Ở phần 1 của chủ đề hướng dẫn phòng chống sự cố mã độc và xử lý sự cố cho PC và laptop chuyên gia an ninh mạng Bùi Đình Cường đã giới thiệu đến bạn đọc 5 cách phòng chống mã độc, ở phần cuối của chủ đề này sẽ là những hướng dẫn để xử lý sự cố khi PC và laptop bị nhiễm mã độc.
Xử lý sự cố liên quan đến mã độc
Một tiến tình xử lý sự cố mã độc bao gồm 4 pha: chuẩn bị, phát hiện và phân tích, ngăn chặn/loại trừ/khôi phục, và hoạt động sau sự cố.
Pha đầu tiên bao gồm các hoạt động chuẩn bị sẵn sàng cho ứng cứu sự cố mã độc như phát triển tập các thủ tục xử lý và chương trình huấn luyện ứng cứu sự cố mã độc cho đội ngũ chuyên trách. Pha chuẩn bị cũng bao gồm việc áp dụng các chính sách, hoạt động nâng cao nhận thức, giảm thiểu nguy cơ và ứng dụng các công cụ ngăn chặn mã độc.
Ngay cả khi áp dụng đủ các biện pháp kể trên thì vẫn còn nhiều khả năng tồn tại rủi ro và không biện pháp nào là không thể bị qua mặt. Vì vậy mà việc phát hiện, xác định mã độc là cần thiết để cảnh báo tổ chức bất cứ khi nào sự cố xảy ra. Phát hiện, cảnh báo sớm là khâu đặc biệt quan trọng, phát hiện mã độc càng sớm, xử lý kịp thời thì ảnh hưởng thiệt hại do mã độc gây ra càng được giảm thiểu về cả quy mô và mức độ nghiêm trọng.
Tùy vào từng sự cố, tổ chức cần áp dụng những hành động thích hợp dựa trên mức độ nghiêm trọng để giảm thiểu thiệt hại, gỡ bỏ mã độc và khôi phục lại hệ thống. Tổ chức có thể cần thực hiện lại bước phát hiện và phân tích trong khi ngăn chặn/loại trừ và khôi phục – ví dụ, ngay cả khi pha phát hiện/phân tích ban đầu được thực hiện xong thì những phát hiện bổ sung trong quá trình ngăn chặn/loại trừ/khôi phục cũng khiến tổ chức phải thực hiện lại công đoạn rà quét/phát hiện và phân tích.
Sau khi sự cố được xử lý, tổ chức cần lập báo cáo chi tiết về nguyên nhân của sự cố, thiệt hại mà sự cố gây ra và các biện pháp cần thực hiện để ngăn chặn các cuộc tấn công mã độc trong tương lai.
XEM THÊM: Tổng kết sự kiện an ninh nửa đầu năm 2017
1. Chuẩn bị
Tổ chức cần thực hiện các biện pháp sẵn sàng ứng phó với sự cố mã độc như đã đề cập ở phần 2.1.1 và 2.1.2, bao gồm xây dựng và duy trì các kỹ năng liên quan đến mã độc trong đội ứng phó sự cố, tạo điều kiện truyền thông và kỹ năng phối hợp trong toàn bộ tổ chức để sẵn sàng cho bất cứ khi nào sự cố xảy ra và trang bị các công cụ và tài nguyên phục vụ việc phòng tránh sự cố mã độc.
1.1. Xây dựng và duy trì các kỹ năng liên quan
Mọi nhân viên xử lý sự cố đều phải có sự hiểu biết vững chắc về cơ chế lây nhiễm của một số loại mã độc phổ biến. Ngoài ra, các nhân viên xử lý sự cố mã độc phải kiểm soát được các công cụ và cấu hình tương ứng đang được triển khai tại tổ chức, họ cũng cần luôn được cập nhật các công nghệ và công nghệ mã độc mới. Những nhân viên trực tiếp phân tích mã độc cần có kỹ năng thuần thục hơn và biết sử dụng nhiều công cụ phân tích mã độc hơn so với các nhân viên xử lý sự cố khác.
1.2. Chuẩn bị tốt cho truyền thông và kỹ năng phối hợp trong tổ chức
Một trong những vấn đề phổ biến trong xử lý sự cố mã độc là tình trạng truyền thông và phối hợp xử lý kém. Bất kì ai liên quan tới sự cố mã độc, bao gồm người dùng bình thường, đều có thể vô tình làm cho sự cố nghiêm trọng hơn vì thiếu kiến thức và kỹ năng xử lý sự cố.
Để giải quyết vấn đề này, tổ chức cần có một nhóm nhân viên chuyên trách ứng phó sự cố, mỗi người quản lý một bộ phận mạng nhất định. Việc phối hợp tốt trong xử lý sự cố giúp thu thập các thông tin thích hợp, đưa ra quyết định tốt nhất cho tổ chức và thông báo các thông tin và quyết định ứng phó này tới các bộ phận khác của tổ chức trong thời gian ngắn nhất. Trong một sự cố mã độc, các bộ phận liên quan của tổ chức bao gồm người dùng cuối, nhóm người này cần được hướng dẫn cụ thể cách phòng tránh lây nhiễm mã độc, cách nhận biết dấu hiệu của một cuộc tấn công mã độc và những gì cần thực hiện khi máy tính của họ đã bị nhiễm mã độc.
2. Phát hiện và phân tích
Các tổ chức cần nỗ lực xác định và đánh giá sự cố mã độc càng sớm càng tốt để giảm thiểu số máy tính bị lây nhiễm và mức độ thiệt hại mà mã độc gây ra. Vì mã độc có thể ở nhiều dạng và được phát tán qua nhiều cách nên có nhiều dấu hiệu sự cố và nhiều vị trí mà tổ chức có thể phát hiện và ghi nhận các dấu hiệu đó. Sẽ cần những phân tích sâu, yêu cầu kiến thức kỹ thuật và kinh nghiệm vững vàng để khẳng định một sự cố gây ra bởi mã độc, đặc biệt đối với những mã độc mới, chưa từng được biết đến. Sau khi xác định và đánh giá, các chuyên viên xử lý sự cố mã độc cần xác định loại, phạm vi và mức độ nghiêm trọng của sự cố nhanh nhất có thể để đưa ra phương án khắc phục thích hợp nhất.
