Trong thời đại hầu hết lưu lượng mạng đều được mã hóa bằng TLS/SSL, các công cụ truyền thống như firewall, IDS/IPS hay proxy trở nên "mù lòa" trước nội dung bên trong. Đây chính là khoảng trống chết người mà phần mềm độc hại (malware), APT và các kênh C2 (command-and-control) lợi dụng để ẩn mình.
Cisco Talos đã phát triển Encrypted Visibility Engine (EVE) – một cơ chế giúp phát hiện mối đe dọa và phân tích hành vi qua các kênh được mã hóa, mà không cần giải mã nội dung. Vậy EVE hoạt động như thế nào và giá trị thực sự của nó là gì?
EVE là gì và hoạt động ra sao?
EVE hoạt động bằng cách phân tích các yếu tố metadata và fingerprint trong quá trình bắt tay TLS (ví dụ: gói “Client Hello”), từ đó trích xuất:
Bộ mã hóa (Cipher Suite)
Thứ tự ưu tiên mã hóa
Phát hiện dấu vết của trình duyệt, hệ điều hành, ứng dụng
Dấu vân tay TLS (JA3/JA3S hoặc dạng mở rộng)
Đặc điểm hành vi thời gian thực của client khi truy cập
Bằng cách sử dụng fingerprint như một “chữ ký hành vi”, EVE có thể nhận diện client là trình duyệt hợp pháp, phần mềm độc hại, hay công cụ VPN ngụy trang.
Không cần giải mã nội dung. Điều này cực kỳ quan trọng trong bối cảnh bảo vệ quyền riêng tư và tuân thủ các chuẩn như GDPR, HIPAA.
Những gì EVE có thể phát hiện
1. Phát hiện mối đe dọa (Threat Detection)
Hiệu suất cao: ~99% precision, ~95% recall
Tích hợp với Cisco Secure Malware Analytics để phân loại tên họ phần mềm độc hại
Các tình huống sử dụng:
C2 connections (giao tiếp điều khiển từ xa)
Malicious traffic to benign domains (giao tiếp nguy hiểm ngụy trang truy cập hợp lệ)
Data exfiltration (rò rỉ dữ liệu)
Evasive VPN (VPN trốn tránh)
Encrypted DNS / DoH
2. Nhận diện ứng dụng phía client (Client App Identification)
Phân biệt hơn 2.300 họ ứng dụng khác nhau thông qua:
TLS: 97.8% chính xác
HTTP: 98.1%
QUIC: 98.4%
Dù là Chrome, Firefox, malware viết bằng GoLang hay Remote Access Trojan – EVE đều có thể nhận diện.
3. Gắn thẻ theo khung MITRE ATT&CK
Mapping tới các kỹ thuật của MITRE ATT&CK như:
Remote Access Software
Encrypted Channel
Multi-Hop Proxy
External Proxy
Evasive VPN
Encrypted DNS
Domain Faking
Tại sao công nghệ này quan trọng?
Trong một thế giới mà mọi thứ từ email, trình duyệt, đến các phần mềm độc hại đều sử dụng kênh mã hóa, khả năng phân tích mà không cần giải mã là một đột phá chiến lược:
Không ảnh hưởng đến quyền riêng tư người dùng.
Không cần TLS termination hay proxy trung gian.
Bảo vệ hệ thống nội bộ khỏi các tấn công "ẩn mình trong bóng tối".
Phát hiện phần mềm độc hại thế hệ mới ngụy trang như lưu lượng hợp pháp (e.g. Google QUIC, DoH, Shadowsocks).
EVE ứng dụng ở đâu?
Network Detection & Response (NDR): Triển khai trong các hệ thống phân tích lưu lượng mạng.
SOC/SIEM: Gắn nhãn hành vi bất thường trong kênh mã hóa.
Threat Hunting: Truy vết các C2 server dù đã được mã hóa toàn phần.
Zero Trust Visibility: Tăng khả năng giám sát thiết bị đầu cuối, client không tin cậy.
Một vài ví dụ thực tế
Một client sử dụng TLS Client Hello với fingerprint đặc trưng của malware "IcedID" dù domain truy cập là hợp pháp → bị EVE đánh dấu.
Một gói QUIC từ Chrome giả mạo được phân biệt với QUIC từ malware GoLang viết lại → bị phát hiện.
VPN Shadowsocks cấu hình đặc biệt để vượt DPI firewall → vẫn bị EVE phát hiện nhờ hành vi và fingerprint TLS.
Tóm lại
Encrypted Visibility Engine là minh chứng cho việc: chúng ta không cần phải giải mã để thấy rõ những gì đang xảy ra. Với tỉ lệ chính xác rất cao, hỗ trợ khung MITRE ATT&CK và khả năng phân biệt ứng dụng ẩn sâu trong lưu lượng mã hóa, EVE đang trở thành công cụ mạnh cho các tổ chức muốn bảo vệ hạ tầng của mình trong thời đại post-encryption.
Nếu bạn đang xây SOC, triển khai NDR hoặc phát triển nền tảng giám sát hành vi mạng, hãy xem xét tích hợp hoặc học hỏi mô hình của EVE để mở rộng năng lực giám sát trong môi trường mạng hiện đại.
