EBOOKBKMT.COM
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS. Cao Minh Tuấn
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
EBOOKBKMT.COM
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VÀ TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN
MẠNG TRÊN NỀN TẢNG WAZUH
Ngành: An toàn thông tin
Mã số: 7.48.02.02
Sinh viên thực hiện:
Nguyễn Anh Phan
Lớp: AT12A
Người hướng dẫn:
ThS. Cao Minh Tuấn
Khoa An toàn thông tin – Học viện Kỹ thuật mật mã
Hà Nội, 2020
EBOOKBKMT.COM
MỤC LỤC
Danh mục kí hiệu và viết tắt.............................................................................. iii
Danh mục hình vẽ............................................................................................... iv
Danh mục bảng ................................................................................................... vi
Lời cảm ơn ......................................................................................................... vii
Lời nói đầu ........................................................................................................ viii
Chương 1. Giám sát an toàn thông tin trong mạng máy tính ......................... 1
1.1. Tổng quan về tình hình ATTT trong mạng máy tính hiện nay ..................... 1
1.2. Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC ........................... 3
1.3. Trung tâm điều hành ATTT SOC ................................................................. 4
1.3.1. Khái niệm trung tâm điều hành ATTT SOC ...................................... 4
1.3.2. Nguyên lý hoạt động của Trung tâm điều hành ATTT SOC.............. 5
1.3.3. Đối tượng, phạm vi giám sát của Trung tâm điều hành ATTT SOC5
1.4. Một số sản phẩm giám sát ATTT................................................................ 10
1.4.1. SIEMonster ...................................................................................... 11
1.4.2. ELK Stack ........................................................................................ 11
1.4.3. OSSIM .............................................................................................. 12
1.4.4. Security Onion ................................................................................. 12
1.4.5. IBM QRadar SIEM .......................................................................... 13
1.4.6. HP ArcSight SIEM ........................................................................... 13
1.5. Lợi ích của việc xây dựng Trung tâm điều hành ATTT SOC .................... 14
1.6. Kết luận chương 1 ....................................................................................... 14
Chương 2. Hệ thống giám sát an toàn thông tin wazuh ................................ 15
2.1. Giới thiệu về Wazuh ................................................................................... 15
2.2. Kiến trúc của Wazuh ................................................................................... 16
2.3. Phương thức liên lạc và luồng dữ liệu ........................................................ 17
2.3.1. Liên lạc giữa Wazuh agent và Wazuh server .................................. 18
2.3.2. Liên lạc giữa Wazuh và Elastic ....................................................... 18
2.4. Các thành phần chính trong Wazuh ............................................................ 18
2.4.1. Wazuh server.................................................................................... 18
2.4.2. Wazuh agent..................................................................................... 20
2.4.3. Elastic Stack..................................................................................... 21
2.5. Luật trong Wazuh ........................................................................................ 22
2.5.1. Các cấp độ luật của Wazuh ............................................................. 22
2.5.2. Phân loại luật .................................................................................. 26
2.6. Khả năng của Wazuh .................................................................................. 27
2.6.1. Phân tích bảo mật ............................................................................ 27
2.6.2. Phát hiện xâm nhập ......................................................................... 27
2.6.3. Phân tích dữ liệu nhật ký ................................................................. 27
2.6.4. Giám sát toàn vẹn tệp ...................................................................... 28
