Active Defense là gì? Tại sao cần Active Defense?
23/01/2024 09:53 Category: Chia sẻ kiến thức , TÀI NGUYÊN

Active Defense (phòng thủ chủ động) là một cách tiếp cận an ninh mạng mang tính chủ động. Phương pháp này bao gồm dự đoán hành động của kẻ tấn công và thiết lập các “bẫy” thích hợp để phát hiện chính xác và nhanh chóng một loạt các cuộc tấn công khác nhau.

Phòng thủ thụ động vs. Phòng thủ chủ động

Các biện pháp phòng thủ an ninh mạng có thể được chia thành Thụ động hoặc Chủ động. Giải pháp thụ động tập trung vào việc “Ngăn chặn”, về cơ bản là ngăn chặn truy cập vào một tài sản khi phát hiện có tấn công. Phòng thủ chủ động chủ động phát hiện và chuyển hướng các cuộc tấn công từ ngăn chặn sang giăng bẫy, đồng thời tương tác với kẻ thù để tìm hiểu Chiến thuật, Kỹ thuật và Quy trình tấn công (TTP) của chúng. Phòng thủ chủ động cũng liên quan đến việc thay đổi linh hoạt môi trường hoặc nhận thức của kẻ tấn công để nhanh chóng phát hiện và giảm thiểu các cuộc tấn công.

Bảng so sánh giữa Phòng thủ thụ động và phòng thủ chủ động

Bảng so sánh giữa Phòng thủ thụ động và phòng thủ chủ động

MITRE Engage

Một tổ chức uy tín trong lĩnh vực an ninh mạng – MITRE, vừa ra mắt MITRE Engage, một kho kiến thức chuyên sâu về Phòng thủ chủ động và tương tác với kẻ tấn công. MITRE Engage nhấn mạnh Deception (Chiến thuật đánh lừa) là giải pháp hiệu quả nhất để triển khai chiến lược Phòng thủ chủ động. Giải pháp này không ảnh hưởng đến hoạt động và giao dịch hợp pháp, mà thay vào đó được triển khai để phát hiện và phản ứng với những hành vi gây hại.

Đánh lừa giúp phát hiện các mối đe dọa bằng cách tạo ra một lớp mạng giả mạo trải rộng trên toàn bộ hệ thống mạng của doanh nghiệp. Chiến thuật này không thuộc phạm vi của quy trình kinh doanh và hệ thống của doanh nghiệp, do đó, bất kỳ tương tác nào với đánh lừa đều kích hoạt một cảnh báo chất lượng cao. Phương pháp này thậm chí có thể phát hiện những mối đe dọa mới (zero-day), và đang ngày càng được công nhận là hệ thống bảo mật quan trọng trong cuộc chiến chống lại các cuộc tấn công mạng.

Đánh lừa trong an ninh mạng đã tồn tại khoảng hai thập kỷ, chủ yếu dưới dạng honeypots – những tài nguyên giả được thiết kế một cách khéo léo, sao cho có vẻ như chúng là một phần của mạng IT tổ chức và chứa đựng những thông tin có giá trị. Honeypot mặc dù hiệu quả, nhưng lại khó triển khai với tổ chức quy mô lớn. Việc quản lý để đảm bảo tính cập nhật và tính phù hợp cũng không dễ dàng.

Bối cảnh của đánh lừa trong an ninh mạng đã có những bước tiến đáng kể trong những năm gần đây. ShadowPlex là một Nền tảng đánh lừa phân tán (Distributed Deception Platform – DDP) tiên tiến, có thể tự động triển khai hàng nghìn đánh lừa tương ứng với bất kỳ phần nào trong hệ thống mạng, trên các mạng doanh nghiệp phân tán và kết hợp.

Đọc thêm: Acalvio ShadowPlex dành cho MITRE Shield

Đánh lừa không chỉ đơn giản là đặt bẫy

ShadowPlex Cyber Deception cung cấp một loạt các chiêu thức mồi khác nhau để đánh lừa, bao gồm Decoys (mồi nhử – còn được gọi là honeypots), Lure, Breadcrumbs, và Baits. Những phương tiện đánh lừa này được tích hợp và triển khai khắp mạng phân tán (và kết hợp – hybrid), trên các thiết bị đầu cuối của doanh nghiệp và trong những nơi lưu trữ thông tin như Active Directory. Mỗi khi có kẻ tấn công tiếp cận với đánh lừa đều tạo ra một cảnh báo chất lượng cao.

Đánh lừa không chỉ đơn giản là đặt bẫy

Decoys

Mồi nhử tương tác thấp:

  • Bao gồm các dịch vụ và ứng dụng mạng.
  • Kẻ tấn công không thể đăng nhập vào các mồi nhử này.
  • Thường được tạo ra bằng cách giả lập, nên chất lượng thấp hơn.
  • Có thể triển khai số lượng lớn mồi nhử.

Mồi nhử tương tác cao:

  • Là các máy chủ ảo (Virtual Machine – VM), ứng dụng, máy chủ cơ sở dữ liệu.
  • Kẻ tấn công có thể đăng nhập và tương tác đầy đủ với chúng, nên chất lượng cao hơn.
  • Chỉ có thể triển khai số lượng ít mồi nhử.

Lure

Thêm cám dỗ để thu hút kẻ tấn công:

  • Tạo ra các lỗ hổng giả mạo trong hệ điều hành, ứng dụng và giao thức.
  • Thiết lập cấu hình và quyền hạn yếu ớt một cách có chủ đích.
  • Tạo ra các tài khoản dịch vụ giả.

Cải tiến của Acalvio:

  • Cung cấp một khung mở rộng để khách hàng tự thêm các cám dỗ theo nhu cầu.

Dấu dẫn và mồi không chỉ để đánh lừa kẻ tấn công, mà còn có nhiều công dụng khác:

  • Hoạt động như một cảm biến siêu nhỏ
  • Cung cấp thông tin sai lệch
  • Công cụ bẫy ngầm
  • Dẫn kẻ tấn công đến mồi nhử

Cải tiến của Acalvio:

  • Tự động hoàn toàn việc thiết lập, triển khai và quản lý dấu vết và mồi

Kết hợp đánh lừa

Để lừa gạt kẻ tấn công hiệu quả, “chiếc lưới” lừa gạt phải luôn thay đổi và hòa nhập với môi trường mạng:

  • Mạng không ngừng thay đổi
  • Hành vi kẻ tấn công luôn biến hóa
  • Những mối đe dọa mới xuất hiện

Cải tiến của Acalvio:

  • Acalvio sử dụng trí tuệ nhân tạo (AI) tích hợp để theo dõi liên tục mọi thay đổi trong môi trường mạng, từ cấu trúc mạng, cài đặt thiết bị đến hoạt động của từng máy tính.

Tự động hóa – Giải pháp cho giăng bẫy trong An ninh mạng

Giăng bẫy trong an ninh mạng đã được chứng minh là hiệu quả, nhưng trong nhiều thập kỷ chỉ tồn tại trong các lĩnh vực nghiên cứu. Lý do chủ yếu là triển khai và quản lý một hệ thống lừa gạt hiệu quả quy mô lớn hoàn toàn không thể thực hiện thủ công.

Ví dụ về Phòng thủ chủ động dựa trên đánh lừa hoạt động trên vi phạm của người dùng cuối

Ví dụ về Phòng thủ chủ động dựa trên đánh lừa hoạt động trên vi phạm của người dùng cuối

Để nhanh chóng phát hiện các cuộc tấn công, đánh lừa cần có mặt ở mọi subnet và mọi thiết bị đầu cuối. Nghĩa là chúng ta cần đến hàng nghìn mồi nhử và đánh lừa trên hàng chục nghìn thiết bị. Như đã nói ở trên, giăng bẫy cũng phải hòa nhập vào từng phần của mạng và luôn phù hợp với thực tế.

Đó là lý do Trí tuệ Nhân tạo (AI) là chìa khóa duy nhất để hiện thực hóa tiềm năng của đánh lừa trong an ninh mạng. AI có thể tự động triển khai, quản lý và điều chỉnh hệ thống đánh lừa quy mô lớn, đảm bảo tính hiệu quả và cập nhật.

Tại sao cần Phòng thủ chủ động của Acalvio?

Hầu hết các tổ chức thường triển khai biện pháp phòng thủ an ninh mạng thụ động và dựa trên việc ngăn chặn trực tiếp. Họ sử dụng các công cụ như tường lửa, chống virus, quản lý lỗ hổng và bắt đầu theo dõi các sự kiện. Vấn đề ở đây là kẻ tấn công có thể liên tục dò tìm điểm yếu trong các tuyến phòng thủ thụ động này, sau đó tập trung tấn công vào điểm yếu nhất. Những kẻ tấn công kiên trì, một lúc nào đó, cuối cùng sẽ tìm ra cách đột nhập.

Đánh Lừa được phát triển bởi Trí Tuệ Nhân Tạo (AI)

Acalvio đã cách mạng hóa phòng thủ chủ động (Đánh lừa kẻ tấn công) cho doanh nghiệp bằng cách tích hợp AI vào mọi bước triển khai và quản lý giăng bẫy. Họ tiên phong trong việc sử dụng AI để bảo mật một cách sáng tạo:

  • Nhận dạng mẫu và thuật toán gom nhóm: Tự động phát hiện từng phân khúc mạng, đề xuất cách thiết lập lừa gạt phù hợp cho từng subnet và thiết bị đầu cuối.
  • Xử lý đa cảnh báo: Tự động phân loại nhiều cảnh báo để chỉ tạo ra các sự kiện đáng tin cậy và phân tích hoạt động của kẻ tấn công để tạo ra TTP (chiến thuật, kỹ thuật và quy trình).
  • Kỹ thuật AI độc quyền: Acalvio đã cấp bằng sáng chế cho nhiều kỹ thuật AI để đẩy nhanh quá trình điều tra của Trung tâm An ninh (Security Operations Center – SOC).

Gần đây, Acalvio giới thiệu Copilot, công cụ AI do LLM hỗ trợ, chuyên đặt tên và tạo nội dung cho mồi nhử, cụ thể cho từng ngành và phù hợp với bối cảnh.

Đọc thêm: Acalvio sử dụng Generative AI để tạo ra đánh lừa nhằm Bảo vệ danh tính

Active Defense – Sự bổ sung cho hệ thống phòng thủ an ninh mạng truyền thống

Các biện pháp phòng thủ an ninh mạng truyền thống theo dõi mọi hoạt động trên các tài sản thực và đưa ra cảnh báo về hoạt động đáng ngờ – được phát hiện dựa trên chữ ký hoặc phát hiện bất thường bằng các mô hình máy học xác suất. Điều này dẫn đến nhiều cảnh báo sai và bỏ sót các lỗ hổng zero-day.

Active Defense - Sự bổ sung cho hệ thống phòng thủ an ninh mạng truyền thống

Phòng thủ chủ động triển khai một lớp đánh lừa toàn diện trên toàn bộ mạng doanh nghiệp, thiết bị đầu cuối và kho lưu trữ nhận dạng. Phát hiện dựa trên hoạt động nhắm vào mồi nhử, không phụ thuộc vào chữ ký hay phát hiện bất thường. Điều này mang lại nhiều lợi ích:

  • Cung cấp nguồn cảnh báo mới, ít nhưng tin cậy cao: Bổ sung và khai thác giá trị từ các cảnh báo do các biện pháp phòng thủ khác phát ra.
  • Thêm một lớp phòng thủ khác: Dựa trên phương pháp phát hiện song song, bổ sung cho các biện pháp phòng thủ truyền thống.
  • Phát hiện cả lỗ hổng zero-day: Vì phát hiện dựa trên đánh lừa không phụ thuộc vào việc lỗ hổng đã được biết đến hay chưa.

Giăng bẫy linh hoạt – Vũ khí bí mật của Acalvio Active Defense

Các doanh nghiệp thường có các biện pháp phòng thủ an ninh mạng truyền thống giống nhau. Nếu kẻ tấn công tìm ra cách vượt qua một lớp phòng thủ nào đó, “lớp bảo vệ” chung này sẽ vô tình giúp chúng dễ dàng vượt qua cùng loại phòng thủ ở bất kỳ đâu khác.

Acalvio Active Defense sử dụng Trí tuệ Nhân tạo (AI) để triển khai đánh lừa phù hợp và linh hoạt, tự động tùy chỉnh cho từng thiết bị đầu cuối và từng subnet, ngay cả trong cùng một doanh nghiệp. Đánh lừa cũng được tự động cập nhật và làm mới để phù hợp với bất kỳ thay đổi nào trong môi trường mạng. Ngay cả khi kẻ tấn công phát hiện ra một mồi nhử, nó cũng không tiết lộ thông tin về các mồi nhử khác ở bất kỳ đâu, kể cả trong cùng subnet, khiến lừa gạt trở thành biện pháp phòng thủ an ninh mạng vô cùng hiệu quả.

Sự bảo vệ toàn diện cho tài sản doanh nghiệp

Phòng thủ chủ động bảo vệ toàn bộ tài sản doanh nghiệp của bạn. ShadowPlex được tích hợp sẵn hơn 150 loại đánh lừa khác nhau, và quan trọng hơn, nó cung cấp một khuôn khổ cho phép dễ dàng thêm các loại đánh lừa mới. 

Kiến trúc không yêu cầu agent của Nền tảng Phòng thủ chủ động Acalvio có thể bảo vệ tất cả các tài sản mà các agent EDR (Endpoint Detection and Response) không thể triển khai và các mạng mà các giải pháp NDR (Network Detection and Response) không thể tích hợp trực tuyến. Phòng thủ chủ động hoạt động cực kỳ hiệu quả trong việc bảo vệ các mạng OT/ICS vì đây là giải pháp ít rủi ro, không cần bất kỳ agent nào và không ảnh hưởng đến tài sản doanh nghiệp theo bất kỳ cách nào.

Kẻ tấn công cũng nhắm vào các ứng dụng (ví dụ: Log4Shell). Phòng thủ chủ động là một cơ chế tuyệt vời để chống lại các mối đe dọa ứng dụng, bằng cách cung cấp các mục tiêu ứng dụng đánh lừa mới cho kẻ tấn công và bảo vệ các ứng dụng thực.

Sự bảo vệ toàn diện cho tài sản doanh nghiệp

Identity Security – Lá chắn vững chắc trước Mối đe Dọa Danh tính

Danh tính người dùng luôn là mục tiêu hấp dẫn của kẻ tấn công. Ví dụ vụ tấn công APT 29/SolarWinds đã cho thấy, các giải pháp an ninh Phát hiện và Phản hồi hiện tại thường thiếu khả năng nhận biết chủ động đối với các mối đe dọa Nhận dạng. Phòng thủ chủ động là một cơ chế an ninh tuyệt vời để phát hiện hành vi xâm phạm quyền nhận dạng.

ShadowPlex cung cấp khả năng theo dõi các mục tiêu tấn công trong kho lưu trữ nhận dạng và bộ nhớ cache nhận dạng của thiết bị đầu cuối. Bằng cách sử dụng công nghệ đánh lừa, ShadowPlex có thể phát hiện và phản ứng kịp thời khi hành vi xâm phạm thân phận xảy ra.

Để được tư vấn thêm thông tin về Công nghệ Đánh lừa (Cyber Deception) thuộc giải pháp Acalvio ShadowPlex của hãng bảo mật Acalvio, hãy liên hệ ngay với nhà phân phối Mi2 JSC theo thông tin liên hệ:

Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) 

🌎 Website: www.mi2.com.vn 

📩 Email: mi2jsc@mi2.com.vn

Văn Phòng Hà Nội

  • Add: 7th Floor, Sannam Building, 78 Duy Tan Str., Dich Vong Hau Ward, Cau Giay Dist., Hanoi, Vietnam.
  • Tel: +84-24-3938 0390 |  Fax: +84-24-3775 9550

Văn phòng Hồ Chí Minh

  • Add: 5th &6th Floor, Nam Viet Building, 307D Nguyen Van Troi Str., Ward 1, Tan Binh Dist., Ho Chi Minh City, Vietnam.
  • Tel: +84-28-3845 1542  |  Fax: +84-28-3844 6448