TÌM HIỂU VỀ HỆ THỐNG QUẢN LÝ SỰ KIỆN VÀ GIÁM SÁT AN NINH MẠNG (PRELUDE-SIEM) - Tổng quan về hệ thống PRELUDE

1.1. PRELUDE SIEM là gì?

Khi ngày càng nhiều doanh nghiệp hoạt động trực tuyến, do đó việc kết hợp các công cụ bảo mật mạng để ngăn chặn thời gian ngừng hoạt động ngày càng quan trọng. Thật không may, nhiều kẻ tấn công mạng vô đạo đức đang hoạt động trên web, chỉ cần chờ đợi có thời cơ để tấn công các hệ thống dễ bị tổn thương. Các sản phẩm Quản lý sự kiện và thông tin bảo mật (SIEM) đã trở thành một phần cốt lõi trong việc xác định và giải quyết các cuộc tấn công trên mạng.

Trong khi một hệ thống SIEM không phải là không dễ dàng, đó là một trong những chỉ báo chính mà một tổ chức có chính sách bảo mật mạng được xác định rõ ràng. Chín lần trong số mười lần, các cuộc tấn công trên mạng không có bất kỳ thông báo rõ ràng nào về mức độ bề mặt. Để phát hiện các mối đe dọa, việc sử dụng các tập nhật ký sẽ hiệu quả hơn. Khả năng quản lý nhật ký vượt trội của SIEM đã làm cho chúng trở thành trung tâm minh bạch của các hệ thống mạng ngày nay

Hầu hết các chương trình bảo mật hoạt động trên quy mô nhỏ, giải quyết các mối đe dọa nhỏ hơn nhưng lại thiếu hình ảnh lớn hơn về các mối đe dọa trên mạng. Một hệ thống phát hiện xâm nhập (IDS) một mình hiếm khi có thể làm nhiều hơn các gói và các địa chỉ IP. Tương tự, nhật ký dịch vụ của bạn chỉ hiển thị phiên người dùng và thay đổi cấu hình. SIEM đặt những hệ thống này và những hệ thống khác cùng với nhau để cung cấp một cái nhìn tổng quan hoàn chỉnh.

Như đã nêu ở trên, SIEM là viết tắt của cụm từ Security Information and Event Management – Hệ thống Thông tin bảo mật và Quản lý sự kiện. Về cơ bản là một hệ thống tập hợp thu thập tất cả thông tin nhật ký (log event) từ các thiết bị đầu cuối ( rất nhiều thiết bị khác nhau ) mà bạn cần quan tâm trong hệ thống, và lưu trữ nó một cách tập trung. Dựa vào những thông tin mà thu thập thì SIEM sẽ tiến hành phân tích và báo cáo các sự kiện mà tổ chức quan tâm mong muốn.

Vậy Prelude SIEM là gi?

Prelude SIEM là một hệ thống SIEM có khả năng tương tác với tất cả các hệ thống có sẵn trên thị trường. Nó thực hiện nguyên bản định dạng trao đổi thông điệp phát hiện xâm phạm (IDMEF, RFC 4765) định dạng bắt đầu được yêu cầu trên toàn thế giới. Theo cách này, IDMEF tương thích với ID nguồn mở: AuditD, Nepenthes, NuFW, OSSEC, Pam, Samhain, Sancp, Snort, Suricata, Kismet, v.v ... nhưng bất kỳ ai cũng có thể viết IDS riêng hoặc sử dụng một số cảm biến của bên thứ 3 có sẵn, được cung cấp các API và thư viện mở của Prelude SIEM.

Có thể sem nó như là một công cụ để điểu khiển an toàn cho IT. Prelude SIEM thu thập và tập trung thông tin về bảo mật CNTT của công ty để cung cấp một quan điểm duy nhất để quản lý nó. Nhờ các bản ghi và phân tích luồng, Prelude SIEM tạo ra các cảnh báo về sự xâm nhập và các mối đe dọa bảo mật trong mạng trong thời gian thực. Prelude SIEM cung cấp nhiều công cụ để thực hiện pháp y và báo cáo về dữ liệu lớn và dữ liệu thông minh để xác định các tín hiệu yếu và mối đe dọa liên tục nâng cao (Advanced Persistent Threat - APT). Cuối cùng, Prelude SIEM nhúng tất cả các công cụ cho giai đoạn khai thác để giúp các nhà khai thác dễ dàng hơn và giúp họ quản lý rủi ro.

Khi một người kẻ tấn công hoặc một phần mềm độc hại có thể tránh được việc phát hiện bởi IDS (NIDS, HIDS, v.v.) của một hệ thống được bố trí sẵn, nhưng nó trở nên khó khăn hơn khi xung quanh các phòng thủ khi có nhiều cơ chế bảo vệ dược tích hợp lại. Prelude SIEM đi kèm với một bộ cảm biến lớn, mỗi người trong số chúng theo dõi các loại sự kiện khác nhau. Prelude SIEM cho phép thu thập cảnh báo theo quy mô WAN, cho dù phạm vi của nó bao gồm thành phố, quốc gia, lục địa hay thế giới.

