Trung tâm điều hành ATTT SOC sẽ giúp các cơ quan tổ chức theo dõi, giám sát những nguy cơ, rủi ro 24/7, từ đó phát hiện sớm các lỗ hổng, các cuộc tấn công để chủ động ứng phó.. Trung tâm
Trang 1BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS Cao Minh Tuấn
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
Trang 2BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS Cao Minh Tuấn
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
Trang 3MỤC LỤC
Danh mục kí hiệu và viết tắt iii
Danh mục hình vẽ iv
Danh mục bảng vi
Lời cảm ơn vii
Lời nói đầu viii
Chương 1 Giám sát an toàn thông tin trong mạng máy tính 1
1.1 Tổng quan về tình hình ATTT trong mạng máy tính hiện nay 1
1.2 Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC 3
1.3 Trung tâm điều hành ATTT SOC 4
1.3.1 Khái niệm trung tâm điều hành ATTT SOC 4
1.3.2 Nguyên lý hoạt động của Trung tâm điều hành ATTT SOC 5
1.3.3 Đối tượng, phạm vi giám sát của Trung tâm điều hành ATTT SOC 5 1.4 Một số sản phẩm giám sát ATTT 10
1.4.1 SIEMonster 11
1.4.2 ELK Stack 11
1.4.3 OSSIM 12
1.4.4 Security Onion 12
1.4.5 IBM QRadar SIEM 13
1.4.6 HP ArcSight SIEM 13
1.5 Lợi ích của việc xây dựng Trung tâm điều hành ATTT SOC 14
1.6 Kết luận chương 1 14
Chương 2 Hệ thống giám sát an toàn thông tin wazuh 15
2.1 Giới thiệu về Wazuh 15
2.2 Kiến trúc của Wazuh 16
2.3 Phương thức liên lạc và luồng dữ liệu 17
2.3.1 Liên lạc giữa Wazuh agent và Wazuh server 18
2.3.2 Liên lạc giữa Wazuh và Elastic 18
2.4 Các thành phần chính trong Wazuh 18
2.4.1 Wazuh server 18
2.4.2 Wazuh agent 20
2.4.3 Elastic Stack 21
2.5 Luật trong Wazuh 22
2.5.1 Các cấp độ luật của Wazuh 22
2.5.2 Phân loại luật 26
2.6 Khả năng của Wazuh 27
2.6.1 Phân tích bảo mật 27
2.6.2 Phát hiện xâm nhập 27
2.6.3 Phân tích dữ liệu nhật ký 27
2.6.4 Giám sát toàn vẹn tệp 28
2.6.5 Phát hiện lỗ hổng 28
2.6.6 Đánh giá cấu hình 28
Trang 42.6.7 Ứng phó sự cố 28
2.6.8 Tuân thủ quy định 29
2.6.9 Giám sát an ninh cloud 29
2.6.10.Bảo mật Containers 29
2.7 Kết luận chương 2 30
Chương 3 Xây dựng trung tâm điều hành an toàn thông tin dựa trên nền tảng wazuh 31
3.1 Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC 31
3.1.1 Nền tảng Trung tâm điều hành ATTT SOC 31
3.1.2 Đề xuất tiêu chí xây dựng SOC 33
3.1.3 Đề xuất các bước xây dựng Trung tâm điều hành ATTT SOC 37
3.1.4 Xây dựng các thành phần cơ bản của SOC 39
3.2 Tích hợp wazuh trong trung tâm giám sát ATTT SOC 49
3.3 Thử nghiệm 52
3.3.1 Xây dựng hệ thống 52
3.3.2 Kịch bản 01 53
3.3.3 Kịch bản 02 56
3.3.4 Kịch bản 03 63
3.4 Kết luận chương 3 68
Kết luận 69
Tài liệu tham khảo 70
Phụ lục 72
Trang 5DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
ATTT An toàn thông tin
CIS Center of Internet Security
CNTT Công nghệ thông tin
CVE Common Vulnerabilities and Exposures
EDR Endpoint Detection and Response
EPS Events Per Second
HIDS Host-based Intrusion Detection System
IDS Intrusion Detection System
NAC Network Access Control
OVAL Open Vulnerability Assesment Language
PAM Privileged Access Management
SOAR Security Orchestration, Automation, and Response SOC Security Operations Center
TSLCD Truyền số liệu chuyên dụng
TT&TT Thông tin và truyền thông
TTDL Trung tâm dữ liệu
XCCDF Extensible Configuration Checklist Description Format
Trang 6DANH MỤC HÌNH VẼ
Hình 1.1 Nguyên lý hoạt động của SOC 5
Hình 2.1 Mô tả về chức năng của hệ thống Wazuh 15
Hình 2.2 Các nền tảng chính trong wazuh 15
Hình 2.3 Kiến trúc tổng quát 17
Hình 2.4 Kiến trúc wazuh triển khai trên diện rộng 17
Hình 2.5 Kiến trúc luồng dữ liệu 17
Hình 2.6 Quy trình xử lý dữ liệu trên wazuh server 19
Hình 2.7 Quy trình xử lý dữ liệu trên wazuh agent 20
Hình 3.1 Yếu tố quan trọng trong SOC 31
Hình 3.2 Các bước xây dựng trung tâm điều hành ATTT SOC 37
Hình 3.3 Thành phần cơ bản của trung tâm điều hành ATTT SOC 40
Hình 3.4 Mô hình hạ tầng mạng trung tâm điều hành ATTT SOC 40
Hình 3.5 Thành phần của hệ thống giám sát tập trung 43
Hình 3.6 Mô hình triển khai hệ thống sử dụng wazuh 51
Hình 3.7 Mô hình thử nghiệm 53
Hình 3.8 Dashboard lỗ hổng hệ thống 55
Hình 3.9 Log của một lỗ hổng được phát hiện 55
Hình 3.10 Thông tin JSON của lỗ hổng 56
Hình 3.11 Đăng ký nhận API của Virus Total miễn phí 56
Hình 3.12 Tạo file trong thư mục 57
Hình 3.13 Thông tin hiển thị việc thêm file trên dashboard (1) 58
Hình 3.14 Thông tin hiển thị việc thêm file trên dashboard (2) 58
Hình 3.15 Log thêm file được ghi lại trên hệ thống 59
Hình 3.16 Nội dung dữ liệu được viết trong file 59
Hình 3.17 Virus Total tự động kiểm tra mã độc trong file mới được thêm 60
Hình 3.18 Sửa nội dung tệp tin 60
Hình 3.19 Thông tin về việc thay đổi nội dung file 61
Hình 3.20 Thêm thư mục chứa mã độc 61
Hình 3.21 Virus Total tự động phát hiện mã độc trong thư mục mới thêm 62
Hình 3.22 Kiểm tra thông tin trên Virus Total 63
Hình 3.23 Kiểm tra kết nối mạng giữa máy Attacker và ubuntu agent 65
Trang 7Hình 3.24 Thực hiện SSH từ máy Attacker đến máy agent 65
Hình 3.25 Thực hiện giả định tấn công SSH brute force 66
Hình 3.26 Attacker thực hiện ping đến agent 66
Hình 3.27 Attacker SSH đến agent 67
Hình 3.28 Log ghi lại trên agent 67
Hình 3.29 Log của thông tin chặn IP của Attacker 67
Hình 3.30 Kết nối máy Attacker và agent khi hết thời gian chặn 68
Hình 3.31 Log trên dashboard về việc bỏ chặn IP của Attacker 68
Hình 3.32 Thêm windows agent 76
Hình 3.33 Sinh khóa chia sẻ trước của windows agent 76
Hình 3.34 Đăng ký, kết nối đến wazuh server 77
Hình 3.35 Xác nhận kết nối đến wazuh server 77
Hình 3.36 Thêm ubuntu agent 77
Hình 3.37 Sinh khóa chia sẻ trước của ubuntu agent 78
Hình 3.38 Thêm key để kết nối với wazuh server 78
Hình 3.39 Xác nhận kết nối đến wazuh server 78
Trang 8DANH MỤC BẢNG
Bảng 2.1 Các cấp độ luật trong Wazuh 22 YBảng 3.1 Danh mục thiết bị trong trung tâm điều hành ATTT SOC………… 48
Bảng 3.2 Cấu hình máy ảo thử nghiệm 53
Trang 9LỜI CẢM ƠN
Trong quá trình thực hiện đồ án tốt nghiệp này, em đã nhận được sự giúp
đỡ tận tình của cán bộ hướng dẫn là ThS Cao Minh Tuấn – Giảng viên Khoa An toàn thông tin Học viện Kỹ thuật Mật mã
Đồng thời, em xin gửi lời cảm ơn đến các thầy cô trong Học viện Kỹ thuật Mật mã đã truyền đạt cho em những kiến thức từ cơ bản đến nâng cao suốt năm năm học giúp em có được những kiến thức cơ bản để em có thể hoàn thành được
đồ án này
