Với sự ra đời của các Advanced Persistent Threats (APTs), và một tiến bộ đáng kể trong độ phức tạp và ẩn nấp của phần mềm độc hại, các ngành công nghiệp an ninh đang khó có thể theo kịp. Mục đích của những các cuộc tấn công đã thay đổi, không còn những virus đơn thuần phá hoại lây lân trong hệ thống và dễ dàng bị loại bỏ ra bằng AV thông thường, thay vào đó là các tấn công có chủ đích kích thích bởi các động lực canh tranh không lành mạnh hay kiếm lời cho cá nhân.
Điển hình là cuộc tấn công Stuxnet, cho thấy độ phức tạp và tội phạm mạng quy mô lớn cố thể đạt được bằng cách sử dụng nhiều lỗ hổng zero-day – đánh cắp được dữ liệu từ các công ty, bao gồm cả ăn cắp digital certificate của công ty bảo mật. Việc sử dụng các mã độc khai thác zero-day tiếp tục được phổ biến giữa các tin tặc, những người đang cố gắng để tận dụng các lỗ hổng của ứng dụng. Ngoài ra còn có sự gia tăng rõ rệt trong việc sử dụng các phần mềm bảo mật giả mạo, sử dụng chiến thuật đánh lừa người dùng cài đặt mã độc vào máy bằng cách giả mạo là phần mềm bảo vệ AV chính thống.
Một cuộc tấn công lừa đảo thông thường bắt đầu với một người sử dụng bị vào tấm ngắm của tin tặc, nhận được một email từ một nguồn đáng tin cậy yêu cầu người dùng hoặc mở tài liệu hoặc nhấn vào một link liên kết. Khi người dùng mở file đính kèm, phần mềm độc hại được kích hoạt hoặc liên kết tời trang web độc hại được đưa ra. Một khi phần mềm độc hại được kích hoạt, nó sẽ can thiệp vào và chiếm quyền điều hành máy tính và thông tin của nạn nhân để rồi gửi ra ngoài hay là sử dụng làm cổng để xâm nhập vào các máy khác trong mạng.
Tóm Tắt
Advanced malware – thầm lặng và nguy hiểm
Các đặc điểm cụ thể của advanced malware khác nhau tùy thuộc vào động cơ của kẻ tấn công, advanced malware được sử dụng trong tội phạm mạng, hoạt động gián điệp trong mạng, và đánh cắp dư liệu.
Ví dụ tốt nhất của phần mềm độc hại tiên tiến(advanced malware) là các Trojan với mục tiêu(Targeted Trojan). Advanced malware trong các hình thức của một Targeted Trojan là một mối đe dọa rất nguy hiểm cho bất kỳ doanh nghiệp nào. Chúng được chế tác một cách cẩn thận để thực hiện cuộc tấn công của tin tặc với khả năng khai thác các lỗ hổng chưa từng được biết trong các trang web của người dùng hoặc môi trường email và làm ảnh hưởng tới toàn bộ hệ thống. Sau khi tấn công thành công, phần mềm độc hại được cài đặt trong hệ thống, và tùy thuộc vào môi trường người sử dụng, phần mềm độc hại có thể cài đặt các thành phần khác để tối đa hóa sự hiện diện của mình trong hệ thống của nạn nhân. Các phần mềm độc hại có thể được tin tặc tùy chỉnh để tải thêm các phần mềm khác về phục vụ việc theo dõi hoạt động người dùng, ăn cắp thông tin, tạo ra thư rác, và trở thành một phần(zombie) của một mạng lưới botnet nhận lệnh từ các máy chủ Command & Control (C&C).
Một trong những ví dụ điển hình nhất của một Trojan với mục tiêu có thể là “Operation Aurora“, một cuộc tấn công gần đây vào Google và các công ty khác. Kẻ tấn công sử dụng một malware zero-day khai thác lỗ hổng Internet Explorer và email để cài phần mềm độc hại trên máy tính nạn nhân và từ đó đánh cắp dư liệu. Những cuộc tấn công đã được bắt nguồn từ người dùng nhấp vào link liên kết nguy hiểm thông qua các tài khoản email của họ.
