Giám sát an ninh thông tin và phân tích sự kiện tập trung

Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng dụng chạy trên mạng, người sử dụng mạng,

Nguyễn Ngọc Tân Hùng – CA170270 Page 1

LỜI CAM ĐOAN Tên tôi là: Nguyễn Ngọc Tân Hùng

Sinh ngày 14 tháng 4 năm 1993

Học viên lớp cao học Kỹ thuật Viễn thông 2017A - Trường đại học Bách Khoa

Hà Nội

Xin cam đoan nội dung đề tài “Giám sát an ninh thông tin và phân tích sự

kiện tập trung” là do tôi tự tìm hiểu, nghiên cứu và thực hiện dưới sự hướng dẫn của

thầy giáo PGS.TS Nguyễn Thúy Anh Mọi trích dẫn và tài liệu tham khảo mà tôi sử dụng đều có ghi rõ nguồn gốc

Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan trên

Hà Nội, tháng 3 năm 2019 Học viên thực hiện

Nguyễn Ngọc Tân Hùng

Nguyễn Ngọc Tân Hùng – CA170270 Page 2

MỤC LỤC

LỜI CAM ĐOAN 1

MỤC LỤC 2

CÁC TỪ VIẾT TẮT 4

DANH SÁCH CÁC HÌNH VẼ, ĐỒ THỊ 6

LỜI MỞ ĐẦU 8

CHƯƠNG 1 GIỚI THIỆU AN NINH MẠNG MÁY TÍNH 10

1.1 Giới thiệu chung 10

1.2 Tổng quan về an ninh mạng 10

1.3 Các nguy cơ an ninh mạng 11

1.3.1 Tình hình an ninh mạng qua những số liệu 11

1.3.2 Tình hình các xu hướng tấn công mạng 12

1.3.3 Số liệu thống kê mã độc của PandaLabs 15

1.4 Giải pháp phòng chống và giảm thiểu tấn công trong an ninh mạng 16 1.5 Tổng quan về giám sát thông tin 17

1.5.1 Khái quát giám sát thông tin 17

1.5.2 Các dịch vụ của SIEM 17

1.5.3 Các thành phần của SIEM 20

1.6 Kết luận chương 29

CHƯƠNG 2 TỔNG QUAN GIẢI PHÁP SIEM CỦA HP VÀ IBM 30

2.1 Giới thiệu chung 30

2.2 Một số giải pháp SIEM 30

2.2.1 Giải pháp ArcSight của HP 30

2.2.2 Giải pháp Qradar của IBM 32

2.3 Giải pháp IBM Qradar 34

Nguyễn Ngọc Tân Hùng – CA170270 Page 3

2.3.1 Kiến trúc giải pháp IBM Qradar 34

2.3.2 Cơ chế hoạt động chung của hệ thống 35

2.3.3 Tính năng giải pháp IBM Qradar 39

2.3.4 Ưu điểm giải pháp Qradar SIEM 42

2.4 Kết luận 50

CHƯƠNG 3 ỨNG DỤNG GIẢI PHÁP IBM QRADAR SIEM 51

3.1 Giới thiệu chung 51

3.2 Mô hình mạng CNNT ứng dụng giải pháp 51

3.3 Tính tương quan của giải pháp IBM Qradar 52

3.4 Kết quả ứng dụng giải pháp Qradar 55

3.4.1 Nhật ký hoạt động (Log Activity) 55

3.4.2 Hoạt động mạng (Network activity) 55

3.4.3 Phân tích theo ứng dụng 56

3.4.4 Phân tích theo vùng địa lý 57

3.4.5 Phân tích theo giao thức mạng 58

3.4.6 Lỗ hổng bảo mật (Vulnerabilities) 59

3.4.7 Hành vi bất thường (Offenses) 60

3.5 Kết luận 61

KẾT LUẬN 62

TÀI LIỆU THAM KHẢO 64

Nguyễn Ngọc Tân Hùng – CA170270 Page 4

công nghệ thông tin

thống kê lưu lượng gói qua router

Qradar Tên giải pháp Quản lý sự kiện an toàn

thông tin do IBM phát triển

SIM Sercurity Quản lý thông tin an ninh

information management SEM Sercurity event management Quản lý sự kiện an ninh

SIEM Sercurity information event

management Quản lí sự kiện an ninh thông tin SOC Security operations center Trung tâm điều hành an ninh

Span port

Thực hiện sao chép lưu lượng vào/ra trên một hay nhiều cổng nguồn và gửi bản sao đến sổng đích để thực hiện phân tích

