Yếu tố cốt lõi tạo nên thành công của Proventia Network IPS

15:02 | 05/07/2008

Hầu hết các cơ quan, tổ chức và doanh nghiệp khi xây dựng một hệ thống an toàn thông tin đều dựa trên các thành phần cơ bản gồm các sản phẩm tường lửa, ngăn chặn xâm nhập, phòng chống virus, mã hoá công khai, xác thực mạnh...

 

Hệ thống này sẽ giúp cho cơ quan, tổ chức giảm thiểu rủi ro từ các tấn công “đã biết”.  Tuy nhiên, khi mã độc hại xuất hiện ngày càng nhiều với mức độ tiến hoá về công nghệ ngày càng cao, các cơ quan, tổ chức vẫn tiếp tục phải đối mặt với các nguy cơ mất an ninh thông tin từ những tấn công khai thác điểm yếu cả cũ và mới. (Hình 1).


                 

Hình 1:  Các nguy cơ an ninh                 

                   
Lúc này hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention System) mà các cơ quan, tổ chức đã lựa chọn sẽ trở thành một lớp phòng thủ vững chắc bổ sung cho hệ thống an ninh mạng truyền thống, ngăn ngừa được các tấn công thông thường và những tấn công “chưa được biết đến”.
TÍNH NĂNG NỔI BẬT CỦA IPS
Hiện nay, công ty IBM ISS đang dẫn đầu thị trường cung cấp sản phẩm IPS với nhiều đặc điểm nổi bật:
- Sử dụng kỹ thuật Vitual Patch, các sản phẩm Proventia IPS luôn luôn bảo vệ được hệ thống mạng trước các tấn công nhằm vào điểm yếu trước, trong và sau khi cập nhật bản vá lỗ hổng an ninh.
- Sử dụng công nghệ an ninh đón đầu, ngăn chặn nguy cơ để chống tấn công khai thác các điểm yếu an ninh.
- Cung cấp một giải pháp IPS toàn diện từ mức mạng đến mức host (máy chủ, máy trạm) với các dòng sản phẩm tương ứng là Proventia Network IPS, Proventia Server, Proventia Desktop.
Một trong số những sản phẩm tạo nên thành công của IBM ISS chính là dòng sản phẩm Proventia Network IPS với nền tảng cốt lõi là mô-đun PAM (Protocol Analysis Module). Proventia Network IPS  được triển khai nội tuyến, hoạt động với tốc độ thực của mạng, ngăn chặn trước các cuộc tấn công trước khi nó gây ảnh hưởng tới hệ thống mạng. 
“Linh hồn” của Proventia Network IPS chính là thành phần phân tích giao thức - PAM .  Mô-đun PAM sẽ phân tích nhận dạng các luồng giao thông, các giao thức mạng để phát hiện và tự động đưa ra các cơ chế bảo vệ, ngăn chặn khi phát hiện các hành vi xâm nhập. (Hình 2)
Mô-đun PAM giúp cho Proventia có thể ngăn chặn đa số các tấn công mà không cần phải cập nhật liên tục các nội dung an ninh. Trong khi đó các giải pháp IPS của các nhà cung cấp khác, sử dụng kỹ thuật nhận dạng tấn công theo dấu hiệu, chỉ có thể ngăn chặn một vài kiểu tấn công riêng lẻ - những tấn công đã có các dấu hiệu sẵn có và cần phải cập nhật để ngăn chặn các tấn công khác. Điều này thường làm cho hệ thống IPS bị chậm trong việc ngăn chặn các hành vi nguy hiểm dẫn đến tỉ lệ các lỗi khẳng định sai (false positives) và phủ định sai (false negatives) cao.
Với khả năng phân tích các giao thông mạng, khả năng nhận dạng hơn 177 giao thức mạng và định dạng file,  PAM giúp cho khả năng phát hiện, ngăn chặn tấn công của các dòng sản phẩm Proventia vượt trội hơn hẳn.
BẢO VỆ ĐƯỢC HỆ THỐNG TRƯỚC CÁC NGUY CƠ TẤN CÔNG
Với nền tảng cốt lõi là mô-đun PAM, Proventia Network IPS có khả năng bảo vệ hệ thống mạng trước các hành vi khai thác điểm yếu an ninh.
- Các tấn công khai thác điểm yếu của ứng dụng, ví dụ như các điểm yếu còn tồn tại trong Microsoft Office, Adobe Acrobat, Oracle...
- Tấn công khai thác điểm yếu rò rỉ dữ liệu trong việc sử dụng file đính kèm của ứng dụng webmail
- Tấn công nhằm vào điểm yếu của hệ điều hành
- Các nguy cơ trong ứng dụng tin nhắn tức thời: có thể bị lợi dụng để đưa virus, sâu, trojan và các loại mã độc hại... xâm nhập vào hệ thống mạng bên trong.
- Các nguy cơ từ hoạt động tải file kiểu ngang hàng bị lợi dụng để phát tán virus, trojan... và bị lợi dụng để gây ra tấn công DoS
- Nguy cơ từ việc sử dụng đường hầm giao thức: khi những giao thức ở lớp dưới đã bị chặn thì việc lợi dụng đường này có thể cho phép các đoạn mã độc hại truy cập được vào hệ thống mạng bên trong nhờ việc chèn các dữ liệu nguy hiểm vào trong giao thức lớp cao hơn.
KỸ THUẬT NGĂN CHẶN XÂM NHẬP CỦA PROVENTIA NETWORK IPS
Proventia Network IPS đã được tích hợp nhiều kỹ thuật ngăn chặn xâm nhập trong mô-đun PAM để bảo vệ hệ thống khỏi các mối đe doạ trên, bao gồm:
- Kỹ thuật chỉ định cổng giao thức: là phương thức phổ thông được sử dụng để xác định các giao thức ứng dụng. Kỹ thuật này căn cứ trên cổng của bộ giao thức TCP/IP được sử dụng cho từng kiểu kết nối. Tuy nhiên, các giao thức không phải chỉ sử dụng cổng đã biết để truyền thông, nên nếu chỉ sử dụng kỹ thuật này là một điều khá nguy hiểm. Để làm giảm lỗi phủ định sai, việc nhận dạng giao thức bằng cách xác định cổng nên được kiểm tra lại lần thứ hai với kỹ thuật nhận dạng khác để đảm bảo rằng cuộc tấn công sẽ bị ngăn chặn.
- Kỹ thuật theo vết cổng giao thức: kỹ thuật giám sát các phiên truyền thông trước đó để thêm vào các kết nối trên các cổng ngẫu nhiên. Một vài giao thức ứng dụng sử dụng một cổng khởi tạo để điều khiển một kết nối nhưng sau đó đàm phán và mở một cổng bất kỳ để truyền dữ liệu giữa các máy khách và máy chủ.
- Kỹ thuật phân tích giao thức (trên 177 giao thức mạng và ứng dụng): xác định các lưu lượng mạng để tìm ra các hành vi không được phép. Khả năng phân tích giao thức của PAM giúp cho hệ thống Proventia Network IPS có thể phân tích các giao thông mạng xuống đến lớp 2 trong mô hình OSI. Kỹ thuật phân tích giao thức giúp hệ thống Proventia Network IPS dò tìm các hành vi bất thường mà không phụ thuộc vào việc nhận dạng dựa trên các dấu hiệu.
- Kỹ thuật sử dụng đường hầm giao thức: đường hầm giao thức là kỹ thuật gắn một giao thức lớp ứng dụng với một giao thức khác, một kiểu truyền thông mạng khá phổ biến. Trong một vài trường hợp, những kẻ tấn công sẽ sử dụng đường hầm giao thức để ngụy trang cho những cuộc tấn công.
- Kỹ thuật nhận dạng theo mẫu: trong mô-đun PAM đã tích hợp sẵn các thuật toán nâng cao để dò tìm các mẫu tấn công. Proventia IPS sử dụng cách này kết hợp với phương pháp đánh giá theo kinh nghiệm để tìm các nguy cơ tự thay đổi mẫu với mục đích lẩn tránh bị phát hiện.
- Kỹ thuật đánh giá theo kinh nghiệm: xác định và ngăn chặn các đoạn mã độc hại dựa trên hành vi nguy hiểm của chúng. Phương pháp này có thể ngăn chặn các nguy cơ mà nhìn các dấu hiệu bên ngoài có vẻ không quan trọng. 
- Kỹ thuật đánh giá theo RFC:  Kỹ thuật kiểm tra theo RFC (Request for Comments), còn được gọi là kiểm duyệt giao thức hay dò tìm các giao thức bất bình thường là cách thức rất có ích khi các lưu lượng mạng không tuân theo các chuẩn RFC. Kỹ thuật này cung cấp giải pháp kiểm tra nhanh các lỗi khẳng định sai. Kiểm tra theo RFC cũng ngăn chặn một số lỗi phủ định sai bởi vì hầu hết các tấn công đều được xem là “hợp lệ” theo các chuẩn RFC của các giao thức ứng dụng.
- Kỹ thuật tái hợp TCP: Sự phân mảnh gói là chia một gói nguyên bản ban đầu thành hai hay nhiều gói và là quá trình bình thường của mạng với các giao thức tầng giao vận. Những kẻ tấn công cũng có thể thực hiện sự phân mảnh này như một phương thức che dấu đơn giản chống lại các hệ thống dò tìm xâm nhập. Để có thể ngăn chặn kiểu khai thác này, Proventia IPS có khả năng kết hợp lại các phân mảnh. Tiến trình này được gọi là sự tái hợp các gói TCP và luôn luôn được sử dụng để phân tích lưu lượng để tìm các nội dung nguy hiểm ẩn chứa bên trong.



