MinhSec
Writer
Trong các báo cáo sau sự cố an ninh mạng, có một điểm chung nhưng ít được nhắc đến: phần lớn các cuộc xâm nhập không hề diễn ra trong “bóng tối” hoàn toàn. Dữ liệu vẫn bị sao chép hoặc di chuyển, các tiến trình vẫn truy cập những tệp không đúng phạm vi, và nhiều kết nối bất thường vẫn được thiết lập ra bên ngoài.
Nhìn lại toàn bộ sự kiện, mọi thứ thực ra tạo thành một chuỗi hành vi rõ ràng, có thể truy vết. Vấn đề nằm ở chỗ hệ thống bảo mật không nhìn thấy hoặc không ghi nhận được những dấu hiệu này.
Nguyên nhân chính đến từ cách các hệ thống giám sát hiện đại được thiết kế. Phần lớn doanh nghiệp tin rằng họ đã “giám sát đầy đủ” nhờ vào log tập trung, hệ thống SIEM hay các công cụ theo dõi ứng dụng. Tuy nhiên, các dữ liệu này chủ yếu đến từ không gian người dùng, tức là những gì ứng dụng tự ghi lại hoặc cho phép hiển thị.
Điều đó đồng nghĩa với việc nếu một hành vi không được ứng dụng ghi log, hoặc bị che giấu, hệ thống gần như không có cách nào phát hiện.
Trong khi đó, hoạt động thực sự của dữ liệu lại không diễn ra ở lớp ứng dụng, mà ở cấp độ thấp hơn: nhân hệ điều hành.
Điều này khiến kernel trở thành nơi ghi lại đầy đủ nhất mọi hoạt động thực tế trong hệ thống.
Khi kẻ tấn công xâm nhập, dù chúng có ẩn mình tinh vi đến đâu ở cấp ứng dụng, thì các hành vi như leo thang đặc quyền, duy trì truy cập, hay đánh cắp dữ liệu vẫn phải đi qua các cơ chế do hệ điều hành kiểm soát. Vì vậy, nếu quan sát được ở cấp này, gần như không có hành vi nào bị “mất dấu”.
Không chỉ các cuộc tấn công, nhiều vấn đề nội bộ cũng có thể bị bỏ sót nếu chỉ dựa vào log truyền thống. Ví dụ như cấu hình sai khiến dữ liệu nhạy cảm bị gửi ra ngoài, hoặc một thư viện bên thứ ba âm thầm tạo kết nối mạng mà không hề ghi lại trong log ứng dụng.
Một hạn chế khác của các hệ thống bảo mật hiện tại là cách tiếp cận dựa trên tài sản tĩnh, như bảo vệ database hay API. Trong thực tế, dữ liệu luôn di chuyển liên tục qua nhiều dịch vụ, bộ nhớ và mạng. Chính trong quá trình di chuyển này, rủi ro rò rỉ hoặc bị khai thác mới thực sự xảy ra.
Vì vậy, thay vì chỉ hỏi dữ liệu nằm ở đâu, các tổ chức cần trả lời những câu hỏi quan trọng hơn: dữ liệu đến từ đâu, đã đi qua những tiến trình nào, và liệu hành vi đó có đúng với kỳ vọng hay không.
Để làm được điều này, một số nền tảng mới đã áp dụng công nghệ như eBPF, cho phép quan sát trực tiếp trong nhân hệ điều hành mà không cần thay đổi ứng dụng. Từ các sự kiện cấp thấp, hệ thống có thể xây dựng mô hình hành vi dạng đồ thị, giúp theo dõi toàn bộ dòng chảy dữ liệu theo thời gian thực.
Cách tiếp cận này không chỉ giúp phát hiện sớm các cuộc tấn công mà còn cải thiện đáng kể khả năng tuân thủ và kiểm soát hệ thống trong môi trường hạ tầng ngày càng phức tạp.
Trong bối cảnh an ninh mạng ngày càng tinh vi, việc chỉ dựa vào các lớp giám sát truyền thống là chưa đủ. Muốn thực sự hiểu và bảo vệ hệ thống, cần quan sát đúng nơi mọi hành vi diễn ra đó chính là cấp độ nhân hệ điều hành, nơi toàn bộ sự thật về dòng chảy dữ liệu luôn được ghi lại một cách đầy đủ nhất.
Nhìn lại toàn bộ sự kiện, mọi thứ thực ra tạo thành một chuỗi hành vi rõ ràng, có thể truy vết. Vấn đề nằm ở chỗ hệ thống bảo mật không nhìn thấy hoặc không ghi nhận được những dấu hiệu này.
Nguyên nhân chính đến từ cách các hệ thống giám sát hiện đại được thiết kế. Phần lớn doanh nghiệp tin rằng họ đã “giám sát đầy đủ” nhờ vào log tập trung, hệ thống SIEM hay các công cụ theo dõi ứng dụng. Tuy nhiên, các dữ liệu này chủ yếu đến từ không gian người dùng, tức là những gì ứng dụng tự ghi lại hoặc cho phép hiển thị.
Điều đó đồng nghĩa với việc nếu một hành vi không được ứng dụng ghi log, hoặc bị che giấu, hệ thống gần như không có cách nào phát hiện.
Trong khi đó, hoạt động thực sự của dữ liệu lại không diễn ra ở lớp ứng dụng, mà ở cấp độ thấp hơn: nhân hệ điều hành.
Theo dõi dữ liệu ở cấp kernel: chìa khóa của bảo mật hiện đại
Mọi hành động quan trọng trong hệ thống, từ mở tệp, ghi dữ liệu, tạo tiến trình cho đến thiết lập kết nối mạng, đều phải đi qua nhân hệ điều hành thông qua các lệnh gọi hệ thống. Đây là lớp trung gian bắt buộc giữa phần mềm và phần cứng, và không một tiến trình nào có thể bỏ qua.Điều này khiến kernel trở thành nơi ghi lại đầy đủ nhất mọi hoạt động thực tế trong hệ thống.
Khi kẻ tấn công xâm nhập, dù chúng có ẩn mình tinh vi đến đâu ở cấp ứng dụng, thì các hành vi như leo thang đặc quyền, duy trì truy cập, hay đánh cắp dữ liệu vẫn phải đi qua các cơ chế do hệ điều hành kiểm soát. Vì vậy, nếu quan sát được ở cấp này, gần như không có hành vi nào bị “mất dấu”.
Không chỉ các cuộc tấn công, nhiều vấn đề nội bộ cũng có thể bị bỏ sót nếu chỉ dựa vào log truyền thống. Ví dụ như cấu hình sai khiến dữ liệu nhạy cảm bị gửi ra ngoài, hoặc một thư viện bên thứ ba âm thầm tạo kết nối mạng mà không hề ghi lại trong log ứng dụng.
Một hạn chế khác của các hệ thống bảo mật hiện tại là cách tiếp cận dựa trên tài sản tĩnh, như bảo vệ database hay API. Trong thực tế, dữ liệu luôn di chuyển liên tục qua nhiều dịch vụ, bộ nhớ và mạng. Chính trong quá trình di chuyển này, rủi ro rò rỉ hoặc bị khai thác mới thực sự xảy ra.
Vì vậy, thay vì chỉ hỏi dữ liệu nằm ở đâu, các tổ chức cần trả lời những câu hỏi quan trọng hơn: dữ liệu đến từ đâu, đã đi qua những tiến trình nào, và liệu hành vi đó có đúng với kỳ vọng hay không.
Để làm được điều này, một số nền tảng mới đã áp dụng công nghệ như eBPF, cho phép quan sát trực tiếp trong nhân hệ điều hành mà không cần thay đổi ứng dụng. Từ các sự kiện cấp thấp, hệ thống có thể xây dựng mô hình hành vi dạng đồ thị, giúp theo dõi toàn bộ dòng chảy dữ liệu theo thời gian thực.
Cách tiếp cận này không chỉ giúp phát hiện sớm các cuộc tấn công mà còn cải thiện đáng kể khả năng tuân thủ và kiểm soát hệ thống trong môi trường hạ tầng ngày càng phức tạp.
Trong bối cảnh an ninh mạng ngày càng tinh vi, việc chỉ dựa vào các lớp giám sát truyền thống là chưa đủ. Muốn thực sự hiểu và bảo vệ hệ thống, cần quan sát đúng nơi mọi hành vi diễn ra đó chính là cấp độ nhân hệ điều hành, nơi toàn bộ sự thật về dòng chảy dữ liệu luôn được ghi lại một cách đầy đủ nhất.
Nguồn: hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
