Khóa luận tốt nghiệp An toàn thông tin: Phương pháp điều phối, tự động hoá và phản ứng bảo mật để giảm thiểu các mối đe dọa cho hệ thống mạng

Vì thé, dé giảm gánh nặng cho các nhóm vận hành bao mật, trong khóa luận nay,tác giả hướng tới việc nghiên cứu, xây dựng một giải pháp có thể thực hiện việc phảnứng với các sự cô an toàn

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYÈN THÔNG

NGUYÊN DUY THANH - 19522235

KHÓA LUẬN TÓT NGHIỆP

PHƯƠNG PHAP DIEU PHÓI, TỰ ĐỘNG HOÁ VÀ PHAN UNG BAO MAT DE GIẢM THIEU CAC MOI DE DOA

CHO HE THONG MANG

A METHOD OF SECURITY ORCHESTRATION, AUTOMATION, AND RESPONSE FOR MITIGATING

THREATS TO NETWORK SYSTEMS

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN THS DO HOANG HIEN

TP HO CHi MINH, 2023

LOI CAM ON

Lời đầu tiên, tác giả xin gửi lời cảm ơn đến Ban giám hiệu Trường Dai học Công

nghệ thông tin — Dai học Quốc gia Thành phố Hồ Chí Minh vi đã tạo điều kiện học tập, môi trường nghiên cứu tốt nhất dé tác giả có thé hoàn thành khoá luận này Cảm

ơn quý thầy cô tại trường nói chung và Khoa Mạng máy tính và Truyền thông nói

riêng vì đã cung cấp cho tác giả những kiến thức bé ích, chuyên môn, những kĩ năng

quan trọng, thiết yêu và những kinh nghiệm thực tế quý báu mà tác giả đã được tích luỹ trong quá trình ngồi trên giảng đường đại học.

Lời thứ hai, tác giả xin gửi lời cảm ơn chân thành và sâu sắc đến ThS Đỗ Hoàng

Hiển, giảng viên hướng dẫn đã đồng hành, tận tâm hướng dẫn tác giả trong suốt thời gian qua dé hoàn thành khoá luận này Cảm ơn thay đã luôn động viên và giúp đỡ về

cả kiến thức chuyên môn lẫn tinh thần dé giúp tác giả vượt qua những khó khăn trong

quá trình thực hiện khoá luận Ngoài ra, tác giả xin được gửi lời cảm ơn đến các thầy

cô và anh chị đang công tác tại Phòng thí nghiệm An toàn thông tin — Inseclab vì đã

tạo điều kiện về cơ sở vật chất với hệ thông máy chủ hiện đại.

Va lời cuối cùng, do kiến thức chuyên môn và kinh nghiệm thực tiễn còn nhiều hạn

chế nên sẽ không tránh khỏi việc khoá luận có những thiếu sót Tác giả rất mong nhận được nhận xét, ý kiến đóng góp, phê bình từ quý thầy cô trong hội đồng đề khoá luận

hoàn thiện hơn.

Tác giả thực hiện

MỤC LỤC

TÓM TAT KHÓA LUẬN -22-:¿£2222222222++22222221322222222111112 21221111 re 1

Chương 1 TÔNG QUAN DE TAL on ssecssssssessssssssessssssesssssuseessssssecesssecsesssieesessseess 2 1.1 Lí do chọn đề tài -222222cc+2222222222ttEEEEEEEErrrrrrrrrrkrrrrrrrrrrrrrrrrrrree 2

1.2 Phương pháp nghiên CỨU - - St +E + #tEEEvkeEEkekekrkrkrrrrrekserkrkree 3

1.3 Mục tiêu nghiên cứu

1.4 Phạm vi và đối tượng nghiên cứu - -c+222++++22vv+rrerrxxrrrsrrrecree 4 1.5 Cấu trúc của Khoá luận tốt nghiệp

Chương2 KIEN THỨC NEN TẢNG -ccccc++222cvvvvvcrrrrrrrrrrrrcee 6 2.1 Điều phối, Tự động hoá, và Phản ứng bảo mật

2.2.3 Snort— công cụ IDS mã nguồn mở -z++22+sz+22z+scee 17

2.3 Quản lý sự kiện va thông tin bảo mậật ¿- «65+ s*s*eexexrxrxrkree 23

2.3.1 ELK Stack — hệ thống thu thâp và quản lí log mã nguồn mở 24

24 TuOng nh 26

2.4.1 Iptables — tường lửa mặc định trên các hệ điều hành Linux 26

2.5 Các nghiên cứu liên quan - ¿+ + SE 11x11 rưy 29

Chương 3 PHAN TÍCH THIET KE HE THONG -:-¿ 33 3.1 Kiến trúc tổng quam o ssessecccsssssssseessccessssnesesececssnsneesscecessnnieessecessnnneeeeees 33

3.2.1 — IDS 2.2 02H HH HH HH 12 1 eereree 35

3.2.2 — SIEM 2.22 HH Hee 36 3.2.3 SOAR Q.2 HH HH2 re 37

3.2.4 Firewall] 0 1115“ 38

3.3 Luỗng hoạt động -:- + 2+S++EE+EEEEEEEEEEEEEE1211211211211 1171111111, 38Chương 4 HIỆN THỰC VA ĐÁNH GIA HỆ THONG - 41

AL Him ture se 41

4.1.1 Mô hình thực nghiỆm - - - - 5 2 S1 +31 E SE SEEESEskekkkeekrsee 41

4.1.2 Môi trường thực nghiệm - - 51x seeseeeersessre 42

4.1.3 Cai đặt và cau hình các l0 51011 43

4.2 Đánh gIá Ăn HH TH TH HH TT HT TH HH Hà HT kh 51

4.2.1 Kịch bản kiểm thử mô hình 2 ©2++++z+£x+ezxe+rxezrxeee 51

4.2.2 Thời gian phản hồi của hệ thống -: -¿-¿©++cs++zx+cseex 57

4.2.3 Tha luận -22- 2+ 2+2 EEEEEEEEEEEEEEErkrrkrrrres 60

Chương 5 KÉT LUẬN VÀ HƯỚNG PHÁT TRIÉN - ¿52-52 61

5.1 Két QUA t8 21 4 61

5.2 Kết luận 2k2 E222 12211271121121121112112211111 111.1 eree 61

5.3 Hướng phát triỀn - - + E+SE+EE+EE+EEEEEEEEEEEEEEE12112112117111 1111 c0 62TÀI LIEU THAM KHẢO 2 St S23 EEEESESEEEE2EEEEEESEEEEE2E1E1121511115EE.EEcxE 64

DANH MỤC HÌNH

Hình 2.1: Biểu đồ Venn thể hiện các thành phan của hệ thống SOAR [4] 10

Hình 2.2: Hình ảnh minh hoa Workflow của Shuffle - 55255 <<<<<c<<<<s+ 12

Hình 2.3: Hình minh hoa vi trí của IDS trong một hệ thong mạng 14Hình 2.4: Minh hoạ về cách Signature-based phát hiện một cuộc tấn công [8] 15Hình 2.5: Hình ảnh minh họa NIDS ở chế độ Inline [9] .2 -¿- ¿522552 17Hình 2.6: Hình ảnh minh họa NIDS ở chế độ Passive [9] sccc<csscces 17

Hình 2.7: Kiến trúc Snort thể hiện qua vòng đời gói tin - 2: 5 sec s2 18

Hình 2.8: Cau trúc của một rule [8] c¿-+++2+++t+c++ttttxxvrsrtrtrrrrrrrrrrrkrrrre 22

