ISOLATION: Một thành phần trọng yếu trong kiến trúc an ninh thông tin tân tiến

Tấn công mạng là một vấn nạn trên toàn thế giới mà mỗi người, chính phủ và tổ chức có sử dụng Internet cần phải nhận thức rõ. Các báo cáo chỉ ra rằng số lượng các cuộc tấn công mạng trên toàn thế giới được dự báo sẽ tăng đáng kể trong thời gian tới. Hầu hết các cuộc tấn công tận dụng kênh dữ liệu truy cập web phổ biến để gia tăng số lượng. Trước đây khi số lượng tấn công luôn là một thách thức đối với các cá nhân, quốc gia và tổ chức, thì nay nó không phải là vấn đề thực sự. Chính sự gia tăng trong “chất lượng” của các cuộc tấn công mới là yếu tố gây thiệt hại lớn nhất.

Khi số lượng tấn công tăng lên, thật không may là chất lượng của chúng cũng gia tăng theo cấp số nhân. Các cuộc tấn công ngày nay có thể chuyên biệt, xác định mục tiêu và chủ đích tấn công hết sức rõ ràng. Với hình thức ngày càng tinh vi hơn, những cuộc tấn công này đã có thể tránh các cơ chế phát hiện của phần mềm phòng chống virus/ mã độc, hoặc thậm chí ẩn mình để không bị các cơ chế phân tích Sandbox phát hiện. Chúng hoàn toàn có thể vượt qua các cơ chế phát hiện để tuồn dữ liệu ra ngoài hệ thống. Rất nhiều các hình thức tấn công mới dạng Fileless –  không sử dụng file hay bất kỳ chương trình thực thi nào, khiến chúng hoàn toàn vô hình trước các chương trình/ công cụ phòng chống AV thông thường, và gần nhưng không thể ngăn chặn được cho đến khi chúng đã thực hiện các hành vi nguy hại với hệ thống. Cũng bởi nguyên do tấn công mạng ngày càng gia tăng về số lượng lẫn chất lượng, dẫn đến chúng ngày càng dễ thực thi hơn. Các dịch vụ cung cấp tấn công mạng (as-a-service attack methods) như Ransomware as a service, cho phép cả những tin tặc mới vào nghề cũng có thể thực thi những đoạn mã lệnh phức tạp để thực hiện những cuộc tấn công nguy hiểm, chuyên nghiệp

logo hãng menlo
Đi cùng với mức độ phát triển của tấn công mạng, email cũng được tin tặc ưu ái lựa chọn là phương tiện phân phối phổ biến nhất để thực hiện các cuộc tấn công. Nói cho cùng thì Email vẫn là phương tiện trao đổi nghiệp vụ phổ biến nhất trong doanh nghiệp, nên phần lớn các tấn công hiện tại đều phát xuất từ các hoạt động lừa đảo (phising) hoặc các chiến dịch tấn công có đầu tư chiều sâu nhiều hơn (targeted spear-phising)

Bộ khung an ninh thông tin hiện đại

Ngày nay không thiếu các khung an ninh thông tin được công nhận. Các khung này cung cấp các kinh nghiệm đúc kết (best practices) hướng dẫn doanh nghiệp bảo vệ mạng & dữ liệu. Nó cũng đề cập cách thức bảo vệ người dùng mạng của doanh nghiệp khỏi các tấn công & hiểm họa an ninh thông tin mới nhất.

Hầu hết các khung này đều dùng chung một số phương pháp và kỹ thuật để bảo vệ hệ thống mạng, người dùng và dữ liệu, đặc biệt là bảo mật cho web và email. Sự khác nhau duy nhất giữa chúng chỉ là cam kết và thành công trong triển khai, thể hiện bằng sức mạnh của đội ngũ bảo mật thông tin của doanh nghiệp trong việc triển khai, áp dụng, và duy trì bộ khung.

Tuy nhiên, một vài bộ khung khó có tính khả thi để triển khai, trong khi số khác lại quá đặt nặng vào yếu tố bảo mật mà đánh đổi tính khả dụng và trải nghiệm của người dùng. Một ví dụ có thể dễ dàng thấy được là bảo mật cho email và web. Một vài bộ khung đề xuất để đạt được mức độ bảo mật tối đa cho truy cập web, người dùng phải sử dụng 2 trình duyệt riêng biệt: Một được tắt toàn bộ các plug-in và các script không cần thiết, cũng như giới hạn một số tính năng của trình duyệt; trình duyệt còn lại được cấu hình sử dụng plug-in, script… Trình duyệt đầu tiên được dùng để truy cập các website quan trọng: các trang phục vụ nghiệp vụ, ngân hàng… Trình duyệt thứ hai dùng cho mục đích truy cập web chung.

