NGĂN CHẶN HACKER TẤN CÔNG BẰNG PHÂN TÍCH HÀNH VI MẠNG IPS

• Các tấn công mạng được thực hiện thành công đã trở nên quá tầm thường đến nỗi chúng hầu như không còn là những tin tức mới. Các hacker thường đột nhập vào các site thương mại để đánh cắp các thông tin về thẻ tín dụng hay thích đột nhập vào các site của bộ quốc phòng nhằm tìm kiếm các kế hoạch quân sự tối mật.
• Bên cạnh đó các tấn công từ chối dịch vụ (DoS) cũng làm cho người dùng xác thực không thể truy cập vào các site. Trong khi đó các hệ thống ngăn chặn xâm nhập và tường lửa trong các mạng doanh nghiệp thường cho biết có đến hàng trăm các cố gắng tấn công mỗi ngày.
• Để ngăn chặn các tấn công thành công, hai phương pháp phát hiện chính được giới thiệu đó là: phương pháp dựa trên chữ ký số và phân tích hành vi mạng (NBA).

1. Phát hiện và bảo vệ xâm nhập dựa trên việc phân tích chữ ký số

• Các hệ thống dựa trên chữ ký số đặc biệt hiệu quả đối với các kiểu tấn công đã được phát hiện trước đây. Chúng có thể được cài đặt một cách nhanh chóng và cho hiệu quả ngay tức khắc. Các hệ thống này sẽ kiểm tra các gói dữ liệu gửi đến và so sánh nội dung bên trong chúng với danh sách các cơ chế tấn công được biết trước đây. Các báo cáo được tạo ra một cách dễ hiểu vì mỗi một sự việc đều chỉ thị một kiểu tấn công bị phát hiện.
• Các hệ thống dựa trên chữ ký số tỏ ra khá hiệu quả với các kiểu tấn công đã được biết trước đây, tuy nhiên chúng không thể phát hiện các tấn công zero-day. Các hacker hiểu rằng bất cứ một tấn công mới nào cũng sẽ nhanh chóng bị phát hiện và các biện pháp đối phó sẽ được chấp thuận bởi các hãng phòng chống xâm nhập. Vì vậy chúng thường khởi chạy các tấn công trên một số lượng lớn các site ngay khi có phương pháp tấn công mới được phát triển.
• Chính vì điều đó nên các hệ thống dựa trên chữ ký số phải được cập nhật một cách liên tục. Các hãng phải chọn và kiểm tra các báo cáo tấn công trên toàn thế giới. Họ cũng cần sưu tầm dữ liệu từ các sản phẩm được cài đặt tại các site khách hàng. Khi một khách hàng nhận thấy tấn công, các nhân viên của hãng sẽ phân tích nó, tìm ra cách khắc phục và phân phối nâng cấp đến tất cả các site khách hàng. Tuy nhiên khi các hãng có thể phát hiện các phương pháp tấn công mới và đưa ra lời khuyên một cách nhanh chóng nhưng những site đầu tiên bị tấn công chắc chắn sẽ bị thỏa hiệp.

2. Các hệ thống phát hiện xâm nhập dựa trên các dấu hiệu dị thường

• Các hệ thống phát hiện tấn công dựa trên các hành vi dị thường sẽ phát hiện hành động mạng không phù hợp với mẫu hành vi mong đợi. Hệ thống sẽ được cấu hình, theo sản phẩm, với các thông tin trên các mẫu hành vi thông thường. Cho ví dụ, các ứng dụng có thể truy cập hợp pháp vào một bản ghi cơ sở dữ liệu tại một thời điểm nào đó.
• Nếu hệ thống phát hiện xâm nhập phát hiện có sự truy cập đến một số lượng lớn các bản ghi thì chúng sẽ bị nghi đó là một tấn công. Tương tự như vậy, nếu một người dùng với điều khoản truy cập vào một tập các bản ghi hạn chế bắt đầu có cố gắng truy cập vào các loại thông tin khác, khi đó máy trạm của họ có thể đã bị tiêm nhiễm.
• Không giống như các hệ thống dựa trên chữ ký số, các tấn công zero-day có thể bị phát hiện vì các tấn công không có mẫu có thể nhận diện hợp lệ với hệ thống xâm nhập dựa trên hành động dị thường. Tuy nhiên nhược điểm của các hệ thống này là phải được cấu hình một cách cẩn thận nhằm nhận ra các mẫu hành vi mong muốn. Các cấu hình phải được cập nhậ khi các ứng dụng mới được bổ sung hoặc các ứng dụng tồn tại được thay đổi.

3. Cấu hình IPS để phòng chống các tấn công tinh vi

• Các tấn công theo kiểu dàn trải nhiều lệnh, chẳng hạn như việc dàn trải các thông điệp HTTP trong các tấn công web đều gây ra khó khăn cho cả hai hệ thống kể trên. Với các hệ thống dựa trên chữ ký số, chữ ký có thể được trải rộng bằng một loạt các lệnh mà không có gói dữ liệu nào phù hợp với profile tấn công.
• Các hệ thống dựa trên dấu hiệu dị thường có thể thất bại trong việc phát hiện tấn công đồng thời nhắm vào một số máy chủ. Một chuỗi được gửi đến mỗi host có thể xuất hiện hợp lệ nhưng cũng có thể làm thủng các ứng dụng trên các máy chủ.
• Thêm vào sự khó khăn đó, không chỉ tất cả các gói có thể vào mạng tại cùng một điểm hoặc một gateway. Mặc dù các mạng doanh nghiệp thường duy trì nhiều cổng để truy cập Internet với các hệ thống phát hiện xâm nhập ở mỗi cổng nhưng hầu như tất cả các cổng đều không đủ khả năng.
• Bên cạnh đó virus có thể xâm nhập vào một mạng của công ty bạn thông qua các địa điểm khác ngoài các cổng. Các nhân viên có thể mang laptop được sử dụng với mạng gia đình của họ đến công ty. Khi họ kết nối lại laptop này vào mạng nội bộ, virus có thể xâm nhập vào mạng công ty mà không cần thâm nhập qua cổng Internet.
• Các mạng không dây cũng có lỗ hổng khác và khó có thể phát hiện khi thực thi một hệ thống ngăn chặn xâm nhập. Một hacker nào đó bên ngoài đang tấn công thông qua LAN không dây (WLAN) cũng có thể xâm nhập vào các cổng mạng.
• Chính vì vậy các hệ thống phát hiện xâm nhập cũng phải được cài đặt tại các điểm chính trong toàn bộ mạng (giống như một switch kết nối các cổng mạng với máy chủ, nơi các ứng dụng chạy hoặc kết nối đến máy chủ cơ sở dữ liệu) để phát hiện các tấn công này.
• Các hệ thống phải trao đổi thông tin với nhau và đánh giá các báo cáo từ nhiều nguồn chẳng hạn như các router và các bản ghi máy chủ để tương quan chuỗi các gói dữ liệu nhằm phát hiện sự tấn công.
• Trong khi các hệ thống dựa trên chữ ký số có thể được cài đặt nhanh chóng và thực thi ngay lập tức, nhưng việc thiết kế, cấu hình và cài đặt một hệ thống dựa trên hành vi dị thường lại khá phức tạp.
• Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các bước có liên quan đến việc cấu hình và cài đặt hệ thống phát hiện xâm nhập dựa trên hành vi dị thường.