- Kích hoạt cảnh báo theo giờ, giả sử như khi lỗi 404 trong mỗi giờ lớn
CHƯƠNG 3 CÔNG
CÔNG CỤ FALCON ORCHESTRATOR 3.1. Tổng quan về Incident response
Incident response (IR) là một tập hợp các phần mềm bảo mật tổng thể liên quan đến những chính sách, thủ tục xử lý sự cố bất ngờ xảy ra trên hệ thống CNTT. Mục tiêu chính của IR là phát triển đội ngũ, cơ sở hạ tầng và các thủ tục để xác định các vi phạm an ninh nhanh chóng và có sự điều chỉnh môi trường IT phù hợp nhằm ngăn chặn hoặc giảm thiểu hậu quả trên hệ thống CNTT. Lý tưởng khi đội ngũ IR phải ngăn chặn các tấn công vi phạm an ninh mà không gây ảnh hưởng đến hiệu năng làm việc của hệ thống.
Nhóm an ninh sẽ được yêu cầu giải quyết một số lượng lớn thông tin được đưa vào trung tâm an ninh, ngay cả khi SOC là một phương pháp giám sát các hệ thống CNTT tập trung. Đầu vào đến từ các hệ thống an ninh, nhật ký hệ thống, người dùng cuối, và thậm chí là bộ phận helpdesk. Các thơng tin này sẽ cần được sắp xếp theo ý nghĩa của nó liên quan đến tình trạng an ninh của tổ chức. Có 5 mức cơ bản được sử dụng để phân loại các mục và sự kiện thông tin:
Các hoạt sự kiện bình thường, ngay cả khi mọi thứ đang
hoạt động tốt, các hệ thống đang làm việc ổn định và khơng có sự cố xảy ra vẫn cần lưu trữ các mục nhật ký tác vụ thông thường vào nhật ký sự kiện hệ thống.
Sự kiện bảo mật, các sự kiện có thể khơng bình thường hoặc
có khả năng leo thang thành sự cố bảo mật. Người quản trị cần xác định và loại trừ các sự kiện bảo mật giả mạo - những sự kiện trơng có vẻ khơng bình thường, nhưng sau khi kiểm tra, khơng gây ra nguy cơ bảo mật cho hệ thống. Quản trị cũng cần chịu trách nhiệm giải quyết các sự cố bảo mật, ví dụ như một cảnh báo phát hiện phần mềm độc hại trên máy trạm. Có thể tạo response cho cảnh báo, như chạy quét AV hoàn toàn trên hệ thống bị ảnh hưởng để xác minh rằng đó là một sự kiện an ninh.
Sự cố bảo mật, các sự kiện bảo mật không thể loại trừ các sự kiện
giả được hoặc không thể giải quết sự kiện một cách dễ dàng sẽ được phân loại là sự cố bảo mật. Đội ngũ IR cần cố gắng xác minh các sự kiện và
xem xét tinh chỉnh các cơ chế cảnh báo. Nếu sự kiện không phải sự kiện an ninh giả, hệ thống ứng phó sự cố sẽ làm việc để giải quyết sự cố.
Thiên tai, thường được coi là một sự cố bảo mật làm cho
một hoặc nhiều chức năng quan trọng của hệ thống không thể thực hiện được trong một ngày hoặc nhiều hơn. Thiên tai cũng có thể bao gồm lũ lụt, hoả hoạn, hoặc động đất làm mất khả năng sản xuất trong một khoảng thời gian, từ vài ngày đến vài tuần, nhưng tổ chức này thường có thể hồi phục được.
Thảm hoạ, thường được xem là một sự cố bảo mật phá hủy một
hoặc nhiều chức năng quan trọng của tổ chức. Ngồi ra, những thảm hoạ có thể bao gồm lũ lụt, hoả hoạn hoặc động đất phá huỷ một thành phần quan trọng như cơ sở sản xuất chính cần thiết cho sản xuất. Các tổ
chức thường khơng thể phục hồi sau thảm hoạ.
Để phân loại hay xử lý các sự kiện an ninh như trên ta cần một đội ngũ ứng phó sự cố IR trong tổ chức hoặc có thể thuê bên thứ ba cung cấp dịch vụ.
3.1.1. Nhóm Incident response
Nhóm IR, thường được gọi là Nhóm Phản hồi Sự cố Máy tính (CIRT- Computer Incident Response Team) hoặc Nhóm phản ứng Sự cố an ninh Máy tính (CSIRT - Computer Security Incident Response Team), được cấu thành từ những nhân viên có nhiều kỹ năng chun mơn cao. Trong thời gian xảy ra sự an ninh, hoạt động của hệ thống bị gián đoạn gây thiệt hại kinh tế vì vậy yêu cầu các phản ứng sự cố phải ngắn gọn và nhanh chóng. Nhóm IR thường chỉ nhận được các mảnh thơng tin; Một số thơng tin có ý nghĩa chỉ ra dấu hiệu của vi phạm an ninh, và các thơng tin khác có vẻ như khơng có ý nghĩa quan trọng thường khơng liên quan, có khả năng dẫn đến sai lệch. Mặc dù chỉ được tiếp cận những thông tin không được đầy đủ và thông thường gây hiểu nhầm, nhưng kết luận và quyết định lại cần chính xác và phải được hành động thực hiện nhanh chóng. Các quyết định sai có thể làm tổn hại đến tổ chức. Vì những lý do này, thường là những cá nhân tài năng và dày dặn kinh nghiệm với các kỹ năng cần thiết khác nhau mới có tham gia vào nhóm IR.
