VẢ ẢO - chuyên đề thú vị cho các bác quan tâm đến security

[quynhdung91]

Từ gợi ý của bác Phat IT, em xin đóng góp 1 số bài viết của em về chủ đề security. Tất nhiên, em làm cho Trend Micro thì khó nói về giải pháp của cty khác, nhưng khi đăng những bài viết này, yêu cầu của tòa soạn là thông tin phải thật khách quan và không PR. Em tin là bài viết dưới đây vô tư và có thể giúp ích cho mỗi admin hoặc những bác quan tâm đến bảo mật cho server hoặc datacenter.

Bài viết này em đăng trên tạp chí sofline ra tháng 10/2012 về tác dụng của module Vá Ảo (Virtual Patching) của Deep Security.

Ghi chú: Deep Security là giải pháp Security đầy đủ nhất cho các server Vật Lý - Virtual - Cloud. Đọc thêm về cấu trúc của Deep Security ở đây, hoặc xem/download datasheet ở đây
các tranh trong tạp chí Softline đều đã dịch text ra tiếng Việt nhưng load lên đây thì chữ nhỏ quá khó đọc nên em up tạm bản tiếng Anh. Link gốc http://www.trendmicro.com/us/boxes/l...621140118.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
VÁ ẢO: Giảm thiểu Rủi ro và Chi phí cho Datacenter
<font color="#0000CD">

Khôi Ngô

Quản lý bản vá để khắc phục lỗ hổng bảo mật luôn là một thách thức đau đầu cho bộ phận quản trị IT. Nếu đây là việc dễ dàng, việc phát hành và triển khai bản vá sẽ theo kế hoạch và các lỗ hổng bảo mật sẽ được xử lý trong khung thời gian biết trước. Trong thực tế, khi nhận được các bản vá khẩn cấp, các nhân viên IT ngay lập tức triển khai chúng và các chuyên gia bảo mật chuẩn bị tinh thần cho trường hợp xấu nhất – thất thoát dữ liệu hoặc không dự đoán được thời gian chết của hệ thống sẽ là bao lâu.

Ngoài việc thiếu các bản vá lỗi khẩn cấp và không ổn định gây ra do nhà cung cấp phần mềm thay đổi/giải tán/sáp nhập, còn một thách thức nữa là kế hoạch duy trì an ninh cho các phần mềm doanh nghiệp không-còn-được-hỗ trợ (Out-Of-Support hay OOS) ví dụ Windows NT, Windows 2000, Oracle 8... Đối với các hệ thống như vậy, không còn bản vá lỗi bảo mật buộc nhân viên IT phải lựa chọn việc nâng cấp phiên bản phần mềm hay chấp nhận các gói dịch vụ hỗ trợ đắt tiền hoặc thỏa hiệp với những rủi ro khai nhắm vào các lỗ hổng không có bản vá của OOS.

Một tình huống khác là các ứng dụng web, được phát triển bởi các công ty chuyên về việc đó, có thể chạy rất mưở 1 tính năng nào đó nhưng lại thiếu đi các tính năng security, vốn không phải điểm mạnh của các cty làm web, tạo ra các lỗ hổng tiềm ẩn cho website của người dùng. Trong thực tế, một ứng dụng web được thiết kế và nâng cấp qua nhiều version, bởi nhiều team khác nhau. Việc thiếu tính kế thừa giữa những người thiết kế, nhất là khi người trước chuyển công tác, người sau mới tiếp quản công việc, càng làm lỗ hổng của thiết kế càng cơ hội tiềm ẩn.

Hàng năm có tới hàng chục ngàn lỗ hổng được phát hiện trên các ứng dụng doanh nghiệp, và thời gian từ khi lỗ hổng/mã độc được phát hiện đến khi lỗ hổng bị lợi dụng càng ngày càng ngắn lại. Nhưng những bản vá không phải lúc nào cũng có ngay để vá (phụ thuộc vào số ngày cam kết trên SLA và khả năng đáp ứng bản vá của cty làm ra phần mềm). Với hầu hết các cty phần mềm, thường thì thời gian có bản vá là từ 15-30 ngày từ ngày công bố lỗ hổng. Đây là thời gian cần thiết để công ty đó phân tích lỗ hổng và chế ra bản vá (Coding), thử nghiệm bản vá và phát hành ra ngoài. Về nguyên tắc, thời gian này (zero day - thời gian từ khi mã độc/lỗ hổng bị phát hiện đến khi có bản vá cho nó) càng dài thì nguy cơ bị tấn công càng cao.

