BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP PHÁT TRIỂN VÀ TÍCH HỢP CHỨC NĂNG GIÁM SÁT TOÀN VẸN TỆP TIN VÀO HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG Ngành An toàn thông tin Mã.
Tổng quan về an toàn thông tin trong mạng máy tính
An toàn thông tin
1.1.1 Khái niệm an toàn thông tin
Lĩnh vực an toàn thông tin (ATTT) đang thu hút sự chú ý ngày càng nhiều từ các quốc gia trên toàn cầu Có nhiều quan niệm khác nhau về các khái niệm liên quan đến trạng thái đảm bảo an toàn thông tin cho hệ thống mạng, bao gồm "an toàn thông tin", "an toàn mạng", "bảo mật mạng máy tính", bảo mật server và bảo mật ứng dụng web Dưới đây là một số khái niệm cơ bản về thông tin và đảm bảo an toàn thông tin.
Thông tin là sự phản ánh của tự nhiên và xã hội thông qua ngôn từ, ký hiệu và hình ảnh, tồn tại dưới nhiều hình thức như khắc trên đá, in trên giấy, hoặc lưu trữ trong thiết bị điện tử Việc bảo vệ thông tin khỏi các mối đe dọa là rất quan trọng, nhằm đảm bảo thông tin được sử dụng kịp thời, đáng tin cậy và bảo vệ quyền riêng tư cũng như bản quyền.
Hệ thống thông tin bao gồm các thiết bị viễn thông và công nghệ thông tin, kết hợp phần cứng, phần mềm và cơ sở dữ liệu Nó phục vụ cho việc lưu trữ, xử lý, truyền tải, chia sẻ, trao đổi, cung cấp và sử dụng thông tin một cách hiệu quả.
An toàn thông tin là quá trình bảo vệ thông tin và hệ thống thông tin khỏi các hành vi truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép Mục tiêu chính là đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
An toàn thông tin là quá trình quản lý, nghiệp vụ và kỹ thuật nhằm bảo vệ và khôi phục hệ thống thông tin trước các nguy cơ từ thiên nhiên hoặc con người Mục tiêu chính của việc bảo vệ thông tin, tài sản và con người là đảm bảo hệ thống hoạt động hiệu quả, phục vụ đúng đối tượng với độ sẵn sàng, chính xác và tin cậy cao.
1.1.2 Sự cần thiết của an toàn thông tin
Thông tin được xem là tài sản quý giá của chính phủ, tổ chức, doanh nghiệp và cá nhân Việc sở hữu thông tin đồng nghĩa với việc đạt được 50% thành công Do đó, việc trao đổi và bảo mật thông tin trở thành vấn đề vô cùng quan trọng.
Máy tính phát triển nhanh chóng để đáp ứng nhu cầu người dùng, trong khi Internet và mạng máy tính đã cải thiện đáng kể việc trao đổi thông tin E-mail cho phép gửi và nhận thư ngay trên máy tính, trong khi E-business tạo điều kiện cho các giao dịch thương mại trực tuyến.
Tuy nhiên, những vấn đề mới đã phát sinh liên quan đến an ninh thông tin Dữ liệu quan trọng có thể bị trộm cắp, làm sai lệch hoặc giả mạo khi đang lưu trữ hoặc truyền tải Điều này ảnh hưởng đến tổ chức, công ty và cả quốc gia Các bí mật kinh doanh và tài chính trở thành mục tiêu của đối thủ cạnh tranh, trong khi thông tin về an ninh quốc gia bị nhắm đến bởi các tổ chức tình báo cả trong và ngoài nước.
Theo CERT (Computer Emergency Response Team), số lượng vụ tấn công trên Internet đang gia tăng nhanh chóng, với quy mô và phương pháp tấn công ngày càng tinh vi hơn Một ví dụ điển hình là tin tặc đã tấn công đồng thời 100.000 máy tính, bao gồm các thiết bị của công ty, trường học, cơ quan nhà nước, tổ chức quân sự và ngân hàng, dẫn đến việc ngưng hoạt động của chúng.
Trong môi trường trực tuyến, việc ký văn bản quan trọng trở nên dễ bị tấn công, dẫn đến nguy cơ thông tin bị thay đổi hoặc chữ ký bị giả mạo Điều này đặt ra yêu cầu cấp thiết về việc đảm bảo an toàn và bảo mật thông tin trong cả lý luận lẫn thực tiễn.
1.1.3 Mục tiêu của an toàn thông tin
Mục tiêu của An toàn thông tin là bảo đảm bí mật, toàn vẹn và xác thực thông tin, đồng thời sẵn sàng cung cấp thông tin cho người được phép Để đạt được điều này, nhiều công cụ như mã hóa, chữ ký số và kiểm soát truy cập được sử dụng Trong bối cảnh giao dịch điện tử ngày càng phổ biến, việc có luật giao dịch điện tử là cần thiết để tránh sự cố Nhiều quốc gia, bao gồm cả Việt Nam, đã ban hành luật này, cho phép thực hiện các hoạt động kinh tế xã hội qua mạng như mua bán, thanh toán và đấu thầu từ xa An toàn dữ liệu bao gồm việc bảo vệ dữ liệu lưu giữ trong máy tính và dữ liệu đang trên đường truyền.
An toàn thông tin trong kỷ nguyên 4.0
1.2.1 Ảnh hưởng của tấn công mạng đến hệ thống CNTT hiện nay a) Thiệt hại lớn về kinh tế do virus
Năm 2019, thiệt hại từ virus máy tính đối với người dùng Việt Nam đã đạt 20.892 tỷ đồng (902 triệu USD), tăng mạnh so với 14.900 tỷ đồng của năm 2018 Số lượng máy tính bị nhiễm mã độc trong năm này cũng ghi nhận ở mức cao.
Năm 2019, số lượng máy tính bị nhiễm mã độc đã đạt 85,2 triệu lượt, tăng 3,5% so với năm 2018 Sự gia tăng này chủ yếu do sự gia tăng của các mã độc mã hóa dữ liệu và các cuộc tấn công có chủ đích APT, dẫn đến những thiệt hại nghiêm trọng.
Mã độc mạo danh văn bản Chính phủ về Covid-19 đang dụ người dùng nhấp vào tệp tin chứa virus để đánh cắp thông tin và chiếm quyền điều khiển máy tính Theo phân tích của công ty An ninh mạng CMC, kẻ xấu tạo ra tệp tin shortcut mang tên "Chi thi cua Thu tuong.doc.lnk", khiến người dùng dễ nhầm lẫn với tệp tin văn bản ".doc" thông thường do đuôi ".lnk" thường bị ẩn Phương thức này tương tự như mã độc Mustang Panda đã tấn công các tổ chức tại Việt Nam vào năm 2019 Tệp tin shortcut này chứa mã độc với nhiều đoạn mã "bất thường", được thiết lập để khởi chạy với các thuộc tính như chạy thu nhỏ, không hiện trên taskbar, không có menu và caption, làm cho người dùng khó phát hiện.
Số liệu báo cáo năm 2019-2020 của BKAV, https://www.bkav.com.vn/ho-tro-khach- hang/-/chi_tiet/669034/tong-ket-an-ninh-mang-nam-2019-va-du-bao-2020
Hình 1.1 Tệp tin shortcut chứa đoạn mã bất thường.
Nếu được kích hoạt, mã độc này sẽ tự sao chép và tự động khởi động cùng với máy tính Nó cũng tạo ra một backdoor cho phép kẻ tấn công thực hiện lệnh từ xa, bao gồm tải file và thu thập thông tin từ máy tính cũng như người dùng.
Gần đây, một chiến dịch tấn công có chủ đích (APT) đã được phát hiện tại Việt Nam, lợi dụng tình hình dịch viêm phổi cấp do Covid-19 Những kẻ tấn công đã đầu tư thời gian nghiên cứu kỹ lưỡng mục tiêu và phát triển phương pháp tấn công tinh vi, nhằm vào các tổ chức tư nhân và nhà nước vì động cơ kinh tế hoặc chính trị Để bảo vệ hệ thống của mình khỏi mã độc APT, người dùng cần thận trọng khi mở email và tuyệt đối không mở các file đính kèm nghi ngờ có chứa mã độc Ngoài ra, việc cài đặt phần mềm từ nguồn không rõ ràng cũng có thể khiến máy tính bị nhiễm virus.
Số lượng máy tính bị nhiễm virus cao chủ yếu do việc tải và cài đặt các phần mềm không rõ nguồn gốc từ Internet Theo thống kê, cứ 10 máy tính cài phần mềm tải về, có đến 8 máy bị nhiễm virus, cho thấy tỷ lệ này rất đáng lo ngại Để bảo vệ an toàn cho thiết bị, người dùng nên chỉ tải các phần mềm có nguồn gốc rõ ràng từ nhà cung cấp uy tín.
Dựa trên số liệu báo cáo năm 2019-2020 của BKAV, người dùng nên tin tưởng vào các ứng dụng được cung cấp từ các kho ứng dụng chính thống, tránh tải về từ những nguồn không rõ ràng trên mạng Thông tin chi tiết có thể tham khảo tại [BKAV](https://www.bkav.com.vn/ho-tro-khach-hang/-/chi_tiet/669034/tong-ket-an-ninh-mang-nam-2019-va-du-bao-2020).
Tỷ lệ lây nhiễm virus qua USB tại Việt Nam đã giảm mạnh xuống 55%, giảm 22% so với năm 2018, trong khi virus lây nhiễm qua email lại tăng lên 20%, tăng 4% so với năm trước Theo thống kê của Bkav, vẫn có tới 41,04% máy tính tại Việt Nam tồn tại lỗ hổng SMB, từng bị virus Wanna Cry khai thác, lây nhiễm hơn 300.000 máy tính chỉ trong vài giờ Những con số này cho thấy nguy cơ mất an ninh thông tin tại Việt Nam vẫn rất lớn, đặc biệt là khi máy tính có thể bị mất dữ liệu do tấn công mạng.
Năm 2019, mã độc mã hóa dữ liệu tống tiền (ransomware) tiếp tục hoành hành, với 1,8 triệu máy tính bị mất dữ liệu, tăng 12% so với năm trước, theo thống kê của Bkav Nhiều máy chủ chứa dữ liệu quan trọng của các cơ quan bị ảnh hưởng, dẫn đến thiệt hại lớn và đình trệ hoạt động của doanh nghiệp trong nhiều ngày Một trong những vụ tấn công nghiêm trọng là ngân hàng MSB, nơi bị lộ hai triệu dữ liệu khách hàng, gây ảnh hưởng lớn đến uy tín và hoạt động của ngân hàng.
Vào khoảng ngày 29/10/2019, một thành viên có tên Liturmlime đã công bố dữ liệu của MSB Bank, trong đó chứa hầu hết thông tin khách hàng của ngân hàng này.
Thông tin về thành viên này chủ yếu là giả mạo, nhưng cơ sở dữ liệu của ngân hàng MSB đã được xác minh là hoàn toàn chính xác Thành viên này khẳng định rằng dữ liệu được cung cấp là mới nhất từ năm 2019 và không phải là thông tin cũ Database của ngân hàng MSB không phải là bản đầy đủ, mà chỉ là một phần nhỏ của dữ liệu Thông tin bao gồm tên đầy đủ, số chứng minh thư, số điện thoại, địa chỉ, ngày sinh, giới tính, email và nghề nghiệp của khách hàng Người nắm giữ thông tin ngân hàng MSB tuyên bố có đủ dữ liệu của tất cả khách hàng Thư mục chứa 2 triệu dữ liệu này không phải là duy nhất và dự kiến sẽ có thêm thông tin được hacker công bố Sau khi kiểm tra thông tin của một số khách hàng có thẻ MSB, toàn bộ thông tin cá nhân đều trùng khớp với dữ liệu của hacker MSB đã nhanh chóng nắm bắt tình hình và yêu cầu sự can thiệp từ cơ quan chức năng.
Năm 2019-2020, BKAV đã công bố số liệu báo cáo về an ninh mạng, nhấn mạnh tầm quan trọng của việc gỡ bỏ thông tin cá nhân của khách hàng Công ty cũng đã tiến hành làm việc với khách hàng để đảm bảo an toàn thông tin cá nhân của họ Thông tin chi tiết có thể được tìm thấy tại [BKAV](https://www.bkav.com.vn/ho-tro-khach-hang/-/chi_tiet/669034/tong-ket-an-ninh-mang-nam-2019-va-du-bao-2020).
1.2.2 Thách thức đối với an toàn thông tin trong kỷ nguyên 4.0
Cuộc cách mạng công nghiệp 4.0 đang được thúc đẩy bởi Internet vạn vật (IoT), với sự ra đời của các mạng thông minh Những mạng này bao gồm các hệ thống máy móc kết nối, cho phép tự động trao đổi thông tin, kích hoạt hành động và kiểm soát lẫn nhau.
Việc tích hợp các hệ thống sản xuất riêng biệt mang lại nhiều lợi ích cho các nhà sản xuất, nhưng cũng tiềm ẩn nguy cơ rủi ro bị tấn công không gian mạng Các quy trình trước đây vốn cô lập giờ đây dễ bị tấn công trực tiếp và gián tiếp, tạo cơ hội cho tin tặc thực hiện các hoạt động gián điệp nhằm đánh cắp tài sản trí tuệ và chiếm quyền kiểm soát nhà máy Điều này đặc biệt nghiêm trọng khi các nhà máy bắt đầu áp dụng giải pháp IoT Tội phạm mạng đã thực hiện nhiều cuộc tấn công tinh vi vào hệ thống và quy trình công nghiệp, nhằm lấy cắp dữ liệu bí mật và thiết kế sản phẩm mới Bảo mật trong nền tảng công nghiệp trở nên cần thiết không chỉ để tránh tổn thất kinh tế mà còn để đảm bảo an toàn cho công nhân và giảm thiểu rủi ro trong môi trường làm việc Các cuộc tấn công ransomware như WannaCry và Petya đã minh chứng cho những mối đe dọa này.
Năm 2017 đã chứng kiến nhiều sự cố nghiêm trọng liên quan đến an ninh mạng, như việc các thiết bị tự động hóa ngừng hoạt động gây thiệt hại lớn tại châu Âu, cuộc tấn công của tin tặc vào một nhà máy thép ở Đức, và sự cố làm mất điện cho 80.000 người dân tại Ukraine Những sự kiện này đã trở thành hồi chuông cảnh tỉnh cho các nhà quản lý và nhà máy, cho thấy rằng việc xây dựng các biện pháp an ninh mạng cơ bản vẫn là một thách thức lớn trong môi trường công nghiệp hiện nay.
Các hiểm họa gây mất an toàn trong mạng máy tính
1.3.1 Hiểm họa từ mã độc
Mã độc, hay còn gọi là phần mềm độc hại (Malware), là loại phần mềm được thiết kế để xâm nhập và phá hoại hệ thống máy tính một cách lén lút Mục tiêu của mã độc thường là đánh cắp thông tin, gây gián đoạn hoạt động hoặc làm tổn hại đến tính bí mật, tính toàn vẹn và tính sẵn sàng của hệ thống Các loại mã độc được phân loại dựa trên chức năng và phương thức lây nhiễm, bao gồm virus, worm, trojan, và rootkit.
Tấn công malware hiện nay là hình thức tấn công phổ biến nhất, bao gồm các loại như spyware, ransomware, virus và worm Tin tặc thường khai thác lỗ hổng bảo mật hoặc sử dụng phương pháp lừa đảo để dụ dỗ người dùng click vào link hoặc email (phishing), từ đó cài đặt phần mềm độc hại vào máy tính Khi malware được cài đặt thành công, nó sẽ gây ra nhiều hậu quả nghiêm trọng.
- Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng của hệ thống ( ransomware ),
- Cài đặt thêm những phần mềm độc hại khác.
- Lén lút theo dõi người dùng và đánh cắp dữ liệu ( spyware ).
- Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống.
Báo cáo gần đây của SonicWall tiết lộ thực trạng an ninh mạng nửa đầu năm
Năm 2019 chứng kiến sự gia tăng mạnh mẽ về số lượng malware, đặc biệt là các phần mềm độc hại sử dụng mã hóa và nhắm vào thiết bị IoT Theo dữ liệu thống kê, đã có tới 13,5 triệu cuộc tấn công IoT trong nửa đầu năm 2019, tăng 55% so với cùng kỳ năm trước.
Tài liệu độc hại, như tệp PDF và Office, vẫn là mối đe dọa lớn đối với doanh nghiệp, khi các tác nhân xấu liên tục lợi dụng lòng tin của nhân viên để phát tán các payload độc hại vào môi trường làm việc.
Mặc dù số lượng các cuộc tấn công vẫn ở mức thấp, nhưng các thủ thuật mà hacker sử dụng có khả năng vượt qua tường lửa truyền thống và các hộp cát động cơ đơn, cho thấy mức độ nghiêm trọng của vấn đề không thể xem nhẹ.
Sau khi giảm liên tục trong nửa cuối năm 2018, hoạt động khai thác tiền điện tử (cryptojacking) đang phục hồi nhờ sự tăng giá của Bitcoin Tổng số vụ khai thác tiền điện tử trong hai quý đầu năm 2019 đã đạt 52,7 triệu, ghi nhận mức tăng 9% so với nửa cuối năm 2018.
Mặc dù dịch vụ CoinHive đã đóng cửa từ tháng 3 năm 2019, mã độc này vẫn giữ vị trí hàng đầu trong danh sách các mã độc đào tiền ảo Nguyên nhân là do nhiều trang web từng bị xâm phạm vẫn chưa được làm sạch sau khi lây nhiễm, dẫn đến việc CoinHive vẫn tiếp tục phổ biến mặc dù URL của dịch vụ đã bị loại bỏ.
1.3.2 Hiểm họa từ các cuộc tấn công giả mạo ( Phising )
Phishing là một hình thức lừa đảo, trong đó kẻ tấn công giả mạo một tổ chức hoặc cá nhân đáng tin cậy để đánh cắp lòng tin của người dùng, thường thông qua email Mục tiêu chính của tấn công phishing là thu thập thông tin nhạy cảm như dữ liệu thẻ tín dụng và mật khẩu Ngoài ra, phishing cũng có thể được sử dụng để lừa người dùng cài đặt phần mềm độc hại, trở thành một bước trong quá trình tấn công malware.
[1] [1] Báo cáo an toàn thông 2019 của công ty SonicWall, https://www.sonicwall.com/resources/white-papers/mid-year-update-2019-sonicwall-cyber- threat-report/
Báo số liệu của CyStack, https://cystack.net/vi/resource/bao-cao-nua-dau-nam-2019- malware-ma-hoa-va-malware-iot-vuot-muc-2018/
Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công Phishing. a) Giả mạo email
Một trong những kỹ thuật phổ biến trong tấn công Phishing là giả mạo email, trong đó tin tặc gửi email mạo danh từ các tổ chức uy tín để lừa người dùng Mục tiêu của chúng là khiến người nhận nhấp vào đường link dẫn đến một website giả mạo, từ đó đánh cắp thông tin cá nhân.
Email giả mạo thường có hình thức rất giống với email chính chủ, chỉ khác biệt ở một vài chi tiết nhỏ, dẫn đến việc nhiều người dùng dễ dàng nhầm lẫn và trở thành nạn nhân của các cuộc tấn công Để tăng tính xác thực của nội dung email, kẻ tấn công luôn nỗ lực làm cho nó trông giống thật nhất có thể.
“ngụy trang” bằng nhiều yếu tố:
- Địa chỉ người gửi ( VD: địa chỉ đúng là sales.congtyA@gmail.com thì địa chỉ giả mạo có thể là sale.congtyA@gmail.com )
- Chèn Logo chính thức của tổ chức để tăng độ tin cậy
- Thiết kế các cửa sổ pop-up giống y hệt bản gốc ( cả về màu sắc, font chữ,
Kỹ thuật giả mạo đường dẫn (link) là một phương thức lừa đảo phổ biến, trong đó văn bản hiển thị như vietcombank.com.vn nhưng khi người dùng nhấp vào lại dẫn đến trang web giả mạo vietconbank.com.vn Hành vi này có thể gây nguy hiểm cho người dùng và làm lộ thông tin cá nhân.
- Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy.
Hình 1.3 Mánh khóe tinh vi tấn công Phishing.
Nguồn: CyStack.net b) Giả mạo Website
Trong tấn công Phishing, việc giả mạo website thực chất chỉ là tạo ra một Landing page giả mạo, chủ yếu là trang đăng nhập nhằm đánh cắp thông tin của nạn nhân Kỹ thuật này có một số đặc điểm đáng chú ý, trong đó có khả năng vượt qua các bộ lọc Phishing.
Hiện nay, các nhà cung cấp dịch vụ email như Google và Microsoft đã triển khai bộ lọc spam và phishing để bảo vệ người dùng Tuy nhiên, những bộ lọc này chủ yếu dựa vào việc kiểm tra văn bản trong email để xác định tính chất lừa đảo Nhận thấy điều này, các kẻ tấn công đã nâng cao chiến dịch phishing bằng cách sử dụng hình ảnh hoặc video để truyền tải thông điệp lừa đảo, thay vì chỉ dựa vào văn bản như trước.
1.3.3 Hiểm họa từ tấn công trung gian( Man-in-the-middle )
Tấn công trung gian (MitM) là một hình thức tấn công nghe lén, diễn ra khi kẻ tấn công can thiệp vào giao dịch giữa hai bên Khi đã xâm nhập thành công, kẻ tấn công có khả năng đánh cắp dữ liệu quan trọng từ giao dịch đó.
Loại hình này xảy ra khi:
Khi nạn nhân kết nối với mạng wifi công cộng không an toàn, kẻ tấn công có khả năng "chen vào giữa" thiết bị của nạn nhân và mạng wifi, dẫn đến việc thông tin nhạy cảm mà nạn nhân gửi đi có thể bị rơi vào tay kẻ xấu.
Các yêu cầu an toàn đối với mạng máy tính
Một hệ thống an toàn mạng máy tính cần có những đặc trưng sau đây:
1.4.1 Tính bí mật ( Confidential ) Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập( đọc ) bởi những đối tượng ( người, chương trình máy tính… ) được cấp phép.
Để bảo đảm tính bí mật của thông tin, cần hạn chế truy cập cả về mặt vật lý, như kiểm soát truy cập trực tiếp đến thiết bị lưu trữ, và về mặt logic, như ngăn chặn truy cập từ xa qua mạng Dưới đây là một số phương pháp hiệu quả để thực hiện điều này.
- Khóa kín và niêm phong thiết bị.
- Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username và password hay đặc điểm về sinh trắc để xác thực.
- Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
- Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES,…
1.4.2 Tính toàn ven ( Integrity ) Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi là chưa đẩy đủ.
Giải pháp đảm bảo "data integrity" không chỉ bao gồm việc xác thực nguồn gốc thông tin mà còn xác định quyền sở hữu của đối tượng, nhằm đảm bảo tính "authenticity" của thông tin Các yếu tố chính ảnh hưởng đến sự toàn vẹn thông tin trên mạng bao gồm sự cố thiết bị, lỗi mã, tác động của con người và virus máy tính.
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng:
Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hoá.
- Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ
- Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin
- Chữ ký điện tử: bảo đảm tính xác thực của thông tin.
- Yêu cầu cơ quan quản lý hoặc trung gian chứng minh tính chân thực của thông tin.
Tính khả dụng là khả năng mà thông tin trên mạng có thể được các thực thể tiếp cận và sử dụng theo nhu cầu, bất cứ khi nào và trong bất kỳ hoàn cảnh nào Để đánh giá tính khả dụng, người ta thường sử dụng tỷ lệ giữa thời gian hệ thống hoạt động bình thường và thời gian tổng thể của quá trình hoạt động Tính khả dụng cần phải đáp ứng các yêu cầu cụ thể để đảm bảo hiệu quả sử dụng.
- Nhận biết và phân biệt thực thể.
- Khống chế tiếp cận ( bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức ).
- Khống chế lưu lượng ( chống tắc nghẽn…)
- Khống chế chọn đường ( cho phép chọn đường nhánh, mạch nối ổn định, tin cậy )
Giám sát tung tích là quá trình theo dõi tất cả các sự kiện phát sinh trong hệ thống, giúp lưu giữ dữ liệu để phân tích nguyên nhân Việc này cho phép thực hiện các biện pháp kịp thời và phù hợp nhằm xử lý các vấn đề phát sinh, đảm bảo hiệu quả hoạt động của hệ thống.
Kiểm tra tính xác thực là một trong những hoạt động quan trọng nhất trong bảo mật hệ thống Trước khi một thực thể kết nối với hệ thống, việc xác minh tính xác thực của thực thể đó là điều cần thiết để đảm bảo an toàn và bảo mật.
Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:
- Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số thông số cá nhân PIN ( Personal Information Number ).
Kiểm tra thông tin dựa trên mô hình hiện có yêu cầu đối tượng kiểm tra phải cung cấp các thông tin mà họ sở hữu, chẳng hạn như Private Key hoặc số thẻ tín dụng.
Để xác định tính duy nhất của một đối tượng trong quá trình kiểm tra, cần thu thập các thông tin nhận diện như giọng nói, dấu vân tay và chữ ký Những thông tin này đóng vai trò quan trọng trong việc đảm bảo tính chính xác và độ tin cậy của quá trình xác thực.
1.4.5 Tính không thể chối cãi ( Nonreputation ).
Trong quá trình giao lưu thông tin trực tuyến, việc xác nhận tính chân thực và đồng nhất của các thực thể tham gia là rất quan trọng Điều này có nghĩa là tất cả các bên liên quan không thể phủ nhận hoặc từ chối các hành động và cam kết mà họ đã thực hiện.
Một số giải pháp đảm bảo an toàn trong mạng máy tính
Tường lửa (firewall) là thiết bị, hệ thống phần cứng hoặc phần mềm nhằm ngăn chặn truy cập trái phép vào hệ thống cần bảo vệ Tường lửa được đặt tại các điểm vào ra của luồng dữ liệu để kiểm soát, lọc và chặn truy cập không mong muốn khi cần thiết.
Tường lửa là công cụ quan trọng trong việc kiểm soát và lọc gói tin giữa mạng nội bộ (vùng tin cậy) và Internet (vùng không tin cậy) Nó hoạt động như một hàng rào bảo vệ, với các quy định rõ ràng về việc cho phép hoặc từ chối truy cập Tất cả thông tin gửi qua tường lửa đều được kiểm tra; nếu không hợp lệ, tường lửa sẽ từ chối kết nối Việc xác định tài nguyên nào được phép kết nối từ xa qua Internet là cần thiết, và việc cấp địa chỉ Internet cần được xem xét kỹ lưỡng để đảm bảo an toàn và tiết kiệm tài nguyên địa chỉ.
1.5.2 Hệ thống phát hiện xâm nhập IDS/IPS
Hệ thống phát hiện xâm nhập (IDS) là công cụ giám sát lưu lượng mạng, có khả năng phát hiện các hoạt động bất thường và xâm nhập trái phép IDS có thể phân loại các cuộc tấn công thành hai loại: tấn công từ bên trong (nội bộ) và tấn công từ bên ngoài (từ tin tặc).
Hệ thống IDS phát hiện các mối nguy hiểm thông qua việc nhận diện các dấu hiệu đặc biệt của các rủi ro đã biết, tương tự như cách mà phần mềm diệt virus hoạt động Ngoài ra, IDS còn so sánh lưu lượng mạng hiện tại với các thông số chuẩn (baseline) của hệ thống để phát hiện những dấu hiệu bất thường.
Tính năng quan trọng nhất của hệ thống phát hiện xâm nhập IDS bao gồm:
- Giám sát lưu lượng mạng và các hoạt động khả nghi.
- Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
- Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.
Phân loại IDS ( hệ thống phát hiện xâm nhập )
NIDS, hay Hệ thống phát hiện xâm nhập mạng, là công nghệ giúp phân tích sâu các gói tin mà không làm thay đổi cấu trúc của chúng Hệ thống này có khả năng tập hợp và xử lý thông tin để phát hiện các hoạt động xâm nhập NIDS thường được triển khai dưới dạng phần mềm trên server, mang lại hiệu quả cao trong việc bảo vệ mạng lưới.
HIDS (Hệ thống phát hiện xâm nhập host) là công nghệ giám sát các hoạt động bất thường trên từng máy chủ riêng lẻ Hệ thống này được cài đặt trực tiếp trên các host cần theo dõi, giúp phát hiện kịp thời các mối đe dọa và bảo vệ an toàn cho hệ thống.
Mỗi thành phần trong kiến trúc mạng đều có chức năng, điểm mạnh và điểm yếu riêng, và việc sử dụng đúng cách sẽ nâng cao hiệu quả hoạt động Hệ thống phát hiện xâm nhập (IDS) là một trong những yếu tố quan trọng trong các giải pháp bảo vệ hệ thống, giúp tăng cường an ninh và bảo vệ dữ liệu hiệu quả khi được triển khai đúng cách.
- Theo dõi các hoạt động bất thường đối với hệ thống.
- Xác định ai đang tác động đến hệ thống và cách thức như thế nào.
- Các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng. Ưu điểm, hạn chế của hệ thống phát hiện xâm nhập. Ưu điểm:
- Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng mạng.
- Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
- Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.
- Có thể gây ra tình trạng báo động nhầm nếu cấu hình không hợp lý.
- Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
- Chi phí triển khai và vận hành hệ thống tương đối lớn.
1.5.3 Hệ thống giám sát an toàn mạng
CHƯƠNG 1 a) Khái niệm giám sát an toàn mạng
Hiện nay, tấn công mạng, lừa đảo trực tuyến và bùng phát mã độc đang gia tăng, trở thành mối đe dọa nghiêm trọng đối với các tổ chức Để đối phó với những rủi ro này, các tổ chức cần đầu tư vào các giải pháp an ninh đa lớp và bảo vệ toàn diện.
Bài toàn được đặt ra đối với đội ngũ vận hành an ninh ( Security ) như:
Để nâng cao khả năng phân tích nhật ký, các tổ chức cần sử dụng công nghệ tự động hóa, bởi hàng ngày, các hệ thống như Firewall, IPS, OS và Database tạo ra hàng triệu nhật ký Với đội ngũ nhân sự hiện có, việc phân tích thủ công là không khả thi.
Giảm thiểu số lượng thông báo giả là cần thiết, bởi trong hàng triệu sự kiện, có một tỷ lệ lớn thông báo không chính xác và không thực sự quan trọng.
Việc thực hiện bảo vệ riêng lẻ trong các hệ thống thường gặp khó khăn do thiếu khả năng bao quát, khi mà mỗi quản trị viên chỉ tập trung vào chuyên môn của mình Điều này dẫn đến việc khi cần phân tích hay điều tra một vấn đề, họ phải tốn thời gian để tìm hiểu các hệ thống liên quan hoặc phối hợp với các bộ phận khác Hệ quả là thời gian thực hiện kéo dài và dễ bỏ qua những sự kiện tưởng chừng không quan trọng, vì quản trị viên không thể quan sát toàn bộ các vấn đề an ninh trong hệ thống.
Để giải quyết vấn đề đồng bộ và phân tích nhật ký từ các hệ thống có định dạng khác nhau, tổ chức cần một giải pháp quản lý và phân tích sự kiện an toàn thông tin Hệ thống giám sát an toàn thông tin mạng SIEM được thiết kế để thu thập và lưu trữ thông tin nhật ký từ các thiết bị đầu cuối một cách tập trung SIEM cần thu thập nhật ký từ tất cả các hệ thống quan trọng, cung cấp các công cụ linh hoạt cho việc tìm kiếm, phân tích và theo dõi sự kiện an ninh theo thời gian thực trên một giao diện duy nhất Tính năng phân tích tương quan giữa các sự kiện giúp phát hiện các vấn đề an ninh lớn, từ đó cho phép tổ chức giảm thiểu rủi ro và tiết kiệm thời gian, nhân lực.
CHƯƠNG 1 b) Mục đích của hệ thống giám sát an toàn thông tin mạng
Nhiều tổ chức triển khai hệ thống SIEM nhằm mục đích tập hợp dữ liệu qua giải pháp nhật ký tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên gửi dữ liệu nhật ký về máy chủ SIEM Máy chủ SIEM nhận dữ liệu từ nhiều thiết bị khác nhau, thực hiện thống kê, phân tích và báo cáo để tạo ra báo cáo tổng hợp, thể hiện sự tương quan giữa các sự kiện an ninh của các thiết bị.
Một tổ chức thiếu hệ thống tập trung dữ liệu nhật ký sẽ gặp nhiều khó khăn trong việc tổng hợp báo cáo hoạt động Để có được báo cáo cho từng thiết bị đầu cuối, họ phải thu thập dữ liệu thủ công từ từng thiết bị, điều này gây tốn thời gian và công sức Sự khác biệt giữa các hệ điều hành, ứng dụng và phần mềm khiến cho các nhật ký sự kiện an ninh không đồng nhất, làm cho việc chuyển đổi thông tin thành định dạng chung trở nên phức tạp và đòi hỏi nhiều nguồn lực phát triển hoặc tùy chỉnh mã nguồn.
SIEM rất hữu ích trong việc quản lý và báo cáo tập trung nhờ vào việc cung cấp các mẫu báo cáo phù hợp với các tiêu chuẩn quốc tế, chẳng hạn như Đạo luật về khả năng chuyển nhượng và trách nhiệm bảo hiểm sức khỏe (HIPAA) và các quy định liên quan đến thẻ thanh toán.
Giới thiệu về giải pháp giám sát an toàn mạng Wazuh
Tổng quan giới thiệu về Wazuh
Wazuh là một dự án mã nguồn mở chuyên phát hiện và hiển thị các vấn đề an toàn cho hệ thống thông qua phân tích nhật ký, kiểm tra tính toàn vẹn và giám sát sổ đăng ký Windows Nó hỗ trợ phát hiện rootkit, cảnh báo theo thời gian thực và cung cấp khả năng phát hiện xâm nhập cho nhiều hệ điều hành như Linux, OpenBSD, FreeBSD, MacOS, Solaris và Windows Với kiến trúc đa nền tảng, Wazuh cho phép quản lý và giám sát nhiều hệ thống một cách hiệu quả Dự án được phát triển từ OSSEC HIDS và tích hợp với Elastic Stack cùng OpenSCAP, tạo ra một giải pháp bảo mật toàn diện.
Hình 2.5 Các chức năng Wazuh cung cấp
OSSEC HIDS (Hệ thống phát hiện xâm nhập dựa trên máy chủ) là một công cụ mạnh mẽ dùng để phát hiện xâm nhập, hiển thị và giám sát hệ thống Nó sử dụng một agent đa nền tảng để gửi dữ liệu hệ thống như log message, file hash và phát hiện bất thường tới một máy chủ quản lý trung tâm Tại đây, dữ liệu sẽ được phân tích và xử lý, từ đó đưa ra các cảnh báo an ninh Các agent truyền tải dữ liệu sự kiện tới máy chủ qua kênh bảo mật và xác thực Bên cạnh đó, OSSEC HIDS còn cung cấp một syslog server trung tâm và hệ thống giám sát không cần agent, cho phép theo dõi các sự kiện và thay đổi trên các thiết bị không thể cài đặt agent như firewall, switch, router, access point và các thiết bị mạng khác.
- OpenSCAP: Là một OVAL ( Open Vulnerability Assesment Language ) và
XCCDF (Extensible Configuration Checklist Description Format) là công cụ kiểm tra cấu hình hệ thống, giúp phát hiện các ứng dụng dễ bị tấn công Nó được thiết kế để đảm bảo tuân thủ các tiêu chuẩn an ninh mới nhất, phù hợp với môi trường doanh nghiệp hiện nay.
Elastic Stack là một bộ giải pháp bao gồm Filebeat, Elasticsearch và Kibana, được thiết kế để thu thập, phân tích, lập chỉ mục, lưu trữ, tìm kiếm và trình bày dữ liệu log Với giao diện web thân thiện, Elastic Stack cho phép người quản trị dễ dàng theo dõi và quản lý các dữ liệu đã được thu thập.
Hình 2.6 Các thành phần Wazuh
2.1.1 Các thành phần và kiến trúc của Wazuh
Các thành phần chính của Wazuh bao gồm các agent được cài đặt trên từng máy chủ cần giám sát, gửi dữ liệu về máy chủ phân tích Dữ liệu từ các agent và thiết bị không cài đặt agent sẽ được định dạng theo syslog Sau đó, máy chủ sẽ chuyển tiếp dữ liệu đã phân tích đến hệ thống Elasticsearch, nơi thông tin được lập chỉ mục và lưu trữ.
Wazuh agent hoạt động trên các hệ điều hành như Windows, Linux, Solaris, BSD và MAC OS, giúp thu thập nhiều loại dữ liệu hệ thống và ứng dụng Dữ liệu này được truyền đến Wazuh server qua một kênh mã hóa và xác thực, được thiết lập thông qua một quy trình đăng ký với pre-shared key duy nhất.
Agents can be utilized to monitor physical servers, virtual machines, and cloud-based servers on platforms such as AWS, Azure, or Google Cloud Installation packages for these agents are available in repositories for various operating systems, including Linux, AIX, Solaris, Windows, and MacOS.
On Unix-based operating systems, the agent operates through multiple processes that communicate with each other via local Unix domain sockets One of these processes is responsible for communication and data transmission to the Wazuh server In contrast, on Windows, there is a single agent process that runs multiple tasks using mutexes.
Các tác vụ agent hoặc quá trình khác nhau được sử dụng để giám sát hệ thống theo nhiều cách khác nhau, bao gồm giám sát sự thay đổi của tệp, đọc log và quét các thay đổi trong hệ thống.
Sơ đồ thể hiện các thành phần trên các agent
Hình 2.7 Các thành phần trên Wazuh agent
Tất cả các process agent có mục tiêu và thiết lập khác nhau:
Rootcheck là công cụ quan trọng giúp phát hiện rootkits, malware và các bất thường trong hệ thống Nó cũng thực hiện kiểm tra cơ bản các yếu tố bảo mật liên quan đến file cấu hình của hệ thống.
Syscheck is a process that performs file integrity monitoring (FIM), allowing for the oversight of file integrity and registry keys on Windows systems It captures changes to file content, permissions, and other attributes, while also detecting the creation and deletion of files.
Agent Daemon là quá trình nhận dữ liệu từ tất cả các thành phần agent khác, thực hiện nén, mã hóa và phân phối dữ liệu tới server qua kênh xác thực Quá trình này hoạt động trong môi trường "chroot".
1 rootkits : Phần mềm hoặc công cụ phần mềm che giấu sự tồn tại của một phần mềm khác, thường là virus xâm nhập vào hệ thống.
Malware, bao gồm spyware, trojan và virus, là các loại mã độc hại có thể gây tổn hại cho máy tính của người dùng Việc cô lập những mã độc này giúp hạn chế quyền truy cập vào các hệ thống được giám sát, từ đó nâng cao mức độ an toàn cho agent, vì chỉ có quá trình duy nhất kết nối tới mạng.
A Log Collector is a tool designed to read and gather log messages from various sources, including flat log files like Windows Event Logs and Windows Event Channels It is configured to run periodically, capturing specific outputs from designated commands.
OpenSCAP là công cụ giúp xuất bản OVAL và XCCDF dựa trên các hồ sơ bảo mật cơ bản, thực hiện quét hệ thống định kỳ để phát hiện các ứng dụng và cấu hình có nguy cơ bị tấn công, không tuân thủ các tiêu chuẩn đã được xác định bởi CIS (Center of Internet Security) Bên cạnh đó, Wazuh Server cũng đóng vai trò quan trọng trong việc quản lý bảo mật hệ thống.
Cơ chế hoạt động của chức năng giám sát tệp tin của Wazuh
2.2.1 Cơ chế hoạt động của File integrity monitoring
Hệ thống giám sát toàn vẹn tệp tin (File integrity monitoring) của Wazuh, thông qua thành phần syscheck, theo dõi các tệp tin được chỉ định và kích hoạt cảnh báo khi có sự thay đổi Syscheck kiểm tra mã checksums và các thuộc tính khác của tệp hoặc registry key Windows, thường xuyên so sánh với tệp hiện tại đang được hệ thống sử dụng để phát hiện các thay đổi Quá trình này đảm bảo tính toàn vẹn của dữ liệu và bảo mật hệ thống.
Hình 2.13 Cơ chế hoạt động của file integrity monitoring
The Wazuh agent on the monitored host scans the system and sends checksums and properties of monitored files or Windows registry keys to the Wazuh server The following options can be configured:
- Tần suất ( Frequency ): Cấu hình mặc định thành phần syschecked sẽ thực hiện quét thường xuyên mỗi 12h.
Hình 2.14 Cấu hình tần suất quét trong 10h
Wazuh cung cấp tính năng giám sát thời gian thực cho toàn vẹn tệp tin trên máy chủ Windows và Linux, tuy nhiên không hỗ trợ cho hệ điều hành Solaris do không có tính năng Inotify Lưu ý rằng tính năng này chỉ áp dụng cho các thư mục, không thể sử dụng cho các tệp riêng lẻ.
Hình 2.15 Cấu hình giám sát thời gian thực
Whodata là một tính năng hoạt động theo thời gian thực, cung cấp thông tin chi tiết về người đã kích hoạt các sự kiện Cấu hình của Whodata sẽ thay thế cho cấu hình thời gian thực trước đây.
Sau khi các Agent quét và gửi thông tin đến Wazuh server, hệ thống sẽ lưu trữ các checksums và thuộc tính của các tệp được theo dõi, đồng thời tìm kiếm các sửa đổi bằng cách so sánh các giá trị mới với giá trị cũ Thành phần syscheck trên Wazuh server cũng có thể được cấu hình để báo cáo tóm tắt về các thay đổi đã được thực hiện đối với các tệp tin dạng văn bản.
Trên máy chủ Wazuh, cảnh báo sẽ được gửi khi có sự thay đổi trong các tệp được theo dõi hoặc khóa registry Để xử lý các cảnh báo không cần thiết, người dùng có thể sử dụng tùy chọn cấu hình "ignore" hoặc tạo quy tắc để liệt kê các tệp không cần cảnh báo trong FIM.
Hình 2.17 Cấu hình bỏ qua cảnh báo kiểm tra cho một file
Ví dụ một cảnh báo giám sát tệp tin:
** Alert 1540815355.847397: - ossec,syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f,
Rule: 550 (level 7) -> 'Integrity checksum changed.'
File '/test/hello' checksum changed.
Old md5sum was: '2a4732b1de5db823e94d662d207b8fb2'
New md5sum is : '146c07ef2479cedcd54c7c2af5cf3a80'
Old sha1sum was: 'b89f4786dcf00fb1c4ddc6ad282ca0feb3e18e1b'
New sha1sum is : 'e1efc99729beb17560e02d1f5c15a42a985fe42c'
'a8a3ea3ddbea6b521e4c0e8f2cca8405e75c042b2a7ed848baaa03e867355bc2'
Old modification time was: 'Mon Oct 29 13:15:19 2018', now it is 'Mon Oct 29 13:15:54 2018'
(Audit) Process name: '/bin/nano'
- MD5: 146c07ef2479cedcd54c7c2af5cf3a80
2.2.2 Thuật toán đồng bộ hóa với wazuh server
Kể từ phiên bản Wazuh 3.12, mô-đun FIM trong các agent của Wazuh đã được cải tiến để lưu trữ và báo cáo các thay đổi trong các tệp được giám sát Trước đây, agent chỉ thu thập thông tin và gửi đến Wazuh server Sự thay đổi này giúp nâng cao độ chính xác của các cảnh báo, bất kể trạng thái kết nối của agent với Wazuh server, như trong trường hợp ngắt kết nối hoặc khi các agent chuyển đổi giữa các cụm.
Hình 2.18 Cơ chế đồng bộ mới mới của Wazuh từ bản 3.12
Việc thay đổi kiến trúc đồng bộ hóa trên máy chủ Wazuh đảm bảo rằng kho lưu trữ tệp luôn được cập nhật chính xác từ các agent Thuật toán đồng bộ hóa sử dụng các tính toán toàn vẹn giữa agent và cơ sở dữ liệu của Wazuh, chỉ cập nhật các tệp bị thiếu, giúp tối ưu hóa việc truyền dữ liệu của mô đun FIM.
Bộ giải pháp quản lý log tập trung EFK
2.3.1 Giới thiệu về hệ thống log tập chung EFK STACK
EFK Stack là một trong những giải pháp mạnh mẽ và phổ biến nhất cho việc ghi log Nhiều hệ thống lớn trên toàn cầu như LinkedIn, Netflix và Medium đã áp dụng công nghệ này để quản lý và phân tích dữ liệu log hiệu quả.
ELK Stack là tập hợp 3 phần mềm đi chung với nhau, phục vụ cho công việc logging
- Elasticsearch: Cơ sở dữ liệu để lưu trữ, tìm kiếm và query log.
- Filebeat: Tiếp nhận log từ nhiều nguồn, sau đó xử lý log và ghi dữ liệu tới Elasticsearch.
- Kibana: Giao diện để quản lý, thống kê log Đọc thông tin từ Elasticsearch.
Cơ chế hoạt động của EFK Stack:
Hình 2.19 mô tả cơ chế hoạt động của EFK Stack, trong đó log được chuyển đến Filebeat Log có thể được gửi từ server thông qua yêu cầu UDP tới URL của Logstash, hoặc Beat có thể đọc trực tiếp từ file log và gửi lên Filebeat.
Filebeat sẽ thu thập các log, bổ sung thông tin như thời gian và địa chỉ IP, phân tích dữ liệu từ log để xác định server, mức độ nghiêm trọng và nội dung của log, sau đó lưu trữ vào cơ sở dữ liệu Elasticsearch.
Kibana sẽ đọc thông tin log trong Elasticsearch, hiển thị lên giao diện cho phép xem log và thực hiện tìm kiếm dữ liệu log mong muốn.
Elasticsearch là một công cụ tìm kiếm phân tán dạng RESTful được phát triển bằng Java, cho phép người dùng thực hiện các thao tác thêm, sửa, xóa và tìm kiếm dữ liệu thông qua API HTTP (POST, PUT, DELETE, GET) Dữ liệu trong Elasticsearch được lưu trữ theo dạng cơ sở dữ liệu NoSQL, hỗ trợ nhiều loại tìm kiếm khác nhau như có cấu trúc, không cấu trúc, geo và metric Tất cả dữ liệu đều được đánh chỉ mục, giúp nâng cao hiệu suất tìm kiếm.
Các khái niệm cơ bản với Elasticsearch:
A document is a JSON object that contains various data, serving as the fundamental information unit in Elasticsearch It represents the smallest unit for data storage within the Elasticsearch framework.
Trong Elasticsearch, cấu trúc inverted index được sử dụng để tối ưu hóa khả năng tìm kiếm full-text Các văn bản được phân tách thành từng từ có nghĩa, và từ đó, hệ thống xác định vị trí của chúng trong các tài liệu Khi thực hiện tìm kiếm, người dùng sẽ nhận được kết quả chính xác và cụ thể.
Shard là một thành phần của Lucence, đại diện cho tập hợp con của một Index, với khả năng lưu trữ dữ liệu trên nhiều shard trong một node Mỗi shard hoạt động ở mức thấp nhất và Elasticsearch tự động quản lý giao tiếp cũng như thay đổi shard khi cần Elasticsearch cung cấp hai loại shard: primary shard và replica shard Primary shard chịu trách nhiệm lưu trữ và đánh Index dữ liệu, sau đó dữ liệu sẽ được sao chép sang các replica shard Mặc định, mỗi index có 5 primary shard đi kèm với các replica shard, giúp đảm bảo tính toàn vẹn dữ liệu khi primary shard gặp sự cố và tăng tốc độ tìm kiếm nhờ vào khả năng cấu hình số lượng replica shard vượt mức mặc định.
Node là trung tâm hoạt động của Elasticsearch, chịu trách nhiệm lưu trữ dữ liệu và thực hiện việc đánh chỉ mục cho cluster Mỗi node có một tên riêng biệt, không được phép trùng lặp, và tham gia vào các thao tác tìm kiếm trong hệ thống.
Cluster là một tập hợp các node hoạt động cùng nhau, chia sẻ thuộc tính tên cluster, với mỗi cluster được xác định bằng một tên duy nhất Trong mỗi cluster, có một node chính gọi là master, được chọn tự động và có thể thay đổi khi có sự cố Cluster có thể bao gồm nhiều nodes, có thể hoạt động trên cùng một server hoặc trên các server khác nhau để đảm bảo tính khả dụng Các node trong cluster tìm thấy nhau qua giao thức Unicast Chức năng chính của cluster là phân bổ shard cho các node và điều chỉnh cân bằng khi cần thiết.
- Tìm kiếm dữ liệu rất nhanh chóng, mạnh mẽ.
- Có khả năng phân tích dữ liệu ( Analysis data )
- Khả năng mở rộng theo chiều ngang.
Elasticsearch hỗ trợ tìm kiếm mờ (fuzzy), cho phép người dùng tìm kiếm ngay cả khi từ khóa có lỗi chính tả hoặc cú pháp không chính xác, giúp trả về kết quả chính xác và hữu ích.
- Hỗ trợ Structured Query DSL ( Domain-Specific Language ), cung cấp việc đặc tả những câu truy vấn phức tạp một cách cụ thể và rõ ràng bằng JSON.
- Hỗ trợ các Elasticsearch client như Java, PHP, JS, Ruby,…
Elasticsearch được tối ưu hóa cho việc tìm kiếm dữ liệu, vì vậy khi thực hiện các nhiệm vụ khác ngoài tìm kiếm, hiệu suất của nó thường kém hơn so với các cơ sở dữ liệu như MongoDB hay MySQL Do đó, Elasticsearch không được sử dụng làm cơ sở dữ liệu chính, mà thường được kết hợp với một hệ thống cơ sở dữ liệu khác để đạt hiệu quả tốt nhất.
Elasticsearch không hỗ trợ giao dịch cơ sở dữ liệu, do đó không đảm bảo tính toàn vẹn dữ liệu trong các thao tác như Insert, Update, và Delete Khi thực hiện thay đổi trên nhiều bản ghi, nếu xảy ra lỗi, điều này có thể dẫn đến sai lệch logic hoặc mất mát dữ liệu Vì lý do này, Elasticsearch không nên được sử dụng làm cơ sở dữ liệu chính.
FileBeat is an open-source data shipper that is installed as an agent on servers to collect events and send various types of data to Elasticsearch It can directly transmit data to Elasticsearch, making it an essential component of the EFK stack, where it facilitates the transfer of data from clients to servers.
Hình 2.20 Cấu trúc bên trong của Filebeat
When Filebeat is started, it launches one or more prospectors that search for specified file paths For each log file discovered, Filebeat initiates a harvester, which reads the log file and forwards new log messages to a spooler The spooler aggregates these events and sends the compiled data to the configured output in Filebeat.
Kibana được thiết kế đặc biệt cho ứng dụng ELK, giúp chuyển đổi các truy vấn của người dùng thành các câu truy vấn mà Elasticsearch có thể thực hiện Ứng dụng của Kibana trong stack EFK mang lại khả năng trực quan hóa dữ liệu hiệu quả và hỗ trợ phân tích log một cách dễ dàng.
Thiết kế hệ thống giám sát tệp tin và quản lý log
2.4.1 Hệ thống log tập trung
Trong mô hình doanh nghiệp, việc quản lý log trở nên phức tạp do có nhiều nguồn log trên nhiều máy chủ trong toàn tổ chức Mỗi nguồn log có thể tạo ra nhiều log khác nhau, do đó, việc quản lý log cần được thực hiện đồng bộ trên toàn bộ tổ chức Hiện nay, xu hướng sử dụng log tập trung đang được ưa chuộng để cải thiện hiệu quả quản lý log.
Hình 2.21 Mô hình hệ thống có sử dụng log tập trung
Log tập trung là quá trình thu thập và phân tích các log từ nhiều nguồn khác nhau vào một nơi an toàn, giúp dễ dàng theo dõi và phân tích hệ thống Việc này mang lại nhiều lợi ích, bao gồm việc cải thiện khả năng phát hiện sự cố, tăng cường bảo mật và tối ưu hóa hiệu suất hệ thống.
Việc quản lý log trở nên khó khăn do có nhiều nguồn sinh ra log từ các máy chủ khác nhau, dẫn đến nội dung log không đồng nhất Chẳng hạn, log từ nguồn thứ nhất có thể ghi thông tin về IP mà không có thông tin về tên người dùng, trong khi log từ nguồn thứ hai lại có thông tin khác Điều này gây khó khăn trong việc kết hợp các log để xử lý vấn đề Hơn nữa, định dạng log cũng không đồng nhất, làm tăng thêm thách thức trong việc chuẩn hóa dữ liệu.
Để đảm bảo tính toàn vẹn, bí mật và sẵn sàng của log, cần lưu trữ log ở một nơi an toàn, vì nhiều rootkit có khả năng xóa bỏ logs Log mới sẽ ghi đè lên log cũ, do đó cần có kênh truyền bảo đảm an toàn và sẵn sàng cho việc phân tích hệ thống Mọi hoạt động của hệ thống cần được ghi lại và lưu trữ tại log server, giúp duy trì tính toàn vẹn và hỗ trợ quá trình phân tích, điều tra các cuộc tấn công vào hệ thống.
- Giúp quản trị viên có cái nhìn chi tiết về hệ thống từ đó có định hướng tốt hơn về hướng giải quyết.
Nguy cơ quá tải máy chủ log tập trung là một vấn đề nghiêm trọng khi hệ thống gửi các bản ghi đến một máy chủ từ xa Nếu một máy bị tấn công và bắt đầu phát tán hàng ngàn thông điệp log, điều này có thể dẫn đến tình trạng quá tải cho máy chủ log, gây ảnh hưởng đến hiệu suất và khả năng xử lý thông tin của hệ thống.
Nếu máy chủ nhật ký gặp sự cố, khả năng xem tất cả các nhật ký từ khách hàng và hệ thống sẽ bị mất Khi máy chủ ngừng hoạt động, máy khách sẽ lưu trữ thư cục bộ cho đến khi máy chủ hoạt động trở lại, dẫn đến việc không gian ổ cứng của máy khách sẽ dần bị đầy.
2.4.2 Hệ thống giám sát an toàn Wazuh và hệ thống log tập trung EFK Ứng dụng Wazuh cho Kibana cho phép người dùng hình dung và phân tích các cảnh báo Wazuh được lưu trữ trong Elaticsearch Người quản trị có thể lấy số liệu thống kê cho mỗi tác nhân, cảnh báo Wazuh app cho Kibana cung cấp giao diện người dùng đơn giản, dễ dàng sử dụng qua giao điện để thực hiện các thao tác với API của Wazuh server
Các tính năng của ứng dụng Wazuh app cho hệ thống log tập trung EFK bao gồm.
Hình 2.22 Giao diện overview của Wazuh App
Hình 2.23 Giao diện quản trị danh sách các agent
Hình 2.24 Giao diện tim kiếm log
Giao diện quản trị cung cấp cho người dùng một cái nhìn tổng quan, bao gồm danh sách các agent, chức năng tìm kiếm cảnh báo và giao diện để thực hiện các thao tác với API của Wazuh.
Hình 2.25 Giao diện quản lý rule của Wazuh App
Các quy tắc trong Wazuh đóng vai trò quan trọng trong việc phát hiện các cuộc tấn công, xâm nhập, lỗi cấu hình, lỗi ứng dụng, phần mềm độc hại, rootkit, bất thường hệ thống và vi phạm chính sách bảo mật Ứng dụng Wazuh cung cấp giao diện cho phép người quản trị tìm kiếm và tương tác trực tiếp với các quy tắc này.
- Một số tính năng khác: Chỉnh sửa cấu hình của cluster Wazuh, tải về các biểu đồ báo cáo,…
