Daddy,
what will you do in the new security wars?
Phụ
thuộc vào việc chúng ta đang nói về kẻ thù nào, con
trai ạ.
Depends
which enemy are we talking about, son
By
Tom Brewster, 24 Jun 2014
Bài
được đưa lên Internet ngày: 24/06/2014
Một
nhân vật cao cấp ở hãng khổng lồ chống virus McAfee
từng nói cho nhà báo này rằng nền công nghiệp an ninh
từng là một mớ lộn xộn. Từng có quá nhiều nhà bán
hàng cố làm quá nhiều điều. Nhưng những gì nền công
nghiệp này phản chiếu là bức tranh về các mối đe dọa
mà nó đang cố làm dịu xuống.
Hãy
chỉ nhìn vào những gì đã xảy ra trong 6 tháng vừa qua.
2 trong số những lỗ hổng đáng kể nhất trong lịch sử
của web đã xảy ra, với các cuộc tấn công vào hãng bán
lẻ Mỹ Terget và người khổng lồ bán đấu giá eBay.
Cũng đã có vấn đề nhỏ đối với chỗ bị tổn thương
Heartbleed trong OpenSSL, một trong những lỗi an ninh web cao
cấp nhất cho tới nay. Từ quan điểm an ninh, những điều
đó sẽ không để cho lên và dường như không có đoạn
kết trước mắt.
Một
vấn đề phổ biến, làm chán nản đã nổi lên từ từng
trong số các vấn đề đó là việc nhiều người chỉ
đang không thực hiện quyền cơ bản cũ kỹ. Toàn bộ
lĩnh vực an ninh, từ nhà bán hàng tới những người tiêu
dùng, cần phải là nhạy cảm trong phản ứng của mình,
Javvad Malik, nhà phân tích từ 451 Research, nói.
“Nền
công nghiệp này lộn xộn trong chốt lát bây giờ và điều
quan trọng nền công nghiệp đó đáp trả theo một cách
thức võ đoán và thống nhất để cố thử và chiến
thắng lại sự tin tưởng của các doanh nghiệp đang đầu
tư vào an ninh không phải là một lý do mất mát hoàn
toàn. Chúng ta vẫn còn chưa tốt trong việc quản lý các
cơ sở, trong việc vá, quản lý nhận diện quyền ưu
tiên, các công cụ mà làm quá tải người sử dụng với
những cảnh báo bên trong các vấn đề quan trọng nào có
thể bị bỏ qua”, Malik nói.
Trong
khi các đội CNTT thường được nói họ cần một tiếp
cận mới cho việc bảo vệ doanh nghiệp, thì họ phải
làm cho những vấn đề cũ được giải quyết trước đã.
Tiếp
cận mới về bảo vệ chống phần mềm độc hại
Vượt
ra khỏi các vấn đề sơ đẳng ban đầu, dù, việc vượt
qua được các vấn đề nhiều lần lặp lại đó một
cách có hiệu quả sẽ đòi hỏi sự bảo vệ truyền
thống phải thay đổi và các bảo vệ mới sẽ nổi lên
từ các phòng thí nghiệm nghiên cứu và tìm thấy con
đường của nó trong các doanh nghiệp. “Khi Internet động
chạm tới ngày một nhiều hơn các lĩnh vực trong cuộc
sống của chúng ta - các thiết bị nhỏ, tiền tệ như
Bitcoin, đám mây và ảo hóa - đơn giản việc phản ứng
đối với các mối đe dọa không còn là cách thức có
hiệu quả nhất nữa để bảo vệ cả các cá nhân và
các tổ chức”, David Emm, một nhà nghiên cứu cao cấp về
an ninh ở Kaspersky Lab, nói.
Tuy
nhiên, điều đó không có nghĩa là giết đi việc chống
virus, thậm chí nếu các tiếp cận dựa vào chữ ký theo
truyền thống đã hỏng. Các hệ thống chống virus hiện
đại, những hệ thống tốt nhất, ít nhất làm được
một số phân tích uy tín và tự tìm tòi, hơn là chỉ cố
dò tìm ra các phần mềm độc hại đã được thấy rồi
đang bùng phát.
Emm
nói các công nghệ dò tìm phần mềm độc hại nên xem
xét vượt ra khỏi tình trạng tĩnh và đánh giá các đối
tượng hoặc các ứng dụng theo ngữ cảnh của một môi
trường cụ thể, yêu cầu những gì đang được làm ở
đó, những gì đang kết nối tới và những gì nó từng
được thiết kế để so sánh với hành vi được kỳ
vọng của nó.
“Điều
này cho phép các chuyên gia an ninh nhận diện bất kỳ điều
gì đang được sử dụng cho những mục đích bất chính
trước khi một cuộc tấn công được triển khai”, ông
nói.
“Đã
từng có những người từng nói rằng bảo vệ bằng
chống virus chết rồi nhưng những gì điều này thực sự
có ý nghĩa là chúng ta phải đi vượt ra khỏi sự bảo
vệ dựa vào chữ ký theo truyền thống và sử dụng các
công nghệ tinh vi phức tạp hơn, bao gồm cả sự tự tìm
tòi, sandboxing, dò tìm hành vi chủ động tích cực, tình
báo các mối đe dọa từ đám mây, kiểm soát ứng dụng,
ngăn chặn khai thác tự động, đảm bảo an ninh cho ngân
hàng và hơn thế nữa”.
Vượt
ra khỏi khuôn viên
Ngoài
các vấn đề phần mềm độc hại, sự gia tăng di động
đã mang tới sự triệt bỏ khuôn viên CNTT. Điều đó
giải thích vì sao tường lửa cũng bị đánh trong những
năm gần đây. Và vâng nó vẫn sống sót như một công
nghệ, bất chấp theo nghĩa truyền thống hoặc “thế hệ
tiếp sau”. Thay vì đánh sập các tường lửa, sự ứng
cứu trước cái chết của khuôn viên sẽ được dựa vào
một tiếp cận phân lớp, không phải là một chiến lược
bị bỏ đi hoặc thay thế, giáo sư Alan Woodward của phòng
điện toán ở Đại học Surrey, nói.
“Tôi
nghĩ chúng ta có thể lấy các bài học từ cách mà an
ninh vật lý từng được dựng lên trong lịch sử: thứ
gì đó đơn giản như pháo đài từng không có một bức
tường. Đã có các lớp tường và cuối cùng một cái
đồn bốt trong đó các món đồ quí giá nhất đã được
lưu giữ”, Woodward nói.
“Phòng
thủ chiều sâu từng được coi như là tiếp cận mặc
định. Với sự nổi lên của các mối đe dọa từ những
người bên trong và việc tấn công phishing tăng vọt thì
những người với sự truy cập được ưu tiên, khuôn
viên đang trở thành rào cản tuyệt đối ít hơn đối
với những kẻ thâm nhập trái phép nhưng vẫn còn gây ra
cho một số cuộc tấn công phải chống lại nên có thể
coi hơi ngớ ngẩn đơn giản cho phép nó đổ vỡ”.
Emm
nói một tiếp cận như vậy cần phải tập trung nhiều
hơn vào cá nhân, thay vì cố gắng các biện pháp an ninh
bao phủ. “Mọi người vẫn còn làm việc trong văn phòng,
kết nối tới các máy chủ tập đoàn sao cho mạng vẫn
cần phải được bảo vệ. Tuy nhiên, không gian làm việc
đã trở thành đa dạng hơn mà trong đó nhiều người sẽ
làm việc từ nhà trên một máy tính xách tay hoặc khi di
chuyển với điện thoại thông minh hoặc máy tính bảng
của họ”, Emm bổ sung.
“Điều
này dẫn tới một đống các vấn đề an ninh bổ sung
thêm vào - từ những người đang đăng nhập vào các mạng
Wifi có thể tiềm tàng được bị bọn tội phạm theo
dõi, tới việc mất thiết bị của họ trong giao thông
công cộng - và các thiết bị đó không được bảo vệ
theo các chính sách truyền thống, các tường lửa, bảo
vệ đầu cuối và lọc thư đang tồn tại trong các văn
phòng”.
“Vì
thế chúng tôi cần nhìn vào một giải pháp an ninh mà bảo
vệ được cá nhân, tính tới các thiết bị và chính
sách và các thủ tục mới cho các môi trường không được
tin cậy - nghĩa là an ninh 'đi theo tôi'”.
Tất
cả điều này trỏ tới một nhu cầu cho các hệ thống
tri thức tốt hơn, các hệ thống có thể cảnh báo các
tổ chức tới sự dị thường trong mạng do các mối đe
dọa ngày số 0 và sự không nhất quản trong truy cập gây
ra, trong khi cho phép phân tích lớn hơn hành vi của kẻ
tấn công. Hiệu quả nhất có khả năng sẽ được dựa
vào công nghệ Dữ liệu Lớn (Big Data), các công nghệ có
thể vẽ cùng nhau các dạng dữ liệu để xác định bản
chất tự nhiên của mối đe dọa đó. Sử dụng Hadoop và
các dự án tạo kho dữ liệu lớn có khả năng sẽ là
lĩnh vực của các doanh nghiệp lớn.
A
senior figure at the anti-virus giant McAfee once told this writer
the security industry was a mess. There were too many vendors trying
to do too many things. But what the industry mirrors is the threat
landscape it is trying to calm down.