Hình 2.9: Mô hình hoạt động của ELK SfaCK - - 5 + + +EEseeeerssrree 25

Hình 2.10: Hình ảnh minh họa các thành phan của Iptables [12] -. - 27Hình 2.11: Ý tưởng xây dựng hệ thông SOAR của nhóm tác giả Jay Johnson 30

Hình 2.12: Hệ thong SOAR nhóm tác gia Jay Johnson xây dựng 31 Hình 3.1: Mô hình tổng quan của hệ thống 2 2 5 £+££+££+E££Ee£Eerxerxerxree 34

Hình 3.2: Minh hoạ một log của IDS khi phát hiện một cuộc tấn công DoS 36Hình 3.3: Minh hoạ một log của IDS khi được chuẩn hoá nhờ SIEM 37Hình 3.4: Luéng hoạt động của mô hình tác giả xây dựng -. - ¿s2 40

Hình 4.1: Mô hình thực nghiệm của giải pháp - 55 < + s+ssessseseeers 41

Hình 4.2: Cấu hình máy Eirewall + + 2+ E218 XE EEE12E121121121 1111111 xe 44

Hình 4.3: Cấu hình định dạng cho log của SnOrt 5-2 2 2+s2+s+x+zx+z+zszse2 45

Hình 4.4: Cau hình Filebeat - ảnh l -¿ 2-©5¿©52+2++EEt£E2EESEEeEkerkerreerkerkcres 45Hình 4.5: Cau hình Filebeat - ảnh 2 -¿ ++22+vttSEEvtttExttrrrtrtrrrrrtrrrrrkrrrre 46Hình 4.6: Cau hình Logstash - 2-52 5£ 2S£‡2E22EE2EEE2E12711221 2112211221211 crk 41

Hình 4.7: Tao Rules cho KTibana - << 1311221111 11111 9811111111 8521111 key, 48

Hình 4.8: Tao Connectors cho Kibana + << 1 33222 EEESsskeeeerzse 48

Hình 4.9: Luéng hoạt động của Workflow tác giả xây dựng cho Shuffle 49Hình 4.10: Workflow thực tế tác giả xây dựng trên Shuffle 2- 2-52 52 50Hình 4.11: Attacker thực hiện tan công bằng hping3 2 ¿5¿©5+cs+ 51

Hình 4.12: Snort phát cảnh báo va ghi ÏOg .- <6 SE re 52

Kibana thống kê log thu thập được từ Snort : -+ 52

Rule được kích hoạt do tương thích với quy tắc đặt ra - 53

SOAR thực hiện remote và viết rule cho Tptables 53 Rule xuat hién trén Iptables

Hình ảnh chứng minh cuộc tan công bi ngăn chặn - 54

Hình ảnh ding công cụ msfconsole đề thực hiện tan công thực thi mã từ

— 55

Hình ảnh IDS thực hiện ghi log 5-5-5 55 5<5c+t+cscersrcee 55

SOAR thực hiện viết remote và viết rule cho Snort - - 56

Hình ảnh chứng minh cuộc tân công bị ngăn chặn 56

DANH MỤC BANG

Bảng 4.1: Bảng thông tin cầu hình các máy ảo cài đặt các công cụ - 42

Bảng 4.2: Bang thông tin về VM Network của VmWare Workstation - 43

Bảng 4.3: Bang thông tin về địa chi của các card mang của MAY ảo - 43

Bang 4.4: Bảng thống kê kết quả khi thực hiện tắn công DoS 58

Bảng 4.5: Bảng thống kê kết quả khi thực hiện tấn công thực thi mã từ xa 59

DANH MỤC TU VIET TAT

Security Orchestration, Automation, and Response

Security Operations Center Chief Information Security Officer Confidentiality, Integrity, Availability

An toàn thông tin

An ninh mang

Công nghệ thông tin

Local Area Network

Intrusion Detection System Network-based IDS

Security Information and Event Management

DANH MỤC TỪ TẠM DỊCH

Security Orchestration, Automation, Phương pháp điều phối, tự động hoá, và

and Response phản ứng bảo mật

Intrusion Detection System Hệ thống phát hiện xâm nhập

Security Information and Event :

Quan ly su kién va thong tin bao mat

Management

Firewall Tường lửa

Local Area Network Mạng nội bộ

TÓM TAT KHÓA LUẬN

Công nghệ thông tin đang ngày càng được ứng dụng vào mọi mặt trong đời sống Các

cá nhân, tổ chức và doanh nghiệp ứng dụng công nghệ thông tin vào cơ sở hạ tang,

hệ thống của họ đề phục vụ về nhu cầu sản xuất và tiêu dùng Và tất nhiên, cùng vớiviệc công nghệ thông tin phát triển và được ứng dụng rộng rãi đó là việc các cá nhân,

tổ chức hoặc doanh nghiệp trở thành mục tiêu cho các cuộc tan công dé đánh cắp

hoặc phá hoại thông tin.

Việc giải quyết các van dé về an toàn thông tin là một việc khan cấp nhưng lại tốnnhiều thời gian Các tô chức và doanh nghiệp lớn thường sẽ tự xây dựng hệ thống an

ninh mạng của riêng họ và sẽ có một nhóm vận hành bảo mật giám sát và vận hành

hệ thống này Tuy vậy, với số lượng và quy mô của các cuộc tấn công mạng hiện nay,

việc này gây áp lực lớn về nhân lực và khối lượng công việc cho nhóm vận hành bảomật Vì thé, dé giảm gánh nặng cho các nhóm vận hành bao mật, trong khóa luận nay,tác giả hướng tới việc nghiên cứu, xây dựng một giải pháp có thể thực hiện việc phảnứng với các sự cô an toàn thông tin một cách tự động Tác giả áp dụng, kết hợpphương pháp điều phối, tự động hóa và phản ứng bảo mật, hệ thống phát hiện xâm

nhập cùng một số công cụ bảo mật khác thành một giải pháp nhăm mục đích giảm

thiểu các mối đe dọa cho hệ thống mạng Trong khóa luận này, tác giả thực hiện xâydựng và kiểm thử giải pháp đề xuất Cuối cùng là đánh giá khả năng của nó trongviệc ngăn chặn các cuộc tấn công mạng và đề xuất hướng mở rộng, tăng cường khảnăng của giải pháp dé có thé phát triển giải pháp hơn nữa trong tương lai

Chương 1 TONG QUAN DE TÀI

Tom tat chuong

Trong chương nay, tac giả trình bay về tinh cần thiết trong việc áp dung phương pháp điều phối, tự động hóa và phản ứng bảo mật đề giảm thiểu mối đe dọa cho hệ thống

mạng, giảm gánh nặng cho nhóm vận hành bảo mật, cũng chính là lí do tác giả chọn

dé tài Thêm vào đó là đưa ra mục tiêu, phạm vi nghiên cứu, cũng như cấu trúc của

khóa luận.

1.1 Lido chọn đề tài

Ngày nay, khi công nghệ thông tin đang được áp dụng ở tất cả các ngành nghề, thì

nhu cầu bảo mật thông tin ngày càng cao Các mối de doa đến hệ thống mạng ngày

càng tỉnh vi và khó xác định Tính đến năm 2021, có 4,66 tỷ người trên toàn thế giới

đang sử dụng Internet tích cực [I] và chi 57,7 ti dolla đã được chi trên toàn thế giới cho an ninh mạng [2] Các tô chức và các ngành cung cấp dịch vụ trực tuyến, có mạng

lưới rộng lớn dé xử lí cơ sở dữ liệu người dùng đông dao của họ, là một trong những mục tiêu của những cuộc tấn công mạng Các tổ chức cũng đang cố gắng bảo vệ cơ

sở hạ tầng của họ và phát triển để giảm thiểu và ngăn chặn các cuộc tấn công mạng

này Có rất nhiều giải pháp dé giúp giảm thiểu các rủi ro về an toàn thông tin như tường lửa (Firewall), hệ thống phát hiện/ ngăn chặn xâm nhập (IDS/ IPS), hệ thông

quản lý sự kiện và thông tin bảo mật (SIEM), tuy nhiên, khả năng của các giải

pháp này không phải là vô hạn Các giải pháp được nêu trên không thé phát hiện các

cuộc tấn công mới, dẫn đến các kẻ tắn công có cơ hội xâm nhập vào hệ thống mạng.

Các hệ thống phòng thủ này luôn cần được cập nhật, cầu hình lại mỗi khi có một cuộc tấn công mới/ zero-day Ví dụ: những giám sát viên an ninh mạng sẽ cần cập nhật lại

các rule của Firewall, IDS, IPS cần được cập nhật và các mô hình máy học sẽ cần

được đào tạo lại Để giải quyết vấn đề này, ta cần theo dõi và liên tục cập nhật về các

mối đe doạ, vì thế ta sẽ cần tìm một giải pháp thích hợp Các hệ thống điều phối, tự

động hoá và phản ứng bảo mật (Security Orchestration, Automation, Response —

SOAR) sẽ giúp ta giảm thiêu những rủi ro này vì chúng là tập hợp các giải pháp và

Chương 1 TONG QUAN ĐỀ TÀI

công cụ phần mềm bảo mật đề thu thập dữ liệu từ nhiều nguồn khác nhau Các hệ

thống SOAR cho phép các tổ chức thu thập thông tin đầu vào và được giám sát bởi

nhóm vận hành bảo mật (nhóm SOC).

Vấn đề hiện nay của các nhóm vận hành bảo mật là ho dang gặp phải tình trang quá

tải về khối lượng công việc Như tác giả đã đề cập phía trên, các giải pháp bảo mật truyền thống chỉ giải quyết được những van đề đã biết trước, và các nhóm vận hành

phải luôn cập nhật lại rule cho các Firewall, IDS, IPS hay phải thường xuyên cập nhật

database cho anti-virus, Việc này làm tốn nhiều thời gian của họ và không cải

thiện được quá nhiều về hiệu quả trong việc bảo vệ hệ thống khỏi các cuộc tấn công,

và cũng dồng thời họ sẽ không có thời gian sẽ phân tích, tìm cách giải quyết các vấn

đề tiềm tàng hơn như các cuộc tấn công zero-day hay những lỗ hỏng chưa được phát

hiện Chính vì lí do này, trong khóa luận này, tác giả mong muốn hướng đến nghiên cứu, xây dựng một giải pháp có thể kết hợp giải pháp điều phối, tự động hóa, và phản

ứng bảo mật với các công cụ bảo mật khác như IDS, Firewall, để làm giảm thiểu

các mối nguy hại cho hệ thống mạng, gop phần làm giảm áp lực cho các nhóm vận

hành bảo mật.

1.2 Phương pháp nghiên cứu

Tác giả nghiên cứu về giải pháp điều phối, tự động hóa và phản ứng bảo mật (SOAR),

đồng thời nghiên cứu thêm về các công cụ bảo mật khác Sau đó, tác giả tìm cách kết

hợp giải pháp SOAR với các công cụ bảo mật để có thể trở thành một hệ thống hoạt

động một cách tự động, với trung tâm là SOAR, sẽ thực hiện phản ứng với các mối

nguy cho hệ thống mạng và IDS, thực hiện quan sát và phát hiện khi có sự kiện gây nguy hại tới hệ thống Bên cạnh đó, tác giả tiền hành triển khai và đánh giá giải pháp

mà tác giả đưa ra để xem hiệu suất và khả năng, từ đó đưa ra hướng phát triển tiếp

tục cho tương lai.

Chương 1 TÔNG QUAN PE TÀI

1.3 Mục tiêu nghiên cứu

Khóa luận của tác giả gôm các mục tiêu như sau:

- Tìm hiểu về giải pháp điều phối, tự động hóa và phản ứng bảo mật (Security

Orchestration, Automation and Response — SOAR).

- Thiét kế một giải pháp điều phối, tự động hóa va phản ứng bảo mật kết hop với

hệ thống IDS giảm thiểu các mối đe dọa cho hệ thống

- _ Triển khai giải pháp điều phối, tự động hóa và phản ứng bảo mật kết hợp với hệ

thống phát hiện xâm nhập ta đã thiết kế

- _ Thực hiện đánh giá hệ thống và đưa ra kết luận cho hệ thống triển khai

1.4 Phạm vi và đối tượng nghiên cứu

Tác giả thực hiện tìm hiểu và xây dựng giải pháp dựa trên các công cụ là Shuffle,

Snort, ELK Stack và Iptables Giải pháp hoạt động dựa trên việc Snort phát hiện ra

các môi đe dọa đang xảy ra cho hệ thống mang, ELK Stack thực hiên chuẩn hóa cáclog của Snort, phân tích và báo cáo về cuộc tấn công, gửi thông tin về cuộc tấn côngcho SOAR, Shuffle là công cụ SOAR sẽ thực hiện phản ứng với cuộc tấn công vàđiều phối Iptables ngăn chặn cuộc tấn công Ngoài ra, tác giả còn kiểm thử giải pháp

của tác giả hoạt động trên những môi trường chứa lỗ hỏng, như là Metasploitable2.

1.5 Cấu trúc của Khoá luận tốt nghiệp

Khóa luận của tác giả được tô chức trong 6 chương như sau:

e_ Chương 1: TONG QUAN DE TÀI

Trong chương nay, tác giả trình bày khái quát định hướng nghiên cứu ma tác gia muôn hướng tới.

e_ Chương 2: KIÊN THỨC NEN TANG

Chương 1 TÔNG QUAN PE TÀI

Trong chương này, tác giả trình bày khái niệm và các kiến thức nền tảng về cácgiải pháp bao mật dé có thé thực hiện được nghiên cứu Đồng thời, tác giả cũng

trình bày sơ lược một sô công trình liên quan có cùng hướng nghiên cứu.

e Chương 3: PHAN TÍCH THIET KE HỆ THONG

Chương nay là phan trong tâm của khóa luận, tại chương này tác giả trình baynhững nội dung chính về phương pháp thực hiện; các công cụ và giải pháp bảomật được tác giả sử dụng; mô hình, luồng hoạt động của giải pháp mà tác giả xây

dựng.

e Chương 4: HIỆN THỰC VÀ DANH GIÁ HỆ THONG

Tại chương này, tác giả trình bày về quá trình tác giả sẽ hiện thực hóa những gìtác giả đã đề ra trong Chương 3 Sau đó, trình bày phương pháp thực nghiêm vàđánh giá kết quả thực nghiệm

e_ Chương 5: KET LUẬN VÀ HƯỚNG PHAT TRIÊN

Tại chương cuối cùng nay, tác giả tong kết về kết quả đạt được khi thực hiện khóaluận, đưa ra kết luận, đánh giá ưu, nhược điểm của về mô hình, đưa ra một sốhướng phát triển đề tiếp tục nghiên cứu trong tương lai

Chương2 KIÊN THỨC NEN TANG

các nghiên cứu trước đó.

