Ngăn ngừa toàn diện các cuộc tấn công APT chỉ là “ảo giác”

Ông Đỗ Ngọc Duy Trác Phó Viện trưởng Viện nghiên cứu và huấn luyện An ninh mạng CSO. Ảnh: Thanh niên

Trong bản tham luận có tên “Sống còn trong tâm bão APT” được trình bày trong khuôn khổ Hội thảo Quốc gia về An ninh Bảo mật 2017 (Security World 2017), ông Đỗ Ngọc Duy Trác, Phó Viện trưởng Viện nghiên cứu và huấn luyện An ninh mạng CSO cho rằng các chiến dịch tấn công mạng có chủ đích (APT) đã, đang diễn ra và kéo dài nhiều năm gần đây. Các cuộc tấn công có chủ đích này bao trùm nhiều khu vực với nhiều hình thức khác nhau và nhằm vào các tổ chức kinh tế, quân đội, cơ quan Chính phủ... Trong đó, nhiều báo cáo xác định Việt Nam là một trong những mục tiêu của các chiến dịch tấn công APT.

Theo ông Đỗ Ngọc Duy Trác, các cuộc tấn công APT thường có đặc tính: cao cấp (bởi nó nhắm tới mục tiêu cụ thể, hoạt động có tính điều phối và có mục đích cụ thể); mang tính thường trực, lâu dài (được chuẩn bị triển khai trong nhiều năm đến khi đạt được mục đích); có tổ chức đứng đằng sau, có sự đầu tư, hậu thuẫn về tài chính và sử dụng nhiều phương pháp mới, phức tạp,…

Theo một khảo sát, 27% các cuộc tấn công APT nhắm vào tổ chức Chính phủ. Tiếp theo là các doanh nghiệp viễn thông với dữ liệu khách hàng rất lớn, tài chính ngân hàng,… Nhưng trong thực tế, 96% tổ chức được khảo sát vẫn bị xâm nhập bất chấp việc hàng năm chi hàng tỷ USD cho các biện pháp phòng chống.

Câu hỏi đặt ra là: Tại sao trong suốt thời gian qua, APT vẫn luôn diễn ra với quy mô và thiệt hại lớn. Theo ông Đỗ Ngọc Duy Trác, lý do bởi "Chúng ta thất bại trong hoạt động ngăn chặn, trong phát hiện sớm và cả thất bại trong việc phản ứng, kiện toàn hệ thống".

Theo phân tích từ vị chuyên gia này, thất bại trong việc ngăn chặn các cuộc tấn công APT có thể minh chứng bằng việc trong 2 năm trở lại đây, phát ngôn của các hãng cung cấp dịch vụ đã ngầm thừa nhận là không thể ngăn chặn APT từ bên ngoài vào trong tổ chức bởi tin tặc luôn tìm ra cách thức, công cụ để đặt chân vào hệ thống. Trong khi đó, các giải pháp ngăn chặn truyền thống (thường dựa trên nguyên tắc mô tả, nhận dạng) không thể ngăn chặn APT bởi các cuộc tấn công APT thường sử dụng các phương thức, kỹ thuật mới, riêng cho từng tổ chức.

Phần lớn các phương thức phòng thủ hiện nay chỉ có thể bảo vệ bên ngoài hệ thống còn tin tặc trong các cuộc tấn công APT đã đặt chân vào bên trong hệ thống. Ngoài ra, các hệ thống CNTT thiết kế thông thường hiện rất khó phân biệt được giữa hành vi của người dùng thông thường và hoạt động của một chiến dịch tấn công APT.

Có tới 79 - 90% mã độc được dùng trong các cuộc tấn công APT đều là mã độc dùng riêng cho mỗi tổ chức và theo ông Trác: "Giới an ninh mạng nhận định việc ngăn ngừa toàn diện các cuộc tấn công APT chỉ là một ảo giác".

Thất bại trong phát hiện các cuộc tấn công bởi mã độc dùng trong các chiến dịch APT gần như tàng hình đối với các giải pháp ngăn chặn, các hệ thống giám sát an ninh mạng truyền thống, các tổ chức hầu như không có thông tin tình báo về các chiến dịch APT đang diễn ra. Việc xâm nhập APT chỉ mất vài phút trong khi thời gian phát hiện ra cuộc tấn công lại phải mất nhiều tuần. Đó là lý do dẫn đến thất bại khi không phản ứng được, thậm chí, không biết tổ chức đã tấn công APT.