Hệ thống quản lý và phân tích sự kiên an ninh thông tin và ứng dụng

Tổng quan tình hình nghiên cứu Hiện nay, hầu hết các tổ chức, doanh nghiệp và cơ quan tại Việt Nam đã được trang bị một số giải pháp đảm bảo an toàn thông tin tuy nhiên chưa có một giải

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

NGUYỄN VĂN VƠN

HỆ THỐNG QUẢN LÝ VÀ PHÂN TÍCH

SỰ KIỆN AN NINH THÔNG TIN VÀ ỨNG DỤNG

Chuyên ngành: Công nghệ thông tin

LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC:

PGS.TS NGUYỄN LINH GIANG

Hà Nội - 2018

MỤC LỤC

LỜI CẢM ƠN I LỜI CAM ĐOAN II DANH MỤC TỪ VIẾT TẮT III DANH MỤC BẢNG IV DANH MỤC HÌNH VẼ V

MỞ ĐẦU VI

CHƯƠNG I: NGUY CƠ MẤT AN TOÀN AN NINH MẠNG VÀ HỆ THỐNG SIEM 1

1.1 Tổng quan chung về tình hình an ninh mạng 1

1.2 Các mối đe dọa an ninh mạng 3

1.2.1 Bot 3

1.2.2 Phishing 6

1.2.3 Ransomeware – mã độc tống tiền 7

1.2.4 Virus 8

1.2.5 Phần mềm gián điệp 9

1.2.6 Tấn công có chủ đích (APT) 10

1.2.7 Tấn công từ chối dịch vụ (DDoS) 10

1.3 Tổng quan về hệ thống SIEM 11

1.3.1 Tầm quan trọng của hệ thống SIEM 12

1.3.2 Thành phần của hệ thống SIEM 13

1.3.3 Thành phần thu thập dữ liệu, nhật ký 14

1.3.4 Thành phần phân tích và lưu trữ dữ liệu, nhật ký 16

1.3.5 Thành phần quản lý tập trung, giám sát 18

1.4 Những giải pháp SIEM có trên thị trường hiện nay 19

1.4.1 Giải pháp HP ArcSight ESM 19

1.4.2 Giải pháp IBM Security Qradar 21

1.4.3 Giải pháp Mcafee ESM 22

1.4.4 Giải pháp MARS 24

1.4.5 Giải pháp AlienVault OSSIM 25

CHƯƠNG II: HỆ THỐNG SPLUNK 26

2.1 Tổng quan về giải pháp splunk 26

2.1.1 Giới thiệu Splunk 26

2.2 Tính năng của giải pháp Splunk 28

2.2.1 Quản lý ứng dụng: 28

2.2.2 Quản lý hoạt động công nghệ thông tin 30

2.2.3 An ninh thông tin 35

2.3 Thành phần của Splunk 36

2.3.1 Splunk Forwarder 37

2.3.2 Splunk Indexer 39

2.3.3 Splunk Search Head 40

2.4 Cơ chế hoạt động 41

2.4.1 Giai đoạn nhập dữ liệu 41

2.4.2 Giai đoạn lưu trữ dữ liệu 42

2.4.3 Giai đoạn tìm kiếm dữ liệu 43

CHƯƠNG III: XÂY DỰNG ỨNG DỤNG GIÁM SÁT MẠNG 44

CHO HỆ THỐNG MẠNG VIETNAM AIRLINES 44

3.1 Khảo sát hệ thống mạng tại Vietnam Airlines 44

3.1.1 Mô hình hệ thống mạng 44

3.1.2 Hiện trạng hệ thống mạng 45

3.2 Phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng 46

3.3 Đề xuất giải pháp, yêu cầu đối với hệ thống giám sát sự kiện an ninh thông tin cho các hệ thống CNTT tại Vietnam Airlines 50

3.3.1 Yêu cầu đối với hệ thống giám sát sự kiện an ninh 50

3.3.2 Lựa chọn Giải pháp 50

3.4 Kiến trúc hệ thống 53

3.4.1 Thành phần thu thập thông tin Splunk 54

3.4.2 Thành phần phân tích, lưu trữ cảnh báo 58

3.4.3 Thành phần giám sát Dashboard 62

3.5 Thử nghiệm và đánh giá kết quả 65

3.5.1 Thử nghiệm 65

3.5.2 Đánh giá kết quả 71

3.5.3 Khó khăn, tồn tại của hệ thống đã xây dựng 71

3.6 Hướng phát triển 72

KẾT LUẬN 73

TÀI LIỆU THAM KHẢO 75

LỜI CẢM ƠN

Để hoàn thành Luận văn Thạc sĩ của mình, Tôi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Viện Đào Tạo Sau Đại Học, Viện Công Nghệ Thông Tin và Truyền Thông cùng các Giảng viên trường Đại Học Bách khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức quý báu cho tôi trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ

Tôi xin gửi lời cảm ơn tới PGS.TS Nguyễn Linh Giang – Người trực tiếp chỉ bảo, hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành Luận văn Thạc sĩ

Tôi xin chân thành cảm ơn các anh, chị đồng nghiệp tại Phòng Hạ tầng Công nghệ thông tin Công ty cổ phần tin học Viễn Thông – Hàng Không (AITS) đã giúp

đỡ tôi trong suốt quá trình thực hiện đề tài

Sau cùng tôi xin gửi lời biết ơn sâu sắc đến người thân trong gia đình đã luôn tạo điều kiện tốt nhất cho tôi trong suốt quá trình học cũng như thực hiện luận văn

Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học chưa nhiều nên luận văn còn nhiều thiếu sót, rất mong nhận được ý kiến góp ý của Thầy/Cô và các anh chị học viên cũng như các đồng nghiệp

Hà Nội, ngày….tháng….năm 2018 Học viên

Nguyễn Văn Vơn

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn thạc sĩ kỹ thuật này là do tôi nghiên cứu và được thực hiện dưới sự hướng dẫn khoa học của PGS.TS Nguyễn Linh Giang Các kết quả do tôi tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên cứu khoa học khác được trích dẫn đầy đủ Nếu có vấn đề về sai phạm bản quyền, tôi xin hoàn toàn chịu trách nhiệm trước nhà trường

DANH MỤC TỪ VIẾT TẮT

C&C Command and control

IRC Internet relay chat

DoS Denial of Service

APT Advanced Persistent Threat

SIEM Security information and event management

CNTT Công nghệ thông tin

SOC Security Operations Center

XSS Cross – site scripting

AITS Aviation IT solutions

IPS Intrusion Prevention Systems

IDS Intrusion detection system

SIEM Security Infomation and Event Management

TCP Transmission Control Protocol

UDP User Datagram Protocol

API Application Programming Interface

CNTT Cồn nghệ thông tin

ANTT An ninh thông tin

SIM Security Infomation Management

ATTT An toàn thông tin

DDOS Distributed Denial of Service

IoT Internet of thing

WAF Web Application Firewall

Vietnam Airlines Tổng công ty Hàng Không Việt Nam

DANH MỤC BẢNG

Bảng 2.1 : So sánh các công cụ forwarder 38

Bảng 3.1: Các hệ thống CNTT tại Vietnam Airlines 45

Bảng 3.2: Log được hệ thống thu thập 55

Bảng 3.3: Luật cảnh báo trên hệ thống 59

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình mạng botnet thường gặp 4

Hình 1.2: Mô hình tấn công phishing 6

Hình 1.3: Dữ liệu, nhật ký hệ thống SIEM thu thập 14

Hình 2.1: Kiến trúc của Splunk 26

Hình 2.2: Bảng đánh giá các giải pháp SIEM của Gartner 2017 27

Hình 2.3: Các loại Data, log mà Splunk xử lý được 28

Hình 2.4: Mô hình kiến trúc Splunk 37

Hình 2.5: Mô hình kiến trúc Splunk 41

Hình 3.1: Mô hình mạng Vietnam Airlines 44

Hình 3.2: kiến trúc tổng quan về hệ thống 53

Hình 3.3: Mô hình hoạt động của thành phần phân tích 60

Hình 3.4: Bộ truy vấn dùng để phân tích 61

Hình 3.6: Thống kê cảnh báo ANTT 63

Hình 3.7: Chi tiết một sự kiện ANTT 64

Hình 3.8: Giao diện Admin hệ thống 64

Hình 3.8: Tập tin powershell 66

Hình 3.9: Đính kèm mã độc vào tập tin doc 66

Hình 3.10: Hệ thống cảnh báo đã phát hiện kết nối tới địa chỉ IP 10.10.10.10 67

Hình 3.11: Tấn công vét cạn bằng công cụ hydra 68

Hình 3.12: Hệ thống giám sát cảnh báo đăng nhập lỗi 68

Hình 3.13: Email cảnh báo tấn công của hệ thống giám sát 69

Hình 3.14: Log của hệ thống firewall modsecurity 70

Hình 3.15: Cảnh báo tấn công web của hệ thống giám sát 70

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Thế giới đang bắt đầu bước vào cuộc cách mạng công nghiệp lần thứ tư, một cuộc cách mạng sản xuất gắn liền với những đột phá chưa từng có về công nghệ, công nghệ cảm biến, thiết bị internet of thing và đặc biệt là liên quan đến kết nối internet Cuộc cách mạng công nghiệp lần thứ tư được dự đoán sẽ tác động mạnh

mẽ đến mọi quốc gia, chính phủ, doanh nghiệp và người dân khắp toàn cầu Trong thời kỳ hội nhập kinh tế mạnh mẽ như hiện nay, Việt Nam cũng không nằm ngoài

xu thế phát triển của thế giới giới cũng như chịu sự ảnh hưởng mạnh mẽ của cuộc cách mạng công nghiệp lần thứ tư Đây chính là thách thức và cũng là cơ hội để có thể đưa Việt Nam tiến xa hơn trên trường quốc tế và có được những bước tiến vượt bậc, những thành tựu to lớn trong cuộc xây dựng đất nước thời kỳ đổi mới

