CHƯƠNG 3 TRIỂN KHAI VÀ ĐÁNH GIÁ HỆ THỐNG
3.4 Phân tích kết quả thử nghiệm hệ thống
3.4.1 Windows GPO với Sysmon
Dựa trên logs thu được trên SIEM, ta có thể thấy rằng logs của dịch vụ Sysmon ghi lại được nhiều thông tin hơn so với logs khi kích hoạt Windows GPO. Cụ thể, nó cho phép ghi bổ sung thêm mã băm của tiến trình được thực thi, các tham số được sử dụng và thông tin về tiến trình cha đã khởi chạy nó. Ngay cả khi kích hoạt Windows GPO thì thông tin về tiến trình cha, tham số của nó chỉ được hỗ trợ ghi lại trên một số phiên bản hệ điều hành Windows mới gần đây. Ngoài ra, nó còn cho phép ghi lại nhiều sự kiện khác mà Windows GPO không có, ví dụ như logs liên quan đến Create Remote Thread, Process Access, v.v [Bảng 1.6].
91
Ví dụ, với hành vi sử dụng tiện ích reg.exe để dump thông tin trong tệp SAM thì logs sau khi cấu hình Windows GPO sẽ chỉ ghi được thông tin về đường dẫn của tiến trình và các tham số được sử dụng. Trong khi đó, dịch vụ Sysmon cho phép ghi lại mã băm của tiến trình reg, ghi được thêm thông tin của tiến trình cha đã khởi chạy tiến trình đó. Việc có thêm các thông tin bổ sung này cho phép xác định chính xác hơn các hành vi tấn công, ngay cả khi kẻ tấn công đổi tên các tiến trình thực thi. Từ đó giúp giảm số lượng cảnh báo sai trên hệ thống SIEM, cũng như có thêm nhiều nguồn thông tin hơn trong quá trình điều tra và xử lý sự cố trên máy chủ Windows.
Ví dụ, với hành vi sử dụng procdump để trích xuất thông tin từ tiến trình LSASS của Windows thì chỉ có logs được ghi lại bởi dịch vụ Sysmon như bên dưới.
92
Ngoài việc ghi được nhiều thông tin hơn, Sysmon còn cho phép lọc các sự kiện gây nhiễu, giúp giảm số lượng các sự kiện cần xử lý và lưu trữ bởi SIEM. Hơn nữa, nó còn cung cấp cơ chế cho phép tự giám sát việc thay đổi cấu hình, thay đổi trạng thái dịch vụ của chính nó.
Tuy có nhiều ưu điểm như vậy, nhưng dịch vụ Sysmon cũng có những điểm hạn chế nhất định. Thứ nhất, nó có thể tạo ra nhiều sự kiện gây nhiễu, hoặc bỏ sót các sự kiện và đòi hỏi người quản trị phải có kiến thức nhất định về các kỹ thuật tấn công mới có thể xây dựng được tệp cấu hình dịch vụ Sysmon. Thứ hai, do là giải pháp miễn phí, được phát triển và bổ sung bởi cộng đồng nên nó có thể chứa nhiều lỗi, cũng như tồn tại vấn đề về hiệu năng khi cài đặt trên máy chủ dịch vụ. Trong luận văn này, dịch vụ Sysmon chỉ được cấu hình trên hệ thống thử nghiệm tại phòng nghiên cứu nên có thể chưa phản ánh chính xác hiệu năng khi triển khai trong môi trường thực tế của doanh nghiệp. Thứ ba là nó cũng dễ dàng bị tắt, bị vô hiệu hóa hoặc phá hoại nên việc giám sát các khóa registry liên quan và cấu hình của dịch vụ là vô cùng cần thiết.
3.4.2 OSQuery với Audit
Dựa trên logs thử nghiệm một số kịch bản tấn công trên máy chủ Linux cài đặt dịch vụ osquery và auditd, có thể thấy rằng cả hai dịch vụ đều cho phép ghi bổ sung logs liên quan đến các tiến trình được thực thi, các kết nối mạng được khởi tạo. Tuy nhiên, giữa chúng vẫn có những điểm khác biệt và hạn chế nhất định. Bảng bên dưới sẽ so sánh và mô tả một số ưu và nhược điểm của dịch vụ osquery và auditd.
Bảng 3.5. Bảng so sánh dịch vụ osquery và auditd
Tính năng OSQuery Auditd
Cấu hình Để giám sát toàn bộ lệnh thực thi trên hệ thống, cần cài đặt một audit framework (auditd) trước, sau đó cài đặt và cấu hình osquery
Thường được tích hợp sẵn trên hệ điều hành, cho phép giám sát các lệnh thực thi, các kết nối trên hệ thống Ghi logs Thực hiện theo tác vụ được lập
lịch, sau một khoảng thời gian nhất định sẽ kiểm tra thông tin hệ thống và thực hiện ghi lại logs
Ghi logs theo thời gian thực
Logrotate Cần sử dụng thêm dịch vụ khác, ví dụ như logrotate để sắp xếp lại các bản ghi khi tệp log đạt kích thước tới hạn
Được hỗ trợ mặc định trong tệp cấu hình auditd.conf
93
trạng thái hệ thống
và thông tin thay đổi so với thời điểm truy vấn được chạy trước đó. Các thông tin được ghi lại là một thành phần cụ thể nào đó của hệ thống, ví dụ như thông tin tài khoản, thông tin nhóm, thông tin về các tiến trình, …
Cấu trúc logs
Các bản ghi có cấu trúc JSON, có khả năng tùy chỉnh được thông tin dựa trên việc truy vấn các bảng cơ sở dữ liệu.