Prelude SIEM là một hệ thống "Quản lý sự kiện và thông tin bảo mật" (Security Information & Event Management - SIEM). Prelude thu thập, bình thường hóa, sắp xếp, tổng hợp, tương quan và báo cáo tất cả các sự kiện liên quan đến bảo mật độc lập với thương hiệu sản phẩm hoặc giấy phép phát sinh các sự kiện đó.

Cũng như khả năng khôi phục bất kỳ loại nhật ký nào (nhật ký hệ thống, nhật ký sự kiện, người dùng, v.v.), lợi ích Prelude là cho phép hỗ trợ gốc với một số hệ thống dành riêng cho thông tin thu thập phong phú hơn nữa (Snort, Samhain, Ossec, Auditd, v.v.)

Sercurity information event management (SIEM) là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. SIEM là sự kết hợp một số tính năng của quản lí thông tin an ninh (SEM) và quản lí sự kiện an ninh (SIM). Trong đó hệ thống mã nguồn mở SIEM có thể được tách làm hai chức năng:

Sercurity Event Management (SEM): Thu thập các event log data do các thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lý, phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh của hệ thống.

Sercurity Information Management (SIM): Thông tin được  lưu  trữ  từ SIM, được sử dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định.

SIM và SEM thường bị nhầm lẫn với nhau nhưng thực ra giữa chúng tồn tại những điểm giống và khác nhau cơ bản sau:

SEM giám sát hệ thống và phân tích các event gần như trong thời gian thực để giúp phát hiện các mối đe dọa an ninh, các dấu hiện bất thường nhanh nhất có thể nhưng cũng chính vì thế mà lượng dữ liệu sự kiện đổ về nó rất nhiều và nó không cung cấp khả năng lưu trữ lâu dài cho các dữ liệu log.

Ngược lại, SIM tuy không có khả năng thu thập và xử lý các sự kiện trong thơi gian thực nhưng lại mạnh về quản lý log và có thể lưu trữ một lượng lớn dữ liệu log trong một thời gian dài.

Security Information and Event Management (SIEM) là sự kết hợp của SEM và SIM lại với nhau nhằm khắc phục những hạn chế của chúng.

1.1.2. Tại sao SIEM lại quan trọng?

SIEM đã trở thành một thành phần bảo mật cốt lõi của các tổ chức hiện đại. Lý do chính là mọi người dùng hoặc trình theo dõi đều để lại dấu vết ảo trong dữ liệu nhật ký của mạng. Hệ thống SIEM được thiết kế để sử dụng dữ liệu nhật ký này để tạo ra thông tin chi tiết về các vụ tấn công và sự kiện trong quá khứ. Một hệ thống SIEM không chỉ xác định rằng một cuộc tấn công đã xảy ra, nhưng cho phép bạn xem làm thế nào và tại sao nó xảy ra là tốt.

Khi các tổ chức cập nhật và nâng cao cơ sở hạ tầng CNTT ngày càng phức tạp, SIEM đã trở nên quan trọng hơn trong những năm gần đây. Trái ngược với niềm tin phổ biến, tường lửa và các gói chống vi-rút là không đủ để bảo vệ toàn bộ mạng. Các cuộc tấn công zero-day vẫn có thể xâm nhập vào hệ thống phòng thủ của hệ thống ngay cả với các biện pháp an ninh này.

SIEM giải quyết vấn đề này bằng cách phát hiện hoạt động tấn công và đánh giá nó chống lại hành vi trong quá khứ trên mạng. Một hệ thống SIEM có khả năng phân biệt giữa sử dụng hợp pháp và một cuộc tấn công nguy hiểm. Điều này giúp tăng sự bảo vệ của hệ thống và tránh làm hỏng hệ thống và tài sản ảo.

Việc sử dụng SIEM cũng giúp các công ty tuân thủ một loạt các quy định quản lý mạng công nghiệp. Quản lý nhật ký là phương pháp chuẩn của hoạt động kiểm toán trên mạng CNTT. Hệ thống SIEM cung cấp cách tốt nhất để đáp ứng yêu cầu quy định này và cung cấp tính minh bạch cho các nhật ký để tạo ra những hiểu biết và cải tiến rõ ràng.

1.1.3. Lợi ích của SIEM

3 lợi ích quan trọng của SIEM mang lại:

·       Quản lý tập trung 

·       Giám sát an toàn mạng

·       Cải thiện hoàn toàn hiệu quả trong hoạt động xử lý sự cố trong hệ thống của tổ chức.

Trong rất nhiều tổ chức có triển kha, người ta sử dụng SIEM với một mục đích duy nhất và tối thượng nhất là tập hợp các dữ liệu log. Số lượng thiết bị càng nhiều thì càng sẽ phát sinh log nhiều, nếu không có một giải pháp quản lý tập trung thì bạn sẽ khá là cực công để truy vẫn cũng như tìm ra nhanh các sự cố các sự kiện mà bạn quan tâm.

