Chương 4: Xây dựng triển khai hệ thống giám sát cho doanh nghiệp vừa và nhỏ sử dụng Splunk Xây dựng một số luật Splunk sử dụng cho SME để phát hiện một số môi đe doa an ninh mang phổ biế
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA AN TOÀN THÔNG TIN
BAO CÁO
ĐỎ ÁN TÓT NGHIỆP
Dé tài: Nghiên cứu triển khai hệ thong giám sát an ninh cho
doanh nghiệp vừa và nhỏ sử dụng Splunk
Giảng viên hướng dẫn: TS ĐINH TRƯỜNG DUY
Họ và tên sinh viên: VŨ THU TRANG
Mã SV: BI9DCAT196
Lớp: DI9CQAT04-B
Hà Nội, 2023
Trang 2Đồ án tốt nghiệp
LỜI CẢM ƠN
Trong suốt quá trình học tập, thực tập và thực hiện đồ án tốt nghiệp, em luôn
nhận được sự quan tâm, hướng dẫn, giúp đỡ và chỉ bảo tận tình từ các thầy cô trong
Khoa An toàn thông tin, cũng như các thầy cô trong Học viện Công nghệ Bưu chính
Viễn thông, bên cạnh đó là sự giúp đỡ của bạn bè.
Lời đầu tiên, em xin gửi lời cảm ơn chân thành đến tới các Thầy, Cô trong Khoa
An toàn thông tin và toàn thể các cán bộ của Học viện Công nghệ Bưu chính Viễn
thông Hà Nội, đã truyền đạt cho em những kiến thức hữu ích và quan trọng trong suốt
quá trình em học tập và rèn luyện tại trường.
Đặc biệt, em xin gửi lời biết ơn sâu sắc tới Thầy giáo hướng dẫn đồ án tốt nghiệp
của em — TS Đinh Trường Duy Trong suốt khoảng thời gian làm đồ án, thầy đã tận
tình hướng dẫn và chỉ dạy, giúp em có những định hướng và phương pháp tiếp cậntrong quá trình tìm hiểu, thực hiện cho tới những bước cuối cùng dé đồ án được hoàn
thành.
Cuôi cùng, em xin cảm ơn gia đình, bạn bẻ và đông nghiệp đã luôn ở bên cạnh
em, quan tâm động viên, giúp em có điêu kiện tôt nhât trong cả quá trình học tập cũng
như khi thực hiện đô án.
Do trình độ kiến thức cũng như kinh nghiệm thực tế còn nhiều hạn chế, nên trong
đồ án của em không thể tránh khỏi những thiếu sót Vì thế, em rất mong nhận được sựquan tâm, góp ý của các Thầy, Cô dé đồ án của em được hoàn thiện hơn
Những ý kiến cũng như góp ý của các Thầy, Cô sẽ giúp em nhận ra những hạn
chế, qua đó em sẽ có thêm những nguồn tư liệu cũng như kiến thức mới cho con
đường học tập cũng như công việc sau này.
Em xin chân thành cảm ơn!
Trang 3Đồ án tốt nghiệp
NHAN XÉT, DANH GIÁ, CHO DIEM
(Của Người hướng dẫn)
Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng châm đồ án tốt nghiệp?
Hà Nội, ngày tháng năm 2024
CÁN BỘ - GIẢNG VIÊN HƯỚNG DAN
(ký, họ tên)
Vũ Thu Trang — B19DCA T196 3
Trang 4Đồ án tốt nghiệp
NHAN XÉT, DANH GIÁ, CHO DIEM
(Của Người phan biện)
Hà Nội, ngày tháng năm 2024
CÁN BỘ - GIẢNG VIÊN PHAN BIEN
(ký, họ tên)
Vũ Thu Trang — B19DCA T196 4
Trang 5Đồ án tốt nghiệp
MỤC LỤC
DANH MỤC HINH ANH scssscsscssssssessessusssessessusssessecsecsusssessecsusssessessessessesusaesesescees vi
DANH MỤC CAC BANG cc sssssssssssessessssessessessessesscsssssssussussnssessessessessesicssessesicseess viii
DANH MỤC CÁC TU VIET TAT cccsscsssssessesssessessesssessessesssessessessussesitsssessssssesseaes ixi02 |CHƯƠNG I CÁC MOI DE DOA AN TOAN THONG TIN PHO BIEN DOI VỚI
DOANH NGHIỆP VỪA VA NHO cccscsssessessssssessessssssessessssssessessessissusstssesisstsscsisaeeees 3
1.1 Giới thiQue eee ccccessessessscssessessecssessessvssssssessessnsssessessssssessessessstaeseesesaeeees 3
1.2 Mối de doa an ninh mạng phô biến với SME cecscsesessesseseessessesesseseseeeees 4
1.2.1 Tan công bằng phần mềm độc hại (malware) -2- 2s s+sz+x+zz+s+2 41.2.2 Tan công giả mao (Phishing attacK) - -2- 2 s+Sx+EeEE‡E2EeEeEerxererree 5
1.2.3 Tấn công từ chối dich vụ (DoS) - - 5c s+SxeEE2EE2EE2EE2EE2E22E2EcEkrkrer 5
1.2.4 Phần mềm tống tiền (Ransomware) - 2 2+s++s++Ee2EezEeEzErxerxrrersred 71.2.5 Mat mat dit liệu (Data L/OSS) 525 1E 1S 1212181121111 11 11111 xe 91.3 Một số giải pháp an ninh cho SME 2-2 2252+E2E££E£EEEEEEEEEEeErkrrerree 101.4 Kết chương Ì ©5- 2k2 221211211211211212111211111211121211 0121112 re 11
CHƯƠNG 2 TONG QUAN VE HE THONG GIAM SAT AN NINH MẠNG 12
»NN‹ co na «4 12
2.2 Các hệ thống liên quan - - 52 SE E£EEEEEEEEE2EE712112111211121111 1111 1xx 6 12
2.2.1 Quan lý sự kiện và thông tin bảo mật (SIEM)) -⁄<<++++<xs2 12
2.2.2 Một số hệ thong khác ¿ 2-©5¿©52+2t2EE2E1221221211221271211211 2112 cxe2 15
2.3 Chu trình giám sát an ninh mạng - 5 2c 3321323111135 E3 EEE1xxe+ 17
2.4 Tầm quan trỌng -:- + sS22SE2E12E12E12E12121717171111121121111111 1.111 re 19
2.5 Kết chương 2 - 2-21 2t EEEE192121121121121121211111121211111111112111121 1 re 20
CHƯƠNG 3 CONG CỤ GIAM SÁT AN NINH MẠNG SPLUNK 21
3.3.3 Search Head c nn n2 HS ng kg tr ret 27
Vũ Thu Trang — B19DCA T196 5
Trang 63.6 Kết chương 3 -:- + St E212 12112112112112112111111111111111 1111211111 1e 38
CHƯƠNG 4 XÂY DỰNG TRIEN KHAI HỆ THONG GIÁM SÁT CHO DOANH
NGHIỆP VỪA VÀ NHỎ SỬ DỤNG SPLUNK 2-52 2S++E2E2EerEerEerxerxres 39
4.1 Triển khai cài đặt Splunk Enterprise 2 2 s2x+2x++zxezxezzxzxerrzxee 394.2 Triển khai kịch ban thử nghiỆm - - - c1 11211101111 1111811111811 111182111 re 40
4.2.2 MaÏWar€ 20H HH TT TT HH1 11 kg 1 1 nen 45 4.2.3 DOS 22S 2n HE H111 121 1 111121 11211 47
4.2.4 Một số sự kiện cĩ thé gây mat mát dữ liệu 2-5-5 2+s+cz+z+xecx+2 494.3 Kết chương 4 5 tt 1 1E 1E11215112111121111 111111111101 21111111 01a 56
KET LUẬN 5-5 SE 12E1211211211211211 111111111 1111211211211111101111 E111 re 57
TÀI LIEU THAM KHẢO - 2 - + SE EEE9EEEEEE2EEEEEE21E11211111111111E1.111111 E11 58
Vũ Thu Trang — B19DCA T196 6
Trang 7Đồ án tốt nghiệp
DANH MỤC HÌNH ANH
Hình 2.1 Hoạt động của SIEMM - - - - c1 2112211121115 1111111911211 11k n1 TH ky 13
Hình 2.2 Chu trình giám sát an ninh mạng - + 2c 231131323 EEEEEseszeeses 17
Hình 3.1 Các thành phần của Splunk 2-2 2 2+S£+E+E££E££EeEEEEEeEEEEerxrkerrrkrree 20
Hình 3.2 Quy trình đơn giản của việc lập chỉ mục - S5 SSScsskseerseseerres 20
Hình 3.3 Cai dat Universal Forwarder sử dụng Local System accou - 22
Hình 3.4 Lựa chon gửi dữ liệu đến máy triển khai Splunk Enterprise 23
Hình 3.5 Tạo tài khoản admIn - c2 21111111661 EEE11E955533311 1111 E9 55355 11152 23
Hình 3.6 IP va port của máy nhận dữ liệu từ Universal Forwarder - - 24 Hình 3.7 Tạo mới Receiving POIÍ - - c1 111113211315 11119 1111111892111 1 ng ven 24
Hình 3.8 Log sự kiện từ WIndOWS TL 1 T111 1v H1 01 1n 1 ng ky 24
Hình 3.9 Kiến trúc một cụm Search Head nhỏ 2-22 +2 +sSE+E+E+E+EEEEEEE2E+E+E+EsEsssz 25Hình 3.10 Triển khai Splunk Enterprise trong doanh nghiệp nhỏ - 26Hình 3.11 Kiến trúc tong quan của Splunk +: 2 + s+S++E£EE+E£+E+E+EeEeErxzxrxerers 26
Hình 3.12 Kiến trúc chi tiết của Splunk - 5c c seSx‡EE£EE£EEEEEEEE2EE2EEEErEerkrkrrer 27
Hình 3.13 Ví dụ tìm kiếm với chuỗi 11 29Hình 3.14 Ví dụ tìm kiếm với key-Value -¿- + s+s+22++2xt£E2E2ExeEkrzksrkerkrrkee 29
Hình 3.15 Ví dụ sử dụng toán tử so sánh ((Ï=) - -c 1 1112 11 9 119111 ng và 30
Hình 3.16 Ví dụ sử dụng hàm - 2 22 2321132111191 191 1191111111811 101111181111 kg 30 Hình 3.17 Ví dụ với lệnh SOFI 2c G2 2211111225311 1111253131111 vn rre 31
Hình 3.18 Vi dụ với lệnh top ((Ï) - - 5c 2221321112211 1211211511111 151111111811 re 31 Hình 3.19 Ví du với lệnh top (2) - - 5c S S2 11211221111 15211111 1111111111111 1k HH nHkp 32
Hình 3.20 Ví dụ với lệnh table - - E2 221111 2223111111153 11 11185311111 n 922 11tr rer 32 Hình 3.21 Vi dụ với lệnh dedup - - c2 3221132111211 1151 11111811111 re 32
Hình 3.22 Kết quả khi sử dụng lệnh stats khi không có mệnh đề BY 33Hình 3.23 Kết quả khi sử dụng lệnh stats khi có mệnh đề BY 2 =2 33
Hình 3.24 Vi dụ sử dụng lệnh fieÌds - (2 2 22211121112 1111811118111 1x x2 34 Hình 3.25 Ví dụ sử dụng timechiarI - - c3 1122113321115 1 1e 34
Hình 3.26 Tạo mới định nghĩa tra CỨU - 2 22 33218323 E+5EE++EEE+EEEEerrerrerreererse 35 Hình 3.27 Xác minh nội dung bảng tra CỨU - óc vn ngư 35
Hình 3.28 Lookup với mệnh đề OUTPUT ¿+ 2 £SE+S££E£EE+E£EE£EEzEeEEzEeErxzxzed 36
Hình 4.1 Giao diện login của Splunk ec ec - 5 + 3211321115151 krrerre 39 Hình 4.2 Giao diện chính của Splunk 5 x1 9E vn vn ng ngư 40
Vũ Thu Trang — B19DCA T196 7
Trang 8Đồ án tốt nghiệp
Hình 4.3 File của người dùng bi mã hĩa với đuơi WNCRY Ă cà ssissey 40
Hình 4.4 Màn hình hiền thị thơng báo tống tiền nạn nhân 2- 2 55252: 41
Hình 4.5 Màn hình nạn nhân khi bị nhiễm ransomware WannaCTy - 4I
Hình 4.6 Mơ hình triển khai giám sat máy uSer 2-2-5252 2+E2E‡EeEzEeErxeEerxez 42Hình 4.7 Cấu hình alert ransOrmWae - 2 2 2 ++E+E£EE£EE£EEEEEEEEEEEEEEEEEEEEEExrrrrree 42
Hình 4.8 Alert phát hiện WannaC Ty - - + kh nh 43
Hình 4.9 Nhiều sự kiện EventCode=2, EventCode=11 sysmon được tạo ra khi
:0E)0090/:015Ể0:7) 200070177087 - 43
Hình 4.10 Giá tri hash thu được + E132 222221111122211 1111582111111 1 111kg 44
Hình 4.11 Tệp Lookup ransomware hash value - 5 S2 +2 +svcx+sseeerses 44
Hình 4.12 Kết qua tìm kiếm tép/tién trình cĩ mã băm SHA256 trùng với tệp chữ ký 45
Hình 4.13 Shortcut lạ trên man hình Desktop nạn nhân - 5555 ++++>++ssxs+2 46
Hình 4.14 Tệp chứa giá trị SHA256 của một số malware đã biẾt cccccssc: 46
Hình 4.15 Tao alert detect maÏ'WaTe .- 2 E2 221111 1112311111 1531511 11111111 1k kree 47 Hình 4.16 Alert phát hiện Dropper TroJan - 5 2c 3221321 132EEEEEEsssrrrres 47
Hình 4.17 Mơ hình kịch ban tan cơng DoS 2 2 2+s2E+£E£EE£EEeEEeEEEEErErrerree 48Hình 4.18 Phát hiện cĩ nhiều gĩi ICMP gửi đến trong thời gian ngăắn 49
Hình 4.19 Enable DriverFrameworks-UserMode trong Event Viewer - 49 Hình 4.20 Tao alert với EventCode=1002 22111111112 1135533533555551 111111 xx 50
Hình 4.21 Alert trên Splunk khi cĩ người dùng cắm USB vào máy user 50Hình 4.22 View search kết qua alert khi cắm USB 2: 52552222252 >++zz2s+2 50
Hình 4.23 Edit Audit Removable SfOTage - - c1 2 E112 v11 1v 1111 1811 ng và 51
Hình 4.24 Kết qua lệnh search tìm kiếm sự kiện copy file vào USB 52
Hình 4.25 Tao alert sự kiện copy file vào USB (1) - S s2 se re 52 Hình 4.26 Tao alert sự kiện copy file vào USB (2) ScS S2 sex re 53 Hình 4.27 Alert khi user copy file vào USB ceccccccscccesscceeenecesenteeeeeeseesteeeeeeeeees 53
Hình 4.28 Tao alert khi user gửi file qua Messenger Facebook trên Chrome 54
Hình 4.29 Alert được kích hoạt khi user gửi file qua Messenger Facebook trên
Trang 9Đồ án tốt nghiệp
DANH MỤC CÁC BẢNGBảng 1 Quy định của Ngân hàng thế giới về Doanh nghiệp vừa và nhỏ 3
Vũ Thu Trang — B19DCA T196 9
Trang 10Đồ án tốt nghiệp
DANH MỤC CÁC TU VIET TAT
Ký hiệu Ý nghĩa tiếng Anh Ý nghĩa tiếng Việt
AI Artificial Intelligence Tri tué nhan tao
API Application Programming Giao diện lập trình ứng dụngInterface
CSV Comma Separated Values Giá trị Phân tách băng Dấu phây
DDoS Distributed Denial of Service Từ chối dich vu phan tanDOS Denial of Service Tan công từ chối dịch vụ
Internet Control Message Giao thức thông báo điều khiển
ICMP
Protocol Internet
Security Informationand | Quản lý sự kiện và thông tin bảo
SIEM Ạ
Event Management mat
SME Small and Medium Enterprise Doanh nghiệp vừa va nhỏ
Simple Network Monitoring Giao thức giám sát mang đơn
SMNP cà
Protocol gian
SMS Short Message Services Dich vụ nhắn tin ngắn
SPL Search Processing Language Ngôn ngữ xử lý tìm kiếmSQL Structured Query Language Ngôn ngữ truy van có cau trúc
TCP Transmission Control Protocol Giao thức điệu khiên truyệnnhận
User and Entity Behavior Phân Tích Hành Vi Người Dùng
UEBA ` z
Analytics va Thuc Thé
URL Uniform Resource Locator Dinh vi tài nguyên thông nhất
VPN Virtual Private Network Mang riéng ao
Trang 11Đồ án tốt nghiệp
MỞ ĐẦU
Đối với nền kinh tế, doanh nghiệp vừa và nhỏ đóng vai trò quan trọng, là độnglực của nền kinh tế và là nguồn lực sáng tạo
Trong thời đại công nghệ ngày nay, việc bảo vệ thông tin và tải nguyên của
doanh nghiệp, đặc biệt là đối với các doanh nghiệp vừa và nhỏ, đang trở thành một
thách thức ngày càng lớn Sự phổ cập của Internet và sự phức tạp của môi trường kỹ
thuật số đặt ra những yêu cầu cao về an ninh thông tin, đòi hỏi các doanh nghiệp phải
xem xét và triển khai những giải pháp hiệu quả nhất
Hệ thống giám sát an ninh không chỉ là một công cụ, mà là một “đối tác” đồnghành đáng tin cậy, có thé giúp doanh nghiệp vừa và nhỏ vượt qua những thách thức an
ninh đặc biệt của mình.
Splunk, với khả năng tích hợp thông tin và phân tích đữ liệu một cách linh hoạt,
trở thành người bạn đồng hành lý tưởng cho doanh nghiệp vừa và nhỏ trong hành trình
bảo vệ thông tin.
Với đề tài “Nghiên cứu triển khai hệ thống giám sát an ninh cho doanh
nghiệp vừa và nhỏ sử dụng Splunk”, đồ án này tập trung vào việc giới thiệu về
Splunk và các tính năng quan trọng, đặt ra những vấn đề cụ thể liên quan đến triểnkhai hệ thống giám sát an ninh cho doanh nghiệp vừa và nhỏ
Đồ án được chia thành 04 chương với nội dung như sau:
Chương 1: Các mối đe dọa an toàn thông tin phố biến đối với doanh nghiệp
vừa và nhỏ
Trinh bày tổng quan về doanh nghiệp vừa và nhỏ, các mối đe dọa an ninh phổbiến mà các doanh nghiệp này thường gặp phải Đồng thời đưa ra một số biện pháp an
ninh cho SME.
Chương 2: Tống quan về hệ thống giám sát an ninh mạng
Trình bày tổng quan về hệ thống giám sát an ninh mạng, các hệ thống liên quan,chu trình giám sát an ninh mạng và tầm quan trọng của hệ thống giám sát an ninhmạng, cũng như sự phù hợp của Splunk đối với SME
Chương 3: Công cụ giám sát an ninh mạng Splunk
Trinh bày tổng quan về Splunk các chức năng chính, các thành phan, hoạt động.Tìm hiểu về ngôn ngữ xử lý tìm kiếm của Splunk
Chương 4: Xây dựng triển khai hệ thống giám sát cho doanh nghiệp vừa và
nhỏ sử dụng Splunk
Xây dựng một số luật Splunk sử dụng cho SME để phát hiện một số môi đe doa
an ninh mang phổ biến mà các SME thường gặp phải
Vũ Thu Trang — B19DCA T196 1
Trang 12Đồ án tốt nghiệp
Do thời gian có hạn cũng như kiến thức của còn hạn chế nên quá trình thực hiện
đồ án sẽ khó tránh khỏi những thiếu sót Em rat mong nhận được các ý kiến đóng góp
của các Thay, Cô dé đồ án của em được hoan thiện hon.
Em xin chân thành cảm ơn!
Vũ Thu Trang — B19DCA T196 2
Trang 13Đồ án tốt nghiệp
CHUONG 1 CAC MOI DE DỌA AN TOÀN THONG TIN PHO BIEN
DOI VOI DOANH NGHIEP VUA VA NHO
1.1 Giới thiệu
Doanh nghiệp vừa và nhỏ (SME — Small and Medium Enterprise) là doanh nghiệp độc lập, được quản lý bởi một chủ sở hữu hoặc các cổ đông SỞ hữu những phần vốn nhỏ Nhìn chung, SME là loại hình doanh nghiệp có quy mô vốn nhỏ, quy mô lao
động thường không quá lớn Dưới đây là bảng Quy định của Ngân hàng thế giới về Doanh nghiệp vừa và nhỏ [1]:
Bảng 1 Quy định của Ngân hàng thé giới về Doanh nghiệp vừa và nhỏ
Quy mô công ty | Số lao động | Doanh thu hàng năm hoặc Tổng tài sản
Doanh nghiệp <50 <3 triệu USD <3 triệu USD
Nhỏ
Doanh nghiệp Vừa <300 <15 triệu USD <15 triệu USD
Cac SME chiếm một phan lớn trong nền kinh tế của nhiều quốc gia, trong đó có
cả Việt Nam Theo kết quả điều tra của Tổng Cục Thống kê Việt Nam thực hiện trong
thời gian vừa qua, có thể thấy các doanh nghiệp nước ta chủ yếu là doanh nghiệp nhỏ
và vừa, chiếm trên 97% số doanh nghiệp cả nước, giải quyết việc làm khoảng 36%
tổng số lao động làm việc trong các doanh nghiệp, thu hút khoảng 32% tổng nguồn
vốn, tạo ra doanh thu thuần chiếm khoảng 26% tổng doanh thu thuần của khối doanh
nghiệp Từ những con số trên có thé thấy, doanh nghiệp nhỏ và vừa chiếm một vị théquan trong trong phát triển kinh tế nói chung và phát trién công nghiệp hỗ trợ nói riêng
[2].
Đặc biệt với sự phát triển mạnh mẽ của cuộc cách mạng 4.0 hiện nay Công nghệthông tin đã làm tăng tiềm năng của các SME, tạo ra những cơ hội làm giàu to lớn Sự
ra đời của nhiều công nghệ, nền tang, ứng dụng mới đã thúc day các SME đi đầu trong
quá trình công nghiệp hóa va tạo ra những thị trường tuyệt vời dé thé hiện năng lực
kinh doanh của họ Mặc dù các SME đang dẫn đầu trong việc triển khai nhiều công
nghệ mới khác nhau dé cải thiện hoạt động kinh doanh của mình nhưng họ thường bị
tụt lại phía sau trong việc cải thiện các biện pháp bảo mật thông tin liên quan đến các
công nghệ mới này Các SME thường thiếu nguồn lực, ngân sách và chiến lược bảomật dé chống lại tội phạm mạng ngày càng hung han và tỉnh vi [3]
Các mối de dọa trên mạng không phân biệt đối xử theo quy mô tổ chức, điều đó
có nghĩa là SME dễ bị đe dọa giống như các tổ chức lớn Mặc dù các doanh nghiệp lớn
hơn có bề mặt tấn công lớn hơn do có sé lượng nhân viên và thiết bị nhiều hơn, nhưngtrong hầu hết các trường hợp, các tô chức lớn hơn cũng có nguồn nhân lực và tài chính
để thực hiện các biện pháp kiểm soát Các tô chức lớn hơn thường sẽ có đội ngũ nhânviên an ninh mạng tận tâm với trình độ phù hợp Các SME đầu tư ít hơn vào an ninhmạng, tuy nhiên, khi xét đến tác động tài chính của các cuộc tan công mạng thành
Vũ Thu Trang — B19DCA T196 3
Trang 14Đồ án tốt nghiệp
công, họ phải chịu chi phí cao hơn tương ứng so với các doanh nghiệp lớn Tuy nhiên,
SME có lợi thé tiềm tang là nhỏ và linh hoạt với các sắp xếp CNTT linh hoạt hơn [4].1⁄2 Mối đe dọa an ninh mạng phố biến với SME
Các mối đe dọa mạng ngày càng trở nên phức tạp và gây thiệt hại hơn rất nhiêu
Một số tác nhân đe dọa mạng chống lại các doanh nghiệp vừa và nhỏ là tin tặc, nhânviên, đối tác kinh doanh, đối thủ cạnh tranh kinh doanh, nhóm tội phạm có tô chức,
Ngoài ra, các SME còn quan tâm đến van đề cá nhân, ăn cắp danh tính và các cuộc tan
công mạng ảnh hưởng đến đữ liệu bí mật, quyền riêng tư và tiền bạc của doanh nghiệp
cắp dữ liệu và làm hỏng hoặc phá hủy máy tính và hệ thống máy tính [7]
Mục tiêu chung của phần mềm độc hại là làm gián đoạn hoạt động bình thường
của thiết bị Sự gián đoạn này có thé nhằm mục đích từ việc hiện thị quảng cáo trên
thiết bị mà không có sự đồng ý từ nạn nhân cho đến việc giành quyên truy cập root cua
máy tính Phan mềm độc hai có thé cố gắng ấn danh khỏi người dùng để thu thập
thông tin một cách lặng lẽ hoặc có thể khóa hệ thống và giữ dữ liệu đề đòi tiền chuộc
Trong các cuộc tan công DDoS, phần mềm độc hại như Mirai ảnh hưởng đến các thiết
bi dé bị tan cong, bién chúng thành bot dưới sự kiểm soát của kẻ tấn công Sau khi
được sửa đổi, các thiết bị này có thể được sử dụng dé thực hiện các cuộc tấn côngDDoS như một phần của mạng botnet [§]
1.2.1.2 Phân loại
Một số loại phan mềm mã độc phổ biến thường gặp [8]:
Phan mềm gián điệp (Spyware): Đúng như tên gọi, phần mềm gián điệp được sử
dụng dé theo dõi hành vi của người dùng Phần mềm gián điệp có thể được sử dụng de
giám sát hoạt động duyệt web của người dùng, hiển thi quảng cáo không mong muốn cho người dùng và sửa đổi các luồng tiếp thị liên kết Một số phần mềm gián điệp sử
dụng thứ được gọi là keylogger dé ghi lại thao tác gõ phím của người dùng, cho phép
kẻ tấn công truy cập vào thông tin nhạy cảm bao gồm tên người dùng và mật khâu
Virus: Virus là một chương trình độc hại có thể được nhúng vào hệ điều hànhhoặc một phần mềm; nạn nhân cần chạy hệ điều hành hoặc mở file bị nhiễm virus thì
mới bị ảnh hưởng.
Worms: Khong giống như virus, sâu tự nhân bản và tự truyền qua mạng Người
dùng không cần phải chạy bất kỳ phần mềm nào để trở thành nạn nhân; chỉ cần kết nối với mạng bị nhiễm là đủ.
Vũ Thu Trang — B19DCA T196 4
Trang 15Đồ án tốt nghiệp
Trojan horses: Đây là những phần mềm độc hại ẩn bên trong các phan mềm hữuích khác nhằm lôi kéo người dùng cài đặt chúng Các bản sao lậu của các phần mềm
phổ biến thường bị nhiễm trojan
Rootkit: Các gói phần mềm này được thiết kế dé sửa đổi hệ điều hành sao cho
các cài đặt không mong muốn bị an khỏi người dùng Một vi dụ nỗi tiếng là vụ bê bối
rootkit của Sony năm 2005, khi Sony bán được 22 triệu đĩa CD nhạc bị nhiễm rootkit
sẽ bí mật cai đặt phan mềm nhằm mục đích làm gián đoạn quá trình sao chép CD trên
máy tính của người mua Rootkit này đã mở ra cơ hội cho những kẻ tấn công khác
nhắm mục tiêu vào các máy tính bị nhiễm băng phần mềm độc hại bồ sung
1.2.1.3 Dáu hiệu
Phần mềm độc hại có thê tự bộc lộ với nhiều hành vi bất thường khác nhau Dướiđây là một số dấu hiệu nhận biết rằng có phần mềm độc hại trên hệ thong cua minh
[9]:
Máy tính chạy chậm, hoạt động không 6n định Một trong những tac dụng phụ
của phần mềm độc hại là làm giảm tốc độ của hệ điều hành máy tính, cho dù ngườidùng đang điều hướng Internet hay chỉ sử dụng các ứng dụng cục bộ thì việc sử dụng
tài nguyên hệ thống của người dùng dường như cao bất thường
Màn hình tràn ngập các quảng cáo gây phiền nhiễu Quảng cáo bật lên không
mong muốn là dấu hiệu điển hình của việc nhiễm phần mềm độc hại
Máy tinh bị lỗi Nếu chương trình, hệ thống bị lỗi liên tục hoặc lỗi màn hình
xanh chết chóc xuất hiện thường xuyên thì đó chính là một cảnh báo rõ ràng rằng máy
tính đang có van đề và có thé van dé đó có liên quan đến malware
Ô cứng nhanh hết dung lượng trồng Đây có thê là dau hiệu cho thay máy tính
đã bị nhiễm phần mềm độc hại Một số phần mềm độc hại sử dụng những phương thức
khác nhau dé chiếm hết không gian 6 cứng của máy tính nhằm mục đích phá hoại máy tính nạn nhân.
Mắt quyền truy cập vào các tập tin hoặc toàn bộ máy tính Đây là triệu chứng
của nhiễm ransomware Nạn nhân có thể phải bỏ một số tiền chuộc dé đổi lấy việc giải
mã các tệp.
Những thay đổi trên trình duyệt Một dẫu hiệu bất thường khác khi nhiễm mãđộc là trang chủ trên trình duyệt bị thay đôi bat thường hoặc cài đặt các thanh công cụ,
tiện ich mở rộng hoặc plugin mới.
Không ai có thé hoàn toàn tránh khỏi các cuộc tấn công phần mềm độc hại Các
cuộc tân công bằng phần mềm độc liên tục được cải tiến thách thức ngay cả những hệthống an toàn nhất Nhưng có một số biện pháp giúp tránh rủi ro từ phần mềm độc hại.Chang hạn như sử dung các phần mềm Anti-virus và Anti-malware, tường lửa ứng
dụng (Web Application Firewall - WAF) hay từ việc nâng cao nhận thức người dùng
máy tính bằng việc khuyến cáo họ không truy cập vào trang web, đường link lạ, luôncảnh giác khi tải những phần mềm miễn phí, phần mềm crack và phải luôn chú ý
những cảnh báo từ trình duyệt.
1.2.2 Tấn công từ chối dịch vụ (DoS)
Vũ Thu Trang — B19DCA T196 5
Trang 16Đồ án tốt nghiệp
1.2.2.1 Giới thiệu
Tan công từ chối dich vu (Denial of Service - DoS) là dang tan công nhằm ngăn
chặn người dùng hop pháp truy nhập các tài nguyên mang [13] Các cuộc tấn côngDoS thường hoạt động bang cách áp đảo hoặc làm quá tải mục tiêu với các request chođến khi không thê xử lý, dẫn đến từ chối dịch vụ cho người dùng [14]
1.2.2.2 Hoạt động
Trọng tâm chính của một cuộc tấn công DoS là làm quá tai công suất của máy
được nhắm mục tiêu, dẫn đến việc từ chối dịch vụ đối với các yêu cầu bé sung Các
cuộc tan công DoS thường rơi vào 2 loại:
Tan công Buffer overflow: Buffer overflow có thé khiến máy tiêu tốn hết không
gian trống của 6 cứng, memory hoặc thời gian xử lý của CPU Hình thức này thường làm cho hành vi chậm chạp, các chương trình máy tính bị hỏng, gây ra sự cố hệ
Sử dụng tường lửa ứng dụng web.
1.2.3 Tấn công giả mao (Phishing attack)
1.2.3.1 Định nghĩa
“Phishing” là một dạng của tấn công Social Engineering, đề cập đến nỗ lực đánhcắp thông tin nhạy cảm, thường ở dạng tên người dùng, mật khẩu, số thẻ tín dụng,
thông tin tai khoan ngân hang hoặc dữ liệu quan trọng khác đề sử dụng hoặc bán thông
tin bị đánh cắp Bằng cách giả dạng một nguồn uy tín với một yêu cầu hap dẫn, kẻ tan
công dụ nạn nhân để lừa họ, tương tự như cách một ngư dân dùng môi dé bắt cá [10].
1.2.3.2 Phương thức tan công
Một số phương thức tan công phổ biến [11, 12]:
Giả mạo email: Một trong những kỹ thuật cơ bản trong tấn công Phishing là giảmao email Tin tặc sẽ gửi email cho nạn nhân dưới danh nghĩa một don vi/té chức uytín, dụ nạn nhân click vào đường link dẫn tới một website giả mạo và “mắc câu”.Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chỉ tiếtnhỏ, khiến cho nhiều người dùng nhằm lẫn và trở thành nạn nhân của cuộc tấn công
Lừa đảo qua SMS: là lừa đảo băng cách sử dụng tin nhắn văn bản trên điện thoại
di động hoặc điện thoại thông minh Các kế hoạch hiệu quả nhất là theo ngữ cảnh liên
quan đến quản lý tài khoản hoặc ứng dụng trên điện thoại thông minh Ví dụ: người
Vũ Thu Trang — B19DCA T196 6
Trang 17Đồ án tốt nghiệp
nhận có thé nhận được tin nhắn văn bản yêu cầu họ cập nhật thông tin thẻ tín dụng củaminh dé tiếp tục sử dụng dich vụ truyền thông trực tuyến
Vishing: là từ viết tắt của Voice Phishing được sử dụng để chỉ hành vi lừa đảo
qua điện thoại Đó là một dạng tan công người dùng trong đó tin tặc sẽ liên lạc với nạnnhân thông qua cuộc gọi điện thoại độc hại Mục đích của chúng là nhằm du dỗ cácnạn nhân cung cấp các thông tin cá nhân, sau đó chúng sẽ tiễn hành thu thập dữ liệu
quan trọng khác.
Giả mạo Website: Trang được làm giả thường là trang đăng nhập dé cướp thôngtin của nạn nhân Những trang này thường thiết kế giống tới 99% so với website gốc;đường link (URL) chỉ khác 1 ký tự duy nhất; luôn có những thông điệp khuyến khích
người dùng nhập thông tin cá nhân vào website.
1.2.3.3 Phòng chống
Biện pháp hiệu quả dé đối phó với dạng tan công thuộc Social Engineering chính
là nâng cao nhận thức của người dùng Một số biện pháp khuyến nghị [13]:
Cảnh giác với các lời mời, hoặc thông báo trúng thưởng bằng email, tin nhắn
điện thoại, hoặc quảng cáo trên các trang web, diễn đàn mà không có lý do, nguồn gốc
trúng thưởng rõ ràng;
Cảnh giác với các yêu cầu cung cấp thông tin, xác nhận tài khoản, thông tin
thanh toán, thông tin thẻ tín dung, ;
Kiểm tra kỹ địa chỉ (URL) các trang web, đảm bảo truy nhập đúng trang web của
Cơ quan, tổ chức
1.2.4 Phần mềm tống tiền (Ransomware)
1.2.4.1 Định nghĩa
Ransomware là một loại phần mềm độc hại (malware) chuyên mã hóa dữ liệu
hoặc khóa quyền truy cập thiết bị của người dùng Dé được trả lại quyền truy cập thiết
bị hoặc đữ liệu, người dùng phải trả cho hacker một khoản tiền nhất định, gọi là tiền
chuộc Ransomware còn được biết đến với cái tên phần mềm tống tiền hay mã độc
tống tiền Mức tiền chuộc thông thường rơi vào khoảng $250 — $500 cho máy tính cá
nhân Đối với các tổ chức, doanh nghiệp thì có thể lên đến hàng ngàn đô Hacker chủ
yếu yêu cầu nạn nhân trả tiền chuộc bằng bitcoin hoặc chuyền khoản Trong vài năm
gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng bitcoin vì
tính bảo mật cao và khó dé truy lùng dấu vết [15].
1.2.4.2 Hoạt động
Ransomware khi lây nhiễm vào máy tính của người dùng sẽ mã hóa các file dữ
liệu thành các đuôi kí tự lạ Ví dụ như *.doc > *.docm ; *.xls > *.cerber Ở từng thời
điểm, những đuôi mã hóa này lại khác nhau khiến việc xác định được tốn rất nhiều
công sức.
Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chiaransomware thành 3 loại chính: Encrypting, Non-encrypting Hiện nay xuất hiện thêm
các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT [16].
Vũ Thu Trang — B19DCA T196 7
Trang 18Đồ án tốt nghiệp
a Encryping Ransomware
Encrypting Ransomware là loại phần mềm tống tiền phô biến nhất, chúng mã hóa
dữ liệu (tệp tin và thư mục) của người dùng Tên khác của Encrypting Ransomware là
Crypto Ransomware.
Sau khi xâm nhập vào máy tính của nạn nhân, chúng sẽ âm thầm kết nối vớiserver của kẻ tấn công, tạo ra hai chia khóa — một khóa công khai dé mã hóa các filecủa nạn nhân, một khóa riêng do server của hacker nam giữ, dùng dé giải mã Các filenay sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng có gang
mo.
Sau khi mã hóa file, crypto ransomware sẽ hién thị một thông báo trên máy tinh
của nạn nhân, thông báo về việc người dùng đã bị tấn công và phải trả tiền chuộc cho
chúng Trong một vài trường hợp, kẻ tấn công còn tạo thêm áp lực bằng cách đòi hỏinạn nhân phải trả tiền trong thời hạn nhất định Sau thời hạn đó, khóa giải mã file sẽ bịphá hủy hoặc mức tiền chuộc sẽ tăng lên [16]
b Non-encrypting
Non-encrypting ransomware (hay còn gọi là Locker) là loại phần mềm không mã
hóa file của nạn nhân Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị Nạn nhân
sẽ không thé thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật — tắtmàn hình) Trên màn hình cũng sẽ xuất hiện hướng dẫn chỉ tiết về cách thanh toán tiền
chuộc dé người dùng có thê truy cập lại và sử dụng thiết bị của mình [16]
1.2.4.3 Phòng chống
Một số biện pháp phòng chống ransomware hiệu quả [16]:
Sao lưu dữ liệu Trước tiên, cần phải thường xuyên sao lưu dữ liệu trong máy
tính Đối với lượng đữ liệu cần sao lưu lớn, 6 cứng tách rời là một lựa chọn phù hợp
Đối với lượng dit liệu cần sao lưu dưới 50GB, người dùng có thé bắt đầu với các dịch
vụ lưu trữ dữ liệu trên đám mây như Dropbox, Google Drive, Mega hoặc One Drive.
Nếu mỗi ngày đều làm việc với các dit liệu quan trọng thì nên thực hiện backup dữ
liệu hàng ngày.
Thường xuyên cập nhật phan mém Các bản cập nhật của phần mềm sẽ thường
được vá lỗi bảo mật còn tồn tại trong phiên bản cũ, bảo vệ an toàn thông tin cho người
dùng hơn.
Phan mém Anti-virus cũng là một trong những chương trình quan trọng người
dùng nên để tâm đến Nếu máy tính của người dùng chưa có phần mềm diệt virus thì
hãy cài đặt càng sớm càng tốt Kaspersky, Norton, McAfee, ESET hoặc Windows
Defender - giải pháp phòng chống virus mặc định của Windows đều là những chươngtrình người dùng có thể tin tưởng Nếu đã cài đặt, hãy thường xuyên cập nhật phiên
bản mới nhất của phần mềm Phần mềm diệt virus sẽ giúp phát hiện các tệp độc hại
như ransomware, đồng thời ngăn chặn hoạt động của các ứng dụng không rõ nguồngốc trong máy tính của người dùng
Can thận với link hoặc file lạ Day là phương thức lừa đảo khá phổ biến của
hacker: Gửi email hoặc nhắn tin qua Facebook, đính kém link download va nói rằng
Vũ Thu Trang — B19DCA T196 8
Trang 19Đồ án tốt nghiệp
đó là file quan trọng hoặc chứa nội dung hấp dẫn với mục tiêu Khi tải về, file thường
nam ở dang docx, xlxs, pptx hoặc pdf, nhưng thực chat đó là file exe (chương trình
có thể chạy được) Ngay lúc người dùng click mở file, mã độc sẽ bắt đầu hoạt động
1.2.5 Mat mát dữ liệu (Data Loss)
1.2.5.1 Tong quat
Mat mat dir liệu là mối đe dọa nghiêm trọng đối với hoạt động của doanh nghiệp,
chang hạn như các tập đoàn và cơ quan chính phủ
Ngày nay, các doanh nghiệp dù lớn hay nhỏ thường nắm giữ rất nhiều thông tin
nhạy cảm của khách hàng như thông tin thẻ tín dụng, thông tin định danh cá nhân.
Việc mat mát, rò ri những thông tin quan trọng của khách hàng như vậy có thê gây tốnhại đáng kế đến khả năng cạnh tranh và danh tiếng của công ty, đồng thời cũng có thêdẫn đến các vụ kiện hoặc hậu quả pháp lý đo bảo mật lỏng lẻo [17]
Theo báo cáo bảo mật của Cisco công bố vào tháng 10/2021, 86% doanh nghiệpvừa và nhỏ mat thông tin khách hàng vào tay kẻ xấu Bên cạnh việc mat dữ liệu khách
hàng, các SME còn bị mất dữ liệu nhân viên, email nội bộ , thông tin tài chính, sở hữu
trí tuệ và thông tin kinh doanh nhạy cảm Ngoài ra, 61% doanh nghiệp thừa nhận sự có
mạng tác động tiêu cực đến danh tiếng của họ Những sự cố này ảnh hưởng đáng ké
đến tình hình kinh doanh của doanh nghiệp, khi 30% doanh nghiệp cho biết họ bị tổn
thất khoảng 500.000 đô la Mỹ hoặc nhiều hơn, trong đó 4% tôn thất tam 1 triệu USD
hoặc hơn [18] Có thé nói mat mát dit liệu dang trở thành mối đe dọa nghiêm trọng đối
với các SME.
Mat đữ liệu có thé do vi phạm thông tin nội bộ và bên ngoài do cô ý hoặc vô tinh:Hành vi vô ý: tải file từ trang web độc hại, sử dụng phần mềm crack khiến chomáy tính bị nhiễm mã độc; xóa, ghi đè nhằm tệp quan trọng; vô tình nhắn vào liên kết
độc hại; làm mắt, hư hỏng các thiệt bị chứa dữ liệu của công ty
Hành vi có chủ ý: Sao chép, gửi tài liệu quan trong của công ty ra bên ngoài; cố
tình cài đặt, lây lan các phần mềm độc hại cho người dùng khác trong công ty gây mat
dữ liệu
1.2.5.2 DLP (Data Loss Prevention)
Ngăn mat đữ liệu (Data Loss Prevention) là giải pháp bảo mật giúp xác định va
ngăn chặn việc chia sẻ, truyền hoặc sử dụng dữ liệu nhạy cảm không an toàn hoặc
không phù hợp Giải pháp này có thé giúp tổ chức doanh nghiệp giám sát và bảo vệthông tin nhạy cảm trên các hệ thống tại chỗ, vị trí trên nền điện toán đám mây va thiết
bị điểm cuối Giải pháp DLP giúp bảo vệ tài sản trí tuệ, thông tin khách hàng và hồ sơ
tài chính khỏi bị truy cập trái phép, lạm dụng hoặc mất mát, đảm bảo tuân thủ và bảo
vệ danh tiếng của tổ chức
Có ba loại giải pháp DLP chính: mạng, điểm cuối và Cloud Mỗi giải pháp này
cung cấp khả năng bảo vệ dữ liệu riêng biệt, đáp ứng nhu cầu và yêu cầu riêng của các
tổ chức [19].
Mạng: Các giải pháp DLP mạng tập trung vào việc bảo vệ đữ liệu truyền tải
trong mạng của tổ chức, giám sát và kiểm soát các luồng dit liệu Bằng cách bảo vệ dữ
Vũ Thu Trang — B19DCA T196 9
Trang 20Đồ án tốt nghiệp
liệu khi truyền qua mạng, bao gồm Internet, mạng nội bộ và mạng ngoại vị, các giải
pháp DLP mạng giúp tô chức duy trì quyền kiểm soát thông tin nhạy cảm của họ va
ngăn chặn truy cập trái phép.
Điểm cuối: Giải pháp DLP điểm cuối bảo vệ đữ liệu ở cấp độ người dùng bằng
cách giám sát và kiểm soát việc truy cập và sử dụng dữ liệu trên các thiết bị như máy
tính xách tay, máy tinh dé bàn và thiết bi di động Các giải pháp DLP điểm cuối pháthiện rò ri dữ liệu tiềm ân bằng cách giám sát quá trình truyền dé liệu, chăng hạn như
email, tải lên/tải xuống tệp, việc sử dụng thiết bị lưu trữ USB và truy cập máy In
Cloud: Giải pháp Cloud DLP được thiết kế dé bảo vệ dit liệu được lưu trữ và xử
ly trong các hệ thống dựa trên đám mây Giải pháp Cloud DLP cho phép các té chức
bảo vệ dữ liệu nhạy cảm được lưu trữ trên đám mây đồng thời đảm bảo tuân thủ các
quy định bảo vệ dit liệu Điều này mang lại lợi ích kép: duy trì quyền kiểm soát dữ liệucủa họ đồng thời tận dụng lợi ích của môi trường dựa trên đám mây
1.2.5.3 Một số biện pháp ngăn chặn mat mát dữ liệu
Ngoài việc triển khai giải pháp DLP, các doanh nghiệp có thé thực hiện nhữngbiện pháp khác như sau dé giảm thiểu việc mat mát dữ liệu:
® Mã hóa file: Một trong những cách tốt nhất dé bảo vệ dit liệu của người dùng là
mã hóa nó Điều này sẽ làm cho dữ liệu không thé đọc được nếu nó rơi vào tay
kẻ xấu
® Pao tạo nhân viên: Điều quan trọng là đào tạo nhân viên của người dùng về cách
xử ly dit liệu nhạy cảm Họ nên biết cách xác định nó và phải làm gì nếu bắt gặp
những thứ như vậy.
® _ Giám sát mạng: Doanh nghiệp nên giám sát mạng của mình xem có bat kỳ hoạt
động đáng ngờ nào không Điều này sẽ giúp người dùng xác định bất kỳ truy cập
trai phép nao vào dir liệu của họ.
1.3 Một số giải pháp an ninh cho SME
Việc xây dựng các hệ thống bảo mật luôn là băn khoăn của nhiều doanh nghiệp
(DN) do có nguồn lực hạn chế trong khi chi phí đầu tư vào an ninh mạng rất lớn
Việc đầu tiên các SME cần xác định những tài sản và hệ thống quan trọng đối với
sự thành công của DN Vi dụ dữ liệu bán hàng và danh sách khách hàng cũng như các
nhà cung cấp có vai trò rất quan trọng đối với các DN - và chúng là mục tiêu hấp dẫn
đối với tin tặc Các SME nên tạo ra một danh sách kiểm kê chỉ tiết về đữ liệu DN cũng
như các tài sản vật chất và cập nhật nó thường xuyên
Bảo vệ dữ liệu DN băng cách cập nhật phần mềm thường xuyên Đa số các
xâm phạm bảo mật xảy ra do các DN không cập nhật phần mềm kịp thời, bao gồm
phần mềm bảo mật, trình duyệt web, các ứng dụng và hệ điều hành Nhiều ứng dụng
phần mềm sẽ tự động cập nhật, vì vậy cần đảm bảo bật tính năng đó bất cứ khi nào có
thể
Đào tạo cho nhân viên về các hoạt động hay yêu cầu đáng ngờ, các tệp tin đính
kèm và liên kết bất thường cũng như phương thức dé họ có thé báo cáo sự cô dé dàng.Việc nâng cao nhận thức an ninh cho nhân viên không phải là điều dễ dàng ngay cả
Vũ Thu Trang — B19DCA T196 10
Trang 21Đồ án tốt nghiệp
với nhưng doanh nghiệp lớn SME cần phải khuyến khích nhân viên của họ tham gia
nhiêu hon va bao cáo vân đê bảo mật nêu họ nghĩ có gì do bat ôn.
Cần có kế hoạch khắc phục sự cố Chăng hạn như sao lưu, dự phòng, báo cáo với
các cơ quan liên quan khi xảy ra sự cô.
Trong bối cảnh các mối đe dọa mạng ngày cảng diễn biến phức tạp và nguy hiểm
hơn, các SME niên xem xét thuê một nhà cung cap dịch vụ bảo mật được quản lý đê
đánh giá nhu câu kinh doanh của DN và triên khai các giải pháp bảo mật phù hợp [20].
1.4 Kết chương 1
Chương 1 đã trình bày thé nao là doanh nghiệp vừa và nhỏ, các môi đe dọa an
ninh mạng phô biến với các SME có thể kế đến như tan công bằng phần mềm độc hại,
phần mềm tống tiền, tấn công giả mạo, tấn công từ chối dịch vụ và mất mát dữ liệu
cùng với đó là một số biện pháp an ninh cho SME.
Tiếp theo là chương 2 sẽ trình bày về hệ thống giám sát an ninh mạng
Vũ Thu Trang — B19DCA T196 11
Trang 22cố bảo mật Giám sát an ninh mạng nhằm mục đích phát hiện các điểm bất thường,
hoạt động độc hại và các mối đe dọa tiềm ân trong thời gian thực hoặc gần thời gian
thực Mục tiêu là giảm thiểu tác động của các vi phạm an ninh và bảo vệ dữ liệu nhạy
cảm [21].
Việc sử dụng hệ thống giám sát an ninh mạng giúp các SME có thé phát hiện
sớm các môi đe dọa với doanh nghiệp của họ, giúp doanh nghiệp tuân thủ pháp luật,
bảo vệ dữ liệu nhạy cảm của khách hàng và chính doanh nghiệp.
2.2 Các hệ thống liên quan
2.2.1 Quản lý sự kiện và thông tin bảo mật (SIEM)
2.21.1 Khái quát
Quản lý sự kiện và thông tin bảo mat (Security Information and Event
Management - SIEM), là giải pháp bảo mật giúp các tổ chức nhận biết và giải quyết
các mối de doa và lỗ hồng bảo mật tiềm ân trước khi chúng có cơ hội làm gián đoạn
hoạt động kinh doanh.
Nền tảng SIEM ban đầu là các công cụ quản lý nhật ký, kết hợp quản lý thông tin
bảo mat (Security Information Management - SIM) và quản lý sự kiện bảo mật
(Security Event Management - SEM) dé cho phép giám sát và phân tích thời gian thựccác sự kiện liên quan đến bảo mật, cũng như theo dõi và ghi nhật ký dữ liệu bảo mật
để tuân thủ hoặc kiểm tra [22]
Trong những năm qua, phần mềm SIEM đã phát triển để kết hợp phân tích hành
vi người dùng và thực thé (UEBA) , cũng như các khả năng phân tích bảo mật nângcao, Al và học máy khác dé xác định các hành vi bất thường và chỉ báo về các mỗi de
dọa nâng cao.
2.2.1.2 Hoạt động
Các nền tảng quản lý sự kiện và thông tin bảo mật (SIEM) thu thập dữ liệu nhật
ký và sự kiện từ hệ thống bảo mật, mạng và máy tính, đồng thời biến dữ liệu đó thànhthông tin chuyên sâu về bao mật hữu ích Công nghệ SIEM có thé giúp các tổ chức
phát hiện các mối de doa mà các hệ thống bảo mật riêng lẻ không thé nhìn thấy, điều
tra các sự cô bảo mật trong qua khú, thực hiện ứng phó sự cô và chuẩn bị báo cáo cho
các mục đích tuân thủ và quy định.
Vũ Thu Trang — B19DCA T196 12
Trang 23Đô án tôt nghiệ
How Security Information and
Event Management (SIEM) Works
aws SIEM
— Aggregation Alerts
bs & Database Identify, Sort, and Tag (soc)Microsoft 365 Google Cloud ọ al
Cloud Services — Sol , » = (onglamea
(Microsoft 365, Google, ="- Q: '*AWS, Etc © = 4TTA “Age
Threat Hunting —
INTERNET as aaa
7 Servers Workstations
= Laptops
“ae & Firewall IDS oa [-aaaaal —aa Les =N, s
CORPORATE NETWORK Switch
Hình 2.1 Hoạt động cua SIEM
Đầu tiên, dữ liệu sẽ được thu thập từ nhiều nguồn khác nhau Chăng hạn [23]:
- _ Tường lửa: Các nhật ký này cung cấp thông tin về lưu lượng truy cập mang,
quy tắc tường lửa, kết nối VPN va các sự kiện bảo mật Xác định các nỗ lực truy cập
trái phép, phát hiện vi phạm chính sách và phân tích các sự cố an ninh mạng
- Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System): SIEM thuthập nhật ký và sự kiện từ các thiết bị IDS như Snort hoặc Suricata Các nhật ký này
cung cấp thông tin về các hoạt động xâm nhập mạng được phát hiện, các hoạt động
đáng ngờ và các mối de dọa tiềm an
- _ Nền tảng bảo vệ điểm cuối (EPP - Endpoint Protection Platform): SIEM có
thể thu thập nhật ký và sự kiện từ các nên tảng bảo vệ điểm cuối, chăng hạn như phầnmềm chống vi-rút, hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) va các công
cụ phân tích hành vi Dữ liệu này giúp xác định sự lây nhiễm phần mềm độc hại, lỗ hồng hệ thống và hành vi bất thường trên các điểm cuối.
- Active Directory: SIEM có thé thu thập nhật ky từ bộ điều khiển miền
Active Directory Các nhật ký này chứa thông tin về xác thực người dùng, thay đổi
chính sách nhóm, khóa tài khoản và các sự kiện liên quan đến bảo mật khác
- Windows Event Logs: SIEM thu thập nhật ký từ các hệ thống dựa trên
Windows, bao gồm bộ điều khiển miền, máy chủ và máy trạm Các nhật ký này baogồm thông tin về thông tin đăng nhập của người dùng, thay đổi tài khoản, sự kiện hệ
thống và các hoạt động liên quan đến bảo mật
- _ Nền tảng đám mây: SIEM có thé thu thập nhật ký và sự kiện từ các nhà cungcấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure hoặc
Google Cloud Platform (GCP) Các nhật ký này giúp giám sát cơ sở hạ tang đám mây,
Vũ Thu Trang — B19DCA T196 13
Trang 24Đồ án tốt nghiệp
theo dõi hoạt động của người dùng và phát hiện các sự cố bảo mật trong môi trường
đám mây.
- Bo chuyén mach và bộ định tuyến: SIEM thu thập nhật ký từ bộ chuyển
mạch và bộ định tuyến của Cisco để giám sát lưu lượng mạng, theo dõi các thay đôi
cau hình và phát hiện các vi phạm bảo mật hoặc vi phạm chính sách tiềm ân
- May chủ: SIEM thu thập nhật ký từ nhiều loại máy chủ khác nhau bao gồm
máy chủ web, máy chủ ứng dụng, máy chủ cơ sở dữ liệu và máy chủ tệp Các nhật kýnày hỗ trợ giám sát các hoạt động của hệ thống, xác định các nỗ lực truy cập trái phép,
phát hiện các thỏa hiệp hệ thống và phân tích các sự cô bảo mật cấp ứng dụng
Các dữ liệu này có thé được SIEM lẫy bằng cách kết nối trực tiếp với thiết bị
bằng giao thức mạng hoặc lệnh gọi API; thông qua việc cai đặt một agent trên đối
tượng cần thu thập thông tin; hay truy cập các tệp nhật ký trực tiếp từ bộ lưu trữ,
thường ở định dang Syslog; hay thông qua giao thức như SMNP, IPFIX, Netflow.
Tiếp theo, SIEM tiến hành chuẩn hóa và tổng hợp dữ liệu đã thu thập dé giảm độphức tạp của dữ liệu thô thu thập được từ đối tượng SIEM sẽ phân tích cú pháp đữliệu, trích xuất các trường sau đó tông hợp dữ liệu
Sau đó, SIEM sẽ tiễn hành phân tích dir liệu dé phát hiện mối đe dọa, xác định
các vi phạm bao mật từ đó đưa ra cảnh báo, báo cáo cho đội ngũ giám sát an ninh.
Một sé công cu SIEM có thé ké dén nhu ELK Stack, Splunk, Graylog,
SolarWinds
2.2.1.3 Loiich khi sử dụng SIEM
Bat kể tổ chức có quy mô lớn hay nhỏ, việc thực hiện các bước chủ động dé giám
sát và giảm thiêu rủi ro bảo mật CNTT là điều cần thiết Các giải pháp SIEM mang lại
lợi ích cho doanh nghiệp theo nhiều cách khác nhau
Nhận dạng mỗi đe dọa theo thời gian thực Các giải pháp SIEM cho phép kiểmtra và báo cáo tuân thủ tập trung trên toàn bộ cơ sở hạ tầng kinh doanh Tự động hóa
nâng cao hợp lý hóa việc thu thập và phân tích nhật ký hệ thống và các sự kiện bảo
mật dé giảm mức sử dụng tài nguyên nội bộ trong khi van đáp ứng các tiêu chuan báo
cáo tuân thủ nghiêm ngặt.
Tự động hóa dựa trên AI Các giải pháp SIEM thế hệ tiếp theo ngày nay sử dụng
công nghệ hoc máy sâu tự động học hỏi từ hành vi mạng, các giải pháp này có thé giúp
xác định mối đe dọa phức tạp và ứng phó sự có trong thời gian ngăn
Phát hiện các mỗi đe dọa nâng cao và chưa xác định Xem xét bỗi cảnh an ninhmạng thay đồi nhanh như thế nào, các tổ chức cần có khả năng dựa vào các giải pháp
có thé phát hiện và ứng phó với cả các mối đe doa bảo mật đã biết và chưa biết Sử
dụng nguồn cấp dữ liệu thông tin về mối đe dọa tích hợp và công nghệ Al, các giải
pháp SIEM có thé giúp các nhóm bảo mật phản ứng hiệu quả hơn trước một loạt các
cuộc tấn công mạng bao gồm: mối đe dọa từ nội bộ, lừa đảo, phần mềm tống tiền,
DDoS, Data exfiltration.
Đánh giá và báo cáo việc tuân thủ Kiém toán tuân thủ va báo cáo vừa là mộtnhiệm vụ cần thiết vừa là thách thức đối với nhiều tổ chức Các giải pháp SIEM giảm
Vũ Thu Trang — B19DCA T196 14
Trang 25Đồ án tốt nghiệp
đáng ké chi phi tài nguyên cần thiết dé quản lý quy trình nay bằng cách cung cấp kiểmtoán theo thời gian thực và báo cáo theo yêu cầu về việc tuân thủ quy định bắt cứ khinao cần
Điều tra pháp y Các giải pháp SIEM lý tưởng dé tiễn hành điều tra pháp ly maytính khi xảy ra sự cô bảo mật Giải pháp SIEM cho phép các tô chức thu thập và phântích đữ liệu nhật ký từ tất cả tài sản kỹ thuật số của họ một cách hiệu quả Điều nàymang lại cho họ khả năng dựng lại các sự cố trong quá khứ hoặc phân tích các sự cố
mới dé điều tra hoạt động đáng ngờ và triển khai các quy trình bao mật hiệu qua hon
Giám sát người dùng và ứng dụng Các giải pháp SIEM theo dõi tất cả hoạt
động mạng trên tất cả người dùng, thiết bị và ứng dụng, cải thiện đáng ké tính minh
bạch trên toàn bộ cơ sở hạ tầng và phát hiện các mối đe dọa bất kể tài sản và dịch vụ
kỹ thuật số đang được truy cập ở đâu
2.2.2 Một số hệ thống khác
Hệ thống phát hiện xâm nhập (IDS) là một công nghệ bảo mật mạng giám sátlưu lượng mạng và hệ thống máy tính để phát hiện hoạt động độc hại đã biết, hoạt
động đáng ngờ hoặc vi phạm chính sách bảo mật [24].
IDS có thé giúp nhanh chóng và tự động phát hiện xâm nhập IDS giám sát lưu
lượng truy cập và báo cáo kết quả cho quản trị viên Nó không thê tự động thực hiện
hành động dé ngăn chặn các mối đe doa IDS thường được kết hợp với hệ thống ngăn
chặn xâm nhập IPS (Intrusion Prevention System).
Các hệ thống IDS có thé phân loại theo (1) nguồn di liệu và (2) phương pháp
phân tích đữ liệu [13].
Dựa theo nguồn dữ liệu có thể chia ra làm 2 loại chính: NIDS và HIDS
Hệ thong phát hiện xâm nhập mạng (NIDS - Network-based IDS) giám sát côngmạng và thực hiện thu thập, phân tích lưu lượng mạng bao gồm các gói tin để pháthiện tấn công, xâm nhập cho cả mạng hoặc phân đoạn mạng [25] NIDS phân tích bảnsao của các gói mạng thay vì bản thân các gói đó Bằng cách đó, lưu lượng truy cập
hợp pháp không phải chờ phân tích nhưng NIDS vẫn có thể bắt và gắn cờ lưu lượng
truy cập độc hại [24] Có nhiều hệ thống NIDS dựa trên phần cứng và phần mềm, mã
nguồn mở hay được thương mại hóa Một số hệ thống NIDS nồi tiếng như Snort,
Suricata va Zeek (trước đây gọi là Bro) Trong đó Snort là một trong các NIDS được
sử dụng phô biến nhất Snort được biết đến là NIDS dựa trên phần mềm, hỗ trợ nhiều
nên tảng hệ điều hành, mã nguồn mở và miễn phí
Hệ thong phát hiện xâm nhập cho máy (HIDS - Host-based intrusion detection
system) được cài đặt trên một điểm cuối cụ thé, như máy tính xách tay, bộ định tuyếnhoặc máy chủ HIDS chỉ giám sát hoạt động trên thiết bị đó, bao gồm cả lưu lượngtruy cập đến và đi từ thiết bị đó HIDS thường hoạt động bằng cách tạo một bản sao ditliệu tại một thời điểm nhất định (snapshot) định kỳ các tệp hệ điều hành quan trọng và
so sánh các snapshot này theo thời gian Nếu HIDS nhận thấy có thay đồi, chăng hạnnhư tệp nhật ký được chỉnh sửa hoặc cấu hình bị thay đổi, nó sẽ cảnh báo cho nhóm
bảo mật [24] Một số HIDS nỗi tiếng có thé đến là OSSEC, Wazuh, IBM Qradar
Vũ Thu Trang — B19DCA T196 15
Trang 26Đồ án tốt nghiệp
Trong đó, OSSEC là một trong các hệ thống phát hiện xâm nhập dựa trên máy được sửdụng rộng rãi nhất
Các nhóm bảo mật thường kết hợp NIDS và HIDS NIDS xem xét lưu lượng truy
cập tông thẻ, trong khi HIDS có thể tăng cường bảo vệ xung quanh các tài sản có giá
tri cao.
NIDS và HIDS là hai loại phô biến nhất Ngoài ra còn một số loại khác gồm [24,
26]:
- _ Dựa trên giao thức (Protocol-based - PIDS): Hệ thống phát hiện xâm nhập
dựa trên giao thức thường được cài đặt trên máy chủ web Nó giám sát và phân tích
giao thức giữa người dùng/thiết bị và máy chủ
° Dua trên giao thức ứng dụng (Application protocol-based - APIDS): giám
sát các giao thức dành riêng cho ứng dụng APIDS thường được triển khai giữa máy
chủ web và cơ sở dit liệu SQL dé phát hiện việc tiêm SQL
- _ Hệ thống phát hiện xâm nhập lai: Hệ thống phát hiện xâm nhập lai kết hợphai hoặc nhiều phương pháp phát hiện xâm nhập Sử dụng hệ thong nay, hé thong hoặc
dữ liệu từ máy trạm (Host agent data) kết hợp với thông tin mạng để có cái nhìn toàn
diện về hệ thống Hệ thống phát hiện xâm nhập lai mạnh mẽ hơn so với các hệ thống
khác Một ví dụ về IDS lai là Prelude
Đề nhận dạng được hành vi tấn công, xâm nhập, trước hết cần xây dựng cơ sở dtr
liệu các dấu hiệu, chữ ký của các tấn công đã biết hoặc xây dựng nên tập hồ sơ mới
gồm các hành vi bình thường của đối tượng cần giám sát Đây là cơ sở của 2 ký thuậtphát hiện xâm nhập dựa trên chữ ký và dựa trên bất thường [25]
Phát hiện dựa trên chữ ký là hình thức lâu đời nhất của phát hiện xâm nhập
Phương pháp này thực hiện bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp
với các mẫu đã biết [27]
Ưu điểm lớn nhất của Phát hiện dựa trên chữ ký là có khả năng phát hiện các tấncông, xâm nhập đã biết một cách hiệu quả Phương pháp phát hiện này cho tốc độ xử
lý cao, không cần nhiều tài nguyên tính toán Chính vì vậy mà các hệ thống phát hiện
dựa trên chữ ký được sử dụng rộng rãi Tuy nhiên, nhược điểm lớn nhất của phươngpháp này chính là không có khả năng phát hiện ra các tan công, xâm nhập mới hoặcbiến thể của các tấn công, xâm nhập đã biết, do mẫu chữ ký của chúng chưa tôn tại
trong cơ sở dữ liệu chữ ký Hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và
Suricata.
Phát hiện dựa trên bat thường là một hình thức mới của phát hiện xâm nhập,
được phổ biến nhanh chóng nhờ các công cụ như Bro/Zeek Phát hiện dựa trên bất
thường dựa vào quan sát sự cố mạng và nhận biết lưu lượng bat thường thông qua các
chân đoán và thống kê Thay vì chỉ đơn giản là cảnh báo bất cứ khi nào phát hiện ra
mẫu tấn công, cơ chế phát hiện dựa trên bat thường có khả năng nhận ra các mẫu tấn
công khác biệt với hành vi mạng thông thường Đây là cơ chế phát hiện rất tốt nhưng
khó thực hiện.
Vũ Thu Trang — B19DCA T196 16
Trang 27Đồ án tốt nghiệp
Ưu điểm của Phát hiện dựa trên bất thường là có khả năng phát hiện tấn công,
xâm nhập mới Tuy nhiên, phương pháp này có tỷ lệ cảnh báo sai tương đối cao so vớiphát hiện dựa trên chữ ký do một số hành vi xâm nhập có thê không tạo ra bất thường
và ngược lại hành vi bất thường có thể không phải hành vi xâm nhập Thêm vào đó,
phương pháp này cũng tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối
tượng va phân tích hành vi.
Ngoài ra, một hệ thống giám sát an ninh mạng tùy thuộc vào quy mô của tổ chức
có thé đến cần đến những công cụ khác như EDR (Endpoint detection and response
-Phát hiện và phản hồi điểm cuối), NDR (Network detection and response - -Phát hiện
và phản hồi mạng), MDR (Managed detection and response - Phát hiện và phản hồi
được quản lý).
2.3 Chu trình giám sát an ninh mang
Chu trình giám sát bao gồm ba giai đoạn: thu thập dữ liệu, phát hiện xâm nhập,
và phân tích dữ liệu [27].
Thu thập
dữ liệu
Hình 2.2 Chu trình giám sát an ninh mạng
Bước 1: Thu thập dữ liệu
Việc thu thập dữ liệu được thực hiện với sự kết hợp của cả phần cứng và phần
mềm trong việc tạo, sắp xếp và lưu trữ đữ liệu cho việc phát hiện xâm nhập và phântích đữ liệu trong hệ thống giám sát Thu thập dữ liệu là phần quan trọng nhất của chu
trình giám sát an ninh mạng bởi vì các bước thực hiện ở đây sẽ định hình khả năng của
một tô chức trong việc phát hiện xâm nhập và phân tích dữ liệu hiệu quả
Bước 2: Phát hiện xâm nhập
Phát hiện xâm nhập là quá trình mà qua đó di liệu thu thập được kiểm tra và
cảnh bao sẽ được tạo ra dựa trên các sự kiện quan sát được va dt liệu thu thập không
Vũ Thu Trang — B19DCA T196 17
Trang 28Đồ án tốt nghiệp
được như mong đợi Điều này thường được thực hiện thông qua một số hình thức chữ
ký, sự bat thường, hoặc phát hiện dựa trên thống kê Kết quả là tạo ra các dữ liệu cảnhbáo.
Phát hiện xâm nhập thường là một chức năng của phần mềm với một số gói phần
mềm phô biến như Snort IDS và Bro/Zeek IDS của một hệ thống phát hiện xâm nhập
mạng (NIDS), và OSSEC, AIDE hoặc McAfee HIPS của một hệ thống phát hiện xâmnhập máy chủ (HIDS ) Một số ứng dụng như Quản lý sự kiện và thông tin an ninh
(Security Information and Event Management - SIEM) sẽ sử dung ca dữ liệu dựa trên
mang và dữ liệu dựa trên máy chu dé phát hiện xâm nhập dựa trên các sự kiện liên
quan.
Bước 3: Phân tích dữ liệu
Phân tích là giai đoạn cuối cùng của chu trình, và được thực hiện khi một người
diễn giải và xem xét đữ liệu cảnh báo Phân tích dữ liệu là phần tốn thời gian nhất
trong chu trình giảm sát an ninh mạng Tại thời điểm này một sự kiện có thể đượcchính thức nâng lên thành sự có, và có thé bat đầu với các biện pháp ứng phó
Chu trình NSM kết thúc với các bài học kinh nghiệm trong việc phát hiện xâm
nhập và phân tích dữ liệu cho bất kỳ bất thường nào và tiếp tục hình thành các chiến
lược thu thập dữ liệu cho tổ chức
Phan lớn các hệ thống NSM được dành riêng dé phát hiện xâm nhập, dé từ đóứng phó sự cô tốt hơn NSM được coi là mô hình mới cho lĩnh vực phát hiện xâm nhập
và đã xây dựng được một tập các đặc tính khác biệt hoàn toàn so với phát hiện xâm
nhập truyền thống, được mô tả như dưới đây
Phòng chống đến cùng cho dù thất bại Một thực tế khó khăn nhất là việc chấp
nhận cuối cùng tải sản có thể bị mất Mặc dù tất cả mọi thứ từ phòng thủ đến các bước
phan ứng chủ động đã được thực hiện, nhưng cuối cùng kẻ tan công vẫn có thé tìm
thấy đường đi vào hệ thống Thực tế, khi tổ chức xây dựng được một hệ thống phòngthủ tốt, thì kẻ tan công cũng sẽ xây dựng được phương pháp tan công mạnh hơn Ví
dụ, khi doanh nghiệp triển khai tường lửa và đảm bảo là các máy chủ đã được vá lỗiday đủ, thì kẻ tan công sẽ sử dụng các cuộc tan công bằng kỹ thuật lừa đảo dé có được
chỗ đứng trên mạng hoặc sử dụng khai thác zero-day dé đạt được quyền truy nhập vào
thư mục gốc trong máy chủ đã vá lỗi
Do vậy, khi đã chấp nhận là tai sản có thể bị ton hai, thì các tổ chức sẽ thay đôicách bảo vệ tài sản của họ Thay vì chỉ dựa vào phòng thủ, các tổ chức cần tập trung
thêm vào việc phát hiện và phan ứng Dé làm được điều này, khi có tan công lớn xảy
ra, tô chức cần được đặt vào đúng vi trí dé có phản ứng hiệu quả và ngăn chặn ton that
Tập trung vào tập dữ liệu Khi tất cả các nguồn đữ liệu có sẵn được thu thập va
đặt vào một kho lưu trữ tập trung, thì sẽ dẫn đến việc triển khai quản lý rất tốn kém
Không những vậy, việc này còn không đảm bảo cung cấp giá trị thực của dit liệu bởi
vì các loại quyền của đữ liệu không có sẵn và các công cụ phát hiện không thê có quy
mô phù hợp với số lượng dit liệu rất lớn cần xử lý
Vũ Thu Trang — B19DCA T196 18
Trang 29Đồ án tốt nghiệp
Dé có được bat kỳ phát hiện hoặc phân tích nào thì đều cần phải có dữ liệu Với
cùng một mức độ phát hiện, trong trường hợp ít dữ liệu hơn sẽ có thé tiết kiệm đượctài nguyên CPU và thực hiện hiệu quả hơn Hơn nữa, nếu chỉ cung cấp cho các chuyên
gia phân tích những dit liệu mà họ cần thì họ có thé đưa ra quyết định nhanh và an toàn
hơn nhiều
Quy trình theo chu trình Mô hình phát hiện xâm nhập cũ là một quy trình tuyến
tính Khi người dùng nhận được cảnh báo, họ sẽ xác nhận cảnh báo, việc đáp ứng có
thê được thực hiện nếu cần, và sau đó kết thúc Quy trình tuyến tính này rất đơn giản
và thiếu trách nhiệm Việc đặt sự cố an ninh mạng trong tiễn trình này sẽ không hỗ trợ
cho bat kỳ mục dich bảo vệ mạng nao Mặc dù một số tan công có thé chỉ diễn ra trong
vài giây, nhưng những kẻ tấn công chuyên nghiệp thường thực hiện chậm và cóphương pháp, đôi khi cần phải mat vài tháng dé tan công một mục tiêu cụ thé
Như vậy có thê thấy rằng, quy trình phát hiện và ứng phó với xâm nhập cần phải
có tính chu trình Nghĩa là, tập dữ liệu cần được cung cấp cho việc phát hiện xâm
nhập, phát hiện xâm nhập cần được cung cấp cho việc phân tích dữ liệu, và kết quả
phân tích nên được cung cấp quay trở lại cho tập dữ liệu Điều này cho phép hệ thống
bảo vệ tài sản mạng xây dựng được tri thức qua thời gian, va do đó phục vu tốt hơn
trong việc bảo vệ mạng.
Phòng thủ theo mối đe doa Trong khi phòng thủ theo lỗ hồng tập trung vào “làm
thế nào”, thì phòng thủ theo mối đe dọa tập trung vào “ai” và “tại sao” Cụ thể, cần
phải tự hỏi rằng ai muốn tấn công vào hệ thống mạng của tô chức, và tại sao họ lạithực hiện hành động này? Phòng thủ theo mối đe đọa là công việc khá khó khăn, dohai nguyên nhân: (1) tầm nhìn sâu rộng vào hệ thống mạng của tổ chức và (2) khảnăng thu thập và phân tích thông tin tình báo liên quan đến mục đích và khả năng của
kẻ tấn công
2.4 Tầm quan trọng
Phát hiện mối đc dọa sớm : Việc giám sát giúp phát hiện sớm các sự cố bao mat,
giam thiệt hại tiềm ân và chi phí liên quan đến vi phạm Đặc biệt đối với SME, nếu sự
có xảy ra có thê dẫn đến gián đoạn kinh doanh, mat mát tài sản, uy tín với khách hàng.
Giám sát chủ động và hiệu quả đảm bảo thời gian ngừng hoạt động của mạng được
hạn chế và các sự cô được khắc phục một cách hiệu quả, từ đó cho phép doanh nghiệp
hoạt động liên tục Các công cụ giám sát mạng cũng cho phép tô chức tối đa hóa tài
nguyên, đảm bảo rằng mỗi thiết bị đang được sử dụng một cách tối ưu
Tuân thủ pháp luật: Các doanh nghiệp, kể cả SME, phải tuân thủ các quy địnhpháp luật liên quan đến bảo vệ đữ liệu và an ninh mạng Nhiều ngành và tổ chức có
nghĩa vụ tuân thủ yêu cầu giám sát và kiểm tra các hoạt động mạng Giám sát an ninh
mạng giúp các tổ chức đáp ứng các yêu cầu này băng cách cung cấp khả năng hiển thi
các sự cô bảo mật, kiểm soát truy cập và tuân thủ các quy định và tiêu chuẩn của
ngành.
