XÂY DỰNG HỆ THỐNG SIEM GIÁM SÁT AN TOÀN THÔNG TIN

XÂY DỰNG HỆ THỐNG SIEM GIÁM SÁT AN TOÀN THÔNG TIN CHƯƠNG I TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1 Tổng quan chung về an toàn thông tin - An toàn thông tin là duy trì tính bí mật, tính toàn vẹn, tính sẵn sàng cho toàn bộ thông tin. Ba yếu tố không thể tách rời trong việc đảm bảo an toàn thông tin: Tính bí mật: Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận và sử dụng thông tin cần được phân quyền truy cập. Tính toàn vẹn: Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hoặc bị chỉnh sửa. Tính sẵn sàng: Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào, tránh được những rủi ro phần cứng và phần mềm. - Tình hình an ninh mạng trên thế giới: Hơn 5 triệu mối đe dọa ransomware trên các lớp email, URL và tệp đã được phát hiện và ngăn chặn. Con số này tăng gần 45% so với quý trước (quý IV-2021) và tăng nhiều hơn 5% so với cùng kỳ năm trước. Trong đó, các cuộc tấn công cài mã độc tăng mạnh và nạn nhân của các phi vụ này là con số không hề nhỏ. LockBit, Conti and BlackCat ba tác nhân này đã xâm nhập thành công ít nhất 100 tổ chức trên khắp thế giới. Phần lớn nạn nhân của LockBit là các tổ chức ở châu Âu, trong khi Conti và BlackCat nhắm vào các tổ chức ở Bắc Mỹ. Các mã độc của LockBit, Conti và BlackCat xuất hiện rải rác trong các bộ máy tổ chức Nhà nước, cơ sở hạ tầng nhạy cảm trên thế giới, trong đó có “các công ty viễn thông lớn”. Nhóm Conti “tàn phá” Costa Rica bằng những vụ tấn công đòi tiền chuộc có mức độ phá hoại được đánh giá là lớn nhất tới trước tới nay. Chúng làm đóng băng toàn bộ hoạt động xuất nhập khẩu, gây thiệt hại hàng chục triệu USD mỗi ngày ở quốc gia này. Nền tảng tài chính phi tập trung trở thành “miếng mồi béo bở” cho các vụ tấn công cướp đoạt tiền mã hoá giá trị hàng chục, hàng trăm triệu USD. Hình 1-1 Thống kê các cuộc tấn công mã độc Top 10 ngành bị tấn công nhiều nhất. Hình 1-2 Thống kê top các ngành bị tấn công Top 10 quốc gia bị tấn công nhiều nhất. Hình 1-3 Thống kê top các nước bị tấn công Thống kê cho thấy Cứ 60 tổ chức trên toàn cầu thì có một tổ chức bị ảnh hưởng bởi một cuộc tấn công Ransomware mỗi tuần - tăng 14% so với cùng kỳ năm ngoái. Số vụ tấn công trung bình hàng tuần trên toàn cầu nhằm vào các tổ chức trong lĩnh vực du lịch và giải trí đã tăng 60% vào tháng 6/2022 so với nửa đầu tháng 6 năm 2021. Theo Cuộc Khảo sát Rủi ro và Bảo hiểm Mạng Toàn cầu năm 2022 được thực hiện với hơn 7.000 người tham gia từ 14 quốc gia, các cuộc tấn công ransomware đã tăng từ 21% lên 28%, vi phạm dữ liệu tăng từ 32% lên 43% và lừa đảo trên mạng tăng từ 38% lên 46%. Ấn Độ, Trung Quốc và Nam Phi là ba quốc gia bị ảnh hưởng nặng nề nhất. Trong số 14 quốc gia tham gia cuộc khảo sát nói trên, Ấn Độ là quốc gia bày tỏ quan ngại nhất về các cuộc tấn công mạng tiềm ẩn đang diễn ra đối với các doanh nghiệp nước này (92%), tiếp sau là Brazil (89%), Tây Ban Nha và Nam Phi xếp thứ 3 và thứ 4 với lần lượt 85% và 83%. - Tình hình an ninh mạng Việt Nam: Trong 6 tháng đầu năm 2022 sự gia tăng của xu hướng làm việc kết hợp và sự thay đổi liên tục của các phương thức tấn công tinh vi đang đặt ra vô vàn thách thức về an ninh mạng trong năm 2022. Theo thống kê, trong 6 tháng đầu năm 2022 đã có 48.646 cuộc tấn công mạng với nhiều hình thức tinh vi, so với năm 2021, con số này tăng gần 20%. Trong đó, có 6.641 vụ tấn công mạng gây ra sự cố vào hệ thống thông tin trong nước, tăng 35,14% so với cuối năm 2021 và tăng 37,92% so với cùng kỳ năm 2021. Trong 48.646 cuộc tấn công mạng vào các hệ thống CNTT trọng yếu nửa đầu năm 2022, tấn công khai thác lỗ hổng vẫn chiếm đa số với gần 53% tổng số cuộc tấn công; tiếp đó là tấn công dò quét mạng (15,65%), tấn công APT (14,36%); tấn công xác thực (9,39%); tấn công cài mã độc (7,58%), tấn công cài mã độc (7,58%), tấn công từ chối dịch vụ (0,47%) và các hình thức tấn công khác là 0,91%. Hình 1-4 Thống kê các hình thức tấn công Ngày nay ở Việt Nam, các tổ chức, doanh nghiệp đều xây dựng, vận hành một hệ thống mạng của riêng mình. Hệ thống mạng giúp gia tăng khả năng làm việc giữa các nhân viên, các đơn vị với nhau, gia tăng hiệu suất và giúp cơ quan, tổ chứchoạt động một cách hiệu quả. Tuy nhiên, khi vận hành hệ thống mạng, có rất nhiều vấn đề có thể phát sinh làm ảnh hưởng đến khả năng hoạt động của hệ thống. Những vấn đề đó đến từ nhiều nguyên nhân khác nhau, có thể là hỏng hóc máy móc thiết bị hay lỗi do người dùng tạo ra. Hệ thống càng lớn, các hoạt động diễn ra bên trong hệ thống phức tạp, các vấn đề nảy sinh cũng càng tăng theo. Do đó, hệ thống mạng luôn cần có một hệ thống giám sát an toàn thông tin bao quát toàn bộ các hoạt động, các vấn đề, có thể túc trực, quản lý, dễ dàng phát hiện các sự cố xảy ra bên trong hệ thống, thông qua đó quản trị viên sẽ đưa ra các biện pháp ứng phó. Từ tình hình trên, việc xây dựng hệ thống giám sát an toàn thông tin để quản lý hệ thống mạng đang ngày cảng trở nên cấp thiết hơn bao giờ hết. 1.2 Các mối đe dọa an toàn thông tin và phương thức tấn công 1.2.1 Các mối đe dọa an toàn thông tin - Mối đe dọa không có cấu trúc: Là những hành vi xâm nhập mạng trái phép một cách đơn lẻ, không có tổ chức. Kiểu tấn công này có rất nhiều công cụ trên internet có thể hack và rất nhiều script có sẵn. Chỉ cần ai muốn tìm hiểu có thể tải chúng về và sử dụng thử để nghiên cứu trên mạng nội bộ của công ty. Rất nhiều người lại thích với việc tấn công và xâm nhập vào máy tính và thử thách các hành động vượt tường lửa đi ra khỏi tầm bảo vệ. Đa phần tấn công không có cấu trúc đều được gây ra bởi Script Kiddies hay những người có trình độ thấp hoặc vừa phải. Những cuộc tấn công đó có thể do sở thích cá nhân, nhưng đôi khi có nhiều cuộc tấn công có ý đồ xấu để đánh cắp thông tin. Các trường hợp đó sẽ có ảnh hưởng nghiêm trọng đến hệ thống và các chủ thể sở hữu mạng. Thậm chí, có một số đoạn mã độc có thể phá hủy chức năng của mạng nội bộ. - Mối đe dọa có cấu trúc: Là những cách thức tấn công hoặc xâm nhập hệ thống mạng trái phép, có động cơ và kỹ thuật cao. Kiểu này hoạt động độc lập hoặc theo từng nhóm, chúng thường có kỹ năng phát triển ứng dụng và sử dụng các kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu có chủ đích. Mục đích của các hình thức tấn công này có thể vì tiền hoặc hoạt động chính trị, đôi khi là tức giận hay báo thù. Các nhóm tội phạm, các đối tác, đối thủ cạnh tranh hay các tổ chức sắc tộc thuê các hacker để thực hiện các cuộc tấn công, kiểm soát dạng structured threat. Những cuộc tấn công vào hệ thống thường có nhiều mục đích từ trước, qua đó có thể lấy được mã nguồn của những đối thủ cạnh tranh với nhau. Các cuộc tấn công như vậy rất có thể gây hậu quả nghiêm trọng, có thể gây nên sự phá hủy cho toàn hệ thống mạng của doanh nghiệp hoặc các tổ chức. - Mối đe dọa từ bên ngoài: Là những cuộc tấn công được tạo ra khi Hacker không có một quyền nào kiểm soát trong hệ thống. Người dùng có thể bị tấn công trên toàn thế giới thông qua mạng Internet. Những mối đe dọa từ bên ngoài này thường là mối đe dọa nguy hiểm, các chủ doanh nghiệp sở hữu mạng LAN thường phải bỏ rất nhiều tiền và thời gian để bảo vệ hệ thống. - Mối đe dọa từ bên trong hệ thống: Là kiểu tấn công được thực hiện từ một cá nhân hoặc một tổ chức có một số quyền truy cập vào hệ thống mạng nội bộ của công ty. Những cách tấn công này thường từ bên trong, được thực hiện từ một vị trí tin cậy trong mạng nội bộ, rất khó phòng chống bởi đôi khi chính là các nhân viên truy cập mạng rồi tấn công. Nhưng nếu có hệ thống giám sát và phân tích sẽ rất dễ bắt được các đối tượng này. 1.2.2 Các cách thức tấn công hệ thống mạng máy tính - Cách thức lấy cắp thông tin bằng kiểu tấn công Packet Sniffers: Chương trình ứng dụng này tạo ra dùng để bắt giữ các các gói tin lưu chuyển trên hệ thống mạng hoặc trên một miền mạng riêng. Kiểu Sniffer thường được dùng phân tích lưu lượng (traffic). Nếu một số ứng dụng không mã hóa mà gửi dữ liệu dưới dạng clear text (telnet, POP3, FTP, SMTP,...) thì phần mềm sniffer cũng là một công cụ giúp cho hacker bắt được các thông tin nhạy cảm như là username, password, từ đó có thể đăng nhập vào các hệ thống máy chủ. - Cách thức lấy cắp mật khẩu bằng Password attack: Hacker thường tấn công lấy cắp mật khẩu bằng các phương pháp như: kiểu brute-force attack, chương trình Trojan Horse, hoặc IP spoofing và packet sniffer. Đối với kiểu dùng packet sniffer hoặc IP spoofing có thể lấy được tài khoản và mật khẩu (user account và password), tuy nhiên các Hacker lại thường sử dụng kiểu brute-force để lấy tài khoản và mật khẩu. Cách thức tấn công brute-force được thực hiện bằng phương pháp dùng một chương trình chạy trên hệ thống mạng, sau đó cố gắng login vào các phần chia sẻ tài nguyên trên máy chủ. - Cách thức tấn công bằng Mail Relay: Phương pháp này rất phổ biến hiện nay. Nếu máy chủ chạy dịch vụ Email không cấu hình theo chuẩn hoặc tài khoản và mật khẩu của người dùng sử dụng mail bị lộ. Các Hacker thường lợi dụng máy chủ Email để gửi rất nhiều mail cùng lúc gây ngập băng thông mạng và phá hoại các hệ thống email khác. Đặc biệt kiểu gắn thêm những đoạn script trong mail, các hacker có thể gây ra các cuộc tấn công Spam đồng thời với khả năng tấn công gián tiếp đến các máy chủ chứa Database nội bộ của công ty hoặc các cuộc tấn công DoS vào một mục tiêu nào đó có chủ đích. - Cách thức tấn công tầng ứng dụng: Hacker tấn công vào tầng ứng dụng được thực hiện bằng rất nhiều cách khác nhau. Những cách thông dụng nhất thường là tấn công vào các điểm yếu của các phần mềm như HTTP hoặc FTP. Các nguyên nhân chủ yếu của các cuộc tấn công tầng ứng dụng là chúng sử dụng các cổng được mở bởi tưởng lửa của hệ thống. Ví dụ Hacker thường tấn công dịch vụ Web server bằng cách sử

