Bài viết này giới thiệu ba xu hướng công nghệ mới trong lĩnh vực an toàn thông tin: tích hợp công nghệ tất cả trong một; phối hợp các thiết bị phát hiện và chống xâm nhập đơn lẻ thành một hệ thống quản lý tập trung và các phương tiện an ninh “ảo”. chống xâm nhập (Collaborative Intrusion Detection System - CIDS).

Công nghệ tất cả trong một - UTM

UTM (Unified Threat Management) được đề cập nhiều trong những năm gần đây. Đó là một giải pháp quản lý thống nhất và được thiết kế theo phương châm “tất cả trong một”, tích hợp các chức năng an toàn thông tin cơ bản trong cùng một thiết bị như: Tường lửa/mạng riêng ảo (VPN); phát hiện và ngăn chặn tấn công xâm nhập (IPS/IDS); nhúng chức năng phòng chống virus và lọc, kiểm soát nội dung truy cập Web. UTM có nhiều ưu điểm như chi phí đầu tư thấp, quản trị đơn giản, các thành phần bảo mật đơn lẻ được cấu hình trong cùng một giao diện và có thể tương tác với nhau một cách thông suốt trong môi trường quản trị thống nhất.

Có thể phân chia các sản phẩm UTM thành hai dòng. Dòng thứ nhất bao gồm những sản phẩm được thiết kế trên cơ sở tích hợp thiết bị của cùng một hãng sản xuất. Cách tiếp cận này tiện lợi cho nhà sản xuất nhưng với người dùng có thể là rủi ro bởi phải “phó thác” độ an toàn cho một nhà sản xuất. Dòng thứ hai được xây dựng trên quan điểm của hãng CrossBeam, theo đó UTM được thiết kế trên cơ sở sử dụng sản phẩm bảo mật của các hãng tốt nhất như: Check Point về tường lửa; Trend Micro về phòng chống virus; Websense về lọc Web; Imperva về tường lửa bảo vệ CSDL, tường lửa ứng dụng Web; ISS, Sourcefire về chống tấn công, ngăn chặn xâm nhập.... Chúng được quản lý và tích hợp trong cùng một thiết bị chuyên dụng của CrossBeam. Theo đánh giá của nhiều chuyên gia, UTM của Crossbeam có một số ưu thế: công nghệ tiên tiến, dễ quản trị, kiến trúc an ninh đơn giản, dễ cài đặt mở rộng, chi phí thấp.

Công nghệ UTM vẫn đang tiếp tục được nghiên cứu và phát triển trong thị trường có tính cạnh tranh cao. Dù vậy, Crossbeam đã có được thành công ấn tượng với phương châm “Tất cả tốt nhất trong một”. Theo đánh giá gần đây của IDC, hãng Crossbeam dẫn đầu và chiếm hơn 60% thị phần UTM trên toàn cầu.

Hệ thống phát hiện và chống xâm nhập phối hợp - CIDS

UTM phù hợp với những tổ chức vừa và nhỏ, có mạng liên lạc được bố trí tập trung  trên một mặt bằng địa lý, nhưng không phù hợp với những mạng diện rộng, được bố trí trên nhiều vùng khác nhau, tương ứng mỗi vùng lại có hệ thống cảnh báo và chống xâm nhập riêng. Với những mạng loại này, người ta sử dụng giải pháp dùng một thiết bị kết nối với các thiết bị đơn lẻ tạo thành một hệ thống có khả năng bao quát toàn mạng, xử lý thông tin tổng thể và có khả năng hướng dẫn hoặc đưa ra lệnh hành động cho các khu vực đơn lẻ. Giải pháp này được gọi là hệ thống phối hợp phát hiện và chống xâm nhập (Collaborative Intrusion Detection System - CIDS).

Về kiến trúc, CIDS bao gồm hai thành phần chính: Khối xử lý thông tin (Correlation Unit) đóng vai trò trung tâm của CIDS và các khối phát hiện (Detection Unit). Các khối phát hiện thực chất là các thiết bị IDPS, Firewall có chức năng bảo vệ các vùng mạng riêng biệt, phát hiện và ngăn chặn các truy cập trái phép từ bên ngoài vào hệ thống nội bộ. Khối xử lý thông tin kết nối với các khối phát hiện qua các sensor. Một trong những khó khăn khi xây dựng hệ thống CIDS là các khối phát hiện sử dụng các công cụ bảo vệ khác nhau, ví dụ khối phát hiện này sử dụng Snort, nhưng khối khác lại sử dụng Firewall IPtable. Vấn đề này được giải quyết bằng cách: khối phát hiện dùng công cụ phát hiện xâm nhập nào, thì  sensor tương ứng sẽ chạy công cụ tương tự như thế trong hệ thống, các công cụ này được gọi là các Plugin. Như vậy, trên khối xử lý thông tin sẽ chạy nhiều Plugin khác nhau, tương tự với các công cụ an toàn thông tin trên khối phát hiện.

