Đảm bảo an toàn thông tin, triển khai hệ thống bảo mật là một phần quan trọng của mọi tổ chức trong tiến trình chuyển đổi lên đám mây. Khi các tổ chức mở rộng đám mây của họ trên môi trường IaaS (cơ sở hạ tầng dưới dạng dịch vụ) và môi trường PaaS (nền tảng dưới dạng dịch vụ) dàn trải trên nhiều tài khoản, nhiều khu vực và cấp quyền truy cập đặc quyền cho nhiều người dùng thì việc giám sát hoạt động của từng người dùng là một yêu cầu thiết yếu trong tiến trình này.

Có 2 dấu hiệu chúng ta đang tìm kiếm khi đề cập đến việc giám sát hành vi của người dùng, đó là:

  • Có khả năng bị xâm phạm các thông tin bảo mật.
  • Mối đe dọa rò rỉ nội bộ độc hại.

Những thông tin bị xâm phạm có thể được sử dụng để hủy hoại hệ thống và doanh nghiệp của bạn nếu chúng rơi vào tay các đối tượng tấn công nguy hiểm nhưng đầy tài năng. Để bảo vệ hệ thống của mình khỏi những mối đe dọa này, chúng ta có thể tận dụng các công cụ phân tích hành vi người dùng và thực thể (User and Entity Behavior Analytics – UEBA). Đây là một trong những tính năng chính và quan trọng nhất có trên bất kỳ Nền tảng bảo mật thuần đám mây (Cloud Native Security Platform – CNSP) nào.

Với tính năng này, bạn có thể xác định các hoạt động nhạy cảm ví dụ như các hành vi của người dùng có sử dụng đặc quyền mang tính rủi ro (hoặc có sử dụng đầy đủ quyền ưu tiên – quyền root), thay đổi quyền bảo mật của một nhóm; cập nhật cấu hình quản lý danh tính và quyền truy cập (Identity and Access Management – IAM). Đây có thể là các dấu hiệu cho biết thông tin bảo mật bị xâm phạm hoặc cho thấy sự tồn tại của các mối đe dọa rò rỉ nội bộ. Bằng việc phát hiện sớm những mối đe dọa này, bạn có thể ngăn chặn các cuộc tấn công trước khi chúng đến điểm xâm phạm trong môi trường đám mây của mình.

Giám sát hành vi người dùng không có UEBA

Nếu bạn chưa bao giờ triển khai cộng cụ UEBA, cách bắt đầu dễ dàng nhất là thông qua việc sử dụng các công cụ và khả năng điều tra có sẵn của các nhà cung cấp đám mây. Mỗi nhà cung cấp dịch vụ đám mây (Cloud Service Provider – CSP) cung cấp khả năng quản trị (governance), tuân thủ quy định pháp luật (compliance), kiểm toán hoạt động (operational auditing) và cả kiểm toán rủi ro (risk auditing) để đánh giá môi trường đám mây của chính họ. Điều này được thực hiện thông qua lịch sử sự kiện, sử dụng nhật ký kiểm toán (audit log), ví dụ như CloudTrail của Amazon AWS, Azure Activity Log hay Google’s Stackdriver Logs.

Với nhật ký kiểm toán, bạn có thể xem danh sách lịch sử hoạt động trên môi trường đám mây của mình cũng như thông tin liên quan đến những người đã thực hiện các hoạt động này. Việc xét duyệt một cách thủ công các nhật ký này tốn khá nhiều thời gian và tài nguyên, đặc biệt là trong môi trường đa đám mây (multi-cloud), đó là lý do tại sao nhiều khách hàng thường chuyển chúng đến một công cụ để bảo mật thông tin và quản lý sự kiện (Security information and event management – SIEM). Tại đây họ có thể bắt đầu phân tích và truy vấn dữ liệu để tìm hiểu thêm thông tin, thiết lập các kiểu mẫu (patterns) và điều tra các sự kiện.

Thật không may quá trình này hoạt động không hiệu quả trên các đám mây công cộng (public cloud). Quá nhiều dữ liệu đang được tạo ra và hoàn toàn thiếu nền tảng đám mây cần thiết cho quy trình, do đó sẽ là không thực tế khi cố gắng đưa ra quyết định bảo mật hiệu quả dựa trên dữ liệu này. Lựa chọn tối ưu nhất lúc này là sử dụng các công cụ có thêm khả năng học máy (Machine Learning – ML), ví dụ như công cụ UEBA trên Prisma Cloud hoặc trên một Nền tảng bảo mật thuần đám mây (CNSP) khác.

UEBA với Prisma Cloud

Với Prisma Cloud, bạn có thể tận dụng ML để đưa yếu tố con người ra khỏi việc tìm kiếm các dấu vết tấn công (indicators of compromise – IoCs) trong môi trường đám mây của mình. Công cụ UEBA sử dụng một hệ thống tự trị để giám sát các bản ghi đến từ nhiều nguồn khác nhau, từ đó thiết lập đường cơ sở (baseline) của hoạt động “bình thường” và có thể đưa ra được các hành vi bất thường dựa trên mô hình mà nó đã xây dựng. Prisma Cloud sử dụng dữ liệu này để cảnh báo cho các trung tâm an ninh mạng hoặc nhóm điều phối bảo mật (SOC hoặc SecOps) nếu phát hiện hành vi bất thường.

Tính chính xác cao của các cảnh báo này giúp giảm đáng kể gánh nặng cho các nhóm SOC bị quá tải bởi vì nguồn thông tin từ các đám mây này đem lại vô cùng phong phú chẳng hạn chúng ta có thể biết được thông tin như: danh tính người tạo ra sự thay đổi, thời điểm thay đổi, khoảng thời gian thực hiện, thiết bị được sử dụng, sử dụng trên tài nguyên nào, từ vị trí nào và sự thay đổi đó có kết quả ra sao. Ngoài ra, khi xét duyệt các cảnh báo này, bạn có thể điều tra các sự kiện liên quan đến chúng. Khả năng điều tra động (dynamic investigation) của Prisma Cloud cho phép bạn nhanh chóng phát hiện ra các chi tiết xung quanh các cảnh báo dị thường và thậm chí các kiểu mẫu được thiết lập trước khi cảnh báo được tạo ra.

Mô hình xây dựng trên nền tảng học máy thông minh có tính đến nhiều yếu tố khác nhau, chẳng hạn như thiết bị được sử dụng, vị trí của người dùng khi truy cập, dịch vụ đám mây được truy cập, địa chỉ IP nguồn và hoạt động được thực hiện trong hay ngoài giờ làm việc của người dùng.

Ở mức cao hơn, các cảnh báo được dựa trên một vị trí bất thường, một hoạt động bất thường mà người dùng đang thực hiện hoặc kết hợp một hoạt động bất thường đang được thực hiện từ một vị trí bất thường. Prisma Cloud phân loại các hành vi người dùng và thực thể dị thường này thành ba loại sau: hoạt động bất thường của người dùng, lỗi đăng nhập quá nhiều lần và các nỗ lực chiếm đoạt tài khoản hoặc tấn công brute force.

Khi điều tra các cảnh báo này, nhóm SOC có thể nhanh chóng phát hiện ra phạm vi của hoạt động bất thường bằng cách theo dõi nó trên môi trường đám mây của họ.

Sử dụng các kỹ thuật được minh họa ở trên, một công cụ UEBA có thể dễ dàng tự động phát hiện các mối đe dọa nội bộ cùng với các sự cố bảo mật liên quan đến tài khoản người dùng và thực thể. Bằng cách này, trung tâm an ninh mạng SOC hay nhóm bảo mật sẽ tiết kiệm được rất nhiều thời gian so với việc điều tra thủ công.

Cuối cùng và cũng là điều quan trọng nhất, Prisma Cloud cung cấp một phương thức mà quản trị viên có thể phản hồi cho mô hình học máy để nó liên tục học hỏi và tăng độ chính xác sau mỗi cảnh báo.

Thiên Ly
Theo Palo Alto Networks

Tin liên quan: