Ưu, nhược điểm của các phương pháp bảo mật

Quản trị mạng - Có nhiều phương pháp để bảo mật CNTT khác nhau, chẳng hạn như bằng danh sách đen, danh sách trắng, các kỹ thuật dựa trên hành vi, tuy nhiên bên cạnh đó cũng có rất nhiều tranh luận trong lĩnh vực bảo mật CNTT về tính hiệu quả của mỗi một phương pháp đó. Trong bài này chúng tôi sẽ xem xét một số phương pháp bảo mật, cụ thể là về cách hoạt động của chúng như thế nào, điểm mạnh và điểm yếu của mỗi phương pháp đó cùng với đó là một số thảo luận về các cơ chế bảo mật ảo hóa.

pdf15 trang | Chia sẻ: lvbuiluyen | Lượt xem: 3145 | Lượt tải: 3download
Bạn đang xem nội dung tài liệu Ưu, nhược điểm của các phương pháp bảo mật, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Ưu, nhược điểm của các phương pháp bảo mật Deb Shinder Quản trị mạng - Có nhiều phương pháp để bảo mật CNTT khác nhau, chẳng hạn như bằng danh sách đen, danh sách trắng, các kỹ thuật dựa trên hành vi, tuy nhiên bên cạnh đó cũng có rất nhiều tranh luận trong lĩnh vực bảo mật CNTT về tính hiệu quả của mỗi một phương pháp đó. Trong bài này chúng tôi sẽ xem xét một số phương pháp bảo mật, cụ thể là về cách hoạt động của chúng như thế nào, điểm mạnh và điểm yếu của mỗi phương pháp đó cùng với đó là một số thảo luận về các cơ chế bảo mật ảo hóa. Các phương pháp bảo mật Nếu muốn tránh xa những người có nguy cơ nguy hiểm trên máy bay hoặc tránh xa những đoạn mã độc xuất hiện trong mạng của mình thì bạn có thể cần đến một trong các phương pháp để quyết định ai hoặc những đoạn mã gì được ở trong hoặc không. Trong trường hợp kịch bản đầu tiên đó là xem xét các phương pháp “chiếu tướng” hành khách:  Bạn có thể biện dịch một danh sách các tên khủng bố hoặc các tên tội phạm đã có tung tích và kiểm tra nhận dạng cá nhân tại cổng vào, xem tên có hơp với danh sách của bạn hay không và không cho phép những thành phần này lên máy bay. Đây là một ví dụ về phương pháp bảo mật dựa trên danh sách đen và nó được sử dụng bởi các hãng hàng không và Transportation Security Administration (TSA) các lực lượng an ninh tại hầu hết các sân bay.  Có thể biên dịch một danh sách những cá nhân có lý lịch tốt – những người đã được các tổ chức có pháp lý xác nhận một cách trung thực, cung cấp cho họ các thẻ nhận dạng cá nhân và cho phép họ lên máy bay mà không cần phải thực hiện những hành vi kiểm tra tỉ mỉ. Đây là dạng bảo mật dựa trên danh sách trắng và nó chính là những vấn đề cơ bản đối với chương trình “người du hành thân thiện” được đưa ra bởi TSA (hiện được biết đến với tư cách là chương trình Registered Traveler).  Bạn có thể đóng vai trò một nhân viên an ninh, người đã được đào tạo trong một số tình huống tra hỏi và quan sát những người có mang theo vé máy bay và những người hành động một cách khả nghi sẽ bị ngăn chặn hoặc cấm không cho qua cửa. Các trường hợp này áp dụng cho bảo mật mạng như thế nào?  Danh sách đen có thể được sử dụng để lọc spam, nhờ có danh sách đen đó mà bạn sẽ có một danh sách các địa chỉ email hoặc các miền là các kẻ spam đã hay biết, khi phần mềm phát hiện thấy một thông báo nào đó có nguồn gốc từ một trong số các nguồn đó, nó sẽ để các thư này vào thư mục Junk Mail. Danh sách đen cũng có thể được sử dụng để bảo vệ các hệ thống chống lại các mã độc. Khi bạn có một danh sách các file hoặc các chương trình được biết là malware, các chương trình và các file này sẽ bị khóa để không thể mở và cũng không thể chạy.  