Đặc biệt, trong kỷ nguyên số ngày nay thì dữ liệu, thông tin là một thành phần vô cùng quan trọng của Doanh nghiệp Việc đảm bảo an toàn thông tin, bảo vệ

dữ liệu là một nhiệm vụ mang tính sống còn có thể quyết định đến sự thành bại của một công ty, doanh nghiệp Do đó, dữ liệu và thông tin của doanh nghiệp luôn phải đối mặt với nhiều thách thức lớn và các nguy cơ tấn công từ những tổ chức, cá nhân thù địch, đối thủ cạnh tranh hay những tên tội phạm mạng

Nghiêm trọng hơn, các cuộc tấn công mạng xảy ra ngày càng nhiều tại Việt Nam và không chỉ dừng lại ở những cuộc tấn công với động cơ về tiền bạc mà đã xuất hiện những cuộc tấn công mang động cơ chính trị và kinh tế rõ ràng Với chính sách phát triển chính phủ điện tử, Việt Nam đã và đang xây dựng nhiều hệ thống thông tin điện tử trong các cơ quan tổ chức nhà nước và là mục tiêu liên tục được nhắm tới trong các cuộc tấn công

Năm 2016, Việt Nam Airlines đã hứng chịu một cuộc tấn công APT có tổ chức nhắm tới hệ thống thông tin của tổng công ty Hàng Không Việt Nam gây ra thiệt hại hàng chục tỷ đồng cũng như ảnh hưởng không nhỏ tới uy tín của Việt Nam Cuộc tấn công là lời cảnh tỉnh rõ nhất cho ta thấy về vấn đề cấp thiết của việc

xây dựng hệ thống giám sát, đảm bảo an toàn thông tin trên các hệ thống thông tin quan trọng của tổ chức, doanh nghiệp và các cơ quan nhà nước

2 Tổng quan tình hình nghiên cứu

Hiện nay, hầu hết các tổ chức, doanh nghiệp và cơ quan tại Việt Nam đã được trang bị một số giải pháp đảm bảo an toàn thông tin tuy nhiên chưa có một giải pháp tổng thể có thể theo dõi, giám sát và đưa ra đánh giá, cảnh báo về tình hình hoạt động và mức độ an toàn thông tin của hệ thống thông tin, ứng dụng

Tại Việt Nam Airlines, hệ thống thông tin có quy mô lớn với hơn 1000 máy tính cá nhân tại TCT và hàng trăm máy chủ dịch vụ trong hệ thống mạng Để đảm bảo an toàn thông tin cho hệ thống mạng của mình, Vietnam Airlines đã đầu tư, triển khai nhiều giải pháp tăng cường bảo mật cho hệ thống cả về chiều sâu với nhiều lớp phòng vệ như các thiết bị tường lửa thế hệ mới, thiết bị phát hiện – ngăn chặn tấn công, hệ thống anti-virus, hệ thống phòng chống thư rác… Tuy nhiên, Vietnam Airlines vẫn gặp nhiều khó khăn trong việc phát hiện, ngăn chặn và xử lý

sự cố an toàn thông tin

Để có được một cái nhìn tổng quan toàn bộ hệ thống mạng cũng như kết hợp được các nguồn lực sẵn có tại Vietnam Airlines Tôi đã đề xuất nghiên cứu hệ thống cho phép quản lý, phân tích sự kiện an toàn thông tin giúp cung cấp một cái nhìn chi tiết, khách quan về tình trạng hoạt động và các nguy cơ mất an toàn thông tin trong toàn bộ hệ thống mạng Vietnam Airlines Hệ thống quản lý và phân tích sự kiện an ninh thông tin và ứng dụng thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích toàn

bộ các sự kiện an toàn thông tin được sinh ra từ các thiết bị đầu cuối, máy tính cá nhân, máy chủ trong toàn bộ hệ thống mạng từ đó giúp phát hiện kịp thời các tấn công, mối hiểm họa mất an toàn thông tin

3 Mục tiêu nghiên cứu

Luận văn tập trung nghiên cứu hệ thống quản lý và phân tích sự kiện an ninh thông tin và ứng dụng giúp tăng cường khả năng đảm bảo an toàn thông tin của tổng công ty Hàng không Việt Nam

4 Đối tượng nghiên cứu

Luận văn nghiên cứu về hệ thống quản lý và phân tích sự kiện an ninh thông tin nói chung Trong đó, Luận văn tập trung vào nghiên cứu giải pháp Splunk trong việc xây dựng hệ thống giám sát, đảm bảo an toàn thông tin Cách thức chuẩn hóa

sự kiện an toàn thông tin và đưa ra cảnh báo

5 Phạm vi nghiên cứu

Luận văn nghiên cứu một cách tổng quan về các hệ thống quản lý và phân tích

sự kiện an ninh thông tin Đặc điểm, ưu điểm và nhược điểm của hệ thống Nghiên cứu các giải pháp xây dựng hệ thống đã có bao gồm trả phí và mã nguồn mở Các vấn đề an toàn thông tin tại Vietnam Airlines Nghiên cứu các giải pháp đảm bảo an toàn thông tin hiện nay

6 Phương pháp nghiên cứu

Nghiên cứu đặc điểm của hệ thống quản lý và phân tích sự kiện an toàn thông tin nói chung Nghiên cứu các giải pháp đã được xây dựng tại các công ty, doanh nghiệp, các giải pháp thu phí và mã nguồn mở từ đó đúc kết, xây dựng hệ thống dựa trên giải pháp Splunk enterprise

Phân tích, đánh giá hệ thống tại Vietnam Airlines từ đó ứng dụng hệ thống đã xây dựng vào việc đảm bảo an toàn thông tin tại Vietnam Airlines

7 Cấu trúc luận văn

Cấu trúc luận văn được thiết kế thành ba chương bao gồm:

CHƯƠNG I: NGUY CƠ MẤT AN TOÀN AN NINH MẠNG VÀ HỆ THỐNG SIEM

Lý thuyết chung về an ninh mạng quốc tế nói chung và Việt Nam nói riêng Tìm hiểu về các mối đe dọa an ninh mạng hiện nay mà tổ chức và doanh nghiệp phải đối mặt Từ đó tìm ra các giải pháp phòng chống và chiến lược bảo vệ trong việc triển khai an ninh mạng

CHƯƠNG II: HỆ THỐNG SPLUNK

Tìm hiểu chi tiết về giải pháp Splunk Enterprise Trong đó tìm hiểu về kiến trúc, tính năng và các thành phần của giải pháp Splunk để làm cơ sở xây dựng ứng dụng giám sát cho tổng công ty Hàng không Việt Nam

CHƯƠNG III: XÂY DỰNG ỨNG DỤNG GIÁM SÁT MẠNG CHO HỆ THỐNG MẠNG VIETNAM AIRLINES

Khảo sát hệ thống mạng Vietnam Airlines từ đó phân tích, đánh giá nguy cơ, rủi ro của hệ thống mạng tại Vietnam Airlines Từ đó đề xuất giải pháp, mô hình hệ thống giám sát sự kiện an ninh cho hệ thống tại Việt Nam Trình bày, mô tả về kiến trúc, thành phần của hệ thống Thực hiện thử nghiệm và đánh giá kết quả hệ thống tại Vietnam Airlines

