Phát triển công nghệ an ninh mạng tại Việt Nam
 Ảnh minh họa |
Nhiều quốc gia như Mỹ, Trung Quốc, Nga, Israel… đã ý thức được điều này từ lâu và đã đầu tư rất lớn, tạo nên một cuộc chạy đua vũ trang trên không gian mạng [TDQ]. Ví dụ đầu tiên là Stuxnet, được cho là đã phá hủy 20% số máy ly tâm hạt nhân của Iran. Đây là siêu mã độc được phát triển rất tinh vi, với khả năng phát tán bằng nhiều cách [SFE], và tàng hình bằng sử dụng rootkit trong lõi hệ điều hành [SBD]. Nhóm phát triển được cho là có quan hệ hoặc chính là nhóm Equation Group, được một số chuyên gia coi là nhóm có trình độ cao nhất thế giới. Tháng 8/2016, một nhóm khác đã lấy cắp được và công bố mã chương trình gốc của Equation Group, trong đó có mã độc khai thác lỗ hổng trong thiết bị bảo mật của Cisco và Fortinet. Một câu trả lời cho Stuxnet là siêu mã độc Uroburos, được phát triển tốn kém và tinh vi, tấn công vào các cơ quan và trung tâm nghiên cứu có nhiều thông tin nhạy cảm và quan trọng của chính phủ Mỹ, và không bị phát hiện ít nhất là suốt 3 năm [GDU]. Có nhiều nhóm hackers với trình độ rất cao, chuyên đánh cắp những bí mật về công nghệ vệ tinh, hàng không, vũ trụ và thông tin liên lạc của các tổ chức, các công ty ở Mỹ và châu Âu (riêng doanh thu công nghiệp vệ tinh là $189.2 tỷ đô năm 2013) [MAR]. Vụ tấn công Vietnam Airlines và các cảng hàng không cuối tháng 7/2016 được thực hiện với mã độc cửa sau (backdoor) được tạo ra bởi công cụ PlugX sử dụng kỹ thuật cấy mã (dll planting). Năm 2014, một trong những mục tiêu bị tấn công nhiều nhất trên thế giới chính là Việt Nam [CTR14], và PlugX được sử dụng nhiều trong các cuộc tấn công này.
Phát triển an ninh mạng cần xoay quanh 3 yếu tố: con người, quy trình và công nghệ. Bài viết này sẽ chỉ nói đến con người và công nghệ. Với tiềm năng của đất nước và con người Việt Nam, nếu có chiến lược phát triển lâu dài và hợp lý, Việt Nam có thể trở thành 1 trong những quốc gia phát triển về công nghệ bảo mật.
Yếu tố con người
Về con người, cần có chiến lược đào tạo theo hai hướng. Thứ nhất là phổ cập kiến thức an toàn thông tin cơ bản cho tất cả người dùng. Sử dụng mạng ngày nay bình thường giống như đi lại giao thông hàng ngày. Người ta cần bằng lái để sử dụng phương tiện giao thông, thì có lẽ cũng nên có kiến thức an toàn cơ bản để dùng Internet. Vụ Smart OTP của Vietcombank vào tháng 8/2016 là một ví dụ tấn công vào người dùng mạng bình thường để lấy cắp thông tin cá nhân và tài sản trong ngân hàng. Còn vụ tấn công năm 2014 vào một số bộ ngành lấy cắp nhiều tài liệu quan trọng là một ví dụ khác khi nhân viên bị lừa cài mã độc vào máy nội bộ [TD]. Vì vậy, cần phổ cập kiến thức an toàn thông tin cơ bản trong giáo trình môn Tin học ở các trường học, hoặc có thể mở các khóa học để các công ty và tổ chức có thể gửi nhân viên đến học.
Hướng thứ hai là đào tạo chuyên gia bảo mật có trình độ cao. Giống như câu chuyện nên cho người ta cần câu hơn là cho con cá, và tất nhiên là còn nhiều yếu tố khác, nhưng quan trọng hơn đầu tư tiền bạc là những cơ chế cho các chuyên gia bảo mật có thể sống và làm việc với điều kiện tốt nhất để tập trung cống hiến nhiều nhất cho công nghệ an ninh mạng. Cần tạo lộ trình phát triển sự nghiệp cho những người làm kỹ thuật, được sự công nhận và đánh giá cao của xã hội. Họ có thể xây dựng những công ty bảo mật sản xuất ra những công cụ cho cả phòng thủ và tấn công, phục vụ không chỉ thị trường trong nước mà cả xuất khẩu ra nước ngoài. Những sản phẩm này sẽ đáng tin tưởng hơn và thích hợp hơn với những đặc thù trong nước. Và cần có chính sách thu hút nhân tài vào làm việc trong ngành an ninh mạng. Ví dụ như ở một số nước, đội ngũ chuyên gia bảo mật được tuyển chọn từ những sinh viên ưu tú nhất, được đào tạo bài bản và đãi ngộ hợp lý.
