Các quy tắc phát hiện lỗ hổng zero-day mà trí tuệ nhân tạo không thể sửa đổi

Ngành an ninh mạng luôn ở trong tình trạng phải liên tục ứng phó. Mỗi quý lại xuất hiện một loại mối đe dọa mới, một kỹ thuật lách luật mới và một từ viết tắt mới hứa hẹn sẽ định hình lại cách thức phòng thủ. Điều này tạo ra một nghịch lý đối với các Giám đốc An ninh Thông tin (CISO) và Giám đốc Công nghệ (CTO) chịu trách nhiệm về các quyết định hạ tầng có tầm nhìn dài hạn: các chiến lược phát hiện phải duy trì tính phù hợp trong vòng năm đến mười năm, ngay cả khi bối cảnh mối đe dọa thay đổi chỉ sau vài tháng. Hệ thống phòng thủ nhiều lớp là điều thiết yếu. Câu hỏi còn bỏ ngỏ là nên dựa vào đâu để các lớp phòng thủ này có thể đứng vững khi các mối đe dọa ngày càng phát triển.

Việc xây dựng chiến lược bền vững đó đòi hỏi chúng ta phải nhìn xa hơn những thay đổi trong bối cảnh mối đe dọa và xác định những yếu tố không thay đổi: đó là những hạn chế cơ bản vẫn tiếp tục định hình cách thức hoạt động của các mối đe dọa, bất kể các công cụ phát triển như thế nào. Những yếu tố bất biến này cung cấp cho hệ thống phòng thủ nhiều lớp một nền tảng vững chắc để dựa vào, nhờ đó kiến trúc phát hiện vẫn duy trì tính phù hợp ngay cả khi các mối đe dọa và kỹ thuật cụ thể thay đổi. Trong bài viết này, chúng tôi tập trung vào ba trong số những yếu tố bất biến đó vì chúng có tác động trực tiếp nhất đến cách thức xây dựng các quy trình phát hiện hiện đại.

Phòng thủ tĩnh chỉ là ảo tưởng nhất thời. Những kẻ tấn công phân tích ngược cơ chế phát hiện, chia sẻ các kỹ thuật lách luật và liên tục cải tiến. Một khi đã được triển khai và không được cập nhật, không có công nghệ phòng thủ nào có thể duy trì hiệu quả lâu dài trước một đối thủ quyết tâm. Điều này đã đúng từ khi hộp cát (sandbox) đầu tiên được triển khai, và phần mềm độc hại do trí tuệ nhân tạo (AI) tạo ra chỉ càng đẩy nhanh chu kỳ này.

Hậu quả thực tế là phần mềm độc hại có khả năng lẩn tránh không cần phải vượt qua mọi lớp phát hiện. Nó chỉ cần vượt qua lớp mà bạn đang tin tưởng. Các biến thể hiện nay có thể được tạo ra nhanh hơn, thử nghiệm với các biện pháp phòng thủ và được tinh chỉnh trong các chu trình lặp lại liên tục. Những gì trước đây phải mất hàng tuần để phát triển, giờ đây có thể hoàn thành trong các chu kỳ chỉ tính bằng giờ.

Trong môi trường OT, vấn đề thích ứng càng trở nên phức tạp hơn. Chu kỳ phát hành bản vá kéo dài, các hệ thống thường do nhà cung cấp kiểm soát, và phần mềm được triển khai thông qua các bản cập nhật firmware, gói phần mềm của nhà cung cấp và các công cụ hiện trường – những thứ không thể dễ dàng thay thế. Chính những tệp tin này lại trở thành phương tiện phân phối lý tưởng vì chúng được mong đợi, đáng tin cậy và khó kiểm tra mà không gây gián đoạn hoạt động.

Một số tệp trong số này có thể được làm sạch, trong khi những tệp khác thì không. Các tệp thực thi, hình ảnh firmware và tệp bản vá cần phải chạy đúng như dự định, điều này hạn chế phạm vi áp dụng các phương pháp vô hiệu hóa và tái cấu trúc nội dung. Điều này khiến số lượng phương pháp kiểm tra khả thi bị thu hẹp lại, và kiểm tra tĩnh thường trở thành biện pháp kiểm soát mặc định trong nhiều môi trường này, mặc dù đây chính là lỗ hổng mà các kẻ tấn công đã tìm ra cách vượt qua.

Không có công cụ phát hiện nào có thể tự mình đạt được kết quả tối ưu. Điều này không phải là hạn chế của bất kỳ công nghệ cụ thể nào. Đó là một đặc tính thống kê của việc kết hợp các bộ phân loại độc lập. Khi nhiều công cụ đánh giá cùng một tệp bằng các phương pháp khác nhau, tỷ lệ lỗi của chúng không cộng dồn theo cách tuyến tính. Thay vào đó, chúng bù trừ lẫn nhau, tạo ra khả năng phát hiện tổng hợp luôn vượt trội hơn bất kỳ công cụ riêng lẻ nào, bất kể công cụ đó tiên tiến đến đâu.

