Tổng quan nghiên cứu

Trong bối cảnh sự phát triển nhanh chóng của công nghệ thông tin và internet, các hệ thống thông tin và người dùng đang phải đối mặt với nhiều nguy cơ an ninh mạng, đặc biệt là sự gia tăng đa dạng và tinh vi của các loại mã độc. Theo ước tính, các mã độc hiện nay có khả năng ẩn nấp qua các phần mềm chống virus truyền thống bằng kỹ thuật xáo trộn mã và tự thay đổi mã nguồn, khiến việc phát hiện dựa trên chữ ký trở nên kém hiệu quả. Việc xây dựng chữ ký cho mã độc mới đòi hỏi nhiều thời gian và công sức, dẫn đến việc cập nhật phần mềm chống virus chậm trễ, gây khó khăn trong phát hiện kịp thời các mối đe dọa mới. Trước thực trạng này, nghiên cứu tập trung vào phương pháp phát hiện mã độc dựa trên hành vi, sử dụng kỹ thuật Mitre ATT&CK nhằm nâng cao hiệu quả phát hiện mã độc trên máy người dùng.

Mục tiêu chính của luận văn là nghiên cứu và đánh giá phương pháp phát hiện mã độc trên máy trạm sử dụng kỹ thuật Mitre ATT&CK, tập trung vào hệ điều hành Windows trong phạm vi các mối đe dọa mạng doanh nghiệp và tổ chức. Nghiên cứu được thực hiện trong giai đoạn 2020-2022 tại Việt Nam, với ý nghĩa quan trọng trong việc cải thiện khả năng phòng thủ mạng, giảm thiểu thiệt hại do mã độc gây ra và nâng cao hiệu quả quản lý an ninh mạng. Các chỉ số đánh giá bao gồm tỷ lệ phát hiện mã độc, thời gian phản hồi và độ chính xác của hệ thống phát hiện.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai khung lý thuyết chính: hệ điều hành và kỹ thuật Mitre ATT&CK.

  • Hệ điều hành: Nghiên cứu tập trung vào hệ điều hành Windows, với các thành phần quản lý tiến trình, bộ nhớ, hệ thống tập tin và bảo vệ hệ thống. Các công cụ thu thập tiến trình như Sysmon, Process Monitor và Endpoint Security được sử dụng để giám sát hoạt động hệ thống, thu thập dữ liệu tiến trình và sự kiện liên quan đến mã độc.

  • Mitre ATT&CK: Đây là một framework mô tả các chiến thuật và kỹ thuật tấn công mạng dựa trên quan sát thực tế các hành vi của tin tặc. ATT&CK phân loại các chiến thuật phá hoại như truy cập ban đầu, thực thi, duy trì truy cập, nâng cao đặc quyền, né tránh hệ thống bảo vệ, truy cập thông tin xác thực, phát hiện, di chuyển bên trong mạng, thu thập, điều khiển và kiểm soát, trích xuất dữ liệu và ảnh hưởng. Mỗi kỹ thuật đi kèm với các thủ tục, nền tảng áp dụng, quyền điều kiện và nguồn dữ liệu để phát hiện.

Các khái niệm chính bao gồm: tiến trình (process), sự kiện hệ thống (event log), kỹ thuật tấn công (attack technique), tập luật phát hiện (detection rules), và các chỉ số hiệu quả phát hiện (detection metrics).

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp định lượng kết hợp thực nghiệm thực tế.

  • Nguồn dữ liệu: Dữ liệu thu thập từ các máy người dùng chạy hệ điều hành Windows, sử dụng công cụ Sysmon để ghi nhận các sự kiện tiến trình, kết nối mạng, thay đổi tập tin và registry. Dữ liệu log được chuyển về hệ thống Elasticsearch để lưu trữ và phân tích.

  • Phương pháp phân tích: Áp dụng kỹ thuật xây dựng tập luật phát hiện dựa trên framework Mitre ATT&CK, lựa chọn các kỹ thuật phổ biến và khả thi để triển khai. Các sự kiện log được map với các kỹ thuật ATT&CK tương ứng để phát hiện hành vi mã độc. Phân tích hiệu quả phát hiện dựa trên các kịch bản thực nghiệm với các mã độc Babuk, Trickbot và Agent Tesla.

  • Timeline nghiên cứu: Quá trình nghiên cứu kéo dài từ năm 2020 đến 2022, bao gồm giai đoạn thu thập dữ liệu, xây dựng tập luật, triển khai hệ thống giám sát và thực nghiệm đánh giá.

Cỡ mẫu nghiên cứu bao gồm hàng trăm sự kiện tiến trình và hàng nghìn bản ghi log từ các máy người dùng trong môi trường doanh nghiệp. Phương pháp chọn mẫu dựa trên các máy trạm có nguy cơ cao và các sự kiện bất thường được ghi nhận.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiệu quả phát hiện mã độc Babuk: Hệ thống phát hiện thành công các hành vi bất thường liên quan đến kỹ thuật Service Execution (T1569) và Windows Command Shell (T1059) với tỷ lệ phát hiện trên 85%. Các sự kiện log như Process creation (Event ID 1) và Process Access (Event ID 10) cung cấp dữ liệu hỗ trợ phát hiện chính xác.

  2. Phát hiện mã độc Trickbot: Qua kịch bản thực nghiệm, hệ thống nhận diện được các hành vi di chuyển bên trong mạng (Lateral Movement) và truy cập thông tin xác thực (Credential Access) với tỷ lệ phát hiện khoảng 80%. Các cảnh báo từ hệ thống giám sát cho thấy khả năng phát hiện các kết nối mạng bất thường và tạo tiến trình mới.

  3. Phát hiện mã độc Agent Tesla: Hệ thống phát hiện các hành vi trích xuất dữ liệu và kết nối mạng bất thường với tỷ lệ phát hiện đạt khoảng 78%. Các sự kiện như DNS query (Event ID 22) và FileCreate (Event ID 11) được sử dụng để xác định hành vi độc hại.

  4. Tăng tốc độ phản hồi: Việc sử dụng framework Mitre ATT&CK giúp rút ngắn thời gian phát hiện và phân tích sự cố xuống còn khoảng 30% so với phương pháp truyền thống dựa trên chữ ký.

Thảo luận kết quả

Nguyên nhân của hiệu quả phát hiện cao là do việc áp dụng framework Mitre ATT&CK cho phép hệ thống tập trung vào hành vi và kỹ thuật tấn công thay vì chỉ dựa vào chữ ký mã độc. Việc thu thập dữ liệu chi tiết từ Sysmon và Endpoint Security cung cấp nguồn dữ liệu phong phú, đa chiều giúp phát hiện các hành vi bất thường một cách chính xác.

So sánh với các nghiên cứu trước đây, phương pháp này vượt trội hơn về khả năng phát hiện mã độc mới và mã độc tinh vi, đặc biệt trong môi trường doanh nghiệp với nhiều máy người dùng. Kết quả cũng cho thấy việc xây dựng tập luật dựa trên các kỹ thuật phổ biến và khả thi trong ATT&CK là hướng đi hiệu quả, giúp giảm thiểu sai sót và tăng độ chính xác.

Dữ liệu có thể được trình bày qua biểu đồ tỷ lệ phát hiện mã độc theo từng loại mã độc và bảng so sánh thời gian phản hồi giữa phương pháp truyền thống và phương pháp sử dụng Mitre ATT&CK.

Đề xuất và khuyến nghị

  1. Triển khai hệ thống giám sát dựa trên Mitre ATT&CK: Các tổ chức nên áp dụng framework Mitre ATT&CK trong hệ thống phát hiện mã độc để nâng cao khả năng phát hiện hành vi bất thường, đặc biệt trên các máy người dùng. Thời gian triển khai dự kiến trong vòng 6 tháng, do bộ phận an ninh mạng chịu trách nhiệm.

  2. Tăng cường thu thập và phân tích dữ liệu tiến trình: Sử dụng các công cụ như Sysmon, Process Monitor và Endpoint Security để thu thập dữ liệu chi tiết về tiến trình và sự kiện hệ thống, giúp phát hiện sớm các hành vi mã độc. Cần đào tạo nhân viên kỹ thuật trong 3 tháng để vận hành hiệu quả.

  3. Xây dựng và cập nhật tập luật phát hiện thường xuyên: Dựa trên các kỹ thuật phổ biến trong Mitre ATT&CK và các mối đe dọa mới, tổ chức cần duy trì việc cập nhật tập luật phát hiện để đảm bảo hệ thống luôn bắt kịp các kỹ thuật tấn công mới. Thời gian cập nhật định kỳ 3 tháng/lần, do nhóm an ninh mạng thực hiện.

  4. Tăng cường đào tạo nhận thức an ninh cho người dùng cuối: Giảm thiểu nguy cơ mã độc xâm nhập qua các phương thức như phishing bằng cách nâng cao nhận thức và kỹ năng bảo mật cho người dùng. Chương trình đào tạo nên được tổ chức hàng quý, do phòng nhân sự phối hợp với bộ phận an ninh mạng thực hiện.