2.1. Xác định các đặc điểm nhận dạng của sự cố mã độc
Trong một số trường hợp, chẳng hạn mã độc đã lây nhiễm rộng rãi trong toàn bộ tổ chức, việc đánh giá thiệt hại có thể không cần thiết vì thiệt hại và hành vi của mã độc đã rõ ràng. Các đặc điểm nhận dạng giúp xác định sự cố gây ra bởi mã độc và loại mã độc cụ thể nào gây ra sự cố đó (VD: worm hay Trojan horse). Nếu nguyên nhân của sự cố chưa thực sự được làm rõ thì tổ chức cũng nên liệt kê mã độc như là một trong các các yếu tố có thể là nguyên nhân sự cố và tiếp tục tiến trình thu thập các dấu hiệu. Việc chờ đợi bằng chứng chỉ để kết luận sự cố được gây ra bởi mã độc mà không có động thái ngăn chặn, khắc phục sự cố có thể sẽ khiến tình hình càng trầm trọng hơn.
Là một phần trong tiến trình phân tích và đánh giá, chuyên viên xử lý sự cố cần xác định các điểm đặc trưng của mã độc để đề xuất phương án ngăn chặn, gỡ bỏ và khôi phục hệ thống. Chuyên viên xử lý sự cố nên phối hợp với quản trị viên hệ thống để tổng hợp các nguồn dữ liệu chứa thông tin hữu ích như phần mềm antivirus, IDS, SIEM,…
Khi đã thu thập đủ thông tin để xác định mã độc, chuyên viên xử lý sự cố có thể tra cứu trong cơ sở dữ liệu của các hãng phần mềm antivirus để xác định thêm thông tin về mã độc. Nếu mẫu mã độc đã được biết đến từ trước, những thông tin sau có thể được khai thác:
- Phân loại mã độc (VD: virus, worm, Trojan horse,…)
- Dịch vụ, cổng, giao thức,… mà mã độc khai thác
- Các lỗ hổng bị khai thác (VD: lỗ hổng phần mềm, lỗi cấu hình, tấn công kỹ thuật xã hội,…)
- Tên tập tin độc hại, kích cỡ, nội dung và các siêu dữ liệu khác của chúng (VD: tiêu đề email, đường dẫn web,…)
- Phiên bản hệ điều hành, phiên bản ứng dụng, các thiết bị,.. có thể bị ảnh hưởng
- Cách thức lây nhiễm của mã độc và phương án ngăn chặn
- Cách gỡ bỏ mã độc khỏi máy tính đã bị lây nhiễm
Những mẫu mã độc mới xuất hiện có thể chưa có trong các cơ sở dữ liệu trên trong vài giờ hoặc vài ngày kể từ khi phát tán. Do đó, chuyên viên xử lý sự cố cần tổng hợp từ nhiều nguồn thông tin khác nhau. Một cách hay để có được nhiều thông tin hữu ích về một mẫu mã độc là sử dụng một mailing list tập hợp các chuyên gia nghiên cứu mã độc hoặc chia sẻ thông tin đặc trưng về mã độc với các tổ chức tương tự vì có thể các tổ chức này cũng đã bị lây nhiễm bởi mẫu mã độc như vậy. Tuy nhiên thông tin từ các nguồn tin này thường không thống nhất và khó đảm bảo độ chính xác tuyệt đối, chuyên viên xử lý sự cố mã độc cần đánh giá độ chính xác của thông tin trên. Phương pháp thu thập thông tin nhận dạng mã độc cuối cùng là tự phân tích mẫu. Phương pháp này đặc biệt quan trọng với các mẫu mã độc có độ tùy chỉnh cao; đôi khi không còn cách nào khác để thu thập thông tin chi tiết về mã độc ngoài việc tự tay phân tích chúng.
2.2. Xác định các máy đã bị lây nhiễm
Chỉ khi xác định được cụ thể các máy bị lây nhiễm mã độc, chuyên viên xử lý sự cố mới có thể áp dụng biện pháp thích hợp để ngăn chặn, gỡ bỏ mã độc và khôi phục hệ thống. Xác định máy tính bị lây nhiễm thường là công việc phức tạp. Những hành động tự nhiên của người dùng như tắt máy, ngắt kết nối mạng hoặc di chuyển từ nơi này sang nơi khác khiến việc xác định máy đang bị lây nhiễm trở nên khó khăn. Một số máy tính có thể chạy nhiều hệ điều hành khác nhau hoặc chạy thêm máy ảo; ta không thể tìm ra máy bị lây nhiễm nếu nó đang chạy trên hệ điều hành khác hoặc không chạy máy ảo nhiễm mã độc.
Xác định các máy tính bị lây nhiễm theo phương pháp thủ công như dựa vào báo cáo của người dùng hay nhân viên kỹ thuật kiểm tra từng máy một là bất khả thi trong đa số trường hợp. Các tổ chức nên đề ra nhiều chiến thuật phát hiện máy bị nhiễm mã độc, xác định loại thông tin nào và từ nguồn tin nào cần thiết để tìm ra máy tính bị lây nhiễm. Ví dụ, địa chỉ IP của một máy tính sẽ là cần thiết để remote tới máy tính đó, ánh xạ IP-người dùng sẽ cần thiết để liên hệ người dùng nhằm lấy thông tin vị trí vật lý của máy tính.