Hậu quả là rất rõ ràng, dù có thể gây bất tiện. Phần mềm độc hại có khả năng lẩn tránh không cần phải vượt qua mọi biện pháp kiểm soát có thể. Nó chỉ cần vượt qua biện pháp mà bạn tin tưởng nhất. Một tệp tin có thể lách qua các kiểm tra danh tiếng nhưng lại kích hoạt các chỉ số hành vi, hoặc tránh được phát hiện dựa trên chữ ký nhưng lại có sự tương đồng bất thường với một họ phần mềm độc hại đã biết, sẽ bị chặn lại trong quy trình kiểm tra nhiều lớp. Trong mô hình chỉ sử dụng một công cụ, tệp tin đó vẫn tiếp tục đi qua.

Hầu hết các môi trường hiện nay đều đã triển khai nhiều công cụ, nhưng các tín hiệu mà chúng tạo ra thường không liên kết với nhau. Một hệ thống đánh dấu một tệp là đáng ngờ, hệ thống khác lại xác nhận nó là an toàn, trong khi hệ thống thứ ba lại đưa ra các chỉ số đòi hỏi phải phân tích thủ công. Gánh nặng trong việc đối chiếu dữ liệu do đó đè nặng lên vai các chuyên gia phân tích.

Điều này dẫn đến hai kiểu lỗi nhất quán:

1. Việc né tránh sẽ thành công một cách âm thầm khi mối đe dọa vượt qua cơ chế kiểm soát chính và không bao giờ kích hoạt quá trình kiểm tra sâu hơn

1. Mức độ cảnh báo sẽ tăng lên khi các tín hiệu chồng chéo hoặc mâu thuẫn tạo ra nhiễu mà không rõ ràng

Ở quy mô lớn, cả hai kết quả này đều không bền vững. Trong các môi trường có khối lượng công việc lớn, việc phát hiện hoặc là bỏ sót những vấn đề quan trọng, hoặc là gây quá tải cho đội ngũ chịu trách nhiệm xử lý.

MetaDefender giải quyết vấn đề này bằng cách tổ chức quá trình phát hiện dưới dạng một quy trình thống nhất thay vì một tập hợp các bước kiểm tra độc lập. Mỗi lớp sẽ đánh giá cùng một tệp từ một góc độ khác nhau, và các kết quả được tổng hợp lại thành một kết luận duy nhất, có sự tương quan.

Quy trình phát hiện MetaDefender và đóng góp tín hiệu

Mỗi lớp giải quyết một vấn đề khác nhau. Lớp Danh tiếng tập trung vào những thông tin đã biết. Phân tích động giúp phát hiện những điều chưa được biết. Hệ thống chấm điểm cung cấp bối cảnh, còn hoạt động truy tìm mối đe dọa kết nối các sự kiện riêng lẻ thành một bức tranh tổng thể có thể đưa ra hành động cụ thể. Kết quả thu được là một quyết định duy nhất dựa trên toàn bộ bằng chứng có sẵn, chứ không phải bốn kết quả riêng biệt. Trên cả bốn lớp, quy trình này đạt hiệu quả phát hiện lỗ hổng zero-day lên tới 99,9%.

Một tổ chức tài chính toàn cầu xử lý gần 1.000 email đáng ngờ mỗi ngày đã triển khai phân tích động tại Trung tâm Điều hành An ninh (SOC) thông qua một môi trường sandbox dựa trên máy ảo (VM) được tích hợp với hệ thống tự động hóa SOAR. Hệ thống này hoạt động hiệu quả cho đến khi khối lượng dữ liệu tăng lên. Sandbox ngày càng dài, các sự cố ưu tiên cao buộc phải can thiệp thủ công, và tự động hóa trở thành điểm nghẽn thay vì là công cụ nhân lực.

Bằng cách triển khai MetaDefender tại lớp bảo vệ biên, tổ chức đã đẩy quá trình hợp nhất dữ liệu lên giai đoạn sớm hơn. Các tệp tin được phân tích trước khi được chuyển tiếp thay vì sau khi được thực thi trên thiết bị đầu cuối. Các điểm nghẽn trong hàng đợi đã được loại bỏ, thời gian phân tích giảm từ vài phút xuống còn vài giây, và Trung tâm Điều hành An ninh (SOC) đã lấy lại khả năng tập trung vào công tác điều tra thay vì phải xử lý các công việc tồn đọng.

Có một sự khác biệt đáng kể giữa hệ thống phát hiện dựa trên nguồn dữ liệu đe dọa bên ngoài và hệ thống tự tạo ra thông tin tình báo của riêng mình. Phương pháp phát hiện dựa trên nguồn dữ liệu có một giới hạn cố hữu: nó chỉ có thể nhận diện những gì người khác đã phát hiện, ghi chép và chia sẻ. Các mối đe dọa mới, các biến thể được sửa đổi và các cuộc tấn công có mục tiêu được thiết kế để lách qua hệ thống phát hiện công khai đều nằm ngoài phạm vi đó.

Phân tích động thay đổi điều đó. Khi một tệp được thực thi thông qua quá trình kiểm tra dựa trên mô phỏng, kết quả thu được không chỉ là một kết luận. Quá trình này tạo ra các chỉ số hành vi, hoạt động mạng, dữ liệu cấu hình và dấu vết thực thi. Những thông tin này trở thành nguồn thông tin nội bộ, giúp thực hiện việc truy tìm sự cố sau khi xảy ra, phân loại các biến thể và chặn chủ động dựa trên hành vi quan sát được thay vì các chỉ số được báo cáo.

Trong các lĩnh vực cơ sở hạ tầng trọng yếu, dịch vụ tài chính và quốc phòng, bằng chứng có thể xác minh không chỉ là một lựa chọn về mặt kiến trúc. Đó là một yêu cầu vận hành gắn liền với việc tuân thủ và khả năng kiểm toán.

Các khung pháp lý ngày càng yêu cầu phải có phân tích có thể kiểm chứng được đối với các mối đe dọa chưa biết, chứ không chỉ dừng lại ở việc xác thực dựa trên dữ liệu đầu vào. Một kết luận đơn thuần mà không có bằng chứng hỗ trợ sẽ không thể đứng vững trước các cuộc kiểm toán hoặc điều tra. Các hệ thống phát hiện phải có khả năng chứng minh cách thức hoạt động của tệp tin, các chỉ số nào đã được trích xuất, và quá trình đưa ra quyết định diễn ra như thế nào.

Điều này cũng thay đổi cách các tổ chức nhận thức về những rủi ro của chính mình. Một môi trường tự tạo ra thông tin tình báo sẽ dần hình thành một cái nhìn cụ thể về hoạt động của các mối đe dọa theo thời gian. Các xu hướng bắt đầu lộ diện qua các chiến dịch, việc tái sử dụng hạ tầng và các mẫu hành vi lặp lại nhắm vào các quy trình làm việc cụ thể. Các nguồn dữ liệu bên ngoài, cùng với thông tin tình báo được tạo ra nội bộ, giúp cung cấp cái nhìn sâu sắc hơn.

MetaDefender tạo ra thông tin tình báo như một phần của quy trình phát hiện. Mỗi tệp được phân tích thông qua phương pháp phân tích động dựa trên mô phỏng sẽ tạo ra các chỉ số hành vi, các dữ liệu trích xuất và các tín hiệu tương quan, sau đó được đưa trở lại hệ thống. Quá trình phát hiện trở thành một quá trình học tập liên tục thay vì chỉ là một quyết định mang tính nhất thời.

Thông tin tình báo đó không bị cô lập. Nó được đưa vào hệ thống AI dự đoán Predictive Alin, nơi các lỗ hổng zero-day đã được xác nhận trong môi trường sandbox được sử dụng để huấn luyện lại các mô hình phát hiện trước khi thực thi. Mỗi mối đe dọa được xác nhận đều giúp tăng cường khả năng của hệ thống trong việc nhận diện các mẫu tương tự sớm hơn, trước khi quá trình thực thi diễn ra. Điều này tạo ra một vòng phản hồi giữa phân tích sâu và dự đoán nhanh.

Một cơ quan chính phủ quốc gia chịu trách nhiệm bảo vệ các hệ thống nhạy cảm và dữ liệu công dân đã minh họa rõ sự khác biệt trong hoạt động. Hệ thống thử nghiệm trước đây của cơ quan này tuy tạo ra các báo cáo chi tiết nhưng lại buộc các nhà phân tích phải tự tay phân tích các tín hiệu hành vi rời rạc, và mức độ tin cậy vào khả năng phát hiện lỗ hổng zero-day ngày càng suy giảm khi các mẫu mã độc có khả năng lẩn tránh vẫn lọt qua hệ thống.

Sau khi triển khai MetaDefender , công nghệ sandboxing đã chuyển từ một công cụ báo cáo độc lập thành một quy trình phát hiện thống nhất, cung cấp một kết quả đánh giá duy nhất cho mỗi tệp, được hỗ trợ bởi bằng chứng hành vi có cấu trúc và hệ thống chấm điểm mối đe dọa. Đây chính là loại thông tin tình báo mà cơ quan này cuối cùng có thể trực tiếp dựa vào để hành động.