BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN NGỌC TÂN HÙNG GIÁM SÁT AN NINH THƠNG TIN VÀ PHÂN TÍCH SỰ KIỆN TẬP TRUNG LUẬN VĂN THẠC SĨ KỸ THUẬT Chuyên ngành: Kỹ Thuật Viễn Thông Cán hướng dẫn khoa học: PGS.TS NGUYỄN THÚY ANH HÀ NỘI - 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN NGỌC TÂN HÙNG GIÁM SÁT AN NINH THÔNG TIN VÀ PHÂN TÍCH SỰ KIỆN TẬP TRUNG LUẬN VĂN THẠC SĨ KỸ THUẬT Chuyên ngành: Kỹ Thuật Viễn Thông Cán hướng dẫn khoa học: PGS.TS NGUYỄN THÚY ANH HÀ NỘI - 2019 Luận văn cao học Kỹ thuật viễn thông LỜI CAM ĐOAN Tên là: Nguyễn Ngọc Tân Hùng Sinh ngày 14 tháng năm 1993 Học viên lớp cao học Kỹ thuật Viễn thông 2017A - Trường đại học Bách Khoa Hà Nội Xin cam đoan nội dung đề tài “Giám sát an ninh thông tin phân tích kiện tập trung” tơi tự tìm hiểu, nghiên cứu thực hướng dẫn thầy giáo PGS.TS Nguyễn Thúy Anh Mọi trích dẫn tài liệu tham khảo mà sử dụng có ghi rõ nguồn gốc Tơi xin hồn tồn chịu trách nhiệm lời cam đoan Hà Nội, tháng năm 2019 Học viên thực Nguyễn Ngọc Tân Hùng Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông MỤC LỤC LỜI CAM ĐOAN MỤC LỤC CÁC TỪ VIẾT TẮT DANH SÁCH CÁC HÌNH VẼ, ĐỒ THỊ LỜI MỞ ĐẦU CHƯƠNG GIỚI THIỆU AN NINH MẠNG MÁY TÍNH 10 1.1 Giới thiệu chung 10 1.2 Tổng quan an ninh mạng 10 1.3 Các nguy an ninh mạng 11 1.3.1 Tình hình an ninh mạng qua số liệu 11 1.3.2 Tình hình xu hướng công mạng 12 1.3.3 Số liệu thống kê mã độc PandaLabs 15 1.4 Giải pháp phòng chống giảm thiểu công an ninh mạng 16 1.5 Tổng quan giám sát thông tin 17 1.5.1 Khái quát giám sát thông tin 17 1.5.2 Các dịch vụ SIEM 17 1.5.3 Các thành phần SIEM 20 1.6 Kết luận chương 29 CHƯƠNG TỔNG QUAN GIẢI PHÁP SIEM CỦA HP VÀ IBM 30 2.1 Giới thiệu chung 30 2.2 Một số giải pháp SIEM 30 2.2.1 Giải pháp ArcSight HP 30 2.2.2 Giải pháp Qradar IBM 32 2.3 Giải pháp IBM Qradar 34 Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông 2.3.1 Kiến trúc giải pháp IBM Qradar 34 2.3.2 Cơ chế hoạt động chung hệ thống 35 2.3.3 Tính giải pháp IBM Qradar 39 2.3.4 Ưu điểm giải pháp Qradar SIEM 42 2.4 Kết luận 50 CHƯƠNG ỨNG DỤNG GIẢI PHÁP IBM QRADAR SIEM 51 3.1 Giới thiệu chung 51 3.2 Mơ hình mạng CNNT ứng dụng giải pháp 51 3.3 Tính tương quan giải pháp IBM Qradar 52 3.4 Kết ứng dụng giải pháp Qradar 55 3.4.1 Nhật ký hoạt động (Log Activity) 55 3.4.2 Hoạt động mạng (Network activity) 55 3.4.3 Phân tích theo ứng dụng 56 3.4.4 Phân tích theo vùng địa lý 57 3.4.5 Phân tích theo giao thức mạng 58 3.4.6 Lỗ hổng bảo mật (Vulnerabilities) 59 3.4.7 Hành vi bất thường (Offenses) 60 3.5 Kết luận 61 KẾT LUẬN 62 TÀI LIỆU THAM KHẢO 64 Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông CÁC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt Chương trình tạo kết nối mà khơng Back-door ghi lại nhật ký người quản trị Data Tên hãng chuyên phát triển IBM công nghệ thông tin Hacker Người công công nghệ cao Log Nhật ký Netflow Qradar SIM SEM SIEM SOC Dữ liệu Sercurity information management Sercurity event management Sercurity information event management Security operations center Tính Cisco IOS cho phép thống kê lưu lượng gói qua router Tên giải pháp Quản lý kiện an tồn thơng tin IBM phát triển Quản lý thông tin an ninh Quản