Khả năng xác định vị trí vật lý của một máy tính phụ thuộc vào nhiều yếu tố. Trong một môi trường được quản lý tốt, việc định vị máy tính có thể dễ dàng vì tên máy tính thường được gán với định danh người dùng hoặc tên phòng ban, hoặc mô tả đặc điểm ngoại hình của máy trong bảng kiểm kê tài sản của tổ chức cũng có thể hữu ích trong quá trình định vị máy tính. Trong môi trường quản lý thiếu chặt chẽ hơn khi người dùng toàn quyền quản lý máy tính của mình, việc xác định vị trí máy sẽ khó khăn hơn. Trong trường hợp quản trị viên phát hiện máy tính có địa chỉ 10.3.1.70 đã bị lây nhiễm mã độc nhưng anh ta không thể biết đâu là máy 10.3.1.70 và ai đang sử dụng nó. Quản trị viên khi đó phải truy vết máy 10.3.1.70 qua các thiết bị trung gian trong mạng như router hoặc switch càng nhiều thiết bị mạng liên quan thì quản trị viên càng mất nhiều thời gian để xác định chính xác đâu là máy tính cần tìm.
2.2.1. Phát hiện dựa trên điều tra
Điều tra là cách xác định máy đã bị lây nhiễm thông qua các chứng cứ. Chứng cứ có thể vừa mới xảy ra (trong vài phút) hoặc lâu hơn (vài giờ hoặc ngày); chứng cứ cũ hơn cung cấp thông tin ít chính xác hơn. Những chứng cứ hữu ích nhất được tìm thấy trong các phần mềm antivirus, công cụ lọc nội dung, IPS hoặc SIEM. Log của các ứng dụng bảo mật kể trên có thể chứa bản ghi chi tiết về hành vi khả nghi và chỉ ra thời điểm xảy ra thỏa hiệp hoặc cuộc tấn công bị ngăn chặn. Khi thông tin log từ các ứng dụng bảo mật trên là không đủ, chuyên viên xử lý sự cố cần tìm kiếm thêm thông tin từ các nguồn sau:
- DNS Server Logs: Có thể chứa bản ghi kết nối giữa các máy tính bị lây nhiễm mã độc với các trang độc hại bên ngoài qua địa chỉ IP. Một số tổ chức triển khai hệ thống thu thập bản ghi DNS thụ động theo dõi mọi phân giải DNS được thực hiện trong mạng, hệ thống dạng này thường cung cấp nhiều thông tin hữu ích hơn so với DNS server log trong việc xác định các kết nối độc hại vì mã độc có thể sử dụng một dịch vụ DNS khác dịch vụ DNS mà tổ chức triển khai. Nhà phân tích nên cẩn thận khi chỉ chặn host dựa trên địa chỉ IP được phân giải vì một số cuộc tấn công trong thời gian gần đây dựa trên kỹ thuật Fast flux DNS. Quy luật đằng sau Fast flux là khi ai đó host một tên miền sử dụng nhiều địa chỉ IP khác nhau bằng cách chuyển từ IP này sang IP khác sau một thời gian ngắn. Do đó tên của domain trong kỹ thuật này sẽ đi qua một dòng chảy các IP rất nhanh.
- Log từ các ứng dụng khác: Các ứng dụng thường bị lợi dụng như phương tiện trung gian phát tán mã độc, nhất là các ứng dụng email hoặc HTTP. Các ứng dụng này cũng có thể ghi lại các thông tin trong log giúp chỉ ra máy tính nào đã bị lây nhiễm. Thông tin liên quan đến một email có thể được tìm thấy tại: máy tính của người gửi, các mail server tham gia chuyển tiếp email, máy tính của người nhận, phần mềm antivirus và các công cụ lọc nội dung. Những máy tính sử dụng trình duyệt web thường chứa nhiều thông tin về các hoạt động độc hại bao gồm lịch sử duyệt web và web cache.
- Các công cụ điều tra gói tin: Các công cụ bắt và ghi lại gói tin có thể chứa thông tin đặc biệt chi tiết về hành vi của mã độc. Tuy nhiên, các công cụ này thường ghi lại một lượng thông tin khổng lồ, tiêu tốn thời gian để trích xuất thông tin hữu ích cho người phân tích.
- Log từ các thiết bị mạng: Firewall, router và các thiết bị mạng có chức năng ghi lại các kết nối sẽ hữu ích khi xác định các hoạt động kết nối mạng của mã độc (cổng và các giao thức sử dụng).
Sử dụng dữ liệu điều tra để xác định máy tính bị lây nhiễm có thể là phương pháp tối ưu vì các dữ liệu này thực sự đã được thu thập – thông tin hữu ích chỉ cần trích xuất từ tập dữ liệu có sẵn. Một điểm bất lợi là việc trích xuất thông tin trong tập dữ liệu thường rất khó khăn và mất nhiều thời gian và các sự kiện thường nhanh chóng bị lỗi thời.
2.2.2. Phát hiện tức thời
Phương pháp phát hiện tức thời được áp dụng để xác định máy tính nào đang bị lây nhiễm. Ngay sau khi xác định một lây nhiễm, một số hành động cần được áp dụng như ngăn chặn và gỡ bỏ thông qua việc sử dụng các công cụ ngăn chặn mã độc, áp dụng các bản vá lỗ hổng phần mềm, cập nhật phần mềm antivirus hoặc cách ly các máy tính vừa phát hiện bị lây nhiễm khỏi mạng. Phát hiện tức thời có thể được thực hiện qua các phương pháp:
- Bảo mật tự động hóa: Các công nghệ bảo mật tự động hóa được sử dụng để giám sát liên tục, lúc này có thể được dùng để kiểm tra trạng thái từng máy tính nhằm phát hiện máy nào đang bị lây nhiễm. Các đối tượng cần kiểm tra có thể là một cấu hình cụ thể hoặc một tập tin hệ thống với kích thước cụ thể.
- Chữ ký tùy chỉnh trên Network-based IPS/IDS: Một số loại cảm biến IPS/IDS cho phép viết các chữ ký (signature) tùy chỉnh chuyên để phát hiện việc lây nhiễm mã độc. Các chữ ký tùy chỉnh này là nguồn thông tin chính xác giúp quản trị viên tránh được các cảnh báo mã độc hàng loạt nhưng thiếu chính xác từ IPS/IDS.