Yếu tố công nghệ
Tiếp theo sẽ nói về xu hướng của công nghệ an ninh mạng. Đây là một ngành rất rộng, có thể được đánh giá từ nhiều góc độ. Góc độ thứ nhất phân chia thành các nhiệm vụ: phòng chống, phát hiện, và ứng phó. Ngày nay, rất khó phòng chống một cách tuyệt đối. Giám đốc FBI James Comey có nói: “Chỉ có 2 loại công ty, 1 loại bị xâm nhập và biết điều đó, còn loại kia cũng bị xâm nhập nhưng không biết”. Vấn đề không còn là “nếu” bị xâm nhập, mà là “khi nào”, và “thiệt hại bao nhiêu” [IM]. Đội hình hackers và các cuộc tấn công có chủ đích có thể rất quy mô và tinh vi, đầu tư rất nhiều để nghiên cứu đối tượng và các thiết bị phòng chống được sử dụng, và phát triển công cụ vô hiệu hóa những thiết bị này. Còn đối tượng thì có thể là một tổ chức lớn với hàng ngàn nhân viên và hàng trăm cơ sở, sử dụng rất nhiều ứng dụng được liên tục phát triển và nâng cấp để tăng năng suất làm việc do sức ép cạnh tranh mạnh mẽ từ thị trường. Bảo đảm an toàn cho các tổ chức này cần chi phí rất lớn, mà kẻ tấn công chỉ cần dựa vào những sơ suất rất nhỏ. Theo thống kê trong năm 2014, thì 229 là số ngày trung bình mà hệ thống đã bị xâm nhập mà không phát hiện ra, còn 69% là số công ty chỉ biết được đã bị thâm nhập bởi thông báo từ một tổ chức thứ 3 [MTR]. Sử dụng máy móc cá nhân (Bring Your Own Device - BYOD) và di động (Mobile) cho công việc cơ quan càng tạo điều kiện cho kẻ tấn công dễ dàng xâm nhập hơn. Công cụ phòng chống chủ yếu là tường lửa và antivirus dựa vào dấu hiệu biết trước (signature-based), nhưng những công cụ này dễ bị vô hiệu hóa, mà như nhiều chuyên gia đã nói là “antivirus đã chết” (antivirus is dead) [IM]. Nên những nghiên cứu sau này thường tập trung vào phát hiện và ứng phó, và thực hiện phòng chống song song với hai nhiệm vụ này.
Từ một góc độ khác, có 2 loại thiết bị trong hệ thống thông tin, thiết bị hệ thống (network) như cổng mạng, tường lửa, và điểm cuối (endpoint) như máy chủ, máy bàn, máy xách tay. Phần quan trọng hơn cần bảo vệ là điểm cuối vì các hoạt động tạo ra và lưu trữ chương trình, ứng dụng, dữ liệu, văn bản và thông tin đều diễn ra ở các điểm cuối. Nhưng công nghệ phòng thủ thì lại phụ thuộc rất nhiều vào thiết bị hệ thống, còn phần điểm cuối thì chủ yếu chỉ dùng phương pháp nhận biết theo dấu hiệu biết trước (signature-based) antivirus, như đã nói, là “đã chết”. Thiết bị hệ thống cũng có rất nhiều hạn chế, chẳng hạn như phân tích dữ liệu hệ thống (network data) trong thời gian thực (real-time) không thể quá phức tạp gây tắc nghẽn mạng, và dữ liệu hệ thống cũng không cho phép phân tích được đa dạng như dữ liệu điểm cuối. Nên một xu hướng hiện nay là làm những giải pháp phát hiện và phản ứng cho điểm cuối (Endpoint Detection and Response - EDR), không chỉ dùng dấu hiệu biết trước mà cả những phương pháp mới hơn như là dựa vào hành vi (behavior-based), cho cả phân tích trong thời gian thực hay không thực (offline). Đã có rất nhiều vụ xâm nhập và mã độc, nhưng tất cả đều theo những phương pháp chung, và kẻ tấn công đều có những hành vi chung, có thể rất khác với những người sử dụng bình thường. Chẳng hạn như sau khi xâm nhập, mã độc có thể sử dụng các nghi thức (protocols) để di chuyển trong mạng nội bộ (lateral movements) và tìm kiếm thêm thông tin nhạy cảm. Rất quan trọng trong phát triển giải pháp điểm cuối là viết mã cắm sâu trong lõi hệ điều hành, nơi có quyền hạn cao nhất trong máy tính, để phát hiện, phản ứng và phòng chống một cách hiệu quả nhất.
