Tải bản đầy đủ - 0 (trang)
I. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM

I. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM

Tải bản đầy đủ - 0trang

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

Hiện tại, FPT Telecom hiện đang hoạt động theo mơ hình 2 cơng ty thành viên:

 CÔNG TY TNHH MTV VIỄN THÔNG QUỐC TẾ FPT (FPT TELECOM

INTERNATIONAL, VIẾT TẮT LÀ FTI)

 CÔNG TY TNHH MTV VIỄN THƠNG FPT TÂN THUẬN

I.2.



Giới thiệu về tổ An Tồn Thơng Tin



SOC Team ( Security Operation Center Team) là nhóm được thành lập từ ban dự án

của FPT ( FPT R&D Team) có nhiệm vụ, chức năng chính sau:

 Thực hiện việc pentest website và các sản phẩm khác của ban dự án FPT.

 Phối hợp với ban dự án để phát hiện, sửa lỗi các sản phẩm trước khi thực hiện

chạy production.

 Nghiên cứu hệ thống SIEM và các hệ thống phân tích log.

I.3.



Nhiệm vụ sinh viên được phân cơng, thời gian thực hiện thực tế:



I.3.1. Đề tài thực tập:

Tên đề tài



Tìm hiểu, triển khai hệ thống giám sát và phân tích các sự kiện

an ninh



Cán bộ HD:



Nguyễn Tăng Hưng



SVTH



Nguyễn Lê Tuấn Kiệt



Thời gian thực



Từ ngày 14/3/2016 đến hết ngày 14/5/2016



hiện

I.3.2. Yêu cầu đối với đề tài:

 Đề xuất được solution Proposal về hệ thống giám sát và phân tích các sự kiện

an ninh hệ thống SIEM ( Security Information and Event Management).

 Hiểu được các tính năng và vai trò của chúng trong thực tế.

 Demo được các tính năng tương ứng.

I.3.3. Kế hoạch thực hiện đề tài:



2|Page



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thơng FPT Telecom

Tài ngun



Cơng việc thực hiện



cần hỗ trợ

-



Tìm hiểu, lập kế hoạch thực hiện đề

tài



-



Thời gian dự kiến

14/3 – 20/3



Tìm hiểu về hệ thống giám sát an

ninh



-



Tìm hiểu về giải pháp AlienVault

OSSIM.



-



So sánh một số giải pháp thường

gặp, giải thích lý do tại sao chọn giải



21/3 – 3/4



pháp này.

-



Tìm hiểu cơ chế hoạt động của

SPAN port trên các catalyst switch

Cisco



Có thể yêu

cầu hỗ trợ

thêm một máy

để thực hiện

kết nối chạy

máy ảo.



-



Thực hiện giai đoạn 1



4/4 – 17/4



-



Thực hiện giai đoạn 2



18/4 – 1/5



Có thể yêu

cầu hỗ trợ

training thêm

về pentest.

Yêu cầu các

thiết bị thật

như switch,

router, pc,

server,…



3|Page



Báo cáo thực tập doanh nghiệp – Cơng ty Cổ Phần Viễn Thơng FPT Telecom

-



Tìm hiểu về khả năng mở rộng cũng

như giải pháp xây dựng cơ chế HA



2/5 – 8/5



cho hệ thống

-



Báo cáo, xây dựng tài liệu.



9/5 – 13/5



I.3.4. Mục tiêu đạt được:

Tài liệu này mô tả chức năng, cách thức triển khai hệ thống giám sát và phân tích các

sự kiện an ninh bằng giải pháp AlienVault OSSIM (OpenSource Security Information

and Event Management) :

 Tìm hiểu những thách thức đặt ra trong việc quản lý cơ sở hạ tầng an ninh hệ

thống.

 Tìm hiểu hệ thống giám sát và phân tích các sự kiện an ninh là gì và động lực

để triển khai hệ thống giám sát và phân tích các sự kiện an ninh.

 Tìm hiểu một số giải pháp thường gặp ( thương mại, mã nguồn mở).

 Lựa chọn giải pháp phù hợp, so sánh, giải thích lý do chọn giải pháp này.

 Tìm hiểu những tính năng của giải pháp, những tính năng này phục vụ những

u cầu gì, bảo vệ cái gì trong thực tế ?

 Tìm hiểu về kiến trúc hệ thống.

 Đề xuất mơ hình triển khai.

 Kiểm tra tính năng trong mơi trường lab ảo.

 Kiểm tra tính năng trong mơi trường thực tế.

 Biết, hiểu, phân tích ( nâng cao) các cảnh báo, dấu hiệu bất thường trong hệ

thống.

 Tìm hiểu về cơ chế phát hiện cuộc tấn công ( dựa trên signatures hay behavior ?

Nếu là signatures thì như thế nào, còn nếu là behavior thì cơ chế xây dựng nên

baseline hệ thống bằng cách nào)

 Tìm hiểu về cách customize một rule phù hợp với nhu cầu.

 Tìm hiểu về khả năng mở rộng cũng như cơ chế xây dựng HA cho hệ thống ( có

thể tìm hiểu thêm các case studies, best practice trên trang web của hãng ).



4|Page



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

II. NỘI DUNG CHI TIẾT CÔNG VIỆC.

II.1.



Khái niệm về giám sát an ninh mạng: Security Monitoring.



