Đang tải... (xem toàn văn)
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của tổ chức là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua mạng. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng của tổ chức, cá nhân.
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI TRUNG TÂM ĐÀO TẠO SAU ĐẠI HỌC - MÔN HỌC : AN TOÀN HỆ THỐNG VÀ AN NINH MẠNG ĐỀ TÀI TÌM HIỂU VỀ XÂM NHẬP TRÁI PHÉP VÀ PHẦN MỀM ĐỘC HẠI Cao học Hệ thống thông tin Hà Nội, tháng 07 năm 2022 Mục lục Mục lục MỞ ĐẦU Chương 1: TỔNG QUAN Xâm nhập trái phép Malware - Phần mềm độc hại Chương 2: Ứng dụng thực tế 11 Xâm nhập trái phép 11 Phần mềm độc hại 15 KẾT LUẬN 20 TÀI LIỆU THAM KHẢO 20 MỞ ĐẦU Ngày với phát triển bùng nổ công nghệ thông tin, hầu hết thông tin tổ chức, cá nhân lưu trữ hệ thống máy tính Cùng với phát triển tổ chức địi hỏi ngày cao mơi trường hoạt động cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua mạng Việc mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài ngun thơng tin, tài chính, danh tiếng tổ chức, cá nhân Các phương thức công thông qua mạng ngày tinh vi, phức tạp dẫn đến mát thơng tin, chí làm sụp đổ hồn tồn hệ thống thơng tin tổ chức Vì an tồn thơng tin nhiệm vụ quan trọng, nặng nề khó đốn trước hệ thống thông tin Với phát triển mạnh mẽ Internet, vấn đề an ninh, an toàn hệ thống thông tin ngày trở nên cấp thiết hệ thống thông tin kết nối với với mạng Internet, chúng phải đối diện với nhiều nguy bị công lấy cắp thông tin phá hoại hệ thống Trong số tác nhân công phá hoại hệ thống thông tin mạng, phần mềm độc hại dạng gây nhiều thiệt hại khả lan truyền nhanh chóng Các phần mềm độc hại phát triển ngày tinh vi, khó phát với kỹ thuật nhận dạng thông thường, kỹ thuật phân tích tĩnh phân tích động Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành cơng việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống phát xâm nhập trái phép (IDS-Intrusion Detection System) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Chương 1: TỔNG QUAN Xâm nhập trái phép • Giới thiệu Cùng với phát triển Internet, giải pháp phát ngăn chặn việc xâm nhập trái phép mạng máy tính biết đến từ lâu, phần tất yếu mạng máy tính toàn cầu Một số sản phẩm an ninh mạng đời tường lửa (firewall), tường lửa kiểm tra sâu theo trạng thái (Stateful Inspection Firewall – SIF), kiểm tra sâu (Deep Inspection), hệ thống phát xâm nhập (Intrusion Detection System – IDS), hệ thống ngăn chặn xâm nhập (Intrusion Prevention System – IPS)… gần hệ thống phát ngăn chặn xâm nhập IDPS (Intrusion Detection and Prevention System) Về bản, kiểm tra sâu theo trạng thái đưa định dựa thông tin phiên làm việc nhiều giao thức Ngược lại, tường lửa ứng dụng web, máy chủ an ninh proxy can thiệp đến lớp ứng dụng logic để đưa định, chúng hỗ trợ đến hai giao thức Các hệ thống phát xâm nhập (IDS), IPS kiểm tra sâu trạng thái can thiệp vào tận gói tin lớp ứng dụng để đưa định, nhiên khác biệt công nghệ số lượng giao thức chúng hỗ trợ Các sản phẩm chống vi rút cổng phân tích file ứng dụng để phát lưu lượng có mục đích khả nghi thường hỗ trợ số lượng hữu hạn giao thức Vì vậy, số hãng đưa giải pháp tích hợp hệ thống phát ngăn chặn xâm nhập IDPS Phát xâm nhập trình giám sát