Một lĩnh vực kỹ thuật đang phát triển nữa là Dịch vụ tình báo nguy cơ mạng (Threat Intelligence Service) [TIC]. Dịch vụ này tạo nên lợi thế lớn vì cho phép người phòng thủ hiểu được kẻ tấn công mình có thể là ai, động cơ mục đích là gì, chiến lược, chiến thuật, kế hoạch và phương pháp kỹ thuật như thế nào, dùng những công cụ gì, sau khi xâm nhập vào sẽ hoạt động ra sao. Nó cho phép giám sát, thu thập, phân tích, lập hồ sơ và chia sẻ những thông tin tình báo này một cách hiệu quả, từ đó nhanh chóng phát hiện xâm nhập và đưa ra phản ứng chính xác. Ví dụ như từ một dấu hiệu tấn công là một chương trình lạ được tải về nhiều bất thường, có thể thu thập thêm các dữ liệu liên quan đến dấu hiệu đó, phân tích các chi tiết như chương trình đó hoạt động ra sao, viết và sửa những khóa đăng kí gì, kết nối với những máy chủ nào, mã băm của tệp chương trình là gì, tạo nên và sửa những tệp gì, gọi API nào, tạo những tiến trình và mutex gì [TIS]. Đây có thể là một quy trình thực hiện theo vòng lặp, từ thu thập bằng chứng, phân chia thành các hướng dựa trên thông tin tình báo, đến xây dựng và chứng minh giả thuyết, rồi quay lại việc thu thập bằng chứng.
Liên quan đến Dịch vụ tình báo nguy cơ mạng là sự phổ biến của Big Data và Machine Learning. Một vấn đề trong an ninh mạng là phải xử lý một lượng dữ liệu khổng lồ, không chỉ từ nguồn tình báo nguy cơ mạng, mà còn từ các thiết bị và ứng dụng bảo mật, cần thanh lọc, liên kết, và phân tích những dữ liệu này để có những thông tin hữu ích. Một vấn đề nữa là phải sử dụng nhiều nhân lực có trình độ, chẳng hạn như trong các Trung tâm vận hành an ninh mạng (SOC) hay là trong các đội dịch vụ quản lý an ninh mạng (MSSP), và bản chất con người là vẫn hay mắc sai sót. Mà chi phí cho con người cũng rất lớn, chẳng hạn giá thuê chuyên gia xử lý sự cố bên Mỹ năm 2014 là $700/giờ. Những vấn đề này sẽ được Big Data và Machine Learning giải quyết ngày càng hiệu quả hơn, thu thập và xử lý nguồn dữ liệu, chuyển kiến thức của các chuyên gia bảo mật vào trong máy móc, và tự động hóa các quy trình và thao tác.
Công nghệ máy ảo (virtualization) đang ngày càng được ứng dụng nhiều hơn trong an ninh mạng. Chẳng hạn như phân tích động (dynamic analysis) mang lại hiệu quả cao hơn phân tích tĩnh (static analysis) nhưng thường cần môi trường ảo để thực hiện việc phân tích. Nhiều dịch vụ hạ tầng đang được phát triển để cung cấp khả năng chạy hàng loạt máy ảo phục vụ các mục đích bảo mật khác nhau. Một trào lưu mới là chạy ứng dụng trong những côngtenơ, đỡ lãng phí hơn là chạy cả máy ảo. Nhưng khả năng giới hạn ảnh hưởng của những hoạt động xâm nhập trong côngtenơ thì vẫn chưa bằng được khả năng giới hạn này cho máy ảo. Bản thân máy ảo cũng còn những lỗi cho phép mã độc trong máy ảo tấn công vào máy chủ. Và cần có những công cụ cập nhật côngtenơ thường xuyên, vì có đến 40% những côngtenơ của những ứng dụng sẵn có không vá những lổ hổng đã được phát hiện trong vòng 1 năm trước [CTR15]. Những thách thức này sẽ tạo nên cuộc đua lý thú giữa việc nâng cao công nghệ máy ảo cho mục đích bảo mật và việc tấn công khai thác lỗ hổng trong công nghệ máy ảo.
Nguyễn Duy Lân (Hoa Kỳ)
Các bài liên quan
[CPR] Crowdstrike Putter Panda Report.
[CTR14] Crowdstrike Global Threat Report 2014.
[CTR15] Crowdstrike Global Threat Report 2015.
[IM] http://www.infosecurity-magazine.com/opinions/a-new-approach-to-tackle-apts/
[MAR] Mandiant APT1 Report.
[MTR] Mandiant Threat Report 2014.
[SBD] Bruce Dang, Peter Ferrie. "27C3: Adventures in analyzing Stuxnet". Chaos Computer Club e.V. Retrieved 13 May 2011
[SFE] http://people.carleton.edu/~grossea/spread.html. How Stuxnet infects and propagates.
[TD] https://vnhacker.blogspot.com/2016/07/co-mot-bien-ong-tren-khong-gian-mang.html
[TDQ] http://trandaiquang.org/tam-nhin-ve-khong-gian-mang-cua-bo-truong-tran-dai-quang.html
[TIC] http://searchsecurity.techtarget.com/feature/Comparing-the-top-threat-intelligence-services
[TIS] http://searchsecurity.techtarget.com/ThreatIntelligence/resources/Threat-Intelligence
