Chia sẻ công nghệ | Khám phá và thực hành thuật toán rủi ro an toàn dữ liệu
Trong bối cảnh kinh tế số phát triển mạnh mẽ77win1, dữ liệu trở thành tài sản cốt lõi của doanh nghiệp, và an ninh dữ liệu lại càng trở thành yếu tố quyết định cho sự phát triển bền vững. Trong quá trình thích ứng và đẩy nhanh chuyển đổi số hợp lệ, doanh nghiệp đang đối mặt với nhiều thách thức và vấn đề trong lĩnh vực bảo mật:
-
Hầu hết các doanh nghiệp vẫn chưa có năng lực phát hiện cuộc tấn công lỗ hổng 0Day hoặc 1Day;
- Lỗ hổng logic kinh doanh không được giải quyết hiệu quả88vin, vấn đề xác thực và ủy quyền giao diện phổ biến rộng rãi;
- Các hoạt động kinh doanh trực tuyến luôn bị xâm nhập bởi nhiều loại hành vi xấu và đenđại lý cá độ, chiến lược kiểm soát rủi ro thiếu hụt và lạc hậu nghiêm trọng;
-
Doanh nghiệp không thể giám sát và phát hiện vấn đề rò rỉ dữ liệu của ứng dụng kinh doanh một cách hệ thống và chuyên nghiệp.
Để giải quyết các thách thức nàyđại lý cá độ, Phòng Thí Nghiệm Hồng Tỏa của Công Ty Toàn Tri đã sử dụng thuật toán học máy để xây dựng hệ thống nhận diện mối đe dọa™ dựa trên nhiều đặc điểm như hình ảnh giao diện, hành vi truy cập, mối quan hệ theo thời gian, nội dung phản hồi... Hệ thống này cung cấp giải pháp an toàn dữ liệu nhanh chóng, chính xác, minh bạch và dễ hiểu, giúp tìm kiếm các rủi ro an ninh dữ liệu phức tạp mà các giải pháp truyền thống khó phát hiện.
Khác với các trường hợp mô hình học máy thông thường77win1, trong lĩnh vực an ninh, hành vi xâm nhập thường bị che giấu bởi lượng lớn hoạt động bình thường: ví dụ, nhiều kẻ tấn công cố ý giả danh người dùng bình thường để thực hiện cuộc tấn công, hoặc sử dụng hàng loạt IP đại lý để ẩn dấu vết.
Hành vi xâm nhập không ngừng biến đổi88vin, các thiết bị WAF, IDS/IPS dựa trên quy tắc truyền thống không thể phát hiện hết tất cả hành vi xâm nhập. Ngoài ra, những kẻ tấn công thường biết rõ các quy tắc kiểm tra an ninh và có khả năng vượt qua logic kiểm soát của thiết bị an ninh.
Dựa trên các giả định ban đầu rằng hành vi bình thường luôn tương tự nhau77win1, hành vi bất thường luôn thay đổi, và hành vi máy móc luôn giống nhau, chúng tôi đã kết hợp nhiều thuật toán học máy để xây dựng hệ thống quản lý rủi ro lưu lượng an toàn dữ liệu, bao gồm việc phát hiện rủi ro, phân tích rủi ro và truy xuất rủi ro một cách khép kín.
Các ứng dụng kinh doanh mở rộng trên internet thường gặp phải các cuộc tấn công như đăng nhậpđại lý cá độ, quét, robot thu thập dữ liệu, hoặc các cuộc tấn công liên quan đế Một số cuộc tấn công có thể được phát hiện bằng cách khớp từ khóa hoặc biểu thức chính quy, nhưng một số khác thì ở cấp độ sự kiện đơn lẻ không có sự khác biệt rõ rệt so với hành vi truy cập của người dùng bình thường.