kiện xuất hệ thống máy tính mạng phân tích dấu hiệu biến cố, xâm nhập mối đe dọa xảy với sách an tồn máy tính Các hệ thống ngăn chặn xâm nhập triển khai hình thức thiết bị cổng (gateway) để phát ngăn chặn có hiệu cơng mạng, tối thiểu hố thời gian chết chi phí cơng mạng gây Các hệ thống ngăn chặn xâm nhập triển khai vị trí nằm ngồi phạm vi kiểm sốt tường lửa, có khả nhận dạng cơng xác thơng qua phân tích lưu lượng nhiều cách thức khác nhau, để xác định mục tiêu đích thực kết nối xác định xem kết nối khả nghi hay tin cậy Dựa kết phân tích đó, hệ thống đưa chế đáp ứng khác nhau, từ ghi chép đến cảnh báo để xoá ngắt kết nối, nhờ người quản trị mạng phản ứng phù hợp với dạng công khác phần khác mạng lưới Nhiều hệ thống ngăn chặn xâm nhập cịn triển khai chế độ thụ động để thu nhận phân tích gói liệu cho phép quản trị mạng có thơng tin lưu lượng nguy tồn mạng Tuy vậy, chúng chuyển sang chế độ dự phịng chế độ cổng người quản trị mạng cảm nhận hệ thống bị xâm nhập, công để phản ứng trước cơng, loại bỏ lưu lượng kết nối khả nghi để đảm bảo kết nối khơng ảnh hưởng đến hệ thống Ngoài ra, hệ thống ngăn chặn xâm nhập cịn cung cấp cơng cụ phân tích điều tra giúp nhà quản trị mạng hiểu diễn mạng đưa định sáng suốt góp phần làm tăng hiệu giải pháp an ninh mạng • Một số loại cơng nghệ IDPS Có nhiều kiểu cơng nghệ IDPS, chia thành bốn nhóm dựa vào kiểu kiện mà giám sát cách triển khai: - Dựa Mạng, giám sát lưu lượng mạng phần mạng thiết bị đặc biệt phân tích hoạt động giao thức mạng ứng dụng để xác định hoạt động đáng nghi ngờ Nó xác định nhiều kiểu kiện khác nhau; thường triển khai ranh giới mạng, gần biên firewall định tuyến, máy chủ VPN, máy chủ truy nhập từ xa, mạng không dây - Không dây, giám sát lưu lượng mạng khơng dây phân tích giao thức nối mạng không dây để xác định hoạt động đáng nghi ngờ gồm giao thức Nó khơng thể xác định hoạt động đáng nghi ngờ giao thức ứng dụng lớp cao (ví dụ, TCP, UDP) nơi lưu lượng mạng không dây chuyển giao, thường triển khai mạng không dây tổ chức, triển khai vị trí mạng khơng dây khơng nhận thực - Phân tích hành vi Mạng (Network Behavior Analysis – NBA), kiểm tra lưu lượng mạng để xác định mối đe dọa tạo luồng lưu lượng khác thường, từ chối phân tán công dịch vụ (Distributed Denial of Service – DDoS), tạo thành malware (ví dụ vi rút backdoor), xâm phạm sách Các hệ thống NBA thường triển khai để giám sát luồng mạng bên tổ chức, đơi triển khai nơi chúng giám sát luồng mạng tổ chức mạng - Dựa Máy chủ, nơi giám sát đặc tính máy chủ đơn kiện xuất hoạt động đáng nghi ngờ bên máy chủ Cơng nghệ IDPS sử dụng nhiều phương pháp để phát biến cố: a Phát dựa dấu hiệu Một “Dấu hiệu” mẫu tương ứng với mối đe dọa biết Sự phát dựa Dấu hiệu trình so sánh dấu hiệu với kiện quan sát để xác định biến cố Việc phát dựa Dấu hiệu hiệu biết mối đe dọa không hiệu phần lớn phát trước khơng biết mối đe dọa, mối đe dọa sử dụng kỹ thuật lảng tránh, số biến thể biết Ví dụ, kẻ cơng sửa đổi malware để sử dụng tên file “Freepics2.exe”, dấu hiệu phát “Freepics.exe” khơng phù hợp với Phát dựa Dấu hiệu phương pháp phát đơn giản nhất, cần so sánh thời hoạt động, gói phần đầu vào, với danh sách Dấu hiệu, để liệt kê dấu hiệu, sử dụng thao