Danh sách trắng cũng có thể được sử dụng để lọc spam, nhờ có nó là bạn có được một danh sách các người gửi và miền được coi là “an toàn”. Mail từ các nguồn này được cho phép luôn chuyển; còn lại các mail từ các nguồn khác sẽ bị khóa. Danh sách trắng cũng có thể được sử dụng để bảo vệ hệ thống trong việc tránh mã độc. Khi bạn có một danh sách các chương trình mong muốn trong tay thì các thực thi không nằm trong danh sách này của bạn sẽ không được phép chạy.  Phương pháp hành vi cố gắng truy cập rủi ro rằng mã đó là mã độc dựa trên các đặc tính và các mẫu. Các cơ chế bảo mật dựa trên chữ ký và điểm dị thường thực hiện kiểu bảo mật dựa trên hành vi. Các file và các chương trình có khả năng chứa mối nguy hiểm, dựa trên các mẫu hành vi của chúng, và từ đó sẽ khóa chúng. Tất cả trong số các phương pháp này đều là các phương pháp hợp lệ và tất cả chúng đều có điểm mạnh và điểm yếu riêng, chính vì vậy chúng ta sẽ đi xem xét đến chúng trong các phần dưới đây. Dự đoán dựa vào hành vi và dấu hiệu Phương pháp bảo mật dựa trên hành vi rất hữu dụng cho những trường hợp mà ở đó người, hoặc chương trình hoặc file không được phân loại từ trước là “tốt” hay “xấu”. Đây là một phương pháp hiệu quả (tuy nhiên không hoàn hảo) để phát hiện những mối đe dọa mới mà không cần phải đợi cho đến khi chúng thực hiện những hành vi gây hại. Có một câu châm ngôn rằng “nếu trông giống như vịt, đi cũng giống như vịt và kêu cũng giống như vịt thì rất có thể đó là vịt”. Ở mức đơn giản nhất, đó là những gì cơ bản nhất đói với phương pháp bảo mật dựa trên hành vi. Các lực lượng an ninh thường sử dụng nhiều phương pháp khác nhau để định hình hành vi của chúng. Họ nghe ngóng ngôn ngữ của đối tượng, quan sát nét mặt, những từ ngữ và hành động để cố gắng phát hiện ra những đối tượng này có nguy hiểm hay không. Những chuyển động của mắt, cường độ của giọng nói và các hệ số lý học khác có thể chỉ thị stress, điều này có thể chỉ thị rằng một ai đó đang cố gắng che dấu thứ gì. Tương tự như vậy, các thuật toán bảo mật dựa trên hành vi cũng sẽ tìm kiếm các dấu hiệu của một file hoặc một phần của mã không phải là chương trình hợp lệ. Bộ lọc bảo mật dựa trên chữ ký hoạt động giống như một nhân viên an ninh tìm kiếm các dấu hiệu tội phạm dựa trên cách làm việc hoặc mốt hoạt động của họ. Các hành động cụ thể và các chuỗi mã được so sánh với một cơ sở dữ liệu các dấu hiệu đã biết, hoặc các chuỗi đã được định nghĩa từ trước trong mã để biểu thị đó là malware. Phương pháp bảo mật dựa trên những hành vi dị thường kém rõ ràng; nó nhắm đến các hành vi hoặc các lệnh/chỉ lệnh trong mã dị thường. Thuật toán tìm thường được sử dụng để nhận ra các dấu hiệu dị thường, bằng cách phân tích lưu lượng mạng đi qua, email,… và so sánh nó với các mẫu hiện hành hoặc phân tích cấu trúc của bản thân mã. Các cỗ máy tìm kiếm ngày nay thường là các cỗ máy có khả năng “học” từ những kinh nghiệm trước đó và xây dựng các công thức mới theo đó. Hầu hết các chương trình chống virus đều sử dụng cách thức tìm kiếm để nhận diện malware và các biến thể trước khi các nâng cấp về dấu hiệu có sẵn. Một điểm quan trọng được chỉ ra bởi John Douglas, một chuyên gia có tiếng trong việc định hình tội phạm là, một