Tìm hiểu về giám sát an toàn mạng (security information and event management siem)

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO MÔN HỌC CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT MANAGEMENT SIEM) Giảng viên hướng dẫn V[.]

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

BÁO CÁO MÔN HỌC

CƠ SỞ AN TOÀN THÔNG TIN

       Đề   tài  

TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT

MANAGEMENT -SIEM)

MỤC LỤC

LỜI NÓI ĐẦU 3

I TỔNG QUAN VỀ HỆ THỐNG SIEM 4

1.Khái niệm SIEM và hệ thống SIEM 4

2.Lợi ích của hệ thống SIEM 6

II THÀNH PHẦN CỦA HỆ THỐNG SIEM 8

1.Thành phần thu thập nhật ký ATTT 8

2.Thành phần phân tích và lưu trữ 9

3.Thành phần quản trị tập trung: 9

III CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG SIEM 10

1 Thu thập thông tin 10

2.Phân tích và lưu trữ dữ liệu 10

3.Chính sách và quy tắc 12

4.Hợp nhất và tương quan dữ liệu 12

TÀI LIỆU THAM KHẢO 13

LỜI NÓI ĐẦU

Ngày nay, thế giới đang ngày một phát triển, công nghệ thông tin đóng một vai trò quan trọng và không thể thiếu trong mọi lĩnh vực của đời sống Số lượng máy tính gia tăng, đòi hỏi hệ thống mạng phải phát triển theo để đáp ứng nhu cầu kết nối toàn cầu Hệ thống mạng ngày một phát triển đòi hỏi khả năng quản trị để có thể duy trì hoạt động của mạng một cách tốt nhất Vì vậy người quản trị mạng cần một công cụ hỗ trợ khả năng quản trị

Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng dụng chạy trên mạng, người sử dụng mạng, an ninh mạng Security Information Event Management (SIEM) là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống Đây là công nghệ được các chuyên gia bảo mật rấtquan tâm trong thời gian gần đây Nó

sử dụng các phương pháp phân tích chuẩn hóa và mối tương quan giữa các sự kiện để đưa ra cảnh báo cho người quản trị

Để đáp ứng thực hiện một giải pháp SIEM chúng em xin nghiên cứu đề tài

“TÌM HIỂU HỆ THỐNG AN TOÀN THÔNG TIN MẠNG SIEM” Đề tài tập trung tìm hiểu mô hình SIEM,Từ đó đề xuất một mô hình giám sát an ninh mạng cho Học Viện Kỹ Thuật Mật Mã

Do kiến thức còn hạn chế nên không tránh khỏi những thiếu sót, rất mong nhận được sự đóng góp của thầy cô và các bạn

TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG

(SECURITY INFORMATION AND EVENT MANAGEMENT

-SIEM)

I Tổng quan về hệ thống SIEM

1 Khái niệm SIEM và hệ thống SIEM

1.1 SIEM là gì?

SIEM là viết tắt của cụm từ Security Information and Event Management (giải pháp quản lý và phân tích sự kiện an toàn thông tin) Nó thực ra là một

hệ thống giám sát an ninh mạng tân tiến nhất hiện nay SIEM tiến hành một loạt hoạt động như thu thập, phân tích, đánh giá nhật ký từ mọi thiết bị trong

hệ thống…Từ đó SIEM cho phép các đơn vị, cơ quan có được cái nhìn toàn cảnh về các sự kiện an ninh SIEM có thể phân tích một lượng lớn dữ liệu để phát hiện các cuộc tấn công ẩn dấu đằng sau chúng

1.2.Hệ thống SIEM là gì?

SIEM là hệ thống quản lý nhật ký và sự kiện tập trung, có nhiệm vụ thu thập thông tin nhật ký, sự kiện trong toàn hệ thống doanh nghiệp và tổng hợp tất

cả trên 1 giao diện duy nhất thay vì phải làm thủ công từng cái một

Hệ thống SIEM kết hợp một số tính năng của quản lí thông tin an ninh (SEM) và quản lí sự kiện an ninh (SIM) Trong đó hệ thống mã nguồn mở SIEM

có thể được tách làm hai chức năng:

 Sercurity event management (SEM): Giải pháp SEM lại tập trung vào

việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra các cảnh báo cho người dùng Hạn chế của SEM là không có khả năng lưu trữ nhật

ký trong thời gian dài

 Sercurity information management (SIM): Giải pháp SIM tập trung vào

việc thu thập, lưu trữ và biểu diễn nhật ký (log các dữ liệu về sự kiện); Nhật ký được thu thập từ rất nhiều nguồn khác nhau như: thiết bị mạng,

hệ điều hành, các ứng dụng và các thiết bị an ninh Do chưa có thành phần phân tích và xử lý sự kiện an ninh nên SIM chỉ có thể phát hiện và xử lý được các biến cố đơn giản

Để khắc phục những hạn chế của hai giải pháp trên, giải pháp SIEM ra

đời, là sự kết hợp của cả hai giải pháp SIM và SEM SIEM là một giải pháp toàn diện và hoàn chỉnh cho phép các cơ quan, tổ chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống

2 Lợi ích của hệ thống SIEM

Những lợi ích mà hệ thống SIEM mang lại :

 Giám sát an ninh

SIEM giúp giám sát thời gian thực của các hệ thống tổ chức đối với các sự

cố bảo mật

SIEM có quan điểm độc đáo về các sự cố bảo mật, vì nó có quyền truy cập vào nhiều nguồn dữ liệu - ví dụ: nó có thể kết hợp các cảnh báo từ IDS với thông tin từ một sản phẩm chống vi-rút Nó giúp các nhóm bảo mật xác định các sự cố bảo mật mà không công cụ bảo mật cá nhân nào có thể nhìn thấy và giúp họ tập trung vào các cảnh báo từ các công cụ bảo mật có ý nghĩa đặc biệt

 Phát hiện mối đe dọa nâng cao

SIEM có thể giúp phát hiện, giảm thiểu và ngăn chặn các mối đe dọa nâng cao, bao gồm:

- Săn lùng mối đe dọa - một SIEM có thể sử dụng pháp y của trình

duyệt, dữ liệu mạng, xác thực và các dữ liệu khác để xác định những

kẻ tấn công đang lên kế hoạch hoặc thực hiện một cuộc tấn công

- Lọc sạch dữ liệu (dữ liệu nhạy cảm được chuyển bất hợp pháp ra bên

ngoài tổ chức) - SIEM có thể thu thập dữ liệu truyền bất thường về kích thước, tần suất hoặc tải trọng của chúng

Các thực thể bên ngoài, bao gồm cả các Mối đe dọa liên tục nâng cao

(APT) - một SIEM có thể phát hiện các tín hiệu cảnh báo sớm cho thấy rằng một thực thể bên ngoài đang thực hiện một cuộc tấn công tập trung hoặc chiến dịch dài hạn chống lại tổ chức

 Ứng phó Sự cố

SIEM có thể giúp các nhà phân tích bảo mật nhận ra rằng một sự cố bảo mật đang diễn ra, phân loại sự kiện và xác định các bước ngay lập tức để khắc phục

Ngay cả khi một sự cố đã được nhân viên an ninh biết, cần có thời gian thu thập dữ liệu để hiểu đầy đủ về cuộc tấn công và ngăn chặn nó - SIEM

có thể tự động thu thập dữ liệu này và giảm đáng kể thời gian phản hồi Khi nhân viên an ninh phát hiện ra vi phạm lịch sử hoặc sự cố bảo mật cần được điều tra, SIEMs cung cấp dữ liệu pháp y phong phú để giúp khám phá chuỗi tiêu diệt, các tác nhân đe dọa và giảm thiểu

 Báo cáo và Kiểm toán Tuân thủ

SIEM có thể giúp các tổ chức chứng minh với các kiểm toán viên và cơ quan quản lý rằng họ có các biện pháp bảo vệ thích hợp và các sự cố bảo mật đã được biết và ngăn chặn

Nhiều người đầu tiên chấp nhận SIEM đã sử dụng nó cho mục đích này - tổng hợp dữ liệu nhật ký từ khắp tổ chức và trình bày nó ở định dạng sẵn sàng kiểm tra Các SIEM hiện đại tự động cung cấp việc giám sát và báo cáo cần thiết để đáp ứng các tiêu chuẩn như HIPAA, PCI / DSS, SOX, FERPA và HITECH

II THÀNH PHẦN CỦA HỆ THỐNG SIEM

Mô hình giải pháp của SIEM gồm 03 thành phần chính: Thu thập nhật ký ATTT; Phân tích và lưu trữ; Quản trị tập trung Ngoài ra, nó còn có các thành phần khác như: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài

1 Thành phần thu thập nhật ký ATTT

Bao gồm các giao diện thu thập nhật ký ATTT trực tiếp từ các thiết bị, dịch

vụ, ứng dụng Thành phần này có các tính năng:

 Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng… gồm

cả các thiết bị vật lý và thiết bị ảo

 Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc

dữ liệu nhật ký

 Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung

 Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ

 Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ

2 Thành phần phân tích và lưu trữ , có các tính năng sau:

 Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung

và tiến hành phân tích, so sánh tương quan

 Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất

 Các nhật ký ATTT được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị Bên cạnh khả năng so sánh theo thời gian thực, thành phần này còn cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về ATTT theo thời gian

 Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất dữ liệu

3 Thành phần quản trị tập trung:

 Cung cấp giao diện quản trị tập trung cho toàn bộ Hệ thống GSANM Các giao diện được phân quyền theo vai trò của người quản trị

 Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc,

… để người quản trị có thể sử dụng

 Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra trong hệ thống

 Ngoài ra, các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng, cho phép người quản trị tạo lập các công

cụ mới phù hợp với Hệ thống của mình

Với 3 bộ phận trên chúng ta có thể thấy mỗi bộ phận đều có chức năng và

Do tính vượt trội của giải pháp SIEM, nên hiện nay trên thị trường các sản phẩm về GSANM hầu hết phát triển theo mô hình SIEM Các sản phẩm cũng rất đa dạng, có thể dưới dạng phần mềm hoặc thiết bị chuyên dụng, với một

số sản phẩm tiêu biểu như IBM Qradar, HP ArcSight, Splunk, McAfee, Symantec SSIM, RSA enVision.…

III CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG SIEM

1 Thu thập thông tin

Mục đích

Thu thập thông tin nhằm nắm bắt các thông tin từ các thiết bị an ninh khác nhau và cung cấp nó cho các máy chủ để chuẩn hoá và phân tích tiếp Chính sách này thiết lạp một chính sách ưu tiên và thu thập ở các bộ cảm biến để lọc và củng cố các thông tin sự kiện an ninh trước gửi chúng đến máy chủ,cho phép người quản trị điều tiết sự kiện an ninh và quản lý những thông tin

Cách thức thu thập

Các phương pháp thu thập thường được sử dụng:

- Syslog: một giao thức ghi nhật ký tiêu chuẩn Quản trị viên có thể thiết

lập một Syslog server nhận nhật ký từ nhiều hệ thống

- Event Steaming: các giao thức như SNMP, Netflow và IPFIX cho phép

các thiết bị mạng cung cấp thông tin tiêu chuẩn về hoạt động của

chúng

- Log Cllectors: các agent chạy trên thiết bị, nắm bắt nhật ký và gửi nó

đến thành phần tập chung để phân tích và lưu trữ

- Direct Access: trình tổng hợp nhật ký có thể truy cập trực tiếp, sử dụng

API hoặc giao thức mạng để trực tiếp nhận nhật ký

2 Phân tích và Lưu trữ dữ liệu

Theo truyền thống, SIEM dựa vào lưu trữ được triển khai trong trung tâm dữ liệu, điều này gây khó khăn cho việc lưu trữ và quản lý khối lượng dữ liệu lớn

Kết quả là, chỉ một số dữ liệu nhật ký được giữ lại. SIEM thế hệ tiếp theo được xây dựng dựa trên công nghệ hồ dữ liệu hiện đại như Amazon S3 hoặc Hadoop, cho phép khả năng mở rộng dung lượng lưu trữ gần như không giới hạn với chi phí thấp. Điều này giúp bạn có thể lưu giữ và phân tích 100% dữ liệu nhật ký trên nhiều nền tảng và hệ thống hơn nữa

 Phân tích cú pháp

Mỗi nhật ký có định dạng dữ liệu lặp lại bao gồm các trường và giá trị dữ liệu. Tuy nhiên, định dạng khác nhau giữa các hệ thống, thậm chí giữa các bản ghi khác nhau trên cùng một hệ thống

Trình phân tích cú pháp nhật ký là một thành phần phần mềm có thể có một định dạng nhật ký cụ thể và chuyển đổi nó thành dữ liệu có cấu trúc. Phần mềm tổng hợp nhật ký bao gồm hàng chục hoặc hàng trăm hoặc trình phân tích cú pháp được viết để xử lý nhật ký cho các hệ thống thông thường

 Chuẩn hóa và phân loại

Chuẩn hóa hợp nhất các sự kiện chứa dữ liệu khác nhau thành một định dạng rút gọn chứa các thuộc tính sự kiện chung. Hầu hết các bản ghi đều nắm bắt thông tin cơ bản giống nhau - thời gian, địa chỉ mạng, hoạt động được thực hiện, v.v

Phân loại liên quan đến việc bổ sung ý nghĩa cho các sự kiện - xác định

Làm giàu nhật ký bao gồm việc bổ sung thông tin quan trọng có thể làm cho dữ liệu hữu ích hơn

Ví dụ: nếu nhật ký ban đầu chứa các địa chỉ IP, nhưng không phải là vị trí thực tế của người dùng đang truy cập vào hệ thống, bộ tổng hợp nhật ký

có thể sử dụng dịch vụ dữ liệu vị trí địa lý để tìm ra các vị trí và thêm chúng vào dữ liệu

 Lập chỉ mục

Các mạng hiện đại tạo ra khối lượng lớn dữ liệu nhật ký. Để tìm kiếm và khám phá dữ liệu nhật ký một cách hiệu quả, cần phải tạo một chỉ mục gồm các thuộc tính chung trên tất cả dữ liệu nhật ký

Các tìm kiếm hoặc truy vấn dữ liệu sử dụng các khóa chỉ mục có thể nhanh hơn theo cấp độ so với việc quét toàn bộ dữ liệu nhật ký

 Lưu trữ

Do khối lượng nhật ký khổng lồ và sự phát triển theo cấp số nhân của chúng, việc lưu trữ nhật ký đang phát triển nhanh chóng. Trước đây, các trình tổng hợp nhật ký sẽ lưu trữ nhật ký trong một kho lưu trữ tập trung. Ngày nay, nhật ký ngày càng được lưu trữ trên công nghệ hồ dữ liệu, chẳng hạn như Amazon S3 hoặc Hadoop

Các hồ dữ liệu có thể hỗ trợ khối lượng lưu trữ không giới hạn với chi phí lưu trữ gia tăng thấp và có thể cung cấp quyền truy cập vào dữ liệu thông qua các công cụ xử lý phân tán như MapReduce hoặc các công cụ phân tích hiệu suất cao hiện đại

3 Chính sách và Quy tắc

SIEM cho phép nhân viên an ninh xác định hồ sơ, chỉ định cách hệ thống doanh nghiệp hoạt động trong điều kiện bình thường

Sau đó, họ có thể thiết lập các quy tắc và ngưỡng để xác định loại bất thường nào được coi là sự cố bảo mật. Càng ngày, SIEM càng tận dụng khả năng học máy và lập hồ sơ hành vi tự động để tự động phát hiện các điểm bất thường và

tự động xác định các quy tắc trên dữ liệu, nhằm phát hiện ra các sự kiện bảo

4 Hợp nhất và Tương quan Dữ liệu

Mục đích chính của SIEM là tập hợp tất cả dữ liệu lại với nhau và cho phép tương quan giữa các nhật ký và sự kiện trên tất cả các hệ thống tổ chức

Thông báo lỗi trên máy chủ có thể liên quan đến kết nối bị chặn trên tường lửa

và mật khẩu sai trên cổng doanh nghiệp. Nhiều điểm dữ liệu được kết hợp thành các sự kiện bảo mật có ý nghĩa và được chuyển đến các nhà phân tích bằng các thông báo hoặc trang tổng quan. SIEM thế hệ tiếp theo đang ngày càng hoàn thiện hơn trong việc tìm hiểu đâu là sự kiện bảo mật “thực” cần được chú ý

TÀI LIỆU THAM KHẢO

[1] FIFEEYE, “What is SIEM and how does it work?”, online at:

https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html

[2] ECOSMART, “Hệ thống SIEM là gì? và Lợi ích của Giải pháp SIEM”, online at: https://eco-smart.biz/thong-siem-la-gi/

[3] vietsunshine, “SIEM là gì và nó hoạt động như thế nào?”, online at:

https://www.vietsunshine.com.vn/2021/05/17/siem-la-gi-va-no-hoat-dong-nhu-the-nao-nhung-loi-ich-mang-lai-cho-doanh-nghiep/

[4] BitLyft, “WHAT IS SIEM AND WHY IS IT USEFUL?”, online at:

https://www.bitlyft.com/resources/what-is-siem-and-why-is-it-useful

[5] exabeam, “What is SIEM?”, online at:

https://www.exabeam.com/siem-guide/what-is-siem/? fbclid=IwAR2E0wSsy2sHmcrNv9Iats5yw1JLarDpxC3bbZ5YDRMrrMxlDjtkl8aR rC4