Em xin gửi lời cảm ơn tới các anh chị trong Trung tâm An ninh mạng – Bkav đã nhiệt tình chia sẻ kiến thức giúp em học hỏi được rất nhiều trong quá trình học tập và làm việc
Do thời gian nghiên cứu và làm việc trong lĩnh vực an ninh mạng còn hạn chế, vậy nên chắc chắn sẽ không thể tránh khỏi những thiếu sót khi thực hiện đồ
án, em rất mong nhận được sự góp ý từ thầy cô để có thể hoàn thiện tốt hơn đồ
án của mình
Và cuối cùng em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người thân đã quan tâm, góp ý và giúp đỡ em trong suốt quá trình học tập và nghiên cứu, những điều kiện tốt nhất để em hoàn thành đồ án tốt nghiệp này
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
Trang 10LỜI NÓI ĐẦU
Cùng với sự bùng nổ của internet và cách mạng công nghiệp 4.0 đã tạo nên một xã hội toàn cầu, nơi mà mọi người có thể tương tác và liên lạc với nhau một cách nhanh chóng và hiệu quả Thật không thể phủ nhận được vai trò của internet trong nhiều phương diện cuộc sống hàng ngày từ thương mại đến giải trí, văn hóa, xã hô ̣i và giáo dục… phục vụ cho tiến trình phát triển đất nước bền vững Nhưng thực tế trong những năm qua, tình hình an ninh mạng trên thế giới diễn biến phức tạp và diễn ra nhiều cuộc tấn công có quy mô lớn Mục tiêu của các cuộc tấn công mạng rất đa dạng từ những thông tin cá nhân, những thông tin
về kinh doanh đến những mục tiêu chính trị với tầm ảnh hưởng lớn tới nhiều quốc gia trên thế giới
Trước sự leo thang của các cuộc tấn công mạng đòi hỏi sự ra đời của những đơn vị chuyên môn, có khả năng xử lý nhanh các sự cố và giám sát liên tục để phát hiện bất thường dù là nhỏ nhất Mô hình Trung tâm điều hành ATTT SOC là nơi xây dựng các giải pháp tổng thể nhằm ứng phó với các cuộc tấn công được lên kế hoạch kỹ lưỡng
Trung tâm điều hành ATTT SOC sẽ giúp các cơ quan tổ chức theo dõi, giám sát những nguy cơ, rủi ro 24/7, từ đó phát hiện sớm các lỗ hổng, các cuộc tấn công để chủ động ứng phó Trung tâm thu thập dữ liệu từ nhiều nguồn như NIDS, HIDS, raw log, để có thể phân tích, tương quan dữ liệu từ đó đưa ra cảnh báo ngay khi xuất hiện nguy cơ về cuộc tấn công như có lưu lượng truy cập bất thường, có kết nối trái phép vào máy chủ hay hành vi dò quét trong mạng Chính vì vậy, các kết nối với máy chủ mã độc, các cuộc tấn công web hay DDoS, APT đã bị chặn đứng khi mới chỉ là nguy cơ
Nhận thấy tầm quan trọng của việc xây dựng Trung tâm điều hành ATTT SOC là sự tất yếu, cấp thiết để đảm bảo an toàn, an ninh thông tin của các cơ
quan, tổ chức Vì vậy, em đã quyết định chọn đề tài “Tìm hiểu và triển khai
trung tâm giám sát an toàn mạng trên nền tảng Wazuh”, nhằm xây dựng trung
tâm giám sát tích hợp nguồn thu thập log từ các thiết bị Từ đó có thể phân tích
Trang 11hành vi người dùng cũng như có khả năng phát hiện các cuộc tấn công diễn ra trên một hay nhiều thiết bị
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
Trang 121 GIÁM SÁT AN TOÀN THÔNG TIN TRONG MẠNG MÁY TÍNH
1 Tổng quan về tình hình ATTT trong mạng máy tính hiện nay
Trong những năm qua, tình hình ATTT trên thế giới diễn biến phức tạp và diễn ra nhiều cuộc tấn công có quy mô lớn Trung bình cứ mỗi phút trôi qua có một trang web, hệ thống bị tin tặc chiếm quyền kiểm soát
Từ năm 2010, nhà máy điện nguyên tử Busher và cơ sở làm giàu urani Natanz đã bị mã độc phá hoại gây trì hoãn các hoạt động phát triển hạt nhân của Iran trong nhiều tháng liền Thủ phạm gây ra các vụ tấn công này là virus Stuxnet, với cơ chế hoạt động cực kỳ phức tạp, khai thác thành công một số lỗ hổng chưa hề biết đến trước đó Sau vụ việc này, Iran đã phải loại bỏ gần 10001 máy ly tâm khiến chương trình hạt nhân của nước bị gián đoạn ít nhất một năm
Giữa năm 2012 nhóm hacker mang tên “Cutting Sword of Justice” đã tấn công vào hệ thống của công ty dầu mỏ Saudi Aramco (công ty chiếm 10% lượng dầu mỏ của cả thế giới) Hacker đã gửi một email lừa đảo đến một nhân viên trong công ty, nhân viên này đã bấm vào đường dẫn trong email này, từ đó hacker đã xâm nhập vào hệ thống Cuộc tấn công đã xoá và làm hỏng dữ liệu của khoảng 30.0002 máy tính của Saudi Aramco, khiến công ty này phải sử dụng máy đánh chữ và máy fax để thực hiện các giao dịch
Tháng 01/2015, các website của thủ tướng Angela Merkel và quốc hội Đức bị tê liệt Văn phòng của thủ tướng Đức xác nhận các website nói trên bị ngừng hoạt động kể từ 9h sáng ngày 07/01/20153 Một nhóm tin tặc tự xưng là CyberBerkut tuyên bố đã tiến hành cuộc tấn công mạng này để phản đối chuyến thăm của Thủ tướng Ukraine Arseniy Yatsenyuk tới Berlin Đến tháng 05/2015,
nữ phát ngôn viên của Quốc hội Đức tiếp tục tuyên bố một nhóm hacker chưa rõ danh tính đã cố gắng xâm nhập vào mạng dữ liệu của quốc hội
Tháng 07/2018, đại diện Bộ Y tế Singapore và Bộ Thông tin Truyền thông nước này cho biết hệ thống dữ liệu của SingHealth, tổ chức bảo hiểm y tế
1 Stuxnet Worm Attack on Iranian Nuclear Facilities, http://large.stanford.edu/courses/2015/ph241/holloway1/
2 Cyber Threat Research, https://cyberthreatresearch.wordpress.com/hacktivist-groups/cutting-sword-of-justice/
3 Cyberattack in Germany Shuts Down Official Sites,
https://www.nytimes.com/2015/01/08/world/europe/german-government-websites-shut-down-and-ukraine-group-claims-responsibility.html
Trang 13lớn nhất nước, đã bị tin tặc tấn công Vụ tấn công đã tiếp cận và sao chép thông tin cá nhân 1,5 triệu4 người dùng của SingHealth Trong danh sách người dùng của SingHealth bị rò rỉ thông tin cá nhân còn có thông tin của Thủ tướng Singapore Lý Hiển Long Đây là vụ tấn công mạng đánh cắp thông tin cá nhân nghiêm trọng nhất ở Singapore từ trước đến nay
Đối với Việt Nam, theo thông tin hãng an ninh mạng Kaspersky công bố năm 2016, tại khu vực châu Á – Thái Bình Dương, nước ta là nước có số người dùng gặp sự cố máy tính cao nhất (chiếm 68%)5, điển hình là lây nhiễm mã độc
mã hóa tống tiền (ransomware)
Năm 2016 cũng là năm xảy ra cuộc tấn công vào các cảng hàng không quốc tế của Việt Nam, đây là vụ tấn công APT nhắm vào các hệ thống thông tin quan trọng của Việt Nam Vào 13 giờ 46 phút ngày 29/07/2016 tại Cảng hàng không quốc tế Tân Sơn Nhất và 16 giờ 7 phút tại Cảng hàng không quốc tế Nội Bài, các hệ thống máy tính làm thủ tục hàng không của Hãng Hàng không VietJet Air, Vietnam Airline tại nhà ga quốc nội của sân bay Tân Sơn Nhất và
