Nghiên cứu xây dựng hệ thống phát hiện tấn công và phản ứng mở rộng (XDR)

Đồ án tốt nghiệp ngành ATTT đạt 9.5. Phát hiện tấn công và phản ứng mở rộng (Extended Detection and Response - XDR) đã nổi lên như một giải pháp cho sự phức tạp trong các hoạt động giám sát, phân tích, ứng cứu và xử lý sự cố. XDR là một giải pháp phát hiện, điều tra và ứng phó với mối đe dọa hoạt động trên tất cả các thành phần trong cơ sở hạ tầng của tổ chức (bao gồm mạng, điểm cuối, đám mây và danh tính) thay vì chỉ một khía cạnh bảo mật. Bằng cách tích hợp trực tiếp vào kiến trúc, các công cụ XDR cung cấp thông tin chi tiết về mối đe dọa và các đề xuất nhằm tối ưu hóa cách hoạt động của các nhóm bảo mật.

Hiện trạng vấn đề phát hiện và ứng phó mối đe dọa

Tình hình an toàn thông tin thế giới

Trong thời đại công nghệ 4.0, giờ đây người dùng có thể tương tác với các cơ quan tổ chức chính phủ thông qua hệ thống ứng dụng web mà không cần phải có mặt tận nơi như trước kia Các cơ quan tổ chức cũng có thể quản lý văn bản dễ dàng thông qua các ứng dụng web Internet giúp cho việc liên lạc, kết nối, xử lý các thủ tục trở nên dễ dàng và nhanh chóng Tuy nhiên, bên cạnh lợi ích mà Internet mang lại, người dùng và các cơ quan tổ chức cũng phải đối mặt với nguy cơ mất an toàn thông tin từ các tin tặc Tin tặc có thể đánh cắp thông tin người dùng, tấn công vào các hệ thống của chính phủ nhằm chỉnh sửa thông tin trên các website, đánh cắp các tài liệu bí mật, làm mất an ninh, an toàn của cả quốc gia

Xu hướng internet kết nối vạn vật, làm việc từ xa kéo theo các ứng dụng của kết nối mạng ngày càng được sử dụng phổ biến và rộng rãi Tuy nhiên, càng phụ thuộc vào các kết nối mạng bao nhiêu, rủi ro mất an toàn thông tin càng lớn bấy nhiêu Theo đánh giá của nhiều tổ chức ATTT uy tín trên thế giới, hiện nay toàn cầu đang đối diện với hàng loạt nguy cơ mới xuất hiện và phổ biến nhanh chóng Số lượng lỗ hổng nghiên cứu khoa học bảo mật, mã độc, mạng máy tính ma (botnet) được phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hành những chiến dịch tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm so với trước đây Thay vì thực hiện những cuộc tấn công nhanh, nhiều loại mã độc có khả năng ngủ đông, dò xét, chiếm quyền trong thời gian dài, rình thời điểm sơ hở nhất của đối tượng để tiến hành các cuộc tổng tấn công

Vào ngày 13/12/2020, FireEye đã thông báo rằng một tác nhân cấp quốc gia, được theo dõi là UNC2452 đã thực hiện tấn công chuỗi cung ứng vào sản phẩm SolarWinds Orion SolarWinds cho biết có tới 18.000 1 khách hàng của công ty này, trong đó có nhiều cơ quan chính phủ và công ty của Mỹ đã tải bản cập nhật phần mềm Orion chứa backdoor Theo kết luận của Fire Eye từ các

1 Tấn công mạng SolarWinds ảnh hưởng đến chính quyền các bang của Mỹ, https://www.vietnamplus.vn/tan- cong-mang-solarwinds-anh-huong-den-chinh-quyen-cac-bang-cua-my/686141.vnp cuộc điều tra cho biết các hệ thống có thể đã bị lây nhiễm từ đầu năm 2020 Đây được coi là một trong những vụ tấn công mạng gây thiệt hại lớn nhất năm 2020

Từ tháng 01/2021 đến tháng 03/2021 Microsoft đã phải đối mặt với một vụ vi phạm An ninh mạng vô cùng nghiêm trọng Tin tặc đã tấn công máy chủ Microsoft Exchange bằng cách khai thác lỗ hổng zero-day trên máy chủ này Cuộc tấn công đã làm ảnh hưởng đến 9 cơ quan chính phủ và hơn 60.000 2 công ty tư nhân trên toàn thế giới

Tháng 07/2022, Twitter – một trong những nền tảng mạng xã hội phổ biến nhất đã bị tấn công Bằng cách sử dụng kỹ nghệ xã hội, những kẻ tấn công đã đánh cắp thông tin đăng nhập của nhân viên và có quyền truy cập vào hệ thống quản lý nội bộ của Twitter Chúng tiến hành chiếm đoạt nhiều tài khoản Twitter cao cấp Những tài khoản này bao gồm của Giám đốc điều hành Tesla, Elon Musk, Giám đốc điều hành Amazon, Jeff Bezos, và cựu tổng thống Hoa Kỳ, Barack Obama Các hacker đã đánh cắp số bitcoin trị giá gần 120.000 3 đô la

Theo Check Point Research, các cuộc tấn công mạng trong năm 2021 đã tăng 50% 4 so với năm 2020, mỗi tổ chức trên toàn thế giới phải đối mặt với 925 cuộc tấn công mạng mỗi tuần Sang đến năm 2022, mức tăng của các cuộc tấn công mạng toàn cầu đạt 38% 5 so với năm trước đó Trong đó, số lượng các cuộc tấn công mạng trên toàn cầu đạt mức cao nhất mọi thời đại trong quý 4 với trung bình 1168 cuộc tấn công hàng tuần cho mỗi tổ chức Top 3 ngành bị tấn công nhiều nhất trong năm 2022 là giáo dục/nghiên cứu, chính phủ và y tế.

Tình hình an toàn thông tin tại Việt Nam

Trong những năm vừa qua, tình hình an toàn thông tin trên thế giới nói chung và Việt Nam nói riêng tiếp tục diễn biến phức tạp với nhiều cuộc tấn công mạng có quy mô lớn và tình trạng lộ, lọt thông tin trở nên nghiêm trọng Đặc biệt, nhiều hệ thống thông tin quan trọng là điểm nhắm tới của tấn công mạng và trở thành nguy cơ lớn đối với sự ổn định chính trị và phát triển kinh tế Các cuộc tấn công mạng thường để lại hậu quả nghiêm trọng khi không chỉ phá hoại hệ

2 Top Ten Cyberattacks of 2020-2021,https://www.eccu.edu/blog/cybersecurity/top-ten-cyberattacks-of-2020- 2021/

3 The six biggest cyberattacks of 2020, https://cybernews.com/security/the-six-biggest-cyberattacks-of-2020/

4 Cyberattacks 2021: Phishing, Ransomware & Data Breach Statistics From the Last Year, https://spanning.com/blog/cyberattacks-2021-phishing-ransomware-data-breach-statistics/

5 Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks, https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/ thống thông tin, dữ liệu mà còn đánh cắp các thông tin bí mật quốc gia, thông tin cá nhân và phát tán rộng rãi trên Internet

Tại Việt Nam, theo xu hướng chung của thế giới, đã xuất hiện nhiều vấn đề về an toàn thông tin mạng có khả năng gây ảnh hưởng nghiêm trọng tới công cuộc chuyển đổi số quốc gia, phát triển xã hội số và nền kinh tế số; từ đó ảnh hưởng tới sự phát triển ổn định, bền vững của nền kinh tế xã hội

Năm 2019: chính phủ ghi nhận 5.176 6 đợt tấn công mạng, bao gồm: Phishing (website lừa đảo), Deface (tấn công thay đổi giao diện) và Malware (phát tán mã độc) vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố, giảm 49,35% so với năm 2018

Năm 2020, Trung tâm Giám sát an toàn không gian mạng quốc gia đã ghi nhận tổng cộng 5.168 7 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, giảm 0,15% so với năm 2019

Cuối tháng 6/2021, Liên minh Viễn thông quốc tế (ITU) đã công bố Báo cáo xếp hạng chỉ số an toàn, an ninh mạng (ATANM) toàn cầu (GCI) năm 2020 Trong đó, Việt Nam đã tăng 25 bậc so với năm 2018, vươn lên vị trí thứ 25 8 trong tổng số 194 quốc gia, vùng lãnh thổ và đứng thứ 7 trong khu vực châu Á – Thái Bình Dương và thứ 4 trong khu vực ASEAN

Trong 6 tháng đầu năm 2022, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) cho biết đã có 6.641 9 cuộc tấn công mạng nhằm vào các hệ thống thông tin tại Việt Nam Trong đó, có 1.696 sự cố tấn công lừa đảo, 859 sự cố tấn công thay đổi giao diện và 4.086 cuộc tấn công cài cắm mã độc.

Khảo sát bối cảnh phản ứng trước các mối đe dọa

Các vụ tấn công đánh cắp, phá hủy dữ liệu và tấn công ransomware ngày càng trở nên thường xuyên hơn Tuy nhiên, thực tế là việc những sự kiện bảo

6 Việt Nam ngăn chặn thành công nhiều đợt tấn công mạng, https://congan.com.vn/tin-chinh/viet-nam-ngan- chan-thanh-cong-nhieu-cuoc-tan-cong-mang_100852.html

7 Hơn 5.000 cuộc tấn công mạng vào Việt Nam trong năm 2020, https://sokhcn.langson.gov.vn/node/12997

8 Việt Nam tăng 25 bậc trong bảng xếp hạng chỉ số an toàn thông tin mạng toàn cầu, https://antoanthongtin.vn/an-toan-thong-tin/viet-nam-tang-25-bac-trong-bang-xep-hang-chi-so-an-toan-thong- tin-mang-toan-cau-107618

9 10 sự kiện nổi bật trong lĩnh vực bảo mật và an toàn thông tin năm 2022 tại Việt Nam, https://antoanthongtin.vn/chinh-sach -chien-luoc/10-su-kien-noi-bat-trong-linh-vuc-bao-mat-va-an-toan-thong- tin-nam-2022-tai-viet-nam-108720 mật này trở nên phổ biến không làm cho chúng ít nguy hiểm hơn Bất kể thời gian mà một tác nhân đe dọa hoạt động trong môi trường của tổ chức là bao lâu, nó luôn tiềm tàng nguy cơ gây ra những thiệt hại to lớn

Theo Viện Ponemon, từ năm 2020 đến năm 2021, chi phí trung bình cho một vụ vi phạm dữ liệu đã tăng 10% lên 4,24 triệu đô la 10 Đây là mức tăng chi phí một năm lớn nhất trong bảy năm qua

Các nhân viên bảo mật đã và đang làm việc không ngừng nghỉ để phát hiện các mối đe dọa và phản ứng nhanh nhất và hiệu quả nhất có thể - trước khi xảy ra mất mát dữ liệu Tuy nhiên, đây là một trận chiến khó khăn khi đối mặt với các chiến thuật, kỹ thuật và quy trình ngày càng tiên tiến được các tác nhân đe dọa sử dụng Chúng sẽ sử dụng các phương pháp xâm phạm các tệp hệ thống được ủy quyền, chèn các cuộc tấn công vào sổ đăng ký của thiết bị hoặc sử dụng các tiện ích như PowerShell Sự gia tăng của các phương pháp tấn công và né tránh các biện pháp bảo mật đã thúc đẩy nhu cầu về các chiến lược và chiến thuật mới để phát hiện và phản ứng, bên cạnh việc ngăn chặn các mối đe dọa

Khả năng của một tổ chức để đứng đầu trong bối cảnh mối đe dọa hiện đại đòi hỏi các công cụ hiệu quả và một nhóm các nhà phân tích bảo mật có năng lực Thật không may, việc có sự cân bằng thích hợp giữa công nghệ và các chuyên gia giàu kinh nghiệm thường bị bỏ qua với hầu hết các cơ quan, tổ chức

Phát hiện và phản ứng trước mối đe dọa chia sẻ rất nhiều với các lĩnh vực công nghệ thông tin khác Có rất nhiều công cụ để theo dõi, các nhà cung cấp có các tên gọi khác nhau cho cùng một khái niệm và sự phức tạp của môi trường công nghệ thông tin lớn đến mức silo đã trở thành một thông lệ

Mặc dù có vô số công cụ dành cho các chuyên gia bảo mật, vẫn có những vấn đề chưa được giải quyết mà các nhóm bảo mật phải đối mặt Việc giữ cho thời gian phát hiện trung bình (mean time to detect - MTTD) và thời gian phản ứng trung bình (mean time to respond - MTTR) thấp cần sự nỗ lực liên tục và các kết quả dương tính giả khiến các nhóm phải làm những việc không cần thiết Đặt các giải pháp vào các silo là một hoạt động thường thấy đối với những mạng lưới phức tạp, rộng lớn gồm các hệ sinh thái và các công cụ bảo mật bảo vệ chúng Ý tưởng là việc tách biệt các khu vực bảo mật khác nhau

10 Cost of a Data Breach Report 2021, https://www.ibm.com/downloads/cas/OJDVQGRY thành các môi trường riêng nhằm giảm độ phức tạp và khiến chúng dễ quản lý hơn

Những silo này làm nổi bật những thách thức trong việc quản lý và bảo vệ hệ sinh thái của tổ chức, doanh nghiệp Chúng phức tạp vì một lý do Mạng, ứng dụng và cơ sở dữ liệu đều là một phần của một tổng thể lớn hơn, không phải là những thành phần độc lập hoàn toàn Mỗi phần trong số các thành phần này phải đối mặt với những thách thức của riêng chúng khi bị tấn công

1.1.3.1 Bảo đảm an toàn mạng

Một số giải pháp đảm bảo an toàn mạng thường được sử dụng bao gồm:

- Kiểm soát truy cập mạng Đây không phải danh sách đầy đủ các thành phần bảo đảm an toàn mạng, nhưng nó bao gồm một số công cụ quan trọng nhất Silo bảo đảm an toàn mạng bao gồm thông tin về các địa chỉ IP đang cố gắng tham gia mạng, lưu lượng truy cập mạng, tính toàn vẹn của cổng, v.v

Những gì bảo đảm an toàn mạng có thể nhìn thấy tiết lộ những gì nó không thể nhận biết Có thể có sự gia tăng đột ngột, liên tục về lưu lượng truy cập, từ góc độ bảo đảm an toàn mạng, điều này trông giống như một cuộc tấn công từ chối dịch vụ phân tán Nhưng nếu đó là một nhóm người dùng mới và thực hiện các yêu cầu đối với các dịch vụ nội bộ thì sao?