trong nhiều công cụ có thể hữu dụng trong việc điều tra tội phạm và trong thực tế, việc định hình cần được sử dụng chỉ sau khi có nhiều phương pháp nghiên cứu truyền thống đã được sử dụng. Hay nói theo cách khác, việc định hình đơn lẻ không đủ chính xác để có thể được coi như một chỉ thị về tội phạm. Bởi cùng dấu hiệu như vậy, phương pháp bảo mật dựa trên hành vi đơn lẻ sẽ không bảo vệ tốt cho máy tính và mạng của bạn. Nó có thể để lọt một số malware qua đó vì các malware này được viết giống như mã hợp lệ và có lẽ quan trọng hơn nữa nó sẽ nhận nhầm một số các chương trình hợp lệ của bạn là malware vì những dấu hiệu khả nghi đáng phải xem xét của nó. Danh sách đen Danh sách đen là một khái niệm được biết đến nhiều và nó nghe có vẻ xấu khi được sử dụng trong vấn đề chính trị, nổi tiếng nhất trong Hollywood trong những năm 1940 và 1950 khi những người viết kịch bản phim đã bị cấm làm việc trong lĩnh vực điện ảnh vì những mối quan hệ chính trị của họ. Tuy nhiên trong bảo mật máy tính, danh sách đen lại là một phương pháp hoàn toàn đơn giản trong việc ngăn chặn các chương trình mã độc tiêm nhiễm hoặc ngăn chặn các thông báo đến từ các kẻ spam nham hiểm và những người gửi không mong muốn khác vào được hòm thư của người dùng. Cập nhật cho danh sách có thể được thực hiện một cách nhanh chóng thông qua một máy chủ chuyên cập nhật. Hầu hết các chương trình chống virus đều sử dụng một dạng danh sách đen đẻ khóa các mối hiểm họa đã biết. Việc lọc spam sẽ phụ thuộc vào danh sách đen. Danh sách đen làm việc tốt trong một số ứng dụng nào đó. Ví dụ như việc đã xảy ra một vấn đề đối với danh sách đen ở Mỹ vào năm 2004 khi một thượng nghị sỹ bị cấm bay bởi một tên giống với tên của anh ta lại được dùng làm bí danh bởi một kẻ tình nghi là kẻ khủng bố và như vậy tên anh ta nằm trong danh sách “cấm bay” của chính phủ. Một vấn đề vẫn xảy ra với việc lọc spam dựa trên danh sách đen là tình trạng bao vây của những người gửi hợp lệ, ví du như người được báo cáo đến hoặc được bổ sung vào danh sách lại không phải là spammer, cũng không phải là kẻ thù địch. Một số tổ chức và các cá nhân riêng lẻ đã nhận thấy rất khó có thể lấy được các địa chỉ của đã bị remove khi chúng đã nằm trong danh sách đen. Khi bạn sử dụng một danh sách đen mang tính thương mại, bạn sẽ hưởng lợi rất nhiều về hiệu suất lưu lượng mạng đối với hãng của nhóm thứ ba. Tuy nhiên vẫn còn một vấn đề khác nữa đối với danh sách đen đó là nó chỉ làm việc với những người, những chương trình và người gửi không mong muốn. Nó không bảo vệ để chống lại những mối nguy hiểm (những tấn công zero day). Việc quét lưu lượng incoming và so sánh nó với các danh sách đen có thể sử dụng nhiều tài nguyên và làm chậm lưu lượng mạng. Danh sách trắng Ngược với danh sách đen làm việc theo nguyên lý cho phép mọi thứ không bị ngăn cấm, danh sách trắng lại sử dụng phương pháp ngược lại, từ chối mọi thứ không được phép. Kỹ thuật sử dụng trong danh sách trắng làm việc từ một danh sách các thực thể “known good” (các chương trình, địa chỉ email, các miền và các URL) và chỉ cho phép các thực thể nằm trong danh sách. Danh sách trắng có nhiều ưu điểm đó là:  Không cần phải chạy phần mềm chống virus được cập nhật thường xuyên. Mọi thứ không có trong danh sách sẽ không được phép để chạy.  Các hệ thống được bảo vệ tránh được các tấn công zero day.  