TỔNG QUAN VỀ AN TOÀN THÔNG TIN

Tổng quan chung về an toàn thông tin

- An toàn thông tin là duy trì tính bí mật, tính toàn vẹn, tính sẵn sàng cho toàn bộ thông tin Ba yếu tố không thể tách rời trong việc đảm bảo an toàn thông tin:

Tính bí mật: Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận và sử dụng thông tin cần được phân quyền truy cập.

Tính toàn vẹn: Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hoặc bị chỉnh sửa.

Tính sẵn sàng: Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào, tránh được những rủi ro phần cứng và phần mềm.

- Tình hình an ninh mạng trên thế giới:

Hơn 5 triệu mối đe dọa ransomware trên các lớp email, URL và tệp đã được phát hiện và ngăn chặn Con số này tăng gần 45% so với quý trước (quý IV-2021) và tăng nhiều hơn 5% so với cùng kỳ năm trước Trong đó, các cuộc tấn công cài mã độc tăng mạnh và nạn nhân của các phi vụ này là con số không hề nhỏ LockBit, Conti and BlackCat ba tác nhân này đã xâm nhập thành công ít nhất 100 tổ chức trên khắp thế giới Phần lớn nạn nhân của LockBit là các tổ chức ở châu Âu, trong khi Conti và BlackCat nhắm vào các tổ chức ở Bắc Mỹ

Các mã độc của LockBit, Conti và BlackCat xuất hiện rải rác trong các bộ máy tổ chức Nhà nước, cơ sở hạ tầng nhạy cảm trên thế giới, trong đó có

“các công ty viễn thông lớn” Nhóm Conti “tàn phá” Costa Rica bằng những vụ tấn công đòi tiền chuộc có mức độ phá hoại được đánh giá là lớn nhất tới trước tới nay Chúng làm đóng băng toàn bộ hoạt động xuất nhập khẩu, gây thiệt hại hàng chục triệu USD mỗi ngày ở quốc gia này Nền tảng tài chính phi tập trung trở thành “miếng mồi béo bở” cho các vụ tấn công cướp đoạt tiền mã hoá giá trị hàng chục, hàng trăm triệu USD.

Hình 1-1 Thống kê các cuộc tấn công mã độc

Top 10 ngành bị tấn công nhiều nhất.

Hình 1-2 Thống kê top các ngành bị tấn công

Top 10 quốc gia bị tấn công nhiều nhất.