Bảo đảm an toàn mạng hiện phải kiểm tra các nhóm ứng dụng và bất kỳ nhóm nào khác có thể gây ra tăng đột biến lưu lượng Điều đó cần có thời gian và nguồn nhân lực để xác minh Trong thời gian đó, một cuộc tấn công khác có thể xảy ra Trong trường hợp này, thời gian phát hiện trung bình (mean time to detect – MTTD) và thời gian phản ứng trung bình (mean time to response – MTTR) sẽ dài hơn nhiều so với mức cần thiết

1.1.3.2 Bảo đảm an toàn ứng dụng

Bảo đảm an toàn ứng dụng liên quan đến việc bảo vệ các ứng dụng và tài nguyên của chúng, bao gồm máy chủ, cơ sở dữ liệu, hệ thống tin nhắn và các cơ sở hậ tầng phần mềm khác Silo bảo mật này bao gồm rất nhiều nền tảng, giữa ủy quyền cơ sở dữ liệu, giám sát mức sử dụng CPU, giám sát đầu vào/ra, v.v

Tương tự như cách bảo đảm an toàn mạng có thể bị chậm lại và gián đoạn do không có tất cả thông tin về hành vi bất thường, bảo đảm an toàn ứng dụng cần thấy nhiều thứ hơn là chỉ môi trường của chính nó

Lấy sự đột biến I/O là ví dụ Giả sử một sự thay đổi lớn về nhu cầu mạng xảy ra vào lúc nửa đêm Không phải trong giờ làm việc thông thường, rất nhiều dữ liệu được di chuyển vào và ra thông qua một ứng dụng và bảo mật ứng dụng được cảnh báo Điều này có thể báo hiệu một số loại vi phạm dữ liệu hoặc có thể là một quá trình chạy thử nghiệm quy trình di chuyển dữ liệu của một bộ phận riêng biệt Điều gì sẽ xảy ra nếu có một sự đột biến về mức độ sử dụng CPU? Điều đó có thể có nghĩa là có phần mềm độc hại đang chạy trên máy hoặc khai thác lỗ hổng ứng dụng Hoặc nó có thể là thứ gì đó vô hại và là một phần của hoạt động thông thường

Hạn chế của công nghệ và phương pháp tiếp cận truyền thống

Trong khi các nhóm bảo mật cố gắng ngăn chặn các cuộc tấn gây hại cho tổ chức, có một thực tế không thể tránh khỏi là không có môi trường nào là hoàn toàn an toàn Cuối cùng, sẽ có một mối đe dọa xâm nhập vào trong môi trường của cơ quan, tổ chức

Một loạt các công cụ ghi nhật ký, phát hiện và phản ứng nhanh chóng đã được tung ra thị trường để giúp các nhóm bảo mật tìm ra các mối đe dọa Mỗi công cụ này đều có điểm mạnh và điểm yếu và có thể hữu ích để chống lại các cuộc tấn công - chẳng hạn như các sự cố phần mềm độc hại dựa trên tệp đã biết hoặc các cuộc tấn công được thiết kế để tấn công chỉ một phần của cơ sở hạ tầng Tuy nhiên, hầu hết các công cụ này đều được điều chỉnh cho một mục đích duy nhất và không có công cụ nào đặc biệt phù hợp để tự xử lý các mối đe dọa tinh vi

Nghiên cứu của ESG phát hiện ra rằng 66% 11 các tổ chức cảm thấy hiệu quả phát hiện và ứng phó mối đe dọa của họ bị hạn chế vì nó dựa trên nhiều công cụ độc lập

11 Threat Detection and Response, https://vartek.com/threat-detection-and-response/

1.1.4.1 Phát hiện và phản ứng trên điểm cuối

Phát hiện và phản ứng trên điểm cuối – Endpoint detection and response (EDR) là một loại công cụ được sử dụng để phát hiện và điều tra các mối đe dọa trên thiết bị điểm cuối Các công cụ EDR thường cung cấp khả năng phát hiện, phân tích, điều tra và phản ứng trước các mối đe dọa trên điểm cuối – nơi mà nó được cài đặt

EDR xuất hiện lần đầu tiên vào năm 2013 để giúp các cuộc điều tra số yêu cầu đo từ xa điểm cuối rất chi tiết để thiết kế ngược phần mềm độc hại và hiểu chính xác những gì một tác nhân đe dọa đã làm trên một thiết bị bị xâm nhập

Các công cụ EDR giám sát các sự kiện do điểm cuối tạo ra để tìm kiếm hoạt động đáng ngờ Các cảnh báo mà các công cụ EDR tạo ra giúp các nhà phân tích hoạt động bảo mật xác định, điều tra và khắc phục sự cố Các công cụ EDR cũng thu thập dữ liệu đo từ xa về hoạt động đáng ngờ và có thể làm phong phú dữ liệu với thông tin ngữ cảnh khác từ các sự kiện tương quan Thông qua các chức năng này, EDR là công cụ giúp rút ngắn thời gian phản hồi cho các đội ứng phó sự cố

Tuy nhiên, một mình EDR không thể cung cấp khả năng phát hiện mối đe dọa của doanh nghiệp một cách đầy đủ do chỉ tập trung vào điểm cuối Nó không cung cấp khả năng hiển thị lưu lượng mạng của các thiết bị mà không cần cài đặt tác nhân trên mạng và các thiết bị được nối mạng - chẳng hạn như bộ định tuyến, thiết bị chuyển mạch, máy chủ, và các tài nguyên đám mây như mạng đám mây

1.1.4.2 Nền tảng bảo vệ điểm cuối

Nền tảng bảo vệ điểm cuối - Endpoint protection platform (EPP) là một tác nhân phần mềm được cài đặt trên các thiết bị điểm cuối để ngăn chặn các cuộc tấn công phần mềm độc hại dựa trên tệp và phát hiện hoạt động độc hại EPP là sự phát triển của các giải pháp chống vi-rút và chống phần mềm độc hại dựa trên máy chủ truyền thống và thường được coi là tuyến phòng thủ đầu tiên trên điểm cuối

Khả năng phát hiện giữa các giải pháp EPP có sự khác nhau, nhưng hầu hết sử dụng kết hợp một số kỹ thuật phát hiện và phòng ngừa, bao gồm những điều sau:

- Các chỉ báo tĩnh về sự xâm phạm (IOC)

- Các ứng dụng, cổng và địa chỉ ip được đưa vào danh sách trắng (cho phép) hoặc danh sách đen (không cho phép)

- Phân tích hành vi và học máy

- Hộp cát để kiểm tra các mối đe dọa đáng ngờ

Giải pháp EPP nên được quản lý trên đám mây để cho phép giám sát liên tục và thu thập dữ liệu hoạt động, cùng với khả năng thực hiện các hành động khắc phục từ xa Ngoài ra, các giải pháp EPP cũng cần hỗ trợ dữ liệu thu thập từ đám mây Nói cách khác, tác nhân giám sát trên điểm cuối không phải duy trì cơ sở dữ liệu cục bộ của tất cả các IOC đã biết Thay vào đó, tác nhân điểm cuối có thể kiểm tra tài nguyên đám mây để tìm các phán quyết mới nhất về các đối tượng mà nó không thể phân loại và tận dụng thông tin về mối đe dọa trong thời gian thực

EPP được thiết kế để ngăn chặn hoặc kiểm soát và do đó, nó không tập trung vào việc phát hiện hoặc thu thập thông tin để bảo vệ chống lại các cuộc tấn công Hầu hết các nền tảng EPP cũng thiếu các khả năng ứng phó cần thiết để điều tra các sự cố Kết quả là, chỉ riêng EPP không cung cấp các tính năng cần thiết để ngăn chặn các cuộc tấn công hiện đại

1.1.4.3 Quản lý sự kiện và thông tin bảo mật

Các công cụ phần mềm quản lý sự kiện và thông tin bảo mật - Security information and event management (SIEM) cung cấp khả năng thu thập, tương quan và phân tích các sự kiện bảo mật theo thời gian gần thực, cũng như thông báo về các cảnh báo bảo mật được tạo bởi các thiết bị mạng và ứng dụng khác nhau

Nhiều tổ chức phân bổ phần lớn ngân sách dành cho bảo mật của họ vào các công cụ SIEM để thu thập nhật ký từ các thiết bị bảo mật và môi trường máy chủ khác nhau Các SIEM ban đầu được thiết kế chủ yếu như những người thu thập nhật ký cho các mục đích báo cáo sự tuân thủ Theo thời gian, việc sử dụng chúng được mở rộng sang phát hiện mối đe dọa và SIEM hiện là kho lưu trữ cảnh báo tập trung cho nhiều trung điều hành an ninh mạng

SIEM tập trung các cảnh báo và tổng hợp dữ liệu nhật ký bằng cách phân tích cú pháp và chuẩn hóa nó Các nhóm bảo mật có thể xem tất cả dữ liệu nhật ký ở một nơi, những dữ liệu này thường không được kết hợp với nhau một cách có ý nghĩa và các nhà phân tích tuyến đầu chịu trách nhiệm tìm hiểu về dữ liệu này thường không thể sử dụng các công cụ chứa dữ liệu nguồn để xác thực các cảnh báo Nhìn chung, SIEM thiếu chiều sâu phân tích đối với các nguồn dữ liệu chính, chẳng hạn như dữ liệu điểm cuối và dữ liệu mạng, và chúng có thể gặp khó khăn trong việc triển khai, cấu hình và bảo trì

1.1.4.4 Phát hiện, phản ứng dựa trên mạng và phân tích hành vi người dùng, thực thể

Các công cụ phát hiện và phản ứng dựa trên mạng - Network detection and response (NDR) và phân tích hành vi người dùng, thực thể - User and entity behavior analytics (UEBA) đại diện cho một lớp công cụ phân tích bảo mật mới hơn đã xuất hiện để giải quyết các thách thức mà SIEM có trong việc phát hiện các cuộc tấn công chưa biết Các công cụ này sử dụng học máy để phát triển một cơ sở hoạt động từ xa được thu thập và sau đó tìm kiếm các hành động bất thường có thể chỉ ra hành vi độc hại Những công nghệ này cho phép các tổ chức xác định các cuộc tấn công chưa biết trước đây bằng cách nhận ra các lưu lượng mạng bất thường

Những khó khăn của các đội đảm bảo an toàn thông tin

Các công cụ phát hiện và ngăn chặn tạo ra hàng nghìn cảnh báo mỗi ngày, vượt xa khối lượng mà các đội ngũ an ninh có thể xử lý Các cảnh báo này đến từ nhiều nguồn khác nhau, khiến các nhà phân tích bảo mật phải thực hiện lắp ghép chúng lại với nhau để có được cái nhìn chính xác về những gì đang diễn ra trong hệ thống của tổ chức

Việc phân tích một mối đe dọa tiềm ẩn thường yêu cầu một số bước sau:

1) Xem lại dữ liệu nhật ký có sẵn để bắt đầu ghép nối những gì có thể đã xảy ra

2) So sánh thủ công dữ liệu với các nguồn thông tin về mối đe dọa để xác định xem các chỉ báo có độc hại hay không

3) Tìm kiếm sự kiện liên quan bằng cách sử dụng các IOC để xác định xem cảnh báo có là một phần của một cuộc tấn công lớn hơn hay không

4) Thu thập bối cảnh xung quanh sự kiện, bao gồm các hệ thống, máy chủ, tài nguyên, địa chỉ ip và tệp được liên kết với mỗi cảnh báo

5) Xây dựng dòng thời gian xảy ra các sự kiện và xác định nguyên nhân gốc rễ của cảnh báo

6) Kiểm tra thông tin mới có liên kết đến cảnh báo có đang được xử lý bởi các thành viên khác trong nhóm hay không để phối hợp xử lý

7) Đánh giá xem cảnh báo có cần được nâng cao mức độ nghiêm trọng, loại bỏ hoặc nhanh chóng khắc phục và đóng lại hay không

Tất cả các bước này mất rất nhiều thời gian và nhiều công cụ để hoàn thành trong một SOC truyền thống – và đó chỉ là phần việc phân loại Hệ quả là các nhà phân tích chỉ có thời gian để giải quyết các cảnh báo có mức độ ưu tiên cao nhất mà họ gặp phải mỗi ngày Trong khi đó, một số lượng lớn cảnh báo có mức độ ưu tiên thấp hơn hoàn toàn không được giải quyết Và nếu không có bối cảnh thích hợp để phân loại cảnh báo là cao hay thấp, đội ngũ SOC có thể thiếu những thông tin thực sự quan trọng

Một mô hình truyền thống mà nhiều nhóm SecOps và SOC áp dụng là chia các nhà phân tích theo cấp độ dựa trên kinh nghiệm của họ

Dưới đây là trách nhiệm chính của từng cấp độ:

- Bậc 1 - Phân loại: đây là nơi sử dụng phần lớn thời gian của nhà phân tích bảo mật Các nhà phân tích bậc 1 là những nhà phân tích ít kinh nghiệm nhất và chức năng chính của họ là theo dõi nhật ký sự kiện để tìm hoạt động đáng ngờ Khi họ cảm thấy cần điều tra thêm điều gì đó, họ sẽ thu thập càng nhiều ngữ cảnh từ nhiều nguồn dữ liệu càng tốt và một báo cáo dưới dạng sự cố bao gồm người dùng, máy chủ, địa chỉ ip và bất kỳ IOC nào có liên quan, đồng thời báo sự cố đến bậc 2

- Bậc 2 - Điều tra: các nhà phân tích bậc 2 tìm hiểu sâu hơn về hoạt động đáng ngờ để xác định bản chất của mối đe dọa và mức độ xâm nhập của mối đe dọa vào hệ thống, bao gồm xây dựng lịch trình để hiểu trình tự và tương quan các sự kiện nhằm xác định nguyên nhân gốc rễ Họ phải thực hiện điều tra thêm để hiểu cuộc tấn công đã đi được bao xa Những nhà phân tích này sau đó sẽ đưa ra phản ứng để khắc phục vấn đề Đây là hoạt động có tác động cao hơn, thường đòi hỏi các nhà phân tích nhiều kinh nghiệm hơn đối với

- Bậc 3+ - Săn lùng mối đe dọa: Đây là những nhà phân tích giàu kinh nghiệm nhất, những người hỗ trợ ứng phó với sự cố phức tạp và dành thời gian còn lại để xem dữ liệu điều tra, đo lường từ xa để tìm các mối đe dọa có thể chưa được phần mềm phát hiện xác định Các tổ chức thường dành rất ít thời gian cho các hoạt động tìm kiếm mối đe dọa, bởi vì các hoạt động của các đội bậc 1 và bậc 2 tốn rất nhiều thời gian của các nhà phân tích

Mặc dù mô hình này có thể là phổ biến nhất, nhưng nó có thể không phải là mô hình lý tưởng nhất Hầu hết mọi người không thích ngồi cả ngày để theo dõi nhật ký Lượng cảnh báo quá nhiều dễ gây chán nản cho các nhà phân tích và các mối đe dọa rất có thể đã bị bỏ sót vì nó Có thể gặp khó khăn để giữ chân các nhà phân tích thực hiện nhiệm vụ này – họ muốn đóng góp một cách có ý nghĩa hơn cho các cuộc điều tra Có quá ít thời gian dành cho việc tìm kiếm mối đe dọa và cải tiến quy trình, bởi phần lớn thời gian được dành cho việc phát hiện và giảm thiểu các mối đe dọa

Hơn nữa, các nhà phân tích bảo mật chịu trách nhiệm phân tích cảnh báo thường không có đủ bối cảnh để xác định rủi ro thực sự mà một cuộc tấn công gây ra cho tổ chức Vì vậy, cảnh báo được chuyển đến một nhóm cấp cao hơn để xác nhận thêm, điều này đòi hỏi nhiều thời gian và nguồn lực hơn, tạo ra sự kém hiệu quả ở tất cả các cấp

Hầu hết các doanh nghiệp nhận được hàng nghìn cảnh báo từ vô số các giải pháp giám sát, nhưng lượng cảnh báo quá nhiều có thể gây phản tác dụng Phát hiện nâng cao không phải là tạo ra nhiều cảnh báo, mà là tạo ra những cảnh báo hữu ích hơn Để đạt được loại phát hiện nâng cao này yêu cầu tích hợp tất cả các công nghệ phát hiện đang được sử dụng, cũng như các phân tích chuyên sâu cho dữ liệu điểm cuối, mạng và đám mây để tìm và xác thực hoạt động của kẻ tấn công trong hệ thống

Ngay cả với các công cụ tốt hơn và toàn diện hơn để phát hiện mối đe dọa, việc xử lý các cảnh báo, các sự cố có thể xảy ra đòi hỏi phải xác nhận và phân loại cảnh thêm từ những người có kỹ năng

Các tác nhân đe dọa sử dụng các công cụ và kỹ thuật tự động hóa để tìm ra các lỗ hổng và có được được quyền truy cập vào hệ thống Điều này càng làm gia tăng khoảng cách về kỹ năng bởi những kẻ tấn công có thể mở rộng bộ công cụ tự động của chúng nhanh hơn và chi phí hợp lý hơn so với việc các tổ chức thực hiện bổ sung đội ngũ nhân viên an ninh lành nghề Điều thực sự cần thiết là một giải pháp để giảm tổng số cảnh báo, đồng thời cho phép các nhà phân tích ít kinh nghiệm tự mình đánh giá các mối đe dọa một cách hiệu quả, đảm bảo rằng chỉ những cảnh báo có độ chính xác cao mới được chuyển đến các nhà phân tích cấp cao hơn.

Giải pháp phát hiện tấn công và phản ứng mở rộng

Khái niệm

Phát hiện tấn công và phản ứng mở rộng - Extended Detection and Response (XDR) là một nền tảng cho phép thu thập và tự động tương quan dữ liệu trên nhiều lớp bảo mật – email, điểm cuối, máy chủ, đám mây và mạng Điều này cho phép phát hiện các mối đe dọa nhanh hơn, cải thiện thời gian điều tra và phản ứng thông qua phân tích bảo mật 12

XDR là một cách tiếp cận mới để phát hiện và phản ứng với mối đe dọa nhằm cung cấp khả năng bảo vệ toàn diện trước các cuộc tấn công Thuật ngữ XDR được đặt ra vào năm 2018 bởi Zir Nuk, giám đốc công nghệ và đồng sáng lập của Palo Alto Networks Lý do cơ bản để tạo ra XDR là ngăn chặn các cuộc tấn công một cách hiệu quả, phát hiện các kỹ thuật và chiến thuật của kẻ tấn công, đồng thời giúp các trung tâm điều hành an ninh mạng phản ứng tốt hơn với các mối đe dọa

X trong XDR là viết tắt của từ eXtended, nó đại diện cho bất kỳ nguồn dữ liệu nào, bởi việc xem xét các thành phần trong hệ thống một cách riêng lẻ là không thực sự hiệu quả XDR mang đến một cách tiếp cận chủ động để phát hiện và ứng phó với mối đe dọa, mang lại khả năng hiển thị trên mọi nguồn dữ liệu trong quá trình phân tích và giải quyết các mối đe dọa ngày càng tinh vi ngày nay

Những gì XDR làm là mở rộng khả năng của giải pháp EDR truyền thống, bên cạnh việc đào sâu các chức năng của giải pháp SIEM Ví dụ: XDR mở rộng khả năng hiển thị và phát hiện với dữ liệu từ giải pháp phát hiện và phản ứng dựa trên mạng

12 What Is XDR?, https://www.trendmicro.com/en_us/what-is/xdr.html

Tầm quan trọng của giải pháp

SIEM, NDR và EDR là những giải pháp hữu ích theo cách riêng của chúng XDR là một bổ sung mới cho thị trường giải pháp bảo mật, vì vậy nó cần mang đến thứ gì đó không thể tìm thấy ở bất kỳ nơi nào khác Lợi ích thực sự của tùy chọn mới này không chỉ là các tính năng mới mà nó mang lại mà còn là cách các tính năng này phản ứng với bối cảnh bảo mật hiện tại

- Nguồn thông tin đa dạng

Không chỉ các loại tấn công trở nên tinh vi hơn mà môi trường CNTT của tổ chức cũng như vậy Các trang web mới được thêm vào mỗi ngày, sự phổ biến của IoT, ứng dụng đám mây và việc sử dụng cơ sở dữ liệu đang phát triển nhanh chóng Phương thức làm việc tại nhà ngày càng được ưa chuộng dẫn đến gia tăng số lượng thiết bị có quyền truy cập vào tài nguyên nội bộ Tất cả điều này tạo ra một hệ sinh thái phức tạp đòi hỏi một bộ giải pháp bảo mật mạnh mẽ Việc các tổ chức muốn thu thập dữ liệu từ các nguồn thông tin này là điều hiển nhiên

Giải pháp XDR cung đến khả năng thu thập dữ liệu đa dạng và xử lý chúng một cách hiệu quả Điều này cung cấp cho đội ngũ giám sát khả năng bao quát hiện trạng an ninh trong hệ thống của mình

- Nhân viên bảo mật bị quá tải

Sự phát triển của CNTT và việc mở rộng các hoạt động kinh doanh dẫn đến việc gia tăng quá nhiều về các thiết bị được kết nối vào mạng của mỗi tổ chức Điều này dẫn đến số lượng cảnh báo từ các hệ thống được thu thập có thể lên tới con số hàng triệu mỗi ngày Với khối lượng công việc như vậy, các chuyên gia bảo mật đang bị quá tải trong việc phân tích và xử lý các cảnh báo hoặc việc bỏ sót các dấu hiệu bất thường của các cuộc tấn công vào hệ thống

Các giải pháp SIEM dù rất hữu ích khi được đặt trong ngữ cảnh phù hợp, nhưng thường dẫn đến tình trạng quá tải thông tin do tính chất “thu thập mọi thứ” của chúng Số lượng và sự đa dạng của thông tin được tạo ra bởi các công cụ bảo mật là quá nhiều để con người có thể xử lý mà không cần sự trợ giúp của máy móc

Cách XDR tập trung vào bảo mật điểm cuối và tự động hóa tác vụ đồng nghĩa với việc góp phần làm giảm khối lượng công việc cho các nhân viên bảo mật

MTTD và MTTR là mục tiêu cuối cùng của bất kỳ nhóm bảo mật nào Câu hỏi đặt ra ở đây là: “Thường mất bao lâu để tìm và xử lý các vấn đề bảo mật?” Việc sàng lọc các cảnh báo và nhật ký để tìm ra các mối lo ngại bảo mật thực sự sẽ làm tăng thời gian phát hiện, trong khi việc thiếu các công cụ phân tích và tự động hóa sẽ làm tăng thời gian phản ứng với các mối đe dọa XDR là một giải pháp mới trong bối cảnh bảo mật cố gắng làm giảm cả hai giá trị MTTR và MTTD.

Cách thức hoạt động

XDR (Phát hiện và phản hồi mở rộng) là một giải pháp bảo mật kết hợp nhiều công cụ và công nghệ bảo mật để cung cấp phương pháp toàn diện và tích hợp để phát hiện và phản hồi mối đe dọa Đây là cách XDR hoạt động:

- Thu thập dữ liệu: XDR thu thập dữ liệu từ nhiều nguồn khác nhau, chẳng hạn như điểm cuối, máy chủ, thiết bị mạng, môi trường đám mây và công cụ bảo mật Dữ liệu này có thể bao gồm nhật ký, tệp hệ thống, lưu lượng truy cập mạng, hoạt động của người dùng, v.v

- Chuẩn hóa dữ liệu: XDR chuẩn hóa dữ liệu được thu thập từ nhiều nguồn khác nhau, chuyển đổi nó thành một định dạng chung có thể được phân tích và tương quan

- Phát hiện mối đe dọa: XDR sử dụng các bộ luật phân tích, học máy để phân tích dữ liệu đã chuẩn hóa và xác định các mối đe dọa bảo mật tiềm ẩn Điều này bao gồm việc xác định các điểm bất thường, các hành vi đáng ngờ và các dấu hiệu của cuộc tấn công

- Điều tra mối đe dọa: khi phát hiện mối đe dọa tiềm ẩn, XDR cung cấp cho nhóm bảo mật thông tin cần thiết để điều tra thêm về mối đe dọa Điều này có thể bao gồm thông tin về các hệ thống bị ảnh hưởng, mức độ nghiêm trọng của mối đe dọa và các hành động được khuyến nghị nên thực hiện

- Ứng phó với mối đe dọa: XDR cho phép các nhóm bảo mật ứng phó với mối đe dọa một cách nhanh chóng và hiệu quả Điều này có thể bao gồm thực hiện các hành động để cô lập các hệ thống bị ảnh hưởng, áp dụng các bản vá cập nhật hoặc triển khai các biện pháp kiểm soát bảo mật bổ sung

- Thông tin về mối đe dọa: XDR kết hợp các nguồn thông tin về mối đe dọa để cung cấp những thông tin mới nhất về các mối đe dọa, chiến dịch tấn công, mẫu IOC,… Điều này cho phép các nhóm bảo mật chủ động bảo vệ, chống lại các cuộc tấn công

- Báo cáo và phân tích: XDR cung cấp khả năng báo cáo và phân tích, cho phép các nhóm bảo mật xác định xu hướng, đo lường mức độ hiệu quả của các biện pháp kiểm soát bảo mật và chứng minh việc tuân thủ các yêu cầu, quy định.

Cách XDR ngăn chặn một cuộc tấn công

Các tác nhân đe dọa đã phát triển từ các cuộc tấn công trực tiếp vào máy chủ hoặc tài sản có giá trị sang một quy trình nhiều bước, kết hợp các cách khai thác, phần mềm độc hại và trốn tránh trong một cuộc tấn công mạng

Nhiều nhóm bảo mật đã áp dụng khung ATT&CK (một khung các chiến thuật, kỹ thuật và kiến thức chung) của MITRE để giúp họ theo dõi các mối đe dọa ở các giai đoạn khác nhau của một cuộc tấn công XDR sẽ có thể phát hiện từng bước mà kẻ thù thực hiện và ánh xạ từng bước với các chiến thuật và kỹ thuật của MITRE ATT&CK để đơn giản hóa việc điều tra

Các giai đoạn của một cuộc tấn công minh họa trình tự các sự kiện (hoặc các bước) mà kẻ tấn công trải qua để xâm nhập vào mạng và đánh cắp dữ liệu có giá trị Các bước này bao gồm trinh sát, chuẩn bị công cụ, vận chuyển, khai thác, cài đặt, chỉ huy và kiểm soát và thực hiện hành động

Các tác nhân đe dọa lên kế hoạch tỉ mỉ cho các cuộc tấn công của mình Họ nghiên cứu, xác định và chọn mục tiêu thông qua khai thác thông tin công khai từ trang mạng xã hội của nhân viên hoặc từ các trang web của công ty Điều này có thể hữu ích cho các âm mưu lừa đảo sử dụng kỹ nghệ xã hội Những kẻ tấn công cũng sử dụng nhiều công cụ khác nhau để quét các lỗ hổng mạng, dịch vụ và ứng dụng mà chúng có thể khai thác, chẳng hạn như các công cụ phân tích mạng, trình quét lỗ hổng, trình bẻ khóa mật khẩu, trình quét cổng và trình quét lỗ hổng ứng dụng web

XDR thực hiện giám sát và kiểm tra liên tục các luồng lưu lượng mạng để phát hiện và ngăn chặn các hoạt động quét cổng và lỗ hổng trái phép, quét máy chủ cũng như các hoạt động đáng ngờ khác

2) Chuẩn bị công cụ và vận chuyển

Những kẻ tấn công xác định phương pháp nào sẽ sử dụng để xâm nhập mục tiêu Họ có thể chọn nhúng mã độc vào trong các tệp thường được coi là vô hại, chẳng hạn như tệp tài liệu Microsoft Word Tiếp theo, những kẻ tấn công sẽ cố gắng gửi công cụ của chúng tới mục tiêu thông qua các kênh liên lạc như email, tin nhắn trên mạng xã hội hay liên kết độc hại (trình duyệt của người dùng được chuyển hướng đến một trang web tự động tải xuống phần mềm độc hại trong nền)

Ngăn chặn giai đoạn này của cuộc tấn công là một thách thức lớn bởi việc chuẩn bị công cụ thường xảy ra trong môi trường của kẻ tấn công XDR cung cấp khả năng hiển thị tất cả lưu lượng truy cập mạng để ngăn chặn hiệu quả các ứng dụng, phần mềm, địa chỉ ip, tên miền độc hại

Sau khi tệp độc hại được chuyển đến điểm cuối mục tiêu, nó cần phải được kích hoạt để thực hiện các hoạt độc độc hại mà kẻ tấn công thiết lập Ví dụ: người dùng cuối có thể vô tình kích hoạt bằng cách nhấp vào liên kết độc hại hoặc mở tệp đính kèm trong email hoặc kẻ tấn công có thể kích hoạt khai thác từ xa đối với lỗ hổng máy chủ đã biết trên mạng mục tiêu Ngăn chặn giai đoạn này của cuộc tấn công yêu cầu XDR sở hữu các khả năng bao gồm:

- Quản lý lỗ hổng và bản vá

- Phát hiện và ngăn chặn mã độc

- Thông tin tình báo về mối đe dọa

- Chặn các ứng dụng, dịch vụ trái phép hoặc không cần thiết

- Ghi nhật ký, giám sát tất cả hoạt động trên mạng và điểm cuối

Tác nhân XDR ngăn chặn việc khai thác các lỗ hổng đã biết, zero- day và chưa được vá bằng cách chặn các kỹ thuật khai thác mà kẻ tấn công sử dụng để điều khiển ứng dụng Mặc dù có hàng nghìn cách thức khai thác khác nhau, nhưng chúng thường dựa vào một tập hợp nhỏ các kỹ thuật nhất định và các kỹ thuật này ít khi thay đổi Bằng cách phát hiện và chặn các kỹ thuật này, XDR có thể ngăn chặn các nỗ lực khai thác trước khi các điểm cuối có thể bị xâm phạm

Kẻ tấn công cố gắng leo thang đặc quyền trên điểm cuối bị xâm phạm (ví dụ: bằng cách thiết lập quyền truy cập từ xa, cài đặt rootkit hoặc các phần mềm độc hại khác) Với quyền truy cập từ xa, kẻ tấn công có quyền kiểm soát điểm cuối và có thể thực thi lệnh ở chế độ đặc quyền từ giao diện dòng lệnh Sau đó, kẻ tấn công có thể di chuyển tới các thiết bị ngang hàng trong mạng của mục tiêu, thực thi mã tấn công, xác định các mục tiêu có cơ hội khai thác khác và làm suy yếu các điểm cuối để thiết lập kết nối lâu dài Điểm mấu chốt để phá vỡ giai đoạn này của cuộc tấn công là ngăn chặn việc cài đặt các phần mềm, ứng dụng không nằm trong danh sách cho phép trên điểm cuối và hạn chế hoạt động di chuyển ngang của kẻ tấn công trong mạng Giải pháp XDR kết hợp với các công nghệ phát hiện và phản ứng trên điểm cuối và nền tảng bảo vệ điểm cuối để ngăn chặn quá trình cài đặt phần mềm độc hại XDR cũng giám sát và kiểm tra tất cả lưu lượng truy cập giữa các vùng hoặc phân đoạn mạng và cung cấp khả năng kiểm soát chi tiết các ứng dụng được phép trong môi trường của cơ quan, tổ chức

