Tổng quan nghiên cứu

Trong bối cảnh công nghệ thông tin và internet phát triển nhanh chóng, các hệ thống thông tin và người dùng ngày càng đối mặt với nhiều nguy cơ an ninh mạng, đặc biệt là sự gia tăng đa dạng và tinh vi của các loại mã độc. Theo ước tính, các mã độc hiện nay có khả năng ẩn mình qua các phần mềm diệt virus truyền thống bằng kỹ thuật xáo trộn mã và tự thay đổi mã nguồn, khiến việc phát hiện dựa trên chữ ký trở nên kém hiệu quả. Việc tạo chữ ký cho mã độc mới đòi hỏi nhiều thời gian và công sức, dẫn đến cập nhật phần mềm diệt virus chậm, không kịp thời phát hiện các mối đe dọa mới. Do đó, nghiên cứu các phương pháp phát hiện mã độc dựa trên hành vi trở nên cấp thiết nhằm nâng cao hiệu quả phát hiện và phản ứng kịp thời.

Luận văn tập trung nghiên cứu phương pháp phát hiện mã độc trên máy người dùng sử dụng kỹ thuật Mitre ATT&CK, một framework được xây dựng dựa trên các hành vi tấn công thực tế, giúp mô tả chi tiết các chiến thuật và kỹ thuật của kẻ tấn công. Mục tiêu nghiên cứu là phát triển phương pháp phát hiện mã độc hiệu quả trên hệ điều hành Windows, áp dụng kỹ thuật Mitre ATT&CK để xây dựng tập luật phát hiện dựa trên hành vi tiến trình và sự kiện hệ thống.

Phạm vi nghiên cứu tập trung vào các máy người dùng trong môi trường doanh nghiệp, với dữ liệu thu thập từ hệ thống Windows trong giai đoạn 2020-2022. Ý nghĩa nghiên cứu thể hiện qua việc cải thiện khả năng phát hiện mã độc mới, giảm thiểu thiệt hại do mã độc gây ra, đồng thời hỗ trợ các tổ chức nâng cao năng lực phòng thủ mạng thông qua việc ứng dụng framework Mitre ATT&CK và các công cụ giám sát tiến trình hiện đại.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai khung lý thuyết chính:

  1. Hệ điều hành và quản lý tiến trình: Nghiên cứu các đặc điểm, cấu trúc và quản lý tiến trình trên hệ điều hành Windows, bao gồm các trạng thái tiến trình (Start, Ready, Running, Wait, Terminated), cấu trúc tập tin thực thi PE, và các công cụ thu thập tiến trình như Process Monitor, Sysmon. Các khái niệm chính gồm: tiến trình (process), PID (Process ID), Parent PID, sự kiện hệ thống (Event ID), và nhật ký sự kiện Windows.

  2. Framework Mitre ATT&CK: Đây là một hệ thống tiêu chuẩn bảo mật mô tả các chiến thuật (Tactics) và kỹ thuật (Techniques) mà kẻ tấn công sử dụng trong các cuộc tấn công mạng. Các chiến thuật chính gồm: Truy cập ban đầu, Thực thi, Duy trì truy cập, Nâng cao đặc quyền, Né tránh hệ thống bảo vệ, Truy cập thông tin xác thực, Phát hiện, Mở rộng khai thác, Thu thập thông tin, Điều khiển và kiểm soát, Trích xuất dữ liệu, và Ảnh hưởng. Framework cung cấp thông tin chi tiết về thủ tục, nền tảng áp dụng, quyền điều kiện và nguồn dữ liệu phục vụ phát hiện.

Các khái niệm chuyên ngành quan trọng bao gồm: Endpoint Detection & Response (EDR), Event ID, Process GUID, CommandLine, LogonID, và các loại sự kiện Sysmon (ví dụ: Process creation, Network connection, FileCreate).

Phương pháp nghiên cứu

Luận văn sử dụng phương pháp nghiên cứu định tính kết hợp thực nghiệm:

  • Nguồn dữ liệu: Dữ liệu thu thập từ các máy người dùng chạy hệ điều hành Windows, sử dụng công cụ Elastic Endpoint Security để thu thập các log tiến trình và sự kiện hệ thống. Các sự kiện được phân loại theo Event ID và mapped với các kỹ thuật trong Mitre ATT&CK.

  • Phương pháp phân tích: Áp dụng kỹ thuật phân tích hành vi dựa trên framework Mitre ATT&CK để xây dựng tập luật phát hiện mã độc. Các sự kiện thu thập được phân tích, lọc và đối chiếu với các kỹ thuật tấn công đã biết để phát hiện hành vi bất thường.

  • Timeline nghiên cứu: Quá trình nghiên cứu diễn ra trong giai đoạn 2020-2022, bao gồm giai đoạn thu thập dữ liệu, xây dựng tập luật, triển khai thử nghiệm trên các mẫu mã độc phổ biến như Babuk, Trickbot, Agent Tesla, và đánh giá hiệu quả phát hiện.

  • Cỡ mẫu và chọn mẫu: Dữ liệu thu thập từ một số máy người dùng trong môi trường doanh nghiệp, lựa chọn các tiến trình và sự kiện có liên quan đến hành vi mã độc để phân tích. Phương pháp chọn mẫu dựa trên các sự kiện có khả năng phản ánh hành vi tấn công theo kỹ thuật Mitre ATT&CK.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiệu quả phát hiện mã độc dựa trên hành vi: Phương pháp sử dụng tập luật xây dựng từ Mitre ATT&CK cho phép phát hiện các hành vi bất thường của mã độc với tỷ lệ phát hiện trên 85% trong các kịch bản thử nghiệm với mã độc Babuk và Trickbot. So sánh với phương pháp dựa trên chữ ký truyền thống, tỷ lệ phát hiện tăng khoảng 30%.

  2. Khả năng phát hiện đa dạng kỹ thuật tấn công: Các sự kiện thu thập được từ Sysmon và Elastic Endpoint Security cho phép phát hiện nhiều kỹ thuật tấn công như Service Execution (T1569), Windows Command Shell (T1059), CreateRemoteThread (Event ID 8), và Process Access (Event ID 10). Tỷ lệ phát hiện các kỹ thuật này đạt khoảng 80-90% trong môi trường thử nghiệm.

  3. Tính khả thi của việc xây dựng tập luật phát hiện: Việc lựa chọn và xây dựng tập luật dựa trên các kỹ thuật phổ biến và có thể thu thập dữ liệu được từ hệ thống giúp giảm thiểu độ phức tạp và tăng tính khả thi trong triển khai thực tế. Khoảng 60% kỹ thuật trong Mitre ATT&CK được đánh giá có thể áp dụng hiệu quả trong môi trường Windows.

  4. Tác động của việc sử dụng công cụ giám sát tiến trình: Công cụ Sysmon phiên bản 11 và Process Monitor cung cấp dữ liệu chi tiết về tiến trình, giúp phát hiện các hành vi mã độc như tạo tiến trình mới, thay đổi thời gian tạo tập tin, kết nối mạng bất thường. Việc sử dụng các công cụ này giúp giảm thời gian phát hiện và tăng độ chính xác cảnh báo.

Thảo luận kết quả

Nguyên nhân của hiệu quả phát hiện cao là do phương pháp dựa trên hành vi không phụ thuộc vào chữ ký mã độc cụ thể mà tập trung vào các hành vi bất thường và kỹ thuật tấn công đã được chuẩn hóa trong Mitre ATT&CK. So với các nghiên cứu trước đây chỉ tập trung vào phát hiện dựa trên chữ ký hoặc phân tích tĩnh, phương pháp này có ưu điểm vượt trội trong việc phát hiện mã độc mới và biến thể.

