Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
307,67 KB
Nội dung
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Anh Phan Lớp: AT12A Người hướng dẫn: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2020 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN MẠNG TRÊN NỀN TẢNG WAZUH Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Anh Phan Lớp: AT12A Người hướng dẫn: ThS Cao Minh Tuấn Khoa An toàn thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2020 MỤC LỤC Danh mục kí hiệu viết tắt iii Danh mục hình vẽ .iv Danh mục bảng vi Lời cảm ơn .vii Lời nói đầu viii Chương Giám sát an tồn thơng tin mạng máy tính .1 1.1 Tổng quan tình hình ATTT mạng máy tính 1.2 Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC 1.3 Trung tâm điều hành ATTT SOC .4 1.3.1 Khái niệm trung tâm điều hành ATTT SOC .4 1.3.2 Nguyên lý hoạt động Trung tâm điều hành ATTT SOC 1.3.3 Đối tượng, phạm vi giám sát Trung tâm điều hành ATTT SOC 1.4 Một số sản phẩm giám sát ATTT 10 1.4.1 SIEMonster 11 1.4.2 ELK Stack 11 1.4.3 OSSIM 12 1.4.4 Security Onion .12 1.4.5 IBM QRadar SIEM 13 1.4.6 HP ArcSight SIEM 13 1.5 Lợi ích việc xây dựng Trung tâm điều hành ATTT SOC 14 1.6 Kết luận chương .14 Chương Hệ thống giám sát an tồn thơng tin wazuh .15 2.1 Giới thiệu Wazuh 15 2.2 Kiến trúc Wazuh 16 2.3 Phương thức liên lạc luồng liệu .17 2.3.1 Liên lạc Wazuh agent Wazuh server 18 2.3.2 Liên lạc Wazuh Elastic .18 2.4 Các thành phần Wazuh 18 2.4.1 Wazuh server 18 2.4.2 Wazuh agent 20 2.4.3 Elastic Stack 21 2.5 Luật Wazuh 22 2.5.1 Các cấp độ luật Wazuh 22 2.5.2 Phân loại luật 26 2.6 Khả Wazuh 27 2.6.1 Phân tích bảo mật 27 2.6.2 Phát xâm nhập .27 2.6.3 Phân tích liệu nhật ký .27 2.6.4 Giám sát toàn vẹn tệp 28 2.6.5 Phát lỗ hổng 28 2.6.6 Đánh giá cấu hình 28 2.6.7 Ứng phó cố 28 2.6.8 Tuân thủ quy định 29 2.6.9 Giám sát an ninh cloud 29 2.6.10.Bảo mật Containers .29 2.7 Kết luận chương .30 Chương Xây dựng trung tâm điều hành an tồn thơng tin dựa tảng wazuh .31 3.1 Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC 31 3.1.1 Nền tảng Trung tâm điều hành ATTT SOC 31 3.1.2 Đề xuất tiêu chí xây dựng SOC 33 3.1.3 Đề xuất bước xây dựng Trung tâm điều hành ATTT SOC 37 3.1.4 Xây dựng thành phần SOC 39 3.2 Tích hợp wazuh trung tâm giám sát ATTT SOC .49 3.3 Thử nghiệm .52 3.3.1 Xây dựng hệ thống 52 3.3.2 Kịch 01 53 3.3.3 Kịch 02 56 3.3.4 Kịch 03 63 3.4 Kết luận chương .68 Kết luận 69 Tài liệu tham khảo 70 Phụ lục 72 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT ATTT CIS CNTT CVE EDR EPS HIDS IDS NAC OVAL PAM SOAR SOC TSLCD TT&TT TTDL XCCDF An tồn thơng tin Center of Internet Security Công nghệ thông tin Common Vulnerabilities and Exposures Endpoint Detection and Response Events Per Second Host-based Intrusion Detection System Intrusion Detection System Network Access Control Open Vulnerability Assesment Language Privileged Access Management Security Orchestration, Automation, and Response Security Operations Center Truyền số liệu chuyên