5) Chỉ huy và kiểm soát

Các tác nhân đe dọa thiết lập các kênh liên lạc trở lại các máy chủ chỉ huy và kiểm soát (C2) trên Internet Cách tiếp cận này cho phép họ thay đổi mục tiêu và phương thức tấn công của mình khi có cơ hội tấn công các mục tiêu khác được xác định trong mạng nạn nhân, cũng như trốn tránh mọi biện pháp đối phó mà tổ chức có thể cố gắng triển khai nếu phát hiện ra các dấu hiệu của cuộc tấn công Khả năng kết nối là điều cần thiết cho một cuộc tấn công vì nó cho phép kẻ tấn công thực hiện các cuộc tấn công từ xa Các lưu lượng mạng độc hại phải linh hoạt và kín đáo để cuộc tấn công có thể thành công Để phá vỡ giai đoạn này yêu cầu XDR sở hữu những khả năng sau:

- Kiểm tra tất cả lưu lượng mạng

- Chặn giao tiếp đến các máy chủ C2

- Chặn tất các kết nối tới các địa chỉ IP hay URL độc hại đã biết

- Giám sát hệ thống tên miền để phát hiện các tên miền độc hại và chống lại cuộc tấn công đầu độc máy chủ tên miền

- Chuyển hướng các kết nối độc hại đến các honeypots để xác định hoặc ngăn chặn các điểm cuối bị xâm nhập và phân tích lưu lượng tấn công

Những kẻ tấn công thường có nhiều mục tiêu tấn công khác nhau, bao gồm đánh cắp dữ liệu, phá hủy hoặc sửa đổi các hệ thống, mạng và dữ liệu quan trọng, tấn công từ chối dịch vụ Giai đoạn cuối cùng này cũng có thể được kẻ tấn công sử dụng để thúc đẩy giai đoạn đầu của một cuộc tấn công khác Ví dụ: kẻ tấn công có thể xâm nhập mạng của công ty

A và sử dụng nó để tấn công đối tác kinh doanh của họ Những kiểu tấn công như vậy đã trở thành tin tức nóng hổi vào năm 2020 với cuộc tấn công SolarWinds

Ngăn chặn giai đoạn này của cuộc tấn công yêu cầu XDR có khả năng tự động phát hiện và ngăn chặn việc đánh cắp dữ liệu cũng như các hành động độc hại hoặc trái phép khác.

Lợi ích mang lại của giải pháp

XDR cung cấp một nền tảng tổng thể thống nhất nhiều điểm kiểm soát để phối hợp ngăn chặn, phát hiện và ứng phó với mối đe dọa Cách tiếp cận này cải thiện độ chính xác của phát hiện đồng thời giảm đáng kể độ phức tạp và chi phí cần thiết để bảo vệ mối đe dọa toàn diện Dưới đây là một số lợi ích chính mà giải pháp mang lại cho tổ chức:

- Giảm thời gian phát hiện và phản ứng trước các mối đe dọa: các nền tảng XDR nhắm tới mục tiêu làm giảm thời gian phát hiện và phản ứng Nhiều dữ liệu hơn và nhiều công cụ bảo mật hơn không có nghĩa là các nhóm bảo mật làm việc hiệu quả hơn XDR tập trung vào việc cung cấp thông tin hữu ích thông qua các trình phân tích và tương quan sự kiện Các quy trình phản ứng được rút gọn bằng cách cung cấp các công cụ dễ sử dụng và có thể tùy chỉnh cho đội ngũ bảo mật

- Trực quan hóa dữ liệu bảo mật: XDR tiếp nhận rất nhiều thông tin và tổng hợp các thông tin đó để giảm thiểu tình trạng quá tải cảnh báo, và dương tính giả Bảng điều khiển trung tâm có thể tùy chỉnh để các nhóm bảo mật sắp xếp dữ liệu sao cho phù hợp với nhu cầu của tổ chức Các công cụ trực quan hóa như bản đồ sự cố sẽ giúp xác định các nguồn đe dọa và theo dõi các hành vi tấn công tiềm ẩn

- Giám sát chính xác: nền tảng XDR thường đi kèm với các phân tích dựa trên học máy và dựa vào các công cụ bảo mật khác để làm giàu dữ liệu Nền tảng cung cấp những thông tin hữu ích, tập trung vào các mối nguy hại Nhờ vậy, XDR có khả năng cung cấp cho các nhóm bảo mật cái nhìn rõ ràng về hiện trạng bảo mật của tổ chức

- Làm giàu thông tin cho cảnh báo và giảm tỷ lệ dương tính giả: các tính năng của bảng điều khiển tập trung cung cấp bối cảnh cho các sự kiện bảo mật Cảnh báo trở nên đáng tin cậy hơn (bởi XDR thường được liên kết với các nền tảng thông tin tình báo về mối đe dọa) để đưa ra quyết định về những gì liên quan đến các hành vi bất thường Từ đó, các cảnh báo dương tính giả có thể được giảm thiểu ở mức tối đa và tạo điều kiện để các chuyên gia bảo mật tập trung vào các dấu hiệu của một tấn công thực

- Tự động hóa, đơn giản hóa quá trình điều tra và phản ứng: XDR đẩy nhanh quá trình điều tra bằng cách cung cấp cái nhìn rõ ràng về mối đe dọa, tương quan và nhóm các cảnh báo từ các công cụ bảo mật thành một số lượng nhỏ các sự cố chính xác Sau khi mối đe dọa đã được xác thực, đội ứng phó sự cố có thể chọn từ hàng chục kỹ thuật phản ứng từ xa và biện pháp khắc phục để ngăn chặn cuộc tấn công

- Đảm bảo tuân thủ: lượng dữ liệu lớn và toàn diện mà XDR thu thập và xử lý cũng có nghĩa là các yêu cầu về tuân thủ và quy định có thể được đáp ứng Điều này đặc biệt cần thiết đối với các tổ chức liên quan đến chăm sóc sức khỏe hoặc tài chính

- Săn tìm mối đe dọa: các giải pháp XDR cải thiện khả năng tìm kiếm mối đe dọa của đội ngũ giám sát thông qua việc xác định các hoạt động độc hại trong môi trường Các thợ săn mối đe dọa có thể thực hiện các truy vấn nâng cao, phân tích, tương quan sự kiện để tìm ra những hoạt động bất thường trong môi trường của tổ chức

- Tích hợp biện pháp ứng phó trên nhiều công cụ bảo mật: XDR khắc phục mối đe dọa trên mọi sản phẩm bảo mật của doanh nghiệp, đồng thời cung cấp các trình phân tích, phản ứng tập trung.

Một số sản phẩm trên thị trường

Cortex XDR

Cortex XDR là một nền tảng phát hiện và phản hồi mở rộng (XDR) dựa trên đám mây được phát triển bởi Palo Alto Networks Nó cung cấp một giải pháp bảo mật toàn diện hợp nhất dữ liệu bảo mật mạng, điểm cuối và đám mây để phát hiện và ứng phó với các mối đe dọa hiệu quả hơn

Cortex XDR sử dụng máy học và phân tích hành vi để xác định và phân tích các mối đe dọa trên nhiều nguồn, bao gồm điểm cuối, lưu lượng mạng và cơ sở hạ tầng đám mây Nó tương quan dữ liệu này để cung cấp một bức tranh hoàn chỉnh về các mối đe dọa tiềm ẩn, cho phép các nhóm bảo mật phản ứng nhanh chóng và chính xác với các sự cố

Các tính năng Cortex XDR cung cấp:

- Phát hiện hành vi bất thường

- Điều tra, pháp y và quản lý rủi ro

- Săn lùng mối đe dọa

- Thu thập và xử lý dữ liệu

- Quản lý và lưu trữ nhật ký

Tóm lại, Cortex XDR là một nền tảng XDR nâng cao cung cấp chế độ xem thống nhất về dữ liệu bảo mật trên nhiều nguồn, sử dụng máy học và phân tích hành vi để phát hiện và ứng phó với các mối đe dọa trong thời gian thực Với khả năng SOAR và tích hợp với các sản phẩm bảo mật khác của Palo Alto Networks, Cortex XDR giúp các tổ chức tự động hóa các hoạt động bảo mật, giảm thời gian phản hồi và cải thiện tình hình bảo mật tổng thể.

Trend Micro XDR

Trend Micro XDR là giải pháp phần mềm dịch vụ (SaaS – software as a service) bao gồm bảo vệ, phát hiện và phản hồi trên email và thiết bị điểm cuối thông qua các giải pháp Trend

Micro Apex One và Trend Micro Cloud App Security Phần mềm cũng bao gồm Trend Micro XDR để phát hiện tính tương quan của email và điểm cuối bằng cách sử dụng phân tích bảo mật, quét tự động các IOC bằng cách sử dụng thông tin cảnh báo về mối đe dọa của Trend Micro giúp điều tra và phản hồi tập trung cũng như săn tìm mối đe dọa một cách chủ động Với Trend Micro XDR for Users, doanh nghiệp có thể phản ứng hiệu quả hơn với các mối đe dọa, giảm thiểu mức độ nghiêm trọng và phạm vi của một vi phạm tiềm ẩn.

Microsoft XDR

Microsoft XDR là một giải pháp bảo mật dựa trên đám mây do Microsoft cung cấp Nó được thiết kế để giúp các tổ chức phát hiện, điều tra và ứng phó với các mối đe dọa trên nhiều nền tảng khác nhau, bao gồm cả môi trường đám mây, tại chỗ và kết hợp

Microsoft XDR tích hợp với nhiều sản phẩm bảo mật khác nhau của Microsoft như Bộ bảo vệ Microsoft cho Điểm cuối, Bộ bảo vệ Microsoft cho Danh tính và Bảo mật ứng dụng đám mây của Microsoft để cung cấp giải pháp bảo mật toàn diện Nó sử dụng máy học và phân tích hành vi để xác định và ứng phó với các mối đe dọa trong thời gian thực

Một trong những ưu điểm của Microsoft XDR là khả năng tích hợp với các sản phẩm khác của Microsoft, cho phép các tổ chức hợp lý hóa các hoạt động bảo mật và giảm độ phức tạp Microsoft XDR cũng cung cấp giao diện thân thiện với người dùng, giúp nhân viên an ninh dễ dàng quản lý và giám sát các cảnh báo và sự cố bảo mật.

Wazuh

Wazuh là một nền tảng bảo mật cung cấp các khả năng của XDR và SIEM, giúp người dùng giám sát các hoạt động an ninh trên hệ thống của mình Nền tảng này cung cấp các tính năng như giám sát tập trung, phân tích báo cáo, giám sát mối đe dọa và giám sát nhật ký

Với Wazuh, người dùng có thể tăng cường khả năng bảo mật cho hệ thống của mình và giảm thiểu rủi ro bị tấn công Nền tảng này cung cấp các công cụ để phát hiện các mối đe dọa từ các dịch vụ độc hại hay phát hiện các cuộc tấn công từ xa

Ngoài ra, Wazuh còn cung cấp khả năng phản ứng chủ động, cho phép người dùng tạo các tập lệnh tùy chỉnh và thực thi nó một cách tự động khi có cảnh báo phù hợp được sinh ra Điều này giúp cho người dùng có thể phản ứng nhanh chóng đối với các sự cố an ninh và bảo vệ hệ thống của mình một cách hiệu quả

Trên hết, Wazuh là một nền tảng mã nguồn mở, cho phép người dùng tùy chỉnh và mở rộng nền tảng theo nhu cầu của mình mà không cần lo ngại về vấn đề chi phí.

Nghiên cứu nền tảng phát hiện tấn công và phản ứng mở rộng

Giới thiệu về Wazuh

Wazuh là một nền tảng bảo mật mã nguồn mở và miễn phí hợp nhất các khả năng của XDR và SIEM Wazuh giúp các tổ chức và cá nhân bảo vệ tài sản dữ liệu của họ trước các mối đe dọa bảo mật Nó được sử dụng rộng rãi bởi hàng ngàn tổ chức trên toàn thế giới, từ doanh nghiệp nhỏ đến doanh nghiệp lớn

Wazuh được sinh ra từ một nhánh của OSSEC – một nền tảng HIDS mã nguồn mở Người dùng OSSEC đã không thấy sự bổ sung tính năng mới trong thập kỷ qua Dự án đã ở chế độ bảo trì trong một thời gian dài và rất ít công việc phát triển được thực hiện Đây là lý do tại sao vào năm 2015, nhóm Wazuh đã quyết định rẽ nhánh dự án Kết quả là một giải pháp toàn diện, dễ sử dụng, đáng tin cậy và có thể mở rộng hơn nhiều được tạo ra Bản rẽ nhánh này đã được cộng đồng nguồn mở chấp nhận rộng rãi, nhanh chóng trở thành một giải pháp được sử dụng phổ biến trong môi trường doanh nghiệp.

Thành phần hệ thống

Giải pháp Wazuh hoạt động dựa trên tác nhân Wazuh (Wazuh agent) được triển khai trên các điểm cuối cần giám sát và ba thành phần trung tâm bao gồm: máy chủ Wazuh (Wazuh server), bộ lập chỉ mục Wazuh (Wazuh indexer) và bảng điều khiển Wazuh (Wazuh dashboard) Hình ảnh dưới đây minh họa cho các thành phần của nền tảng bảo mật Wazuh

Hình 2.1 Các thành phần trong hệ thống Wazuh

Bộ lập chỉ mục Wazuh - Wazuh indexer là một công cụ phân tích và tìm kiếm toàn văn bản có khả năng mở rộng cao Đây là thành phần lập chỉ mục và lưu trữ các cảnh báo do Wazuh server tạo ra, đồng thời cung cấp khả năng phân tích và tìm kiếm dữ liệu gần thời gian thực (near real-time) Wazuh indexer có thể được định cấu hình dưới dạng cụm một hoặc nhiều nút liên kết với nhau, cung cấp khả năng mở rộng và tính sẵn sàng cao cho hệ thống

Wazuh indexer lưu trữ dữ liệu dưới dạng tài liệu JSON Mỗi tài liệu tương quan với một bộ khóa, tên trường hoặc thuộc tính, với các giá trị tương ứng của chúng có thể là chuỗi, số, booleans, ngày, mảng giá trị, vị trí địa lý hoặc các loại dữ liệu khác

Mỗi chỉ mục (index) là một tập hợp các tài liệu có liên quan với nhau Các tài liệu được lưu trữ trong Wazuh indexer được phân phối trên các vùng chứa khác nhau được gọi là phân đoạn (shard) Bằng cách phân phối tài liệu trên nhiều phân đoạn và phân phối các phân đoạn đó trên nhiều nút, trình chỉ mục Wazuh có thể đảm bảo dự phòng

Hình 2.2 Tổ chức dữ liệu trong Wazuh Indexer

Wazuh sử dụng bốn chỉ mục khác nhau để lưu trữ các loại sự kiện khác nhau Bảng dưới đây mô tả chi tiết về các chỉ mục này:

Bảng 2.1 Mô tả chỉ mục dữ liệu trong Wazuh

Tên chỉ mục Mô tả wazuh-alerts Lưu trữ các cảnh báo được tạo bởi Wazuh server Chúng được tạo mỗi khi một sự kiện phù hợp với quy tắc có mức độ ưu tiên đủ cao wazuh-archives Lưu trữ tất cả các sự kiện mà Wazuh server nhận được, cho dù chúng có khớp với quy tắc hay không wazuh-monitoring

Lưu trữ dữ liệu liên quan đến trạng thái của các tác nhân Wazuh Nó được bảng điều khiển sử dụng hiển thị trạng thái hoạt động của các tác nhân wazuh-statistics Lưu trữ dữ liệu liên quan đến hiệu suất của Wazuh server Nó được bảng điều khiển sử dụng để biểu thị số liệu thống kê hiệu suất

Là một nền tảng tìm kiếm mạnh mẽ, Wazuh indexer rất phù hợp cho các trường hợp yêu cầu thời gian xử lý dữ liệu nhanh chóng như phân tích bảo mật và giám sát cơ sở hạ tầng Độ trễ từ khi tài liệu được lập chỉ mục cho đến khi tài liệu có thể tìm kiếm được là rất ngắn, thường là một giây

Ngoài tốc độ, khả năng mở rộng và phục hồi, Wazuh indexer còn có một số tính năng tích hợp mạnh mẽ giúp lưu trữ và tìm kiếm dữ liệu hiệu quả hơn, chẳng hạn như cuộn dữ liệu, phát hiện bất thường và quản lý vòng đời chỉ mục

Máy chủ Wazuh – Wazuh server chịu trách nhiệm phân tích dữ liệu nhận được từ các tác nhân giám sát, kích hoạt cảnh báo khi phát hiện thấy các mối đe dọa hoặc sự bất thường Nó cũng được sử dụng để quản lý cấu hình của tác nhân giám sát và theo dõi trạng thái của chúng

Wazuh server sử dụng các nguồn thông tin tình báo về mối đe dọa để cải thiện khả năng phát hiện của nó Nó cũng làm phong phú thêm dữ liệu cảnh báo bằng cách sử dụng khung MITRE ATT&CK và các yêu cầu tuân thủ quy định như PCI DSS, GDPR, HIPAA, CIS và NIST 800-53, cung cấp bối cảnh hữu ích cho phân tích bảo mật

Ngoài ra, Wazuh server có thể được tích hợp với phần mềm bên ngoài, bao gồm các hệ thống quản lý vé (Ticketing System) như ServiceNow, Jira và PagerDuty, cũng như các nền tảng nhắn tin tức thì như Slack Những tích hợp này thuận tiện cho việc hợp lý hóa các hoạt động bảo mật

Wazuh server chạy công cụ phân tích, dịch vụ đăng ký tác nhân, dịch vụ kết nối tác nhân, daemon cụm Wazuh và Filebeat Nó được cài đặt trên hệ điều hành Linux và thường chạy trên máy vật lý độc lập, máy ảo, bộ chứa docker hoặc trên đám mây Hình ảnh dưới đây thể hiện kiến trúc và các thành phần của Wazuh Server

Hình 2.3 Kiến trúc và các thành phần trong Wazuh Server

Wazuh server bao gồm một số thành phần với các chức năng khác nhau, chẳng hạn như đăng ký tác nhân mới, xác thực danh tính từng tác nhân và mã hóa thông tin liên lạc giữa tác nhân Wazuh và máy chủ Wazuh Dưới đây là mô tả của một số thành phần chính:

- Agent enrollment service: được sử dụng để ghi danh các tác nhân giám sát mới Dịch vụ này cung cấp và phân phối các khóa xác thực duy nhất cho mỗi tác nhân Quá trình này chạy dưới dạng dịch vụ mạng và hỗ trợ xác thực qua chứng chỉ TLS/SSL hoặc bằng cách cung cấp mật khẩu cố định

- Agent connection service: dịch vụ này nhận dữ liệu từ các agent Nó sử dụng các khóa được chia sẻ bởi dịch vụ đăng ký để xác thực danh tính của từng agent và mã hóa thông tin liên lạc giữa Wazuh agent và Wazuh server Ngoài ra, dịch vụ này cung cấp khả năng quản lý cấu hình tập trung, cho phép đẩy cài đặt agent mới từ xa

Kiến trúc triển khai

Sơ đồ dưới đây thể hiện kiến trúc triển khai Wazuh Nó hiển thị các thành phần giải pháp và cách mà Wazuh server và Wazuh indexer có thể được định cấu hoạt động cụm, cung cấp tính năng cân bằng tải và tính sẵn sàng cao

Hình 2.10 Kiến trúc triển khai nền tảng Wazuh

Các tác nhân chạy trên điểm cuối được cấu hình để chuyển tiếp dữ liệu đến máy chủ trung tâm Ngoài ra, các thiết bị không cài được agent (như tường lửa, switch, router, access points,…) có thể chủ động gửi dữ liệu nhật ký thông qua syslog Wazuh server giải mã và phân tích những dữ liệu này và chuyển các kết quả đến Wazuh indexer để lập chỉ mục và lưu trữ

Cụm Wazuh indexer là một tập hợp gồm một hoặc nhiều nút giao tiếp với nhau để thực hiện các thao tác đọc và ghi dữ liệu vào các chỉ mục Đối với các hệ thống nhỏ, dữ liệu có thể dễ dàng được xử lý bởi cụm đơn nút Các cụm nhiều nút được khuyến nghị khi có nhiều điểm cuối được giám sát, khối lượng dữ liệu lớn hoặc khi cần tính sẵn sàng cao

2.3.1 Giao tiếp giữa Wazuh agent và Wazuh server

Wazuh agent liên tục gửi các sự kiện đến Wazuh server để phân tích và phát hiện mối đe dọa Để bắt đầu vận chuyển dữ liệu này, Wazuh agent thiết lập kết nối với dịch vụ Wazuh server trên cổng 1514 Theo mặc định, kênh kết nối này sử dụng mã hóa AES để đảm bảo an toàn cho dữ liệu Wazuh server thực hiện giải mã và đưa chúng qua bộ luật phát hiện bất thường Các sự kiện được tăng cường bằng dữ liệu cảnh báo, chẳng hạn như ID luật và tên luật Sau đó, các sự kiện có thể được lưu vào tệp nhật ký sự kiện của Wazuh

- /var/ossec/logs/archives/archives.json: chứa tất cả các sự kiện cho dù chúng có khớp với các bộ luật phát hiện bất thường hay không

- /var/ossec/logs/alerts/alerts.json: chỉ chứa các sự kiện phù hợp với các luật phát hiện bất thường có mức độ ưu tiên đủ cao

2.3.2 Giao tiếp giữa Wazuh server và Wazuh indexer

Wazuh server sử dụng Filebeat để gửi dữ liệu cảnh báo và sự kiện (qua kênh truyền sử dụng mã hóa TLS) đến Wazuh indexer Sau khi dữ liệu được lập chỉ mục bởi Wazuh indexer, Wazuh dashboard được sử dụng để theo dõi và trực quan hóa thông tin

Wazuh dashboard sử dụng các API mà Wazuh server cung cấp để hiển thị cấu hình và thông tin liên quan đến trạng thái của hệ thống Nó cũng có thể sửa đổi cài đặt cấu hình máy chủ thông qua các API này Giao tiếp này được mã hóa bằng TLS và được xác thực bằng tên người dùng và mật khẩu.

Khả năng của Wazuh

2.4.1 Thu thập và phân tích dữ liệu nhật ký

Trong nhiều trường hợp, bằng chứng về một cuộc tấn công có thể được tìm thấy trong nhật ký của thiết bị, hệ thống và ứng dụng Wazuh hỗ trợ người dùng bằng cách tự động hóa việc quản lý và phân tích nhật ký để tăng tốc độ phát hiện mối đe dọa

Wazuh agent chạy trên điểm cuối chịu trách nhiệm đọc các thông báo nhật ký ứng dụng và hệ điều hành, chuyển tiếp chúng đến Wazuh server, nơi diễn ra quá trình phân tích Máy chủ cũng có thể nhận dữ liệu qua Syslog từ các thiết bị hoặc ứng dụng khi không được triển khai tác nhân giám sát

Mục đích của quá trình này là xác định lỗi ứng dụng hoặc hệ thống, cấu hình sai, nỗ lực xâm nhập, vi phạm chính sách hoặc các vấn đề bảo mật khác

Hình 2.11 Luồng thu thập và phân tích nhật ký

2.4.2 Giám sát tính toàn vẹn của tệp

Hệ thống giám sát toàn vẹn tệp (File Integrity Monitoring - FIM) của Wazuh theo dõi các tệp đã chọn và kích hoạt cảnh báo khi các tệp này thay đổi Thành phần chịu trách nhiệm cho nhiệm vụ này được gọi là Syscheck Thành phần này lưu trữ giá trị checksum, các thuộc tính khác của tệp và thường xuyên so sánh chúng với các tệp hiện tại trên hệ thống nhằm phát hiện sự thay đổi

Hình 2.12 Luồng hoạt động của mô-đun FIM

2.4.3 Phát hiện bất thường và phần mềm độc hại

Phát hiện bất thường đề cập đến hành động tìm kiếm các mẫu trong hệ thống được cho là hành vi bất thường Sau khi phần mềm độc hại được cài đặt trên hệ thống, nó sửa đổi hệ thống để tự ẩn mình khỏi người dùng Wazuh thực hiện các phương pháp sau để phát hiện bất thường và phần mềm độc hại:

- Giám sát tính toàn vẹn của tệp: phần mềm độc hại có thể thay thế các tệp, thư mục và lệnh trên hệ thống máy chủ Thực hiện giám sát tính toàn vẹn của tệp, người dùng có thể kiểm tra các thư mục đã chọn của hệ thống để phát hiện các hành động này

- Kiểm tra các tiến trình đang chạy: một quy trình độc hại có thể che giấu nó khỏi danh sách các quy trình của hệ thống Rootcheck thực hiện kiểm tra tất cả các ID tiến trình để tìm sự khác biệt với các lệnh gọi hệ thống khác nhau (getsid, getpgid)

- Kiểm tra các cổng ẩn: phần mềm độc hại có thể sử dụng các cổng ẩn để giao tiếp với kẻ tấn công Rootcheck kiểm tra mọi cổng trong hệ thống bằng hàm bind() của ngôn ngữ C Nếu nó không thể liên kết với một cổng và cổng đó không có trong đầu ra của câu lệnh netstat, thì có thể một phần mềm độc hại đang hoạt động trên cổng đó

- Kiểm tra các tệp và quyền bất thường: Wazuh quét toàn bộ hệ thống tệp để tìm các tệp và quyền bất thường Một ví dụ là một tệp thuộc sở hữu bởi tài khoản root sẽ có quyền ghi đối với tài khoản người dùng khác Rootcheck kiểm tra các tệp như suid, thư mục ẩn và các tệp khác để kiểm tra các quyền bất thường

- Kiểm tra các tệp ẩn bằng các cuộc gọi hệ thống: Wazuh quét toàn bộ hệ thống, so sánh sự khác biệt giữa kích thước thống kê và kích thước tệp khi sử dụng lệnh gọi fopen và read Số lượng nút trong mỗi thư mục cũng được so sánh với đầu ra của lệnh gọi opendir và readdir Nếu có bất kỳ kết quả nào không khớp, phần mềm độc hại có thể đang có thể đang cố gắng lẩn trốn trong hệ thống

- Quét thư mục /dev: thư mục /dev chỉ nên chứa các tệp dành riêng cho thiết bị Bất kỳ tệp nào được bổ sung trong thư mục này phải được kiểm tra vì phần mềm độc hại có thể sử dụng thư mục này để ẩn thân

- Quét giao diện mạng: Wazuh quét mọi giao diện mạng trên hệ thống có bật chế độ hỗn tạp Nếu giao diện đang ở chế độ hỗn tạp, đầu ra của lệnh ifconfig sẽ chỉ ra nó Đây có thể là dấu hiệu cho thấy có phần mềm độc hại

- Kiểm tra rootkit: bằng cách sử dụng tệp tin về dấu hiệu nhận biết rootkit, mô-đun Rootcheck của Wazuh có thể phát hiện ra sự hiện diện của rootkit trên các điểm cuối

2.4.4 Đánh giá cấu hình bảo mật Đánh giá cấu hình bảo mật (Security Configuration Assessment - SCA) là quá trình xác minh rằng hệ thống tuân thủ theo một bộ quy tắc được xác định trước về cài đặt cấu hình và việc sử dụng ứng dụng đã được phê duyệt Đây là một cách hiệu quả để xác định các điểm yếu trên các điểm cuối và vá chúng để giảm thiểu bề mặt tấn công của tác nhân độc hại

Hình 2.13 Luồng hoạt động của mô-đun SCA

Mô-đun SCA của Wazuh thực hiện quét điểm cuối để phát hiện các cấu hình sai và đề xuất các hành động khắc phục Cấu hình thực tế trên điểm cuối được đánh giá dựa trên tệp chính sách chứa các quy tắc định nghĩa cấu hình tiêu chuẩn Các chính sách SCA có thể kiểm tra sự tồn tại của các tệp, thư mục, khóa và giá trị trong registry, các quy trình đang chạy và kiểm tra sự tồn tại của các tệp trong các thư mục Ví dụ: mô-đun SCA có thể đánh giá xem có cần thay đổi cấu hình liên quan đến mật khẩu, xóa phần mềm không cần thiết, vô hiệu hóa các dịch vụ không cần thiết hoặc kiểm tra cấu hình ngăn xếp TCP/IP hay không

Luật trong Wazuh

Luật (rule) là một phần vô cùng quan trọng trong Wazuh, nó chính là cốt lõi trong việc đảm bảo hệ thống wazuh có được hoạt động theo quy trình, chính xác và hiệu quả hay không

Các luật này được hệ thống sử dụng để phát hiện các cuộc tấn công, lỗi ứng dụng, phần mềm độc hại, rootkit, sự bất thường của hệ thống hay vi phạm chính sách bảo mật Wazuh cung cấp sẵn một bộ mốt số lượng lớn các bộ luật trong hệ thống Các bộ luật này được cập nhật và mở rộng liên tục để tăng cường khả năng phát hiện của hệ thống

Dữ liệu sau khi gửi về máy chủ Wazuh sẽ được phân tích và kiểm tra sự phù hợp với các dấu hiệu bất thường do bộ luật định nghĩa Nếu có dữ liệu phù hợp, máy chủ Wazuh tạo ra cảnh báo và đính kèm dữ liệu, các thông tin bổ sung cho sự kiện bảo mật này Hình ảnh sau mô tả quá trình phân tích log của Wazuh

