HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN NGỌC ĐIỆP BÀI GIẢNG IT KỸ THUẬT THEO DÕI, GIÁM SÁT PT AN TOÀN MẠNG HÀ NỘI, 2015 GIỚI THIỆU Ngày nay, Internet phát triển vô mạnh mẽ có ảnh hưởng lớn đến hầu hết hoạt động kinh tế, văn hóa xã hội Dường khơng có khác biệt nhiều việc người dùng tham gia vào hoạt động môi trường mạng Internet so với sống thực bên ngồi Đi kèm đó, ngày xuất nhiều nguy liên quan đến việc bảo mật bảo vệ tài sản người dùng tổ chức, dẫn đến ngày có nhiều nhu cầu bảo vệ tài sản mạng Trong thập kỷ qua, với nguy nhu cầu đó, khái niệm giám sát an tồn mạng (network security monitoring, NSM) đời phát triển, thơng qua chu trình giám sát an tồn mạng giúp cá nhân tổ chức nâng cao chất lượng bảo vệ toàn vẹn tài sản họ PT IT Bài giảng “Kỹ thuật theo dõi, giám sát an toàn mạng” biên soạn nhằm hỗ trợ cho sinh viên Đại học Công nghệ thông tin, đặc biệt chun ngành An tồn thơng tin, có kiến thức chuyên sâu giám sát an toàn mạng, người quan tâm đến lĩnh vực tham khảo Bên cạnh nội dung lý thuyết tập trung vào quy trình giám sát an tồn mạng, giảng cịn đưa ví dụ cụ thể thực tế hướng dẫn hoạt động thực hành, giúp người đọc nắm mặt công nghệ kỹ thuật liên quan Nội dung giảng tham khảo từ số tài liệu chuyên ngành NSM, đặc biệt sách “Applied Network Security Monitoring” tác giả Chris Sanders Jason Smith Đây tài liệu nhiều giáo viên sinh viên sử dụng cho mục đích nghiên cứu học tập Bài giảng cấu trúc với bốn nội dung sau: Chương giới thiệu khái niệm giám sát an toàn mạng chu trình giám sát an tồn mạng, thách thức hệ thống NSM, chuyên gia phân tích NSM, giới thiệu công cụ Security Onion, công cụ hữu dụng giảng dạy học tập Các chương giảng trình bày cụ thể bước chu trình giám sát an toàn mạng, bao gồm thu thập liệu, phát xâm nhập phân tích liệu để đưa cảnh báo biện pháp đối phó với nguy an tồn mạng Chương trình bày phương pháp thu thập liệu, thiết bị thu thập liệu cảm biến loại liệu NSM: liệu phiên, liệu bắt gói tin đầy đủ liệu kiểu chuỗi gói tin Chương thảo luận kỹ thuật phát xâm nhập, dấu hiệu công chữ ký, phương pháp phát xâm nhập: dựa danh tiếng, dựa chữ ký dựa liệu bất thường thống kê, với công cụ thực hành cụ thể Snort, Suricata SiLK Cuối cùng, chương trình bày kỹ thuật phân tích gói tin với cơng cụ Tcpdump Wireshark Chương trình bày chu trình thu thập tri thức nguy bảo mật cho NSM trình tạo tri thức tài nguyên cần bảo vệ tri thức nguy bảo mật Phần cuối chương trình bày quy trình phân tích liệu ii MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TOÀN MẠNG 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM 1.2 PHÁT HIỆN XÂM NHẬP 1.3 GIÁM SÁT AN TOÀN MẠNG (NSM) 1.4 PHÒNG THỦ THEO LỖ HỔNG BẢO MẬT VÀ PHÒNG THỦ THEO NGUY CƠ 1.5 CHU TRÌNH GIÁM SÁT AN TOÀN MẠNG 1.6 THÁCH THỨC ĐỐI VỚI HỆ THỐNG NSM 1.7 CHUYÊN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM 1.8 BỘ CÔNG CỤ SECURITY ONION 11 PT IT CHƯƠNG THU THẬP DỮ LIỆU 16 2.1 PHƯƠNG PHÁP THU THẬP DỮ LIỆU 16 2.1.1 Giới thiệu phương pháp 16 2.1.2 Ví dụ tình huống: Cửa hàng bán lẻ 19 2.2 KIẾN TRÚC CẢM BIẾN 25 2.2.1 Các loại liệu NSM 26 2.2.2 Các loại cảm biến 26 2.2.3 Phần cứng cảm biến 28 2.2.4 Hệ điều hành cảm biến 30 2.2.5 Vị trí đặt cảm biến 31 2.2.6 Bảo mật cho cảm biến 32 2.3 DỮ LIỆU PHIÊN 34 2.3.1 Luồng liệu 34 2.3.2 Thu thập liệu phiên 36 2.3.3 Thu thập phân tích luồng liệu với SiLK 37 2.3.4 Thu thập phân tích luồng liệu với Argus 40 2.3.5 Lưu trữ liệu phiên 42 2.4 DỮ LIỆU BẮT GÓI TIN ĐẦY ĐỦ 42 2.4.1 Giới thiệu số công cụ 43 2.4.2 Lựa chọn công cụ thu thập 47 2.4.3 Lập kế hoạch thu thập 47 2.4.4 Giảm tải cho lưu trữ liệu 51 2.4.5 Quản lý liệu thu thập 53 2.5 DỮ LIỆU KIỂU CHUỖI TRONG GÓI TIN 53 2.5.1 Định nghĩa 53 2.5.2 Thu thập liệu 55 2.5.3 Xem liệu 59 CHƯƠNG PHÁT HIỆN XÂM NHẬP 64 3.1 CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ 64 3.1.1 Kỹ thuật phát xâm nhập 64 3.1.2 Dấu hiệu xâm nhập chữ ký 65 iii 3.1.3 Quản lý dấu hiệu công chữ ký 70 3.1.4 Các khung làm việc cho dấu hiệu công chữ ký 71 3.2 PHÁT HIỆN XÂM NHẬP DỰA TRÊN DANH TIẾNG 74 3.2.1 Danh sách danh tiếng công khai 74 3.2.2 Tự động phát xâm nhập dựa danh tiếng 76 3.3 PHÁT HIỆN XÂM NHẬP DỰA TRÊN CHỮ KÝ VỚI SNORT VÀ SURICATA 80 3.3.1 Snort 80 3.3.2 Suricata 82 3.3.3 Thay đổi công cụ IDS Security Union 84 3.3.4 Khởi tạo Snort Suricata cho việc phát xâm nhập 85 3.3.5 Cấu hình Snort Suricata 87 3.3.6 Các luật IDS 93 3.3.7 Xem cảnh báo Snort Suricata 101 3.4 PHÁT HIỆN XÂM NHẬP DỰA TRÊN BẤT THƯỜNG VỚI DỮ LIỆU THỐNG KÊ 103 3.4.1 Tạo danh sách thống kê với SiLK 103 3.4.2 Khám phá dịch vụ với SiLK 106 3.4.3 Tìm hiểu thêm phát xâm nhập dựa thống kê 110 3.4.4 Một số công cụ hiển thị thống kê 113 PT IT CHƯƠNG PHÂN TÍCH DỮ LIỆU 117 4.1 PHÂN TÍCH GĨI TIN 117 4.1.1 Xâm nhập vào gói tin 117 4.1.2 Một số khái niệm toán học liên quan 118 4.1.3 Phân tích chi tiết gói tin 121 4.1.4 Phân tích NSM với Tcpdump 125 4.1.5 Phân tích NSM với Wireshark 128 4.1.6 Lọc gói tin 135 4.2 TRI THỨC VỀ NGUY CƠ BẢO MẬT VÀ TÀI NGUYÊN CẦN BẢO VỆ 137 4.2.1 Chu trình thu thập tri thức nguy bảo mật cho NSM 138 4.2.2 Tạo tri thức tài nguyên cần bảo vệ 141 4.2.3 Tạo tri thức nguy bảo mật 147 4.3 QUY TRÌNH PHÂN TÍCH 152 4.3.1 Các phương pháp phân tích 152 4.3.2 Các phương pháp quy chuẩn thực tiễn tốt cho phân tích 162 TÀI LIỆU THAM KHẢO 165 iv DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ Giải thích Applied Collection Framework Berkeley Packet Filter Command and Control Community Emergency Response Team Classless Inter-Domain Routing Center for Internet Security máy khách Computer Network Defense Domain Name System Full Packet Capture Host-based IDS máy tính/máy trạm IT Hypertext Transfer Protocol HTTP over SSL / HTTP Secure Internet Control Message Protocol Intrusion Detection System Indicators of Compromise Java Runtime Environment JavaScript Object Notation PT Từ viết tắt/Thuật ngữ ACF BPF C&C CERT CIDR CIS Client CND DNS FPC HIDS Host HTTP HTTPS ICMP IDS IOC JRE JSON MDL NAT NIDS NSM OSINT PCAP PRADS PSTR Request/response SAN server SIEM SMTP SO SPAN STIX TCP TI VLAN VPN Malware Domain List Network Address Translation Network-based IDS Network Security Monitoring Open-source intelligence Packet Capture Passive Real-time Asset Detection System Packet String yêu cầu/phản hồi Storage Area Networking máy chủ Security Information and Event Management Simple Mail Transfer Protocol Security Onion Switched Port Analyzer Structured Threat Information eXpression Transmission Control Protocol Threat Intelligence Virtual Local Area Network Virtual Private Network v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TỒN MẠNG Chương trình bày vấn đề giám sát an toàn mạng (NSM), bao gồm số nội dung sau: thuật ngữ dùng NSM, phát xâm nhập mạng, giám sát an tồn mạng, chu trình giám sát an tồn mạng; phân biệt khái niệm phịng thủ theo lỗ hổng bảo mật phòng thủ theo nguy cơ; thách thức hệ thống NSM; chuyên gia phân tích lĩnh vực NSM; cuối giới thiệu công cụ Security Onion (SO), cơng cụ hữu ích giảng dạy học tập lĩnh vực NSM 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM PT IT Internet kho liệu khổ lồ, nơi mà tất tham gia vào cung cấp, lưu trữ khai thác thông tin, liệu sẵn có hệ thống Cùng với nhiều mối nguy cơ, đe dọa mà người phải đối mặt, vượt qua khái niệm vùng lãnh thổ địa lý đến cấp độ toàn cầu Những người có hành vi xấu (muốn đánh cắp thơng tin/dữ liệu, muốn gây hại đến người dùng khác, muốn phá hủy hệ thống quan trọng tổ chức,…, gọi chung tội phạm Internet) hoạt động theo tổ chức đơn lẻ Vậy câu hỏi đặt làm để đưa luật (hay quy tắc) ép buộc tất người thực thi luật này? Câu trả lời vơ khó khăn Với thực tế này, năm vừa qua, nhiều cá nhân, tổ chức tập trung trọng tâm vào việc bảo vệ máy tính liệu họ khỏi kẻ tội phạm mạng nhiều cách khác Đặc biệt, có cách hiệu để thực việc thực thi giám sát an toàn mạng (network security monitoring - NSM) NSM bao gồm việc thu thập liệu, phát xâm nhập phân tích liệu an ninh mạng NSM phân loại theo miền sau:  Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập khai thác trái phép vào hệ thống Các chức bao gồm đánh giá lỗ hổng, đánh giá điểm yếu, quản lý chống phần mềm độc hại, đào tạo nâng cao nhận thức người dùng, nhiệm vụ đảm bảo thông tin chung khác  Dị tìm (phát hiện): Tập trung vào việc phát công xảy xảy trước Chức bao gồm giám sát an ninh mạng, nhạy cảm với việc công cảnh báo  Đáp ứng: Tập trung vào việc phản ứng lại sau có cơng xảy Chức bao gồm ngăn chặn cố, phân tích dựa máy chủ mạng, phân tích phần mềm độc hại báo cáo cố  Duy trì: Tập trung vào việc quản lý người, tiến trình cơng nghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) Điều bao gồm hợp đồng, biên chế đào tạo, phát triển triển khai công nghệ, quản lý hệ thống hỗ trợ Các thuật ngữ quan trọng giám sát an toàn mạng bao gồm: tài sản, nguy (đe dọa), lỗ hổng, khai thác, điểm yếu, bất thường, cố, phát xâm nhập, giám sát an toàn mạng (NSM), thu thập liệu, phân tích liệu, hệ thống phát xâm nhập, chuyên gia phân tích, kỹ năng, cảnh báo, kẻ thù, công cụ Security Onion  Tài sản (đề cập đến thuộc phạm vi mạng tin cậy tổ chức): thứ có giá trị tổ chức, bao gồm máy tính, máy chủ, thiết bị mạng,… Ngồi ra, tài sản cịn bao gồm liệu, người, quy trình, sở hữu trí tuệ danh tiếng tổ chức  Nguy (đe dọa): bên có khả ý định khai thác lỗ hổng tài sản Các nguy chia thành loại, có cấu trúc khơng có cấu trúc  Nguy có cấu trúc: sử dụng chiến thuật thủ tục hành chính, xác định rõ mục tiêu Điều thường bao gồm tội phạm có tổ chức, nhóm tin tặc, quan tình báo phủ qn đội Nguy có cấu trúc ln theo đuổi mục tiêu lựa chọn, có lý mục đích cụ thể IT  Nguy khơng có cấu trúc: khơng có động cơ, kỹ năng, chiến lược, kinh nghiệm nguy có cấu trúc Các nguy thường cá nhân nhóm có tổ chức lỏng lẻo nhỏ Nguy khơng có cấu trúc thường theo đuổi mục tiêu tùy vào hội, lựa chọn tài sản mạng diện với lỗ hổng dễ dàng bị làm tổn hại PT Dù phạm vi chất nguy nào, tất chúng có điểm chung muốn đánh cắp từ hệ thống tổ chức, tiền bạc, tài sản trí tuệ, danh tiếng, đơn giản thời gian  Lỗ hổng: phần mềm, phần cứng, điểm yếu thủ tục mà hỗ trợ kẻ công đạt quyền truy cập trái phép vào tài sản mạng Ví dụ hệ thống xác thực khơng cách cho phép kẻ cơng đốn tên đăng nhập người dùng Chú ý người coi lỗ hổng  Khai thác: phương pháp mà lỗ hổng bị công Ví dụ, trường hợp khai thác phần mềm, đoạn mã khai thác chứa payload (tải) cho phép kẻ công thực số hành động hệ thống từ xa (như sinh lệnh shell); ứng dụng web, lỗ hổng cách xử lý đầu vào đầu cho phép kẻ công khai thác ứng dụng với SQL injection  Điểm yếu (rủi ro): khả có mối đe dọa nhằm khai thác lỗ hổng Việc xác định định lượng rủi ro điều khó khăn liên quan đến việc đặt giá trị mạng tài sản liệu Vì vậy, người ta thường thảo luận việc làm tăng giảm mức độ rủi ro tài sản, việc tính tốn định lượng rủi ro  Bất thường: Là kiện quan sát hệ thống mạng coi khác thường Ví dụ bất thường hệ thống bị sập, gói tin bị thay đổi, thấy có liên hệ khơng bình thường với máy chủ lạ, số lượng lớn liệu chuyển khoảng thời gian ngắn,… Bất thường tạo cảnh bảo công cụ phát hiện, hệ thống phát xâm nhập trái phép, ứng dụng xem xét nhật ký (log)  Sự cố: Khi kiện xem xét điều tra, phân loại phần cố Một cố vi phạm nguy xảy có liên quan đến sách bảo mật máy tính, sách sử dụng chấp nhận sách bảo mật chuẩn Đơn giản nói, cố điều xấu xảy ra, diễn mạng tổ chức Ví dụ, có cơng vào thư mục gốc máy tính, cài đặt phần mềm độc hại đơn giản, công từ chối dịch vụ, thực thi thành công mã độc từ email (thư điện tử) giả mạo Chú ý cố bao gồm nhiều kiện, hầu hết kiện không trực tiếp đại diện cho cố 1.2 PHÁT HIỆN XÂM NHẬP IT Trước sử dụng thuật ngữ NSM, lĩnh vực phát thường mô tả đơn giản phát xâm nhập (Intrusion Detection) Mặc dù NSM xuất khoảng mười năm, thuật ngữ thường sử dụng thay cho Đây từ đồng nghĩa, mà hơn, phát xâm nhập thành phần NSM đại Việc phát xây dựng xung quanh mơ hình cũ phát xâm nhập, thường có vài đặc điểm riêng biệt: Bảo vệ (phịng thủ) lỗ hổng bảo mật Mơ hình phổ biến kẻ cơng mạng máy tính đột nhập vào mạng cách khai thác lỗ hổng phần mềm Vì mơ hình đơn giản dễ dàng bị loại bỏ, nên phần mà hầu hết chương trình phát xâm nhập sớm xây dựng xung quanh Hệ thống phát xâm nhập (IDS) triển khai với mục tiêu phát việc khai thác lỗ hổng  Phát tập liệu quan trọng Phần lớn nỗ lực đặt lĩnh vực nằm phạm vi việc phát Tuy nhiên, việc thu thập liệu thường không tập trung vào mối liên hệ chiến lược thu thập mục tiêu phát Việc dẫn đến tình trạng coi thu thập "quá nhiều liệu luôn tốt không đủ" "bắt giữ tất thứ xếp lại sau"  Phần lớn dựa chữ ký Việc khai thác lỗ hổng phần mềm thường hành động tương đối tĩnh phát triển dễ dàng thành chữ ký IDS Như vậy, phát xâm nhập theo cách truyền thống dựa vào hiểu biết tất lỗ hổng biết đến phát triển chữ ký cho phát họ  Cố gắng phân tích tự động hồn tồn Mơ hình phát xâm nhập dựa lỗ hổng tin tưởng hầu hết cảnh báo IDS tạo đáng tin cậy Do vậy, mơ hình thường dựa vào việc phân tích người, cố gắng để tự động phân tích nhiều tốt sau phát có xâm nhập Tuy nhiên, với thực trạng an ninh mạng tại, việc phát xâm nhập theo cách truyền thống hiệu Lý thất bại PT  phòng vệ dựa lỗ hổng Khi lỗ hổng tập trung bảo vệ, kẻ công tâm nhắm vào mục tiêu cụ thể, tìm lỗ hổng khác để khai thác 1.3 GIÁM SÁT AN TOÀN MẠNG (NSM) NSM xuất phát ủng hộ người/tổ chức có tư phịng thủ, ví dụ quân đội, nơi mà hoạt động có tầm quan trọng liệu cần có tính bảo mật cao Một số hoạt động sau: Phá hủy: Làm tổn thương hệ thống thực thể nặng đến mức thực chức khôi phục trạng thái hữu dụng mà khơng phải xây dựng lại hồn tồn  Phá vỡ: Phá vỡ làm gián đoạn luồng thông tin  Làm suy giảm: Làm giảm ảnh hưởng tác động từ lệnh đối thủ, giảm kiểm soát, làm suy giảm hệ thống thông tin liên lạc, đồng thời nỗ lực thu thập thông tin, phương tiện Từ đó, làm suy giảm tinh thần đơn vị, giảm giá trị mục tiêu, làm giảm chất lượng định hành động kẻ thù  Từ chối: Nhằm ngăn chặn kẻ thù truy cập sử dụng thông tin, hệ thống dịch vụ quan trọng  Đánh lừa: Làm cho người tin khơng phải thật Tìm kiếm để đánh lừa người định cách điều khiển nhận thức họ thực  Khai thác: Nhằm truy nhập đến lệnh kẻ thù điều khiển hệ thống thu thập thông tin đưa thông tin sai lệch  Ảnh hưởng: Làm cho người khác thực hành vi theo cách thuận lợi  Bảo vệ: Có hành động bảo vệ chống lại gián điệp bắt giữ thiết bị thông tin nhạy cảm  Phát hiện: Khám phá hay xác định tồn tại, diện, thực xâm nhập vào hệ thống thông tin  Khôi phục: Đưa thông tin hệ thống thông tin trở trạng thái ban đầu  Ứng phó: Phản ứng nhanh với kẻ thù