Hệ thống giám sát an toàn thông tin (Phần 2): Kỹ thuật xác định quy luật quản trị SIEM

355

Trong phần 1 của bài viết về Hệ thống giám sát an toàn thông tin SIEM (Security information and event management – SIEM), người viết đã chia sẻ về các thành phần của hệ thống SIEM, và các phương pháp thu thập thông tin. Trong phần 2, bài viết sẽ đi sâu vào các kỹ thuật xác định quy luật quản trị SIEM.

Kỹ thuật xác định quy luật quản trị SIEM

1. Kỹ thuật tương quan sự kiện

Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ phức tạp. Người quản trị thường viết các quy tắc sử dụng một biểu thức Boolean Logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong các dữ liệu.

Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy nhất được liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau.

Thông thường có hai kiểu tương quan sự kiện là dựa trên các quy tắc kiến thức đã biết (Rule- based) và dựa trên phương pháp thống kê (Statistical-based):

  • Rule – based

Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích trong một bối cảnh chung. Các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc người quản trị có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy.

  • Statistical – based

Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộc tấn công.

Nếu nhìn vào ví dụ trong Hình 3, có thể thấy được nhiều sự kiện an ninh đăng nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể nhìn thấy các sự kiện đăng nhập thất bại và đăng nhập thành công từ nhiều địa chỉ đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng nhập thành công. Điều này có thể là một cuộc tấn công Brute-Force với máy chủ.

Các Log được thu thập trong vòng 10 giây

Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng thời gian 10 giây, hệ thống có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra những sự kiện an ninh từ tất cả, trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy hại là điều cực kỳ khó khăn. Nên cần một cách để loại bỏ tất cả các thông tin sự kiện an ninh không liên quan trong các bản ghi Log và chỉ ần theo dõi các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an ninh.

2. Lưu trữ Log

Với các bản ghi Log gửi tới SIEM cần một cách để lưu trữ chúng để phục vụ các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các bản ghi trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân.

  • Cơ sở dữ liệu

Lưu trữ các bản ghi Log trong cơ sở dữ liệu là cách lưu trữ các bản ghi Log hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp.

Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi truy cập vào các bản ghi Log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy với SIEM.

Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều sự tương tác với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề. Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu hệ thống không có một DBA.

  • Lưu trữ dưới dạng file text

Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy, khoảng cách tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích và đọc đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp khác.

Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu các bản ghi Log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi viết mã để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác. Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để nhà phân tích tìm kiếm và hiểu nó.

  • Lưu trữ dưới dạng nhị phân

Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào những file này.

Theo dõi và giám sát

Giai đoạn cuối cùng là phương pháp tương tác với các bản ghi được lưu trữ trong SIEM. Một khi đã có tất cả các bản ghi trong SIEM và các sự kiện an ninh đã được xử lý, điều cần làm tiếp theo là như thế nào để sử dụng hữu ích với các thông tin từ các bản ghi Log khác nhau. Hệ thống SIEM cung cấp giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương tác với các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được sử dụng để quản lý SIEM.

SIEM cung cấp ba cách để thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi có điều chúng nhận ra là bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web.

Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của hệ thống. Bình thường, khi muốn xem các thông tin hoặc xử lý sự cố thì các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi Log trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi Log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó.

Trong quản lý và giám sát giao diện điều khiển của SIEM, người quản trị có thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện an ninh được xử lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM.

Kết luận

Việc triển khai hệ thống SIEM không làm thay đổi kiến trúc mạng của hệ thống. Các thiết bị có thể được đặt ở bất kỳ đâu trong hệ thống mạng như các máy chủ, tối ưu nhất là vùng quản trị của hệ thống, còn máy chủ theo dõi và giám sát có thể bố trí đặt ở những vị trí thuận tiện cho việc thu thập nhật ký từ các hệ thống.

Với mục đích giúp khách hàng xác định ý nghĩa của bất kỳ sự kiện nào bằng cách đặt nó trong ngữ cảnh để trả lời các câu hỏi: cái gì, ở đâu, khi nào và lý do tại sao sự kiện đó xảy và và ảnh hưởng của nó đối với khách hàng. Hệ thống SIEM cung cấp mối tương quan giữa các sự kiện dựa trên mức độ ưu tiên, tự động đánh giá chính xác các rủi ro an ninh bảo mật và vi phạm tuân thủ các chính sách trong môi trường công nghệ thông tin của khách hàng. Khả năng cảnh báo thời gian thực đưa ra các nguy cơ và rủi ro đối với hệ thống an ninh bảo mật dựa trên các nội dung cần thiết đã phân tích.

Hệ thống giám sát an toàn thông tin (Phần 1) – Các thành phần của hệ thống SIEM, Phương pháp thu thập thông tin

Song Phương – FPT IS

Tin liên quan: