Hệ thống giám sát an toàn thông tin (Phần 1)

153

Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc… đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Hệ thống thông tin của tổ chức cần một giải pháp thu thập, quản lý và phân tích các sự kiện an ninh thông tin. Hệ thống giám sát an toàn thông tin SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung, cho phép các tổ chức hạn chế được các rủi ro, tiết kiệm thời gian, nhân lực.

1. Khái quát

Ngày nay các vấn đề về tấn công mạng, lừa đảo trực tuyến hay các vấn đề về bùng phát mã độc… đang trở nên phổ biến và là vấn đề lớn đối với các tổ chức. Để giải quyết các mối lo này các tổ chức cần đầu tư vào các giải pháp an ninh, bảo vệ có chiều sâu và theo nhiều lớp. Một xu hướng phổ biến là các giải pháp này đều là các giải pháp tốt, dẫn đầu thị trường nhưng đa số lại thuộc về nhiều nhà cung cấp khác nhau.

Điều này tạo ra nhiều vấn đề đối với đội ngũ vận hành an ninh (Security) như:

  • Không có khả năng phân tích toàn bộ nhật ký: Hàng ngày các hệ thống như Firewall, IPS, OS, Database… đưa ra hàng triệu nhật ký. Các tổ chức với đội ngũ làm việc của mình không có cách nào hoàn thành việc phân tích với các công cụ thủ công.
  • Số lượng các thông báo giả: Trong số hàng triệu các sự kiện đó thì có một phần rất lớn các thông báo không chính xác và không thực sự quan trọng.
  • Thực hiện bảo vệ riêng lẻ, thiếu khả năng bao quát: Với mỗi hệ thống cần có một hoặc vài người quản trị, thông thường những người này chỉ làm việc với chuyên môn của họ. Khi có nhu cầu thực hiện phân tích, điều tra một vấn đề trong hệ thống, họ sẽ mất nhiều thời gian để tìm hiểu về các hệ thống khác có liên quan hoặc làm việc với các bộ phận khác…Như vậy thời gian thực hiện sẽ lâu, dễ dàng bỏ qua các sự kiện tưởng như không nguy hiểm. Bởi vì người quản trị không có khả năng quan sát toàn bộ các vấn đề về an ninh đang diễn ra trong hệ thống.
  • Mỗi hệ thống có một định dạng nhật ký khác nhau: Điều này gây khó khăn trong việc đồng bộ và phân tích.

Với yêu cầu như vậy, hệ thống thông tin của tổ chức cần một giải pháp thu thập, quản lý và phân tích các sự kiện an ninh thông tin, một Hệ thống giám sát an toàn thông tin SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Hệ thống SIEM phải thực hiện thu thập nhật ký từ tất cả các hệ thống mà các tổ chức quan tâm, cung cấp đa dạng và linh hoạt các công cụ cho việc tìm kiếm, phân tích, theo dõi các sự kiện an ninh theo thời gian thực trên duy nhất một giao diện. Tính năng phân tích sự tương quan giữa các sự kiện cho phép hệ thống chỉ ra được các vấn đề lớn về an ninh mà hệ thống đang phải đối mặt. Điều này sẽ cho phép các tổ chức hạn chế được các rủi ro, tiết kiệm thời gian, nhân lực.

2. Các thành phần của hệ thống SIEM

Hệ thống SIEM bao gồm nhiều phần, mỗi phần làm một nhiệm vụ riêng biệt. Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không hoạt động cùng một lúc thì sẽ có không có một SIEM hiệu quả.

Tùy thuộc vào hệ thống đang sử dụng mỗi SIEM sẽ có những thành phần cơ bản. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, người quản trị có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.

Các thành phần của SIEM

Thiết bị đầu vào cung cấp dữ liệu

Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi Log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc xác định những gì có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Xác định được những nguồn cung cấp dữ liệu trong giai đoạn đầu sẽ giúp tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai.

  • Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành về cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi Log. Các bản ghi Log sẽ cho thấy hệ thống của đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống?…Các bản ghi Log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chuẩn đoán vấn đề hay chỉ là việc cấu hình sai.
  • Thiết bị: Thực tế các quản trị viên hệ thống không có quyền truy cập từ xa vào các thiết bị trong hệ thống như router, switch, firewall, server để thực hiện một số việc quản lý cơ bản. Nhưng có thể quản lý các thiết bị thông qua một cổng giao diện đặc biệt. Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường như Microsoft Windows, hay một bản tùy biến dựa trên nguồn mở như Linux, nhưng có thể được cấu hình theo cách mà hệ điều hành thông thường. Các thiết bị router, switch là một trường hợp điển hình, do không phụ thuộc vào nhà cung cấp, nên không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thể truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi Log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua SysLog hoặc FTP.

  • Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng. Trong một hệ thống có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng sinh ra bản ghi Log sẽ có ích cho người quản trị? Dùng để yêu cầu duy trì, lưu trữ các bản ghi Log theo sự tuân thủ của pháp luật.
  • Xác định bản ghi Log cần thiết: Sau khi xác định các thiết bị nguồn cung cấp dữ liệu trong hệ thống, người quản trị cần xem xét việc thu thập các bản ghi Log từ các thiết bị nào là cần thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc thu thập các bản ghi Log như sau:
  • Thiết bị nguồn nào được ưu tiên? Dữ liệu nào quan trọng cần phải thu thập? Kích thước bản ghi Log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ.
  • Tốc độ các thiết bị nguồn này sinh ra bản ghi Log là bao lâu? Thông tin này kết hợp với kích thước bản ghi Log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi.
  • Cách thức liên kết giữa các thiết bị nguồn với SIEM?
  • Có cần các bàn ghi Log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày.

Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi Log được tạo ra mỗi ngày.

2. Phương pháp thu thập thông tin

Thu thập bản ghi Log

Thành phần tiếp theo trong sơ đồ là thành phần thu thập Log. Cơ chế thu thập các bản ghi Log phụ thuộc vào từng thiết bị nhưng cơ bản có hai phương thức như sau: Push Log và Pull Log.

  • Push Log: Các bản ghi Log sẽ được các thiết bị nguồn đẩy về SIEM

Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Ví dụ như SysLog, khi cấu hình thiết bị nguồn sử dụng SysLog, người quản trị có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ SysLog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua SysLog. Tuy nhiên phương pháp này cũng còn một số nhược điểm.

Sử dụng SysLog trong môi trường UDP (User Datagram Protocol – là một trong những giao thức cốt lõi của giao thức TCP/IP). Bản chất của việc sử dụng SysLog trong môi trường UDP có thể là không đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, người quản trị có thể không nhận được gói tin SysLog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi Log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát hiện. Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi Log cho SIEM là điều rất quan trọng

  • Pull Log: Các bản ghi Log sẽ được SIEM lấy về

Không giống như phương pháp Push Log, trong đó thiết bị nguồn gửi các bản ghi Log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull Log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó bằng một phần mềm được cài đặt trên các thiết bị an ninh. Một ví dụ nếu các bản ghi Log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.

Đối với phương pháp Push Log, các bản ghi Log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi Log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi Log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và nghẽn của hệ thống SIEM khi quá nhiều các thiết bị nguồn cùng đẩy bản ghi Log về.

Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi đến hệ thống. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho người quản trị lúng túng không biết bắt đầu từ đâu.

Phân tích, chuẩn hóa Log

Vô số các bản ghi Log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM. Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó người quản trị không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó. Hệ thống SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các  bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng Syslog hoặc các giao thức SNMP, OPSEC, SFTP.

Nhưng để các bản ghi Log hữu ích trong SIEM cần định dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi Log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa. Nếu các thiết bị không hỗ trợ các giao thức này cần phải sử dụng các Agent. Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng người quản trị sẽ có những bản ghi log theo dạng chuẩn mong muốn.

Chuẩn hóa Log

Mục đích của việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp các thông tin đó cho hệ thống để phân tích tiếp. Chức năng nay rất quan trọng vì dữ liệu có định dạng khác nhau từ các thiết bị khác nhau và các nhà cung cấp khác nhau.

Ví dụ như Hình: Chuẩn hóa Log hai hệ thống này, một hệ thống Windows Event Log và một ASA Cisco. Cả hai cho thấy cùng một người đăng nhập vào thiết bị. Cách đăng nhập của mỗi nhà cung cấp là khác nhau. Nên cần phải hiểu định dạng và chi tiết có trong sự kiện đó. Do việc chuẩn hóa Log là rất cần thiết.

Hệ thống giám sát an toàn thông tin (Phần 2): Kỹ thuật xác định quy luật quản trị SIEM

Song Phương – FPT IS

BÌNH LUẬN

Please enter your comment!
Please enter your name here