kẻ công, xâm nhập khác PT IT  Nhiều mục tiêu số liên kết với Phần lớn hệ thống NSM dành riêng để phát nỗ lực nhằm ứng phó tốt NSM coi mơ hình cho lĩnh vực phát xây dựng tập đặc tính khác biệt hoàn toàn so với phát xâm nhập truyền thống  Phòng chống thất bại cuối Một thực tế khó khăn việc chấp nhận cuối tài sản bị Mặc dù tất thứ từ phòng thủ đến bước phản ứng chủ động thực hiện, cuối kẻ cơng tìm thấy đường vào hệ thống Thực tế, tổ chức xây dựng hệ thống phịng thủ tốt, kẻ công xây dựng phương pháp cơng mạnh Ví dụ, doanh nghiệp triển khai tường lửa đảm bảo máy chủ vá lỗi đầy đủ, kẻ cơng sử dụng công kỹ thuật lừa đảo để có chỗ đứng mạng sử dụng khai thác zero-day để đạt quyền truy nhập vào thư mục gốc máy chủ vá lỗi Do vậy, chấp nhận cuối tài sản bị tổn hại, tổ chức thay đổi cách bảo vệ tài sản họ Thay dựa vào phịng thủ, tổ chức cần tập trung thêm vào việc phát phản ứng Để làm điều này, có công lớn xảy ra, tổ chức cần đặt vào vị trí để có phản ứng hiệu ngăn chặn tổn thất  Tập trung vào tập liệu Khi tất nguồn liệu có sẵn thu thập đặt vào kho lưu trữ tập trung, dẫn đến triển khai quản lý vô tốn Không vậy, việc cịn khơng cung cấp giá trị thực liệu loại quyền liệu khơng có sẵn cơng cụ phát khơng thể có quy mơ phù hợp với số lượng liệu lớn mà họ phải đối mặt Tiến trình theo chu trình Mơ hình phát xâm nhập cũ tiến trình tuyến tính Khi người dùng nhận cảnh báo, họ xác nhận cảnh báo, việc đáp ứng thực cần, sau kết thúc Tiến trình tuyến tính đơn giản thiếu trách nhiệm Việc đặt cố an ninh mạng tiến trình khơng hỗ trợ cho mục đích bảo vệ mạng Mặc dù số cơng diễn vài giây, kẻ công chuyên nghiệp thường thực chậm có phương pháp, đơi cần phải vài tháng để công mục tiêu cụ thể PT  IT Để có phát phân tích cần phải có liệu Với mức độ phát hiện, trường hợp liệu tiết kiệm chu kỳ CPU việc thực hiệu Hơn nữa, cung cấp cho chuyên gia phân tích liệu mà họ cần họ đưa định nhanh an tồn nhiều Như thấy rằng, tiến trình phát ứng phó với xâm nhập cần phải có tính chu trình Nghĩa là, tập liệu cần cung cấp cho việc phát xâm nhập, phát xâm nhập cần cung cấp cho việc phân tích liệu, kết phân tích nên cung cấp quay trở lại cho tập liệu Điều cho phép hệ thống bảo vệ tài sản mạng xây dựng trí thơng minh qua thời gian, sử dụng để phục vụ tốt việc bảo vệ mạng  Phòng thủ theo nguy Trong phòng thủ theo lỗ hổng tập trung vào “làm nào”, phịng thủ theo nguy tập trung vào “ai” “tại sao” Cụ thể, cần phải tự hỏi muốn công vào hệ thống mạng tổ chức, họ lại thực hành động này? Phịng thủ theo nguy cơng việc khó khăn, hai ngun nhân: (1) tầm nhìn sâu rộng vào hệ thống mạng tổ chức (2) khả thu thập phân tích thơng tin tình báo liên quan đến mục đích khả kẻ công IT Giống thu thập thông tin máy tính, có trang web dịch vụ giúp phân tích tập tin này, ví dụ trang web phân tích mã độc trực tuyến Chẳng hạn Virustotal với 49 loại virus engine Nếu muốn có mơi trường để tự kiểm sốt sử dụng Cuckoo sanbox hay Malwr sanbox (http://www.malwr.com) Trang web sử dụng Cuckoo để thực phân tích mã độc Hình 4.44 4.45 thể báo cáo kết phân tích PT Hình 4.44 Báo cáo hiển thị chữ ký tìm thấy Screenshot Hình 4.45 Báo cáo mơ tả kết phân tích hành vi 151 Cuckoo sanbox khó thiết lập làm quen hữu ích thuận tiện so với dịch vụ trực tuyến Khi quen với Cuckoo, thấy sanbox phân tích mã độc giàu tính thuận tiện nhiều tình 4.3 QUY TRÌNH PHÂN TÍCH Trong NSM, nói chung quy trình phân tích gồm phần: đầu vào, điều tra đầu Phân tích cách tiếp cận có hệ thống để xác định cố xảy Các đầu vào thường số loại cảnh báo IDS cố bất thường, đầu định cố xảy Sau xem xét số phương pháp phân tích 4.3.1 Các phương pháp phân tích 4.3.1.1 Điều tra quan hệ IT Thuật ngữ “điều tra” liên tưởng tới điều tra cảnh sát Đó q trình điều tra vi phạm an ninh thông tin điều tra tội phạm giống Trong thực tế, cách tiếp cận mà nhà điều tra bên cảnh sát thường sử dụng để tìm hiểu cặn kẽ tội phạm dùng để làm khung cho phương pháp phân tích Điều gọi điều tra quan hệ PT Các phương pháp quan hệ dựa việc xác định mối quan hệ tuyến tính thực thể Đây loại điều tra dựa mối quan hệ tồn đầu mối cá nhân liên quan đến tội phạm Một mạng lưới máy tính liên tưởng tới mạng lưới người Tất thứ kết nối, hành động thực dẫn đến hành động khác xảy Điều có nghĩa chun gia phân tích xác định đủ mối quan hệ thực thể, họ tạo trang web cho phép xem hình ảnh đầy đủ xảy trình điều tra vụ việc Quá trình điều tra quan hệ gồm bốn bước (Hình 4.46) Bước 1: Điều tra đối tượng thực điều tra sơ cảnh báo Trong điều tra cảnh sát, quan pháp luật thường thông báo kiện theo đơn khiếu nại, thường gửi từ đồn cảnh sát Đơn khiếu nại đưa thông tin đối tượng liên quan đến việc khiếu nại chất việc khiếu nại riêng Khi đến trường, điều điều tra viên làm xác định đối tượng (chính) tham gia xác định liệu đơn khiếu nại có giá trị điều tra thêm hay khơng Xác định thực dựa luật