lý kiện an ninh Quản lí kiện an ninh thông tin Trung tâm điều hành an ninh Thực chép lưu lượng vào/ra Span port hay nhiều cổng nguồn gửi đến sổng đích để thực phân tích Trojan horse Chương trình độc hại lại ngụy trang thứ vô hại TC/DN Tổ chức/ doanh nghiệp CNTT Công nghệ thông tin Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông Website Trang Web DMZ Vùng mạng máy chủ MGMT Vùng mạng quản trị hệ thống VA Vulnerability Assessment Thành phần SIEM QRadar ESC Event Correlation Service Thành phần SIEM QRadar MPC Magistrate Processing Core Thành phần SIEM QRadar DDOS Distributed Denial of Service Một loại công từ tối dịch vụ DOS Denial of Service Một loại công từ tối dịch vụ Pull Kéo Push Đẩy Intrusion Detection System Hệ thống phát xâm nhập IDS Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thơng DANH SÁCH CÁC HÌNH VẼ, ĐỒ THỊ Hình ảnh 1.1: Bản đồ tấn cơng Website theo quốc gia 12 Hình ảnh 1.2: Biểu đồ thời gian xử lý cơng mạng 13 Hình ảnh 1.3: 10 mẫu mã độc xuất nhiều theo PandaLabs 16 Hình ảnh 1.4: Các thành phần SIEM 21 Hình ảnh 1.5: Chuẩn hóa Log 25 Hình ảnh 1.6: Các Log thu thập vòng 30 giây 27 Hình ảnh 2.1: Mơ hình giải pháp ArcSight HP 30 Hình ảnh 2.2: Mơ hình liệu đặc trưng 31 Hình ảnh 2.3: Mơ hình giải pháp Qradar IBM 33 Hình ảnh 2.4: Kiến trúc giải pháp IBM Qradar 34 Hình ảnh 2.5: Các thành phần ECS 36 Hình ảnh 2.6: Mơ hình hoạt động IBM Qradar 39 Hình ảnh 2.7: Mơ hình hoạt đọng IBM Qradar 40 Hình ảnh 2.8: Kết giám sát thơng tin an ninh 41 Hình ảnh 2.9: Thiết bị All-in-One 43 Hình ảnh 2.10: Ưu điểm quản lý Qradar 44 Hình ảnh 2.11: Theo dõi hoạt động hệ thống 45 Hình ảnh 2.12: Quản lý thời gian thực 46 Hình ảnh 2.13: Quản lý cố 46 Hình ảnh 2.14: Quản lý tài sản 47 Hình ảnh 2.15: Hệ thống mạng CNTT chia thành nhóm quản lý 47 Hình ảnh 2.16: Báo cáo tổng quan hệ thống 48 Hình ảnh 2.17: Báo cáo theo yêu cầu 48 Hình ảnh 2.18: Quản lý rủi 49 Hình ảnh 2.19: Chi tiết rủi ro máy 10.50.2.25 49 Hình ảnh 2.20: Chi tiết rủi tồn 50 Hình ảnh 3.1: Mơ hình áp dụng giải pháp IBM Qradar 51 Hình ảnh 3.2: Cảnh báo có cố 52 Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.3: Nhật ký kiện liên quan đến cố 52 Hình ảnh 3.4: Kết nối sử dụng port 445 53 Hình ảnh 3.5: Kết nối sử dụng port 60153 53 Hình ảnh 3.6: Danh sách kiện tương quan với X-Force 54 Hình ảnh 3.7: Đánh giá đỉa IP X-Force 55 Hình ảnh 3.8: Nhật lý kiện 55 Hình ảnh 3.9: Nhật ký lưu lượng mạng 56 Hình ảnh 3.10: Ứng dụng sử dụng mạng 57 Hình ảnh 3.11:Vùng địa lý 58 Hình ảnh 3.12: Giao thức mạng 59 Hình ảnh 3.13: Đánh giá tổng quan lỗ hổng bảo mật sau quét 59 Hình ảnh 3.14: Chi tết lỗ hổng bảo mật thiết bị 60 Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông LỜI MỞ ĐẦU Ngày nay, giới ngày phát triển, công nghệ thơng tin đóng vai trị quan trọng, khơng thể thiếu lĩnh vực đời sống Số lượng máy tính gia tăng, địi hỏi hệ thống mạng phải phát triển để đáp ứng nhu cầu kết nối toàn cầu Hệ thống mạng ngày phát triển đòi hỏi khả quản trị để trì hoạt động mạng cách tốt Vì người quản trị mạng cần công cụ hỗ trợ khả quản trị Đối với hệ thống mạng, để trì mạng hoạt động tốt có nhiều thứ phải quản trị hiệu mạng, lưu lượng mạng, ứng dụng chạy