Dưới đây là danh sách mẫu về vai trị, hoặc các ngun tắc chun mơn, thường được yêu cầu đối với nhóm phản ứng sự cố tốt. Mỗi vai trị có thể yêu cầu một hoặc nhiều cá nhân để đáp ứng công việc và các kỹ năng cần thiết (Windows,
Linux, router, hệ thống ERP, DBA, v.v.). Trong các tổ chức nhỏ hơn, một người có thể được giao nhiệm vụ với nhiều vai trị. Có thể đào tạo chéo và có nhân viên dự phịng để xử lý các tình huống khi một hoặc nhiều thành viên nhóm IR khơng có mặt.
Nhóm IR chính bao gồm:
CISO - Người ra quyết định và chịu trách nhiệm liên lạc với
đội ngũ quản lý của tổ chức.
IR team lead - Là người có kỹ năng quản lý và ra quyết
định tốt, cùng với kỹ năng về an ninh và kỹ thuật mạng, kiến thức về mạng và phân cấp hệ thống CNTT của tổ chức, và sự hiểu biết về giá trị và vị trí của tài sản CNTT.
Security professional/Security analyst – Có kỹ năng bảo
mật hệ thống mạng, và biết sử dụng các công cụ tấn công và phương thức tấn công. Là người giám sát hoạt động hệ thống SIEM.
Network engineer/architect – Là kỹ sư thiết kế mạng của hệ
thống, người có sơ đồ hoạt động của hệ thống CNTT của tổ chức.
System engineer – Nên có những kỹ năng đặc biệt về
phần cứng, hệ điều hành, ứng dụng và / hoặc thiết bị khác nhau.
Human resources – Trong trường hợp sự cố liên quan đến
hành vi sai lầm của nhân viên.
Legal department – Trong trường hợp sự cố gây ra các hệ quả
liên
quan đến pháp lý, kể cả khả năng bị truy tố, tuân thủ hoặc vi phạm pháp luật hoặc liên quan đến hợp đồng.
Các thành viên của đội ngũ nhân viên IR có thể bổ sung những vãi trị sau để trợ giúp cho một sự cố khi cần thiết. Những vai trị bổ sung này có thể là nhân viên hoặc nhà thầu bên ngoài hay bên thứ ba bao gồm những điều sau:
Forensic investigator – Có kỹ năng forensic, bao gồm một
chuỗi các thủ tục tìm kiếm và thu giữ các bằng chứng phù hợp với các dấu hiệu vi phạm an ninh hiện tại.
Developer/hacker – Có kỹ năng viết kịch bản, viết mã, biên
dịch và dịch ngược, cùng với kiến thức về công cụ tấn công và phương pháp tấn công.
Helpdesk – Hỗ trợ điều phối các hoạt động liên quan đến
56 TIEU LUAN MOI download : skknchat@gmail.com
Các thành viên của IR thường được đào tạo nâng cao và thường xuyên để phát triển tốt hơn về kỹ năng, họ có khả năng chịu trách nhiệm 24/7 trong việc giải quyết sự cố.
3.1.2. Các cơng cụ trợ giúp cho nhóm IR
Nhóm IR thường là ngoại lệ đối với nhiều chính sách bảo mật đối với các tổ chức người dùng trung bình. Nhóm này thường cần phải thực hiện qt và dị tìm hệ thống mạng khơng theo quy định, và thường địi hỏi phải có các cơng cụ khơng được phép đối với các hệ thống máy tính doanh nghiệp. Các bộ cơng cụ thường được sử dụng và cần thiết bởi các thành viên trong nhóm gồm có:
SIEM system – Thu thập nhật ký (log) và tương quan sự
kiện với các bộ luật tiêu chuẩn hoặc tùy chỉnh
IDS/IPS systems – Áp dụng với cả mạng dây và không dây. Được
sử dụng để phát hiện các tấn công đã biết nhằm phát hiện các hành vi bất thường trên hệ thống CNTT. IPS được cấu hình để thực hiện các biện pháp phịng ngừa cụ thể chống lại các tấn cơng được ghi nhận.
Hệ thống giám sát cấu hình - Để gửi một cảnh báo khi một cấu
hình hệ thống được sửa đổi mà khơng có thơng báo và ủy quyền thích hợp.
Sniffers – Bắt gói tin lưu thơng trên hệ thống.
Scanners – Rà quét lỗ hổng trên hệ thống.
Forensic tools – Để quản lý các cuộc điều tra pháp y, khơi
phục các nội dung bị xóa, ẩn và mã hóa. Tìm kiếm trên hệ thống các tập tin, dữ liệu nhạy cảm, thu thập bằng chứng số.
Hacking tools – Công cụ được sử dụng bởi những kẻ tấn công để
vượt qua an ninh hệ thống và truy cập trái phép, như trình bẻ khóa mật khẩu và khai thác cơ sở dữ liệu. Bộ sưu tập các công cụ này phải được quản lý tập trung cẩn thận, khi được phép trong doanh nghiệp. Những công cụ này chỉ nên được sử dụng trong các tình huống đặc biệt và chỉ được sử dụng khi được sự chấp thuận của lãnh đạo.
Antivirus and antispyware tools – Nên sử dụng bởi nhà
cung cấp khác với các cơng cụ cịn lại để tăng cơ sở dữ liệu dấu hiệu của các phần mềm độc hại.
Access to administrative consoles of many systems – Để xác
minh các thuộc tính cấu hình (và có thể điều chỉnh). (Nhân viên an ninh thường không được phép tiếp cận với các hệ thống, nhưng thường được cung cấp quyền truy cập vào các bảng điều khiển hành chính của
các hệ thống quan trọng, nói cách khác, ta có thể giám sát hệ thống, nhưng khơng thể thay đổi nó. Cần thơng báo lại nếu cần thay đổi).
Alternate connectivity to the Internet – Để vượt qua
tường lửa doanh nghiệp và các hệ thống proxy.