pháp Và phán đốn ban đầu điều tra viên liệu có khả vụ việc tồn yếu tố vi phạm pháp luật hay không Nếu cho khả tồn tại, điều tra viên bắt đầu thu thập thông tin từ đối tượng liên quan, bao gồm xác minh họ có dấu hiệu hợp pháp, xem hồ sơ hình trước đó, thực kiểm tra sơ để xác định xem họ sở hữu vũ khí vật bất hợp pháp 152 Phương pháp phân tích điều tra quan hệ IT Hình 4.46 PT Trong điều tra NSM, chuyên gia phân tích thường thơng báo kiện từ liệu cảnh báo, bao gồm thông báo tạo IDS Cảnh báo thường bao gồm máy tính có liên quan với kiện tính chất cảnh báo Trong trường hợp này, cảnh báo tương tự khiếu nại, máy chủ tương tự đối tượng Trong chuỗi kiện tương tự, chuyên gia phân tích NSM phải thực xác định sơ liệu cảnh báo có giá trị điều tra thêm hay khơng Thơng thường, điều có nghĩa kiểm tra chi tiết luật chế phát gây cảnh báo, xác định liệu lưu lượng gắn với có thực phù hợp với cảnh báo khơng Về bản, nỗ lực để nhanh chóng xác định có dương tính giả xảy hay khơng Nếu cảnh báo khơng phải dương tính giả, bước việc phân tích nên bắt đầu với việc thu thập thông tin đối tượng gắn với cảnh báo: địa IP tài nguyên mạng tin cậy nguy hiểm Điều bao gồm việc thu thập TI chiến thuật tài nguyên cần bảo vệ thảo luận phần trước Bước 2: Điều tra mối quan hệ tương tác Khi điều tra viên điều tra hai đối tượng, điều tra mối quan hệ đối tượng này, bao gồm mối quan hệ trước tương tác Ví dụ, xem xét đơn khiếu nại, điều tra viên cố gắng xác định xem hai đối tượng mối quan hệ nào, thời gian mối quan hệ đó, đối tượng sống chung với hay khơng, Sau đó, điều tra viên xác định hành động xảy dẫn đến việc khiếu nại, kiện dẫn tới căng thẳng tại, xảy sau 153 Các chun gia phân tích NSM làm điều tương tự để điều tra mối quan hệ máy tính cần bảo vệ máy tính nguy hiểm Họ bắt đầu việc xác định chất kết nối trước máy Các câu hỏi sau đưa ra:  Hai máy tính liên lạc với trước đó?  Nếu có cổng, giao thức, dịch vụ có liên quan? Tiếp theo, chuyên gia phân tích điều tra kỹ lưỡng kết nối gắn với cảnh báo ban đầu Đây nơi mà liệu từ nhiều nguồn lấy phân tích để tìm kiếm kết nối, bao gồm hoạt động sau:  Thu thập liệu PCAP  Thực phân tích gói  Thu thập liệu PSTR  Trích xuất tệp tin thực phân tích phần mềm độc hại  Tạo thống kê từ liệu phiên PT IT Trong số trường hợp, lúc chuyên gia phân tích xác định liệu cố xảy hay khơng Khi đó, điều tra kết thúc Nếu vụ việc khơng định nghĩa rõ ràng vào thời điểm hay khơng có định cụ thể nào, bước thực Bước 3: Điều tra đối tượng thứ cấp mối quan hệ Khi điều tra viên điều tra đối tượng mối quan hệ chúng, thông thường họ xác định đối tượng thứ cấp Đây cá nhân có liên quan đến việc khiếu nại theo cách đó, bao gồm cộng đối tượng làm đơn khiếu nại, nhân chứng khác Khi đối tượng xác định, điều tra thường hỗ trợ thông qua thực bước điều tra tương tự nêu hai bước đầu tiên, bao gồm điều tra đối tượng này, mối quan hệ họ đối tượng Trong điều tra NSM, điều xảy thường xuyên Ví dụ, điều tra mối quan hệ hai máy tính, chuyên gia phân tích thấy máy tính cần bảo vệ giao tiếp với máy tính nguy hại khác ngược lại Hơn nữa, phân tích tệp tin độc hại mang lại địa IP để lộ nguồn liên lạc gây nghi vấn khác Những máy tính coi đối tượng thứ cấp Khi đối tượng thứ cấp xác định, chúng cần điều tra theo cách tương tự đối tượng Tiếp đó, mối quan hệ đối tượng thứ cấp đối tượng cần kiểm tra 154 Bước 4: Điều tra bổ sung quan hệ đối tượng Tại thời điểm này, việc điều tra đối tượng mối quan hệ nên lặp lại nhiều lần cần thiết, địi hỏi đối tượng mức ba mức bốn Khi thực hiện, nên đánh giá đối tượng mối quan hệ cách đầy đủ sở cấp độ, điều tra đầy đủ mức trước chuyển sang mức kế tiếp, không dễ dàng dấu bỏ quên kết nối quan trọng xem xét máy tính khác Khi kết thúc, mơ tả mối quan hệ đối tượng cách hoạt động độc hại xảy Để minh họa quy trình điều tra quan hệ, xét kịch sau: Bước 1: Điều tra đối tượng thực điều tra sơ khiếu nại Các chuyên gia phân tích thông báo kiện bất thường phát với cảnh báo Snort sau đây: ET WEB_CLIENT PDF With Embedded File PT IT Trong cảnh báo này, IP nguồn 192.0.2.5 (máy tính A nguy hiểm) địa IP đích 172.16.16.20 (Host B cần bảo vệ) Đây đối tượng Việc kiểm tra sơ liên lạc gắn với hoạt động có tệp tin PDF tải Các liệu PCAP cho chuỗi liên lạc thu được, tệp tin PDF chiết xuất từ tệp tin cách sử dụng Wireshark Các chuỗi băm MD5 tệp tin PDF gửi đến Team Cymru Malware Hash Registry, 23% engine phát vi-rút cho tập tin độc hại Dựa điều này, nên thực định tiếp tục điều tra sau Bước thu thập liệu cách thân thiện có chiến thuật đe dọa tình báo liên quan đến hai máy chủ Quá trình xác định thông tin sau đây:  Thông tin tài nguyên mạng cần bảo vệ cho 172.16.16.20:  Hệ thống máy trạm người dùng chạy Windows  Hệ thống khơng có dịch vụ nghe mở cổng  Người dùng hệ thống lướt web thường xuyên, nhiều thông báo tài sản tồn liệu PRADS  TI 192.0.2.5:  IPVoid trả