- Các công cụ bắt gói tin và phân tích giao thức: Cấu hình các công cụ bắt gói tin và phân tích giao thức để tìm kiếm những lưu lượng mạng khớp với các đặc điểm cụ thể của một mã độc có thể là phương pháp hiệu quả để xác định máy tính bị lây nhiễm.
Phương pháp phát hiện tức thời cho kết quả có độ chính xác cao nhưng đòi hỏi chuyên viên xử lý sự cố phải thực hiện lặp lại nhiều lần vì trạng thái lây nhiễm có thể thay đổi liên tục và dự liệu thu thập được có thể nhanh chóng lỗi thời.
2.2.3. Phát hiện thủ công
Phát hiện thủ công là phương pháp tốn nhiều nhân lực nhất, chỉ nên áp dụng khi các phương pháp tự động là không khả thi, chẳng hạn như khi hệ thống mạng bị quá tải hoàn toàn bởi các lưu lượng sử dụng địa chỉ giả mạo gây ra bởi mã độc. Khi người dùng có toàn quyền điều khiển máy tính của họ, việc kiểm soát từ quản trị viên là không bài bản và việc phát hiện tự động bằng các công cụ giám sát là thiếu chính xác hoặc không thể thực hiện được Trong trường hợp này, chuyên viên xử lý sự cố bắt buộc phải phát hiện máy tính bị lây nhiễm một cách thủ công.
Chuyên viên xử lý sự cố có thể hỏi người dùng về sự lây nhiễm bằng cách cung cấp cho họ dấu hiệu của mã độc và nhờ họ chạy các công cụ rà quét hoặc cập nhật bản vá lỗ hổng phần mềm. Các công cụ và bản vá này nên được cung cấp qua các thiết bị media như USB, CD,… Chuyên viên xử lý sự cố mã độc có thể yêu cầu hỗ trợ từ các nhân viên khác, nhất là nhân viên IT-helpdesk. Những nhân viên tham gia hỗ trợ nên được cung cấp đủ tài liệu và được hướng dẫn cụ thể về việc phát hiện máy tính bị lây nhiễm.
2.2.4. Một số lưu ý
Mặc dù phát hiện tức thời thường cho kết quả có độ chính xác cao, đây có thể không phải là phương pháp nhanh nhất để xác định máy tính bị lây nhiễm. Phương pháp này yêu cầu thực hiện rà quét tất cả các thiết bị trong tổ chức và có những thiết bị có thể đang ngắt kết nối hoặc tắt nguồn nên chuyên viên xử lý sự cố phải lặp đi lặp lại việc rà quét. Nếu dữ liệu điều tra được thu thập và cập nhật thường xuyên, chúng sẽ rất hữu ích và chứa nhiều thông tin quan trọng để xác định đâu là máy bị lây nhiễm nhưng thường thì các dữ liệu này ở trạng thái không toàn diện và đầy đủ thông tin. Phát hiện thủ công là gần như không thể áp dụng trên toàn bộ các thiết bị trong tổ chức nhưng lại là phương pháp bắt buộc khi các phương pháp khác tỏ ra không hiệu quả.
Trong nhiều trường hợp, cách hiệu quả nhất là sử dụng kết hợp cả 3 phương pháp phát hiện trên một cách song song hoặc tuần tự.
Các tổ chức nên cân nhắc kỹ lưỡng các hướng tiếp cận khả thi cho hệ thống của mình và lập ra các thủ tục thích hợp để ứng phó với bất kỳ sự cố mã độc nào có thể xảy ra. Các tổ chức cũng cần chỉ định cá nhân hoặc nhóm nhân viên nào sẽ phải hỗ trợ chuyên viên xử lý sự cố trong việc phát hiện các máy tính bị lây nhiễm mã độc. Ví dụ, việc phát hiện máy lây nhiễm có thể được thực hiện bởi quản trị viên an toàn thông tin, quản trị viên hệ thống, nhân viên quản trị mạng, nhân viên kiểm kê /quản lý thiết bị,… phụ thuộc vào nguồn thông tin cần thiết để xác định máy tính bị lây nhiễm. Các tổ chức cần chắc chắn rằng mỗi nhân viên liên quan đến sự cố mã độc cần nắm rõ vai trò và nhiệm vụ của mình.
2.3. Ưu tiên ứng cứu sự cố
Một số dạng cụ thể của mã độc, chẳng hạn worm, có khuynh hướng lây lan nhanh chóng và gây hậu quả nghiêm trọng trong vài giờ hoặc vài phút. Các dạng mã độc này là đối tượng phải được ưu tiên ứng cứu. Một số dạng mã độc khác, như Trojan horse, có khuynh hướng tấn công vào một máy tính đơn lẻ. Mức độ ưu tiên ứng cứu đối với các mã độc dạng này lại phụ thuộc vào giá trị của dữ liệu và tầm quan trong của các dịch vụ bị ảnh hưởng bởi mã độc.
Các tổ chức cần thiếp lập một tập tiêu chuẩn nhằm xác định mức độ ưu tiên ứng cứu thích hợp đối với từng dạng sự cố mã độc cụ thể. Các tiêu chuẩn này dựa trên:
- Bằng cách nào mà mã độc có thể xâm nhập vào môi trường của tổ chức và cơ chế phát tán mà chúng sử dụng
- Mã độc thuộc dạng nào (VD: virus, worm, Trojan horse,…)
- Dạng công cụ tấn công nào mà mã độc cài đặt lên máy bị lây nhiễm (VD: backdoor, keylogger,…)
- Những mạng nào và những thiết bị nào bị ảnh hưởng và cách mà chúng bị ảnh hưởng bởi mã độc
BÀI VIẾT: Lợi ích của SOC – công cụ bảo mật CNTT tiên tiến với giá cả phải chăng
2.4. Phân tích phần mềm độc hại
Khi xử lý sự cố có thể nghiên cứu các biểu hiện của phần mềm độc hại bằng cách phân tích nó một cách linh hoạt (phân tích trực tiếp máy chủ bị nhiễm phần mềm độc hại) hoặc về mặt quy trình (kiểm tra hệ thống máy chủ bị nhiễm mã độc để lấy bằng chứng về phần mềm độc hại. Cách tiếp cận về mặt quy trình an toàn hơn để thực hiện trên máy chủ bị nhiễm vì chúng ta có thể kiểm tra máy chủ lưu giữ thông tin mà không cho phép phần mềm độc hại tiếp tục hoạt động. Tuy nhiên, đôi khi phân tích linh hoạt lại nhanh hơn và dễ dàng hơn đồng thời có thể theo dõi được trong quá trình thực hiện.
