MỤC LỤC

MỤC LỤC............................................................................................................1

MỞ ĐẦU..............................................................................................................2

I. TỔNG QUAN VỀ CUỘC TẤN CÔNG APT................................................3

1.1. Khái niệm APT..........................................................................................3

1.2. Các đặc điểm chính của APT...................................................................4

1.3. Vòng đời của APT.....................................................................................5

Trinh sát.........................................................................................................5

Triển khai và xâm nhập................................................................................6

Thiết lập sự duy trì........................................................................................6

Lọc dữ liệu.....................................................................................................7

1.4. Hậu quả của các cuộc tấn công APT.......................................................7

1.5. Sự khác biệt giữa APT và các hình thức tấn công khác........................8

II. CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT............................9

2.1. Các yêu cầu đối với hệ thống phòng chống tấn công APT....................9

2.2. Các phương pháp phòng chống tấn công APT.......................................9

2.3. Con người.................................................................................................17

KẾT LUẬN........................................................................................................18

1
 MỞ ĐẦU
Ngày nay, cùng với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ
chức phải hoa minh vào mạng toàn cầu Internet, an toàn và bảo mật thông tin là
một trong những vấn để quan trọng hàng đầu. Cộng đồng công nghệ thông tin,
đặc biệt đối với các doanh nghiệp, tổ chức có hạ tầng thông tin tiên tiến hiện nay
đang phải đối mặt với sự biến đổi, phức tạp từng ngày của các nguy cơ mất an
toàn thông tin.
Theo hiệp hội An Toàn Thông Tin Việt Nam, hiện nay tội phạm máy tính
vẫn đang liên tục gia tăng, đáng chú ý là sự xuất hiện của tấn công APT
(Advanced Persistent Threats) trong vài năm trở lại đây. APT thường sử dụng
nhiều loại phương pháp, công nghệ tinh vi và phức tạp để tấn công các mục tiêu
cụ thể nhằm đạt được thông tin mặt nhạy cảm.
Trong thực tế, từ nhiều năm qua, các cơ quan chính phủ như các bộ
ngành, các doanh nghiệp lớn có vai trò đáng kể trong nền kinh tế như năng
lượng, hàng không, viễn thông,… đã là đích ngắm của tội phạm tấn công APT.
Các hacker trước đây phần lớn hoạt động vì động cơ cá nhân, nhưng ngày nay
rất nhiều cuộc tấn công APT đánh cấp dữ liệu ngoài động cơ tài chính còn có thể
có động cơ chính trị, mà đứng sau nó là một chính phủ hoặc một quốc gia. Theo
diễn biến như hiện nay thì tội phạm tấn công APT sẽ còn liên tục phát triển và sẽ
có nhiều diễn biến khó lường. Vì vậy cần phải có những hiểu biết về cuộc tấn
công này và các biện pháp phòng chống chúng để đảm bảo an toàn thông tin.
Vì vậy, nhóm chúng em chọn đề tài “Tấn công APT và các giải pháp
phòng chống để bảo đảm an toàn thông tin” cho bài tiểu luận này.
Bài tiểu luận gồm 2 phần:
Phần 1: Tổng quan về cuộc tấn công APT.
Phần 2: Các giải pháp phòng chống tấn công APT.

2
 I. TỔNG QUAN VỀ CUỘC TẤN CÔNG APT
1.1. Khái niệm APT
Tấn công APT (Advanced Persistent Threat - tạm dịch là các mối đe dọa
dai dẳng nâng cao) là hình thức tấn công tập trung, có chủ đích, được thiết kế
riêng cho từng mục tiêu, để xâm nhập vào đối tượng có chứa dữ liệu nhằm tìm
kiếm các thông tin giá trị và gửi ra bên ngoài.
Các thành phần của từ viết tắt APT:
- Advanced (Nâng cao): Các nhà khai thác đằng sau mối đe dọa có đầy đủ
các kỹ thuật thu thập thông tin tình báo theo ý của họ. Chúng có thể bao gồm
các công nghệ và kỹ thuật xâm nhập máy tính thương mại và nguồn mở, nhưng
cũng có thể mở rộng để bao gồm bộ máy tình báo của một quốc gia. Mặc dù các
thành phần riêng lẻ của cuộc tấn công có thể không được coi là đặc biệt "nâng
cao" (ví dụ: các thành phần phần mềm độc hại được tạo ra từ các bộ công cụ xây
dựng phần mềm độc hại tự làm thường có sẵn hoặc sử dụng các tài liệu khai thác
dễ mua), các nhà điều hành của họ thường có thể truy cập và phát triển các công
cụ nâng cao hơn theo yêu cầu. Họ thường kết hợp nhiều phương pháp, công cụ
và kỹ thuật nhắm mục tiêu để tiếp cận và thỏa hiệp mục tiêu của họ và duy trì
quyền truy cập vào mục tiêu đó. Các nhà khai thác cũng có thể chứng minh sự
tập trung có chủ ý vào bảo mật hoạt động để phân biệt chúng với các mối đe dọa
"kém tiên tiến hơn".
- Persistent (Dai dẳng): Các nhà khai thác có các mục tiêu cụ thể, thay vì
tìm kiếm cơ hội thông tin cho lợi ích tài chính hoặc lợi ích khác. Sự khác biệt
này ngụ ý rằng những kẻ tấn công được hướng dẫn bởi các thực thể bên ngoài.
Việc nhắm mục tiêu được thực hiện thông qua giám sát và tương tác liên tục để
đạt được các mục tiêu đã xác định. Nó không có nghĩa là một loạt các cuộc tấn
công liên tục và cập nhật phần mềm độc hại. Trên thực tế, cách tiếp cận "thấp và
chậm" thường thành công hơn. Nếu nhà điều hành mất quyền truy cập vào mục
tiêu của họ, họ thường sẽ thử truy cập lại và thường xuyên nhất là thành công.
Một trong những mục tiêu của nhà điều hành là duy trì quyền truy cập lâu dài
3
vào mục tiêu, trái ngược với các mối đe dọa chỉ cần truy cập để thực hiện một
nhiệm vụ cụ thể.

- Threat (mối đe dọa): APT là một mối đe dọa vì chúng có cả khả năng và
ý định. Các cuộc tấn công APT được thực hiện bởi các hành động phối hợp của
con người, thay vì bởi các đoạn mã tự động và vô tâm. Các nhà khai thác có một
mục tiêu cụ thể và có kỹ năng, động lực, có tổ chức và được tài trợ tốt. Các tác
nhân không bị giới hạn trong các nhóm được nhà nước tài trợ.
1.2. Các đặc điểm chính của APT
+ Targeted (Mục tiêu): Hacker xác định một cách chính xác mục tiêu cụ thể
để tấn công và khai thác tới những tổ chức, những cá nhân, những quốc gia, nhà
nước cụ thể.....
+ Persistent (Dai dẳng): Quá trình tấn công APT diễn ra theo nhiều giai
đoạn khác nhau trong một thời gian dài. Sử dụng nhiều các kỹ thuật, phương
pháp khác nhau để tấn công vào mục tiêu đến khi thành công.
+ Evasive (Tránh né và ẩn mình): Tấn công APT được thiết kế để có thể
"qua mặt" được hầu hết các giải pháp đảm bảo ATTT truyền thông như Firewall,
IPS, Antivirus,…
+ Complex (Phức tạp): APT phối kết hợp nhiều các kĩ thuật khác nhau một
cách khoa học và bài bản nhằm những mục tiêu nhiều lỗ hồng bảo một trong các
tổ chức.
+ Các Malware: Malware là thuật ngữ chung bao gồm nhiều loại phần
mềm với một điểm chung đó là xâm nhập thông tin hoặc một hệ thống vì một
hoặc nhiều lý do.
+ Kỹ thuật Social Engineering: Trong tấn công APT, kẻ tấn công sử dụng
spear-phishing email (một dạng phishing) đính kèm với file có vẻ vô hại mà mục
tiêu có khả năng sẽ mở.

4
 + Khai thác các lỗ hổng Zero-day và các Exploit khác: Zero-day exploit là
một lỗ hồng trong một sản phẩm phần mềm mà cho phép một kẻ tấn công thực
thi mã không mong muốn hoặc giành quyền kiểm soát máy tính của mục tiêu.
+ Insiders và Recruity: Insider Attack - tấn công nội bộ. Insider Attack có
một thế mạnh rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ
thống công ty, và di chuyển ra vào tự do trong công ty.
+ Forged và Fake Certificates (giả mạo chứng chỉ điện tử): Thông thường
các tin tặc sử dụng các chứng chỉ SSL gia mạo cho các website không có thật và
mạo danh là một trang web hợp pháp.
1.3. Vòng đời của APT
Vòng đời của APT thường bao gồm một số giai đoạn, mỗi giai đoạn được
thiết kế để tiếp tục mở rộng và hoạt động của mối đe dọa đó. Các giai đoạn
chính xác có thể khác nhau tùy thuộc vào APT cụ thể và tác nhân đe dọa đằng
sau nó.

Hình 1. Vòng đời của APT

Các giai đoạn chung của APT bao gồm:
Trinh sát
Trong giai đoạn này, hacker tiến hành trinh sát để thu thập thông tin về
mục tiêu và lỗ hổng của chúng. Điều này có thể bao gồm các cuộc tấn công kỹ
5
thuật và kỹ thuật xã hội tập trung vào việc phát triển sự hiểu biết về hệ thống đó
và các nhà khai thác nó.
Một số kỹ thuật phổ biến sẽ bao gồm:
- Xác định và nghiên cứu hệ thống mục tiêu: Ở giai đoạn này, kẻ tấn công
sẽ cố gắng hết sức để hiểu hệ thống mục tiêu. Điều này có thể bao gồm việc phát
triển hồ sơ của nạn nhân, bao gồm hồ sơ phần cứng và phần mềm của họ cũng
như các quản trị viên chính.
- Thực hiện trinh sát: Nghiên cứu cũng sẽ bao gồm một số hình thức trinh
sát, bao gồm hack low-cover vào các hệ thống ngoại vi hoặc các cuộc tấn công
lừa đảo. Những hành động này giúp kẻ tấn công hiểu rõ hơn về cơ sở hạ tầng
chính xác trong khi lấp đầy khoảng trống trong cơ sở kiến thức của họ.
- Công cụ xây dựng: Kẻ tấn công sau đó sẽ xây dựng các công cụ cần thiết
để xâm nhập vào hệ thống. Hầu hết các cuộc tấn công không được xây dựng trên
phần mềm đã được thiết lập, thay vào đó, kẻ tấn công sẽ kết hợp một số cơ quan
khác nhau hoặc xây dựng riêng để khai thác bất kỳ lỗ hổng nào mà chúng tìm
thấy.
Triển khai và xâm nhập
Một khi tác nhân đe dọa đã thu thập đủ thông tin, họ sẽ cố gắng giành được
chỗ đứng trong mạng lưới của mục tiêu. Điều này có thể liên quan đến việc sử
dụng các kỹ thuật kỹ thuật xã hội để lừa nhân viên tải xuống phần mềm độc hại
hoặc khai thác lỗ hổng trong hệ thống.
Thiết lập sự duy trì
Sau khi có được quyền truy cập ban đầu, tác nhân đe dọa sẽ cố gắng thiết
lập sự duy trì trong mạng của mục tiêu. Điều này có thể bao gồm cài đặt
backdoor hoặc tạo tài khoản người dùng để duy trì quyền truy cập ngay cả khi
điểm thỏa hiệp ban đầu được phát hiện và khắc phục.
- Thiết lập kết nối ra bên ngoài: Kẻ tấn công sẽ bắt đầu giao tiếp với các
máy chủ bên ngoài hệ thống bị nhiễm. Thông thường, giao tiếp đi này sẽ được
ẩn trong các gói trên mạng.