mạng, người sử dụng mạng, an ninh mạng Ngoài để trì hệ thống hoạt động tốt cần phải phát ngăn chặn trước nguy tiềm ẩn trước công, mối nguy hiểm tồn hệ thống Security Information Event Management (SIEM) giải pháp hoàn chỉnh, đầy đủ cho phép tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống Đây công nghệ chuyên gia bảo mật quan tâm Nó sử dụng phương pháp phân tích chuẩn hóa mối tương quan kiện để đưa cảnh báo cho người quản trị từ mà phịng chống, giảm thiểu trước công mạng Để nghiên cứu sâu kĩ thuật em định chọn đề tài “Giám sát an ninh thơng tin phân tích kiện tập trung” cho luận văn tốt nghiệp Trên sở phân tích tình hình thực tế tình trạng sở hạ tầng công nghệ thông tin tổ chức, tập đồn, cơng ty, ngân hàng…luận văn nghiên cứu giải pháp giám sát an ninh thông tin phân tích kiện tập trung nhằm phịng chống giảm thiểu công mạng Luận văn trình bày chi tiết giải pháp giám sát an ninh thơng tin phân tích kiện tập trung để ứng dụng vận hành thực tế thuận lợi dễ dàng, chủ động trước công mạng Nội dung luận văn gồm phần: Chương 1: Giới thiệu an ninh mạng máy tính Chương 2: Tổng quan giải pháp SIEM HP IBM Chương 3: Ứng dụng giải pháp IBM Qradar SIEM Nguyễn Ngọc Tân Hùng – CA170270 Page Luận văn cao học Kỹ thuật viễn thông CHƯƠNG ỨNG DỤNG GIẢI PHÁP IBM QRADAR SIEM 3.1 Giới thiệu chung Chương trình bày kết đạt ứng dụng giải pháp vào mơ hình CNTT doanh nghiệp Đưa đánh giá kết đạt hướng phát triển tương lai 3.2 Mơ hình mạng CNNT ứng dụng giải pháp Hình ảnh 3.1: Mơ hình áp dụng giải pháp IBM Qradar Mơ tả hệ thống: Hệ thống chia vùng khac để dễ dàng cho việc quản lý:  Vùng người dùng: vùng kết nối với người dùng cuối  Vùng DMZ: vùng chứa server chạy ứng dụng  Vùng MGMT: vùng chứa công cụ quản trị, theo dõi hệ thống mạng  Vùng Internet access: vùng chứa thiết bị phục vụ truy cập internet  Vùng Core Switch: vùng chứa thiết bị Switch phục vụ cho việc lưu chuyễn liệu hệ thống mạng Với mơ hình này, Qradar nằm vùng MGMT để theo dõi, giám sát tồn hoạt động hệ thống Khi có hành vi bất thường hệ thống mạng Qradar gửi cảnh báo tới cho người quản trị Nguyễn Ngọc Tân Hùng – CA170270 Page 51 Luận văn cao học Kỹ thuật viễn thơng 3.3 Tính tương quan giải pháp IBM Qradar Tình 1:  Một máy người dùng cuối thực nhiều kết nối tới nhiều địa IP mạng Nghi ngờ máy người dùng bị nhiễm malware thực hành vi dò quét hệ thống  Cảnh báo Qradar tạo (offense): Hình ảnh 3.2: Cảnh báo có cố Quan sát tổng quan thấy: IP 172.16.18.109 thực kết nối tới 258 địa IP local khác hệ thống mạng 12 phút 7s Tiến hành điều tra:  Kiểm tra nhật ký kiện (events): Hình ảnh 3.3: Nhật ký kiện liên quan đến cố Nguyễn Ngọc Tân Hùng – CA170270 Page 52 Luận văn cao học Kỹ thuật viễn thông Địa IP 172.16.18.109 thực kế nối tới nhiều địa IP khác sử dụng port: (ICMP), 445(tcp), 137(udp), 138(udp), 53(udp), 60153(tcp) Kiểm tra sâu vào kiện sử dụng port khác nhau: Phân tích: o Port 445 dùng cho dịch vụ SMB truyền qua TCP SMB (Server Message Block) sử dụng cho mục đích chia sẻ file Vì cần kiểm tra lại lại máy người dùng Hình ảnh 3.4: Kết nối sử dụng port 445 o Port 60153: dynamic port Cần kiểm tra lại tiến trình sử dụng port máy có địa IP: 172.16.18.109 Hình ảnh 3.5: Kết nối sử dụng port 60153 Tình 2: Nguyễn Ngọc Tân Hùng – CA170270 Page 53 Luận văn cao học Kỹ thuật viễn thông Tương quan với IBM Security X-Force Hình ảnh 3.6: Danh sách kiện tương quan với X-Force Một Enpoint có kết nối tới nhiều IP đánh giá Ricky IP Nghi ngờ Enpoint bị nhiễm malware đăng bị điều khiển, cần phải ngăn chặn để giảm rủi Kiểm tra tiếp tục xem hệ thống mạng cịn Endpoint hay thiết bị có kết nối tới IP không Nguyễn Ngọc Tân Hùng – CA170270 Page 54 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.7: Đánh giá đỉa IP X-Force 3.4 Kết ứng dụng giải pháp Qradar 3.4.1 Nhật ký hoạt động (Log Activity) Thu thập nhật ký từ thiết bị mạng Log activity cho phép theo dõi kiện theo thời gian thực Tìm kiếm kiện an ninh thiết bị hệ thống nhanh chóng dễ dàng để phục vụ cho việc điều tra an ninh Đánh giá nghiêm trọng kiện: Mục cho phép bạn xem số kiện nhận theo cấp độ mức độ nghiêm trọng định Mức độ nghiêm trọng cho thấy số lượng mối đe doạ mà nguồn gây liên quan đến cách chuẩn bị đích đến cho cơng Mức độ nghiêm trọng (thấp) đến 10 (cao) Hình ảnh 3.8: Nhật lý kiện 3.4.2 Hoạt động mạng (Network activity) Theo dõi lưu lượng mạng, kiểm sốt gói tin (dung lượng gói tin, nọi dụng gói tin) Hiển thị lưu lượng mạng theo dõi thông qua span port, netflow thiết bị chuyển mạch Nguyễn Ngọc Tân Hùng – CA170270 Page 55 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.9: Nhật ký lưu lượng mạng 3.4.3 Phân tích theo ứng dụng Hệ thống tự động nhận dạng ứng dụng từ luồng traffic thu thập  Web.SecureWeb  Web.Text.HTML  DataWarehousing.MSQLServer  Misc.Syslog  V.v Nguyễn Ngọc Tân Hùng – CA170270 Page 56 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.10: Ứng dụng sử dụng mạng 3.4.4 Phân tích theo vùng địa lý Từ IP nguồn, đích, Qradar tự động phát vùng địa lý giúp người quản trị nhanh chóng thu hẹp phạm vi điều tra cố  Việt Nam  USA  South-Korea  Spain  Russian  V.v Nguyễn Ngọc Tân Hùng – CA170270 Page 57 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.11:Vùng địa lý 3.4.5 Phân tích theo giao thức mạng Giống application, Qradar tự động nhận dạng protocol mà thiết bị nói chuyện với  Tcp_ip  Udp_ip  Icmp_ip  GRE  V.v Nguyễn Ngọc Tân Hùng – CA170270 Page 58 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.12: Giao thức mạng 3.4.6 Lỗ hổng bảo mật (Vulnerabilities) Dò quét lỗ hổng bảo mật thiết bị cấu hình Giúp ngăn chặn cố bảo mật cách nhận diện 70000 lỗ hổng bảo mật như: tính phần mềm lỗi nhà cung cấp Hình ảnh 3.13: Đánh giá tổng quan lỗ hổng bảo mật sau quét Nguyễn Ngọc Tân Hùng – CA170270 Page 59 Luận văn cao học Kỹ thuật viễn thơng Hình ảnh 3.14: Chi tết lỗ hổng bảo mật thiết bị 3.4.7 Hành vi bất thường (Offenses) Khi nhật ký kiện lưu lượng mạng qua quy tắc, tương quan với quy tắc cấu hình hành vi phạm tội tạo dựa mối tương quan Sau cảnh báo đến người quản trị Nguyễn Ngọc Tân Hùng – CA170270 Page 60 Luận văn cao học Kỹ thuật viễn thông 3.5 Kết luận Chương thực cho thấy tính tương quan giải pháp IBM Qradar thực tế làm rõ tính nhắm đến chương Từ vận hành thực tế ta thấy ưu điểm giải pháp IBM Qradar Nguyễn Ngọc Tân Hùng – CA170270 Page 61 Luận văn cao học Kỹ thuật viễn thông KẾT LUẬN Đề tài “Giám sát