Đối phó phần mềm xấu nhắm mục tiêu quân sự

Thứ Ba, 12/12/2017, 07:47
Các tin tặc (hacker) đang triển khai những kỹ thuật học máy để tạo ra loại phần mềm xấu (malware) có khả năng liên tục thay đổi để tránh việc bị phát hiện, và các chủng phần mềm xấu trong tương lai có thể làm điều đó - như chúng từng được đề xuất - ngay cả khi lực lượng chức năng sẽ phát triển ra những tính năng nhạy cảm để giữ cho chúng không ngừng phát triển.

Bà Claire Apthorp đến từ công ty an ninh mạng Airbus đang tìm kiếm các chủng phần mềm xấu gần đây, và bà nhận thấy chúng sẽ là mối đe dọa cho cơ sở hạ tầng thông tin liên lạc và làm tổn hại tới sự sẵn sàng của các quân đội trên thế giới.

Các chính phủ, các lực lượng quân sự và những hệ thống cơ sở hạ tầng đặc biệt quan trọng mang tầm quốc gia hiện đang phải đối phó với một số mối đe dọa mạng tinh vi nhất đang được sử dụng ngày hôm nay. Những mối đe dọa an ninh mạng này ngày càng ranh ma và tự động hơn, mà những kẻ tấn công lại đến từ các tổ chức có động cơ và tay nghề lão luyện hơn bao gồm các tổ chức hay cá nhân cho đến những kẻ tấn công tay mới sử dụng các bộ công cụ để "hack" cùng các khuôn khổ mua trực tuyến.

Phần mềm độc hại đa hình (Polymorphic malware) - mối đe dọa đáng gờm cho nền quân sự toàn cầu.

Để định dạng mối đe dọa an ninh mạng hiện tại là một thách thức khó nhằn khi mà những kẻ tấn công, các công cụ do chúng sử dụng và lối tấn công luôn không ngừng phát triển. Cần biết một điều rằng, biên giới giữa các quốc gia và bọn tội phạm mạng cấp thấp đang trở nên mờ dần - trong một số trường hợp, bọn tội phạm mạng đang mô phỏng các bộ công cụ và những kỹ thuật do một số quốc gia hiện đang dùng.

Tiếp sau việc tổ chức tin tặc Shadow Brokers làm rò rỉ các công cụ của Cơ quan an ninh quốc gia Mỹ (NSA) vào đầu năm 2017 này, thì các công cụ sức mạnh đe dọa an ninh mạng quốc gia giờ đây đang có sẵn cho bất kỳ ai muốn tải chúng.

Cùng lúc, những kỹ thuật tấn công phá hủy và làm gián đoạn ở mức độ tinh vi đang được nhiều quốc gia phát hiện, theo Báo cáo đánh giá thường niên năm 2017 của Trung tâm an ninh mạng quốc gia Mỹ (NCSC). Kết quả của đợt chuyển dịch không giới hạn này là những cuộc tấn công hỗn tạp theo hướng tiếp cận tốt nhất, kết hợp với các kỹ thuật tránh phát hiện tiên tiến nhất. Hành động cùng với nhau, chúng đã tạo ra một mối đe dọa đáng kể mang tầm vóc toàn cầu.

Phần mềm độc hại đa hình

Trong khi đó, phần mềm xấu không ngừng phát triển, và những phương pháp nhằm trốn tránh bị phát hiện đang giữ một mức độ tinh vi với bản thân của chính phần mềm xấu.

Ông Lloyd Rush, người đứng đầu Trung tâm tác chiến an ninh Vương quốc Anh thuộc Công ty an ninh mạng Airbus, phát biểu: "Phần mềm độc hại đa hình (Polymorphic malware) là mã được lập trình với khả năng chuyển đổi từ cái gốc ban đầu của nó ngay sau mỗi lần tấn công để tránh bị phát hiện. Các đặc điểm độc đáo của loại phần mềm này bao gồm các tên tệp, loại hay các dạng khóa mã hóa khiến cho phần mềm xấu ít bị nhận dạng và khó để phát hiện chúng. Các kỹ thuật kiểu như vậy đã gây ra một vụ nổ trong dung tích của phần mềm xấu đang lưu hành với hơn 390.000 biến thể phần mềm xấu mới đang được phát hiện mỗi ngày. Những kỹ thuật dạng này cũng khiến cho phần mềm xấu ngày càng thành công hơn, và hiện tại 97% nguy cơ truyền nhiễm phần mềm xấu thành công chính là nhờ ứng dụng phần mềm độc hại đa hình".

