Dữ liệu mã hóa – cuộc chiến trong kỷ nguyên cách mạng công nghiệp 4.0

Với chủ đề, “An toàn thông minh trong thế giới kết nối mới”, Ngày An toàn Thông tin Việt Nam 2017 đề cập đến các vấn đề về an ninh mạng, bảo mật… trong bối cảnh thế giới đang bước vào kỷ nguyên công nghiệp 4.0, với sự phát triển vượt bậc của các sản phẩm và hệ sinh thái dịch vụ thông minh... Theo đó, việc bảo đảm an toàn thông tin sẽ phải đối mặt với thách thức lớn và cần chuyển đổi để phù hợp với xu thế phát triển trong lĩnh vực CNTT-TT.

Tham dự Hội thảo quốc tế trong khuôn khổ sự kiện này với tư cách nhà tài trợ vàng, Cisco cũng đã giới thiệu các giải pháp, công nghệ mới nhất trong lĩnh vực ATTT trên thế giới và chia sẻ kinh nghiệm triển khai đảm bảo ATTT, đặc biệt tại quốc gia phải hứng chịu nhiều cuộc tấn công mạng như Việt Nam.

Kỷ nguyên công nghiệp 4.0 đồng hành với sự tăng trưởng nhanh chóng của dữ liệu đã mã hóa, làm thay đổi bối cảnh nguy cơ an ninh bảo mật. Ngày càng nhiều doanh nghiệp triển khai số hóa, đồng nghĩa với việc ngày càng nhiều dịch vụ và ứng dụng sử dụng công nghệ mã hóa được xem như phương thức phổ biến nhất để bảo vệ thông tin. Tuy nhiên, phần lớn các tổ chức hiện nay không có giải pháp để phát hiện nội dung có chứa mã độc trong lưu lượng đã mã hóa. Họ thiếu các công cụ và nguồn lực an ninh bảo mật để triển khai một giải pháp trên phạm vi toàn bộ cơ sở hạ tầng mạng mà không làm chậm tốc độ mạng. Phương thức điều tra nguy cơ an ninh bảo mật truyền thống với các quá trình giải mã, phân tích và mã hóa phức tạp không phải lúc nào cũng áp dụng được do có thể làm chậm tốc độ và tiêu tốn tài nguyên.

Cùng đó, tin tặc cũng tận dụng phương thức này để ẩn dấu vết khỏi các cơ chế phát hiện. Theo dự đoán của Gartner, một nửa chiến dịch phát tán mã độc vào năm 2019 sẽ sử dụng một số phương thức mã hóa để che giấu hoạt động phát tán mã độc, các hoạt động liên lạc với máy chủ chỉ huy và điều khiển, hoặc hoạt động gửi dữ liệu ra bên ngoài.

Hiểu được những thách thức này, Cisco đã cho ra đời giải pháp Phân tích Lưu lượng Đã mã hóa (Encrypted Traffic Analytics). Công nghệ giám sát luồng lưu lượng truyền thống cung cấp thông tin khái quát về hoạt động truyền thông trên mạng bằng cách báo cáo thông tin về địa chỉ, cổng, số lượng byte và gói tin của luồng lưu lượng. Dữ liệu đặc tả trong luồng lưu lượng, hay là thông tin về các sự kiện diễn ra bên trong một luồng lưu lượng, có thể được thu thập, lưu trữ và phân tích trong một khung giải pháp giám sát luồng lưu lượng. Việc sử dụng những phần tử dữ liệu hoặc kết quả đo lường từ xa trong luồng lưu lượng này để phát hiện hoạt động truyền thông của mã độc trong lưu lượng đã được mã hóa đồng nghĩa với việc Phân tích Lưu lượng Đã mã hóa có thể duy trì được tính toàn vẹn của luồng lưu lượng đã mã hóa mà không cần sử dụng công nghệ giải mã nặng nề.

Trong giải pháp này, các thành phần của mạng được xem như một cảm biến cải tiến trong việc phân tích lưu lượng đã mã hóa. Cụ thể, trong kiến trúc NetFlow, dữ liệu được truyền từ bên gửi (exporter) đến bên nhận (collector) theo các tập hợp bản ghi (sets of records). Mỗi bản ghi trong tập hợp dữ liệu đều có cùng định dạng, được quy định bởi mẫu (template) có sẵn. Bản ghi dữ liệu bao gồm một loạt những phần tử thông tin NetFlow hay các "trường" và một giá trị ID nhất định được ấn định cho từng trường đó.

Các phần tử dữ liệu của nhà cung cấp giải pháp cung cấp thông tin về các nguy cơ an ninh bảo mật và lỗ hổng an ninh trong lưu lượng đã được mã hóa thông qua sử dụng Cisco Stealthwatch. Cisco Stealthwatch sử dụng NetFlow, máy chủ proxy, công nghệ đo lường từ xa trên thiết bị đầu cuối, engine chính sách và truy cập, phân vùng lưu lượng... để biết được đâu là hành vi "bình thường" của máy chủ và người dùng trên phạm vi toàn doanh nghiệp. Bằng việc áp dụng công nghệ học máy và mô hình hóa thống kê để phân tích những phần tử dữ liệu lưu lượng trên đã được mã hóa trong NetFlow cải tiến, kết hợp với sử dụng bản đồ rủi ro toàn cầu, Cisco Stealthwatch với Công nghệ Phân tích Biết nhận thức (Cognitive Analytics) có thể nhanh chóng phát hiện được mã độc trong lưu lượng đã mã hóa và cải thiện khả năng phản ứng trước sự cố. Trong các thí nghiệm trên dữ liệu thực tế, Cisco phát hiện được mã độc trong lưu lượng đã mã hóa với độ chính xác lên đến trên 99% trong khi cảnh báo sai chỉ ở mức 0,01%.

Phân tích Lưu lượng Đã mã hóa đem lại những lợi ích đáng kể trong việc cung cấp thông tin về nguy cơ an ninh bảo mật theo bối cảnh bằng công nghệ phân tích dữ liệu thời gian thực tương quan với thông tin về người dùng và thiết bị, đảm bảo tuân thủ quy định của doanh nghiệp với các giao thức mã hóa và thông tin. Ngoài ra, giải pháp của Cisco còn giúp doanh nghiệp phản ứng nhanh hơn trước sự cố, nhanh chóng cách ly những thiết bị đã bị lây nhiễm mã độc, đồng thời tiết kiệm chi phí và thời gian khi sử dụng mạng như một nền tảng của các hoạt động an ninh bảo mật.