Trojan horse Chương trình độc hại nhưng lại được

ngụy trang như một thứ vô hại

Nguyễn Ngọc Tân Hùng – CA170270 Page 5

VA Vulnerability Assessment Thành phần của SIEM QRadar

ESC Event Correlation Service Thành phần của SIEM QRadar

MPC Magistrate Processing Core Thành phần của SIEM QRadar

DDOS Distributed Denial of Service Một loại tấn công từ tối dịch vụ

DOS Denial of Service Một loại tấn công từ tối dịch vụ

IDS Intrusion Detection System Hệ thống phát hiện xâm nhập

Nguyễn Ngọc Tân Hùng – CA170270 Page 6

DANH SÁCH CÁC HÌNH VẼ, ĐỒ THỊ

Hình ảnh 1.1: Bản đồ tấn các cuộc tấn công Website theo từng quốc gia 12

Hình ảnh 1.2: Biểu đồ thời gian xử lý các cuộc tấn công mạng 13

Hình ảnh 1.3: 10 mẫu mã độc xuất hiện nhiều nhất theo PandaLabs 16

Hình ảnh 1.4: Các thành phần của SIEM 21

Hình ảnh 1.5: Chuẩn hóa Log 25

Hình ảnh 1.6: Các Log được thu thập trong vòng 30 giây 27

Hình ảnh 2.1: Mô hình giải pháp ArcSight của HP 30

Hình ảnh 2.2: Mô hình dữ liệu đặc trưng 31

Hình ảnh 2.3: Mô hình giải pháp Qradar của IBM 33

Hình ảnh 2.4: Kiến trúc giải pháp IBM Qradar 34

Hình ảnh 2.5: Các thành phần của ECS 36

Hình ảnh 2.6: Mô hình hoạt động IBM Qradar 39

Hình ảnh 2.7: Mô hình hoạt đọng IBM Qradar 40

Hình ảnh 2.8: Kết quả giám sát thông tin an ninh 41

Hình ảnh 2.9: Thiết bị All-in-One 43

Hình ảnh 2.10: Ưu điểm quản lý của Qradar 44

Hình ảnh 2.11: Theo dõi hoạt động hệ thống 45

Hình ảnh 2.12: Quản lý thời gian thực 46

Hình ảnh 2.13: Quản lý sự cố 46

Hình ảnh 2.14: Quản lý tài sản 47

Hình ảnh 2.15: Hệ thống mạng CNTT chia ra thành các nhóm quản lý 47

Hình ảnh 2.16: Báo cáo tổng quan hệ thống 48

Hình ảnh 2.17: Báo cáo theo yêu cầu 48

Hình ảnh 2.18: Quản lý rủi do 49

Hình ảnh 2.19: Chi tiết rủi ro của máy 10.50.2.25 49

Hình ảnh 2.20: Chi tiết một rủi do đang tồn tại 50

Hình ảnh 3.1: Mô hình áp dụng giải pháp IBM Qradar 51

Hình ảnh 3.2: Cảnh báo khi có sự cố 52

Nguyễn Ngọc Tân Hùng – CA170270 Page 7

Hình ảnh 3.3: Nhật ký sự kiện liên quan đến sự cố 52

Hình ảnh 3.4: Kết nối sử dụng port 445 53

Hình ảnh 3.5: Kết nối sử dụng port 60153 53

Hình ảnh 3.6: Danh sách sự kiện tương quan với X-Force 54

Hình ảnh 3.7: Đánh giá đỉa chỉ IP của X-Force 55

Hình ảnh 3.8: Nhật lý sự kiện 55

Hình ảnh 3.9: Nhật ký lưu lượng mạng 56

Hình ảnh 3.10: Ứng dụng sử dụng trong mạng 57

Hình ảnh 3.11:Vùng địa lý 58

Hình ảnh 3.12: Giao thức mạng 59

Hình ảnh 3.13: Đánh giá tổng quan lỗ hổng bảo mật sau khi do quét 59

Hình ảnh 3.14: Chi tết về lỗ hổng bảo mật của thiết bị 60

Nguyễn Ngọc Tân Hùng – CA170270 Page 8

LỜI MỞ ĐẦU

Ngày nay, thế giới đang ngày một phát triển, công nghệ thông tin đóng một vai trò quan trọng, không thể thiếu trong mọi lĩnh vực của đời sống Số lượng máy tính gia tăng, đòi hỏi hệ thống mạng phải phát triển để đáp ứng nhu cầu kết nối toàn cầu Hệ thống mạng ngày một phát triển đòi hỏi khả năng quản trị để có thể duy trì hoạt động của mạng một cách tốt nhất Vì vậy người quản trị mạng cần một công cụ

hỗ trợ khả năng quản trị

Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng dụng chạy trên mạng, người sử dụng mạng, an ninh mạng Ngoài ra để duy trì hệ thống hoạt động tốt cần phải phát hiện và ngăn chặn trước các nguy cơ tiềm ẩn trước các cuộc tấn công, cũng như những mối nguy hiểm tồn tại trong hệ thống Security Information Event Management (SIEM) là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chức thực hiện việc giám sát sự kiện an toàn thông tin cho một hệ thống Đây là công nghệ được các chuyên gia bảo mật rất quan tâm Nó sử dụng các phương pháp phân tích chuẩn hóa và mối tương quan giữa các sự kiện để đưa ra cảnh báo cho người quản trị

từ đó mà có thể phòng chống, giảm thiểu trước các cuộc tấn công mạng Để nghiên

cứu sâu hơn về kĩ thuật này em quyết định chọn đề tài “Giám sát an ninh thông tin

và phân tích sự kiện tập trung” cho luận văn tốt nghiệp của mình

Trên cơ sở phân tích tình hình thực tế về tình trạng cơ sở hạ tầng công nghệ thông tin tại các tổ chức, tập đoàn, công ty, ngân hàng…luận văn nghiên cứu về giải pháp giám sát an ninh thông tin và phân tích sự kiện tập trung nhằm phòng chống và giảm thiểu các cuộc tấn công mạng Luận văn sẽ trình bày chi tiết về giải pháp giám sát an ninh thông tin và phân tích sự kiện tập trung để ứng dụng vận hành trong thực

tế được thuận lợi và dễ dàng, chủ động trước các cuộc tấn công mạng

Nội dung luận văn gồm 3 phần:

Chương 1: Giới thiệu an ninh mạng máy tính

Chương 2: Tổng quan giải pháp SIEM của HP và IBM

Chương 3: Ứng dụng giải pháp IBM Qradar SIEM

Nguyễn Ngọc Tân Hùng – CA170270 Page 9

Trong quá trình thực hiện luận văn không tránh khỏi mắc phải những thiếu sót,

em mong nhận được nhiều ý kiến đóng góp của các thầy cô để luận văn được hoàn thiện hơn Qua đây, em xin được gửi lời cảm ơn tới tất cả các cán bộ, giảng viên của Viện Điện tử - Viễn thông, trường Đại học Bách Khoa Hà Nội đã tận tình dạy dỗ, truyền đạt kiến thức cho chúng em trong suốt khóa học Đặc biệt, em xin được gửi lời cảm ơn sâu sắc tới PGS.TS Nguyễn Thúy Anh đã tận tình giúp đỡ, hướng dẫn và tạo điều kiện cho em hoàn thành tốt luận văn này

Em xin chân thành cảm ơn!

