cửa vào, ra của hệ thống của

<small>hacker.</small>

1.2.2. Phân loại các dạng tan cơng điển hình vào HTTT - Tan công bằng mã độc.

- Tan công từ chối dịch vụ DoS.

- Tan công từ chối dich vụ phân tán DdoS.

- _ Tấn công giả mao địa chi IP (IP Spoofing).

- _ Tấn công sử dụng cửa hau (Back doors hoặc Trap doors).

- _ Tấn công kiểu Social Engineering. - Tan công SQL Injection attack.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<small>1.3.</small>

Kết luận chuong!1:

Trình bày tổng quan về ATTT trong HTTT bao gồm: đưa ra khái niệm, phân tích các

thuộc tính, mục tiêu của ATTT. Đồng thời cũng đã chỉ ra các thành phần quan trọng

cần phải được bảo vệ trong HTTT.

Phân tích, phân loại các dạng tan cơng điền hình lên HTTT.

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

CHƯƠNG 2: TONG QUAN VE TAN CÔNG APT

<small>2.1. Khai niém APT</small>

Thuật ngữ APT (Advanced Persistent Threat) được dùng dé chỉ kiểu tan công dai dang và có chủ đích vào một thực thé. Kẻ tan cơng có thé được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thơng tin tình báo từ một chính phủ nước khác.

Thuật ngữ APT lần đầu tiên được đặt ra bởi Không Quân Hoa Kỳ (United States Air

Force — USAF) vào khoảng năm 2006, để mô tả các cuộc tan công mạng (cyper — attacks)

phức tap (advanced) đối với các mục tiêu cụ thé trong một khoảng thời gian đài (persistent). Tan công APT thường được dùng với mục dich:

¢ Thu thập thơng tin tình báo có tính chat thù địch.

e Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ. « Lam mất uy tín của cơ quan tơ chức.

<small>« Pha hoại, gây bất 6n hạ tang công nghệ thông tin, viễn thông, điện lực....</small>

Các thành phần của từ viết tắt APT:

Advanced (Nâng cao):Hacker sử dụng các kĩ thuật nâng cao dé tan công vào hệ

thong mục tiêu một cách bai ban. Tinh “Advanced” thé hiện ở kha nang ấn minh, thay đổi

liên tục khiến cho việc phát hiện trở nên rất khó khăn.

Persistent (Dai dang ):Hacker xác định cụ thé mục tiêu cần khai thác dé thực hiện

việc tan cơng, ẩn mình và khai thác theo từng giai đoạn. Một cuộc tan công APT có thé diễn

<small>ra vai tháng, vai năm.</small>

Threat (Nguy cơ hay mối đe dọa):APT là một mỗi de doa bởi vì nó có tiềm lực và <small>chủ đích.</small>

2.2. Các đặc điểm chính của APT

<small>2.2.1. Mục tiêu (Targeted)</small>

<small>Tan cơng APT nhắm vào mục tiêu là tổ chức cụ thé với mục dich đánh cắp dt liệu</small>

hoặc gây ra thiệt hại cho mục tiêu. Tan công APT sử dung một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng khơng hề

hay biết.

2.2.2. Dai dẳng( Persistent)

APT dai dang vi ké tan cơng rất kiên trì và tập trung dé tránh bị phát hiện. Nếu một tổ chức là mục tiêu của APT thì tổ chức đó. có thé phải chịu một thất bại nghiêm trọng bởi hình thức tấn cơng này mat rất nhiều tháng nghiên cứu và lập kế hoạch.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

2.2.3. Tránh né và ẩn mình (Evasive)

Tan cơng APT được thiết kế dé có thé “né tránh” được hau hết các giải pháp bảo mật truyền thống như Firewall, IPS, Antivirus... đã được các tô chức dựa vào nhiều năm qua.

<small>2.2.4. Phức tạp( Complex)</small>

Điểm khác biệt lớn giữa tấn công APT và các cuộc tấn công khác là việc APT sử

dụng phối kết hợp nhiều các kĩ thuật khác nhau một cách khoa học và bài bản nhằm những

mục tiêu nhiều lỗ hồng bảo mật trong các tô chức.