CHƯƠNG I: NGUY CƠ MẤT AN TOÀN AN NINH MẠNG VÀ HỆ THỐNG SIEM

1.1 Tổng quan chung về tình hình an ninh mạng

Máy tính đã bước vào cuộc sống của chúng ta khá lâu và bền vững, tạo nên những thay đổi căn bản cho thế giới và khả năng của loài người Thế kỷ 20 đánh dấu sự phát triển bùng nổ và mạnh mẽ của máy tính khi chúng ta có thể thấy máy tính ngày càng trở nên phổ biến và có mặt ở hầu hết các khía cạnh cuộc sống của con người Cùng với đó là sự phát triển của internet đã tạo nên một cuộc cách mạng

số thay đổi toàn diện cách thức hoạt động của loài người Ngày nay, với sự phát triển của công nghệ giúp cho vật dụng hằng ngày trở nên thông minh hơn và kết nối với nhau nhiều hơn đã làm cho máy tính trở nên không thể thiếu với con người đặc biệt trong việc phát triển kinh tế xã hội Không những thế, các doanh nghiệp, tổ chức đang xây dựng các hệ thống kết nối thời gian thực ngày càng tinh vi hơn với các nhà cung cấp, chính phủ và khách hàng tạo nên một mạng chia sẻ dữ liệu lớn Giờ đây, con người có thể kết nối với nhau mọi lúc, mọi nơi để trao đổi về kinh tế,

xã hội, y học, kỹ thuật, quân sự và cả văn hóa

Sự phát triển của công nghệ thông tin đã giúp con người tạo nên một bước tiến dài trên con đường phát triển nhưng đi kèm đó cũng tạo nên ngày càng nhiều mối hiểm họa an ninh, an toàn thông tin Khi mà các hoạt động của con người đều được thực hiện thông qua internet đã làm cho giá trị dữ liệu lưu trữ và thông tin trao đổi tăng lên một cách nhanh chóng và trở thành một phần quyết định sự hưng thịnh, sống còn của một tổ chức Chính vì lý do đó mà nguồn lợi thu được từ việc đánh cắp dữ liệu sẽ đem lại nguồn lợi nhuận khổng lồ cho những tên tội phạm Trong những năm trở lại đây đã đánh dấu sự bùng nổ và phát triển mạnh mẽ của tội phạm mạng Theo báo cáo thống kê của Norton năm vừa qua ước tính có khoảng 556 triệu nạn nhân bị tấn công và tính tính trung bình cứ mỗi 1 giây có 18 nạn nhân bị tấn công Trong số các nạn nhân bị tấn công có tới hai phần ba nạn nhân kết nối internet

là mục tiêu tấn công và 46% mục tiêu bị tấn công trong năm vừa qua là nạn nhân của các cuộc tấn công như mã độc, virus, hacking, lừa đảo, đánh cắp dữ liệu Ước

tính nguồn lời thu được của tội phạm mạng từ các hành động tấn công, đánh cắp, lợi dụng dữ liệu trong năm vừa qua đạt 110 tỷ đô la mỹ

Lợi ích từ việc đánh cắp dữ liệu đã tạo ra một sự phát triển bùng nổ về số lượng các cuộc tấn công và quy mô các cuộc tấn công cũng như thay đổi cách thức hoạt động của tội phạm mạng Để có thể tối ưu hóa lợi nhuận thu được, tội phạm mạng đã đầu tư hơn cho việc nghiên cứu phát triển các cuộc tấn công về quy mô, chất lượng và mức độ ảnh hưởng của các cuộc tấn công Vài năm gần đây đã đánh dấu sự thay đổi về cách thức hoạt động của tội phạm mạng khi chuyển dịch từ hoạt động đơn lẻ sang hoạt động có tổ chức Mỗi chiến dịch tấn công đều được chúng lên kế hoạch rõ ràng và chuẩn bị kỹ lưỡng Không những thế tội phạm mạng còn đầu tư kinh tế, nguồn lực, trí tuệ cho nghiên cứu, phát triển thêm nhiều kỹ thuật tấn công mới, tinh vi hơn và khó phát hiện hơn

Đặc biệt, chúng ta đã chứng kiến một bước phát triển đột phá của tội phạm mạng khi công nghiệp hóa ngành mã độc Những công cụ tấn công, phần mềm mã độc, lỗ hổng phần mềm được mua bán công khai và tất cả mọi người đều có thể sở hữu một công cụ có khả năng tấn công, đánh cắp dữ liệu của tổ chức, doanh nghiệp một cách dễ dàng Điều này có nghĩa là an ninh, an toàn thông tin của tổ chức đang đứng trước nguy cơ dễ dàng bị vi phạm khi phải đổi mặt với không chỉ là những tên tội phạm mà còn là những người có hành vi phá hoại hoặc đôi khi là muốn học hỏi, tìm tòi thỏa sức tò mò chỉ cần họ có một công cụ tấn công

Tại Việt Nam, các cuộc tấn công mạng cũng ngày càng gia tăng về số lượng lẫn mức độ nguy hiểm của cuộc tấn công [1] Đầu tiên phải kể đến vụ tấn công DoS lớn chưa từng có vào báo điện tử Vietnamnet năm 2011 đã làm cho báo không thể hoạt động trong nhiều ngày Tiếp đến là vụ tấn công mạng được tổ chức có kế hoạch, tinh vi sử dụng nhiều kỹ thuật nâng cao như cuộc tấn công vào VCCorp năm

2014 Kẻ tấn công đã nằm vùng trong hệ thống của VCCorp trong thời gian dài để thu thập thông tin, đánh cắp dữ liệu trước khi triển khai tấn công DoS và xóa sạch

sử liệu của hệ thống Đặc biệt, không thể không kể đến là vụ tấn công APT vào Tổng công ty Hàng Không Việt Nam đã không chỉ gây ra thiệt hại lớn về tiền bạc

mà còn ảnh hưởng tới uy tín của Việt Nam trên trường quốc tế Đó chính là lời cảnh tỉnh cho Việt Nam về việc đảm bảo an toàn thông tin trên không gian mạng

1.2 Các mối đe dọa an ninh mạng

Mỗi tổ chức, doanh nghiệp và ngay cả chính phủ các nước trên thế giới đang phải đối mặt với nhiều mối hiểm họa trên không gian mạng ngày nay Bằng việc hiểu rõ về những mối hiểm họa trên không gian mạng cần phải đối mặt là gì cũng như cách thức hoạt động của chúng sẽ giúp tổ chức và doanh nghiệp đưa ra được những biện pháp bảo vệ mình tốt hơn Dưới đây là những mối hiểm họa trên không gian mạng mà các tổ chức đang phải đối mặt hằng ngày [2]

1.2.1 Bot

Bot [3] hay botnet là khái niệm đề cập tới một tập hợp các máy tính bị lợi dụng chịu sự điều khiển của các hackers, nhằm phục vụ cho các ý đồ xấu xa của các cá nhân này

Trong đó, Kẻ tấn công điều khiển còn được gọi là các Bot Masters hay các Bot Helders, thành phần được cài đặt ngầm trong các máy tính người sử dụng để các Bot Masters có thể thao túng được các máy tính này là các Bot, đây là những phần mềm mã độc có kịch bản tấn công tùy biến phụ thuộc vào những câu lệnh từ phía điều khiển Một thành phần khác của Botnet cũng không kém phần quan trọng,

đó là các máy chủ C&C là máy chủ hỗ trợ các Bot Masters điều khiển cả mạng Botnet Thông qua những máy chủ này, các Bot Master đưa ra các câu lệnh điều khiển tới các bot nhằm lợi dụng máy tính người dùng đi thực thi những khai thác nguy hiểm

Hình 1.1 Mô hình mạng botnet thường gặp

Các hình thức tấn công của Botnet hiện nay hết sức đa dạng và liên tục thay đổi, cập nhật những phương thức mới và ngày càng nguy hiểm hơn, tiến bộ hơn trước Trong đó, phổ biến là các hình thức tấn công sau:

 Tấn công từ chối dịch vụ: bằng cách huy động một số lượng lớn các máy tính ma trong mạng Botnet đi tấn công vét cạn tài nguyên của một máy tính Các máy tính này thường là những máy chủ đặt các website, máy chủ điều khiển của các công ty, các doanh nghiệp …

 Lừa đảo trực tuyến (Phishing): là hình thức kẻ tấn công sử dụng để đưa ra các thông báo, thông tin không có thật nhằm lừa nạn nhân chia

sẻ thông tin tài khoản, thông tin thẻ tín dụng, mật khẩu … Thường thấy hiện nay là lừa đảo bằng cách giả mạo các thông báo của nhà cung cấp dịch vụ tới khách hàng nhằm thu thập thông tin tài khoản của người dùng

 Phát tán thư rác (Spam Mails): các Botnet Master lợi dụng các máy tính ma để tăng hiệu quả của việc phát tán thư rác đặc biệt về phạm vi

và số lượng Một kịch bản thường thấy của các Botnet sử dụng để phát tán thư rác là giả mạo nguồn gửi là email của chính các nạn nhân trong mạng Botnet gửi tới bạn bè trong danh sách liên hệ (Contact Books) của họ Lợi dụng sự tin tưởng của người dùng với các email đến từ bạn bè, người thân, kịch bản này đã thực sự thành công, làm tăng số nạn nhân của hiểm họa spam mail lên những con số tính bằng đơn vị triệu người mỗi tuần