Giám sát an ninh mạng ( Network Security Monitoring ) là một qui trình bao gồm thu

thập, phân tích và leo thang thơng tin để có thể kịp thời phát hiện, ngăn chặn và

phản ứng nhanh với các mối đe dọa tiềm tàng trong hệ thống. Giám sát an ninh mạng (

NSM ) là một cách hữu hiệu để có thể phát hiện nhanh chóng mối đe dọa trước khi họ

có thể gây hại đến chúng ta.

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ thống

mạng, bao gồm:

 Log và Alerts:

o Giải pháp bảo mật : IPS/IDS, Firewall, DLP, Web Filter, Proxy, WAF,...

o Hạ tầng mạng: Router, Switch, Domain Controller, Wireless Access

Point, Application Server.

 Knowledge:

o Thông tin về hạ tầng: kiến trúc, mơ hình mạng, thơng tin cấu hình thiết bị

mạng.

o Kiến thức, qui trình nghiệp vụ kinh doanh.

II.2.



Tại sao phải giám sát an ninh mạng:



Chúng ta khơng thể quản lý những gì mà chúng ta khơng thể đo đạc. Đó là ngun tắc

vàng trong quản lý và đối với việc quản lý an tồn thơng tin cũng khơng phải là ngoại

lệ. Vì vậy để quản lý an tồn thơng tin, là biến ATTT thành thứ có thể đo đạt, so sánh

được. Một cách duy nhất để biến an tồn thơng tin thành thứ có thể đo đạt được bằng

cách thu thập log file (file nhật ký ) từ các thiết bị càng nhiều càng tốt. Nhưng làm sao

để có thể theo dõi sự hoạt động của người dùng cuối, ứng dụng trong hệ thống, thiết bị

phần cứng cũng như các tài sản mạng đang hiện hữu, đồng thời cũng phải đảm bảo được

việc tuân thủ thực thi theo các chuẩn chính sách như ISO27001 hay PCI DSS trong khi

hệ thống mạng ngày càng rộng lớn, qui mô doanh nghiệp ngày càng mở rộng ? Trong

khi số lượng các log file tạo từ các thiết bị là vô cùng lớn, với các kiểu định dạng khác

nhau, mỗi file log từ các thiết bị mang lại một lượng thông tin khác nhau. Đồng thời, ở

5|Page



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

mỗi thiết bị khác nhau đem lại một khía cạnh, một cách nhìn khác nhau về cùng một sự

kiện an tồn thơng tin. Như vậy làm sao để có thể thu thập, đồng thời “xây dựng lên mối

quan hệ” giữa thông tin mà các thiết bị này đem lại một cách nhanh nhất ? Giải pháp mà

chúng ta đề xuất là xây dựng một hệ thống monitoring đơn thuần ? Liệu hệ thống

monitoring thơng thường đó có “đủ” đem lại thông tin mà chúng ta cần ?

Trước hết, xét đến các giải pháp phòng chống xâm nhập như Firewall, IDS/IPS, Proxy,

DLP,…. Với các giải pháp này, thường dùng cách tiếp cận “dùng phân tích để phân loại

các packet trong thời gian thực ” mà vì vậy chúng ta có thể phát hiện, cảnh báo và thậm

chí là ngăn chặn ( nếu như được cấu hình đúng ) các cuộc tấn cơng vào hệ thống. Tuy

nhiên, vẫn có khả năng các thiết bị này nhận lầm ( false positive ), không phát hiện được

cuộc tấn công ( false negative ) hoặc do lỗi của nhà quản trị bỏ sót. Các giải pháp này

vẫn thực hiện được việc ghi log lại những dấu hiệu bất thường hay thậm chí là cuộc tấn

công, tuy nhiên chúng chỉ ghi lại nhận một phần khía cạnh mà chúng hoạt động. Ví dụ:

giải pháp về Endpoint Security chỉ thu thập được thông tin về username, host, các file,

hoạt động của user trên một host cụ thể, giải pháp về IDS/IPS chỉ thu thập thông tin về

gói tin, giao thức, địa chỉ IP, Payload, giải pháp về Service Log ghi lại thông tin về user

login, session hoạt động,… Những thông tin này chỉ là điều kiện cần để có thể thực hiện

giám sát an ninh, nhưng vẫn chưa là điều kiện đủ để giám sát toàn hệ thống. Cái chúng

ta mong muốn là một cái nhìn tồn diện về hệ thống, về qui trình nghiệp vụ đang diễn

ra.

Tiếp đến, xét đến các giải pháp network monitoring thơng thường. Với giải pháp này,

dù là theo mơ hình agent / server hay agentless thì cung cấp khả năng thu thập log từ

các thiết bị mạng, các thiết bị đầu cuối : computer, server,… đem cho chúng ta cái nhìn

tổng quan chủ yếu là về performance của các thiết bị, đáp ứng đủ những nhu cầu công

việc hằng ngày. Tuy nhiên, các sự kiện này không phản ánh được đúng mức độ an ninh

của hệ thống, chẳng hạn một cơng việc backup vẫn có thể gây ảnh hưởng đến hiệu năng

mạng, có dấu hiệu “tương tự” như một cuộc tấn công nhưng thật chất không phải là một

cuộc tấn cơng thật sự. Để có thể kết luận là một cuộc tấn công, thực sự cần rất nhiều

“dấu hiệu” khác nhau. Vì vậy giải pháp network monitoring vẫn chưa “đủ”.



6|Page



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

I. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM

Tải bản đầy đủ ngay(0 tr)

×