Trong bối cảnh Chính phủ đang đẩy mạnh hoạt động của Chính phủ Điện tử và chuyển đổi số trên phạm vi cả nước, an ninh mạng đã trở thành một trong những thách thức lớn nhất đối với các cơ quan Đảng và Chính phủ. Tình hình mất an ninh, an toàn thông tin đang ngày càng phức tạp và nghiêm trọng, với sự gia tăng không ngừng của các cuộc tấn công mạng tinh vi và các biến thể mã độc mới. Với bối cảnh như vậy, việc bảo vệ hệ thống thông tin và các sản phẩm phần cứng, phần mềm quan trọng trong các cơ quan Đảng, Chính phủ trước các mối đe dọa từ mã độc trở thành nhiệm vụ hết sức cấp thiết.

CÁC GIẢI PHÁP PHÒNG CHỐNG MÃ ĐỘC PHỔ BIẾN

Giải pháp chống mã độc truyền thống

Chương trình diệt virus là một trong những công cụ phổ biến nhất để bảo vệ hệ thống máy tính khỏi mã độc. Các chương trình này hoạt động dựa trên mẫu mã độc (malware signature), cho phép nhận diện và loại bỏ các tệp tin độc hại đã biết. Tuy nhiên, chúng không thể phát hiện các biến thể mới hoặc các mã độc chưa được cập nhật trong cơ sở dữ liệu.

Giải pháp chống mã độc dựa trên phân tích hành vi

Phân tích hành vi là một kỹ thuật tiên tiến hơn, sử dụng thuật toán để giám sát và phân tích hành vi của các tiến trình chạy trên hệ thống nhằm phát hiện các hoạt động bất thường. Ưu điểm của giải pháp này là giúp nhận diện các mã độc mới hoặc các biến thể của mã độc cũ.

Giải pháp chống mã độc dựa trên trí tuệ nhân tạo và học máy

Sử dụng trí tuệ nhân tạo (AI) và học máy (ML) trong việc phòng chống mã độc là xu hướng ngày càng phổ biến. Các thuật toán học máy được huấn luyện trên các tập dữ liệu lớn để học cách phân

biệt mã độc - phần mềm hợp pháp. Hệ thống AI tự động học hỏi từ các cuộc tấn công mới để điều chỉnh, phát hiện và ngăn chặn trong thời gian thực.

Giải pháp chống mã độc dựa trên Sandboxing

Sandboxing là phương pháp cô lập các ứng dụng trong môi trường ảo hóa an toàn để giám sát hành vi của chúng mà không gây ảnh hưởng đến hệ thống thực. Sandboxing giúp phát hiện các loại mã độc khó chịu và tinh vi, đặc biệt là những mã độc sử dụng kỹ thuật né tránh (evasion techniques) để qua mặt các hệ thống bảo vệ khác.

Giải pháp chống mã độc qua lớp mạng: Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

IDS giám sát lưu lượng mạng để phát hiện các hành vi bất thường hoặc xâm nhập tiềm tàng, trong khi IPS không chỉ phát hiện mà còn có khả năng ngăn chặn các mối đe dọa trước khi chúng gây ra thiệt hại. IDS/IPS giúp phát hiện các mẫu mã độc đã biết được truyền trong mạng cũng như các hành vi bất thường có thể có sự hiện diện của mã độc.

Giải pháp phòng chống mã độc dựa trên đám mây

Các giải pháp này tận dụng lợi thế của cơ sở hạ tầng đám mây cho phép các tổ chức sử dụng sức mạnh tính toán lớn để phân tích các mối đe dọa và mã độc từ xa. Đám mây liên tục cập nhật thông tin về các mối đe dọa mới nhất, giúp hệ thống chống lại các cuộc tấn công ngay khi được phát hiện.

Giải pháp phát hiện và phản ứng đầu cuối

Giải pháp phát hiện và phản hồi điểm cuối (Endpoint Detection and Response - EDR) không chỉ phát hiện các hành vi bất thường mà còn cung cấp các công cụ để phân tích cuộc tấn công, đồng thời đưa ra các biện pháp xử lý nhanh chóng để ngăn chặn sự lây lan của mã độc trên các điểm đầu cuối.

Mặc dù các giải pháp chống mã độc kể trên cung cấp các lớp bảo vệ mạnh mẽ, chúng không hoàn hảo và có những hạn chế riêng. Ví dụ, chương trình diệt virus truyền thống dễ bị tụt hậu trong việc phát hiện mã độc mới, trong khi hệ thống dựa trên AI/ML cần lượng dữ liệu lớn và có thể gặp khó khăn trong việc phân biệt giữa mã độc và phần mềm hợp pháp Sandboxing yêu cầu tài nguyên hệ thống lớn và có thể gây chậm trễ trong việc xử lý tệp, còn các giải pháp dựa trên đám mây phụ thuộc nhiều vào tốc độ và độ tin cậy của kết nối mạng. Do đó, việc nghiên cứu giải pháp tích hợp phòng chống mã độc vào các sản phẩm phần cứng, phần mềm và ứng dụng quan trọng giúp tăng cường bảo mật là cần thiết.

GIẢI PHÁP TÍCH HỢP PHÒNG CHỐNG MÃ ĐỘC VÀO CÁC SẢN PHẨM, ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRONG CÁC CƠ QUAN ĐẢNG, CHÍNH PHỦ

Giới thiệu về bộ công cụ phát triển phần mềm chống mã độc Kaspersky SDK

Bộ công cụ phát triển phần mềm chống mã độc Kaspersky (Kaspersky Anti-Virus Software Development Kit - Kaspersky SDK) là công nghệ của Kaspersky cho phép tích hợp công nghệ lõi phòng chống virus vào các giải pháp phần cứng hoặc phần mềm của bên thứ ba. Kaspersky SDK cung cấp khả năng bảo vệ toàn diện cho các thiết bị khỏi virus, trojan, worm, rootkit, spyware, adware và tất cả các loại phần mềm độc hại khác. Kiến trúc linh hoạt và thông minh của Kaspersky SDK cũng như API toàn diện cho phép tích hợp công nghệ Kaspersky Anti-Malware với nhiều nền tảng phần cứng và phần mềm khác nhau, hỗ trợ nhiều cơ chế như: Bảo vệ theo thời gian thực, Self Defense, Bảo vệ đám mây, Scan Engine, Mobile Security.

Hình 1. Các tính năng chính của Kasperksy SDK

Các tính năng chính mà bộ Kaspersky SDK tích hợp cho nền tảng máy chủ/máy bàn (Windows, Linux/Mobile) cung cấp như Hình 1, bao gồm:

- On demand scanning: Quét tập tin theo nhu cầu.

- Regular file scanning: Quét định kỳ theo lịch.

- Memory block scanning: Quét trên Ram.

- IStream scanning: Quét luồng dữ liệu.

- Boot sectors scanning: Quét boot sector trên ổ cứng.

- Scanning of packed, encoded objects: Quét các tập tin nén định dạng phổ biến.

- Scanning of web addresses for phishing: Quét các địa chỉ web lừa đảo.

- Synchronous and asynchronous scanning:

Quét đồng bộ và bất đồng bộ.

- Disinfection of infected objects: Làm sạch tập tin bị nhiễm mã độc.

- Disinfection of infected archives and encoded objects: Làm sạch tập tin bị nhiễm mã độc trong file nén.

- Reloading anti-malware database on the fly: Tải lại cơ sở dữ liệu về mã độc trong quá trình hoạt động.

- Utilizing several CPUs: Tiết kiệm hiệu năng CPU.

- File system monitoring: tất cả các hoạt động của tệp đều được giám sát an toàn thông tin.

- POP3 and SMTP monitoring: bảo vệ, giám sát tin nhắn email được gửi qua giao thức POP3 và SMTP.

- Web monitoring: phân tích lưu lượng HTTP, chặn các yêu cầu tới các trang web độc hại bằng cách kiểm tra chúng với cơ sở dữ liệu URL độc hại, ngăn chặn việc thực thi các tập lệnh Windows Scripting Host (WHS) độc hại, quét tệp được truyền qua HTTP và cảnh báo người dùng.

- Proactive monitoring: công nghệ chủ động giúp giám sát hoạt động của các tiến trình và ngăn chặn mã độc dựa trên phân tích hành vi. Đây là một trong những biện pháp đối phó hiệu quả đối với các tấn công dạng chèn mã (Injection).

Ngoài ra còn một số tính năng khác như: Giám sát chủ động ( Proactive Defense Monitor), bảo vệ DNS, tự sao lưu…

Tùy thuộc mục đích tích hợp, Kaspersky SDK có thể cung cấp nhiều tính năng khác nhau, tuy nhiên thành phần chính vẫn là trình quét mã độc Kaspersky Engine. Đây là cốt lõi của sản phẩm thực hiện tất cả các hoạt động quét mã độc, giám sát và ngăn chặn.

Ưu điểm của giải pháp tích hợp Kaspersky SDK

- Đảm bảo an toàn cho các sản phẩm quan trọng:

Việc tích hợp Kaspersky SDK vào các sản phẩm phần cứng, phần mềm và ứng dụng quan trọng không chỉ tăng cường khả năng phòng thủ mà còn giúp các tổ chức duy trì hoạt động ổn định và bảo vệ các tài sản thông tin quan trọng.

- Khả năng tương thích và tích hợp linh hoạt:

Kaspersky SDK được thiết kế với kiến trúc linh hoạt và API toàn diện, cho phép tích hợp dễ dàng với nhiều nền tảng phần cứng và phần mềm khác nhau. Điều này cho phép các tổ chức triển khai giải pháp bảo mật mà không phải thay đổi cấu trúc hạ tầng hiện có, tối ưu hóa chi phí và thời gian triển khai.

- Bảo vệ toàn diện và cập nhật liên tục: Với khả năng bảo vệ theo thời gian thực và hỗ trợ từ hệ thống đám mây, Kaspersky SDK đảm bảo rằng hệ thống luôn được cập nhật với các mối đe dọa mới nhất. Điều này giúp giảm thiểu rủi ro bị tấn công bởi các mã độc mới và tinh vi, đồng thời bảo vệ dữ liệu và tài sản thông tin của tổ chức.

- Đáp ứng các yêu cầu bảo mật hiện đại: Trong bối cảnh các quy định và tiêu chuẩn bảo mật ngày càng nghiêm ngặt, việc tích hợp Kaspersky SDK giúp các tổ chức đáp ứng các yêu cầu pháp lý và tiêu chuẩn bảo mật quốc tế.

THỰC NGHIỆM, ĐÁNH GIÁ

Tác giả thực hiện nghiên cứu tích hợp Kaspersky SDK vào ứng dụng bảo mật BMTEP. Trước khi tệp tin được mã hóa hoặc giải mã sẽ được Kaspersky SDK thực hiện quét kiểm tra mã độc. Kết quả thực nghiệm dưới đây được thực hiện trên PC hệ điều hành Windows 10, Ram 16GB, Chip Core I7 2,8GHz.

Trong các bài kiểm tra thực nghiệm, thời gian quét trung bình cho một hệ thống tiêu chuẩn là khoảng 5 phút, điều này được đánh giá là chấp nhận được trong các môi trường có yêu cầu bảo mật cao. Khi kích hoạt các chế độ quét nâng cao như quét toàn bộ hệ thống hoặc quét sâu các tệp tin có định dạng phức tạp, thời gian quét có thể kéo dài hơn. Tuy nhiên, nhờ sự tối ưu hóa của Kaspersky SDK, sự chênh lệch về thời gian so với các giải pháp khác không quá đáng kể.

MỘT SỐ ĐIỂM LƯU Ý KHI TRIỂN KHAI GIẢI PHÁP

Mặc dù Kaspersky SDK đã cho thấy nhiều ưu điểm vượt trội trong việc bảo vệ hệ thống trước các mối đe dọa từ mã độc, quá trình thực nghiệm cũng đã chỉ ra một số khuyết điểm của sản phẩm. Một số điểm cần lưu ý như sau:

Bảng 1. Kết quả thực nghiệm đánh giá hiệu năng quét mã độc tập tin sau khi tích hợp giải pháp

Bộ SDK do Kaspersky cung cấp có thể tích hợp cho nhiều sản phẩm với ngôn ngữ phát triển và hệ điều hành khác nhau nhưng cũng gây khó khăn cho việc tích hợp do đây là sản phẩm phức tạp, cần hiểu và nắm vững các yêu cầu sản phẩm, nền tảng chạy sản phẩm, kinh nghiệm lập trình cho nhiều ngôn ngữ khác nhau. Việc tích hợp hiện nay chủ yếu với các sản phẩm viết bằng ngôn ngữ C/C++. Với các sản phẩm viết bằng ngôn ngữ khác thì cần phải tự xây dựng thư viện bọc, gọi từ C++ để có thể tích hợp.

Việc tích hợp Kaspersky SDK trực tiếp lên sản phẩm sẽ gây ảnh hưởng đến thời gian khởi động ứng dụng do cần thời gian khởi tạo công nghệ lõi quét mã độc và tiêu tốn hiệu năng của hệ thống cũng như thời gian thực hiện quét tập tin trước khi thực hiện mã hóa dữ liệu. Điều này không thể tránh khỏi.

Bên cạnh đó, để đảm bảo các chức năng của giải pháp hoạt động tốt cũng như duy trì khả năng phát hiện mã độc mới nhất thì cơ sở dữ liệu mẫu phải được thường xuyên cập nhật. Muốn cập nhật các mẫu mã độc mới nhất cần có đầy đủ bản quyền được trả phí theo thỏa thuận với Kaspersky.

Một điểm quan trọng cần lưu ý, Bộ SDK do Kaspersky cung cấp là sản phẩm thương mại mã nguồn đóng, do đó bên cạnh các thỏa thuận phối hợp cũng như cam kết an toàn khác thì việc trực tiếp hiểu về kiến trúc, đánh giá các module mã nguồn sản phẩm do đối tác cung cấp, đảm bảo các tiêu chuẩn an ninh an toàn khi triển khai sản phẩm có tích hợp công nghệ của Kaspersky là điều cần thiết. Hãng có cơ chế cho phép các đối tác được xem mã nguồn sản phẩm tại các trung tâm minh bạch trên toàn cầu, mặc dù cũng giới hạn nhất định với các module được xem mã nguồn. Do đó, cần thiết xây dựng quy trình review mã nguồn sản phẩm để thực hiện đánh giá, hạn chế các thành phần có nguy cơ gây lộ lọt, mất an toàn thông tin.

KẾT LUẬN

Tích hợp Kaspersky SDK vào các sản phẩm phần cứng, phần mềm và ứng dụng là một giải pháp tối ưu để nâng cao khả năng bảo mật của các tổ chức. Với công nghệ tiên tiến và khả năng bảo vệ toàn diện, Kaspersky Anti-Virus SDK không chỉ giúp các tổ chức phòng chống mã độc hiệu quả mà còn đảm bảo an toàn cho các hệ thống thông tin quan trọng. Điều này là cần thiết để các cơ quan Đảng, Chính phủ và các tổ chức khác có thể hoạt động một cách an toàn, hiệu quả và bền vững trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.

TÀI LIỆU THAM KHẢO [1]. Tài liệu online về các sản phẩm của Kaspersky, https://kaspersky.antivirus.lv/eng/downloads/documentation.. [2]. Tài liệu Kaspersky SDK version 8 do hãng cung cấp cho các đối tác tích hợp, “Kaspersky Anti-Virus Software Development Kit 8 Level 3”, 2022..