• Thứ Ba, 26/10/2010 09:22 (GMT+7)

    Chống lại các "tay chuyên nghiệp"

    NND
    Quan điểm về hệ thống bảo vệ chống lại rò rỉ thông tin do các phần mềm độc hại đã thành hình.

    Các công cụ bảo mật, chống rò rỉ dữ liệu (Data Leakage Protection, DLP) đã tồn tại từ tương đối lâu. Quan điểm của chúng hình thành sau khi Mỹ tiếp nhận đạo luật Sarbanes-Oxley (The Sarbanes-Oxley Act 2002), trong đó có quy định các công ty phải ghi nhận rò rỉ thông tin cá nhân và thông báo về chúng cho các khách hàng. Để thực hiện đòi hỏi này, đã xuất hiện một dòng sản phẩm phần mềm kiểm soát việc truyền dữ liệu và ghi nhận những trường hợp truyền tải dữ liệu ngoài luồng như dữ liệu cá nhân, số thẻ tín dụng, mật khẩu...

    Ở Nga, nhà cung cấp chuyên nghiệp về những giải pháp dạng này là Công ty InfoWatch, thành lập năm 2004. Sau đó ít lâu, hình thành tổ hợp DLP Expert hàng năm tổ chức hội nghị DLP-Russia về các vấn đề bảo mật chống rò rỉ thông tin cá nhân. Ngày 14 - 15/10/2010, tại Nga đã diễn ra hội nghị lần thứ ba, nơi mọi người hình thành những nguyên lý xây dựng DLP mới.

    Tarique Mustafa, Sáng lập viên kiêm Giám đốc Công ty nexTier Network mô tả dạng bảo vệ mới mà ông gọi là Malicious Data Leak Prevention (MDLP - Phòng chống rò rỉ dữ liệu độc hại), nghĩa là "bảo vệ chống trộm cắp dữ liệu nhờ các chương trình độc hại". Vấn đề là các sản phẩm DLP "cổ điển" đang bảo vệ chống rò rỉ dữ liệu chủ yếu qua các kênh mở như thư điện tử, giao thức HTTP, flash... Để điều chỉnh công việc của công cụ đó, quan trọng là phải để nó có thể phân biệt những dữ liệu nào đang truyền đi qua kênh. Rò rỉ dạng này chủ yếu do sự vi phạm trong quy trình vận hành với thông tin mật gây nên.

    Về nguyên tắc, các loại "rò rỉ chuyên nghiệp" đang được "tổ chức" nhờ các công cụ phần mềm chuyên dụng, các phần mềm này tổ chức các kênh kín để truyền dữ liệu. Chúng không cho phép các DLP cổ điển phát hiện bất thường. Kết quả là, các công cụ DLP có thể kiếm trên thị trường không thể bảo vệ chống các cuộc tấn công tương tự của các phần mềm trojan. Để bảo vệ trước những ứng dụng như vậy, theo Mustafa, phải sử dụng những phương pháp xác định rò rỉ và chống lại chúng.

    Jo Stuart, Giám đốc nghiên cứu các phần mềm độc hại của Công ty SecureWorks phát biểu quan điểm công nghệ của việc xây dựng MDLP. Ông Stuart cho rằng có thể bảo vệ chống rò rỉ do trojan bằng hệ thống phòng thủ nhiều mức. Hệ thống này cấu hình từ hệ thống quản lý cập nhật, diệt virus, màn hình liên mạng, lọc URL, hệ thống ngăn chặn tấn công (Instrusion Prevention System, IPS và HIPS) cũng như hệ thống kiểm soát các ứng dụng. Tính lý thú của tình huống này nằm ở chỗ chính hệ thống bảo vệ như vậy đòi hỏi phải xây dựng Dịch vụ liên bang về kỹ thuật và kiểm soát xuất khẩu (FSTEK Nga) để bảo vệ các dữ liệu cá nhân khỏi bị rò rỉ.

    Các quan chức thường bị cáo buộc về việc hệ thống bảo vệ của họ không kiểm soát các nội dung của chính họ trên các kênh mở và dữ liệu có thể rò rỉ theo các kênh này. Tuy nhiên, sự giống nhau của các phương pháp chủ yếu gắn với mô hình nguy cơ vốn là một thứ: Cả FSTEK lẫn các nhà tư tưởng của MDLP đều xem xét các nguy cơ từ bên ngoài còn các DLP cổ điển bảo vệ chống nguy cơ từ bên trong.

    Cần biết là danh mục công nghệ do Stuart liệt kê đã hiện hữu trong nhiều sản phẩm bảo mật Internet cổ điển. Đó là các tổ hợp diệt virus bao gồm những cơ chế bảo vệ rất khác nhau. Dường như, điều đó cho thấy các sản phẩm diệt virus ngay từ giờ đã giữ vai trò của MDLP: Tất cả thành phần đã có sẵn. Tuy nhiên, cần sao cho các nhà phát triển các phần mềm diệt virus có thể khoá các kênh kín được tổ chức bởi các trojan nhờ những sản phẩm của họ. Kaspersky Labs đã thành lập ở Novosibirsk phòng thí nghiệm về bảo vệ thông tin khỏi các nguy cơ từ bên trong và ở đó dường như người ta cũng đang làm việc với giải pháp cho nhiệm vụ mới.

    Điều quan trọng là chỉ cần hiểu MDLP không phải là phương án ngược với DLP cổ điển mà là sự tiếp tục của DLP cổ điển. Chỉ có giải pháp tổng thể mới cho phép bảo vệ chống rò rỉ dữ liệu dưới mọi hình thức.

    Nguồn: Computerworld Nga, 22/10/2010