Đang tải... (xem toàn văn)
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng - Chương 1: Giới thiệu giám sát an toàn mạng cung cấp cho người học các kiến thức: Khái niệm và thuật ngữ, phát hiện xâm nhập, giám sát an toàn mạng, phòng thủ theo lỗ hổng bảo mật và phòng thủ theo nguy cơ,... Mời các bạn cùng tham khảo nội dung chi tiết.
CHƯƠNG GIỚI THIỆU GIÁM SÁT AN TOÀN MẠNG NỘI DUNG Khái niệm thuật ngữ Phát xâm nhập Giám sát an tồn mạng Phịng thủ theo lỗ hổng bảo mật phòng thủ theo nguy Chu trình giám sát an tồn mạng Thách thức hệ thống NSM Chuyên gia hệ thống NSM Bộ công cụ Security Onion KHÁI NIỆM Có thể bảo vệ máy tính liệu khỏi tội phạm mạng nhiều cách khác Một cách hiệu để thực việc thực thi giám sát an toàn mạng - network security monitoring NSM NSM bao gồm: Thu thập liệu Phát xâm nhập Phân tích liệu an ninh mạng NSM KHÔNG PHẢI LÀ Quản lý thiết bị Quản lý kiện an ninh Điều tra số cho mạng máy tính Ngăn chặn xâm nhập KHÁI NIỆM NSM phân loại theo miền sau: Bảo vệ: • ngăn chặn xâm nhập khai thác trái phép vào hệ thống Dị tìm (phát hiện): • phát cơng xảy xảy trước Đáp ứng/Phản ứng: • phản ứng lại sau có cơng xảy Duy trì: • quản lý người, tiến trình cơng nghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) CÁC THUẬT NGỮ CHÍNH Tài sản (Asset): Đề cập đến thuộc phạm vi mạng tin cậy tổ chức: thứ có giá trị tổ chức, bao gồm máy tính, máy chủ, thiết bị mạng,… Ngồi ra, tài sản cịn bao gồm liệu, người, quy trình, sở hữu trí tuệ danh tiếng tổ chức CÁC THUẬT NGỮ CHÍNH Nguy (đe dọa) (Threat): bên có khả ý định khai thác lỗ hổng tài sản Gồm : Nguy có cấu trúc: sử dụng chiến thuật thủ tục hành chính, xác định rõ mục tiêu Nguy khơng có cấu trúc: khơng có động cơ, kỹ năng, chiến lược, kinh nghiệm CÁC THUẬT NGỮ CHÍNH Lỗ hổng (Vulnerability): Là phần mềm, phần cứng, điểm yếu thủ tục mà hỗ trợ kẻ công đạt quyền truy cập trái phép vào tài sản mạng Ví dụ hệ thống xác thực khơng cách cho phép kẻ cơng đốn tên đăng nhập người dùng Chú ý người coi lỗ hổng CÁC THUẬT NGỮ CHÍNH Khai thác (Exploit): Là phương pháp công lỗ hổng Ví dụ, trường hợp khai thác phần mềm, đoạn mã khai thác chứa payload (tải) cho phép kẻ công thực số hành động hệ thống từ xa (như sinh lệnh shell); ứng dụng web, lỗ hổng cách xử lý đầu vào đầu cho phép kẻ cơng khai thác ứng dụng với SQL injection CÁC THUẬT NGỮ CHÍNH Điểm yếu (rủi ro) (risk): Là khả có mối đe dọa nhằm khai thác lỗ hổng Việc xác định định lượng rủi ro điều khó khăn liên quan đến việc đặt giá trị mạng tài sản liệu Bất thường (Anomaly): Là kiện quan sát hệ thống mạng coi khác thường Ví dụ bất thường hệ thống bị sập, gói tin bị thay đổi,… Bất thường tạo cảnh bảo công cụ phát hiện, hệ thống phát xâm nhập trái phép, ứng dụng xem xét nhật ký (log) CHU TRÌNH GIÁM SÁT AN TỒN MẠNG BƯỚC 1: THU THẬP DỮ LIỆU Bước bắt đầu, quan trọng Sự kết hợp phần cứng phần mềm Tạo, xếp lưu trữ liệu cho việc phát xâm nhập phân tích liệu hệ thống NSM Định hình khả tổ chức việc phát xâm nhập phân tích liệu hiệu Các loại liệu Dữ liệu nội dung đầy đủ Dữ liệu phiên Dữ liệu thống kê Dữ liệu kiểu chuỗi gói tin Dữ liệu cảnh báo BƯỚC 1: THU THẬP DỮ LIỆU Cần nhiều lao động chu trình NSM Cần nỗ lực từ lãnh đạo tổ chức, đội ngũ an ninh thơng tin, nhóm mạng nhóm quản trị hệ thống Bao gồm nhiệm vụ: Xác định vị trí có nhiều điểm yếu tồn tổ chức Xác định nguy ảnh hưởng đến mục tiêu tổ chức Xác định nguồn liệu có liên quan Tinh chế nguồn liệu thu thập Cấu hình cổng SPAN để thu thập liệu gói tin Xây dựng lưu trữ SAN cho lưu giữ nhật ký Cấu hình phần cứng phần mềm thu thập liệu BƯỚC 2: PHÁT HIỆN XÂM NHẬP Là q trình mà qua liệu thu thập kiểm tra cảnh báo tạo dựa kiện quan sát liệu thu thập không mong đợi Được thực thơng qua số hình thức chữ ký, bất thường, phát dựa thống kê Kết tạo liệu cảnh báo BƯỚC 2: PHÁT HIỆN XÂM NHẬP Thường chức phần mềm với số gói phần mềm phổ biến Snort IDS Bro IDS hệ thống phát xâm nhập mạng (NIDS), OSSEC, AIDE McAfee HIPS hệ thống phát xâm nhập máy chủ (HIDS ) Một số ứng dụng Quản lý kiện thông tin an ninh (Security Information and Event Management - SIEM) sử dụng liệu dựa mạng liệu dựa máy chủ để phát xâm nhập dựa kiện liên quan BƯỚC 3: PHÂN TÍCH DỮ LIỆU Diễn giải xem xét liệu cảnh báo Cần xem xét thu thập liệu bổ sung từ nguồn liệu khác Gồm: Phân tích gói tin Phân tích mạng Phân tích máy chủ Phân tích phần mềm độc hại BƯỚC 3: PHÂN TÍCH DỮ LIỆU Là phần tốn thời gian chu trình NSM Một kiện thức nâng lên thành cố, bắt đầu với biện pháp ứng phó Chu trình NSM kết thúc học kinh nghiệm việc phát xâm nhập phân tích liệu cho bất thường tiếp tục hình thành chiến lược thu thập liệu cho tổ chức THÁCH THỨC ĐỐI VỚI HỆ THỐNG NSM Là lĩnh vực nên khó khăn việc chuẩn hóa thuật ngữ phương pháp: lý thuyết thực hành Nguồn nhân lực NSM không đủ đáp ứng yêu cầu kinh nghiệm kiến thức cần thiết Chi phí cần thiết để thiết lập trì chương trình NSM: Phần cứng cần thiết để thu thập phân tích lượng liệu lớn Lao động cần thiết làm phân tích NSM chi phí để hỗ trợ sở hạ tầng NSM cho chuyên gia phân tích CHUN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM Là thành phần quan trọng hệ thống NSM An toàn hệ thống mạng tổ chức phụ thuộc vào khả làm việc hiệu chuyên gia phân tích Sẽ diễn giải liệu cảnh báo, phân tích xem xét xem liệu có liên quan đến nhau; xác định xem kiện xảy có phải thật hay khơng, hay cần có phân tích điều tra thêm Có thể tham gia vào q trình ứng phó cố thực nhiệm vụ khác phân tích máy tính phân tích phần mềm độc hại Yêu cầu: Phải thường xuyên cập nhật công cụ, chiến thuật thủ tục mà đối phương sử dụng CHUYÊN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM CHUYÊN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM Kỹ cần thiết: Phòng thủ theo nguy cơ, NSM, chu trình NSM Chồng giao thức TCP/IP Các giao thức tầng ứng dụng Phân tích gói tin Kiến trúc Windows Kiến trúc Linux Phân tích liệu (BASH, Grep, SED, AWK,…) Cách sử dụng IDS (Snort, Suricata,…) Chỉ dẫn công hiệu chỉnh chữ ký IDS Mã nguồn mở Phương pháp chẩn đốn phân tích Phân tích phần mềm mã độc PHÂN LOẠI CHUN GIA PHÂN TÍCH Chun gia phân tích cấp (L1) Khơng có khả giải vấn đề liên quan đến chuyên môn đặc biệt Dành phần lớn thời gian họ để xem xét cảnh báo IDS thực phân tích dựa phát họ Làm việc chủ yếu dựa kinh nghiệm phần lớn chuyên gia phân tích thuộc loại L1 PHÂN LOẠI CHUYÊN GIA PHÂN TÍCH Chun gia phân tích cấp (L2) L2 người cố vấn cho L1 Tham gia vào việc hỗ trợ hình thành tiến trình phát xâm nhập nhóm cách tạo chữ ký dựa kiện mạng khác nghiên cứu OSINT (Open-source intelligence) Thông qua nguồn liệu khác tay để cố gắng tìm kiện tiềm tàng thay dựa vào công cụ phát tự động PHÂN LOẠI CHUYÊN GIA PHÂN TÍCH Chun gia phân tích cấp (L3) Chuyên gia phân tích cấp cao tổ chức Được giao nhiệm vụ tư vấn cho chuyên gia phân tích khác, phát triển hỗ trợ đào tạo cung cấp hướng dẫn điều tra phức tạp Chịu trách nhiệm việc hỗ trợ để phát triển tăng cường khả thu thập liệu phân tích xâm nhập cho tổ chức Tạo phát triển công cụ mới, đánh giá công cụ có CÁC CƠNG CỤ NGUỒN MỞ CHO NSM Dữ liệu nội dung đầy đủ Tcpdump Tethereal Snort (Packet Logger) Ethereal Phân tích liệu bổ sung Editcap & Mergecap Tcpslice, Tcpreplay, Tcpflow Ngrep IPsumdump Etherape Netdude P0f Dữ liệu phiên Cisco’s Netflow Fprobe Ng_netflow Flow-tools sFlow & sFlow Toolkit Argus Tcptrace Bộ công cụ Security Onion Các Tools dựa Python (tham khảo Violent Python) ...NỘI DUNG Khái niệm thuật ngữ Phát xâm nhập Giám sát an toàn mạng Phòng thủ theo lỗ hổng bảo mật phòng thủ theo nguy Chu trình giám sát an tồn mạng Thách thức hệ thống NSM Chuyên... thực thi giám sát an toàn mạng - network security monitoring NSM NSM bao gồm: Thu thập liệu Phát xâm nhập Phân tích liệu an ninh mạng NSM KHƠNG PHẢI LÀ Quản lý thiết bị Quản lý kiện an ninh... vào việc phát phản ứng GIÁM SÁT AN TOÀN MẠNG Tập trung vào tập liệu Chỉ cung cấp cho chuyên gia phân tích liệu mà họ cần họ đưa định nhanh an tồn nhiều Tiến trình theo chu trình Mơ