Nguyễn Ngọc Tân Hùng – CA170270 Page 10

CHƯƠNG 1 GIỚI THIỆU AN NINH MẠNG MÁY TÍNH

1.1 Giới thiệu chung

Chương 1 tập trung tìm hiểu lý thuyết về tổng quan an ninh mạng, tình trạng

an ninh mạng hiện nay, các giải pháp phòng chống và giảm thiểu tấn công trong an ninh mạng Từ đó thấy được sự cần thiết của việc giám sát an ninh mạng trong việc phòng chống tấn công mạng một cách chủ động

1.2 Tổng quan về an ninh mạng

Các mối đe dọa về an ninh, an toàn thông tin từ lâu đã là nỗi lo lắng của không

ít tổ chức, doanh nghiệp Từ những vụ việc do rò rỉ thông tin khách hàng, mạo danh danh tính doanh nghiệp để lừa đảo, hạ bệ uy tín ngày một gia tăng đã gióng lên hồi chuông cảnh báo về mức độ nguy hiểm của môi trường an ninh mạng Những đe dọa này thường bao gồm hacker, mã độc, virus, v.v… Để ngăn chặn các mối nguy chực chờ, các biện pháp an ninh mạng giúp ngăn chặn và bảo vệ chống lại sự xâm nhập trái phép vào mạng công ty là cần thiết

Thêm vào đó là sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng

cơ sở mạng tất cả trong một là một điều hiển nhiên, làm phát sinh nhanh chóng việc các công nghệ đưa vào các sản phẩm có liên quan đến an ninh còn non nớt

Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức

An ninh mạng là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng Các tổn hại có thể xảy ra do: Lỗi của người sử dụng, các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng dụng, các hành động hiểm độc, các lỗi phần cứng, v.v…

An ninh mạng bao gồm vô số các phương pháp được sử dụng để ngăn cản các nguy cơ tổn hại đến mạng và việc đầu tiên phải tập trung vào việc quản trị, kiểm soát được toàn bộ hệ thống mạng, nhưng trước hết cần tập trung vào việc ngăn cản: Lỗi của người sử dụng và các hành động hiểm độc Và mục tiêu của an ninh mạng máy

Nguyễn Ngọc Tân Hùng – CA170270 Page 11

tính là cần phải đảm bảo ba nguyên tắc nền tảng đó là: Đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng

 Các loại hình tấn công cơ bản:

o Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vì vậy chúng ta cần phải xây dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn Tấn công chủ động gồm: Tấn công chặn bắt thông tin, tấn công sửa đổi thông tin, chèn thông tin giả mạo, tấn công từ chối dịch vụ, v.v

o Tấn công bị động: Biết được thông tin truyền trên mạng Có hai kiểu tấn công

bị động đó là khai thác nội dung thông điệp và phân tích dòng dữ liệu Tấn công này chỉ biết được người gửi, người nhận trong phần IP Header của gói tin và thống kê tần số trao đổi, số lượng, độ dài của thông tin chứ chúng không thể chỉnh sửa hoặc hủy hoại thông tin nội dung trao đổi Kiểu tấn công này khó phát hiện vì nó không làm thay đổi dữ liệu và không để lại dấu vết

rõ ràng

1.3 Các nguy cơ an ninh mạng

1.3.1 Tình hình an ninh mạng qua những số liệu

Trước hết, tất cả mọi con số đều trỏ chung về một viễn cảnh tương lai của thế giới mạng – các cuộc tấn công mạng đã, đang và sẽ tăng với vận tốc chóng mặt cả về

số lượng, độ tinh vi cũng như sự phong phú trong hình thức tấn công Tuy nhiên, bạn chưa cần vội lo lắng Hãy tận dụng thời gian để tìm hiểu về tình hình an ninh mạng hiện tại và những vấn đề xoay quanh chủ đề rất nhức nhối này

Theo Báo cáo an ninh website Q3, 2018 của CyStack, trong quý 3 năm 2018

đã có 129.722 website trên thế giới bị tin tặc tấn công và chiếm quyền điều khiển Như vậy, cứ mỗi phút trôi qua lại có 1 website bị tin tặc kiểm soát Con số này ở tháng 7 là 43.110, sau đó giảm còn 41.405 ở tháng 8 và tăng mạnh lên 45.207 vào tháng 9 Vào thời điểm cuối tháng 9/2018, có đến 21,48% website bị tấn công ở tháng

7 vẫn chưa được khôi phục nguyên trạng; số liệu ở tháng 8 và tháng 9 lần lượt là

Nguyễn Ngọc Tân Hùng – CA170270 Page 12

33,87% và 44,08% Cho đến thời điểm hiện tại, trong tổng số 41.405 website bị tấn công vào tháng 8, vẫn còn tới còn 12.102 website chưa được khắc phục Điều này cho thấy rất nhiều chủ sở hữu đã không thực sự quan tâm đến bảo mật cho website của mình, không biết mình đã bị tấn công hoặc không biết cách xử lý sự cố

