Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng nếu có thể như phiên bản, loại ứng dụng, các thành phần kèm theo… S
AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ HỆ THỐNG SIEM
Tổng quan an toàn thông tin
Trong thời đại công nghệ phát triển, bảo mật thông tin dữ liệu trở thành thách thức lớn đối với cá nhân và tổ chức, đặc biệt là doanh nghiệp trong các lĩnh vực kinh tế, giáo dục và chính trị Các cuộc tấn công tinh vi đang đe dọa an ninh mạng, tạo ra rủi ro cho tổ chức, doanh nghiệp và người dùng cá nhân Để bảo vệ thông tin doanh nghiệp hiệu quả, cần hiểu rõ hệ thống thông tin và đánh giá mối đe dọa để xác định chiến lược bảo mật phù hợp, tùy thuộc vào mô hình doanh nghiệp của tổ chức.
1.1 Tổng quan về CIA Để hiểu rõ hơn và so sánh các loại mô hình kinh doanh khác nhau thì ta cần xác định những điểm chung phần lớn của các chương trình bảo mật Khái niệm này sẽ được dùng để đánh giá mức an toàn của một hê thống và khái niệm đó là tam giác CIA (confidentiality, integrity, availability) đây cũng là nguyên tắc cốt lõi của chương trình bảo mật Nếu không hiểu rõ về các khái niệm này và cách chúng liên quan với môi trường, bạn sẽ không thể nào đánh giá được nhu cầu của chương trình bảo mật của mình một cách chính xác Dưới đây là tóm tắt về các khái niệm này:
Tính bí mật (Confidentiality) là việc đảm bảo rằng thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép Một trong những phương pháp phổ biến để bảo vệ tính bí mật là kiểm soát truy cập thông qua mã hóa dữ liệu Chẳng hạn, trong một giao dịch tín dụng qua Internet, số thẻ tín dụng được mã hóa trong suốt quá trình truyền tin từ người mua đến người bán và nhà cung cấp dịch vụ thẻ tín dụng Hệ thống thực hiện tính bí mật bằng cách giới hạn nơi thông tin có thể xuất hiện, như trong cơ sở dữ liệu, log file, sao lưu và hóa đơn.
Tính toàn vẹn trong an toàn thông tin đảm bảo rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện Mặc dù có sự khác biệt với tính toàn vẹn trong cơ sở dữ liệu, nó có thể được coi là một trường hợp đặc biệt của tính nhất quán Khi một thông điệp bị chỉnh sửa trong giao dịch, tính toàn vẹn sẽ bị xâm phạm Hệ thống thông tin an toàn luôn cung cấp các thông điệp đảm bảo tính toàn vẹn và bí mật.
Tính sẵn sàng (Availability) là yếu tố quan trọng trong mọi hệ thống thông tin, đảm bảo rằng thông tin luôn có sẵn khi cần thiết Điều này đòi hỏi hệ thống tính toán, hệ thống bảo mật và kênh kết nối phải hoạt động chính xác và liên tục Hệ thống có tính sẵn sàng cao cần phải giảm thiểu rủi ro từ phần cứng và phần mềm, như sự cố mất điện, hỏng hóc thiết bị, hoặc quá trình cập nhật và nâng cấp Đảm bảo tính sẵn sàng cũng đồng nghĩa với việc ngăn chặn các cuộc tấn công từ chối dịch vụ.
Ví dụ: nếu server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng nó là 99.999%
Ngoài những khái niệm đó là tam giác CIA thì ta còn có:
Tính xác thực (authentication) là yếu tố thiết yếu trong các hoạt động tính toán, kinh doanh trực tuyến và an toàn thông tin, nhằm đảm bảo rằng dữ liệu, giao dịch, kết nối và tài liệu đều là thật Nó cũng đóng vai trò quan trọng trong việc xác nhận danh tính của các bên liên quan trong hệ thống.
Tính không thể chối cãi (Non-repudiation) đảm bảo rằng một bên giao dịch không thể phủ nhận việc thực hiện giao dịch với bên khác Chẳng hạn, trong giao dịch mua hàng trực tuyến, khi khách hàng cung cấp số thẻ tín dụng và thanh toán thành công, bên bán không thể chối bỏ việc đã nhận tiền, trừ khi hệ thống không đảm bảo an toàn thông tin trong giao dịch.
Tính định danh (Identification): hành động của ngườisử dụng khi xác nhận một sự định danh tới hệ thống,ví dụ định danh thông qua tên (username) của cánhân
Tính kiểm toán (Accountability) là việc xác định các hành động hoặc hành vi của một cá nhân trong hệ thống, đồng thời đảm bảo rằng cá nhân đó nắm rõ trách nhiệm liên quan đến các hành động của mình.
1.2 Các mối nguy hại trong an toàn thông tin
Từ góc độ an toàn, có nhiều phương thức tấn công và đánh cắp thông tin từ hệ thống, bao gồm lỗ hổng ứng dụng, lỗ hổng dịch vụ trực tuyến như web và email, cũng như lỗ hổng hệ điều hành Do đó, việc thiết lập và duy trì bảo mật thông tin trở nên rất khó khăn.