Thêm nữa, trong môi trường ảo hóa, khi có nhiều VM trên cùng server, việc khởi động lại một VM sau khi patch có thể làm ảnh hưởng tới hoạt động của các VM khác trên cùng server vật lý.

Patch server là một công việc bắt buộc và buồn tẻ của các quản trị viên kèm theo việc khởi động lại server. Các câu chuyện dưới đây khá phổ biến trong bất cứ datacenter nào. Chúng ta sẽ nhận ra sự khác biệt giữa hai datacenter của Mark và Hiro trong các câu chuyện này. Hiro sử dụng Deep Security của Trend Micro với tính năng Vá Ảo (Virtual Patching). Vá ảo là tập hợp các rule của module DPI, không vá trực tiếp vào file .DLL. bảo vệ các lỗ hổng hệ thống:

(i) cho đến khi một miếng vá thực sự ra đời và được triển khai,

(ii) hoặc đóng vai trò bảo vệ thường trực trong trường hợp các hệ điều hành OOS không còn bản vá, hoặc

(iii) giúp doanh nghiệp duy trì tuân thủ quy định (compliance), ví dụ ISO27001 hoặc PCSI DSS, một cách liên tục mà không phát sinh chi phí.


Câu chuyện thứ nhất

Câu chuyện thứ hai

Câu chuyện thứ ba

Câu chuyện thứ tư

</font>

View more random threads:

• Các nổi bật khi làm bằng đại học giả có bảng điểm ở Lambanggiagiare
• Sửa Tivi Bị Kẻ Màn Hình Tại Quận Hoàng Mai 0943,980,980
• New đơn vị nên sắm bằng đại học Việt Đức, giá thấp ở đâu
• Vì sao bạn chọn vay tiền nhanh?
• Chuyên sửa chữa vệ sinh máy giặt Sanyo tại nhà ở cầu giấy mỹ đình
• Lợi ích của chuông cửa màn hình
• Hướng dẫn cách làm trà sữa cà phê ngon khó cưỡng
• Bếp từ Giovani chất lượng cao giá tốt nhất
• Tại sao nên lựa chọn đệm PE mặt cao su Đồng Phú trong gia đình
• Thi công trần sao tại Trần xuyên sáng Dhome

[daolong158]

Cám ơn bác Khôi..... bác có thể giúp giải thích rõ hơn cơ chế bảo vệ của Vỉtual Patching... Ví dụ cụ thể một website có lỗi SQL Injection thì Vỉtual Patching sẽ vá như thế nào....Thân.

[luonglengoc]

Cám ơn bác Khôi..... bác có thể giúp giải thích rõ hơn cơ chế bảo vệ của Vỉtual Patching... Ví dụ cụ thể một website có lỗi SQL Injection thì Vỉtual Patching sẽ vá như thế nào....Thân.

SQL injection là một kỹ thuật của các hacker lợi dụng điểm yếu của các câu lệnh query SQL để lấy/xóa/sửa dữ liệu trên các ứng dụng web. Module DPI của DS có riêng một phần là Web Application Protection chuyên bảo vệ cho ứng dụng Web khỏi các kiểu tấn công này, phổ biến nhất là các điểm yếu liên quan đến SQL Injection và Cross-Site-Scripting. Khi đó, DPI sẽ loại bỏ những đoạn mã độc này, không cho phép vào máy chủ web kể cả khi máy chủ đang có lỗ hổng (vậy mới kêu là Vá Ảo bác ạ).

Cơ chế đó là: dựa trên phân tích các đoạn mã phổ biến tấn công bằng SQL injection, Trend tạo ra các rule tương ứng cho module DPI. Nói thì đơn giản vậy, nhưng cần phải có cơ chế thu thập mẫu cực lớn trên toàn cầu, phần tích Big Data và khả năng update cho ng dùng cực nhanh.

Khi nào ứng dụng của bác được vá, thì DPI tự nó nhận biết và off rule tương ứng đi để tránh xung đột.

[toanngoiloi]

Phát đang search thêm các bài báo về vấn đề này.... Hy vọng sẽ bổ sung thêm nhiều thông tin sâu hơn về kỹ thuật.

[admin]

Các bác quan tâm sâu hơn về vấn đề này có thể e-mail cho em theo khoi_ngo@trendmicro.com hoặc số hot-lai 0913225486 nhé. Tài liệu thì em có nhiều nhưng không tiện khoe trên này

[maivanhao]

Em chuẩn bị cần về bảo mật server và kiểm tra lỗi SQL của website, không biết bác Bẹt giúp đỡ em được không nhỉ