Việt Nam lọt vào top 20 quốc gia có số lượng website bị tấn công lớn nhất thế giới trong quý 3 năm 2018, theo Báo cáo an ninh website quý 3 năm 2018 bởi CyStack Ở vị trí thứ 19, Việt Nam có 1.183 website bị tấn công, trong đó website doanh nghiệp là đối tượng của đại đa số các tin tặc Cụ thể, 71,51% số cuộc tấn công nhằm vào các website doanh nghiệp, theo sau bởi website thương mại điện tử với 13,86% [8]

Hình ảnh 1.1: Bản đồ tấn các cuộc tấn công Website theo từng quốc gia

1.3.2 Tình hình các xu hướng tấn công mạng

Tài chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn công mạng; chính trị, tình báo là mục tiêu lớn thứ hai, với 21% các cuộc tấn công Tin tặc thường hướng đến những mục tiêu mang tới nhiều lợi ích kinh tế và chúng ngày càng có nhiều nguồn dữ liệu hơn và tốt hơn Điều này cho phép chúng có

Nguyễn Ngọc Tân Hùng – CA170270 Page 13

thể tiến hành các cuộc tấn công vô cùng tinh vi Hầu hết, khi một cuộc tấn công trở nên phức tạp và kẻ tấn công không đến được mục tiêu cuối cùng, chúng sẽ chọn một mục tiêu khác có thể mang đến những lợi ích kinh tế tốt hơn

Tấn công ẩn với hành vi chuyển động biên trở nên rất phổ biến Trên thực tế, thiết bị của nạn nhân không cần phải truy cập trực tiếp vào dữ liệu hoặc tài nguyên

mà tin tặc muốn, thiết bị này chỉ cần đóng vai trò là nơi xuất phát Từ đây, tin tặc sẽ

sử dụng kỹ thuật chuyển động biên - thông qua mạng lưới của tổ chức/doanh nghiệp (TC/DN) để tiếp cận được dữ liệu mà chúng quan tâm, hoặc hệ thống mà chúng muốn phá hoại Những kỹ thuật mới để xâm nhập vào hệ thống phòng thủ và che giấu mã độc của tin tặc đang khiến TC/DN đối mặt với rủi ro mất ATTT trong một thời gian dài, mà không phát hiện được

Hình ảnh 1.2: Biểu đồ thời gian xử lý các cuộc tấn công mạng

Tấn công không dùng mã độc ngày càng được sử dụng rộng rãi - với 49%, khiến các TC/DN không có công cụ để ngăn chặn; 51% số lượng các vụ tấn công là tin tặc sử dụng mã độc Với phương thức tấn công không dùng mã độc, tin tặc có khả năng ẩn danh trước các mô hình bảo vệ truyền thống mà không đòi hỏi tương tác của nạn nhân Các cuộc tấn công này còn có thể giúp tin tặc tăng gấp đôi lợi nhuận, bằng

Nguyễn Ngọc Tân Hùng – CA170270 Page 14

cách tạo các lưu lượng trực tuyến để bán cho bên thứ 3, hoặc đấu giá quyền truy cập tới các thiết bị ảnh hưởng

Các công cụ khai thác lỗ hổng được phát triển thêm các hướng tấn công mới

mà không đòi hỏi tương tác của người dùng Các công cụ này có thể do tin tặc thiết

kế, hoặc đã được phát triển sẵn Để hành động theo các hướng tấn công mới, tin tặc nghiên cứu kỹ về hành vi của nạn nhân, trang bị đầy đủ các công cụ kỹ thuật để khai thác các lỗ hổng bảo mật đã định và tạo ra phương thức phát tán mã độc tự động mà không cần sự can thiệp của con người Chúng tương tác thời gian thực với mạng lưới

và các giải pháp bảo mật, thích nghi với môi trường của nạn nhân

Mục tiêu là thiết bị đầu cuối Các nhà cung cấp giải pháp an toàn mạng thường dành rất nhiều thời gian để nói về vành đai, IoT và các hướng tấn công khác, nhưng điều quan trọng nhất thường bị bỏ qua, đó là thiết bị đầu cuối Nếu kẻ tấn công không thể tiếp cận được thiết bị đầu cuối, chúng sẽ không thể xâm nhập được vào các mục tiêu khác Tuy nhiên, đa số kinh phí chi cho bảo đảm ATTT của các TC/DN tập trung vào việc bảo vệ vành đai, mà bỏ qua thiết bị đầu cuối Trong khi đó, hiện nay, vành đai ảnh hưởng ngày càng bị xóa mờ, tính lưu động là tiêu chuẩn của bất kỳ TC/DN nào Do đó, mạng lưới của các TC/DN dễ bị phơi bày hơn rất nhiều

WannaCry và GoldenEye/Petya là hai mã độc gây ra nhiều ảnh hưởng nhất

Mã độc WannaCry xuất hiện vào tháng 5/2017, tàn phá mạng lưới các TC/DN và phát tán ra toàn thế giới Có thể coi đây là một trong những vụ tấn công mạng nghiêm trọng nhất trong lịch sử Dù số lượng nạn nhân và tốc độ lây nhiễm không bằng các cuộc tấn công khác trong quá khứ (như Blaster hay SQLSlammer), nhưng thiệt hại

mà WannaCry gây ra là rất lớn Với tính năng worm, mã độc tống tiền WannaCry khóa và mã hóa dữ liệu của các thiết bị mà nó lây nhiễm GoldenEye/Petya là mã độc

có sức ảnh hưởng lớn thứ hai, như một cơn dư chấn hậu WannaCry Dù ban đầu, mục tiêu của mã độc này chỉ giới hạn phạm vi bên trong quốc gia Ukraine, nhưng cuối cùng, nó ảnh hưởng tới hơn 60 quốc gia và vùng lãnh thổ trên thế giới

