Để đố i phó với các cu c tấn công mạng, m t số doanh nghi p và tộ ộ ệ ổ chức đã đầu tư vào hệ th ng Security Operation Center SOC và Security Information and ốEvent Management SIEM.. Tuy
Trang 1TRƯỜNG ĐẠI H C BÁCH KHOA HÀ N I Ọ Ộ TRƯỜNG ĐIỆN- ĐIỆ N T Ử
Đề tài: Security Monitoring
Hà Nội, 1 - 2024
Nhóm sinh viên thực hiện:
Lê Duy Chung 2020368
Trang 2CÁC CỤM TỪ VIẾT TẮT SỬ DỤNG 4
MỞ ĐẦU 5
CHƯƠNG 1 GIỚI THIỆU CHUNG ĐỀ TÀI 7
1.1 Giới thiệu đề tài 7
1.2 Tính cấp thiết của đề tài 9
1.3 Mục tiêu nghiên cứu 10
1.4 Nội dung nghiên cứu 10
1.5 Phạm vi nghiên cứu 11
CHƯƠNG 2 KIẾN TRÚC GIẢI PHÁP SIEM 12
2.1 Mô hình kiến trúc hệ thống SOC 12
2.1.1 Giới thiệu cơ bản về hệ thống SOC 12
2.1.2 Mô hình triển khai của một hệ thống SOC 14
2.2 Mô hình kiến trúc hệ thống SIEM SIEM Netwitness 16
2.2.1 Tổng quan về NetWitness 16
2.2.2 Tổng quan về kiến trúc hệ thống SIEM SIEM Netwitness 17
2.2.3 Ưu và nhược điểm của giải pháp SIEM Netwitness 17
2.3 Thiết kế hệ thống SIEM 19
2.3.1 Kiến trúc tổng thể của hệ thống 19
2.3.2 Mô hình logic, luồng dữ liệu hệ thống 20
2.3.3 Các thành phần trong hệ thống SIEM 21
2.3.4 Yêu cầu phần cứng máy chủ 22
2.4 Sơ đồ luồng dữ liệu và yêu cầu kết nối 24
2.4.1 Yêu cầu kết nối từ SIEM server đến các thành phần khác 24
2.4.2 Yêu cầu kết nối từ Broker đến các thành phần khác: 26
2.4.3 Yêu cầu kết nối từ Concentrator đến các thành phần khác: 26
2.4.4 Yêu c u k t n i tầ ế ố ừ Decoder đến các thành ph n khác: ầ 27
2.4.5 Yêu cầu kết nối cần mở giữa ESA với các thành phần còn lại: 27
2.5 Tích hợp các nguồn log 28
2.5.1 Cấu hình lấy log các máy chủ Windows 28
Trang 32.5.2 Cấu hình lấy log các máy chủ Linux 37
CHƯƠNG 3 VM (Vulnability management) 38
3.1 Vulnerability Management là gì? 38
3.1.1 Vì sao phải quan tâm đến Vulnerability? 39
3.1.2 Nguyên nhân dẫn đến Vulnerability 40
3.2 Vulnerability Management platform 40
3.3 Quy trình quản lý lỗ hổng bảo mật (vulnerability management) 40
3.4 Architechtur 44
Yêu cầu hệ thống 46
1.1 Phầncứn 46g 1.2 Hệ điềuhành. 46
CHƯƠNG 4 Threat intelligence 49
4.1 Threat Intelligence là gì? 49
4.2 Sự cần thiết của Threat Intelligence 50
4.3 Các tiêu chí để phát hiện khi bị Compromise 52
CHƯƠNG 5 KẾT LUẬN 56
5.1 Đánh giá kết quả 56
5.2 Mặt hạn chế 57
5.3 Định hướng phát triển đề tài 58
5.4 Kết luận 58
TÀI LIỆU THAM KHẢO 59
Trang 4Response
Trang 5m ng; ho c c nhạ ặ ả ững hành động l i c a nhân viên trong tỗ ủ ổ chức.
