b. Bộ lọc hiển thị Wireshark
4.2.1 Chu trình thu thập tri thức về nguy cơ bảo mật cho NSM
Việc thu thập tri thức được thực hiện theo một khung làm việc được gọi là Chu trình thu thập tri thức (Intelligence Cycle). Phụ thuộc vào nguồn tham khảo đến, chu trình thu thập có thể được chia thành nhiều bước. Trong tài liệu này, chúng ta mô tả chu trình gồm 6 bước, bao gồm: xác định yêu cầu, lập kế hoạch, thu thập, xử lý và truyền đi. Các bước trong chu trình có thể tiếp tục tự cung cấp thông tin cho chính nó để có thể tự hoàn thiện sau mỗi chu trình (Hình 4.34)
Hình 4.34 Chu trình thu thập tri thức truyền thống
Phần sau sẽ xem xét cụ thể từng bước khi áp dụng vào việc xây dựng thu thập tri thức về các nguy cơ bảo mật cũng như các tài nguyên cần bảo vệ cho NSM.
Bước 1: Xác định yêu cầu
Một sản phẩm TI được tạo ra dựa trên một yêu cầu xác định. Yêu cầu này cũng là nguồn để tạo ra các pha khác trong chu trình thu thập kiến thức. Trong lĩnh vực an toàn thông tin và NSM, yêu cầu trên cũng được tập trung vào như cầu về thông tin liên quan tới các tài nguyên cần bảo vệ (tri thức về tài nguyên cần bảo vệ), hoặc vào thông tin liên quan tới các máy tính có khả năng gây ra các mối đe dọa bảo mật tới các tài nguyên cần bảo vệ (tri thức về các mối đe dọa bảo mật).
Các yêu cầu này là các bản tin yêu cầu về thông tin và ngữ cảnh cho phép các chuyên gia NSM có thể đưa ra quyết định phù hợp với mục tiêu điều tra của họ. Trong pha này, tất cả đều là yêu cầu về các câu hỏi phù hợp. Các câu hỏi này phụ thuộc vào việc liệu các yêu cầu thu thập tri thức là liên tục hay theo tình huống. Ví dụ, việc phát triển một sản phẩm TI về tài nguyên cần bảo
vệ là một quá trình liên tục, có nghĩa là các câu hỏi nên được đặt ra một cách tổng quát và có thể lặp lại.
Một số câu hỏi thiết kế để tạo ra tri thức cơ sở cho các mẫu truyền tin bình thường có thể được viết như sau:
Các mẫu về giao tiếp bình thường giữa các máy tính là như nào?
Các mẫu về giao tiếp bình thường giữa các máy tính cần chú ý bảo vệ với các thực thể ngoài không rõ là như nào?
Các dịch vụ nào thường được cung cấp bởi các máy tính bình thường?
Tỷ lệ giao tiếp từ trong ra ngoài của các máy tính bình thường là như thế nào?
Việc xây dựng một sản phẩm TI về các nguy cơ bảo mật là một quá trình theo tình huống, nghĩa là các câu hỏi thường cụ thể và được thiết kế để tạo ra sản phẩm TI riêng lẻ cho một điều tra hiện tại. Các câu hỏi này có thể là:
Liệu có máy tính có thể gây nguy hại nào từng liên lạc với các máy tính cần bảo vệ trước đó hay không, nếu có thì tới mức nào?
Liệu có máy tính có thể gây nguy hại nào đăng ký với một ISP đã từng xuất hiện những hoạt đông gây nguy hại?
Nội dung lưu lượng tạo ra từ máy tính gây nguy hại so với hoạt động gắn với các thực thể gây nguy hại đã biết hiện nay như thế nào?
Chúng ta sẽ nghiên cứu kỹ hơn về bản chất của các yêu cầu thu thập tri thức về các tài nguyên cần bảo vệ cùng các nguy cơ bảo mật ở các phần tiếp theo.
Bước 2: Lập kế hoạch
Cùng với việc xác định yêu cầu, việc lập kế hoạch hợp lý giúp đảm bảo hoàn thành các bước còn lại trong chu trình. Do đó, cần lập kế hoạch và gán các tài nguyên cho từng bước. Trong NSM, điều này có nghĩa là các thành phần khác nhau được dùng cho các bước khác nhau. Ví dụ, trong pha thu thập cần gán chuyên gia bậc ba và quản trị hệ thống (xem chương 1 về phân loại chuyên gia NSM) cho những công việc xử lý các cảm biến và sử dụng công cụ thu thập. Trong pha xử lý và phân tích cần gán chuyên gia cấp một và hai cho các tiến trình này đồng thời phân ra một phần thời gian của họ để làm công tác này.
Tất nhiên về mặt tài nguyên con người và kỹ thuật được gán cho các công việc sẽ thay đổi phụ thuộc vào môi trường và cách xây dựng đội ngũ kỹ thuật. Trong các tổ chức lớn hơn, có thể có một đội riêng để tạo ra các sản phẩm TI. Còn trong các tổ chức nhỏ, có thể chỉ có một người chịu trách nhiệm xây dựng toàn bộ sản phẩm.
Bước 3: Thu thập
Pha thu thập thực hiện việc thu thập tri thức theo các yêu cầu đề ra. Các dữ liệu này cuối cùng sẽ được xử lý, phân tích và truyền đi.
Có thể thấy rằng nhu cầu thu thập cho các mục đích thu thập tri thức sẽ làm thay đổi kế hoạch thu thập thông tin tổng thể. Khi mục tiêu là thu thập tri thức về các tài nguyên cần bảo vệ một cách liên tục, có thể bao gồm tập hợp các thống kê có ích hay tập hợp các dữ liệu về tài sản thời gian thực thụ động như các dữ liệu được tạo ra bởi công cụ PRADS (sẽ đề cập sau). Khi đề cập tới thu thập tri thức về các nguy cơ bảo mật theo tình huống, dữ liệu sẽ thường được thu thập từ các nguồn dữ liệu NSM sẵn có như FPC hay dữ liệu phiên. Những dữ liệu này thường sẽ tập trung vào các tương tác của các thực thể có thể gây hại với các tài nguyên mạng tin cậy. Ngoài ra, các tiến trình thu thập tri thức mã nguồn mở được sử dụng để xác định các thông tin công khai liên quan tới các thực thể có thể gây hại. Bao gồm các thông tin về người đăng ký các địa chỉ IP, hay các thông tin đã biết về một tệp tin nghi ngờ nào đó.
Để thu thập tri thức hiệu quả, tiến trình thu thập đối với một số loại dữ liệu (FPC, PSTR, phiên,...) phải có đủ tài liệu và dễ dàng truy cập.
Bước 4: Xử lý
Sau khi dữ liệu đã được thu thập, một số loại dữ liệu phải được tiếp tục xử lý để trở nên hữu ích cho việc phân tích. Điều này có thể có nghĩa là rất nhiều thứ khác nhau cho nhiều loại dữ liệu khác nhau.
Ở mức độ cao, xử lý là chuyển dữ liệu thu thập được thành một dạng hữu ích hơn. Điều này có thể là áp dụng bộ lọc vào một tệp tin PCAP để thu nhỏ lượng dữ liệu làm việc, hoặc lựa chọn các tệp tin log của một loại dữ liệu nhất định từ một bộ sưu tập các tệp tin log lớn hơn.
Ở mức độ chi tiết hơn, điều này có nghĩa là lấy dữ liệu từ một bên thứ ba hoặc công cụ tùy chỉnh và sử dụng một số lệnh BASH để định dạng đầu ra của những công cụ thành dạng dữ liệu dễ đọc hơn. Trong trường hợp một tổ chức sử dụng một công cụ tùy chỉnh hoặc cơ sở dữ liệu để thu thập thông tin, đó có thể có nghĩa là viết các truy vấn để chèn dữ liệu vào định dạng này, hoặc kéo nó ra khỏi định dạng đó thành dữ liệu dễ đọc hơn.
Cuối cùng, xử lý đôi khi có thể được xem như là một phần mở rộng của tập dữ liệu thu được khi dữ liệu được thu gọn, tinh chỉnh thành một hình thức lý tưởng cho các chuyên gia phân tích.
Bước 5: Phân tích
Phân tích là giai đoạn kiểm tra, xem xét mối liên hệ và đưa vào các ngữ cảnh cần thiết cho các dữ liệu đã thu thập và xử lý, để làm cho chúng có ích. Giai đoạn này giúp cho thông tin thu thập được từ lúc chỉ là những mẩu dữ liệu rời rạc trở thành một sản phẩm hoàn thiện, có ích cho việc ra quyết định.
Trong khi phân tích và tạo ra các sản phẩm TI về nguy cơ bảo mật và các tài nguyên cần bảo vệ, chuyên gia phân tích sẽ lấy dữ liệu đầu ra từ một số công cụ và nguồn dữ liệu, kết hợp các dữ
liệu trên từng máy tính để chỉ ra bức tranh của riêng từng máy tính. Một lượng lớn hơn các tri thức thu thập cho các máy tính cục bộ sẽ làm bức tranh này thêm chi tiết về các xu hướng cũng như các đối tác giao tiếp thông thường của các máy tính. Việc phân tích về các máy tính có thể gây hại sẽ được tạo nên từ các tập dữ liệu nhỏ hơn, yêu cầu việc kết hợp các tri thức nguồn mở vào tiến trình phân tích.
Các kết quả cuối cùng có được từ quá trình này là sản phẩm TI sẵn sàng cho các chuyên gia phân tích.
Bước 6: Truyền đi
Trong các trường hợp thực tế, một tổ chức sẽ không có đội ngũ chuyên dụng để thu thập tri thức. Điều đó có nghĩa là các chuyên gia phân tích NSM sẽ tạo ra các sản phẩm TI để riêng họ sử dụng. Đây là một lợi thế độc nhất vì người sử dụng các tri thức này thường sẽ là người tạo ra nó, hoặc ít nhất là sẽ ở chung nhóm hay trong cùng tổ chức. Trong pha cuối cùng của chu trình thu thập kiến thức, các sản phẩm tri thức được truyền tới các cá nhân hoặc nhóm đã đưa ra các yêu cầu thu thập kiến thức.
Trong hầu hết các trường hợp, các sản phẩm TI liên tục được đánh giá và cải tiến. Các khía cạnh tích cực và tiêu cực của sản phẩm cuối cùng được đánh giá cẩn thận và các đánh giá này sẽ được dùng tiếp trong việc xác định các yêu cầu thu thập tri thức và lập kế hoạch cho việc tạo sản phẩm. Do đó các tiến trình thu thập tri thức được gọi là chu trình, thay vì là một chuỗi các bước.