TCVN: CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – LỰA CHỌN, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

Dấu hiệu tấn công attack signature Chuỗi các hành động hoặc các thay đổi trong hệ thống được sử dụng để thực hiện một tấn công, được sử dụng bởi IDPS để phát hiện ra một tấn công đã xảy

TCVN T I Ê U C H U Ẩ N Q U Ố C G I A

TCVN XXXX:2021 ISO/IEC 27039:2015

Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – LỰA CHỌN, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG

PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

Information technology – Security techniques – Selection, deployment and operations of intrusion detection systems (IDPS)

HÀ NỘI - 2021

Lời nói đầu 4

Lời giới thiệu 5

1 Phạm vi áp dụng 1

2 Thuật ngữ và định nghĩa 1

3 Nền tảng 6

4 Tổng quan 7

5 Chọn lựa 9

5.1 Tổng quan 9

5.2 Đánh giá rủi ro an toàn thông tin 9

5.3 IDPS dựa trên máy chủ và dựa trên mạng 10

5.3.1 Tổng quan 10

5.3.2 IDPS dựa trên máy chủ (HIDPS) 10

5.3.3 IDPS dựa trên mạng (NIDPS) 10

5.4 Chú ý 10

5.4.1 Môi trường hệ thống 10

5.4.2 Các cơ chế bảo vệ an toàn 11

5.4.3 Chính sách an toàn IDPS 11

5.4.4 Hiệu năng 12

5.4.5 Kiểm tra tính năng 13

5.4.6 Chi phí 14

5.4.7 Các bản cập nhật 14

5.4.8 Chiến lược cảnh báo 16

5.4.9 Quản lý định danh 16

5.5 Các công cụ bổ sung cho IDPS 17

5.5.1 Tổng quan 17

5.5.2 Công cụ kiểm tra tính toàn vẹn của tập tin 18

5.5.3 Tường lửa 18

1

5.5.5 Công cụ quản trị mạng 20

5.5.6 Công cụ quản lý sự kiện và thông tin an toàn (SIEM) 20

5.5.7 Công cụ bảo vệ vi-rút/nội dung 21

5.5.8 Công cụ đánh giá lỗ hổng 21

5.6 Tính mở rộng 22

5.7 Hỗ trợ kỹ thuật 23

5.8 Đào tạo 23

6 Triển khai 23

6.1 Tổng quan 23

6.2 Triển khai theo giai đoạn 24

6.3 Triển khai NIDPS 24

6.3.1 Tổng quan 24

6.3.2 Vị trí của NIDPS bên trong tường lửa Internet 25

6.3.3 Vị trí của NIDPS bên ngoài tường lửa Internet 26

6.3.4 Vị trí của NIDPS trên trục mạng chính 26

6.3.5 Vị trí của NIDPS trên mạng con trọng yếu 27

6.4 Triển khai HIDPS 27

6.5 Đảm bảo và bảo vệ an toàn thông tin IDPS 27

7 Vận hành 28

7.1 Tổng quan 28

7.2 Tinh chỉnh IDPS 28

7.3 Điểm yếu IDPS 29

7.4 Xử lý cảnh báo IDPS 29

7.4.1 Tổng quan 29

7.4.2 Đội ứng cứu sự cố an toàn thông tin (ISIRT) 30

7.4.3 Thuê ngoài 30

7.5 Tùy chọn phản ứng 31

7.5.1 Nguyên tắc 31

7.5.3 Phản ứng bị động 33

7.6 Xem xét pháp lý 33

7.6.1 Tổng quan 33

7.6.2 Tính riêng tư 33

7.6.3 Xem xét luật pháp và chính sách khác 33

7.6.4 Điều tra 34

Phụ lục A (Tham khảo) Hệ thống phát hiện và ngăn chặn xâm nhập IDPS: Nền tảng và các vấn đề cần xem xét 35

3

TCVN ISO/IEC XXXX:2021 hoàn toàn tương đương ISO/IEC 27039:2015

TCVN ISO/IEC XXXX:2021 do do Cục An toàn thông tin biên soạn, Bộ Thông tin

và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định,

Bộ Khoa học và Công nghệ công bố

Các tổ chức không những nên nhận biết thời gian, cách thức của các tấn công xâm nhập vào hệ thốngmạng, ứng dụng của họ mà còn phải biết lỗ hổng được khai thác như thế nào và biện pháp cần đượctriển khai trước những thay đổi về rủi ro để ngăn chặn các tấn công xâm nhập tương tự trong tươnglai Tổ chức nên xác định và ngăn chặn tấn công xâm nhập mạng Điều này đòi hỏi việc phân tích lưulượng mạng hoặc vết kiểm toán của mạng và host để tìm ra dấu hiệu hoặc các mẫu tấn công nhằm chỉ

ra các ý đồ độc hại hoặc đáng ngờ Vào giữa những năm 1990, nhiều tổ chức đã bắt đầu sử dụng hệthống phát hiện và ngăn chặn xâm nhập (IDPS) để thực hiện những yêu cầu này Việc sử dụng IDPStiếp tục được mở rộng với số lượng lớn các sản phẩm gồm cả sản phẩm miễn phí và sản phẩmthương mại để đáp ứng nhu cầu ngày càng tăng của tổ chức

Để tổ chức có thể thu được lợi ích tối đa từ hệ thống phát hiện và ngăn chặn xâm nhập thì quy trìnhchọn lựa, triển khai và vận hành IDPS cần được nhân viên có chuyên môn, có kinh nghiệm lên kếhoạch và thực hiện cẩn thận Trong trường hợp, quy trình này đã được thực hiện cẩn thận thì sảnphẩm IDPS có thể giúp tổ chức thu thập thông tin về xâm nhập và có thể được dùng như một thiết bị

an toàn trong cơ sở hạ tầng Công nghệ thông tin và truyền thông (ICT)

Tiêu chuẩn này cung cấp các hướng dẫn cho tổ chức trong việc chọn lựa, triển khai và vận hành hệthống phát hiện và ngăn chặn xâm nhập Tiêu chuẩn này cũng có thể áp dụng cho các tổ chức thuêdịch vụ phát hiện xâm nhập Thông tin về mức độ thoả thuận dịch vụ thuê ngoài có thể tìm trong bộ tiêuchuẩn ISO/IEC 20000 về quản lý dịch vụ công nghệ thông tin

Ngoài ra tiêu chuẩn này được thiết kế còn giúp:

a) Tổ chức đáp ứng các yêu cầu của TCVN ISO/IEC 27001:

- Tổ chức cần phải thực hiện các thủ tục và kiểm soát khác để có thể phát hiện và phản ứng vớicác sự cố an toàn;

- Tổ chức cần phải thực hiện các thủ tục theo dõi, soát xét, các kiểm soát khác để xác địnhnhững nỗ lực, hành vi vi phạm chính sách an toàn và các sự cố

b) Tổ chức thực hiện các biện pháp kiểm soát để đáp ứng mục tiêu của TCVN ISO/IEC 27002:

- Để phát hiện các hành động xử lý thông tin trái phép;

- Hệ thống phải được theo dõi, các sự kiện an toàn thông tin phải được ghi lại Nhật ký hoạt động

và nhật ký lỗi phải được sử dụng để đảm bảo xác định các vấn đề của hệ thống thông tin;

- Tổ chức phải tuân thủ các yêu cầu pháp lý có liên quan có thể áp dụng cho các hành động giámsát và ghi nhật ký

- Giám sát hệ thống phải được thực hiện để kiểm tra hiệu quả của các biện pháp kiểm soát và đểxác nhận mô hình chính sách truy cập là phù hợp

toàn thông tin hoặc đáp ứng các yêu cầu trên Tiêu chuẩn này không nhằm mục đích làm tiêu chí chobất kỳ đánh giá nào như chứng nhận hệ thống quản lý an toàn thông tin (ISMS), chứng nhận sản phẩmhoặc dịch vụ IDPS.

