PHÁN TÍCH THIET KE HỆ THONG

thống SIEM vào mô hình, nhiệm vụ của SIEM sẽ thực hiện việc chuẩn hóa và sắp xếp này, đồng thời cả phân tích và phát cảnh báo khi xảy ra tan công cho hệ thống SOAR. Về vấn đề ngăn chặn tan công, có rất nhiều công cụ bảo mật thực hiện công

việc này, nhưng một trong những công cụ đơn giản mà lại hiệu quả, đó là tường lửa

(Firewall). Với việc thiết lập các quy tắc cho phép các gói tin được đi vào hoặc đi ra

khỏi hệ thống, tác giả lựa chọn tường lửa sẽ là công cụ thực hiện ngăn chặn cuộc tấn

công trong mô hình mà tác giả thiết kế.

SS Internet

— dữ liệu mạng

__ằ dữ liệu điều khiển

chuyên tiếp bản sao

¡ ưu lượng mạng

điều phối dé

ngăn chặn

phát cảnh báo

i}

|

|

|

Y

tan công

Hình 3.1: Mô hình tong quan của hệ thống

34

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

Hình 3.1 bên trên là mô hình mà tác giả xây dựng, khi có kẻ tấn công từ Internet tấn công vào hệ thống mạng, giải pháp của tác giả sẽ tự động hoá toàn bộ quá trình từ phát hiện, cảnh báo, đưa ra hướng giải quyết và thực hiện ngăn chặn cuộc tấn công. Các thành phần của hệ thống trên bao gồm:

e IDS: Có vai trò rất quan trọng trong mô hình tác giả xây dựng, IDS đảm nhiệm

chức vụ phân tích gói tin, phát cảnh báo khi xác định gói tin trùng khớp với cơ sở

dữ liệu một cuộc tấn công nào đó, ghi log lại và truyền log cho SIEM.

e SIEM: có nhiệm vụ nhận các log từ IDS, phân tích log dé trích xuất các thông tin

như thời gian tấn công, địa chỉ IP của kẻ tấn công, port nguồn, loại tấn công, payload tan công,...Sau đó gửi những thông tin này cho SOAR dé SOAR thực hiện phản ứng với cuộc tan công.

e SOAR: là trung tâm của mô hình tác giả xây dựng, SOAR sẽ thực hiện theo

Workflow mà quản trị viên thiết lập nên, nhận thông tin về cuộc tan công từ SIEM, dùng các thông tin đó đề thực hiện phản ứng, ngăn chặn cuộc tấn công.

e Firewall: Firewall sẽ đảm nhận vai trò ngăn chặn cuộc tan công. Khi SOAR thực

hiện điều phối, các thông tin về cuộc tan công sẽ được SOAR dùng dé thực hiện thiết lập các quy tắc cho tường lửa và cuộc tân công lúc này sẽ được ngăn chặn. 3.2. Các thành phan trong hệ thống

3.2.1. IDS

IDS có vai trò rất quan trọng trong giải pháp mà tác giả đề ra. Trong mô hình tác giả

đề ra, IDS sẽ đóng vai trò một network-based IDS hoạt động ở chế độ bị động (passive) như vai trò của một công cụ phân tích gói tin. Ở chế độ này, các gói tin không đi qua trực tiếp IDS như chế độ inline, mà chỉ nằm lắng nghe các gói tin đi

qua tường lửa và gửi tới mạng LAN. Các gói tin này sẽ liên tục được phân tích và

kiểm tra liên tục nội dung xem có hợp lệ với các quy tắc được quản trị viên thiết lập

hay không.

35

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

Khi có một cuộc tấn công mạng xảy ra, các gói tin bị IDS phát hiện trùng khớp với các signature về một cuộc tan công. Lúc này IDS sẽ phát cảnh báo về một cuộc tấn công và ghi log. Các log về cuộc tấn công sẽ được gửi đến đến cho hệ thống SIEM

dé tiến hành phân tích, thông tin từ việc phân tích của SIEM được phục vụ cho hành

động phản ứng lại với cuộc tân công.