Hình 2.18 Luồng xử ý dữ liệu nhật ký trong Wazuh

Chi tiết quá trình xử lý như sau:

- Pre-decoding: quá trình tiền giải mã thực hiện trích xuất các thông tin tĩnh trong nhật ký hệ thống như timestamp, hostname, program_name

- Decoding: đây là quá trình giải mã chính mà các Decoder thực hiện

Mục tiêu của quá trình này là trích xuất các trường thông tin từ dữ liệu

- Rule matching: ở giai đoạn này, các trường thông tin quan trọng trong dữ liệu đã được giải mã Chúng được kiểm tra, so khớp với các mẫu dấu hiệu trong bộ luật Nếu khớp với các dấu hiệu này, cảnh báo sẽ được sinh ra

Luật trong Wazuh tuân theo cú pháp của ngôn ngữ Extensible Markup

Language (XML) Các nhãn được sử dụng để thiết lập tùy chọn cho luật

Hình 2.19 Minh họa cú pháp viết luật trong Wazuh

Bảng 2.2 đưa ra một số nhãn xml thường được sử dụng khi viết luật

Bảng 2.2 Danh sách nhãn xml trong luật Wazuh

Nhãn Giá trị Mô Tả

Level, id, maxsize, frequency, timeframe, ignore, overwrite, noalert

Nó bắt đầu một luật mới và các tùy chọn xác định

Match Biểu thức chính quy

Theo mặc định, nó sẽ cố gắng tìm kết quả trùng khớp trong nhật ký bằng cách sử dụng sregex, quyết định xem có nên kích hoạt luật hay không

Regex Biểu thức chính quy Nó hoạt động tương tự như match, nhưng với regex được đặt làm mặc định

Decoded_as Tên của bộ giải mã Nó sẽ khớp với các bản ghi đã được giải mã bởi một bộ giải mã cụ thể

Description Chuỗi ký tự Cung cấp một mô tả mà con người có thể đọc được để giải thích mục đích của luật

Category Tên loại của bộ giải mã Nó sẽ khớp với các bản ghi có cùng loại với bộ giải mã

ID của luật (được phân tách bằng dấu phẩy hoặc dấu cách)

Nó sẽ khớp khi ID luật trong danh sách đã khớp trước đó

If_level Từ 1 đến 16 Nó sẽ khớp nếu mức đó đã được kích hoạt bởi một luật khác

Group Chuỗi ký tự Thêm các nhóm bổ sung vào cảnh báo

Luật trong Wazuh được phân loại theo nhiều cấp độ, từ thấp nhất 0 đến cao nhất 15 Bảng sau đây mô tả từng mức độ nghiêm trọng trong cảnh báo khi chúng được kích hoạt

Bảng 2.3 Danh sách cấp độ luật trong Wazuh

Mức độ Tiêu đề Mô tả

Không thực hiện hành động nào Được sử dụng để tránh cảnh báo giả Khi gặp luật có cấp độ này thì sẽ không có cảnh báo Các luật này được quét trước tất cả các luật khác Chúng bao gồm các sự kiện không có sự liên quan về bảo mật

Thông báo hệ thống hoặc thông báo trạng thái Không có sự liên quan về bảo mật

Bao gồm các lần đăng nhập thành công, tường lửa cho phép sự kiện, v.v

Các lỗi liên quan đến cấu hình hoặc thiết bị/ứng dụng không sử dụng Chúng không có sự liên quan về bảo mật và thường được gây ra bởi các cài đặt mặc định hoặc kiểm thử phần mềm

5 User generated error Bao gồm mật khẩu bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng không có sự liên quan về bảo mật

6 Low relevance attack Chỉ ra một worm hoặc virus không ảnh hưởng đến hệ thống

(như mã màu đỏ cho các máy chủ apache)

Bao gồm các từ như "bad", "error", v.v Những sự kiện này hầu như không được phân loại và có thể có một số mức độ liên quan về bảo mật

Bao gồm các sự kiện lần đầu tiên được xem Lần đầu tiên một sự kiện IDS được kích hoạt hoặc lần đầu tiên người dùng đăng nhập Nó cũng bao gồm các hành động bảo mật có liên quan (như bắt đầu của một sniffer)

Bao gồm các lần đăng nhập dưới dạng người dùng không xác định hoặc từ nguồn không hợp lệ Có thể có sự liên quan về bảo mật (đặc biệt nếu được lặp lại) Chúng cũng bao gồm các lỗi liên quan đến tài khoản quản trị (root)

Bao gồm nhiều mật khẩu không hợp lệ, nhiều lần đăng nhập không thành công, v.v Những điều này có thể chỉ ra một cuộc tấn công hoặc có thể chỉ là người dùng vừa quên thông tin đăng nhập của mình

Bao gồm các thông báo liên quan đến việc sửa đổi các tệp nhị phân hoặc sự hiện diện của rootkit Điều này có thể chỉ ra một cuộc tấn công thành công Cũng bao gồm các sự kiện IDS sẽ bị bỏ qua do số lần lặp lại lớn

Bao gồm các thông báo lỗi hoặc cảnh báo từ hệ thống, nhân, v.v Chúng có thể chỉ ra một cuộc tấn công chống lại một ứng dụng cụ thể

13 Unusual error (high importance) Hầu hết là khớp với một kiểu tấn công phổ biến

Hầu hết là được thực hiện với sự tương quan và nó chỉ ra một cuộc tấn công

15 Severe attack Đặc biệt cần chú ý ngay lập tức

Trong Wazuh, luật được chia thành 2 loại bao gồm:

- Luật nguyên tố: các luật xử lý một sự kiện, cảnh báo, cảnh báo hay hành động ứng phó sẽ xuất hiện khi có một sự kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại sẽ tạo ra bấy nhiêu cảnh báo

Hình 2.20 Minh họa luật nguyên tố trong Wazuh

- Luật kết hợp: xử lý nhiều sự kiện một lúc trong một luật Có thể sử dụng với thẻ Frequency và Timeframe để xử lý một sự kiện được diễn ra nhiều lần Các luật được kết hợp với nhau thông qua id bằng cách sử dụng các thẻ , , hoặc

Các thẻ này được kết hợp sử dụng với tủy chọn Frequency và Timeframe

Hình 2.21 Minh họa luật kết hợp trong Wazuh

Kết luận chương 2

Chương này đã trình bày những thông tin tổng quan về nền tảng bảo mật Wazuh Đây này là một nền tảng XDR mã nguồn mở, cung cấp những tính năng giám sát mạnh mẽ và có khả năng tùy biến cao Không những thế, nền tảng có thể dễ dàng được thiết lập do khả năng tương thích đối với nhiều hệ điều hành cũng như khả năng mở rộng của mình

Tuy nhiên, một mình Wazuh là không đủ để đáp ứng nhu cầu sử dụng cho các thành viên của các đội ngũ đảm bảo an toàn thông tin Bảng điều khiển Wazuh cung cấp rất nhiều thông tin hữu ích cho công việc giám sát, nhưng nó còn thiếu một số thành phần quan trọng phục vụ quá trình ứng phó và xử lý sự cố, đó là khả năng quản lý các trường hợp Việc cung cấp khả năng quản lý các trường hợp này để:

- Tạo các trường hợp từ cảnh báo

- Chỉ định các trường hợp cho các thành viên khác nhau trong đội SOC xử lý

- Theo dõi các trường hợp cho đến khi sự cố được giải quyết

- Đóng vai trò là cơ sở kiến thức để đội SOC tham khảo khi các sự cố tương tự xảy ra trong tương lai

Tự động hóa các hành động ứng phó đảm bảo rằng các sự cố có mức độ ưu tiên cao được giải quyết và khắc phục kịp thời Điều này đặc biệt có giá trị trong các môi trường mà các nhóm bảo mật bị hạn chế về tài nguyên và cần ưu tiên các hoạt động phản ứng của họ Mô-đun phản ứng tích cực có sẵn trong Wazuh giúp các nhóm bảo mật tự động hóa các hành động phản ứng với các mối đe dọa dựa trên các trình kích hoạt cụ thể (ví dụ: cảnh báo có mức độ, id hay nhóm quy tắc xác định được kích hoạt) Wazuh cũng cung cấp sẵn một số các kịch bản phản ứng giúp ứng phó với các mối đe dọa và giảm thiểu chúng Ví dụ: tập lệnh thiết lập tường lửa chặn kết nối tới địa chỉ ip độc hại, vô hiệu hóa tài khoản người dùng Những hành động này góp phần giảm khối lượng công việc cho các nhóm bảo mật và cho phép họ quản lý hiệu quả các sự cố

Một trong những điểm cốt lõi của giải pháp XDR là khả năng liên kết với các giải pháp, nền tảng có sẵn trong hạ tầng công nghệ thông tin của tổ chức Khi đó, các nhóm bảo mật có thể thao tác và thực hiện các hành động phản ứng đa dạng hơn, không chỉ trên các điểm cuối được cài đặt các nhân giám sát mà còn trên các nền tảng, giải pháp có sẵn trong hệ thống

Khả năng phản ứng của Wazuh dừng lại ở cấp độ điểm cuối và tuân theo một kịch bản cố định, với các điều kiện kích hoạt khá hạn chế Điều này có nghĩa là các hoạt động phản ứng chỉ diễn ra trên các thiết bị đã được cài đặt tác nhân giám sát của Wazuh Các nhóm bảo mật phải xác định điều kiện kích hoạt chúng một cách cụ thể để chỉ định cho Wazuh biết thời điểm nào sẽ kích hoạt tập lệnh phản ứng.

Xây dựng và triển khai thử nghiệm hệ thống phát hiện tấn công và phản ứng mở rộng

Xây dựng hệ thống

3.1.1 Xác định các yêu cầu

Phát hiện tấn công và phản ứng mở rộng - XDR là một giải pháp mới xuất hiện những năm gần đây Trên thế giới nói chung và tại Việt Nam nói riêng, chưa có tài liệu nào đưa ra một bộ các yêu cầu về chức năng đối với hệ thống này Chính vì vậy, đồ án xin đề xuất các Yêu cầu về chức năng đối với một hệ thống XDR với các nhóm chức năng bao gồm: Quản trị hệ thống, Quản lý nhật ký, Phát hiện và phản ứng, Cảnh báo Chi tiết các yêu cầu về chức năng hệ thống được thể hiện trong bảng sau:

Bảng 3.1 Yêu cầu chức năng hệ thống Phát hiện tấn công và phản ứng mở rộng Tiêu chí Hạng mục yêu cầu Chi tiết yêu cầu

Cho phép thiết lập, thay đổi, áp dụng và hoàn tác sự thay đổi trong cấu hình hệ thống

Cho phép thay đổi thời gian duy trì phiên kết nối

Sử dụng giao thức có mã hóa như TLS hoặc tương đương

Tự động đăng xuất tài khoản người dùng khi hết thời gian duy trì phiên kết nối

Quản lý xác thực và phân quyền

Hỗ trợ phương thức xác thực bằng tài khoản và mật khẩu

Hỗ trợ phân nhóm tài khoản theo tối thiểu

02 nhóm là quản trị viên và người dùng thường với các quyền hạn cụ thể với từng nhóm

Quản lý báo cáo Cho phép tạo mới, xem lại xóa báo báo đã tạo

Cho phép tải về tệp tin báo cáo đã tạo

Quản lý tập luật bảo vệ

Cho phép quản lý tập luật bảo vệ bao gồm các thao tác sau:

Quản lý các máy trạm

Cho phép quản lý thông tin tên máy trạm bao gồm các thông tin sau:

- Địa chỉ IP, Tên máy, Hệ điều hành

- Trạng thái kết nối đến máy chủ

- Thời gian kể từ lần kết nối cuối cùng tới máy chủ

- Chính sách được thiết lập và các vi phạm

Có khả năng điều khiển Agent tối thiểu bao gồm các chức năng sau:

- Cho phép xóa tệp tin trên máy trạm

- Cho phép chặn địa chỉ IP trên máy trạm

- Cho phép vô hiệu hóa tài khoản người dùng trên máy trạm

- Cho phép kết thúc tiến trình đang chạy trên máy trạm

Chia sẻ dữ liệu Cho phép kết nối, chia sẻ dữ liệu với các hệ thống khác

Bảo vệ dữ liệu log

Trong trường hợp hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), cần đảm bảo dữ liệu log được lưu lại không bị thay đổi trong lần khởi động tiếp theo Đồng bộ thời gian hệ thống

Trong trường hợp hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), cần đảm bảo thời gian hệ thống phải được đồng bộ đến thời điểm hiện tại

Log hoạt động hệ thống Cho phép ghi log quá trình hoạt động của các mô-đun trong hệ thống

Log cảnh báo Cho phép ghi log cảnh báo được sinh ra khi thực thi tập luật bảo vệ

Cho phép thiết lập và cấu hình cài đặt liên quan đến lưu trữ và hủy bỏ log (ví dụ: giới hạn khoảng thời gian lưu trữ)

Cho phép tìm kiếm log theo từ khóa trên tất cả các trường thông tin

Cho phép phân nhóm log thành các nhóm sự kiện theo các tiêu chí khác nhau (ví dụ: mức độ quan trọng, dạng tấn công, nguồn log)

Chuẩn hóa log theo các định dạng tệp tin cơ bản tối thiểu 01 trong các định dạng sau: SYSLOG, JSON, CSV, CEF, NETFLOW

Chuẩn hóa được log của hệ điều hành Windows và Unix

Chuẩn hóa được log của tối thiểu 02 loại tường lửa khác nhau

Chuẩn hóa được tối thiểu 04 loại thiết bị mạng khác nhau Độ trễ thời gian phản hồi các yêu cầu truy vấn dữ liệu

Hệ thống đảm bảo độ trễ thời gian tìm kiếm log với độ phức tạp bất kỳ, có phản hồi trong khoảng thời gian tối đa 02 phút

Xử lý đồng thời nhiều tác vụ

Cho phép tiếp nhận log theo thời gian thực đồng thời từ tối thiểu 03 nguồn log khác nhau

Có khả năng xử lý đồng thời theo thời gian thực tối thiểu 02 tác vụ cho việc tìm kiếm log và phân tích tương quan sự kiện (ví dụ: nhiều người dùng cùng lúc truy cập và tìm kiếm dữ liệu)

Xử lý đồng thời nhiều sự kiện

Ch phép xử lý và lưu trữ dữ liệu đồng thời

5000 sự kiện trong khoảng thời gian là 01 phút

Hỗ trợ triển khai theo mô hình High Availability hoặc Clustering

Hỗ trợ cơ chế cân bằng tải

Phát hiện và phản ứng

Cho phép phân tích tương quan sự kiện theo thời gian thực đối với dữ liệu log thu thập được

Cho phép phân tích tương quan sự kiện sử dụng thông tin trong danh sách động (ví dụ: tạo luật so khớp địa chỉ IP, tên miền hoặc giá trị hàm băm của tệp)

Cho phép phát hiện lỗ hổng bảo mật trong hệ điều hành, phần mềm được cài đặt trên điểm cuối

Cho phép phát hiện vi phạm các chính sách tuân thủ (ví dụ: PCI DSS, HIPAA, NIST 800-53, v.v…)

