Đang tải... (xem toàn văn)
Splunk là hệ thống có thể captures, trích ra các dữ liệu thời gian thực có liên quan tới nhau từ đó nó có thể tạo ra các đồ thị, các báo cáo, các cảnh báo và các biểu đồ. Mục đích của Splunk là giúp cho việc xác định mô hình dữ liệu và thu thập dữ liệu máy trên toàn hệ thống dễ dàng hơn. Nó cung cấp số liệu, chẩn đoán các vấn đề xảy ra, phục vụ tốt cho hoạt động kinh doanh. Falcon Orchestrator là một công cụ mã nguồn mở được xây dựng dựa trên CrowdStrike’s Falcon Connect APIs. Có khả năng tự động hóa quy trình làm việc và khả năng quản lý các sự cố an ninh, cũng như khả năng điều tra số forensic và đưa ra các biện pháp khắc phục sự cố tức thời.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR Ngành: Công nghệ thơng tin Chun ngành: An tồn thơng tin Mã số: 52.48.02.01 Hà Nội, 2017 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR Ngành: Công nghệ thông tin Chuyên ngành: An tồn thơng tin Mã số: 52.48.02.01 Sinh viên thực hiện: Ngô Văn Thỉnh Lớp: AT9A Người hướng dẫn 1: ThS Nguyễn Đức Ngân Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Người hướng dẫn 2: KS Nguyễn Mạnh Thắng Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2017 MỤC LỤC DANH MỤC KÍ HIỆU VÀ VIẾT TẮT DDOS Distributed Denial of Service LAN Local Area Network WAN wide Area Network VPN Virtual Private Network IDXP Intrusion Detection Exchange Protocol JSON JavaScript Object Notation NSM Network Security Monitoring SEM Sercurity Event Management SIM Sercurity Information Management SIEM Security Information and Event Management SNMP Simple Network Management Protocol SPL Search Processing Language FTP File Tranfer Protocol DNS Domain Name Server DHCP Dynamic Host Configuration Protocol IDS Intrusion Detection System ETL Extract, Transform, Load DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU Ngày nay, hệ thống mạng, để trì mạng hoạt động tốt có nhiều thứ phải quản trị hiệu mạng, lưu lượng mạng, ứng dụng chạy mạng, người sử dụng mạng, an ninh mạng Security Information Event Management (SIEM) giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống Đây công nghệ chuyên gia bảo mật quan tâm thời gian gần Hệ thống quản lý kiện giám sát an ninh mạng giúp người quản trị quản lý thiết bị, dò quét lổ hổng hệ thống, thu thập liệu từ thiết bị ứng dụng khác nhau, liệu sau chuẩn hóa sang định dạng chuẩn riêng, phân tích tương quan thông tin kiện an ninh với theo ngữ cảnh cảnh báo cho quản trị viên cảnh báo trường hợp bị công Bên cạnh hệ thống quản lý kiện giám sát an ninh mạng đáp ứng tuân thủ hoạt động công nghệ thông tin cung cấp sẵn báo cáo theo chuẩn quốc tế quy định an tồn thơng tin Bên cạnh vấn đề giải khắc phục cố an ninh mạng vấn đề cấp bách cần triển khai tổ chức doanh nghiệp vừa lớn Hệ thống ứng phó cố (Incident Response) tập trung giải nhanh chóng vấn đề an ninh giảm thiểu hậu vụ công diễn mà không làm ảnh hưởng đến dây truyền làm việc hệ thống, đảm bảo giảm thiểu tối đa rủi ro Hệ thống can thiệp từ xa tới máy trạm nhằm ngăn chặn công diễn ra, dựa phân tích từ chuyên viên an ninh mạng Việc kết hợp hệ thống giám sát hệ thống ứng phó cố tập trung mơ hình đặc biệt quan tâm Đồ án đề cập đến việc sử dụng kết hợp hai công cụ Splunk Falcon Orchestrator để xây dựng hệ thống giám sát an ninh mạng ứng phó cố tập trung Nội dung đề tài truyền tải xuyên suốt qua chương xoay quanh việc triển khai hệ thống giám sát ứng phó tập trung người lẫn công nghệ: Chương 1: Tổng quan giám sát kiện an ninh mạng tập trung (SIEM) Trong chương trình bày tổng quan hệ thống giám sát an ninh mạng nói chung, tiếp đến chi tiết kiến trúc hoạt động SIEM Chương 2: Công cụ giám sát an ninh mạng Splunk Trong chương sâu vào hệ thống giám sát Splunk từ triển khai ứng dụng vào việc giám sát hệ thống Chương 3: Cơng cụ Falcon Orchestrator Trình bày tổng quan Incident response từ người đến công cụ, sau chức kiến trúc Falcon Orchestrator Từ áp dụng triển khai kết hợp với Splunk để tạo hệ thống tập trung đề Qua tháng nghiên cứu tìm hiểu với tài liệu mạng tận tình bảo giáo viên hướng dẫn, em hoàn thành nội dung yêu cầu đồ án đề Em xin gửi lời cảm ơn sâu sắc đến ThS Nguyễn Đức Ngân KS Nguyễn Mạnh Thắng tận tình bảo, giúp đỡ em trình làm đồ án Đồ án hồn thành thời gian ngắn, khơng thể tránh khỏi sai sót mong thầy, đóng góp ý kiến bảo để đồ án hoàn thiện Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Ngô Văn Thỉnh CHƯƠNG TỔNG QUAN VỀ GIÁM SÁT SỰ KIỆN AN NINH MẠNG TẬP TRUNG (SIEM) 1.1 Hệ thống giám sát an ninh mạng Giám sát an ninh mạng (Network Security Monitoring – NSM) việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Hệ thống giám sát anh ninh mạng đóng vai trò quan trọng, thiếu hạ tầng công nghệ thông tin (CNTT) quan, đơn vị, tổ chức Hệ thống cho phép thu thập, chuẩn hóa, lưu trữ phân tích kiện tương quan tồn kiện mạng sinh hệ thống CNTT tổ chức Ngoài ra, hệ thống giám sát an ninh mạng phát kịp thời công mạng, điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống Phát kịp thời bùng nổ virus hệ thống mạng, máy tính bị nhiễm mã độc, máy tính bị nghi ngờ thành viên mạng máy tính ma (botnet) Để cơng tác giám sát an ninh mạng đạt hiệu cần phải xác định yếu tố cốt lõi, giám sát như: - Xác định đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát - Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát - Xác định phần mềm nội phần mềm nguồn mở phục vụ giám sát - Xác định thiết bị, công cụ, giải pháp hỗ trợ phân tích kết giám sát Hệ thống giám sát an ninh mạng xây dựng theo ba giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ biểu diễn nhật ký - Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng - Giải pháp quản lý phân tích kiện an ninh: kết hợp hai giải pháp nhằm khắc phục hạn chế vốn có Hệ thống giám sát mạng giám sát mạng có kích thước lớn, nhỏ, trung bình Một số loại mạng là: Wireless or wired, LAN, VPN, WAN Thị trường kinh doanh ln đòi hỏi chức trang web để sử dụng nội bên Giám sát cho phép nhà quản lý phân bổ nguồn lực để trì tính sẵn sàng hệ thống Một hệ thống giám sát môi trường phức tạp giúp định hướng, đưa cảnh báo, người quản lý sử dụng báo cáo để: - Xác nhận việc tuân thủ quy định sách - Tiết kiệm chi phí tiềm lực cách tìm nguồn liệu dư thừa - Giải việc bị lấy cắp thông tin - Trợ giúp xác định suất nhân viên - Xác định liên kết mạng diện rộng yếu thắt cổ chai - Xác định độ trễ truyền tải liệu - Tìm bất thường mạng nội cho biết mối đe dọa an ninh Đối tượng