 Ăn cắp thông tin (Data theft): đây là hình thức tấn công đã có từ lâu

và hiện nay vẫn còn rất phổ biến Sau khi cài đặt thành công trên máy tính nạn nhân, bot sẽ đi thu thập những thông tin nhạy cảm trên máy như thông tin cá nhân, thông tin tài khoản, thông tin bản quyền phần mềm v…v… Theo những báo cáo gần đây, hình thức tấn công này ngày một trở nên nguy hiểm khi các Bot thực hiện các hành vi can thiệp sâu vào hệ thống (ghi log bàn phím, bắt các gói tin …) nhằm thu thập những thông tin mới nhất trên máy tính nạn nhân

Botnet được xem là một trong những mối đe dọa an ninh nghiêm trọng nhất hiện nay Sự khác biệt đáng chú ý nhất giữa botnet và các phần mềm độc hại truyền thống khác là kênh chỉ huy và điều khiển Botnet Kênh chỉ huy và điều khiển Botnet tương đối ổn định và không thay đổi giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster chỉ đạo hành động của Bot trong mạng Botnet Ban đầu Botnet chỉ giới hạn trong mạng Botnet dựa trên IRC, và Bot là phần mềm Trojan hặc Back door Cùng với các giao thức mạng khác được tin tặc sử dụng trong Botnet, các nhà nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và điều khiển ngày càng nhiều Kênh chỉ huy và điều khiển có thể là máy chủ IRC, máy chủ Web, các nút trong cấu trúc mạng Peer-to-Peer, các máy chủ DNS

Khi Botnet thực hiện tấn công thì mức độ nguy hiểm phụ thuộc vào số lượng

và quy mô máy tính bị điều khiển bởi kẻ tấn công

1.2.2 Phishing

Phishing [4] là kỹ thuật tấn công mà kẻ tấn công cố gắng lừa lấy thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử Phishing thường được thực hiện bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại Phishing là một dạng kỹ nghệ xã hội, trong đó kẻ tấn công cố gắng gian lận thông tin bí mật hoặc dữ liệu nhạy cảm của người dùng hợp pháp bằng cách bắt trước thông tin liên lạc điện tử từ một tổ chức đáng tin cậy hoặc một doanh nghiệp lớn Ở thời kỳ đầu của “phishing”, những kẻ tấn công sao chép

mã nguồn từ những trang web hợp pháp hoặc có lượng người dùng lớn và gửi email giả mạo hoặc tin nhắn tức thì với liên kết tới trang giả mạo của kẻ tấn công nhằm yêu cầu nạn nhân không có kiến thức về bảo mật để lộ mật khẩu của mình

Hình 1.2: Mô hình tấn công phishing

Một cuộc tấn công phishing thành công cần phải đảm bảo đủ ba bước Bước thứ nhất, kẻ tấn công (mailer) sẽ gửi một lượng lớn email giả mạo tới nhiều người dùng (thông thường sử dụng botnet để tấn công) bên trong có chứa địa chỉ giả mạo của một trang web nổi tiếng có nhiều người sử dụng Bước thứ hai, kẻ thu thập thông tin (Collector) sẽ thiết lập một trang web giả mạo và lừa người dùng cung cấp thông tin về thẻ tín dụng hoặc tài khoản ngân hàng Bước thứ ba, người rút tiền

cũng thuộc nhóm tấn công (casher) sẽ sử dụng thông tin thu thập được để mua các món hàng hoặc rút tiền từ ngân hàng

Các hình thức tấn công phishing gồm có:

 Clone Phishing: Kẻ tấn công tạo một email giả mạo có sử dụng những thông tin hợp lệ để đánh lừa người nhận từ đó gửi một email đính kèm một địa chỉ liên kết có chứa mã độc

 Spear phishing: là kỹ thuật được sử dụng để tấn công một tổ chức hoặc một nhóm người dùng Thay vì gửi email giả mạo cho hàng nghìn địa chỉ email ngẫu nhiên thì Spear Phishing chỉ nhắm đến một nhóm người dùng có đặc điểm chung như cùng

sở thích hoặc cùng chung một tổ chức

 Phone Phishing: là một kiểu tấn công lừa dảo sử dụng những tin nhắn xác nhận đến từ một ngân hàng yêu cầu người dùng quay số điện thoại nhằm giải quyết các vấn đề với tài khoản ngân hàng của họ Số điện thoại trong tin nhắn đã được thay bằng

số điện thoại của kẻ tấn công và chúng sẽ lừa người dùng cung cấp mã PIN

1.2.3 Ransomeware – mã độc tống tiền

Ransomeware [5] hay “mã độc tống tiền là một loại phần mềm độc hại sử dụng hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân, ngăn chặn người dùng truy cập và sử dụng máy tính của họ (chủ yếu phát hiện trên hệ điều hành windows) Nạn nhân thường phải nộp một khoản tiền chuộc nếu muốn lấy lại dữ liệu hoặc đơn giản nhất là truy cập lại máy tính của mình

Ransomeware được thiết kế để kiếm được lợi nhuận nhanh nhất có thể Bốn loại ransomeware mạng lại nhiều lợi nhuận nhất hiện nay là: Locker Ransomeware, Crypto Ransomeware, Ransomeware giả mạo chương trình Antivirus, Ransomeware đưa ra cảnh báo giả mạo

Ngày nay, có hai loại Ransomeware phổ biến là:

 Locker Ransomeware – Ngăn chặn người dùng truy cập máy tính hoặc thiết bị

 Crypto Ransomeware – Ngăn chặn người dùng truy cập dữ liệu hoặc tập tin, sử dụng hệ mật mã mạnh mẽ như AES, RSA mã hóa dữ liệu người dùng

Những kẻ tấn công đứng đằng sau Ransomeware thực sự không quan tâm tới mục tiêu tấn công của chúng là ai miễn sao nạn nhân trả tiền chuộc Chính vì lý do

đó, những kẻ tấn công thường thực hiện một chiến dịch phát tán Ransomeware liên tục trên một phạm vi rộng lớp nhắm tới mọi người dùng máy tính Những phương pháp phát tán Ransomeware thường được sử dụng:

 Sử dụng email spam, email giả mạo

 Phát tán qua hệ thống botnet

 Tấn công các website nổi tiếng và đính kèm mã độc

 Phát tán qua các trang quảng cáo độc hại

 Phát tán qua phần mềm quảng cáo độc hại

1.2.4 Virus

Trong khoa học máy tính, virus máy tính [6] (thường được người sử dụng gọi tắt là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, .) Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng, hoặc gây ra những trò đùa khó chịu

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm

có lợi cho người phát tán virus

Theo thống kê từ các công ty phát triển phần mềm Antivirus cho biết 90% số virus được phát hiện là nhắm vào hệ điều hành Windows Do tính thông dụng của Windows nên tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác Cũng có quan điểm cho rằng Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng có lượng virus xuất hiện có lẽ cũng tương đương nhau

Hầu hết chương trình virus đều được phát tán bằng cách nhúng vào các chương trình hợp lệ và được tải lên trên các trang web chia sẻ công cụ, dữ liệu trực tuyến Ngoài ra, các chương trình đính kèm virus còn được phát tán qua việc sử dụng chung ổ đĩa cứng, chia sẻ tập tin hoặc đính kèm trong các email spam

1.2.5 Phần mềm gián điệp

Phần mềm gián điệp [7] là những phần mềm độc hại được cài đặt vào máy nạn nhân nhằm cố gắng thu thập dữ liệu cá nhân về đặc điểm sử dụng máy tính, hành vi duyệt web và đánh cắp thông tin cá nhân của nạn nhân để gửi cho người khác

Một cách điển hình, phần mềm gián điệp được cài đặt một cách bí mật như là một bộ phận kèm theo của các chương trình freeware (phần mềm miễn phí) và shareware (phần mềm chia sẻ) mà người ta có thể tải về từ Internet Ngoài ra phần mềm gián điệp còn được cài đặt trên máy nạn nhân thông qua các chiến dịch phát tán thư rác hoặc lừa đảo người dùng truy cập vào các đường link độc hại Một khi

đã cài đặt, phần mềm gián điệp gửi dữ liệu về hành vi sử dụng máy tính, duyệt web, thông tin cá nhân về cho kẻ tấn công

Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy muốn cài đặt phần mềm khác Khác nhau căn bản với virus máy tính là Trojan Horse về mặt

kỹ thuật chỉ là một phần mềm thông thường và không có ý nghĩa tự lan truyền Các chương trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến hành Ngày nay, các Trojan horse đã được thêm vào

đó các chức năng tự phân tán Điều này đẩy khái niện Trojan horse đến gần với khái niệm virus và chúng trở thành khó phân biệt sự khác nhau

1.2.6 Tấn công có chủ đích (APT)

APT (Advanced Persistent Threat) [8] được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một thực thể Kẻ tấn công có thể được đầu tư tài chính để thực hiện tấn công nhằm tìm kiếm thông tin về hoạt động kinh doanh, tài chính, thông tin bí mật không chỉ của một tổ chức mà còn là chính phủ, cơ quan nhà nước

Cho đến nay, tấn công APT thường được dùng với mục dích:

