1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn

82 197 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 82
Dung lượng 1,36 MB

Cấu trúc

  • MỤC LỤC

  • MỞ ĐẦU

  • CHƯƠNG 1.

  • CHƯƠNG 2.

  • CHƯƠNG 3.

  • CHƯƠNG 4.

  • KẾT LUẬN

  • TÀI LIỆU THAM KHẢO

Nội dung

GIỚ I THI Ệ U BÀI TOÁN

B ố i c ả nh c ủ a doanh nghi ệ p c ầ n ph ả i xây d ự ng m ộ t h ệ th ố ng giám sát an

An ninh mạng ngày càng trở thành yếu tố thiết yếu trong bối cảnh toàn cầu và tại Việt Nam, khi các dịch vụ xây dựng trên nền tảng công nghệ thông tin đóng vai trò cốt lõi trong hoạt động của doanh nghiệp Trong nền kinh tế số, các công ty cần cung cấp dịch vụ với chất lượng tối ưu để cạnh tranh hiệu quả với đối thủ trong và ngoài nước.

Một hệ thống dịch vụ Công nghệ thông tin trong doanh nghiệp bao gồm nhiều thiết bị an ninh và phần mềm, nhưng không có hệ thống nào hoàn toàn an toàn, luôn tồn tại rủi ro tiềm ẩn ảnh hưởng đến hoạt động Để đảm bảo hệ thống hoạt động ổn định và chất lượng, ngoài đội ngũ chuyên môn, cần có giải pháp phát hiện và giảm thiểu sự cố Kiểm soát các diễn biến của hệ thống giúp phát hiện sớm rủi ro tiềm tàng, từ đó bảo vệ kết quả kinh doanh Vì vậy, nghiên cứu và xây dựng hệ thống giám sát an ninh mạng là cần thiết và cấp bách cho doanh nghiệp sử dụng Công nghệ thông tin làm nền tảng cho hoạt động sản xuất kinh doanh.

Hệ thống Giám sát an ninh mạng cung cấp cái nhìn tổng quan về an toàn thông tin của tổ chức bằng cách thu thập, phân tích và lưu trữ các sự kiện an ninh từ các thiết bị bảo mật như Router, Switch, Firewall, IDS/IPS, và các ứng dụng như Mail, Web, Anti-Virus Điều này giúp quản trị viên phát hiện sớm các dấu hiệu bất thường và rủi ro tiềm ẩn, từ đó đưa ra phương án xử lý kịp thời, giảm thiểu tổn thất cho doanh nghiệp.

Ba doanh nghiệp đã phát triển hệ thống giám sát an ninh mạng, hoạt động dựa trên việc tương quan các sự kiện giữa các thiết bị và phần mềm Qua đó, hệ thống tái cấu trúc và xâu chuỗi thông tin để xác định mức độ và phạm vi ảnh hưởng của các sự cố an toàn thông tin.

Trên thị trường hiện nay, có nhiều giải pháp xây dựng hệ thống giám sát an ninh mạng, nhưng chúng thường quá chung chung và chỉ nhắm đến những đối tượng cụ thể hoặc có nhiều hạn chế Đề tài này tập trung nghiên cứu và khảo sát các giải pháp công nghệ hiện có để triển khai hiệu quả trong môi trường doanh nghiệp Việc giải quyết bài toán này không chỉ hỗ trợ hoạt động kinh doanh mà còn nâng cao vị thế và uy tín của doanh nghiệp thông qua cải thiện chất lượng dịch vụ.

Đối tượ ng nghiên c ứ u

Những vấn đề chính của bất kỳ giải pháp, nền tảng công nghệ nào áp dụng cho bài toán giám sát an ninh mạng đều là phải giải quyết:

- Thu thập nhật ký hoạt động từ các thiết bị an ninh bảo mật, phần mềm, các máy chủ, máy trạm sử dụng mạng của doanh nghiệp đó;

- Khảnăng phân tích và tìm kiếm dựa trên dữ liệu nhận được

- Khảnăng giám sát và cảnh báo

Tác giả xác định đối tượng nghiên cứu là các giải pháp lưu trữ dữ liệu và truy vấn thông tin, nhằm xây dựng nền tảng lý thuyết cho đề tài Bài viết tập trung vào khảo sát các nền tảng công nghệ quản lý log tập trung, đặc biệt là các giải pháp mã nguồn mở tiêu biểu như Splunk và ELK Stack.

Các nhi ệ m v ụ chính c ầ n th ự c hi ệ n trong lu ận văn

Đểđạt được mục tiêu đã đề ra, tác giảđã liệt kê các công việc cần phải thực hiện theo các bước sau:

- Khảo sát, nghiên cứu về giải pháp giám sát an ninh mạng;

- Tìm hiểu một số giải pháp thông dụng cho bài toán lưu trữ và quản lý tập trung dữ liệu log;

Để xây dựng một hệ thống giám sát an ninh mạng mã nguồn mở nhỏ gọn, việc tìm hiểu và so sánh các công nghệ là rất cần thiết Qua quá trình phân tích, chúng ta có thể lựa chọn công nghệ phù hợp nhất, đảm bảo tính hiệu quả và khả năng mở rộng cho hệ thống.

Hệ thống nhỏ gọn được đề xuất trong luận văn này nhằm hỗ trợ doanh nghiệp bằng cách tập trung vào khả năng thu thập dữ liệu nhật ký và phát hiện sự cố theo thời gian thực, từ đó nâng cao hiệu quả quản lý và vận hành hệ thống.

- Triển khai thử nghiệm một hệ thống nhỏ gọn bằng các công cụ mã nguồn mở;

- Đánh giá kết quảđạt được và hướng phát triển trong tương lai.

K ế t qu ả đạt đượ c

Trong quá trình nghiên cứu, thực hiện đề tài tác giảđã đạt được một số kết quảnhư sau:

- Hiểu được các khái niệm, thành phần và cơ chế hoạt động của hệ thống giám sát an ninh mạng;

- Nắm được tổng quan, ưu và nhược điểm của một số giải pháp hỗ trợ xây dựng hệ thống giám sát an ninh mạng đang có trên thịtrường;

Hệ thống nhỏ gọn đã được thử nghiệm thành công, với khả năng thu thập dữ liệu nhật ký từ các phần mềm phát hiện xâm nhập mã nguồn mở Mục đích của việc này là kiểm nghiệm hiệu quả hoạt động của hệ thống trong các tình huống cụ thể.

C ấ u trúc c ủ a lu ận văn

Để thực hiện được mục tiêu đã đề ra, tác giả phân chia luận văn thành 4 chương được cấu trúc như sau:

Chương 1: Giới thiệu bài toán

Chương 2: Tổng quan về giải pháp quản lý và phân tích sự kiện an toàn thông tin (SIEM)

Chương 3: Giới thiệu một số giải pháp SIEM mã nguồn mở hiện nay và một số giải pháp mã nguồn mở có thể tích hợp

Chương 4: Thử nghiệm giải pháp và đánh giá các kết quả đạt được, các điểm còn hạn chếvà hướng phát triển kế tiếp

TỔ NG QUAN V Ề GI Ả I PHÁP QU Ả N LÝ VÀ PHÂN TÍCH

S ố li ệ u th ố ng kê v ề các t ổ n th ấ t c ủ a các doanh nghi ệp liên quan đế n m ấ t

mất an toàn thông tin

Theo báo cáo thống kê của IBM về tình trạng xâm phạm dữ liệu năm 2021, nghiên cứu độc lập của Viện nghiên cứu Ponemon đã khảo sát 17 quốc gia và vùng lãnh thổ, bao gồm 17 ngành công nghiệp khác nhau, cung cấp cái nhìn tổng quan về tình trạng xâm phạm dữ liệu đối với các cơ quan và tổ chức trong năm 2021.

- Chi phí mà các cơ quan, tổ chức bỏ ra cho các cuộc tấn công nhằm xâm phạm dữ liệu đã tăng 10% trong khoảng thời gian từ2020 đến 2021

Hình 2.1 Chi phí tổn thất do các cuộc tấn công xâm phạm dữ liệu

Hình 2.2 Chi phí tổn thất trên mỗi bản ghi cá nhân bị lộ lọt

Hình 2.3 Chi phí chênh lệch khi làm việc từ xa là nguyên nhân chính

- Ngành chăm sóc sức khỏe là mục tiêu tấn công nhiều nhất với 11 năm liên tiếp đứng đầu (đơn vị M$)

Hình 2.4 Chi phí thiệt hại theo từng nhóm ngành

- Tỷ lệ vi phạm do lộ lọt các thông tin cá nhân là 20%

Thời gian trung bình để các tổ chức phát hiện xâm phạm dữ liệu hiện nay là 212 ngày, trong khi thời gian xử lý sự cố lên tới 75 ngày Những con số này vẫn đang có xu hướng gia tăng qua các năm.