Just
look at what’s happened in the past six months. Two of the most
significant breaches in the history of the web have occurred, with
the attacks on US retailing firm Target and auction giant eBay. There
was also the small matter of the Heartbleed vulnerability in OpenSSL,
one of the most high-profile web security flaws to date. From a
security perspective, things aren’t letting up and there appears to
be no end in sight.
One
common, depressing problem that’s emerged from each of these issues
is that many people just aren’t doing the old basics right. The
whole security sector, from vendors to customers, needs to be
sensible in its response, says Javvad Malik, analyst from 451
Research.
“The
industry’s been messy for a while now and it’s important the
industry responds in a pragmatic and unified manner to try and win
back confidence of businesses that investing in security isn’t a
completely lost cause. We’re still bad at managing the basics,
patching, privilege identity management, tools that overload users
with alerts within which important issues can be missed,” Malik
says.
Whilst
IT teams are often told they need a new approach to protecting the
business, they have to get the old problems nailed first.
A
new approach to malware protection
Beyond
the rudimentary matters, though, coping with these manifold problems
effectively will require traditional protections to change and new
ones to emerge from research labs and find their way into businesses.
“As the internet touches more and more areas of our lives – smart
devices, currencies such as Bitcoin, cloud and virtualisation –
simply reacting to threats is no longer the most effective way to
protect both individuals and organisations,” says David Emm, senior
security researcher at Kaspersky Lab.
That
does not mean killing anti-virus, however, even if the traditional
signature-based approaches have failed. Modern AV systems, the best
ones, at least do some heuristic and reputation analysis, rather than
just try to detect malicious software that’s already been seen in
the wild.
Emm
says malware detection technologies should look beyond the static and
evaluate objects or applications within the context of a specific
environment, questioning what it’s doing there, what it’s
connecting to and what it has been designed to do compared with its
expected behaviour.
“This
enables security experts to identify anything that is being used for
nefarious purposes before an attack has been carried out,” he adds.
“There
have been those who have said that ‘AV’ protection is dead but
what this really means is that we have to go beyond traditional
signature-based protection and use more sophisticated technologies
including heuristics, sandboxing, proactive behaviour detection,
cloud-enabled threat intelligence, application control, automatic
exploit prevention, secure banking and more.”
Out
of the perimeter
Outside
of malware problems, the rise of mobile has brought about a
dismantling of the IT perimeter. That’s why the firewall has also
taken a battering in recent years. And yet it still survives as a
technology, whether in the traditional or “next-generation”
sense. Rather than taking down the firewall, the response to the
death of the perimeter should be based on a layered approach, not a
rip and replace strategy, says Professor Alan Woodward, of the
computing department at the University of Surrey.
“I
think we can take lessons from how physical security has been mounted
historically: something as simple as a castle didn’t have just one
wall. There were layers of walls and eventually a redoubt within
which the most precious items were kept,” Woodward says.
“Defence
in depth has to be seen as the default approach. With the rise of
insider threats and spear phishing attacking those with privileged
access, the perimeter is becoming less of an absolute barrier to
intruders but is still causing some attacks to bounce off so it would
seem a little silly to simply let it crumble.”
Emm
says such an approach needs to focus more on the individual, rather
than attempt blanket security measures. “People do still work in
the office, connecting to corporate servers so that network still
needs to be protected. However, the workspace has become more diverse
in that many people will work from home on a laptop or on the move
with their smartphone or tablet,” Emm adds.
“This
leads to a host of additional security issues - from people logging
on to insecure Wi-Fi networks that could potentially be being watched
by cybercriminals, to losing their device on public transport - and
it is these devices that are not protected by traditional policies,
firewalls, endpoint protection and mail filtering that exist in
offices.
“We
therefore need to look at a security solution that protects the
individual, taking into account new devices and policies and
procedures for untrusted environments – i.e. ‘follow-me’
security.”
This
all points to a need for better intelligence systems, ones that can
alert organisations to anomalies on the network caused by zero-day
threats and access inconsistencies, whilst allowing for greater
analysis of attacker behaviour. The most effective are likely to be
based on Big Data technology, ones that can draw together different
data types to determine the nature of the threat. Use of Hadoop and
big data warehousing projects will likely be the domain of large
enterprises. Security Information and Event Management (SIEM)
technologies will likely be suitable for smaller enterprises, the
most attractive being those that allow for actionable intelligence
and pull in as many different sources as possible.
Proper
intelligence solutions aren’t just thought to be useful in
understanding the adversary, they’re also likely to save businesses
money. Research from the Ponemon Institute last year, looking at 234
breached organisations, showed those who invested in security
intelligence systems gained average cost savings of nearly $2m in
comparison to those who didn’t.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.