Chia sẻ công nghệ|Khám phá và thực tiễn thuật toán rủi ro an toàn dữ liệu
Trong bối cảnh kinh tế số phát triển mạnh mẽboi tu vi, dữ liệu trở thành tài sản cốt lõi của doanh nghiệp, và an ninh dữ liệu lại càng trở thành yếu tố quyết định cho sự phát triển bền vững. Trong quá trình thích ứng và gia tăng tốc độ số hóa tuân thủ, doanh nghiệp đang đối mặt với nhiều thách thức và vấn đề trong lĩnh vực bảo mật.
-
Hầu hết các doanh nghiệp vẫn chưa có khả năng phát hiện các cuộc tấn công lỗ hổng 0Day hoặc 1Day;
- Lỗ hổng logic kinh doanh không được giải quyết hiệu quảboi tu vi, vấn đề xác thực và ủy quyền giao diện phổ biến rộng rãi;
- Các dịch vụ trực tuyến luôn bị xâm nhập bởi nhiều loại hành vi xấu77vin, chiến lược kiểm soát rủi ro thiếu hụt và lạc hậu nghiêm trọng;
-
Doanh nghiệp không thể giám sát và phát hiện vấn đề rò rỉ dữ liệu ứng dụng kinh doanh một cách hệ thống và chuyên nghiệp.
Để giải quyết các vấn đề nêu trênbài cào, Phòng Thí Nghiệm Hồng Tỏa của Công Ty Toàn Tri đã áp dụng thuật toán học máy để xây dựng động cơ nhận diện mối đe dọa™, dựa trên nhiều khía cạnh như mô hình giao diện, hành vi truy cập, mối quan hệ theo thời gian, nội dung phản hồi... Hệ thống này cung cấp giải pháp an toàn dữ liệu nhanh chóng, chính xác, minh bạch và dễ hiểu, giúp phát hiện các rủi ro bảo mật dữ liệu phức tạp mà các phương pháp truyền thống khó có thể phát hiện được.
Khác với các tình huống mô hình học máy thông thườngboi tu vi, trong lĩnh vực an ninh, hành vi tấn công thường bị che giấu giữa hàng loạt hoạt động bình thường: ví dụ như nhiều kẻ tấn công cố ý mô phỏng hành vi người dùng hợp lệ để thực hiện tấn công, hoặc sử dụng hàng loạt IP đại lý để ẩn mình khỏi hệ thống phát hiện.
Hành vi tấn công không ngừng thay đổi77vin, các thiết bị WAF, IDS/IPS dựa trên quy tắc truyền thống không thể phát hiện đầy đủ tất cả các hành vi xâm nhập. Ngoài ra, những kẻ tấn công thường nắm rõ các quy tắc bảo mật và biết cách lách qua logic phát hiện của các thiết bị an ninh.
Dựa trên giả định rằng hành vi bình thường luôn tương tự nhauboi tu vi, hành vi bất thường luôn đa dạng, và hành vi máy móc luôn giống nhau, chúng tôi đã kết hợp nhiều thuật toán học máy để xây dựng một hệ thống kiểm soát rủi ro lưu lượng dữ liệu hoàn chỉnh, bao gồm phát hiện rủi ro, phân tích rủi ro và truy xuất rủi ro.
Các ứng dụng kinh doanh mở rộng trên internet thường gặp phải các loại tấn công như đăng nhập bất thườngboi tu vi, quét hệ thống, robot thu thập dữ liệu, hoặc các cuộc tấn công liên quan đến an toà Một số cuộc tấn công có thể được phát hiện bằng cách tìm kiếm từ khóa hoặc biểu thức chính quy, nhưng một số khác thì không có dấu hiệu rõ ràng so với hành vi truy cập bình thường.
Về mặt thuật toánboi tu vi, bản chất của các cuộc tấn công luôn nằm ở việc xuất hiện bất thường ở một hoặc nhiều đặc trưng. Do đó, dù là tấn công web truyền thống hay tấn công robot thu thập dữ liệu, hoặc tấn công logic kinh doanh, thiết kế thuật toán kiểm tra đều tập trung vào việc xác định và phát hiện "bất thường" trong các đặc trưng đó.
Ví dụbài cào, một hacker có thể chỉ cần vài đồng để mua hàng chục nghìn IP đại lý nhằm thu thập thông tin doanh nghiệp công lập, mỗi lần truy cập của từng IP đều trông rất bình thường, nhưng về tổng thể, các IP xấu này có sự khác biệt đáng kể về số lần truy cập, số lượng giao diện truy cập, mối quan hệ theo thời gian, tần suất truy cập, và mối liên hệ giữa các giao diện so với người dùng bình thường. Vì vậy, nếu định nghĩa và xây dựng đúng các chỉ số đặc trưng, thì hầu hết các cuộc tấn công khó phát hiện bằng quy tắc cũng có thể được phát hiện. Vấn đề kỹ thuật then chốt chỉ có hai: làm thế nào để xử lý đặc trưng và thiết kế thuật toán như thế nào.
Tuy nhiênboi tu vi, giải quyết hai vấn đề kỹ thuật này không hề đơn giản. Nó đòi hỏi kinh nghiệm phong phú trong an ninh, khả năng hiểu các cuộc tấn công phức tạp và đa dạng, từ đó xác định các đặc trưng quan trọng. Đồng thời, cũng cần có kinh nghiệm thực tiễn sâu sắc trong thuật toán, kết hợp nhiều công nghệ học máy, có thể là học không giám sát hoặc học có giám sát, để xây dựng mô hình phân tích bất thường, cuối cùng phát hiện "bất thường" từ dữ liệu.
Thông qua phân tích ngang và dọcbài cào, một số cảnh báo bất thường sẽ bị loại bỏ vì là lỗi, trong khi một số khác sẽ được xác định là các cuộc tấn công thực sự có giá trị vận hành, ví dụ như xác định các đường dẫn tài sản nào đã bị kẻ tấn công phát hiện, từ đó nâng cao hiệu quả vận hành và trải nghiệm người dùng.
Nhiều phương pháp tấn công khác nhau có thể kích hoạt hàng loạt cảnh báo bất thường ở cấp độ sự kiệnboi tu vi, như tấn công bẻ khóa đăng nhập, quét tài sản, quét lỗ hổng, robot thu thập dữ liệu… Trong kiểu tấn công này, số lượng cảnh báo bất thường ở cấp độ sự kiện rất lớn, khiến việc quản lý an ninh trở nên khó khăn. Vì vậy, cảnh báo ở cấp độ sự kiện đơn lẻ gần như vô nghĩa, cần sử dụng thuật toán để liên kết và tổng hợp theo đặc trưng tấn công và chủ thể tấn công, tránh hiện tượng "bão cảnh báo", đạt được tổng hợp rủi ro. Ở chiều ngang, có thể kết hợp các công nghệ như phân cụm đặc trưng và đồ thị tri thức an ninh để tổng hợp cảnh báo sự kiện đơn lẻ và xác định loại tấn công.
Ngay cả khi rủi ro đã được tổng hợp theo nhiều chiều77vin, điều đó chỉ giúp giảm thiểu rủi ro ở mức tổng thể, nhưng vẫn chưa giải quyết được vấn đề vận hành. Do đó, cần phân tích và phản hồi tự động ở cấp độ kỹ thuật, trích xuất thông tin quan trọng, xác định các sự kiện tấn công quan trọng, và nâng cao hiệu quả vận hành an ninh một cách thông minh. Ở chiều dọc, có thể sử dụng các công nghệ như độ tương đồng văn bản, xử lý ngôn ngữ tự nhiên (NLP), và phân cụm mẫu văn bản để trích xuất thông tin quan trọng và xác định xem cuộc tấn công có thành công hay không, ví dụ như cuộc tấn công SQL injection để trộm dữ liệu, có thể xây dựng đặc trưng văn bản từ phản hồi và sử dụng thuật toán phân cụm để quan sát kết quả tấn công.
nhận diện rủi ro
Trong lớp hiển thị tấn côngboi tu vi, để hiểu rõ hơn về hành vi tấn công, có thể theo dõi chuỗi thời gian của chủ thể tấn công, ví dụ như trước và sau khi phát sinh rủi ro hiện tại, chủ thể tấn công đã thực hiện những cuộc tấn công nào, truy cập những giao diện nào, thu thập được dữ liệu gì và đạt được kết quả như thế nào. Khi thuật toán nhận diện rủi ro ở cả hai chiều ngang và dọc đã được xây dựng tốt, việc triển khai quá trình này trên sản phẩm an ninh không quá khó, chủ yếu là thiết kế và triển khai ở cấp độ tương tác và kỹ thuật.
Sách trắng Đánh giá rủi ro an toàn dữ liệu
Tri Nguyên - Hệ thống Bản đồ tài sản dữ liệu
Tri Ảnh - Nền tảng Quản lý bảo mật API
Tri Kính - Công cụ Phát hiện an toàn dữ liệu
Một cửa - Nền tảng Quản lý an toàn dữ liệu
Xuất khẩu dữ liệu - Nền tảng Quản trị tuân thủ
Tư vấn an toàn dữ liệu - Dịch vụ
Đánh giá an toàn dữ liệu - Dịch vụ
Đo lường an toàn dữ liệu - Dịch vụ
Chứng nhận an toàn dữ liệu - Dịch vụ
Dịch vụ tuân thủ nhẹ nhàng - DiRM
Giải pháp tổng thể về quản trị an toàn dữ liệu
Giải pháp phân loại và phân cấp dữ liệu
Giải pháp quản lý rủi ro dữ liệu cho nhân viên nội bộ
Giải pháp an toàn API chống lại các hoạt động bất hợp pháp và bảo vệ mạng
Giải pháp đánh giá rủi ro an toàn dữ liệu
Giải pháp tư vấn an toàn dữ liệu
Giải pháp an toàn dữ liệu cho chia sẻ dữ liệu chính phủ
Giải pháp an toàn dữ liệu trong ngành ngân hàng
Giải pháp an toàn dữ liệu trong ngành bảo hiểm
Giải pháp an toàn dữ liệu trong ngành viễn thông
Giải pháp an toàn dữ liệu trong ngành Internet
Giải pháp an toàn dữ liệu trong ngành giáo dục