7

Công nghệ thông tin – Các kỹ thuật an toàn – Lựa chọn, triển khai

và vận hành hệ thống phát hiện và ngăn chặn xâm nhập

Information technology - Security techniques – Selection, deployment and operations of intrusion detection systems (IDPS)

1 Phạm vi áp dụng

Tiêu chuẩn này cung cấp hướng dẫn giúp các tổ chức chuẩn bị triển khai hệ thống phát hiện và ngănchặn xâm nhập (IDPS) Tiêu chuẩn giải quyết việc chọn lựa, triển khai và vận hành IDPS, và cung cấpthông tin cơ bản, từ đó đưa ra các hướng dẫn này

Dấu hiệu tấn công (attack signature)

Chuỗi các hành động hoặc các thay đổi trong hệ thống được sử dụng để thực hiện một tấn công, được

sử dụng bởi IDPS để phát hiện ra một tấn công đã xảy ra và thường được nhận biết bằng cách kiểmtra lưu lượng mạng hoặc nhật ký của thiết bị

CHÚ THÍCH Thuật ngữ này cũng có thể tham chiếu tới thuật ngữ mẫu tấn công (attack pattern).

Giá trị băm mật mã (Cryptographic hash value)

Giá trị toán học được gán tới một tập tin và được sử dụng để “kiểm tra” tập tin sau này nhằm xác minh

dữ liệu trong tập tin không bị thay đổi

CHÚ THÍCH 1 DMZ có thể ở giữa các mạng và được giám sát chặt chẽ.

CHÚ THÍCH 2 DMZ thường là những vùng không bảo mật chứa các máy chủ cung cấp dịch vụ công cộng

2.9

Khai thác (exploit)

Cách thức phá vỡ tính an toàn của một hệ thống thông tin thông qua điểm yếu của hệ thống

2.10

Tường lửa (Firewall)

Cách thức kiểm soát truy cập được đặt giữa các môi trường mạng – bao gồm một thiết bị chuyên biệthoặc một tổ hợp của một vài thành phần và công nghệ - qua đó tất cả lưu lượng từ một vùng mạng điqua vùng mạng khác và ngược lại, và chỉ có lưu lượng hợp lệ, được định nghĩa từ chính sách an ninh

hệ thống được phép đi qua

[TCVN 9801-1:2013]

2.11

Khẳng định sai (False Positive)

IDPS cảnh báo khi không có tấn công

2.12

Phủ định sai (False Negative)

IDPS không cảnh báo khi có một tấn công

2.13

Honeypot (Honeypot)

Thuật ngữ chung chỉ một hệ thống sử dụng bẫy để đánh lừa, đánh lạc hướng, chuyển hướng và thuhút kẻ tấn công dành thời gian cho thông tin có vẻ rất có giá trị, nhưng thực tế là được tạo ra và có thểkhông ảnh hưởng tới người sử dụng hợp pháp

2.17

Phát hiện xâm nhập (Intrusion detection)

Là quy trình phát hiện xâm nhập, bằng cách thu thập các thông tin về các dấu hiệu bất thường, cáchành động xảy ra như làm gì, làm thế nào và xảy ra lúc nào

2.18

Hệ thống phát hiện xâm nhập (Intrusion detection System)

CHÚ THÍCH 1 IPS được triển khai ở chế độ chủ động trong mạng nếu mong muốn thực hiện việc ngăn chặn tấn công Nếu được triển khai ở chế độ bị động nó sẽ không có chức năng như vậy và nó sẽ hoạt động như một IDS thông thường bằng cách chỉ cung cấp cảnh báo.

Bộ định tuyến (Router)

Thiết bị mạng được dùng để thiết lập và kiểm soát an ninh luồng dữ liệu giữa các mạng khác nhaubằng cách chọn lọc các tuyến hoặc đường dựa trên các thuật toán hoặc các cơ chế giao thức địnhtuyến

CHÚ THÍCH 1 Các mạng có thể dựa trên các giao thức khác nhau của chính nó.

CHÚ THÍCH 2 Thông tin định tuyến được lưu giữ trong bảng định tuyến.

Điểm truy cập thử nghiệm (Test Access Points)

Trojan horse (Trojan horse)

Chương trình độc hại giả danh như một ứng dụng vô hại

2.33

Vi-rut (virus)

Là một loại mã độc, phần mềm được thiết kế với mục đích độc hại chứa các tính năng hoặc khả năng

có thể gây hại trực tiếp hoặc gián tiếp tới người dùng hoặc hệ thống của người dùng

2.34

Mạng riêng ảo (VPN)

Mạng máy tính logic dùng riêng được xây dựng từ tài nguyên hệ thống của một mạng vật lý, ví dụ bằngcách sử dụng mã hóa và bằng cách xây dựng đường hầm kết nối của mạng ảo trên một mạng thật.[ISO/IEC 18028-3:2005]

2.35

Điểm yếu (vulnerability)

Điểm yếu dẫn đến việc có thể bị khai thác bởi một hoặc nhiều mối đe dọa

[ISO/IEC 27000:2012]

3 Nền tảng

Mục đích của IDPS là giám sát thụ động, phát hiện và ghi nhật ký các hành động đáng ngờ hoặc bấtthường có thể là dấu hiệu của sự xâm nhập và cung cấp cảnh báo và phản ứng tự động khi các hànhđộng đó bị phát hiện Trách nhiệm của các nhân viên an toàn thông tin được giao là chủ động soát xétcảnh báo IDPS và các bản ghi nhật ký liên quan để đưa ra quyết định phản ứng phù hợp Khi tổ chứccần phát hiện kịp thời các xâm nhập tới hệ thống thông tin của tổ chức và phản ứng phù hợp với xâmnhập đó thì tổ chức nên xem xét triển khai IDPS Một tổ chức có thể triển khai IDPS bằng cách sửdụng sản phẩm phần mềm, phần cứng hoặc thuê từ các tổ chức cung cấp dịch vụ IDPS

Có nhiều sản phẩm và dịch vụ IDPS thương mại hoặc mã nguồn mở dựa trên các công nghệ vàphương pháp tiếp cận khác nhau Ngoài ra, IDPS không phải là công nghệ “cắm và chạy” Vì vậy khi

chuẩn bị triển khai IDPS, ít nhất tổ chức cần phải làm quen với các hướng dẫn và thông tin được cungcấp trong tiêu chuẩn này

Kiến thức cơ bản về IDPS được trình bày trong Phụ lục A Phụ lục này giải thích về các đặc điểm củacác loại IDPS khác nhau gồm:

- Dựa trên mạng, giám sát lưu lượng mạng cho một dải mạng hoặc các thiết bị cụ thể, phân tích hoạtđộng của giao thức mạng và ứng dụng để xác định các hành vi đáng ngờ;

- Dựa trên máy chủ, giám sát đặc trưng của một host và các sự kiện xảy ra bên trong host đó nhằmxác định các hành vi đáng ngờ cũng như xác định ba phương pháp tiếp cận cơ bản nhằm phân tíchphát hiện như phát hiện dựa trên dấu hiệu, phát hiện dựa trên thống kê bất thường và phát hiện dựatrên phân tích trạng thái giao thức

Phân tích hành vi áp dụng tới hệ thống IDPS dựa trên mạng và IDPS dựa trên máy chủ Hướng tiếpcận này kiểm tra lưu lượng mạng và hành vi host để xác định các mối đe dọa tạo ra hành vi bất thườngnhư các tấn công từ chối dịch vụ, tấn công vét cạn, một số dạng mã độc và các vi phạm chính sách (ví

dụ một hệ thống máy trạm cung cấp dịch vụ mạng tới các hệ thống khác)

Một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên máy chủ (HIDPS) có nguồn thông tin từ mộthoặc nhiều máy, trong khi một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng (NIDPS) cónguồn thông tin từ luồng lưu lượng một hoặc nhiều dải mạng Phương pháp tiếp cận dựa trênviệc môhình hoá các tấn công vào hệ thống thông tin thành các dấu hiệu tấn công, và sau đó quét hệ thống đểtìm ra dấu hiệu tấn công Quá trình này bao gồm việc mã hóa các hành vi, hành động được xem làxâm nhập, độc hại Cách tiếp cận dựa trên hành động bất thường phát hiện xâm nhập bằng cách pháthiện sai lệch đáng kể từ hành vi bình thường dựa trên giả thiết các cuộc tấn công là khác biệt so vớihoạt động thông thường và do đó có thể bị phát hiện bởi các hệ thống xác định sự khác biệt này.Một tổ chức nên hiểu nguồn thông tin, các phương pháp phân tích khác nhau có thể cho kết quả gồm

cả thuận lợi, bất lợi hoặc những giới hạn ảnh hưởng tới khả năng hoặc không có khả năng phát hiệncác tấn công cụ thể, khó khăn liên quan tới việc cài đặt và duy trì IDPS

4 Tổng quan

Các tính năng và hạn chế của IDPS được trình bày trong Phụ lục A cho biết một tổ chức nên kết hợpphương pháp phát hiện dựa trên máy chủ (bao gồm cả giám sát ứng dụng) và dựa trên mạng để cóđược sự bảo vệ phù hợp khỏi các xâm nhập tiềm ẩn Mỗi loại IDPS có ưu điểm và hạn chế riêng, khitriển khai cùng nhau chúng có thể cung cấp một giải pháp an toàn và phân tích cảnh báo tốt hơn Việc kết hợp các công nghệ IDPS phụ thuộc vào tính sẵn sàng của các thành phần tương quan trên hệthống quản lý cảnh báo Việc kết hợp các cảnh báo HIDPS và NIDPS có thể dẫn đến IDPS hoạt độngquá tải mà không có thêm bất kỳ lợi ích nào và kết quả có thể xấu hơn việc chọn lựa đầu ra thích hợp

từ một loại IDPS

Quy trình chọn lựa, triển khai và vận hành IDPS trong một tổ chức được minh họa trong Hình 1 cùngvới các điều khoản chỉ ra những bước chính trong quy trình.

Hình 1 - Chọn lựa, triển khai và vận hành IDPS

5 Chọn lựa

5.1 Tổng quan

Có nhiều sản phẩm và dòng sản phẩm sẵn có, từ các phần mềm miễn phí có khả năng triển khai trênmáy chủ với chi phí thấp tới các hệ thống thương mại đắt tiền yêu cầu phần cứng có sẵn Có nhiều sảnphẩm IDPS khác nhau để chọn lựa, vì vậy quy trình chọn lựa IDPS phù hợp nhất với nhu cầu của một

tổ chức là khó khăn Hơn nữa có thể tồn tại sự giới hạn về khả năng tương thích giữa các sản phẩmIDPS khác nhau được cung cấp trên thị trường Ngoài ra, do việc sát nhập và phân tán về vị trí địa lýcủa một tổ chức, nên các tổ chức bắt buộc phải sử dụng các IDPS khác nhau và việc tích hợp cácdạng IDPS khác nhau có thể gặp nhiều khó khăn

Tài liệu quảng cáo của nhà cung cấp sản phẩm có thể không mô tả cách thức một IDPS có thể pháthiện xâm nhập và các khó khăn khi triển khai, vận hành và duy trì trong hoạt động của mạng có lưulượng mạng lớn Nhà cung cấp có thể chỉ ra các cuộc tấn công được phát hiện, nhưng nếu không truynhập tới lưu lượng mạng của tổ chức, rất khó để mô tả IDPS hoạt động tốt như thế nào và xác địnhkhả năng tránh tỉ lệ khẳng định sai và phủ định sai Khả năng chủ động phản ứng và phản ứng lại củamột IDPS cần phải được đánh giá độc lập và tham chiếu tới các yêu cầu của tổ chức Khả năng nàybao gồm nhu cầu quét các gói tin sâu so với nhu cầu hiệu năng và chi phí Do đó, việc chỉ dựa vàothông tin được cung cấp bởi nhà cung cấp về khả năng của IDPS là không đầy đủ và không đượckhuyến nghị

TCVN 8709 (ISO/IEC 15408) có thể được sử dụng để đánh giá IDPS Trong trường hợp này tài liệu

“Mục tiêu an toàn” có thể bao gồm mô tả tin cậy và chính xác hơn so với tài liệu quảng cáo của cácnhà cung cấp liên quan tới hiệu năng IDPS Tổ chức nên sử dụng tài liệu này trong quy trình chọn lựasản phẩm của họ

Các phần sau đây cung cấp các yếu tố chính nên được sử dụng bởi tổ chức trong quy trình chọn lựaIDPS

5.2 Đánh giá rủi ro an toàn thông tin

Trước khi chọn lựa một IDPS, tổ chức nên thực hiện việc đánh giá rủi ro an toàn thông tin, nhằm xácđịnh các tấn công và xâm nhập (các mối đe dọa) tới hệ thống thông tin có thể có điểm yếu của tổ chức,

có tính đến các yếu tố như bản chất của thông tin được sử dụng bởi hệ thống và nó cần được bảo vệnhư thế nào, loại hệ thống thông tin được sử dụng, các yếu tố vận hành và môi trường khác Bằngcách xem xét các mối đe dọa tiềm ẩn về các mục tiêu an toàn thông tin cụ thể, tổ chức có thể kiểmsoát, cung cấp các biện pháp hiệu quả về chi phí để giảm thiểu rủi ro Việc kiểm soát sẽ đưa ra các yêucầu cơ bản đối với tính năng IDPS của tổ chức

CHÚ THÍCH Quản lý rủi ro an toàn thông tin là đối tượng của tiêu chuẩn TCVN ISO/IEC 27001.

Khi IDPS được cài đặt và vận hành thì quy trình quản lý rủi ro nên được triển khai để xem xét định kỳtính hiệu quả của các biện pháp kiểm soát trong việc thay đổi hoạt động, các mối đe dọa trong hệthống

5.3 IDPS dựa trên máy chủ và dựa trên mạng

5.3.1 Tổng quan

Việc triển khai IDPS nên dựa trên đánh giá rủi ro của tổ chức và độ ưu tiên bảo vệ tài sản Khi chọn lựaIDPS, phương pháp hiệu quả nhất để giám sát các sự kiện nên được xem xét Cả IDPS dựa trên máychủ (HIDPS) và IDPS dựa trên mạng (NIDPS) có thể được triển khai song song Trong trường hợp mộtphương pháp giám sát IDPS được chọn lựa, tổ chức nên triển khai NIDPS trong giai đoạn đầu, vì càiđặt và duy trì NIDPS thường đơn giản nhất, sau đó HIDPS nên được triển khai trên các máy chủ quantrọng

Mỗi tùy chọn có thuận lợi và hạn chế riêng Ví dụ trong trường hợp IDPS được triển khai bên ngoàitường lửa, một IDPS có thể tạo ra số lượng lớn cảnh báo mà không yêu cầu phân tích sâu vì số lượnglớn sự kiện cảnh báo này có thể cho biết các dò quét sẵn sàng bị ngăn chặn bởi tường lửa ngoài.

5.3.2 IDPS dựa trên máy chủ (HIDPS)

Chọn lựa một HIDPS yêu cầu việc xác định các máy chủ cần bảo vệ Việc triển khai toàn diện trên tất

cả các máy chủ trong tổ chức là rất tốn kém, kết quả là thường chỉ triển khai HIDPS trên những máychủ quan trọng Vì vậy việc triển khai HIDPS nên được ưu tiên theo kết quả phân tích rủi ro và xem xét

về chi phí Tổ chức nên triển khai một IDPS có khả năng quản lý tập trung và có chức năng báo cáo khiHIDPS được triển khai trên tất cả hoặc số lượng lớn máy chủ

5.3.3 IDPS dựa trên mạng (NIDPS)

Yếu tố chính để xem xét khi triển khai một NIDPS là vị trí đặt bộ cảm biến Việc xem xét gồm các tùychọn:

- Bên trong tường lửa ngoài;

- Bên ngoài tường lửa ngoài;

- Sơ đồ mạng và bản đồ xác định số lượng và vị trí của các máy chủ, điểm truy cập tới mạng và cáckết nối tới các mạng bên ngoài;

- Mô tả hệ thống quản lý mạng doanh nghiệp;

- Hệ điều hành của mỗi máy;

- Số lượng, kiểu thiết bị mạng như route, bridges, switches;

- Số lượng, kiểu máy chủ và các kết nối dial up;

- Mô tả các máy chủ bao gồm kiểu, cấu hình, phần mềm ứng dụng, phiên bản trên mỗi máy;

- Các kết nối tới các mạng bên ngoài bao gồm băng thông và các giao thức được hỗ trợ;

- Luồng dữ liệu bất đối xứng

5.4.2 Các cơ chế bảo vệ an toàn

Sau khi các thuộc tính kỹ thuật của môi trường hệ thống được viết thành tài liệu, các cơ chế đảm bảotính an toàn được cài đặt hiện tại phải được xác định Ở mức tối thiểu, các thông tin sau là cần thiết:

- Vùng mạng vành đai;

- Số lượng, kiểu và vị trí của tường lửa và bộ định tuyến lọc;

- Định danh của các máy chủ xác thực;

- Việc mã hoá dữ liệu và kết nối;

- Các gói chống mã độc/vi-rút;

- Các sản phẩm kiểm soát truy cập;

- Thiết bị chuyên dụng đảm bảo an toàn thông tin như thiết bị mã hoá;

- Tài sản thông tin gì được giám sát?