2.6.5. Phát hiện lỗ hổng ............................................................................. 28
2.6.6. Đánh giá cấu hình ........................................................................... 28
2.6.7. Ứng phó sự cố .................................................................................. 28
i
EBOOKBKMT.COM
2.6.8. Tuân thủ quy định ............................................................................ 29
2.6.9. Giám sát an ninh cloud .................................................................... 29
2.6.10. Bảo mật Containers ......................................................................... 29
2.7. Kết luận chương 2 ....................................................................................... 30
Chương 3. Xây dựng trung tâm điều hành an toàn thông tin dựa trên nền
tảng wazuh ......................................................................................................... 31
3.1. Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC ..................... 31
3.1.1. Nền tảng Trung tâm điều hành ATTT SOC ..................................... 31
3.1.2. Đề xuất tiêu chí xây dựng SOC ....................................................... 33
3.1.3. Đề xuất các bước xây dựng Trung tâm điều hành ATTT SOC ........ 37
3.1.4. Xây dựng các thành phần cơ bản của SOC ..................................... 40
3.2. Tích hợp wazuh trong trung tâm giám sát ATTT SOC .............................. 50
3.3. Thử nghiệm ................................................................................................. 53
3.3.1. Xây dựng hệ thống ........................................................................... 53
3.3.2. Kịch bản 01 ...................................................................................... 54
3.3.3. Kịch bản 02 ...................................................................................... 57
3.3.4. Kịch bản 03 ...................................................................................... 64
3.4. Kết luận chương 3 ....................................................................................... 70
Kết luận .............................................................................................................. 71
Tài liệu tham khảo............................................................................................. 72
Phụ lục ................................................................................................................ 74
ii
EBOOKBKMT.COM
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
ATTT
An toàn thông tin
CIS
Center of Internet Security
CNTT
Công nghệ thông tin
CVE
Common Vulnerabilities and Exposures
EDR
Endpoint Detection and Response
EPS
Events Per Second
HIDS
Host-based Intrusion Detection System
IDS
Intrusion Detection System
NAC
Network Access Control
OVAL
Open Vulnerability Assesment Language
PAM
Privileged Access Management
SOAR
Security Orchestration, Automation, and Response
SOC
Security Operations Center
TSLCD
Truyền số liệu chuyên dụng
TT&TT
Thông tin và truyền thông
TTDL
Trung tâm dữ liệu
XCCDF
Extensible Configuration Checklist Description Format
iii
EBOOKBKMT.COM
DANH MỤC HÌNH VẼ
Hình 1.1 Nguyên lý hoạt động của SOC ............................................................... 5
Hình 2.1 Mô tả về chức năng của hệ thống Wazuh ............................................ 15
Hình 2.2 Các nền tảng chính trong wazuh .......................................................... 15
Hình 2.3 Kiến trúc tổng quát ............................................................................... 17
Hình 2.4 Kiến trúc wazuh triển khai trên diện rộng............................................ 17
Hình 2.5 Kiến trúc luồng dữ liệu ........................................................................ 17
Hình 2.6 Quy trình xử lý dữ liệu trên wazuh server ........................................... 19
Hình 2.7 Quy trình xử lý dữ liệu trên wazuh agent ............................................ 20
Hình 3.1 Yếu tố quan trọng trong SOC .............................................................. 31
Hình 3.2 Các bước xây dựng trung tâm điều hành ATTT SOC ......................... 37
Hình 3.3 Thành phần cơ bản của trung tâm điều hành ATTT SOC ................... 40
Hình 3.4 Mô hình hạ tầng mạng trung tâm điều hành ATTT SOC .................... 41
Hình 3.5 Thành phần của hệ thống giám sát tập trung ....................................... 44