Nếu không được đối phó kịp thời và hiệu quả, các mối đe dọa này có thể gây
ra nh ng thi t h i nghiêm tr ng cho các tữ ệ ạ ọ ổ chức và doanh nghiệp, như mất thông tin quan tr ng, ti n b c, hoọ ề ạ ặc ảnh hưởng đến danh ti ng và uy tín c a tế ủ ổ chức
Để đố i phó với các cu c tấn công mạng, m t số doanh nghi p và tộ ộ ệ ổ chức đã
đầu tư vào hệ th ng Security Operation Center (SOC) và Security Information and ốEvent Management (SIEM) SOC là m t trung tâm qu n lý an ninh m ng, cung cộ ả ạ ấp các gi i pháp b o m t tích hả ả ậ ợp để giảm thi u r i ro và giám sát các cu c t n công ể ủ ộ ấmạng Trong khi đó, SIEM là m t ph n mộ ầ ềm qu n lý s ả ự kiện an ninh mạng, cho phép các tổ chức giám sát và phân tích các thông tin liên quan đến an ninh m ng ạ
Trong b i c nh này, vi c tri n khai SOC và SIEM tr nên c c kố ả ệ ể ở ự ỳ quan tr ng ọ
đối với các doanh nghiệp và t chức để bảo vệ thông tin và dổ ữ liệu c a mình H ủ ệthống SOC và SIEM giúp định vị và phân tích các cuộc tấn công mạng, giúp các chuyên gia b o m t có th phát hiả ậ ể ện và ngăn chặn các hành vi tấn công mạng trước khi chúng gây h i cho hạ ệ thống
Trong đồ án tốt nghiệp này, em xin thực hiện đề tài: “Nghiên cứu Security Monitoring” Điều này giúp doanh nghi p và tệ ổ chức có th n m bể ắ ắt được tình hình
an ninh m ng c a mình mạ ủ ột cách chính xác và k p thời, t đó tăng cườị ừ ng khả năng phát hi n và ph n ệ ả ứng đố ới v i các mối đe dọa an ninh mạng Đồng th i, nghiên cờ ứu này cũng giúp cho các doanh nghi p và t ệ ổ chức hiểu rõ hơn về tầm quan tr ng c a an ọ ủ
Trang 6ninh mạng và cách để bảo vệ hệ thống thông tin c a mình R t mong nhủ ấ ận được s ự
nh n xét, góp ý c a thậ ủ ầy cô để kiến th c cứ ủa em được hoàn thiện hơn
Trang 7CHƯƠNG 1 GIỚI THIỆU CHUNG ĐỀ TÀI
1.1 Giới thiệu đề tài
Việc tăng cường an ninh mạng là cần thiết để bảo vệ thông tin quan trọng của các tổ chức và qu c gia Tuy nhiên, việc phòng ngố ừa và đối phó với các cu c tấn công mạng cần ộđòi hỏi sự chuyên môn cao và kh ả năng cập nhật công ngh và nhi u bi n pháp b o mệ ề ệ ả ật để
đảm bảo an toàn cho d liệu và thông tin cá nhân cữ ủa người dùng
Hình 1.1: Mô hình Defense in Depth
Trên đây là mô hình phòng thủ theo chiều sâu (Defense- -Depth) Phòng th có chiin ủ ều sâu giúp chúng ta b o v h ả ệ ệ thống m ng c a mình b t ch p m t ho c nhi u l p b o v bên ạ ủ ấ ấ ộ ặ ề ớ ả ệngoài b xâm h i M t hị ạ ộ ệ thống phòng thủ chỉ an toàn khi nào càng đi sâu vào bên trong,
k t n công càng gẻ ấ ặp ph i nhiả ều khó khăn, tốn nhi u công s c và d b phát hiề ứ ễ ị ện hơn Phần
dữ liệu quan tr ng mà các tin t c nhọ ặ ắm đến là mục tiêu cần bảo vệ, hệ th ng phòng th ố ủ
l p trong cùng s là data security (password, encryption, access control list), lớ ẽ ần lượt các layer sau s là: application security (tùy ng d ng mà có cách cẽ ứ ụ ấu hình đảm b o an toàn ả
Trang 8riêng), endpoint security (anti-virus, update management, OS hardening), network security (network-based IDS/IPS, VLAN-based network segmentation), perimeter network (firewall, router, VPN), physical (camera, lock, guard), policy/procedure/awareness (security policy, disaster recovery plan, security training)