Khái niệm này đã tồn tại được một thời gian, nhưng lại là phương án tiếp cận không thực tế và kém hiệu quả để giải quyết vấn đề của mã độc lan truyền qua web/ email. Thực tế thì người dùng có thể cảm thấy phân vân không biết sử dụng trình duyệt nào vào thời điểm nào cho phù hợp mục tiêu nghiệp vụ hay sở thích cá nhân, dẫn đến tình huống xấu nhất là doanh nghiệp vẫn bị tấn công, và mục đích của hướng tiếp cận tách biệt trình duyệt thất bại. Chưa kể đến bộ phận Bộ phận trợ giúp cũng cần phải giải đáp thường xuyên thắc mắc của người dùng về việc sử dụng trình duyệt nào cho phù hợp. Kết luận lại, hỗ trợ hai trình duyệt cho hai mục đích khác nhau rất tiêu tốn thời gian và tiền bạc, chưa kể nó tác động cực lớn đến trải nghiệm người dùng, làm giảm hiệu suất làm việc.

Hiện tại đã xuất hiện một kỹ thuật vượt trội hơn để bảo vệ hệ thống mạng doanh nghiệp và người dùng khỏi các tấn công qua đường mail và web. Để có thể hiểu rõ hơn về phương pháp này, cần phải nắm rõ cơ chế làm việc của trình duyệt

Công việc nội tại của Trình duyệt

Trên các thiết bị máy tính như laptop, có rất nhiều các thành phần cung cấp trải nghiệm web: thành phần hệ điều hành, thành phần ứng dụng, và thành phần trình duyệt. Đào sâu vào thành phần trình duyệt, có 3 chức năng cốt lõi để truyền tải nội dung một trang web từ trình duyệt đến thiết bị người dùng: Fetch – Nạp, Execute – Thực thi, và Render – kết xuất hiển thị
Khi người dùng click vào link web trên một email hoặc một tài liệu, hoặc truy cập qua một trang web theo bất kỳ cách nào, trình duyệt của họ sẽ nạp một luồng dữ liệu chứa đựng nội dung trang web đó, chính là các mã lệnh lập trình được máy chủ web trả về. Trong luồng dữ liệu này chứa đựng: phông chữ, hình ảnh, các active content (Javascript, Adobe Flash) để tạo dựng nên trang web. Dữ liệu này sau đó được thực thi trên trình duyệt của thiết bị người dùng. Quá trình thực thi chuyển đổi dữ liệu từ bit sang nội dung số, ví dụ video, âm nhạc, quảng cáo… Trình duyệt sau đó kết xuất các điểm ảnh, truyền tải nội dung dưới dạng thức có thể hiển thị và tương tác của một trang web, trên thiết bị người dùng.

Các trình duyệt ngày nay ngày càng phức tạp, và mặc dù các lập trình viên đã bổ sung thêm nhiều chức năng và công cụ bảo vệ quá trình duyệt web an toàn và bảo mật hơn cho người dùng, thì tin tặc vẫn có thể tìm ra và khai thác rất nhiều lỗ hổng bảo mật trên nhiều khía cạnh khác nhau. Rất nhiều bài học vừa qua đã chỉ ra rằng, tấn công mạng được thực hiện trên web. Các báo cáo cũng chỉ ra rất nhiều những trang web phổ biến mà người dùng truy cập thường nhật lại hoạt động trên các phiên bản code chứa đựng lỗ hỗng bảo mật, khiến chúng dễ dàng trở thành mục tiêu của các cuộc tấn công chiếm quyền kiểm soát. Ngoài ra, khi người dùng khởi tạo truy cập đến một trang web, trang web này thực tế có thể kết nối đến trung bình 25 “trang nền” khác. Những “trang nền” này có thể nạp các video từ một CDN server hoặc kéo một nội dung quảng cáo từ mạng Ad-delivery. Tất cả các hành động này đều được thực thi sau màn, người dùng không nhận biết được và thường cũng vô hình với các cơ chế phòng chống virus và lọc web thông thường. Như vậy, một “trang nền” truyền tải code bị nhiễm mã độc hoặc active content hoàn toàn có thể lây nhiễm đến thiết bị người dùng. Mức độ phức tạp và độc hại của các mã độc lây lan qua web, kết hợp với sự ranh mãnh của tin tặc đã khiến cho việc duyệt web trở nên ngày càng nguy hiểm cho người dùng, doanh nghiệp và dữ liệu của họ.