 Thu thập thông tin tình báo có tính chất thù địch

 Đánh cắp dữ liệu và bán bí mật kinh doanh cho các đối thủ

 Làm mất uy tín của cơ quan tổ chức

 Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, …

Tại Việt Nam đã phát hiện ra rất nhiều cuộc tấn công APT điển hình là các cuộc tấn công tới một số báo điện trong thời gian dài, gây ra khó khăn trong việc truy cập vào website Trong quá trình chống lại những đợt tấn công DDoS nhằm vào một số báo điển tử tại Việt Nam thời gian vừa qua, các tổ chức an ninh mạng đã tìm ra những mã độc tạo botnet và đã phát hiện ra một loại mã độc nguy hiểm có tên gọi là Cbot đang lây nhiễm trên nhiều máy tính

Về cơ bản, Cbot thực hiện giả mạo các phần mềm chính thống, tuy nhiên mức độ tinh vi của chúng là hoạt động rất âm thầm, bản thân Cbot “án binh bất động” trong một khoảng thời gian và chỉ bùng phát mạnh mẽ sau nhận được lệnh từ máy chủ điều khiển Với cách hoạt động am thầm, Cbot hoàn tàn có thể cập nhật phiên bản mới nhất bất cứ lúc nào nó bị các phần mềm diệt virus nhận diện

Hiện nay việc áp dụng các công cụ, biện pháp bảo mật tối tân, đắt tiền chưa chắc tránh được các cuộc tấn công APT đã và sẽ xảy ra

1.2.7 Tấn công từ chối dịch vụ (DDoS)

Tấn công từ chối dịch vụ [9] đã phát triển mạnh mẽ trong những năm gần đây và trở thành nỗi khiếp sợ với nhiều tổ chức doanh nghiệp Tấn công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làm ngắt

quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả

hệ thống ngừng hoạt động Tấn công DDoS rất khó phát hiện và phòng chống hiệu quả do số lượng máy tính bị điều khiển tham gia tấn công mạng là rất lớn và nằm rải rác ở nhiều nơi

Động cơ của tin tặc tấn công DDoS khá đa dạng Tuy nhiên, có thể chia các dạng tấn công DDoS dựa trên các động cơ của tin tặc thành năm loại chính:

 Nhằm giành được lợi ích tài chính, kinh tế: Tin tặc tấn công DDoS loại này thường có kỹ thuật tinh vi và nhiều kinh nghiệm tấn công và chúng luôn là mối đe dọa thường trực với các công ty, tổ chức và TCT lớn Các tấn công DDoS nhằm giành được các lợi ích tài chính là những tấn công nguy hiểm và khó phòng chống nhất

 Gây chiến tranh trên không gian mạng: Tin tặc tấn công DDoS thuộc loại này thường là những cá nhân bất mãn và họ thực hiện tấn công để trả đũa sự việc mà họ cho là bất công

 Để thử thách trí tuệ: Tin tặc tấn công DDoS thuộc loại này thường là những ngưởi trẻ tuổi thích thể hiện bản thân, thực hiện tấn công để thử nghiệm và học cách thực hiện các dạng tấn công khác nhau Loại tin tặc này đang tăng nhanh chóng do ngày nay có sẵn nhiều công cụ tấn công mạng rất dễ dùng và một người nghiệp dư cũng có thể sử dụng để thực hiện thành công một cuộc tấn công DDoS

Sức mạnh của một cuộc tấn công DDoS phụ thuộc vào số lượng và quy mô máy tính bị kẻ tấn công kiểm soát Do đó, giải pháp phòng chống DDoS hiệu quả nhất là phát hiện và giảm thiểu số máy bị kẻ tấn công kiểm soát

1.3 Tổng quan về hệ thống SIEM

Hệ thống SIEM [10] là viết tắt của từ Security Information and Event Management – có nghĩa là hệ thống an toàn thông tin và quản lý sự kiện SIEM được kết hợp từ hai giải pháp đó là Quản lý an toàn thông tin (SIM – Security information management) và giải pháp quản lý phân tích sự kiện an toàn thông tin SIEM là một giải pháp hoàn chỉnh đã kế thừa ưu điểm và khắc phục nhược điểm

của hai giải pháp trên SIEM có khả năng thu thập nhật lý (log), đưa ra báo cáo (reporting) và phân tích nhật ký sau khi thu thập Các nhật ký này chủ yếu từ các hệ thống máy chủ, ứng dụng, thiết bị mạng cũng như các giải pháp bảo mật khác trong

hệ thống Ngoài ra, SIEM phân tích các sự kiện an toàn thông tin từ đó kịp thời phát hiện các thành phần trong hạ tầng mạng của doanh nghiệp, tổ chức từ đó kịp thời phát hiện các sự cố, nguy cơ mất an toàn thông tin, cuộc tấn công mạng, chiến dịch

mã độc…Mặt khác, SIEM còn có khả năng giám sát quản lý người dùng và bất kỳ

sự thay đổi cầu hình của các thiết bị trong hệ thống mạng, cũng như cung cấp khả năng hỗ trợ ứng cứu khi sự cố xảy ra

1.3.1 Tầm quan trọng của hệ thống SIEM

SIEM là một giải pháp nhắm đến các tổ chức lớn với khả năng duy trì và phát triển một đội ngũ chuyên gia phân tích an toàn thông tin riêng biệt Tuy nhiên, với sự phát triển của công nghệ đã giúp SIEM tăng cường khả năng thích ứng, phù hợp ngay cả với tổ chức, doanh nghiệp vừa và nhỏ Với việc sử dụng SIEM, doanh nghiệp và tổ chức sẽ có được ít nhất ba lợi ích lớn sau:

 Quản lý tập trung

 Giám sát an toàn mạng

 Cải thiện hiệu quả trong hoạt động xử lý sự cố

Trong các công ty, doanh nghiệp hiện nay, hệ thống mạng được xây dựng với nhiều thiết bị đầu cuối như rounter, switch, hub và vô số các thiết bị kết nối internet khác Mỗi thiết bị đầu cuối đó lại sản sinh ra một sự kiện an toàn thông tin khác nhau Trong một hệ thống mạng của công ty, doanh nghiệp vừa và nhỏ sẽ sản sinh ra hàng nghìn thậm chí hàng triệu sự kiện mỗi giây Chính vì lý do đó, SIEM

sẽ giúp doanh nghiệp, tổ chức thu thập và chuẩn hóa toàn bộ các sự kiện an toàn thông tin sản sinh ra từ thiết bị đầu cuối có trong toàn hệ thống mạng và lưu trữ tập trung Từ đó, SIEM sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an toàn thông tin của các thiết bị trên toàn hệ thống mạng Ngoài ra, SIEM còn hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc tế như health Insurance Portability and Accountability Act

(HIPAA), Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes – Oley Act (SOX) Với SIEM, tổ chức và doanh nghiệp có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yêu cầu về báo cáo an toàn thông tin định kỳ

Không những thế, với số lượng thiết bị nhiều thì doanh nghiệp và tổ chức sẽ rất khó khẳn trong việc phát hiện các sự cố khi mà có rất nhiều thiết bị đầu cuối có phần mềm ghi lại nhật ký nhưng không có khả năng phân tích, phát hiện sự cố Với các thiết bị có khả năng phát hiện sự cố lại không có tầm nhìn bao quát dẫn, tổng quan dẫn tới chưa thể phát hiện được những tấn công nâng cao Với SIEM, doanh nghiệp và tổ chức có thể thấy được sự tương quan giữa các thiết bị Bằng cách thu thập sự kiện của toàn hệ thống mạng, SIEM sẽ thấy được các thành phần khác nhau của cuộc tấn công thông qua nhiều thiết bị từ đó tổng hợp lại chuỗi sự kiện diễn ra

và xác định được cuộc tấn công bắt đầu từ đâu và ảnh hưởng của nó tới hệ thống mạng như nào từ đó có thể thực hiện các giải pháp đối phó, ứng cứu sự cố kịp thời Ngoài ra, SIEM có khả năng chặn các cuộc tấn công ngay từ khi các cuộc tấn công mới diễn ra SIEM không trực tiếp ngăn chặn các cuộc tấn công mà có thể kết nối, điều khiển các hệ thống đảm bảo an toàn thông tin khác của tổ chức

Một lợi ích khác của giải pháp SIEM là giúp tăng cường hiệu quả của việc ứng cứu, xử lý sự cố giúp tiết kiệm thời gian chí cho các công ty, doanh nghiệp SIEM cải thiện khả năng giải quyết sự cố bằng cách cung cấp một giao diện đơn giản để theo dõi nhật ký an toàn thông tin từ thiết bị đầu cuối từ đó cung cấp cho chuyên gia an toàn thông tin một cái nhìn tổng quan, bao quát toàn bộ hệ thống

1.3.2 Thành phần của hệ thống SIEM

Hệ thống SIEM [11] có nhiều thành phần, mỗi thành phần sẽ đảm nhiệm một nhiệm vụ khác nhau Mỗi thành phần trong hệ thống có thể hoạt động riêng biệt với các thành phần khác nhưng có sự tương trợ, hỗ trợ với nhau để tạo thành một hệ thống SIEM hoàn chỉnh hoạt động hiệu quả