Cho phép quản lý cảnh báo; xem chi tiết cảnh báo; bổ sung, làm giàu thông tin cảnh báo

Cho phép thực hiện các hành động phản ứng lập tức khi có quy tắc phát hiện bất thường được kích hoạt Điều tra và phản ứng sự cố

Cho phép làm giàu thông tin về đối tượng bằng cách truy vấn từ hệ thống khác

Cho phép chặn kết nối độc hại từ máy trạm bằng cách điều khiển tường lửa hệ điều hành trên máy trạm

Cho phép xóa tệp độc hại trên máy trạm Cho phép chặn kết nối từ máy chủ độc hại thông qua thiết bị tường lửa sẵn có

Cho phép thực hiện các tác vụ quản lý sự cố an toàn thông tin bao gồm:

- Thêm cảnh báo vào sự cố

Cho phép thực hiện các tác vụ quản lý nhiệm vụ bao gồm:

- Gán người thực hiện nhiệm vụ

Cảnh báo Cảnh báo theo nhiều phương thức

Hiển thị nội dung cảnh báo trên giao diện đồ họa

Cảnh báo qua phương thức như thư điện tử hoặc tin nhắn SMS

Ngoài ra, còn có một số yêu cầu phi chức năng như: Kiểm soát lỗi, Hiệu năng xử lý, Tính khả dụng của hệ thống được thể hiện trong bảng sau:

Bảng 3.2 Yêu cầu phi chức năng hệ thống Phát hiện tấn công và phản ứng mở rộng

Tiêu chí Hạng mục yêu cầu Chi tiết yêu cầu

Trong trường hợp hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), cần đảm bảo cấu hình được lưu lại và không bị thay đổi trong lần khởi động kế tiếp

Bảo vệ dữ liệu log

Trong trường hợp hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), cần đảm bảo dữ liệu log được lưu lại không bị thay đổi trong lần khởi động tiếp theo Đồng bộ thời gian hệ thống

Trong trường hợp hệ thống phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), cần đảm bảo thời gian hệ thống phải được đồng bộ đến thời điểm hiện tại

Agent cài đặt trên máy trạm sử dụng tài nguyên đáp ứng các yêu cầu sau:

- RAM < 500MB Độ trễ thời gian phản hồi các yêu cầu truy vấn dữ liệu

Cho phép tiếp nhận log theo thời gian thực đồng thời từ tối thiểu 03 nguồn log khác nhau

Có khả năng xử lý đồng thời theo thời gian thực tối thiểu

02 tác vụ cho việc tìm kiếm log và phân tích tương quan sự kiện (ví dụ: nhiều người dùng cùng lúc truy cập và tìm kiếm dữ liệu)

Xử lý đồng thời nhiều tác vụ

Ch phép xử lý và lưu trữ dữ liệu đồng thời 5000 sự kiện trong khoảng thời gian là 01 phút

Tính khả dụng của hệ thống Tính khả dụng cao

Kênh kết nối giữa Agent và máy chủ được mã hóa và có cơ chế xác thực

Hỗ trợ triển khai theo mô hình High Availability hoặc Clustering

Hỗ trợ cơ chế cân bằng tải

Dựa trên các tiêu chí đã trình bày ở phần trên, đồ án đưa ra sơ đồ phân ra chức năng của hệ thống như sau:

Hình 3.1 Sơ đồ phân rã chức năng của hệ thống

Trên cơ sở xác định các yêu cầu về chức năng ở trên Hệ thống cần xây dựng có sơ đồ phân ra chức năng như sau:

Hình 3.2 Kiến trúc và các thành phần của hệ thống

Mô tả các thành phần hệ thống:

- XDR Agent: là một tác nhân giám sát được cài đặt trên các thiết bị đầu cuối Chúng cung cấp khả năng ngăn chặn, phát hiện và phản ứng với mối đe dọa

- XDR Server: là thành phần trung tâm của hệ thống, thực hiện phân tích dữ liệu nhận được từ các tác nhân giám sát, xử lý nó thông qua các bộ giải mã và quy tắc Nó sử dụng thông tin tình báo về mối đe dọa để tìm kiếm các IOC hay kho cơ sở dữ liệu về lỗ hổng bảo mật để phát hiện các lỗ hổng trong hệ điều hành và các ứng dụng được cài đặt trên các điểm cuối Tất cả dữ liệu sau khi được xử lý có thể được sử dụng làm cơ sở để thực hiện đánh giá đảm bảo tuân thủ cho hệ thống XDR server cũng được sử dụng để quản lý các tác nhân và định cấu hình chúng từ xa khi cần thiết

- XDR Indexer: là thành phần lưu trữ cung cấp khả năng tìm kiếm toàn văn và có tính mở rộng cao Nó thực hiện các nhiệm vụ liên quan đến lập chỉ mục và lưu trữ dữ liệu mà XDR server tạo ra

- XDR Dashboard: là giao diện web để người dùng trực quan hóa, phân tích dữ liệu, quản lý các trường hợp, quản lý cấu hình hệ thống và theo dõi trạng thái của hệ thống

- XDR Integrator: là thành phần đảm nhiệm vai trò liên kết với các giải pháp hay nền tảng bên thứ ba Thành phần này cung cấp một không gian làm việc tập trung cho các đội đảm bảo an toàn thông tin để phân tích dữ liệu hay thực hiện các hoạt động phản ứng một cách nhanh chóng

Các mô-đun trong XDR agent:

- Log collector: mô-đun này đọc các tệp nhật ký và các sự kiện trên

Windows, thu thập các thông báo nhật ký ứng dụng và hệ điều hành

- Command execution: mô-đun này chạy các lệnh theo định kỳ và thu thập đầu ra của chúng

- File integrity monitoring: mô-đun này giám sát hệ thống tệp và báo cáo về các sự kiện khi tệp được tạo, xóa hoặc sửa đổi

- Configuration assessment: mô-đun này thực hiện các bài kiểm tra đánh giá cấu hình mà CIS cung và báo cáo lại kết quả

- System inventory: mô-đun này thực hiện quét định kỳ để thu thập dữ liệu về phiên bản hệ điều hành, giao diện mạng, tiến trình đang chạy, ứng dụng đã cài đặt và danh sách các cổng đang mở

Phát triển các mô-đun hệ thống

3.2.1 Phát triển mô-đun kết nối giữa Wazuh và TheHive

Trình tích hợp là một công cụ giúp Wazuh dễ dàng kết nối với phần mềm bên ngoài Điều này đạt được bằng cách tích hợp hệ thống cảnh báo với các API của sản phẩm phần mềm khác thông qua các tập lệnh Đồ án sử dụng Trình tích hợp để Wazuh có thể giao tiếp với API mà TheHive cung cấp Thông qua tập lệnh xử lý các cảnh báo theo yêu cầu được đồ án phát triển, các cảnh báo từ Wazuh có thể được chuyển tới TheHive phục vụ cho quá trình điều tra và xử lý sự cố

Khi một sự kiện bảo mật được phát hiện, Wazuh sẽ kích hoạt tập lệnh tích hợp với đối số đầu vào chính là thông tin về sự kiện mà nó thu thập được Chương trình thực hiện đọc dữ liệu này cùng với cấu hình ngưỡng cảnh báo được thiết lập (ngưỡng này được sử dụng để xác định những cảnh báo nào có mức độ phù hợp sẽ được gửi tới TheHive) Tiếp đến, chương trình biến đổi dữ liệu sang định dạng Markdown để tạo một mô tả cho sự kiện Định dạng này được TheHive hỗ trợ hiển thị trên giao diện giúp người đọc dễ dàng nắm bắt được thông tin về sự kiện đó Cùng với đó, chương trình tiến hành trích xuất các

Artifact từ dữ liệu một cách tự động nhằm giảm bớt công việc mà đội ngũ bảo mật phải thực hiện thủ công Cuối cùng, chương trình tiến hành kiểm tra dữ liệu và so sánh mức độ của sự kiện với các tham số ngưỡng đã được thiết lập ban đầu Nếu thỏa mãn điều kiện, dữ liệu sẽ được gửi tới TheHive thông qua API và một cảnh báo được tạo ra trên đó Đối với những cảnh báo thu thập từ các giải pháp bảo mật khác (ở đây là suricata), chương trình cần truy xuất mức độ của cảnh báo từ dữ liệu gốc tại trường [‘data’][‘alert’][‘severity’] thay vì trường [‘rule’][‘level’] của Wazuh để kiểm tra mức độ phù hợp của cảnh báo Nguyên nhân là do các bộ xử lý của Wazuh không thể tự đồng bộ hóa hai trường thông tin này khi tạo ra cảnh báo Mã nguồn chương trình được trình bày trong phần Phụ lục 4

Quá trình hoạt động của chương trình được mô tả thông qua hình sau:

Hình 3.6 Luồng chương trình gửi dữ liệu từ Wazuh sang TheHive

3.2.2 Phát triển mô-đun phản ứng

Mô-đun phản ứng của hệ thống Phát hiện tấn công và phản ứng mở rộng bao gồm hai phần: tập lệnh phản ứng của Wazuh và máy phản ứng của Cortex

Các tập lệnh phản ứng của Wazuh được sử dụng để thực hiện các hành động trên điểm cuối được cài đặt tác nhân giám sát Các tập lệnh này được kích hoạt tự động khi có cảnh báo phù hợp được kích hoạt hoặc thủ công thông qua lệnh gọi từ máy phản ứng Wazuh của Cortex Đối với các máy phản ứng Cortex, chúng có thể được kích hoạt thủ công thông qua giao diện của TheHive để tương tác với các hệ thống khác trong hạ tầng công nghệ thông tin của tổ chức

3.2.2.1 Phát triển tập lệnh phản ứng trên Wazuh

Wazuh cho phép người dùng, các nhà phát triển tạo các tập lệnh phản ứng chủ động của riêng mình và kích hoạt chúng khi có cảnh báo bởi luật cụ thể, mức độ cảnh báo hay từ nhóm luật cụ thể Tập lệnh có thể được viết bằng bất kỳ ngôn ngữ lập trình nào Trình kích hoạt khởi tạo tập lệnh bằng cách sử dụng lệnh đã xác định Cấu hình phản ứng tích cực xác định thời gian và vị trí thực thi các lệnh này

Tập lệnh phản ứng đang nhận đầu vào JSON bao gồm toàn bộ cảnh báo qua STDIN Mỗi tập lệnh phản ứng đang hoạt động trích xuất thông tin cần thiết từ JSON này để thực thi Định dạng dữ liệu JSON mà tập lệnh tiếp nhận khi được kích hoạt như sau:

Các trường dữ liệu parameters của cảnh báo tương ứng với:

- Extra_args: các đối số bổ sung cần thiết để thực thi tập lệnh

- Alerts: dữ liệu đầy đủ của cảnh báo đã kích hoạt tập lệnh

- Program: Tập lệnh phản ứng để thực thi

Như đã đề cập ở chương 2, một tập lệnh phản ứng có thể là stateless hoặc stateful Trong phạm vi thực hiện đồ án, em đã thực hiện phát triển một tập lệnh phản ứng stateless với mục đích loại bỏ từ xa các tệp độc hại được phát hiện trên thiết bị điểm cuối Tệp lệnh này có tên remove-threat và được viết bằng ngôn ngữ python Hình ảnh sau đây mô tả luồng hoạt động của chương trình remove- threat Mã nguồn chương trình được trình bày trong Phụ lục 6

Hình 3.7 Luồng chương trình remove-threat

3.2.2.2 Phát triển máy phản ứng trên Cortex

Các máy phản ứng là một chương trình nhận đầu vào ở định dạng JSON, sau đó thực hiện một hành động nào đó rồi tạo ra kết quả của hành động Các máy phản ứng trong Cortex được tạo bởi ít nhất 2 loại tệp:

- Tệp chương trình thực thi: tệp này chứa chương trình chính để thực hiện hành động Nó có thể được viết bằng bất cứ ngôn ngữ lập trình nào mà Linux hỗ trợ

- Một hoặc một số tệp tương tác dịch vụ: các tệp này chứa thông tin cấu hình chính, chẳng hạn như thông tin tác giả, các kiểu dữ liệu mà máy phản ứng sử dụng làm đầu vào cho chương trình thực thi Đầu vào của máy phản ứng có thể là bất kỳ dữ liệu JSON nào, thậm chí là một chuỗi đơn giản Người gửi phải gửi dữ liệu với cấu trúc mà chương trình yêu cầu Các kiểu dữ liệu được chấp nhận được mô tả trong các tệp Tương tác dịch vụ cho biết loại dữ liệu nào được yêu cầu Ví dụ: nếu chương trình yêu cầu thehive:case (nghĩa là nó áp dụng ở cấp độ trường hợp trong TheHive), đầu vào phải tuân theo trường hợp TheHive

Trong phạm vi của đồ án, em đã thực hiện phát triển hai máy phản ứng cho hệ thống bao gồm: máy phản ứng Pfsense và máy phản ứng Wazuh a) Máy phản ứng Pfsense

Máy phản ứng Pfsense được tạo ra với mục đích, giúp các đội đảm bảo an toàn thông tin có thể thực hiện thêm luật chặn kết nối từ một địa chỉ IP bất kỳ trên giao diện mà tường lửa Pfsense quản lý một cách nhanh chóng, tiện lợi thông qua bảng điều khiển tập trung của hệ thống Phát hiện tấn công và phản ứng mở rộng

Khi được kích hoạt, máy phản ứng Pfsense thực hiện trích xuất các thông tin từ dữ liệu bao gồm địa chỉ IP cần ngăn chặn và tên của giao diện mạng mà các gói tin từ địa chỉ IP đó đi tới hệ thống Sau khi có đủ các thông tin cần thiết, một luật chăn kết nối tuân theo cú pháp của tường lửa Pfsense sẽ tạo ra Luật này được gửi đi thông qua lệnh gọi API tới tường lửa Pfsense Khi yêu cầu được gửi đi thành công, tường lửa Pfsense sẽ bổ sung luật này vào đầu danh sách luật tường lửa Mã nguồn chương trình được trình bày trong Phụ lục 8

Luồng hoạt động của chương trình được mô tả trong hình ảnh sau:

Hình 3.8 Luồng hoạt động chương trình máy phản ứng Pfsense b) Máy phản ứng Wazuh

Máy phản ứng Wazuh cung cấp cho các đội đảm bảo an toàn thông tin khả năng kích hoạt các tập lệnh phản ứng của Wazuh một cách chủ động thay vì phải đợi trình kích hoạt phản ứng mà Wazuh cung cấp Mặt hạn chế này của Wazuh đã được đề cập ở chương 2 của đồ án Với máy phản ứng Wazuh, hệ thống có thể khắc phục nhược điểm này

Triển khai hệ thống

3.3.1 Cài đặt các thành phần cốt lõi

Như đã trình bày ở trên, hệ thống phát hiện tấn công và phản ứng mở rộng được xây dựng dựa trên tiền đề là sự kết hợp của ba nền tảng bao gồm Wazuh, TheHive và Cortex Vậy nên, việc đầu tiên cần thực hiện là cài đặt các nền tảng đó trên máy chủ Ubuntu server đã đề cập trước đó Các bước cài đặt được trình bày chi tiết trong phần Phụ lục

