DOI VOI DOANH NGHIEP VUA VA NHO
CHUONG 2. TONG QUAN VE HE THONG GIAM SAT AN NINH
MANG
2.1. Khai quát
Giám sát an ninh mang là một cách tiếp cận chủ động đối với an ninh mạng bao gồm giám sát lưu lượng mạng và hành vi hệ thống dé xác định và ứng phó với các sự cố bảo mật. Giám sát an ninh mạng nhằm mục đích phát hiện các điểm bất thường, hoạt động độc hại và các mối đe dọa tiềm ân trong thời gian thực hoặc gần thời gian thực. Mục tiêu là giảm thiểu tác động của các vi phạm an ninh và bảo vệ dữ liệu nhạy
cảm [21].
Việc sử dụng hệ thống giám sát an ninh mạng giúp các SME có thé phát hiện sớm các môi đe dọa với doanh nghiệp của họ, giúp doanh nghiệp tuân thủ pháp luật,
bảo vệ dữ liệu nhạy cảm của khách hàng và chính doanh nghiệp.
2.2. Các hệ thống liên quan
2.2.1. Quản lý sự kiện và thông tin bảo mật (SIEM)
2.21.1. Khái quát
Quản lý sự kiện và thông tin bảo mat (Security Information and Event
Management - SIEM), là giải pháp bảo mật giúp các tổ chức nhận biết và giải quyết các mối de doa và lỗ hồng bảo mật tiềm ân trước khi chúng có cơ hội làm gián đoạn
hoạt động kinh doanh.
Nền tảng SIEM ban đầu là các công cụ quản lý nhật ký, kết hợp quản lý thông tin
bảo mat (Security Information Management - SIM) và quản lý sự kiện bảo mật
(Security Event Management - SEM) dé cho phép giám sát và phân tích thời gian thực các sự kiện liên quan đến bảo mật, cũng như theo dõi và ghi nhật ký dữ liệu bảo mật để tuân thủ hoặc kiểm tra [22].
Trong những năm qua, phần mềm SIEM đã phát triển để kết hợp phân tích hành vi người dùng và thực thé (UEBA) , cũng như các khả năng phân tích bảo mật nâng cao, Al và học máy khác dé xác định các hành vi bất thường và chỉ báo về các mỗi de
dọa nâng cao.
2.2.1.2. Hoạt động
Các nền tảng quản lý sự kiện và thông tin bảo mật (SIEM) thu thập dữ liệu nhật ký và sự kiện từ hệ thống bảo mật, mạng và máy tính, đồng thời biến dữ liệu đó thành thông tin chuyên sâu về bao mật hữu ích. Công nghệ SIEM có thé giúp các tổ chức phát hiện các mối de doa mà các hệ thống bảo mật riêng lẻ không thé nhìn thấy, điều tra các sự cô bảo mật trong qua khú, thực hiện ứng phó sự cô và chuẩn bị báo cáo cho
các mục đích tuân thủ và quy định.
Vũ Thu Trang — B19DCA T196 12
Đô án tôt nghiệ
How Security Information and Event Management (SIEM) Works
aws SIEM
— Aggregation Alerts
bs & Database Identify, Sort, and Tag (soc)
Microsoft 365 Google Cloud ọ al
Cloud Services — Sol , ằ = (onglamea
(Microsoft 365, Google, ="- Q: .'*AWS, Etc. © = 4TTA “Age
Threat Hunting —
INTERNET as aaa
7 Servers Workstations
= Laptops
“ae & Firewall IDS oa. [-aaaaal —aa Les =N, s
CORPORATE NETWORK Switch
Hình 2.1. Hoạt động cua SIEM
Đầu tiên, dữ liệu sẽ được thu thập từ nhiều nguồn khác nhau. Chăng hạn [23]:
- _ Tường lửa: Các nhật ký này cung cấp thông tin về lưu lượng truy cập mang, quy tắc tường lửa, kết nối VPN va các sự kiện bảo mật. Xác định các nỗ lực truy cập trái phép, phát hiện vi phạm chính sách và phân tích các sự cố an ninh mạng.