Nhiều vụ khai thác thành công xuất phát từ bên trong tổ chức, với thống kê từ Computer Security Institute cho thấy khoảng 60%-80% hành vi sử dụng sai mạng máy tính và phần mềm đến từ nội bộ công ty Do đó, việc đào tạo nhận thức an ninh mạng cho tất cả các thành viên, bao gồm cả người quản trị, là vô cùng quan trọng Đồng thời, cần tìm hiểu các nguy cơ phổ biến trong an toàn thông tin.
Lỗi và sự bỏ sót, cố tình bỏ qua
Nguy cơ an ninh trong lập trình là một trong những mối đe dọa nghiêm trọng nhất, khi các cảnh báo và lỗi từ trình biên dịch thường bị bỏ qua, dẫn đến các sự cố như tràn bộ đệm và tràn heap Việc người dùng sử dụng đầu vào không hợp lý có thể gây ra lỗi xử lý, khai thác hoặc thậm chí làm cho chương trình bị đổ vỡ Do đó, kỹ thuật lập trình an toàn là rất quan trọng trong mọi ứng dụng, và lập trình viên cần thường xuyên cập nhật thông tin về các lỗ hổng, phương pháp phòng chống và áp dụng các phương thức lập trình an toàn.
Một phương pháp hiệu quả để ngăn ngừa rủi ro là áp dụng chính sách "lease privilege", tức là cấp quyền hạn tối thiểu cho người dùng Điều này có nghĩa là người dùng chỉ được phép xử lý và truy cập vào một số khu vực thông tin nhất định.
Lừa đảo và lấy cắp thông tin
Trong môi trường làm việc, có thể xảy ra tình trạng đồng nghiệp không đến công ty chỉ để làm việc mà còn để đánh cắp thông tin quan trọng, đặc biệt tại các công ty quân sự và cơ quan nhà nước Việc phát hiện kẻ tấn công từ bên trong là rất khó khăn Hành vi lấy cắp thông tin có thể diễn ra dưới nhiều hình thức, như lấy cắp văn bản in hoặc thông tin số, và cung cấp thông tin nội bộ cho bên ngoài.
Để giảm thiểu nguy cơ, việc thiết lập các chính sách bảo mật hiệu quả là rất quan trọng Những chính sách này hỗ trợ người quản lý trong việc bảo vệ thông tin và thu thập dữ liệu, từ đó giúp điều tra và đưa ra kết luận chính xác, nhanh chóng Khi đã có chính sách vững chắc, người quản trị có thể áp dụng các kỹ thuật điều tra số để truy vết các hành động tấn công.
Hệ thống giám sát thông tin số cho phép ghi lại các hoạt động truy cập vào khu vực tài liệu bí mật của công ty, bao gồm thời gian, địa chỉ IP, tài liệu bị lấy và phần mềm sử dụng Nhờ đó, người quản trị có thể xác định rõ ràng ai là người đã thực hiện hành vi truy cập trái phép.
Tổng quan về SIEM
Hệ thống SIEM (Security Information and Event Management) là một phần quan trọng trong bảo mật máy tính, kết hợp quản lý thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM) Các giải pháp SIEM có khả năng phát hiện mối đe dọa và lỗ hổng bảo mật tiềm ẩn thông qua việc phân tích dữ liệu nhật ký và sự kiện theo thời gian thực từ nhiều nguồn như mạng, bảo mật, máy chủ, cơ sở dữ liệu và ứng dụng Chúng cung cấp cảnh báo và thông báo cho các nhóm bảo mật để điều tra và phản ứng kịp thời Công cụ SIEM đã phát triển mạnh mẽ và hiện nay được xem là thiết yếu trong việc phát hiện, điều tra và ứng phó với các mối đe dọa an ninh mạng nâng cao.
SIEM hoạt động như một kho lưu trữ trung tâm cho các nhật ký hệ thống, sử dụng các quy tắc logic mà bạn thiết lập để xác định các sự kiện quan trọng Khi có khả năng bị tấn công mạng, SIEM cho phép bạn truy cập nhiều loại thông tin và sự kiện từ nhiều thiết bị khác nhau.
SIEM giúp các tổ chức theo dõi hoạt động mạng, từ đó nhanh chóng ứng phó với các cuộc tấn công mạng tiềm ẩn và đảm bảo tuân thủ các yêu cầu pháp lý.
Hệ thống giám sát nhật ký ngày càng trở nên quan trọng do sự gia tăng các cuộc tấn công mạng phức tạp, yêu cầu tuân thủ các quy định về kiểm soát bảo mật nhật ký trong Khung quản lý rủi ro Mức độ ghi nhật ký bắt đầu từ chức năng khắc phục sự cố và mã gỡ lỗi, nhưng với sự phức tạp của hệ điều hành và mạng, việc tạo sự kiện và nhật ký cũng gia tăng Ghi nhật ký hệ thống, bảo mật và ứng dụng không phải là phương pháp duy nhất để ứng phó sự cố, nhưng chúng cho phép theo dõi hoạt động của hệ thống và người dùng trong một khoảng thời gian nhất định Từ cuối những năm 1970, các nhóm làm việc đã được thành lập để thiết lập tiêu chí cho quản lý chương trình kiểm tra và giám sát, cũng như cách thức sử dụng nhật ký hệ thống để đối phó với mối đe dọa nội bộ và khắc phục sự cố, tạo nền tảng cho nhiều khái niệm trong an ninh mạng hiện đại.