2.1 Điều phối, Tự động hoá, và Phản ứng bảo mật

2.1.1 Tổng quan

Trong bối cảnh công nghệ thông tin (CNTT) ngày càng phát triển như hiện nay, tancông mang đang là một van đề nóng ở khắp moi nơi trên thế giới Các cuộc tan côngmang gia tăng cả về mặt hình thức, quy mô và mục dich tan công, các sự cô an ninhmạng (ANM) tăng đều qua các báo cáo hàng năm

Khi sô lượng các cuộc tân công mạng tăng cao, việc quá tải vê khôi lượng công việc đôi với những đội ngũ đảm nhận van dé an toàn thông tin cho môi doanh nghiệp cũng

tăng tỉ lệ thuận, chính vì lẽ đó mà có sự quá tải vê nguôn nhân lực trong chính ngành này và sự giảm sút vê mặt chat lượng công việc.

Cùng với đó, việc giám sát và phản ứng với các van đê ATTT của các nhóm phụ trách

vệ AT TT làm việc trên nhiêu các công cụ, giải pháp riêng lẻ cũng khiên cho các tô

chức, doanh nghiệp phải đối mặt với các thách thức như:

- _ Các công cụ, giải pháp hoạt động độc lập với nhau, thiếu sự gắn kết trong công

việc, dẫn đến việc có quá nhiều cảnh báo trùng lặp cho cùng một đối tượng hay

sự kiện.

- _ Thiếu tầm nhìn tong thé trong suốt quá trình giám sát và phản ứng

Chương 2 KIÊN THÚC NEN TANG

- Công việc có nhiều công đoạn xử lí thủ công, làm giảm chất lượng công việc

xuống.

- _ Việc thiếu hụt nhân sự có kỹ năng vận hành, làm chủ các công cụ

Với những thách thức nêu trên, những nhóm vận hành ATTT sẽ phải tìm kiếm một

giải pháp dé giải quyết về nhu cau tất yếu, đó là nâng cao quá trình vận hành và phản

ứng với các sự cố ATTT Và cũng vì thế, nhu cầu cho giải pháp Điều phối, Tự độnghoá, và Phản ứng bảo mật (tên tiếng anh là Security Orchestration, Automation, and

Response — SOAR) được sinh ra.

2.1.2 Định nghĩa

Phương pháp Điều phối, Tự động hoá, và Phản ứng bảo mật (SOAR) là một công cụcho phép một tổ chức thu thập dữ liệu về các mối de doa bảo mật và phản ứng với

các sự kiện bảo mật mà không có sự hỗ trợ của con người [3].

Theo Gartner định nghĩa, SOAR là một công cụ dé:

- Thu thập các dữ liệu va các cảnh báo về mối de doa bao mật va phan ứng bao mật

từ nhiều nguồn khác nhau

- inh nghĩa và tuân thủ theo một workflow tiêu chuẩn cho các hoạt động phan ứng

sự CỐ

- Mã hoá các phân tích sự cố va thủ tục phan ứng trong một định dang digital

workflow, cho phép một số hoặc tất cả phản ứng sự cố một cách tự động hoá

Cũng theo Gartner, ba khả năng quan trọng nhất của công nghệ SOAR là:

- Quan lí các mối đe doa và lỗ hỏng: Những công nghệ này hỗ trợ việc khắc phục

các lỗ hỏng bảo mật Chúng cung cấp các chức năng định dạng workflow, báo cáo

và phối hợp

- Phan ứng sự cố bảo mật: Những công nghệ này hỗ trợ cách lập một kế hoạch có

tô chức, quản lí, theo dõi và điều phối phản ứng cho một sự cố bảo mật là như thế

nào.

Chương 2 KIÊN THÚC NEN TANG

- Tu động hoá vận hành bảo mật: Các công nghệ nay hỗ trợ việc tự động hoá và

điều phối các workflows, tiến trình, chính sách thực thi và báo cáo

Các thành phần của SOAR

Orchestration (Điều phối)

Orchestration (Điều phối) là khả năng điều phối việc đưa ra quyết định, và tự độnghoá hành động phản ứng dựa trên một đánh giá về các rủi ro và trạng thái môi trường.Công cụ SOAR có thể làm điều đó bằng cách tích hợp với các giải pháp bảo mật kháctheo một cách nào đó rang là dé chúng thu thập data và cũng đồng thời thực hiện các

hành động chủ động.

SOAR cung cấp một giao diện chung, cho phép phân tích các hành động được địnhsẵn trên các công cụ bảo mật và các hệ thống công nghệ thông tin mà không cần

những chuyên gia thuộc những hệ thống đó hoặc API của họ.

Ví dụ về Orchestration: Xử lí một email đáng giờ

Automation (Tự động hoá)

Tự động hoá liên quan đến điều phối — nó là các hành động được thực hiện bằng máymóc nằm trên các công cụ bảo mật và các hệ thống IT, như là một phần của một phảnứng với một sự cô, các công cụ SOAR cho phép các nhóm bảo mật tự định ra các

bước tự động một cách tiêu chuẩn và một workflow về việc đưa ra quyết định, cùng

với việc thực thị, theo dõi trạng thái và kiểm tra các chức năng

Việc tự động hoá dựa trên các kịch bản bảo mật (security playbooks), thứ mà các

phân tích viên có thể lập trình bằng cách sử dụng một UI ảo hoặc bằng ngôn ngữ lập

trình như Python.

Ví dụ: Malware Playbook

Chương 2 KIÊN THÚC NEN TANG

Incident Response (Phản ứng sự cô)

Việc tiếp cận để giải quyết và quản lí sự cố bảo mật với một lần mỗi cảnh báo đã

được xác nhận, bao gôm phân loại, ngăn chặn, khắc phục và các hành động khác.

Ngày nay, nhiêu hành động như là cach li các tệp tin và vô hiệu hoá truy cập đên các

tài khoản bị tôn hại,đên một vài tên, được thực hiện một cách tự động, vì vậy các sự

cô mỗi lần được trình ra như một mối de doa thực có thé được giải quyêt một cách

nhanh chóng.

Ví dụ: chặn port trên Firewall

Tối ưu hoá bảng điều khiến và tự động báo cáo

Công cụ SOAR không chỉ có trách nhiệm cho việc điều phối và tự động phản ứngcác sự cố, mà còn có thể trở thành trung tâm đo lường cho các hoạt động của SOC

Báo cáo sự cô cụ thé: Lam nôi bật các chi tiệt sự cô và các bước thực hiện dé giải

quyêt vân đê.

Báo cáo theo mức độ phân tích trên các hoạt động bởi mỗi phân tích, như là số

lượng và phân loại của các sự có, thời gian trung bình dé phát hiện và phản ứng trên

mỗi phân tích,

Báo cáo quản lí SOC: Báo cáo dựa trên sô lượng các phân tích, sự lí các sự cô trên

mỗi phân tích, và thời giant rung bình có từng giai đoạn cụ thé của quá trình phan

ứng đôi với sự cô, đê nhận dạng được các sự kiện thắt cô chai.

Báo cáo theo mức độ CISO: Sắp xếp các rủi ro theo chỉ số IT đề thấy được tầm ảnhhưởng của các sự cố trong các hoạt động kinh doanh và các quy định; đo lường ảnh

hưởng băng cách quan sát MTTD (Mean time to detect) và MTTR (Mean time toresponse) qua toàn bộ tô chức, và giảm công việc thông qua tự động hoá

Chương 2 KIÊN THÚC NEN TANG

Security Orchestration

and Automation

Intelligence

Hình 2.1: Biéu đồ Venn thê hiện các thành phần của hệ thống SOAR [4]

2.1.3 Shuffle — Công cu SOAR mã nguồn mở

Một vấn đề đặt ra trong an ninh mạng, đó chính là làm sao để các công cụ và giải

pháp bảo mật hoạt động trơn tru và đồng nhất Các công cụ như tường lửa, hệ thốngphát hiện xâm nhập, hệ thong quan li su kiện và thông tin bao mật, trình anti-virus, đều có cách thức hoạt động, thu thập dữ liệu và lưu trữ dữ liệu khác nhau Công

việc của một quan tri viên an toàn thông tin là tích hợp các công cụ và giải pháp bảo

mật trên, dùng dữ liệu và thông tin chúng thu thập liên kết lại với nhau, khi đó các

công cụ tạo thành một hệ thống đồng nhất, hoạt động tuần tự Công việc này hết sức

khó khăn và yêu cầu phải xử lí dữ liệu liên tục, và vì thế họ luôn nghiên cứu và xây

dựng một giải pháp nhằm mục đích là trung tâm xử lí dữ liệu, kết hợp dữ liệu từ nhiều

nguon, diéu phối các công cụ thực hiện các công việc một cách tự động Đó là lí do

giải pháp điều phối, tự động hóa và phản ứng bảo mật được sinh ra

10

Chương 2 KIÊN THÚC NEN TANG

Shuffle là một giải pháp SOAR mã nguồn mở Nó được sinh ra nhằm mục đích phục

vụ cho việc tự động hóa truyền dữ liệu giữa các công cụ, giải pháp bảo mật mà khôngcần sự can thiệp của con người Vơi công cụ này, ta có thể xây dựng một chuỗi công

việc cho các công cụ trong hệ thống, vì vậy nhu cầu nhân lực dé vận hành sẽ giảm

xuống, và thời gian nhằm dé xây dựng một giải pháp hay một hệ thống bảo mật sẽgiảm đáng kể

Nguyên lí hoạt động của Shuffle

Shuffle làm việc thông qua kết hợp các App (Ứng dụng) tạo thành một Workflow(Luéng hoạt động)

Apps (Ứng dụng)

Shuffle có thể hoạt động được thông qua ứng dụng được tích hợp Các ứng dụng tíchhợp này được tạo ra thông qua OpenAPI [5] và các tiêu chuẩn WebAPI hiện có, vàđồng thời Shuffle còn cho phép các nhà phát triển tự tạo ra ứng dụng tích hợp thông

qua API.

Ngoài OpenAPI, Shuffle áp dụng phương pháp tích hợp và cau trúc của WALKOFF

[6], nghĩa là các ứng dụng của họ cũng hoạt động với Shuffle.

Workflow (Luéng hoạt động)

Workflow là một phần của Shuffle nơi mọi thứ kết hợp với nhau Sử dụng 3 thànhphần: Apps (Ứng dụng), Triggers (Trìm kích hoạt) và Variables (Biến), Shufflecung cấp cho ta khả năng truy cập vào tat cả các công cụ dé làm cho các công cụ cóthể giao tiếp với nhau

Một ví dụ về Luéng hoạt động của Shuffle được chụp như hình ảnh 2.2

lãi

Chương 2 KIÊN THÚC NEN TANG

TEST Hello World

Hello world variable

Hinh 2.2: Hinh anh minh hoa Workflow cua Shuffle

Ảnh 2.2 phía trên minh họa một Workflow của Shuffle Trong anh App là Hello

World, Trigger là Webhook, Variable là Hello word variable Trong App thì sé

có nhiều Action (Hành động), các hành động sẽ thực hiện công việc khác nhau, các

công việc này có thé thực hiện gọi Variable Variable là nơi lưu trữ dữ liệu, các công

cụ có thể lưu trữ dữ liệu vào đây, chúng được lưu trữ dưới định dạng JSON và các

công cụ khác có thé gọi Variable khi cần lấy dữ liệu trong quá trình Workflow chạy

12

Chương 2 KIÊN THÚC NEN TANG

Khi một hành động kích hoạt Trigger, như trong hình bên trên, nếu có một yêu cầu

được POST tới Webhook, Workflow trên sẽ thực thi một cách tự động Ngoài ra,

Workflow cũng có thê thực hiện thủ công theo ý muốn của quản trị viên

2.2 Hệ thống phát hiện xâm nhập

2.2.1 Dinh nghĩa

Theo NIST định nghĩa: “Intrusion — xâm nhập” là một hành vi cố gắng xâm phạm

CIA, hoặc qua mặt cơ chế bảo mật của một máy tính hoặc mạng máy tính [7|]

Các nguyên nhân có thể dẫn đến việc bị xâm nhập như:

- Doma độc

- C6ké tan công vào hệ thống mạng từ bên ngoài Internet

- Người dùng hợp lệ của hệ thống lợi dụng quyền hạn và cố chiếm thêm quyền

không được phép

Vậy định nghĩa cụ thé về một hệ thống phát hiện xâm nhập:

“Intrusion Detection” — phát hiện xâm nhập được định nghĩa là quy trình theo dõi

các sự kiện diễn ra trong một hệ thong máy tính hoặc mang máy tinh và liên tục phântích dé nhận biết các dau hiệu của một hành vi bat thường (hành vi xâm nhập)

“Intrusion Detection System (IDS)” — hệ thống phát hiện xâm nhập được địnhnghĩa là hệ thống phần mềm hoặc phần cứng có khả năng “tự động” thực hiện quy

trình phát hiện xâm nhập.

13

Chương 2 KIÊN THÚC NEN TANG

Intrusion Detection System

Hình 2.3: Hình minh hoa vi trí của IDS trong một hệ thống mạng

Trong khoá luận này, tác giả áp dung Signature-based IDS va Network-based IDS

nên tác giả sẽ giới thiệu sâu hơn vê 2 loại này.

14

Chương 2 KIÊN THÚC NEN TANG

Kĩ thuật phát hiện Signature-based

Signature, dịch từ tiếng Việt là chữ kí, nhưng ở trong trường hợp này nó là một mẫutương ứng với một loại tan công (cơ sở dữ liệu về các tan công đã biết)

Ki thuật phát hiện Signature-based (hay còn gọi là knowledge-based) là một quá trình

so sánh các signature với các sự kiện ma IDS theo dõi được dé xác định được sự cố

có thê xảy ra.

Ví du: IDS phát hiện gói tin chứa systemcall(/bin/sh) và so sánh với các signature

có trong database, sau đó kết luận đang có một cuộc tan công thực thi mã từ xa

Network current traffic activity

Hình 2.4: Minh hoa về cách Signature-based phát hiện một cuộc tấn công [8]

Ưu điểm của kĩ thuật phát hiện Signature-based là có độ chính xác cao khi phát hiện

các cuộc tan công đã biết do dữ liệu về các cuộc tan công đã được lưu vào cơ sở dữliệu, tỉ lệ cảnh báo sai sẽ thấp hơn so với các loại kĩ thuật phát hiện khác Tuy nhiên,nhược điểm là sẽ không thể phát hiện các hành vi bất thường chưa được biết trước

hoặc các biến đổi nhỏ trong các cuộc tấn công đã biết trước, điều này yêu cầu các

quản trị viên phải liên tục cập nhật cơ sở dữ liệu của signature, việc này thì tương đối

khó khăn và tốn thời gian

15

Chương 2 KIÊN THÚC NEN TANG

Network-based IDS

Network-based IDS (NIDS) theo dõi lưu lượng mang cho một phan cua mang(network segment) hoặc các thiết bi, phân tích các hoạt động mang và các giao thức

ứng dụng để xác định hành vi bất thường

Thường triển khai ở biên mạng, như gần tường lửa hoặc bộ định tuyến biên, máy

chủ VPN, máy chủ remote access hoặc mạng không dây.

Gồm nhiều bộ cảm biến đặt ở nhiều điểm khác nhau trong mạng dé theo dõi lưu

lượng mạng.

Kiến trúc của NIDS gồm các thành phần:

Sensor (bộ cảm biến) thực hiện theo dõi và phân tích hoạt động của hệ thống

mạng.

Máy chủ quan lí: một thiết bị trung tâm nhận các thông tin từ sensor dé quản lí

Máy chủ cơ sở dữ liệu: nơi lưu trữ các thông tin sự kiện theo dõi được bởi các

sensor và máy chủ quản lí (không bắt buộc)

Consoles: chương trình cung cấp giao diện tương tác với IDS cho người dùng

hoặc quan tri viên (GUI hoặc CLI).

NIDS có thé triển khai sensor ở 2 chế độ:

Inline sensor: Lưu lượng mạng sẽ đi phải đi qua sensor này, tương tự như lưu

lượng mạng sẽ phải đi qua tường lửa Cho phép sensor ngăn chặn một cuộc tấn

công xảy ra bằng cách chặn lưu lượng mạng

Passive sensor (chế độ bị động): Theo dõi bản sao của lưu lượng mạng, không cólưu lượng thực tế nào đi qua sensor Ở chế độ này, sensor hoạt động tương tự như

một công cụ bắt gói tin

16

Chương 2 KIÊN THÚC NEN TANG

The Internet Firewall _ NIPS Trusted network

Hình 2.5: Hình ảnh minh họa NIDS ở chế độ Inline [9]

NIDS NIDS management

The Internet Firewall _Trusted network

Hình 2.6: Hình anh minh họa NIDS ở chế độ Passive [9]

2.2.3 Snort — công cu IDS mã nguồn mở

Tổng quan

Snort là phan mềm IDPS được phat triển bởi Martin Roesh dưới dạng mã nguồn mở

[10].

17

Chương 2 KIÊN THÚC NEN TANG

Snort là một NIDPS mã nguồn mở, với phân loại là Signature-based NIDPS Snortban đầu được xây dựng trên nền Unix nhưng sau đó phát triển sang các nền tảng khác.Snort được đánh giá rất cao về khả năng phát hiện xâm nhập Tuy Snort miễn phínhưng nó lại có rất nhiều khả năng tuyệt vời Với kiến trúc module, người dùng có

thể tự tăng cường tính năng cho hệ thống Snort của mình Snort có thê chạy trên nhiều

hệ thống như Windows, Linux, OpenBSD, FreeBSD, Solaris,

Kiến trúc của Snort

Snort được cấu tạo từ 5 thành phần:

e Module giải mã gói tin

© Module tiền xử lí

e Module phát hiện

e Module log và cảnh báo

e_ Module kết xuất thông tin

Kiến trúc của Snort được thê hiện thông qua minh họa vòng đời gói tin khi đi qua

Snort ở hình 2.7

Hình 2.7: Kiến trúc Snort thể hiện qua vòng đời gói tin

18

Chương 2 KIÊN THÚC NEN TANG

Khi Snort hoạt động, nó sẽ lắng nghe mọi gói tin đi qua nó Các gói tin được Snortbắt lại sẽ được đưa vào Module giải mã gói tin Sau đó, gói tin tiếp tục được đưa qualần lượt Module tiền xử lí, Module phát hiện Tại Module phát hiện, nếu Snort pháthiện gói tin trùng khớp với signature về cuộc tan công nào đó, nó sẽ được đưa tới

Module Log và cảnh báo xử lí Khi cuộc tấn công được xác định, Module kết xuất

thông tin sẽ thực hiện việc đưa ra cảnh báo theo đúng định dạng quản trị viên cầu

hình.

Module giải mã gói tin

Snort sử dụng thư viên pcap dé bắt tat cả gói tin lưu thông trên hệ thống Tuy nhiên,

lúc này gói tin sẽ nằm ở định dạng thô, Snort sẽ phải khôi phục chúng lại thành định

dạng ở lớp ứng dụng và lúc này gói tin có thê trở thành đầu vào cho Module tiền xử

lí.

Module tién xử lí

Đây là module rất quan trọng của Snort, qua Module này sẽ có được các gói dữ liệuđưa vào cho Module phân tích Module tiền xử lí có 3 nhiệm vụ chính:

Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, tat cả dữ liệu sẽ không được

đóng gói toàn bộ thành một gói tin lớn, mà được phân mảnh thành các gói tin nhỏ sau

đó mới được gửi đi Khi Snort bắt được các gói tin này, nó phải thực hiện kết nối cácphân mảnh lại dé thành gói tin ban đầu Module tiền xử lí giúp Snort hiểu được các

phiên làm việc khác nhau.

Giải mã và chuẩn hóa giao thức (decode / normalize): công việc phát hiện xâm nhậpdựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dit liệu

có thé được biểu diễn dưới nhiều dạng khác nhau Ví dụ: một Web server có thé nhận

nhiều dang URL: URL viết đưới dạng hexa/unicode hay URL chấp nhận dấu / hay \.Nếu Snort chỉ thực hiện đơn thuần việc so sánh dit liệu với dấu hiệu nhận dạng sẽ xảy

ra tình trạng bỏ sót hành vi xâm nhập Do vậy, 1 số Module tiền xử lý của Snort phải

có nhiệm vụ giải mã và chỉnh sửa, sắp xêp lại các thông tin dau vào.

19

Chương 2 KIÊN THÚC NEN TANG

Phát hiện các xâm nhập bat thường (nonrule/anormal): các plugin dang này thường

để xử lý với các xâm nhập không thé hoặc rất khó phát hiện bằng các luật thôngthường Phiên bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bat

thường đó là portscan va bo (backoffice) Portscan dùng dé đưa ra cảnh báo khi kẻtan công thực hiện quét công dé tìm lỗ hồng Bo dùng dé đưa ra cảnh báo khi hệ thông

nhiễm trojan backoffice.

Module phát hiện

Module phát hiện là module quan trọng nhất của Snort Module này chịu trách nhiệmphát hiện các dấu hiệu xâm nhập, nó sử dụng các quy tắc được định nghĩa từ trước

bởi quản trị viên để so sánh với dữ liệu thu thập từ các gói tin bắt được, từ đó sẽ xác

định xem đang có sự xâm nhập diễn ra hay không.

Một van đề quan trọng đối với module phát hiện và van đề thời gian cần xử lí gói tin:một IDS sẽ phải nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều quy tắc xử lí.Khi lưu lượng mạng quá lớn có thê dẫn đến trường hợp bỏ sót hoặc không phản hồiđược một cuộc tan công hay xâm nhập đang xảy ra Khả năng xử lí của Module pháthiện phụ thuộc nhiều yếu tố: số lượng quy tắc, tốc độ xử lí của hệ thống, băng thông

mạng,

Một Module phát hiện có khả năng tách các phần của gói tin ra và áp dụng quy tắclên từng phần của gói tin:

- Diachi IP

- Header ở tang transport: TCP, UDP,

- Header ở tang application: DNS, HTTP, FTP,

- Phan tải của gói tin

Do các quy tac của Snort được đánh số thứ tự ưu tiên nên khi 1 gói tin bi phát hiện

bởi nhiêu quy tac khác nhau, cảnh báo sẽ đưa ra theo quy tac có mức ưu tiên cao nhat.

20

Chương 2 KIÊN THÚC NEN TANG

Module log và cảnh báo

Nếu như Module phát hiện nhận dạng gói tin là xâm nhập thì Module log và cảnh báo

sẽ thực hiện chức năng của nó, ghi log lại hoặc đưa ra cảnh báo Các tệp log là các

tệp dữ liệu có thé được ghi dưới nhiều định dạng khác nhau như tcpdump, csv, text,

Nếu như Module phát hiện nhận dạng gói tin là an toàn thì nó sẽ được thông qua vàtiễn vào vùng mạng được bảo vệ

Module kết xuất thông tin

Module kết xuất thông tin thực hiện các thao tác khác nhau tùy vào việc quản trị viên

cấu hình lưu kết quả xuất ra như thế nào

Một số cau hình mà của Module kết xuất thông tin như:

- _ Ghi lại log trên tệp log

- Ghi syslog

- Ghi cảnh báo vào cơ sở dữ liệu

- Tao tệp log XML

- _ Cấu hình Router, Firewall

- Gửi các cảnh báo được gói trong gói tin sử dung giao thức SNMP

Khả năng của Snort

Snort có khả năng phân tích lưu lượng mạng theo thời gian thực, ghi log lại các gói

tin nó bắt được, phân tích giao thức, tìm kiếm, so khớp nội dung gói tin dé phát hiệntan công hoặc do thám dựa trên các quy tắc và các thông tin phân tích được

Snort rule (Quy tắc của Snort)

Snort rule định nghĩa các sự kiện/ điêu kiện mà Snort cân quan tâm, ví dụ như một tân công, và hành động nên thực hiện khi sự kiện xảy ra.

Các tệp rules

21

Chương 2 KIÊN THÚC NEN TANG

| Rule header a8

action protocol srclP srcport -> dstIP dst port ( Rule options )

I IP, port dich của traffic (cụ thé hoặc any)

ị chiều đi của traffic (1 chiều -> hoặc 2 chiều <->)

= IP, port nguồn của traffic (giá tri cụ thé hoặc any cho tắt cả)

“oe loại traffic (giao thức): TCP, UDP, UCMP hay IP

¬-e hành động Snort cần thực hiện (alert, drop, log )

Hình 2.8: Cấu trúc của một rule [8]

Rule options

La phan trong tâm trong khả nang phát hiện tấn công của Snort

Chia làm nhiều nhóm option, quan trọng nhất là các detection options dùng dé pháthiện tấn công

Mỗi option có dạng

key: tham số 1[, tham số 2]

Các option phân cách nhau bang dau ;

Ví dụ về một rule trong Snort:

alert icmp any any > 192.168.1.1 any (msg: “ICMP detected”; sid: 100001)

Đặc điểm của traffic

e Giao thức: ICMP

e Nguồn: tat cả IP va port (bên phải dấu mũi tên)

e_ Dich: tat cả các port của 192.168.1.1 (bên trái dau mũi tên)

Hành động của Snort

e Hành động cần thực hiện: cảnh báo (alert)

22

Chương 2 KIÊN THÚC NEN TANG

e Thông điệp sẽ cảnh báo: ICMP detected

e ID của rule: 100001

Kết luận:

Snort phát thông điệp cảnh bao “ICMP detected” khi phát hiện có bat kì host nao ping

tới 192.168.1.1.

2.3 Quản lý sự kiện và thông tin bảo mật

Quản lý sự kiện và thông tin bảo mật (tiếng anh là Security Information and EventManagement, viết tắt là SIEM), là một giải pháp giúp các tô chức phát hiện, phân tích

và ứng phó với các mối đe doa bảo mật trước khi chúng ảnh hưởng đến chính hoạt

động của tô chức.

SIEM là sự kết hợp của SIM (Security Information Management, tiếng việt là Quản

lý thông tin bảo mật) và SEM (Security Event Management, tiếng việt là Quản lý sựkiện bảo mật) vào cùng một hệ thông quản lí bảo mật

Nhiệm vụ của hệ thông SIEM là thu thập log từ nhiều nguồn, cụ thé hơn là log từ các

công cụ bảo mật như tường lửa, IDS, thiết bị bảo mật đầu cuối (Endpoint Security), SIEM xác định những hoạt động sai lệch của hệ thong mạng bằng cách phân tích

liên tục theo thời gian chuẩn và thực hiện các hành động thích hợp

Ý nghĩa của SIEM đối với các tổ chức có ý nghĩa quan trọng về mặt đảm bảo an toàn

thông tin, hệ thống SIEM giúp cho các tổ chức quan sát được toàn bộ hoạt động của

hệ thống mạng, sẵn sàng ứng phó cho các cuộc tấn công mạng tiềm ân và đảm bảohoạt động của hệ thống tuân theo chính sách của tô chức

Các chức năng cốt lõi của SIEM như:

e - Ghi nhật kí quản lí các hoạt động: Hệ thống SIEM thu thập nhật kí của các công

cụ vào một nơi, chuẩn hoá, sắp xếp chúng theo một trình tự logic, tiến hành kiểmtra xem chúng có dấu hiệu của việc vi phạm chính sách hoặc có dấu hiệu của một

mối de doa hay không

23

Chương 2 KIÊN THÚC NEN TANG

e Tương quan các sự kiện với nhau: Các dữ liệu sẽ được sắp xếp dé xác định các

mối quan hệ và các mẫu, giúp cho nhóm bảo mật có thê quan sát và đưa ra phánđoán, từ đó dễ dàng nhanh chóng phát hiện và ứng phó với các mối đe doạ tiềm

ân

e Giám sát và ứng phó với sự cố: Giải pháp SIEM giám sát các sự cố về bao mật

mang của tổ chức và cung cấp các cảnh báo cũng như kiểm tra tất cả các hoạtđộng liên quan đên sự có

2.3.1 ELK Stack — hệ thống thu thâp và quản lí log mã nguồn mở

Ghi log và quản lí log là công việc không thé thiếu của bat kì hệ thống nào, đặc biệt

là trong lĩnh vực an toàn thông tin, dé đảm bảo một hệ thống có thê hoạt động trơn

tru, chúng ta sẽ cần theo dõi, lưu dấu vết, hoạt động của ứng dụng, việc này nhammục dich dé dang phân tích, nhanh chóng phát hiện sự cô và khắc phục khi nó xảy

ra Vì vậy một hệ thông quản lí log là cần thiết.

ELK Stack, với “ELK” là từ viết tắt của 3 kí tự đầu của 3 dự án mã nguồn mở:

Elasticsearch, Logstash, Kibana [ II] Trong đó:

e Elasticsearch là một công cụ quản lí tìm kiếm được rất nhiều những nhóm vận

hành bảo mật trên thế giới sử dụng, được xây dựng dựa trên nền tảng apache

lucene Công cụ này đóng vai trò như một cơ sở dữ liệu lưu trữ các log, đồng thờicũng đảm nhận vai trò tìm kiếm và phân tích các log

e Logstash là một công cụ thu thâp, xử li log được viết bằng ngôn ngữ java Công

cụ này có khả năng thu thập log từ nhiều nguồn, sau đó sắp xếp theo một cấu trúc

được định sẵn và vận chuyển nó đến nơi lưu trữ, ở đây là Elasticsearch

e Kibana là một công cụ trực quan hóa dữ liệu của Elasticsearch, nó cung cấp cho

ta một giao diễn web dé hiền thị dữ liệu từ Elasticsearch một cách day đủ và chi

tiết

Ngoài ra, còn một ứng dụng khác thường được sử dụng bên trong ELK Stack đó là

các ứng dung của Beats platform, đặc biệt nhiều nhất là Filebeat

24

Chương 2 KIÊN THÚC NEN TANG

Quy trình hoạt động của ELK Stack như sau:

Bước 1: Logstash nhận log từ các nguồn (có thể là được gửi thông qua request UDP

từ máy chủ log đến đường dẫn của Logstash hoặc từ Beat đọc tệp log và gửi đến

Logstash).

Bước 2: Logstash nhận những thông tin log từ nguồn, thêm vào thời gian thực, địachi IP nguồn của log, phân tích cú pháp của log dé nhận biết được định dạng của log

sẽ như thé nào, sau đó ghi xuống cơ sở dit liệu

Bước 3: Khi cần theo dõi và phân tích, người dùng sẽ vào đường dẫn web của Kibana,

giao diện web dùng dé người dùng tương tác và làm việc với các log này Kibana sẽđọc log được lưu trữ tại Elasticsearch, hiền thị lên giao diện cho người dùng truy van

và xử lí.

= y beats logstash = elasticsearch kibana

Data Data Indexing & Analysis &

Collection Aggregation storage visualization

& Processing

Hình 2.9: Mô hình hoạt động cua ELK Stack

Với chức năng mạnh mẽ của mình, ELK Stack hoàn hảo đề trở thành một hệ thốngSIEM mã nguồn mở, ELK Stack có thể tổng hợp log từ nhiều nguồn, ta có thê kết

hợp với các công cụ bao mật dé có thể giám sát hệ thống mạng một cách toàn diện

thay vì phải tương tác đến từng công cụ Đồng thời, ELK Stack còn có cả chức năngtruy van và phân tích, giúp chúng ta dé dang hơn trong việc xác định khi nào có cuộctan công xảy ra và nhanh chóng ứng phó

25

Chương 2 KIÊN THÚC NEN TANG

2.4 Tường lửa

Tường lửa là một giải pháp bảo mật, có thể là phần cứng hoặc phần mềm, sử dụngcác quy tắc để kiểm soát các lưu lượng mạng đi vào và đi ra trong hệ thống mạng

Tường lửa, như tên gọi của nó, là một bức tường bảo vệ ngăn cách hai bên, một bên

là vùng mạng cần bảo vệ (mạng nội bộ) và bên kia là vùng mạng không an toàn, vàlửa sẽ tiêu diệt những gì không an toàn đối với vùng mạng cần bảo vệ Tường lửa chi

cho phép các lưu lượng mạng phù hợp với các chính sách đã được định nghĩa bên

trong nó mới được ổi vào mạng nội bộ, còn lại những lưu lượng mạng khác đều sẽ bị

từ chối

Bắt kì máy tính nào khi kết nối Internet đều cần có tường lửa, việc có một người gáccông là quản lí việc những ai được phép đi vào và ra khỏi hệ thống của mình là đềucần thiết Mọi máy tính khi kết nối đến Internet đều được một định danh, đó là địachỉ IP, tương tự như một địa chỉ nhà, không có bảo vệ thì việc bị kẻ xấu dom ngó vàxâm nhập vào là việc không thé tránh khỏi

2.4.1 Iptables — tường lửa mặc định trên các hệ điều hành Linux

Iptables là một ứng dụng tường lửa có sẵn trên Linux, Iptables Linux firewall cho

phép người dùng thiết lập các quyên truy cập đề kiểm soát lưu lượng một cách chọn

lọc trên máy chủ.

Về cơ bản, Iptables chỉ là giao diện dòng lệnh dé tương tác với packet filtering củanetfilter framework Cơ chế packet filtering của Iptables hoạt động gồm 3 thành phần

là Tables, Chains và Targets.

Thanh phan của Iptables

Co chế lọc gói tin của Iptable được xây dựng dựa trên 3 thành phan co bản đó là table,chain và target Nói đơn giản, table là một xử ly các gói tin theo những cách cụ thé.Nếu không chỉ định cụ thể thì mặc định là chúng ta sẽ làm việc với filter table, ngoài

ra còn có các bảng khác.

26

Chương 2 KIÊN THÚC NEN TANG

Mỗi table sẽ được gắn thêm các chain Việc gắn thêm chain vào table cho phép xử lý

gói tin ở những giai đoạn khác nhau, ví dụ chúng ta có thể xử lý gói tin ngay khi góitin vừa đến interface hay xử lý các gói tin trước khi các gói này được đầy ra interface.Bạn có thê tạo ra các quy tắc rất cụ thê, ví dụ gói tin đó đến từ port nao, dén tir IP nao

sau đó chỉ định hành động (TARGET) sẽ áp dung với gói tin này.

Khi có một gói tin đến hoặc gói tin đi Iptable sẽ so sánh với từng rule trong một chain.Khi một gói tin giống với rule đặt ra Iptable sẽ thực hiện hành động ứng với rule đó.Nhưng nếu gói tin không khớp với bat cứ rule nào thuộc chain, Iptable sẽ áp dung

"default policy" cho gói tin đó Mặc định "default policy" của các chain là cho phép

gói tin.

PREROUTING POSTROUTING

Table của Iptables sử dụng đề định nghĩa các rule (quy tắc) dành cho các gói tin

Trong đó, có các Table sau:

e Filter Table: Là table được sử dụng nhiều nhất, Filter Table sẽ quyết định việc

một gói tin có được đi đến đích dự kiến hay từ chối việc đi qua của gói tin

27

Chương 2 KIÊN THÚC NEN TANG

e NAT Table: Dé dùng các rule về NAT (Network Address Translation), NAT

Table sẽ có trách nhiệm chỉnh stra source (IP nguôn) hoặc destination (IP đích)

của gói tin khi thực hiện cơ chế NAT

e Mangle Table: Cho phép chỉnh sửa header của gói tin, giá tri các trường TTL,

MTU, Type of Service.

e Raw Table: Iptables là một stateful firewall và các gói tin được kiểm tra liên quan

đến trạng thái (state) Ví dụ gói có thể là một phần của một kết nối mới hoặc là

một phan của kết nối hiện có Raw Table sẽ giúp bạn làm việc với các gói tin trướckhi kernel bắt đầu kiểm tra trạng thái và có thé loại một số gói khỏi việc tracking

vì vấn đề hiệu năng của hệ thống

e Security Table: Một vài kernel có thé hỗ trợ thêm Security Table, được dùng bởi

SELinux để thiết lập các chính sách bảo mật

Chain

Chains được tạo ra với một số lượng nhất định ứng với mỗi Table, giúp lọc gói tin tại

các diém khác nhau.

e Chain PREROUTING tồn tai trong Nat Table, Mangle Table va Raw Table, cac

rule trong chain sẽ được thực thi ngay khi gói tin vào đến giao diện mang

(Network Interface).

e Chain INPUT chỉ có ở Mangle Table va Nat Table với các rule được thực thi ngay

trước khi gói tin gặp tiến trình

se Chain OUTPUT tồn tại ở Raw Table, Mangle Table và Filter Table, có các rule

được thực thi sau khi gói tin được tiến trình tạo ra

e_ Chain FORWARD tôn tại ở Mangle Table và Filter Table, có các rules được thực

thi cho các gói tin được định tuyến qua host hiện tại

e_ Chain POSTROUTING chỉ tồn tại ở Mangle Table và Nat Table với các rules

được thực thi khi gói tin rời giao diện mang.

28