Dùng Big data để truy tìm và ngăn chặn hacker tấn công
CEO Công ty cổ phần CyRadar cho hay, big data (dữ liệu lớn) là một trong những cách để các chuyên gia có thể phân tích tìm ra các thông tin có thể phát hiện, truy tìm và ngăn chặn hacker phát tán virus và tổ chức tấn công mạng.
Tại Hội thảo khoa học Tài nguyên số - Cơ hội và thách thức được tổ chức trong khuôn khổ Ngày Internet Day 2017 tại Hà Nội vào 22/11/2017, ông Nguyễn Minh Đức, CEO Công ty cổ phần CyRadar cho hay, big data (dữ liệu lớn) là một trong những cách để các chuyên gia có thể phân tích để tìm ra các thông tin có thể phát hiện, truy tìm và ngăn chặn hacker phát tán virus và tổ chức tấn công mạng.
Trước những thủ đoạn tấn công mới của hacker như xâm nhập qua email để đánh lừa người dùng, sau đó dùng mã độc ẩn sâu trong ổ cứng máy tính để điều khiển các cuộc tấn công thông qua đám mây. Ông Đức cho hay, xu hướng mới CyRadar xử dụng big data để phân tích dữ liệu, dùng các thuật toán phát hiện ra các dấu hiệu tấn công, hoặc để phân tích nhằm phân biệt hành vi con người và hành vi mã độc trên mạng. Các chuyên gia của CyRadar đã dùng nhiều tham số để phát hiện mã độc. Qua phân tích những hành vi mã độc không giống người bình thường. Ví dụ có sự tải dữ liệu khác thường, tải liên tục một file nào đấy liên tục, hoặc dùng thuật toán phát hiện có file là đuôi là ảnh nhưng thực tế nó không phải là file ảnh mà là file chứa mã độc.
Dữ liệu lớn có thể phân tích mối liên hệ giữa các tên miền hacker dùng để điểu khiển tấn công.
Cũng từ big data, các chuyên gia về bảo mật sẽ có cách tiếp cận thứ hai là dự đoán, dự đoán những dữ liệu cũ để ra những tình huống mới, dựa trên các lần lịch sử tấn công trước để dự đoán bao giờ có một cuộc tấn công sắp xảy ra. Cũng từ các dữ liệu này có thể phát hiện ra dấu hiệu hacker đang thăm dò, hay chuẩn bị cho một cuộc tấn công. Rất cả đều dựa vào phân tích dữ liệu. Hoặc nếu tần suất kiểm tra thấy việc chuyển file dữ liệu tăng đột biến, hoặc là nguồn gốc server điểu khiển chưa bao giờ nhìn thấy trong mạng.
Hiện có một đặc trưng các cuộc tấn công là hacker dùng mã độc chưa từng xuất hiện ở đâu cả, mã độc này chỉ dùng để tấn công một tổ chức, và bọn chúng thường lợi dụng khai thác một lỗ hổng chưa từng biết đến. Ví dụ, mã độc WannaCry khai thác lỗ hổng trong hệ điều hành mà chưa từng bị phát hiện. Hoặc hacker có thể dùng gửi email cho người quan trọng trong hệ thống và lừa để phát tán mã độc, sau đó bọn chúng núp bóng các địa chỉ IP hợp lệ để tấn công vì nó đã kiểm soát được máy tính.
Một số tên miền vô nghĩa mà hacker đăng ký để dùng cho mục đích tấn công mạng.
Hacker luôn giỏi hơn những người ngăn chặn tấn công do đó phát hiện và ngăn chặn là điều vô cùng vất vả. Nếu hiện tại chỉ dùng các giải pháp truyền thống có thể sẽ không ngăn chặn được. Do hacker chỉ dùng một phương thức, một cách để tấn công 1 tổ chức nên rất khó ngăn chặn. Các chuyên gia bảo mật chỉ có thể phát hiện qua những hiện tượng như bỗng dưng băng thông tăng đột biến do có một lượng dữ liệu lớn bị chuyển ra ngoài.
Các công ty bảo mật đang có xu hướng dùng big data là cách giải quyết bảo vệ an toàn bảo mật, từ các dữ liệu chúng ta có thể tìm các từ khóa phân tích, làm giầu thông tin hoặc nhìn ra được mấu chốt dựa trên các dữ liệu đó.
CyRadar hiện còn sử dụng phương hàng ngày theo dõi các tên miền mới được đăng ký, để có thể sẵn sàng phân tích phát hiện các tên miền hacker đăng ký. Hoặc phân tích mối quan hệ giữa một tên miền độc hại với các tên miền khác, sẽ phát hiện ra để dự đoán và tổng hợp những mối liên quan của các tên miền này, ví dụ dùng chung máy chủ hoặc có mối liên hệ khác. Hoặc có thể phát hiện các tên miền vô nghĩa mà hacker đăng ký để phục vụ điều khiển mã độc.
Đình Anh
