BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR Ngành: Công nghệ thơng tin Chun ngành: An tồn thơng tin Mã số: 52.48.02.01 Hà Nội, 2017 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR Ngành: Công nghệ thông tin Chuyên ngành: An tồn thơng tin Mã số: 52.48.02.01 Sinh viên thực hiện: Ngô Văn Thỉnh Lớp: AT9A Người hướng dẫn 1: ThS Nguyễn Đức Ngân Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Người hướng dẫn 2: KS Nguyễn Mạnh Thắng Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2017 MỤC LỤC DANH MỤC KÍ HIỆU VÀ VIẾT TẮT DDOS LAN Distributed Denial of Service Local Area Network WAN VPN wide Area Network Virtual Private Network IDXP JSON Intrusion Detection Exchange Protocol JavaScript Object Notation NSM SEM Network Security Monitoring Sercurity Event Management SIM SIEM Sercurity Information Management Security Information and Event Management SNMP SPL FTP DNS DHCP IDS ETL Simple Network Management Protocol Search Processing Language File Tranfer Protocol Domain Name Server Dynamic Host Configuration Protocol Intrusion Detection System Extract, Transform, Load DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU Ngày nay, hệ thống mạng, để trì mạng hoạt động tốt có nhiều thứ phải quản trị hiệu mạng, lưu lượng mạng, ứng dụng chạy mạng, người sử dụng mạng, an ninh mạng Security Information Event Management (SIEM) giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống Đây công nghệ chuyên gia bảo mật quan tâm thời gian gần Hệ thống quản lý kiện giám sát an ninh mạng giúp người quản trị quản lý thiết bị, dò quét lổ hổng hệ thống, thu thập liệu từ thiết bị ứng dụng khác nhau, liệu sau chuẩn hóa sang định dạng chuẩn riêng, phân tích tương quan thông tin kiện an ninh với theo ngữ cảnh cảnh báo cho quản trị viên cảnh báo trường hợp bị công Bên cạnh hệ thống quản lý kiện giám sát an ninh mạng đáp ứng tuân thủ hoạt động công nghệ thông tin cung cấp sẵn báo cáo theo chuẩn quốc tế quy định an tồn thơng tin Bên cạnh vấn đề giải khắc phục cố an ninh mạng vấn đề cấp bách cần triển khai tổ chức doanh nghiệp vừa lớn Hệ thống ứng phó cố (Incident Response) tập trung giải nhanh chóng vấn đề an ninh giảm thiểu hậu vụ công diễn mà không làm ảnh hưởng đến dây truyền làm việc hệ thống, đảm bảo giảm thiểu tối đa rủi ro Hệ thống can thiệp từ xa tới máy trạm nhằm ngăn chặn công diễn ra, dựa phân tích từ chuyên viên an ninh mạng Việc kết hợp hệ thống giám sát hệ thống ứng phó cố tập trung mơ hình đặc biệt quan tâm Đồ án đề cập đến việc sử dụng kết hợp hai công cụ Splunk Falcon Orchestrator để xây dựng hệ thống giám sát an ninh mạng ứng phó cố tập trung Nội dung đề tài truyền tải xuyên suốt qua chương xoay quanh việc triển khai hệ thống giám sát ứng phó tập trung người lẫn công nghệ: Chương 1: Tổng quan giám sát kiện an ninh mạng tập trung (SIEM) Trong chương trình bày tổng quan hệ thống giám sát an ninh mạng nói chung, tiếp đến chi tiết kiến trúc hoạt động SIEM Chương 2: Công cụ giám sát an ninh mạng Splunk Trong chương sâu vào hệ thống giám sát Splunk từ triển khai ứng dụng vào việc giám sát hệ thống Chương 3: Cơng cụ Falcon Orchestrator Trình bày tổng quan Incident response từ người đến công cụ, sau chức kiến trúc Falcon Orchestrator Từ áp dụng triển khai kết hợp với Splunk để tạo hệ thống tập trung đề Qua tháng nghiên cứu tìm hiểu với tài liệu mạng tận tình bảo giáo viên hướng dẫn, em hoàn thành nội dung yêu cầu đồ án đề Em xin gửi lời cảm ơn sâu sắc đến ThS Nguyễn Đức Ngân KS Nguyễn Mạnh Thắng tận tình bảo, giúp đỡ em trình làm đồ án Đồ án hồn thành thời gian ngắn, khơng thể tránh khỏi sai sót mong thầy, đóng góp ý kiến bảo để đồ án hoàn thiện Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Ngô Văn Thỉnh CHƯƠNG TỔNG QUAN VỀ GIÁM SÁT SỰ KIỆN AN NINH MẠNG TẬP TRUNG (SIEM) 1.1 Hệ thống giám sát an ninh mạng Giám sát an ninh mạng (Network Security Monitoring – NSM) việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Hệ thống giám sát anh ninh mạng đóng vai trị quan trọng, thiếu hạ tầng công nghệ thông tin (CNTT) quan, đơn vị, tổ chức Hệ thống cho phép thu thập, chuẩn hóa, lưu trữ phân tích kiện tương quan tồn kiện mạng sinh hệ thống CNTT tổ chức Ngoài ra, hệ thống giám sát an ninh mạng phát kịp thời công mạng, điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống Phát kịp thời bùng nổ virus hệ thống mạng, máy tính bị nhiễm mã độc, máy tính bị nghi ngờ thành viên mạng máy tính ma (botnet) Để cơng tác giám sát an ninh mạng đạt hiệu cần phải xác định yếu tố cốt lõi, giám sát như: - Xác định đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát - Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát Xác định phần mềm nội phần mềm nguồn mở phục vụ giám sát - Xác định thiết bị, công cụ, giải pháp hỗ trợ phân tích kết giám sát Hệ thống giám sát an ninh mạng xây dựng theo ba giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ biểu diễn nhật ký Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng - Giải pháp quản lý phân tích kiện an ninh: kết hợp hai giải pháp nhằm khắc phục hạn chế vốn có Hình 3-22: Tạo danh sách trắng - Whitelist Khi giá trị đưa vào danh sách trắng, tất kiện khứ tương lai phù hợp với tiêu chí tự động đánh dấu trạng thái WHITELISTED e) Disable user account Các chức workflow giới thiệu qua, phần sau giới thiệu số chức response nhằm kịp thời hạn chế rủi ro cố Đầu tiên với chức “Disable user account” sử dụng muốn ngăn chặn user account có khả bị sử dụng trái phép hệ thống Chức thay đổi AD để tạm thời chặn khả sử dụng account Để sử dụng tính ta truy cập vào event user tạo ra, lựa chọn tùy chọn “Contaiment” mục “Status” có hội thoại xuất hình: 64 Hình 3-23: Module Disable User Account AD Lựa chọn tùy chọn nhấp Submit Ngay tài khoản người dùng bị disable AD f) Forensic Trong Falcon Orchestrator có chức forensic bản, phục vụ thu thập tệp tin, tiến trình chạy, số khả response khác Tuy nhiên, chức sử dụng PowerShell's Remoting Windows để trích xuất quản lý file, tiến trình Vì hỗ trợ hệ điều hành Windows có Powershell File Extraction Thơng thường, ta cần phải phân tích tệp tin nghi ngờ để thu thập dấu hiệu, chứng có liên quan để điều tra thêm Điều thực đơn giản cách nhập tên máy trạm địa IP đường dẫn đầy đủ đến tệp mà ta muốn truy xuất 65 Hình 3-24: Workflow File Extraction Tệp tin trích xuất lưu trữ tạm thời máy chủ Orchestrator, sau ta có nhấp vào download để tải tập tin máy cá nhân phục vụ phân tích Các tệp tin nén lại có mật giải nén cấu hình từ trước Hình 3-25: Trích xuất file 66 File System Browser Ta duyệt qua tập tin thư mục máy trạm, cần nhập tên máy trạm địa ip thư mục cần duyệt Các thư mục tệp tin hiển thị nhấp “Search” Chỉ cần nhấp vào tên thư mục, tự động cập nhật tên thư mục lên vùng nhập để tiếp tục duyệt thư mục Nhấp vào tệp tin có thêm tùy chọn “Download” trích xuất tệp tin tương tự tính “File Extraction” Hình 3-26: Duyệt thư mục máy trạm Software Inventory Ta kiểm tra ứng dụng cài đặt máy trạm từ xa thông qua Software Inventory, thông tin thu thập từ khóa HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall registry 67 Hình 3-27: Danh sách ứng dụng cài đặt máy trạm Process Listing Với cố cơng có tạo tiến trình lạ máy trạm virus, backdoor,… việc quản lý tiến trình từ xa thực có ý nghĩa, với Process Listing ta quản lý tiến trình hoạt động máy trạm, stop process, dump process từ memory để phục vụ điều tra Hình 3-28: Quản lý tiến trình 68 3.3 Kết luận chương Phần đầu chương giới thiệu tổng quan yêu cầu từ người đến cơng cụ để có đội ngũ IR Yếu tố người quan tâm đặc biệt, nhóm IR cấu thành từ nhân viên có nhiều kỹ chun mơn cao Thực tế thường cơng ty, tập đồn lớn có đội ngũ IR chun biệt, cơng ty vừa nhỏ thường thuê dịch vụ bên thứ ba sử dụng đội ngũ giám sát thực ứng phó cố đơn giản Và việc quản lý phân chia trách nhiệm cơng việc để ứng phó cố việc cần thực hiện, công cụ Falcon Orchestrator giúp việc quản lý cố, phân chia trách nhiệm ứng phó dễ dàng Với số hành động bổ trợ giúp ngăn chặn hệ cố tức thời hay thao tác thu thập chứng số modules Forensic 69 CHƯƠNG MƠ HÌNH TRIỂN KHAI THỬ NGHIỆM Trong chương trình bày mơ hình triển khai hệ thống giám sát ứng phó cố tập trung sử dụng Splunk Falcon Orchestrator thử nghiệm tình cố xảy trình detect kiện ứng phó cố 4.1 Mơ hình triển khai Mơ hình dự kiến triển khai gồm có PC hình dưới: Attacker 192.168.161.135 192.168.161.128192.168.161.129 Universal Forward Event Hình 4-29: Mơ hình triển khai thử nghiệm Trong đó, có server:   Splunk server: o IP Address: 192.168.161.128 o OS: Ubuntu server o Ram: 4gb o Application Deploy: Splunk Enterprise Falcon Orchestrator server: o IP Address: 192.168.161.129 o OS: Windows server 2012 R2 o Ram: 4gb o Application Deploy: Active Directory, IIS, SQL server 2014, Falcon Orchestrator 70 PC Attacker: o o o o IP Address: 192.168.161.135 OS: Kali linux 2.0 Ram: 4gb Application Deploy: Setoolkit 4.2 Phân tích xử lý cố Kịch dự kiến triển khai sau: Tạo virus Backdoor Powershell công cụ setoolkit kali linux (PC Attacker) Hình 4-30: Tạo Virus backdoor Powershell sử dụng setoolkit Virus công cụ tạo lưu /root/.set/reports/powershell/ Virus thực tạo backdoor máy kali linux attack địa ip 192.168.161.135 qua port 443 Thực chạy Backdoor Powershell máy chủ Falcon Orchestrator Virus chạy câu lệnh powershell encode base 64 để tạo backdoor 71 Hình 4-31: Chạy virus Backdoor Powershell Windows server 2012 Hacker nhận kết nối ngược từ phía victim hình Hình 4-32: Thơng tin kết nối ngược từ victim Hình 4-33: Thông tin máy victim sau tạo backdoor thành công Khi khởi chạy virus Backdoor Powershell câu lệnh Powershell virus thực lưu lại log máy chủ Falcon Orchestrator 72 Hình 4-34: Command lưu lại log Event Viewer Splunk detect kiện thơng qua việc phát log đổ có câu lệnh Powershell nguy hiểm, thực hiển phát cảnh báo đẩy thông tin kiện Falcon Orchestrator server Hình 4-35: Log kiện Splunk detect Ứng dụng Falcon Orchestrator nhận thông tin kiện từ Splunk đổ về, quản trị thực thao tác phân cơng việc ứng phó tới thành viên Có thể 73 sử dụng module Forensic Falcon Orchestrator để trích xuất process kill process Powershell chạy Sử dụng modules Process Listing mục Forensic Falcon Orchestrator để duyệt qua process chạy máy trạm Hình 4-36: kiểm tra process sử dụng Falcon Orchestrator Như hình ta thấy có process powershell chạy, process tạo backdoor Thực dump process powershell để phục vụ điều tra thêm, sau ta kill process để chấm dứt kết nối backdoor hình Hình 4-37: Dump process Powershell Kill process Lập tức phía Attacker kết nối với victim, lệnh 74 Hình 4-38: Attacker kết nối tới victim 4.3 Kết luận chương Mơ hình triển khai trình bày chương cho thấy trình detect ứng phó cỗ diễn cách nhanh chóng, tất giải tập trung Việc ngăn chặn cố diễn đơn giản ví dụ này, với trường hợp phức tạp người định giải cố IR team leader, người có kỹ quản lý định tốt 75 KẾT LUẬN Qua bốn chương đồ án thể ý tưởng xây dựng hệ thống giám sát ứng phó cố tập trung từ người đến cơng nghệ, cụ thể: Chương chương đề cập đến việc triển khai hệ thống giám sát tập trung, tóm lược lại u cầu cần tính đến triển khai hệ thống giám sát nói chung Chỉ việc giám sát mạng đơn lẻ khơng có kết hợp thơng tin từ nhiều nguồn hạn chế lớn trình giám sát Việc triển khai hệ thống giám sát tập trung SIEM nhu cầu thực tế quan tâm doanh nghiệp Splunk phần mềm giám sát mạng dựa sức mạnh việc phân tích Log Splunk thực cơng việc tìm kiếm, giám sát phân tích liệu lớn sinh từ ứng dụng, hệ thống thiết bị hạ tầng mạng đáp ứng yêu cầu hệ thống SIEM Chương yêu cầu người cơng cụ việc ứng phó cố Sự phân chia trách nhiệm hành động ngăn chặn kịp thời giúp giải cố nhanh gọn giảm hậu tối đa Công cụ Falcon Orchestrator đáp ứng nhu cầu Chương đưa mơ hình triển khai thử nghiệm, q trình thử nghiệm đơn giản thể chất quy trình giám sát ứng phó cố tập trung Hạn chế Dù vậy, đồ án chưa nhấn mạnh nhiều công việc diễn q trình ứng phó cố Vì vấn đề phụ thuộc vào đặc điểm cố khác mà có quy trình xử lý khác nhau, phạm vi đồ án đề cập hết trường hợp Trong q trình triển khai mơ hình thử nghiệm đề chương 4, có gặp khó khăn việc xin tài khoản dùng thử dịch vụ cloud hãng Crowdstrike Vì phần triển khai thử nghiệm chưa thể hết khả làm việc hệ thống ứng phó cố Hướng phát triển Cơng cụ Falcon Orchestrator mã nguồn mở ta phát triển theo hướng sửa lại mã nguồn để công cụ làm việc với nhiều hệ thống SIEM khác mà không thiết SIEM hãng Crowdstrike Với đồ án ta sử dụng chức tạo cảnh báo alert Splunk có hành động tạo webhook 76 qua Http Post giúp đẩy kiện detect sang Falcon Orchestrator Và hướng phát triển tương lai đồ án 77 TÀI LIỆU THAM KHẢO [1] David R Miller, Shon Harris, Allen A Harper, Stephen VanDyke, Chris Blask Security Information and Event Management (SIEM) Implementation, Copyright © 2011 by The McGraw-Hill Companies, page 78-92 [2] [3] [4] [5] [6] [7] [8] [9] Document Splunk: Splunk-6.2.0-Admin Document Splunk: Splunk-6.2.0-AdvancedDev Document Splunk: Splunk-6.2.0-Forwarding Document Splunk: Splunk-6.2.0-Indexer Document Splunk: Splunk-6.2.0-Overview Document Splunk: Splunk-6.2.0-Installation Document Splunk: Splunk-6.2.0-SearchReference Implementing Splunk [10] Documentation Falcon Orchestrator https://github.com/CrowdStrike/falcon-orchestrator/wiki [11] Soucre code Falcon Orchestrator https://github.com/CrowdStrike/falcon-orchestrator 78 ... thống ứng phó cố tập trung mơ hình đặc biệt quan tâm Đồ án đề cập đến việc sử dụng kết hợp hai công cụ Splunk Falcon Orchestrator để xây dựng hệ thống giám sát an ninh mạng ứng phó cố tập trung. ..BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR. .. quanh việc triển khai hệ thống giám sát ứng phó tập trung người lẫn công nghệ: Chương 1: Tổng quan giám sát kiện an ninh mạng tập trung (SIEM) Trong chương trình bày tổng quan hệ thống giám sát