Hình 1-3 Thống kê top các nước bị tấn công

Thống kê cho thấy Cứ 60 tổ chức trên toàn cầu thì có một tổ chức bị ảnh hưởng bởi một cuộc tấn công Ransomware mỗi tuần - tăng 14% so với cùng kỳ năm ngoái Số vụ tấn công trung bình hàng tuần trên toàn cầu nhằm vào các tổ chức trong lĩnh vực du lịch và giải trí đã tăng 60% vào tháng 6/2022 so với nửa đầu tháng 6 năm 2021

Theo Cuộc Khảo sát Rủi ro và Bảo hiểm Mạng Toàn cầu năm 2022, với hơn 7.000 người tham gia từ 14 quốc gia, tấn công ransomware tăng từ 21% lên 28%, vi phạm dữ liệu tăng từ 32% lên 43% và lừa đảo trực tuyến tăng từ 38% lên 46% Ấn Độ, Trung Quốc và Nam Phi là ba trong số những quốc gia bị ảnh hưởng nghiêm trọng nhất Trong số 14 quốc gia tham gia khảo sát, Ấn Độ bày tỏ lo ngại nhiều nhất về các cuộc tấn công mạng tiềm ẩn nhắm vào các doanh nghiệp (92%), tiếp theo là Brazil (89%), Tây Ban Nha (85%) và Nam Phi (83%).

- Tình hình an ninh mạng Việt Nam:

Trong 6 tháng đầu năm 2022 sự gia tăng của xu hướng làm việc kết hợp và sự thay đổi liên tục của các phương thức tấn công tinh vi đang đặt ra vô vàn thách thức về an ninh mạng trong năm 2022.

Trong nửa đầu năm 2022, Việt Nam ghi nhận 48.646 cuộc tấn công mạng, tăng gần 20% so với cùng kỳ năm 2021 Đặc biệt đáng chú ý, có đến 6.641 vụ tấn công mạng gây ra sự cố vào hệ thống thông tin trong nước, tăng 35,14% so với cuối năm 2021 và 37,92% so với cùng kỳ năm ngoái.

2021 Trong 48.646 cuộc tấn công mạng vào các hệ thống CNTT trọng yếu nửa đầu năm 2022, tấn công khai thác lỗ hổng vẫn chiếm đa số với gần 53% tổng số cuộc tấn công; tiếp đó là tấn công dò quét mạng (15,65%), tấn công APT

(14,36%); tấn công xác thực (9,39%); tấn công cài mã độc (7,58%), tấn công cài mã độc (7,58%), tấn công từ chối dịch vụ (0,47%) và các hình thức tấn công khác là 0,91%.

Hình 1-4 Thống kê các hình thức tấn công

Ngày nay ở Việt Nam, các tổ chức, doanh nghiệp đều xây dựng, vận hành một hệ thống mạng của riêng mình Hệ thống mạng giúp gia tăng khả năng làm việc giữa các nhân viên, các đơn vị với nhau, gia tăng hiệu suất và giúp cơ quan, tổ chứchoạt động một cách hiệu quả Tuy nhiên, khi vận hành hệ thống mạng, có rất nhiều vấn đề có thể phát sinh làm ảnh hưởng đến khả năng hoạt động của hệ thống Những vấn đề đó đến từ nhiều nguyên nhân khác nhau, có thể là hỏng hóc máy móc thiết bị hay lỗi do người dùng tạo ra

Hệ thống càng lớn, các hoạt động diễn ra bên trong hệ thống phức tạp, các vấn đề nảy sinh cũng càng tăng theo Do đó, hệ thống mạng luôn cần có một hệ thống giám sát an toàn thông tin bao quát toàn bộ các hoạt động, các vấn đề, có thể túc trực, quản lý, dễ dàng phát hiện các sự cố xảy ra bên trong hệ thống, thông qua đó quản trị viên sẽ đưa ra các biện pháp ứng phó.

Từ tình hình trên, việc xây dựng hệ thống giám sát an toàn thông tin để quản lý hệ thống mạng đang ngày cảng trở nên cấp thiết hơn bao giờ hết.

Các mối đe dọa an toàn thông tin và phương thức tấn công

1.2.1 Các mối đe dọa an toàn thông tin

- Mối đe dọa không có cấu trúc:

Là những hành vi xâm nhập mạng trái phép một cách đơn lẻ, không có tổ chức Kiểu tấn công này có rất nhiều công cụ trên internet có thể hack và rất nhiều script có sẵn Chỉ cần ai muốn tìm hiểu có thể tải chúng về và sử dụng thử để nghiên cứu trên mạng nội bộ của công ty Rất nhiều người lại thích với việc tấn công và xâm nhập vào máy tính và thử thách các hành động vượt tường lửa đi ra khỏi tầm bảo vệ Đa phần tấn công không có cấu trúc đều được gây ra bởi Script Kiddies hay những người có trình độ thấp hoặc vừa phải Những cuộc tấn công đó có thể do sở thích cá nhân, nhưng đôi khi có nhiều cuộc tấn công có ý đồ xấu để đánh cắp thông tin Các trường hợp đó sẽ có ảnh hưởng nghiêm trọng đến hệ thống và các chủ thể sở hữu mạng Thậm chí, có một số đoạn mã độc có thể phá hủy chức năng của mạng nội bộ.

- Mối đe dọa có cấu trúc:

Các cuộc tấn công mạng có chủ đích là những hành vi tấn công hoặc xâm nhập trái phép vào hệ thống mạng, có sự đầu tư về động cơ và kỹ thuật cao Các nhóm thực hiện các cuộc tấn công này hoạt động độc lập hoặc theo nhóm, sở hữu kỹ năng phát triển ứng dụng và sử dụng các kỹ thuật phức tạp để xâm nhập vào mục tiêu đã xác định Mục đích của các cuộc tấn công có thể là động cơ tài chính, chính trị hoặc thậm chí là tức giận hay trả thù Các đối tượng thuê hacker có thể là nhóm tội phạm, đối tác, đối thủ cạnh tranh hoặc các tổ chức chính trị, tạo nên mối đe dọa có cấu trúc Những cuộc tấn công này thường có mục đích lấy cắp dữ liệu đối thủ, gây ra hậu quả nghiêm trọng như phá hủy toàn bộ hệ thống mạng của doanh nghiệp hoặc tổ chức.

- Mối đe dọa từ bên ngoài:

Là những cuộc tấn công được tạo ra khi Hacker không có một quyền nào kiểm soát trong hệ thống Người dùng có thể bị tấn công trên toàn thế giới thông qua mạng Internet Những mối đe dọa từ bên ngoài này thường là mối đe dọa nguy hiểm, các chủ doanh nghiệp sở hữu mạng LAN thường phải bỏ rất nhiều tiền và thời gian để bảo vệ hệ thống.

- Mối đe dọa từ bên trong hệ thống:

Là kiểu tấn công được thực hiện từ một cá nhân hoặc một tổ chức có một số quyền truy cập vào hệ thống mạng nội bộ của công ty Những cách tấn công này thường từ bên trong, được thực hiện từ một vị trí tin cậy trong mạng nội bộ, rất khó phòng chống bởi đôi khi chính là các nhân viên truy cập mạng rồi tấn công Nhưng nếu có hệ thống giám sát và phân tích sẽ rất dễ bắt được các đối tượng này.

1.2.2 Các cách thức tấn công hệ thống mạng máy tính

- Cách thức lấy cắp thông tin bằng kiểu tấn công Packet Sniffers:

Chương trình ứng dụng này tạo ra dùng để bắt giữ các các gói tin lưu chuyển trên hệ thống mạng hoặc trên một miền mạng riêng Kiểu Sniffer thường được dùng phân tích lưu lượng (traffic) Nếu một số ứng dụng không mã hóa mà gửi dữ liệu dưới dạng clear text (telnet, POP3, FTP, SMTP, ) thì phần mềm sniffer cũng là một công cụ giúp cho hacker bắt được các thông tin nhạy cảm như là username, password, từ đó có thể đăng nhập vào các hệ thống máy chủ.

- Cách thức lấy cắp mật khẩu bằng Password attack:

Hacker thường tấn công lấy cắp mật khẩu bằng các phương pháp như: kiểu brute-force attack, chương trình Trojan Horse, hoặc IP spoofing và packet sniffer Đối với kiểu dùng packet sniffer hoặc IP spoofing có thể lấy được tài khoản và mật khẩu (user account và password), tuy nhiên các Hacker lại thường sử dụng kiểu brute-force để lấy tài khoản và mật khẩu Cách thức tấn công brute-force được thực hiện bằng phương pháp dùng một chương trình chạy trên hệ thống mạng, sau đó cố gắng login vào các phần chia sẻ tài nguyên trên máy chủ.

- Cách thức tấn công bằng Mail Relay:

Phương pháp này rất phổ biến hiện nay Nếu máy chủ chạy dịch vụ Email không cấu hình theo chuẩn hoặc tài khoản và mật khẩu của người dùng sử dụng mail bị lộ Các Hacker thường lợi dụng máy chủ Email để gửi rất nhiều mail cùng lúc gây ngập băng thông mạng và phá hoại các hệ thống email khác Đặc biệt kiểu gắn thêm những đoạn script trong mail, các hacker có thể gây ra các cuộc tấn công Spam đồng thời với khả năng tấn công gián tiếp đến các máy chủ chứa Database nội bộ của công ty hoặc các cuộc tấn công DoS vào một mục tiêu nào đó có chủ đích.

- Cách thức tấn công tầng ứng dụng:

Hacker tấn công vào tầng ứng dụng được thực hiện bằng rất nhiều cách khác nhau Những cách thông dụng nhất thường là tấn công vào các điểm yếu của các phần mềm như HTTP hoặc FTP Các nguyên nhân chủ yếu của các cuộc tấn công tầng ứng dụng là chúng sử dụng các cổng được mở bởi tưởng lửa của hệ thống Ví dụ Hacker thường tấn công dịch vụ Web server bằng cách sử dụng một số phần mềm quét port 80 sau đó tấn công hoặc dịch vụ mail server qua port 25.

- Cách thức tấn công bằng Virus và phần mềm Trojan Horse:

Những nguy hiểm của các máy workstation và người dùng đầu cuối là những tấn công virus và Trojan (thường gọi là Trojan horse) Phần mềm Virus thường là có hại, chúng được đính kèm vào các chương trình thực thi để thực hiện một cách thức phá hại nào đó Còn phần mềm Trojan horse thì hoạt động theo kiểu gián điệp, nghe lén và lấy cắp thông tin.

Giới thiệu tổng quan về hệ thống SIEM

SIEM là viết tắt của cụm từ Securit Information and Event Management được hiểu đơn giản là giải pháp quản lý và phân tích sự kiện an toàn thông tin

Là một hệ thống giám sát an ninh mạng tân tiến nhất hiện nay Nó tiến hành một loạt hoạt động như thu thập, phân tích, đánh giá nhật ký từ mọi thiết bị trong hệ thống… Từ đó cho phép cho chúng ta phân tích một lượng lớn dữ liệu để phát hiện các cuộc tấn công ẩn dấu đằng sau để các đơn vị, cơ quan có được cái nhìn toàn cảnh về các sự kiện an ninh mạng.

Hệ thống SIEM là giải pháp kết nối giữa hai giải pháp SIM và SEM Trong đó SIM thực hiện việc thu thập nhật ký và phân tích đồng thời đưa ra cảnh báo Nhật ký này được lấy từ máy chủ, ứng dụng, thiết bị mạng, thiết bị chuyên về bảo mật Nó hỗ trợ việc theo dõi, giám sát hành động người dùng.

SIEM thực hiện việc xử lý nhật ký và các sự kiện an ninh được gửi về từ các thiết bị các thiết bị mạng, các máy chủ (Server), các ứng dụng SIEM giúp theo dõi sự kiện anh ninh của hệ thống và thực hiện các hành động bảo vệ an toàn hệ thống Nó gồm 2 thành phần chính thu thập nhật ký, thành phần phân tích nhật ký.

Giải pháp SIEM được xem là cách toàn diện, hoàn chỉnh và hiệu quả giúp các cơ quan tổ chức thực hiện việc giám sát an toàn thông tin cho hệ thống Đây là giải pháp được ngày càng nhiều doanh nghiệp tổ chức áp dụng nhằm đảm bảo an toàn tuyệt đối và nhất quán, linh hoạt trong việc lắp đặt và sử dụng thiết bị cho hệ thống an ninh mạng công nghệ thông tin.

1.3.2 Chức năng chính của SIEM

SIEM giúp tập hợp các dữ liệu thông qua giải pháp nhật ký tập trung Thiết bị đầu cuối của hệ thống thường ghi lại và truyền dữ liệu nhật ký về máy chủ SIEM Máy chủ SIEM nhận nhật ký từ nhiều máy và tiến hành thống kê, phân tích và tạo ra một báo cáo duy nhất Nhờ có hệ thống này mà giúp tiết kiệm công sức trong việc tập trung dữ liệu và báo cáo an ninh định kỳ.

- Giám sát an toàn mạng: Đây chính là chức năng chính của SIEM, hệ thống sẽ phát hiện được các sự cố mà các thiết bị thông thường không phát hiện được Cùng với đó nó có thể cho thấy sự tương quan giữa các thiết bị với nhau Hệ thống SIEM sẽ thấy được những phần khác nhau của các cuộc tấn công bởi Hacker thông qua các thiết bị khác nhau SIEM sẽ tiến hành kiểm tra và cách ly máy chủ mục tiêu của cuộc tấn công.

- Giúp ích cho việc xử lý sự cố:

SIEM có giao diện đơn giản để có thể xem tất cả nhật ký từ nhiều thiết bị một cách thuận tiện để khắc phục sự cố một cách dễ dàng và hiệu quả.

1.3.3 Các thành phần của hệ thống

Việc xây dựng hệ thống SIEM có thể tiến hành theo nhiều cách, thường gồm 3 thành phần chính như sau:

- Thu thập nhật ký ATTT: Phần thu thập ATTT gồm các giao diện có chức năng thu thập nhật ký từ mọi thiết bị Sau khi tập hợp nó sẽ gửi toàn bộ nhật ký về thành phần phân tích.

Các bản ghi (Log) được tập trung và phân tích theo thuật toán, giúp hệ thống phát hiện các sự cố và đưa ra cảnh báo kịp thời Ngoài ra, hệ thống này còn có khả năng phân tích dữ liệu quá khứ, giúp doanh nghiệp hiểu rõ hơn về hoạt động của hệ thống và đưa ra các quyết định sáng suốt trong tương lai.

- Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn bộ hệ thống giám sát an ninh Hệ thống có sẵn hàng ngàn mẫu báo cáo để có thể sử dụng ngay.

1.3.4 Kiến trúc và cách thức hoạt động của hệ thống SIEM

Kiến trúc của hệ thống SIEM bao gồm: Thiết bị nguồn; Thu thập log; Phân tích và chuẩn hóa log; Kỹ thuật tương quan sự kiện; Lưu trữ log (nhật ký); Giám sát.

1.3.4.1 Thiết bị nguồn trong kiến trúc SIEM

Thiết bị nguồn là các thiết bị đầu vào cung cấp các dữ liệu thu thập cho hệ thống SIEM, nó nằm ở vị trí đầu tiên trong kiến trúc của hệ thống SIEM được biểu thị trên Hình 1-5

Hình 1-5 Bộ phân thiết bị nguồn

Các thiết bị nguồn có thể là Firewall, Router, Switch hoặc có thể là những bản ghi nhật ký từ một dịch vụ đang hoạt động Đặc biệt người quản trị cần phải hiểu rõ những nguồn log mà mình muốn lấy sẽ tiết kiệm được rất nhiều công sức, thời gian và giảm sự phức tạp trong triển khai.

