Đang tải... (xem toàn văn)
Đồ án tốt nghiệp chuyên ngành An Toàn Thông Tin Học Viện Kỹ Thuật Mật Mã 2023: NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG SOAR SHUFFLE TÍCH HỢP VÀO HỆ THỐNG GIÁM SÁT AN TOÀN THÔNG TIN Splunk.......................
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG SOAR SHUFFLE TÍCH HỢP VÀO HỆ THỐNG GIÁM SÁT Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Đoàn Chung Anh – MSSV: AT160301 Người hướng dẫn: ThS Trần Thị Phương Chi Phòng CNTT, Ngân hàng TMCP Kỹ thương Việt Nam Hà Nội, 2023 LỜI NÓI ĐẦU Xuất phát từ nhu cầu ngày tăng hệ thống giám sát đại Trong hệ thống này, việc giám sát quản lý liệu trở nên phức tạp tăng trưởng nhanh chóng thơng tin nguồn liệu Điều đặt thách thức việc xử lý hiển thị liệu cách hiệu dễ dàng Mục tiêu đề tài “Nghiên cứu triển khai hệ thống SOAR Shuffle tích hợp vào hệ thống giám sát” Nhằm tận dụng mạnh mẽ kiến trúc SOAR để xử lý phân tích liệu giám sát cách thông minh tự động Quá trình triển khai tiếp cận từ lý thuyết đến thực tế, đồng thời thực thực nghiệm đánh giá hiệu suất hệ thống triển khai Kết thu từ thực nghiệm đóng góp vào việc đánh giá tính khả thi hiệu hệ thống SOAR Shuffle việc giám sát liệu Đồ án trình bày chi tiết trình nghiên cứu triển khai hệ thống SOAR Shuffle, với kết phân tích thu từ thực nghiệm Đồng thời đánh giá giá trị tiềm hệ thống SOAR Shuffle việc cải thiện trình giám sát liệu Đồ án gồm chương với nội dung sau: Chương 1: Cơ sở lý thuyết Chương trình bày hệ thống giám sát an tồn thơng tin; hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin; số u cầu hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin khảo sát số sản phẩm có Chương 2: Tích hợp SOAR Shuffle vào hệ thống giám sát Chương trình bày trạng hệ thống SIEM Splunk; nghiên cứu SOAR Shuffle đề xuất tích hợp SOAR Shuffle hệ thống giám sát an tồn thơng tin Chương 3: Thực nghiệm giải pháp SOAR Shuffle Chương trình bày mơ hình triển khai; cài đặt cấu hình; số kịch thực nghiệm đánh giá kết Do nhiều hạn chế kiến thức thời gian thực nên đồ án tránh khỏi sai sót Vì vậy, em mong nhận ý kiến đóng góp Thầy, Cơ để đồ án em hoàn chỉnh Em xin chân thành cảm ơn! LỜI CẢM ƠN Lời đầu tiên, em xin bày tỏ lịng biết ơn đến Cơ ThS Trần Thị Phương Chi – Phòng CNTT, Ngân hàng TMCP Kỹ thương Việt Nam Thầy TS Lại Minh Tuấn – Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã, người tận tình hướng dẫn, bảo giúp đỡ em suốt trình nghiên cứu hoàn thành đồ án Trong thời gian làm việc với Thầy, Cô, em học hỏi nhiều kiến thức bổ ích mà cịn học tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc từ Thầy, Cô Thực đồ án hội giúp em tổng hợp kiến thức học lớp, đồng thời đúc kết học thực tế phục vụ cho việc học tập làm việc sau tốt nghiệp Với trình độ cịn nhiều hạn chế thân vốn kiến thức khỏi nên đồ án khó tránh khỏi thiếu sót Em mong nhận góp ý Thầy, Cơ đề đồ án em hồn thiện Một lần em xin chân thành cảm ơn ln mong nhận góp ý q báu Thầy, Cơ Sinh viên thực đồ án Đồn Chung Anh MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT i DANH MỤC HÌNH VẼ ii DANH MỤC BẢNG BIỂU .v TÓM TẮT ĐỒ ÁN vi CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Hệ thống giám sát an tồn thơng tin .1 1.1.1 Khái niệm hệ thống giám sát an tồn thơng tin 1.1.2 Các thành phần hệ thống giám sát an tồn thơng tin 1.1.3 Quy trình hoạt động hệ thống giám sát an tồn thơng tin 1.1.4 Ưu điểm hạn chế hệ thống giám sát an tồn thơng tin 11 1.2 Hệ thống điều phối, tự động hóa phản ứng an tồn thông tin .13 1.2.1 Khái niệm hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin 13 1.2.2 Các thành phần hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin 13 1.2.3 Ưu điểm hạn chế hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin 15 1.3 Một số yêu cầu hệ thống điều phối, tự động hóa phản ứng an tồn thơng tin 17 1.3.1 Yêu cầu chức điều phối xử lý giám sát 17 1.3.2 Yêu cầu chức tích hợp tự động hóa .19 1.4 Khảo sát số sản phẩm điều phối, tự động hóa phản ứng an tồn thơng tin có .20 1.4.1 Sản phẩm thương mại 20 1.4.2 Sản phẩm mã nguồn mở 25 1.5 Kết luận Chương 28 CHƯƠNG TÍCH HỢP SOAR SHUFFLE VÀO HỆ THỐNG GIÁM SÁT 29 2.1 Hiện trạng hệ thống giám sát an tồn thơng tin Splunk 29 2.1.1 Khảo sát kiến trúc hệ thống 29 2.1.2 Khảo sát quy trình vận hành tiếp nhận xử lý cảnh báo 33 2.1.3 Những vấn đề tồn đọng hệ thống giám sát an tồn thơng tin Splunk 37 2.2 Nghiên cứu SOAR Shuffle 38 2.2.1 Tổng quan SOAR Shuffle 38 2.2.2 Cách thức hoạt động SOAR Shuffle: 39 2.2.3 Một số tính SOAR Shuffle .39 2.3 Đề xuất tích hợp SOAR Shuffle vào hệ thống giám sát an tồn thơng tin 45 2.4 Kết luận Chương 45 CHƯƠNG THỰC NGHIỆM GIẢI PHÁP SOAR SHUFFLE 46 3.1 Mơ hình triển khai 46 3.2 Cài đặt cấu hình 47 3.2.1 Cài đặt Shuffle 47 3.2.2 Cài đặt thehive5 .48 3.2.3 Quản trị kết nối 50 3.2.4 Kết sau tích hợp 51 3.3 Một số kịch thực nghiệm đánh giá kết .52 3.3.1 Use case 1: Phát tự động chặn IP độc hại Pfsense .57 3.3.2 Use case 2: Phát tự động xác minh tiến trình độc hại 67 3.4 Kết luận Chương 75 3.4.1 Ưu điểm/thuận lợi thực nghiệm 75 3.4.2 Nhược điểm/khó khăn thực nghiệm 76 KẾT LUẬN 77 Kết luận chung 77 Hướng phát triển 77 Kiến nghị đề xuất .77 TÀI LIỆU THAM KHẢO 79 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Từ viết tắt Dạng đầy đủ từ Ý nghĩa SIEM Security Information and Event Hệ thống giám sát an tồn thơng Management tin SIM Security Information Management Quản lý thông tin bảo mật SEM Security Event Management Quản lý kiện bảo mật SOAR Security Orchestration, Automation Hệ thống điều phối, tự động hóa and Response phản ứng an tồn thơng tin IPS Intrusion Prevention System Hệ thống phòng chống xâm nhập IDS Intrusion Detection System Hệ thống phát xâm nhập UEBA User and Entity Behavior Analytics Phân tích hành vi người dùng thực thể IP Internet Protocol Giao thức Internet IoC Indicators of Compromise Dấu hiệu thỏa hiệp URL Uniform Resource Locator Hệ thống định vị tài nguyên thống AI Artificial Intelligence Trí tuệ nhân tạo DDoS Distributed Denial of Service Từ chối dịch vụ phân tán SaaS Software as a Service Phần mềm dạng dịch vụ BYOD Bring Your Own Device Mang theo thiết bị riêng bạn SOC Security Operations Center Trung tâm điều hành an ninh thông tin LAN Local Area Network Hệ thống mạng nội API Application Programming Interface Giao diện lập trình ứng dụng DANH MỤC HÌNH Hình 1.1 Hệ thống giám sát ATTT Hình 1.2 Quy trình hoạt động SIEM .8 Hình 1.3 Nền tảng SOAR cung cấp kết hợp thông tin mối đe dọa, khả điều phối tự động hóa phép ứng phó cố hiệu 13 Hình 1.4 Top SOAR Gartner đánh giá theo tiêu chí ngành ngân hàng 21 Hình 1.5 Sản phẩm SOAR Google 21 i Hình 1.6 Sản phẩm SOAR Security Onion 26 Hình 1.7 Sản phẩm Demisto Community Edition 27 Hình 1.8 Gói free SOAR Shuffle 28 Hình 1.9 Bản cập nhật mắt ngày 20/11/2023 28 Hình 1.10 Cộng đồng tham gia phát triển lớn chuyên nghiệp 28Y Hình 2.1 Mơ hình hoạt động ngân hàng X 29 Hình 2.2 Mơ hình tổng quan 32 Hình 2.4 Danh sách cổng nhận liệu SIEM Splunk 33 Hình 2.5 Mơ hình hoạt động SIEM Splunk 33 Hình 2.6 Hiện trạng số lượng log theo 34 Hình 2.7 Log source web access đẩy index web_access 35 Hình 2.8 Log source eventlog, Sysmon đẩy index server_2019 35 Hình 2.9 Log source syslog firewall pfsense đẩy index fw_pfsense 35 Hình 2.10 Hiện trạng số lượng rule SIEM Splunk 36 Hình 2.11 Cảnh báo "Detect SQL injection attack" telegram 37 Hình 2.12 Cảnh báo "Detect Webshell" telegram 37 Hình 2.13 Kết tìm kiếm .37 Hình 2.14 Các thành phần SOAR Shuffle 38 Hình 2.15 Case tạo thehive Shuffle gọi tới 40 Hình 2.16 Workflow thực hành động block IP fortigate chia sẻ miễn phí 41 Hình 2.17 Một đoạn chat trình vận hành Shuffle .42 Hình 2.18 Một workflows chia sẻ miễn phí trang chủ .43 Hình 2.19 Các app chia sẻ trang chủ Hình 3.1 Mơ hình triển khai .46 Hình 3.2 Các thành phần thehive 47 Hình 3.3 Cấu hình ảo hóa Ubuntu Shuffle server 48 Hình 3.4 Cấu hình ảo hóa Ubuntu thehive 48 Hình 3.5 Giao diện hiển thị workflow 51 Hình 3.6 Giao diện thehive lý case 51 Hình 3.7 Workflow cho usecase .52 Hình 3.8 Webhook tiếp nhận cảnh báo 53 Hình 3.9 Một số chức mà API pfsense hỗ trợ 54 ii Hình 3.10 Một số chức mà API thehive hỗ trợ 54 Hình 3.11 Các chức task alert_info .54 Hình 3.14 Custom script sau đưa lên SOAR Shuffle 55 Hình 3.15 Một số chức mà API Splunk hỗ trợ 55 Hình 3.16 Workflow tổng quan cho hai use case 56 Hình 3.17 Điều kiện để thực thi use case 56 Hình 3.18 Điều kiện để thực thi use case 56 Hình 3.19 Subworkflow mơ tả cách hoạt động use case 57 Hình 3.20 Kết cảnh báo “Detect SQL injection” 57 Hình 3.21 Cảnh báo đưa vào SOAR dạng JSON 58 Hình 3.22 Script kết nối đến thehive sau đưa lên SOAR Shuffle 59 Hình 3.23 Kết task create_incident_1 60 Hình 3.24 Case tạo thehive 60 Hình 3.25 Kết sau thực thi task notify_incident_status_1 .61 Hình 3.26 Message gửi telegram 62 Hình 3.27 Task truy vấn đến kết search Splunk 62 Hình 3.28 Lệnh search với search id 1701538851.2888 63 Hình 3.29 IoC IP kẻ công đưa vào Shuffle .63 Hình 3.30 Thực thi bash script SOAR Shuffle 64 Hình 3.31 Script thực thi thành công trạng thái trả 200 65 Hình 3.32 Rule tạo thành cơng lên pfsense .65 Hình 3.33 Message thông báo trạng thái chặn 66 Hình 3.34 Thời gian xử lý từ tiếp nhận cảnh báo đến chặn IP thành cơng .67 Hình 3.35 Subworkflow mơ tả cách hoạt động use case 67 Hình 3.36 Kết rule “Webshell Detect” 68 Hình 3.37 Cảnh báo đưa lên Shuffle 68 Hình 3.38 Case tạo thehive 69 Hình 3.39 Message thông báo case tạo 69 Hình 3.40 Chuỗi giá trị băm thu thập 69 Hình 3.41 Chuỗi giá trị băm lấy 70 Hình 3.42 Task IoC_MD5_parser 70 Hình 3.43 Kết thu chuỗi MD5 71 Hình 3.44 Task get_hash_IOC 71 Hình 3.45 Kết sau chuỗi giá trị băm bóc tách .72 iii Hình 3.46 Tác vụ kiểm tra IoC đưa lên SOAR Shuffle .73 Hình 3.47 Kết kiểm tra với Virustotal 73 Hình 3.48 Thơng tin chuỗi MD5 đưa lên telegram .74 iv