Với sự triển khai của các khung quản lý rủi ro (RMF) trên toàn cầu, kiểm toán và giám sát trở thành yếu tố cốt lõi trong đảm bảo thông tin và an ninh thông tin Nhân viên đảm bảo thông tin, kỹ sư an ninh mạng và nhà phân tích có thể sử dụng thông tin ghi nhật ký để thực hiện các chức năng bảo mật quan trọng trong thời gian thực Các hoạt động này được hỗ trợ bởi các mô hình quản trị tích hợp, sử dụng kiểm toán và giám sát làm nền tảng cho phân tích Vào cuối những năm 1990 và đầu những năm 2000, việc tập trung hóa nhật ký hệ thống trở nên cần thiết, cho phép định vị và xem các bản ghi một cách tập trung, đồng thời cung cấp khả năng quản lý tập trung cho tất cả các máy trên một mạng nhất định.
Việc tập trung hóa và hợp nhất dữ liệu hệ thống không chỉ mang lại cái nhìn tổng thể mà còn cho phép các tổ chức sử dụng dữ liệu ghi nhật ký để cải thiện hoạt động và khắc phục sự cố liên quan đến hiệu suất và mạng Quản lý sự kiện và thông tin bảo mật (SIEM) đã trở nên phổ biến, với nhiều biến thể khác nhau của từ viết tắt này SIEM chủ yếu được xem như một giải pháp tập trung tất cả các bản ghi vào một nơi, cung cấp cái nhìn tổng quát cho các hoạt động mạng và bảo mật, từ đó hỗ trợ phân tích hiệu quả hơn.
Quản lý Sự kiện và Thông tin Bảo mật (SIEM) được định nghĩa bởi Viện Tiêu chuẩn và Công nghệ Quốc gia là ứng dụng thu thập dữ liệu bảo mật từ các thành phần hệ thống thông tin và trình bày dưới dạng thông tin có thể thực hiện SIEM đã trở thành chức năng bắt buộc trong việc ghi nhật ký hệ thống, cho phép truy xuất nguồn gốc tài khoản sử dụng cho các tác vụ hệ thống Khi kết hợp với hệ điều hành, SIEM có khả năng lập chỉ mục và phân tích nhật ký hệ thống, sẵn sàng cho việc tìm kiếm Công nghệ SIEM, lần đầu tiên được Gartner giới thiệu vào năm 2005, đang ngày càng trở nên quan trọng trong lĩnh vực an ninh mạng.
Vào ngày 17 tháng 5 năm 2021, Tổng thống Hoa Kỳ Joseph Biden đã ký Sắc lệnh 14028 nhằm cải thiện an ninh mạng quốc gia Sắc lệnh này yêu cầu bảo vệ điểm cuối, xác định các yêu cầu ghi nhật ký và triển khai ghi nhật ký kiểm tra một cách thống nhất, đồng thời tăng cường khả năng cung cấp thông tin chi tiết về các hành động của hệ thống và tài khoản Nhật ký kiểm tra được xác định trong ba lĩnh vực kỹ thuật liên quan đến ứng phó sự cố, nhằm theo dõi tình hình hệ thống tại một thời điểm nhất định Sắc lệnh này được ban hành để đối phó với sự gia tăng các cuộc tấn công mạng, đặc biệt là mã độc tống tiền, ảnh hưởng đến cơ sở hạ tầng quan trọng liên quan đến an ninh quốc gia Việc tăng cường các biện pháp kiểm soát bảo mật là cần thiết để đảm bảo thông tin hiện có và tuân thủ các yêu cầu của Tổng thống trong quản lý rủi ro.
Các thành phần của SIEM
SIEM có thể được ví như một cỗ máy phức tạp, trong đó mỗi bộ phận thực hiện một nhiệm vụ cụ thể và cần phối hợp nhịp nhàng để đảm bảo hệ thống hoạt động hiệu quả Một SIEM cơ bản được chia thành 6 phần riêng biệt: Source Device, Log Collection, Parsing/Normalization of Logs, rule engine, log storage và event monitoring and retrieval Mặc dù mỗi thành phần hoạt động độc lập, nhưng sự cố ở bất kỳ bộ phận nào cũng có thể làm gián đoạn toàn bộ hệ thống SIEM.
Hình 1.1 Các thành phần trong SIEM
Phần đầu tiên của SIEM là thiết bị cung cấp thông tin, có thể là bộ định tuyến, bộ chuyển mạch, máy chủ hoặc nhật ký từ ứng dụng Mặc dù thiết bị nguồn không phải là một phần thực của SIEM, nhưng nó đóng vai trò quan trọng trong hệ thống này Hiểu rõ các nguồn cần lấy bản ghi nhật ký là rất cần thiết để triển khai SIEM hiệu quả, giúp tiết kiệm công sức, chi phí và giảm sự phức tạp trong quá trình triển khai.
Hệ điều hành phổ biến như Microsoft Windows, các biến thể của Linux, UNIX, AIX và Mac OS đều có những công nghệ khác nhau nhưng đều tạo ra các bản ghi Log Những bản ghi này cung cấp thông tin quan trọng về hoạt động của hệ thống, bao gồm ai đã đăng nhập và những gì họ đã thực hiện Việc phân tích các bản ghi Log từ hệ điều hành có thể hỗ trợ hiệu quả trong việc ứng phó sự cố an ninh, chẩn đoán vấn đề hoặc phát hiện cấu hình sai.
Để tương tác với quyền administrator của hệ thống, hầu hết các quản trị viên không có quyền truy cập từ xa vào hệ thống để thực hiện các công việc quản lý cơ bản Thay vào đó, họ có thể quản lý các thiết bị thông qua một cổng giao diện đặc biệt, có thể là giao diện web, dòng lệnh hoặc ứng dụng tải về máy trạm Hệ điều hành của các thiết bị mạng có thể là Microsoft Windows, phiên bản Linux hoặc được cấu hình tương tự như hệ điều hành thông thường, ví dụ như router hoặc switch Việc truy cập vào hệ điều hành cơ bản không phụ thuộc vào nhà cung cấp và chỉ có thể thực hiện qua dòng lệnh hoặc giao diện web Các thiết bị cũng lưu trữ các bản ghi Log và có thể được cấu hình để gửi các bản ghi này qua SysLog hoặc FTP.
Các ứng dụng chạy trên các hệ điều hành phục vụ nhiều chức năng khác nhau, bao gồm hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web và hệ thống thư điện tử Bản ghi ứng dụng cung cấp thông tin chi tiết về tình trạng của ứng dụng, chẳng hạn như thống kê, lỗi và thông tin tin nhắn.
Để tối ưu hóa việc thu thập dữ liệu cho SIEM, người quản trị cần xác định các bản ghi Log quan trọng từ các thiết bị nguồn trong hệ thống.
Thông tin trên rất hữu ích trong việc xác định nguồn thiết bị cần thiết cho SIEM Mặc dù có nhiều lựa chọn, việc xác định chính xác yêu cầu cho SIEM là cần thiết Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể ảnh hưởng đáng kể đến số lượng bản ghi Log được tạo ra hàng ngày.
Bước tiếp theo trong việc quản lý nhật ký dịch vụ và thiết bị là thu thập các bản ghi từ các thiết bị gốc gửi đến SIEM Cơ chế truy xuất nhật ký khác nhau tùy thuộc vào loại SIEM được sử dụng Quy trình thu thập nhật ký có thể được chia thành hai phương thức cơ bản.
Push Log: Thiết bị nguồn sẽ gửi nhật ký của nó tới SIEM
Ưu điểm của việc thiết lập và cấu hình tại SIEM là rất dễ dàng Bạn chỉ cần thiết lập một bộ thu và trỏ vào thiết bị nguồn, ví dụ như syslog Khi cấu hình thiết bị nguồn sử dụng nhật ký hệ thống, bạn chỉ cần thiết lập địa chỉ IP hoặc tên DNS của máy chủ nhật ký trên mạng, và thiết bị sẽ tự động gửi nhật ký qua hệ thống tới máy thu nhật ký Trong trường hợp này, máy chủ nhật ký sẽ đóng vai trò là máy thu trên SIEM.
Sử dụng UDP syslog trong triển khai SIEM có thể dẫn đến một số lỗ hổng bảo mật cần được xem xét Bản chất không tin cậy và không đảm bảo thứ tự của UDP có thể khiến các gói dữ liệu bị mất hoặc đến không đúng thứ tự, gây khó khăn trong việc đảm bảo tính toàn vẹn của thông tin Nếu xảy ra sự cố mạng, như virus lây lan, có thể không nhận được các gói nhật ký hệ thống Ngoài ra, nếu không thiết lập quyền truy cập đúng cách trên bộ thu SIEM, hệ thống có thể bị tấn công bởi người dùng độc hại, dẫn đến thông tin sai lệch và làm sai lệch các sự kiện thực tế Do đó, việc hiểu rõ thiết bị gửi nhật ký tới SIEM là rất quan trọng để bảo vệ hệ thống.
Phương pháp Pull Log khác với Push Log, khi thiết bị nguồn gửi nhật ký tới SIEM mà không cần tương tác từ SIEM Pull Log yêu cầu SIEM chủ động kết nối với thiết bị nguồn để truy xuất nhật ký, ví dụ như khi nhật ký được lưu trữ trong tệp văn bản trên mạng SIEM sẽ sử dụng thông tin đăng nhập để đọc tệp văn bản và lấy nhật ký Tuy nhiên, nhật ký có thể không được cập nhật theo thời gian thực, vì SIEM cần liên hệ với thiết bị nguồn để lấy nhật ký Phương pháp này có thể được cấu hình để chạy theo khoảng thời gian nhất định, thường do người dùng thiết lập, vì vậy cần kiểm tra cấu hình mặc định của SIEM khi thiết lập.
Hệ thống SIEM nhận vô số bản ghi Log từ các thiết bị và ứng dụng trong môi trường, nhưng tại thời điểm này, các bản ghi vẫn ở định dạng gốc, khiến người quản trị chỉ có thể lưu trữ chúng Để đảm bảo tính bảo mật, xác thực và tin cậy trong việc truyền tải các bản ghi Log từ các nguồn đến SIEM, cần sử dụng các giao thức như Syslog, SNMP, OPSEC và SFTP.
Để các bản ghi Log trở nên hữu ích trong SIEM, cần phải định dạng lại chúng thành một định dạng chuẩn duy nhất, quá trình này được gọi là chuẩn hóa Nếu thiết bị không hỗ trợ các giao thức cần thiết, việc sử dụng các Agent là cần thiết để thu thập các bản ghi có định dạng mà SIEM có thể hiểu Mặc dù việc cài đặt các Agent có thể kéo dài thời gian triển khai SIEM, nhưng điều này sẽ giúp người quản trị có được các bản ghi Log theo dạng chuẩn mong muốn.
Mục đích thu thập thông tin là để hiểu và chuẩn hóa dữ liệu từ các thiết bị an ninh khác nhau, nhằm cung cấp thông tin cho hệ thống phân tích Chức năng này rất quan trọng vì dữ liệu có định dạng khác nhau sẽ được thu thập từ nhiều thiết bị và nhà cung cấp khác nhau.
Hình 1.3 Cisco ASA syslog message
Hai hệ thống, bao gồm Windows Event Log và ASA Cisco, cho thấy cùng một người đăng nhập vào thiết bị, nhưng các đăng nhập của mỗi nhà cung cấp lại khác nhau Do đó, việc hiểu định dạng và chi tiết trong sự kiện là cần thiết Việc chuẩn hóa Log trở nên rất quan trọng để đảm bảo tính nhất quán và dễ dàng phân tích.
Hình 1.4 Nhật ký SIEM sau khi chuẩn hóa
Cách hoạt động của SIEM
Giải pháp SIEM thu thập dữ liệu từ nhiều nguồn như máy tính, thiết bị mạng và máy chủ, sau đó chuẩn hóa và tổng hợp dữ liệu Các chuyên gia bảo mật phân tích dữ liệu này để phát hiện các mối đe dọa, giúp doanh nghiệp xác định các vi phạm bảo mật và cho phép tổ chức điều tra các cảnh báo.
Để nắm bắt cách thức hoạt động của SIEM, trước hết, chúng ta cần tìm hiểu sâu về hai khái niệm bảo mật quan trọng: sự cố và sự kiện.
Sự cố bảo mật là những sự kiện có thể đe dọa tính bảo mật, tính toàn vẹn hoặc tính khả dụng (CIA) của hệ thống thông tin Những sự cố này có thể dẫn đến vi phạm hoặc nguy cơ vi phạm các chính sách bảo mật, quy trình bảo mật, hoặc các chính sách sử dụng được chấp nhận mà hệ thống xử lý, lưu trữ, truyền hoặc tạo ra.
Ví dụ về một sự cố bao gồm nhưng không giới hạn ở:
Nỗ lực (không thành công hoặc thành công) để có được quyền truy cập trái phép vào hệ thống hoặc dữ liệu của hệ thống
Sự gián đoạn hoặc từ chối dịch vụ không mong muốn
Việc sử dụng trái phép hệ thống để xử lý hoặc lưu trữ dữ liệu
Các thay đổi đối với đặc điểm phần cứng, chương trình cơ sở hoặc phần mềm của hệ thống cần phải có sự hiểu biết, hướng dẫn và đồng ý của chủ sở hữu.
- Sự kiện bảo mật là bất kỳ sự kiện nào có thể quan sát được trong hệ thống thông tin bao gồm:
Nhân viên CNTT cần được thông báo hoặc nhận biết về việc điều tra sự kiện hoặc sự cố bảo mật thông qua các cảnh báo.
Cảnh báo là thông báo về một cuộc tấn công nhắm vào hệ thống thông tin của tổ chức, thường ngắn gọn và gửi đến cá nhân hoặc nhóm phản hồi cụ thể Các thông báo này có thể được truyền đạt qua email, tin nhắn bật lên trên bảng điều khiển, hoặc qua văn bản và cuộc gọi điện thoại đến smartphone.
Số lượng sự kiện ghi lại từ các nền tảng theo dõi có thể lên đến hàng trăm hoặc hàng nghìn mỗi giờ Do đó, việc điều chỉnh SIEM một cách cẩn thận và chính xác là cần thiết để phát hiện và cảnh báo về các sự kiện có nguy cơ cao nhất.
Khả năng của SIEM giúp nó nổi bật so với các công cụ giám sát và phát hiện khác như IPS hoặc IDS SIEM không thay thế chức năng ghi nhật ký của các thiết bị này, mà hoạt động kết hợp với chúng bằng cách nhập và tổng hợp dữ liệu nhật ký để xác định các sự kiện có thể dẫn đến khai thác tiềm năng của hệ thống.
Các chức năng của SIEM
Quản lý tập trung cho phép thu thập và lưu trữ nhật ký cùng sự kiện từ tất cả thiết bị trên một giao diện duy nhất, giúp quản trị viên có cái nhìn tổng quát về hoạt động của hệ thống.
Giám sát an toàn mạng thông qua việc phân tích thông tin bằng các thuật toán giúp dự đoán các sự cố bảo mật, từ đó nâng cao khả năng chủ động của các bộ phận liên quan trong công việc.
Xử lý sự cố: Đưa ra cảnh báo khi có xâm nhập trái phép để kịp thời xử lý và khắc phục sự cố nhanh nhất
Các tính chức năng này phải đáp ứng đúng nhu cầu của các tính năng sau thì hệ thống SIEM mới hoạt động trơ tru được
Phân tích chuyên sâu theo thời gian thực
Tích hợp báo cáo tiêu chuẩn hoặc tùy chỉnh theo yêu cầu của doanh nghiệp.
Lợi ích và hạn chế của SIEM
6.1 Những giá trị mà SIEM mang lại
Sử dụng SIEM mang lại nhiều lợi ích cho mọi quy mô doanh nghiệp Dưới đây là một số lợi ích quan trọng mà bạn có thể đạt được khi triển khai SIEM một cách hiệu quả.
Cải thiện hiệu suất an ninh mạng
SIEM cung cấp một tài nguyên quan trọng trong việc đối phó với các cuộc tấn công mạng - thời gian Khi được triển khai đúng cách, SIEM giúp rút ngắn thời gian phát hiện và xác định các mối đe dọa, từ đó cho phép bạn phản ứng nhanh chóng Điều này mang lại cơ hội để giảm thiểu thiệt hại hoặc ngăn chặn các cuộc tấn công hoàn toàn.
SIEM có khả năng phát hiện các mối đe dọa zero-day bằng cách nhận diện hoạt động liên quan đến cuộc tấn công, thay vì chỉ tập trung vào bản thân cuộc tấn công Điều này giúp bạn xác định các mối đe dọa có khả năng cao vượt qua các bộ lọc thư rác, tường lửa và phần mềm chống vi-rút.
Mặc dù các biện pháp phòng thủ truyền thống có thể hiệu quả trong việc bảo vệ mạng, nhưng SIEM lại đóng vai trò quan trọng trong việc phát hiện các hoạt động độc hại có thể vượt qua các lỗ hổng bảo mật.
Cung cấp phân tích pháp y chi tiết
Ngay cả những giải pháp an ninh mạng tốt nhất cũng có thể gặp thất bại, và trong trường hợp này, SIEM có thể hỗ trợ điều tra pháp y nhanh chóng hơn Nó cung cấp thông tin chi tiết về vị trí và cách thức vi phạm xảy ra, giúp đội ngũ CNTT của bạn phát triển bản sửa lỗi hoặc bản vá Hơn nữa, SIEM còn có khả năng hỗ trợ trong việc giải quyết các vụ kiện hoặc yêu cầu bảo hiểm thông qua việc cung cấp nhật ký lịch sử chi tiết mà các nhà điều tra pháp y có thể sử dụng.
Giúp tuân thủ quy định
Tất cả doanh nghiệp đều phải tuân thủ các quy định từ chính phủ hoặc các cơ quan quản lý khác Hệ thống SIEM không chỉ bảo vệ doanh nghiệp khỏi các cuộc tấn công mà còn hỗ trợ việc tuân thủ các yêu cầu quy định.
SIEM liên tục thu thập và báo cáo dữ liệu về toàn bộ mạng của bạn trong thời gian thực, giúp bạn chuẩn bị sẵn sàng cho các cuộc kiểm tra từ cơ quan quản lý Mặc dù kiểm tra là điều không thể tránh khỏi, nhưng với SIEM, bạn sẽ luôn ở trong trạng thái sẵn sàng.
Cung cấp nhiều loại sử dụng
SIEM cung cấp nhiều ứng dụng cho việc quản lý dữ liệu và nhật ký lịch sử Từ việc hỗ trợ vận hành đến khắc phục sự cố, SIEM giúp đội ngũ CNTT có được thông tin cần thiết để thực hiện công việc một cách hiệu quả hơn.
6.2 Khi nào nên sử dụng SIEM
Để đánh giá tổng quát về an toàn, an ninh thông tin của một tổ chức, việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin từ các thiết bị như Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, và các ứng dụng là rất cần thiết Tuy nhiên, số lượng sự kiện an toàn thông tin được tạo ra là rất lớn và đa dạng về định dạng cũng như giá trị thông tin Các thiết bị khác nhau có thể cung cấp báo cáo từ nhiều góc độ khác nhau về cùng một sự kiện an toàn thông tin.
Yếu tố con người và môi trường làm việc có thể dẫn đến việc bỏ qua các thông tin cảnh báo quan trọng và không xử lý kịp thời các sự cố an toàn thông tin mạng, gây thiệt hại lớn cho các cơ quan, tổ chức Do đó, cần thiết phải có một hệ thống giám sát an ninh mạng (GSANM) để theo dõi và giám sát các mối đe dọa Hệ thống GSANM quản lý và phân tích các sự kiện an toàn thông tin, thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện phát sinh từ hạ tầng công nghệ thông tin của cơ quan, tổ chức Hệ thống này có khả năng thực hiện nhiều nhiệm vụ quan trọng trong việc bảo vệ an ninh mạng.
Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công xuất phát trong nội bộ
Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống
Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng là rất quan trọng, bao gồm việc nhận diện các máy tính bị nhiễm mã độc và những máy tính nghi ngờ là thành viên của mạng máy tính ma (botnet).
Giám sát việc tuân thủ chính sách an ninh trong hệ thống
Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố
Nhiều công ty khi được hỏi về lý do triển khai giải pháp SIEM thường trả lời rằng họ làm như vậy để tuân thủ các quy định về an ninh mạng và các yêu cầu về bảo mật mà nhà nước đã ban hành.
Trong kỷ nguyên 4.0, an ninh thông tin trở thành yếu tố sống còn cho doanh nghiệp, và SIEM đóng vai trò cực kỳ quan trọng trong việc bảo vệ an ninh thông tin Các doanh nghiệp nhận thức rõ tầm quan trọng của SIEM trong việc đảm bảo an toàn cho hệ thống của họ.
Even if you have equipped your system with IPS, IDS, and AV, it's crucial to remember that these devices must regularly update their signature sets to effectively take necessary actions in protecting your system against Indicators of Compromise (IoC) or zero-day attacks.
Trong quá trình chưa cập nhật kịp thời để phát hiện các chỉ số xâm nhập (IoC) hoặc các cuộc tấn công zero day, việc truy xuất thông tin từ các bản ghi sự kiện (event log) đã lưu trữ từ hệ thống SIEM là rất hữu ích Điều này giúp bạn có thể theo dõi các cuộc tấn công an ninh đã diễn ra, xác định thời gian, thiết bị và người dùng bị ảnh hưởng, cũng như đánh giá tác động toàn cục SIEM thu thập tất cả các bản ghi và lưu lượng từ nhiều nguồn để thực hiện phân tích và thống kê.
Sự khác biệt giữa có SIEM và không có SIEM
Hệ Thống Có Giải Pháp SIEM Hệ Thống Không Có Giải Pháp SIEM
– Quản lý event log một cách tập trung và việc truy xuất đến log ở 1 thời điểm nhất định rát dễ dàng
– Việc lưu trữ log bạn phải thực hiện trên local, và việc truy xuất logo bạn phải truy xuất đến từng thiết bị một cách thủ công
– Dựa trên các event log bạn có thể đưa ra các phân tích cho toàn hệ thống một cách tự động hóa một cách dễ dàng
Phân tích log cho toàn bộ hệ thống nhằm đưa ra đánh giá tổng thể là một nhiệm vụ khó khăn và tốn nhiều thời gian.
Tiết kiệm chi phí phần cứng cho việc lưu trữ log lâu dài là một yếu tố quan trọng Nếu bạn đầu tư HDD cho một server để lưu trữ log trong 10 năm, điều này có thể không khả thi, đặc biệt khi doanh nghiệp có tới 100 server Việc tập trung log về một mối không chỉ giúp giảm chi phí đầu tư mà còn cải thiện hiệu suất thiết bị, vì không cần ghi log lên HDD của các server đang vận hành.
Việc lưu trữ log lâu dài trên từng thiết bị yêu cầu phải có HDD dung lượng lớn, đặc biệt là với các thiết bị firewall và network device có dung lượng lưu trữ nội bộ rất hạn chế Điều này khiến cho việc lưu trữ log trên từng thiết bị trở nên khó khăn và tốn kém Hơn nữa, việc lưu trữ log trên HDD local đối với các thiết bị vận hành phức tạp có thể ảnh hưởng đáng kể đến hiệu suất hoạt động của chúng.
Hệ thống SIEM trong doanh nghiệp
8.1 Hệ thống trong doanh nghiệp
Hệ thống CNTT trong doanh nghiệp được quản lý bởi nhiều bộ phận như mạng, ứng dụng và phần mềm, dẫn đến việc tổng hợp nhật ký và sự kiện khi xảy ra sự cố trở nên khó khăn Quá trình điều tra nguyên nhân và nguồn tấn công tiêu tốn nhiều thời gian và công sức, nhưng không đảm bảo hiệu quả.
Hiện nay, các phương thức tấn công ngày càng trở nên tinh vi, khiến cho các giải pháp bảo mật truyền thống không còn hiệu quả Do đó, việc triển khai giải pháp SIEM trong doanh nghiệp là cần thiết SIEM sẽ giúp giải quyết mọi vấn đề phức tạp và rắc rối liên quan đến an ninh mạng.
Hệ thống SIEM thu thập và tập trung tất cả nhật ký, sự kiện, giúp quản trị viên phân tích chính xác vấn đề và phát hiện lỗ hổng Nó hoạt động như một cuốn từ điển ghi nhận mọi sự kiện trên mạng, cho phép tra cứu thông tin bất kỳ lúc nào để đưa ra giải pháp xử lý hiệu quả.
Các cảnh báo kịp thời giúp tiết kiệm thời gian và nhân lực Hệ thống SIEM cung cấp cơ chế ngăn chặn tự động các cuộc tấn công mạng, đồng thời ngắt kết nối với các thiết bị bị xâm hại, nhằm giảm thiểu tổn thất ở mức thấp nhất.
8.2 Giải pháp SIEM sử dụng trong doanh nghiệp
Hiện nay, SIEM là nền tảng giám sát toàn diện, đóng vai trò thiết yếu trong hệ thống Trung tâm Điều hành An toàn thông tin (SOC) của các tổ chức và đơn vị.
Nhiều công ty đang phát triển giải pháp SIEM, bao gồm Fortinet với FortiSIEM, PaloAlto với PaloAlto SIEM, và NESSAR với NESSAR SIEM Đặc biệt, Viettel, một tổ chức chuyên về công nghệ thông tin, đã giới thiệu sản phẩm Viettel SIEM, đang được quảng bá rộng rãi về các ưu điểm và tính năng hoạt động của nó.
8.1.1 Ưu điểm nổi bật của Viettel SIEM
Giải pháp Viettel SIEM là sản phẩm tự phát triển của Công ty An ninh mạng Viettel Sản phẩm có những ưu điểm, lợi thế như sau:
Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng: Máy chủ, ứng dụng, thiết bị
Giám sát trong thời gian thực
Linh hoạt với nhiều mô hình tổ chức
Tri thức về ATTT được cập nhật liên tục
Được hỗ trợ bởi đội ngũ chuyên gia giàu kinh nghiệm
Kiến trúc triển khai mềm dẻo, dễ dàng mở rộng theo quymô của hệ thống
8.1.2 Các tính năng của giải pháp Viettel SIEM
Giải pháp Viettel SIEM, sử dụng công nghệ tiên tiến đạt tiêu chuẩn quốc tế, hỗ trợ người dùng hiệu quả trong việc vận hành và giám sát hệ thống an toàn thông tin (ATTT) của tổ chức với các tính năng nổi bật.
Viettel SIEM thu thập nhật ký an toàn thông tin từ nhiều nguồn khác nhau như máy chủ, thiết bị và ứng dụng thông qua các phương thức như syslog, API, JDBC, WMI hoặc các agent Hệ thống phân tích sẽ loại bỏ dữ liệu dư thừa, chuẩn hóa và phân loại theo định dạng chung để tối ưu hóa cho việc phân tích Đồng thời, hệ thống cũng cho phép lưu trữ nhật ký nguyên bản để phục vụ cho công tác điều tra và truy vết sau này.
Viettel SIEM cung cấp ngôn ngữ tìm kiếm dễ sử dụng, cho phép người dùng tìm kiếm các sự kiện và cảnh báo thông qua biểu đồ trực quan Kết quả tìm kiếm có thể được xuất ra dưới định dạng file như json hoặc xlsx.
Tối ưu hóa lưu trữ dữ liệu là rất quan trọng, với hệ thống lưu trữ được đánh chỉ mục và sao lưu để đảm bảo an toàn cho dữ liệu, phục vụ cho điều tra và truy vết khi có sự cố Hệ thống này còn cho phép phân chia chính sách lưu trữ với nhiều loại không gian khác nhau, giúp nâng cao hiệu suất hoạt động và tiết kiệm chi phí đầu tư cho lưu trữ.
Viettel SIEM cung cấp giao diện giám sát cảnh báo theo thời gian thực, cho phép phát hiện tấn công nhanh chóng Các cảnh báo được phân loại theo mức độ nghiêm trọng và mục tiêu tấn công Quá trình thu thập, xử lý log và phân tích để đưa ra cảnh báo diễn ra trong thời gian dưới 1 phút, với khả năng xử lý khoảng 60,000 EPS.
Hệ thống cung cấp gần 1000 luật để phát hiện các vấn đề bất thường, cho phép tùy biến và thêm các luật mới theo từng nghiệp vụ của khách hàng.
Dashboard cung cấp một giao diện quản trị trực quan và thân thiện, cho phép người dùng tùy chỉnh theo nhu cầu thực tế Giao diện này hỗ trợ quản lý nguồn log và cho phép thêm các thiết bị, ứng dụng mới vào hệ thống, đảm bảo khả năng giám sát tức thì.
Viettel SIEM cung cấp hệ thống quản lý ticket và workflow hiệu quả, cho phép lưu trữ và truy vết lịch sử, đồng thời quản lý vòng đời sự cố Hệ thống này hỗ trợ tối đa khách hàng trong việc quản lý, vận hành và khai thác an toàn thông tin.
Các phiên bản mới, bộ luật mới và tri thức mới sẽ được cập nhật tự động, đảm bảo giám sát toàn diện hệ thống của khách hàng.