Người dùng không thể chạy các chương trình không thẩm định mà không nằm trong danh sách, chính vì vậy bạn không phải lo lắng về chúng hay bị cài đặt các thực thi xấu. Danh sách trắng là một kỹ thuật đơn giản và cho các quản trị viên và các công ty kiểm soát được những gì xảy ra với mạng hoặc chạy trên chạy các máy tính. Ưu điểm là vậy, tuy nhiên danh sách trắng cũng có những nhược điểm của nó. Khi sử dụng độc lập, danh sách trắng rất hiệu quả trong việc tránh malware và spam, tuy nhiên cũng có thể tổ chức cho các mã hợp lệ có thể chạy và các thông tin hợp lệ đi qua. Với hầu hết người dùng, giải pháp danh sách trắng không làm việc tốt đối với việc lọc email vì chúng thường nhận email từ nhiều người mà chúng ta không hề hay biết, chúng ta đang nói đó là mail hợp lệ và mong muốn. Giải pháp này cũng không thực tế đối với những người bán hàng vì họ phải nhận nhiều yêu cầu từ những người hoàn toàn lạ, hay những nhà viết văn nhận thư từ các độc giả của họ, hay những người làm doanh nghiệp nhận mail từ các khách hàng của mình. Trong trường hợp này nó có thể làm việc tốt trong các tài khoản email cá nhân vì đây là những người chỉ muốn đáp trả lại một nhóm các bạn và các thành viên gia đình họ. Danh sách trắng phát triển phổ biến và thường được sử dụng kết hợp với các phương pháp bảo mật khác. Cho ví dụ, nhiều máy khách email có chứa các bộ lọc spam dùng để phân tích các thông báo và đánh dấu các tiêu chí nào đó (từ khóa, định dạng, sự lặp lại) sẽ là spam. Bên cạnh đó chúng cũng cho phép người dùng biên dịch danh sách “người gửi an toàn” (danh sách trắng) để mail từ các địa chỉ đó sẽ không bị đánh dấu là spam dù nó không có đủ các tiêu chuẩn cần thiết. Trong thiết lập doanh nghiệp điển hình, danh sách trắng rất hữu dụng trong việc điều khiển những thực thi nào có thể chạy trên máy. Tuy nhiên điều này có thể gây ra vấn đề, chẳng hạn như một điều khiển nào đó cần để hiển thị đúng website lại không nằm trong danh sách trắng và người dùng cần truy cập vào site đó để thực hiện công việc của anh ta. Nếu danh sách trắng này được cấu trúc đúng thì điều này sẽ không gây ra vấn đề gì, tuy nhiên phương pháp này cũng tạo gánh nặng rất nhiều lên vai các quản trị viên về những chương trình gì cần phải biết để cho phép chúng có thể hoạt động trong mạng. Kết luận Mỗi một phương pháp bảo mật có những điểm mạnh và điểm yếu riêng. Mỗi một phương pháp đều có thể cho các kết quả không mong muốn hoặc mong muốn. Nhiều phương pháp khác nhau làm việc tốt trong những tình huống khác nhau. Chính vì vậy khi nói đến việc lọc spam thì sự kết hợp tất cả các phương pháp này sẽ là một lựa chọn tốt nhất. Cho phép các bộ lọc tự tìm để phân tích mail với những tiêu chuẩn spam chung, cho phép các danh sách đen để mail nào từ những người gửi nào hoặc miền nào có thể bị khóa nếu không hội tụ đủ các tiêu chuẩn cần thiết, cùng với đó là danh sách trắng, nhờ có đó mà mail từ những người gửi hoặc miền nào đó sẽ được phép đi qua nếu nó hội tụ đủ các điều kiện cần thiết. Đây chính là phương pháp được sử dụng bởi hầu hết các giải pháp của phần mềm chống virus hiệu quả nhất đang sử dụng. Trong môi trường doanh nghiệp, danh sách trắng sạch thuần khuyết là một giải pháp an toàn nhất với những gì cần thực hiện trong việc triển khai mã trên các máy tính.