Bảo vệ dữ liệu : Việc giám sát giúp bảo vệ dữ liệu nhạy cảm, tài sản trí tuệ và
thông tin khách hàng khỏi bị truy cập hoặc đánh cắp trái phép
Vũ Thu Trang — B19DCA T196 19
Trang 30Đồ án tốt nghiệp
Quản lý lỗ hồng: Giám sát an ninh mạng giúp xác định các lỗ hồng trong co sở
ha tang mạng Bang cách phân tích lưu lượng mang và nhật ký, các t6 chức có thé pháthiện và đánh giá các điểm yếu tiềm ân, cấu hình sai hoặc hệ thống lỗi thời mà kẻ tan
công có thể khai thác Thông tin này cho phép các tô chức ưu tiên và giải quyết các lỗ
hồng để tăng cường tình trạng bảo mật tổng thê của họ
Ứng phó sự cố: Việc giám sát an ninh mạng cung cấp thông tin quan trọng choviệc ứng phó và điều tra sự cố Khi Xảy ra su cố bảo mật, dữ liệu giám sát an ninhmạng có thể được sử dụng dé hiểu phạm vi của sự cố, xác định nguồn và phương thức
tan công, đồng thời thu thập bằng chứng dé phân tích thêm hoặc cho mục đích pháp lý.Thông tin này rat quan trọng dé ngăn chặn sự cố, giảm thiểu rủi ro và ngăn chặn cáccuộc tấn công tương tự trong tương lai
Splunk là một nên tảng phân tích dữ liệu mạnh mẽ và linh hoạt, thích hợp choSME Splunk có thê giúp quản lý và phân tích log từ nhiều nguồn khác nhau, giám sát
thời gian thực giúp nhanh chóng phát hiện và giải quyết van đề hệ thống Với giao
diện người dùng thân thiện, có thé sử dụng ngay cả đối với người không chuyên sâu về
công nghệ thông tin Ngoài ra, Splunk cung cấp tài liệu hướng dẫn cùng với cộng đồng
lớn và các chuyên gia có thé hỗ trợ người dùng
2.5 Kết chương 2
Chương 2 đã trình bày khái niệm về hệ thống giám sát an ninh mạng, SIEM, hệ
thống liên quan khác như IDS; cùng với đó là tam quan trọng của hệ thống giám sát
với SME Splunk, một nền quản lý, phân tích dt liệu mạnh mẽ và linh hoạt, thích hợp
cho SME với giao diện thân thiện cho người dùng.
Tiếp theo chương 3 sẽ trình bày cái nhìn tổng quan về Splunk
Vũ Thu Trang — B19DCA T196 20
Trang 31Splunk có sẵn trong ba phiên bản: Splunk Light, Splunk Enterprise và Splunk
Cloud Trong đó phiên bản Splunk Light đã bị ngừng hoạt động năm 2021 [28] Trong
nghiên cứu nay sẽ sử dụng ban Splunk Enterprise.
3.2 Chức năng chính
Thu thập và Lập chỉ muc (Collect and Index) Splunk cung cấp một số cách dé
nhận dữ liệu từ nguồn dữ liệu máy Cách phô biến nhất là sử dụng một phần mềm
được cài đặt trên máy cần thu thập dữ liệu Ngoài ra còn có Splunk HTTP Event
Collector và Splunk DBConnect Dữ liệu được thu thập được phân tích cú pháp và lập chỉ mục.
Tìm kiểm và Diéu tra (Search and Investigate) Splunk cung cấp Ngôn ngữ xử lý
tìm kiếm (SPL) dé truy van dữ liệu được lập chỉ mục
Add Knowledge Splunk cung cấp nhiều công cụ như tra cứu, trích xuất trường,
tag, loại sự kiện, hành động quy trình công việc và mô hình dữ liệu.
Báo cáo và Trực quan hóa (Report and Visualize) Splunk cung cấp khả năng tạo
các báo cáo và Dashboards.
Giám sát và Cảnh báo (Monitor and Alert) Splunk cho phép giám sát hệ thống
và kích hoạt cảnh báo dựa trên các ngưỡng đã đặt Khi cảnh báo được kích hoạt, có thể
cảnh báo dé gửi chúng qua email, tạo một log event, [29]
3.3 Thành phần
Splunk được chia thành 3 thành phần xử lý chính gồm Indexer, Search Head và
Forwarder [30].
Forwarder (Bộ chuyền tiếp) lay dữ liệu và sau đó chuyên tiếp dữ liệu, thường là
đến bộ chỉ mục Các Forwarder chỉ yêu cầu ít tài nguyên của máy cần thu thập dữ liệu
Bộ chỉ mục lập chỉ mục dữ liệu đến mà nó thường nhận được từ Forwarder Bộlập chỉ mục chuyển đôi di liệu thành các sự kiện và lưu trữ các sự kiện đó trong mộtchỉ mục Bộ chỉ mục cũng tìm kiếm dữ liệu được lập chỉ mục dé đáp ứng các yêu cầutìm kiếm từ đầu tìm kiếm Để đảm bảo tính khả dụng của đữ liệu cao và bảo vệ khỏi
mất dữ liệu hoặc chi dé don giản hóa việc quản lý nhiều bộ chỉ mục, có thể triển khai
nhiều bộ chỉ mục trong cụm bộ chỉ mục
Search Head dé quản lý tìm kiếm Search Head tương tác với người dùng, hướng
các yêu cầu tìm kiếm đến một tập hợp indexer và hợp nhất các kết quả lại cho người
dùng Dé đảm bảo tính sẵn sàng cao và đơn giản hóa việc mở rộng theo chiều ngang,
có thê triển khai nhiều Search Head trong cụm Search Head
Vũ Thu Trang — B19DCA T196 21
Trang 32* source, event typing
* character set normalization
* line termination identification
* timestamp identification / normalization, event boundary identification
* regex transforms, parse-time field creation
|
Indexing Pipeline
* segmentation + index building
index files
Hình 3.2 Quy trình don giản của việc lập chỉ mục
Vũ Thu Trang — B19DCA T196 22
Trang 33Đồ án tốt nghiệp
Việc xử lý sự kiện xảy ra trong hai giai đoạn chính, phân tích cú pháp (parsing)
và lập chỉ mục (indexing) Tất ca dir liệu đi vào Splunk Enterprise đều đi qua đườngống phân tích cú pháp (parsing pipeline) đưới dang các khối lớn (10.000 byte) Trongquá trình phân tích cú pháp, Splunk Enterprise chia các khối này thành các sự kiện mà
nó chuyên đến đường ống lập chỉ mục (indexing pipeline), nơi dién ra quá trình xử lý
Dinh cấu hình mã hóa bộ ký tự Splunk Enterprise theo mặc định sẽ áp dụng mã
hóa UTF-8 cho nguon Nếu nguồn không sử dụng mã hóa UTF-8 hoặc là tệp không
phải ASCII, phần mềm Splunk sẽ có gắng chuyền đổi dữ liệu từ nguồn sang mã hóa
UTF-8 Ngoài ra, ta có thé chỉ định bộ ký tự.
Xác định điểm cuối dòng băng cách sử dụng quy tắc ngắt dòng
Xác định dấu thời gian hoặc trong trường hợp sự kiện không có thông tin về dấu
thời gian, Splunk Enterprise sẽ cô gắng gán giá trị dấu thời gian cho sự kiện tại thời
điểm lập chỉ mục Đồng thời xử lý dấu thời gian, Splunk xác định ranh giới sự kiện
Có thé ân danh các phan của trường bí mật trong sự kiện (chăng hạn như số thẻtín dung) dé bảo vệ quyền riêng tư đồng thời cung cấp đủ dit liệu còn lại dé sử dụng
trong theo dõi sự kiện.
Trong khi lập chỉ mục, Splunk Enterprise thực hiện xử lý bổ sung, bao gồm:
Chia tất cả các sự kiện thành các segments để sau đó có thé tìm kiếm được
Người dùng có thé xác định mức độ phân đoạn sự kiện, dựa trên ảnh hưởng đến tốc độ
lập chỉ mục và tìm kiếm, khả năng tìm kiếm Các segment có thé được phân loại thànhchính hoặc phụ Ví dụ: địa chỉ IP 192.0.2.223 là một segment chính Nhưng có thểđược chia thành các segment nhỏ, chang hạn như 192 cũng như các nhóm segments
phụ như 192.0.2 [32].
Xây dựng cấu trúc đữ liệu chỉ mục
Ghi dữ liệu thô và các tệp chỉ mục vào đĩa.
*Một số bộ chỉ mục mặc định:
® main: Đây là chỉ mục Splunk Enterprise mặc định Tất cả dữ liệu đã xử lý
được lưu trữ ở đây trừ khi có quy định khác.
© internal: Lưu trữ nhật ký nội bộ và số liệu xử lý của Splunk Enterprise
© audit: Chita các sự kiện liên quan đến giám sát thay đổi hệ thống tệp, kiểm
tra và tất cả lịch sử tìm kiếm của người dùng
3.3.2 Forwarder
Splunk Enterprise có ba loại Forwarder [33]:
Vũ Thu Trang — B19DCA T196 23
Trang 34ban Splunk Enterprise đầy đủ bị tắt dé giảm mức sử dụng tai nguyên hệ thống.
© Light Forwarder cũng là một phiên ban Splunk Enterprise đầy đủ, thậm chícòn có nhiều tinh năng bị tắt hơn dé đạt được mức sử dụng tài nguyên nhỏ nhất có thé.Không được dùng nữa ké từ Splunk Enterprise phiên bản 6.0, light forwarder đượcthay thé bằng Universal Forwarder cho hau hết các mục đích
* Universal Forwarder:
Thu thập dữ liệu từ nhiều nguồn khác nhau sau đó gửi dữ liệu đó đến máy trién
khai Splunk Enterprise.
Universal Forwarder là miễn phí, sử dụng ít tài nguyên phần cứng hơn so với cácsản phâm Splunk khác nhưng hạn chế của việc sử dung Universal Forwarder là nó chỉ
chuyền tiếp dữ liệu chưa được phân tích cú pháp
Trong nghiên cứu, sử dung Universal Forwarder version 9.1.1 Sau đây là hướng
dẫn cài đặt và cấu hình Universal Forwarder trên Windows [34]
Đầu tiên download Universal Forwarder từ đường link sau:
https://Awww.splunk.com/en_us/blog/learn/splunk-universal-forwarder.html
Chay file cài đặt Universal Forwarder -> Chọn đồng ý với License -> Customize
Option Sau đó lựa chon đường dẫn thư mục -> Next Mục cài dat Universal
Forwarder sử dụng tải tài khoản, lựa chọn Local System.
The user you install UniversalForwarder as determines what data it has access to The Managed Service Account and Group-Managed Service Account are supported by CLI only.
Install UniversalForwarder as:
Installs UniversalForwarder using a virtual account UniversalForwarder can access all data
on or forwarded to this machine.
Hinh 3.3 Cai dat Universal Forwarder su dung Local System account
Vũ Thu Trang — B19DCA T196 24
Trang 35Đồ án tốt nghiệp
¡„ UniversalForwarder Setup — x
Windows Event Logs Performance Monitor
“| Application Logs x| CPU Load
| Security Log “| Memory
| System Log Disk Space Forwarded Events Log Network Stats
coe sot | [ree _|
Hình 3.4 Lựa chon gửi dữ liệu đến máy triển khai Splunk Enterprise
@ UniversalForwarder Setup = x
splunk
Create credentials for the administrator account The password must contain, at a minimum, 8
printable ASCH characters.
Cancel Back Next
Hình 3.5 Tạo tài khoản admin
Tiếp theo nhập địa chỉ của nơi nhận dữ liệu, ở đây là máy cài đặt SplunkEnterprise có địa chi IP là 192.168.96.129 với công nhận dữ liệu là 9997, công mặc
định.
Vũ Thu Trang — B19DCA T196 25