- Kỹ thuật tập hợp luồng: Tập hợp luồng hay mô phỏng là một cách tái hợp các gói TCP một cách đơn giản để phân tích kết nối này để kiểm tra các giao thông mạng. Bằng cách cấu trúc lại luồng giao thông mạng của kết nối, Proventia IPS có thể xác định các điểm yếu sử dụng kỹ thuật phân mảnh.
- Kỹ thuật phân tích thống kê: phương pháp dựa trên việc dò tìm và ngăn chặn các lưu lượng không bình thường của mạng. Kỹ thuật này cũng được gọi là liệt kê bất bình thường hay phân tích các giới hạn và thường giám sát mạng theo chu kỳ để thiết lập các “ranh giới” đối với các mẫu lưu lượng bình thường. Khi một ranh giới được hoàn thành, các mẫu vượt quá ranh giới sẽ bị ngăn chặn.
Khả năng ngăn chặn xâm nhập của Proventia Network IPS là kết quả của việc liên tục nghiên cứu, phát hiện các điểm yếu an ninh và các phương thức tấn công nhằm vào hệ thống mạng của đội ngũ nghiên cứu và phát triển IBM ISS X-Force. IBM ISS đảm bảo cho các cơ quan, tổ chức khi sử dụng các sản phẩm Proventia IPS sẽ được bảo vệ trước tất cả các nguy cơ