3.3.2 Tích hợp TheHive với Wazuh

Ta có thể tích hợp TheHive với Wazuh một cách đơn giản bằng cách sử dụng Integrator daemon (một trình nền giúp Wazuh có thể liên kết với các công cụ hay nền tảng khác thông qua API) nằm trong Wazuh kết hợp với REST API mà TheHive cung cấp

Sau đây là các bước chính trong quá trình tích hợp TheHive với Wazuh:

- Bước 1: Thiết lập tài khoản liên kết trên TheHive

+ Tạo một người dùng mới với đặc quyền “analyst”

+ Tạo khóa API cho tài khoản vừa tạo (khóa API này sẽ được Wazuh sử dụng để kết nối với TheHive)

Hình 3.12 Tài khoản sử dụng cho kết nối Wazuh và TheHive

- Bước 2: Cấu hình Wazuh kết nối với TheHive

+ Tạo tập lệnh tích hợp tùy chỉnh trong “/var/ossec/integrations/” với tên “custom-w2thive.py”

+ Tạo một tập lệnh bash trong “/var/ossec/integrations/” với tên

“custom-w2thive” Tệp này sẽ chỉ định Wazuh thực thi đúng tập lệnh custom-w2thive.py được tạo ở bước trước (nội dung tập lệnh được tham chiếu trong phần phụ lục)

+ Bổ sung phần sau vào tệp “/var/ossec/etc/ossec.conf”

http://TheHive_Server_IP:9000

TheHiveAPIKey

json

+ Khởi động lại Wazuh server

- Bước 3: Kiểm tra kết quả

+ Đi tới trang cảnh báo trên giao diện quản trị của TheHive, ta có thể thấy các cảnh báo từ Wazuh đã được chuyển tới TheHive

Hình 3.13 Cảnh báo từ Wazuh được chuyển tới TheHive

3.3.3 Tích hợp Cortex với TheHive Được phát triển bởi cùng một đội ngũ, việc tích hợp Cortex với TheHive rất dễ dàng TheHive cung cấp sẵn một mô-đun cho phép nó có thể liên kết với Cortex và sử dụng các máy phân tích, phản ứng mà Cortex sở hữu

Các bước sau đây mô tả lại cách cấu hình tích hợp Cortex với TheHive

- Bước 1: Thiết lập tài khoản liên kết trên Cortex

+ Tạo một người dùng mới với đặc quyền “read, analyze”

+ Tạo khóa API cho tài khoản vừa tạo (khóa API này sẽ được TheHive sử dụng để kết nối với Cortex)

Hình 3.14 Tài khoản sử dụng cho kết nối TheHive và Cortex

- Bước 2: Chỉnh sửa tệp cấu hình TheHive

+ Bật mô-đun tích hợp với Cortex bằng cách bỏ nhận xét dòng sau play.modules.enabled += connectors.cortex.CortexConnector

+ Bổ sung thông tin kết nối với Cortex theo mẫu sau cortex { servers = [

{ name = "KMA_Cortex" url = "http://localhost:9001" auth { type = "bearer" key = "API_KEY"

] refreshDelay = 5 seconds maxRetryOnError = 3 statusCheckInterval = 1 minute

- Bước 3: Kiểm tra kết quả

+ Đi tới trang quản lý trên TheHive, ta có thể thấy logo thông báo tích hợp Cortex thành công

Hình 3.15 Cortex đã được tích hợp với TheHive

3.3.4 Thiết lập máy phân tích và máy phản ứng

Các máy phân tích và phản ứng là thành phần cốt lõi đại diện cho sức mạnh của Cortex Việc cấu hình các máy này cũng rất đơn giản như sau:

- Bước 1: Tạo thư mục chứa máy phân tích và máy phản ứng

Các tệp thực thi của máy phân tích và phản ứng cần được đặt trong các thư mục khác nhau để Cortex có thể nhận diện chính xác chúng Mã nguồn của một số máy có sẵn được lấy từ kho lưu trữ công khai trên Github của nhóm phát triển Cortex Đối với mã nguồn của một số máy phân tích và phản ứng do bản thân em phát triển được đề cập trong phần Phụ lục

- Bước 2: Cài đặt các thành phần phụ thuộc

Các mô-đun, thư viện mà tập lệnh thực thi của máy phân tích và máy phản ứng yêu cầu có thể không có sẵn trong môi trường hệ thống

Vì vậy, mỗi máy sẽ có một tệp chứa các mô-đun và thư viện cần thiết để chúng có thể hoạt động Dựa vào tệp này, quản trị viên biết mình cần cài đặt những gì trong môi trường của mình để có thể sử dụng các máy phân tích và phản ứng

- Bước 3: Chỉnh sửa tệp cấu hình Cortex

Sửa đổi mẫu sau rồi bổ sung vào tệp cấu hình của Cortex để chỉ định đường dẫn tới các thư mục chứa máy phân tích và phản ứng

"/opt/Cortex-Analyzers/analyzers" #Path to Cortex Analyzers

"/opt/Cortex-Analyzers/responders" #Path to Cortex Responders

- Bước 4: Kiểm tra kết quả

Truy cập trang quản trị của Cortex để kiểm tra kết quả Nếu cấu hình không phát sinh lỗi, hệ thống sẽ hiển thị danh sách các máy phân tích và phản ứng tương ứng trong thư mục mà quản trị viên chỉ định cho Cortex như hình dưới đây.

Thử nghiệm hệ thống

3.4.1 Ứng phó với các cuộc tấn công mạng

Tấn công mạng đã trở thành một trong những hình thức tấn công phổ biến nhất trên Internet Các cuộc tấn công này thường nhắm vào các tổ chức, doanh nghiệp, cơ quan chính phủ và cá nhân với mục đích xâm nhập vào hệ thống máy tính của họ và lấy cắp thông tin quan trọng

Các cuộc tấn công mạng có thể gây ra những tổn thất nghiêm trọng đến các tổ chức và cá nhân Chúng có thể dẫn đến mất mát dữ liệu quan trọng, tiền bạc và tài sản trí tuệ Ngoài ra, các cuộc tấn công mạng còn có thể dẫn đến sự gián đoạn của hoạt động kinh doanh và gây ra thiệt hại về danh tiếng và uy tín của các tổ chức

Với sự gia tăng của các cuộc tấn công mạng, việc bảo vệ hệ thống máy tính đã trở thành một vấn đề cấp bách Các tổ chức và cá nhân cần phải đầu tư vào các giải pháp bảo mật để đảm bảo rằng họ không bị tấn công mạng Điều này bao gồm việc sử dụng các giải pháp bảo mật, cập nhật thường xuyên các phần mềm và hệ điều hành, và giáo dục nhân viên về các nguy cơ tấn công mạng và cách phòng ngừa chúng

Công ty A chuyên cung cấp thiết bị gia dụng, họ muốn giới thiệu các sản phẩm của mình trên mạng internet để người dùng có thể theo dõi các sản phẩm mà họ cung cấp một cách nhanh chóng và thuận tiện Vì vậy, họ đã triển khai một máy chủ dịch vụ web tại phân vùng DMZ và định cấu hình hệ thống của mình để trang web có thể được truy cập một cách công khai

Với ý đồ phá hoại hoạt động của công ty A, đối tượng xấu đã thực hiện một cuộc tấn công từ chối dịch vụ nhắm tới máy chủ dịch vụ web của công ty Điều này khiến cho những người dùng hợp pháp không thể truy cập vào trang web của họ để theo dõi các sản phẩm mà công ty cung cấp

Kịch bản giả định rằng công ty A đã triển khai một giải pháp phát hiện xâm nhập mạng trong hệ thống của họ (trong kịch bản sử dụng Suricata) Bằng cách thu thập dữ liệu cảnh báo từ giải pháp đó về hệ thống XDR, nhân viên bảo mật có thể phát hiện và ngăn chặn cuộc tấn công một cách nhanh chóng thông qua mô-đun phản ứng chủ động và khả năng tích hợp các công cụ, giải pháp có sẵn trong hạ tầng công nghệ thông tin của tổ chức

3.4.1.2 Mô hình thử nghiệm Để thực hiện kịch bản yêu cầu sử dụng ba thiết bị bao gồm:

- 01 máy đóng vai trò là thiết bị của kẻ tấn công

- 01 máy chủ dịch vụ web

- 01 máy chủ phát hiện tấn công và phản ứng mở rộng

Máy chủ dịch vụ web được cài đặt Suricata để giám sát và phát hiện các hành vi độc hại nhắm tới nó Wazuh agent cũng được đặt trên máy chủ này để tiến hành thu thập dữ liệu cảnh báo từ Suricata và thực hiện các hành động phản ứng do quản trị viên thiết lập Việc cài đặt các công cụ, dịch vụ phục vụ cho thử nghiệm được trình bày trong phần phụ lục

Hình 3.16 Mô hình thử nghiệm kịch bản 1

Dưới đây là cấu hình các máy được sử dụng trong quá trình thực hiện kịch bản thử nghiệm này

Bảng 3.5 Danh sách thiết bị sử dụng trong kịch bản 1

STT Tên thiết bị RAM CPU Ổ cứng

2 Web server 1 GB 2 core 50 GB

3 XDR server 32 GB 16 core 100 GB

3.4.1.3 Thực hiện kịch bản thử nghiệm a) Chuẩn bị hệ thống

Sau khi Suricata và Wazuh agent được cài đặt trên máy chủ dịch vụ web, để có thể thu thập dữ liệu cảnh báo từ Suricata về hệ thống XDR, ta cần bổ sung cấu hình cho Wazuh agent bằng cách thêm phần cấu hình cài đặt như sau vào tệp “/var/ossec/etc/ossec.conf”

json

/var/log/suricata/eve.json

Tiếp đến, đi tới thư mục “/var/ossec/etc/decoders/” trên XDR server và thêm bộ giải mã sau vào tệp “local_decoder.xml” Bộ giải mã này giúp chuyển đổi trường src_ip thành srcip trong cảnh báo Nguyên nhân là do tập lệnh phản ứng firewall-drop của Wazuh chỉ thực hiện đối với giá trị địa chỉ ip nằm trong trường srcip

"src_ip":"([^"]+)"

JSON_Decoder

Khởi động lại Wazuh server để hoàn thành quá trình cấu hình thu thập dữ liệu cảnh báo từ Suricata Bây giờ, ta có thể thấy các cảnh báo của Suricata đã xuất hiện trên trang sự kiện của bảng điều khiển Wazuh

Hình 3.17 Cảnh báo Suricata được hiển trên bảng điều khiển Wazuh

Việc cần làm tiếp theo là tạo một luật tùy chỉnh để có thể phát hiện cuộc tấn công DoS và ngăn chặn nó

Trên máy chủ Wazuh, ta thêm luật tùy chỉnh để phát hiện cuộc tấn công DoS từ các cảnh báo của Suricata Luật này sẽ được sử dụng bởi mô-đun phản ứng để kích hoạt tập lệnh drop-firewall trên máy chủ dịch vụ web Tập lệnh này sẽ thêm địa chỉ IP độc hại vào danh sách chặn của tường lửa trên máy chủ được giám sát

Thêm luật sau vào tệp “/var/ossec/etc/rules/local_rules.xml”

^alert$

ET DOS Inbound GoldenEye DoS attack

GoldenEye DoS attack has been detected

Để Wazuh có thể thực hiện các hành động phản ứng, ta chính sửa tệp cấu hình “/var/ossec/etc/ossec.conf” trên Wazuh server và thêm phần sau để Wazuh thực hiện hoạt động phản ứng khi cảnh báo được kích hoạt:

- Location: chỉ định nơi tập lệnh phản ứng được thực thi Sử dụng local để thực thi tập lệnh trên thiết bị tạo ra cảnh báo

- Rules_id: chỉ định việc thực thi tập lệnh khi luật 100200 kích hoạt

- Timeout: thời gian tập lệnh phản ứng bị đảo ngược

Cuối cùng, khởi động lại Wazuh server để áp dụng các thay đổi cấu hình Tại thời điểm này, các bước chuẩn bị đã hoàn tất Ta tiến hành thực hiện tấn công và kiểm tra kết quả hoạt động của hệ thống như sau b) Thực hiện thử nghiệm

Hình ảnh dưới đây mô tả quy trình thực hiện kịch bản thử nghiệm này

Hình 3.18 Quy trình thực hiện kịch bản 1

Kịch bản sử dụng công cụ Goldeneye để thực hiện một cuộc tấn công DoS nhắm tới máy chủ dịch vụ web Để bắt đầu, ta tải xuống công cụ Goldeneye trên máy của Attacker từ kho lưu trữ Github: git clone https://github.com/jseidl/GoldenEye.git

Sau khi tải xuống công cụ thành công, ta đi tới thư mục chứa công cụ và thực thi lệnh sau để khởi động cuộc tấn công:

/goldeneye.py http://192.168.1.100 Đi tới trang sự kiện của bảng điều khiển Wazuh, ta có thể thấy rằng hệ thống đã phát hiện và thực hiện chặn địa chỉ ip của Attacker

Hình 3.19 Hệ thống đã phát hiện và ngăn chặn cuộc tấn công DoS

Hình 3.20 Thông tin chi tiết về sự kiện tấn công DoS

Kết luận chương 3

Chương 3 của đồ án đã đưa ra phương pháp tiếp cận và quá trình thực hiện xây dựng một hệ thống Phát hiện tấn công và phản ứng mở rộng Hệ thống được xây dựng dựa trên nền tảng mã nguồn mở bao gồm Wazuh, TheHive và Cortex Đồ án đã đề ra một số tiêu chí cần có trên một hệ thống XDR cũng thực hiện một số kịch bản để minh chứng khả năng và làm nổi bật những tính năng cốt lõi của hệ thống Các kịch bản thử nghiệm đều đưa ra những kết quả nhanh chóng và chính xác Bằng cách cung cấp cho nhân viên đảm bảo an ninh thông tin các máy phân tích và phản ứng, hệ thống đã giúp họ có thể tự động hóa các công việc của mình trong quá trình điều tra và xử lý sự cố Điều này giúp giảm tải gánh nặng công của họ, cũng như đảm bảo chỉ số MTTD và MTTR

Qua quá trình triển khai và thử nghiệm hệ thống, em nhận thấy rằng hệ thống này có thể giúp các đội bảo mật phát hiện và đối phó với các mối đe dọa mạng một cách nhanh chóng và hiệu quả Nó cho phép họ có thể tự động hóa quá trình phát hiện và phản ứng trên nhiều tầng mạng, từ thiết bị đầu cuối cho đến máy chủ

Nhìn chung, hệ thống Phát hiện và phản ứng mở rộng mà đồ án xây dựng đã hoạt động một cách hiệu quả, hứa hẹn là một sản phẩm hữu ích để chứng minh khả năng của giải pháp XDR cho các nhà nghiên cứu thử nghiệm Các đội đảm bảo an toàn thông tin cũng có thể sử dụng hệ thống này để bảo vệ hạ tầng công nghệ thông tin của tổ chức, doanh nghiệp khỏi các cuộc tấn công mạng.