Tổng quan

Hệ thống giám sát an toàn thông tin (SIEM – Security information and event management) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và phân tích chúng với mục đích phát hiện và kịp thời ứng phó, cho phép tổ chức hạn chế được các rủi ro, tiết kiệm thời gian và nhân lực.

Thông thường, GSATTT bao gồm:

• Giám sát an ninh mạng (NSM) : tập trung vào dữ liệu lưu chuyển như IDPS alerts, packets, flow
• Giám sat an ninh liên tục (CSM): tập trung vào dữ liệu được lưu trữ như log files, registry keys, vulnerability assessments

NSM chủ yếu tập trung vào các nguy cơ (threat-centric) còn CSM tập trung vào các lỗ hổng bảo mật (vulnerability-centric)

Một số tấn công cơ bản

• IP spoofing
• Denial of service
• Man in the middle attack
• Sniffing
• Advanced Persistent Threats
• Client-side exploitation
• Service-side exploitation

Kiến trúc và thành phần:

• Thành phần thu thập dữ liệu (Collector): thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng. Kiểm soát băng thông, không gian lưu trữ. Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung. Tích hợp các sự kiện. Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
• Thành phần phân tích và lưu trữ (Engine+DB): Tập hợp nhật ký tập trung, tiến hành phân tích, so sánh tương quan. Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
• Thành phần quản trị tập trung (Management): Cung cấp giao diện quản trị. Các giao diện được phân quyền theo vai trò của người quản trị.

SIEM thu thập dữ liệu từ 4 nguồn chính:

• Thiết bị bảo mật (Security devices – IDPS, AV, DLP, Firewall, Honeypots, Web Filters)
• Thiết bị mạng (Network devices – Routers, Switches, Access Point, Private Cloud Networks)
• Máy chủ (Servers – App Server, Databases)
• Ứng dụng (Applications – Web App, SaaS App)

Dữ liệu thu thập

Có rất nhiều dạng dữ liệu như sau:

• Full content data: tất cả các dữ liệu thu thập được trong hệ thống mạng
• Extracted content: luồng dữ liệu, file, webs, malware…
• Session data: dữ liệu trao đổi giữa các nút mạng
• Transaction data: tương tự như “session data” nhưng tập trung vào các “requests” và “replies” giữa các nút mạng.
• Statistical data: mô tả lưu lượng truy cập ví dụ như về giao thức mạng, thông lượng…
• Alert/log data: cảnh báo, dữ liệu từ các thiết bị như Firewall, AV, IDPS, NSM tool…

Chức năng và thành phần quan trọng:

• Data aggregation: dữ liệu được thu thập từ nhiều nguồn theo nhiều cách khác nhau: Thu thập từ agent, Kết nối trực tiếp với thiết bị, Truy cập vào logs được lưu trữ trong DB
• Threat Intelligence Feeds: Sử dụng các dữ liệu hiện có kết hợp với nghiên cứu, cập nhật các lỗ hổng, các hoạt động đe dọa tiềm tàng, và sau đó ánh xạ với tài sản của khách hàng để thực hiện và nâng cao khả năng phòng thủ chủ động
• Correlation: giúp liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác: Tương quan dựa trên luật và Tương quan dựa trên thống kê
• Analytics: Sử dụng các kỹ thuật như học máy, mô hình thống kê để xây dựng liên kết sâu hơn giữa các loại dữ liệu.
• Alerting: Thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra.
• Dashboard: Cung cấp công cụ, giao diện trực quan hóa dữ liệu và cho phép quản trị viên giao tiếp với dữ liệu được lưu trữ trong SIEM.
• Compliance: Khả năng tạo ra các báo cáo tuân thủ các tiêu chuẩn như HIPAA, PCI/DSS, HITECH, SOX.
• Log Retention: dữ liệu gửi tới SIEM cần phải lưu trữ với mục đích lưu giữ và truy vấn sau này. Có thể lưu trữ theo 3 cách: Cơ sở dữ liệu, Lưu trữ dưới dạng file text, Lưu trữ dưới dạng nhị phân
• Forensic Analysis: Quá trình phân tích chuyên sâu dữ liệu được lưu trữ để tái cấu trúc toàn bộ sự cố nhằm tìm ra nguyên nhân, nguồn gốc sự việc
• Threat Hunting: Khả năng chủ động săn tìm các mối đe dọa và đưa ra các khuyến nghị nhằm ngăn chặn các mối đe dọa tìm được.
• Incident Response: Dữ liệu thu thập được giúp đội ứng phó sự cố xác định nguồn gốc tấn công và phản ứng lại một cách nhanh nhất có thể.
• SOC Automation: Khả năng tự động ứng phó sự cố đối với các hệ thống SIEM tiên tiến

Phát hiện xâm nhập

Phát hiện xâm nhập: là một chức năng của phần mềm thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh báo.

Cơ chế phát hiện xâm nhập gồm 2 loại chính:

• Dựa trên dấu hiệu: Là hình thức lâu đời nhất của phát hiện xâm nhập, bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu đã biết. Có hai cơ chế phát hiện dựa trên dấu hiệu phổ biến là Snort và Suricata
• Dựa trên bất thường: Dựa vào quan sát sự cố mạng và nhận biết lưu lượng bất thường thông qua các chẩn đoán và thống kê, Có khả năng nhận ra các mẫu tấn công khác biệt với hành vi mạng thông thường. Phổ biến với công cụ Bro. Bro là một cơ chế phát hiện bất thường, và thực hiện phát hiện bất thường dựa trên thống kê.

IOC - dấu hiệu xâm nhập

Indicators of Compromise – IoC: là những thông tin được sử dụng để mô tả khách quan một xâm nhập mạng, độc lập về nền tảng.

IOC cho mạng:

• Là một mẫu thông tin có thể được bắt trên kết nối mạng giữa các máy chủ, mô tả khách quan một xâm nhập.
• Ví dụ: địa chỉ IPv4, địa chỉ IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,…

IOC cho máy tính

• Là một mẫu thông tin được tìm thấy trên một máy tính, mô tả khách quan một xâm nhập.
• Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry), …

TTP mô tả hành vi của một hoặc nhiều tác nhân đe dọa.

• Tactics (Chiến thuật) – Mô tả hành vi tác nhân đe dọa đang muốn cố gắng thực hiện
• Techniques (Kỹ thuật) – Công nghệ sử dụng để tấn công nhằm đạt được mục tiêu của chiến thuật đề ra (Ví dụ: Sử dụng phishing để chiếm quyền điều khiển)
• Procedures (Thủ tục) – Quy trình thực hiện tấn công (Ví dụ để thực hiện phishing thì sẽ bao gồm rất nhiều các bước như tìm kiếm thông tin, gửi mail độc hại…)

Chiến lược ứng phó sự cố an toàn

• Sự kiện an toàn thông tin (information security event): Sự kiện xác định của một hệ thống, dịch vụ hoặc trạng thái mạng cho thấy có khả năng vi phạm chính sách an toàn thông tin hay sự thất bại của các biện pháp kiểm soát hoặc một tình huống chưa biết có thể liên quan đến an toàn thông tin.
• Sự cố an toàn thông tin (information security incident): Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn hoặc không dự tính có khả năng làm tổn hại đến các đến hoạt động nghiệp vụ và đe dọa an toàn thông tin.

Có 3 loại sự cố:

• Low level: ít nghiêm trọng, phải được xử lý trong vòng một ngày sau khi xảy ra
• Mid level:

• High level: cần được xử lý ngay sau sự cố, gây ra mối đe dọa ngay lập tức cho các hệ thống khác nhau dẫn đến các đe cáo buộc hình sự, tiền phạt theo quy định hoặc ảnh hưởng xấu cho tổ chức

Quy trình ứng cứu sự cố