Kết quả cũng cho thấy việc thu thập và phân tích các sự kiện hệ thống như Process creation, Network connection, và RegistryEvent là rất quan trọng để phát hiện các kỹ thuật tấn công tinh vi. Việc sử dụng các công cụ như Sysmon giúp thu thập dữ liệu chi tiết và liên tục từ khi hệ thống khởi động, tạo điều kiện thuận lợi cho việc phát hiện sớm các hành vi độc hại.

Các biểu đồ và bảng dữ liệu có thể minh họa tỷ lệ phát hiện mã độc theo từng kỹ thuật, so sánh hiệu quả giữa phương pháp dựa trên hành vi và chữ ký, cũng như phân tích các sự kiện thu thập được từ công cụ giám sát tiến trình.

Tuy nhiên, việc triển khai tập luật phát hiện cũng gặp một số hạn chế như độ phức tạp trong việc xử lý lượng lớn dữ liệu log, yêu cầu tài nguyên tính toán cao và cần có đội ngũ chuyên gia an ninh mạng để phân tích và phản ứng kịp thời. So với các nghiên cứu khác, luận văn đã đề xuất cách tiếp cận thực nghiệm và đánh giá cụ thể trên môi trường Windows, góp phần làm rõ tính ứng dụng thực tế của framework Mitre ATT&CK.

Đề xuất và khuyến nghị

  1. Triển khai hệ thống giám sát tiến trình liên tục: Đề nghị các tổ chức doanh nghiệp cài đặt và cấu hình công cụ Sysmon phiên bản mới nhất để thu thập dữ liệu tiến trình và sự kiện hệ thống theo thời gian thực, nhằm nâng cao khả năng phát hiện sớm các hành vi mã độc. Thời gian thực hiện trong vòng 3 tháng, do bộ phận an ninh mạng chịu trách nhiệm.

  2. Xây dựng và cập nhật tập luật phát hiện dựa trên Mitre ATT&CK: Khuyến nghị phát triển tập luật phát hiện mã độc dựa trên các kỹ thuật phổ biến trong Mitre ATT&CK, ưu tiên các kỹ thuật có thể thu thập dữ liệu hiệu quả từ hệ thống. Cập nhật tập luật định kỳ 6 tháng/lần để bắt kịp các kỹ thuật tấn công mới. Bộ phận nghiên cứu và phát triển an ninh chịu trách nhiệm.

  3. Đào tạo nhân sự an ninh mạng về framework Mitre ATT&CK: Tổ chức các khóa đào tạo chuyên sâu về Mitre ATT&CK và kỹ thuật phân tích hành vi mã độc cho đội ngũ an ninh mạng nhằm nâng cao năng lực phát hiện và phản ứng. Thời gian đào tạo trong 6 tháng, phối hợp với các chuyên gia trong và ngoài nước.

  4. Tích hợp hệ thống phát hiện với công cụ phản ứng tự động: Đề xuất tích hợp hệ thống phát hiện mã độc với các công cụ phản ứng tự động (EDR) để giảm thiểu thời gian xử lý sự cố và ngăn chặn kịp thời các mối đe dọa. Thời gian triển khai dự kiến 9 tháng, phối hợp giữa bộ phận an ninh và phát triển hệ thống.

Đối tượng nên tham khảo luận văn

  1. Chuyên gia an ninh mạng và quản trị hệ thống: Luận văn cung cấp kiến thức chuyên sâu về phương pháp phát hiện mã độc dựa trên hành vi và framework Mitre ATT&CK, giúp họ nâng cao hiệu quả giám sát và phản ứng sự cố.

  2. Nhà nghiên cứu và sinh viên ngành công nghệ thông tin: Tài liệu là nguồn tham khảo quý giá về lý thuyết hệ điều hành, kỹ thuật thu thập tiến trình và ứng dụng Mitre ATT&CK trong phát hiện mã độc, hỗ trợ nghiên cứu và học tập chuyên sâu.

  3. Doanh nghiệp và tổ chức triển khai hệ thống bảo mật: Các giải pháp và đề xuất trong luận văn giúp doanh nghiệp xây dựng hệ thống phát hiện mã độc hiệu quả, giảm thiểu rủi ro an ninh mạng và bảo vệ tài sản số.

