|
Trong báo cáo lần thứ tư "Cẩm nang công nghệ đưa vào ứng dụng thực tế cho bộ phận an ninh mạng" (Cyber Security Division Transition to Practice Technology Guide) mới đây, Bộ An ninh nội địa Mỹ - DHS giới thiệu 8 công nghệ từ các công cụ phân tích phần mềm độc hại (malware) đến các nền tảng phân tích hành vi để biến tấu phần mềm nhằm bảo vệ các ứng dụng Windows.
Chương trình TTP (Transition to Practice) của DHS xác định nghiên cứu an ninh mạng đã sẵn sàng cho thử nghiệm hoặc phát triển thành sản phẩm thương mại. Trong bốn năm của chương trình, 4 trong số 24 công nghệ đã được các tổ chức thương mại cấp phép và 1 công nghệ đã mở mã nguồn.
Theo NetworkWorld, chương trình TTP nhằm đưa nghiên cứu an ninh mạng vào ứng dụng thực tế.
"Chính phủ liên bang hằng năm chi hơn 1 tỷ USD cho việc nghiên cứu an ninh mạng", báo cáo cho biết, "Tuy nhiên, nghiên cứu này hầu như không được đưa vào ứng dụng thực tế".
Dưới đây là 8 công nghệ mới trong báo cáo năm nay:
REnigma
Phần mềm này chạy malware trong một máy ảo và ghi lại những gì nó làm để có thể “phát lại” và phân tích chi tiết. Thiết kế này cung cấp cho các nhà nghiên cứu cơ hội xem xét malware lúc rảnh rỗi để có thể hiểu một cách tường tận cách thức và những gì nó làm mà không phải sử dụng kỹ thuật lần ngược (reverse engineering).
 |
| Ảnh minh họa. |
Công nghệ then chốt đó là kỹ thuật thu và phát lại máy ảo được Johns Hopkins Applied Physics Laboratory phát triển. Với công nghệ này các nhà nghiên cứu có thể sử dụng các công cụ phân tích malware trong khi đang chạy, và công nghệ chống phân tích của malware không thể phát hiện việc này. "Ví dụ, nếu một đoạn mã độc tạo ra dữ liệu mã hoá trên mạng, nhà phân tích có thể sử dụng REnigma để lần ngược lại dữ liệu thô trong bộ nhớ hoặc khôi phục khóa mã hóa".
Socrates
Nền tảng phần mềm này tự động dò tìm trong bộ dữ liệu và có thể lọc ra các mối đe dọa tiềm tàng. Nó có cả khả năng phân tích và khoa học máy tính, sự kết hợp mà các nhà phân tích thường thiếu.
Nền tảng này có thể thực hiện phân tích dữ liệu không cần sự giám sát của con người, tìm kiếm các dấu hiệu có thể gây hậu quả trong tương lai. Socrates đã được sử dụng để nghiên cứu những điểm chung của các nhóm du khách nhằm phát hiện những mối liên kết chưa biết giữa những con người có liên quan.
PcapDB
Đây là một hệ thống cơ sở dữ liệu phần mềm thu thập các gói tin để phân tích thông tin truyền trên mạng bằng cách sắp xếp lưu lượng gói tin theo luồng.
Các tác giả ví chức năng của nó như hộp đen trên máy bay, và cho biết Pcap cho phép việc tái dựng hoạt động malware như truyền đi, tải về, và kiểm soát các thông điệp và dữ liệu.
 |
| Ảnh minh họa. |
Nền tảng này tối ưu hóa dữ liệu thu để có thể lưu trữ chiếm ít không gian đĩa và truy cập nhanh hơn để phân tích. Bằng cách bỏ bớt những tính năng không cần thiết, PcaDB có thể lưu trữ nhiều tháng dữ liệu lưu lượng trên ổ SAS (Serial Attached SCSI), một điểm cộng khi điều tra tấn công xâm nhập.
Hay nói cách khác, theo các tác giả của côgn nghệ này thì "lịch sử dài nhất có thể là chìa khóa khi điều tra sự cố (an ninh) mạng".
REDUCE
Đây là công cụ phần mềm phân tích tìm kiếm mối quan hệ giữa các mẫu malware để tạo dữ liệu nhận dạng được dùng để xác định các mối đe dọa.
Phần mềm này thực hiện phân tích mẫu malware để tìm các đoạn mã tương tự với các malware đã được phân tích trước đây, nhờ đó có thể suy ra nhanh tác giả của malware mới và những đặc điểm kỹ thuật của mã độc.
Không giống như một số công cụ thương mại chỉ so sánh hai mẫu malware đồng thời, REDUCE có thể so sánh nhiều mẫu cùng lúc. Khi phát hiện các đoạn mã tương đồng, REDUCE hiển thị chúng cùng với thông tin đã biết về những đoạn mã đó.
Công cụ này được thiết kế dành cho các học viên an ninh mạng sử dụng, những người không có nhiều kiến thức về kỹ thuật lần ngược.
Cách ly luồng động (DFI)
DFI (Dynamic Flow Isolation) tận dụng đẩy việc nối mạng được xác định bằng phần mềm (SDN – Software Defined Networking) để áp dụng chính sách bảo mật theo yêu cầu dựa trên trạng thái hoạt động hay nhu cầu kinh doanh.
Điều đó được thực hiện bằng cách cho phép, cấm hoặc giới hạn tốc độ truyền thông tin liên lạc giữa người dùng cá nhân và các dịch vụ mạng. Việc này có thể được thực hiện tự động hoặc thủ công.
Phần mềm này nhận biết tình trạng hoạt động của mạng bằng cách kết hợp với các thiết bị như các máy chủ xác thực và hệ thống phát hiện xâm nhập. Giải pháp cách ly luồng động còn được tích hợp với bộ điều khiển SDN để thay đổi kết nối mạng được phép đáp ứng với sự thay đổi trạng thái mạng, nhờ đó có thể cách ly máy tính cá nhân hoặc nhóm máy tính và ngăn chặn các cuộc tấn công khỏi các nguồn quan trọng.
Phần mềm bao gồm một thành phần lõi thực thi chính sách triển khai bên trong bộ điều khiển SDN để cập nhật các quy tắc truy cập cho các chuyển mạch (switch) trong mạng. Nó làm việc với phần cứng SDN hiện có và có thể chạy trên nhiều bộ điều khiển SDN.
TRACER
TRACER (Timely Randomization Applied to Commodity Executables at Runtime) là phương tiện dùng để thay đổi bố cục nội tại và dữ liệu của các ứng dụng nguồn đóng trên nền Windows, chẳng hạn như Adobe Reader, Internet Explorer, Java và Flash.
Vì các ứng dụng này “đóng” (mã nguồn đóng), có dữ liệu không thay đổi và bố cục nội tại, hacker có thể tạo các cuộc tấn công hiệu quả trên quy mô lớn.
Bằng cách biến tấu ngẫu nhiên dữ liệu và bố cục nội tại nhạy cảm mỗi khi có một kết quả đầu ra từ ứng dụng, có thể ngăn cản hacker tấn công hiệu quả. Ngay cả khi thông tin về dữ liệu và bố cục bị rò rỉ, chúng cũng sẽ khác trong lần tới.
Bằng cách này TRACER có thể ngăn chặn các cuộc tấn công chiếm quyền điều khiển đối với các ứng dụng Windows. TRACER được cài trên từng máy và không can thiệp vào hoạt động thông thường. Nhược điểm của TRACER chính là làm tăng thời gian thực thi trung bình khoảng 12%.
Các cơ chế biến tấu khác như Address Space Layout Randomization, ngẫu nhiên hóa code dựa trên trình biên dịch và tập lệnh ngẫu nhiên thực hiện việc biến tấu ngẫu nhiên một lần. Hacker kiên trì có thể chờ đợi ứng dụng rò rỉ dữ liệu để tấn công hiệu quả.
FLOWER
Network FLOW AnalyzER (FLOWER) kiểm tra phần đầu gói IP để thu thập dữ liệu về các luồng tin hai chiều mà có thể sử dụng để nhận diện lưu lượng cơ sở và các luồng bất thường nhằm phát hiện cáchiểm họa tiềm tàng và các mối đe dọa nội bộ.
Dữ liệu này (được thu thập thông qua các thiết bị nhỏ trên toàn mạng) cũng có thể được sử dụng như là một nguồn để điều tra các sự cố mạng.
FLOWER đã được triển khai trong hơn 100 mạng chính phủ và doanh nghiệp từ năm 2010.
Công nghệ đã phát hiện và giảm thiểu các cuộc tấn công phối hợp và được sử dụng để tạo dữ liệu nhận dạng tấn công.
SilentAlarm
Nền tảng này phân tích hoạt động mạng để nhận diện các hành vi có khả năng nguy hiểm nhằm ngăn chặn các cuộc tấn công mạng chưa có dấu hiệu nhận biết như “zero-day”.
Các sự kiện mạng được cung cấp từ các cảm biến, công cụ gồm các "nút tri thức" (knowledge node) thực hiện phân tích các dạng hành vi mạng nhất định chẳng hạn như các lần gửi email thất bại hay thành công hoặc các lần kết nối Internet thất bại. Căn cứ vào hành vi lịch sử, từng sự kiện được đánh dấu là bình thường hay bất thường.
Các đặc điểm này được đưa đến các node để phán quyết hành vi quan sát được có hoạt động độc hại hay không. Nếu hoạt động độc hại được phát hiện, SilentAlarm có thể gửi cảnh báo hoặc can thiệp ngăn chặn.
Theo Networkworld, pcworld