Tùy thuộc và cơ sở hạ tầng hiện tại việc triển khai hệ thống SIEM sẽ khác nhau Tuy nhiên, về cơ bản các hệ thống SIEM sẽ có các thành phần cơ bản giống nhau bao gồm:

 Thành phần thu thập dữ liệu, nhật ký

 Thành phần phân tích và lưu trữ dữ liệu, nhật ký

 Thành phần quản trị tập trung, giám sát

Hình 1.3: Dữ liệu, nhật ký hệ thống SIEM thu thập

Trong hệ thống, log có rất nhiều loại nhưng chúng được chia thành 3 loại log chính theo mục đính là:

 Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…

 Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện Log ứng dụng, log của hệ điều hành…

 Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

Các hệ thống thường không chỉ có Syslog mà còn dưới nhiều định dạng khác nhau và các log này có thể phân loại thành các loại sau:

 Syslog: là một phương pháp chuẩn cho các thiết bị ghi lại và báo cáo các

sự kiện mà chúng thực hiện hoặc các tình huống mà chúng gặp phải Hầu hết các thiết bị mạng như thiết bị định tuyến, thiết bị chuyển mạch, tường lửa và máy chủ đều có khả năng tạo ra một luồng dữ liệu gửi các tệp tin syslog có thể được gửi đến vị trí trung tâm để xử lý và (hoặc) lưu trữ Các thiết bị thường có thể được cấu hình để giảm mức báo cáo (ít thông điệp) hoặc mức báo cáo cao hơn (nhiều thông điệp hơn) Tổ chức sẽ cần phải xem xét những loại tin nhắn syslog tổ chức quan tâm từ mỗi loại thiết bị

và cấu hình các thiết bị đó một cách hợp lý

 Cảnh báo: Một số loại thiết bị trong mạng của tổ chức có thể sử dụng các phương pháp độc quyền cung cấp thông tin sự kiện Thông thường, chúng có thể bao gồm các công nghệ như các thiết bị chống virus và phát hiện và ngăn chặn xâm nhập (IDS/IPS) Khi kiểm kê các thiết bị và công nghệ trên mạng của tổ chức, người quản trị sẽ muốn xác định các thiết bị

sử dụng phương pháp độc quyền Các thiết bị sẽ không gửi thông tin sự kiện trong định dạng syslog

 Luồng dữ liệu: Luồng dữ liệu được tạo ra bởi các thiết bị mạng và cung cấp thông tin về các luồng dữ liệu cụ thể giữa các điểm cuối Thông tin

về luồng được tạo ra dưới các định dạng cụ thể của nhà cung cấp như NetFlow (Hệ thống Cisco), J-Flow (Juniper), QFlow (Q1Labs), cũng như tiêu chuẩn sFlow (RFC 3176) được hỗ trợ bởi nhiều nhà cung cấp

 Dữ liệu đánh giá lỗ hổng: Nếu tổ chức đã sử dụng công cụ đánh giá lỗ hổng, thông tin được tạo ra cũng rất hữu ích cho các nỗ lực của SIEM

Dữ liệu từ công cụ đánh giá lỗ hổng sẽ cho người quản trị biết hệ thống nào có thể dễ bị tấn công bởi những loại hướng tấn công nào; do đó,

người quản trị sẽ muốn giữ thông tin hữu ích này và cố gắng sử dụng tốt các thông tin sự kiện mà người quản trị đã thu thập được Thông tin từ hệ thống đánh giá lỗ hổng đặc biệt hữu ích khi cố gắng xác minh xem một cuộc tấn công được phát hiện bởi một thiết bị (như một cảm biến phát hiện tấn công) đang nhắm mục tiêu một hệ thống có thể bị tổn hại bởi nó

Để thu thập dữ liệu, nhật ký về hệ thống, SIEM sử dụng hai phương thức là Push Log và Pull Log

 Push Log: là phương thức mà các dữ liệu, nhật ký sẽ được các thiết bị

sinh ra dữ liệu đó tự động gửi về hệ thống SIEM Phương pháp này dễ dàng cài đặt và cấu hình Thông thường, chỉ cần thiết lập một bộ tiếp nhận dữ liệu và sau đó cấu hình thiết bị đầu cuối gửi dữ liệu về bộ tiếp nhận này

 Pull log: là phương thức mà các dữ liệu, nhật ký sẽ được hệ thống SIEM

tự động thu thập về phương pháp này đòi hỏi hệ thống SIEM phải kết nối với các thiết bị sinh log và chủ động lấy log từ các thiết bị đó bằng một phần mềm riêng biệt được cài lên các thiết bị Tuy nhiên, phương pháp này sẽ có nhiều hạn chế khi phải phát triển nhiều phần mềm trên nhiều nền tảng khác nhau để thu thập dữ liệu

Một hệ thống SIEM tốt cần phải biết kết hợp cả hai phương pháp thu thập log trên để tăng cường khả năng thu thập dữ liệu và thích ứng với nhiều cơ sở hạ tầng mạng khác nhau

1.3.4 Thành phần phân tích và lưu trữ dữ liệu, nhật ký

Thành phần này đòi hỏi phải có những thiết bị lưu trữ có dung lương lớn cùng với khả năng tổng hợp, phân tích Dữ liệu sau khi được thu thập về sẽ được phân tích và chuẩn hóa trước khi được lưu vào cơ sở dữ liệu Với những hệ thống mạng lớn với nhiều loại thiết bị khác nhau, số lượng bản ghi đổ về hệ thống sẽ là rất lớn đòi hỏi thành phần phân tích phải có khả năng xử lý dữ liệu nhanh chóng Để những bản ghi này hữu ích và đồng bộ hơn, hệ thống SIEM cần định dạng lại chúng sang một dạng chuẩn duy nhất Trong thành phần này chứa các mô đun phân tích

được phát triển dựa trên các luật (được định nghĩa trước) có khả năng tùy biến cao nhằm đưa ra kết quả phân tích chuẩn xác nhất

Các luật này cho phép mở rộng việc chuẩn hóa các bản ghi nhật ký từ các nguồn khác nhau trong việc đưa ra cảnh báo trong hệ thống giám sát Việc viết các luật sử dụng trong hệ thống thường khá đơn giản nhưng cũng có thể trở nên rất phức tạp Kỹ thuật này gọi là kỹ thuật tương quan các sự kiện Bao gồm tập hợp các quy tắc Việc thực hiện tương quan sự kiện giúp liên kết các sự kiện này từ nhiều nguồn khác nhau thành một sự kiện chính xác để đưa ra cảnh bảo Việc thực hiện tương quan các sự kiện nhằm đơn giản hóa các thủ tục ứng cứu sự cố cho hệ thống, bằng việc thể hiện một sự cố duy nhất được liên hệ từ nhiều sự kiện đến từ nhiều thiết bị, ứng dụng khác nhau

Trong các hệ thống SIEM hiện nay có hai kiểu tương quan sự kiện là dựa trên các quy tắc luật (Rule – based) hoặc dựa trên phương pháp thống kê (Statistical – based):

 Quy tắc luật: là phương pháp tương quan sự kiện dựa trên các đặc điểm, thống tin dữ liệu đã biết về các cuộc tấn công Những thông tin, đặc điểm

về cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích chúng trong một bối cảnh chung Các quy tắc được xây dựng vào các mẫu xác định và do nhà cung cấp phát triển hoặc người quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy

 Phương pháp thống kê: là phương thức không sử dụng bất kỳ thông tin

dữ liệu nào của các hoạt động được cho là nguy hiểm đã biết trước đó Nhưng thay vì dựa vào những thông tin, dữ liệu đó thì phương pháp này

sử dụng một thuật toán để có thể so sánh các sự kiện với các sự kiện được đánh giá là bình thường để phát hiện ra hành vi bất thường

Trong việc lưu trữ dữ liệu, hệ thống SIEM có ba cách mà có thể lưu trữ dữ liệu nhật ký đó là: Dùng một cơ sở dữ liệu, lưu trữ dưới dạng tập tin

 Cơ sở dữ liệu: Việc lưu trữ các bản ghi nhật ký bằng cơ sở dữ liệu là cách thường được sử dụng Cơ sở dữ liệu này thường là một nền tảng cơ sở dữ liệu chuẩn như Oracle, MySQL hoặc các hệ cơ sở dữ liệu noSQL như Elasticsearch, MongoDB Phương pháp này cho phép hệ thống dễ dàng lưu trữ cũng như tương tác, truy vấn dữ liệu Hiệu suất hoạt động cao

 Lưu trữ dưới dạng tập tin: Một tập tin chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc được Các thông tin cần phải phân tách nhau bằng dấu phẩy hoặc khoảng cách hay một số ký hiệu khác Phương pháp lưu trữ này không được sử dụng thường xuyên Việc đọc và ghi từ tập tin văn bản chậm hơn nhiều so với phương pháp khác Lợi ích duy nhất của phương pháp này là với tập tin văn bản, con người có thể đọc được và dễ dàng để phân tích và tìm kiếm