giám sát an ninh mạng tất thành phần, thiết bị hệ thống mạng - Các máy trạm - Cơ sở liệu - Các ứng dụng - Các server - Các thiết bị mạng Các bước cần thực hệ thống NSM: Thu thập liệu Việc thu thập liệu việc lấy thơng tin liên quan đến tình trạng hoạt động thiết bị hệ thống mạng Tuy nhiên, hệ thống mạng lớn dịch vụ khơng đặt hết máy hay thiết bị đặt địa điểm mà nằm máy chủ, hệ thống riêng biệt Các thành phần hệ thống hoạt động tảng hồn tồn khác Mơ hình log tập trung đưa để giải vấn đề Cụ thể, tất log chuyển trung tâm để phân tích xử lý Với thiết bị có đặc điểm riêng loại log khác Như log thiết bị mạng như: Router, Swich, log thiết bị phát xâm nhập: IDS, IPS, Snort… Log Web Server, Application Server, Log Event, Log Registry Server Windows, Unix/Linux Phân tích liệu 10 Hình 3-22: Tạo danh sách trắng - Whitelist Khi giá trị đưa vào danh sách trắng, tất kiện khứ tương lai phù hợp với tiêu chí tự động đánh dấu trạng thái WHITELISTED e) Disable user account Các chức workflow giới thiệu qua, phần sau giới thiệu số chức response nhằm kịp thời hạn chế rủi ro cố Đầu tiên với chức “Disable user account” sử dụng muốn ngăn chặn user account có khả bị sử dụng trái phép hệ thống Chức thay đổi AD để tạm thời chặn khả sử dụng account Để sử dụng tính ta truy cập vào event user tạo ra, lựa chọn tùy chọn “Contaiment” mục “Status” có hội thoại xuất hình: 64 Hình 3-23: Module Disable User Account AD Lựa chọn tùy chọn nhấp Submit Ngay tài khoản người dùng bị disable AD f) Forensic Trong Falcon Orchestrator có chức forensic bản, phục vụ thu thập tệp tin, tiến trình chạy, số khả response khác Tuy nhiên, chức sử dụng PowerShell's Remoting Windows để trích xuất quản lý file, tiến trình Vì hỗ trợ hệ điều hành Windows có Powershell File Extraction Thơng thường, ta cần phải phân tích tệp tin nghi ngờ để thu thập dấu hiệu, chứng có liên quan để điều tra thêm Điều thực đơn giản cách nhập tên máy trạm địa IP đường dẫn đầy đủ đến tệp mà ta muốn truy xuất 65 Hình 3-24: Workflow File Extraction Tệp tin trích xuất lưu trữ tạm thời máy chủ Orchestrator, sau ta có nhấp vào download để tải tập tin máy cá nhân phục vụ phân tích Các tệp tin nén lại có mật giải nén cấu hình từ trước Hình 3-25: Trích xuất file 66 File System Browser Ta duyệt qua tập tin thư mục máy trạm, cần nhập tên máy trạm địa ip thư mục cần duyệt Các thư mục tệp tin hiển thị nhấp “Search” Chỉ cần nhấp vào tên thư mục, tự động cập nhật tên thư mục lên vùng nhập để tiếp tục duyệt thư mục Nhấp vào tệp tin có thêm tùy chọn “Download” trích xuất tệp tin tương tự tính “File Extraction” Hình 3-26: Duyệt thư mục máy trạm Software Inventory Ta kiểm tra ứng dụng cài đặt máy trạm từ xa thông qua Software Inventory, thơng tin thu thập từ khóa HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall registry 67 Hình 3-27: Danh sách ứng dụng cài đặt máy trạm Process Listing Với cố cơng có tạo tiến trình lạ máy trạm virus, backdoor,… việc quản lý tiến trình từ xa thực có ý nghĩa, với Process Listing ta quản lý tiến trình hoạt động máy trạm, stop process, dump process từ memory để phục vụ điều tra Hình 3-28: Quản lý tiến trình 68 3.3 Kết luận chương Phần đầu chương giới thiệu tổng quan yêu cầu từ người đến công cụ để