Một ngày làm việc cùng các chuyên gia phân tích an ninh mạng diễn ra như thế nào?

Neo,

Nếu không muốn bị tấn công bạn phải suy nghĩ như một hacker.

Chẳng ai có thể đoán trước một ngày của Paul Mehta sẽ diễn ra như thế nào. Mehta là một chuyên gia an ninh mạng, ông luôn có mặt trên chiến trường internet để hàng giờ, hàng ngày đối mặt với một cuộc chiến không ngừng, liên tục thay đổi với các tin tặc khét tiếng trên toàn thế giới.

Ông chuyên về các vấn đề liên quan tới việc phát hiện lỗ hổng, các kỹ thuật khai thác lỗ hổng phần mềm và các giải mã cuộc tấn công bằng kỹ nghệ đảo ngược. Hôm nay anh phải chống lại một phần mềm độc hại xâm nhập vào hệ thống của một công ty dịch vụ tài chính. Ngày mai anh ta xuất hiện nhằm ngăn chặn một âm mưu tấn công phức tạp, tầm cỡ quốc gia, vào một nhà thầu quốc phòng.

"Tôi cần phải suy nghĩ như một kẻ tấn công chứ không phải như một người phòng thủ", Paul Mehta, chuyên gia phân tích an ninh mạng tại Cylance

"Ngày hôm nay của tôi khác ngày hôm qua, chẳng ngày nào giống ngày nào", Mehta chia sẻ. Tuy nhiên trong thế giới luôn thay đổi này anh có một quan điểm nhất quán: "Tôi cần phải suy nghĩ như một kẻ tấn công chứ không phải như một người phòng thủ", anh nói. "Đó là cách duy nhất giúp tôi luôn dẫn đầu. Chúng tôi và những kẻ xấu ngoài kia chơi mèo vờn chuột với nhau không ngừng nghỉ. Tôi cần phải học hỏi và tiếp thu những điều mới mỗi ngày".

Huấn luyện viên của các đội bóng thường nghiên cứu băng hình của các đối thủ để xây dựng các chiến thuật phỏng thủ hợp lý. Mehta và nhóm các nhà nghiên cứu đồng nghiệp tại hãng an ninh mạng Cylance cũng vậy, họ cần xem xét kỹ lưỡng các kẻ thù. "Chúng tôi muốn biết, phải biết, kẻ xấu suy nghĩ như thế nào", Gabriel Acevedo, giám đốc kỹ thuật của Cylance chia sẻ. "Đó là cách duy nhất để chúng tôi dự đoán những gì chúng sắp thực hiện".

Giám định pháp y code

Bước đầu tiên trong việc thu thập kiến thức chính là mổ xẻ code của virus và mã độc. Đây là cách duy nhất để các nhà khoa học tìm hiểu cách hoạt động và phương thức gây hại của mã độc từ đó tìm ra biện pháp ngăn chặn nó gây thiệt hại.

Thông thường, các chuyên gia phân tích của Cylance quan tâm tới 30 tới 40 vấn đề nổi cộm nhưng chỉ tập trung một cách đặc biệt vào một hoặc hai. Họ tuân thủ một quy tắc rất đơn giản: Đừng nghĩ rằng một lỗ hổng nhỏ sẽ không gây ra việc rò rỉ dữ liệu. Hacker có thể liên tục tìm kiếm những lỗ hổng nhỏ để thâm nhập và khai thác.

"Kiên trì và tập trung sẽ giúp bạn xâm nhập được vào bên trong bất kể mạng lưới bạn muốn xâm nhập nhỏ hay lớn", Rob Joyce, đại diện của chiến dịch Tailored Access Operation cho National Security Agency (NSA) chia sẻ.

Khi một phần mềm có lỗ hổng nhưng người dùng không cập nhật bản vá hacker sẽ có nhiều cơ hội xâm nhập hơn. Do vậy, bằng cách mổ xẻ code của mã độc và virus để tìm hiểu cách chúng hoạt động các nhà khoa học có thể tạo ra những cách để ngăn chúng gây hại.

Khi mà trình độ của tin tặc ngày càng cao, những nhà nghiên cứu bảo mật phải xây dựng một suy nghĩ nhất quán, phát triển các kỹ năng cao nhất để đối phó với những cuộc tấn công tồi tệ nhất. Một số mã độc rất tinh vi và cần tới vài tuần hoặc vài tháng để đảo ngược code.

Một số code không thể đảo ngược nhưng "mục tiêu, đầu tiên và trước hết, là khiến tin tặc gặp nhiều khó khăn hơn nữa trong việc xâm nhập", Matt Wolf, giám đốc khoa học dữ liệu ở Cylance chia sẻ. Wolf đã từng làm việc bảy năm tại NSA và cũng từng làm việc tại Bộ Quốc phòng Hoa Kỳ. Ông đã từng chiến đấu với một số hacker giỏi nhất trên thế giới. Về cơ bản, ông nói, chúng tôi muốn phá hỏng những thương vụ đầu tư của hacker, khiến chúng bỏ công vô ích.

Không chỉ phản ứng chúng ta còn phải tiên đoán

Một số hacker giỏi nhất thích sử dụng phương thức tấn công "zero-day", lợi dụng các lỗ hổng phần mềm chưa được phát hiện để xâm nhập vào hệ thống trước khi nhà cung cấp tung ra bản vá. Để mở rộng mạng lưới phòng thủ Cylance cần một cách tiếp cận hợp tác.

"Chúng tôi phải tiên đoán trước các sự việc chứ không chỉ phản ứng lại", Nhà nghiên cứu Xuan Zhao, Cylance

Do vậy, nhiều nhà phân tích dữ liệu của Cylance có kiến thức về toán học ứng dụng, khoa học máy tính và an ninh mạng. Nhiều người còn có bằng tiến sĩ trong các lĩnh vực khác như thống kê, kỹ thuật, vật lý và bộ kỹ năng đa dạng.

Nhà nghiên cứu Xuan Zhao thường dành phần tốt nhất trong ngày làm việc của mình cho việc cập nhật về machine learning và mã độc, đọc một số báo cáo cũng như đánh giá gần đây.

"Công việc của tôi là phải tìm cách ngăn chặn mã độc nhanh nhất và chính xác nhất . Vì vậy tôi không chỉ cần biết những gì đang xảy ra mà còn cần nắm rõ những gì sẽ xảy ra tiếp theo", cô nói. "Chúng tôi không chỉ lần theo dấu chân của những kẻ tấn công sau khi chúng đã thâm nhập vào hệ thống hoặc phá hoại thứ gì đó mà còn đi trước chúng. Chúng tôi phải tiên đoán trước các sự việc chứ không chỉ phản ứng lại".

Vẫn có những điểm chung dù mỗi ngày tại Cylance đều xuất hiện một thách thức mới, độc đáo. Các nhà nghiên cứu luôn tìm kiếm những hình mẫu trong các cuộc tấn công. Nếu không có những hình mẫu này các cuộc tấn công sẽ khó khám phá hơn.

Những phân tích của Mehta và Zhao sẽ được đưa vào cơ sở dữ liệu khổng lồ của Cylance. Sau đó, các nhà nghiên cứu sử dụng những công cụ, dữ liệu chuyên dụng để phân tích và phát hiện các tập tin nguy hiểm. Việc phát hiện các tập tin nguy hiểm thường đi đôi với khả năng kiểm soát chúng trong thời gian thực, thường chỉ trong vòng dưới 100 phần nghìn giây. Điều này cho phép các chuyên gia ngăn chặn thiệt hại nếu phần mềm được xác định là nguy hiểm.

Khi mã độc bị phát hiện, nó bị cô lập và bị phá hủy. "Bằng cách theo dõi hành vi của phần mềm trong tự nhiên chúng tôi có thể ngăn chặn chúng gây thiệt hại", Eric Milam, giám đốc cao cấp của Cylance, chia sẻ.

Chuẩn bị cho cả những gì chưa từng được biết tới

Cách tấn công mới nhất và khó chịu nhất chính là ransomware, mã hóa tập tin của người dùng trên máy tính của họ và đòi tiền chuộc. Các phần mềm ransomware phổ biến là Juicy Lemon, CryptXXX và Locky. Phần mềm độc hại (malware), thuật ngữ chung cho virus, worms, Trojan horse và spyware, cũng vẫn tiếp tục là mối đe dọa an ninh mạng.

Chiến đấu chống lại các vụ xâm nhập phần mềm là một trận chiến không ngừng phát triển. Khi một kiểu tấn công bị ngăn chặn sẽ ngay lập tức xuất hiện những kiểu tấn công khác. Gần đây, một loại phần mềm độc hại nguy hiểm với tên gọi ProjectSauron đã được các nhà nghiên cứu an ninh mạng phát hiện ra.

ProjectSauron đã nằm trong máy tính của các nạn nhân ít nhất từ năm 2011. Khả năng hoạt động bí mật trong thời gian dài cho thấy những tin tặc tạo ra nó chắc chắn có kỹ năng rất cao. ProjectSauron chỉ cư trú trong bộ nhớ của máy tính và được viết dưới dạng những đối tượng nhị phân kích thước lớn nên rất khó bị các phần mềm diệt virus phát hiện.

Và khác với những phần mềm độc hại khác, ProjectSauron sử dụng các máy chủ, tên miền hoặc địa chỉ IP cho các kênh lệnh và kiểm soát trong mỗi lần tấn công chứ không tái sử dụng. Do vậy, manh mối thu thập được từ một xâm nhập không thể giúp các nhà nghiên cứu phát hiện ra những vụ xâm nhập mới.

Đối với các nhà nghiên cứu Cylance đây là một thực trạng đáng báo động. Tuy nhiên, họ có thể ngăn chặn nó bằng cách làm việc chăm chỉ hơn nữa. "Chúng tôi phải chuẩn bị cho mọi thứ", Acevedo nói. "Chúng tôi thậm chí còn sẵn sàng cho những thứ chúng tôi chưa từng thấy bao giờ".

Theo Wired

Mã nguồn malware đã làm nên cuộc tấn công DDoS kỷ lục 1,1 Tbs vừa được công khai

Theo Trí Thức TrẻCopy link

Link bài gốcLấy link

Tags: