Thực trạng tấn công DDoS và cách thức tiếp cận chiến lược cho DN phòng chống
Liên tục các thông tin gần đây trên các phương tiện truyền thông về các đợt tấn công bảo mật đã góp phần nâng cao nhận thức của mọi người về vấn đề này, tuy vậy chỉ nhận thức không thôi thì chưa đủ.
Các mối đe dọa liên tục tiến triển nhanh chóng về cả số lượng và độ phức tạp, bắt buộc các doanh nghiệp (DN) phải liên tục tìm kiếm các giải pháp mới, tiên tiến hơn để bảo vệ dữ liệu khách hàng và dịch vụ mình đang cung cấp. Đặc biệt, khi việc kinh doanh trực tuyến và các dịch vụ, giao tiếp với khách hàng ngày càng dựa vào hạ tầng mạng, nhu cầu đảm bảo tính sẵn sàng của hệ thống và khả năng phòng vệ trước các hacker ngày càng được đề cao.
Nhưng ngay cả khi đầu tư mạnh mẽ vào các hệ thống và dịch vụ phòng vệ, vẫn có vô số các tổ chức rơi vào trạng thái ngưng trệ dịch vụ hay bị thất thoát thông tin, thường được nhắc tới bởi thảm họa tấn công từ chối dịch vụ phân tán (DDoS), DDoS có thể được sử dụng để tấn công trực tiếp vào hạ tầng mạng hoặc có thể được sử dụng để buộc hệ thống mạng bộc lộ những sơ hở mà từ đó mở đường cho những tấn công tinh vi tiếp theo. Có thể nói, chưa bao giờ các tổ chức và các giải pháp kỹ thuật lưu ý đến các thách thức của DDoS như ngày hôm nay.
Mặc dù lo lắng là vậy nhưng không nhiều tổ chức hiểu được một cách đầy đủ vể mức độ dễ tổn thương của hệ thống hiện tại, những gì cần phải làm để khắc phục, cũng như cách thức để đánh giá hiệu quả của những giải pháp bổ sung.
Bài viết này sẽ đề cập đến các cuộc tấn công DDoS ngày nay, cách thức tiếp cận chiến lược để giảm thiểu hậu quả, cũng như các phương pháp đo kiểm mạnh mẽ, đầy đủ và linh hoạt cho phép các tổ chức biết được điểm yếu của hệ thống hiện tại, cũng như năng lực thực sự của hệ thống mà mình đang định nâng cấp để tối ưu hiệu quả đầu tư.
Bước 1: Hiểu về các hình thức DDoS ngày nay – tấn công băng thông, tấn công mạng và tấn công ứng dụng.
Có thể có rất nhiều động cơ khác nhau như tống tiền, chính trị, cạnh tranh, hay thậm chí chỉ để tiêu khiển, các tấn công DoS ngày nay được phổ biến ở một số hình thức thông dụng sau:
Tấn công băng thông hoặc tấn công mạng: mục tiêu là là phát tràn ngập các kết nối để đạt đến điểm mà băng thông trở nên bão hòa, hoặc hệ thống phòng thủ bị che phủ hoàn toàn. Lúc đó, người sử dụng dịch vụ thông thường sẽ gặp phải trạng thái bị từ chối, hoặc ngẫu nhiên lúc được lúc không khi truy cập vào dữ liệu.
Các mối đe dọa có thể đến từ việc tận dụng quy trình hoạt động của các giao thức, hoặc phát tràn ngập SYN, ICMP,... thậm chí có thể tấn công tinh vi hơn bằng cách thêm các địa chỉ IP giả trộn vào lưu lượng tấn công để tạo ra những phản ứng tiếp theo để tiếp tục làm bão hoà môi trường mạng. Với hình thức này thì một cuộc tấn công khởi tạo từ một máy laptop đơn lẻ cũng có thể được sử dụng để làm nghẹt một hệ thống hiệu suất cao, ngăn chặn sự truy nhập của những người dùng thông thường, làm suy giảm rất lớn độ sẵn sàng của hệ thống và đòi hỏi rất lớn về chi phí và thời gian để phòng chống và khắc phục.
Tấn công định hướng vào ứng dụng: tấn công trực tiếp vào cơ sở hạ tầng máy chủ và năng lực phục vụ của trang web (chẳng hạn như Apache Killer và Slowloris), làm tràn ngập tài nguyên và chiếm đoạt các chức năng chính như tìm kiếm, tạo giỏ hàng online,…
Ví dụ: một số lượng lớn yêu cầu tìm kiếm sẽ được khởi tạo, từ đó tạo nên hàng triệu bản ghi (record) trên hệ thống, vượt quá các giới hạn phục vụ của trang web hoặc ứng dụng. Tương tự thế, lặp lại liên tục các lệnh bổ sung và bỏ giỏ hàng từ nhiều địa điểm khác nhau cũng sẽ làm sập ứng dụng mục tiêu.
Ở lớp trên cùng của mô hình OSI, lớp ứng dụng được xác định là thành phần khó nhất để phòng vệ, đặc biệt là nếu chỉ dựa trên các kỹ thuật phòng vệ thông thường bởi vì đối với các thiết bị bảo mật thấp cấp, các kết nối tấn công lớp ứng dụng là không thể phân biệt được với lưu lượng thông thường. Khác với kiểu tấn công lớp mạng khi các dòng bản tin SYN có thể được chạy dựa trên một số ít địa chỉ IP cụ thể và dễ dàng bị phát hiện, một tấn công ứng dụng sẽ thường lợi dụng các đặc tính đặc trưng của một người dùng để gửi đến nạn nhân, ví dụ như lặp lại các phiên download một file PDF trên website.
Tấn công kinh tế: là một hình thức tấn công mới dựa trên các tấn công từ chối dịch vụ cổ điển, bằng cách giày vò những người có các thông tin thẻ tín dụng được lưu trên đám mây. Khi các ứng dụng và dịch vụ được chuyển lên các dịch vụ đám mây công cộng, những kẻ tấn công bây giờ có thể tác động đến các giới hạn tín dụng tương ứng với các mức cam kết dịch vụ (SLA). Tấn công DDoS làm suy kiệt băng thông, khả năng lưu trữ hoặc các giới hạn tín dụng điện toán để làm gián đoạn hoặc ngắt dịch vụ, tác động trực tiếp đến kinh tế của nhà cung cấp.
Tấn công màn hình khói (smokescreen) đang trở thành một mối nguy hiểm thường trực thực sự khi DDoS được sử dụng để làm lệch hướng quan tâm của hệ thống phòng vệ. Khi các đặc tính của trang web bị tấn công, các nguồn lực bên trong và bên ngoài thường tập trung vào việc ngắt các trang web này, làm sạch lưu lượng và cho nó hoạt động trở lại. Những nỗ lực to lớn này lại mang lại một cơ hội to lớn cho một chuỗi tấn công ẩn ở cổng sau (back door) và chèn vào các công cụ SQL. Những phần chèn này thường kéo theo một số lượng lớn các yêu cầu kỳ cục, các yêu cầu này sẽ gây chú ý trong điều kiện thông thường, tuy nhiên nó có thể sẽ bị lần khuất trong các mớ hỗn độn chuỗi tấn công DDoS. Như vậy, tấn công DDoS chỉ là màn chắn cho các hoạt động bất thường này mà thôi.
Các công cụ SQL có thể được sử dụng để phá vỡ các cơ sở dữ liệu, ảnh hưởng đến thời gian phản hồi, thậm chí để trộm cắp dữ liệu. Có nhiều thông tin cho rằng các cuộc tấn công bởi các nhóm hacker chính trị (hacktivist) chỉ bắt đầu với các thao tác phishing (thủ đoạn gửi các thông tin giả mạo để lừa đảo thông qua website, email,… để thu thập thông tin người người dùng) đơn giản nhưng đã thu thập được rất nhiều thông tin quân sự nhạy cảm như tọa độ GPS của các địa điểm trọng yếu, có thể được sử dụng bởi các nhóm khủng bố,...
Tấn công tích hợp: hiện rất nhiều các đợt tấn công DoS cao cấp hiện nay kết hợp nhiều hoặt tất cả các hình thức tiếp cận ở trên để tạo nên các tấn công ở nhiều góc độ, đòi hỏi hệ thống phòng vệ phải có khả năng phòng thủ ở nhiều mặt.
Tóm lại, tấn công từ chối dịch vụ đã biến đổi rất nhiều: từ những kịch bản đo đơn giản khi một người sử dụng một đợt tấn công một chiều từ một điểm điều khiển đơn, đến các hình thức tấn công có độ phân tán cao, chia làm nhiều bước, với sự tham gia của rất nhiều nhóm sử dụng các hình thức trao đổi được mã hoá.
Các lượt tấn công phối hợp được thực hiện đều đặn bởi rất nhiều nhóm hoạt động cùng nhau từ rất nhiều địa điểm - được thực hiện một cách có chủ đích hoặc từ đặc tính của hijacking và mạng botnet. Chúng được thực hiện như các chiến dịch quân sự với việc lập kế hoạch trước trên phạm vi rộng, mức độ phối hợp cao, và các kế hoạch bất ngờ để phạm tội hoặc là một kế hoạch linh hoạt với khả năng điều chỉnh các tấn công tiếp theo dựa trên mức độ thành công của các nỗ lực tấn công trước đó. Việc lập kế hoạch tấn công sẽ được các đối đối tượng nghiên cứu dựa trên các dữ liệu có được từ các đợt thằm dò nhỏ lẻ trước đấy, cũng như từ việc giám sát các vòng lặp phản hồi để biết được khi nào đợt tấn công thứ hai, hoặc pha tấn công tiếp theo nên bắt đầu nhằm đạt được hiệu quả cao nhất.
Vậy có thể làm điều gì để giải quyết vấn đề này?
Tất cả các công ty - đặc biệt là các công ty tài chính, bán lẻ, ngân hàng - phải đánh giá được mức độ bảo vệ dữ liệu khách hàng, độ nhanh và phù hợp của hệ thống phòng vệ hiện tại khi phải đối phó với các đợt tấn công thảm khốc.
Bước 2: Phòng vệ một cách chủ động
Hình 1. Mô hình đánh giá độ kiên cường của hạ tầng mạng, data center và các ứng dụng dưới các đợt tấn công DDoS quy mô |
Khi các cuộc tấn công ngày một trở nên phức tạp thì các giải pháp phòng vệ cũng phải có tính chiến lược, chủ động và phân tán hơn. Các cách thức tiếp cận mới và cũ có thể được sử dụng song song:
Các giải pháp cho khách hàng DN như tường lửa, tường lửa chuyên cho ứng dụng web, giải pháp chống DDoS cho doanh nghiệp, và các IPS/IDS giúp bảo vệ tính sẵn sàng của dịch vụ và chống lại các tấn công lưu lượng; các giải pháp DDoS dành riêng cho DN còn có thể thực hiện một số thao tác lọc và làm sạch dữ liệu nhất định.
Tuy vậy, các thiết bị phòng vệ thông thường có thể bị giảm khả năng khi lưu lượng dữ liệu quá lớn tác động đến năng lực của chúng trong việc thực thi các thiết lập có sẵn. Ví dụ: khi lưu lượng tấn công DDoS làm tắc các đường truyền dữ liệu, các thiết bị phòng vệ có thể phải bỏ bớt đi một số quy định đã được thiết lập dành tài nguyên CPU cho việc xử lý các dữ liệu này, và đó chính là lúc mở cửa cho các mã chèn SQL.
Các dịch vụ truyền tải và phân phối nội dung có thể sử dụng các proxy và các mạng truyền tải nội dung CDN ở phía trước hạ tầng web, khi đó lưu lượng sẽ được chuyển hướng sang các “trung tâm làm sạch” khi lưu lượng tấn công băng thông vượt quá mức kiểm soát.
Các dịch vụ chống DDoS dạng điện toán đám mây có thể xác minh dữ liệu ngay cả khi bị tấn công lưu lượng ở mức cao, khi đó nó phân phối tải việc để làm sạch và bảo vệ các đường truyền dữ liệu cho khách hàng một cách rất nhanh chóng.
Các dịch vụ chống DDoS dành riêng cho phép lưu lượng được chuyển đến trung tâm lọc bỏ dữ liệu, nơi các dữ liệu độc hại bị lọc bỏ và lưu lượng hợp pháp được được cho qua với độ trễ thấp nhất.
Hình 2. Hai mô hình mô phỏng chủ yếu để kiểm tra thiết bị/hệ thống bảo mật (Mô hình đo kiểm 2 phía (trái) và Mô hình đo kiểm 1 phía (phải)) |
Tuy vậy, việc có càng nhiều giải pháp chống DDoS không hẳn là tốt, nếu các giải pháp đó đều tập trung vào một số ít mặt phòng vệ, hoặc đều có chung một số hạn chế, đó là chưa kể đến hiệu quả đầu tư khi phải sử dụng đồng thời nhiều giải pháp có tính năng tương tự nhau. Do vậy các DN phải đẩy mạnh việc có một giải pháp bảo mật tại chỗ mang tính chiến lược, chủ động, và đã được chứng minh hiệu quả, cùng với việc có các phương tiện đáng tin để kết hợp trong tương lai.
Nếu không có được một quy trình đúng đắn và năng lực phản hồi gần như tức thời, tất cả các công nghệ trên thế giới sẽ không thể chặn được các đợt tấn công đúng lúc để đảm bảo kết quả kinh doanh. Quy trình nên được chia ra làm 3 bước cơ bản để giải quyết những gì xảy ra trước, trong và sau một cuộc tấn công:
- Trước: dễ dàng nhận thấy bước đầu tiên là phải thường xuyên cập nhật cơ sở dữ liệu về các nguy cơ bảo mật, có khả năng phát hiện và nhận dạng chính xác các tấn công ngay khi nó bắt đầu. Bước này phải có khả năng xác định trước biện pháp phòng vệ nào là đủ rắn chắc để chống lại các tấn công trực tiếp ở những mức độ nhất định nào đó.
- Trong: khi cuộc chiến đang diễn ra, độ ưu tiên cao nhất là huy động các đội phản ứng có kỹ năng cao, được chuẩn bị tốt để có thể duy trì và khôi phục lại trạng thái sẵn sàng càng nhanh càng tốt. Tuy vậy, vẫn cần phải có một nhóm có trách nhiệm lưu lại những sự kiện, những thao tác xử lý, sự thay đổi trạng thái xảy ra trong suốt quá trình để làm cơ sở dữ liệu phân tích sau này.
- Sau: khi đợt tấn công kết thúc, song song với nỗ lực bồi đắp những thiệt hại đã xảy ra – thất thoát tài chính, sự ngờ vực từ khách hàng,… bộ phận kỹ thuật phải tiến hành phân tích dữ liệu thu thập được trong quá trình bị tấn công, xác định và loại trừ các điểm dễ bị tổn thương để tránh bị tấn công trong tương lai.
Bước 3: Thực hiện các bài kiểm tra tốt nhất để giảm thiểu các hậu quả của tấn công DDoS
Cách tốt nhất để kiểm tra các chiến lược và quy trình phòng vệ bảo mật của một DN hoặc nhà cung cấp dịch vụ là đưa chúng vào các bài kiểm tra và sử dụng kết quả thu được để tinh chỉnh lại cơ sở hạ tầng và các quy trình bảo mật
Tất nhiên, lý tưởng nhất là thực hiện việc này mà không phải tác động đến các hệ thống đang hoạt động, và gây nên những rủi ro có thể làm dừng các hoạt động kinh doanh.
Phương pháp kiểm tra tốt nhất là mô phỏng các mối đe dọa một cách có kiểm soát, với cách đo lường chính xác và khả năng chỉ ra những liên kết yếu trong một chuỗi các quy trình/thiết bị bảo mật. Các cách thức kiểm tra tiêu chuẩn bao gồm:
- Tạo các tấn công tinh vi: Nếu chỉ đơn thuần phát các luồng tấn công SYN đến một trang web thì sẽ không thể làm lộ được những điểm yếu sâu kín của hệ thống phòng vệ khi dữ liệu tấn công có chèn SQL. Do vậy, các loại tấn công băng thông phải được thực hiện theo chuỗi, các tấn công phải tinh vi và mang tính định hướng cao hơn để đánh giá năng lực phản hồi của cơ sở hạ tầng mạng tốt đến mức nào.
- Linh hoạt thêm vào và bỏ đi các bước có chọn lọc: để thấy trước nguy cơ của các tấn công sử dụng công cụ HOIC (High-orbit Ion Cannon), đơn vị phòng vệ cần phải thu thập các file cấu hình được sử dụng trong từng lần thay đổi để đánh giá hiệu quả ngăn chặn tấn công với từng trường hợp, để từ đó xây dựng các quy tắc để phòng vệ chống lại nó.
- Đo theo các mức độ: Tỉ lệ chẩn đoán nhầm 1% có thể chấp nhận được với mức lưu lượng thấp, nhưng sẽ chôn vùi đội phân tích trong một cuộc tấn công DDoS. Các kịch bản xấu nhất phải được thực thi để đảm bảo tính sẵn sàng chiến đấu.
- Kiểm tra chức năng lưu log file dưới điều kiện bị tấn công: các cuộc tấn công là không thể tránh khỏi, và chức năng ghi log file đóng một vai trò sống còn cần phải được bảo vệ đầu tiên.
- Tạo ra một mạng lưới phân cấp: đơn vị phòng vệ cần một cách thức đo kiểm mà không cần phải đưa hiệu năng của mạng lưới đang hoạt động vào trạng thái rủi ro. Duy trì một mạng dành riêng cho nhu cầu đo kiểm còn cho phép chất lượng và tác động của các sản phẩm, dịch vụ và phiên bản phần mềm mới được đánh giá trước khi đầu tư và triển khai trên mạng thực.
Xu hướng thực hiện: đi trước một bước
Các DN cần có một công cụ tạo ra các sự kiện bảo mật phức tạp để đánh giá và giúp tối ưu các công cụ phòng vệ đang có ở doanh nghiệp, có khả năng tạo ra các kịch bản tấn công ở mức độ toàn cầu, với sự kết hợp lưu lượng ứng dụng thông thường với các bộ dữ liệu tấn công băng thông và tấn công lớp ứng dụng. Khả năng này cho phép tạo ra các loại dữ liệu sạch và bẩn từ một giải pháp tích hợp có độ chính xác cao, cho phép thực hiện các việc đánh giá quy mô và phẩm chất mới cho thiết bị bảo mật dựa trên nền tảng đang có.
Khi sử dụng các công cụ này, người dùng có thể thực hiện một dải rộng lớn các tấn công với nhiều phương diện khác nhau, bao gồm tấn công DDoS theo lớp, tấn công lớp ứng dụng, tấn công phi trạng thái, và các hình thức khai thác thông tin từ xa theo kiểu từng bước và được điều khiển. Ví dụ: sau một khoảng thời gian thực hiện các tấn công lớp mạng, người dùng có thể phát đi các tấn công lớp ứng dụng, rồi sau đó là các tấn công phi trạng thái và tấn công từ xa.
Các lượt tấn công có thể được phát đi từ nhiều mạng con ở nhiều khu vực khác nhau để đạt được mục tiêu mô phỏng tấn công phối hợp, có thể thay đổi một cách linh hoạt bước tấn công tiếp theo khi cách tiếp cận trước đó thành công hay thất bại, và có thể nâng mức lưu lượng tấn công lên trên 600GBps.
Hình 3. Ví dụ về kết quả cần thu được khi đánh giá các thiết bị bảo mật |
Khi đó, người sử dụng sẽ nhìn được một bức tranh tổng thể, mức độ thành công của các nỗ lực tấn công DDoS, mức độ thành công của các người dùng thực khi kết nối đến dịch vụ,…Với những hiểu biết chính xác thu được sau khi đánh giá hiệu năng mạng lưới và ứng dụng, cũng như dòng công việc cần thực hiện để phản hồi các đợt tấn công DDoS, các phòng IT có thể thực hiện được những điều chỉnh và hiệu chỉnh ý nghĩa để nâng cao năng lực phòng vệ của hệ thống mạng công ty. Tuy vậy, chúng không dừng lại ở đó…
Vậy còn gì nữa?
Đến một lúc nào đó, tất cả các đợt tấn công sẽ kết thúc. Lúc đó, những ai có trách nhiệm với vấn đề bảo mật phải thực hiện một phân tích chi tiết về những gì đã thực sự diễn ra, ví dụ: hệ thống đã thực hiện tính năng fail open (cho phép tất cả các giao dịch khi có lỗi) hay fail closed (đóng tất cả các giao dịch khi có lỗi), cơ sở hạ tầng bị ảnh hưởng gì không, các bước nào phải được thực hiện để tránh lặp lại nguy cơ bị tấn công. Các câu hỏi này chỉ có thể được trả lời bằng việc thực hiện các cách thức kiểm tra được mô tả ở trên.
Giải pháp tiếp cận này giúp các nhà chiến lược bảo mật điều chỉnh một cách tỉ mỉ quy trình làm việc của mình, từ lựa chọn sản phẩm và thiết kế cơ sở hạ tầng đến việc đánh giá việc nâng cấp, mô hình hoá các rủi ro tiềm năng, và đến việc kiểm tra độ sẵn sàng của hệ thống. Việc đánh giá các giải pháp chống DDoS và mức độ sẵn sàng chiến đấu của hệ thống trong một môi trường bảo mật luôn tiến triển sẽ làm giảm thiểu tối đa các rủi ro theo thời gian và giữ cho tổ chức luôn có được một hệ thống phòng vệ cập nhật và có khả năng thực hiện tức thời các phản hồi uy lực với những tấn công mạnh mẽ và phức tạp như hiện nay.
KS. Võ Thư Khánh
Tài liệu tham khảo:
1. IXIA company: http://www.ixiacom.com/
2. COMIT Corporation: http://www.comitcorp.com/