Tuy nhiên không có b t kì l p b o vấ ớ ả ệ nào đủ ứ s c ch ng l i m i lo i t n công Trong ố ạ ọ ạ ấcác cu c t n công, ph n l n các hacker phát tri n và ti n hành các cu c t n công theo mộ ấ ầ ớ ể ế ộ ấ ột chuỗi các logic được gọi là Cyber Kill Chain
Hình 1.2: Mô hình Cyber Kill Chain
Vì vậy nên ta có thêm 2 y u t r t quan tr ng là Prevention (C&A, Penetration Testing, ế ố ấ ọRisk Management…) và Monitor& Response (NOC, SOC, SIEM…) để gia tăng khả năng phòng ngừa cũng như phát hiện kịp thời nh m b gãy chu i xâm nh p c a các attacker tính ằ ẻ ỗ ậ ủ
từ giai đoạn thu thập thông tin (reconnaissance) cho đến khi thực hiện đánh cắp dữ liệu (Actions on Objectives)
Một trong nh ng hữ ệ thống quan trong nh t trong chu i b o m t trên chính là hấ ỗ ả ậ ệ thống Security Operations Center (SOC) SOC là trung tâm điều hành bảo mật cho m t tộ ổ chức,
Trang 9có nhi m v giám sát và phát hi n các hoệ ụ ệ ạt động đáng ngờ, các mối đe dọa bảo mật và các cuộc tấn công mạng
1.2 Tính cấp thiết của đề tài
Trong những năm gần đây, tình hình an ninh mạng trên toàn cầu đang diễn ra vô cùng
ph c t p và nghiêm tr ng Các cu c t n công mứ ạ ọ ộ ấ ạng ngày càng tinh vi hơn, gây thiệt hại không ch vỉ ề mặt tài chính mà còn v danh tiếng và uy tín c a các tề ủ ổ chức và qu c gia ốMột trong nh ng cu c t n công mữ ộ ấ ạng l n nh t trong l ch s là cu c t n công WannaCry ớ ấ ị ử ộ ấvào năm 2017, khi mã độc WannaCry đã lan nhanh trên toàn cầu, tấn công hệ thống máy tính của hàng trăm nghìn t ổ chức tại hơn 150 quốc gia Cu c tộ ấn công này đã làm cho nhiều công ty l n, b nh vi n và t ớ ệ ệ ổ chức chính ph ph i ng ng hoủ ả ừ ạt động và gây thi t h i tài chính ệ ạ
l n ớ
Một cu c t n công m ng gộ ấ ạ ần đây khác là cuộ ấn công vào Facebook vào năm 2021, c tkhi thông tin cá nhân của hơn 533 triệu người dùng đã bị đánh cắp và phổ biến trên mạng Điều này đã gây ra lo ngại lớn về bảo mật thông tin cá nhân và đặt ra câu hỏi về khả năng
b o v dả ệ ữ liệu c a các công ty công ngh l n ủ ệ ớ
Ở Việt Nam, vào tháng 7 năm 2020, cuộc tấn công mạng vào Viettel Telecom đã gây
ra sự chú ý đáng kể Các hacker đã tấn công vào hệ thống quản lý tài kho n c a Viettel, ả ủ
lấy đi thông tin cá nhân của hơn 7 triệu khách hàng và đưa lên một trang web bán hàng trực tuyến Đây là một trong nh ng cu c t n công m ng l n nh t và nguy hi m nh t tữ ộ ấ ạ ớ ấ ể ấ ại Việt Nam trong năm 2020
Với sự gia tăng không ngừng của các cuộc tấn công mạng, các tổ chức c n có m t h ầ ộ ệthống bảo mật toàn diện để giảm thi u thi t hể ệ ại và đảm bảo an toàn cho dữ liệu và thông tin c a h Hủ ọ ệ thống SOC-SIEM được xem là m t gi i pháp hi u quộ ả ệ ả để đáp ứng nhu cầu
b o mả ật thông tin c a các tủ ổ chức, đặc biệt là các tổ chức có quy mô l n và phớ ải đối mặt
v i nhi u mớ ề ối đe dọa b o mả ật
Trang 10Hệ thống SIEM thu th p d ậ ữ liệu t nhi u ngu n khác nhau trên h ừ ề ồ ệ thống m ng và phân ạtích các sự kiện b o m t Khi hả ậ ệ thống SIEM phát hi n m t mệ ộ ối đe dọa b o m t, nó s t o ả ậ ẽ ạ
ra m t c nh báo và gộ ả ửi thông tin đến hệ thống SOC để ử x lý Hệ thống SOC sẽ tiếp nhận cảnh báo này và th c hiự ện các bước đối phó, bao g m giám sát, phân tích và kh c ph c s ồ ắ ụ ự
cố
Mối liên hệ giữa hệ thống SOC và SIEM giúp cung c p cho tấ ổ chức m t hộ ệ thống b o ả
m t toàn di n, giúp tậ ệ ổ chức phát hi n, phòng ngệ ừa và đối phó v i các mớ ối đe dọa b o mả ật
m t cách nhanh chóng và hi u quộ ệ ả Nó cũng giúp giảm thiểu thi t h i do các cu c t n công ệ ạ ộ ấmạng và đảm bảo an toàn cho hệ thống mạng c a tủ ổ chức Nh n th y t m quan tr ng cậ ấ ầ ọ ủa SIEM trong vi c giám sát an ninh mệ ạng nên em đã quyết định chọn đề tài: “Nghiên cứu Security Monitoring” để làm
1.3 Mục tiêu nghiên cứu
Từ nh ng phân tích trên, M c tiêu cữ ở ụ ần đạt được của Đề tài là:
Nắm được mô hình ki n trúc c a SIEM s d ng SIEM ế ủ ử ụ Netwitness
Xây d ng m t hự ộ ệ thống SIEM SIEM Netwitness hoàn chỉnh
Thu th p dậ ữ liệu t các ngu n c n giám sát (log source) ừ ồ ầ
Tích h p hợ ệ thống SIEM v hề ệ thống SOC để giám sát
Ngoài ra, m c tiêu quan tr ng cụ ọ ần đạt được là ph i hoàn thiả ện Báo cáo Đồ án tốt nghiệp theo đúng thời gian, đầy đủ ội dung và trình bày theo quy đị n nh
1.4 Nội dung nghiên cứu
Trên cơ sở mục tiêu đã đặt ra, để có thể hoàn thiện được những mục tiêu đó, em sẽ tập trung vào các n i dung nghiên c u sau: ộ ứ
Nghiên c u mô hình ki n trúc c a SIEM s d ng SIEM ứ ế ủ ử ụ Netwitness
Nghiên c u xây d ng và v n hành hứ ự ậ ệ thống
Đưa ra được sizing, yêu cầu ươc tính của hệ thống, và c u hình storage ấ
Trang 11Thu th p các nh t kí sậ ậ ự kiện (event log) t các log source ừ
Khảo sát toàn b hộ ệ thống để tìm ra lo i log c n thu thạ ầ ập để giám sát Tìm hi u cách c u hình l y log c a Windows Server ể ấ ấ ủ
Tìm hi u cách c u hình l y log c a Linux ể ấ ấ ủ
Tìm hi u cách c u hình l y log c a các thi t b b o m t, thi t b an toàn thông ể ấ ấ ủ ế ị ả ậ ế ịtin
Làm việc trên môi trường o hóa l n vả ẫ ật lí
Nắm được cách vận hành của một hệ th ng Domain Controler ố
Nắm được mô hình kết nối mạng site to site để tích hợp về hệ thống SOC giám sát
1.5 Phạm vi nghiên cứu
Các kiến thức và tài liệu được cung cấp bởi hãng SIEM Netwitness
Nghiên cứu các kiến thức theo chứng chỉ: MCSA, LPI 1, LPI 2
Nghiên cứu cấu trúc mạng, đường truyền (network)
Khi đi vào dự án thực tiễn trong môi trường Product, khảo sát hệ thống khách hàng, các phòng ban, các site
Trang 12CHƯƠNG 2 KIẾN TRÚC GIẢI PHÁP SIEM
2.1 Mô hình kiến trúc hệ thống SOC
2.1.1 Giới thiệu cơ bản về hệ thống SOC
- SOC là hệ thống cần thiết, hỗ trợ tích cực cho đơn vị trong việc giám sát và nâng cao trạng thái an ninh mạng, an toàn thông tin cho toàn bộ hệ thống mạng nghiệp
vụ, sẵn sàng ứng phó với các sự cố có thể xảy ra
Hình 2-1: Mô tả các chức năng hệ thống SOC
- Xây dựng hệ thống SOC là tổng hợp của 3 thành phần: Công nghệ, quy trình, con người
Giám sát, phát hiệnsựcố Thu thập thông tin, sựkiệnbảo
mật
Trang 13Red Team: Nhóm chuyên sâu về tấn công mạng
Blue Team: Nhóm chuyên sâu về phòng thủ, giám sát và điều tra số Purple Team: Nhóm nghiên cứu, phát triển, tinh chỉnh các tập luật nhằm phát hiện các hành vi bất thường, các kỹ thuật tấn công mạng
Malware Team: Nhóm chuyên sâu về phân tích mã độc
Threat Intelligence Team: Nhóm phân tích, “săn” các mối đe dọa an ninh mạng mới
System Team: Nhóm triển khai, quản trị, vận hành hệ thống
Hình 2-2: Thành phần các Team tham gia vào xây dựng hệ thống SOC
2 Về quy trình
Hệ thống SOC xây d ng quy trình x lý công viự ử ệc được theo t ng l p sau: ừ ớ Tier 1: Giám sát, theo dõi cảnh báo Tạo tickets và loại bỏ cảnh báo sai Tier 2: Tiến hành điều tra sâu về vự cố