Các cuộc tấn công từ nội bộ chiếm 25% các cuộc tấn công toàn cầu và nhân viên cũ lợi dụng các tổ chức/doanh nghiệp (TC/DN) mà họ đã từng làm việc để đánh

Nguyễn Ngọc Tân Hùng – CA170270 Page 15

cắp thông Điểm chung của những trường hợp này là các chính sách an toàn còn lỏng lẻo và kẻ tấn công có quyền truy cập vào tài nguyên của TC/DN 81% truy cập trái phép xảy ra do mật khẩu không an toàn, hoặc đánh cắp trực tiếp mật khẩu Một khi xâm nhập được vào hệ thống từ bên trong, nhân viên áp dụng các chiến thuật mở rộng

và kiểm soát để vượt hệ thống an ninh và gây ảnh hưởng đến danh tiếng, tài chính của TC/DN

Các nhóm tội phạm mạng có tổ chức xuất hiện nhiều hơn Ví dụ như nhóm Lazarus tấn công vào ngành truyền thông, hàng không, tài chính và các cơ sở hạ tầng quan trọng tại Hoa Kỳ và các quốc gia khác Thực tế, cũng tìm được mối liên hệ của nhóm tội phạm mạng này với mã độc WannaCry [7]

1.3.3 Số liệu thống kê mã độc của PandaLabs

Trong năm 2017, PandaLabs đã phân tích và vô hiệu hóa tổng cộng 75 triệu tệp tin có chứa mã độc, tức là khoảng 285.000 mẫu mã độc mới mỗi ngày Thực tế, tất cả các mẫu mã độc mới dưới dạng các tệp tin PE chưa bao giờ xuất hiện trước năm

2017 lên tới 15.107.232 mẫu mã độc, đó là chưa kể số lượng mẫu mã độc dưới các dạng tệp tin khác như script, tài liệu,…và các mẫu mã độc chưa được phát tán

Theo báo cáo, vẫn còn rất nhiều mẫu mã độc khác chưa được công bố Các mẫu mã độc này sẽ tiến hành tấn công số lượng thiết bị ít nhất, để giảm nguy cơ bị phát hiện, nhằm đạt được mục tiêu cuối cùng của nó Có tới 99.10% mẫu mã độc chỉ xuất hiện một lần rồi biến mất hoàn toàn (14.972.010 mẫu mã độc) Chỉ một số lượng mẫu mã độc không đáng kể (0,01% - 989 mẫu mã độc hại) là thực sự được phát tán tới hơn 1.000 máy tính Điều này khẳng định rằng, hầu hết các mã độc đều thay đổi mỗi lần nó lây nhiễm; do đó, mỗi mẫu mã độc sẽ có lượng phát tán rất hạn chế Tuy nhiên, vẫn có một số ngoại lệ như mã độc tống tiền WannaCry hoặc HackCCleaner [7]

Nguyễn Ngọc Tân Hùng – CA170270 Page 16

Hình ảnh 1.3: 10 mẫu mã độc xuất hiện nhiều nhất theo PandaLabs

1.4 Giải pháp phòng chống và giảm thiểu tấn công trong an ninh mạng

Trong không gian mạng có vô vàn cách tấn công, để phòng chống và giảm thiểu thiệt hại khi bị tấn công an ninh mạng thì người quản trị cần các giải pháp để

hỗ trợ và xử lý những sự cố ngoài ý muốn:

 FireWall – Tường lửa: Dùng để lọc các gói tin từ tầng 2 đến tầng 4 trong mô hình “OSI” khi đi qua chính nó, đó là với các firewall thế hệ cũ FireWall thế

hệ mới thì có thể kiểm soát được từ tầng 2 đến tầng 7 trong mô hình “OSI”

 IPS - Hệ thống ngăn ngừa xâm nhập: Hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn

 EndPoint Protection - Bảo vệ cho người dùng cuối, cung cấp 3 chức năng bảo

vệ chính:

o Bảo vệ mạng (Network Threat Protection),

o Bảo vệ theo thời gian thực (Proactive Threat Protection),

o Phòng chống virus – spyware – malware… (Antivirus & Antispyware Protection)

Nguyễn Ngọc Tân Hùng – CA170270 Page 17

 SIEM (Hệ thống quản lý sự kiện an ninh): Hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ

dữ liệu một cách tập trung Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an ninh thông tin của tổ chức Kết quả phân tích sẽ giúp cho các chuyên gia phân tích sự kiện an ninh có thể dự đoán các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường

1.5 Tổng quan về giám sát thông tin

1.5.1 Khái quát giám sát thông tin

SIEM là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống Giải pháp này được kết hợp từ hai giải pháp SIM và SEM, nó được xây dựng trên những ưu điểm của hai giải pháp đó

và được bổ sung thêm các tính năng mới nhằm mục đích tăng cường hiệu quả trong việc giám sát an ninh mạng

Nguyên lý cơ bản của SIEM là thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau ở các vị trí khác nhau trong hệ thống Từ đó giúp người quản trị có thể dễ dàng theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi các dấu hiệu bất thường cũng như các dấu hiệu tấn công mạng có thể xảy ra

Một điểm mạnh nữa của SIEM là khả năng giám sát quản lý người dùng và sự thay đổi cấu hình cho các hệ thống khác nhau, cũng như cung cấp kiểm toán đăng nhập và xem xét ứng phó sự cố