- Chính sách bật hay tắt hệ thống khi gặp lỗi?

- Cần dùng loại IDPS nào?

- Có thể đặt IDPS ở đâu?

- Nên phát hiện những kiểu tấn công nào?

- Nên ghi nhật ký những kiểu thông tin nào?

- Khi IDPS phát hiện tấn công thì nó có thể cung cấp kiểu phản ứng hoặc cảnh báo nào?

Chính sách an toàn đại diện cho mục đích của tổ chức trong việc đầu tư IDPS Đây là bước khởi đầutrong nỗ lực đạt được giá trị tối đa từ IDPS

Để xác định mục đích và mục tiêu của chính sách an toàn thông tin, tổ chức đầu tiên nên xác định cácrủi ro có nguồn gốc từ bên trong và bên ngoài của tổ chức Tổ chức nên nhận ra rằng một số nhà cungcấp IDPS định nghĩa các chính sách an toàn như một tập các luật mà IDPS sử dụng để tạo ra cảnhbáo

Việc xem lại chính sách an toàn thông tin hiện hành của tổ chức nên cung cấp một mẫu các yêu cầuđược xác định và nêu trong các điều khoản về mục tiêu an toàn như tính bí mật, tính toàn vẹn, tính sẵnsàng và chống chối bỏ cũng như là các mục tiêu quản lý chung hơn như tính riêng tư, bảo vệ từ tínhtrách nhiệm, tính quản lý

Tổ chức nên xác định cách thức phản ứng lại khi IDPS phát hiện một chính sách bị vi phạm Cụ thể,trong trường hợp một tổ chức mong muốn phản ứng chủ động với một số loại vi phạm, IDPS nên đượccấu hình như vậy và các nhân viên vận hành nên được thông báo về chính sách phản ứng của tổ chức

để họ có thể đối phó với cảnh báo một cách phù hợp Ví dụ, một cuộc điều tra thực thi pháp luật có thểđược yêu cầu để hỗ trợ trong việc giải quyết sự cố an toàn Thông tin có liên quan gồm có nhật kýIDPS sẽ được bàn giao cho cơ quan thực thi pháp luật cho mục đích làm bằng chứng.

Thông tin bổ sung liên quan đến quản lý sự cố an toàn có thể tìm trong tiêu chuẩn TCVN 11239(ISO/IEC 27035)

5.4.4 Hiệu năng

Hiệu năng cũng là một yếu tố cần xem xét khi chọn lựa IDPS Ở mức tối thiểu, cần trả lời các câu hỏisau:

- IDPS cần bao nhiêu băng thông để xử lý?

- Mức độ cảnh báo sai có thể chấp nhận được khi hoạt động ở băng thông đó?

- Chi phí của một IDPS tốc độ cao là hợp lý hay một IDPS tốc độ vừa hoặc chậm là đủ?

- Hậu quả của việc bỏ lỡ một xâm nhập tiềm ẩn do giới hạn hiệu năng IDPS là gì?

- Các tác động hiệu năng nào bị ảnh hưởng khi thực hiện rà quét các gói tin sâu?

Hiệu năng ổn định có thể được định nghĩa là khả năng liên tục phát hiện các tấn công với băng thông

sử dụng nhất định Trong hầu hết các môi trường, một IDPS có thể gặp lỗi bị mất hoặc bỏ qua các góitin thuộc về một phần của tấn công Ở một số thời điểm như băng thông hoặc lưu lượng mạng tăng,nhiều IDPS sẽ không còn khả năng phát hiện xâm nhập

Sự kết hợp cân bằng tải và tinh chỉnh tải có thể làm tăng hiệu quả và hiệu năng Ví dụ:

- Phải hiểu biết về mạng của tổ chức và các điểm yếu của nó: mỗi mạng là khác nhau, một tổ chứcphải nhận biết các tài sản mạng cần bảo vệ và điều chỉnh dấu hiệu tấn công cho phù hợp với các tàisản đó Điều này thường được thực hiện thông qua quy trình đánh giá rủi ro

- Hiệu năng của hầu hết IDPS có thể tốt hơn trong trường hợp được cấu hình để xử lý một lưu lượngmạng và dịch vụ cụ thể Ví dụ một tổ chức thương mại điện tử cần giám sát tất cả lưu lượng HTTP vàđiều chỉnh một hoặc nhiều IDPS để tìm kiếm các dấu hiệu tấn công liên quan đến lưu lượng web

- Cấu hình cân bằng tải phù hợp có thể cho phép IDPS dựa trên dấu hiệu làm việc nhanh hơn và kỹlưỡng hơn vì nó xử lý thông qua cơ sở dữ liệu dấu hiệu tấn công nhỏ hơn và không phải thông qua tất

cả các dấu hiệu tấn công

Cân bằng tải được sử dụng để chia băng thông có sẵn trong triển khai IDPS Tuy nhiên, việc chia băngthông có thể gặp các vấn đề như: chi phí tăng, chi phí quản lý, lưu lượng không đồng bộ, cảnh báotrùng lặp, và phủ định sai Hơn nữa công nghệ IDPS hiện thời đạt tới tốc độ Gigabits và kết quả là lợiích so với chi phí của cân bằng tải là không đáng kể

5.4.5 Kiểm tra tính năng

Dựa vào thông tin được cung cấp bởi nhà cung cấp về tính năng của IDPS thường không đủ Tổ chứcnên yêu cầu thông tin bổ sung và chứng minh tính phù hợp của một IDPS cụ thể với môi trường và các

mục tiêu an toàn của tổ chức Hầu hết các nhà cung cấp IDPS có kinh nghiệm trong việc tuỳ chỉnh cácsản phẩm của họ để đáp ứng yêu cầu khách hàng và một số cam kết hỗ trợ các chuẩn giao thức mới,các nền tảng, và các thay đổi mối đe dọa trong hệ thống Ở mức tối thiểu, tổ chức nên hỏi nhà cungcấp IDPS các câu hỏi sau:

- Việc áp dụng IDPS ở những môi trường cụ thể cần được thực hiện dựa trên giả thiết nào?

- Chi tiết những kiểm thử đã thực hiện để kiểm tra các khẳng định về khả năng IDPS là gì?

- Giả thiết nào cần thực hiện liên quan tới nhân viên vận hành IDPS?

- IDPS cung cấp những giao diện nào (giao diện vật lý, giao thức truyền thông, định dạng báo cáo đểgiao tiếp với công cụ so sánh tương quan đều là những loại giao diện quan trọng)?

- Cơ chế xuất cảnh báo hoặc định dạng cảnh báo là gì, cái gì được viết thành tài liệu (ví dụ định dạng,thông điệp syslog, hoặc MIB cho các thông điệp SNMP)?

- Giao diện IDPS có thể được cấu hình tắt với các phím tắt, có thể tùy chỉnh tắt tính năng cảnh báo, vàdấu hiệu ở đâu không?

- Trong trường hợp IDPS có thể được cấu hình tắt thì đâu là tính năng cung cấp khả năng đã đượcviết thành tài liệu và đã được hỗ trợ này?

- Sản phẩm IDPS có thể đáp ứng được sự phát triển và sự thay đổi trong cơ sở hạ tầng các hệ thốngcủa tổ chức không?

- Sản phẩm IDPS có thể đáp ứng khi hệ thống mạng được mở rộng và phát triển không?

- IDPS có cung cấp tính năng dự phòng, dự phòng an toàn không và làm như thế nào để các tính năngnày kết hợp với những tính năng tương tự ở tầng liên kết mạng?

- IDPS có sử dụng mạng dùng riêng cho cảnh báo hay là truyền trong cùng một mạng mà nó giám sát?

- Uy tín của nhà cung cấp trong việc đảm bảo chất lượng, phản ứng với các cảnh báo được phát hiện

và bản ghi hiệu năng của sản phẩm là gì?

5.4.6 Chi phí

Việc mua IDPS chưa phải là chi phí thực tế của chủ sở hữu, mà còn có chi phí khác bao gồm: mua lại

hệ thống để chạy phần mềm IDPS, hỗ trợ chuyên môn trong cài đặt và cấu hình IDPS, đào tạo nhânlực và các chi phí duy trì Chi phí cho nhân viên để quản lý hệ thống và phân tích kết quả là cao nhất.Một kỹ thuật hiệu quả để đo lường chi chí IDPS là phân tích hiệu quả đầu tư (ROI) hoặc chi phí so vớilợi ích Trong trường hợp này, ROI được tính toán dựa trên việc tiết kiệm được thực hiện bởi tổ chứckhi quản lý xâm nhập Chi phí để mua lại và vận hành IDPS cần phải cân bằng với chi phí cho nhânviên để giải quyết các cảnh báo, nguyên nhân do cảnh báo sai và phản ứng không phù hợp như việccài đặt lại hệ thống do không nhận biết được cái gì đã bị xâm nhập

Lợi ích hoạt động IDPS bao gồm:

- Xác định các thiết bị lỗi hoặc cấu hình sai;

- Kiểm tra cấu hình nhanh chóng;

- Cung cấp sớm các thống kê sử dụng hệ thống

Để đưa ra quyết định tài chính cho IDPS, phải trả lời các câu hỏi về tổng chi phí của chủ sở hữu IDPS

Để làm điều này, các chi phí của việc triển khai IDPS trong tổ chức cần được phân tích Ở mức tốithiểu, việc phân tích chi phí IDPS cần dựa trên kết quả trả lời từ những câu hỏi sau:

- Ngân sách cho chi phí đầu tư ban đầu để mua IDPS?

- Khoảng thời gian cần thiết cho hoạt động của IDPS, ví dụ 24/7 hoặc ít hơn?

- Cơ sở hạ tầng cần thiết để xử lý, phân tích và báo cáo đầu ra IDPS và cần chi phí như thế nào?

- Tổ chức cần có con người và các tài nguyên khác để cấu hình IDPS cho chính sách an toàn của tổchức, để vận hành, duy trì, cập nhật, giám sát đầu ra của IDPS và phản ứng với các cảnh báo không?Nếu không, các chức năng có thể được thiết lập như thế nào?

- Có ngân quỹ cho việc đào tạo IDPS không?

- Quy mô triển khai là gì và nếu tổ chức sử dụng HIDPS thì có bao nhiêu host sẽ được bảo vệ?

Chi phí cho một tổ chức riêng lẻ có thể được giảm bớt bằng cách thuê ngoài các chức năng giám sát

và duy trì IDPS được quản lý từ xa

Chi phí tốn kém nhất của việc triển khai IDPS là việc đảm bảo phản ứng chống lại xâm nhập Việc xácđịnh phản ứng nên được thực hiện, xây dựng nhóm phản ứng, phát triển và triển khai chính sách phảnứng, đào tạo và diễn tập là các chi phí đáng kể cần phải được xem xét

5.4.7 Các bản cập nhật

5.4.7.1 Tổng quan

Phần lớn các IDPS hoạt động dựa trên dấu hiện tấn công và giá trị của IDPS phụ thuộc vào cơ sở dữliệu dấu hiệu để phân tích các sự kiện tấn công Các điểm yếu và tấn công mới được phát hiện thườngxuyên Do đó cơ sở dữ liệu dấu hiệu tấn công nên được cập nhật thường xuyên Vì vậy, ở mức tốithiểu một tổ chức nên xem xét các yếu tố sau:

- Cập nhật kịp thời;

- Tính hiệu quả của việc phân phối nội bộ;

- Triển khai;

- Tác động hệ thống

5.7.4.2 Các bản cập nhật kịp thời cho IDPS dựa trên dấu hiệu

Việc duy trì các dấu hiệu tấn công hiện tại là cần thiết để phát hiện các tấn công đã biết Ở mức tốithiểu, các câu hỏi sau nên được giải quyết theo thứ tự để đảm bảo các dấu hiệu tấn công được cậpnhật kịp thời:

- Nhà cung cấp IDPS phát hành các bản cập nhật dấu hiệu tấn công khi một khai thác hoặc một điểmyếu được phát hiện nhanh như thế nào?

- Quy trình thông báo có tin cậy không?

- Tính xác thực và tính toàn vẹn của các bản cập nhật dấu hiệu tấn công có được đảm bảo không?

- Trong trường hợp dấu hiệu tấn công phải tùy chỉnh, tổ chức có đủ kỹ năng không?

- Có đủ khả năng viết hoặc tùy chỉnh các dấu hiệu tấn công để phản ứng kịp thời với điểm yếu hoặctấn công đang diễn ra có rủi ro cao hay không?

5.4.7.3 Hiệu lực của phân phối và triển khai nội bộ

Tổ chức có khả năng phân phối và triển khai các bản cập nhật trong khung thời gian phù hợp với tất cả

hệ thống liên quan không? Trong nhiều trường hợp, các bản cập nhật dấu hiệu tấn công nên đượcchỉnh sửa bao gồm địa chỉ IP, số hiệu cổng, Ở mức tối thiểu, đối với các vùng biên mạng doanhnghiệp tin cậy, các câu hỏi sau nên được trả lời:

- Trong trường hợp thực hiện quy trình phân phối thủ công thì các quản trị hoặc kỹ sư triển khai dấuhiệu tấn công trong khung thời gian cho phép không?

- Hiệu quả của quy trình phân phối và cài đặt tự động có thể đo lường được không?

- Có cơ chế để theo dõi các thay đổi của các bản cập nhật dấu hiệu tấn công một cách hiệu quảkhông?

5.4.8 Chiến lược cảnh báo

Việc cấu hình và vận hành IDPS nên dựa trên chính sách giám sát của tổ chức Ở mức tối thiểu tổchức nên đảm bảo IDPS có thể hỗ trợ phương thức cảnh báo cụ thể sử dụng cơ sở hạ tầng hiện tạicủa tổ chức Các tính năng cảnh báo có thể được hỗ trợ gồm thư điện tử, tin nhắn SMS, sự kiệnSNMP và tự động chặn các nguồn tấn công

Trong trường hợp dữ liệu IDPS được sử dụng cho mục đích pháp lý, bao gồm truy tố và bằng chứng

để kỷ luật nội bộ thì ở mức tối thiểu dữ liệu IDPS nên được xử lý và quản lý phù hợp với pháp luật vàcác yêu cầu pháp lý của chính quyền địa phương

5.4.9 Quản lý định danh

5.4.9.1 Tổng quan

Quản lý định danh là cơ sở quan trọng để thực hiện việc chứng thực và cấp phát IDPS từ xa khôngcần sự can thiệp của con người Mỗi tính năng yêu cầu việc tạo và sử dụng bên thứ ba tin cậy như cơquan có thẩm quyền giống như một phần của cơ sở hạ tầng khóa công khai Những tính năng này rấtquan trọng cho tính liên tục, an toàn, kiểm soát dữ liệu IDPS và trao đổi định danh IDPS ngang qua cácvùng biên mạng tin cậy

5.4.9.2 Chứng thực từ xa

IDPS có thể chứa hàng triệu dòng mã Việc cố ý chèn phần mềm độc hại bên trong là khó phát hiện và

nó có thể cho phép kẻ tấn công kiểm soát đầu ra IDPS Do vậy, việc xác thực nghiêm ngặt kiểm soáttruy cập trên phần cứng và phần mềm là vô cùng quan trọng và nên dựa trên phần định danh của thựcthể đưa ra yêu cầu truy cập Chứng thực từ xa có thể cung cấp tính năng kiểm soát truy cập không cầncon người can thiệp

Việc chứng thực từ xa tạo ra trong phần cứng một chứng thư số hoặc giá trị băm mật mã để định danhthiết bị hoặc phần mềm chạy trên thiết bị không có sự tham gia của người dùng Theo hình thức đơngiản nhất, định danh được đại diện bởi giá trị băm mật mã, cho phép các chương trình phần mềm hoặccác thiết bị phân biệt với các chương trình phần mềm, thiết bị khác hoặc các thay đổi trong phầm mềmđược phát hiện Chứng thư số này có thể được cung cấp tới bất kỳ bên ở xa nào theo yêu cầu củangười dùng IDPS, và nó có hiệu lực chứng minh rằng IDPS bên đó đang sử dụng đúng phần mềm vàkhông bị thay đổi Nếu phần mềm trên IDPS bị thay đổi thì chứng thư số đã tạo ra sẽ phản ánh rằng

mã nguồn IDPS đã bị thay đổi

Trong trường hợp của IDPS, mục đích của chứng thực từ xa là phát hiện các thay đổi trong phần mềmIDPS không được xác thực Cho ví dụ, nếu một kẻ tấn công thay đổi hoặc chỉnh sửa một trong các ứngdụng IDPS, hoặc một phần hệ điều hành IDPS để chèn mã độc, thì giá trị băm sẽ không được côngnhận bởi dịch vụ hoặc các phần mềm khác từ xa Kết quả là việc thay đổi phần mềm IDPS bằng vi-rút,Trojan bị phát hiện bởi bên ở xa (ví dụ trung tâm vận hành mạng), sau đó có thể hành động dựa trêncác thông tin này Vì sự xác nhận là “từ xa” nên những bên tương tác với IDPS cũng có thể cho rằngIDPS đã bị xâm phạm Vì vậy họ có thể tránh gửi các thông tin tới IDPS cho đến khi nó được sửachữa

Với những lý do trên, IDPS nên chứng thực /báo cáo từ xa tới trung tâm vận hành mạng thông tin trạngthái, thông tin cấu hình và các thông tin quan trọng khác của nó Khả năng chứng thực hoặc xác thựcIDPS là quan trọng để đánh giá độ mạnh của IDPS và để thực hiện các hoạt động cấu hình và cậpnhật Cụ thể hơn, sự chứng thực là khả năng kiểm tra tính toàn vẹn của IDPS từ xa Khi được tổnghợp, các báo cáo chứng thực cung cấp nhận thức tình huống về phòng thủ mạng và là một phần quantrọng của khả năng nhận thức tình huống mạng tổng thể

5.4.9.3 Cấp phát

Khi chứng thực từ xa phát hiện một vấn đề trong IDPS, hành động khắc phục là cần thiết để giảm thiểuvấn đề Việc này có thể đạt được bằng cách cho phép trung tâm vận hành mạng đẩy cấu hình phùhợp, các bản cập nhật phần mềm và các bản vá đã được xác thực tới IDPS Thuật ngữ “cấp phát”được dùng để chỉ quy trình nạp phần mềm, chính sách bảo mật và dữ liệu cấu hình đúng cho thiết bị ITbao gồm IDPS Mục đích của cấp phát là để điều khiển từ xa nhất có thể Việc này vừa tiết kiệm chi phínguồn lực tới vị trí vật lý của IDPS vừa có thời gian để khắc phục vấn đề, đặc biệt là cập nhật dấu hiệutấn công Để đạt được hiệu quả, tính năng cấp phát IDPS cần được đẩy an toàn từ Trung tâm vậnhành mạng cũng như kéo về an toàn bởi IDPS Trong tình huống sau, IDPS nên có tính năng an toàn

và tự động để tìm kiếm từ xa các bản cập nhật phần mềm mới từ trang web của nhà cung cấp và tải vềbản cập nhật đã được xác thực một cách kịp thời

5.5 Các công cụ bổ sung cho IDPS

5.5.1 Tổng quan

Tổ chức nên phát hiện xâm nhập kịp thời và giảm thiểu thiệt hại do xâm nhập gây ra Tuy nhiên tổchức cũng nên hiểu IDPS không phải là một giải pháp duy nhất và/hoặc đầy đủ để thực hiện mục tiêunày Một số thiết bị mạng và công cụ công nghệ thông tin có thể cung cấp khả năng như IDPS Tổchức nên xem xét việc triển khai các thiết bị và công cụ như vậy để củng cố và bổ sung cho khả năngcủa IDPS

Ví dụ các thiết bị và công cụ bao gồm:

- Công cụ kiểm tra tính toàn vẹn của tập tin;

- Tường lửa hoặc cổng an toàn;

- Chống thực thi dữ liệu (Data Execution Prevention – DEP);

- Không gian địa chỉ ngẫu nhiên (Address Space Layout Randomization – ASLR)

5.5.2 Công cụ kiểm tra tính toàn vẹn của tập tin

Kiểm tra tính toàn vẹn của tập tin là một lớp công cụ an toàn khác bổ sung cho IDPS Chúng sử dụnghàm băm hoặc checksums cho các tập tin hoặc đối tượng quan trọng, so sánh với giá trị tham chiếu vàđánh dấu sự khác biệt hoặc thay đổi Việc sử dụng checksums là quan trọng vì kẻ tấn công thường

thay đổi các tập tin hệ thống ở ba giai đoạn của tấn công Giai đoạn đầu tiên kẻ tấn công thay đổi tậptin hệ thống theo như mục tiêu tấn công (ví dụ đặt Trojan Hourse) Giai đoạn thứ hai kẻ tấn công cốgắng để lại cổng sau trong hệ thống để có thể quay lại hệ thống sau này Cuối cùng, kẻ tấn công cốgắng che đậy dấu vết của chúng làm cho chủ sở hữu không biết về tấn công

- Cho phép nhận dạng dữ liệu các tập tin thay đổi

Hầu hết các tường lửa đều giới hạn tính năng giám sát nội dung mạng và giới hạn cảnh báo khi một sốlưu lượng bị cấm trong việc cố gắng vượt qua tường lửa Trong khi đó một NIDPS được thiết kế đặcbiệt để giám sát các gói tin nhằm phát hiện cái gì tạo nên lưu lượng hợp pháp và bất hợp pháp, và cóthể tạo ra một cảnh báo khi phát hiện nội dung độc hại trong các gói tin Trong nhiều trường hợp, mộtcảnh báo NIDPS có thể được sử dụng để tạo ra thay đổi trong các tham số lọc của tường lửa nếu cầnthiết

Trong trường hợp một NIDPS được triển khai trên tường lửa của tổ chức, nếu tường lửa được cấuhình đúng cách sẽ giảm đáng kể lượng gói tin qua NIDPS Cấu hình NIDPS có thể cải thiện độ chínhxác do các nhiễu Internet tạo ra do các hoạt động dò quét có thể được loại bỏ khi kiểm soát lưu lượngđến

5.5.4 Honeypot

Honeypot là thuật ngữ chung chỉ một hệ thống bẫy sử dụng để đánh lừa, đánh lạc hướng, chuyểnhướng và thu hút kẻ tấn công dành thời gian cho thông tin có vẻ rất có giá trị, nhưng thực tế là đượctạo ra và có thể không được người sử dụng hợp pháp quan tâm Mục đích chính của Honeypot là thuthập thông tin về các mối đe dọa tới một tổ chức và thu hút những kẻ xâm nhập ra khỏi hệ thống quantrọng

Honeypot không phải là một hệ thống hoạt động thật và nó được thiết kế như một hệ thống thông tin cókhả năng bị xâm nhập bằng cách khuyến khích kẻ tấn công ở lại một thời gian dài, đủ để tổ chức cóthể đánh giá mục đích, mức độ kỹ năng và phương thức thực hiện của kẻ tấn công

Thông tin thu thập từ việc phân tích các hành động của kẻ xâm nhập trong Honeypot cho phép tổ chứchiểu các mối đe dọa và các điểm yếu trong hệ thống tốt hơn và từ đó cải thiện hoạt động IDPS Bằngviệc phân tích các hành động của kẻ xâm nhập trong hệ thống Honeypot, thông tin này có thể gópphần phát triển chính sách IDPS của tổ chức, cơ sở dữ liệu dấu hiệu tấn công và phương pháp tiếpcận chung của tổ chức giúp cho IDPS hoạt động tốt hơn trong việc bảo vệ chống lại các mối đe dọacủa kẻ tấn công

Trong mọi trường hợp, tổ chức nên sử dụng Honeypot chỉ sau khi có được sự hướng dẫn từ nhà tưvấn pháp lý Dữ liệu từ “Honeypot” có thể được coi như từ một kỹ thuật bẫy và vì vậy không thể chấpnhận trong một số khu vực pháp lý

Một số ưu điểm và nhược điểm của Honeypot

Ưu điểm:

- Kẻ tấn công có thể bị chuyển hướng khỏi hệ thống đích mà không có thiệt hại;

- Honeypot không phải là hành động hợp pháp và vì vậy bất kỳ hành động xác định bởi Honeypot đượccoi là đáng ngờ;

- Quản trị viên có thêm thời gian để quyết định việc phản ứng như thế nào với kẻ tấn công;

- Hành động của kẻ tấn công có thể được giám sát dễ dàng và chi tiết hơn với các kết quả sử dụng đểhoàn thiện mô hình các mối đe dọa và cải thiện việc bảo vệ hệ thống;

- Có thể có hiệu quả trong việc bắt kẻ xâm nhập, người đang dò quét xung quanh hệ thống mạng;

Nhược điểm:

- Ý nghĩa pháp lý của việc sử dụng các thiết bị là không được xác định rõ ràng;

- Kẻ tấn công khi được chuyển hướng vào hệ thống bẫy, có thể tức giận và cố gắng khởi tạo một cuộctấn công nguy hiểm hơn để chống lại hệ thống của tổ chức;

- Các quản trị viên và các chuyên viên quản lý cần có chuyên môn ở mức độ cao để sử dụng hệ thống

5.5.5 Công cụ quản trị mạng

Các công cụ quản trị mạng sử dụng nhiều kỹ thuật dò quét chủ động và bị động để giám sát tính sẵnsàng và hiệu năng của các thiết bị mạng Các công cụ này có vai trò như một chức năng để cấu hình

và quản trị cơ sở hạ tầng mạng bằng cách thu thập thông tin thành phần và cấu trúc liên kết mạng

Sự tương quan của các công cụ quản trị mạng/hệ thống với các cảnh báo IDPS có thể giúp nhân viênvận hành IDPS xử lý các cảnh báo và đánh giá tác động của chúng đối với hệ thống đang được giámsát một cách phù hợp

5.5.6 Công cụ quản lý sự kiện và thông tin an toàn (SIEM)

Các tổ chức sử dụng SIEM để hợp nhất báo cáo tới cùng một giao diện điều khiển cảnh báo và quản

lý Một SIEM có thể thu thập thông tin từ IDPS, tường lửa, và các bộ nghe lén thông tin…có thể giảmquá tải thông tin, quản lý một khối lượng lớn thông tin dùng để phân tích Lý do thứ hai là việc thu thập

dữ liệu tập trung về một điểm giúp cho việc so sánh tương quan nhiều phần nhỏ, một gói tin, nhiềunguồn, trong thời gian dài, theo sự định vị, các tấn công mà có thể là phủ định sai với một IDPS

Các công cụ SIEM có thể được sử dụng để xử lý dữ liệu thu được bởi IDPS Điển hình các công cụSIEM được sử dụng để triển khai các chức năng sau:

- Thu thập và duy trì dữ liệu sự kiện liên quan tới an toàn từ nhiều nguồn khác nhau vào một cơ sở dữliệu tập trung Nó có thể chứa dữ liệu từ một hoặc nhiều IDPS, tập tin nhật ký từ các thiết bị mạng vàcác máy cũng như dữ liệu sự kiện từ các công cụ diệt vi-rút

- Xử lý sau khi thu thập, đặc biệt cung cấp khả năng lọc mở rộng, kết hợp và so sánh tương quan

- Tương quan sự kiện bằng việc xây dựng ngữ cảnh giữa các sự kiện liên quan tới an toàn và không

an toàn để phát hiện hành vi liên quan

- Lọc sự kiện bằng việc giảm thiểu mức độ cảnh báo liên quan như các cảnh báo IDPS

- Tập hợp các sự kiện bằng cách thu thập và chuẩn hóa các sự kiện dựa trên nguồn, đích, nhãn thờigian và mô tả sự kiện để giảm thiểu các lỗi tràn cảnh báo IDPS

- Cung cấp giao diện đơn giản và tiện ích cho việc báo cáo các cảnh báo liên quan và cung cấp trợgiúp để phân tích sâu các cảnh báo dựa trên dữ liệu đã thu thập

Mục đích chính của các công cụ SIEM là cung cấp một cách tự động hóa để phân biệt giữa các cảnhbáo liên quan, đưa ra mối đe dọa có thể ở mức cao, và các cảnh báo không liên quan hoặc khẳng địnhsai không phải mối đe dọa Việc cấu hình phù hợp các công cụ SIEM là một điều kiện không thể thiếu

để đạt được mục tiêu này và tổ chức nên xem xét nó như một công việc quan trọng khi lập kế hoạchgiới thiệu công cụ SIEM Với các hệ thống IDPS, việc cấu hình đòi hỏi có chuyên môn cao và khốilượng công việc lớn Khi được cài đặt và cấu hình phù hợp các công cụ SIEM có thể cung cấp một giátrị cao, và đặc biệt có thể cung cấp thông tin giá trị để kích hoạt các quy trình và các hoạt động nhưquản lý sự cố

5.5.7 Công cụ bảo vệ vi-rút/nội dung

Các công cụ bảo vệ vi-rút/nội dung có thể bổ sung cho IDPS bằng cách cung cấp dữ liệu bổ sung đểphân tích chéo với lưu lượng và thông tin cụ thể dựa trên nguồn gốc của các vi-rút

5.5.8 Công cụ đánh giá lỗ hổng

Đánh giá lỗ hổng là một phần của đánh giá rủi ro và một phần của việc kiểm tra an toàn đánh giá/tuânthủ và các chiến lược giám sát Kiểu đánh giá này cho phép tổ chức tìm các lỗ hổng và trong hầu hếttrường hợp khuyến cáo các hành động khắc phục để giảm cơ hội có một kẻ xâm nhập có thể khaithác chúng Vì vậy, việc sử dụng công cụ đánh giá lỗ hổng có thể làm giảm đáng kể số cuộc tấn công

mà IDPS cảnh báo

Công cụ đánh giá lỗ hổng tập trung vào việc đánh giá điểm yếu của một máy nhất định Quy trình đánhgiá này không giống như việc thực hiện một kịch bản tấn công Kết quả là, sự thiếu sót của IDPS trongviệc phát hiện hành động dò quét lỗ hổng không có nghĩa là IDPS không thể phát hiện tấn công.Ngược lại, việc IDPS phát hiện hành động dò quét lỗ hổng không có nghĩa là IDPS có thể phát hiệnđúng tấn công

Công cụ đánh giá lỗ hổng được sử dụng để kiểm tra tính nhạy cảm của máy chủ mạng bị lạm dụng.Việc sử dụng các công cụ kiểm tra lỗ hổng kết hợp với IDPS cung cấp một phương pháp tốt để đánhgiá hiệu quả của IDPS trong việc phát hiện và phản ứng lại tấn công Công cụ đánh giá lỗ hổng đượcphân loại thành dựa trên máy chủ hoặc dựa trên mạng Các công cụ dựa trên máy chủ đánh giá tính

an toàn của hệ thống thông tin bằng cách truy vấn các tài nguyên dữ liệu như nội dung tập tin, chi tiếtcấu hình và các thông tin trạng thái khác Công cụ dựa trên máy chủ được cấp quyền truy cập tới cácmáy đích đang chạy thông qua một kết nối từ xa Công cụ dựa trên mạng được sử dụng để quét một

số máy có điểm yếu kết hợp với các dịch vụ mạng Để thực hiện đánh giá lỗ hổng của máy chủ hoặcmạng, tổ chức phải chấp nhận việc kiểm thử ở một mức độ quản lý phù hợp Đây là yếu tố quan trọng

để nhấn mạnh việc sử dụng các công cụ đánh giá lỗ hổng bổ sung cho IDPS nhưng không thể thaythế IDPS

Ưu điểm và nhược điểm của việc sử dụng công cụ đánh giá lỗ hổng:

Ưu điểm:

- Công cụ đánh giá lỗ hổng cung cấp phương pháp hiệu quả cho việc viết thành tài liệu trạng thái antoàn của hệ thống thông tin và trong trường hợp tái thiết lập một cơ sở an toàn để quay lại sau khi thayđổi hệ thống;

- Khi sử dụng thường xuyên, công cụ đánh giá lỗ hổng có thể xác định các thay đổi trong trạng thái antoàn của hệ thống thông tin một cách tin cậy;

- Ưu điểm lớn nhất của công cụ đánh giá lỗ hổng là xác định các điểm yếu;

- Cho phép tổ chức so khớp dữ liệu tấn công với những lỗ hổng đã biết để nhận biết nếu cuộc tấn công

- Trong nhiều trường hợp, đánh giá lỗ hổng là một hoạt động định kỳ có thể là hàng tuần, hàng thánghoặc ngẫu nhiên và kết quả là phát hiện kịp thời vấn đề an toàn ở mức độ cao nhất hoặc đôi khi làkhông thể phát hiện;

- Giống như IDPS, việc lặp lại các đánh giá lỗ hổng có thể làm cho IDPS dựa trên bất thường bỏ quacác tấn công thật sự;

- Cần phải cập nhật các dấu hiệu tấn công;

- Công cụ đánh giá lỗ hổng dựa trên máy chủ nên được cấu hình tới hệ thống đích và cần phải chú ýthực hiện bảo vệ sự nhạy cảm của bất kỳ dữ liệu được thu thập trong suốt quy trình này Dữ liệu đượcthu thập bởi công cụ đánh giá lỗ hổng là thông tin nhạy cảm có thể được sử dụng bởi bất kỳ kẻ xâmnhập nào để khai thác hệ thống của tổ chức và vì vậy nó cần phải được bảo vệ

5.6 Tính mở rộng

Một tổ chức phải tìm hiểu tính năng mở rộng của IDPS cụ thể trước khi quyết định sử dụng IDPS.Nhiều IDPS thực hiện đầy đủ chức năng ở tốc độ dữ liệu thấp, nhưng hiệu suất sẽ bị giảm khi băngthông tăng Việc giảm hiệu năng thường dẫn đến lỗi làm tăng tỉ lệ cảnh báo phủ định sai (không cảnhbáo khi có tấn công xảy ra) và khẳng định sai (vẫn cảnh báo khi có tấn công) do có nhiều gói tin bị hủy

và lỗi khi xử lý Nói cách khác, nhiều IDPS hoạt động không ổn định trong môi trường mạng doanhnghiệp phân tán lớn và rộng

Các liên quan đến tính năng mở rộng được áp dụng hầu hết trong triển khai NIDPS, nhưng cũng được

áp dụng tới HIDPS trong trường hợp máy chủ yêu cầu hiệu năng cao

5.7 Hỗ trợ kỹ thuật

Như các hệ thống khác, IDPS yêu cầu việc duy trì và hỗ trợ, IDPS không phải là công nghệ “cắm vàchạy” Nhiều nhà cung cấp IDPS cung cấp chuyên gia hỗ trợ khách hàng trong việc cài đặt và cấu hìnhIDPS Trong khi đó một số nhà cung cấp khác mong đợi rằng nhân viên của tổ chức có thể xử lý cácchức năng và chỉ cung cấp hỗ trợ qua điện thoại hoặc thư điện tử

Mức độ hỗ trợ kỹ thuật phụ thuộc vào hợp đồng của tổ chức với nhà cung cấp IDPS và được triển khaidựa trên từng trường hợp Ở mức tối thiểu, hỗ trợ kỹ thuật nên bao gồm: hỗ trợ trong việc tinh chỉnh vàphù hợp hóa IDPS để đáp ứng các nhu cầu cụ thể của tổ chức, cho dù họ thực hiện giám sát hệ thống

có thể tùy chỉnh hoặc hệ thống kế thừa trong một doanh nghiệp, hoặc thực hiện báo cáo kết quả IDPSvới định dạng tùy chỉnh

Tổ chức nên xác định cách thức để liên lạc với hỗ trợ kỹ thuật (ví dụ thư điện tử, điện thoại, trao đổitrực tuyến, báo cáo dựa trên web, giám sát từ xa hoặc các dịch vụ phản ứng) Các điều khoản hợpđồng thông thường có thể chỉ rõ các dịch vụ hỗ trợ kỹ thuật và thời gian đáp ứng Hợp đồng với nhàcung cấp phải đủ nhằm truy cập cho việc hỗ trợ xử lý sự cố và các nhu cầu thời gian khác

tổ chức có thể mất kiểm soát quy trình IDPS tới các hệ thống khác Để tổ chức sử dụng tối ưu IDPS,nhân viên của tổ chức chịu trách nhiệm giám sát các hoạt động thuê ngoài của IDPS phải trở nên quenthuộc với các thủ tục và vận hành IDPS Loại hình đào tạo này phải có sẵn từ nhà cung cấp sản phẩmIDPS Tổ chức nên có loại hình đào tạo này trong một phần chi phí mua IDPS

Trong trường hợp nhà cung cấp không cung cấp chương trình đào tạo như một phần của gói sảnphẩm IDPS thì tổ chức nên có ngân sách phù hợp để đào tạo nhân viên vận hành Việc đào tạo nhưvậy nên được cung cấp trên cơ sở liên tục nhằm cho phép nhân viên luân chuyển và thay đổi đối vớiIDPS và môi trường của nó

6 Triển khai

6.1 Tổng quan

Dựa trên tiêu chí được cung cấp trong phần trước, việc triển khai thành công hệ thống HIDPS hoặcNIDPS có thể đạt được bằng cách:

- Phân tích chi tiết các yêu cầu, bao gồm nhu cầu IDPS dựa trên đánh giá rủi ro;

- Chọn lựa cẩn thận chiến lược triển khai IDPS;

- Xác định giải pháp phù hợp với cơ sở hạ tầng, chính sách và mức độ tài nguyên mạng của tổ chức;

- Đào tạo việc duy trì và vận hành IDPS;

- Viết tài liệu việc đào tạo và các thủ tục diễn tập để xử lý và phản ứng với các cảnh báo IDPS

Do lợi ích và hạn chế của hai loại IDPS, tổ chức nên xem xét kết hợp IDPS dựa trên mạng và IDPSdựa trên máy chủ để bảo vệ mạng của tổ chức.

6.2 Triển khai theo giai đoạn

Tổ chức nên xem xét triển khai theo giai đoạn IDPS Phương pháp tiếp cận này có thể cho phép nhânviên có thêm kinh nghiệm và để xác định cần bao nhiêu tài nguyên giám sát và duy trì để hỗ trợ chocác hoạt động IDPS Yêu cầu tài nguyên của mỗi loại IDPS rất khác nhau và phù thuộc nhiều vào hệthống và môi trường an toàn của tổ chức

Trong triển khai theo giai đoạn, tổ chức nên bắt đầu với IDPS dựa trên mạng Việc cài đặt và duy trìNIDPS là đơn giản nhất Bước tiếp theo là bảo vệ các máy chủ quan trọng với IDPS dựa trên máy chủ

Tổ chức phải sử dụng các công cụ đánh giá lỗ hổng định kỳ để kiểm tra IDPS và các cơ chế an toàncho các chức năng và cấu hình của nó

6.3 Triển khai NIDPS

6.3.1 Tổng quan

Với một HIDPS, tổ chức nên đảm bảo nhân viên vận hành được làm quen với NIDPS trong môi trườngkiểm định và đào tạo chủ động được kiểm soát Các vị trí khác nhau của các bộ cảm biến NIDPS cóthể được kiểm thử trước khi triển khai toàn diện trên mạng Các vị trí phổ biến của bộ cảm biến NIDPSđược nêu chi tiết trong phần sau và thể hiện trong Hình 2 Trong việc triển khai các bộ cảm biến mạng,

tổ chức nên cân đối chi phí việc triển khai và các hoạt động đang diễn ra so với mức yêu cầu bảo vệthực tế

Ngoài ra, đặc biệt trong các môi trường mạng có tốc độc cao, mức độ hủy gói tin cần được giám sátkhi tỉ lệ hủy gói tin ở mức cao có thể tăng thêm lượng gói tin không khớp luật, kết quả là tăng tỉ lệkhẳng định sai hoặc phủ định sai Một biện pháp khắc phục là sử dụng các cổng giao tiếp mạng có thểbắt gói tin ở tốc độc cao hoặc công nghệ tương tự nhằm giảm thiểu việc hủy gói tin để đảm bảo hiệuquả

Khi triển khai một NIDPS để giám sát mạng, phương pháp bắt dữ liệu nên được xem xét, đặc biệttrong trường hợp, một bộ chuyển mạch hoặc một TAP được sử dụng Tổ chức nên sử dụng bộ chuyểnmạch phân tách vật lý khi triển khai một NIDPS và không có VLAN hoặc công nghệ tương tự trên bộchuyển mạch lõi Các bộ chuyển mạch thông thường chỉ cho phép có một cổng giám sát mạng (còn gọi

là cổng SPAN) thực hiện chức năng ở bất kỳ thời gian nào được phép Cổng giám sát mạng cũng làmtăng việc sử dụng CPU của bộ chuyển mạch, và được thiết kế để dừng việc sao chép dữ liệu trongtrường hợp đến ngưỡng sử dụng CPU

Tương tự, trong trường hợp cổng này sử dụng để gỡ rối mạng, IDPS trở nên vô dụng Tổ chức nêndành cổng này cho chức năng của IDPS Để xác định vấn đề này tổ chức nên có một TAP mạng, đặcbiệt TAP tích hợp hai chiều dữ liệu Các thiết bị này là thiết bị thụ động, vì vậy không tạo thêm bất kỳthay đổi nào trên gói tin Một TAP có chức năng của nhiều cổng vì vậy các vấn đề mạng có thể được

xử lý mà không làm mất khả năng của IDPS