Hình 3.6 Mô hình triển khai hệ thống sử dụng wazuh ........................................ 52
Hình 3.7 Mô hình thử nghiệm ............................................................................. 54
Hình 3.8 Dashboard lỗ hổng hệ thống ................................................................ 56
Hình 3.9 Log của một lỗ hổng được phát hiện ................................................... 56
Hình 3.10 Thông tin JSON của lỗ hổng .............................................................. 57
Hình 3.11 Đăng ký nhận API của Virus Total miễn phí ..................................... 57
Hình 3.12 Tạo file trong thư mục........................................................................ 58
Hình 3.13 Thông tin hiển thị việc thêm file trên dashboard (1) ......................... 59
Hình 3.14 Thông tin hiển thị việc thêm file trên dashboard (2) ......................... 59
Hình 3.15 Log thêm file được ghi lại trên hệ thống............................................ 60
Hình 3.16 Nội dung dữ liệu được viết trong file................................................. 60
Hình 3.17 Virus Total tự động kiểm tra mã độc trong file mới được thêm ........ 61
Hình 3.18 Sửa nội dung tệp tin ........................................................................... 61
Hình 3.19 Thông tin về việc thay đổi nội dung file ............................................ 62
Hình 3.20 Thêm thư mục chứa mã độc ............................................................... 62
Hình 3.21 Virus Total tự động phát hiện mã độc trong thư mục mới thêm ....... 63
Hình 3.22 Kiểm tra thông tin trên Virus Total .................................................... 64
Hình 3.23 Kiểm tra kết nối mạng giữa máy Attacker và ubuntu agent .............. 66
Hình 3.24 Thực hiện SSH từ máy Attacker đến máy agent................................ 67
iv
EBOOKBKMT.COM
Hình 3.25 Thực hiện giả định tấn công SSH brute force .................................... 67
Hình 3.26 Attacker thực hiện ping đến agent ..................................................... 68
Hình 3.27 Attacker SSH đến agent ..................................................................... 68
Hình 3.28 Log ghi lại trên agent ......................................................................... 68
Hình 3.29 Log của thông tin chặn IP của Attacker ............................................. 69
Hình 3.30 Kết nối máy Attacker và agent khi hết thời gian chặn ....................... 69
Hình 3.31 Log trên dashboard về việc bỏ chặn IP của Attacker......................... 69
Hình 3.32 Thêm windows agent ......................................................................... 78
Hình 3.33 Sinh khóa chia sẻ trước của windows agent ...................................... 78
Hình 3.34 Đăng ký, kết nối đến wazuh server .................................................... 79
Hình 3.35 Xác nhận kết nối đến wazuh server ................................................... 79
Hình 3.36 Thêm ubuntu agent ............................................................................. 79
Hình 3.37 Sinh khóa chia sẻ trước của ubuntu agent .......................................... 80
Hình 3.38 Thêm key để kết nối với wazuh server .............................................. 80
Hình 3.39 Xác nhận kết nối đến wazuh server ................................................... 80
v
EBOOKBKMT.COM
DANH MỤC BẢNG
Bảng 2.1 Các cấp độ luật trong Wazuh .............................................................. 22
Bảng 3.1 Danh mục thiết bị trong trung tâm điều hành ATTT SOC…………...49
Bảng 3.2 Cấu hình máy ảo thử nghiệm ............................................................... 54
vi
EBOOKBKMT.COM
LỜI CẢM ƠN
Trong quá trình thực hiện đồ án tốt nghiệp này, em đã nhận được sự giúp
đỡ tận tình của cán bộ hướng dẫn là ThS. Cao Minh Tuấn – Giảng viên Khoa An
toàn thông tin Học viện Kỹ thuật Mật mã.
Đồng thời, em xin gửi lời cảm ơn đến các thầy cô trong Học viện Kỹ thuật
Mật mã đã truyền đạt cho em những kiến thức từ cơ bản đến nâng cao suốt năm
năm học giúp em có được những kiến thức cơ bản để em có thể hoàn thành được
đồ án này.
Em xin gửi lời cảm ơn tới các anh chị trong Trung tâm An ninh mạng –
Bkav đã nhiệt tình chia sẻ kiến thức giúp em học hỏi được rất nhiều trong quá
trình học tập và làm việc.
Do thời gian nghiên cứu và làm việc trong lĩnh vực an ninh mạng còn hạn
chế, vậy nên chắc chắn sẽ không thể tránh khỏi những thiếu sót khi thực hiện đồ
án, em rất mong nhận được sự góp ý từ thầy cô để có thể hoàn thiện tốt hơn đồ
án của mình.
