Chương 1 Tổng quan về an tồn thơng tin trong mạng máy tính
1.5. Một số giải pháp đảm bảo an tồn trong mạng máy tính
1.5.1. Công nghệ tường lửa
Firewall ( hay các giải pháp tường lửa ) là một thiết bị, hệ thống phần cứng hoặc phần mềm đều có mục đích chung là để phịng chống và ngăn căn sự truy cập
trái phép, ngoài mong muốn vào hệ thống cần được bảo vệ. Firewall đặt tại các vị trí như điểm vào ra của luồng dữ liệu để kiểm soát, lọc, hay chặn nếu cần thiết.
Tường lửa được sử dụng rộng rãi để kiểm sốt, lọc gói tin giữa vùng tin cậy ( mạng bên trong ) và vùng không tin cậy ( mạng Internet ). Tường lửa hoạt động giống như một hệ thống hàng rào và cổng bảo vệ với các chỉ dẫn cụ thể về việc cho truy nhập hoặc không cho truy nhập. Các thông tin gửi qua tường lửa được tường lửa kiểm tra. Nếu thông tin không hợp lệ, tường lửa sẽ từ chối không cho đi qua, đồng nghĩa với việc kết nối bị từ chối. Phải xác định rõ ràng tài nguyên nào được phép kết nối từ xa qua hệ thống Internet, việc cấp địa chỉ Internet phải được xem xét cẩn thận nhằm đảm bảo an tồn cho tài ngun đó và để tiết kiệm tài nguyên địa chỉ.
1.5.2. Hệ thống phát hiện xâm nhập IDS/IPS
Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn cơng từ bên trong ( nội bộ ) hay tấn cơng từ bên ngồi ( từ các tin tặc ).
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết ( giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus ) hay dựa trên so sánh lưu thông mạng hiện tại với baseline ( thơng số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại ) để tìm ra các dấu hiệu khác thường.
Tính năng quan trọng nhất của hệ thống phát hiện xâm nhập IDS bao gồm: - Giám sát lưu lượng mạng và các hoạt động khả nghi.
- Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
- Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.
Phân loại IDS ( hệ thống phát hiện xâm nhập )
- NIDS: hệ thống phát hiện xâm nhập mạng. Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà khơng làm thay đổi cấu trúc gói tin. NIDS có thể là phần mềm triển khai trên server.
- HIDS: Hệ thống phát hiện xâm nhập host. Theo dõi các hoạt động bất thường trên các host riêng biệt. HIDS được cài đặt trực tiếp trên các máy ( host ) cần theo dõi.
Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh, điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả cao. IDS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống:
- Theo dõi các hoạt động bất thường đối với hệ thống.
- Xác định ai đang tác động đến hệ thống và cách thức như thế nào. - Các hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng. Ưu điểm, hạn chế của hệ thống phát hiện xâm nhập.
Ưu điểm:
- Cung cấp một cách nhìn tồn diện về tồn bộ lưu lượng mạng. - Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
- Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố. Hạn chế:
- Có thể gây ra tình trạng báo động nhầm nếu cấu hình khơng hợp lý. - Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
- Chi phí triển khai và vận hành hệ thống tương đối lớn.
1.5.3. Hệ thống giám sát an toàn mạng
a) Khái niệm giám sát an toàn mạng
Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc… đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Để giải quyết các mối lo này các tổ chức cần đầu tư vào các giải pháp an ninh, bảo vệ có chiều sâu và theo nhiều lớp.
Bài toàn được đặt ra đối với đội ngũ vận hành an ninh ( Security ) như:
- Tăng cường khả năng phân tích tồn bộ nhật ký: Hàng ngày các hệ thống như Firewall, IPS, OS, Database… đưa ra hàng triệu nhật ký. Các tổ chức với đội ngũ làm việc của mình khơng có cách nào hồn thành việc phân tích với các cơng cụ thủ công.
- Giảm số lượng các thông báo giả: Trong số hàng triệu các sự kiện đó thì có một phần rất lớn các thơng báo khơng chính xác và không thực sự quan trọng.
- Thực hiện bảo vệ riêng lẻ, thiếu khả năng bao quát: Với mỗi hệ thống cần có một hoặc vài người quản trị, thơng thường những người này chỉ làm việc với chun mơn của họ. Khi có nhu cầu thực hiện phân tích, điều tra một vấn đề trong hệ thống, họ sẽ mất nhiều thời gian để tìm hiểu về các hệ thống khác có liên quan hoặc làm việc với các bộ phận khác…Như vậy thời gian thực hiện sẽ lâu, dễ dàng
bỏ qua các sự kiện tưởng như khơng nguy hiểm. Bởi vì người quản trị khơng có khả năng quan sát tồn bộ các vấn đề về an ninh đang diễn ra trong hệ thống.
- Yêu cầu đồng bộ và phân tích nhật ký do mỗi hệ thống có một định dạng nhật ký khác nhau.
Để giải quyết các bài toán đặt ra, hệ thống thông tin của tổ chức cần một giải pháp thu thập, quản lý và phân tích các sự kiện an tồn thơng tin. Hệ thống giám sát an tồn thơng tin mạng SIEM là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Hệ thống SIEM phải thực hiện thu thập nhật ký từ tất cả các hệ thống mà các tổ chức quan tâm, cung cấp đa dạng và linh hoạt các cơng cụ cho việc tìm kiếm, phân tích, theo dõi các sự kiện an ninh theo thời gian thực trên duy nhất một giao diện. Tính năng phân tích sự tương quan giữa các sự kiện cho phép hệ thống chỉ ra được các vấn đề lớn về an ninh mà hệ thống đang phải đối mặt. Điều này sẽ cho phép các tổ chức hạn chế được các rủi ro, tiết kiệm thời gian, nhân lực.
b) Mục đích của hệ thống giám sát an tồn thơng tin mạng
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật ký ( log ) này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu nhật ký từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.
Một tổ chức khơng có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất nhiều công sức trong việc tập hợp báo cáo. Trong môi trường như vậy, cần phải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối, hoặc lấy dữ liệu định kì bằng cách thủ cơng từ mỗi thiết bị rồi tập hợp chúng lại và phân tích để thành một báo cáo. Khó khăn xảy ra là khơng nhỏ do sự khác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến các nhật ký sự kiện an ninh được ghi lại khác nhau. Chuyển đổi tất cả thơng tin đó thành một định dạng chung địi hỏi việc phát triển hoặc tùy biến mã nguồn rất lớn.
Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và báo cáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc tế như Health Insurance Portability and Accountability Act ( HIPAA ), Payment Card Industry Data Security Standard ( PCI DSS ) và Sarbanes-Oxley Act ( SOX ). Nhờ
SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ.
Lí do chính cho việc triển khai SIEM là hệ thống có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được.
Thứ nhất, các thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng khơng tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.
Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn cơng thơng qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn cơng ban đầu là gì và đã thành cơng hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn cơng đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn cơng.
Hệ thống SIEM khơng thay thế các sản phẩm kiểm sốt an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus. Một hệ thống SIEM độc lập khơng có tác dụng gì ngồi theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.
Ngồi ra, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn cơng đang diễn ra. SIEM khơng tự mình trực tiếp ngăn chặn các cuộc tấn cơng, thay vào đó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.
c) Lợi ích của hệ thống giám sát an tồn mạng
Một lợi ích khác của các hệ thống SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự
cố. SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
- Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn cơng vào doanh nghiệp.
- Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn công.
- Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và cách ly các thiết bị đầu cuối đã bị xâm hại.
Vai trò của các hệ thống SIEM ngày càng trở nên cần thiết hơn bao giờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệp tài chính, các tập đồn công nghệ…
Hệ thống SIEM cho phép tổ chức có được bức tranh tồn cảnh về các sự kiện an toàn mạng xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các hệ thống kiểm sốt an tồn, hệ điều hành của thiết bị, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn đằng sau các dữ liệu này.
1.5.4. Giám sát an toàn mạng thế hệ mới
a) Vấn đề với hệ thống giám sát an toàn mạng truyền thống
Mong muốn cải thiện an tồn thơng tin mạng, nhiều tổ chức và doanh nghiệp đã nhanh chóng áp dụng hệ thống giám sát an toàn mạng. Tuy nhiên, qua nhiều năm, các vấn đề với hệ thống này đã trở nên rõ ràng:
- Các bộ dữ liệu không linh hoạt nên một số thống giám sát an tồn mạng truyền thống khơng thể xử lý dữ liệu cần thiết, dẫn hiệu quả của hệ thống bị hạn chế.