Hình 2.5 Thời gian các tổ chức phát hiện cuộc xâm phạm dữ liệu

Hình 2.6 Thời gian để xác định và khoanh vùng các vụ xâm phạm dữ liệu theo các tác nhân chính

Các yêu c ầu đặt ra trướ c khi xây d ự ng m ộ t h ệ th ố ng SIEM

Các hệ thống SIEM cần đáp ứng yêu cầu tối thiểu về khả năng tổng hợp và chuẩn hóa nguồn dữ liệu nhật ký Điều này cho phép doanh nghiệp hiển thị mối đe dọa thông qua việc thu thập hàng terabyte dữ liệu bảo mật từ các tường lửa, cơ sở dữ liệu nhạy cảm và các ứng dụng chính Nhờ vào việc tổng hợp nhật ký, quản trị viên có thể phân tích dữ liệu, tìm kiếm sự liên kết và cải thiện khả năng phát hiện sự cố.

Mỗi thành phần trong môi trường CNTT tạo ra nhật ký bằng các ngôn ngữ và định dạng khác nhau, làm cho việc tổng hợp trở nên khó khăn Do đó, quản trị viên cần chuẩn hóa nhật ký thành một định dạng và ngôn ngữ thống nhất, dễ đọc để phục vụ cho việc phân tích hiệu quả Bên cạnh đó, việc phát hiện và cảnh báo các mối đe dọa cũng trở nên quan trọng hơn bao giờ hết.

Khi SIEM phát hiện mối đe dọa trong dữ liệu sự kiện bảo mật, nó cần gửi cảnh báo đến nhóm bảo mật CNTT của doanh nghiệp Chức năng này rất quan trọng, giúp quản trị viên CNTT tiến hành điều tra nhanh chóng, tập trung và phản hồi kịp thời.

Mặc dù SIEM có hiệu quả cao trong việc phát hiện sự cố bảo mật, việc chỉ gửi cảnh báo cho mọi sự kiện tiềm ẩn là không đủ Nếu SIEM không được tối ưu hóa, quản trị viên sẽ nhanh chóng bị ngập lụt trong khối lượng cảnh báo lớn, trong đó có nhiều cảnh báo giả, đặc biệt từ các giải pháp cũ.

Quản trị viên cần triển khai ngữ cảnh hóa các mối đe dọa để phân loại các tác nhân liên quan đến sự kiện bảo mật, xác định phần của mạng mà chúng đã tác động và thời gian xảy ra Ngữ cảnh hóa giúp các nhóm bảo mật CNTT sắp xếp các cảnh báo, từ đó phát hiện các mối đe dọa tiềm ẩn Họ có thể áp dụng quy trình cấu hình tự động để lọc các mối đe dọa theo ngữ cảnh, giảm thiểu số lượng cảnh báo nhận được Hệ thống SIEM nên hỗ trợ doanh nghiệp trong việc xử lý các mối đe dọa, thường xuyên tạm dừng hoạt động để tiến hành điều tra.

Mặc dù đội ngũ bảo mật CNTT có khả năng thực hiện báo cáo tuân thủ, nhưng quá trình này có thể tốn thời gian và ảnh hưởng đến việc phát hiện mối đe dọa hoặc xử lý sự cố Do đó, giải pháp SIEM cần tự động hóa việc hoàn thành các báo cáo tuân thủ thông qua các biểu mẫu đã được thiết lập trước Điều này không chỉ giúp tiết kiệm thời gian mà còn cho phép đội ngũ bảo mật tập trung vào các nhiệm vụ quan trọng hơn trong tương lai.

Doanh nghiệp có thể tìm hiểu thêm về các giải pháp vượt ra ngoài yêu cầu tối thiểu của SIEM, chẳng hạn như các giải pháp SOAR Những giải pháp này giúp sắp xếp các công cụ khác nhau, tự động hóa quy trình và tối ưu hóa phản ứng trước các mối đe dọa.

Các khái ni ệ m và ch ức năng củ a h ệ th ố ng

Hệ thống giám sát an ninh mạng lần đầu tiên được đề cập trong báo cáo của tổ chức Gartner bởi Williams và Nicolett vào năm 2005 Theo nghiên cứu, hệ thống SIEM bao gồm hai thành phần chính: Quản lý thông tin bảo mật (SIM) và Quản lý sự kiện bảo mật (SEM) SIM tập trung vào việc quản lý và lưu trữ dữ liệu nhật ký lịch sử, trong khi SEM chịu trách nhiệm giám sát các mối đe dọa và sự cố bảo mật theo thời gian thực, đồng thời đưa ra các biện pháp xử lý phù hợp khi sự cố xảy ra.

Hệ thống SIEM (Security Information and Event Management) đã phát triển thành một giải pháp tích hợp, kết hợp ưu điểm của SIM và SEM để thu thập và phân tích dữ liệu bảo mật từ nhiều nguồn khác nhau Theo Gartner, SIEM không chỉ giúp lập báo cáo cho kiểm soát tuân thủ và điều tra truy vết, mà còn đánh giá mức độ ảnh hưởng của các sự cố Mục tiêu chính của việc phân tích lượng lớn dữ liệu tại một vị trí trung tâm là xác định các điểm bất thường mà khó có thể nhận diện khi chỉ xem xét dữ liệu từ một hệ thống hoặc thiết bị đơn lẻ Hệ thống này cũng hỗ trợ giám sát và quản lý trạng thái bảo mật CNTT của các tổ chức, góp phần nâng cao khả năng phản ứng với các sự kiện bảo mật.

SIEM không phải là phần mềm độc lập mà thường được tích hợp vào trung tâm điều hành an toàn thông tin (SOC) Với sự gia tăng các nguồn dữ liệu nhật ký và sự kiện bảo mật, cùng với nhu cầu cao về các nhà phân tích bảo mật có trình độ, cần thiết phải tăng cường mức độ tự động hóa SIEM hỗ trợ tự động phân tích và phản ứng với các sự cố bảo mật một cách tập trung, đồng thời giúp các nhà phân tích hình dung dữ liệu lớn, từ đó tối ưu hóa việc sử dụng kiến thức chuyên môn của họ.

2.2.2.2 Chức năng của hệ thống SIEM

Hệ thống SIEM thu thập dữ liệu hoạt động từ nhiều thiết bị và phần mềm bảo mật, giúp phát hiện các sự cố mà thiết bị thông thường không nhận diện được Mặc dù các thiết bị đầu cuối có phần mềm ghi lại dữ liệu hoạt động, chúng thường thiếu khả năng phát hiện sự cố Dù có thể theo dõi các sự kiện và tạo nhật ký, nhưng chúng vẫn không đủ để đảm bảo an ninh mạng hiệu quả.

10 khảnăng phân tích đểxác định các dấu hiệu của hành vi độc hại

Hệ thống SIEM có khả năng kết hợp và tương quan các sự kiện từ nhiều nguồn dữ liệu khác nhau để phát hiện dấu vết của cuộc tấn công Ví dụ, giải pháp IDS/IPS có thể nhận diện dấu hiệu ban đầu của một cuộc tấn công, trong khi phần mềm bảo mật thiết bị điểm cuối chỉ ra các điểm bất thường SIEM sẽ kiểm tra dữ liệu nhật ký của các sự kiện này để xác định xem thiết bị mục tiêu đã bị tấn công hay chưa, từ đó thực hiện các biện pháp cách ly và xử lý kịp thời.

Hiện nay, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công bằng cách kết nối với các hệ thống an ninh khác như tường lửa, giúp phát hiện và ngăn chặn hành vi độc hại mà các thành phần an ninh khác không nhận biết được Để tối ưu hóa hiệu quả của SIEM, tổ chức cần thu thập thông tin về các mối đe dọa và chiến dịch tấn công từ các nguồn tin cậy bên ngoài Khi phát hiện hành vi độc hại, SIEM sẽ phản ứng bằng cách ngăn chặn kết nối hoặc cách ly thiết bị đang bị ảnh hưởng, nhằm ngăn ngừa cuộc tấn công ngay từ đầu.

Các thành ph ầ n c ủ a h ệ th ố ng SIEM

Hệ thống SIEM bao gồm ba thành phần chính: thu thập nhật ký an toàn thông tin, phân tích nhật ký an toàn thông tin và quản trị tập trung.

Hình 2.7 Các thành phần cơ bản của hệ thống SIEM

2.2.3.1 Thành phần thu thập nhật ký ATTT

Thành phần này thu thập nhật ký an toàn thông tin (ATTT) trực tiếp từ các thiết bị bảo mật, dịch vụ và ứng dụng Nhật ký được định dạng theo nhiều kiểu khác nhau.