Hệ thống phòng chống xâm nhập (IPS), công nghệ giúp các chính phủ chống lại phần mềm xấu.

Nhấn mạnh tới mối đe dọa này là sự thiếu hiểu biết của người dùng, với nhiều tổ chức thất bại trong việc tiến hành và thông báo nhu cầu dọn dẹp an ninh mạng trên khắp các mạng lưới và thói quen của nhân viên họ.

Để xử lý thách thức này, các nhà cung cấp dịch vụ hiện đang tăng cường sử dụng để quản lý những mạng lưới thường gặp rủi ro cao. Công ty an ninh Airbus hiện đang điều hành một trong những Trung tâm tác chiến an ninh liên hợp (SOC) thuộc Bộ quốc phòng Anh (MoD) như là một Nhà cung cấp dịch vụ được quản lý chuyên trách báo cáo cho Trung tâm điều phối nhóm phản ứng khẩn cấp máy tính có ủy quyền (ACERTCC).

Theo đó Airbus SOC cung cấp việc giám sát bảo vệ của phần mềm Cơ sở hạ tầng thông tin quốc phòng (DII) như là một phần của liên minh ATLAS. Vị trí này đã trao cho Airbus SOC một cách hiểu vững chắc nhất về những mối đe dọa phần mềm xấu thuộc thế hệ mới nhất rằng trông chúng như thế nào, và chúng phát triển ra sao.

Ông Lloyd Rush giải thích: "Sự xâm nhập của phần mềm xấu và các biến thể của nó đã xâm nhập sâu vào các công cụ Danh sách trắng nằm trong những mối đe dọa mới nổi hết sức nguy hiểm hoặc các phần mềm xấu. Tôi lấy ví dụ như, những cuộc tấn công Fileless bằng cách sử dụng công cụ quản trị thông dụng được xây dựng để tiến vào các hệ thống nhằm tránh việc bị phát hiện, hoặc chúng khai thác đầy đủ cơ chế tự động nhằm triển khai các bản cập nhật phần mềm xấu một cách hiệu quả, mà không cần can thiệp, không gây tác động đến trải nghiệm của người sử dụng".

An ninh trái quy ước

Ở đây nhấn mạnh đến việc thiếu sự nhanh nhẹn trong các tổ chức lớn nhằm triển khai việc kiểm soát giảm thiểu rủi ro hay nâng cấp các hệ thống hoạt động đang bị thương tổn, hoặc hiện đang tồn tại.

Các chuyên gia an minh mạng của Trung Quốc đang kiểm soát và tiêu trừ phần mềm độc hại.

Ông Lloyd Rush nhấn mạnh: "Thông thường cách tiếp cận để chống lại những mối đe dọa này sẽ bao gồm một loạt các công cụ phát hiện, trong đó có sử dụng Chỉ số về mức độ xâm nhập thỏa hiệp (IoC) và các kết hợp chung. Dạng công cụ này là những lớp hay phân đoạn khác nhau của một tổ chức nhằm nhận dạng bất kỳ hoạt động nào phù hợp với sự kích hoạt đã biết, từ ngoại vi cho đến các thiết bị đầu cuối".

Nhưng việc sử dụng các động cơ đa hình bởi những kẻ tấn công nhằm biến đổi mã xấu trong khi vẫn giữ mã phần mềm xấu ban đầu còn nguyên vẹn nhằm cho phép phần mềm xấu tránh bị phát hiện bởi phần mềm an ninh truyền thống.

Ông Llyod Rush chỉ rõ: "Những kẻ tấn công thường dùng máy đọc để đánh giá hiệu quả của các chiến dịch và vì thế chúng sẽ điều chỉnh chiến lược tấn công, vì vậy đánh giá việc trốn tránh hay các kỹ thuật lập trình xã hội và những tỷ lệ thành công tiềm năng. "Mỗi sự thất bại cho kẻ tấn công thường phải trả giá cho sự phát triển xa hơn, thêm vào đó IoC và bộ dữ liệu tình báo đe dọa".

Ông Lloyd Rush tiếp tục nói: "Thông thường máy đọc sẽ dùng để tạo ra phần mềm xấu nhằm hạn chế các tham số và các biến thể được đặt ra bởi người tạo mã nguồn và gửi yêu cầu cho các tương tác đến người khởi tạo nhằm thay đổi tải trọng. Sẽ là hợp lý khi có một ứng dụng đáng kể nhằm đánh giá mô hình dự báo của một chiến dịch phần mềm xấu có giá trị cao".

Thách thức ở đây là sự khôn khoan thông thường về cách bảo hộ phần mềm xấu để đầu tư vào những giải pháp phòng ngừa như chống virus, bức tường lửa và Hệ thống phòng chống xâm nhập (IPS) hoạt động bằng cách tìm kiếm các mã cụ thể và được thừa nhận. Sau rốt, công cụ phòng chống thông thường cần phải tăng trò chơi của nó.

Chuyên gia Lloyd Rush dẫn giải: "Hệ thống phòng thủ tự động có thể phản hồi lại những mối đe dọa phần mềm xấu dạng này nhằm giữ yên tốc độ của chúng khi chúng được tạo ra, nhưng sự thành công chắc chắn phải dựa vào tầm nhìn chiến lược cũng như tốc độ phản ứng. Vì thế cách phòng thủ hiệu quả nhất là sự kết hợp của những chương trình máy học/đọc cũng như kinh nghiệm chuyên gia. Ở đây, các phân tích hành vi và chuẩn hóa từ người sử dụng đến mạng lưới trắc viễn (đo từ xa) có thể dùng làm căn cứ và kết hợp với IoC cùng những cách nhận diện khác (từ tình báo đe dọa mạng cho đến tình báo hành động) tất cả cùng xây dựng nên những phương pháp phát hiện và phòng ngừa hiệu quả".

Trí tuệ nhân tạo (AI)

Mối đe dọa nào sẽ xảy ra trong tương lai?, Các dấu hiệu hiện tại đang hướng tới trí tuệ nhân tạo (AI). AI lọt vào tay những kẻ tấn công mạng có thể là tiềm năng để chúng tạo ra một vụ nổ xâm nhập mạng lưới, bọn cướp dữ liệu cá nhân, và một sự lây lan đáng kể của các virus máy tính thông minh.

Phần mềm độc hại đa hình có thể làm tê liệt các máy bay quân sự.

Lời khuyên của ông Lloyd Rush trong bài viết này là dành cho các nhóm an ninh, chủ các doanh nghiệp, các chính trị gia cho đến bản thân gia đình của họ với sự cắt giảm an toàn AI và nghiên cứu an ninh nhằm hiểu sâu về tác động tiềm năng.

Chuyên gia Lloyd Rush nhấn mạnh: "Đang có một số nghiên cứu hiệu quả được thực hiện thành công trong lĩnh vực này. Thuật toán có thể học và đưa ra những dự đoán chính xác về dữ liệu không thấy được trước đó dựa trên việc tiếp xúc với những tập dữ liệu "được đào tạo" nhằm cho phép chúng mô tả những mã độc hại, tìm ra các mô hình và nhóm mẫu liên quan với nhau - và mỗi mẫu mới cần được đánh giá phát hiện nhằm tăng chi phí cho những kẻ tấn công".

Không hoài nghi gì khi mà Internet và không gian mạng đang ngày càng kết hợp mạnh hơn trong cuộc chiến của tương lai, và nhiều chính phủ đang sẵn sàng tìm ra những lợi thế ở đây để phát triển ra một thái độ an ninh mạnh mẽ. Khi đề cập đến cơ sở hạ tầng quân sự và chiến lược, ông Lloyd Rush cho rằng chúng ta cần phải nhìn xa hơn máy móc quân sự và chú trọng vào đảm bảo môi trường mạng ngay trong mỗi chức năng của xã hội và nền kinh tế.

Ông nói: "Cuộc chiến tranh an ninh mạng của ngày mai có thể không chỉ nhắm mục tiêu vào cơ sở hạ tầng quân sự mà còn mở rộng ra toàn xã hội, những cuộc tấn công nhằm làm gián đoạn cơ sở hạ tầng quan trọng của quốc gia, ngân hàng, hay các ngành công nghiệp. Luôn có những người nuôi ý định tham nhũng và mạng giúp cho họ đạt được mục đích. Nhưng trên hết, trong các lĩnh vực quân sự và thương mại, người ta đang ngày càng tỏ ra cảnh giác với các mối đe dọa có liên quan. Nó là bước đầu tiên mang tính sống còn. Vì vậy, tôi có cái nhìn lạc quan lớn về tương lai khi ý thức phòng tránh được nâng lên".

Nguyễn Thanh Hải (tổng hợp)
.
.