- Hệ thống giám sát an toàn mạng truyền thống rất khó cấu hình và bảo trì, điều này làm tăng thêm sự phức tạp và tiều tốn nhân sự để duy trì.
- Hệ thống tạo ra một số lượng lớn các kết quả không cần thiết, khiến cơng việc của đội an tồn thơng tin gặp khó khăn.
- Khi các cơng nghệ phát triển, hệ thống giám sát an tồn mạng thế hệ đầu gặp khó khăn để cập nhập các mối đe dọa đang phát triển và do đó rủi ro khơng gian mạng đối với các doanh nghiệp tăng lên.
b) Hệ thống giám sát an toàn mạng thế hệ mới
Một hệ thống giám sát an toàn mạng hiện đại nên được xem như một hệ thống thần kinh trung ương, thu thập dữ liệu và tạo thơng tin mà các nhóm bảo mật
có thể sử dụng để phát hiện khả năng của những hoạt động độc hại trước khi bất kỳ thiệt hại nào được nhận ra, cung cấp một mạng lưới an tồn có thể phát hiện các mối đe dọa tiềm tàng có thể vượt qua được các hệ thống an tồn truyền thống. Cùng với việc tối ưu hóa đầu tư cho giảm thiểu rủi ro nhu cầu về những cơng cụ có thể cung cấp các thơng tin an tồn ngày càng tăng cao.
Hệ thống giám sát an toàn mạng thế hệ tiếp theo sẽ tăng cường khả năng của hệ thống truyền thống như: quản lý nhật ký tự động, so sánh các chỉ số, nhận dạng tấn cơng và cảnh bảo) phát triển tích hợp cùng với các cơng nghệ mới như:
- Phân tích dựa trên dữ liệu đám mây ( cloud-based analytics ).
- SOAR ( Security Orchestration, Automation and Response ): là một nhóm giải pháp của các chương trình phần mềm tương thích cho phép một thu thập dữ liệu về các mối đe dọa bảo mật từ nhiều nguồn và phản ứng với các sự kiện bảo mật mà không cần sự trợ giúp của con người người dùng.
- UEBA ( User and Entity Behavior Analytics ): Cơng cụ phân tích hành vi người dùng và thực thể qua đó xác định các hoạt động nhạy cảm ví dụ như các hành vi của người dùng có sử dụng đặc quyền mang tính rủi ro (hoặc có sử dụng đầy đủ quyền ưu tiên – quyền root), thay đổi quyền bảo mật của một nhóm; cập nhật cấu hình quản lý danh tính và quyền truy cập ( Identity and Access Management – IAM ). Đây có thể là các dấu hiệu cho biết thông tin bảo mật bị xâm phạm hoặc cho thấy sự tồn tại của các mối đe dọa rò rỉ nội bộ. Bằng việc phát hiện sớm những mối đe dọa này, chúng ta có thể ngăn chặn các cuộc tấn cơng trước khi bị tấn công trên mơi trường điện tốn đám mây.
- Học máy và trí tuệ nhân tạo ( Machine learning and AI ): AI có thể tự động hóa các quy trình phức tạp để phát hiện tấn cơng và phản ứng với các vi phạm trái phép.
Yêu cầu cần thiết Khả năng của hệ thống giám sát an toàn mạng thế hệ mới
Quản lý và giám sát tập chung cơ sở hạ tầng lai (hybrid
infrastructure) (ví dụ: điện tốn đám mây, hệ thống tự xây dựng của doanh nghiệp)
• Cho phép tích hợp nhanh vào doanh nghiệp cơ sở hạ tầng thơng qua kiến trúc mở.
• Đáp ứng nhu cầu hoạt động phức tạp, nhiều môi trường cả, hiệu suất cao và
khả năng bảo trì do kiến trúc có thể mở dễ dàng mở rộng.
Phân tích các sự kiện bảo mật liên quan trên nhiều bộ dữ liệu khác nhau, qua đó phát hiện