2.3. Các giai đoạn tan công APT

<small>> Giai đoạn 1: Giai đoạn này được chia thành ba bước: trinh sát, khởi động và lây</small>

nhiễm.Trong giai đoạn khởi dau này, những kẻ tan công nghiên cứu các diém xâm nhập, các

lỗ hồng, các cá nhân chủ chốt và các tài sản quan trọng. Sau đó, chúng thường sử dụng một

<small>hoặc nhiều phương pháp nham dat được quyền truy cập vào một máy chủ đặc quyền.</small>

> Giai đoạn 2: Trong giai đoạn này gồm ba bước cơ bản: kiểm sốt, khám phá và tồn tại.Kẻ tan cơng điều khiển máy chủ bị nhiễm độc từ xa với một mệnh lệnh và kiểm soát dịch vụ. C&C cho phép kẻ tấn công cập nhật phần mềm độc hại, thêm phần mềm độc hại mới và gửi lệnh đến máy chủ từ xa. Công cụ quản trị từ xa RAT (Remote Administration Tool).

> Giai đoạn 3:0 giai đoạn này, kẻ tan cơng đã kiểm sốt được một hoặc nhiều máy chủ

trong mạng mục tiêu, đã có thể thiết lập thơng tin truy cập và đã xác định được dữ liệu mục tiêu dang ở đâu( giả sử dữ liệu là mục đích). Điều duy nhất cịn lại là làm thé nào dé gửi dit liệu ra ngồi mà khơng bị các thiết bị, phần mềm bảo mật phát hiện.

2.4. Các công cụ của tan công APT

<small>2.4.1. Malware</small>

Malware là tên viết tắt của "malicious software",là thuật ngữ chung bao gồm nhiều

loại phần mềm với một điểm chung đó là xâm nhập thơng tin hoặc một hệ thong vi một hoặc nhiều lý do như: pha vỡ máy tính hoặc các hoạt động mạng, lấy cắp thông tin nhạy cảm hoặc các thông tin có giá trị, tiếp nhận quyền kiêm sốt hệ thống mục tiêu.

<small>2.4.2 Kỹ thuật Social Engineering</small>

Thủ đoạn các Social Engineer là khác nhau, vì chúng liên quan đến thao tác tâm lý. Nói cách khác, chúng khai thác con người là chính chứ khơng phải nhằm đến mục tiêu phần

mềm của họ.

Trong tan công APT, kẻ tan công sử dụng Spear-phishing email (một dang phishing) <small>đính kèm với tập tin có vẻ vơ hại mà mục tiêu có khả năng sẽ mở. Liên kêt đên các trang</small>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

web có nhúng mã độc hại (được biết đến như 1a một cuộc tấn cơng watering hole). Các

chương trình khác như tập tin text và PDF cũng được tận dụng khai thác để thực thi phần mềm độc hại.

2.4.3 Khai thác các lồ hỗng Zero-day và các Exploit khác

Một zero-day exploit là một lỗ hỗng trong một sản phẩm phần mềm mà cho phép một kẻ tan công thực thi mã khơng mong muốn hoặc giành quyền kiểm sốt máy tính của mục tiêu. Những exploit này thường được khai thác trong các cuộc tấn công spear-phishing va watering hole. Các kẻ tan công khai thác các lỗ hồng zero-day chưa từng được biết đến

hoặc chưa từng được công bố.

<small>2.4.4. Insiders</small>

Nếu một hacker khơng tìm được cách nao dé tấn công vào tô chức, sự lựa chon tốt

nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc tìm kiếm một nhân viên đang bất

mãn, dé làm nội gián, cung cấp các thơng tin cần thiết. Đó chính là Insider Attack — tan <small>cơng nội bộ.</small>

<small>2.4.5. Giả mạo chứng chỉ điện tử</small>

<small>Thông thường các tin tặc sử dụng các chứng chỉ SSL giả mạo cho các website khơng</small>

có thật và mạo danh là một trang web hợp pháp. Những kẻ tan công thường sử dụng các

chứng chỉ số tự kí (self-signed) hoặc các chứng chỉ ăn cắp được (những chứng chỉ này được

hầu hết các trình duyệt chấp nhận).

2.5. Sự khác biệt giữa APT và các hình thức tấn công khác

Sự khác biệt quan trọng nhất giữa APT và các mối đe đọa “bình thường” đó là một tô

chức bị nhắm mục tiêu. Trong khi việc bảo vệ vịng ngồi (vành đai) và sử dụng các kiêm sốt an ninh tiêu chuan có thể bảo vệ một tô chức từ những cuộc tan công tiêu chuẩn, các kĩ thuật này có thé khơng đủ khi đối mặt với APT. Các kẻ tan cơng kiên nhẫn có thé chờ đợi những lỗ hồng mới dé khai phá một điểm yếu hoặc có thé kết hop các lỗ ông nhỏ thành một lỗ hồng lớn dé tấn công.