Với cấu trúc thiết kế nói trên, CIDS có khả năng kiểm soát toàn bộ các tấn công cùng lúc xuất hiện từ nhiều hướng khác nhau, do đó có triển vọng rất lớn trong đảm bảo an toàn mạng diện rộng. Có thể thấy rõ lợi ích của CIDS so với các thiết bị đơn lẻ qua ví dụ sau: Khi một kẻ tấn công vào mạng, chúng dò tìm mật khẩu với các user mặc định đã có sẵn trong hệ thống. Với nguyên tắc không được thử mật khẩu ba lần, kẻ tấn công sẽ chỉ thử hai lần, nếu không thành công chúng chuyển sang máy khác. Bằng cách như vậy, chúng có thể dò tìm mật khẩu của mỗi tài khoản nhiều lần mà không bị phát hiện. Song đối với CIDS thì điều này không thể xảy ra, vì mỗi sự kiện trên mạng đều được gửi về trung tâm, người quản trị do đó nhận thấy có sự tìm kiếm mật khẩu nhiều lần ở nhiều máy tính khác nhau, sẽ khóa tài khoản nghi ngờ đang tìm cách truy cập vào hệ thống, hoặc đưa ra những quyết định cần thiết.

Mô hình của các hệ thống CIDS đã được nghiên cứu trong nhiều năm qua và một số sản phẩm đã được ứng dụng trong thực tế. Trong số các hệ thống CIDS được xây dựng dựa trên mã nguồn mở, nổi bật là Hệ thống quản lý an toàn thông tin OSSIM (Open Source Security Information Management). Đây không chỉ là một hệ thống CIDS đơn thuần mà nó còn cho phép quản lý ở mức rộng hơn, tới các yếu tố có liên quan đến an toàn thông tin. Về phát hiện và ngăn chặn xâm nhập, hệ thống OSSIM cho phép một máy chủ quản lý nhiều máy trạm làm nhiệm vụ thu thập dữ liệu, tiếp nhận các sự kiện gửi về, phân tích dựa trên các tập luật và đưa ra các cảnh báo cùng hành động đáp trả dựa trên cấu hình đã được xác định trước. Một số hệ thống CIDS được xây dựng thành các sản phẩm thương mại hóa như hệ thống ISS (Internet Security System) của IBM, Checkpoint Endpoint Security của hãng Checkpoint,... Trong đó, hệ thống ISS được xây dựng đồng bộ cho phép một máy chủ quản lý, được cài phần mềm SiteProtector Signature, có thể thu thập và xử lý dữ liệu từ các thành phần như thiết bị phần cứng Proventia MX1004, các máy tính có cài phần mềm như RealSecure Sensor, Proventia Desktop, Internet Scaner.... Hệ thống ISS cho phép phát hiện và đáp trả các cuộc tấn công được phát hiện còn hệ thống Checkpoint Endpoint Security lại chỉ dựa trên phần mềm với một máy chủ cài phần mềm quản lý và các máy trạm cài phần mềm client, hệ thống này cho phép thu thập dữ liệu trên mạng cục bộ và phân tích đưa ra các kết luận và phát hiện tấn công từ bên trong mạng cục bộ đó.

Thiết bị an ninh ảo

Công nghệ ảo hóa ngày càng xâm nhập rộng rãi vào các lĩnh vực ứng dụng công nghệ thông tin. Bên cạnh những lợi ích to lớn, công nghệ này cũng làm tiềm ẩn nhiều nguy cơ đe dọa an toàn thông tin như: Tấn công lên hypervisor từ máy ảo; Tấn công lên  nền tảng ảo hóa hypervisor từ mạng vật lý; Tấn công lên ổ đĩa của máy ảo; Tấn công lên các phương tiện quản trị của hạ tầng ảo; Tấn công máy ảo từ một máy ảo khác; Tấn công lên mạng  tái tạo của các máy ảo; Nguy cơ không kiểm soát được số lượng các máy ảo gia tăng....

Trong môi trường ảo, các thiết bị bảo vệ truyền thống đôi khi không phát huy tác dụng, thậm chí có dấu hiệu cho thấy còn làm gia tăng nhanh nguy cơ trên môi trường ảo. Kẻ tấn công có thể lọt vào một máy ảo để tấn công một máy ảo khác trên cùng một host và dùng máy này làm “điểm xuất phát” để lấy cắp thông tin. Khi đó tường lửa sẽ bị vô hiệu hóa vì giao tác giữa hai máy ảo trên cùng một host không đi qua thiết bị này. Trong hạ tầng ảo, kẻ tấn công có thể chặn bắt hypervisor và các phương tiện quản lý, từ đó có thể chặn để thu dữ liệu đi qua thiết bị vào/ra mà không bị các phương tiện truyền thống phát hiện. Công nghệ ảo hóa “tập trung” các hệ thống thông tin trên cùng một thiết bị, nên rủi ro cũng sẽ tăng lên. Sự tổn thất của host sẽ ảnh hưởng đến tất cả các máy ảo trong hệ thống và việc tiếp cận được các phương tiện quản lý trung tâm hạ tầng ảo sẽ dẫn đến tổn thương tất cả các máy ảo trong cùng hệ thống.

