TÀI LIỆU

KẾ HOẠCH POC GIẢI PHÁP

PHÁT HIỆN TẤN CÔNG CÓ CHỦ ĐÍCH

KASPERSKY ANTI TARGETED ATTACK

1
 Mục Lục

1. Mục đích PoC ...................................................................................................................................... 4

2. Kế hoạch PoC ...................................................................................................................................... 5
2.1. Thời gian đề xuất: ......................................................................................................................... 5
2.2. Địa điểm:....................................................................................................................................... 5
2.3. Kế hoạch chi tiết: .......................................................................................................................... 5
3. Mô hình PoC........................................................................................................................................ 6
3.1. Mô hình thiết kế ............................................................................................................................ 6
3.2. Mô hình triển khai ......................................................................................................................... 8
3.3. Nội dung PoC.............................................................................................................................. 10
3.4. Các cổng dịch vụ sử dụng ........................................................................................................... 10
3.5. Phạm vi triển khai PoC ............................................................................................................... 11
3.6. Chuẩn bị hạ tầng KATA .............................................................................................................. 11
3.6.1. Server cài KATA...................................................................................................................... 11
3.6.2. Máy trạm cài endpoint ............................................................................................................ 11
3.7. Danh sách nhân sự tham gia....................................................................................................... 12

2
Thuật ngữ và từ viết tắt
Thuật ngữ - Từ viết tắt Giải thích
KATA (Kaspersky Anti Hệ thống phòng chống tấn công có chủ đích của
Targeted Attack) Kaspersky
Cảm biến là một tiểu hệ thống mà mục đích là phát hiện
các sự kiện hoặc thay đổi trong môi trường mà nó đang
Sensor
hoạt động và gửi thông tin đến các hệ thống phân tích tập
trung
Là nơi quản trị tập trung các thành phần của giải pháp và
Central Node tiếp nhận, phân tích thông tin từ các Sensor Server,
Endpoint Sensor gửi về
Trong lĩnh vực bảo mật máy tính, sandbox là một cơ chế
bảo mật nhằm cách ly các chương trình đang chạy.
Sandbox thường được sử dụng để chạy các chương trình
Sandbox hoặc mã chương trình chưa được kiểm thử hoặc chưa
được tin tưởng từ các đối tác bên ngoài, nhà cung cấp,
người dùng hoặc từ websites, mà không gây hại đến máy
tính hoặc hệ điều hành của hệ thống

Thiết bị điểm cuối: Máy tính để bàn (Desktops) và máy

tính xách tay (Laptops) hoặc các thiết bị có tính năng
Endpoint
tương tự máy tính chạy hệ điều hành Microsoft Windows
trong hệ thống CNTT (ngoại trừ máy ATM)

Phương thức thực hiện sao chép lưu lượng traffic mạng
Span traffic
vào/ra trên một hay nhiều cổng của thiết bị switch
KSC (Kaspersky Security Chương trình quản trị tập trung hệ thống phòng chống
Center) virus Kaspersky
Là cơ sở hạ tầng phân tán phức tạp được phát triển bởi
KSN (Kaspersky Security Kaspersky Lab và dành riêng để xử lý thông minh các
Network) luồng dữ liệu liên quan đến an ninh mạng từ hàng triệu
người tham gia tự nguyện trên toàn thế giới

3
 1. Mục đích PoC

Tấn công có chủ đích và các mối đe dọa nâng cao – bao gồm các mối đe dọa bền bỉ
tiên tiến (Advance Persistent Theats – APT) là một trong những rủi ro nguy hiểm nhất đối
với hệ thống của các cơ quan quan trọng, doanh nghiệp lớn. Tuy nhiên, trong khi các mối
đe dọa và kỹ thuật mà tội phạm mạng sử dụng không ngừng phát triển, thì các cơ quan –
tổ chức đang quá phụ thuộc vào các công nghệ bảo mật truyền thống và suy nghĩ lạc hậu
để bảo vệ chống lại các mối đe dọa tiên tiến.
Các mối đe dọa trong các cuộc tấn công có chủ đích hay APT có thể không bị phát hiện
trong thời gian dài lên đến hàng tuần, hàng tháng hay thậm chí trong nhiều năm, trong khi
các tác nhân tiến hành thu thập thông tin một cách chậm rãi, thầm lặng và từng bước khai
thác lỗ hổng đặc biệt trong hệ thống của nạn nhân. Không giống như các loại mã độc
thông thường, các mối đe dọa tiên tiến hướng mục tiêu có tính kiểm soát và quản lý bởi
các kẻ tấn công. Mục tiêu không chỉ dừng lại ở việc phân phát mã độc: mục tiêu là tồn tại
trong hệ thống của nạn nhân. Những cuộc tấn công này là kết quả của sự bền bỉ, nghiên
cứu nạn nhân thường xuyên của các kẻ tấn công.

Những yếu tố chính đóng góp vào sự thành công của các cuộc tấn công có chủ đích
trong hệ thống IT gồm cả yếu tố bên trong và bên ngoài:

- Phụ thuộc quá nhiều vào hệ thống phòng thủ mạng biên và giải pháp bảo mật trên
thiết bị đầu cuối.
- Nhận thức của nhân viên nội bộ thấp về an ninh mạng.
- Thiếu khả năng hiển thị tổng quát về hệ thống CNTT.
- Phần mềm hệ điều hành và phần mềm bị lỗi thời và thiếu cập nhật.
- Thiếu đội ngũ an ninh mạng có đầy đủ trình độ liên quan đến việc nghiên cứu mã
độc, điều tra số, phản ứng sự cố.

Về lý thuyết, chuỗi tấn công có chủ đích có vẻ khá đơn giản: Trinh sát và kiểm tra,
Thâm nhập, Thực thi và Kết quả. Nhưng trong thực tế, các cuộc tấn công có chủ đích rất
tinh vi và đa hướng về sự tiến triển và thực hiện. Một cuộc tấn công có chủ đích là quá
trình thực hiện trong thời gian dài, phức tạp và cần khả năng giám sát, phân tích liên tục
để sớm phát hiện những hành động của hacker.
Kaspersky Anti Targeted Attack Platform (KATA) là một giải pháp phức hợp dành cho
cơ quan, doanh nghiệp lớn với đa lớp công nghệ phát hiện để phát hiện các cuộc tấn công
có chủ đích. Giám sát lưu lượng mạng theo thời gian thực kết hợp với công nghệ Sandbox

4
và phân tích hành vi trên thiết bị đầu cuối, giúp cung cấp thông tin chi tiết về những gì
đang xảy ra trên cơ sở hạ tầng CNTT hiện tại của doanh nghiệp. Bằng cách tương quan
các sự kiện từ các lớp khác nhau bao gồm mạng, thiết bị đầu cuối và mối đe dọa toàn cầu,
KATA có khả năng phát hiện theo thời gian thực các mối đe dọa phức tạp và giúp khả
năng điều tra sự cố.

2. Kế hoạch PoC
2.1. Thời gian đề xuất:
35 ngày, từ ngày … đến ngày …
2.2. Địa điểm:
….
2.3. Kế hoạch chi tiết:

Thời gian
TT Công việc thực hiện Nhân sự
(ngày)
1 Khởi động kế hoạch 1
Họp thống nhất về kế hoạch tổng thể,
1.1 1 Partner/EU + NTS
các công việc cần chuẩn bị
2 Triển khai PoC 3,0
2.1 Cài đặt máy chủ Sensor 0,5 Partner/EU + NTS
Cài đặt máy chủ quản lý tập trung
2.2 0,5 Partner/EU + NTS
Central Node
2.3 Cài đặt máy chủ Sandbox 0,5 Partner/EU + NTS

5
 Thời gian
TT Công việc thực hiện Nhân sự
(ngày)
2.4 Cài đặt Endpoint Sensor cho máy trạm 0.5 Partner/EU + NTS
2.5 Cấu hình span traffic trên hệ thống mạng 0,5 Partner/EU + NTS
2.6 Mở firewall 0,5 Partner/EU + NTS
3 Đánh giá kết quả PoC 31
3.1 Theo dõi và đánh giá 28 Partner/EU + NTS
3.2 Thực hiện các bài test case 2 Partner/EU + NTS
3.3 Báo cáo kết quả test case 1 Partner/EU + NTS
Tổng số ngày 35

3. Mô hình PoC
3.1. Mô hình thiết kế

Mô hình thiết kế giải pháp

6
Mô hình thiết kế phải mô tả được các thành phần giải pháp, nguyên lý làm việc và tính
năng sơ bộ của giải pháp KATA.
❖ Central Node: là nơi quản trị tập trung các thành phần của giải pháp và tiếp nhận,
phân tích thông tin từ các Sensor Server, Endpoint Sensor gửi về. Thông tin được phân tích
bằng các Engine dò quét được tích hợp sẵn bao gồm File Reputation (Mức độ tín nhiệm
tệp tin), Risk Score Engine (kiểm tra điểm rủi ro đối với các tập tin APK – Android
Package), Anti-malware Engine (là Engine dò quét mã độc của Kaspersky), Yara rule (là
luật YARA được các quản trị viên viết), Certcheck (kiểm tra chứng thư số) và đối với các
tập tin, đường dẫn còn nghi ngờ thì Central Node sẽ gửi lên Sandbox sau đó sẽ chỉ nhận về
là các kết quả được báo cáo từ Sandbox. Central Node cũng cung cấp khả năng kết nối tới
Cloud của hãng để các phân tích được so sánh với các mẫu mới nhất và phân tích chuyên
sâu nhất. Nhiệm vụ của Central Node là phân tích dữ liệu và xác định các bất thường trong
hành vi mạng và các hành vi trên thiết bị đầu cuối. Các kết quả được Central Node đưa ra
báo cáo chi tiết qua giao diện quản trị (web, CLI).
❖ Sensor Server: là máy chủ nhận lưu lượng traffic từ Network (SPAN Port: DNS,
FTP, HTTP, SMTP, URL), email (POP3, POPs, SMTP) và web (ICAP), sau đó thực hiện
sàng lọc và dò quét sơ bộ qua Intrusion Detection System (IDS) và URL reputation: Các
gói tin và đường dẫn URL được phân tích kỹ càng. Đồng thời trích xuất tệp tin và chuyển
đến Central Node nhằm phân tích chuyên sâu hơn.
❖ Sandbox Server phát hiện phần mềm độc hại bằng cách chạy đối tượng nghi ngờ
(suspicious object) trong môi trường ảo hóa (Virtual Machine – VM) với đầy đủ các thành
phần của hệ điều hành, các ứng dụng và phát hiện đối tượng bằng cách phân tích các hành
vi của nó. Nếu đối tượng thực hiện các hành vi độc hại (mã độc) trong máy ảo, Sandbox
sẽ phát hiện ra nó là phần mềm độc hại. Các VM này được cách ly với cơ sở hạ tầng hệ
thống thực sự tránh ảnh hưởng tới môi trường thật.

7
 ❖ Endpoint Sensor được cài đặt trên các thiết bị điểm cuối. Cảm biến này thu
thập dữ liệu về các tiến trình, tệp tin thực thi và các kết nối được tạo ra. Các thông tin
này sẽ được gửi đến Central Node nhằm phân tích chuyên sâu. Central Node tiếp tục
truy vấn cảm biến điểm cuối đối với tệp tin hoặc bộ nhớ dumps trong trường hợp cần
thiết.
3.2. Mô hình triển khai
KATA hỗ trợ nhiều mô hình triển khai phù hợp với quy mô hoạt động của mọi cơ
quan, tổ chức. Trong mô hình PoC lần này chúng ta sẽ tiến hành PoC cài KATA trên
1 server vật lý với mô hình:
❖ 1 máy chủ Sensor thu thập lưu lượng mạng.
❖ 1 máy chủ quản lý tập trung Central Node với các thành phần bảo mật
❖ 1 máy chủ Sandbox.
❖ 100-200 máy trạm cài Endpoint Sensor

Mô hình triển khai tổng quan

8
 VM_Switch
Management
- Endpoind Sensor
Central Node Phys ical Network - KSC
Interface 1
Management
Port
- KSN
- Update
Switch

Sandbox
VM_Switch Management
Sensing Port:
- Traffic network Phys ical Network
Interface 3
Sensing Port
- Mail Phys ical Network
no IP

- Proxy Interface 4
Sensor
Management
Port

Server KATA

Mô hình triển khai chi tiết

Toàn bộ các máy chủ: Central Node, Sensor, Sandbox đều là máy ảo chạy trên nền tảng
Vmware ESX 6.x; máy chủ vật lý có 4 card mạng cho phép cấu hình đáp ứng mô hình trên.

❖ Máy chủ vật lý:

➢ Các cổng dịch vụ sử dụng: như mục 3.4
❖ Máy chủ Central Node:
➢ Số lượng Card mạng: 01
➢ Địa chỉ IP: phân hoạch 01 địa chỉ IP theo vùng DMZ
➢ Các cổng dịch vụ sử dụng: như mục 3.4
❖ Máy chủ Sandbox:
➢ Số lượng Card mạng: 01 sử dụng chung một VMNET với máy chủ Central Node.
➢ Địa chỉ IP: Phân hoạch 01 địa chỉ IP theo vùng DMZ,
➢ Các cổng dịch vụ sử dụng: như mục 3.4
❖ Máy chủ Sensor Server:
➢ Số lượng Card mạng: 03 trong đó
✓ 01 card mạng sử dụng chung một VMNET với máy chủ Central Node
✓ 02 card mạng nhận lưu lượng network, mail, proxy
➢ Số lượng địa chỉ IP:

9
 ✓ 01 địa chỉ IP phân hoạch theo vùng DMZ để thu thập thông tin Mail Server
(có thể kết nối tới máy chủ Mail Server thực hiện thu thập qua hình thức
bcc mail hoặc kết hợp với Kaspersky Secure Mail Gateway hoặc traffic
mail span nếu email không có mã hóa).
✓ 01 địa chỉ IP phân hoạch theo vùng Internet Outbound để thu thập thông
tin từ Proxy qua giao thức ICAP. Trên máy chủ Proxy đẩy thông tin qua
giao thức ICAP tới máy chủ Sensor. (mỗi hãng Proxy cho phép cấu hình
ICAP khác nhau).
➢ 01 Port còn lại thiết lập chế độ Network Sensor thu thập dữ liệu trên mạng, được
cắm vào Core Switch. Cán bộ DUY TAN cấu hình port đó là SPAN port và đổ
traffic từ các VLAN dự định làm PoC (span đủ traffic vùng mạng dự định PoC).
➢ Các cổng dịch vụ sử dụng: như mục 3.4
❖ Endpoint Sensor: Dự tính sử dụng 100-200 PC để cài đặt Endpoint Sensor.
❖ KSC: chuẩn bị quyền truy cập để có thể cấu hình tích hợp với KATA
3.3. Nội dung PoC
Định kỳ 1 tuần 1 lần sẽ chiết xuất dữ liệu của KATA để phân tích, sau 4 lần phân tích
sẽ xuất báo cáo tổng hợp.
3.4. Các cổng dịch vụ sử dụng

Giao
Nguồn Đích
Port thức Ghi chú
Update server 80 TCP *.Kaspersky.com
KSN Servers 443 TCP *.kaspersky-labs.com
Centra Node KSC 13299 TCP
Endpoint sensor 443 TCP
DNS 53 TCP/UDP
Update server 80 TCP *.Kaspersky.com
Sensor KSN Servers 443 TCP *.kaspersky-labs.com
DNS 53 TCP/UDP
Update server 80 TCP *.Kaspersky.com
Sandbox
DNS 53 TCP/UDP

10
 Giao
Nguồn Đích
Port thức Ghi chú
Endpoint
Central Node
sensor 443 TCP
Central Node 8443 TCP
Quản trị Sandbox 8443 TCP
Server KATA 902 TCP

3.5. Phạm vi triển khai PoC

- 01 máy chủ vật lý cài đặt KATA để phát hiện tấn công có chủ đích được thu thập từ
200 máy tính trạm cài Endpoint Sensor và traffic span từ hệ thống mạng.
3.6. Chuẩn bị hạ tầng KATA
3.6.1. Server cài KATA
- Phần cứng: sử dụng 1 server vật lý ảo hóa, nhờ phía Duy Tan chuẩn bị

Thành phần Phần cứng tối thiểu

Server 24 CPU, 128 GB RAM, 1 TB RAID10

- Phần mềm:
➢ Máy chủ vật lý cài phần mềm VMWARE
3.6.2. Máy trạm cài endpoint
- Phần cứng
➢ Intel Core i3 Duo 3.1 GHz or an equivalent processor
➢ 40 MB of available RAM
➢ 4 GB of available disk space required for the installation and data storage
- Phần mềm: các máy trạm sử dụng các hệ điều hành sau:
➢ Windows 10
➢ Windows 8.1 x32, x64
➢ Windows 7 x32, x64
➢ Windows Server 2016
➢ Windows Server 2012/R2 x64

11