2.6. Tình hình tắn cơng APT tại Việt Nam

> Tan cơng vào Bộ tài nguyên — môi trường Việt Nam: Kẻ tan công đãthâm nhập và

hạ lớp bảo vệ, mã độc bắt đầu mở cửa sau (backdoor), kết nối đến máy chủ ra lệnh từ xa

(C&C). Đồng thời, mã độc "nhúng" bản thân nó vào tập tin "explorer.exe" (tập tin kích hoạt

Windows Explorer thuần túy). Theo đó, nó mở cửa cho chủ nhân thâm nhập vào máy tính <small>một cách "hợp pháp” mà không lo ngại bi nhận diện.</small>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Trong email, kẻ tấn cơng đính kèm một tập tin Word. Chúng biết rõ các nhân viên Bộ TN-MT sử dụng webmail dé kiểm tra email, và theo đó, họ khơng thể xem trực tiếp tap tin word đính kèm mà phải tải về máy trước (download).Dang chú ý, mã độc có kha năng "qua

mặt" được lớp bảo mật chống virus trên máy tính của nhân viên.. Theo đó cho thấy, mã độc

này được thiết kế với mục đích nhắm tới máy tính các tổ chức cơ quan chính phủ, thường sử

dụng phan mềm BKAV để ngăn chặn virus.

<small>> Tấn công vào VCCorp: Ngày 13/10/2014, VCCorp bị tấn công liên tục thành nhiều</small>

đợt. Bắt đầu bằng việc hàng loạt các trang web trên hệ thống máy chủ của VCC khơng thể truy cập được. Cuộc tan cơng có chủ ý, làm gián đoạn cung cấp dịch vụ, chiếm quyền điều khiển và chiếm tên miễn, chứ không phải là cuộc tan công từ chối dịch vụ làm tắc nghẽn.

Hậu quả của nó làm cho mat một lượng lớn đữ liệu, tên miền bị điều hướng sang một địa chỉ

Nhóm tội phạm này đã phát tán một phần mềm virus gián điệp được lập trình rất chuyên nghiệp băng cách cài lén vào phần mềm Adobe Flash Player thông dụng”, Khi truy

cập vào website của hãng Adobe để download phần mềm này, người dùng Internet trong nước có thê được điều hướng sang hệ thống của các ISP và bang cách nào đó, những kẻ tan cơng đã tráo déi được các tập tin Flash Player của hãng Adobe thành các phần mềm đã bị

cài lén virus gián điệp vào đề người dùng download về và cài đặt.

> Hacker APT30 đã tan công Việt Nam trong suốt 10 năm qua: Nhóm tan cơng APT30 cũng đã xây dựng nhiều loại mã độc khác nhau, chang hạn Backspace, Neteagle,

<small>Shipshape... với hình thức chung là nhúng các tập tin thực thi chứa mã độc (tập tin định</small>

<small>dạng .exe hoặc .com) vào bên trong những tập tin thông thường (tập tin ảnh, tập tin văn</small>

bản...) mà khi người dùng tải những tập tin này về máy, các tập tin bị nhúng mã độc vẫn chỉ

hiển thị đưới dạng các tập tin thông thường. Tuy nhiên khi nạn nhân mở những tập tin này, đồng nghĩa với việc họ sẽ kích hoạt tập tin thực thi bị đính kèm trong đó và mã độc sẽ âm thầm xâm nhập vào máy tính của nạn nhân.

Mục tiêu chính của những loại mã độc này đó là đánh cắp một cách có hệ thống các “thơng tin nhạy cảm” từ các chính phủ, các tập đồn và các nhà báo có liên quan đến chính

phủ Trung Quốc, chủ yếu ở khu vực Đông Nam A và An Độ, trong đó có cả Việt Nam.

2.7. Dự đốn về cuộc tan cơng APT trong những năm tới

Mỗi cuộc tấn cơng APT đều có chủ đích, tắn cơng kiên nhẫn vào các doanh nghiệp,

tổ chức cụ thé dé đánh cắp dữ liệu quan trọng bang mọi cach. Năm 2015 va các năm tới,

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

được dự báo APT sẽ biến hóa theo chiều hướng ngày càng nguy hiểm hơn, do đó gây trở

<small>ngại cho cơ quan thực thi pháp luật cũng như các nhà bảo mật.</small>

Nhiều tội phạm mạng tham gia các cuộc chiến tranh mạng hơn: Các nhóm tội phạm APT lớn sẽ “phân chia” thành các nhóm nhỏ hơn, điều này dẫn đến việc nhiều

công ty sẽ bị tắn công hơn.

Công cụ độc hại sẽ nâng cao hơn: Sự phức tạp của các công cụ độc hại dự kiến cũng sẽ tăng, với các kỹ thuật bền bỉ cứng đầu sẽ không bị giới hạn trong một nền tảng duy nhất, nhưng mở rộng cho các thiết bị dựa trên một hệ điều hành nhúng chức

<small>năng mạng.</small>

Các phương pháp rò rỉ dữ liệu mới:Các phương pháp khác có thê sẽ được xem xét

để loại bỏ thơng tin từ các máy tính bị lây nhiễm, chăng hạn như sử dụng các trang web đáng tin cậy bị xâm nhập, các giao thức WebDAV, các yêu cầu DNS, thông qua <small>UDP hoặc ICMP.</small>

Các nhà khai thác sẽ tìm mọi cách để khó bị nắm bắt hơn:Các Botnet có thê cũng <small>đóng vai trị quan trọng trong năm tới.</small>

Kết luận chương 2:

Trình bày các vấn đề cơ bản nhất về tấn công APT như khái niệm, các đặc điểm, các

giai đoạn chính và các cơng cụ thường được sử dụng trong tấn cơng APT. Từ đó thấy

được rằng: tan cơng APT rất khó phát hiện và nguy hiểm.

Lam rõ sự khác biệt giữa tan công APT và các tan công mã độc truyền thống.

Nghiên cứu và chỉ ra một vài cuộc tan cơng APT điển hình ở Việt Nam trong thời

<small>gian qua.</small>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

CHƯƠNG 3. CÁC PHƯƠNG PHÁP PHỊNG CHĨNG

TÁN CƠNG APT

3.1. Nhiệm vụ và yêu cầu đối với hệ thống phòng chống APT

3.1.1. Nhiệm vụ của hệ thống phòng chống APT

Khi đã triển khai các giải pháp phịng chống APT trên tồn bộ hệ thống, chúng phải <small>đảm bảo các vụ chính như sau:</small>

Phát hiện và ngăn chặn các mối đe doa dé bảo vệ hệ thống khỏi các cuộc tan công

trong nội bộ cũng như từ bên ngoài. Yêu cầu kỹ thuật then chốt ở đây là hệ thống

phịng chóng phải có khả năng xác định các mối đe dọa trong thời gian thực - khi <small>chúng xảy ra - và chủ động có hành động phịng ngừa khi phát hiện ra chúng.</small>

Ứng phó trong mọi tình huống giúp tự động khắc phục và đây nhanh chu trình ứng

cứu khi có sự cố. Trong vai trị này, hệ thống phịng chống phải có khả năng phát

hiện ra hệ thống bị xâm nhập, điều tra các mối đe dọa đang hoạt động cũng như “ngủ

<small>đông”, bao gôm cả mục tiêu mà chúng sẽ hướng tới trước khi dữ liệu bi mat.</small>

3.1.2. Yêu cầu đối với hệ thong phòng chống APT

Các yêu cầu đối với một hệ thống phòng chống APT:

Chống lại những mối de dọa: Chính là việc nâng cao khả năng phát hiện phần mềm

độc hại, giám định được phần độc hạ và phòng chống các nguy cơ tại thời gian thực.

Bảo vệ dữ liệu khỏi bị đánh cắp:Một giải pháp phòng chống toàn diện thực sự sẽ trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin nhạy cảm, có giá trị bằng việc kiếm sốt được luồng dữ liệu, hỗ trợ phân loại dữ liệu và có đưa ra cảnh <small>báo.</small>

Phân tích được các van dé an ninh mạng:Một giải pháp phòng chống còn cung cấp

hồ sơ lịch sử của tất cả các hoạt động mang, do đó,có thé "quay ngược thời gian” dé

tìm kiếm những mối đe dọa mà hệ thống không hề biết tại thời điểm đó bằng cách ghi lại đầy đủ dữ liệu, phân tích đa chiều và có tơng kết báo cáo.

3.2. Mơ hình Phomat Thụy Sỹ trong phịng chống APT

Điều đầu tiên và vơ cùng quan trọng đó là phải hiểu rằng khơng có giải pháp duy nhất

nào có thé bảo vệ khỏi một cuộc tan cơng APT,chi có bằng cách tích hợp nhiều giải pháp

với nhau, trong đó sức mạnh của phương pháp này sẽ bù đắp nhược điểm của phương pháp

kia, từ đó sẽ có khả năng bảo vệ tô chức chống lại APT.

</div>