Mục lục bài viết

    Có bao giờ bạn thắc mắc các thiết bị hoặc phần mềm rà quét đã tìm ra mối đe dọa và lỗ hổng bảo mật như thế nào chưa? Nếu chưa nắm được vấn đề này, hãy cùng tìm hiểu qua bài viết dưới đây của SecurityBox. 

    Hầu hết các thiết bị hoặc phần mềm đều rà quét theo hai phương pháp: rà quét dựa trên chữ ký và rà quét dựa trên hành vi. Chi tiết về hai phương pháp này được giải thích cụ thể như sau.

    1. Rà quét dựa trên chữ ký (Signature-Based Scanning)

    Trong trường hợp rà quét dựa trên chữ ký, máy quét sẽ giám sát các gói tin và so sánh chúng với cơ sở dữ liệu chữ ký hoặc với các thuộc tính từ những mối đe dọa đã biết. Ví dụ: trong cơ sở dữ liệu chữ ký, một chuỗi byte A được coi là độc hại. Nếu phần mềm diệt virus tìm thấy chuỗi byte A đó trong một tệp tin; điều này đồng nghĩa với việc tệp tin đó được coi là độc hại.

    Ưu điểm khi rà quét dựa trên chữ ký

    • Quá trình rà quét thường diễn ra khá nhanh vì máy quét không cần thực hiện thao tác nào ngoại trừ việc so sánh chuỗi byte từ cơ sở dữ liệu với chuỗi byte của mục tiêu rà quét.
    • Việc rà quét dựa trên chữ ký gần như không tạo ra sự xâm nhập vào hệ thống. Điều này đồng nghĩa với việc chúng không gây ra tác động trực tiếp nào. 
    • Các nhà phát triển máy quét không cần viết mã tùy chỉnh. Bởi họ có thể xây dựng cơ sở dữ liệu chữ ký của riêng mình dựa trên cơ sở dữ liệu chữ ký công cộng. 

    Nhược điểm khi rà quét dựa trên chữ ký

    • Kết quả rà quét không phải lúc nào cũng chính xác hoàn toàn. Máy quét chỉ so sánh các chữ ký mà không kiểm tra xem giả định của nó có đúng hay không.
    • Hầu hết các máy quét bị giới hạn ở các chữ ký đã biết và không thể nhận ra các đột biến (ví dụ: chữ ký với một byte khác), các bất thường (ví dụ: một máy chủ với cấu hình khác) hoặc các mối đe dọa mới.
    Thiết bị rà quét lỗ hổng bảo mật

    2. Rà quét dựa trên hành vi (rà quét theo phương pháp heuristic)

    Một cách khác để quét nội dung độc hại là phân tích hành vi của mục tiêu. Điều này đồng nghĩa với việc máy quét cần hiểu cách thức hoạt động của mục tiêu chứ không chỉ đơn thuần so sánh với cơ sở dữ liệu chữ ký. Ví dụ: 

    • Khi máy quét virus tìm thấy một tệp tin đáng nghi; nó có thể kiểm tra xem các hành động liên quan đến tệp tin đó có độc hại hay không.
    • Khi một máy quét lỗ hổng web tìm thấy một phần tử cho phép người dùng nhập vào, nó sẽ cố gắng “đánh lừa mục tiêu” bằng cách gửi đi dữ liệu không mong muốn. Sau đó, nó phân tích phản ứng của mục tiêu để biết kết quả.

    Ưu điểm khi rà quét dựa trên hành vi

    • Về mặt lý thuyết, việc rà quét dựa trên hành vi có thể giúp doanh nghiệp tìm thấy bất kỳ mối đe dọa nào, ngay cả một mối đe dọa thông thường hoặc một lỗ hổng zero-day. Tuy nhiên, điều đó cũng phụ thuộc vào mức độ tiên tiến của phần mềm.
    • Rà quét dựa trên hành vi có độ chính xác cao hơn vì nó có kiểm tra xem các giả định của nó có đúng hay không. Trong một vài trường hợp, nó thậm chí có thể cung cấp bằng chứng.

    Nhược điểm khi rà quét dựa trên hành vi

    • Rà quét dựa trên hành vi tiêu tốn nhiều tài nguyên hơn so với rà quét dựa trên chữ ký. Máy quét dựa trên hành vi cần nhiều thời gian hơn để tìm kết quả. Vì vậy, quá trình rà quét dựa trên hành vi sẽ kéo dài hơn so với quá trình rà quét dựa trên chữ ký. 
    • Thiết lập một máy quét dựa trên hành vi yêu cầu khả năng và kỹ thuật hàng đầu. Không giống như máy quét dựa trên chữ ký; mọi cách thức tấn công mới đều phải được lập trình và mô phỏng. Thư viện máy quét dựa trên hành vi không chỉ là một danh sách các chuỗi để so sánh, nó yêu cầu phần mềm tùy chỉnh để kiểm tra. 
    Thiết bị rà quét lỗ hổng bảo mật

    3. Nên rà quét dựa trên chữ ký hay rà quét dựa trên hành vi?

    Việc lựa chọn rà quét dựa trên chữ ký hay rà quét dựa trên hành vi phụ thuộc rất nhiều vào mục đích rà quét:

    • Máy quét virus chủ yếu rà quét dựa trên chữ ký. Một số trình quét vi rút nâng cao cũng có cả tính năng rà quét dựa trên hành vi nhưng không nhiều (vì rà quét dựa trên hành vi tốn nhiều thời gian và tài nguyên hơn).
    • Máy quét mạng nội bộ chủ yếu rà quét dựa trên chữ ký. Lý do là máy quét mạng nội bộ tập trung vào việc tìm kiếm các phiên bản phần mềm lỗi thời và cấu hình sai. Những mục tiêu này có thể dễ dàng nhận ra bằng chữ ký.
    • Các máy quét lỗ hổng bảo mật web chủ yếu rà quét dựa trên hành vi. Tuy nhiên, vẫn có thể rà quét dựa theo chữ ký nếu phù hợp. 

    4. Cách SecurityBox rà quét lỗ hổng bảo mật

    Với SecurityBox, đội ngũ chuyên gia công nghệ đã tích hợp cả hai cách thức rà quét nói trên. Việc này nhằm tối ưu kết quả khi rà quét.

    • Thiết bị SecurityBox chủ yếu rà quét dựa trên hành vi. SecurityBox thực hiện các cuộc tấn công giả lập nhằm tìm ra các lỗ hổng cũng như điểm yếu đang tồn tại trên hệ thống. 
    • Vì thiết bị SecurityBox cũng kiểm tra những thứ như phiên bản phần mềm lỗi thời nên SecurityBox cũng thực hiện các thao tác rà quét dựa trên chữ ký. Điều này nhằm tối ưu thời gian rà quét mục tiêu. 

    Với thiết bị SecurityBox, doanh nghiệp sẽ phát hiện ra sớm các mối đe dọa và lỗ hổng bảo mật đang tồn tại trên hệ thống. Từ đó, doanh nghiệp có thể nâng cao năng lực an ninh của mình. Nếu muốn hiểu thêm về thiết bị SecurityBox; doanh nghiệp hãy để lại thông tin tại form bên dưới để nhận gói dùng thử sản phẩm miễn phí. 

    Bài viết đề xuất
    Bài viết sẽ cung cấp tài liệu về hệ sinh thái các sản phẩm an ninh mạng do SecurityBox tự biên soạn. 1. Vì sao doanh nghiệp nên biết về các sản phẩm an...
    Tài liệu | 05/03/2021
    Bài viết sẽ cung cấp tài liệu về các kỹ thuật tấn công mạng do SecurityBox tự biên soạn. 1. Vì sao doanh nghiệp cần tìm hiểu về các kỹ thuật tấn công...
    Tài liệu | 03/03/2021
    Bài viết sẽ cung cấp tài liệu về đánh giá an ninh mạng do SecurityBox tự biên soạn. 1. Tại sao doanh nghiệp cần đánh giá an ninh mạng? Trong kỷ nguyên công...
    Tài liệu | 02/03/2021