Tăng cường bảo mật thông qua giải mã lưu lượng truy cập

Hiện nay, 80-90% lưu lượng truy cập mạng trên toàn bộ hệ thống đã được mã hóa. Tuy nhiên, theo ý kiến của ông Jeff Costlow, Giám đốc An toàn thông tin (CISO) tại ExtraHop, điều này không phải lúc nào cũng mang đến lợi ích về mặt bảo mật.

Mã hóa mạnh là yếu tố rất quan trọng để bảo vệ dữ liệu kinh doanh và thông tin cá nhân nhạy cảm. Google ước tính 95% lưu lượng truy cập Internet của họ sử dụng giao thức HTTPS được mã hóa.

Tuy nhiên, Jeff Costlow, CISO tại công ty an ninh mạng ExtraHop cho rằng không chỉ có các tổ chức đề cao tính bảo mật dữ liệu nhìn thấy giá trị của việc mã hóa lưu lượng truy cập. Tội phạm mạng đã tận dụng mã hóa như một phương tiện giúp chúng che giấu hoạt động bất hợp pháp, trộn lẫn hành vi độc hại vào lưu lượng truy cập thông thường.

Tội phạm ẩn nấp trong lưu lượng truy cập mã hóa

Theo số liệu của Gartner, 70% chiến dịch tấn công của phần mềm độc hại diễn ra trong năm 2020 đã sử dụng một số loại mã hóa. Nền tảng bảo mật Zscaler đang chặn 733 triệu cuộc tấn công mã hóa mỗi tháng trong năm nay, tăng 260% so với năm 2019.

Theo khuyến nghị chung về an ninh mạng do FBI, CISA, Trung tâm An ninh mạng Quốc gia Vương quốc Anh và Trung tâm An ninh mạng Australia đưa ra, các giao thức mã hóa được sử dụng để che giấu việc mở rộng địa bàn khai thác (lateral movement) và các chiến thuật nâng cao khác trong 60% các cuộc tấn công thông qua 30 lỗ hổng mạng bị khai thác nhiều nhất.

Nói cách khác, trong 60% cuộc tấn công sử dụng các lỗ hổng phổ biến nhất, các nạn nhân hoàn toàn không phát hiện mình đã bị xâm nhập, theo CISA.

Các nhà nghiên cứu bảo mật cũng phát hiện ra những kỹ thuật tấn công tinh vi mới bằng các giải mã các giao thức của Microsoft thường xuyên bị khai thác như SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call (MS-RPC), NTLM, LDAP, WINRM và TLS 1.3.

Tất cả những điều này đã thúc đẩy nhu cầu về một cách tiếp cận mới khi phát hiện các mối đe dọa tồn tại trong lưu lượng truy cập mạng được mã hóa. Đó chính là giải mã.

Việc giải mã có thể phát hiện hoạt động bất hợp pháp ẩn nấp bên trong mà công cụ phân tích lưu lượng được mã hóa (ETA) đã bỏ sót, bao gồm các chiến dịch ransomware khai thác lỗ hổng PrintNightmare.

Hiện nay, gần như không thể phân biệt được tốt xấu nếu không có khả năng giải mã lưu lượng truy cập mạng một cách an toàn. Ẩn danh đã giúp cho những kẻ tấn công chiếm thế thượng phong.

Lưu lượng truy cập mã hóa đã bị khai thác trong một số cuộc tấn công mạng và những kỹ thuật xâm nhập lỗ hổng lớn nhất trong năm qua, từ Sunburst, Kaseya đến PrintNightmare, ProxyLogon.

Các kỹ thuật tấn công như living-off-the-land và Active Directory Golden Ticket chỉ thành công khi hacker có thể khai thác lưu lượng được mã hóa. Ngoài ra, mã độc tống tiền (ransomware) cũng là mối quan tâm hàng đầu của các doanh nghiệp hiện nay. Tuy nhiên, nhiều người không thể làm gì khác vì họ không thấy được những điều xảy ra bên trong hệ thống mạng đã mã hóa truy cập.

Các tổ chức phải thận trọng với vấn đề giải mã do lo ngại xung quanh việc tuân thủ, quyền riêng tư và bảo mật, cũng như tác động đến hiệu suất và chi phí. Nhưng có nhiều cách để giải mã lưu lượng truy cập mà không ảnh hưởng đến những điều này.

Những quan điểm sai lầm về giải mã lưu lượng truy cập mạng

Lầm tưởng 1: Giải mã làm suy yếu bảo mật

Sự thật: Có hai loại giải mã chính: out-of-band (OOB) và in-line. Trong phương thức giải mã OOB, dữ liệu đã mã hóa và khử nhận dạng sẽ được đưa lên nền tảng đám mây để giải mã bằng công cụ học máy. Điều này có nghĩa là không có bất kỳ dữ liệu thô nào được gửi đi, vì vậy không có thêm mối quan tâm về bảo mật.

Trong khi đó, giải mã in-line, còn được gọi là đánh chặn SSL hoặc man-in-the-middle (MitM), là một cách tiếp cận cũ hơn. Việc này có thể khiến cho các tổ chức gặp một số vấn đề phức tạp khác với chứng chỉ quản lý bảo mật. Hacker có thể tiếp tục nhắm vào dữ liệu đã được giải mã và chứa trong những thư mục có tính bảo mật kém hơn.

Lầm tưởng 2: Giải mã vi phạm Luật Bảo mật & Tiêu chuẩn Tuân thủ

Sự thật: Việc giải mã lưu lượng mạng doanh nghiệp không vi phạm các quy định hoặc luật về quyền riêng tư. Tuy nhiên, một số tính năng giải mã không được cấu hình trên các mạng con nhạy cảm để tránh vi phạm các quy tắc bảo mật thông tin như GDPR, PCI DSS và HIPAA.

Các tổ chức phải chủ động tránh ghi lại dữ liệu liên quan và có các biện pháp kiểm soát quyền truy cập của người dùng để đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào dữ liệu.

Lầm tưởng 3 : Những kẻ tấn công không thể truy cập lưu lượng truy cập được mã hóa

Sự thật: Các giao thức mã hóa không được chấp nhận như SSL và TLS 1.0 và 1.1 có thể khiến lưu lượng truy cập dễ bị những kẻ tấn công tinh vi đánh hơi và giải mã.

Lầm tưởng 4 : Lưu lượng được mã hóa không mang lại lợi ích gì cho những kẻ tấn công

Sự thật: Trong khi hầu hết các công ty sử dụng mã hóa để đảm bảo quyền riêng tư cho dữ liệu của họ, tội phạm mạng cũng đã thành thạo trong việc dùng công nghệ tương tự để che đậy dấu vết của chúng.

Giải mã lưu lượng mạng có lợi ích rất lớn. Đầu tiên, nó cho phép phát hiện các cuộc tấn công sớm hơn trong một đợt xâm nhập vì các lưu lượng độc hại không còn bị ẩn nữa.

Thứ hai, giải mã cải thiện thời gian phản ứng trước sự cố. Nó giúp phát hiện, xác định phạm vi, điều tra và khắc phục các mối đe dọa một cách nhanh chóng. 

Và cuối cùng, việc giải mã cho phép ghi lại đầy đủ hồ sơ pháp lý, phục vụ cho các cuộc điều tra sau các vụ vi phạm./.