  4. Nhà phát triển phần mềm bảo mật và EDR: Luận văn cung cấp cơ sở để phát triển các sản phẩm bảo mật tích hợp framework Mitre ATT&CK, nâng cao khả năng phát hiện và phản ứng với các mối đe dọa mới.

Câu hỏi thường gặp

  1. Mitre ATT&CK là gì và tại sao nó quan trọng trong phát hiện mã độc?
    Mitre ATT&CK là một framework mô tả các chiến thuật và kỹ thuật tấn công mạng dựa trên các cuộc tấn công thực tế. Nó giúp các tổ chức hiểu rõ cách kẻ tấn công hoạt động, từ đó xây dựng các biện pháp phát hiện và phòng thủ hiệu quả hơn. Ví dụ, ATT&CK giúp phát hiện các hành vi như tạo tiến trình bất thường hoặc kết nối mạng lạ.

  2. Phương pháp phát hiện mã độc dựa trên hành vi khác gì so với dựa trên chữ ký?
    Phát hiện dựa trên hành vi tập trung vào các hành động và kỹ thuật mà mã độc thực hiện, không phụ thuộc vào mẫu mã cụ thể. Trong khi đó, phát hiện dựa trên chữ ký dựa vào mẫu mã độc đã biết. Phương pháp hành vi giúp phát hiện mã độc mới hoặc biến thể mà chữ ký chưa cập nhật kịp.

  3. Các công cụ nào được sử dụng để thu thập dữ liệu tiến trình trên Windows?
    Các công cụ chính gồm Sysmon, Process Monitor và Elastic Endpoint Security. Sysmon thu thập chi tiết các sự kiện tiến trình, Process Monitor giám sát hoạt động file, registry và mạng, còn Elastic Endpoint Security hỗ trợ thu thập và phân tích log tập trung.

  4. Làm thế nào để xây dựng tập luật phát hiện mã độc từ Mitre ATT&CK?
    Quá trình bắt đầu bằng việc đánh giá kỹ thuật trong ATT&CK, lựa chọn các kỹ thuật phổ biến và có thể thu thập dữ liệu, sau đó map các sự kiện hệ thống tương ứng với kỹ thuật đó để xây dựng tập luật phát hiện. Tập luật cần được kiểm thử và cập nhật thường xuyên.

  5. Phương pháp này có thể áp dụng cho hệ điều hành khác ngoài Windows không?
    Mặc dù Mitre ATT&CK hỗ trợ nhiều nền tảng, nghiên cứu này tập trung vào Windows do tính phổ biến và dữ liệu thu thập được. Tuy nhiên, nguyên lý phát hiện dựa trên hành vi có thể được điều chỉnh để áp dụng cho Linux, MacOS với các công cụ thu thập tiến trình tương ứng.

Kết luận

  • Luận văn đã nghiên cứu và phát triển phương pháp phát hiện mã độc trên máy người dùng dựa trên kỹ thuật Mitre ATT&CK, tập trung vào hệ điều hành Windows.
  • Phương pháp dựa trên hành vi giúp phát hiện hiệu quả các mã độc mới và biến thể, vượt trội so với phương pháp dựa trên chữ ký truyền thống.
  • Việc sử dụng công cụ giám sát tiến trình như Sysmon và Elastic Endpoint Security cung cấp dữ liệu chi tiết, hỗ trợ xây dựng tập luật phát hiện chính xác.
  • Đề xuất triển khai hệ thống giám sát liên tục, xây dựng tập luật cập nhật và đào tạo nhân sự để nâng cao năng lực phòng thủ mạng.
  • Các bước tiếp theo bao gồm mở rộng thử nghiệm trên môi trường thực tế, tích hợp hệ thống phát hiện với công cụ phản ứng tự động và nghiên cứu áp dụng cho các nền tảng khác.

Hành động ngay hôm nay để nâng cao khả năng phát hiện và phòng chống mã độc trong tổ chức của bạn!