Các phương pháp phân tích mã độc như vậy được thực hiện hiệu quả nhất trên các hệ thống kiểm tra phần mềm độc hại thay vì kiểm tra trên máy chủ của hệ thống vì nó giảm thiểu được thiệt hại có thể xảy ra do cho phép phần mềm độc hại trong quá trình thực hiện.
Một cách tiếp cận lý tưởng của hoạt động động phân tích mã độc liên quan đến 1 người nhận được một mẫu phần mềm độc hại từ máy chủ bị nhiễm và cài đặt phần mềm độc hại đó vào một hệ thống thử nghiệm bị cô lập. Hệ thống thử nghiệm thường có một hình ảnh hệ điều hành ảo, bản sao của hệ thống này có thể bị nhiễm virus, cô lập bất kỳ virus nào trong hệ điều hành ảo và chương trình bị nhiễm virus có thể được thay thế bằng một chương trình tốt hơn ngay sau khi phân tích được hoàn thành.
Hệ thống thử nghiệm phải bao gồm các công cụ cập nhật để xác định phần mềm độc hại (ví dụ: phần mềm chống virus, thâm nhập, hệ thống phát hiện virus), liệt kê các tiến trình hiện đang chạy và hiển thị các kết nối mạng cũng như nhiều tiện ích khác.
Các hệ thống kiểm tra phần mềm độc hại không chỉ hữu ích cho việc phân tích các mối đe dọa phần mềm độc hại hiện tại mà còn cảnh báo được các nguy cơ vô tình gây thiệt hại cho tổ chức, đồng thời còn cảnh báo cho nhân viên đào tạo trong xử lý sự cố phần mềm độc hại.
Có hai cách tiếp cận cơ bản: tạo ra một môi trường pháp lý khả năng khởi động được bảo vệ chống ghi phương tiện di động, hoặc sử dụng một máy trạm làm việc pháp y và kết nối nó với lưu trữ máy chủ bị nhiễm bệnh (ví dụ ổ cứng). Động cơ sử dụng một bộ công cụ đáng tin cậy thay vì dựa vào thông tin được báo cáo bởi hệ điều hành của máy chủ bị lây nhiễm là phần mềm độc hại trên máy chủ có thể đã vô hiệu hoặc thay đổi chức năng của các công cụ bảo mật trên máy chủ bị lây nhiễm, chẳng hạn như phần mềm chống vi rút, để họ không báo cáo hoạt động nguy hiểm.
3. Ngăn chặn
Ngăn chặn phần mềm độc hại có hai vấn đề chính: ngăn chặn sự lây lan của phần mềm độc hại và ngăn ngừa phần mềm độc hại làm hư thêm máy chủ. Hầu như mọi sự cố phần mềm độc hại đều đòi hỏi phải có hành động ngăn chặn. Để giải quyết một sự cố, điều quan trọng là một tổ chức quyết định phương pháp ngăn chặn nào để sử dụng đầu tiên chống các sự cố và cô lập sự cố khỏi các vùng liên quan.
Một cách dễ dàng nhất để ngăn chặn phần mềm độc hại là ngắt kết nối các máy bị ảnh hưởng từ mạng hoặc tắt máy. Đối với các sự cố phần mềm độc hại phổ biến hơn, chẳng hạn như lây lan nhanh sâu, các tổ chức nên sử dụng một chiến lược có chứa sự cố cho hầu hết các máy chủ nhanh và khả thi; điều này sẽ hạn chế số lượng máy bị nhiễm, số lượng thiệt hại được giảm xuống, và giảm khoảng thời gian để khôi phục hoàn toàn dữ liệu và dịch vụ.
Các phương pháp ngăn chặn có thể được chia thành bốn loại cơ bản: dựa vào sự tham gia của người dùng, thực hiện tự động phát hiện, tạm dừng các dịch vụ, và ngăn chặn một số loại kết nối mạng.
3.1 Ngăn chặn bằng sự tham gia của người dùng
Vào một thời điểm, sự tham gia của người sử dụng là một phần quan trọng trong nỗ lực ngăn chặn, đặc biệt là sự cố trong môi trường không quản lý có quy mô lớn. Người dùng được cung cấp hướng dẫn về cách xác định mã độc và những biện pháp cần thực hiện nếu một máy chủ đã bị nhiễm bệnh, chẳng hạn như gọi bàn trợ giúp, ngắt kết nối máy chủ lưu trữ từ mạng, hoặc tắt máy chủ. Hướng dẫn cũng có thể bao gồm phần mềm độc hại diệt trừ, chẳng hạn như cập nhật chữ ký chống virus và thực hiện quét máy chủ hoặc thu thập và chạy một tiện ích diệt trừ malware đặc biệt. Khi máy chủ ngày càng được quản lý, sự tham gia của người dùng ngăn chặn đã giảm mạnh. Tuy nhiên, khi người dùng thực hiện các hành động ngăn chặn vẫn còn hữu ích trong môi trường không quản lý và các tình huống khác, trong đó sử dụng phương pháp ngăn chặn hoàn toàn tự động.
Mặc dù sự tham gia của người sử dụng có thể rất hữu ích cho việc ngăn chặn mã độc tuy nhiên các tổ chức không nên dựa vào điều này. Phương tiện để chứa các sự cố phần mềm độc hại trừ khi hoàn toàn cần thiết. Không có vấn đề làm thế nào ngăn chặn hướng dẫn được thông báo, không chắc rằng tất cả người dùng sẽ nhận được nó và nhận ra rằng nó có thể liên quan đến họ. Ngoài ra, một số người dùng nhận được hướng dẫn ngăn chặn không thực hiện theo hướng thành công vì thiếu hiểu biết, sai sót trong việc làm theo chỉ dẫn, hoặc cụ thể cho máy chủ đặc điểm hoặc biến thể của phần mềm độc hại làm cho chỉ đường không chính xác cho máy chủ đó.