Nhiều nhà sản xuất đã đưa ra thị trường sản phẩm an toàn trong môi trường ảo, và thị trường này có xu hướng phát triển nhanh chóng. Sau đây là một số nhà sản xuất tiêu biểu: Công ty VMware với sản phẩm VMware vShield và một loạt sản phẩm an toàn cho môi trường ảo.

Hãng Trend Micro sử dụng cách tiếp cận Software Virtual Appliance, cho phép người đặt hàng được quyền lựa chọn những ưu việt của giải pháp thông thường hoặc ảo. Trên thực tế, mỗi sản phẩm Trend Micro đều có thể triển khai trên máy chủ thông thường Virtual Appliance cho môi trường ảo VMware ESX hay hạ tầng. Trong trường hợp thứ nhất người đặt hàng sẽ nhận được một tổ hợp phần cứng - phần mềm với hệ điều hành được bảo vệ và sản phẩm Trend Micro (Software Appliance).

Các sản phẩm của Check Point, ngoài các chức năng khác, còn xem xét việc hiện thực  ảo hóa và có thể kiểm soát liên lạc giữa các máy ảo, không cho phép liên lạc qua tổng đài bên ngoài. Còn hãng Baracuda thì đã công bố kế hoạch đưa ra “thước đo” các hệ ảo, bắt đầu từ các sản phẩm Spam &Virus Fiwere Vx và SSL_VPN Vx. Người dùng có thể tiếp nhận chúng với các phiên bản khác nhau bao gồm các sản phẩm truyền thống và ảo.

Với các thiết bị an ninh ảo có hai kịch bản ứng dụng. Kịch bản thứ nhất, áp dụng trên cùng một nền của một số thiết bị bảo vệ ảo, cho phép kiểm soát một số lượng nhất định các phân đoạn với quy tắc tiếp cận và quản lý khác nhau, nhờ đó giá thành sẽ thấp. Kịch bản thứ hai, bảo vệ chính các cơ sở hạ tầng ảo, có tính đến đặc điểm của chúng, tuy nhiên thực thi kịch bản này là bài toán không đơn giản.

Trend Micro dự kiến, trong thời gian tới sẽ cho ra sản phẩm Deep Security 7.5 - sản phẩm bảo vệ các hệ thống vật lý, ảo và các hệ “đám mây”. Trong phiên bản mới, các môđun bảo vệ IDS/IPS, bức tường lửa, kiểm soát tính toàn vẹn, phân tích nhật ký sự kiện được bổ sung bởi môđun chống virus cho máy ảo.

Hãng IBM ISS giới thiệu giải pháp bảo vệ máy ảo “từ bên ngoài và từ bên trong”: IBM Proventia Server IPS và IBM Virtual Server Security for VMware VSshere sử dụng giao diện VMware VMSafe. Một số nhà cung cấp coi VSA là thế hệ đầu tiên các phương tiện bảo vệ thông tin môi trường ảo và cho rằng cần tích hợp sâu hơn nữa các chức năng an ninh vào môi trường ảo.

Trên đây đã đề cập đến một số xu hướng mới trong lĩnh vực sản phẩm an toàn thông tin. Việc hợp nhất các phương tiện đảm bảo ATTT trên cùng một nền sẽ giúp các tổ chức quản lý an ninh mạng, các ứng dụng khách hàng, an toàn dữ liệu và ứng dụng web tốt hơn. Với sản phẩm tường lửa của các các hãng Cisco, Check Point và Juniper... doanh số bán hàng tăng đáng kể nhưng vẫn phải “nhường chỗ” cho các phương tiện UTM. Theo số liệu điều tra của IDC, hơn 70% các công ty và tổ chức đã hoặc đang có kế hoạch triển khai các phương tiện an ninh ảo. Theo đánh giá của các chuyên gia, thiết bị an ninh ảo sẽ là một trong những xu hướng triển vọng nhất trong lĩnh vực ATTT trong thời gian tới. Bên cạnh đó, cũng có những xu hướng ATTT khác có nhiều triển vọng, như Identy Manegement (IDM), các hệ thống tin cậy, các hệ thống đo kiểm ATTT, các thiết bị phân tích tình huống...