kết danh sách đen địa IP  URLVoid tìm thấy kết danh sách đen cho tên miền nơi tệp tin PDF tải  Dữ liệu NetFlow địa IP không liên lạc với thiết bị khác mạng bảo vệ 155 Hình 4.47 Các đối tượng ban đầu Bước 2: Điều tra mối quan hệ tương tác PT IT Để điều tra mối quan hệ 172.16.16.20 192.0.2.5, hành động thực phân tích liệu gói tin cho liên lạc xảy vào khoảng thời gian có cảnh báo Gói liệu tải cho liên lạc hai máy với khoảng thời gian thiết lập để lấy liệu từ 10 phút trước cảnh báo xảy tới 10 phút sau cảnh báo xảy Sau thực phân tích gói tin liệu này, xác định máy tính bảo vệ chuyển hướng đến máy tính độc hại từ quảng cáo bên thứ ba trang web hợp pháp Các máy tính bảo vệ tải tệp tin về, giao tiếp với máy tính khơng cịn nguy hiểm Hình 4.48 Quan hệ đối tượng Các bước thực để điều tra mối quan hệ 172.16.16.20 192.0.2.5 kiểm tra tệp tin PDF tải Tệp tin PDF gửi lên Cuckoo sandbox để thực phân tích mã độc tự động Các phân tích hành vi tập tin PDF có chứa tệp tin thực thi Các tệp tin thực thi có chứa địa IP 192.0.2.6 cấu hình Khơng có thơng tin khác xác định từ phân tích phần mềm độc hại tập tin 156 Tại thời điểm này, hoàn thành việc điều tra đối tượng mối quan hệ chúng Trong tất thứ cho thấy cố, chưa thể hoàn toàn chắn điều Tuy nhiên, xác định đối tượng thứ cấp, cần chuyển sang bước điều tra với liệu Bước 3: Điều tra đối tượng thứ cấp mối quan hệ Đã xác định đối tượng thứ cấp 192.0.2.6 mã hóa tệp tin thực thi gắn tệp tin PDF tải xuống đối tượng Bây giờ, cần phải điều tra đối tượng cách thu thập thông tin TI địa IP này: TI 192.0.2.6:  IPVoid trả kết phù hợp danh sách đen cho địa IP  Dữ liệu NetFlow cho thấy đối tượng 172.16.16.20 liên lạc với máy tính Giao tiếp xảy khoảng ba mươi phút sau cảnh báo ban đầu PT IT  Dữ liệu NetFlow hai máy tính bảo vệ khác mạng tổ chức giao tiếp với địa IP theo định kỳ với lưu lượng thấp vài ngày qua Địa chúng 172.16.16.30 172.16.16.40 Hình 4.49 Quan hệ đối tượng thứ cấp Dựa vào thông tin trên, nhận thấy vấn đề nguy hiểm nghĩ lúc đầu Tiếp theo, cần phải xác định mối quan hệ đối tượng thứ cấp 192.0.2.6 đối tượng 157 172.16.16.20 Dựa thơng tin TI biết giao tiếp xảy hai thiết bị Bước thu thập liệu PCAP liên lạc xảy máy tính Khi liệu thu thập, phân tích cho thấy thiết bị giao tiếp cổng 80, chúng không sử dụng giao thức HTTP, thay vào đó, chúng sử dụng giao thức sửa đổi, thấy lệnh thực thi cho hệ thống Những lệnh dẫn đến hệ thống bảo vệ truyền thơng tin hệ thống cho máy tính nguy hiểm Tại thời điểm nhận thấy có gọi lại (call back) định kỳ truyền đến máy tính nguy hiểm Lúc này, có đủ thông tin để định nên khai báo cố, xác định 172.16.16.20 bị tổn hại (Hình 4.49) Trong số trường hợp, việc điều tra kết thúc Tuy nhiên, nhớ xác định hai máy tính bổ sung (bây xác định đối tượng mức ba) giao tiếp với IP 192.0.2.6 nguy hiểm Điều có nghĩa máy tính bị tổn hại Bước 4: Điều tra bổ sung quan hệ đối tượng PT IT Một kiểm tra gói liệu truyền máy tính mức ba 172.16.16.20 tiết lộ tham gia vào hành vi callback xác định máy tính bảo vệ (Hình 4.50) Do vậy, xác định máy tính bảo vệ mức ba bị tổn hại Hình 4.50 Quan hệ tất đối tượng 158 Tổng kết cố: Kịch dựa cố thực xảy doanh nghiệp Việc sử dụng quy trình phân tích hệ thống để xác định máy tính xây dựng mối quan hệ chúng không cho phép xác định liệu công xảy hay không, mà cịn cho tìm máy tính khác bị tổn hại không xác định cảnh báo ban đầu Đây ví dụ điển hình q trình có cấu trúc giúp chun gia phân tích thực cơng việc điều tra từ A đến Z mà không bị sai sót q tải thơng tin Rất dễ bị lạc lối kịch này, vậy, điều quan trọng tiếp cận bước dự định không xa khỏi đường 4.3.1.2 Chẩn đoán khác biệt IT Mục tiêu chuyên gia phân tích NSM phân loại cảnh báo tạo chế phát điều tra nguồn liệu để thực kiểm tra có liên quan, nghiên cứu để xem liệu có vi phạm an ninh mạng xảy hay không Mục tiêu tương tự với mục tiêu bác sĩ, phân loại dấu hiệu biểu bệnh nhân điều tra nhiều nguồn liệu, thực xét nghiệm có liên quan nghiên cứu xem liệu phát họ có cho thấy lỗ hổng hệ thống miễn dịch người hay khơng PT Một phương pháp chẩn đốn phổ biến sử dụng y học lâm sàng gọi chẩn đốn phân biệt Trong đó, nhóm bác sĩ trình bày tập dấu hiệu họ tạo danh sách chẩn đốn tiềm bảng trắng Phần cịn lại dành cho nghiên cứu thực xét nghiệm khác để loại bỏ kết luận có khả có kết luận cịn lại Phương pháp chuẩn đốn phân biệt dựa trình loại trừ, bao gồm năm bước riêng biệt, số trường hợp cần có hai bước Quy trình chuẩn đốn phân biệt sau: Bước 1: Xác định liệt kê dấu hiệu Trong y học, dấu hiệu thường truyền đạt lời nói người bị bệnh Trong NSM, dấu hiệu phổ biến cảnh báo tạo số hình thức hệ thống phát xâm nhập phần mềm phát khác Mặc dù bước tập trung chủ yếu vào dấu hiệu ban đầu, dấu hiệu khác bổ sung vào danh sách tiến hành kiểm tra điều tra bổ sung Bước 2: Xem xét đánh giá chẩn đoán phổ biến Chẩn đoán phổ biến có khả xác, nên chẩn đoán nên đánh giá Chuyên gia phân tích cần tập trung vào điều tra cần thiết để nhanh chóng xác nhận chẩn đốn Nếu chẩn đốn phổ biến khơng thể khẳng định bước chun gia phân tích cần tiến hành bước 159 Bước 3: Liệt kê tất chẩn đốn cho dấu hiệu biết Bước quy trình liệt kê tất chẩn đốn dựa thơng tin có với dấu hiệu đánh giá ban đầu Bước đòi hỏi số suy nghĩ sáng tạo thường thành cơng có nhiều chuyên gia phân tích tham gia việc tạo ý tưởng Mỗi chẩn đốn có khả danh sách coi ứng cử viên Bước 4: Đánh giá mức ưu tiên danh sách ứng viên theo mức độ nghiêm trọng Khi danh sách ứng viên tạo ra, bác sĩ đánh mức ưu tiên ứng viên cách cho mức ưu tiên cao mối đe dọa lớn tới sống người Trong trường hợp chuyên gia phân tích NSM, cần đánh mức ưu tiên, cần theo mức độ đe dọa an ninh mạng tổ chức Điều phụ thuộc vào chất tổ chức Ví dụ, "MySQL Database Root Compromise" điều kiện cần xem xét cơng ty có sở liệu chứa số liệu an sinh xã hội ưu tiên đánh giá cao điều kiện nhiều so với công ty sử dụng sở liệu đơn giản để lưu trữ danh sách bán hàng nhân viên IT Bước 5: Loại bỏ điều kiện ứng viên, bắt đầu với nghiêm trọng PT Bước cuối nơi mà phần lớn hành động xảy Dựa danh sách ưu tiên tạo bước trước, chuyên gia phân tích nên bắt đầu làm cần thiết để loại bỏ điều kiện ứng cử viên, bắt đầu với điều kiện đặt mối đe dọa lớn an ninh mạng Quá trình loại bỏ yêu cầu xem xét điều kiện ứng cử viên thực kiểm tra, tiến hành nghiên cứu, điều tra nguồn liệu khác nhằm loại trừ chúng khỏi danh sách khả Trong số trường hợp, điều tra điều kiện ứng viên loại trừ nhiều điều kiện ứng viên, từ thúc đẩy nhanh trình Cuối cùng, mục tiêu bước cuối đưa chẩn đốn, cố khai báo cảnh báo bị loại bỏ dương tính giả Lưu ý "Liên lạc bình thường" chẩn đốn hồn tồn chấp nhận được, chẩn đoán phổ biến mà chuyên gia phân tích NSM thường có Ví dụ tình Bước 1: Xác định liệt kê dấu hiệu Các dấu hiệu sau quan sát qua cảnh báo IDS điều tra liệu có: Một máy chủ tin cậy bắt đầu gửi lưu lượng đến địa IP Nga Luồng liệu diễn đặn sau 10 phút Lưu lượng HTTPS cổng 443, mã hóa khơng thể đọc Bước 2: Xem xét đánh giá chẩn đoán thường thấy Dựa dấu hiệu này, giả định hợp lý máy bị nhiễm số dạng phần mềm độc hại Dữ liệu đến địa IP Nga thường xuyên 10 phút lần Mặc dù điều đáng ý, khơng thể kết luận phần mềm độc hại Có nhiều chế 160 giao tiếp định kỳ bình thường Ví dụ chat dựa web, RSS, e-mail web, mã chứng khoán, quy trình cập nhật phần mềm, nhiều Với nguyên tắc không chứng minh liệu xấu chúng tốt Do nên nghĩ việc chẩn đoán phổ biến là bình thường Nếu có nghi ngờ, trường hợp này, bắt đầu với số sưu tập TI với IP Nga Một kỹ thuật khác để kiểm tra ghi hệ thống hay IDS máy chủ xem liệu có hoạt động đáng ngờ xảy máy tính khoảng thời gian tương tự lưu lượng Cách khác kiểm tra TI cho thiết bị cần bảo vệ Ví dụ, người dùng từ Nga? Họ sử dụng phần mềm chống vi-rút (như Kaspersky) với máy chủ cập nhật Nga? Những điều giúp xác định xem lưu lượng có bình thường hay khơng Mục đích giả định chưa thể đưa định cuối việc có phải giao tiếp bình thường hay khơng Bước 3: Liệt kê tất phán đốn cho dấu hiệu biết Có thể có số lựa chọn cho kịch Để ngắn gọn, liệt kê số:  Nhiễm mã độc IT  Truyền thơng bình thường  Dữ liệu bị rị rỉ từ máy tính bị tổn hại PT  Cấu hình sai: có khả quản trị hệ thống gõ sai địa IP có phần mềm phải giao tiếp định kỳ với hệ thống có địa IP Nga Trường hợp phổ biến thực tế Bước 4: Sắp xếp danh sách ưu tiên theo mức độ nghiêm trọng Mức ưu tiên khác tùy thuộc vào mức độ rủi ro tới tổ chức Để tổng quát, lựa chọn mức ưu tiên sau, với mức ưu tiên cao nhất:  Ưu tiên 1: Số liệu rị rỉ từ máy tính bị tổn hại  Ưu tiên 2: Nhiễm mã độc  Ưu tiên 3: Cấu hình sai  Ưu tiên 4: Liên lạc bình thường Bước 5: Loại bỏ dần phán đoán, bắt đầu với phán đoán nghiêm trọng Lúc thu thập liệu thực kiểm tra để loại trừ dần phán đốn  Ưu tiên 1: Dữ liệu rị rỉ từ máy tính bị tổn hại Phán đốn có chút khó khăn để loại bỏ Bắt tồn nội dung gói tin khơng cung cấp nhiều trợ giúp lưu lượng mã hóa Nếu có liệu phiên xác định số lượng liệu ngồi Nếu có vài byte ngồi 10 phút lần có khả 161 khơng phải rị rỉ liệu, rị rỉ có lượng lớn liệu ngồi Cũng hữu ích việc xác định liệu có máy chủ khác mạng tổ chức liên lạc với địa IP IP khác không gian địa Cuối cùng, việc so sánh lưu lượng bình thường máy chủ nội với lưu lượng có khả độc hại giúp cung cấp số thơng tin hữu ích Có thể thực điều với liệu TI cho máy tính cần bảo vệ, liệu thu thập PRADS  Ưu tiên 2: Nhiễm mã độc Có thể kiểm tra phần mềm chống vi-rút mạng ghi chi tiết HIDS  Ưu tiên 3: Cấu hình sai  IT Cách xử lý tốt trường hợp so sánh lưu lượng truy cập máy tính tin cậy với lưu lượng nhiều máy tính với vai trị tương tự mạng Nếu máy tính khác mạng (subnet) có mẫu lưu lượng giống nhau, đến địa IP khác nhau, có khả địa IP sai nhập vào phần mềm Nếu có quyền truy cập nên kiểm tra ghi máy tính, điều hữu ích việc tìm sai sót hồ sơ sai sót nằm log hệ thống Windows Unix Ưu tiên 4: Truyền thơng bình thường Tiến hành chẩn đốn PT Tại thời điểm này, cần sử dụng kinh nghiệm trực giác chuyên gia phân tích để định liệu có độc hại thực xảy Nếu việc phân tích hồn thành cách kỹ lưỡng trước cho hoạt động tốt Nếu cịn linh cảm điều kỳ quặc xảy cần theo dõi máy tính thêm, đánh giá lại liệu thu thập thêm lần 4.3.1.3 Thực phương pháp phân tích Hai phương pháp phân tích mô tả khác Thực khơng có cơng thức rõ ràng cho việc lựa chọn phương pháp phương pháp có điểm mạnh điểm yếu lực chuyên gia phân tích Tuy nhiên, phương pháp điều tra quan hệ tốt tình phức tạp có nhiều máy tính tham gia Đó phương pháp có khả theo dõi lượng lớn thực thể mối quan hệ mà không sợ tải gây lỗi Phương pháp chẩn đốn khác biệt làm việc tốt tình có máy tính liên quan gắn với vài triệu chứng khác biệt 4.3.2 Các phương pháp quy chuẩn thực tiễn tốt cho phân tích a Ln đặt giả định Việc phân tích ln phải dựa giả định dự đốn từ thơng tin xác định Ban đầu, thơng tin ít, sau bổ sung thêm thơng tin khác có liên quan, dẫn đến việc dự đốn thay đổi Điều bình thường, lại 162 mang lại kết khả quan Vì vậy, ln cần đặt câu hỏi để làm tăng thêm giả định dự đoán b Cần phải lưu ý liệu Chuyên gia phân tích phụ thuộc vào liệu để thực cơng việc họ Những liệu có nhiều dạng, tệp tin PCAP, ghi PSTR, tệp tin IIS Vì hầu hết thời gian dành cho việc sử dụng công cụ khác để tương tác với liệu, nên điều quan trọng phải lưu ý cách công cụ tương tác với liệu Tuy nhiên, cơng cụ tạo đơi có "tính năng" làm che dấu liệu ngăn cản việc phân tích phù hợp c Nên làm việc theo nhóm Mỗi người giỏi lĩnh vực khác nhau, không hoạt động với 100% hiệu suất Do vậy, có thể, nên xem xét vấn đề gặp phải d Không đánh động tin tặc PT IT Vấn đề khoảng 99% thời gian phải đối mặt với Mặc dù nhìn thấy hoạt động quét, máy chủ vận hành nhóm lớn kẻ cơng chí phận quân nước khác Ngay hoạt động đơn giản ping lộ bạn biết chúng tồn Điều thúc đẩy tin tặc thay đổi chiến thuật Chúng ta biết người mà đối phó, động lực họ gì, hay khả họ, không nên đánh động họ Vấn đề đơn giản khơng biết liệu có khả xử lý hậu hay không e Gói tin tốt Các gói tin phải coi vô hại chứng minh có hại f Wireshark cơng cụ phân tích Chuyên gia phân tích cần phải hiểu công cụ quan trọng cho công việc, chúng phần Wireshark cơng cụ kho "vũ khí" chun gia phân tích cho phép tìm thơng tin gói tin Chun gia phân tích cần tiếp cận cách khoa học, bổ sung cơng cụ quy trình, nhận thức tranh toàn cảnh, ý đến chi tiết, cuối kết hợp tất điều với kinh nghiệm có qua thời gian giúp họ phát triển kỹ thuật phân tích riêng g Cần thực phân loại kiện rõ ràng Cần phải có hệ thống phân loại để xác định vụ việc cần ưu tiên điều tra thơng báo Ví dụ DoD Cyber Incident Cyber Event Categorization System Bảng 4.3 mô tả sơ loại, xếp theo thứ tự ưu tiên loại nên dùng 163 Bảng 4.3 DoD Cyber Incident Cyber Event Categorization System h Quy tắc 10 IT Các chun gia phân tích thường có thói quen lấy nhiều liệu điều tra kiện xảy thời điểm cụ thể Ví dụ, chuyên gia phân tích thấy kiện xảy vào ngày 07 tháng 10, lúc 08:35 cố gắng để lấy liệu NSM gắn với máy tính cho ngày tháng 10 Điều tạo tình có nhiều liệu cần cho phân tích Ngược lại, lấy liệu xảy vào ngày 07 tháng 10, lúc 08:35, xác theo phút, tạo tình khơng đủ thơng tin để xác định xác xảy PT Để ngăn chặn việc này, cần theo quy tắc 10 Quy tắc nói lúc cần phân tích kiện xảy thời điểm, nên bắt đầu cách lấy liệu xảy 10 phút trước 10 phút sau đó, chun gia phân tích có đủ liệu để xác định dẫn đến kiện xảy sau Khi chun gia phân tích thực phân tích liệu này, họ đưa định việc lấy liệu nhiều cần Tất nhiên, quy tắc khơng phù hợp với tình huống, có hiệu tốt cho chuyên gia phân tích 99% điều tra 164 TÀI LIỆU THAM KHẢO [1] Chris Sanders and Jason Smith, Applied Network Security Monitoring, Syngress, 2014 [2] Richard Bejtlich, The Tao of Network Security Monitoring: Beyond Intrusion Detection, Addison-Wesley, 2004 [3] Richard Bejtlich, The Practice Of Network Security Monitoring, No Starch Press, 2013 [4] John R Vacca, Network and System Security, Elsevier Inc., 2010 PT IT [5] Chris Fry and Martin Nystrom, Security Monitoring, O'Reilly Media Inc., 2009 165 ... VỀ GIÁM SÁT AN TỒN MẠNG Chương trình bày vấn đề giám sát an toàn mạng (NSM), bao gồm số nội dung sau: thuật ngữ dùng NSM, phát xâm nhập mạng, giám sát an tồn mạng, chu trình giám sát an tồn mạng; ... giảng ? ?Kỹ thuật theo dõi, giám sát an toàn mạng? ?? biên soạn nhằm hỗ trợ cho sinh viên Đại học Công nghệ thông tin, đặc biệt chun ngành An tồn thơng tin, có kiến thức chuyên sâu giám sát an toàn mạng, ... DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TOÀN MẠNG 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM 1.2 PHÁT HIỆN XÂM NHẬP 1.3 GIÁM SÁT AN