Từ những thông tin log mà SIEM tập hợp được, chúng ta có thể thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo hoàn chỉnh và trực quan nhất những gì đã và đang xảy ra trong hệ thống của bạn.

Hình 1.1. Mô hình các lợi ích của SIEM

1.1.4 Các thành phần cơ bản của SIEM

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu quả. Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có các thành phần cơ bản cơ bản được mô tả trong chương này. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.

1.1.4.1.         Thiết bị nguồn (Source Divice)

Hình 1.2. Các thành phần cơ bản của SIEM

Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.

1.1.4.2. Log Collection

Thành phần tiếp theo trong sơ đồ là thành phần thu thập nhật ký (Log Collection). Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau: Push Log và Pull Log.

- Push Log: Các bản ghi Log sẽ được các thiết bị nguồn gửi về SIEM. Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên phương pháp nay cũng còn một số nhược điểm.

Ví dụ, sử dụng SysLog trong môi trường UDP. Bản chất của việc sử dụng SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát hiện.

Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng

- Pull Log: Các bản ghi Log sẽ được SIEM lấy về

Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.

Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy bản ghi Log về.

Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho người quản trị lúng túng không biết bắt đầu từ đâu.

1.1.4.3. Parsing Normalization

Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ các thiết bị khác nhau và các nhà cung cấp khác nhau. Vì vậy, đây là thành phần rất quan trọng trong cấu trúc của SIEM.

Khi thu thập, vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP.

Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là phân tích chuẩn hóa (Parsing Normalization). Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.

Ví dụ hai hệ thống này, một hệ thống Windows Event Log và một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.

1.1.4.4. Notifications and Alerts

SIEM cung cấp ba cách để SIEM thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi chúng nhận ra rằng có điều gì bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web. Các IDS thông thường đưa ra nhiều cảnh báo giả nhưng với SIEM nó tạo ra một tỷ lệ nhỏ các thông báo giả như vậy. Tuy nhiên tất cả những thông báo có thể là cần thiết để thực hiện một hành động hay đơn giản là bỏ qua nó còn tùy thuộc vào mức độ của sự kiện an ninh.

Một số sản phẩm của SIEM có thể thực hiện các hành động ứng phó như xóa các phần mềm độc hại, đóng một số cổng nào đó thông qua việc kết nối tới các thiết bị đó.

Báo cáo được lập lịch để đưa ra các báo cáo thường xuyên. Các báo này được thể hiện theo chuẩn quốc tế và có thể thể hiện qua những biểu đồ trực quan về những số liệu. Những báo cáo này cung cấp nhanh chóng cái nhìn tổng quan cho các quản trị viên và nhà quản lý. Do đó, thành phần thông báo và cảnh báo (Notifications and Alerts) được SIEM thiết lập nhằm các mục đích nêu trên.

1.1.4.5. Security Incident Detection and Response

           Phát hiện và phản hồi sự cố là quá trình xác định các sự cố bảo mật hoặc các mối đe dọa và hành động nhanh chóng để giải quyết vấn đề tiềm ẩn. Sự cố bảo mật có thể mất nhiều hình thức, nhưng, về bản chất, nó là một sai lệch so với chính sách an ninh của tổ chức. Ví dụ về sự cố bảo mật là lưu lượng truy cập bất thường trên một cổng không được đề cập, quyền truy cập trái phép vào một chia sẻ tệp cụ thể hoặc phạm vi hoạt động khác vi phạm tiêu chuẩn được chấp nhận của tổ chức.

Để giảm thiểu rủi ro, điều quan trọng là phải có một quy trình để nhanh chóng xác định những sự cố này, điều tra và thực hiện phân tích nguyên nhân gốc và thực hiện các bước để khắc phục tình trạng trước khi thiệt hại về vi phạm dữ liệu trở nên rộng hơn. Rủi ro có thể được giảm thiểu tốt nhất bằng cách hành động nhanh chóng. Nếu các dấu hiệu cảnh báo bị bỏ qua, phạm vi của vụ việc có thể phát triển và cuối cùng dẫn đến một tác động kinh doanh thảm khốc hoặc thậm chí phạt tiền quy định.

           Quá trình phát hiện và phản hồi thường từ 12 phút đến 3 giờ tùy theo các hệ thống SIEM khác nhau, được mô tả theo sơ đồ:

Hình 1.3. Sơ đồ thể hiện thời gian phản hồi sự kiện ở SIEM

1.1.4.6. Threat response workflow

           Đây là thành phần cho phép SIEM có thể đưa ra các sơ đồ phản hồi dựa trên các mối đe dọa khác nhau từ bên trong hoặc bên ngoài. Sự thể hiện này mang tinh trực quan cao, dễ quan sát, dễ hiểu. Chẳng hạn, sơ đồ phân tích sự xâm nhập mạng của kẻ tấn công mà IBM Qradar thu được (Hình vẽ…).

Hình 1.4. Sơ đồ phân tích sự xâm nhập mạng.

(còn tiếp)