tác so sánh chuỗi Các công nghệ phát dựa Dấu hiệu cho phép hiểu số mạng giao thức ứng dụng giám sát hiểu trạng thái truyền thông phức tạp b Phát dựa Bất thường Phát dựa Bất thường trình so sánh định nghĩa hoạt động xem xét bình thường so với kiện quan sát để xác định sai lệch quan trọng Một IDPS sử dụng phát dựa bất thường có trạng diễn đạt hành vi bình thường người sử dụng, máy chủ, kết nối mạng, ứng dụng Hiện trạng phát triển cách giám sát đặc trưng hoạt động điển hình khoảng thời gian Các trạng phát triển cho nhiều thuộc tính, số e-mail nhắn người sử dụng, số đăng nhập bị sai cố gắng vào máy chủ, mức dùng xử lý máy chủ khoảng thời gian Lợi ích phương pháp phát dựa bất thường chúng hiệu việc phát mối đe dọa trước c Phân tích Giao thức trạng thái Phân tích giao thức trạng thái trình so sánh trạng định trước có định nghĩa cơng nhận chung hoạt động giao thức tốt cho trạng thái giao thức việc quan sát kiện để xác định sai lệch Không giống phát dựa bất thường, sử dụng máy chủ trạng chuyên biệt mạng, phân tích giao thức dựa vào trạng nhà cung cấp rõ cách giao thức cần không cần sử dụng “Trạng thái” phân tích giao thức trạng thái có nghĩa IDPS có khả hiểu giám sát trạng thái mạng, việc chuyển giao, giao thức ứng dụng có khái niệm trạng thái Sự phân tích giao thức trạng thái xác định chuỗi không mong muốn lệnh, việc phát lệnh lặp lại nhiều lần phát lệnh mà không phụ thuộc lệnh Trạng thái khác giám sát đặc tính phân tích giao thức trạng thái giao thức thực nhận thực, IDPS giám sát việc nhận thực sử dụng cho phiên, ghi việc nhận thực sử dụng cho hoạt động đáng nghi ngờ Đây điều có ích cho việc điều tra biến cố IDPS khác sử dụng thông tin nhận thực để định nghĩa hoạt động chấp nhận khác cho nhiều lớp người sử dụng người sử dụng đặc biệt “Phân tích giao thức” thực phương pháp phân tích giao thức trạng thái thơng thường, bao gồm kiểm tra lệnh riêng lẻ, độ dài đối số cực tiểu cực đại Hạn chế phương pháp phân tích giao thức trạng thái có độ biến đổi tài nguyên cường độ cao phức tạp việc phân tích tham gia vào thực giám sát trạng thái cho nhiều phiên đồng thời Vấn đề quan trọng khác phương pháp phân tích giao thức trạng thái khơng thể phát công mà không xâm phạm, thực số hoạt động tốt thời gian ngắn để gây từ chối dịch vụ Malware - Phần mềm độc hại • Malware mối đe dọa phổ biến Nó phần mềm tội phạm mạng tạo để ngăn chặn phá hủy máy người dùng Malware thường phát tán dạng tệp đính kèm email phần mềm “trơng an toàn” Malware tên tội phạm sử dụng cho mục đích kiếm tiền động trị, hướng đến việc tạo cơng mạng • Một số loại Malware khác bao gồm: - Virus: Một chương trình tự nhân chủng bám vào file phát tán toàn hệ thống máy, khiến file dính mã code độc - Trojans : Một loại malware ngụy trang vỏ bọc phần mềm an toàn Các tội phạm mạng lừa người dùng đưa Trojans vào hệ thống sau phá hủy thu thập liệu - Spyware: Một chương trình bí mật ghi lại hoạt động máy tính người dùng Tội phạm mạng lợi dụng thơng tin để đưa virus trojans vào máy tính - Ransomware: Đây phần mềm khóa file hay liệu người dùng lại, yêu cầu họ phải trả tiền chuộc để mở khóa - Adware: Những phần mềm quảng cáo sử dụng để phát tán malware - Botnets: Mạng lưới máy tính bị nhiễm phần mềm độc, hacker sử dụng để hoạt động trực tuyến mà không cần cho phép người dùng • Các bước cơng ransomware Quy trình chi tiết cơng Ransomware: 10 Lây nhiễm: Sau gửi đến hệ thống qua email lừa đảo, phần mềm tải xuống, (Hoặc phương thức công khác) ransomware tự cài đặt thiết bị đầu cuối thiết bị mạng mà truy cập Tạo khóa mã hóa : Các ransomware liên lạc với máy chủ điều hành hacker đứng đằng sau cơng để tạo khóa cryptographic sử dụng hệ thống cục Mã hóa : Các ransomware bắt đầu mã hóa liệu có giá trị mà tìm thấy máy cục mạng Thông báo : Sau mã hóa thực hiện, ransomware hiển thị hướng dẫn tống tiền toán tiền chuộc, đe dọa hủy liệu tốn (thường Bitcoin) khơng thực Mở khóa : Các tổ chức trả tiền chuộc hy vọng tội phạm mạng thực giải mã tệp bị ảnh hưởng (trong nhiều trường hợp trả tiền không thực giải mã) Hoặc họ thử phục hồi cách xóa tệp hệ thống bị nhiễm khỏi mạng khôi phục liệu từ lưu Chương 2: Ứng dụng thực tế Xâm nhập trái phép • Ứng dụng cơng nghệ IDPS Các IDPS chủ yếu tập trung vào việc xác định biến cố xảy IDPS sau báo cáo biến cố tới người quản trị bảo mật, nơi khởi động hoạt động đáp lại biến cố để tối giản thiệt hại gây biến cố IDPS làm gián đoạn thơng tin người gây biến cố sử dụng Nhiều IDPS định cấu hình để nhận dạng xâm nhập sách an tồn Vì vậy, số IDPS giám sát việc chuyển tệp (file) nhận dạng đáng nghi ngờ, việc copy lại sở liệu lớn lên người dùng laptop Một số IDPS nhận dạng hoạt động thăm dị, cảnh báo cơng xảy Ví dụ , số công cụ dạng công malware, đặc biệt vi rút thực hoạt động thăm dò quét máy chủ cổng để nhận dạng đích cho lần cơng Cùng với việc giám sát phân tích kiện để xác định hoạt động không phép, tất kiểu cơng nghệ IDPS điển hình thực chức sau: 11 - Ghi thông tin liên quan đến kiện quan sát Thông tin thường ghi nội bộ, gửi cho hệ thống riêng biệt máy chủ trung tâm, giải pháp quản lý kiện (SIEM) thơng tin an tồn, hệ thống quản lý - Thông báo cho người quản trị bảo mật kiện quan trọng quan sát được: Thông báo này, coi cảnh báo, xuất qua số phương pháp, bao gồm: e-mail, trang, thông báo giao diện người sử dụng IDPS, bẫy giao thức quản lý mạng đơn giản (SNMP), tin thông báo syslog, chương trình, tập lệnh người sử dụng Một tin thơng báo điển hình bao gồm thơng tin liên quan tới kiện; người quản trị cần truy nhập tới IDPS để có thơng tin bổ sung - Tạo báo cáo: Các báo cáo tóm tắt kiện giám sát cung cấp chi tiết kiện đặc biệt quan tâm Ngoài ra, IDPS sử dụng để: - Xác định vấn đề sách an tồn: Một IDPS cung cấp cấp độ để điều khiển chất lượng thực thi sách an tồn, lại quy tắc firewall cảnh báo phát thấy lưu lượng mạng cần phải ngăn firewall khơng phải lỗi cấu hình firewall - Cung cấp tài liệu mối đe dọa cho tổ chức: Các IDPS cắt khúc thông tin mối đe dọa mà chúng phát Việc biết tần suất đặc trưng kẻ cơng chống lại tài ngun máy tính tổ chức có ích việc xác định biện pháp an tồn thích hợp để bảo vệ tài ngun Thơng tin sử dụng để cảnh báo người quản lý mối đe dọa mà tổ chức phải đối mặt - Ngăn cản cá nhân khỏi việc xâm phạm sách an toàn: Nếu cá nhân ý thức hoạt động họ bị giám sát công nghệ IDPS việc xâm nhập sách an tồn, chúng bớt xâm phạm tính mạo hiểm việc dị tìm Do phụ thuộc ngày tăng hệ thống thông tin ảnh hưởng tiềm tàng việc xâm nhập chống lại hệ thống đó, IDPS trở thành bổ sung cần thiết cho sở hạ tầng an toàn tổ chức Thuộc tính chung khác cơng nghệ IDPS khơng thể cung cấp phát xác hồn tồn Khi IDPS xác định khơng hoạt động bình 12 thường thành nguy hiểm, khẳng định sai xuất Khi IDPS sai xác định hoạt động nguy hiểm, phủ định sai xuất Không thể loại trừ tất khẳng định phủ định sai; đa số trường hợp, việc giảm bớt biến cố làm tăng thêm biến cố khác Nhiều tổ chức chọn giảm bớt phủ định sai chi phí phủ định sai ngày tăng, có nghĩa nhiều kiện nguy hiểm phát phải phân tích nhiều tài nguyên để phân biệt khẳng định sai từ kiện nguy hiểm thật • Sử dụng kết hợp nhiều loại công nghệ IDPS Trong nhiều trường hợp, giải pháp IDPS thực không sử dụng nhiều cơng nghệ IDPS khác Ví dụ, IDPS dựa mạng (networkbased) giám sát giao thức không dây, IDPS không dây giám sát giao thức ứng dụng Bảng so sánh loại công nghệ IDPS Trong hầu hết môi trường, tổ hợp hai công nghệ IDP dựa mạng máy chủ cần thiết để có giải pháp IDPS hiệu IDPS khơng dây cần thiết nhà khai thác xác định mạng không dây cần giám sát Các sản phẩm NBA cung cấp nhà khai thác mong muốn mạng có khả phát công từ chối dịch vụ (DoS), sâu (worm), loại công khác Hơn nữa, số tổ chức sử dụng nhiều sản phẩm IDPS công nghệ Giải pháp thường thực nhằm nâng cao khả phát cơng, sản phẩm sử dụng phương thức khác hỗ trợ phát công khác mà sản phẩm khác khơng có Sử dụng nhiều loại sản phẩm cho phép khả phát nhiều loại công với số lượng nhiều đa dạng hơn, dễ dàng phân tích nhận dạng cơng, tăng cường khả dự phịng có thiết bị lỗi Nhiều tổ chức lại sử dụng nhiều sản phẩm IDPS có xuất xứ từ nhiều nhà cung cấp khác (hầu hết nhà sản xuất sản xuất thiết bị theo loại cơng nghệ định) Theo đó, sản phẩm hãng khác có tính độc lập với sản phẩm hãng khác Tuy nhiên, sản phẩm khơng tương thích với làm giới hạn tác dụng lẫn Dữ liệu không chia sẻ thiết bị, IDPS người dùng quản trị bị hạn chế khả giám sát quản lý nhiều thiết bị Các sản phẩm IDPS kết hợp với 13 theo hình thức trực kiểu thiết bị cấp cảnh báo thiết bị khác, kết nối theo kiểu không trực tiếp, tất thiết bị IDPS cấp cảnh báo vào hệ thống quản trị an ninh an ninh mạng chung Kết nối IDPS trực tiếp thường sử dụng tổ chức sử dụng nhiều sản phẩm IDPS từ nhà cung cấp thiết bị Ví dụ, số nhà cung cấp thiết bị thường sản xuất thiết bị hỗ trợ hai công nghệ: dựa mạng dựa máy chủ Thiết bị loại thường có bàn điều khiển hỗ trợ hai khả theo hai loại công nghệ Điều tạo nhiều thuận lợi cho người dùng người quản trị đơn giản hóa cơng việc họ Một số sản phẩm hỗ trợ chia sẻ liệu, làm tăng tốc độ xử lý giúp người sử dụng phân loại công theo mức ưu tiên tốt Hạn chế thứ giải pháp lỗi thỏa hiệp gây nguy hiểm cho tất thiết bị IDPS Hạn chế thứ hai phải có thiết bị IDPS cung cấp liệu cho thiết bị khác Kết nối IDPS không trực tiếp thường sử dụng với phần mềm quản lý thông tin an ninh kiện (SIEM) SIEM thiết kế để thu nhận thông tin từ nhiều ghi bảo mật khác kiện liên quan chúng Những ưu điểm bổ sung SIEM cho IDPS gồm: SIEM nhận dạng số loại kiện mà IDPS không hỗ trợ việc sử dụng công nghệ khác Giao tiếp SIEM lấy liệu từ nhiều nguồn khác qua giao diện Giao tiếp SIEM hỗ trợ nhiều cơng cụ phân tích báo cáo mà giao tiếp IDPS khơng hỗ trợ Người dùng dễ dàng kiểm tra tính xác cảnh báo IDPS SIEM kết nối cảnh báo tới thông tin hỗ trợ từ ghi khác Hạn chế SIEM khoảng thời gian trễ thời điểm biến cố bắt đầu thời điểm SIEM thấy ghi liệu tương ứng Các sản phẩm SIEM chuyển nhượng vài trường liệu từ ghi gốc SIEM khơng hỗ trợ tác nhân cho tất IDPS Điều yêu cầu người quản trị ghi tác nhân theo yêu cầu để chuyển nhượng liệu IDPS tới máy chủ SIEM Có thể dùng nhiều loại kỹ thuật IDPS chí nhiều sản phẩm bên lớp kỹ thuật IDPS đơn, nên xem xét có hay khơng có sản phẩm IDPS phải tích hợp theo số cách Sự tích hợp IDPS trực tiếp thường dùng tổ chức dùng nhiều sản phẩm IDPS từ nhà cung cấp đơn lẻ, việc có hình kiểm sốt dùng để quản lý giám sát nhiều sản phẩm Một số sản phẩm chia sẻ liệu, tăng tốc độ xử lý 14 giúp người sử dụng với ưu tiên tốt Các IDPS vô tuyến cần thiết tổ chức muốn định mạng vô tuyến cần giám sát thêm muốn đảm bảo mạng vô tuyến kẻ xấu không hoạt động thiết bị tổ chức Kỹ thuật NBA sử dụng tổ chức có khả phát thêm công DOS, sâu, mối đe doạ khác mà NBA có đặc tính tốt để phát Ngoài IDPS chuyên dụng, tổ chức có loại kỹ thuật khác để cung cấp số khả IDPS bổ sung thêm, không thay IDPS Các kỹ thuật bao gồm cơng cụ phân tích tính pháp lý mạng, kỹ thuật anti-malware (phần mềm antivirus phần mềm antispyware), tường lửa định tuyến Khi lựa chọn sản phẩm IDPS, tổ chức trước hết cần đánh giá thiết bị IDPS, định nghĩa yêu cầu chung mà thiết bị cần đáp ứng, tính thiết bị hỗ trợ Người đánh giá phải hiểu biết đặc tính hệ thống điều kiện mạng lưới kế hoạch phát triển, mở rộng tương lai gần Người đánh giá cần xem xét lại sách an ninh sách an ninh khác trước đánh giá, lựa chọn sản phẩm Ngoài ra, yêu cầu ý chi tiết gồm: - Các khả an ninh, bao gồm thu thập thông tin, ghi, phát ngăn chặn - Hiệu năng, bao gồm dung lượng tối đa tính thực thi - Quản lý, bao gồm thiết kế thực thi, vận hành bảo dưỡng, đào tạo, tài liệu hỗ trợ kỹ thuật - Vòng đời giá, giá khởi điểm giá bảo dưỡng Phần mềm độc hại • Cách nhận biết 15 Dưới số tình mà người ta sử dụng để xác định xem hệ thống máy tính có bị ảnh hưởng phần mềm độc hại hay khơng: Tốc độ máy tính trình duyệt web chậm Máy tính chạy chậm nhiều so với bình thường kết phần mềm mã độc bắt đầu làm cạn kiệt nguồn xử lý máy tính bạn Nếu bạn khơng chạy ứng dụng nặng mà máy tính chạy chậm, bạn “dính” virus máy tính Máy tính thường xuyên bị gặp cố Nếu chương trình, hệ thống bị lỗi liên tục lỗi hình xanh xuất thường xuyên cảnh báo rõ ràng máy tính có vấn đề Xuất biểu tượng cửa sổ thông báo lạ Một dấu hiệu gây phiền nhiễu phần mềm độc hại cửa sổ pop-up khơng mong muốn thường xuyên nhảy máy tính Nếu việc xảy với tần suất cao chắn máy tính bạn dính phần mềm độc hại Các chương trình chạy, tắt tự cấu hình lại Máy tính bạn xuất hiện tượng sau: Vài chương trình tự động mở, đóng Hệ điều hành Windows tắt mà khơng có lý Windows thông báo bạn quyền truy cập vào số ổ đĩa 16 Loại trừ yếu tố kỹ thuật, dấu hiệu cho thấy máy bạn dính virus Phần mềm diệt virus bị tắt Một số phần mềm độc hại thiết kế đặc biệt để vơ hiệu hóa phần mềm diệt virus, khiến bạn khơng có biện pháp phòng tránh Nếu cố gắng khởi động lại máy tính, đóng mở lại phần mềm diệt virus mà khơng có tiến triển chắn máy bị lây nhiễm phần mềm độc hại Email / tin nhắn gửi tự động người dùng Máy bạn tự động gửi tin nhắn đến bạn bè bạn mà bạn máy bạn bị dính mã độc chiếm quyền điều khiển Những thay đổi trình duyệt Trang chủ trình duyệt bị thay đổi dù bạn khơng làm điều đó, toolbar xuất website không mong muốn tự động truy cập dù bạn khơng gõ địa Ổ cứng nhanh hết dung lượng trống Nếu nhận ổ cứng hết dung lượng bất ngờ bạn không cài phần mềm nào, máy tính bị mã độc xâm nhập tự động cài tệp độc hại Tài liệu bị thay đổi đuôi: Khi bị nhiễm mã độc tài liệu, văn bị thay đổi nội dung, đổi tên file đổi tên phần mở rộng locky, virus cerber, kimcilware , phổ biến tệp tin có định dạng: doc, docx, pdf, xls, xlsx, jpg, txt, ppt, pptx, • Cách phịng tránh 17 Ngày nay, việc bảo vệ máy tính thiết bị di động người dùng trước rủi ro lây nhiễm mã độc thách thức không nhỏ, phát triển hàng triệu chương trình phần mềm độc hại với nhiều biến thể tinh vi Để giảm thiểu rủi ro này, người dùng cần thực ngăn chặn mối đe dọa tiềm ẩn thường xuyên cập nhật vá bảo mật Các biện pháp giúp bạn đảm bảo an tồn cho thiết bị mình: Cài đặt phần mềm chống mã độc Đảm bảo Tường lửa Windows bật truy cập Internet Thường xuyên cập nhật phần mềm Không sử dụng phần mềm bẻ khóa trái phép Ln qt ổ đĩa bút, đĩa CD thiết bị bên trước mở chúng Không tải xuống phần mềm không xác định từ internet Chỉ tải xuống phần mềm từ nguồn đáng tin cậy Chạy qt tồn hệ thống lần tháng Không mở email từ người gửi không xác định Kiểm tra kỹ trước nhấp vào liên kết để đảm bảo bạn chuyển đến trang web 18 Sử dụng chương trình bảo mật mạng uy tín Sao lưu liệu để tránh mát xảy cố Nếu nghi ngờ máy tính bị dính mã độc Cần tiến hành quét phần mềm diệt virus Mang máy đến nơi bảo hành uy tín để xử lí kịp thời 19 KẾT LUẬN Phát xâm nhập trình giám sát kiện xuất hệ thống máy tính mạng phân tích dấu hiệu biến cố, xâm phạm mối đe dọa xảy xâm phạm sách an tồn máy tính, chuẩn an toàn Ngăn ngừa xâm nhập trình thực phát xâm nhập cố gắng ngăn chặn xảy biến cố Các hệ thống IDPS chủ yếu tập trung xác định biến cố xảy ra, thơng tin chúng, cố gắng dừng chúng, báo cáo với người quản trị mạng Hệ thống IDPS trở thành bổ sung cần thiết cho sở hạ tầng an toàn tổ chức.Vì vậy, tổ chức nên xem xét sử dụng nhiều loại kỹ thuật IDPS để đạt phát ngăn chặn xác tồn diện Trong nhiều loại mơi trường, giải pháp IDPS mạnh đạt mà không dùng nhiều loại kỹ thuật IDPS Đối với hầu hết môi trường, kết hợp IDPS mạng máy chủ cần thiết để có giải pháp IDPS hiệu TÀI LIỆU THAM KHẢO [1] http://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%BB%ADa [2]http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tuong-lua-tuong-lua-la-gi- 1242779.html [3] http://www.microsoft.com/vietnam/security/protect/firewall.aspx [4] http://doc.edu.vn/tai-lieu/tieu-luan-tim-hieu-va-xay-dung-he-thong-firewall-manguon-mo-su-dung-smoothwall-7436/ [5] http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tuong-lua-firewall.11250.html [6]http://forum.cuasotinhoc.vn/topic/585147-bo-suu-tap-tim-hieu-ve-tuong-luafirewall/ [7] http://docs.4share.vn/docs/8841/Tim_hieu_ve_tuong_lua_FIREWALL.html 20