Định dạng log phổ biến nhất trong giao tiếp máy khách/máy chủ cho phép máy khách gửi các gói tin hệ thống đến một hoặc nhiều máy chủ được chỉ định, với thông tin được phân loại theo nhiều mức độ quan trọng.

PRI là chỉ số thể hiện mức độ ưu tiên của sự kiện, được biểu thị bằng 3 ký tự, phản ánh cơ sở và mức độ nghiêm trọng HEADER cung cấp thông tin về thời gian xảy ra sự kiện cũng như địa chỉ IP của thiết bị liên quan MESSAGE chứa nội dung chi tiết về sự kiện đó.

Syslog-NG ra đời như một sự củng cố của Syslog để mang lại độ mịn cao hơn trong việc phân loại các cảnh

Báo cáo cho phép lọc tin nhắn dựa trên nội dung, với mục tiêu xác định hành động thông qua ba tham số chính: người gửi, người nhận và bộ lọc phân loại tin nhắn.

- Máy chủ ứng dụng web

CLF được sử dụng rộng rãi để ghi lại các yêu cầu đến máy chủ web, giúp xác định chính xác hơn các máy nguồn và tạo ra các số liệu thống kê tốt hơn Log được tạo theo định dạng CLF có hình thức như sau:

WELF giúp dễ dàng mô tả các sự kiện từ các thành phần lọc của mạng Các trường thông tin bắt buộc ở định dạng WELf là:

• Id: Xác định loại bản ghi được tạo

• Thời gian: Đặt thời gian ghi sự kiện

• Fw: Xác định người gửi sự kiện

• Pri: Đặt mức độ ưu tiên của sự kiện từ khẩn cấp sang gỡ lỗi

Phần mềm phòng chống mã độc, tường lửa

- Máy chủ ứng dụng web

Các định dạng độc quyền, hay còn gọi là định dạng đóng, là những định dạng dữ liệu mà thông số kỹ thuật của chúng không được công khai hoặc bị hạn chế sử dụng bởi chủ sở hữu.

Mô tả ứng dụng đặc thù IDMEF

- IDS mã nguồn mở như Snort, OSSEC

IDMEF là định dạng trao đổi thông báo phát hiện xâm nhập, được sử dụng để chia sẻ báo cáo sự cố giữa các phần mềm phát hiện và ngăn chặn xâm nhập, cũng như các công cụ thu thập thông tin bảo mật Định dạng này cho phép các phần mềm tương tác hiệu quả, nâng cao khả năng phản ứng với các mối đe dọa an ninh mạng.

Các tin nhắn IDMEF được thiết kế để dễ dàng xử lý tự động

Bảng 2.1 Các định dạng log cơ bản

Thành phần thu thập nhật ký có các tính năngnhư sau:

- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng… gồm cả các thiết bị vật lý và thiết bịảo

- Kiểm soát băng thông và không gian lưu trữ thông qua khảnăng chọn lọc dữ liệu nhật ký

- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung

- Tích hợp các sự kiện để giảm thiểu sốlượng các sự kiện gửi về thành phần phân tích và lưu trữ

- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ

2.2.3.2 Thành phần Phân tích và lưu trữ

Thành phần Phân tích và lưu trữ bao gồm các tính năng sau:

- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.

- Môđun phân tích sẽđược hỗ trợ bởi các luật (được định nghĩa trước) cũng như khảnăng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất

Các nhật ký an toàn thông tin (ATTT) được phân tích và so sánh theo thời gian thực, giúp đưa ra cảnh báo tức thì cho người quản trị Ngoài khả năng so sánh thời gian thực, tính năng này còn cho phép phân tích dữ liệu trong quá khứ, cung cấp cho người quản trị cái nhìn tổng quan về tình hình an ninh.

Hỗ trợ kết nối với các hệ thống lưu trữ dữ liệu như SAN và NAS giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng hiệu quả, giảm thiểu nguy cơ mất dữ liệu.

2.2.3.3 Thành phần Quản trị tập trung bao gồm các chức năng sau:

- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống SIEM Các giao diện được phân quyền theo vai trò của người quản trị

Hệ thống hỗ trợ hàng nghìn mẫu báo cáo và giao diện theo dõi, giúp người quản trị dễ dàng sử dụng và tùy biến Người dùng có thể thay đổi hoặc tạo mới các báo cáo một cách linh hoạt, từ đó phát triển các công cụ phù hợp với nhu cầu của hệ thống của mình.

- Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra trong hệ thống

2.2.3.4 Các thành phần khác a) Thành phần điều tra số

Thành phần của giải pháp SIEM này đóng vai trò quan trọng trong việc phân tích nguyên nhân gốc rễ và tạo báo cáo sự cố, cung cấp cái nhìn sâu sắc về các nỗ lực tấn công hoặc các cuộc tấn công đang diễn ra Điều này giúp doanh nghiệp nhanh chóng thực hiện các biện pháp khắc phục cần thiết.

Mặc dù doanh nghiệp có thể triển khai các biện pháp bảo mật mạnh mẽ, nhưng không phải lúc nào cũng ngăn chặn được tất cả các cuộc tấn công mạng Để đối phó với tình huống này, phân tích pháp y là một phương pháp hữu hiệu giúp tái tạo hiện trường vụ án và xác định nguyên nhân gốc rễ của vi phạm Dữ liệu nhật ký, chứa đựng bản ghi của tất cả các sự kiện trên thiết bị hoặc ứng dụng, có thể được phân tích để phát hiện các dấu vết mà những kẻ tấn công để lại.

Giải pháp SIEM hỗ trợ nhóm bảo mật trong việc phân tích nhật ký, tạo báo cáo pháp y và xác định thời điểm xảy ra các vi phạm bảo mật Điều này giúp phát hiện hệ thống và dữ liệu bị xâm nhập, nhận diện tin tặc đứng sau các hoạt động độc hại, cũng như xác định các điểm xâm nhập.

Thành phần này hỗ trợ doanh nghiệp trong việc tuân thủ các yêu cầu lưu trữ dữ liệu nhật ký lâu dài và thực hiện các cuộc điều tra pháp y Đồng thời, nó cũng bao gồm khả năng phát hiện và xử lý sự cố hiệu quả.

- Thành phần phát hiện sự cố:

Các l ợ i ích mang l ạ i c ủ a h ệ th ố ng SIEM

Hệ thống SIEM sau khi xây dựng sẽ đem lại các lợi ích cho doanh nghiệp như sau [4]: a) Tổng hợp và trực quan hóa dữ liệu

Khả năng hiển thị toàn bộ môi trường CNTT của doanh nghiệp là một trong những lợi ích lớn nhất của hệ thống SIEM, cho phép người dùng có cái nhìn tổng quan và chi tiết về các hoạt động trong hệ thống Điều này được hỗ trợ bởi quy trình chuẩn hóa và tương quan các bản ghi trong công cụ SIEM, giúp nâng cao khả năng phân tích và phát hiện sự cố.

Dù doanh nghiệp có quy mô nào, môi trường CNTT luôn chứa đựng nhiều thành phần khác nhau, mỗi thành phần tạo ra, định dạng và gửi một lượng lớn dữ liệu Những thành phần này không chỉ sản sinh ra khối lượng dữ liệu khổng lồ mà còn theo nhiều cách khác nhau Việc hiểu và xử lý tất cả dữ liệu này một cách thủ công là một nhiệm vụ khó khăn, tốn nhiều thời gian và công sức Do đó, chức năng tổng hợp và chuẩn hóa dữ liệu trở nên rất cần thiết và hữu ích.

SIEM không chỉ thu thập và lưu trữ dữ liệu từ các công cụ bảo mật trong môi trường CNTT mà còn chuẩn hóa chúng thành định dạng thống nhất, giúp quản trị viên dễ dàng so sánh Công cụ này phân tích và đối chiếu dữ liệu, tìm ra các kết nối quan trọng, từ đó giúp phát hiện sự cố bảo mật nhanh chóng.

Các thiết bị và phần mềm độc lập thường có khả năng ghi lại nhật ký hoạt động, nhưng lại thiếu khả năng tự phát hiện sự cố bảo mật Điều này có nghĩa là chúng có thể theo dõi các sự kiện và tạo mục nhật ký, nhưng không thể phân tích để phát hiện hoạt động đáng ngờ Ngược lại, các công cụ SIEM có khả năng tương quan và phân tích dữ liệu nhật ký từ các máy chủ, giúp phát hiện các sự cố có thể bị bỏ sót.