Lí do cho việc tác giả nói răng IDS có vai trò rất quan trọng trong mô hình, là vì IDS

sẽ cần độ chính xác cao trong việc phân tích gói tin và xác định chính xác gói tin này

có gây nguy hại tới hệ thong mạng hay không. Trong trường hop IDS xác định sai

hành vi của gói tin sẽ gây ra cảnh báo dương tính giả hoặc âm tính gia, lúc này hệ

thống mạng sẽ bị ảnh hưởng, có thé gây ra tình trạng đình trệ đối với cảnh báo dương tính giả và gây hư hại nếu là âm tính giả.

3.2.2. SIEM

SIEM đóng vai trò trong việc chuẩn hoá thông tin, phân tích và thống kê thông tin về các cuộc tấn công. Nguyên nhân tác giả cần hệ thống SIEM trong giải pháp đề ra là

vì các log được IDS thu thập và gửi đi không được chuan hoá và sắp xếp, gây rối và khó hiểu, khó trong việc theo dõi và thực hiện phản ứng. Nhiệm vụ của SIEM sẽ là chuẩn hoá, sắp xếp dé tiện cho nhóm SOC có thé theo dõi và đưa ra giải pháp phản ứng với cuộc tan công, đồng thời có thé dé dàng gửi các thông tin này đến các công

cụ bảo mật khác.

Cho ví dụ, khi IDS phát hiện một cuộc tấn công DoS, log sinh ra bởi IDS sẽ được biểu diễn như Hình 3.2.

Hình 3.2: Minh hoạ một log của IDS khi phát hiện một cuộc tan công DoS Phía trên là một log được thê hiện đưới dang csv, chỉ nhìn vào log, ta sẽ khó mà xác định được đâu là thời gian của hệ thống bị tan công, message cảnh báo, địa chỉ IP của

kẻ tân công, ...

36

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

Sau khi ta đưa đoạn log trên vào SIEM, ta sẽ có kết quả như hình bên hình 3.3

+ @timestami pO ` datetime v msg sre_ip Y sre_port Y dstLip Y đẹt port x

Jun 16, 2823 @ 19:31:59.774 96/16-19:28:40.299723 BAD-TRAFFIC tcp port @ 192.168.23.59 9 192.168.4.108 45059

traffic

Hình 3.3: Minh hoa một log của IDS khi được chuẩn hoá nhờ SIEM Ngoài ra, SIEM còn các chức năng khác nhằm hỗ trợ nhóm SOC như là phát cảnh báo thông qua Email, thực hiện gửi cảnh báo đến các công cụ bảo mật khác dé phản

ứng, ngăn chặn, ...

3.2.3. SOAR

Nguyên lí hoạt động cua SOAR dựa trên các kịch bản tự động mà các nhóm vận hành

bảo mật xây dựng. Các kich bản này được các nhà vận hành xây dựng dựa trên cách

thức và đặc điểm của từng loại tan công. Đối với từng loại tan công sẽ có từng kịch

bản riêng của nó và SOAR sẽ tự động kích hoạt kịch bản tương ứng khi xác định được loại tân công là gì.

Giả sử, khi có một cuộc tấn công DoS xảy ra, hệ thông IDS phát hiện và phát cảnh báo, sau đó hệ thống SIEM thu thập những log của IDS về cuộc tan công này, phân tích và trích xuất các thông tin như là loại tan công, địa chi IP kẻ tan công, port tan công,... Các thông tin được SIEM trích xuất sẽ đưa đến hệ thống SOAR, SOAR sẽ

nhận các thông tin này, dựa vào thông tin nhận được xác định cuộc tấn công là một

cuộc tấn công DoS mà kịch bản tự động ngăn chặn cuộc tấn công DoS sẽ được kích

hoạt. Phương thức ngăn chặn cũng được nhóm vận hành bảo mật lập trình sẵn ban đầu, chăng hạn lúc này SOAR sẽ thực hiện điều phối tường lửa chặn địa chỉ IP, port

của gói tin.

Vai trò của SOAR trong mô hình tác giả xây dựng là sau khi log được chuẩn hoá bởi SIEM, các phan thông tin về cuộc tan công cần thiết từ SIEM sẽ được gửi tới SOAR, đây sẽ là trung tâm phản ứng lại các cuộc tấn công khi nó xảy ra. Khi một cuộc tấn công xảy ra, SOAR nhận được cảnh báo từ SIEM, các thông tin cần thiết về cuộc tấn

37

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

công sẽ được gửi tới SOAR và SOAR sẽ dựa vào các thông tin đó thực hiện phản ứng

lại với cuộc tấn công.

3.2.4. Firewall

Firewall (tường lửa) trong mô hình tác gia dé ra có vai trò như là công cụ dé ngăn chặn lại cuộc tấn công. Tường lửa thường chỉ có chức năng cho phép các gói tin đi qua hoặc bi chan lại, va thường thì các nhà quản tri phải thực hiện thủ công thiết lập quy tac cho tường lửa. Khi có cuộc tan công xảy ra, các kẻ tấn công luôn tìm cách

vượt qua tường lửa, thường thì chúng sẽ tìm các port đang mở mà không bị chặn. Cứ

sau mỗi cuộc tấn công thì các quản trị viên phải thiết lập các quy tắc để ngăn chặn

các cuộc tân công mới.

Khi kết hợp tường lửa với SOAR, SOAR sẽ thực hiện tự động điều phối tường lửa thực hiện chặn các gói tin đến từ kẻ tan công. Điều này sẽ tiết kiệm thời gian và nhân lực cho các nhóm SOC trong việc thực hiện cập nhật liên tục cho tường lửa, đồng thời, cũng giảm thời gian cho việc suy xét việc cho phép một gói tin hay nhiều gói tin

nào đó đi vào mạng LAN là có an toàn hay không.

3.3. Luéng hoạt động

Mô hình tác giả lên ý tưởng hoạt động xoay quanh hạt nhân là SOAR, và các công cụ

khác phục vụ cho mục đích thu thập dữ liệu, chuẩn hoá dữ liệu và ngăn chặn cuộc tan

cong.

Có thé tóm gọn lại luồng hoạt động của mô hình tác giả đã đề ra trong mục 3.1 khi

có một cuộc tấn công xảy ra như sau:

Khi cuộc tấn công xảy ra, mô hình sẽ hoạt động theo trình tự:

e Bước 1: Khi cuộc tấn công xảy ra, gói tin sẽ đi qua tường lửa, di qua Switch

và đi vào LAN. Tại Switch, Switch sẽ cung cấp một bản sao vừa gửi tới IDS. e_ Bước 2: IDS sẽ thu thập thông tin về các gói tin đi tới LAN trong hệ thống

mạng, khi có một gói tin nào đó trùng khớp với một signature thuộc vê một

38

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

cuộc tan công ở bên trong database của IDS, IDS sẽ phát cảnh báo (alert) và gửi các log về cuộc tan công đến cho hệ thống SIEM.

e_ Bước 3: Hệ thông SIEM có vai trò chuan hoá và thống kê, phân tích dữ liệu.

Khi thông tin về một cuộc tan công được gửi tới SIEM, nó sẽ cho ta biết thời gian cuộc tấn công xảy ra, địa chỉ IP nguồn, port nguồn của kẻ tấn công, tên của loại tấn công,... Nhiệm vụ tiếp theo của SIEM là gửi thông tin về các cuộc tan công này tới SOAR dé SOAR điều phối các công cụ khác thực hiện việc phản ứng với cuộc tan công này.

e_ Bước 4: Hệ thống SOAR sẽ đóng vai trò trung tâm của mô hình, khi thông tin

về cuộc tan công được gửi từ SIEM tới SOAR, hệ thống SOAR sẽ dựa vào những thông tin đó, điều phối tường lửa một cách tự động đề thực hiện ngăn chặn cuộc tan công.

e Bước 5: Tường lửa ở trong mô hình này sẽ hoạt động như là một công cụ ngăn

chặn cuộc tan công, khi nhận tín hiệu từ SOAR, tường lửa sẽ thiết lập rules để ngăn cuộc tan công hiện tại như là chan IP của kẻ tan công, chan các thiết bị

trong LAN truy cập tới web malware, ...

39

Chương 3. PHÁN TÍCH THIET KE HỆ THONG

B1: Switch chuyển

tiếp gói tin cho IDS

B6: Điều phối tường lửa

ngăn chặn kẻ tân công

B2: IDS kiểm tra

các gói tin

B4: Gửi thông tin của

kẻ tân công cho SOAR

B3: Gửi thông tin về cuộc

tân công cho SIEM

Hình 3.4: Luéng hoạt động của mô hình tác giả xây dựng

40