Tải bản đầy đủ - 39 (trang)
TỔNG QUAN VỀ GIÁM SÁT MẠNG

TỔNG QUAN VỀ GIÁM SÁT MẠNG

Tải bản đầy đủ - 39trang

Các loại log chính trong hệ thống:





Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng



tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…





Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực



hiện. Log ứng dụng, log của hệ điều hành…





Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần



cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như

khắc phục các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống

lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích Log

thực sự là một điều vô cùng khó khăn.

1.2. Các yếu tố cơ bản trong hệ thống giám sát mạng

Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định

được các yếu tố cốt lõi, cơ bản nhất của giám sát như:





Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.







Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ



giám sát.





Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám



sát.





Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả



giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus...

Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người

và đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng.

1.3. Các thành phần trong hệ thống mạng

Để một hệ thống mạng hoạt động tốt nó bao gồm rất nhiều thành

phần, hoạt động trên các nền tảng và mỗi trường khác nhau:





Các máy trạm







Các máy chủ







Các thiết bị hạ tầng mạng: Router, switch, Hub…

7







Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập:

IDS/IPS, Snort, FireWall…







Các ứng dụng chạy trên các máy chủ và máy trạm.



Hình 1 - . Các thành phần trong hệ thống mạng.



1.4. Lợi ích của một hệ thống giám sát mạng an toàn

Hệ thống giám sát an toàn mạng viết tắt là SIEM (Security information

and event management – SIEM) là hệ thống được thiết kế nhằm thu thập

thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu

một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập

trung và báo cáo về các sự kiện an toàn mạng của tổ chức. Kết quả phân tích

này có thể được dùng để phát hiện raa các cuộc tấn công mà không thể phát

hiện được theo phương pháp thông thường. Một số sản phẩm SIEM còn có

khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được.

Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản

phẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an

ninh chuyên biệt. SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của

8



các tổ chức vừa và nhỏ. Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM

cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo

dành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM.

Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác

nhau, do đó lợi ích thu được cũng khác nhau. Bài viết sẽ làm rõ ba lợi ít lớn

nhất của SIEM:





Quản lý tập trung.







Giám sát an toàn mạng.







Cải thiện hiệu quả trong hoạt động xử lý sự cố.



2.4.1. Quản lý tập trung

Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp

các dữ liệu thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối

cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật

ký (log) này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu nhật ký từ

rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo

cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện

an ninh của các thiết bị.



Hình 1 - . Mô hình quản lý tập trung.

9



Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất

nhiều công sức trong việc tập hợp báo cáo. Trong môi trường như vậy, cần

phải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối,

hoặc lấy dữ liệu định kì bằng cách thủ công từ mỗi thiết bị rồi tập hợp chúng

lại và phân tích để thành một báo cáo. Khó khăn xảy ra là không nhỏ do sự

khác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến các

nhật ký sự kiện an ninh được ghi lại khác nhau. Chuyển đổi tất cả thông tin đó

thành một định dang chung đòi hỏi việc phát triển hoặc tùy biến mã nguồn

rất lớn.

Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và báo

cáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc

tế như Health Insurance Portability and Accountability Act (HIPAA),

Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley

Act (SOX). Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn

lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ.

1.4.2. Giám sát an toàn mạng

Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra

các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất

nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích

hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các

nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của

hành vi độc hại.

Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể

cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện

của toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộc

tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và

xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo

cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được

một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng

10



cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm

tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã

bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện

cách li chúng ra một mạng riêng và xử lí cuộc tấn công.

Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện

tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần

mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự

kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký

được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa

ra các cảnh báo.

Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công

mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình

trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an

ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu

hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các

cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của

doanh nghiệp.

Để có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thập các

IEM (các thông tin về các mối nguy hại, hình thức tấn công…) từ các nguồn

bên ngoài đáng tin cậy. Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã

biết liên quan đến thiết bị đầu cuối, nó sẽ phản ứng ngăn chặn các kết nối

hoặc làm gián đoạn, cách ly thiết bị đang tương tác với thiết bị khác nhằm

ngăn ngừa cuộc tấn công từ điểm đầu tiên.

1.4.3. Cải thiện hoạt động xử lý sự cố hiệu quả

Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả

việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân

viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện

đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.

Ví dụ:

11







Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của



cuộc tấn công vào doanh nghiệp.





Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh



hưởng bởi cuộc tấn công.





Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang



diễn ra và cách ly các thiết bị đầu cuối đã bị xâm hại.

Lợi ích của các sản phẩm SIEM khiến chúng trở nên cần thiết hơn bao

giờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệp

tài chính, các tập đoàn công nghệ…

Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các

sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các

trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các

phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định

các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.

1.5. Thu thập dữ liệu cho hệ thống NSM





Thu thập dữ liệu (Collection):

-



Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan



đến tình trạng hoạt động của các thiết bị trong hệ thống mạng. Tuy

nhiên, trong những hệ thống mạng lớn thì các dịch vụ hay các thiết bị

không đặt tại trên máy, một địa điểm mà nằm trên các máy chủ, các hệ

thống con riêng biệt nhau. Các thành phần hệ thống cũng hoạt động

trên những nền tảng hoàn toàn khác nhau. Mô hình Log tập trung được

đưa ra để giải quyết vấn đề này. Cụ thể, là tất cả Log sẽ được chuyển về

một trung tâm để phân tích và xử lý.

-



Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác



nhau. Như log của các thiết bị mạng như: Router, Swich. Log của các

thiết bị phát hiện xâm nhập: IDS, IPS, Snort … Log của các Web

Server, Application Server, Log Event, Log Registry của các Server

Windows, Unix/Linux.

12



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

TỔNG QUAN VỀ GIÁM SÁT MẠNG

Tải bản đầy đủ ngay(39 tr)

×