18 do các nhật ký liên quan không được phân tích hoặc do chúng được phân tách quá rộng giữa các máy chủ nên không thể phát hiện được

Khi các cuộc tấn công mạng ngày càng tinh vi, việc phát hiện chúng trở nên khó khăn hơn Công cụ SIEM có khả năng thu thập và chuẩn hóa dữ liệu nhật ký từ nhiều hệ thống khác nhau, giúp nhận diện các yếu tố tấn công trên các máy chủ khác nhau Ví dụ, một phần tấn công có thể xuất hiện trên hệ điều hành của máy tính, trong khi phần khác lại được ghi nhận bởi hệ thống ngăn chặn xâm nhập mạng Nhờ vào việc tương quan dữ liệu nhật ký từ mỗi máy chủ, công cụ SIEM có thể tái tạo chuỗi sự kiện để xác định chính xác bản chất và mức độ thành công của cuộc tấn công Khi phát hiện sự kiện tương quan, công cụ sẽ gửi cảnh báo cho nhóm quản trị viên, thông báo về toàn bộ phạm vi cuộc tấn công và hướng dẫn họ đến dữ liệu nhật ký liên quan để có phản ứng kịp thời.

Việc phát hiện một cuộc tấn công khi nó đang diễn ra có ý nghĩa quan trọng hơn rất nhiều so với việc phát hiện sau khi nó đã thành công Hệ thống SIEM giúp giảm thiểu thiệt hại từ các mối đe dọa, đồng thời cải thiện hiệu quả năng suất làm việc.

Hệ thống SIEM nâng cao hiệu quả xử lý sự kiện trong môi trường CNTT bằng cách cho phép quản trị viên xem dữ liệu nhật ký bảo mật từ nhiều máy chủ khác nhau qua một giao diện duy nhất Điều này giúp nhóm quản trị nhanh chóng xác định lộ trình tấn công và dễ dàng xác định các máy chủ bị ảnh hưởng bởi cuộc tấn công, từ đó cải thiện quy trình xử lý sự cố.

Các công cụ SIEM tích hợp cơ chế tự động để phân tích và tương quan dữ liệu, giúp ngăn chặn các cuộc tấn công ngay khi chúng được phát hiện Nhờ vào những khả năng này, SIEM có thể ngăn chặn các cuộc tấn công trong quá trình diễn ra và hạn chế thiệt hại từ các máy chủ bị xâm phạm, từ đó giảm thiểu tác động của vi phạm bảo mật Bên cạnh đó, SIEM còn đơn giản hóa quá trình tạo báo cáo tuân thủ.

Mọi doanh nghiệp, bất kể quy mô hay ngành nghề, đều phải tuân thủ một số quy định nhất định Việc đảm bảo tuân thủ và chứng minh sự tuân thủ có thể là một nhiệm vụ khó khăn và tốn thời gian Tuy nhiên, các công cụ SIEM giúp đơn giản hóa quy trình báo cáo tuân thủ thông qua việc thu thập, chuẩn hóa và tổ chức dữ liệu nhật ký Lợi ích của các giải pháp ghi nhật ký tập trung từ SIEM trong báo cáo tuân thủ rất quan trọng, khiến nhiều doanh nghiệp chọn triển khai SIEM chủ yếu để tối ưu hóa quy trình này.

Hệ thống SIEM là công cụ thiết yếu giúp doanh nghiệp đảm bảo tuân thủ các quy định bảo mật bằng cách cung cấp báo cáo tùy chỉnh liên quan đến các sự kiện bảo mật từ nhiều máy chủ trong môi trường CNTT Thiếu SIEM, doanh nghiệp sẽ gặp khó khăn trong việc ghi nhật ký tập trung, buộc phải truy xuất dữ liệu thủ công từ từng máy chủ và tạo báo cáo riêng lẻ, điều này tốn thời gian và công sức Các công cụ SIEM tự động hóa quy trình này, chuẩn hóa dữ liệu nhật ký và giúp doanh nghiệp tiết kiệm chi phí, đồng thời giảm thiểu rủi ro bị phạt do không có báo cáo tuân thủ chính xác Nhờ vào SIEM, các nhà cung cấp dịch vụ quản lý (MSP) có thể dễ dàng tạo ra báo cáo chi tiết, chứng minh sự tuân thủ của khách hàng với các quy định liên quan.

GIỚ I THI Ệ U M Ộ T S Ố GI Ả I PHÁP SIEM VÀ CÁC GI Ả I PHÁP MÃ NGU Ồ N M Ở CÓ TH Ể TÍCH H Ợ P

M ộ t s ố gi ả i pháp SIEM hi ệ n có trên th ị trườ ng

Hầu hết các phần mềm và thiết bị đều tích hợp phần mềm quản lý log riêng; tuy nhiên, chúng thường thiếu khả năng quản lý log tập trung, không thể xâu chuỗi và tương quan các sự kiện, cũng như gặp khó khăn trong việc truy xuất dữ liệu, báo cáo và nâng cấp hệ thống trong tương lai.

Triển khai hệ thống giám sát và cảnh báo an ninh cho doanh nghiệp có thể thực hiện qua nhiều giải pháp khác nhau, bao gồm cả các nền tảng trả phí và mã nguồn mở như Syslog-NG, Logzilla, Splunk và ELK Stack Những giải pháp này nổi bật với khả năng tìm kiếm mạnh mẽ, giám sát và cảnh báo theo thời gian thực, cùng với các tính năng báo cáo và thống kê dữ liệu hữu ích.

Trong bài viết này, tác giả sẽ cung cấp những thông tin cơ bản và cốt lõi về từng giải pháp, nhằm so sánh và đối chiếu để lựa chọn phương pháp tối ưu nhất.

Kiến trúc của Syslog NG

Hình 3.1 Kiến trúc tổng quan của Syslog - NG

Syslog-ng là một công cụ thu thập log hiệu quả và linh hoạt, được nhiều nhà quản trị mạng lựa chọn để xây dựng hệ thống log tập trung Được phát triển dựa trên chuẩn syslog cho các hệ điều hành Unix và tương tự, Syslog-ng bao gồm hai thành phần chính: Syslog-ng client và Syslog-ng server Các client có nhiệm vụ thu thập và gửi log quan trọng đến máy chủ tập trung để lưu trữ.

Syslog-ng là phần mềm mã nguồn mở, được phát triển dựa trên nền tảng Syslogd, hiện có hai phiên bản và được phát triển bởi Balabit IT Security Ltd.

- Phiên bản miễn phí: Syslog-ng Open Source Edition (OSE)

- Phiên bản trảphí độc quyền: Premium Edition (PE)

Syslog-client thu thập log từ các host và gửi về Syslog server, trong khi Syslog-ng thu thập log từ nhiều server khác nhau qua giao thức TCP, đảm bảo không mất mát thông tin trong quá trình truyền tải Ngoài ra, Syslog-ng cung cấp các cơ chế truy xuất log an toàn thông qua SSL/TLS.

Syslog-ng hỗ trợ chuẩn Syslog cho hệ điều hành Unix, nhưng theo mặc định, Windows không hỗ trợ Syslog Tuy nhiên, có thể áp dụng một số biện pháp để chuyển đổi các loại log về định dạng Syslog Syslog-ng hoạt động hiệu quả trên nhiều môi trường khác nhau, bao gồm Linux, BSD, Sun Solaris, HP-UX, AIX và các hệ điều hành Unix khác.

Syslog-ng cho phép lưu trữ dữ liệu vào các cơ sở dữ liệu như MSSQL, MYSQL, Oracle và PostgreSQL, giúp việc tìm kiếm và truy vấn trở nên dễ dàng hơn.

Syslog-ng cung cấp cơ chế lọc hiệu quả để phân loại các thông điệp log, giúp giảm lượng dữ liệu gửi về máy chủ log từ các client Cơ chế này dựa trên nhiều thông số khác nhau, bao gồm nguồn host, ứng dụng, và mức độ ưu tiên của thông điệp log.

Syslog-ng là một công cụ thu thập log hiệu quả, với client được cài đặt trên các thiết bị nhằm thu thập các loại log Dữ liệu thu thập được sẽ trải qua quy trình lọc theo các quy tắc đã được cấu hình trước Sau đó, thông tin này sẽ được gửi đến các máy chủ log hoặc chuyển qua một máy chủ relay trước khi tới máy chủ log cuối cùng.

Các nhược điểm của giải pháp SIEM Syslog-NG:

Syslog-ng không phải là phần mềm phân tích, mà chỉ có khả năng lọc các log message dựa trên những tiêu chí đã được định trước Do đó, Syslog-ng không thể thực hiện hiệu quả nhiệm vụ phân tích và cảnh báo các nguy cơ cho người quản trị.

3.1.1.3 Phương thức triển khai Để triển khai một hệ thống syslog-ng ta cần có 2 thành phần là một server được cài đặt syslog-ng server và các client được cài đặt trên các client để thu thập log Một điểm đáng chú ý là Syslog không hỗ trợ windows

Kiến trúc tổng quan của Logzilla:

Hình 3.2 Kiến trúc tổng quan của Logzilla

Logzilla là phần mềm mã nguồn mở hỗ trợ quản lý Log tập trung, phát triển dựa trên PHP-Syslog-ng Phần mềm này có khả năng quản lý hàng triệu thông điệp Log và hàng ngàn thiết bị đồng thời Với giao diện quản lý trực quan, Logzilla dễ dàng sử dụng và là lựa chọn hàng đầu của nhiều nhà quản lý và giám sát an ninh mạng.

LogZilla không hỗ trợ thu thập log từ các thiết bị hoặc server khác theo mặc định, mà chủ yếu tập trung vào việc xử lý các log đã có thông qua việc thu thập log từ Syslog-ng.

Hỗ trợ định dạng Log: Theo mặc định LogZilla chỉ hỗ trợ Syslog chuẩn

Syslog giống như Syslog-ng Tuy nhiên, nó có thể hỗ trợ quản lý các sự kiện trong Windows

LogZilla cung cấp giao diện tìm kiếm thông minh và trực quan, cho phép người dùng tìm kiếm thông tin theo từ khóa và các thuộc tính khác Mặc dù không được đánh giá cao như Splunk, LogZilla vẫn nhận được sự đánh giá tích cực từ các nhà quản trị mạng về khả năng tìm kiếm thông tin trong các log.

M ộ t s ố gi ả i pháp có th ể tích h ợ p cho h ệ th ố ng SIEM

Hệ thống SIEM toàn diện tích hợp dữ liệu nhật ký từ nhiều thiết bị an ninh và ứng dụng khác nhau Trong bài viết này, tác giả sẽ giới thiệu một số phần mềm phát hiện và ngăn chặn xâm nhập nổi bật.

3.2.1 Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập Snort

Snort là phần mềm IDS mã nguồn mở được phát triển bởi Martin Roesh, nổi bật với khả năng phát hiện xâm nhập hiệu quả Dù miễn phí, Snort sở hữu nhiều tính năng ấn tượng và cho phép người dùng mở rộng chức năng thông qua kiến trúc module Phần mềm này có thể hoạt động trên nhiều hệ điều hành như Windows, Linux, OpenBSD, FreeBSD và Solaris.

Snort không chỉ hoạt động như một ứng dụng bắt gói tin thông thường mà còn có thể được cấu hình để chạy như một hệ thống phát hiện xâm nhập mạng (NIDS) Với khả năng kết hợp kiểm tra dấu hiệu, giao thức và dấu hiệu bất thường, Snort đã được triển khai rộng rãi trên toàn cầu Dù các phương pháp phát hiện xâm nhập vẫn còn mới, Snort được đánh giá là hệ thống tốt nhất hiện nay.

3.2.1.2 Các đặc điểm của Snort

Snort là một công cụ mạnh mẽ có khả năng hoạt động như một bộ lắng nghe gói tin hoặc hệ thống phát hiện xâm nhập mạng (NIDS) Ngoài ra, Snort còn hỗ trợ nhiều add-on cho việc quản lý, ghi log và tạo rules, giúp tối ưu hóa việc sử dụng và khai thác các tính năng của nó.

Mặc định Snort chỉ chủ yếu phân tích và cảnh báo trên giao thức TCP/IP

Snort có khả năng mở rộng thông qua các phần tùy chỉnh, cho phép hỗ trợ nhiều giao thức mạng khác nhau, bao gồm cả Novell’s IPX Trong khi đó, TCP/IP vẫn là giao thức phổ biến nhất trên Internet.

- Quản lý được một phân đoạn mạng (network segment)

- Trong suốt với người sử dụng và kẻ tấn công

- Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng

- Tránh được việc bị tấn công từ chối dịch vụDoS đến một host cụ thể

- Có khảnăng xác định được lỗi ở tầng network

- Snort là phần mềm mã nguồn mở

Snort có khả năng hoạt động trên nhiều nền tảng khác nhau, bao gồm cả các hệ điều hành nguồn mở như GNU/Linux và các nền tảng thương mại như Microsoft Windows, Solaris và HP-UX.

Các tập luật của Snort được cập nhật thường xuyên để phản ánh các hình thức xâm nhập mới Người dùng có thể dễ dàng tải về các tập luật này từ trang web chính thức của Snort tại http://www.snort.org.

- Có khảnăng phát hiện một sốlượng lớn các kiểu thăm dò, xâm nhập khác nhau như: buffer oveflow, CGỈ-Atack, Scan, ICMP, Virus

- Snort theo dõi 24/7 với thời gian thực, giúp phát hiện liên tục các xâm nhập vào hệ thống

- Có cộng đồng đông đảo người sử dụng và các nhà phát triển

- Có rất nhiều add-on mà không phải là thành phần của Snort, nhưng cung cấp thêm các tính năng và dễ sử dụng

- Snort không cần phải thay thế bất kỳcơ sở hạ tầng an ninh hiện có

- Có thể xảy ra trường hợp báo động giả (False Positive)

- Không thểphân tích được các lưu lượng đã được mã hóa như SSH, IPSec, SSL, v.v…

- Đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để hoạt động thực sự hiệu quả

- Không thể cho biết việc mạng bị tấn công có thành công hay không, để người quản trị tiến hành bảo trì hệ thống

Một trong những thách thức lớn nhất trong việc thu thập dữ liệu mạng là giới hạn băng thông Các bộ thu thập dữ liệu cần phải thu thập toàn bộ lưu lượng mạng, sắp xếp và phân tích chúng Khi tốc độ mạng gia tăng, khả năng của bộ thu thập thông tin cũng cần được nâng cao tương ứng Do đó, một giải pháp hiệu quả là thiết kế mạng một cách chính xác để đáp ứng nhu cầu này.

Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt

- Module giải mã gói tin

- Module log và cảnh báo

- Module kết xuất thông tin

Hình 3.14 Kiến trúc của Snort a) Module giải mã gói tin (Packet decoder):

Các gói dữ liệu được truyền qua các cổng giao tiếp mạng như Ethernet, SLIP, và PPP, sau đó được giải mã bởi packet decoder Công cụ này xác định giao thức sử dụng cho gói tin và đảm bảo dữ liệu phù hợp với các quy định của giao thức Packet Decoder có khả năng tạo ra các cảnh báo dựa trên phần header của giao thức, chẳng hạn như các gói tin quá dài, bất thường, hoặc các tùy chọn TCP không chính xác Người dùng có thể dễ dàng kích hoạt hoặc vô hiệu hóa các cảnh báo này cho tất cả các trường trong tập tin snort.conf.

Sau khi dữ liệu được giải mã đúng, chúng sẽđược gửi đến bộ phận tiền xử

45 lý (preprocessor) b) Module tiền xử lý (pre-processor):

Preprocessor là các thành phần hoặc plug-in hỗ trợ Snort trong việc sắp xếp và chỉnh sửa gói dữ liệu trước khi chúng được xử lý bởi Detection Engine Một số Preprocessor còn có khả năng phát hiện các dấu hiệu bất thường bằng cách phân tích tiêu đề gói tin và tạo ra cảnh báo.

Preprocessor rất quan trọng với bất kỳ hệ thống IDS nào để chuẩn bị dữ liệu cần thiết vềgói tin để bộ phận Detection Engine làm việc

The preprocessor is utilized to reassemble packets for larger packet sizes and also decodes previously encrypted packets before passing them to the Detection Engine module.

Detection Engine là thành phần quan trọng nhất của Snort, có nhiệm vụ phát hiện các dấu hiệu tấn công trong gói tin Nó sử dụng các quy tắc để đối chiếu với thông tin trong gói tin, và nếu gói tin phù hợp với quy tắc, hành động thích hợp sẽ được thực hiện.

Hiệu suất hoạt động của bộ phận này chịu ảnh hưởng bởi nhiều yếu tố, bao gồm số lượng quy tắc, cấu hình máy chủ chạy Snort, tốc độ bus của máy Snort và lưu lượng mạng.

The Detection Engine is capable of dissecting packets and applying rules to various segments of the packet Additionally, it features a logging and alerting system that records and notifies users of relevant events.

Khi bộ phận detection engine phát hiện dấu hiệu tấn công, nó sẽ thông báo cho hệ thống Logging and Alerting System Các ghi nhận và thông báo này có thể được lưu dưới dạng văn bản hoặc các định dạng khác, và mặc định được lưu tại thư mục /var/log/snort.

Các tiêu chí đánh giá khi xây dự ng m ộ t h ệ th ố ng SIEM

Các hệ thống SIEM có khả năng thu thập, phân tích và báo cáo dữ liệu nhật ký bảo mật từ nhiều giải pháp kiểm soát bảo mật, hệ điều hành, ứng dụng và phần mềm mà doanh nghiệp sử dụng Một số hệ thống còn có khả năng ngăn chặn các cuộc tấn công đang diễn ra, giúp hạn chế thiệt hại từ các thỏa hiệp bảo mật thành công.

Ngày nay, có rất nhiều hệ thống SIEM (như đã trình bày tại chương III),

Việc lựa chọn và đánh giá sản phẩm phù hợp với doanh nghiệp là một thách thức lớn, đặc biệt khi cần tìm ra sản phẩm tốt nhất Quá trình này bao gồm việc lập danh sách các tiêu chí đánh giá SIEM, giúp doanh nghiệp xác định những khả năng quan trọng Các tiêu chí này được xây dựng thông qua việc trả lời các câu hỏi cụ thể liên quan đến nhu cầu và mục tiêu của tổ chức.

4.1.1 Mức độ hỗ trợ của SIEM đối với các nguồn nhật ký

Giá trị của SIEM sẽ giảm nếu không thu thập và phân tích dữ liệu nhật ký từ tất cả các nguồn trong tổ chức, bao gồm các giải pháp bảo mật như tường lửa, mạng riêng ảo, hệ thống ngăn chặn xâm nhập, cổng bảo mật email và web, cùng với các sản phẩm chống phần mềm độc hại.

SIEM cần hỗ trợ các tệp nhật ký từ hệ điều hành của tổ chức, trừ hệ điều hành thiết bị di động, vì chúng thường không cung cấp khả năng ghi nhật ký bảo mật.

SIEM cần cung cấp hỗ trợ toàn diện cho tất cả các nền tảng cơ sở dữ liệu chính của tổ chức, cùng với các ứng dụng doanh nghiệp cho phép người dùng truy cập và tương tác với dữ liệu nhạy cảm.

Nếu SIEM không hỗ trợ nguồn nhật ký, thì tổ chức có thể phát triển bằng các công cụ tùy chỉnh để cung cấp hỗ trợ cần thiết

4.1.2 Khả năng ghi nhật ký bổ sung của SIEM

Các ứng dụng và phần mềm cụ thể của một tổ chức có thể thiếu khả năng

Một số hệ thống và dịch vụ SIEM có khả năng bổ sung giám sát riêng, bên cạnh việc quản lý nhật ký thường xuyên Điều này giúp mở rộng chức năng của SIEM từ việc chỉ thu thập, phân tích và báo cáo nhật ký tập trung sang việc tạo ra dữ liệu nhật ký thô cho các máy chủ khác.

4.1.3 Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống SIEM

Hầu hết các hệ thống SIEM đều tích hợp nguồn cấp dữ liệu thông tin tình báo về mối đe dọa, được lấy từ các nguồn đăng ký riêng biệt Những nguồn dữ liệu này cung cấp thông tin cập nhật về hoạt động mối đe dọa toàn cầu, bao gồm các máy chủ đang được sử dụng để thực hiện tấn công và đặc điểm của các cuộc tấn công đó Việc sử dụng các nguồn cấp dữ liệu này giúp SIEM xác định các cuộc tấn công một cách chính xác hơn, từ đó đưa ra quyết định tự động về việc loại bỏ và ngăn chặn các cuộc tấn công, cũng như xác định phương pháp hiệu quả nhất để phòng ngừa chúng.

Chất lượng thông tin về mối đe dọa có sự khác biệt giữa các nhà cung cấp Khi đánh giá thông tin tình báo về mối đe dọa, cần xem xét tần suất cập nhật và mức độ tin cậy mà nhà cung cấp thể hiện đối với tính độc hại của từng mối đe dọa.

4.1.4 Khả năng điều tra số của hệ thống SIEM

Năng lực điều tra số là một yếu tố quan trọng trong việc đánh giá hệ thống SIEM Truyền thống, SIEM chủ yếu thu thập dữ liệu từ các nguồn nhật ký khác nhau.

Gần đây, nhiều hệ thống SIEM đã cải thiện khả năng điều tra bằng cách thu thập dữ liệu liên quan đến hoạt động đáng ngờ Một tính năng nổi bật là khả năng chụp toàn bộ gói tin từ các kết nối mạng nghi ngờ Nếu các gói tin này không được mã hóa, nhà phân tích SIEM có thể xem xét nội dung của chúng để hiểu rõ hơn về bản chất của các hoạt động độc hại.

Một khía cạnh quan trọng của điều tra số là việc ghi nhật ký hoạt động của máy chủ Các sản phẩm SIEM có khả năng thực hiện ghi nhật ký liên tục hoặc theo yêu cầu, giúp theo dõi và phân tích các sự kiện bảo mật hiệu quả.

58 thểđược kích hoạt khi công cụ SIEM nghi ngờ hoạt động đáng ngờliên quan đến một máy chủ cụ thể

4.1.5 Những tính năng hỗ trợ thực hiện phân tích dữ liệu của hệ thống SIEM

Các sản phẩm SIEM cần cung cấp tính năng cho phép người dùng tự xem xét và phân tích dữ liệu nhật ký, cảnh báo và phát hiện của hệ thống Điều này quan trọng vì ngay cả SIEM chính xác cũng có thể hiểu sai sự kiện, dẫn đến cảnh báo giả Do đó, người dùng cần có phương pháp xác thực kết quả từ SIEM để đảm bảo tính chính xác trong việc phát hiện và xử lý sự cố.

Người dùng trong lĩnh vực phân tích bảo mật cần các giao diện hữu ích để hỗ trợ cho quá trình điều tra của họ Các giao diện này bao gồm tính năng tìm kiếm phức tạp và khả năng trực quan hóa dữ liệu, giúp nâng cao hiệu quả trong việc phân tích và xử lý thông tin.

4.1.6 Khả năng phản hồi tự động của SIEM

Một tiêu chí quan trọng để đánh giá SIEM là khả năng phản hồi tự động của sản phẩm Điều này thường phụ thuộc vào nỗ lực của tổ chức, bao gồm kiến trúc mạng, các biện pháp kiểm soát an ninh mạng và các khía cạnh khác liên quan đến quản lý bảo mật.

Một sản phẩm SIEM cụ thể có thể thiếu khả năng quản lý tường lửa của tổ chức hoặc các biện pháp kiểm soát an ninh mạng khác, dẫn đến việc không thể ngăn chặn kết nối độc hại.

Xây d ự ng bài toán th ử nghi ệ m

Trong luận văn này, tác giả sẽ tiến hành thử nghiệm khả năng thu thập và phân tích dữ liệu nhật ký hoạt động theo thời gian thực Để thực hiện điều này, cần thiết phải xây dựng một hệ thống thử nghiệm phù hợp.

Triển khai cài đặt ELK Stack trên máy chủ Ubuntu, đồng thời thiết lập Snort để giám sát mạng 192.168.39.0/24 Thực hiện tấn công vào các máy client trong dải mạng và phát hiện các mối đe dọa thông qua các quy tắc được gửi về ELK Stack.

Hình 4.1 Mô hình thử nghiệm

Tri ể n khai h ệ th ố ng

ELK stack có thể triển khai bằng các cài đặt từng thành phần Elasticsearch,

Logstash và Kibana là hai công cụ riêng biệt, nhưng việc cài đặt chúng thường phức tạp và yêu cầu nhiều thư viện cũng như công cụ hỗ trợ Để đơn giản hóa quá trình cài đặt và triển khai cho các doanh nghiệp vừa và nhỏ, tác giả đã sử dụng Docker với các lệnh sau đây.

- Clone bộ cài ELK từ Github: git clone https://github.com/deviantony/docker-elk.git cd docker-elk/

- Khởi chạy ELK Stack từ docker: sudo docker stack deploy -c docker-stack.yml elk-stack

Hình 4.2 Khởi chạy ELK Stack trên docker

- Kiểm tra trạng thái ELK vừa cài trên docker:

Hình 4.3 Kiểm tra trạng thái ELK Stack trên docker

- Từ trình duyệt, truy cập địa chỉ http://192.168.202.145:5601 vào giao diện quản trị Kibana để xem quá trình cài đặt thành công hay không

To install Filebeat, first add the Elasticsearch GPG key using the command `wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -` Next, ensure you have the necessary transport for HTTPS by running `sudo apt-get install apt-transport-https` Then, add the Elastic repository to your sources list with `echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list` Finally, update your package list and install Filebeat by executing `sudo apt-get update && sudo apt-get install filebeat`.

Cấu hình Filebeat để gửi log đến ELK Stack rất quan trọng, vì vậy bạn cần đảm bảo địa chỉ nguồn và đích chính xác với IP của máy chủ cài đặt ELK Để tự động chạy Filebeat khi hệ điều hành khởi động, bạn có thể sử dụng các lệnh sau: `sudo vi /etc/filebeat/filebeat.yml`, `sudo filebeat modules enable system`, `sudo filebeat test config`, `sudo filebeat test output`, và `sudo filebeat setup`.

To install and configure Elasalert for sending alerts from the SIEM system to administrators via email, execute the following commands: `sudo apt-get install -y python`, `sudo apt-get install -y python-pip python-dev libffi-dev libssl-dev`, clone the repository with `git clone https://github.com/Yelp/elastalert.git`, navigate to the directory using `cd elastalert`, then install the necessary packages with `sudo pip install "setuptools>.3"` and `sudo pip install pyOpenSSL` Finally, run `sudo python setup.py install`, install Elasticsearch with `sudo pip install "elasticsearch>=5.0.0"`, and copy the configuration file using `cp config.example.yaml config.yaml`.

- Sửa file config.yaml và cập nhật lại địa chỉ IP hoặc dns của server elasticsearch elastalert-create-index

- Chạy thử rule để kiểm tra hoạt động của Elasalert elastalert-test-rule config config.yaml example_rules/example_frequency.yaml

- Chạy Elasalert python -m elastalert.elastalert verbose rule example_frequency.yaml

- Cài đặt Postfix Gmail SMTP, yêu cầu bật xác thực 2 nhân tố và khởi tạo mật khẩu ứng dụng

- Cài đặt Postfix sudo apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules

To configure Postfix for Gmail SMTP, set the relay host to [smtp.gmail.com]:587 and enable SASL authentication with "smtp_sasl_auth_enable = yes." Use the password map file located at "hash:/etc/postfix/sasl_passwd" and ensure that "smtp_sasl_security_options" is set to "noanonymous." Additionally, specify the certificate authority path for TLS with "smtp_tls_CApath = /etc/ssl/certs" and "smtpd_tls_CApath = /etc/ssl/certs," while enabling TLS with "smtp_use_tls = yes."

- Cấu hình password gmail cho Posfix cat /etc/postfix/sasl_passwd

[smtp.gmail.com]:587 quankthp@gmail.com:qpdm vkxv hdpc boja

- Phân quyền cho thư mục lưu password sudo chmod 400 /etc/postfix/sasl_passwd sudo postmap /etc/postfix/sasl_passwd sudo systemctl restart postfix

- Kiểm tra thử khả năng gửi email: echo "Testing" | mail -s "Test Email" server.jbs@gmail.com sudo postqueue -p

To install the necessary components for Snort, execute the following command in your terminal: `sudo apt-get install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssl-dev cpputest libsqlite3-dev libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilter-queue-dev libunwind-dev libmnl-dev ethtool` This command ensures that all required libraries and tools are installed for the effective functioning of Snort.

- Cài đặt safec: cd ~/snort_src wget https://github.com/rurban/safeclib/releases/download/v02092020/libsafe c-02092020.tar.gz tar -xzvf libsafec-02092020.tar.gz cd libsafec-02092020.0-g6d921f

/configure make sudo make install

- Cài đặt PCRE: cd ~/snort_src/ wget https://ftp.pcre.org/pub/pcre/pcre-8.45.tar.gz tar -xzvf pcre-8.45.tar.gz cd pcre-8.45

/configure make sudo make install

- Cài đặt Gperftools 2.9: cd ~/snort_src wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.9.1/gperftools-2.9.1.tar.gz

63 tar xzvf gperftools-2.9.1.tar.gz cd gperftools-2.9.1

/configure make sudo make install

- Cài đặt Ragel: cd ~/snort_src wget http://www.colm.net/files/ragel/ragel-6.10.tar.gz tar -xzvf ragel-6.10.tar.gz cd ragel-6.10

/configure make sudo make install

- Cài đặt thư viện Boost C++ cd ~/snort_src wget https://boostorg.jfrog.io/artifactory/main/release/1.76.0/source/boost _1_76_0.tar.gz tar -xvzf boost_1_76_0.tar.gz

To install Hyperscan 5.4, navigate to the Snort source directory, download the package from GitHub, extract the files, create a build directory, and configure the installation with CMake using the specified prefix.

DBOOST_ROOT=~/snort_src/boost_1_76_0/ /hyperscan-5.4.0 make sudo make install

To install FlatBuffers, navigate to the Snort source directory and download the FlatBuffers version 2.0.0 archive from GitHub Extract the downloaded file, create a new directory for the build, and use CMake to configure the build environment before compiling the project.

To install the data collection component for Snort DAQ, navigate to the Snort source directory using the command `cd ~/snort_src` Then, download the necessary files by executing `wget https://github.com/snort3/libdaq/archive/refs/tags/v3.0.4.tar.gz -O libdaq-3.0.4.tar.gz` After downloading, extract the files with `tar -xzvf libdaq-3.0.4.tar.gz` and change to the extracted directory using `cd libdaq-3.0.4`.

/configure make sudo make install

- Cài đặt Snort: cd ~/snort_src wget https://github.com/snort3/snort3/archive/refs/tags/3.1.6.0.tar.gz -O snort3-3.1.6.0.tar.gz tar -xzvf snort3-3.1.6.0.tar.gz cd snort3-3.1.6.0

/configure_cmake.sh prefix=/usr/local enable-tcmalloc cd build make sudo make install

To install the software for automatically downloading Snort rules, the author utilizes PulledPork3 The installation process involves navigating to the Snort source directory, cloning the PulledPork3 repository from GitHub, and creating necessary directories Following this, the user copies the `pulledpork.py` script and the `lib` folder to the designated directory, modifies the permissions to make the script executable, and sets up the configuration file in the appropriate location.

- Chỉnh sửa file cấu hình pulledpork3, chỉnh sửa theo các dòng dưới đây: community_ruleset = false registered_ruleset = false

LightSPD_ruleset = true snort_blocklist = true et_blocklist = true snort_path = /usr/local/bin/snort

65 local_rules = /usr/local/etc/rules/local.rules

- Cấu hình file snort.lua để nạp dữ liệu mới sudo vi /usr/local/etc/snort/snort.lua

- Sửa theo các thông tin dưới đây: ips =

{ enable_builtin_rules = true, include = RULE_PATH "/pulledpork.rules", variables = default_variables

- Cài đặt cho Pulledpork tự động chạy hàng ngày: sudo vi /lib/systemd/system/pulledpork3.timer

- Sửa theo các thông tin dưới đây:

Description=Run PulledPork3 rule updater for Snort 3 rulesets

RefuseManualStart=no # Allow manual starts

RefuseManualStop=no # Allow manual stops

#Execute job if it missed a run due to machine being off

#Run 120 seconds after boot for the first time

#File describing job to execute

- Tải bộcài đặt phần mềm OSSEC: wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

- Giải nén tập tin vừa tải: tar xf ossec-hids-2.8.1.tar.gz

- Di chuyển vào tập tin vừa tải và tiến hành cài đặt: sudo /install.sh

- Tùy vào máy chủ cần cài đặt mà tiến hành lựa chọn phiên bản cho server hoặc client cho phù hợp

Th ự c nghi ệ m t ấ n công và ghi nh ậ n log vào h ệ th ố ng SIEM

Sau khi hoàn tất cài đặt, chúng ta sẽ tiến hành thực hiện các tấn công như DoS, quét cổng và khai thác lỗ hổng MS-17-010 trên các máy trong dải mạng Tiếp theo, chúng ta sẽ kiểm tra các log được ghi lại trên ELK Stack để đánh giá khả năng phát hiện xâm nhập mạng của phần mềm Snort.

Thử ping từ máy trạm bên ngoài tới máy chủUbuntu cài ELK Stack để xem khảnăng bắt log realtime:

Hình 4.4 Kiểm tra trạng thái bắt log của hệ thống khi thực hiện ping

Thử ssh từ một máy trạm sang máy chủ cài Ubuntu server và ELK Stack;

Hình 4.5 Kiểm tra log của hệ thống khi thực hiện ssh từ xa

Thử dùng nmap từ máy Kali linux scan sang 1 máy chủ chạy hệđiều hành

Hình 4.6 Kiểm tra log của hệ thống khi thực hiện tấn công dò quét

Thực nghiệm tấn công khai thác lỗ hổng MS17-010 trên máy chủ chạy Windows 7 để kiểm tra khảnăng phát hiện và cảnh báo của hệ thống

Hình 4.7 Tiến hành khai thác từ máy Kali Linux

Hình 4.8 Máy trạm bị dừng đột ngột

Hình 4.9 Ghi nhận dấu hiệu cuộc tấn công trên hệ thống SIEM

Tạo một người dùng mới trên máy trạm Windows 7 và sau đó kiểm tra trên ELK Stack để đánh giá khả năng thu thập log hệ điều hành của phần mềm OSSEC.

Hình 4.10 Ghi nhận hành vi tạo mới người dùng

Đánh giá kế t qu ả

Sau khi xây dựng và cấu hình thử nghiệm theo mô hình đã trình bày, tác giả đánh giá rằng kết quả đạt được đã giải quyết hai vấn đề chính trong việc triển khai hệ thống giám sát an ninh mạng tại doanh nghiệp.

Lưu trữ và quản lý tập trung nhật ký hoạt động của các thiết bị và phần mềm trong ElasticSearch giúp truy xuất hiệu năng cao, đồng thời cung cấp nguồn thông tin hữu ích cho việc giám sát và phân tích theo thời gian thực trên Kibana.

- Phát hiện được một số sự cố tấn công đến hệ thống một cách chính xác và

Hệ thống 69 đã kịp thời hỗ trợ cán bộ trong việc phát hiện và khắc phục sự cố, đánh dấu một bước tiến lớn so với phương pháp kiểm tra thủ công trước đây Kết quả này mang lại những đóng góp hữu ích cho doanh nghiệp.

Việc lưu trữ nhật ký hoạt động của thiết bị và phần mềm tại ElasticSearch giúp quản trị viên phân tích dữ liệu theo nhiều chiều, phát hiện bất thường trong hệ thống theo thời gian thực, đồng thời hỗ trợ quá trình điều tra và truy vết sau này.

Xử lý dữ liệu nhật ký hoạt động từ thiết bị và phần mềm, kết hợp với cơ chế cảnh báo tự động, giúp quản trị viên sớm phát hiện các vấn đề trong hệ thống Điều này cho phép họ thực hiện biện pháp khắc phục kịp thời, ngăn chặn sự cố trở nên nghiêm trọng Luận văn này xác định hai vấn đề chính cần giải quyết khi triển khai hệ thống giám sát an ninh mạng cho doanh nghiệp.

- Thứ nhất: Đã nắm được lý thuyết tổng quan về hệ thống SIEM, các chức năng, thành phần và nguyên lý hoạt động của hệ thống

- Thứ hai: Đề xuất, so sánh đối chiếu một số giải pháp SIEM tiêu biểu

Vào thứ ba, chúng tôi đã thành công trong việc thử nghiệm một số tính năng cơ bản của hệ thống, bao gồm khả năng thu thập và phân tích nguồn dữ liệu nhận được Điều này cho phép chúng tôi phát hiện các hoạt động hoặc sự cố đang diễn ra trong hệ thống một cách hiệu quả.

Vấn đề còn tồn tại:

Bên cạnh các kết quả đã đạt được, Luận văn còn một số hạn chế cần khắc phục như sau:

- Hiệu năng của ứng dụng có thể bị ảnh hưởng bởi vấn đề sử dụng tốn bộ nhớ của thành phần Logstash trong giải pháp đề xuất

- Rủi ro mất dữ liệu trên đường truyền trong quá trình truyền tải thông tin từ Logstash tới thành phần ElasticSearch

Trước khi triển khai hệ thống SIEM, cần xác định các tiêu chí lựa chọn phù hợp Tuy nhiên, do mục tiêu của luận văn chỉ tập trung vào việc thử nghiệm một số tính năng cơ bản, nên chưa thể đưa ra đánh giá tổng thể về giải pháp lựa chọn này.

Vềđịnh hướng phát triển trong tương lai

Nhằm khắc phục những hạn chế đã nêu, tác giả sẽ tiếp tục nghiên cứu và cải thiện các tính năng của giải pháp, tập trung vào việc phát triển hệ thống cảnh báo khi phát hiện sự cố Đồng thời, sẽ tích hợp thêm các thành phần hỗ trợ, đặc biệt là giải pháp xử lý tự động cho các sự cố (SOAR).

Ngày đăng: 04/04/2022, 12:48

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[14] Pranita P. Bavaskar, Onkar Kemker, Aditya Kumar Sinha. 2019. A survey on: “log analysis with ELK Stack tool”. IJRAR19K8116 Sách, tạp chí
Tiêu đề: log analysis with ELK Stack tool
[8] Ana Vazão; Leonel Santos; Maria Beatriz Piedade; Carlos Rabadão. 2019. SIEM Open Source Solutions: A Comparative Study. IEEE [9] https://www.syslog-ng.com/community/b/blog Link
[1] Report of IBM Security about Cost of a Data Breach Report 2021 Khác
[3] Sandeep Kumar Bhatt, Loai Zomlot and Pratyusa K. Manadhata. 2014. The Operational Role of Security Information and Event Management Systems, pages 35–41. IEEE Khác
[5] Vielberth, M. and Pernul, G. 2018. A Security Information and Event Management Pattern. jn 2, 3, Article 1 (November 2018), 12 pages Khác
[6] Gustavo González-Granadillo , Susana González-Zarzosa and Rodrigo Diaz Khác
[7] Nabil Moukafih, Ghizlane Orhanou, Soukaina Sabir. 2017. SIEM selection criteria for an efficient contextual security. IEEE Khác
[13] Sung Jun Son, Youngmi Kwon. 2017. Performance of ELK stack and commercial system in security log analysis. IEEE Khác

HÌNH ẢNH LIÊN QUAN

Hình 2.2 Chi phí tổn thất trên mỗi bản ghi cá nhân bị lộ lọt - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.2 Chi phí tổn thất trên mỗi bản ghi cá nhân bị lộ lọt (Trang 16)
Hình 2.1 Chi phí tổn thất do các cuộc tấn công xâm phạm dữ liệu - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.1 Chi phí tổn thất do các cuộc tấn công xâm phạm dữ liệu (Trang 16)
Hình 2.4 Chi phí thiệt hại theo từng nhóm ngành - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.4 Chi phí thiệt hại theo từng nhóm ngành (Trang 17)
Hình 2.5 Thời gian các tổ chức phát hiện cuộc xâm phạm dữ liệu - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.5 Thời gian các tổ chức phát hiện cuộc xâm phạm dữ liệu (Trang 17)
Hình 2.6 Thời gian để xác định và khoanh vùng các vụ xâm phạm dữ liệu theo các tác nhân chính - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.6 Thời gian để xác định và khoanh vùng các vụ xâm phạm dữ liệu theo các tác nhân chính (Trang 18)
Hình 2.7 Các thành phần cơ bản của hệ thống SIEM - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 2.7 Các thành phần cơ bản của hệ thống SIEM (Trang 22)
Bảng 2.1 Các định dạng log cơ bản - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Bảng 2.1 Các định dạng log cơ bản (Trang 24)
hay điển hình nhất là 2 phần mềm Splunk và ELK Stack. Những tính năng nổi bật c ủa các giải pháp giám sát và phân tích này là khảnăng tìm kiếm mạnh mẽ, khả năng giám sát và cảnh báo theo thời gian thực và các tính năng liên quan đến việc báo cáo, th ống - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
hay điển hình nhất là 2 phần mềm Splunk và ELK Stack. Những tính năng nổi bật c ủa các giải pháp giám sát và phân tích này là khảnăng tìm kiếm mạnh mẽ, khả năng giám sát và cảnh báo theo thời gian thực và các tính năng liên quan đến việc báo cáo, th ống (Trang 31)
Hình 3.2 Kiến trúc tổng quan của Logzilla - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 3.2 Kiến trúc tổng quan của Logzilla (Trang 33)
dạng biểu đồ giúp người quản trị dễ dàng hình dung hệ thống một cách trực quan. - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
d ạng biểu đồ giúp người quản trị dễ dàng hình dung hệ thống một cách trực quan (Trang 34)
Mô hình sử dụng phổ biến của Splunk - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
h ình sử dụng phổ biến của Splunk (Trang 35)
Bảng 1A: Các biến trong mô hình VAR - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Bảng 1 A: Các biến trong mô hình VAR (Trang 40)
đó. Hành động điển hình là gửi email dựa trên các kết quả tìm kiếm. Ngoài ra cũng - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
nh động điển hình là gửi email dựa trên các kết quả tìm kiếm. Ngoài ra cũng (Trang 41)
Hình 3.8 Mô hình MPP - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 3.8 Mô hình MPP (Trang 43)
Hình 3.10 Mô hình mối tương quan giữa các thành phần trong Elasticsearch và một cơ s ở dữ liệu - Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn
Hình 3.10 Mô hình mối tương quan giữa các thành phần trong Elasticsearch và một cơ s ở dữ liệu (Trang 44)

TRÍCH ĐOẠN

Các lợi ích mang lại của hệ thống SIEM

.15 Cấu trúc rule của Snort

.18 Mô hình tích hợp của OSSEC và ELK Stack Khả năng sử dụng hiệu quả các thông tin tình báo của hệ thống Triển khai ELK Stack

.10 Ghi nhận hành vi tạo mới người dùng

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w