Các chuyên gia bảo mật phải làm gì mỗi ngày để giữ "sạch" môi trường mạng?

Các chuyên gia bảo mật phải làm gì mỗi ngày để giữ "sạch" môi trường mạng?

Các chuyên gia bảo mật phải làm gì mỗi ngày để giữ sạch môi trường mạng?

Khi xảy ra một cuộc tấn công mạng, công việc của các nhà khoa học máy tính và nhà nghiên cứu an ninh mạng là tìm hiểu xem tin tặc đã làm thế nào để có thể đột nhập vào được những hệ thống bảo mật tối tân nhất thế giới, và chúng đang làm những gì để thực hiện ý đồ xấu cũng như gây rắc rối cho người dùng Internet. Đây là vấn nạn nan giải thường trực, ảnh hưởng tới mọi người và mọi ngành nghề, từ dự án chính phủ tới cửa hàng bán lẻ cũng như các tập thể và cá nhân trên toàn thế giới.

Chiến đấu chống malware là một cuộc chiến không ngừng nghỉ. Vì mỗi khi các nhà phân tích cải tiến phương tiện phòng thủ của mình là một lần tin tặc nhanh chóng bắt kịp công nghệ. Có tới khoảng 80% hacker xấu trên thế giới tích hợp trong malware tấn công của mình những yếu tố chuyên trị chỉ để đối phó với phần mềm anti-malware.

Phân tích malware

Các chuyên gia bảo mật phải làm gì mỗi ngày để giữ sạch môi trường mạng?

(Ảnh từ DigitalGuide)

Khi một cuộc tấn công bị phát hiện hay được báo cáo lại, các nhà phân tích sẽ vào cuộc để lấy được một bản copy của phần mềm độc được phán tán lên các máy tính trước đó. Câu hỏi tiên quyết đặt ra khi họ bắt đầu kiểm tra phần mềm là làm cách nào malware đã đột nhập thành công vào hệ thống, vượt qua mạng lưới bảo vệ của hệ thống máy tính. Từ đó sẽ phát hiện ra những lỗ hổng bảo mật trên các hệ thống hay ứng dụng được dùng phổ biến để có thể tiến hành sửa chữa.

Thêm vào đó, các nhà phân tích luôn cố gắng tìm hiểu những gì một phần mềm độc thực hiện khi đã đột nhập thành công vào một hệ thống - thường là cách mà chúng luân chuyển trên máy tính hoặc xuyên suốt một mạng lưới máy tính và những gì chúng thực hiện, thường là thay đổi các tệp thông tin, copy dữ liệu, tự động chạy các phần mềm hoặc thậm chí là tự động cài đặt phần mềm mới lên hệ thống để hỗ trợ chính bản thân mình. Dữ liệu về các hành động xấu malware thực hiện như vậy sau đó có thể được dùng để giúp các công cụ phát hiện ngăn chặn được các cuộc tấn công sau này.

Chạy thử mã độc

Các chuyên gia bảo mật phải làm gì mỗi ngày để giữ sạch môi trường mạng?

Làm được những điều trên yêu cầu các chuyên gia phải chứng kiến malware thực sự hoạt động. Đây là bước cần thiết vì tin tặc thường nén hoặc mã hóa rất sâu malware của mình trước khi phát tán.

Các nhà khoa học sẽ tạo ra một máy tính ảo “virtual machine” mô phỏng máy tính đầy đủ chức năng bình thường nhưng không có quyền truy cập trực tiếp vào các file hệ thống cũng như phần cứng. Sau đó chạy thử malware trên máy tính ảo này và quan sát mọi động thái của mã độc mà không lo gây nguy hiểm cho toàn hệ thống.

Tuy nhiên, tính đến hiện tại, vẫn chưa có một phần mềm nào có thể phân tích mọi loại tấn công mạng. Một số chương trình virus vận hành trên tầng công nghệ rất thấp, hoạt động trực tiếp trên một số phân khu cụ thể của bộ nhớ và phần cứng máy tính và người dùng không còn có thể tin tưởng máy tính của mình để thực hiện những tác vụ đơn giản nữa. Một số malware khác thì lại vận hành trên các tầng cao hơn, hoạt động giống như phần mềm thông thường và tương tác với hệ điều hành thay vì trực tiếp với phần cứng thiết bị. Cuối cùng, các chương trình malware tối tân nhất thường hoạt động đồng thời trên cả hai tầng cấp độ.

Hầu hết các công cụ phân tích chỉ tập trung vào một trong hai loại cấp độ, nên chúng không thể tóm được cả hai loại malware. Thậm chí đối với những malware chúng phát hiện được, chúng cũng không thể phân tích được hết các hoạt động xấu của malware đó.

SEMU

Nghiên cứu sinh Shabnam Aboughadareh thuộc một nhóm nghiên cứu tại Đại học Texas ở Arlington đã tạo ra SEMU - hệ thống phân tích malware đầu tiên giải quyết được vấn đề trên. SEMU vận hành hoàn toàn độc lập ngoài virtual machine và quan sát kỹ càng mọi động tĩnh diễn ra trong virtual machine để từ đó phát hiện và ghi nhận các hoạt động của malware. Điều đó giúp SEMU cung cấp đầy đủ dữ liệu về khả năng của một malware, giảm bớt gánh nặng phân tích thủ công cho các nhà nghiên cứu.

Danh sách ghi nhận đầy đủ của SEMU - ghi nhận các sự kiện tại cấp độ thấp nhất xảy ra trong hệ điều hành của virtual machine - chính là chìa khóa giúp các nhà phân tích theo dõi cách thức cũng như địa điểm mà malware chọn để thao túng hệ điều hành. Bằng việc kết hợp giám sát kỹ càng hoạt động máy tính bị nhiễm malware với đăng nhập chi tiết các hành vi ghi nhận được, SEMU mang lại một hướng đi rộng mở hơn cho lĩnh vực bảo mật máy tính.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận