Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ siem

Vấn đề đầm báo an toàn thông tn luôn được các cơ quan, tổ chức đặt lên hàng đầu, Tuy nhiên hằng năm các vu tin công mạng vẫn liên tục gia tăng mã chưa cô biện pháp khắc phục hiệu quả Để

TRƯỜNG ĐẠI HỌC CÔNG NGHE THONG TIN VA TRUYEN THONG

TON DUC CƯỜNG

TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên, năm 2016

TON DUC CƯỜNG

TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM

Chuyên ngành — : Khoa học máy tính

Mã số chuyên ngành: 60 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC

Ts TRAN DUC SU

Thai Nguyén, nam 2016

LỜI CAM ĐOAN:

Tôi là: Tôn Đức Cường

Tôi xin cam đoan luận văn “Tìm iễu và xây dựng công cụ phát hiện tấn công

mạng dợa trên công nghệ SIEM này là công trình nghiên edu cia riêng tôi Các

s liệu sở dụng trong luận văn à trùng thọ Các kết quả nghiên cứu được tình bày trong luận văn chưa tùng được công bổ tí bất kỹ công trình nào khác

Thái Nguyên, ngày 21 tông 09 nấm 2016

HỌC VIÊN

Tên Đức Cường.

nghệ SIEM” đã cơ bản hoàn thành Nị

tất nhiều sự quan tim, giúp đỡ của các thầy cô trường Đại học Công nghệ thông tin

‘va Truyền thông, Viện Công nghệ thông tín để tôi hoàn thành tố luận văn của mình

bài sự nỗ lực của bản thân, tôi còn nhận được

Trước hếttôi in gi lời cảm ơn chân thành đến các thầy cổ trường Đại học Công

"nghệ thông tủa và Truyền thông ~ Đại học Thái Nguyên, các thầy cô là các giáo sư tiến sỹ công tắc tại Viện Công nghệ thông tin đã truyền đạt những kiến thie quy bau

trong suốt thời gian học thạc sỹ tại trường Đặc biệt, tôi xin gửi lời cảm ơn tới thầy

giáo TS, Trần Đúc Sự đã tận tỉnh hướng dẫn và chỉ bo trong suốt hồi gian làm luận

‘vin, Bén cạnh đỏ tôi cũng xin gửi lời cém ơn tới lãnh đạo trơờng Cao đẳng Thương

“mại và Du lịch nơi tối công tác đã tạo tạo điều kiện, giớp đỡ tôi cùng một số trang thiết bị hỗ trợ thổ nghiệm cho công cụ đã xây dung

De thời gian, kiến thúc và các trăng thiết bị còn hạn chế, luận văn chưa thực

"nghiệm được nhi, kết quả đạt được chỉ mang tỉnh chất thở nghiệm, rất mong nhận được sự gôp ý từ phí thầy cô, bạn bề để bản luận văn của tôi được hoàn thiện hơn

Thái Nguyên, táng 07 năm 2016

HỌC VIÊN

Tôn Đức Cường

MỤC LỤC

LOICAM ON

MUCLUC ii DANH MỤC TỪ VIET TAT x DANH MỤC HÌNH VỀ Y

LỠI NÓI ĐẦU 1

CHƯƠNG 1 TỎNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 3

1.1 TẤN CÔNG TRONG MẠNG MÁY TÍNH 3

11.2 HE THONG PHAT HIEN VA NGAN CHAN XÂM NHẬP IDS/TPS 13

12.1 Hệ thống phát hiện xâm nhập IDS B 1.22 Network-based IDS la 1.23 Host-based IDS 15 1.24 HE théng ngin chin xim ship IPS 7

11.3 HE THONG GIAM SAT AN NINH MẠNG 18

13.1 Giới thiệu hệ thống gidm sdt an ninh mang 18

1132 Mô hình giấm sắt an ninh mang 18 13.3 Các công nghệ gidm sit an ninh mạng 20 CHƯƠNG 2 PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 22

2.1 GIỚI THIỆU VẺ CÔNG NGHỆ SIEM 2

2.1.1 Quân lý nhật ký sự kiện a ninh 25 2.12 Tuân thủ các quy dinh vé CNTT 2 2.13 Tương quan liên kết các sự kiện an ninh 26 2.1.4 Cong cấp các hoạt động ứng phô 27 2.15 Dim bảo an ninh thiết bị đầu cuối 27

2.2 THANH PHAN VA HOAT BONG CUA SIEM 27

22.1 Thiết bị Nguễn 28 2.2.2 The thip Loz 30 2.23 Chuan hia va ting hop sv kia an nin 32

HE THONG VA MO HINH PHAT HIEN TAN CONG MANG

3.2.1 Hệ thống mã nguồn mở AlienVanlt OSSTM

3.2.2 Một số chức năng chinh cia AlienVault OSSIM

quan hé thống phát hiện tấn công mạng đựa trên công

3.23 Mô hình tổ

"nghệ Siem sử đụng công cụ AtierVank OSSTM

TRIEN KHAI XAY DỰNG

33.1 Triển khai OSSIM vào hệ thống mạng

3.32 Một số công cụ được sở dụng trong OSSIM

9ï TP TTransmision control protocol

a Dos Denial of Service (Tr chéi dich ve)

o Đán: Distributed Denial of Service

oF Dros Distributed Reflection Denial of Service

os m Totrsien Detection Šystems (Phát hiện xâm,

ship)

% NIDS ‘Network based Intrusion Detection Systems

9 IDS Host-based Intrusion Detection Systems

08 NIT “Cổng nghệ thông tn

% SEM ‘Security Infomation and Event Management

70 “ARP ‘Address Resolution Protocol

it CSE Coss dt ite

D oss ore Soe Security Information

1 TS Tntemet Information Services

Mé hinh gidm sit an ninh mang dang phn tin

Mé hinh gidm sit an ninh mang dang dc lip

Giao điện web của một phần mềm NMS

Hệ thống phát hiện tấn công mạng

Mô tả chuẩn hóa sự kiện

Sự kiện an ninh theo thoi gian thực

Giao didn Web của Sploni

Bio cio cia AlienVanlt OSSIM

Mé hinh hoat déng céa OSIM

Mé hinh ting quan phéthién tin cng mang

Quan ý sự kiện theo thời gian thực

Mô hình thở nghiệm thực tẾ

Phin mém Nmap

Cảnh báo tận công quết cổng

Chiết cảnh báo tấn công quết cổng

Các sự kiên tương quan cho cảnh báo quết cổng

Rat di ti may chi Web bing dich vy Remote desktop

Hình 3.10: Cảnh báo tấn công đăng nhập

Hình 3.11: Các sự kiện tương quan cho cảnh báo đăng nhập Hình 3.12: Công cụ

LỠI NÓI ĐẦU Hiện nay với sợ phát triễn mạnh mẽ của khoa học kỹ thật nồi chung và công

"nghệ thong tin ndi riêng, việc ứng dụng công nghệ thông từ, Ioternet ngày cảng trở lên phổ biển trong đồi sống hằng ngày cũng như trong hẳu hết các lĩnh vực Song

Š mất an toàn thông tin Trong

s như dữ liệu của cá cá nhân, tổ chức, chính phổ đã bị nhiều đợt tấn công của tội phạm mạng, Có rất nhiễu các -websie, hệ thống mạng bị ngờng hoạt động trong nhiề giờ, nhiễu dỡ liệu quan trọng

bị đánh cấp Những vụ tắn công đã gây ra thiệt hại nghiêm trọng và có ác động tiên cực, ảnh hướng trực tiếp đến nhiều cá nhân, doanh nghiệp Vấn đề đầm báo an toàn thông tn luôn được các cơ quan, tổ chức đặt lên hàng đầu, Tuy nhiên hằng năm các

vu tin công mạng vẫn liên tục gia tăng mã chưa cô biện pháp khắc phục hiệu quả

Để có thể đâm bão tốt nhất cho hệ thống mạng tránh khỏi những đợttẫn công đồ

là chủ động phát hiện các tắn công và đưa ra những phần ứng thích hợp ĐỂ làm được như vậy cn phải có một hệ thống có khả năng giám sấttoần bộ các hành động ra väo

vã những bất thường bên trong bệ thống mạng cần báo vệ, có một vấn đề là các cổng

cụ bão vệ hệ thống được triển khai ở nước ta hầu hết đều mua của nước ngoài với giá

thành rất cao đây là một khó khăn lớn đối với các tổ chức vừa và nhỏ Mặt khác vì lã

săn phẩm thương mại nên công nghệ và kỹ thuật của các hệ thống đồ luôn luôn được giữ kín vi thế mỗi khi phất sinh các dạng tấn công mới, các nhà quản tị trong nước không thể tự phát triển mỡ cộng được

ĐỂ giảm bớt khô khẩn cho các cơ quan, tổ chúc vủa va nh trong ve gidm sit

và bảo vệ hệ thống mạng một cách hiệu quả Tôi đã chọn 42 tai “Tim hiểu sả xây dumg cong cụ phát kiện tấn công mạng đựa trên công nghệ Siem” dưới sự hướng dẫn của TS Trần Đức Sự

Sau phin mé div, nội dong chính của luận văn di vo tìm hiễo các phương pháp tắn công mạng, kỹ thuật phát hiện ốn công và công nghệ quản lý hông ti và sợ kiện an

sinh Luận văn gồm 3 chương như sau:

“Chương 3: Xây dợng công cụ phát hién tin cng mang dva tén céng nghé Siem Đưa ra mô hình hệ thẳng giám sit, phat hia tin cng thie té Xây dợng công cụ phat hiện tấn công mạng đa tiền công nghệ Siem

Cuối cũng lã phân đảnh giá, ết luận và hướng phát tiễn cöa đề ti

CHUONG 1 TONG QUAN VE TAN CONG VA PHAT HIEN

TAN CONG MANG

11 Tấn công trong mạng mấy tỉnh

¿tấn công mạng

Tấn công mạng là hoạt động có chỗ Ý của kẻ phạm tôi lọi đụng các lỗ hồng của

ệ thống thông ti và tiến hành ph vỡ tính sẵn sẵng tính toần vẹn và tính bỉ mật cũa

hệ thống thông tin

1.12 Ân toần mạng

Intemet ngiy cing phat tiễn rộng rãi, vẫn đề an ninh trén môi trường mạng ngày

cảng trở nên cấp thiết Các cuộc tân cí

độ nghiêm trọng Các phương thức và hệ thống bảo mật truyền thống đã th 1g mang dang gia tăng cả về số lượng và mức

hiệu quả đễ đảm bảo an toàn thông tin và đỡ liệu cho các ổ chức, c nhân Yêu cầu cần có những giải pháp, công cụ tên tiến hơn đễ bảo vệ thông ti và đỡ liệu trên

“Hạng mấy tính

‘An toin mang cé thé hi là cách bảo vệ ahi dém bio an todn cho tit ed cée thinh phin oda mang bao gm dé li, hết bị,cơ sở hạ tằng mạng và đăm bảo mọi tải nguyên mạng được sử dụng tương ứng với một chỉnh sách hoạt động được n định

‘va với chỉ những người có thậm quyề

Án toân mạng thường bao

tm: Xác định chính xác các khả năng, ngưy cơ xâm nhập mạng, các sự cổ rồi ro đối với thiết bị, đỡ liệu tiên mạng đễ có các giải phập phi hop dim bảo an toần mạng

- Các kiểu vỉ phạm an toàn mạng

Các lỗ bỗng về an toàn và bão mật của hệ thống là những tỉnh hung có khả năng

gây mất mát và tốn hại hệ thống Có 4 hiểm họa đối với an toàn hệ thống là: Sự phá

hoại, sự sửa đỗi sự can thiệp và sự giả mạo

+ Sự phá hoại: Tải nguyên của hệ thống sẽ bị mất đi, không ở trạng thấi sẵn sàng hoặc không thể sử đọng được Cổ ý phá hoại các thiết bị phin công, xóa bổ file đỡ liệo, chương trình hoặc lim sai chúc năng quản lý của hệđiễu hành để nổ không thể tim ra được file cụ thể trên đĩa

trình không hoạt động đồng với chức năng được thiết kể, thay đổi dỡ liệu đang truyền qua phương tiện điện tử

~> Sự giả mạo: Giả mạo những đổi trợng hợp pháp trong hệ hẳng, đưa ra giao dịch giả vào mạng truyền thông, thêm dỡ liệ vào cơ sở đỡ liệu hiện có

- Các mục tiêu an toần mạng

im bảo an toần mạng là nhằm mục đích đảm bảo cho tính đóng đấn, độ tin cậy cao nhất cöa thông in được xử l, đồng thời bảo vệ được các hông tin được lưu trữ

trong các cơ sở dữ liệu và thông tin lưu chuyển trên mạng Một hệ thống được xem

là an toàn chỉ có sự kết hợp côa ba đặc tính: Tính bão mật, tính toàn vẹn à tính sẵn săng của tải nguyên mạng và các địch vụ mạng Vấn đề an toàn thông tín cồn thể hiện qua mỗi quan hệ giữa người cử dụng với hệ thống mạng và ti nguyên mạng Các quan hệ nây được đảm bảo bằng các phương thúc xác thc, cấp phép sở dụng và từ chốt phục vụ [1]

~> Tính bí mật: Thông tin phải đảm báo ính bí mật và được s đụng đồng đối

tượng

~ Tinh toan ven: Thong tin phi dim bảo đầy đổ, nguyên vẹn về cấu trúc

~ Tinh sin sing: Thing tin phải uôn săn sảng đã ip cận, phục vụ theo đồng mục đích và đồng cách

~> Tính chính sắc: Thông tín phải c độ chính xác và in cây

~> Tính không khước tờ: Thông tửn có thể kiểm chứng được nguẫn gốc hoặc

người đưa tin

Lễ hỗng bảo mật là những lỗi phần mềm, lỗi trong đặc điểm kỹ thuật và tiết ke

những đa số là ỗi trong lập tình Cấu trúc phần mềm được thiết kế bởi con người,

vã những đồng codetrong đó cũng được viết bối con người, vì vậy iệc xuất hiện tối

là không thể tránh khối Đây là nhồng lỗ hồng nằm ö mình trong ệ thống phẫn mềm,

đợi đến khi bị phát hiện Khi đó, chúng có thể được đùng để tấn công vào hệ thống 'Các lỗ hỗng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ

của địch vụ, thêm quyền đối với người sở dụng hoặc cho phép các truy nhập không

hợp pháp vào hệ thống Các lỗ hỗng cũng có thể nằm ở các dịch vụ cung cấp như

sendmail, web, âp Ngoài ra các lễ hỗng côn tin tai ngay chính tại hệ điều hành

sh trong Windows, UNIX; hode trong các ứng đụng mà người sử dụng thương xuyên sở dụng [1]

Thân loi ỗ bỗng bảo mật

hồng loại C: Các lễ hồng loại này cho phép thục hiện cấc phương thúc tấn công theo Dos Mức độ nguy hiểm thấp, chỉ ảnh hướng tối chất lượng địch vụ, cổ thể làm ngưng tr, gián đoạn hệ thẳng Không làm phá hồng dỡ iệu hoặc đạt được quyền truy nhập bắt hợp pháp

- Lễ hỗng loại B: Các lỗ hồng cho phép người sở dụng cô thêm các quyền tiên

"hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình:

Những

ày thường cổ trong các ứng dụng trên hệ thống, có thể dẫn đến mắt

"hoặc lộ thông tin yêu cầu bảo mật,

hồng loại À: Các

nhập vào hệ thống bất hợp pháp Lễ hồng rất nguy hiểm, có thể làm phá hủy toàn bộ

hệ thống Các lỗ hỗ

dng này cho phép người sử dụng ở ngoài có thể truy

loại này thường xuất hiện ở những hệ thống quân trị yếu kếm

hoặc không kiểm soát được cấu hình mạng

1.1.4 Các kiểu tấn công mạng phổ biến

- Tấn công thấm đồ

Kiễu tấn công thăm dò là việc thu thập dỡ liêu trái phép về tài nguyên, các lễ hồng

hoặc dich vụ của hệ thống Việc thăm đồ được thấm dồ theo các bước thấm đồ thự động (hu thập các thông tin được công kha) và thấm dò chủ động(sử đọng các công

eu đề tìm kiếm thông tin trên mấy tính da nạn nhân), Thâm đồ nô cũng là một giai

đoạn tấn công, tong giai đoạn này mục đích của người tấn công à thu thập mọi thông tin của hệ thống, tìm kiếm các lễ hỗng đŠ học hiện các giai đoạn tẫn công tiếp theo

định dạng không bảo đảm an toàn, cho phép kẻ tắn công có thể can thiệp vào dỡ liệu

trên mạng như nghe lên, chính sửa nội dung thông tin Nếu khi

mã hóa mạnh mẽ dựa trên mật mã, dữ liệu trên mạng có thê bị đọc bối những kế có

quyền hay đơn giản chỉ là truy cập vào hệ thống

~ Tin công truy cập hệ thống: Người tn công thường tìm kiém quyền truy cập đến một thiếtbị bằng cách chạy một đoạn mã, bằng những công cụ hổ tợ (Hactinz teoD) hoặc là khai thác một điểm y

mấy chủ

~ Tấn công truy cập thao túng đỡ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm

nhập đọc, viết xóa, sao chép hay thay đối dỡ liệu

của ứng dụng bay một địch vụ đang chạy trên,

-~Tắn công truy cập nâng cao đặc quyên: Nẵng cao đặc quyên là một dang tin công phổ biển Bằng cách nâng cao đặc quyên, kẻ xâm nhập cổ thễ trưy cập vào các files hay folder df gw ma tài khoản người sở dụng ban đầu không được cho phép truy cập, Khi kế xâm nhập đạt được múc độ quyền truy cập đö cao, họ cổ th cải đặt

Tay theo phương thức thực hiện mà mã nô được biết đưới nhiề tên gọi khác nhau

‘Moc dich I lợi đọng sự yêu kêm của giao thie TCP (Transmision control protocol)

đã thực hiện tấn công trợ chốt địch vụ Dos (Denial of Service), mdi hon là tấn công

tờ chối địch vụ phân tấn Ddos, mới nhất là công tờ chối dịch vụ theo phương php phn xa Dros

+ Tắn công từ chối dich vv 05 điễn

Tắn công tờ chối địch vụ cổ điễn DoS là một phương pháp tấn công tờ chối dich

vw xuất hiện đầu tiên với các kiễu tấn công aby Smurf Attack, Tear Drop, SYN

“Attack Các kiểu tấn công này thường được áp dung đối với đối tượng tấn công là

hệ thống mấy chủ bảo mật kém, băng thông (bandwidth) yéu,thim chỉ trong nhiềm trường hợp, đối trợng tin tặc có thể sở dụng đường troy

có thể thực hiện thành công các kiể tấn cí

đồ trong g6i đỡ liệu được chuyên đi Khi các mảnh này đến hệ thẳng đích, hệ thống đích sẽ đợa vào gi tri ofet đŠ sắp xếp các mảnh li với nhau theo thứ ty đồng như

"ban đầu Lợi đọng sơ hở đ, ta chỉ cần gối đến hi thing dich một loạt gôi pactet với

gi trí oEet chẳng chéo lên nhau, Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngồng hoạt động nếu số lượng gối packets với giá trị oiBet chẳng chéo lên nhan quá lớn

SYN Attack: Trong SYN Adack, hacter sẽ gỗi đến hệ thống đích một loạt SYN packets với địa chỉ p nguẫn không có thực Hệ thẳng đích khi nhận được các SYN, packets này sẽ gỗi trổ lại các địa chỉ không có thục đó và chờ đợi để nhận thông tin phn hii trode dia chi ip gi Vi day là các địa chỉ P không cổ thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích va con da cc “request” cho doi này vào bộ nhớ, gây lãng phí một lượng đăng kễ bộ nhớ trên mấy chủ mà đồng ra là phải đồng vào việc khác thay cho phải chờ đợi thông tin phẫn hồi không có thc này Nêu ta gởi cùng một lốc

broadcast cba mang kiuéch dai Dido dic biệ là các gỗ tin TCMP packefs này cổ dia chỉ ip nguồn chính là địa chỉ TP của nạn nhân Khi các packets đồ đến được địa chỉ broadcast céa mang khuếch đại, các mấy tính trong mạng khuếch đại sẽ trồng rằng say tinh nạn nhân đã gởi ối tin ICMP pactets đến và chúng sẽ đẳng loạt ối tr lại

hệ thống nạn nhân các géi tin phẫn hỏi ICMP packets Hé théng may nan ahin sé không chịu nỗi một khối lượng khổng lỗ các gối tín nây và nhanh chống bi aging hoạt động, crash hoặc reboot

'UDP Elooding: Cách tấn công UDP doi hỏi phải cổ 2 hệ thống mấy công tham: gia Hackers sé lam cho hi thống của mình đi vào một vòng lặp trao đối các đỡ liệu qua giao thúc UDP Và giả mạo địa chỉ TP của các gói tin la dia chi loopback (427.011), tồi gối gôi tin này đến hệ thống của nạn nhân trên cổng UDP echo (7) THệ thống của nạn nhân sẽ trả lời ại các messages đo 127.00.1 (chính nd) gi dé, kết quả là nó sẽ đi vòng một vòng lặp vô tận Tuy nhiền, cô nhiễu bệ thẳng không che đồng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ TP của một máy tính cào 46 trên mạng nạn nhân và tiễn bành ngập lụt ƯDP trên hệ thống của nạn nhân,

Tấn công DNS: Hacker có thê đổi một lối vào trên Domain Name Server của hệ

thống nạn nhân rồ cho chỉ đến một website nào đó cba hacker Khi máy khách yêu cầu DNS phan tích địa chỉ ị xâm nhập thành địa chỉ IP, lip tie DNS (43 bi hacker thay đỗi cache tạm thời sẽ đối thành đị chỉ TP mà hacker đã cho chỉ đến đó Kắt quả

ta thay vi phi vio trang Web muda vio thì các nạn nhân sẽ vio trang Web do chinh hacker tạo ra Một cách tấn công tờ chỗi dịch vụ thật hữu hiệu

~ Tắn công từ chối dịch vụ phân tần DDos

Tắn công tờ chối dịch vụ phân tán DDoS, so vớitẫn công DoŠ cổ điễn, sức mạnh

tây nghễn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống ĐỂ

tính mạng máy tính trung gian được gọi là betnet từ nhiều nơi để đông loạt gi ảo at

lượng tấ lớn nhằm chiến dụng tải nguyên và làm trăn ngập đường

cổa một mục tiêu xác định nào đồ

+ Tắn công từ chốt dịch vụ phân xạ nhiều vồng DRDoS:

Tắn công từ chỗi địch vụ phân xạ nhiễu vũng DRDoS lại là kiễu tấn công mới nhất, mạnh nhất trong các kiễo tấn công DoS Trong suốt quá trình mấy chủ bị tấn

công bằng DRDoS, không một máy khách nào có thể kết nối được vào máy chủ đó

Tất cả các dịch vụ chạy trên nên TCPTP như DNS, HTTP, FTP, POP3 đu bị võ hiệu hỏa VỀ cơ bản, DRDoS là sự phối hợp giữa bai iễu DoS và DDoS, Nồ có kiểu

tin 1g SYN với một máy tính đơn, vờa có sự kết hợp giữa nhiều máy tính đễ chiếm,

dụng bãi thông như kiểu DDoS Kế tấn công thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gỗi yêu cầu SYN đến các máy chủ lớn như Yahoo, Microsoft, Google đễ các máy chi nãy gửi các gói tin SYN/ACK dn may chi mye tiêu, Quá trình cf lp Iai liên tục với nhiều máy chủ lớn tham gia nên mấy chủ mye tiêu nhanh chống bị qua td, bing théng (bandwitch) bi chiém dung bởi mấy chủ lớn, dẫn đến máy chủ mục iêu không thể hoạt động bình thường

= Gia mao (Spoofing)

Tu hết các mạng và hệ điều hành sử dụng địa chỉ 1P để xác nhận một đối tượng

1à hợp lệ Trong một số trường hợp, một địa chỉ IP có thể bị gia mao, ké tin công

công cổ thê sở dung những chương trình đặc biệt để xây đựng các gối tin IP có về

hư xuất phát từ những địa chỉ hợp lệ thuộc mạng nội bộ của một công ty Sau khi

đoạt được quyền truy cập vào mạng bằng TP hợp lệ, kẻ tấn công có thể thực hiện các

đỗ xắu như sửa đốt, định tuyển lại hay xố dỡ liệu hệ thống

`Mô hình tấn công phần tân sở đọng quan hệ “nhiều đến một" và “nhiều đến nhiều” Tắn công hân tân dựa trên các cuộc tấn công cỗ điễn thuộc nhốm từ chối dịch vụ, chính xác hơn là dựa trên các cuộc tấn công như Flood hay Stomm (Những

thuật ngữ trên có thể hiểu tương tự như “bão”, “Lõ lụt" hay “Thác trần”),

sẽ đồ tìm những thông tin vé 15 bỗng báo mật của hệ thống dựa trên những thông tin

đã thu thập được, phân tích điểm yêu của hệ thống mạng, sở dụng các công cụ h trợ

đồ quết, tìm lỗi trên hệ thống đó

“Lựa chọn mô hình

tệ thống mang, người tấn công sẽ sử dụng các mô bình phù hợp, lựa chọn một công

co hoặc ty xây dụng một công cụ để tấn công vào hệ thốn;

-> Thực hiện tắn công: Sởa đọng các công cụ hỗ trợ, áp đụng mô hình tắn công

đã lựa chọn và các lễ bỗng hệ thống tiễn hành tắn công vào hệ thống, Sau khi đã tấn công thành công khai thắc được lễ hồng của hệ thẳng Người tẫn công sẽ thc hiện iệc duy tỉ với mục đích khai thác và tẫn công trong twong lai gần Người tấn công

có thể sở dụng những thuật như mở của sau (backdoor) hoặc cải đặt một trojan d nhằm mục đích duy tri sợ xâm nhập của mình Việc duy tỉ và làm chỗ một hệ thống tạo cho kế tấn công có đủ những điều kiện để khai thc, phục vụ những nhu cầu về thông tin Ngoài ra hệ thổ got te thinh nan ahin cba méthé théng botnet duge sir dung trong céc cuge tin cdng khác

`Ví dụ như tấn công tờ chối dịch vụ đến một hệ thống khác

~> Xóa đấu vất Khi đã tắn công thành công một hệ thống, người tấn công sẽ

"rong mạng thay đổi khác với lúc bình thường rất nhiễu, đồng thôi tài nợ

"Những đấu hiệu này rất có ích cho người quân trị mạng có thể phân tích và đánh,

ccông đều tiến hành,

gi nh bình hoạt động của hệ thống mạng Hẳu hết các cuộc

twin tự như các buớc đã nêu trên Lâm sao để biết hệ thống mạng đang bị tin công,

âm nhập nợ

1.16, Mật số đấu hiệu phát hiện hệ thống bị tấn công từ bai bước đầu tiên là hết sức quan trọng

- Kiểm tra các dẫu hiệu hệ thống bị tấn công: HỆ thống thường bịtreo hoặc thường

"uyên xuất hiện những thông báo lỗi không rỡ ràng Khổ xác định nguyên nhân đo thi thông tin liên quan Truớc tiền xác định các nguyên nhân có phải do phần cổng

‘hay không, nếu không phải rất có thể hệ thống đã bị tấn công [1]

- Kiểm tra tải khoản người đồng mới tiên hệ thống: Một số tài khoản lạ, nhất là

TD cổa ti khoản 46 bing 0

- Kiểm tra sự xuất hiện các tập in lạ Thông thường phất hiện sợ xuất hiện các

‘ip tn a thong qua cách đặt tên các tập in, Người quân trị hệ thống cần cổ thối quen dit tén cic tip tin theo quy luật nhất định để dễ đang kiểm soát và phát hiện các tập tints,

- Kim tra thời gian thay đổi trên hệ thẳng, đặc biệt là các chương trình login

- Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo đối tài nguyên và

các tiễn trình đang hoạt động trên hệ thống

- Kiểm tra hoạt động của các dịch vụ mả hệ thống cung cấp: Một trong cấc mục

đích tấn công là làm cho tê liệt hệ thống, hình thức tấn công Dos Sử đụng các tiện

ich vé mạng đŠ phát hiện nguyên nhân trên hệ thống

- Kiểm tra truy cập hệ thống bằng các ải khoản thông thường, đề phòng trường hợp các ti khoản này bị tray cập trãi phép và thay đổi quyền truy cập mã người sở dạng hợp phập không kiểm soát được

- Kiểm tra các tập tin có liên quan đến cầu hình mạng và dịch vụ Nên loi bộ các dịch vụ không cần thiết, Nếu kh

zoot, không nên chạy bi

Các biện pháp này kết hợp với nhau tạo nên một chính sich vé bảo mật đổi với

Do sự nguy hiển vả tốn thất đến từ các cuộc tấn công mạng ngày c

dựng một hệ thống phất hiện xâm nhập (DS) đễ phát hiện các dẫu hiện trtthường, cảnh báo khi có iễu hiện bất thường và giảm sắt các hoạt động ra vào hệ

thống để phân tích và ngăn chặn kp thời

Intrusion Detection Systems (IDS) o6 thé la mt thiết bị phần cổng (các thiết bị hit hign xim nhip cba Cisco (Cisco IDSM-2 hofc Cisco IPS 4200 Series Sensors) hoặc cũng cổ thé la mét img dung phin mém giúp giảm sất mấy tính, hệ thống mạng

trước các hành động đe dọa đến hệ thống hoặc vỉ phạm chính sách an ninh và báo cáo

lại cho người quản tị hệ thống Một hệ thống phát hiện xâm nhập cải đặt trên hệ thống mạng giếng như một hệ thống cảnh bảo chẳng trộm trong một ngỗi nhà

‘Vé céu tric thi NIDS thnring bao gém một tip hợp các cảm biển (sensors) được đặt ở các điểm khác nhau trong hệ thẳng mạng Các cảm biển này sẽ thục hiện giảm tất lươ lượng mạng, thc hiện phân tích cục bộ lưu lượng mạng đó và báo cáo

‘v8 cho trung tim quan If (Center Management Console),

SoS bbe”

Hh 13: Mb hinh miễn khai hệ thng NIDS Mét a5 NDS: Snort, Surcata, cdc IDS cia Cisco, Juniper

Vu diém cña NIDS:

- Quan i duge cé mét network segment (gdm nhiéu host) Chi phi thip vi od thé giảm tất cả một hệ thống mạng lớn với chỉ vài thiết bị (mạng được thiết kể tố,

- Phất hiện và đối phô kịp thời: NIDS phát hiện các cuộc tắn công ngay kh xây

1, vi thế việc cảnh bão và đổi phô có thể thực hiện được nhanh hon VD: một hacter

thực hiện tấn công DoS dựa trên TCP có thé bị NIDS phát hiện và ngăn chặn ngay

"bằng việc gửi yêu cầu TCP reset nhằm chấm đứt cuộc tấn công trược khí nó xâm nhập

và phá vỡ mấy bị hại

- Cổ tính độc lập với OS (Operating System)

- Phấthiện được các cuộc tấn eSng ma HIDS bỗ qua: Khác với HIDS, NIDS kiểm tra header của tất cả các gối tin vì thế nổ không bỏ sốt các dẫu hiệu xuất phát tờ đầy

`Ví đp nhiều cuộc tấn công DoS, TeatDrop (phân nhỏ) chỉ được phát hiện khi xem:

header của cc gối ti lưu chuyền trên mạng

Nhuge điễm của NIDS:

- NIDS cổ thể gặp khô khẩn trong việc xử ý ắt cả các ồi in trên một mạng cố kích thước lớn và mật độlơo thông cao Điều này dẫn đến NIDS cổ thể sẽ không thé phát hiện ra một cuộc ấn công khi mang dang 6 trang thai over-whelming (qua ti

- Bị hạn chế bởi switch Trén cée mang chuyén mach hiện đại, các smtch được

sử đọng nhiều để chía mạng lớn thành các segment ahd để dễ quản tý Vĩ thể dẫn đến

'NIDS không thể thu thập được thông tin trong toàn hệ thống mạng Do chỉ kiểm tra

trén segment ma no két ndi tc tp nén nỗ không thể phát hiện tắn công trên một

segment khéc Vn nay din dén xiệc tổ chức phải mua một số lượng lớn cm biển nếu muốn bao phủ toàn hệ thống mạng của họ, âm tăng chỉ phí

- NIDS không th phân tích được các thông tin đã bị mã hóa (SSL, SSH.)

- Một số hệ thống NIDS cổ thể gặp khô khăn với dang tin công phân mảnh gói

dy lige (fragmenting packets)

~NIDS không thể phân biệt được một cuộc tắn công thành công hay thất bại Nồ chỉ cổ thể phân biệt được có một cuộc tẫn công đã được khởi xướng Điều này nghĩa

là để biết được cuộc tấn công đồ thành công hay

các mấy chủ và xác định nổ cổbị xâm nhập bay không

và phấthiện các cuộc tấn công nấu có Bằng cách này HIDS có thể theo đối được tắt

cả các hoạt động trên hoat đồ như tập in og và những lưu lượng mạng ra vào hoat

đồ Ngoài ra nỗ còn theo đõi hệ điều hành, lịch sở số sách, các thông điệp báo lỗi của mấy chủ

Thông phải hẳu hết các cuộc tấn công

phải lóc nào NIDS công có thể phát hiện được cuộc tấn công trên mét host Vi dy, ké

thông qua hệ thống mạng, nên không

tấn công có quyền phyaical access, từ đó có thể xâm nhập vào host đó mã không cần

tạo ra bất cứ nehrork traffic nao,

Mét wa diém cia HIDS so với NIDS đồ là nó có thễ ngăn chặn các cuộc tấn công phn minh Fragmentation Attacks) Béi vậy nên EIDS thường được cải đặt trên các trên cc máy ch xung yÊu của tổ chức, các serrer trong vồng DMZ (đo là mục tiên tấn công chính)

THIDS cũng thường theo đồi những gì thay đổi trên hệ thống như các thuộc tính của hệ thống tập từ, các thuộc tính (kích thước, vị trí, quyên fa tp tn, phất hiện tập tú mới được tạo ra hạy xóa đi

“Hình L4: Mö hùnh lệ Hiỗng HIDS

Mét 5 HIDS: Symantec ESM, OSSEC, Tripwire

Vu diém cña HIDS:

- Xắc định được kết qua céa cuge tin céng: Do HIDS sử đọng đỡ liệu og lưu các

sự kiện xây ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độ

chính xắc cao hơn NIDS Vi thé, HIDS cổ thể bỗ sung thông ta tếp theo khi cuộc tấn công được sốm phát hiện với NIDS

- Gim sắt được các hoạt động cụ thể của hệ thẳng: EIDS cổ thể giám sắt cấc hoạt động mà NIDS không thể nhơ: truy nhập đe, thay đỗi quyền, các hành động

nhiễu thông tỉa ch it và chính xác hơn một hệ NIDS

Không bị nh hướng bởi các thiết bị chuyển mạch (site)

Nhuge điễm của HIDS:

~ Thông tin ừ HIDS là không đáng tin cậy ngay khi sự tẫn cdg vio host nay thành công

- HIDS không thể phát hiện việc quết mang (network scan bing amap) do chi

giám sất trên host mã nó được cải đặt

- Cổ thể bị vô hiệu hóa bởi tấn công tờ chỗi địch vụ (DoS)

- Chiếm tài nguyên hệ thống: Do cải đặt trên máy cần bảo vệ nên nó sẽ sử đọng

tài nguyên của hệ thống như RAM, CPU, Hard Disk dẫn đến có thể làm giảm hiệu

suất của việ giám sit

- HIDS sẽ không hoạt động khi hệ điều hành cöa host đô lỗi hoặc không hoạt động

124 Hệ

\g ngăn chặn xâm nhập IPS

Hệ thống ngăn ngữa xâm: nhập nhằm mục đích bảo vệ tôi nguyên, đỡ liệu và

‘mang Chiing sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bổ lưu lượng

‘mang bit hop php, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục

PS ngăn chặn các cuộc tấn công đưới những dạng sau:

- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mang

vã ứng dụng cá nhằn, qua việc sở đụng các nguyên tắc xác định và danh sách kiêm soất truy nhập

- Các tấn công từ chối địch vụ như “lụt” các gỗi tin SYN và ICMP bởi việc đồng các thuật toán đựa tiên cơ sở “ngưỡng”

- Sự lạm dụng các ứng dung và giao thức qua việc sở dụng những qui tắc giao

thức ứng dung va chữ kí

- Những tẫn công qua tai hay lam dung ing đụng bằng việc sử dụng giới hạn tài

"nguyên đựa trên cơ sở ngưỡng,

Céc sin phẩm IPS không thể nhận biết được trạng thãi tằng ứng đụng (chỉ cổ thể

“hận biết được các đồng thông tin trên tằng mang) Do vậy các cuộc tấn c

tổng ứng đụng sẽ không bị phát hiện và ngăn chặn

143 HỆ thống giảm sắt an ninh mang

trên

1.1 Giới thiệu hệ thống giấm sát an ninh mang

Giám sất an ninh mạng à iệc th thập các thông tin trên các thành phần của hệ thống, phân ích các thông tia, đấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho

"người quân tr hệ thống thống giảm sất an ninh mạng được triển khai tại các hệ

thống mạng cổ độ nhây cảm cao hoặc có các thông tin cần báo mật, hoặc,

đơn giãn chỉlã để theo dõi các diễn biển của mạng [S] 1g 06 thé

1.32 Mé hinh gidm sit an ninh mang

\VEmmé hinh gidm sét an ninh mang đượctriễn khai cổ bai dạng chỉnh: Dạng phân tân và đạng hoạt động độc lập

- Dạng phân tân: Là mô bình mà trong đỏ cổ hệ thống xổ lý được đặt ở trung tâm,

và mọi hoạt động của hệ thống nhơ: Các sợ iện, luỗng dỡ iệu, sẽ được xử lý ti trang tim sau 6õ được hiển th lên giao diện Y/sbsite Đối với mô hình này thường đồi hồi một sự đầu tr quy mô cả về thiết bị lẫn con người để vận hành hệ thống này

Hinks 1.3: M6 hinh giảm sắt an nành mang đạng phân tâm

- Dạng hoạt động độc lập: Đây là mô bình mã hệ thống được xây dựng riêng lễ che các đơn vỉ, và không liền quan tới nhau, cô nghĩa là bệ thẳng hoạt động độc lập Các nhật ý: hệ thống và luồng dỡ liệu được trợc tip tho thập tại mạng con, sau đồ đẫy về thấết bị giám sắt an nính mang và tại đầy luỗng dỡ liệu sẽ được xử lý Tuy hiền, mô hình này phố hợp cho các ngân hàng và đơn vị ahd và yêu cầu về đầu tơ

và lực lượng con người không cao [S]

1.34 Các công nghệ giám sát an ninh mang

- Công nghệ NMS (Network Monitoring Solution) la cing nghé tip trang vio cấc giải pháp quân lý hiệu xuất mạng, gidm sit mang, giám sắt tinh trang gối tia, thời gian đáp ứng và ố iệu hiệu xuất côa các thiết bị nh router, switch, cde may cht

`NMS phântích băng thông tiề thy bồi người sử đọng vã các ứng đụng thông qua

‘NetFlow, Sflow, jFlow, FTX và đưa ra biểu đổ

Tho thập, phân tích các bản ghỉ từ trồng lửa

Quin if cdc dia chi IP sẽ cắp vã đã được cấp Theo đối các cổng minh vã cấc thiết bị kế nối với no trong thời gian thực

(Quan tr qua giao điện web va Thiết lập các ngưỡng với nhiều cấp để đưa ra cảnh

“nh 17: Giao diện web của một phần mầm NMS

`NMS tối đa hỏa độ sẵn sảng cho bệ thống bằng cách giảm sắt tất cả các thiết bị hoạt động trong hệ thống mạng, bao gằm,

dạng Khi cô sự cổ, NMS sẽ tự động cảnh báo đỄ nhà quân tr có giải phập kịp thời Mệt số sản phẩm NMS của các hà cung cấp bàng đầu th giớicòn cổ khả năng khuyến

"ghi, hướng dẫn các bước cho nhà quản tị khắc phục sự cổ Giải pháp do hệ thống đơa

a có thễ không chính xác 1009 vìchỉ là tập bợp kinh nghiệm của các chuyên gia hing

áy chủ, máy trạm, thiết bị mạng và các ứng

vi các sự kiện an toân mạng của ổ chúc Kết quả phân tích này cổ thể được dòng để phát hiện ra các cuộ tấn công mà không thể phát hiện được theo phương pháp thông

thường Một số sản phẩm SIEM còn có khả

chúng phát hiện được

“Sân phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này

hấm đn cáctỔ chúc lớn với khả năng và đội ngõ phân tích an ninh chuyên biệt SIEMI đang dẫn trở nên nỗi bật, phồ hợp cả với nhu cầu của các tổ chức vừa và nhỗ, Kiến trốc SIEM ngày nay bao gằm phẩm mềm SIEM cải đặt trên một mấy chỗ cục bộ, một phẫn cổng cục bộ hoặc một thiết bị áo dành riêng cho SIEM

1g ngăn chặn các cuộc tấn công ma

(CHUONG 2 PHAT HIEN TAN CONG MANG VOI CONG NGHE SIEM

21 Giới thiệu về công nghé Siem

là ắt mật mỗi để hoàn thành các bão cáo về tỉnh trạng an nnh của hệ thống Một số giải phâp trước khi công nghệ Siem r đời

- Giải pháp quản lý an ninh thông in Secorit information management (SIM) SIM là giải pháp công nghệ đầu tiên trong các giải phấp giám sắt an ninh mạng

‘Ban div giải pháp SIM chỉ cô khả năng lưu rổ các hật Lý sự iện an ninh cho các hệ thống mạng (đầy công l một trong các chức nãng chính của giải pháp giám sắt an ninh hiện nay) Hạn chế côa giải pháp này là không cô khả năng phân tích các sợ kiện an ninh mà chỉ thực hiện việ lưu tỡ chúng Các nhất ký này chỗ yếu là từ: Hệ

máy chủ, các ứng đụng, thiết bị nehvork và từ các thiết bị chuyên về Security Các

thành phần chính của SIM bao gém: Thành phần thu thập nhật ký, thành phần lơ trổ

- Giải pháp quản lý các sự kiện an ninh - Security event management (SEM) SEM thục hiện việc xử ý log và các sự kiện an ninh từ các thiết bị gỗi về bao

gm: Céc tiét bi mang (network devices), cde may chi (Server), các ứng dụng theo

thời gian thực nhằm thực việc việc theo d3i céc sự kiện an ninh xây ra trong hệ thống

phân tích tỉnh trong quan và thục hiện các hành động nhằm đảm bão an toàn cho hệ thống Các thành phần chính của hệ thống bao gum: Thành phần tho thập nhật ký thành phần phân ích nhật ký Ngoài ra còn cổ các thành phẫn khác như: thành phần

2

LAMS là một hệ thống thu thập và lưu trở tập tin đăng nhập (tử hệ điều hành, ứng đụng, v) Thông tin tập trung được thu thập từ nhiều nguẫn, Người quân trị thay

vi phải kiểm tra từng hệ thống riêng lẽ thì quân tr tập trong tại một điểm duy nhất

- Tương quan sy kién an nih - Security Event Correlation (SEC)

SEC là giải pháp tương quan các sự kiện an ninh thu thập được theo các quy tắc

đã cài đặt nhằm tăng hoặc giảm mức cảnh báo đối với một sự kiện an ninh

- Giải pháp quân ý thông tin va sự kiện an ninh - Secorityinlommation and event management (SIEM)

Giai php quản lý thông tin va sy kiện an nh là một giải phập bão mật an nh cong cấp cái nhì tổng thể về hệ thẳng công nghệ thông in của một tổ chức SIEM

là sự kết hợp của các giải phấp nê trên

Log tờ các thiết bị tạo ra ngày cà nhiều (C6 thể bàng trăm triệu bản ghỉ log

trong một ngày) thì các quản trị viên hay các công cụ trước đổ khô có thể phân tích

“một cách nhanh chồng, chính xác được SIEM cuns cấp iệc ích hợp dỡ liệu quấn lý Ấie log tờ nhiễo nguễn, bao gém cả mạng, mấy chủ, cơ số dỡ liệu, ứng đọng, cung cấp khả năng hợp nhất đỡ liệu đ tránh mắt các sự iện quan trong [9]

Giải pháp Quân lý và phân tích sự kiện an toàn thông tin là giải pháp toần điện và

"hoàn chỉnh, cho ph các cơ quan, tổ chức thực hiện việc giám sất các sự kiện an toần thông tin cho một hệ thống

"Nguyên lý cơ bản của SIEM là thu các đỡ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhan ở các vị trí khác nhau trong hệ thống và chúng ta cổ thé d ding

"phân tích, theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng

và theo đối các dẫu hiệu bất thường [9]

SIEM the thip Log va céc tai iệ tiên quan đến an ninh khác để phân tích, tương quan liên kết SIEM lâm việc tho thập Log và cấc sự kiện an ninh thông qua cấc LAgent Từ người đồng đầu coỗi, các mấy chủ, các thiết bị mạng và thậm chỉ là các thiết bị an ninh chuyên nghiệp như Firevall, AntiVirus hode các hệ thống phòng chếng xâm nhập Các thiết bị thu thập thông tia chuyễn tiếp thông ta tối trung tâm, nhằm chuẩn hóa, quân lý tập trong, phân ích, trơng quan các sự kiện an ninh Tiếp sau 66 c6 thi xắc định các ự kiện bất thường và thông báo tới quân trị viên

SIEM được sở đụng nhằm theo đồi, ắc định, quản lý hệ thống tải sân và ứng phố

di dich vw (DoS), tis

công cổ chủÿ,tấn công mã độc hại và phát tân vius SIEM công có thể xắc định mà với các sự cổ an ninh Một s cự kiện an ninh như tấn công từ

không dễ phát hiện bằng các hiết bị khác Nhiều sợ kiện khô phát hiện hoặc bị che

khuất bởi hàng ngàn các cự kiện an nh khác trong mỗi giây Bên cạnh đô SIEM cô

thể phát hiện những sự kiện an ninh khó phát hiện hơn như các hành vi vỉ phạm chính

sách, cổ gắng truy cập trái phép và phương thức tắn công của nhồng kể tẫn công cố trình độ cao xâm nhập vào hệ thổ

Một mục tiên quan trọng cho các nhà phân tích an ninh st dong SIEM là giảm số lượng cảnh báo giả Hệ thống an ninh được cho là kêm, chẳng bạn như hệ thống phát hiện xâm nhập (DS) thường cô những cảnh báo về nhiều sự kiện giả Nhiều cảnh báo này g lăng phí thời gian, công sức của các nhà phân tích an nảnh và thường tập trung chú Ý vào các cảnh báo đó Điều đó làm cho các nhà phần tích lại bỗ qua các cảnh báo quan trọng hơn Với hệ thí g SIEM, việc giảm các cảnh báo giả được thực hiện một cách cần thận bởi các bộ lọc và các quy tắc trơng quan liên kết giữa các thông in sự kiện an ninh với nhau Điều đó xác định và cảnh báo chính xác khỉ

có sự kiện an ninh bất chấp số lượng lớn những sợ kiện an ninh

SIEM cong cấp các địch vụ sau:

- Quân ý nhật ký sự kiện an ninh (Log management)

- Tuân thổ các quy định về CNTT (TT repvlatory complianc2)

- Tương quan liên kit ede sy kién an nin (Event corelation)

- Cung cép cdc host Bug ing phd (Active response)

- Đăm bảo an nh thiết bị đầu coỗi Endpoint security)

3.11 Quân lý nhật ký sự kiện an nình

SIEM quân lý Log tờ các thiết bị trong hệ thống Bắt đầu với việc cấu hình các itrí quan trọng trong hệ thống dé gti các ự kiện an nỉnh vào một cơ số đỡ liệ tập

trung, SIEM sẽ chuẩn hóa các Log nay về một định dang duy nhất để phân tích, trong

quan liên kết Sau đồ, SIEM lưu rỡ các file Log, tổ chức, tìm kiểm và các địch vụ khác đễ đáp ứng như cầu quân lý mà các tỔ chức yêu cầu Phin quan Ij dỡ liệu này cng sở đụng để phân tích về thời gian thực, tỉnh trăng khai hắc dỡ liệu và an ninh

của toàn bộ hệ thống,

tra và xác thực việc tuân thi cia ho hoặc để xác định hành vi vỉ phạm các ý

tuân thủ đã đặt ra của tổ chức Các luật đó được đối chiếu với log được đưa vào hệ

thống, Có thể giảm sất số lần thay đổi mặt khẩu, xắc định hệ điều hành hoặc các bẫn

á lỗi ứng đụng, kiểm tra chống virus, phần mềm giấn điệp và cập nhật Chúng ta cổ

thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc

trân th các quy định đã đi

quy tắc được thiết kể đặc biệt đã đáp ứng các y

khác nhau mã các doanh nghiệp cần phải tân thủ Chỗ

bối các nhà cung cấp một cảch miễn phí hoặc mắt một khoản chi phi

ta Nhiễo nhà cong cấp SIEM có các tập đông gối sẵn các

cầu về hấp kật và các quy định

1g được đồng gối và cùng cấp,

2.1.3 Tương quan liên kết các sự kiện an ninh

Sự tương quan liên kết giữa các sự kiện an ảnh mang đem lại thông bảo ốt hơn

co hệ thống Chồng ta không chỉ qua một sự kiện doy nhất đễ quyết định cách ống

phô hay không ứng phô với nó Với tương quan liên kết giỏa các sự kiện an ninh, chúng ta xem xét điều kiện khác nhau trước khi kích hoạt báo động Vĩ dụ, một máy chủ có CPU sở dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau Nó

có thể do một vấn đề xây ra hoặc có thể không Cũng có thé là một dấu hiệu cho thấy,

tệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều địch vụ hoặc các

‘img dụng cần được chia sẽ trên các máy chủ khác Vã cũng cổ thể là mấy chủ đạt đến thết công suất do bị tấn công tử chỗi dich vu (DoS) vào hệ thống Hoặc nỗ có th lã

"gồng trệ tạm thời một cách ty nhiên của mấy chỗ,

“Các công cụ tương quan trên một SIEM có thể kiểm tra va xem xết (trơng quan) các sự kiện khác không phai liên quan đến việc sử dụng CPU Có thé cung cấp một

"bức tranh đầy đỗ hơn về tỉnh trạng của máy chủ để loại giá thuyết về nguyên nhân

cia vin db Vĩ d trong troờng hợp cỡ dụng CPU 100%, IEM có thế được cấu hình

dé xem xết một số nguyên nhân sau đây

- Phần mềm chống vires xắc định cổ phần mềm độc bại trên mấy chủ bay không

2

- Bất kỹ máy chủ nao có CPU sử dụng 100% thi cin xem xét 6 hay không sự

‘én tai cba virus

- Một ứng dụng hoặc nhiều ing dung, dich vv ngồng hoạt động

- Sự gia tăng lưu lượng mạng đo nhu cầu chính đáng của người đùng nhưng vượt qua sự cũng cấp địch vụ của máy chủ

- Sự gia tăng lưu lượng mạng nhưng không do nh cầu chính đáng cia người đồng vượt quá sự cung cấp địch vụ của máy chủ như một cuộc tấn công DoS

Đồ là sự tương quan các sự kiện an ninh Cảnh báo của SIEM giúp chúng ta đưa

a cách ứng phố tũy thuộc vào các điều kiện

3.1.4 Cung cấp các hoạt động ứng phó

Tất cả các thiết bị cong cắp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định

các thông tin đầu tảo đ Chúng ta cổ thể cầu hình các

“vã phân tích mối quan h

"ảnh động và thực hiện các phân ứng úng phố cho tất cã các sự kiện an ninh hoặc cổ thể cấu hình riêng biệt cho tồng loại sự kiện khác nhan

Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bền cạnh đồ nó công có điều bất lợi Nếu chúng ta không cấu bình côn thận và chính xác thì n có thể đưa ra các hành động ứng phố không cần thiết

THầu hết các hệ thống SIEM có thể giám sất an ninh cho các thiết bị đầu coỗi để thông báo sự an toàn của hệ thống, SIEM cong cấp việc quản lý công như đánh giá tải sẵn các thiết bị Bên cạnh là việc đồ quớt lễ hồng và cập nhật các bản vá Nhiều

hệ thống SIEM cổ thể theo dõi các thiết bị như PC, serer, Firewall Mét sé hi théng SIEM thậm chí có thể quản tý an ninh cho thiết bị đầu coối,có sự điều chỉnh và hoàn thiên hơn đối với thiết bị an ninh đỏ trên hệ thống Nhơ cầu hình Firewall, cập nhật

vi theo i Anti-Vims, chéng spyware, chéng spam email

22 Thành phẫn và hoạt động cũa Siem

SIEM bao gằm nhiều phần, mỗi phần làm mét o:

việc riêng biệt, MỖI thành

phần trong hệ thống này có thế hoạt động độc lập với các thành phần khác nhưng nếu tất cả không còng hoạt động một lúc thì chúng ta sẽ không có một hệ thống SIEM

higu qua Tey thuộc vào hệ thống đang sỡ dụng nhưng mdi SIEM sẽ luôn luôn có các

thành phần cơ bản cơ bản được mô tả trong phần này Bằng sự hiểu biết từng phần

của SIEM và cách thức hoạt động, chứng ta có thể quân ý một cách hiệu quả vã khắc

phục sự cổ các vẫn đề khi phát nh

'Việc quan trọng khi thực hiện triển khai SIEM là cần phải hiểu nó làm việc như

thể nào Đối với mỗi nhà cung cấp khác nhau sẽ cổ đổi chút khác nhau nhơng chống đều đợa trên những khái niệm cết lỗ Thành phần cơ bản vẫn là thu thập thông in, hin tic va lu tr Cac bn ghi Log được thu hập tờ các thiết bị khác nhau và chồng

có thể có những định đạng theo tồng loại thiét bi, Ching ta cin thu thập và chuyển

nó về một định dang chung Quá trình này gọi là chuẩn hóa dỡ liệu Sau đó sẽ tiế

hành phân tích tờ các dỡ liệ này vả thực hiện tương quan sự kiện an ninh để đưa tối kết luận có một cuộc tấn công hay không, Các thông in vỀ môi trường mạng và các

“mỗi đe dọa phổ biến rất có ích trong giai đoạn này Việc đơa ra cảnh báo và các báo cáo sẽ được tạo ra như một kết quả cũ việc phân tích Các bản ghỉ Log được lưu trữ trực tp tiên SIEM ít nhất vải giờ đồng hỗ sau đô chuyễn tối noi lươ trổ lâu đài để phục vụ cho quả trình điều tra hoặc sở đụng sau này

221.71

biNguin

“Thành phin div tién của Siem là các thiết bị

Thiết bị nguồn có thể à một thiết bị thực tế trong hệ thống mạng nhơ Reute, Sutch

lâu vào cung cấp dữ liệu cho Siem

"hoặc một số loại máy chủ va cũng có thể là các bản ghỉ loz từ một ứng dụng hoặc chi

là đỡ liệy bắt kỷ Việc biết về những gì mình có trong hệ thống là rất quan trọng trong

việc triển khai SIEM Hiểu rõ những nguồn mà chúng ta muốn lấy các bản ghi log

trong giai đoạn đầu sẽ giáp chúng ta tết kiệm được công súc, số tiền đáng kế vã giảm

sx phic tap trong triển khai

HG điều hành: Microsoft Windows và các biến thé cia Linux va UNIX, AIX,

`Mac OS là nhồng hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hãnh

vê cơ bản công nghệ khác nhau và thực hiện một nhiệm vụ nảo đồ nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạ ra các bản ghi log Cac bản ghỉ

log sé cho thay hé théng của bạn đã làm gỉ: Ai là người đăng nhập, làm những gì trên

29

hệ thống Các bản ghi log được tạo ra bởi một hệ điều hành về hệ théng va ngudi sở đọng hoạt động sẽ ất hữu ích kh tin hành ứng phố sự cổ an nĩnh hoặc chân đoán vấn đề hay chỉ là việc cấu hành sai

Thiết bị:iẫu hết các thiếtbịlã các hộp đen, các quản tr hệ thống không có quyên truy cập trực tiếp vào hệ thẳng để thực hiện một số việc quản lý cơ bản Nhưng cổ

thể quân tý các thiết bị thông qua một giao điện Giao diện này có thé dua trén web,

đồng lệnh hoặc chạy qua một ứng dụng được ải vỀ mấy trạm của quản tr viên Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng bạn

‘nur Microsoft Windows hoie phién ban của Linux, nhưng nó cũng có thể là một hệ

điều hành riềng biệt Ví đụ như một router hoặc mưích Nó phụ thuộc vào nhà cùng cấp, chống ta kh g điều hành cơ bản

vợ bao giờ có thể truy cập trợ tếp vào hệt

của nỗ mã chỉ có thế truy cập vào thông qua đồng lệnh hoặc giao điện web được sử đụng để quân lý Các thiết bị lưu trỡ các bản ghỉ log của chúng trên hệ thống hoặc thường có thể được cầu hình để gửi các bản ghỉ ra thông qua syslog hodc FTP

‘Ung dung: Chạy trên các hệ điều hành là nhồng ứng đụng được sỡ đụng cho một

@œNS), thư điện tờ và về số

loạt các chức năng Trong một hệ thống chúng ta có thể có hệ thắng tên mị

dich vụ cấp phất địa chỉ động (DHCP), máy chỗ web, hệ thống

các ứng dụng khác Các bản chỉ ứng dụng chứa thông tin chỉ tiết về tỉnh trạng của

óng đọng, vỉ dụ như thống kê, cai sốt, hoặc thông từ tin nhấn Một số ứng đọng nh:

ra bin ghỉ log sẽ cổ ch cho ching ta

“Xác định bản ghỉ lo cần thiết: Sau khi xá định các thiết bị nguôn trong hệ thống, ching ta cin xem xét việc thu thập các bản ghi log từ các thiết bị ào là cần thiết va

quan trong cho SIEM Mét s6 éiém cần chỗ ý trong việc thu thập các bản ghỉ log nhự

- Thiết bị nguồn não được ưu tiên Dữ liệu nào là quan trọng mã chúng ta cần phải thụ thập

- Kích thước các bản ghỉlog sinh ra trong khok