dụng Thông tin truyền thông Trung tâm liệu Extensible Configuration Checklist Description Format DANH MỤC HÌNH VẼ Hình 1.1 Ngun lý hoạt động SOC .5 Hình 2.1 Mơ tả chức hệ thống Wazuh 15 Hình 2.2 Các tảng wazuh 15 Hình 2.3 Kiến trúc tổng quát .17 Hình 2.4 Kiến trúc wazuh triển khai diện rộng 17 Hình 2.5 Kiến trúc luồng liệu .17 Hình 2.6 Quy trình xử lý liệu wazuh server 19 Hình 2.7 Quy trình xử lý liệu wazuh agent 20 Hình 3.1 Yếu tố quan trọng SOC .31 Hình 3.2 Các bước xây dựng trung tâm điều hành ATTT SOC 37 Hình 3.3 Thành phần trung tâm điều hành ATTT SOC 40 Hình 3.4 Mơ hình hạ tầng mạng trung tâm điều hành ATTT SOC 40 Hình 3.5 Thành phần hệ thống giám sát tập trung 43 Hình 3.6 Mơ hình triển khai hệ thống sử dụng wazuh 51 Hình 3.7 Mơ hình thử nghiệm 53 Hình 3.8 Dashboard lỗ hổng hệ thống .55 Hình 3.9 Log lỗ hổng phát 55 Hình 3.10 Thơng tin JSON lỗ hổng 56 Hình 3.11 Đăng ký nhận API Virus Total miễn phí 56 Hình 3.12 Tạo file thư mục 57 Hình 3.13 Thông tin hiển thị việc thêm file dashboard (1) 58 Hình 3.14 Thơng tin hiển thị việc thêm file dashboard (2) 58 Hình 3.15 Log thêm file ghi lại hệ thống 59 Hình 3.16 Nội dung liệu viết file .59 Hình 3.17 Virus Total tự động kiểm tra mã độc file thêm 60 Hình 3.18 Sửa nội dung tệp tin 60 Hình 3.19 Thơng tin việc thay đổi nội dung file 61 Hình 3.20 Thêm thư mục chứa mã độc .61 Hình 3.21 Virus Total tự động phát mã độc thư mục thêm 62 Hình 3.22 Kiểm tra thơng tin Virus Total 63 Hình 3.23 Kiểm tra kết nối mạng máy Attacker ubuntu agent .65 Hình 3.24 Thực SSH từ máy Attacker đến máy agent 65 Hình 3.25 Thực giả định cơng SSH brute force 66 Hình 3.26 Attacker thực ping đến agent 66 Hình 3.27 Attacker SSH đến agent 67 Hình 3.28 Log ghi lại agent 67 Hình 3.29 Log thơng tin chặn IP Attacker 67 Hình 3.30 Kết nối máy Attacker agent hết thời gian chặn .68 Hình 3.31 Log dashboard việc bỏ chặn IP Attacker .68 Hình 3.32 Thêm windows agent 76 Hình 3.33 Sinh khóa chia sẻ trước windows agent .76 Hình 3.34 Đăng ký, kết nối đến wazuh server 77 Hình 3.35 Xác nhận kết nối đến wazuh server 77 Hình 3.36 Thêm ubuntu agent 77 Hình 3.37 Sinh khóa chia sẻ trước ubuntu agent 78 Hình 3.38 Thêm key để kết nối với wazuh server .78 Hình 3.39 Xác nhận kết nối đến wazuh server 78 DANH MỤC BẢNG Bảng 2.1 Các cấp độ luật Wazuh .22 YBảng 3.1 Danh mục thiết bị trung tâm điều hành ATTT SOC………… 48 Bảng 3.2 Cấu hình máy ảo thử nghiệm .53 LỜI CẢM ƠN Trong trình thực đồ án tốt nghiệp này, em nhận giúp đỡ tận tình cán hướng dẫn ThS Cao Minh Tuấn – Giảng viên Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã Đồng thời, em xin gửi lời cảm ơn đến thầy cô Học viện Kỹ thuật Mật mã truyền đạt cho em kiến thức từ đến nâng cao suốt năm năm học giúp em có kiến thức để em hoàn thành đồ án Em xin gửi lời cảm ơn tới anh chị Trung tâm An ninh mạng – Bkav nhiệt tình chia sẻ kiến thức giúp em học hỏi nhiều trình học tập làm việc Do thời gian nghiên cứu làm việc lĩnh vực an ninh mạng cịn hạn chế, nên chắn khơng thể tránh khỏi thiếu sót thực đồ án, em mong nhận góp ý từ thầy để hồn thiện tốt đồ án Và cuối em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người thân quan tâm, góp ý giúp đỡ em suốt trình học tập nghiên cứu, điều kiện tốt để em hoàn thành đồ án tốt nghiệp Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Anh Phan LỜI NÓI ĐẦU Cùng với bùng nổ internet cách mạng công nghiệp 4.0 tạo nên xã hội tồn cầu, nơi mà người tương tác liên lạc với cách nhanh chóng hiệu Thật khơng thể phủ nhận vai trị internet nhiều phương diện sống hàng ngày từ thương mại đến giải trí, văn hóa, xã hơ ̣i và giáo dục… phục vụ cho tiến trình phát triển đất nước bền vững Nhưng thực tế năm qua, tình hình an ninh mạng giới diễn biến phức tạp diễn nhiều cơng có quy mơ lớn Mục tiêu công mạng đa dạng từ thông tin cá nhân, thông tin kinh doanh đến mục tiêu trị với tầm ảnh hưởng lớn tới nhiều quốc gia giới Trước leo thang cơng mạng địi hỏi đời đơn vị chun mơn, có khả xử lý nhanh cố giám sát liên tục để phát bất thường dù nhỏ Mơ hình Trung tâm điều hành ATTT SOC nơi xây dựng giải pháp tổng thể nhằm ứng phó với công lên kế hoạch kỹ lưỡng Trung tâm điều hành ATTT SOC giúp quan tổ chức theo dõi, giám sát nguy cơ, rủi ro 24/7, từ phát sớm lỗ hổng, công để chủ động ứng phó Trung tâm thu thập liệu từ nhiều nguồn NIDS, HIDS, raw log, để phân tích, tương quan liệu từ đưa cảnh báo xuất nguy công có lưu lượng truy cập bất thường, có kết nối trái phép vào máy chủ hay hành vi dò qt mạng Chính vậy, kết nối với máy chủ mã độc, công web hay DDoS, APT bị chặn đứng nguy Nhận thấy tầm quan trọng việc xây dựng Trung tâm điều hành ATTT SOC tất yếu, cấp thiết để đảm bảo an toàn, an ninh thơng tin quan, tổ chức Vì vậy, em định chọn đề tài “Tìm hiểu triển khai trung tâm giám sát an toàn mạng tảng Wazuh”, nhằm xây dựng trung tâm giám sát tích hợp nguồn thu thập log từ thiết bị Từ phân tích hành vi người dùng có khả phát công diễn hay nhiều thiết bị SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Anh Phan GIÁM SÁT AN TỒN THƠNG TIN TRONG MẠNG MÁY TÍNH Tổng quan tình hình ATTT mạng máy tính Trong năm qua, tình hình ATTT giới diễn biến phức tạp diễn nhiều cơng có quy mơ lớn Trung bình phút trơi qua có trang web, hệ thống bị tin tặc chiếm quyền kiểm soát Từ năm 2010, nhà máy điện nguyên tử Busher sở làm giàu urani Natanz bị mã độc phá hoại gây trì hỗn hoạt động phát triển hạt nhân Iran nhiều tháng liền Thủ phạm gây vụ công virus Stuxnet, với chế hoạt động phức tạp, khai thác thành công số lỗ hổng chưa biết đến trước Sau vụ việc này, Iran phải loại bỏ gần 1000 máy ly tâm khiến chương trình hạt nhân nước bị gián đoạn năm Giữa năm 2012 nhóm hacker mang tên “Cutting Sword of Justice” công vào hệ thống công ty dầu mỏ Saudi Aramco (công ty chiếm 10% lượng dầu mỏ giới) Hacker gửi email lừa đảo đến nhân viên công ty, nhân viên bấm vào đường dẫn email này, từ hacker xâm nhập vào hệ thống Cuộc cơng xố làm hỏng liệu khoảng 30.0002 máy tính Saudi Aramco, khiến cơng ty phải sử dụng máy đánh chữ máy fax để thực giao dịch Tháng 01/2015, website thủ tướng Angela Merkel quốc hội Đức bị tê liệt Văn phòng thủ tướng Đức xác nhận website nói bị ngừng hoạt động kể từ 9h sáng ngày 07/01/20153 Một nhóm tin tặc tự xưng CyberBerkut tuyên bố tiến hành công mạng để phản đối chuyến thăm Thủ tướng Ukraine Arseniy Yatsenyuk tới Berlin Đến tháng 05/2015, nữ phát ngôn viên Quốc hội Đức tiếp tục tuyên bố nhóm hacker chưa rõ danh tính cố gắng xâm nhập vào mạng liệu quốc hội Tháng 07/2018, đại diện Bộ Y tế Singapore Bộ Thông tin Truyền thông nước cho biết hệ thống liệu SingHealth, tổ chức bảo hiểm y tế Stuxnet Worm Attack on Iranian Nuclear Facilities, http://large.stanford.edu/courses/2015/ph241/holloway1/ Cyber Threat Research, https://cyberthreatresearch.wordpress.com/hacktivist-groups/cutting-sword-of-justice/ Cyberattack in Germany Shuts Down Official Sites, https://www.nytimes.com/2015/01/08/world/europe/german-government-websites-shut-down-and-ukrainegroup-claims-responsibility.html lớn nước, bị tin tặc công Vụ công tiếp cận chép thông tin cá nhân 1,5 triệu4 người dùng SingHealth Trong danh sách người dùng SingHealth bị rị rỉ thơng tin cá nhân cịn có thơng tin Thủ tướng Singapore Lý Hiển Long Đây vụ công mạng đánh cắp thông tin cá nhân nghiêm trọng Singapore từ trước đến Đối với Việt Nam, theo thông tin hãng an ninh mạng Kaspersky công bố năm 2016, khu vực châu Á – Thái Bình Dương, nước ta nước có số người dùng gặp cố máy tính cao (chiếm 68%) 5, điển hình lây nhiễm mã độc mã hóa tống tiền (ransomware) Năm 2016 năm xảy công vào cảng hàng không quốc tế Việt Nam, vụ công APT nhắm vào hệ thống thông tin quan trọng Việt Nam Vào 13 46 phút ngày 29/07/2016 Cảng hàng không quốc tế Tân Sơn Nhất 16 phút Cảng hàng không quốc tế Nội Bài, hệ thống máy tính làm thủ tục hàng khơng Hãng Hàng không VietJet Air, Vietnam Airline nhà ga quốc nội sân bay Tân Sơn Nhất hệ thống hiển thị thơng tin bao gồm hình thơng tin chuyến bay, hình máy tính phục vụ check-in quầy thủ tục Vietnam Airline, hệ thống phát nhà ga khách T1 sân bay Nội Bài bị công xâm nhập phải dừng hoạt động Tại thời điểm này, hệ thống hiển thị thông tin phát âm sai lệch vấn đề chủ quyền Biển Đơng Cùng thời điểm trên, website thức Vietnam Airline bị tin tặc công thay đổi giao diện Khơng thế, tin tặc cịn để lại cơng kích mang nội dung bơi xấu Việt Nam, Philippines xuyên tạc chủ quyền Biển Đơng Ngồi ra, tin tặc cịn phát tán bảng danh sách ước tính 400.0006 tài khoản hội viên Golden Lotus Vietnam Airlines Trong danh sách có đầy đủ thơng tin cá nhân ngày gia nhập, điểm tích luỹ, ngày hết hạn… Vụ công mạng chấn động Singapore: đánh cắp thông tin cá nhân 1,5 triệu người, có thủ tướng Lý Hiển Long, https://cystack.net/ An ninh mạng Việt Nam năm 2014 đến năm 2017, https://securitybox.vn/391/an-ninh-mang-tai-viet-namnam-2014-den-nam-2017/ Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc công, https://vnexpress.net/ Theo đánh giá Bộ TT&TT vào tháng 4/2019 an tồn thơng tin năm 2018, đa số Bộ, ngành, địa phương (70%)7 xếp hạng C tức quan tâm triển khai ATTT mức trung bình, 17% quan đánh giá triển khai ATTT mức 13% quan dừng mức D tức bắt đầu quan tâm đến ATTT Việc liệu quan trọng tổ chức bị đánh cắp diễn thường xuyên thời gian ngắn, cố phát sau vài tháng chí vài năm sau Như việc bị đánh cắp liệu quan trọng xảy nhanh lại thời gian dài để phát Kết thống kê cho thấy tầm quan trọng cần phải có hệ thống ứng phó an ninh hiệu quả, giám sát ứng phó đóng vai trị cốt yếu Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC Ngày nay, hoạt động tội phạm không gian mạng ngày gia tăng số vụ, thủ đoạn công tinh vi gây thiệt hại nghiêm trọng kinh tế, ảnh hưởng tới văn hóa, xã hội nhiên hệ thống bảo mật thông tin lại chưa đầu tư bản, chưa có phương án hay giải pháp cụ thể để phòng ngừa, cảnh báo sớm công mạng Do vậy, giải pháp Trung tâm điều hành an tồn thơng tin hệ thống cần thiết, hỗ trợ tích cực cho tổ chức, doanh nghiệp việc giám sát nâng cao trạng thái an ninh hệ thống mạng mình, sẵn sàng phản ứng với cố xảy Trong năm gần đây, tần suất công mạng giới nói chung Việt Nam nói riêng gia tăng ngày nhiều, mức độ nghiêm trọng tinh vi ngày cao, biện pháp đảm bảo ATTT tổ chức, đơn vị ý đầu tư trước Thay giải pháp độc lập, chuyên biệt xử lý khía cạnh cơng, quan, tổ chức bị thuyết phục giải pháp tổng thể, đa tầng, nhiều lớp nhằm phát giải triệt để mối nguy hại chưa có tiền lệ Trung tâm điều hành an tồn thơng tin SOC giải pháp tổng thể để theo dõi, giám sát phân tích mối đe dọa hệ thống mạng Bộ TT&TT cơng bố xếp hạng an tồn thơng tin mạng quan, tổ chức nhà nước năm 2018, https://www.mic.gov.vn/ Trung tâm điều hành ATTT SOC Khái niệm trung tâm điều hành ATTT SOC Trung tâm điều hành ATTT SOC nơi đội bảo mật thông tin chịu trách nhiệm theo dõi phân tích tư bảo mật tổ chức cách liên tục Nhiệm vụ trung tâm phát hiện, phân tích ứng phó với cố an ninh mạng cách sử dụng kết hợp người, giải pháp cơng nghệ quy trình mạnh mẽ SOC hoạt động giám sát phân tích hoạt động bảo mật mạng, máy chủ, thiết bị đầu cuối, sở liệu, ứng dụng, trang web hệ thống khác nhằm tìm kiếm hoạt động bất thường dấu hiệu cố bảo mật xâm nhập trái phép Trung tâm điều hành ATTT có trách nhiệm đảm bảo cố an ninh mạng tiềm ẩn xác định, phân tích, bảo vệ, điều tra báo cáo cách xác Nguyên lý hoạt động Trung tâm điều hành ATTT SOC Hình Nguyên lý hoạt động SOC ... quan trọng việc xây dựng Trung tâm điều hành ATTT SOC tất yếu, cấp thiết để đảm bảo an tồn, an ninh thơng tin quan, tổ chức Vì vậy, em định chọn đề tài “Tìm hiểu triển khai trung tâm giám sát an. .. an tồn thơng tin năm 2018, đa số Bộ, ngành, địa phương (70%)7 xếp hạng C tức quan tâm triển khai ATTT mức trung bình, 17% quan đánh giá triển khai ATTT mức 13% quan dừng mức D tức bắt đầu quan... key để kết nối với wazuh server .78 Hình 3.39 Xác nhận kết nối đến wazuh server 78 DANH MỤC BẢNG Bảng 2.1 Các cấp độ luật Wazuh .22 YBảng 3.1 Danh mục thiết bị trung tâm điều hành