6
 - Nâng cao đặc quyền: Một khi tác nhân đe dọa đã thiết lập sự duy trì, họ
sẽ cố gắng leo thang các đặc quyền của họ trong mạng lưới của mục tiêu. Điều
này có thể liên quan đến việc khai thác các lỗ hổng trong phần mềm hoặc hệ
thống để có quyền truy cập quản trị.
- Di chuyển ngang: Với các đặc quyền leo thang, tác nhân đe dọa sẽ cố
gắng di chuyển ngang trong mạng của mục tiêu để truy cập vào dữ liệu hoặc hệ
thống nhạy cảm. Điều này có thể liên quan đến việc xâm phạm các hệ thống
hoặc tài khoản bổ sung để truy cập dữ liệu hoặc hệ thống quan trọng.
Lọc dữ liệu
Sau khi có quyền truy cập vào dữ liệu nhạy cảm, tác nhân đe dọa sẽ cố
gắng trích xuất dữ liệu khỏi mạng của mục tiêu. Điều này có thể liên quan đến
việc sử dụng các kỹ thuật khác nhau để che giấu việc rò rỉ dữ liệu, chẳng hạn
như sử dụng mã hóa hoặc ẩn dữ liệu trong các tệp dường như vô hại.
- Trích xuất dữ liệu: Quan trọng, APT sẽ cố gắng lấy dữ liệu từ hệ thống bị
nhiễm. Điều này có thể có nghĩa là kết xuất nội dung cơ sở dữ liệu, kéo các tệp
cấu hình hoặc lắng nghe lưu lượng mạng để thu thập thêm thông tin về một tổ
chức.
- Duy trì quyền truy cập: Ngay cả sau khi trích xuất dữ liệu, tác nhân đe
dọa có thể cố gắng duy trì quyền truy cập vào mạng của mục tiêu cho các cuộc
tấn công trong tương lai. Điều này có thể liên quan đến việc thiết lập backdoor
hoặc tài khoản người dùng mới hoặc để lại phần mềm độc hại hoặc các công cụ
khác để cho phép truy cập mạng từ xa.
1.4. Hậu quả của các cuộc tấn công APT
Các cuộc tấn công APT là những cuộc tấn công mạng mục tiêu vào tổ chức
hoặc cá nhân cụ thể với mục đích truy cập và cố gắng duy trì quyền truy cập vào
hệ thống mạng mục tiêu trong thời gian dài. Hậu quả của các cuộc tấn công APT
có thể rất nghiêm trọng và ảnh hưởng đến nhiều khía cạnh khác nhau, bao gồm:
- Mất dữ liệu quan trọng: Một trong những hậu quả nghiêm trọng nhất của
cuộc tấn công APT là mất dữ liệu. Kẻ tấn công có thể truy cập và ăn cắp thông

7
tin quan trọng, bao gồm dữ liệu khách hàng, dữ liệu tài chính, thông tin nhạy
cảm, và bí mật công nghệ.
- Thiệt hại về uy tín: Khi thông tin cá nhân hoặc dữ liệu quan trọng bị rò rỉ
hoặc bị đánh cắp, tổ chức sẽ mất uy tín trong mắt khách hàng, đối tác kinh
doanh và cơ quan quản lý. Điều này có thể dẫn đến mất mát khách hàng, hậu
quả pháp lý và sụp đổ của doanh nghiệp.
- Sụp đổ hệ thống: Cuộc tấn công APT có thể dẫn đến sụp đổ hoặc mất
kiểm soát của hệ thống mạng. Kẻ tấn công có thể tạo ra các lỗ hổng bảo mật
hoặc tạo ra một cửa ngỏ để truy cập hệ thống mạng và gây hại.
- Rủi ro an ninh quốc gia: Nếu cuộc tấn công APT được thực hiện bởi một
quốc gia hoặc tổ chức có liên quan đến quốc gia, hậu quả có thể lan rộng đến an
ninh quốc gia. Thông tin quân sự, thông tin tình báo, và cơ sở hạ tầng quốc gia
có thể bị đe dọa.
- Mất tiền và thời gian: Để khắc phục hậu quả của một cuộc tấn công APT,
tổ chức cần phải tiêu tốn một lượng lớn tiền và thời gian. Các biện pháp an ninh
mạng phải được tăng cường, hệ thống phải được sửa chữa, và dữ liệu phải được
khôi phục. Điều này có thể tạo ra các chi phí đáng kể và giảm hiệu suất hoạt
động của tổ chức.
- Tổn thất về tài chính: Cuộc tấn công APT có thể gây ra tổn thất về tài
chính cho tổ chức bởi vì họ phải chi trả cho việc khắc phục hậu quả của tấn
công, mất mát doanh thu do mất khách hàng, và đối mặt với các khoản phạt
pháp lý nếu thông tin cá nhân của khách hàng bị đánh cắp.
- Tác động tâm lý: Nhân viên và lãnh đạo của tổ chức có thể trải qua tác
động tâm lý nghiêm trọng sau khi trải qua một cuộc tấn công APT. Họ có thể
cảm thấy bất an, lo lắng về an ninh cá nhân và cảm thấy mất niềm tin vào hệ
thống bảo mật của tổ chức.
1.5. Sự khác biệt giữa APT và các hình thức tấn công khác
• Mục tiêu tấn công rõ ràng, cụ thể;
• Thời gian nghiên cứu hệ thống tấn công dài,

8
• Thu thập thông tin;
• Nhắm vào các điểm yếu nhất của hệ thống:
• Duy trì việc truy cập dài hạn:
• Không phá hủy hay làm ảnh hưởng đến quy trình làm việc của hệ thống.

9
 II. CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT
2.1. Các yêu cầu đối với hệ thống phòng chống tấn công APT
Khi đã triển khai các giải pháp phòng chống APT trên toàn bộ hệ thống,
chúng phải đảm bảo hai nhiệm vụ chính như sau:
- Phát hiện và ngăn chặn các mối đe dọa để bảo vệ hệ thống khỏi các cuộc
tấn công trong nội bộ cũng như từ bên ngoài.
- Ứng phó trong mọi tình huống giúp tự động khắc phục và đẩy nhanh chủ
trình ứng cứu khi có sự cố.
Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu:
- Chống lại những mối đe dọa: Giải pháp phòng chống thực sự cần cung
cấp khả năng chống lại các cuộc tấn công nhằm vào từng giai đoạn của vòng đời
APT: trước khi tải về, khi chúng lưu thông trong mạng cho đến khi chúng đã
được cài đặt trên thiết bị đầu cuối.
- Bảo vệ dữ liệu khỏi bị đánh cắp: Một giải pháp phòng chống toàn diện
thực sự sẽ trực tiếp phát hiện và ngăn chặn việc tiếp cận trái phép các thông tin
nhạy cảm, có giá trị.
- Phân tích được các vấn đề an ninh mạng: Một giải pháp phòng chống còn
cung cấp hồ sơ lịch sử của tất cả các hoạt động mạng, do đó, bạn có thể "quay
ngược thời gian” để tìm kiếm những mối đe dọa mà hệ thống không hề biết tại
thời điểm đó.
2.2. Các phương pháp phòng chống tấn công APT
Quản lý rủi ro
Nhiệm vụ quan trọng nhất trong phòng chống APT đó là hiểu về những gì
cần bảo vệ. “Mỗi tổ chức phải lập kế hoạch quản lý rủi ro, phân bổ ngân sách và
các nguồn lực để bảo vệ các tài sản có giá trị nhất đối với các tổ chức.
Các công nghệ
1. Antivirus:
Antivirus trở nên quen thuộc với mỗi người sử dụng máy tính.

10
 Hình 2. Các phần mềm antivirus

2. Firewalls:
Tường lửa có một lịch sử lâu dài trong việc ngăn chặn hoặc cho phép các
gói tin mạng dựa trên nguồn gốc và địa chỉ IP đích và số cổng.

Hình 3. Mô hình mạng sử dụng Firewall

3. Penetration Testing:
- Đánh giá độ an toàn bằng cách tấn công (đánh trận giả).
- Xác định khả năng bị tấn công, khả năng kết hợp các nguy cơ nhỏ thành
mối nguy cơ lớn.
- Xác định các nguy cơ mà các công cụ tự động không phát hiện được.
- Khả năng của hệ thống trong việc ngăn chặn các loại hình tấn công.
- Lượng hoá các vấn đề cần đầu tư cho bảo mật.

11
 Hình 4. Các bước tiến hành Pentest
4. Data Loss Prevention (DLP - ngăn chặn rò rỉ dữ liệu):
- Tăng cường giám sát lưu lượng truy cập cho hoạt động bên ngoài độc.
- Quét email từ bên ngoài và web traffic để ngăn chặn dữ liệu bị đánh cắp.

Hình 5. Các phần mềm Data Loss Prevention

5. Whitelisting:
Network whitelisting có thể được sử dụng để chỉ cho phép giao vận nội bộ
nhất định nào đó đạt được các tài nguyên mạng khác.

12
 Hình 6. Whitelisting

6. Instrution Prevention (IPS)/Instrution Detection (IDS):

Bằng việc sử dụng một sản phẩm mà cung cấp IPS và IDS, một tổ chức có
thể thêm một lớp giám sát giao vận để theo sát hoạt động đáng nghi.

Hình 7. Mô hình mạng sử dụng IDS/IPS

7. Two-Factor Authentication (Xác thực dùng hai nhân tố):
Phương pháp xác thực dùng hai nhân tố được sử dụng thông thường bao
gồm username và password tiêu chuẩn cộng với một token xác thực dựa trên

13
phần mềm hoặc phần cứng nó cung cấp mật khẩu sử dụng một lần, phải nhập
vào khi username và password được trình bày cho các máy chủ xác thực.

Hình 8. Two-Factor Authentication

8. Cài đặt "honeypot":
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục
đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp.

Hình 9. Mô hình mạng sử dụng honeypot

9. Web Filtering/IP reputation:
Web filtering để chặn truy cập đến các trang web không tốt cũng như các
trang web chứa các phần mềm độc hại.
10. Thực thi một chương trình quản lí lỗ hổng:

14
 Đảm bảo thường xuyên đánh giá mạng đối với các lỗ hổng được biết. Chạy
quét xác thực là vô cùng quan trọng, các máy trạm là các hệ thống có nguy cơ
cao nhất với APT.
11. Network Access Control (NAC - Điều khiển truy cập mạng):
Giải pháp kiểm tra tính tuân thủ bảo mật của hệ thống. NAC là một giải
pháp có thể ngăn chặn các máy tính trên mạng truy cập vào các nguồn tài
nguyên.
12. Sandboxing:
Sandbox là một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô
lập các ứng dụng, ngăn chặn các phần mềm độc hại để chúng không thể làm
hỏng hệ thống máy tính, hay cài cắm các mã độc nhằm ăn cắp thông tin cá nhân.
13. Application Control (Kiểm soát ứng dụng):
Application Control cho phép xác định và kiểm soát các ứng dụng trên
mạng, bất kể cổng, giao thức hay địa chỉ IP.
14. Web Gateway:
Web Gateway lọc chặn virus, Spyware, Phishing,… trước khi chúng có thể
thâm nhập vào hệ thống, ngăn chặn nguy cơ mất dữ liệu.

Hình 10. Mô hình mạng sử dụng Web Gateway

15. Mail Gateway:

15
 Mail Gateway được tích hợp khả năng phòng chống thư rác nhiều lớp và
chống lừa đảo (anti-phishing) sử dụng bộ lọc mã độc và phần mềm gián điệp.
16. Security for Endpoint
• Ngăn chặn virus trên các máy trạm.
• Khả năng chống bùng nổ virus trong mạng cục bộ.
• Khả năng kiểm soát việc truy cập Web của Client.
• Khả năng quản lý tập trung toàn bộ hệ thống phòng chống virus.
• Khả năng ngăn chặn Client truy cập tới các trang web “độc hại” trên
Internet.
17.Device Control:
Kiểm soát được thiết bị ngoại vi nhỏ được phép sử dụng trong đơn vị hay
tổ chức.
18. Security Information Event Management (SIEM):
Là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chức thực hiện việc
giám sát các sự kiện an toàn thông tin cho một hệ thống.

Hình 11. Security Information Event Management (SIEM)

19. Giải pháp FireEye trong phòng chống tấn công APT
Giải pháp phòng chống mối hiểm họa thế hệ mới của FireEye (Web, Emall,
File, Central Management và Malware Analysis) là giải pháp tiên phong trong

16
ngành bảo mật với cơ chế signature-less, ngăn chặn các cuộc tấn công có mục
tiêu, zero-day, APT qua các kênh Web, Email và File.
• FireEye Web Malware Protection System (MPS)
• FireEye Email Malware Protection System (MPS)
• FireEye File Malware Protection System (MPS)
• FireEye Central Management System (CMS)
• FireEye Malware Analysis System (MAS)
• FireEye Dynamic Threat Intelligence
Việc tích hợp các giải pháp FireEye cho phép tất cả các URL trong email
được gửi đến Web MPS với mức độ ưu tiên cao trong quá trình phân tích email.
Web MPS sẽ phân tích khi người dùng nhấp vào link liên kết trong email. Sử
dụng cùng nhau, Email MPS cung cấp phân tích tập tin đính kèm email và bối
cảnh, Web MPS phân tích các web URL, File MPS quét và phân tích file, MAS
cung cấp các chi tiết về malware phục vụ việc điều tra, và CMS tương quan các
URL độc hại với email và nạn nhân đưa ra cái nhìn tổng quan về cuộc tấn công.
Tất cả các phát hiện của MPS Web, File MPS, và Email MPS có thể được
lọc bởi CMS để tích hợp với hệ thống phân tích MAS. Vi dụ, khi MAS được kết
nối với CMS, cho phép tùy chọn một mẫu phần mềm độc hại được phát hiện bởi
các email, tập tin, hoặc các hệ thống Web MPS và "Submit to MAS” để đưa ra
các phân tích sâu hơn phục vụ việc điều tra cuộc tấn công.

17
 Hình 12. Mô hình mạng sử dụng các sản phẩm của FireEye
20. Công nghệ fireeye multiplex virtual execution (vx) engine
Tất cả các thiết bị của FireEye - MAS, MPS Web, MPS Email, và File MPS
- thực thi file nghỉ ngờ, file đính kèm, tập tin, và URL. Tự động quét phần mềm
độc hại đảng nghi ngờ thông qua một quy tắc (rules) lọc để so sánh nó với các
thiết lập hiện có được biết đến, sau đó chuyển qua môi trường giả lập ảo của
FireEye (VX) để được thực thi.

Hình 13. Môi trường giả lập FireEye MVX

2.3. Con người

Sử dụng các công nghệ bảo mật là chưa đủ để bảo vệ hệ thống và dữ liệu
quan trọng của một tổ chức. Trong thế giới kỹ thuật số ngày nay, các tấn công
18
Advanced Persistent Threats (APT) ngày càng phức tạp và tinh vi. Thông
thường, những cuộc tấn công này bắt đầu bằng cuộc tấn công spear phishing
email, một kỹ thuật lừa đảo thông qua email nhắm vào những người dùng cuối
yếu và ngây thơ.
Vì vậy, việc đào tạo và huấn luyện con người trong tổ chức là một phần
quan trọng không thể thiếu trong chiến lược bảo mật. Đào tạo nhân viên về cách
phát hiện và phản ứng trước các cuộc tấn công spear phishing, cũng như giúp họ
hiểu rõ về nguy cơ an ninh mạng và cách bảo vệ thông tin quan trọng là cần
thiết.
Đồng thời, việc liên tục cập nhật kiến thức về các mối đe dọa an ninh mới
nhất cũng là một phần quan trọng của quá trình đào tạo và huấn luyện. Chỉ
thông qua sự nhạy bén và hiểu biết sâu về các kỹ thuật tấn công mới, nhân viên
mới có thể giữ cho tổ chức của họ an toàn trước những mối đe dọa ngày càng
tinh vi từ APT.

19
 KẾT LUẬN
Trong thời đại số hóa ngày nay, an ninh thông tin trở thành một vấn đề
cấp bách không thể bỏ qua. Cuộc tấn công APT (Advanced Persistent Threat) đã
và đang đe dọa nền kinh tế, quốc phòng, và cuộc sống hàng ngày của chúng ta.
Những cuộc tấn công này không chỉ gây thiệt hại về mặt tài chính, mà còn đe
dọa tính bảo mật của thông tin quan trọng, cả cá nhân và tổ chức. Trong đề tài
này, chúng ta đã đi sâu vào hiểu biết về APT, những hậu quả mà chúng gây ra
cùng với các giải pháp phòng chống chúng.
Chúng ta đã thấy rằng APT không chỉ là một cuộc tấn công thông thường,
mà là một sự đe dọa liên tục và có chọn lọc, yêu cầu sự tinh vi và kiên nhẫn của
kẻ tấn công. Để đối phó với APT, các tổ chức phải thực hiện một loạt biện pháp
phòng chống phù hợp, từ mô hình an ninh đa lớp đến việc theo dõi liên tục và sử
dụng các công nghệ bảo mật tiên tiến. Hơn nữa, việc hợp tác và chia sẻ thông tin
về các mối đe dọa cũng đóng vai trò quan trọng trong việc ngăn chặn APT.
Tuy nhiên, việc đối phó với APT không bao giờ là hoàn toàn đảm bảo.
Các kẻ tấn công luôn tiến hóa và tìm ra cách để vượt qua các biện pháp phòng
chống. Do đó, các tổ chức cần duy trì tư duy linh hoạt và sẵn sàng học hỏi từ
mỗi cuộc tấn công để cải thiện hệ thống bảo mật của họ.
Trong tương lai, sự phát triển của công nghệ sẽ tạo ra những cơ hội mới
cho cả người tấn công và người phòng ngừa. Chúng ta cần đảm bảo rằng các
biện pháp bảo mật cũng phải tiến triển và thích nghi để đối phó với những mối
đe dọa mới nổi. Cuối cùng, bảo vệ an toàn thông tin không phải chỉ là trách
nhiệm của cá nhân hoặc tổ chức cụ thể, mà là một nhiệm vụ toàn cầu mà cần sự
hợp tác của tất cả mọi người.

20