Và cuối cùng em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người
thân đã quan tâm, góp ý và giúp đỡ em trong suốt quá trình học tập và nghiên
cứu, những điều kiện tốt nhất để em hoàn thành đồ án tốt nghiệp này.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
vii
EBOOKBKMT.COM
LỜI NÓI ĐẦU
Cùng với sự bùng nổ của internet và cách mạng công nghiệp 4.0 đã tạo
nên một xã hội toàn cầu, nơi mà mọi người có thể tương tác và liên lạc với nhau
một cách nhanh chóng và hiệu quả. Thật không thể phủ nhận được vai trò của
internet trong nhiều phương diện cuộc sống hàng ngày từ thương mại đến giải
trí, văn hóa, xã hô ̣i và giáo du ̣c… phu ̣c vu ̣ cho tiế n trình phát triể n đấ t nước bề n
vững. Nhưng thực tế trong những năm qua, tình hình an ninh mạng trên thế giới
diễn biến phức tạp và diễn ra nhiều cuộc tấn công có quy mô lớn. Mục tiêu của
các cuộc tấn công mạng rất đa dạng từ những thông tin cá nhân, những thông tin
về kinh doanh đến những mục tiêu chính trị với tầm ảnh hưởng lớn tới nhiều
quốc gia trên thế giới.
Trước sự leo thang của các cuộc tấn công mạng đòi hỏi sự ra đời của
những đơn vị chuyên môn, có khả năng xử lý nhanh các sự cố và giám sát liên
tục để phát hiện bất thường dù là nhỏ nhất. Mô hình Trung tâm điều hành ATTT
SOC là nơi xây dựng các giải pháp tổng thể nhằm ứng phó với các cuộc tấn
công được lên kế hoạch kỹ lưỡng.
Trung tâm điều hành ATTT SOC sẽ giúp các cơ quan tổ chức theo dõi,
giám sát những nguy cơ, rủi ro 24/7, từ đó phát hiện sớm các lỗ hổng, các cuộc
tấn công để chủ động ứng phó. Trung tâm thu thập dữ liệu từ nhiều nguồn như
NIDS, HIDS, raw log,....để có thể phân tích, tương quan dữ liệu từ đó đưa ra
cảnh báo ngay khi xuất hiện nguy cơ về cuộc tấn công như có lưu lượng truy cập
bất thường, có kết nối trái phép vào máy chủ hay hành vi dò quét trong mạng.
Chính vì vậy, các kết nối với máy chủ mã độc, các cuộc tấn công web hay
DDoS, APT đã bị chặn đứng khi mới chỉ là nguy cơ.
Nhận thấy tầm quan trọng của việc xây dựng Trung tâm điều hành ATTT
SOC là sự tất yếu,cấp thiết để đảm bảo an toàn, an ninh thông tin của các cơ
quan, tổ chức.Vì vậy, em đã quyết định chọn đề tài “Tìm hiểu và triển khai
trung tâm giám sát an toàn mạng trên nền tảng Wazuh”, nhằm xây dựng trung
tâm giám sát tích hợp nguồn thu thập log từ các thiết bị. Từ đó có thể phân tích
viii
EBOOKBKMT.COM
hành vi người dùng cũng như có khả năng phát hiện các cuộc tấn công diễn ra
trên một hay nhiều thiết bị.
SINH VIÊN THỰC HIỆN ĐỒ ÁN
Nguyễn Anh Phan
ix
EBOOKBKMT.COM
CHƯƠNG 1. GIÁM SÁT AN TOÀN THÔNG TIN TRONG MẠNG
MÁY TÍNH
1.1. Tổng quan về tình hình ATTT trong mạng máy tính hiện nay
Trong những năm qua, tình hình ATTT trên thế giới diễn biến phức tạp và
diễn ra nhiều cuộc tấn công có quy mô lớn. Trung bình cứ mỗi phút trôi qua có
mộttrang web, hệ thống bị tin tặc chiếm quyền kiểm soát.
Từ năm 2010, nhà máy điện nguyên tử Busher và cơ sở làm giàu urani
Natanz đã bị mã độc phá hoại gây trì hoãn các hoạt động phát triển hạt nhân của
Iran trong nhiều tháng liền.Thủ phạm gây ra các vụ tấn công này là virus
Stuxnet, với cơ chế hoạt động cực kỳ phức tạp, khai thác thành công một số lỗ
hổng chưa hề biết đến trước đó. Sau vụ việc này, Iran đã phải loại bỏ gần 10001
máy ly tâm khiến chương trình hạt nhân của nước bị gián đoạn ít nhất một năm.