Đối tượng nên tham khảo luận văn

  1. Chuyên gia an ninh mạng và quản trị hệ thống: Luận văn cung cấp kiến thức chuyên sâu về kỹ thuật phát hiện mã độc dựa trên Mitre ATT&CK, giúp họ nâng cao hiệu quả giám sát và phản ứng sự cố.

  2. Các nhà nghiên cứu và sinh viên ngành công nghệ thông tin: Tài liệu là nguồn tham khảo quý giá về phương pháp nghiên cứu, xây dựng tập luật phát hiện mã độc và ứng dụng framework Mitre ATT&CK trong thực tế.

  3. Doanh nghiệp và tổ chức có hệ thống mạng lớn: Các đơn vị này có thể áp dụng các giải pháp và khuyến nghị trong luận văn để tăng cường bảo vệ hệ thống, giảm thiểu rủi ro từ mã độc và các cuộc tấn công mạng.

  4. Nhà phát triển phần mềm bảo mật và EDR: Luận văn cung cấp góc nhìn thực tiễn về cách xây dựng và đánh giá các giải pháp phát hiện mã độc, hỗ trợ phát triển sản phẩm phù hợp với nhu cầu thị trường.

Câu hỏi thường gặp

  1. Mitre ATT&CK là gì và tại sao nó quan trọng trong phát hiện mã độc?
    Mitre ATT&CK là một framework mô tả các chiến thuật và kỹ thuật tấn công mạng dựa trên quan sát thực tế. Nó giúp tổ chức hiểu rõ cách kẻ tấn công hoạt động, từ đó xây dựng các biện pháp phòng thủ hiệu quả hơn. Ví dụ, ATT&CK giúp phát hiện các hành vi bất thường thay vì chỉ dựa vào chữ ký mã độc.

  2. Các công cụ nào được sử dụng để thu thập dữ liệu tiến trình trên Windows?
    Các công cụ chính bao gồm Sysmon, Process Monitor và Endpoint Security. Sysmon ghi lại các sự kiện tiến trình, kết nối mạng và thay đổi tập tin; Process Monitor theo dõi hoạt động hệ thống thời gian thực; Endpoint Security thu thập log và hỗ trợ phân tích sâu.

  3. Làm thế nào để xây dựng tập luật phát hiện dựa trên Mitre ATT&CK?
    Quy trình gồm ba bước chính: tìm hiểu kỹ thuật trong ATT&CK, đánh giá khả năng triển khai kỹ thuật đó, và map các sự kiện log với kỹ thuật tương ứng để xây dựng luật phát hiện. Việc này giúp tập trung vào các kỹ thuật phổ biến và khả thi, tăng hiệu quả phát hiện.

  4. Phương pháp này có thể phát hiện được mã độc mới không?
    Có. Vì phương pháp dựa trên hành vi và kỹ thuật tấn công thay vì chữ ký cố định, nên có khả năng phát hiện các mã độc mới hoặc mã độc đã được biến đổi, miễn là chúng sử dụng các kỹ thuật tấn công đã được mô tả trong ATT&CK.

  5. Thời gian phản hồi sự cố được cải thiện như thế nào khi sử dụng Mitre ATT&CK?
    Nghiên cứu cho thấy thời gian phát hiện và phân tích sự cố giảm khoảng 30% so với phương pháp truyền thống, nhờ việc cung cấp thông tin chính xác và nhanh chóng về hành vi mã độc, giúp quản trị viên đưa ra quyết định kịp thời.

Kết luận

  • Luận văn đã nghiên cứu thành công phương pháp phát hiện mã độc trên máy người dùng sử dụng kỹ thuật Mitre ATT&CK, tập trung vào hệ điều hành Windows.
  • Kết quả thực nghiệm với các mã độc Babuk, Trickbot và Agent Tesla cho thấy tỷ lệ phát hiện đạt trên 78%, đồng thời rút ngắn thời gian phản hồi sự cố.
  • Việc xây dựng tập luật phát hiện dựa trên các kỹ thuật phổ biến và khả thi trong ATT&CK là hướng đi hiệu quả, giúp nâng cao độ chính xác và giảm thiểu sai sót.
  • Đề xuất triển khai hệ thống giám sát, tăng cường thu thập dữ liệu và đào tạo nhân sự nhằm nâng cao khả năng phòng thủ mạng trong doanh nghiệp.
  • Các bước tiếp theo bao gồm mở rộng phạm vi nghiên cứu sang các hệ điều hành khác và tích hợp trí tuệ nhân tạo để tự động hóa phát hiện mã độc.

Quý độc giả và các tổ chức quan tâm có thể áp dụng các kết quả và khuyến nghị trong luận văn để nâng cao hiệu quả bảo mật hệ thống, đồng thời liên hệ với nhóm nghiên cứu để được hỗ trợ triển khai giải pháp phù hợp.