3.2 Ngăn chặn thông qua tự động phát hiện
Nhiều mối đe dọa phần mềm độc hại hiện nay là mới lạ, do đó, chống virus phần mềm và các công nghệ khác thường không nhận ra chúng là độc hại. Ngoài ra, phần mềm độc hại
thỏa hiệp OS có thể vô hiệu hóa các điều khiển bảo mật như phần mềm chống virus, đặc biệt là không quản lý môi trường nơi người dùng có quyền kiểm soát máy chủ của mình tốt hơn. Ngăn chặn qua phần mềm chống virus đã không còn hiệu quả như trước đây.
Các phương pháp tự động phát hiện khác ngoài phần mềm chống virus:
- Lọc nội dung: Ví dụ: máy chủ của khách hàng nhận email, cũng như phần mềm chống spam, có thể được cấu hình để chặn email hoặc tệp đính kèm email có các đặc điểm nhất định, chẳng hạn như chủ đề xấu, người gửi, văn bản tin nhắn, hoặc tên hoặc loại tập tin đính kèm. Điều này chỉ hữu ích khi phần mềm độc hại có các đặc tính tĩnh; phần mềm độc hại cấu hình cao thường không hiệu quả khi sử dụng tính năng lọc nội dung. Lọc nội dung trang web và các công nghệ lọc nội dung khác cũng có thể được sử dụng cho phần mềm độc hại tĩnh.
- Phần mềm IPS dựa vào mạng, hầu hết các sản phẩm IPS đều cho phép khả năng phòng ngừa được cho phép chữ ký cụ thể. Nếu một thiết bị IPS dựa trên mạng là nội tuyến, nghĩa là nó là một hoạt động của mạng, và nó có một chữ ký riêng cho phần mềm độc hại, nó sẽ có thể xác định phần mềm độc hại và ngăn chặn nó đạt được mục tiêu của nó. Nếu thiết bị IPS không kích hoạt khả năng phòng ngừa có thể linh hoạt được trong một sự cố nghiêm trọng để tái định cấu hình hoặc triển khai lại một hoặc nhiều cảm biến IPS hơn và cho phép IPS để nó có thể ngừng hoạt động. Các công nghệ IPS có thể ngăn chặn các cố gắng lây nhiễm từ bên trong và bên ngoài. Tất nhiên, giá trị của IPS trong phần mềm độc hại sự ngăn chặn phụ thuộc vào tính sẵn có và tính chính xác của chữ ký để xác định phần mềm độc hại. Một số sản phẩm IPS cho phép các quản trị viên viết các chữ ký tùy chỉnh dựa trên một số các đặc điểm của phần mềm độc hại, hoặc để tùy chỉnh chữ ký hiện có. Ví dụ, một IPS có thể cho phép quản trị viên xác định tên hoặc đối tượng email xấu đã biết. Trong nhiều trường hợp, quản trị viên IPS có thể có chữ ký chính xác trong giờ địa điểm trước khi các nhà cung cấp chống virus có chữ ký có sẵn. Ngoài ra, bởi vì chữ ký IPS chỉ ảnh hưởng đến cảm biến IPS dựa trên mạng, trong khi các chữ ký chống virus nói chung ảnh hưởng đến tất cả các máy trạm và máy chủ, nói chung nó chỉ giảm rủi ro hơn để nhanh chóng triển khai một IPS mới ký hiệu hơn chữ ký chống virus mới.
- Thực hiện Danh sách đen. Một số hệ điều hành, sản phẩm IPS dựa trên máy chủ lưu trữ và các sản phẩm khác công nghệ có thể hạn chế một số thực thi nhất định đang được chạy. Ví dụ: quản trị viên có thể nhập vào tên của các tập tin mà không nên được thực hiện. Nếu chữ ký chống virus chưa có đối với một mối đe dọa mới, có thể định cấu hình một công nghệ danh sách đen để chặn việc thực hiện của các tệp tin là một phần của mối đe dọa mới.
3.3 Ngăn chặn thông qua các dịch vụ vô hiệu quả
Tồn tại nhiều phần mềm độc hại mà để khống chế được nó cần nhiều biện pháp quyết liệt hơn và đôi lúc cần phải gây gián đoạn để ngăn chặn. Cụ thể chúng ta có thể tắt dịch vụ đang bị phần mềm độc hại xâm chiếm, chặn 1 dịch vụ nhất định ở phạm vi mạng hoặc vô hiệu hóa các phần của một dịch vụ. Ngoài ra còn có 1 dịch vụ có thể cung cấp 1 kênh lây nhiễm hoặc chuyển dữ liệu từ vùng bị nhiễm bệnh về máy chủ ví dụ như một lệnh botnet và kênh điều khiển sử dụng Internet Relay Chat (IRC). Trường hợp tắt các dịch vụ bị ảnh hưởng có thể là cách tốt nhất để ngăn chặn sự lây nhiễm mà không làm mất tất cả dịch vụ. Hành động này thường chỉ được sử dụng ở cấp độ ứng dụng hoặc cấp độ mạng. Mục tiêu là để vô hiệu hóa càng ít chức năng càng tốt trong khi có chứa sự cố một cách hiệu quả. Đến hỗ trợ việc vô hiệu hóa các dịch vụ mạng, các tổ chức nên duy trì danh sách các dịch vụ họ sử dụng và các cổng TCP và UDP được sử dụng bởi mỗi dịch vụ.
Từ quan điểm công nghệ, vô hiệu hoá một dịch vụ nói chung là một quá trình đơn giản. Tắt dịch vụ mà tổ chức phải đánh giá xem nó có tác động tiêu cực đến các chức năng của tổ chức. Ngoài ra, vô hiệu hoá một dịch vụ có thể vô tình làm gián đoạn các dịch vụ khác phụ thuộc vào nó.
3.4 Ngăn chặn thông qua vô hiệu hóa kết nối
Việc ngăn chặn các sự cố bằng cách vô hiệu hóa thông qua kết nối mạng có thể đem lại hiệu quả rất cao. Ví dụ, nếu máy tính bị nhiễm cố gắng thiết lập các kết nối với một máy chủ bên ngoài để tải các rootkits lúc đó nên xử lý bằng cách chặn tất cả các quyền truy cập vào máy chủ lưu trữ từ bên ngoài. Tương tự, nếu máy bị nhiễm mã độc trong tổ chức cố gắng lây lan phần mềm độc hại của họ thì có thể ngăn chắn lưu lượng mạng từ địa chỉ IP của máy chủ để kiểm soát tình huống.
Một cách khác để ngăn chặn quyền truy cập mạng cho các địa chỉ IP cụ thể là để ngắt kết nối các máy bị nhiễm từ mạng, có thể hoàn thành bằng cách cấu hình lại các thiết bị mạng để từ chối truy cập mạng hoặc ngắt kết nối các loại cáp mạng từ máy chủ bị nhiễm bệnh.
Bước ngăn chặn quyết liệt nhất là cố ý phá vỡ kết nối mạng cần thiết để không bị nhiễm đến
máy chủ. Điều này có thể loại bỏ truy cập mạng cho các nhóm máy chủ, chẳng hạn như người dùng VPN từ xa. Trong trường hợp xấu nhất kịch bản, cách ly mạng con từ mạng chính hoặc Internet có thể là cần thiết để ngăn chặn lây lan của phần mềm độc hại, ngăn chặn thiệt hại cho máy chủ, và cung cấp một cơ hội để giảm thiểu các lỗ hổng.
3.5 Đề xuất ngăn chặn
Muốn ngăn chặn có thể sử dụng bốn phương pháp được đề xuất bên trên, tuy nhiên vì không có phương pháp nào có thể ngăn chặn loại phần mềm độc hại duy nhất được chỉ định trước, trong nhiều trường hợp người xử lý sự cố cần chọn một sự kết hợp của các phương pháp ngăn chặn có thể sẽ có hiệu quả hạn chế thiệt hại cho máy chủ và giảm tác động mà phương pháp ngăn chặn có thể có trên các máy chủ khác. Ví dụ, tắt tất cả các truy cập mạng có thể rất hiệu quả trong việc ngăn chặn sự lây lan của phần mềm độc hại, nhưng nó cũng sẽ cho phép nhiễm trùng trên máy chủ để tiếp tục làm hỏng các tập tin và sẽ làm gián đoạn nhiều chức năng quan trọng của tổ chức.
Các phương pháp ngăn chặn mạnh nhất có thể được chấp nhận bởi hầu hết các tổ chức chỉ trong một khoảng thời gian ngắn. Theo đó các tổ chức nên hỗ trợ các quyết định ngăn chặn bằng cách có các chính sách nêu rõ người có quyền quyết định và được quyết định trong trường hợp nào là thích hợp.
4. Diệt trừ
Mục đích chính của việc loại trừ là loại bỏ được phần mềm độc hại ra khỏi máy chủ bị nhiễm, nhưng việc loại trừ thường liên quan đến rất nhiều yếu tố. Một khi phần mềm độc hại đã được lây lan thành công thì hành động xóa bỏ thường được củng cố với nỗ lực ngăn chặn. Ví dụ, các tổ chức có thể chạy một tiện ích xác định máy chủ bị nhiễm, áp dụng các bản vá để loại bỏ các lỗ hổng bảo mật, và chạy phần mềm chống virus để loại bỏ các nhiễm trùng. Các hành động ngăn chặn thường hạn chế các lựa chọn loại trừ; ví dụ, nếu một sự kiện được chứa đựng bởi
ngắt kết nối các máy bị nhiễm từ mạng chính, máy chủ phải được kết nối với một VLAN để chúng có thể được cập nhật từ xa, hoặc vá và cấu hình lại bằng tay. Bởi vì các máy chủ là bị ngắt kết nối khỏi mạng chính, người xử lý sự cố sẽ bị áp lực phải thực hiện loại bỏ các hành động trên máy chủ nhanh nhất có thể để người dùng có thể lấy lại được sử dụng máy chủ của họ.
Các tình huống khác nhau đòi hỏi sự kết hợp của các kỹ thuật loại trừ. Trong trường hợp khử trùng là có thể, các công cụ phổ biến nhất để loại trừ là phần mềm chống virus, bị tổn thương công nghệ quản lý, phần mềm kiểm soát truy cập mạng và các công cụ khác được thiết kế để loại bỏ phần mềm độc hại và sửa lỗ hổng. Các phương pháp loại trừ tự động, chẳng hạn như kích hoạt quét vi rút từ xa,hiệu quả hơn nhiều so với các phương pháp thủ công, chẳng hạn như truy cập các máy bị lây nhiễm trong người và chạy phần khử trùng từ đĩa CD.
5. Phục hồi
Hai khía cạnh chính của phục hồi từ sự cố phần mềm độc hại đó là khôi phục lại chức năng và dữ liệu của máy chủ bị nhiễm đồng thời loại bỏ các biện pháp ngăn chặn tạm thời. Các hành động bổ sung để khôi phục máy chủ không phải là cần thiết cho hầu hết các sự cố phần mềm độc hại gây ra thiệt hại máy chủ hạn chế (ví dụ: chỉ đơn giản là thay đổi một số tập tin dữ liệu và đã được hoàn toàn rời với phần mềm chống virus). Đổi với các phần mềm độc hại nhiều hơn chẳng hạn như con ngựa thành Troy, rootkit, hoặc backdoor, hư hỏng hàng ngàn hệ thống và các tập tin dữ liệu, hoặc lau sạch ổ đĩa cứng, tốt nhất là trước tiên xây dựng lại máy chủ lưu trữ, sau đó bảo mật máy chủ để nó không còn dễ bị tấn công các mối đe dọa phần mềm độc hại. Các tổ chức nên xem xét cẩn thận những kịch bản xấu nhất có thể xảy ra, chẳng hạn như mối đe dọa phần mềm độc hại mới đòi hỏi phải xây dựng lại một tỷ lệ lớn các máy trạm của tổ chức, và xác định cách host sẽ được phục hồi trong những trường hợp này. Điều này bao gồm xác định ai sẽ đảm nhiệm các nhiệm vụ khôi phục, ước tính cần bao nhiêu giờ lao động và cần bao nhiêu thời gian hoàn thành, và xác định những nỗ lực phục hồi nên được ưu tiên theo thứ tự như thế nào.
Xác định thời điểm để xác định các biện pháp ngăn chặn tạm thời, chẳng hạn như các dịch vụ bị tạm ngưng (ví dụ như email) hay kết nối như (truy cập internet, VPN cho telecommuters) thường là một quyết định khó khăn trong một khoảng thời gian lớn của sự cố phần mềm độc hại. Ví dụ: Giả sử rằng email đã bị tắt để ngăn chặn sự lây lan của phần mềm độc hại bị nhiễm độc trong khi các máy tính dễ bị tổn thương được vá và các máy bị lây nhiễm Malware, diệt trừ và các biện pháp khôi phục. Tuy nhiên có thể mất đến vài ngày hoặc vài tuần để có thể phục hồi được tất cả các máy bị nhiễm mã độc, email không thể bị treo trong khoảng thời gian đó. Khi dịch vụ email được khôi phục phải chắc chắn rằng một máy chủ bị lây nhiễm sẽ bắt đầu lây lan phần mềm độc hại một lần nữa. Các nhóm ứng phó sự cố phải cố gắng giữ ngăn chặn các biện pháp tại chỗ cho đến khi số máy tính bị nhiễm ước tính được và đủ thấp để các sự cố tiếp theo nên có hậu quả rất nhỏ. Người xử lý sự cố cũng nên xem xét các biện pháp ngăn chặn và thay thế mà có thể duy trì đầy đủ sự ngăn chặn sự cố trong khi gây ít ảnh hưởng đến các chức năng thông thường của tổ chức. Tuy nhiên, mặc dù nhóm phản ứng sự cố nên đánh giá rủi ro phục hồi dịch vụ, người quản lý cuối cùng phải là chịu trách nhiệm xác định những việc nên làm, dựa trên các khuyến nghị của nhóm phản ứng sự cố và hiểu biết của quản lý về tác động kinh doanh của việc duy trì các biện pháp ngăn chặn.
6 Bài học kinh nghiệm
Khi xảy ra sự cố về phần mềm độc hại nghiêm trọng các cá nhân chính thức xử lý thường phải làm việc nhiều ngày hoặc nhiều tuần điều này dẫn đến sự mệt mỏi về cả thể xác lẫn linh thần. Do đó, bài học kinh nghiệm giai đoạn phản ứng sự cố là đáng kể nó quyết định trì hoãn hoặc bỏ qua hoàn toàn cho các sự cố phần mềm độc hại chủ yếu.
Bài học kinh nghiệm cho sự cố về phần mềm độc hại không có gì khác so với bất kỳ các loại sự cố khác. Bài học kinh nghiệm cho các sự cố về phần mềm độc hại như sau:
- Thay đổi chính sách bảo mật. Chính sách bảo mật có thể được sửa đổi để ngăn ngừa sự cố tương tự. Ví dụ, nếu kết nối thiết bị di động cá nhân với máy tính xách tay của tổ chức đã gây ra một nhiễm độc, sửa đổi các chính sách của tổ chức để đảm bảo, hạn chế hoặc cấm các thiết bị như vậy kết nối có thể được khuyến khích.
- Thay đổi chương trình nhận thức. Đào tạo nâng cao nhận thức về an toàn cho người dùng có thể được thay đổi để giảm số ca nhiễm bệnh hoặc để cải thiện hành động của người sử dụng trong việc báo cáo sự cố và hỗ trợ xử lý các sự cố trên máy chủ của họ.
- Cấu hình lại Phần mềm. Có thể cần phải thay đổi cài đặt hệ điều hành hoặc ứng dụng để hỗ trợ thay đổi chính sách an ninh hoặc để đạt được sự tuân thủ với chính sách hiện tại.
- Triển khai phần mềm phát hiện phần mềm độc hại. Nếu máy bị lây nhiễm qua đường truyền cơ chế không được bảo vệ bởi phần mềm chống vi rút hoặc các công cụ phát hiện phần mềm độc hại khác, sự cố có thể cung cấp đủ biện minh để mua và triển khai phần mềm bổ sung.
- Phần mềm xác định lại phần mềm độc hại. Phần mềm phát hiện có thể cần phải được cấu hình lại theo nhiều cách khác nhau, như sau:
– Tăng tần suất cập nhật phần mềm và chữ ký
– Nâng cao độ chính xác của việc phát hiện (ví dụ: ít dương tính giả, ít sai số âm)
– Tăng phạm vi giám sát (ví dụ: theo dõi các cơ chế truyền dẫn bổ sung, giám sát các tệp bổ sung hoặc hệ thống tệp tin)
– Thay đổi hành động tự động thực hiện để đáp ứng với phần mềm độc hại đã phát hiện
– Nâng cao hiệu quả phân phối cập nhật.
XEM NHIỀU NHẤT: Giải mã mật khẩu – Phần 2: Chiến thuật giải mã mật khẩu
Securitybox giải pháp an ninh mạng toàn diện. Đánh giá bảo mật mạng từ các chuyên gia hàng đầu trong lĩnh vực an ninh mạng.
Thông tin liên hệ:
Công ty cổ phần An toàn thông tin MVS – SecurityBox
Địa chỉ: Tầng 9, Tòa nhà Bạch Dương, Số 459 Đội Cấn, Ba Đình, Hà Nội
Hotline:092 711 8899
Email: [email protected]
Nguồn: Bùi Đình Cường