Không có khả năng tùy chỉnh các trường thông tin. Các sự kiện bị phân tách thành nhiều thông điệp có cùng giá trị RecordID Thu thập
logs về Qradar
Hỗ trợ tốt giao thức TCP và kém với giao thức UDP. Do các bản ghi trong logs thường dài nên khi sử dụng UDP sẽ bị mất thông tin do giới hạn kích thước thông điệp trên Qradar Hỗ trợ tốt cả UDP/TCP bởi các bản ghi thường ngắn do đã bị chia tách thành nhiều thông điệp Cấu hình parser và rules trên Qradar
Cung cấp extension IBM QRadar Custom Properties for Osquery [21] cho phép phân tách một số thuộc tính trong logs của dịch vụ osquery nhưng khá hạn chế.
Cần tự bổ sung cấu hình parser, QID và xây dựng tập luật phát hiện hành vi tấn công
Cung cấp extension MITRE Linux Integration App [21] cho phép bổ sung các thuộc tính, QID, tập luật theo MITRE dựa trên logs của dịch vụ auditd
Về cơ bản, có thể thấy dịch vụ auditd được hỗ trợ tốt hơn so với osquery trên các máy chủ linux. Tuy nhiên, các bản tin của nó chứa ít thông tin hơn và thường bị phân mảnh nên gây khó khăn cho việc giám sát và xây dựng tập luật. Tuy nhiên, nó lại cung cấp tập luật audit.rules được triển khai phía máy chủ cho phép lọc và tối ưu nguồn logs giúp giảm số lượng các sự kiện cần lưu trữ và xử lý bởi SIEM. Ngoài ra, do được tích hợp sẵn trên các máy chủ linux nên dịch vụ auditd cũng hỗ trợ tốt hơn việc ghi logs, tối ưu hơn về mặt hiệu năng so với dịch vụ osquery.
3.4.3 Đánh giá hiệu quả tập luật
Trong phạm vi luận văn này, dựa trên MITRE ATT&CK [2], Atomic RedTeam [1] và Sigma [13] cùng với một số kinh nghiệm tích lũy trong quá trình điều tra và xử lý sự cố, em đã xây dựng và chuẩn hóa được khoảng 160 luật dưới
94
dạng cấu trúc sigma. Bảng bên dưới sẽ mô tả một số tiêu chí đánh giá tập luật và khả năng đáp ứng của nó.
Bảng 3.6. Bảng đánh giá khả năng đáp ứng của tập luật
Tiêu chí Đáp ứng
Các hành vi nguy hại trên hạ tầng mạng: DoS/DDoS, MaliciousIP/Botnet, các hành vi sử dụng các giao thức bất thường.
Có
Các hành vi nguy hại trên tầng ứng dụng: các hành vi bất thường về tài khoản (đăng nhập sai nhiều lần, đăng nhập ngoài giờ làm việc, đăng nhập cùng lúc từ nhiều địa chỉ IP khác nhau, từ các quốc gia khác nhau, đăng nhập thành công sau nhiều lần đăng nhập thất bại, …)
Có
Các hành vi bất thường, hành vi tấn công trên máy chủ, máy trạm theo MITRE ATT&CK. Đã map giữa rules phát hiện tấn công với các kỹ thuật theo ATT&CK
Có. Chưa thống kê tỷ lệ phát hiện tấn công theo ATT&CK V10 Cảnh báo tình trạng hoạt động của hệ thống, về tình trạng
của phần cứng (CPU / RAM / ổ cứng quá ngưỡng), cảnh báo mất kết nối / sự cố với bất kỳ thành phần nào trong hệ thống
Có sẵn trên SIEM-Qradar
Các hành vi bất thường của người dùng Có
Dựa trên nguồn logs của Windows GPO, dịch vụ Sysmon, Linux OS, dịch vụ Auditd và OSQuery thì tập luật được xây dựng sẽ bao phủ được khá nhiều kỹ thuật tấn công theo MITRE ATT&CK. Cụ thể phân bổ của chúng dựa trên nguồn logs là LinuxOS (8 UC), Linux OSQuery/Linux Auditd (26 UC), Windows Event Logs (72 UC), Sysmon (62 UC). Trong các kịch bản thử nghiệm ở trên, ta thấy tập luật đều cho phép sinh cảnh báo phát hiện các hành vi nghi ngờ tấn công, từ đó có thể sớm phát hiện các mối đe dọa tiềm ẩn trên máy chủ.
95
Hình ảnh bên dưới minh họa giao diện hệ thống kịch bản/tập luật theo định dạng chung sigma. Trong đó, các mỗi kịch bản được chuẩn hóa thành một sigma- rules và sau đó được phát triển thành rules cho SIEM của từng khách hàng tương ứng.