1.3.5 Thành phần quản lý tập trung, giám sát

Thành phần này cung cấp một giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy điều khiển Cả hai giao diện sẽ cung cấp cho người quản trị khả năng tương tác với các dữ liệu được lưu trữ trong SIEM Ngoài ra, người sử dụng cũng sử dụng giao diện này để quản lý, điều hành hệ thống Thành phần này cho phép người quản trị xử lý sự cố hoặc cung cấp một cái nhìn tổng quan về toàn bộ cơ

sở hạ tầng mạng

SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi có điều chúng nhận ra là bất thường Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web

Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của hệ thống Bình thường, khi muốn xem các thông tin hoặc

xử lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi Log trong định dạng gốc của nó Nhưng với SIEM sẽ đơn giản và tiện lợi hơn

nhiều Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó

Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện

an ninh được xử lý Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM

1.4 Những giải pháp SIEM có trên thị trường hiện nay

Hiện tại có rất nhiều nhà cung cấp sản phảm SIEM trên thế giới thu phí và

mã nguồn mở như IBM Security Qradar SIEM, AlienVault Open Source SIEM (OSSIM), HP ArcSight Enterprise Security Manager… Mỗi một giải pháp để có những ưu, nhược điểm khác nhau Tùy từng cơ sở hạ tầng hệ thống và kinh phí hoạt động của tổ chức, doanh nghiệp sẽ lựa chọn sản phầm phù hợp riêng biệt

1.4.1 Giải pháp HP ArcSight ESM

Giải pháp ArcSight [12] được HP mua lại năm 2010 và là nhà cung cấp lớn

về giải pháp SIEM HP đang tiếp tục phát triển và cung cấp sản phẩm ArcSight như một nhà cung cấp chính về giải pháp SIEM

Giải pháp SIEM của HP bao gồm phần mềm Enterprise Security Manager (ESM) cho các môi trường triền khai lớn và phục tạp, yêu cầu mở rộng cao, còn về dòng sản phẩm ArcSight Express là dạng thiết bị cung cấp giải pháp ESM cho các đối tượng khách hàng vừa và nhỏ, sản phẩm này cung cấp sẵn các công cụ cho phép giám sát và báo cáo Dòng sản phẩm thiết bị và phần mềm ArcSight Logger cung cấp các tính năng thu thập và quản lý dữ liệu nhật ký ArcSight Logger có thể triển khai như một giải pháp quản lý nhật ký độc lập hoặc kết hợp với ESM HP hiện nay cung cấp các module mở rộng như:

+ Application View – cung cấp khả năng giám sát toàn diện các ứng dụng dựa trên công nghệ HP Fortify

+ HP ArcSight User Behavior Analytics (UBA) – cung cấp khả năng tích hợp hành vi của người dùng (Users)

+ HP DNS malware Analytics (DMA) – cho phép phát hiện các thiết bị (servers, desktop, mobile) bị nhiễm mã độc

Tính đến năm2014, HP đã bổ sung và phát triển thêm nhều chức năng mới như cho phép triển khai đảm bảo tính sẵn sàng cao cho sản phẩm ArcSight ESM, cập nhật & cải thiện giao diện Web UI trên ArcSight Logger và ArcSight Express cho phép tối ưu việc giám sát và phân tích

Với sản phầm ưu việt mà HP cung cấp trong lĩnh vực giám sát, ArcSight luôn được tổ chức Gartner đánh giá là sản phẩm Leader Cũng theo đánh giá của Gartner năm 2015 về các tiêu chí chức năng mà hệ thống SIEM cần cung cấp, giải pháp HP ArcSight được chứng minh là giải pháp phù hợp nhất với việc ArcSight xếp vị trí thứ 1 hoặc thứ 2 trong 6 trên 8 tiêu chí về chức năng

- Ưu điểm:

+ Cung cấp toàn diện các chức năng của một giải pháp SIEM, cho

phép xây dựng một Security Operations Center (SOC), bao gồm đầy đủ khả năng điều tra và quản lý sự cố an ninh thông tin theo

workflow

+ HP ArcSight User Behavior Analytics cung cấp đầy đủ và chính

xác các tính năng về phân tích hành vi của người dùng cùng với

hệ thống SIEM

+ HP ArcSight cung cấp sẵn một một số lượng lớn các công nghệ

thu thập cho phép tích hợp và thu thập nhật ký một cách dễ dàng

với các hãng thứ 3

+ HP ArcSight tiếp tục là hãng có sức cạnh tranh lớn theo đánh giá của Gartner về giải pháp công nghệ SIEM

+ ArcSight Logger cung cấp toàn diện giải pháp quản lý log (Log

Management) và ArcSight Express cung cấp một lựa chọn đầy đủ

cho việc triển khai SEM cho mô hình vừa và nhỏ

- Nhược điểm:

+ Doanh nghiệp thường không chọn ArcSight bởi vì việc ứng dụng

ArcSight là rất khó khăn và phức tạp Không những thế giải pháp

không phù hợp với những tổ chức, doanh nghiệp vừa vả nhỏ 1.4.2 Giải pháp IBM Security Qradar

Bộ sản phẩm IBM Security Qradar [13] bao gồm: Qradar SIEM, Log manager, Vulnerability Manager, Risk manager, Qflow, vflow collectors Qradar có thể triển khai với dạng một thiết bị, một thiết bị ảo hoặc SaaS Các thành phần trong giải pháp có thể triển khai dạng all-in-one hoặc mở rộng bằng việc sử dụng các thành phần độc lập với các tính năng khác nhau, tuy nhiên triển khai dạng all-in-one không sẽ bị giới một số tính năng Giải pháp IBM Qradar cho phép thu thập dữ liệu nhật ký, NetFlow data, full packet

Hiện nay IBM cải thiện một số tính năng như hỗ trợ điều tra sự cố, khả năng lưu trữ, truy vấn dữ liệu, ngoài ra khả năng phân tích tương quan đối với dữ liệu nhật ký trong quá khứ cũng đã được hỗ trợ IBM có kế hoạch bổ sung tính năng xử

lý sự cố sự cố theo workflow trong tương lai

- Ưu điểm

+ Giải pháp IBM Qradar cho phép cung cấp khả năng quan sát đối

với cả dữ liệu nhật ký và gói tin, các điểm yếu an ninh

+ Sản phẩm được cho là dễ dàng triển khai trong nhiều môi trường

khác nhau

+ Qradar cung cấp khả năng phân tích hành vi đối với netflow và

log events

- Nhược điểm

+ Qradar hạn chế trong việc định nghĩa vai trò, khả năng tích hợp

với các hệ thống trong việc thực hiện xử lý theo workflow và không thể so sánh với các sản phẩm cạnh tranh khác

+ Sản phẩm Qradar Vulnerability Manager cung cấp hạn chế các

tính năng, không ổn định, việc cập nhật tính năng chậm và hỗ trợ delays

+ Qradar hiện tại chỉ cho phép tích hợp với duy nhất sản phẩm

Qradar Vulnerability Manager để bổ sung các thông tin về điểm yếu an ninh trong khi các sản phẩm cạnh tranh cho phép tích hợp với hầu hết các sản phẩm quản lý điểm yếu an ninh

+ Dòng sản phẩm All-in-one thực chất không có khả năng thu thập

fullpacket, chỉ hỗ trợ thu thập dữ liệu Netflow và log event Để có thể thu thập full packet khách hàng cần mua riêng một sản phẩm Qradar flow với chí đắt và không có nhiều lựa chọn về models

1.4.3 Giải pháp Mcafee ESM

Mcafee ESM [14] là giải pháp SIEM với khả năng quản lý, phân tích sự kiện

an ninh thông tin với hiệu suất cao và xác định nguy cơ mất ATTT một cách nhanh chóng giúp giảm thiểu rủi ro thông tin và cơ sở hạ tầng, trong khi đáp ứng nghiêm ngặt các chính sách tuân thủ quy định

McAfee ESM kết hợp đồng thời việc quản lý các sự kiện an ninh thông tin, giám sát, phân tích tương quan nội dung, khả năng phân tích tương quan hệ thống với các thay đổi, cập nhập các chinh sách bảo mật (các threats, attack mới) liên tục trên internet, từ đó đưa ra cảnh báo bảo mật, cũng như phương án đối phó nhanh và phù hợp

McAfee ESM được tổ chức Gartner đánh giá khá cao về tầm nhìn công nghệ (Next Generation SIEM) và hiệu suất/tốc độ xử lý của hệ thống Gartner khuyến cáo khách hàng sử dụng McAfee ESM cho các hệ thống có lượng thông tin với yêu cầu

xử lý nhanh

- Ưu điểm

+ Có năng lực nhận và xử lý thông tin, phân tích, điều tra các sự kiện an ninh thông tin nhanh, đảm bảo khả năng xác định và đối phó đối với các nguy cơ một cách nhanh chóng