- __ Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System): SIEM thu thập nhật ký và sự kiện từ các thiết bị IDS như Snort hoặc Suricata. Các nhật ký này cung cấp thông tin về các hoạt động xâm nhập mạng được phát hiện, các hoạt động đáng ngờ và các mối de dọa tiềm an.
- _ Nền tảng bảo vệ điểm cuối (EPP - Endpoint Protection Platform): SIEM có thể thu thập nhật ký và sự kiện từ các nên tảng bảo vệ điểm cuối, chăng hạn như phần mềm chống vi-rút, hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) va các công
cụ phân tích hành vi. Dữ liệu này giúp xác định sự lây nhiễm phần mềm độc hại, lỗ hồng hệ thống và hành vi bất thường trên các điểm cuối.
- Active Directory: SIEM có thé thu thập nhật ky từ bộ điều khiển miền Active Directory. Các nhật ký này chứa thông tin về xác thực người dùng, thay đổi chính sách nhóm, khóa tài khoản và các sự kiện liên quan đến bảo mật khác.
- Windows Event Logs: SIEM thu thập nhật ký từ các hệ thống dựa trên Windows, bao gồm bộ điều khiển miền, máy chủ và máy trạm. Các nhật ký này bao gồm thông tin về thông tin đăng nhập của người dùng, thay đổi tài khoản, sự kiện hệ thống và các hoạt động liên quan đến bảo mật.
- _ Nền tảng đám mây: SIEM có thé thu thập nhật ký và sự kiện từ các nhà cung cấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure hoặc Google Cloud Platform (GCP). Các nhật ký này giúp giám sát cơ sở hạ tang đám mây,
Vũ Thu Trang — B19DCA T196 13
Đồ án tốt nghiệp
theo dõi hoạt động của người dùng và phát hiện các sự cố bảo mật trong môi trường
đám mây.
- Bo chuyén mach và bộ định tuyến: SIEM thu thập nhật ký từ bộ chuyển
mạch và bộ định tuyến của Cisco để giám sát lưu lượng mạng, theo dõi các thay đôi cau hình và phát hiện các vi phạm bảo mật hoặc vi phạm chính sách tiềm ân.
- May chủ: SIEM thu thập nhật ký từ nhiều loại máy chủ khác nhau bao gồm
máy chủ web, máy chủ ứng dụng, máy chủ cơ sở dữ liệu và máy chủ tệp. Các nhật ký
này hỗ trợ giám sát các hoạt động của hệ thống, xác định các nỗ lực truy cập trái phép,
phát hiện các thỏa hiệp hệ thống và phân tích các sự cô bảo mật cấp ứng dụng.
Các dữ liệu này có thé được SIEM lẫy bằng cách kết nối trực tiếp với thiết bị
bằng giao thức mạng hoặc lệnh gọi API; thông qua việc cai đặt một agent trên đối
tượng cần thu thập thông tin; hay truy cập các tệp nhật ký trực tiếp từ bộ lưu trữ,
thường ở định dang Syslog; hay thông qua giao thức như SMNP, IPFIX, Netflow.
Tiếp theo, SIEM tiến hành chuẩn hóa và tổng hợp dữ liệu đã thu thập dé giảm độ phức tạp của dữ liệu thô thu thập được từ đối tượng. SIEM sẽ phân tích cú pháp đữ
liệu, trích xuất các trường sau đó tông hợp dữ liệu.
Sau đó, SIEM sẽ tiễn hành phân tích dir liệu dé phát hiện mối đe dọa, xác định
các vi phạm bao mật từ đó đưa ra cảnh báo, báo cáo cho đội ngũ giám sát an ninh.
Một sé công cu SIEM có thé ké dén nhu ELK Stack, Splunk, Graylog,
SolarWinds...
2.2.1.3. Loiich khi sử dụng SIEM
Bat kể tổ chức có quy mô lớn hay nhỏ, việc thực hiện các bước chủ động dé giám sát và giảm thiêu rủi ro bảo mật CNTT là điều cần thiết. Các giải pháp SIEM mang lại lợi ích cho doanh nghiệp theo nhiều cách khác nhau.
Nhận dạng mỗi đe dọa theo thời gian thực. Các giải pháp SIEM cho phép kiểm tra và báo cáo tuân thủ tập trung trên toàn bộ cơ sở hạ tầng kinh doanh. Tự động hóa nâng cao hợp lý hóa việc thu thập và phân tích nhật ký hệ thống và các sự kiện bảo mật dé giảm mức sử dụng tài nguyên nội bộ trong khi van đáp ứng các tiêu chuan báo
cáo tuân thủ nghiêm ngặt.
Tự động hóa dựa trên AI. Các giải pháp SIEM thế hệ tiếp theo ngày nay sử dụng công nghệ hoc máy sâu tự động học hỏi từ hành vi mạng, các giải pháp này có thé giúp xác định mối đe dọa phức tạp và ứng phó sự có trong thời gian ngăn.
Phát hiện các mỗi đe dọa nâng cao và chưa xác định. Xem xét bỗi cảnh an ninh mạng thay đồi nhanh như thế nào, các tổ chức cần có khả năng dựa vào các giải pháp có thé phát hiện và ứng phó với cả các mối đe doa bảo mật đã biết và chưa biết. Sử dụng nguồn cấp dữ liệu thông tin về mối đe dọa tích hợp và công nghệ Al, các giải pháp SIEM có thé giúp các nhóm bảo mật phản ứng hiệu quả hơn trước một loạt các
cuộc tấn công mạng bao gồm: mối đe dọa từ nội bộ, lừa đảo, phần mềm tống tiền,
DDoS, Data exfiltration.
Đánh giá và báo cáo việc tuân thủ. Kiém toán tuân thủ va báo cáo vừa là một nhiệm vụ cần thiết vừa là thách thức đối với nhiều tổ chức. Các giải pháp SIEM giảm
Vũ Thu Trang — B19DCA T196 14
Đồ án tốt nghiệp
đáng ké chi phi tài nguyên cần thiết dé quản lý quy trình nay bằng cách cung cấp kiểm toán theo thời gian thực và báo cáo theo yêu cầu về việc tuân thủ quy định bắt cứ khi nao cần.
Điều tra pháp y. Các giải pháp SIEM lý tưởng dé tiễn hành điều tra pháp ly may tính khi xảy ra sự cô bảo mật. Giải pháp SIEM cho phép các tô chức thu thập và phân tích đữ liệu nhật ký từ tất cả tài sản kỹ thuật số của họ một cách hiệu quả. Điều này mang lại cho họ khả năng dựng lại các sự cố trong quá khứ hoặc phân tích các sự cố mới dé điều tra hoạt động đáng ngờ và triển khai các quy trình bao mật hiệu qua hon.
Giám sát người dùng và ứng dụng. Các giải pháp SIEM theo dõi tất cả hoạt động mạng trên tất cả người dùng, thiết bị và ứng dụng, cải thiện đáng ké tính minh bạch trên toàn bộ cơ sở hạ tầng và phát hiện các mối đe dọa bất kể tài sản và dịch vụ kỹ thuật số đang được truy cập ở đâu.
2.2.2. Một số hệ thống khác
Hệ thống phát hiện xâm nhập (IDS) là một công nghệ bảo mật mạng giám sát lưu lượng mạng và hệ thống máy tính để phát hiện hoạt động độc hại đã biết, hoạt
động đáng ngờ hoặc vi phạm chính sách bảo mật [24].
IDS có thé giúp nhanh chóng và tự động phát hiện xâm nhập. IDS giám sát lưu lượng truy cập và báo cáo kết quả cho quản trị viên. Nó không thê tự động thực hiện hành động dé ngăn chặn các mối đe doa. IDS thường được kết hợp với hệ thống ngăn
chặn xâm nhập IPS (Intrusion Prevention System).