Tier 3: Điều tra ứng phó sự cố, phân tích mã độc và điều tra số chuyên sâu Tier 4: Quản lý, điều phối chung các Tier (Soc Manager)
Trang 14Hình 2-3: Quy trình điều hành hệ thống SOC
3 Về công nghệ
Căn cứ quyết định số 1356/QĐ-BTTT quy định tiêu chí về công ngh và tùy theo ệ
hi n tr ng h t ng b o mệ ạ ạ ầ ả ật c a t ng doanh nghi p, các thành phủ ừ ệ ần cơ bản và nâng cao trong
hệ thống SOC bao gồm:
SIEM: sản phẩm quản lý và phân tích sự kiện an toàn thông tin
SOAR: sản phẩm điều phối, tự động hóa và phản ứng an toàn thông tin
Anti-Virus-sản phẩm phòng chống mã độc
WAF: tường lửa ứng dụng web
Threat Intelligence Platcform: nền tảng tri thức mối đe dọa an toàn thông tin
VM (Vulnerability Management): quản lý lỗ hổng bảo mật
2.1.2 Mô hình triển khai của một hệ thống SOC
Mô hình Distributed Model và Centralized Model là hai ki u t ể ổ chức hoạt động của
m t d ch vộ ị ụ SOC (Security Operations Center), đây là hai cách tiếp c n khác nhau trong ậviệc tổ chức và qu n lý các hoả ạt động b o m t thông tin c a m t tả ậ ủ ộ ổ chức
Trang 151 Mô hình Distributed Model
Hình 2-4: Mô hình Distributed Model Trong mô hình này, các chức năng của SOC được phân tán và phát tri n t i các v ể ạ ịtrí địa lý khác nhau trong tổ chức Các đội SOC có thể được đặ ại các văn phòng hoặc t ttrung tâm dữ liệu c a tủ ừng địa điểm ho c chi nhánh c a tặ ủ ổ chức Các đội SOC này có th ểđảm nhiệm vai trò giám sát, phát hi n, phân tích và gi i quy t các s c b o m t c c bệ ả ế ự ố ả ậ ụ ộ Các dữ liệu và thông tin liên quan đến an ninh từ các địa điểm phân tán này có thể được
t ng h p và phân tích t i mổ ợ ạ ột trung tâm SOC trung tâm hoặc trung tâm điều hành t ng th ổ ể
Mô hình này s ẽ thường được áp dụng trong các đối tượng là t ổ chức nhiều văn phòng hoặc địa điểm địa lý khác nhau, thường ph ổ biến trong các t ổ chức đa quốc gia hoặc đa văn phòng Ho c tặ ổ chức có mô hình phân tán hoặc đa nguồn dữ liệu: Trong các tổ chứ ớn c l
v i nhi u ngu n d ớ ề ồ ữ liệu khác nhau, ch ng h n t các thi t b mẳ ạ ừ ế ị ạng, h ệ thống máy chủ, ứng
d ng, d ch vụ ị ụ đám mây, thiế ị di đột b ng, etc
Trong mộ ố ổt s t ch c, việc duy trì và vận hành m t SOC trung tâm hoàn ch nh có ứ ộ ỉthể không kh thi v m t tài nguyên V i vai trò là m t tả ề ặ ớ ộ ổ chức chuyên cung c p d ch v ấ ị ụSOC, mô hình này có thể giải quyết được vấn đề về ngu n l c và tài nguyên c a tồ ự ủ ổ chức cần triển khai SOC
Trang 162 Mô hình Centralized Model
Hình 2-5: Mô hình Centralized Model Trong mô hình này, t t cấ ả các chức năng của SOC đượ ậc t p trung và hoạt động tại
m t trung tâm SOC duy nh t Các hoộ ấ ạt động giám sát, phát hi n, phân tích và gi i quyệ ả ết
s c b o mự ố ả ật đều được th c hi n t i trung tâm SOC này Các dự ệ ạ ữ liệu và thông tin an ninh
t các nguừ ồn khác nhau đượ ổc t ng h p và phân tích t i trung tâm SOC, và các hoợ ạ ạt động
ph n ả ứng cũng được th c hi n tự ệ ừ đó
Đối tượng giám sát ch y u là m t hủ ế ộ ệ thống duy nh t Trong m t sấ ộ ố trường h p, t ợ ổ
chức có nhu cầu giám sát và bảo vệ chủ yếu cho một hệ thống hoặc ứng dụng đặc biệt chẳng h n hạ ệ thống thanh toán tr c tuyự ến hay cơ sở ữ liệ d u khách hàng, thay vì toàn b ộ