hệ thống hiển thị thông tin bao gồm màn hình thông tin chuyến bay, màn hình máy tính phục vụ check-in tại quầy thủ tục của Vietnam Airline, hệ thống phát thanh tại nhà ga khách T1 của sân bay Nội Bài bị tấn công xâm nhập phải dừng hoạt động Tại thời điểm này, hệ thống hiển thị các thông tin và phát ra âm thanh sai lệch về vấn đề chủ quyền Biển Đông Cùng thời điểm trên, website chính thức của Vietnam Airline cũng bị tin tặc tấn công và thay đổi giao diện Không những thế, tin tặc còn để lại những công kích mang những nội dung bôi xấu Việt Nam, Philippines và xuyên tạc về chủ quyền ở Biển Đông Ngoài ra, tin tặc còn phát tán một bảng danh sách ước tính hơn 400.0006 tài khoản hội viên Golden Lotus của Vietnam Airlines Trong danh sách này có đầy đủ thông tin cá nhân như ngày gia nhập, điểm tích luỹ, ngày hết hạn…
4 Vụ tấn công mạng chấn động Singapore: đánh cắp thông tin cá nhân của 1,5 triệu người, trong đó có thủ tướng
Lý Hiển Long, https://cystack.net/
https://securitybox.vn/391/an-ninh-mang-tai-viet-nam-nam-2014-den-nam-2017/
6 Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công, https://vnexpress.net/
Trang 14Theo đánh giá của Bộ TT&TT vào tháng 4/2019 về an toàn thông tin năm
2018, đa số Bộ, ngành, địa phương (70%)7 được xếp hạng C tức là quan tâm triển khai ATTT ở mức trung bình, 17% cơ quan được đánh giá triển khai ATTT
ở mức khá và 13% cơ quan dừng ở mức D tức là mới bắt đầu quan tâm đến ATTT Việc dữ liệu quan trọng của tổ chức bị đánh cắp diễn ra thường xuyên và trong thời gian ngắn, những sự cố này chỉ được phát hiện ra sau vài tháng thậm chí vài năm sau Như vậy việc bị đánh cắp dữ liệu quan trọng xảy ra rất nhanh
và lại mất một thời gian rất dài để phát hiện ra Kết quả thống kê này cho thấy tầm quan trọng cần phải có một hệ thống ứng phó an ninh hiệu quả, trong đó giám sát và ứng phó đóng vai trò cốt yếu
2 Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC
Ngày nay, hoạt động tội phạm trên không gian mạng ngày càng gia tăng
về số vụ, thủ đoạn tấn công rất tinh vi gây thiệt hại nghiêm trọng về kinh tế, ảnh hưởng tới văn hóa, xã hội tuy nhiên hệ thống bảo mật thông tin lại chưa được đầu tư bài bản, chưa có phương án hay giải pháp cụ thể để phòng ngừa, cảnh báo sớm các cuộc tấn công mạng Do vậy, giải pháp về Trung tâm điều hành an toàn thông tin là hệ thống cần thiết, hỗ trợ tích cực cho các tổ chức, doanh nghiệp trong việc giám sát và nâng cao trạng thái an ninh hệ thống mạng của mình, sẵn sàng phản ứng với các sự cố có thể xảy ra
Trong những năm gần đây, khi tần suất các cuộc tấn công mạng trên thế giới nói chung và ở Việt Nam nói riêng gia tăng ngày càng nhiều, mức độ nghiêm trọng và tinh vi ngày càng cao, các biện pháp đảm bảo ATTT cũng được các tổ chức, đơn vị chú ý và đầu tư bài bản hơn trước Thay vì các giải pháp độc lập, chuyên biệt chỉ xử lý được một khía cạnh của cuộc tấn công, các cơ quan, tổ chức bị thuyết phục bởi các giải pháp tổng thể, đa tầng, nhiều lớp nhằm phát hiện và giải quyết triệt để các mối nguy hại chưa từng có tiền lệ Trung tâm điều hành an toàn thông tin SOC chính là một giải pháp tổng thể để theo dõi, giám sát
và phân tích các mối đe dọa đối với hệ thống mạng
7 Bộ TT&TT công bố xếp hạng an toàn thông tin mạng của các cơ quan, tổ chức nhà nước năm 2018, https://www.mic.gov.vn/