an ninh thơng tin phân tích kiện tập trung” đề tài có tính thực tế cao áp dụng cho hệ thống công nghệ thông công nghệ thông tin Khi cách thức công ngày tinh vi việc nắm bắt kiện thời điểm dự đốn trước hành cơng việc quan trọng Với nội dung nghiên cứu IBM Qradar người đọc hiểu thêm hình dung cách thức quản trị thiết lập giải pháp cách dễ dàng Trong mơ hình thực tế nêu áp dụng số chức Qradar: nhật ký kiện (event log), luồng lưu lượng (flow) Giải pháp IBM Qradar có tính ổn định cao với nhiều chức đáp ứng cho nhu cầu đơn vị có nhu cầu bảo mật hệ thống Kết đạt đề tài  Khái quát tình hình an ninh mạng  Tìm hiểu, nghiên cứu phân tích giải pháp giám sát an ninh mạng đặc biệt giải pháp SIEM  Tìm hiểu nghiên cứu thành phần, chế hoạt động hệ thống giám sát an ninh mạng IBM Qradar  Triển khai ứng dụng giải pháp IBM Qradar để phòng chống giảm thiểu công mạng Hướng phát triển đề tài  Áp dụng tính IBM Qradar để nâng cao hiểu việc giám sát an ninh mạng  Tiếp tục nghiên cứu giải pháp giám sát an ninh mạng tiên tiến hiệu Đánh giá quan điểm cá nhân giải pháp IBM Qradar SIEM  Giải pháp IBM Qradar SIEM giải pháp giúp cho tổ chức, doanh nghiệp phát mối nguy hại nằm tiềm ẩn hệ thống CNTT Nguyễn Ngọc Tân Hùng – CA170270 Page 62 Luận văn cao học Kỹ thuật viễn thông  Giải pháp IBM Qradar SIEM cần phải thu thập phần tích nhiều thông tin từ thiết bị thuộc hệ thống CNTT mà giải pháp cung cấp cho người quản trị nhìn tổng quan hệ thống  Bản chất SIEM thu thập thơng tin giám sát hệ thơng, để có giải pháp tồn diện cần phải phát triển thêm mặt phản ứng lại cố xảy hệ thống CNTT Nguyễn Ngọc Tân Hùng – CA170270 Page 63 Luận văn cao học Kỹ thuật viễn thông TÀI LIỆU THAM KHẢO [1] David R Miller, Shon Harris, Allen A Harper, Stephen VanDyke, Chris Blask, (2011), Security Information and Event Management (SIEM) Implementation, The McGraw-Hill Companies [2] IBM Corporation (2018), IBM Security Qradar Version 7.3.2 Getting Started Guide [3] IBM Corporation (2018), IBM Security Qradar Version 7.3.2 Users Guide [4] IBM Corporation (2018), IBM Security Qradar Version 7.3.2 Installtion Guide [5] IBM Corporation (2018), IBM Security Qradar Version 7.3.2 Admin Guide [6] IBM Corporation (2018), IBM Security Qradar Vulnerability Manager Version 7.3.2 User Guide [7] Panda Security, (November 2017), PandaLabs Annual Report 2017, pp 6-18 [8] SymantecCorp (March 2018), Executive Summary 2018 Internet Security Threat Report, ISTR Volume 23, pp.1-2 Nguyễn Ngọc Tân Hùng – CA170270 Page 64 Luận văn cao học Kỹ thuật viễn thông Nguyễn Ngọc Tân Hùng – CA170270 Page 65 ... giải pháp giám sát an ninh thơng tin phân tích kiện tập trung nhằm phòng chống giảm thiểu cơng mạng Luận văn trình bày chi tiết giải pháp giám sát an ninh thông tin phân tích kiện tập trung để... kiện an ninh thông tin tổ chức Kết phân tích giúp cho chuyên gia phân tích kiện an ninh dự đốn công mà phát theo phương pháp thông thường 1.5 Tổng quan giám sát thông tin 1.5.1 Khái quát giám sát. .. dựa vào người quản trị nhanh chóng xử lý cố an tồn an ninh thông tin lưu trữ theo thời gian SIEM giải pháp dành cho việc quản lý, giám sát an ninh thông tin tập trung thông qua việc thu thập kiện