Các hệ thống IDS có thé phân loại theo (1) nguồn di liệu và (2) phương pháp
phân tích đữ liệu [13].
Dựa theo nguồn dữ liệu có thể chia ra làm 2 loại chính: NIDS và HIDS.
Hệ thong phát hiện xâm nhập mạng (NIDS - Network-based IDS) giám sát công mạng và thực hiện thu thập, phân tích lưu lượng mạng bao gồm các gói tin để phát hiện tấn công, xâm nhập cho cả mạng hoặc phân đoạn mạng [25]. NIDS phân tích bản sao của các gói mạng thay vì bản thân các gói đó. Bằng cách đó, lưu lượng truy cập hợp pháp không phải chờ phân tích nhưng NIDS vẫn có thể bắt và gắn cờ lưu lượng truy cập độc hại [24]. Có nhiều hệ thống NIDS dựa trên phần cứng và phần mềm, mã nguồn mở hay được thương mại hóa. Một số hệ thống NIDS nồi tiếng như Snort,
Suricata va Zeek (trước đây gọi là Bro). Trong đó Snort là một trong các NIDS được
sử dụng phô biến nhất. Snort được biết đến là NIDS dựa trên phần mềm, hỗ trợ nhiều nên tảng hệ điều hành, mã nguồn mở và miễn phí.
Hệ thong phát hiện xâm nhập cho máy (HIDS - Host-based intrusion detection system) được cài đặt trên một điểm cuối cụ thé, như máy tính xách tay, bộ định tuyến hoặc máy chủ. HIDS chỉ giám sát hoạt động trên thiết bị đó, bao gồm cả lưu lượng truy cập đến và đi từ thiết bị đó. HIDS thường hoạt động bằng cách tạo một bản sao dit liệu tại một thời điểm nhất định (snapshot) định kỳ các tệp hệ điều hành quan trọng và so sánh các snapshot này theo thời gian. Nếu HIDS nhận thấy có thay đồi, chăng hạn như tệp nhật ký được chỉnh sửa hoặc cấu hình bị thay đổi, nó sẽ cảnh báo cho nhóm bảo mật [24]. Một số HIDS nỗi tiếng có thé đến là OSSEC, Wazuh, IBM Qradar.
Vũ Thu Trang — B19DCA T196 15
Đồ án tốt nghiệp
Trong đó, OSSEC là một trong các hệ thống phát hiện xâm nhập dựa trên máy được sử dụng rộng rãi nhất.
Các nhóm bảo mật thường kết hợp NIDS và HIDS. NIDS xem xét lưu lượng truy cập tông thẻ, trong khi HIDS có thể tăng cường bảo vệ xung quanh các tài sản có giá
tri cao.
NIDS và HIDS là hai loại phô biến nhất. Ngoài ra còn một số loại khác gồm [24,
26]:
- _ Dựa trên giao thức (Protocol-based - PIDS): Hệ thống phát hiện xâm nhập
dựa trên giao thức thường được cài đặt trên máy chủ web. Nó giám sát và phân tích
giao thức giữa người dùng/thiết bị và máy chủ.
° Dua trên giao thức ứng dụng (Application protocol-based - APIDS): giám
sát các giao thức dành riêng cho ứng dụng. APIDS thường được triển khai giữa máy chủ web và cơ sở dit liệu SQL dé phát hiện việc tiêm SQL.
- _ Hệ thống phát hiện xâm nhập lai: Hệ thống phát hiện xâm nhập lai kết hợp hai hoặc nhiều phương pháp phát hiện xâm nhập. Sử dụng hệ thong nay, hé thong hoặc dữ liệu từ máy trạm (Host agent data) kết hợp với thông tin mạng để có cái nhìn toàn
diện về hệ thống. Hệ thống phát hiện xâm nhập lai mạnh mẽ hơn so với các hệ thống
khác. Một ví dụ về IDS lai là Prelude.
Đề nhận dạng được hành vi tấn công, xâm nhập, trước hết cần xây dựng cơ sở dtr liệu các dấu hiệu, chữ ký của các tấn công đã biết hoặc xây dựng nên tập hồ sơ mới gồm các hành vi bình thường của đối tượng cần giám sát. Đây là cơ sở của 2 ký thuật phát hiện xâm nhập dựa trên chữ ký và dựa trên bất thường [25].
Phát hiện dựa trên chữ ký là hình thức lâu đời nhất của phát hiện xâm nhập.
Phương pháp này thực hiện bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu đã biết [27].
Ưu điểm lớn nhất của Phát hiện dựa trên chữ ký là có khả năng phát hiện các tấn công, xâm nhập đã biết một cách hiệu quả. Phương pháp phát hiện này cho tốc độ xử lý cao, không cần nhiều tài nguyên tính toán. Chính vì vậy mà các hệ thống phát hiện dựa trên chữ ký được sử dụng rộng rãi. Tuy nhiên, nhược điểm lớn nhất của phương pháp này chính là không có khả năng phát hiện ra các tan công, xâm nhập mới hoặc biến thể của các tấn công, xâm nhập đã biết, do mẫu chữ ký của chúng chưa tôn tại trong cơ sở dữ liệu chữ ký. Hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và
Suricata.
Phát hiện dựa trên bat thường là một hình thức mới của phát hiện xâm nhập, được phổ biến nhanh chóng nhờ các công cụ như Bro/Zeek. Phát hiện dựa trên bất thường dựa vào quan sát sự cố mạng và nhận biết lưu lượng bat thường thông qua các chân đoán và thống kê. Thay vì chỉ đơn giản là cảnh báo bất cứ khi nào phát hiện ra
mẫu tấn công, cơ chế phát hiện dựa trên bat thường có khả năng nhận ra các mẫu tấn
công khác biệt với hành vi mạng thông thường. Đây là cơ chế phát hiện rất tốt nhưng
khó thực hiện.
Vũ Thu Trang — B19DCA T196 16
Đồ án tốt nghiệp
Ưu điểm của Phát hiện dựa trên bất thường là có khả năng phát hiện tấn công, xâm nhập mới. Tuy nhiên, phương pháp này có tỷ lệ cảnh báo sai tương đối cao so với phát hiện dựa trên chữ ký do một số hành vi xâm nhập có thê không tạo ra bất thường và ngược lại hành vi bất thường có thể không phải hành vi xâm nhập. Thêm vào đó, phương pháp này cũng tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối
tượng va phân tích hành vi.
Ngoài ra, một hệ thống giám sát an ninh mạng tùy thuộc vào quy mô của tổ chức có thé đến cần đến những công cụ khác như EDR (Endpoint detection and response -
Phát hiện và phản hồi điểm cuối), NDR (Network detection and response - Phát hiện
và phản hồi mạng), MDR (Managed detection and response - Phát hiện và phản hồi
được quản lý).
2.3. Chu trình giám sát an ninh mang
Chu trình giám sát bao gồm ba giai đoạn: thu thập dữ liệu, phát hiện xâm nhập,
và phân tích dữ liệu [27].
Thu thập dữ liệu
Hình 2.2. Chu trình giám sát an ninh mạng Bước 1: Thu thập dữ liệu
Việc thu thập dữ liệu được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong việc tạo, sắp xếp và lưu trữ đữ liệu cho việc phát hiện xâm nhập và phân tích đữ liệu trong hệ thống giám sát. Thu thập dữ liệu là phần quan trọng nhất của chu
trình giám sát an ninh mạng bởi vì các bước thực hiện ở đây sẽ định hình khả năng của
một tô chức trong việc phát hiện xâm nhập và phân tích dữ liệu hiệu quả.
Bước 2: Phát hiện xâm nhập
Phát hiện xâm nhập là quá trình mà qua đó di liệu thu thập được kiểm tra và
cảnh bao sẽ được tạo ra dựa trên các sự kiện quan sát được va dt liệu thu thập không
Vũ Thu Trang — B19DCA T196 17