Theo thống kê từ AV-TEST (viện nghiên cứu độc lập về an toàn thông tin của Cộng hòa Liên bang Đức) từ năm 2009 đến đầu tháng 10 năm 2018, tức là gần 10 năm, trên thế giới đã xuất hiện hơn 800.000.000 mẫu mã độc mới. Đặc biệt, trong vòng 5 năm gần đây, số lượng mã độc phát triển nhanh chóng trên toàn thế giới đã đặt ra nhiều vấn đề về an toàn thông tin cho toàn bộ những người sử dụng Internet trên toàn cầu.
Bên cạnh đó, các cuộc tấn có chủ đích, hay tấn công APT (Advanced Persistent Threat) gần đây được nhắc tới liên tục, tạo ra mối nguy hiểm cao thường trực. Điều đặc biệt nguy hiểm của tấn công APT là tin tặc có thể tạo ra mã độc riêng cho từng mục tiêu cụ thể, ủ bệnh rất lâu, thậm chí có những loại mã độc có hành vi thể hiện rất ít nên cực kỳ khó phát hiện. Minh chứng rõ nhất là trường hợp nhóm APT30 suốt 10 năm qua đã tấn công nhiều cơ quan chính phủ và nhà báo tại các nước Đông Nam Á, trong đó có Việt Nam, bằng cùng một phương thức mà gần đây mới bị phát hiện. Điển hình là vụ tấn công vào Tổng công ty Hàng không Việt Nam vào cuối tháng 7/2016 và tấn công vào website của một số cảng hàng không thuộc Tổng công ty Cảng hàng không Việt Nam vào tháng 3/2017, hoặc mã độc tấn công UBND TP. Đà Nẵng vào cuối tháng 7/2018.
Cuộc cách mạng công nghiệp 4.0 là xu thế công nghệ tất yếu mà Việt Nam phải hướng đến để theo kịp các nước phát triển trên thế giới. Xu hướng phát triển IoT (Internet of Thing) sẽ là nền tảng tăng cường năng lực và mang lại lợi ích to lớn về kết nối và chia sẻ thông tin. Tuy nhiên, thị trường IoT còn quá mới mẻ, việc kiểm định an toàn thông tin cho thiết bị IoT chưa được quan tâm, vì vậy nguy cơ mất an toàn thông tin trong thời đại IoT là rất lớn. Sự phổ biến của IoT hiện cũng đã trở nên thông dụng trong đời sống sinh hoạt của người dân không chỉ trên thế giới mà còn cả ở Việt Nam. Đó là hệ thống giám sát camera, nhà thông minh, các thiết bị thông minh và kết nối mạng (tivi, tủ lạnh, máy giặt, máy điều hòa…).
Bên cạnh đó, người dùng trong mạng nội bộ là đối tượng dễ bị tấn công từ bên ngoài thông qua các ứng dụng đã tải về hoặc thông qua các tập tin đính kèm trong email, hoặc thông qua các kiểu tấn công của tin tặc thì phần lớn người dùng không hề hay biết.
Người dùng Việt Nam cần phải cẩn trọng hơn, không thể xem thường vấn đề này. Bởi, trong an ninh mạng yếu tố chủ quan người dùng máy tính gần như mang tính quyết định an toàn hay không! Phòng bao giờ cũng tốt hơn chống, không chỉ đối với kiểu tấn công APT, mã độc Petya và WannaCry, lỗ hổng bảo mật IoT mà còn bất kỳ với virus máy tính, mã độc, phần mềm nguy hiểm nào.
Để giảm thiểu tác hại của mã độc, cần phải có giải pháp theo dõi, giám sát và phân tích lưu lượng nhằm phát hiện sớm các các máy tính và thiết bị bị nhiễm mã độc trong mạng nội bộ. Tuy nhiên, hiện tại các công tác theo dõi, giám sát và phát hiện các các máy tính và thiết bị bị nhiễm mã độc đều thực hiện bằng thủ công trên từng máy tính và thiết bị dựa vào các công cụ kiểm tra hoặc chương trình Antil Virus. Việc kiểm tra như vậy sẽ rất khó khăn và tốn nhiều thời gian khi mạng nội bộ có từ hàng chục đến hàng trăm máy tính và thiết bị trở lên và cũng rất khó để phát hiện mã độc đối với các thiết bị IoT như điện thoại thông minh, máy tính bảng, IP Camera, Smart TV…
Để khắc phục các vấn đề trên, cần trang bị một hệ thống có khả năng theo dõi, giám sát và phân tích lưu lượng nhằm phát hiện lưu lượng độc hại và đưa ra các cảnh báo cần thiết cho người quản trị hệ thống. Vì vậy nhóm nghiên cứu do Cơ quan chủ trì Trung tâm ứng cứu khẩn cấp máy tính Vn cùng phối hợp với Chủ nhiệm đề tài Phạm Hồng Vĩnh thực hiện đề tài: “Nghiên cứu xây dựng hệ thống phân tích lưu lượng mạng nhằm phát hiện máy tính và thiết bị trong mạng nội bộ bị nhiễm mã độc” giúp cho việc xác định sớm các các máy tính và thiết bị trong mạng nội bộ bị nhiễm mã độc, từ đó có biện pháp khắc phục kịp thời và hạn chế thiệt hại và phục vụ công tác cảnh báo và ứng cứu sự cố của.
Sau thời gian nghiên cứu, đề tài đã thu được những kết quả như sau:
Về lý thuyết:
– Tìm hiểu và giới thiệu bộ giao thức TCP/IP và các loại luồng dữ liệu như NetFlow và IPFIX, những kiến thức này sẽ rất hữu ích đối với một người phân tích lưu lượng mạng.
– Tìm hiểu và giới thiệu các giải pháp giám sát an ninh mạng để từ đó lựa chọn phương thức phù hợp.
– Tìm hiểu và giới thiệu cách thức thu thập và phân tích lưu lượng mạng để từ đó nhận diện lưu lượng mạng độc hại.
– Đề xuất biện pháp xử lý và gỡ bỏ mã độc trên máy tính trong mạng nội bộ và biện pháp xử lý và gỡ bỏ mã độc trên thiết bị trong mạng nội bộ.
– Xây dựng được hai quy trình đó là Quy trình thực hiện xử lý và gỡ bỏ mã độc trên máy tính và Quy trình thực hiện xử lý và gỡ bỏ mã độc trên thiết bị Android.
Về thực tế:
– Thiết kế, xây dựng hệ thống phân tích lưu lượng mạng nhằm phát hiện máy tính và thiết bị trong mạng nội bộ bị nhiễm mã độc.
– Xây dựng cơ chế nhận diện lưu lượng độc hại thông qua việc xây dựng danh sách các trail độc hại từ những nguồn công khai, xây dựng danh sách các trail độc hại từ Malware C&Cs, Sinkholes Server và AV reports, xây dựng danh sách các trail độc hại riêng tại Việt Nam, xây dựng danh sách các trail độc hại từ các nhóm APT đã biết, xây dựng cơ chế nhận diện tiên tiến (heuristics)
– Xây dựng Website cung cấp thông tin và thống kê tình trạng nhiễm mã độc của máy tính và thiết bị trong mạng nội bộ.
Có thể tìm đọc báo cáo kết quả nghiên cứu (mã số 15840/2018) tại Cục Thông tin KHCNQG.