Cách tiếp cận mới – ISOLATION

Điều gì xảy ra nếu việc thực thi mã trang web thực tế xảy ra cách xa thiết bị của người dùng?.

Đó là cách tiếp cận cơ bản của “Trình duyệt web cách ly” từ Menlo Security.
Thay vì đưa ra lựa chọn giữa việc chạy tất cả các chức năng của trình duyệt, Nạp, Thực thi và Kết xuất trên thiết bị người dùng, Menlo Security chứa chức năng Nạp và Thực thi từ xa trong môi trường Cloud. Lúc này trong trình duyệt web của người dùng sẽ chỉ còn chạy Kết xuất và tất cả các chức năng đi kèm với nó. Trang web được hiển thị trông và cảm nhận giống hệt như trang web thực tế – vì nó vẫn là trang web đó, đã loại bỏ rủi ro đến từ mã độc. Tất cả các thành phần thực thi đã được chạy trên nền tảng cloud Menlo Security Isolation Platform (MSIP). Không cần quan tâm mã nguồn của web có chứa mã độc hay không, hoặc nếu trang web có chứa các active content – JavaScript, Flash… – là nền tảng có/ không phát tán mã độc, vì MSIP không phân định những gì là trong sạch từ những phần xấu/ gây hại. Khác biệt với các giải pháp ngăn chặn mã độc hiện tại, MSIP không phân định “tốt” với “xấu”, từ đó đưa ra hành động “cho phép” hoặc “cấm”. Cách tiếp cận của MSIP là bất khả tri: giả định toàn bộ mã nguồn của web là “xấu”, và thực hiện việc cách ly trình duyệt web toàn bộ

Hành trình tiếp cận Isolation của một khách hàng
Một công ty bảo hiểm lớn, quy mô toàn cầu đã trải qua nhiều cuộc tấn công mã độc và lừa đảo qua web. 80% trường hợp nhiễm phần mềm độc hại trên web là do nhân viên truy cập các trang web chưa được phân loại. Các thiết bị đã nhiễm mã độc sẽ tốn hao rất nhiều thời gian và công sức để khôi phục. Đào tạo chống lừa đảo cho nhân viên có giúp ích trong việc giải quyết các cuộc tấn công lừa đảo. Nhưng một số nhân viên sẽ tiếp tục nhấp vào liên kết lừa đảo, dẫn đến bị đánh cắp thông tin và nhiễm mã độc.
Hạn chế truy cập web của nhân viên không phải là một giải pháp mà công ty muốn thực hiện, bởi vì nó sẽ gây tác động xấu đến năng suất của người dùng, đồng thời tạo ra gánh nặng yêu cầu hỗ trợ cho Bộ phận trợ giúp.


Tuy nhiên vì không còn lựa chọn nào khác, vừa phải đối mặt với tỉ lệ lây nhiễm đang tăng lên, khả năng thất thoát thông tin quan trọng, chi phí khôi phục hệ thống leo thang, công ty đã thực thi một chính sách hà khắc: không cho phép người dùng truy cập vào các trang web chưa được phân loại. Việc này tạo ra một “cơn bão hoàn hảo” đúng như công ty đã lo sợ: năng suất người dùng giảm mạnh, và số lượng ticket, cuộc gọi hỗ trợ đến Bộ phận trợ giúp tăng chóng mặt.

Thất vọng và bị ảnh hưởng năng suất làm việc, nhiều người dùng đã quyết định phá vỡ các biện pháp bảo mật mới. Tình trạng này càng khiến công ty rơi vào vùng nguy hiểm hơn, khi người dùng bắt đầu sử dụng các “biện pháp an ninh thông tin” của chính họ.
Sau khi nghe và tìm hiểu về Menlo Security Isolation Platform, công ty đã dùng thử. Họ đã khởi xướng PoC và thấy rằng cách tiếp cận bảo mật web mới của Menlo Security có thể làm giảm bớt việc phải thực hiện chính sách hạn chế truy cập web của nhân viên, ngay cả đối với các trang web chưa được phân loại.

Sau khi công ty đồng ý rằng sự cô lập có vẻ như là cách tiếp cận hoàn hảo để giải quyết các thách thức về duyệt web và mã độc của nhân viên, hiệu quả/ chi phí đầu tư sẽ là yếu tố quyết định để đầu tư MSIP. Chi phí đã được đưa ra theo một phương trình đơn giản: Cân nhắc chi phí tăng nhanh, cùng thời gian và tài nguyên đáng kể mà công ty phải gánh chịu để khắc phục sự cố, bao gồm cả việc khôi phục thiết bị; Bộ phận trợ giúp phải đáp ứng các yêu cầu hỗ trợ không ngừng nghỉ; năng suất làm việc của nhân viên giảm; khả năng tái nhiễm cao và có khả năng thất thoát thông tin quan trọng; việc nhân viên tìm cách vượt các cơ chế bảo mật phức tạp và rời rạc… so với đầu tư và sử dụng nền tảng cloud của Menlo Security Isolation Platform. Cuối cùng thì chi phí của công ty đã giảm thiểu bằng cách triển khai giải pháp cách ly của Menlo.

Giai đoạn 1 – Cách ly các trang nguy hại
Công ty đã chia giai đoạn để tiếp cận giải pháp Isolation. Giai đoạn đầu sẽ cách ly các trang web nguy hại được phân loại trên MSIP, gần như ngay lập tức đã ngăn chặn lây nhiễm mã độc qua đường web. Chỉ riêng hành động này đã giúp ích rất nhiều cho công ty, vì đa phần các trang web không được phân loại đều nguy hại. Khi cách ly các trang nguy hại, đặc biệt là các trang chưa được phân loại, công ty đã có thể cho phép người dùng truy cập lại nhóm các trang web chưa phân loại, gia tăng hiệu suất làm việc của người dùng, đồng thời giảm yêu cầu đến Bộ phận hỗ trợ (đặc biệt là yêu cầu phân loại lại trang web).

Giai đoạn 2 – Cách ly tất cả link trong email
Ở giai đoạn này, công ty cách ly tất cả các link trong email, hạn chế lây nhiễm mã độc từ việc nhân viên vô tình hay cố ý click vào các link này – cho dùng đã được đào tạo nhận thức trước đó hay chưa. Rủi ro về đánh cắp thông tin qua việc nhập thông tin vào web form cũng biến mất, vì công ty đã có thể kết xuất hiển thị các trang web ở dạng “read-only” với MSIP. Thêm vào đó, công ty cũng gia tăng khả năng kiểm soát khi nắm bắt được người dùng sẽ click gì trên trang web họ truy cập.

Giai đoạn 3 – Cách ly tất cả website
Giai đoạn cuối cùng, công ty quyết định cách ly toàn bộ trang web mà nhân viên truy cập, khởi đầu bằng các nhân sự quan trọng, sau đó là toàn bộ nhân viên. Việc này đảm bảo cơ chế bảo vệ và ngăn chặn mã độc qua đường web toàn diện.

​Kết luận
Isolation là một hướng tiếp cận mới, hoàn toàn giải quyết các vấn đề an ninh thông tin ngày càng gia tăng về số lượng và sự phức tạp mà doanh nghiệp đang gặp phải, vốn dĩ các biện pháp phòng vệ theo cơ chế phát hiện trước đó không đáp ứng được. Isolation là một thành phần thiết yếu trong khung bảo mật thông tin thế hệ mới.
Tham khảo thêm thông tin về giải pháp Menlo tại: https://www.menlosecurity.com/

logo hãng menlo

Từ năm 2020, Vietnet Distribution JSC chính thức trở thành nhà phân phối độc quyền Menlo tại Việt Nam. Menlo Security Isolation Platform tận dụng đặc tính của điện toán đám mây để mang đến một môi trường duyệt web an toàn 100%, dễ dàng mở rộng nâng cấp mà không ảnh hưởng đến trải nghiệm người dùng. Giải pháp MSIP giải quyết vấn đề trộm cắp thông tin, tấn công zero-day, ransomware và quảng cáo độc hại, cũng như bảo mật email cá nhân và giúp các doanh nghiệp đáp ứng các quy định/ quy chuẩn cần tuân thủ

CASE STUDY

[/col] [/row]