HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO MÔN HỌC CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT MANAGEMENT SIEM) Giảng viên hướng dẫn V[.]
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN Đề tài TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT MANAGEMENT -SIEM) Giảng viên hướng dẫn: Vũ Thị Vân MỤC LỤC LỜI NÓI ĐẦU .3 I TỔNG QUAN VỀ HỆ THỐNG SIEM 1.Khái niệm SIEM hệ thống SIEM .4 2.Lợi ích hệ thống SIEM II THÀNH PHẦN CỦA HỆ THỐNG SIEM 1.Thành phần thu thập nhật ký ATTT 2.Thành phần phân tích lưu trữ 3.Thành phần quản trị tập trung: III CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG SIEM .10 Thu thập thông tin 10 2.Phân tích lưu trữ liệu 10 3.Chính sách quy tắc 12 4.Hợp tương quan liệu 12 TÀI LIỆU THAM KHẢO 13 LỜI NÓI ĐẦU Ngày nay, giới ngày phát triển, cơng nghệ thơng tin đóng vai trị quan trọng khơng thể thiếu lĩnh vực đời sống Số lượng máy tính gia tăng, đòi hỏi hệ thống mạng phải phát triển theo để đáp ứng nhu cầu kết nối toàn cầu Hệ thống mạng ngày phát triển đòi hỏi khả quản trị để trì hoạt động mạng cách tốt Vì người quản trị mạng cần công cụ hỗ trợ khả quản trị Đối với hệ thống mạng, để trì mạng hoạt động tốt có nhiều thứ phải quản trị hiệu mạng, lưu lượng mạng, ứng dụng chạy mạng, người sử dụng mạng, an ninh mạng Security Information Event Management (SIEM) giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống Đây công nghệ chuyên gia bảo mật rấtquan tâm thời gian gần Nó sử dụng phương pháp phân tích chuẩn hóa mối tương quan kiện để đưa cảnh báo cho người quản trị Để đáp ứng thực giải pháp SIEM chúng em xin nghiên cứu đề tài “TÌM HIỂU HỆ THỐNG AN TỒN THƠNG TIN MẠNG SIEM” Đề tài tập trung tìm hiểu mơ hình SIEM,Từ đề xuất mơ hình giám sát an ninh mạng cho Học Viện Kỹ Thuật Mật Mã Do kiến thức cịn hạn chế nên khơng tránh khỏi thiếu sót, mong nhận đóng góp thầy bạn TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT MANAGEMENT SIEM) I Tổng quan hệ thống SIEM Khái niệm SIEM hệ thống SIEM 1.1 SIEM gì? SIEM viết tắt cụm từ Security Information and Event Management (giải pháp quản lý phân tích kiện an tồn thơng tin) Nó thực hệ thống giám sát an ninh mạng tân tiến SIEM tiến hành loạt hoạt động thu thập, phân tích, đánh giá nhật ký từ thiết bị hệ thống…Từ SIEM cho phép đơn vị, quan có nhìn tồn cảnh kiện an ninh SIEM phân tích lượng lớn liệu để phát công ẩn dấu đằng sau chúng 1.2.Hệ thống SIEM gì? SIEM hệ thống quản lý nhật ký kiện tập trung, có nhiệm vụ thu thập thơng tin nhật ký, kiện toàn hệ thống doanh nghiệp tổng hợp tất giao diện thay phải làm thủ cơng Hệ thống SIEM kết hợp số tính quản lí thơng tin an ninh (SEM) quản lí kiện an ninh (SIM) Trong hệ thống mã nguồn mở SIEM tách làm hai chức năng: Sercurity event management (SEM): Giải pháp SEM lại tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng Hạn chế SEM khơng có khả lưu trữ nhật ký thời gian dài Sercurity information management (SIM): Giải pháp SIM tập trung vào việc thu thập, lưu trữ biểu diễn nhật ký (log liệu kiện); Nhật ký thu thập từ nhiều nguồn khác như: thiết bị mạng, hệ điều hành, ứng dụng thiết bị an ninh Do chưa có thành phần phân tích xử lý kiện an ninh nên SIM phát xử lý biến cố đơn giản Để khắc phục hạn chế hai giải pháp trên, giải pháp SIEM đời, kết hợp hai giải pháp SIM SEM SIEM giải pháp toàn diện hoàn chỉnh cho phép quan, tổ chức thực việc giám sát kiện ATTT cho hệ thống Lợi ích hệ thống SIEM Những lợi ích mà hệ thống SIEM mang lại : Giám sát an ninh SIEM giúp giám sát thời gian thực hệ thống tổ chức cố bảo mật SIEM có quan điểm độc đáo cố bảo mật, có quyền truy cập vào nhiều nguồn liệu - ví dụ: kết hợp cảnh báo từ IDS với thông tin từ sản phẩm chống vi-rút Nó giúp nhóm bảo mật xác định cố bảo mật mà không công cụ bảo mật cá nhân nhìn thấy giúp họ tập trung vào cảnh báo từ cơng cụ bảo mật có ý nghĩa đặc biệt Phát mối đe dọa nâng cao SIEM giúp phát hiện, giảm thiểu ngăn chặn mối đe dọa nâng cao, bao gồm: - Săn lùng mối đe dọa - SIEM sử dụng pháp y trình duyệt, liệu mạng, xác thực liệu khác để xác định kẻ công lên kế hoạch thực công - Lọc liệu (dữ liệu nhạy cảm chuyển bất hợp pháp bên tổ chức) - SIEM thu thập liệu truyền bất thường kích thước, tần suất tải trọng chúng Các thực thể bên ngoài, bao gồm Mối đe dọa liên tục nâng cao (APT) - SIEM phát tín hiệu cảnh báo sớm cho thấy thực thể bên ngồi thực cơng tập trung chiến dịch dài hạn chống lại tổ chức Ứng phó Sự cố SIEM giúp nhà phân tích bảo mật nhận cố bảo mật diễn ra, phân loại kiện xác định bước để khắc phục Ngay cố nhân viên an ninh biết, cần có thời gian thu thập liệu để hiểu đầy đủ công ngăn chặn - SIEM tự động thu thập liệu giảm đáng kể thời gian phản hồi Khi nhân viên an ninh phát vi phạm lịch sử cố bảo mật cần điều tra, SIEMs cung cấp liệu pháp y phong phú để giúp khám phá chuỗi tiêu diệt, tác nhân đe dọa giảm thiểu Báo cáo Kiểm tốn Tn thủ SIEM giúp tổ chức chứng minh với kiểm toán viên quan quản lý họ có biện pháp bảo vệ thích hợp cố bảo mật biết ngăn chặn Nhiều người chấp nhận SIEM sử dụng cho mục đích tổng hợp liệu nhật ký từ khắp tổ chức trình bày định dạng sẵn sàng kiểm tra Các SIEM đại tự động cung cấp việc giám sát báo cáo cần thiết để đáp ứng tiêu chuẩn HIPAA, PCI / DSS, SOX, FERPA HITECH II THÀNH PHẦN CỦA HỆ THỐNG SIEM Mơ hình giải pháp SIEM gồm 03 thành phần chính: Thu thập nhật ký ATTT; Phân tích lưu trữ; Quản trị tập trung Ngồi ra, cịn có thành phần khác như: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, báo cáo phong phú đáp ứng tiêu chuẩn quản lý, thành phần lưu trữ có khả lưu trữ liệu lâu dài Thành phần thu thập nhật ký ATTT Bao gồm giao diện thu thập nhật ký ATTT trực tiếp từ thiết bị, dịch vụ, ứng dụng Thành phần có tính năng: Thu thập toàn liệu nhật ký từ nguồn thiết bị, ứng dụng… gồm thiết bị vật lý thiết bị ảo Kiểm sốt băng thơng không gian lưu trữ thông qua khả chọn lọc liệu nhật ký Phân tách kiện chuẩn hóa kiện vào lược đồ chung Tích hợp kiện để giảm thiểu số lượng kiện gửi thành phần phân tích lưu trữ Chuyển tồn kiện thu thập thành phần phân tích lưu trữ Thành phần phân tích lưu trữ , có tính sau: Kết nối với thành phần thu thập nhật ký để tập hợp nhật ký tập trung tiến hành phân tích, so sánh tương quan Mơđun phân tích hỗ trợ luật (được định nghĩa trước) khả tuỳ biến, nhằm đưa kết phân tích xác Các nhật ký ATTT tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa cảnh báo tức thời cho người quản trị Bên cạnh khả so sánh theo thời gian thực, thành phần cho phép phân tích liệu khứ, nhằm cung cấp cho người quản trị tranh toàn cảnh ATTT theo thời gian Hỗ trợ kết nối đến hệ thống lưu trữ liệu (như SAN, NAS) giúp nâng cao khả lưu trữ xây dựng kế hoạch dự phòng, chống liệu Thành phần quản trị tập trung: Cung cấp giao diện quản trị tập trung cho toàn Hệ thống GSANM Các giao diện phân quyền theo vai trò người quản trị Hỗ trợ sẵn hàng nghìn mẫu báo cáo, giao diện theo dõi, điều kiện lọc, … để người quản trị sử dụng Hỗ trợ công cụ cho việc xử lý kiện ATTT xảy hệ thống Ngồi ra, cơng cụ cịn cho phép tùy biến, thay đổi hay tạo báo cáo cách dễ dàng, cho phép người quản trị tạo lập công cụ phù hợp với Hệ thống Với phận thấy phận có chức nhiệm vụ riêng biệt Khi kết hợp hoạt động lúc tạo nên giải pháp SIEM hoàn chỉnh, làm việc hiệu quả. Do tính vượt trội giải pháp SIEM, nên thị trường sản phẩm GSANM hầu hết phát triển theo mơ hình SIEM Các sản phẩm đa dạng, dạng phần mềm thiết bị chuyên dụng, với số sản phẩm tiêu biểu IBM Qradar, HP ArcSight, Splunk, McAfee, Symantec SSIM, RSA enVision.… III CƠ CHẾ HOẠT ĐỘNG CỦA HỆ THỐNG SIEM Thu thập thông tin Mục đích Thu thập thơng tin nhằm nắm bắt thông tin từ thiết bị an ninh khác cung cấp cho máy chủ để chuẩn hố phân tích tiếp Chính sách thiết lạp sách ưu tiên thu thập cảm biến để lọc củng cố thông tin kiện an ninh trước gửi chúng đến máy chủ,cho phép người quản trị điều tiết kiện an ninh quản lý thông tin Cách thức thu thập Các phương pháp thu thập thường sử dụng: - Syslog: giao thức ghi nhật ký tiêu chuẩn Quản trị viên thiết lập Syslog server nhận nhật ký từ nhiều hệ thống - Event Steaming: giao thức SNMP, Netflow IPFIX cho phép thiết bị mạng cung cấp thông tin tiêu chuẩn hoạt động chúng - Log Cllectors: agent chạy thiết bị, nắm bắt nhật ký gửi đến thành phần tập chung để phân tích lưu trữ - Direct Access: trình tổng hợp nhật ký truy cập trực tiếp, sử dụng API giao thức mạng để trực tiếp nhận nhật ký 10 Phân tích Lưu trữ liệu Theo truyền thống, SIEM dựa vào lưu trữ triển khai trung tâm liệu, điều gây khó khăn cho việc lưu trữ quản lý khối lượng liệu lớn Kết là, số liệu nhật ký giữ lại. SIEM hệ xây dựng dựa công nghệ hồ liệu đại Amazon S3 Hadoop, cho phép khả mở rộng dung lượng lưu trữ gần không giới hạn với chi phí thấp. Điều giúp bạn lưu giữ phân tích 100% liệu nhật ký nhiều tảng hệ thống Phân tích cú pháp Mỗi nhật ký có định dạng liệu lặp lại bao gồm trường giá trị liệu. Tuy nhiên, định dạng khác hệ thống, chí ghi khác hệ thống Trình phân tích cú pháp nhật ký thành phần phần mềm có định dạng nhật ký cụ thể chuyển đổi thành liệu có cấu trúc. Phần mềm tổng hợp nhật ký bao gồm hàng chục hàng trăm trình phân tích cú pháp viết để xử lý nhật ký cho hệ thống thông thường Chuẩn hóa phân loại Chuẩn hóa hợp kiện chứa liệu khác thành định dạng rút gọn chứa thuộc tính kiện chung. Hầu hết ghi nắm bắt thông tin giống - thời gian, địa mạng, hoạt động thực hiện, v.v Phân loại liên quan đến việc bổ sung ý nghĩa cho kiện - xác định liệu nhật ký liên quan đến kiện hệ thống, xác thực, hoạt động cục / từ xa, v.v Làm giàu nhật kí 11 Làm giàu nhật ký bao gồm việc bổ sung thông tin quan trọng làm cho liệu hữu ích Ví dụ: nhật ký ban đầu chứa địa IP, khơng phải vị trí thực tế người dùng truy cập vào hệ thống, tổng hợp nhật ký sử dụng dịch vụ liệu vị trí địa lý để tìm vị trí thêm chúng vào liệu Lập mục Các mạng đại tạo khối lượng lớn liệu nhật ký. Để tìm kiếm khám phá liệu nhật ký cách hiệu quả, cần phải tạo mục gồm thuộc tính chung tất liệu nhật ký Các tìm kiếm truy vấn liệu sử dụng khóa mục nhanh theo cấp độ so với việc quét toàn liệu nhật ký Lưu trữ Do khối lượng nhật ký khổng lồ phát triển theo cấp số nhân chúng, việc lưu trữ nhật ký phát triển nhanh chóng. Trước đây, trình tổng hợp nhật ký lưu trữ nhật ký kho lưu trữ tập trung. Ngày nay, nhật ký ngày lưu trữ công nghệ hồ liệu, chẳng hạn Amazon S3 Hadoop Các hồ liệu hỗ trợ khối lượng lưu trữ khơng giới hạn với chi phí lưu trữ gia tăng thấp cung cấp quyền truy cập vào liệu thông qua công cụ xử lý phân tán MapReduce cơng cụ phân tích hiệu suất cao đại Chính sách Quy tắc SIEM cho phép nhân viên an ninh xác định hồ sơ, định cách hệ thống doanh nghiệp hoạt động điều kiện bình thường Sau đó, họ thiết lập quy tắc ngưỡng để xác định loại bất thường coi cố bảo mật. Càng ngày, SIEM tận dụng khả học máy lập hồ sơ hành vi tự động để tự động phát điểm bất thường tự động xác định quy tắc liệu, nhằm phát kiện bảo mật yêu cầu điều tra 12 13 Hợp Tương quan Dữ liệu Mục đích SIEM tập hợp tất liệu lại với cho phép tương quan nhật ký kiện tất hệ thống tổ chức Thông báo lỗi máy chủ liên quan đến kết nối bị chặn tường lửa mật sai cổng doanh nghiệp. Nhiều điểm liệu kết hợp thành kiện bảo mật có ý nghĩa chuyển đến nhà phân tích thơng báo trang tổng quan. SIEM hệ ngày hồn thiện việc tìm hiểu đâu kiện bảo mật “thực” cần ý 14 TÀI LIỆU THAM KHẢO [1] FIFEEYE, “What is SIEM and how does it work?”, online https://www.fireeye.com/products/helix/what-is-siem-and-how-does-it-work.html at: [2] ECOSMART, “Hệ thống SIEM gì? Lợi ích Giải pháp SIEM”, online at: https://eco-smart.biz/thong-siem-la-gi/ [3] vietsunshine, “SIEM hoạt động nào?”, online at: https://www.vietsunshine.com.vn/2021/05/17/siem-la-gi-va-no-hoat-dong-nhu-thenao-nhung-loi-ich-mang-lai-cho-doanh-nghiep/ [4] BitLyft, “WHAT IS SIEM AND WHY IS IT USEFUL?”, online at: https://www.bitlyft.com/resources/what-is-siem-and-why-is-it-useful [5] exabeam, “What is SIEM?”, online at: https://www.exabeam.com/siem-guide/what-is-siem/? fbclid=IwAR2E0wSsy2sHmcrNv9Iats5yw1JLarDpxC3bbZ5YDRMrrMxlDjtkl8aR rC4 15 ... thầy bạn TÌM HIỂU VỀ GIÁM SÁT AN TOÀN MẠNG (SECURITY INFORMATION AND EVENT MANAGEMENT SIEM) I Tổng quan hệ thống SIEM Khái niệm SIEM hệ thống SIEM 1.1 SIEM gì? SIEM viết tắt cụm từ Security Information. .. thống mạng, để trì mạng hoạt động tốt có nhiều thứ phải quản trị hiệu mạng, lưu lượng mạng, ứng dụng chạy mạng, người sử dụng mạng, an ninh mạng Security Information Event Management (SIEM) giải... SIEM chúng em xin nghiên cứu đề tài “TÌM HIỂU HỆ THỐNG AN TỒN THƠNG TIN MẠNG SIEM” Đề tài tập trung tìm hiểu mơ hình SIEM,Từ đề xuất mơ hình giám sát an ninh mạng cho Học Viện Kỹ Thuật Mật Mã Do