Các sản phẩm thương mại của SIEM: Qradar SIEM, AccelOps, ArcSight, RSA EnVision, BLUESOC, Cisco Security MARS, ImmuneSecurity, LogLogic, SenSage,

và Symantec Security Information Manager [1]

1.5.2 Các dịch vụ của SIEM

Các chuyên gia bảo mật sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh Một số sự kiện an ninh như tấn công

từ chối dịch vụ (DoS), tấn công có chủ đích, tấn công mã độc và phát tán virus, SIEM

có thể phát hiện mà các thiết bị khác không dễ phát hiện ra Nhiều sự kiện khó phát

Nguyễn Ngọc Tân Hùng – CA170270 Page 18

hiện được che đậy bởi hàng ngàn sự kiện an ninh khác mỗi giây Bên cạnh đó SIEM

có thể phát hiện những sự kiện an ninh khó phát hiện hơn như hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT

Một mục tiêu quan trọng cho các nhà phân tích an ninh mạng sử dụng SIEM

là giảm số lượng cảnh báo giả Hệ thống an ninh được cho là yếu kém, chẳng hạn như

hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo nhiều về sự kiện giả Nhiều cảnh báo này gây lãng phí thời gian, công sức của nhà phân tích an ninh và thường tập trung vào cảnh báo đó Điều đó làm cho các nhà phân tích nhầm lẫn hoặc loại đi các cảnh báo chính xác hơn Với hệ thống SIEM, việc giảm cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các thông tin sự kiện an ninh với nhau Điều đó xác định và cảnh báo chính xác khi

có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều

Hệ thống SIEM cung cấp các dịch vụ sau:

 Quản lý bản ghi sự kiện an ninh

Hệ thống SIEM quản lý các Log từ các thiết bị trong hệ thống Bắt đầu với việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một

cơ sở dữ liệu tập trung Giải pháp SIEM sẽ chuẩn hóa các Log này về định dạng duy nhất để phân tích, tương quan liên kết Sau đó, SIEM sẽ lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian thực, tình trạng khai thác dữ liệu và an ninh của hệ thống CNTT

 Tuân thủ các quy định về CNTT

Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, người quản trị có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân thủ đã đặt ra của tổ chức

Các luật đó sẽ đối chiếu với Log được đưa vào hệ thống Từ đó có thể giám sát

số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng, kiểm

Nguyễn Ngọc Tân Hùng – CA170270 Page 19

tra chống virus, phần mềm gián điệp và cập nhật Người quản trị có thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các quy định đã đề ra

Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các doanh nghiệp cần phải tuân thủ Chúng được đóng gói và cung cấp bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí

 Tương quan liên kết các sự kiện an ninh

Sự tương quan liên kết giữa các sự kiện an ninh mạng đem lại thông báo tốt hơn cho hệ thống, không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay không ứng phó với nó Với tương quan liên kết giữa các sự kiện an ninh, xem xét điều kiện khác nhau trước khi kích hoạt báo động

Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau Nó có thể do một vấn đề xảy ra hoặc có thể không Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được chia sẻ trên các máy chủ khác Và cũng có thể là máy chủ đạt đến hết công suất do một tấn công từ chối dịch vụ (DoS) vào hệ thống Hoặc nó có thể là ngừng trệ tạm thời tự nhiên của máy chủ

Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét các sự kiện khác không phải liên quan đến việc sử dụng CPU Có thể cung cấp một bức tranh đầy

đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của vấn đề

Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình để xem xét một số nguyên nhân sau đây:

o Phần mềm Anti-Virus có xác định được có phần mềm độc hại ở trên máy chủ hay không?

o Ngoài máy chủ này ra còn máy chủ nào sử dụng với CPU 100%? Cần xem xét

có sự tồn tại của virus hay không

o Một ứng dụng hoặc nhiều ứng dụng, dịch vụ nào đó ngừng hoạt động?

Nguyễn Ngọc Tân Hùng – CA170270 Page 20

o Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người sử dụng nhưng vượt quá sự cung cấp dịch vụ của máy chủ

o Sự gia tăng lưu lượng mạng nhưng do nhu cầu không chính đáng của người

sử dụng vượt quá sự cung cấp của máy chủ như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể là một cuộc tấn công từ chối dịch vụ phân tán DDoS?

Đó là sự tương quan các sự kiện an ninh Cảnh báo của SIEM giúp người quản trị đưa ra cách ứng phó tùy thuộc vào điều kiện

 Cung cấp hoạt động ứng phó

Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định và phân tích mối quan hệ giữa các thông tin đầu vào đó Qua đó người quản trị

có thể cấu hình các hành động và thực hiện các phản ứng, ứng phó cho các sự kiện

an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau

Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng có điều bất lợi Nếu không cấu hình cẩn thận và chính xác thì nó có thể đưa ra các hành động ứng phó không cần thiết, các báo động giả (Failse-positives Events) Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho hệ thống

 Đảm bảo an ninh thiết bị đầu cuối

Hầu hết các hệ thống SIEM có thể giám sát an ninh cho các thiết bị đầu cuối

để thông báo sự an toàn của hệ thống Giải pháp SIEM cung cấp việc quản lý cũng như đánh giá tài sản các thiết bị Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống Như cấu hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam email [1]

1.5.3 Các thành phần của SIEM

Hệ thống SIEM bao gồm nhiều phần, mỗi phần làm một nhiệm vụ riêng biệt Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác

Nguyễn Ngọc Tân Hùng – CA170270 Page 21

nhưng nếu tất cả không hoạt động cùng một lúc thì sẽ có không có một SIEM hiệu quả