Giải pháp an ninh truyền thống không thể chống lại APT
Các cuộc tấn công hiện nay đã không ngừng tăng ở khía cạnh tinh tế, công nghệ và quy mô, làm cho phần lớn công nghệ bảo mật truyền thống lỗi thời. Trong khi các cuộc tấn công mạng đang tăng trưởng theo cấp số nhân, an ninh truyền thống vẫn theo kiến trúc cũ và lỗi thời. Mẫu signature phù hợp với chẩn đoán và tỷ lệ dựa trên vẫn là các công nghệ cốt lõi của hầu hết các phương pháp bảo mật. Điều này đã tạo ra một khoảng cách đáng kể trong khả năng bảo vệ của các doanh nghiệp để chống lại tội phạm mạng ngày nay. Các giải pháp bảo mật email hiện nay tập trung chủ yếu vào “xử lý email” để bảo vệ người dùng chống lại các virus và thư rác được biết đến. Họ sử dụng dựa trên chữ ký chống virus (Anti Virus – AV) công nghệ phát hiện để phát hiện virus, cũng như độ tin cậy (reputation) và các công nghệ dựa trên nội dung để ngăn chặn thư rác. Tuy nhiên, các công nghệ này là không phù hợp với sự tinh tế của các cuộc tấn công được thực hiện bởi tội phạm mạng sử dụng mối đe dọa zero-day kết hợp với phần mềm độc hại phức tạp và các kỹ thuật xã hội mới nhất đang đi trước cơ sở dữ liệu chữ ký của các hãng AV. Điều tượng tự đang xẩy ra với các giải pháp truyền thống khác là IPS / NGFW và Web Security Gateway. IPS chỉ có thể vá những lỗ hổng đã được biết tới và những hành động bất thường (behaviour), NGFW tuy có khả năng nhận dạng ứng dụng cũng không thể biết được các lỗ hổng chưa được biết tới trên ứng dụng. Web Security Gateway chủ yếu dựa vào AV để nhận dạng virus và cơ sở dư liệu độ tin cậy (reputation) của các website để chặn người dùng truy cập vào. Đối với những website tin tặc lập lên để đánh vào mục tiêu cụ thể, những giải pháp đó không thể phát hiện.
Các giải pháp của FireEye nổi bật so với bảo vệ an ninh thông thường hoặc truyền thống, cung cấp một sự khác biết cho tổ chức để bảo vệ chống lại các mối đe dọa phức tạp và có mục tiêu hiện nay. Bằng cách cung cấp cái nhìn tổng quan về vòng đời phần mềm độc hại, FireEye là thế hệ tiếp theo trong việc phòng chống mối đe dọa thế hệ mới.
Giới thiệu giải pháp fireeys
Các thành phần của giải pháp fireeye
Giải pháp phòng chống mối hiểm họa thế hệ mới của FireEye (Web, Email, File, Central Management và Malware Analysis) là giải pháp tiên phong trong ngành bảo mật với cơ chế signature-less, ngăn chặn các cuộc tấn công có mục tiêu, zero-day, APT qua các kênh Web, Email và File.
Helix – Security Operations Platform:
Áp dụng thông tin về những mối rình rập đe dọa, sự tự động hóa và quản trị hồ sơ của FireEye và những giải pháp của bên thứ ba trong nền tảng hoạt động giải trí bảo mật thông tin hống nhất. Tìm hiểu thêm : https://www.fireeye.com/solutions/helix.html
Network Security:
Cung cấp năng lực hiển thị và bảo vệ mạng chống lại những cuộc tiến công mạng phức tạp, gây tổn thất lớn trên toàn quốc tế. Tìm hiểu thêm : https://www.fireeye.com/solutions/nx-network-security-products.html
Endpoint Security:
Cung cấp sự bảo vệ tổng lực cho điểm cuối, bảo vệ người dùng khỏi những mối rình rập đe dọa chung, phát hiện những cuộc tiến công tiên tiến và phát triển và nâng cao năng lực phản ứng. Tìm hiểu thêm : https://www.fireeye.com/solutions/hx-endpoint-security-products.html
Email Security:
Phát hiện các cuộc tấn công không gian mạng dựa trên email và chặn các mối đe dọa nguy hiểm nhất bao gồm các tệp đính kèm độc hại, các trang web lừa đảo và các cuộc tấn công mạo danh. Tìm hiểu thêm: https://www.fireeye.com/solutions/ex-email-security-products.html.
Managed Defense:
Áp dụng những kiến thức và kỹ năng đi trước kẻ tiến công và giải pháp săn tìm đã được chứng tỏ để phát hiện và phản ứng với những hoạt động giải trí mờ ám. Tìm hiểu thêm : https://www.fireeye.com/solutions/managed-defense.html
Threat Intelligence:
Trao quyền cho những security team với độ trung thực cao, thông tin tình báo tập trung chuyên sâu vào đối thủ cạnh tranh và lời khuyên có ích. Tìm hiểu thêm : https://www.fireeye.com/solutions/cyber-threat-intelligence.html
Security Suite:
Cung cấp cho người mua vừa và nhỏ sự tích hợp vừa đủ, bảo mật thông tin cấp doanh nghiệp, bảo vệ và phản hồi những mối rình rập đe dọa networks, email và endpoint. Tìm hiểu thêm : https://www.fireeye.com/solutions/security-suite.html
Source: https://final-blade.com
Category: Kiến thức Internet