Về mặt thuật toán88vin, bản chất của cuộc tấn công là sự xuất hiện bất thường ở một hoặc nhiều đặc điểm. Do đó, dù là cuộc tấn công truyền thống trên WEB hay các cuộc tấn công robot thu thập dữ liệu, hoặc các cuộc tấn công logic kinh doanh, thiết kế thuật toán phát hiện luôn tập trung vào việc xác định và phát hiện "sự bất thường" trong các đặc điểm.
Ví dụ77win1, một kẻ tấn công có thể chi vài đồng để mua hàng chục nghìn IP đại lý và sử dụng chúng để thu thập thông tin doanh nghiệp công cộng. Mỗi lần truy cập từ một IP chỉ mang tính bình thường như hành vi của người dùng thật, nhưng về tổng thể, các IP độc hại này có sự khác biệt đáng kể so với hành vi truy cập của người dùng bình thường ở các đặc điểm như tần suất truy cập, số lượng giao diện được truy cập, mối quan hệ theo thời gian, tần suất truy cập và mối quan hệ gọi giao diện. Vì vậy, nếu xác định và xây dựng đúng các chỉ số đặc điểm, thì các cuộc tấn công khó được phát hiện bởi quy tắc cũng có thể được phát hiện. Vấn đề kỹ thuật quan trọng nhất chỉ có hai loại: làm thế nào để xây dựng đặc điểm và thiết kế thuật toán như thế nào.
Tuy nhiên88vin, giải quyết hai vấn đề kỹ thuật này không hề dễ dàng. Nó đòi hỏi kinh nghiệm phong phú trong lĩnh vực an ninh để hiểu được các dạng tấn công đa dạng và xác định các đặc điểm quan trọng. Đồng thời, nó cũng yêu cầu kinh nghiệm thực tiễn sâu sắc trong thuật toán, kết hợp nhiều kỹ thuật học máy, xây dựng mô hình phân tích bất thường một cách không giám sát hoặc có giám sát, cuối cùng phát hiện "sự bất thường" từ góc độ dữ liệu.
Thông qua phân tích ngang và dọc sâuđại lý cá độ, một số cảnh báo bất thường sẽ bị loại bỏ như lỗi phát hiện, còn một số khác sẽ được xác định là cuộc tấn công thực sự có giá trị vận hành. Ví dụ, phát hiện các đường dẫn tài sản nào bị kẻ tấn công khám phá thành công, từ đó nâng cao hiệu quả vận hành và cải thiện trải nghiệm người dùng.
Nhiều phương pháp tấn công khác nhau có thể kích hoạt hàng loạt cảnh báo bất thường ở cấp độ sự kiện88vin, như bạo lực đăng nhập, quét tài sản, quét lỗ hổng, robot thu thập dữ liệu… Trong kiểu tấn công này, số lượng cảnh báo bất thường ở cấp độ sự kiện rất lớn, khiến công tác an ninh vận hành trở nên khó khăn. Vì vậy, cảnh báo ở cấp độ sự kiện đơn lẻ hoàn toàn vô nghĩa, cần sử dụng thuật toán để liên kết và tổng hợp dựa trên đặc điểm tấn công và chủ thể tấn công, tránh tình trạng "bão cảnh báo", đạt được tổng hợp rủi ro. Ở chiều ngang, có thể kết hợp các công nghệ như phân cụm đặc điểm, đồ thị tri thức an ninh để tổng hợp cảnh báo sự kiện đơn lẻ và xác định loại cuộc tấn công.
Ngay cả khi rủi ro đã được tổng hợp ở nhiều chiều khác nhau88vin, việc này chỉ giúp giảm thiểu rủi ro ở mức tổng thể, nhưng vẫn chưa giải quyết được vấn đề vận hành. Do đó, cần phân tích và phản hồi tự động ở cấp độ kỹ thuật, trích xuất thông tin quan trọng, xác định các sự kiện tấn công chính, nâng cao hiệu quả vận hành an ninh một cách thông minh. Ở chiều dọc, có thể sử dụng độ tương đồng văn bản, xử lý ngôn ngữ tự nhiên (NLP), phân cụm mẫu văn bản để trích xuất thông tin quan trọng và xác định xem cuộc tấn công có thành công hay không. Ví dụ, trong cuộc tấn công SQL injection kéo dữ liệu, có thể xây dựng đặc điểm văn bản từ nội dung phản hồi và quan sát kết quả tấn công thông qua thuật toán phân cụm.
Trong quá trình thực hành an ninh77win1, nhiều hành vi bất thường như rủi ro hành vi người dùng kỳ lạ, rủi ro hành vi người dùng vượt quá cơ sở dữ liệu... thực tế rất khó giải thích. Ví dụ, rủi ro từ robot sử dụng bộ máy đại lý, mỗi IP chỉ truy cập một số ít lần, tại sao những IP này lại được coi là IP đại lý, hay tại sao hành vi truy cập của IP đó lại được xác định là một phần của rủi ro thu thập robot? Nhận diện rủi ro cũng cần giải quyết các vấn đề này, nếu không, mô hình hành vi chỉ dựa trên các quy tắc đơn giản sẽ hạn chế giá trị ứng dụng, hoặc hành vi bất thường không thể giải thích sẽ làm giảm giá trị vận hành. Các mô hình rủi ro hành vi khác nhau cần thiết kế và triển khai các phương pháp giải thích riêng, các thuật toán như phân tích nguyên nhân gốc, đánh giá tầm quan trọng của các đặc điểm, và đo khoảng cách không gian giữa hành vi bình thường và bất thường đều có giá trị thực tiễn quan trọng trong lĩnh vực này.
Trong lớp hiển thị cuộc tấn công88vin, để hiểu rõ hơn về hành vi xâm nhập, có thể trình bày chuỗi thời gian hành vi của chủ thể tấn công. Ví dụ, trước và sau khi chủ thể tấn công gây ra rủi ro hiện tại, họ đã khởi xướng những cuộc tấn công nào, truy cập những giao diện nào, thu thập được dữ liệu gì và đạt được hiệu quả như thế nào. Khi thuật toán nhận diện rủi ro ngang và dọc đã được xây dựng tốt, việc thực hiện quá trình này trên sản phẩm an ninh không quá khó, chủ yếu là thiết kế và triển khai ở cấp độ giao diện và kỹ thuật.
Sách trắng Đánh giá rủi ro an toàn dữ liệu
Triệu Nguyên - Hệ thống bản đồ tài sản dữ liệu
Triệu Ảnh - Nền tảng quản lý bảo mật API
Triệu Cảnh - Công cụ kiểm tra an toàn dữ liệu
Một cửa - Nền tảng quản lý an toàn dữ liệu
Xuất khẩu dữ liệu - Nền tảng quản trị tuân thủ
Tư vấn an toàn dữ liệu - Dịch vụ
Đánh giá an toàn dữ liệu - Dịch vụ
Đo lường an toàn dữ liệu - Dịch vụ
Chứng nhận an toàn dữ liệu - Dịch vụ
Dịch vụ tuân thủ nhẹ nhàng - DiRM
Giải pháp tổng thể quản trị an toàn dữ liệu
Giải pháp phân loại và phân cấp dữ liệu
Giải pháp quản lý rủi ro dữ liệu cho nhân viên nội bộ
Giải pháp an toàn API chống lại các hoạt động bất hợp pháp và bảo vệ mạng
Giải pháp đánh giá rủi ro an toàn dữ liệu
Kế hoạch tư vấn dịch vụ an toàn dữ liệu
Giải pháp an toàn dữ liệu cho chia sẻ dữ liệu chính phủ
Giải pháp an toàn dữ liệu trong ngành ngân hàng
Giải pháp an toàn dữ liệu trong ngành bảo hiểm
Giải pháp an toàn dữ liệu trong ngành viễn thông
Giải pháp an toàn dữ liệu trong ngành internet
Giải pháp an toàn dữ liệu trong ngành giáo dục