+ Kết hợp tính năng phân tích các sự kiện an ninh thông tin với khả năng giám sát, phân tích sâu vào nội dung ứng dụng truyền gửi, các truy cập/thao tác vào cơ sở dữ liệu, giúp cho quản trị viên phân tích

bảo mật một cách chính xác, toàn diện hơn các sự kiện an ninh đã và đang xảy ra trong hệ thống

+ Kết hơp đồng thời phương thức phân tích, điều tra dựa trên các tập luật tính tương quan với phương thức phân tích dựa trên rủi ro giúp cho quản trị viên xác định được chính xác các vấn đề bảo mật/sự kiện bảo mật trong hệ thống, đánh giá chính xác mức độ ảnh hưởng/rủi ro bảo mật của các sự kiện này, từ đó quan tâm/chú trọng đến các sự kiện an ninh có mức độ rủi ro cao, gây ảnh hưởng đến các tài nguyên, đối tượng quan trọng trong hệ thống

+ McAfee Advanced Correlation Engine có khả năng xử lý, phân tích thông tin với hiệu suất cao Module chuyên dụng để phân tích bảo mật, điều ra các sự kiện xảy ra trong quá khứ Đảm bảo tính “play-back” để giúp quản trị viên khám phá các sự kiện bảo mật, các tấn công mà trước đây chưa xác định được

+ McAfee Global Threats Intellegent (McAfee GTI) tập hợp một database gồm các IP/domain thường xuyên phát động tấn công từ chối dịch vụ (DoS, DDoS), phát tán mã độc, phát tán thư rác, tấn công người dùng… Áp dụng kết hợp McAfee GTI vào McAfee ESM giúp cho quản trị viên xác định một cách nhanh chóng các kết nối nghi vấn/tiềm ẩn rủi ro từ hệ thống mạng tổ chức tới các IP/Domain có mức độ rủi ro cao Từ đó giúp quản trị viên kịp thời phát hiện các rủi

ro tiềm ẩn đang có, điều tra và đưa ra Phương án xử lý kịp thời + Có khả năng tích hợp với nhiều hệ thống bảo mật một cách chặt chẽ

để đảm bảo tính bảo mật cao nhất cho tổ chức: Kết hợp với giải pháp

dò quét/quản lý điểm yếu Kết hợp với giải pháp phòng chống tấn công xâm nhập: cho phép cập nhật thông tin tấn công vào hệ thống SIEM, xác định các nguy cơ có thể xảy ra và thực thi ra lệnh block/ngăn chặn tấn công trên McAfee IPS thông qua giao diện của McAfee ESM Kết hợp với giải pháp quản lý bảo mật Endpoint: nạp

thông tin bảo mật của hệ thống Endpoint – McAfee ePO Cho phép McAfee ESM biết được chính xác thông tin các tài nguyên đang được quản lý bởi McAfee ePO, phục vụ quá trình điều tra các sự kiện liên quan đến các tài nguyên này Ngoài ra từ McAfee ESM cũng có thể thiết lập và ra lệnh cho McAfee ePO tự động chạy các task để bảo mật

Do công ty chiếm lĩnh đa phần thị trường thiết bị mạng nên việc áp dụng rộng rãi và tác động của nó cũng trở lên dễ dàng hơn Hiện nay trên một số sản phẩm phần cứng của hãng đã tích hợp công cụ này

Khi triển khai một cách chính xác thì MARS có thể:

- Xác định một cuộc tấn công nào được tiến hành

- Hiển thị các thông tin chi tiết và mạng, đường dẫn liên quan đến sự việc

- Xác định các thiết bị có thể sử dụng để ngăn chặn các cuộc tấn công

- Trong nhiều trường hợp nó có thể cung cấp các lệnh cụ thể áp dụng cho các thiết bị để ngăn chặn các cuộc tấn công

Giống như nhiều sản phẩm SIEM khác, MARS cũng cung cấp chức năng phục vụ điều tra số và báo cáo Kiểm toán các chính sách về hệ thống mạng, báo cáo hiện trạng mạng, việc sử dụng các thiết bị và xác định định hướng quy hoạch phạm vi của SIEM

MARS vẫn cung cấp khả năng thu thập thông tin sự kiện an ninh từ các thiết

bị và ứng dụng qua Syslog hoặc giao thức SNMP

1.4.5 Giải pháp AlienVault OSSIM

OSSIM (Open Source Security Information Management) [16] là một giải pháp SIEM và OSSIM là hệ thống giám sát an ninh mạng dựa trên nền tảng mã nguồn mở

OSSIM thực hiện việc thu thập các sự kiện từ rất nhiều các thiết bị khác nhau như Firewall, IDS/IPS, các máy chủ, máy trạm…trong hệ thống giám sát, từ các sự kiện có thể đưa ra các cảnh báo (alert) khác nhau

Các sự kiện thu thập được từ nhiều nguồn khác nhau sau đó sẽ được OSSIM phân tích để tìm ra mối liên hệ giữa các sự kiện khác nhau và đưa ra được những thông tin tổng hợp nhất có liên quan đến an ninh trong hệ thống Những thông tin OSSIM sau khi đã được phân tích, tổng hợp sẽ được đưa vào báo cáo cụ thể, nó là kết quả đánh giá về mức độ an ninh trong hệ thống được giám sát

Kết luận chương I

Các giải pháp SIEM trên thị trường hiện nay đa phần đều đáp ứng được các yêu cầu về thu thập, phân tích và giám sát của các doanh nghiệp và các tổ chức Việc lựa chọn giải pháp cho doanh nghiệp phụ thuộc vào nhiều yếu tố như: quy mô

tổ chức, tài chính, trình độ của đội ngũ quản trị… Bằng cách tìm hiểu và so sách các giải pháp SIEM có trên thị trường tôi thấy rằng giải pháp Splunk Enterprise có những đặc điểm và khả năng mà Vietnam Airlines đang tìm kiếm như về giá cả, khả năng hỗ trợ thu thập và lưu trữ sự kiện ANTT từ nhiều nguồn khác nhau, tính đóng gói và tính linh hoạt trong việc cài đặt và quản trị hệ thống Ngoài ra hệ thống Splunk còn cung cấp phương thức giao tiếp cho nhà phát triển để giúp tôi có thể tùy biến và hoàn thiện hơn giải pháp Chính vì lý do đó chương II tập trung nghiên cứu

về sản phẩm Splunk

CHƯƠNG II: HỆ THỐNG SPLUNK 2.1 Tổng quan về giải pháp splunk

2.1.1 Giới thiệu Splunk

Splunk [17] là một nền tảng Big Data cung cấp khả năng giám sát và phân tích dữ liệu vận hành theo thời gian thực (Operational Intelligence) Người dùng có thể sử dụng Splunk để tìm kiếm, giám sát, phân tích và xem trực quan các dữ liệu máy do tất cả các thiết bị khác nhau tạo ra Ngoài ra, hệ thống cho phép tạo ra các

đồ thị, báo cáo, cảnh báo và biểu đồ giúp người quản trị có một cái nhìn tổng quan

về toàn bộ hệ thống

Hình 2.1: Kiến trúc của Splunk

Bằng cách giám sát và phân tích dữ liệu từ hành vi của người dùng, sự kiện của hệ thống, Splunk đã biết những dữ liệu máy tính trở nên vô cùng giá trị cho tổ chức và giúp cho quá trình chăm sóc khách hàng, xử lý, điều tra sự cố nhanh chóng thay vì phải mất hàng giờ, hàng ngày như trước kia Với cách tiếp cận hoàn toàn mới và là nền tảng phân tích, tổng hợp mạnh mẽ, giải pháp SIEM thế hệ mới của Splunk hiện được đánh giá là giải pháp SIEM tốt nhất trên thị trường Splunk được Gartner đánh giá cao và là sản phẩm có năm năm liền nằm trong Top Leaders và Top 3 Leaders theo đánh năm 2017

Hình 2.2: Bảng đánh giá các giải pháp SIEM của Gartner 2017

Hiện tại, Splunk đang được nhiều tổ chức, doanh nghiệp lớn và vừa sử dụng Bên cạnh đó, hàng ngàn tổ chức trên thế giới sử dụng Splunk Enterprise và Splunk App for security Enterprise để tạo ra một nền tảng đảm bảo an ninh, an toàn thông tin thúc đẩy phẩn tích sự kiện trên toàn bộ hệ thống mạng để giúp phát hiện những mối đe dọa tiên tiến đã biết và chưa biết

Splunk là một công ty đa quốc gia được sáng lập bởi Michael Baum, Rob Das và Erik Swan với bộ sản phẩm chính là “Splunk Enterprise” Tên “Splunk” được lấy cảm hứng bởi quá trình khám phá các hang động hay “Splunking” giúp các nhà phân tích, vận hành, lập trình viên khám phá dữ liệu bằng việc thu thập, phân tích và báo cáo dựa trên Splunk Hiện nay, Splunk cung cấp hơn 1000 ứng dụng bảo mật và hỗ trợ nhiều sản phầm hàng đầu trong ngành bảo mật thông tin