Các đe dọa ngày càng tăng với hình thức ngày càng tinh vi hơn, mức độ thiệt hại ngày càng lớn và trở thành mối lo ngại của các tổ chức, doanh nghiệp. Websense đã phát triển công nghệ Websense ThreatSeeker để ngăn chặn các đe dọa ngay từ nơi chúng xuất phát và thậm chí cả các tấn công zero-day. Bài viết này sẽ phân tích cách thức công nghệ Websense ThreatSeeker ngăn chặn các đe doạ từ Internet.

CÔNG NGHỆ WEBSENSE THREATSEEKER
Websense ThreatSeeker là khái niệm chung để định nghĩa tất cả công nghệ mà Websense sử dụng để vô hiệu hoá các đe dọa từ Internet. ThreatSeeker sử dụng rất nhiều kỹ thuật và công nghệ khác nhau để chủ động phát hiện các tấn công đã biết và ngay cả các đe dọa chưa biết để ngăn chặn chúng trước khi các đe dọa này có thể lây nhiễm vào hệ thống.
Websense Master Database, WebCatcher và KILO
Websense Master Database: Duy trì, cập nhật cơ sở dữ liệu (CSDL) và thông tin về các website là một trong những yếu tố chủ chốt trong công nghệ của Websense. Các website mới liên tục xuất hiện, do vậy cần phải được phân loại và cập nhật thường xuyên để tìm ra các mối đe dọa và tấn công có thể xảy ra. Một trong những phương pháp mà Websense sử dụng để cập nhật CSDL của mình là công nghệ WebCatcher. Khi người dùng truy cập tới các website mới mà chưa được phân loại trong CSDL thì WebCatcher tự động gửi báo cáo tới Websense về các website mới này. Chúng sẽ được tập hợp và đưa vào trong quy trình xử lý của Websense.
Trong quy trình xử lý, các website mới chưa được phân loại sẽ được kiểm tra để chắc chắn là chúng phân giải ra địa chỉ IP thực. Sau đó một tiến trình tự động sẽ tải về toàn bộ nội dung của website, nội dung này được chuyển tới phần mềm Phân tích dựa trên tri thức nhận biết (Knowledge Indexing Learning and Organization - KILO).
KILO áp dụng kỹ thuật trí tuệ nhân tạo trong việc phân tích và phân loại các website mới. Ngôn ngữ website sẽ được xác định (Websense hỗ trợ hơn 50 ngôn ngữ quốc tế) và bộ lọc tìm kiếm các từ ngữ được sử dụng để hỗ trợ việc phân loại website. Sau khi được xử lý bởi phần mềm KILO, website sẽ được gán một con số để phân nhóm và thuộc một trong 90 nhóm (category) trong CSDL Websense.
Sau khi KILO gán giá trị số cho website, chuyên gia của Websense sẽ duyệt lại tính chính xác trong phân loại của KILO và có thể điều chỉnh lại nếu thấy cần thiết. Khi có sự điều chỉnh của chuyên gia, các tham số của KILO cũng được tự động điều chỉnh để phân loại lại một cách chính xác theo như cách phân loại của chuyên gia. Đối với các website chưa phân loại, các chuyên gia của Websense sẽ trang bị thêm cho KILO tính năng mới để phân loại, giúp cho KILO càng hoàn thiện việc phân loại chính xác các website.

Hàng ngày, các khách hàng của Websense sẽ nhận được bảng cập nhật các website mới đã được phân loại. Đối với các nhóm website nhạy cảm liên quan đến bảo mật, việc cập nhật được thực hiện hàng giờ trong ngày thông qua dịch vụ trực tuyến Real Time Security Updates™.
Sau khi được phân loại, website sẽ tiếp tục được đưa vào chu trình xét duyệt lại đều đặn. Website nhiễm mã độc sẽ được sửa chữa để tránh việc phân loại nhầm website, công việc này diễn ra hàng giờ. Websense cho phép người dùng truy cập lại nhanh chóng khi website đã được quét sạch mã độc. Với qui trình hoạt động như vậy, Websense ngay lập tức bảo vệ người dùng tránh các đe dọa mới phát sinh và cho phép truy cập website ngay khi các đe dọa được loại bỏ.
AppCatcher và ProtocolCatcher
AppCatcher và ProtocolCatcher tương tự như WebCatcher, nhưng thay vì phân loại các website, chúng phân loại các giao thức và ứng dụng. AppCatcher và ProtocolCatcher ghi log mọi kết nối ứng dụng, kiểm tra các cổng (port) và địa chỉ IP của kết nối. Các ứng dụng, cổng giao thức và các IP liên quan mà chưa được phân loại sẽ được báo cáo về Websense. Người dùng sẽ được cập nhật hàng giờ các ứng dụng, giao thức mới được phân loại. Điều này giúp cho quản trị hệ thống ngăn chặn các ứng dụng nguy hiểm hoặc không được phép (như các ứng dụng điều khiển từ xa, proxy avoidance) có thể vòng tránh tường lửa vượt qua được sự kiểm soát theo chính sách an ninh, các ứng dụng IM hoặc chia sẻ ngang hàng – P2P...
Honey Pots
Hacker thường sử dụng các máy tính chưa cài bản vá lỗi như một môi trường thử nghiệm để xác định xem hiệu quả của tấn công đối với một hay một nhóm các điểm yếu cụ thể. Các tấn công này có thể là sự kết hợp nhiều hình thái biến thể của cùng một tấn công để vượt qua chương trình quét virus hay phòng chống xâm nhập.
Honey Pots là kỹ thuật sử dụng các máy tính chưa cài bản vá để làm mồi nhử hacker, cho phép Websense quan sát, theo dõi sự tiến triển và cách thức của tấn công. Khi các “mồi nhử” Honey Pots bị tấn công, các bước khai thác điểm yếu được ghi lại để xác định loại tấn công và cách nào tốt nhất để ngăn chặn nó. Thông thường các tấn công được nhận diện ngay từ giai đoạn phát triển, cho phép chuẩn bị sớm biện pháp đối phó trước khi tấn công có thể lan rộng.
Honey Clients
Honey Clients khác với Honey Pots nhưng mục đích cuối cùng lại giống nhau – nhận diện các đe dọa trước khi chúng hoạt động. Honey Clients là những máy tính được cài bản vá đầy đủ, được sử dụng để truy cập nhiều website khác nhau, cố gắng để bị lây nhiễm mã độc. Honey Clients là chiến thuật rất hiệu quả để chống lại các tấn công zero-day.
Để thực hiện việc tấn công, Hacker sẽ đặt các đoạn mã độc, lợi dụng các điểm yếu tiềm ẩn của hệ điều hành và ứng dụng lên một website. Khi người dùng vô ý truy cập website đó và tải đoạn mã độc, máy tính của họ sẽ bị lây nhiễm. Tấn công Zero-day rất nguy hiểm bởi vì chúng có thể lây nhiễm vào bất kỳ máy tính nào bất kể máy đã cài bản vá hay chưa. Mỗi khi Honey Clients tìm ra website chứa mã độc, CSDL Websense sẽ nhanh chóng được cập nhật. Tấn công Zero-day luôn luôn là mối bận tâm đối với người quản trị hệ thống bởi vì chúng rất khó chống lại. Sử dụng Honey Client là cách hiệu quả để phát hiện ra bất kỳ tấn công zero-day nào bằng cách chủ động đi tìm và phát hiện các tấn công tiềm ẩn khi chúng vẫn đang trong giai đoạn phát triển.
Honey Pots và Honey Client cung cấp cho người dùng nhiều ưu điểm vượt trội để chống lại hacker, bởi cách tiếp cận mới của Websense chủ động tìm kiếm các website chứa mã độc, phát hiện các tấn công ngay từ khi chúng bắt đầu nhen nhóm.
Hacker luôn coi Honey Pots và Honey Clients là những “quả mìn” và muốn tránh xa. Vì lý do này, cộng đồng hackers có danh sách các Honey Pots và Honey Clients và luôn chủ động cập nhật. Một số hacker đã chủ động phòng tránh đối với các Honey Pots và Honey Clients đã biết đến. Website độc hại có thể thay đổi tuỳ theo địa chỉ IP và vùng địa lý của máy tính truy cập.
Tìm kiếm nguồn tấn công từ Web
Websense duy trì lượng lớn các hệ thống máy tính để thực hiện kiểm tra liên tục các website trên toàn cầu. Mỗi ngày hệ thống máy tính của Websense truy cập thông tin tới khoảng 90 triệu website để phân loại chính xác và gỡ các website ra khỏi danh sách đen sau khi chúng đã được quét sạch các chương trình độc hại, mỗi website được kiểm tra lại ít nhất sau mỗi 12 giờ. Một ngoại lệ là đối với các website lớn có thể bị nhiễm mã độc thì chúng được kiểm tra lại đều đặn sau mỗi 20 phút. Tất cả kết quả kiểm tra các website sẽ được lưu vào trong CSDL, cho phép người dùng cập nhật trong thời gian thực.
Cảnh báo các tấn công do phòng Lab của Websense phát hiện
Websense đóng góp thông tin có giá trị cho cộng đồng qua việc liệt kê các tấn công được phát hiện trên trang web cảnh báo của mình: http://www.websensesecuritylabs.com/alerts. Websense phát hiện và cập nhật các tấn công hàng giờ. Phòng Lab Websense công bố các thông tin về các tấn công, bao gồm cách mà Websense phát hiện tấn công, cách tấn công thực hiện như thế nào và tấn công bắt nguồn từ đâu.
Tấn công lợi dụng công cụ tìm kiếm
Một cách thức mà hacker sử dụng để đánh lừa người dùng truy cập vào các trang web độc hại là lợi dụng công cụ tìm kiếm (search engine poisoning). Với cách thức này, hacker lợi dụng các từ khoá tìm kiếm phổ biến nhất, khi người dùng nhập từ khoá vào trang tìm kiếm, nó sẽ cho ra các kết quả bao gồm các trang web độc hại. Hacker sử dụng hình thức tấn công này cùng với tấn công qua DNS (DNS poisoning). Với DNS poisoning, người dùng bị đánh lừa truy cập tới trang web độc hại bởi vì truy vấn DNS trả về địa chỉ IP giả mạo.
Để chống lại loại hình tấn công này, Websense sử dụng Honey Client thực hiện các tìm kiếm thông qua các máy tìm kiếm phổ biến. Dựa trên kết quả tìm kiếm, Websense lần theo các website để kiểm tra xem các trang web đó chứa mã độc không và sau đó chúng sẽ được cập nhật vào CSDL trong thời gian thực.
Kết luận
Việc phòng chống các đe dọa từ Internet ngày càng trở nên khó khăn và quyết liệt hơn. Kiểm soát và phát hiện các website độc hại cũng như việc gỡ chúng khỏi danh sách ngăn chặn (mỗi khi chúng được quét sạch mã độc) luôn đòi hỏi nỗ lực rất lớn, tuy nhiên điều này được giải quyết với nhiều công nghệ, trong đó có công nghệ của Websense. Với giải pháp Websense, Internet đã trở thành môi trường an toàn hơn và là nơi hiệu quả để khách hàng hoàn toàn yên tâm thực hiện các công việc kinh doanh của mình

(*) Tấn công Zero-day là các khai thác vào điểm yếu, lỗ hổng trong hệ điều hành hoặc ứng dụng mà nhà sản xuất chưa phát hiện ra, do đó vẫn chưa có bản vá cho các điểm yếu, lỗ hổng đó.