1. Sự cần thiết của Hệ thống Giám sát an ninh mạng
Để có thể đánh giá khái quát về bức tranh an toàn, an ninh thông tin của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện an toàn thông tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành... là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. Các thiết bị khác nhau có thể tạo ra báo cáo ở các góc độ khác nhau về cùng một biến cố ATTT.
Bên cạnh đó, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời... gây ra thiệt hại lớn cho cơ quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi và giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống Giám sát an ninh mạng (GSANM). Hệ thống GSANM quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan, tổ chức. Hệ thống GSANM có thể thực hiện được các nhiệm vụ sau:
- Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công xuất phát trong nội bộ.
- Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống.
- Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
- Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
- Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
Hình 1: Hệ thống Giám sát an ninh mạng
Hình 1: Hệ thống Giám sát an ninh mạng
2. Xây dựng Hệ thống giám sát an ninh mạng
Hệ thống GSANM có thể được xây dựng theo một trong ba giải pháp sau: Giải pháp quản lý thông tin an ninh (SIM); Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý và phân tích sự kiện an ninh (SIEM).
Giải pháp SIM tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký (log các dữ liệu về sự kiện); Nhật ký được thu thập từ rất nhiều nguồn khác nhau như: thiết bị mạng, hệ điều hành, các ứng dụng và các thiết bị an ninh. Do chưa có thành phần phân tích và xử lý sự kiện an ninh nên SIM chỉ có thể phát hiện và xử lý được các biến cố đơn giản.
Giải pháp SEM lại tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra các cảnh báo cho người dùng. Hạn chế của SEM là không có khả năng lưu trữ nhật ký trong thời gian dài.
Để khắc phục những hạn chế của hai giải pháp trên, giải pháp SIEM ra đời, là sự kết hợp của cả hai giải pháp SIM và SEM. SIEM là một giải pháp toàn diện và hoàn chỉnh cho phép các cơ quan, tổ chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống.
Mô hình giải pháp của SIEM gồm 03 thành phần chính: thu thập nhật ký ATTT; phân tích và lưu trữ; quản trị tập trung. Ngoài ra, nó còn có các thành phần khác như: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài.
Thành phần thu thập nhật ký ATTT: Bao gồm các giao diện thu thập nhật ký ATTT trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần này có các tính năng:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng… gồm cả các thiết bị vật lý và thiết bị ảo.
- Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
Thành phần phân tích và lưu trữ:
Thành phần này có các tính năng:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.
- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký ATTT được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Bên cạnh khả năng so sánh theo thời gian thực, thành phần này còn cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về ATTT theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất dữ liệu.
Thành phần quản trị tập trung:
- Cung cấp giao diện quản trị tập trung cho toàn bộ Hệ thống GSANM. Các giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc,... để người quản trị có thể sử dụng. Ngoài ra, các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng, cho phép người quản trị tạo lập các công cụ mới phù hợp với Hệ thống của mình.
- Hỗ trợ các công cụ cho việc xử lý các sự kiện ATTT xảy ra trong hệ thống.
Hình 2: Thành phần và chức năng của Hệ thống GSANM
Hình 2: Thành phần và chức năng của Hệ thống GSANM
3. Kết luận
Việc xây dựng và triển khai Hệ thống GSANM là cần thiết đối với các cơ quan, tổ chức. Hệ thống này sẽ góp phần giảm thiểu lộ lọt, mất mát dữ liệu nhạy cảm, nâng cao hiệu suất, độ an toàn và thúc đẩy ứng dụng CNTT tại các quan, tổ chức. Tuy nhiên, tùy vào quy mô, nguồn lực tài chính và con người mà cơ quan, tổ chức lựa chọn các giải pháp, sản phẩm GSANM phù hợp.
Do tính vượt trội của giải pháp SIEM, nên hiện nay trên thị trường các sản phẩm về GSANM hầu hết phát triển theo mô hình SIEM. Các sản phẩm cũng rất đa dạng, có thể dưới dạng phần mềm hoặc thiết bị chuyên dụng, với một số sản phẩm tiêu biểu như IBM Qradar, HP ArcSight, Splunk, McAfee, Symantec SSIM, RSA enVision.…