có đội ngũ IR Yếu tố người ln quan tâm đặc biệt, nhóm IR cấu thành từ nhân viên có nhiều kỹ chuyên mơn cao Thực tế thường cơng ty, tập đồn lớn có đội ngũ IR chun biệt, cơng ty vừa nhỏ thường thuê dịch vụ bên thứ ba sử dụng đội ngũ giám sát thực ứng phó cố đơn giản Và việc quản lý phân chia trách nhiệm cơng việc để ứng phó cố việc cần thực hiện, cơng cụ Falcon Orchestrator giúp việc quản lý cố, phân chia trách nhiệm ứng phó dễ dàng Với số hành động bổ trợ giúp ngăn chặn hệ cố tức thời hay thao tác thu thập chứng số modules Forensic 69 CHƯƠNG MƠ HÌNH TRIỂN KHAI THỬ NGHIỆM Trong chương trình bày mơ hình triển khai hệ thống giám sát ứng phó cố tập trung sử dụng Splunk Falcon Orchestrator thử nghiệm tình cố xảy q trình detect kiện ứng phó cố 4.1 Mơ hình triển khai Mơ hình dự kiến triển khai gồm có PC hình dưới: Attacker 192.168.161.135 192.168.161.129 192.168.161.128 Universal Forward Event Hình 4-29: Mơ hình triển khai thử nghiệm Trong đó, có server: • Splunk server: o IP Address: 192.168.161.128 o OS: Ubuntu server o Ram: 4gb o Application Deploy: Splunk Enterprise • Falcon Orchestrator server: o IP Address: 192.168.161.129 o OS: Windows server 2012 R2 o Ram: 4gb o Application Deploy: Active Directory, IIS, SQL server 2014, Falcon Orchestrator 70 PC Attacker: o IP Address: 192.168.161.135 o OS: Kali linux 2.0 o Ram: 4gb o Application Deploy: Setoolkit 4.2 Phân tích xử lý cố Kịch dự kiến triển khai sau: Tạo virus Backdoor Powershell công cụ setoolkit kali linux (PC Attacker) Hình 4-30: Tạo Virus backdoor Powershell sử dụng setoolkit Virus công cụ tạo lưu /root/.set/reports/powershell/ Virus thực tạo backdoor máy kali linux attack địa ip 192.168.161.135 qua port 443 Thực chạy Backdoor Powershell máy chủ Falcon Orchestrator Virus chạy câu lệnh powershell encode base 64 để tạo backdoor 71 Hình 4-31: Chạy virus Backdoor Powershell Windows server 2012 Hacker nhận kết nối ngược từ phía victim hình Hình 4-32: Thơng tin kết nối ngược từ victim Hình 4-33: Thơng tin máy victim sau tạo backdoor thành công Khi khởi chạy virus Backdoor Powershell câu lệnh Powershell virus thực lưu lại log máy chủ Falcon Orchestrator 72 Hình 4-34: Command lưu lại log Event Viewer Splunk detect kiện thông qua việc phát log đổ có câu lệnh Powershell nguy hiểm, thực hiển phát cảnh báo đẩy thông tin kiện Falcon Orchestrator server Hình 4-35: Log kiện Splunk detect Ứng dụng Falcon Orchestrator nhận thông tin kiện từ Splunk đổ về, quản trị thực thao tác phân cơng việc ứng phó tới thành viên Có thể 73 sử dụng module Forensic Falcon Orchestrator để trích xuất process kill process Powershell chạy Sử dụng modules Process Listing mục Forensic Falcon Orchestrator để duyệt qua process chạy máy trạm Hình 4-36: kiểm tra process sử dụng Falcon Orchestrator Như hình ta thấy có process powershell chạy, process tạo backdoor Thực dump process powershell để phục vụ điều tra thêm, sau ta kill process để chấm dứt kết nối backdoor hình Hình 4-37: Dump process Powershell Kill process Lập tức phía Attacker kết nối với victim, khơng thể lệnh 74 Hình 4-38: Attacker kết nối tới victim 4.3 Kết luận chương Mơ hình triển khai trình bày chương cho thấy q trình detect ứng phó cỗ diễn cách nhanh chóng, tất giải tập trung Việc ngăn chặn cố diễn đơn giản ví dụ này, với trường hợp phức tạp người định giải cố IR team leader, người có kỹ quản lý định tốt 75 KẾT LUẬN Qua bốn chương đồ án thể ý tưởng xây dựng hệ thống giám sát ứng phó cố tập trung từ người đến công nghệ, cụ thể: Chương chương đề cập đến việc triển khai hệ thống giám sát tập trung, tóm lược lại yêu cầu cần tính đến triển khai hệ thống giám sát nói chung Chỉ việc giám sát mạng đơn lẻ khơng có kết hợp thơng tin từ nhiều nguồn hạn chế lớn trình giám sát Việc triển khai hệ thống giám sát tập trung SIEM nhu cầu thực tế quan tâm doanh nghiệp Splunk phần mềm giám sát mạng dựa sức mạnh việc phân tích Log Splunk thực cơng việc tìm kiếm, giám sát phân tích liệu lớn sinh từ ứng dụng, hệ thống thiết bị hạ tầng mạng đáp ứng yêu cầu hệ thống SIEM Chương yêu cầu người cơng cụ việc ứng phó cố Sự phân chia trách nhiệm hành động ngăn chặn kịp thời giúp giải cố nhanh gọn giảm hậu tối đa Công cụ Falcon Orchestrator đáp ứng nhu cầu Chương đưa mơ hình triển khai thử nghiệm, trình thử nghiệm đơn giản thể chất quy trình giám sát ứng phó cố tập trung Hạn chế Dù vậy, đồ án chưa nhấn mạnh nhiều cơng việc diễn q trình ứng phó cố Vì vấn đề phụ thuộc vào đặc điểm cố khác mà có quy trình xử lý khác nhau, phạm vi đồ án đề cập hết trường hợp Trong q trình triển khai mơ hình thử nghiệm đề chương 4, có gặp khó khăn việc xin tài khoản dùng thử dịch vụ cloud hãng Crowdstrike Vì phần triển khai thử nghiệm chưa thể hết khả làm việc hệ thống ứng phó cố Hướng phát triển Cơng cụ Falcon Orchestrator mã nguồn mở ta phát triển theo hướng sửa lại mã nguồn để cơng cụ làm việc với nhiều hệ thống SIEM khác mà không thiết SIEM hãng Crowdstrike Với đồ án ta sử dụng chức tạo cảnh báo alert Splunk có hành động tạo webhook 76 qua Http Post giúp đẩy kiện detect sang Falcon Orchestrator Và hướng phát triển tương lai đồ án 77 TÀI LIỆU THAM KHẢO [1] David R Miller, Shon Harris, Allen A Harper, Stephen VanDyke, Chris Blask Security Information and Event Management (SIEM) Implementation, Copyright © 2011 by The McGraw-Hill Companies, page 78-92 [2] Document Splunk: Splunk-6.2.0-Admin [3] Document Splunk: Splunk-6.2.0-AdvancedDev [4] Document Splunk: Splunk-6.2.0-Forwarding [5] Document Splunk: Splunk-6.2.0-Indexer [6] Document Splunk: Splunk-6.2.0-Overview [7] Document Splunk: Splunk-6.2.0-Installation [8] Document Splunk: Splunk-6.2.0-SearchReference [9] Implementing Splunk [10] Documentation Falcon Orchestrator https://github.com/CrowdStrike/falconorchestrator/wiki [11] Soucre code Falcon Orchestrator https://github.com/CrowdStrike/falconorchestrator 78 ... dựng hệ thống giám sát an ninh mạng ứng phó cố tập trung Nội dung đề tài truyền tải xuyên suốt qua chương xoay quanh việc triển khai hệ thống giám sát ứng phó tập trung người lẫn công nghệ: Chương... quát hệ thống giám sát an ninh mạng nói chung (NSM) Từ nhu cầu cần thiết hệ thống giám sát an ninh mạng đến quy trình chung hệ thống Nhưng hệ thống giám sát nói chung rời rạc chưa có liên kết thống. .. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ ỨNG PHÓ SỰ CỐ TẬP TRUNG SỬ DỤNG SPLUNK VÀ FALCON ORCHESTRATOR Ngành: Công nghệ thơng tin Chun ngành: An tồn thơng tin