1.3.4.2 Bộ phận thu thập log

Thành phần thu thập log nằm ở bước 2 trong cấu trúc của SIEM (Hình 1- 6) Cơ chế thu thập các bản ghi log sẽ phụ thuộc vào từng thiết bị, dịch vụ dữ liệu đầu vào nhưng cơ bản sẽ có hai phương thức: Phương thức đẩy nhật ký (Pull log) và phương thức tự lấy nhật ký (Push log), ngoài ra còn có tính năng xây dựng nhật ký để thu thập (Prebuilt Log collection) và tự tạo nhật ký thu thập log (Custom Log Collection), đồng thời còn kết hợp nhiều cách thu thập log khác (Mixed Environments). Đẩy nhật ký (Pull log) Những bản ghi log sẽ được đẩy về từ các thiết bị nguồn Phương pháp này rất dễ dàng cấu hình và cài đặt, người quản trị sẽ thiết lập một bộ tiếp nhận log, sau đó kết nối log từ thiết bị nguồn đến bộ phận tiếp nhận log.

Hình 1-6 Bộ phận thu thập log

NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN

Các tiêu chí đánh giá khi xây dựng một hệ thống SIEM

Các hệ thống SIEM có khả năng thu thập, phân tích và báo cáo dữ liệu nhật ký bảo mật từ một số lượng lớn các giải pháp kiểm soát bảo mật của doanh nghiệp, hệ điều hành chủ, ứng dụng của doanh nghiệp và phần mềm khác được tổ chức sử dụng Một số khác còn có khả năng ngăn chặn các cuộc tấn công đang diễn ra mà chúng phát hiện được, có khả năng ngăn chặn các thỏa hiệp hoặc hạn chế thiệt hại mà các thỏa hiệp thành công có thể gây ra.

Ngày nay, có rất nhiều hệ thống SIEM, việc lựa chọn và đánh giá mức độ phù hợp của sản phẩm đói với doanh nghiệp là một thách thức, chứ chưa nói đến việc chọn sản phẩm tốt nhất cho một tổ chức đó Một phần của quá trình đánh giá bao gồm việc tạo danh sách các tiêu chí đánh giá SIEM mà doanh nghiệp có thể sử dụng để làm nổi bật các khả năng quan trọng Các tiêu chí được xây dựng bằng việc trả lời các câu hỏi sau:

2.1.1 Mức độ hỗ trợ của SIEM đối với các nguồn nhật ký

Giá trị của SIEM bị giảm đi nếu nó không thể nhận và hiểu dữ liệu nhật ký từ tất cả các nguồn tạo nhật ký trong tổ chức Ví dụ như các giải pháp kiểm soát bảo mật doanh nghiệp của tổ chức như tường lửa, mạng riêng ảo, hệ thống ngăn chặn xâm nhập, cổng bảo mật email và web cũng như các sản phẩm chống phần mềm độc hại.

Ngoài ra, SIEM phải cung cấp hỗ trợ riêng cho các tệp nhật ký từ hệ điều hành của tổ chức Có thể ngoại trừ hệ điều hành thiết bị di động, thường không cung cấp bất kỳ khả năng ghi nhật ký bảo mật nào SIEM cũng phải hỗ trợ đầy đủ các nền tảng cơ sở dữ liệu chính của tổ chức, cũng như bất kỳ ứng dụng doanh nghiệp nào cho phép người dùng tương tác với dữ liệu nhạy cảm Nếu SIEM không hỗ trợ nguồn nhật ký, thì tổ chức có thể phát triển bằng các công cụ tùy chỉnh để cung cấp hỗ trợ cần thiết.

2.1.2 Khả năng ghi nhật ký bổ sung của SIEM

Các ứng dụng và phần mềm cụ thể của một tổ chức có thể thiếu khả năng ghi nhật ký Một số hệ thống và dịch vụ SIEM có thể bổ sung những điều này bằng cách thực hiện giám sát riêng của chúng bên cạnh công việc quản lý nhật ký thường xuyên của chúng Về bản chất, điều này mở rộng SIEM từ việc hoàn toàn là một công cụ thu thập, phân tích và báo cáo nhật ký tập trung sang việc tạo dữ liệu nhật ký thô thay mặt cho các máy chủ khác.

2.1.3 Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống SIEM

Hầu hết các SIEM đều có khả năng sử dụng nguồn cấp dữ liệu thông tin tình báo về các mối đe dọa Các nguồn cấp dữ liệu này, thường được lấy từ các nguồn đăng ký riêng biệt, chứa thông tin cập nhật về hoạt động của mối đe dọa được quan sát trên toàn thế giới, bao gồm cả những máy chủ nào đang được sử dụng để phân chia hoặc khởi động các cuộc tấn công và đặc điểm của các cuộc tấn công này là gì Giá trị lớn nhất của việc sử dụng các nguồn cấp dữ liệu này là cho phép SIEM xác định các cuộc tấn công chính xác hơn và đưa ra các quyết định sáng suốt hơn, thường là tự động, về các cuộc tấn công nào cần phải loại bỏ và ngân chặn cũng như phương pháp tốt nhất là để ngăn chặn chúng.

Tất nhiên, chất lượng của thông tin về mối đe dọa khác nhau giữa các nhà cung cấp Các yếu tố cần xem xét khi đánh giá thông tin tình báo về mối đe dọa nên bao gồm tần suất cập nhật thông tin tình báo về mối đe dọa và cách nhà cung cấp thông tin tình báo về mối đe dọa thể hiện sự tin tưởng của họ vào bản chất độc hại của từng mối đe dọa.

2.1.4 Khả năng điều tra số của hệ thống SIEM

Năng lực điều tra số cũng là một tiêu chí đánh giá SIEM Theo truyền thống, SIEM chỉ thu thập dữ liệu do các nguồn nhật ký khác cung cấp Tuy nhiên, gần đây một số hệ thống SIEM đã bổ sung các khả năng điều tra số khác nhau có thể thu thập dữ liệu của riêng họ liên quan đến hoạt động đáng ngờ Một ví dụ phổ biến là khả năng thực hiện chụp toàn bộ gói tin cho một kết nối mạng có liên quan đến hoạt động độc hại Giả sử rằng các gói tin này không được mã hóa, nhà phân tích SIEM sau đó có thể xem xét nội dung của chúng kỹ hơn để hiểu rõ hơn về bản chất của các gói tin.

Một khía cạnh khác của điều tra số là ghi nhật ký hoạt động của máy chủ; sản phẩm SIEM có thể thực hiện ghi nhật ký như vậy mọi lúc hoặc ghi nhật ký có thể được kích hoạt khi công cụ SIEM nghi ngờ hoạt động đáng ngờ liên quan đến một máy chủ cụ thể.

2.1.5 Những tính năng hỗ trợ thực hiện phân tích dữ liệu của hệ thống SIEM

Các sản phẩm SIEM được sử dụng để phát hiện và xử lý sự cố phải cung cấp các tính năng giúp người dùng tự xem xét và phân tích dữ liệu nhật ký, cũng như các cảnh báo của riêng SIEM và các phát hiện khác Một lý do cho điều này là ngay cả một SIEM có độ chính xác cao đôi khi cũng sẽ hiểu sai các sự kiện và tạo ra kết quả cảnh báo giả, vì vậy mọi người cần phải có một cách để xác thực kết quả của SIEM.

Một lý do khác cho điều này là người dùng liên quan đến phân tích bảo mật cần các giao diện hữu ích để tạo điều kiện thuận lợi cho việc điều tra của họ Ví dụ về các giao diện như vậy bao gồm khả năng tìm kiếm phức tạp và khả năng trực quan hóa dữ liệu.

2.1.6 Khả năng phản hồi tự động của SIEM

Một tiêu chí đánh giá khác của SIEM là khả năng phản hồi tự động của sản phẩm Đây thường là nỗ lực của tổ chức cụ thể vì nó phụ thuộc nhiều vào kiến trúc mạng của tổ chức, các biện pháp kiểm soát an ninh mạng và các khía cạnh khác của quản lý bảo mật.

Ví dụ: một sản phẩm SIEM cụ thể có thể không có khả năng chỉ đạo tường lửa của tổ chức hoặc các biện pháp kiểm soát an ninh mạng khác để chấm dứt kết nối độc hại.

Bên cạnh việc đảm bảo sản phẩm SIEM có thể thông báo nhu cầu của mình với các biện pháp kiểm soát an ninh chính khác của tổ chức, điều quan trọng là phải xem xét các đặc điểm sau:

- SIEM mất bao lâu để phát hiện một cuộc tấn công và chỉ đạo các biện pháp kiểm soát an ninh thích hợp để ngăn chặn nó?

- Thông tin liên lạc giữa SIEM và các biện pháp kiểm soát bảo mật khác được bảo vệ như thế nào để ngăn chặn việc nghe trộm và thay đổi?

- Sản phẩm SIEM có hiệu quả như thế nào trong việc ngăn chặn các cuộc tấn công trước khi xảy ra thiệt hại?

2.1.7 Khả năng xây dựng báo cáo của hệ thống SIEM

Các giải pháp giám sát an toàn thông tin hiện nay

2.2.1 Giải pháp HP ArcSight ESM

HP ArcSight Enterprise Security Manager là một sản phẩm trong bộ sản phẩm ArcSight của HP Hệ thống rất hiệu quả về trong việc quản lý và vận hành phân tích log và có thể xử lý lượng log lớn đổ về cùng hỗ trợ nhiều định dạng lấy log khác nhau Trong hệ thống cho phép phản hồi nhanh chóng và nhận dạng rất nhanh các cuộc tấn công từ bên ngoài hệ thống mạng hoặc bên trong.

Hệ thống cung cấp một giải pháp tổng thể về các hoạt động như: phân tích các mối tấn công từ bên ngoài mà hackers gây ra hoặc các mối tấn công từ bên trong Ngoài ra còn phân tích, phát hiện các rủi ro từ các điểm yếu trên các phần mềm hoặc các dịch vụ hoạt động.

Hình 2-1 ArcSight Enterprise Security Manager Ưu điểm:

- Phân tích dữ liệu toàn diện.

- Cảnh báo tấn công hoặc lỗi theo thời gian thực.

- Có thể tìm kiếm và tạo báo cáo tổng hợp.

- Hiệu năng xử lý phụ thuộc vào thiết bị, muốn nâng cấp phải mua thiết bị mới.

- Chi phí đầu tư tốn kém, đắt đỏ.

2.2.2 Giải pháp IBM Security Qradar

IBM QRadar SIEM (Security Information and Event Management – Quản lý sự kiện và bảo mật thông tin) được thiết kế để cung cấp cho các nhóm bảo mật khả năng hiển thị tập trung vào dữ liệu bảo mật toàn doanh nghiệp và hiểu biết sâu sắc về các mối đe dọa ưu tiên cao nhất.

Bước đầu tiên, giải pháp sử dụng một lượng lớn dữ liệu trong toàn doanh nghiệp để cung cấp cái nhìn toàn diện về hoạt động trên khắp các môi trường tại chỗ và trên nền tảng đám mây Khi dữ liệu được sử dụng, QRadar áp dụng trí thông minh bảo mật tự động, thời gian thực để phát hiện và ưu tiên nhanh chóng và chính xác các mối đe dọa Cảnh báo có thể thực hiện cung cấp bối cảnh lớn hơn vào các sự cố tiềm ẩn, cho phép các nhà phân tích bảo mật phản ứng nhanh chóng để hạn chế tác động của kẻ tấn công Không giống như các giải pháp khác, chỉ QRadar được xây dựng có mục đích để giải quyết các trường hợp sử dụng bảo mật và được thiết kế có chủ ý để dễ dàng mở rộng quy mô với sự tùy chỉnh giới hạn cần có.

QRadar hỗ trợ nhiều công nghệ, ứng dụng và dịch vụ đám mây để giúp khách hàng có được tầm nhìn toàn diện vào hoạt động toàn doanh nghiệp Khi dữ liệu này được tập trung, nó có thể được phân tích tự động để xác định các mối đe dọa đã biết, sự bất thường có thể chỉ ra các mối đe dọa chưa biết và rủi ro quan trọng có thể khiến dữ liệu nhạy cảm bị lộ.

Tự động hóa thông tin bảo mật để nhanh chóng phát hiện các mối đe dọa:

Hình 2-2 Tự động hóa thông tin bảo mật phát hiện các mỗi đe dọa

QRadar SIEM được thiết kế để tự động phân tích và tương quan hoạt động trên nhiều nguồn dữ liệu bao gồm nhật ký, sự kiện, luồng mạng, hoạt động của người dùng, thông tin về lỗ hổng và thông tin về mối đe dọa để xác định các mối đe dọa đã biết và chưa biết.

Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường:Khi những kẻ tấn công trở nên tinh vi hơn trong các kỹ thuật của chúng, việc phát hiện mối đe dọa cần phải có khả năng phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống có thể chỉ ra các mối đe dọa như thông tin bị xâm phạm hoặc fileless malware QRadar chứa nhiều khả năng phát hiện bất thường để xác định những thay đổi trong hành vi có thể là chỉ số của một mối đe dọa chưa biết Và khả năng độc đáo của QRadar để giám sát và phân tích lưu lượng ứng dụng lớp 7 cho phép nó xác định chính xác hơn các bất thường mà các giải pháp khác có thể bỏ lỡ Bằng cách tùy chọn sử dụng QRadar Network Insights như một phần của việc triển khai SIEM, các tổ chức có thể hiểu rõ hơn về các hệ thống giao tiếp với nhau, ứng dụng nào có liên quan và thông tin nào được trao đổi trong các gói.

Bằng cách tương quan thông tin này với hoạt động mạng, nhật ký và người dùng khác, các nhà phân tích bảo mật có thể phát hiện ra hoạt động mạng bất thường có thể là dấu hiệu của máy chủ bị xâm nhập, người dùng bị xâm phạm hoặc nỗ lực đánh cắp dữ liệu.

Quản lý việc tuân thủ với quy tắc, nội dung và báo cáo được xây dựng trước:

Hình 2-3 Phát hiện hoạt động của mạng, người dùng và ứng dụng bất thường

QRadar cung cấp tính minh bạch và khả năng đo lường đối với việc đáp ứng các quy định và báo cáo về việc tuân thủ quy định Nó có hàng trăm báo cáo được xây dựng trước và các mẫu quy tắc có thể giúp các tổ chức dễ dàng giải quyết các yêu cầu tuân thủ của ngành hơn.

Dễ dàng thay đổi, mở rộng quy mô:

Kiến trúc linh hoạt, có thể mở rộng của QRadar được thiết kế để hỗ trợ cả các tổ chức lớn và nhỏ với nhiều nhu cầu khác nhau.

Giải pháp QRadar SIEM bao gồm các thành phần sau: Bộ thu sự kiện, bộ xử lý sự kiện, bộ thu lưu lượng, bộ xử lý luồng, nút dữ liệu (để lưu trữ chi phí thấp và tăng hiệu suất) và bảng điều khiển trung tâm Tất cả các thành phần có sẵn như phần cứng, phần mềm hoặc thiết bị ảo.

Intel Security’s McAfee Enterprise Security Manager (ESM) là một bộ sản phẩm quản lý sự kiện và thông tin bảo mật của hãng Intel Security’s

McAfee cung cấp hiệu suất cao, trí thông minh chủ động và nhận thức về tình huống thời gian thực ở quy mô cần thiết để các tổ chức bảo mật xác định, nắm bắt và ứng phó với các mối đe dọa một cách lén lút, đồng thời khuôn khổ tuân thủ tích hợp giúp đơn giản hóa việc tuân thủ Được thiết kế dưới dạng máy ảo hoặc thiết bị, McAfee hỗ trợ nhiều loại sản phẩm, cung cấp thông tin có giá trị cho các chuyên gia bảo mật.

Mcafee ESM thu thập các bản ghi trên một số lượng lớn thiết bị và tích hợp với danh bạ hoạt động Người nhận lấy logs và đều dễ dàng có hiệu lực cho người dùng Tính năng kiểm soát truy cập và tài khoản người dùng dễ dàng giới hạn người dùng chỉ có quyền truy cập những gì họ thực sự cần xem. Điểm đặc biệt của sản phẩm là tính năng phân tích tương quan nâng cao ESM tạo ra mối tương quan giữa các nguồn khác nhau và tìm ra yếu tố ngoại lai nhanh nhất có thể cùng với các sự kiện khả nghi trong hệ thống mạng ESM cực kỳ hữu ích cho việc theo dõi nhanh chóng, dễ dàng các sự kiện bảo mật và vi phạm chính sách Tính năng đó cho phép chúng ta nhìn thấy các bản ghi chính xác gây ra cảnh báo hoặc sự kiện, cho phép quản trị viên hệ thống quyết định sự kiện có đáng gỡ xuống.

McAfee Enterprise Security Manager là một sản phầm hữu ích tuy nhiên giá thành tương đối cao (đắt gần gấp 10 lần giá của sản phẩm SIEM) nhưng nếu có điều kiện mua thì đây là sản phẩm đáng đầu tư.

Fusion SIEM của Exabeam cung cấp sự kết hợp độc đáo giữa SIEM và Phát hiện & Response (XDR) thành một giải pháp hiện đại cho SecOps Đây là một giải pháp đám mây cho phép bạn tận dụng khả năng điều tra, phát hiện và phản ứng các mối đe dọa tầm cỡ thế giới.

Việc sử dụng phân tích hành vi hàng đầu đã giúp nâng cao khả năng phát hiện mối đe dọa Bạn cũng có thể đạt được kết quả hiệu quả với các kế hoạch trường hợp sử dụng theo quy định và tập trung vào mối đe dọa Kết quả là, hiệu quả công việc của bạn tăng lên và thời gian phản hồi giảm khi sử dụng tự động hóa.

Lựa chọn giải pháp SIEM wazuh

2.3.1 Giới thiệu tổng quan về giải pháp SIEM wazuh

Wazuh là một nền tảng bảo mật mã nguồn mở và miễn phí, hợp nhất các khả năng của XDR và SIEM, không chỉ cho phép các công ty phát hiện các mối đe dọa tinh vi mà còn có thể giúp ngăn ngừa vi phạm và rò rỉ dữ liệu xảy ra Kết quả là, nó có thể giúp các doanh nghiệp tránh khỏi những lần sửa chữa tốn kém mà cuối cùng có thể kết thúc bằng việc đóng cửa.

Cũng có thể tích hợp Wazuh với một số dịch vụ và công cụ bên ngoài Một số trong số đó là VirusTotal, YARA, Amazon Macie, Slack và Fortigate Firewall Do đó, các công ty có thể cải thiện khả năng bảo mật chống lại các tin tặc xâm nhập vào mạng của họ. Điều tuyệt vời về Wazuh là nó có thể mở rộng, mã nguồn mở và miễn phí Nó có thể cạnh tranh với nhiều giải pháp an ninh mạng cao cấp có sẵn với nhiều tiền Vì vậy, điều này có thể giúp các doanh nghiệp vừa và nhỏ tiết kiệm ngân sách rất nhiều.

2.3.2 Tính năng của SIEM wazuh

Wazuh tự động thu thập và tổng hợp dữ liệu bảo mật từ các hệ thống chạyLinux, Windows, macOS, Solaris, AIX và các hệ điều hành khác trong miền được giám sát đem đến một giải pháp SIEM rất toàn diện Nhưng quan trọng hơn, Wazuh cũng phân tích và đối chiếu dữ liệu để phát hiện các điểm bất thường và những sự cố xâm nhập trái phép, có khả năng phát hiện các mối đe dọa sớm trong nhiều môi trường khác nhau.

Ví dụ, Wazuh có thể được sử dụng trong văn phòng, cũng như trong môi trường đám mây để những người làm việc từ xa vẫn có thể thu được những lợi ích của Wazuh Cải thiện bảo mật kỹ thuật số sẽ không chỉ giới hạn trong cài đặt thực tế.

Phần mềm Wazuh có các tác nhân đa nền tảng giám sát hệ thống, phát hiện các mối đe dọa và kích hoạt các phản ứng tự động khi cần thiết Cụ thể hơn, Wazuh tập trung vào rootkit và phần mềm độc hại, cũng như các điểm bất thường đáng ngờ.

Ngoài ra, những tác nhân này có thể phát hiện công nghệ tấn công nguy hiểm khác như tệp ẩn, quy trình được che giấu và các trình xử lý mạng chưa đăng ký.

Ngoài các khả năng phát hiện xâm nhập này, máy chủ của Wazuh có cách tiếp cận dựa trên chữ ký Chúng phân tích dữ liệu nhật ký được thu thập và có thể xác định các điểm xâm phạm bằng cách so sánh chúng với các chữ ký đã biết.

Tính năng này ngay lập tức có thể xác định và ngăn chặn nhân viên tải xuống và cài đặt các ứng dụng độc hại Điều này tạo cho nơi làm việc một mạng lưới an toàn Luôn chú ý, giáo dục nhân viên về an ninh mạng phải là tuyến phòng thủ đầu tiên.

- Phân tích dữ liệu nhật ký:

Wazuh agents đọc nhật ký ứng dụng và hệ điều hành, đồng thời chuyển tiếp chúng một cách an toàn đến người quản lý trung tâm để phân tích và lưu trữ dựa trên các rule.

Các rule của wazuh giúp ta biết về lỗi ứng dụng hoặc hệ thống, cấu hình sai, các hoạt động độc hại đã cố gắng và thành công Vi phạm chính sách và nhiều vấn đề về bảo mật và vận hành khác.

Hình 2-10 Dashboard Log data analysis

- Giám sát tính toàn vẹn của tệp:

Wazuh giám sát hệ thống tệp, phát hiện những thay đổi về nội dung, quyền, quyền sở hữu và thuộc tính của tệp cần theo dõi Công cụ này còn xác định người dùng và ứng dụng đã tạo hoặc sửa đổi tệp.

Khả năng giám sát tính toàn vẹn của tệp có thể được sử dụng kết hợp với thông tin tình báo về mối đe dọa để xác định các mỗi đe dọa hoặc máy chủ bị xâm nhập ngoài ra, một số tiêu chuẩn tuân thủ quy định, chẳng hạn như PCI DSS.

Wazuh cũng có thể xác định những lỗ hổng mạng Điều này cho phép các doanh nghiệp tìm ra các liên kết yếu nhất của họ và bịt các lỗ hổng trước khi tội phạm mạng có thể khai thác chúng.

Các đại lý Wazuh sẽ lấy dữ liệu kiểm kê phần mềm và gửi đến máy chủ của họ Ở đây, nó được so sánh với các lỗ hổng bảo mật phổ biến và cơ sở dữ liệu phơi nhiễm (CVE) được cập nhật liên tục Do đó, những tác nhân này sẽ tìm và xác định bất kỳ phần mềm nào dễ bị tấn công.

Trong nhiều trường hợp, phần mềm chống vi-rút có thể xử lý các lỗ hổng này Các chương trình này thường xuyên phát hành các bản vá bảo mật Nhưng trong một số trường hợp hiếm hoi, các nhà phát triển chống vi-rút sẽ không tìm thấy lỗ hổng bảo mật kịp thời Hoặc họ có thể không tìm thấy chúng, điều này có thể khiến doanh nghiệp bị lộ Có Wazuh có nghĩa là các doanh nghiệp có thêm một bộ mắt để đảm bảo an ninh mạng của họ được kín đáo.

XÂY DỰNG HỆ THỐNG SIEM GIÁM SÁT AN TOÀN THÔNG TIN

Mục tiêu bài toàn

Thông thường hệ thống CNTT trong doanh nghiệp được quản lý qua nhiều bộ phận như: mạng, ứng dụng, phần mềm,… Do đó, khi có sự cố xảy ra việc tổng hợp nhật ký và sự kiện trong thời điểm đó là rất khó Quá trình điều tra nguyên do bị tấn công, nguồn tấn công sau đó tiêu tốn rất nhiều thời gian, công sức nhưng lại không đảm bảo hiệu quả Bên cạnh đó, các thủ đoạn tấn công ngày càng tinh vi mà các giải pháp bảo mật truyền thống hầu như không thể giúp ích trong việc chống trả lại Đó chính là lý do cần có hệ thống SIEM trong tổ chức, doanh nghiệp Có hệ thống SIEM mọi vấn đề phức tạp, rắc rối như trên sẽ được giải quyết.

Hê thống SIEM giúp thu thập tất cả nhật ký, sự kiện tập trung tại một chỗ để quản trị viên có thể phân tích chính xác vấn đề, phát hiện lỗ hổng ở đâu từ đó đưa ra giải pháp xử lý Có thể nói, hệ thống SIEM tương tự như cuốn từ điển ghi nhận lại tất cả sự việc trên hệ thống mạng nên có thể tra cứu thông tin bất kỳ lúc nào.

Các cảnh báo còn được đưa ra kịp thời nhằm tiết kiệm thời gian, nhân lực Thậm chí, hệ thống SIEM còn cung cấp cơ chế ngăn chặn tự động các cuộc tấn công mạng và ngắt kết nối với các thiết bị đã bị xâm hại để giảm thiểu tổn thất xuống mức thấp nhất.

Một hệ thống SIEM giám sát an toàn thông tin có các chức năng chính như sau:

- Quản lý tập trung: Thu thập, lưu trữ tập trung nhật ký và sự kiện từ tất cả các thiết bị trên 1 giao diện giúp quản trị viên có được cái nhìn toàn diện về những gì đang xảy ra trong hệ thống.

- Giám sát an toàn mạng: Phân tích thông tin qua các thuật toán, dự đoán các sự cố bảo mật giúp các bộ phận liên quan chủ động hơn trong công việc.

- Xử lý sự cố hiệu quả: Đưa ra cảnh báo khi có xâm nhập trái phép để kịp thời xử lý và khắc phục sự cố nhanh nhất.

Sau khi triển khai hệ thống SIEM giám sát an toàn thông tin kết quả đặt được là:

- Quản lý event log một cách tập trung và việc truy xuất đến log ở 1 thời điểm nhất định rất dễ dàng.

- Dựa trên các event log có thể đưa ra các phân tích cho toàn hệ thống một cách tự động hóa một cách trực quan và dễ dàng.

- Dựa trên các event log sau khi đã được phân tích phát hiện có sự cố xâm nhập trái phép, người giám sát có thể đánh giá mức độ ảnh hưởng và đưa ra giải pháp ứng phó sự cố kịp thời để đảm bảo sự cố đó không gây ảnh hưởng tới hệ thống.

Mô hình hệ thống thử nghiệm giám sát an toàn thông tin bằng SIEM

Mô hình hệ thống thử nghiệm giám sát được triển khai theo gồm 2 thành phần chính:

- Hệ thống quản lý sự kiện và bảo mật thông tin Wazuh

Yêu cầu tài nguyên cho hệ thống:

Máy chủ CPU RAM Hệ điều hành

Bảng 3-2 Yêu cầu cấu hình của hệ thống

Hình 3-1 Mô hình tổng quan hệ thống thử nghiệm

Mô phỏng hệ thống SIEM giám sát an toàn thông tin

Sau khi thực hiện cấu hình và cài đặt đầy đủ các thành phần đây là màn hình giám sát sự kiện an toàn thông tin:

Hình 3-2 Giao diện giám sát security event

Kịch bản thực hiện giám sát tấn công web:

- Sử dụng xampp trên windows 8 như một máy chủ Web, sử dụng dịch vụ

Apache Web-service cho phép trang web lab có chứa lỗ hổng DVWA được truy cập qua đường dẫn: http://192.168.18.132/login.php.

- Mặt khác, sử dụng máy ảo Kali Linux nằm ngoài hệ thống, sử dụng công cụ kiểm thử Owasp ZAP rà quét trong web được chạy bởi máy chủ trên.

- Hệ thống quản lý sự kiện và bảo mật thông tin Wazuh, dựa trên nhật ký của dịch vụ Apache Web-service, sau đó phát sinh ra cảnh báo.

- Người giám sát tiếp nhận cảnh báo và thực hiện các bước phân tích, xử lý theo quy trình được quy định trong yêu cầu.

Trang web lab DVWA có thể truy cập qua: http://192.168.18.132/login.php

Hình 3-3 Giao diện đăng nhập web được triển khai

Trên máy ảo Kali Linux, sử dụng công cụ kiểm thử ứng dụng web OWASP ZAP để giả lập tấn công.

Hình 3-4 Giao diện công cụ rà quét Owasp ZAP

Hình 3-5 Giao diện sau khi quét xong của công cụ rà quét Owasp ZAP

Giao diện cảnh báo trên hệ thống giám sát Wazuh ghi có sự kiện cảnh báo.

Hình 3-6 Giao diện cảnh báo phát hiện sự kiện tấn công web trên Wazuh

Giao diện full log của cảnh báo trên Wazuh.

Hình 3-7 Giao diện full log của cảnh báo tấn công web

Kịch bản thực hiện giám sát việc download file:

- Người dùng thực hiện tải file mới từ internet về thiết bị

- Trên hệ thống quản lý sự kiện và bảo mật thông tin hiện lên cảnh báo về sự kiện file được thêm vào hệ thống

- Người giám sát tiếp nhận cảnh báo và thực hiện các bước phân tích, xử lý theo quy trình được quy định trong yêu cầu.

Giao diện cảnh báo trên hệ thống giám sát Wazuh ghi có sự kiện cảnh báo.

Hình 3-8 Giao diện cảnh báo file được thêm vào hệ thống trên Wazuh

Giao diện full log của cảnh báo trên Wazuh.

Hình 3-9 Giao diện full log của cảnh báo file được thêm vào hệ thống

Từ log của cảnh báo ta có thể thấy file ramnit.exe được thêm vào theo đường dẫn c:\users\dvduong\downloads\ramnit.exe với mã hash của file là b55e85453de9254cbf4c21c0de92d82c6deefccb, người phân tích thực hiện check thông tin hash trên virustotal.

Hình 3-10 Thông tin hash trên virustotal

Chương này đã thực hiện giải quyết bài toán đặt ra dựa vào hệ thống SIEM giám sát an toàn thông tin với Wazuh, thực hiện mô phỏng kịch bản thực tế gặp phải khi giám sát an toàn thông tin với hệ thống SIEM.