Tùy thuộc vào hệ thống đang sử dụng mỗi SIEM sẽ có những thành phần cơ bản Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, người quản trị

có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh

Hình ảnh 1.4: Các thành phần của SIEM

1.5.3.1 Thiết bị nguồn

Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác Việc biết về những gì có trong hệ thống là rất quan trọng trong việc triển khai SIEM Hiểu rõ những nguồn muốn lấy các bản ghi Log trong giai đoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai

 Hệ điều hành

Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hành về cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi Log Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống, ….Các bản ghi Log được tạo ra bởi một hệ điều hành về hệ thống và người sử

Nguyễn Ngọc Tân Hùng – CA170270 Page 22

dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chuẩn đoán

vấn đề hay chỉ là việc cấu hình sai

nó mà chỉ có thể truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng

để quản lý Các thiết bị lưu trữ các bản ghi Log của chúng trên hệ thống hoặc thường

có thể được cấu hình để gửi các bản ghi ra thông qua SysLog hoặc FTP

 Ứng dụng

Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng Trong một hệ thống có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn Một số ứng dụng sinh ra bản ghi Log sẽ có ích cho người quản trị? Dùng để yêu cầu duy trì, lưu trữ các bản ghi Log theo sự tuân thủ của pháp luật

 Xác định bản ghi Log cần thiết

Sau khi xác định các thiết bị nguồn trong hệ thống, người quản trị cần xem xét việc thu thập các bản ghi Log từ các thiết bị nào là cần thiết và quan trọng cho SIEM Một số điểm cần chú ý trong việc thu thập các bản ghi Log như sau:

o Thiết bị nguồn nào được ưu tiên? Dữ liệu nào quan trọng cần phải thu thập

Nguyễn Ngọc Tân Hùng – CA170270 Page 23

o Kích thước bản ghi Log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ

o Tốc độ các thiết bị nguồn này sinh ra bản ghi Log là bao lâu? Thông tin này kết hợp với kích thước bản ghi Log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi

o Cách thức liên kết giữa các thiết bị nguồn với SIEM?

o Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày

Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì

là cần thiết cho SIEM Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi ngày

1.5.3.2Thu thập Log

Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau: Push Log và Pull Log

 Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM

Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình Thông thường, chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người quản trị

có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên mạng và thiết

bị sẽ tự động gửi các bản ghi của nó thông qua SysLog Tuy nhiên phương pháp nay cũng còn một số nhược điểm

Ví dụ, sử dụng SysLog trong môi trường UDP Bản chất của việc sử dụng SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển

Nguyễn Ngọc Tân Hùng – CA170270 Page 24

truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch Điều đó làm cho các

sự kiện an ninh khó được phát hiện

Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM Do vậy sự hiểu biết

về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng

 Pull Log: Các bản ghi Log sẽ được SIEM lấy về

Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn

đó bằng một phần mềm được cài đặt trên các thiết bị an ninh Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn

Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi Log từ các thiết bị nguồn về Chu kỳ của việc kết nối để lấy các bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ Khoảng thời gian này có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy bản ghi Log về

Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho người quản trị lúng túng không biết bắt đầu từ đâu

1.5.3.3 Phân tích, chuẩn hóa Log

Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó

Nguyễn Ngọc Tân Hùng – CA170270 Page 25

người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào

đó Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực

và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP

Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn

Hình ảnh 1.5: Chuẩn hóa Log

Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin

từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ các thiết

bị khác nhau và các nhà cung cấp khác nhau

Ví dụ như hình ảnh 1.5 hai hệ thống này,một là tưởng lửa WatchGuards và

Sonicwall Cả hai cho thấy cùng một sự kiện đăng nhập vào thiết bị Cách đăng nhập của mỗi nhà cung cấp là khác nhau Nên cần phải hiểu định dạng và chi tiết có trong

sự kiện đó Do việc chuẩn hóa Log là rất cần thiết

1.5.3.4 Kỹ thuật tương quan sự kiện

Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an ninh

từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM Cách viết các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ phức tạp

Nguyễn Ngọc Tân Hùng – CA170270 Page 26

Người quản trị thường viết các quy tắc sử dụng một biểu thức Boolean Logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong các dữ liệu

Tương quan là một tập hợp các quy tắc Tương quan sự kiện an ninh giúp liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy hất được liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau

Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến thức

đã biết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):

 Rule - based

Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết

về các cuộc tấn công Các kiến thức đã biết về các cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích trong một bối cảnh chung Các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc người quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy

 Statistical - based

Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động cho là nguy hiểm đã biết trước đó Nhưng thay vì dựa vào những kiến thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh giá tài sản, hệ thống Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấn công này xảy ra Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộc tấn công

Nếu nhìn vào ví dụ trong hình ảnh 1.6, có thể thấy được nhiều sự kiện an ninh

đăng nhập vào SIEM trong khoảng thời gian 30 giây Nhìn vào điều này có thể nhìn

Nguyễn Ngọc Tân Hùng – CA170270 Page 27

thấy các sự kiện đăng nhập thất bại từ một địa chỉ đến để một số địa chỉ đích Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng nhập thành công Điều này có thể là một cuộc tấn công Brute-Force với thiết bị

Hình ảnh 1.6: Các Log được thu thập trong vòng 30 giây

Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng thời gian 30 giây, hệ thống có 1000 sự kiện an ninh trong 10 giây Hãy chọn ra những

sự kiện an ninh từ tất cả, trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy hại là điều cực kỳ khó khăn Nên cần một cách để loại bỏ tất cả các thông tin sự kiện an ninh không liên quan trong các bản ghi Log và chỉ ần theo dõi các thông tin

sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an ninh

1.5.3.5Lưu trữ Log

Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ các mục đích lưu giữ và truy vấn sau này Có ba cách mà có thể lưu trữ các bản ghi trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân

 Cơ sở dữ liệu

Lưu trữ các bản ghi Log trong cơ sở dữ liệu là cách lưu trữ các bản ghi Log hay được dùng nhất trong SIEM Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp

Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn

cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu Hiệu suất cũng khá tốt khi truy cập vào các bản ghi Log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy với SIEM

Nguyễn Ngọc Tân Hùng – CA170270 Page 28

Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng một

số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu tương ứng với nó Nếu SIEM là một thiết bị thường không có nhiều sự tương tác với cơ sở

dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu cho mình cũng

là vấn đề lớn Điều này có thể là khó khăn nếu hệ thống không có một DBA

 Lưu trữ dưới dạng file text

Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc được Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy, khoảng cách tab hoặc một số kí hiệu khác Vì vậy thông tin có thể được phân tích và đọc đúng Phương pháp lưu trữ này không được sử dụng thường xuyên Hành động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp khác

Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này Nếu các bản ghi Log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi viết mã để

mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để nhà phân tích tìm kiếm và hiểu nó

 Lưu trữ dưới dạng nhị phân

Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu trữ thông tin duới dạng nhị phân SIEM biết làm thế nào để đọc và ghi vào những file này

1.5.3.6Theo dõi và giám sát

Giai đoạn cuối cùng là phương pháp tương tác với các bản ghi được lưu trữ trong SIEM Một khi đã có tất cả các bản ghi trong SIEM và các sự kiện an ninh đã được xử lý, điều cần làm tiếp theo là như thế nào để sử dụng hữu ích với các thông tin từ các bản ghi Log khác nhau Hệ thống SIEM cung cấp giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm Cả hai giao diện sẽ cho phép tương tác với

Nguyễn Ngọc Tân Hùng – CA170270 Page 29

các dữ liệu được lưu trữ trong SIEM Giao diện điều khiển này cũng được sử dụng

để quản lý SIEM

SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi có điều chúng nhận ra là bất thường Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web

Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của hệ thống Bình thường, khi muốn xem các thông tin hoặc xử

lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi Log trong định dạng gốc của nó Nhưng với SIEM sẽ đơn giản và tiện lợi hơn nhiều Nó

có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó

Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện

an ninh được xử lý Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM

1.6 Kết luận chương

Chương này đã giới thiệu về tình hình an ninh mạng, các xu hướng tấn công mạng Đồng thời tổng quan về giải pháp giám sát an ninh mạng và mô tả về dịch vụ của SIEM Chương 2 sẽ giới thiệu một số giải pháp giám sát an ninh và tập trung nghiên cứu giải pháp giám sát an ninh mạng IBM Qradar SIEM

Nguyễn Ngọc Tân Hùng – CA170270 Page 30

CHƯƠNG 2 TỔNG QUAN GIẢI PHÁP SIEM CỦA HP VÀ IBM

2.1 Giới thiệu chung

Chương 2 này tập trung đi vào giới thiệu một số giải pháp giám sát an ninh và

đi sâu vào nghiên cứu giải pháp IBM Qradar SIEM

2.2 Một số giải pháp SIEM

2.2.1 Giải pháp ArcSight của HP

HP ArcSight là phiên bản sản phẩm bảo mật của HP Enterprise ArcSight Enterprise Sercurity Manager (ESM) là phần mềm theo định hướng quy mô lớn, triển khai SEM tập trung

Hình ảnh 2.1: Mô hình giải pháp ArcSight của HP

HP ArcSight cho phép bảo vệ an toàn cho hệ thống thông tin của tổ chức, thông qua khả năng cung cấp một bức tranh tổng thể về các hoạt động của hệ thống như: các mối đe dọa từ bên ngoài (mã độc, tin tặc), các mối đe dọa từ bên trong (data breaches, fraud), rủi ro từ các điểm yếu trên ứng dụng và thay đổi cấu hình; đồng thời giải pháp cho phép tuân thủ các tiêu chuẩn an ninh như PCI DSS, ISO, v.v

Nguyễn Ngọc Tân Hùng – CA170270 Page 31

Hình ảnh 2.2: Mô hình dữ liệu đặc trưng

ArcSight Logger cung cấp thiết bị và phần mềm cung cấp thu thập dữ liệu đăng nhập và chức năng quản lí có thể được thực hiện độc lập hoặc kết hợp với ESM

HP ArcSight thực hiện một kết nối hai chiều vào máy chủ, cung cấp khả năng lưu trữ dữ liệu, sự kiện vào môi trường phần cứng để truy cập và phân tích sự kiện từ ArcSight Một kết nối Hadpoop hai chiều chung có sẵn ArcSight Faster được xem xét cho triển khai SIEM hạng trung ESM là sản phẩm thích hợp cho các triển khai lớn hơn

Thu thập tất cả mọi thứ: đăng nhập dữ liệu từ bất kỳ thiết bị nào được bố trí trên cơ sở hoặc trong đám mây, trong đó có công ty SaaS như Salesforce, Box.net và Okta

Kiến trúc lõi: tối ưu hóa để chạy trên nhiều bộ xử lý, nén dữ liệu cao và nhanh hơn thông qua sự kiện

Phân tích sự kiện: tìm kiếm tương tác hiệu suất cao, toàn diện khoan xuống báo cáo, và cảnh báo thời gian thực

 Tính năng: