Trong thời gian vừa qua, tấn công mạng tới các tổ chức ngày càng gia tăng lẫn cả về số lượng và độ tinh vi. Thực tế cho thấy rằng, các phương pháp tấn công có chủ đích ngày càng trở nên phổ biến hơn với nhiều loại mã độc đa dạng khác nhau. Các cuộc tấn công hiện nay đã có sự chuyển hướng, thay vì tấn công có chủ đích nhắm thẳng đến các máy chủ của doanh nghiệp, thì các cuộc tấn công hiện nay chủ yếu tấn công vào cá nhân trước, sau đó leo thang chiếm quyền máy chủ. Mặc dù, các tổ chức đã rất nỗ lực và bỏ ra nhiều chi phí để ngăn chặn các mối đe dọa (bao gồm cả đã biết và chưa biết), tuy nhiên, tình hình mối đe dọa là rộng lớn và luôn thay đổi. Bên cạnh đó, những thách thức trong việc cải thiện thói quen bảo mật của khách hàng, cũng cung cấp cho những kẻ gian nhiều lỗ hổng để khai thác hơn.
Hầu hết, các tổ chức hiện nay đều đã và đang xây dựng một hệ thống IDS (hệ thống phát hiện xâm nhập) để có thể phát hiện những dấu hiệu vi phạm và hành vi bất thường đang diễn ra trên hệ thống của mình. Hệ thống IDS hoạt động chủ yếu dựa trên các bộ luật hay các dấu hiệu nhận biết được định nghĩa sẵn để phát hiện và cảnh báo tới người quản trị, từ đó phân tích, xác minh những máy tính có dấu hiệu nghi vấn và có phương pháp ngăn chặn kịp thời các máy tính này.
Hình 1. Hệ thống phát hiện xâm nhập (IDS)
Với cách hoạt động truyền thống như vậy, đội ngũ kỹ thuật khó quan sát được tổng thể các vấn đề tồn tại trên hệ thống để phát hiện và cảnh báo sớm các tấn công. Khi có sự cố xảy ra, sẽ mất thời gian dài để phát hiện các sự cố, hoặc khi đã phát hiện cũng sẽ mất nhiều thời gian để cô lập và giải quyết vấn đề, kéo theo những tổn thất về tài chính. Đồng thời, các cách xử lý thủ công dễ dẫn đến việc sai và thiếu sót trong quá trình xử lý. Các công việc xử lý này đơn thuần lặp đi lặp lại và hoàn toàn có thể tự động hóa các công việc này.
Do đó, để có thể giải quyết bài toán này, đội ngũ Trung tâm an ninh mạng FPT đã nghiên cứu và xây dựng hệ thống bot tự động phát hiện và ngăn chặn máy tính vi phạm trong mạng. Các mục tiêu đề ra cho việc này như sau: hệ thống mềm dẻo, dễ dàng tương thích với các sản phẩm hay các hệ thống có sẵn của doanh nghiệp; được thiết kế đơn giản, dễ dàng cho việc triển khai và sử dụng ngay lập tức; đồng thời, thay thế các công việc thủ công của quản trị viên bằng hệ thống bot tự động.
Hình 2. Mô hình hoạt động hệ thống bot tự động phát hiện và ngăn chặn máy tính vi phạm trong mạng
Để có thể xử lý và ngăn chặn kịp thời các dấu hiệu vi phạm trên mạng, đầu tiên, các dữ liệu từ phía hệ thống IDS sẽ được thu thập và lưu trữ để phục vụ cho các công việc phân tích về sau. Tiếp theo, thành phần bot tự động - trái tim của hệ thống, sẽ được tích hợp với hệ thống qua các thiết bị như switch, router để giúp việc tương tác được dễ dàng, từ đó có thể ngăn chặn nhanh chóng và cô lập máy tính vi phạm ra khỏi mạng. Các bot sẽ dựa vào các thông tin cảnh báo được lưu trữ ở trên để phân tích, thống kê, phát hiện máy tính đang có những hành vi bất thường trong mạng một cách chính xác và nhanh chóng, đồng thời xác minh, ngăn chặn các máy tính này nhằm phòng tránh việc lây lan diện rộng trong hệ thống. Ngoài ra, các bot cũng cập nhật các thông tin quan trọng như: IP, vị trí, thời gian vi phạm,… lên hệ thống giao diện để quản trị viên dễ dàng kiểm soát được tình trạng an ninh mạng trong hệ thống của tổ chức.
Hình 3. Hệ thống giao diện Portal
Hình 4. Giao diện quản lý ticket
.png)
Hình 5. Thông tin chi tiết ticket
Hệ thống ticket giúp quản trị viên quản lý tình trạng của hệ thống, nắm bắt được trạng thái xử lý các ticket, từ đó có những phương án xử lý máy tính vi phạm hợp lý. Các ticket được chia làm 3 trạng thái khác nhau. Tại trạng thái unresolved, hệ thống bot đã phát hiện máy tính vi phạm và đang thu thập thêm thông tin để quyết định có ngăn chặn các máy tính này hay không. Trong trạng thái open, hệ thống bot đã tiến hành cách ly máy tính vi phạm và gửi cảnh báo tới người quản trị để có phương án xử phù hợp. Ở trạng thái closed, sau khi đã được xử lý và xác nhận đủ an toàn, người quản trị sẽ tiến hành đóng ticket và hệ thống sẽ tự động cấp phép cho máy tính vi phạm quay trở lại làm việc.
Giờ đây, thay vì quản trị viên phải tốn rất nhiều các công sức cho việc đọc và phân tích các cảnh báo gửi về, thì hệ thống bot đã thực hiện toàn bộ nhiệm vụ đó. Từ việc thu thập cho đến việc phát hiện và ngăn chặn máy tính vi phạm là hoàn toàn tự động. Đồng thời, việc cấp phép cho các máy tính quay trở lại làm việc cũng đơn giản hơn rất nhiều. Điều này sẽ giảm bớt gánh nặng trong công việc của quản trị viên, từ đó có nhiều thời gian hơn cho các công việc khác như nghiên cứu, nâng cao các hệ thống an ninh, an toàn thông tin khác cho tổ chức.