Giữa năm 2012 nhóm hacker mang tên “Cutting Sword of Justice” đã tấn
công vào hệ thống của công ty dầu mỏ Saudi Aramco (công ty chiếm 10% lượng
dầu mỏ của cả thế giới). Hacker đã gửi một email lừa đảo đến một nhân viên
trong công ty, nhân viên này đã bấm vào đường dẫn trong email này, từ đó
hacker đã xâm nhập vào hệ thống. Cuộc tấn công đã xoá và làm hỏng dữ liệu
của khoảng 30.0002 máy tính của Saudi Aramco, khiến công ty này phải sử dụng
máy đánh chữ và máy fax để thực hiện các giao dịch.
Tháng 01/2015, các website của thủ tướng Angela Merkel và quốc hội
Đức bị tê liệt. Văn phòng của thủ tướng Đức xác nhận các website nói trên bị
ngừng hoạt động kể từ 9h sáng ngày 07/01/20153. Một nhóm tin tặc tự xưng là
CyberBerkut tuyên bố đã tiến hành cuộc tấn công mạng này để phản đối chuyến
thăm của Thủ tướng Ukraine Arseniy Yatsenyuk tới Berlin. Đến tháng 05/2015,
nữ phát ngôn viên của Quốc hội Đức tiếp tục tuyên bố một nhóm hacker chưa rõ
danh tính đã cố gắng xâm nhập vào mạng dữ liệu của quốc hội.
1
Stuxnet Worm Attack on Iranian Nuclear Facilities, http://large.stanford.edu/courses/2015/ph241/holloway1/
Cyber Threat Research, https://cyberthreatresearch.wordpress.com/hacktivist-groups/cutting-sword-of-justice/
3
Cyberattack in Germany Shuts Down Official Sites,
https://www.nytimes.com/2015/01/08/world/europe/german-government-websites-shut-down-and-ukrainegroup-claims-responsibility.html
2
1
EBOOKBKMT.COM
Tháng 07/2018, đại diện Bộ Y tế Singapore và Bộ Thông tin Truyền
thông nước này cho biết hệ thống dữ liệu của SingHealth, tổ chức bảo hiểm y tế
lớn nhất nước, đã bị tin tặc tấn công. Vụ tấn công đã tiếp cận và sao chép thông
tin cá nhân 1,5 triệu4 người dùng của SingHealth. Trong danh sách người dùng
của SingHealth bị rò rỉ thông tin cá nhân còn có thông tin của Thủ tướng
Singapore Lý Hiển Long. Đây là vụ tấn công mạng đánh cắp thông tin cá nhân
nghiêm trọng nhất ở Singapore từ trước đến nay.
Đối với Việt Nam, theo thông tin hãng an ninh mạng Kaspersky công bố
năm 2016, tại khu vực châu Á – Thái Bình Dương, nước ta là nước có số người
dùng gặp sự cố máy tính cao nhất (chiếm 68%)5, điển hình là lây nhiễm mã độc
mã hóa tống tiền (ransomware).
Năm 2016 cũng là năm xảy ra cuộc tấn công vào các cảng hàng không
quốc tế của Việt Nam, đây là vụ tấn công APT nhắm vào các hệ thống thông tin
quan trọng của Việt Nam.Vào 13 giờ 46 phút ngày 29/07/2016 tại Cảng hàng
không quốc tế Tân Sơn Nhất và 16 giờ 7 phút tại Cảng hàng không quốc tế Nội
Bài, các hệ thống máy tính làm thủ tục hàng không của Hãng Hàng không
VietJet Air, Vietnam Airline tại nhà ga quốc nội của sân bay Tân Sơn Nhất và
hệ thống hiển thị thông tin bao gồm màn hình thông tin chuyến bay, màn hình
máy tính phục vụ check-in tại quầy thủ tục của Vietnam Airline, hệ thống phát
thanh tại nhà ga khách T1 của sân bay Nội Bài bị tấn công xâm nhập phải dừng
hoạt động. Tại thời điểm này, hệ thống hiển thị các thông tin và phát ra âm thanh
sai lệch về vấn đề chủ quyền Biển Đông.Cùng thời điểm trên, website chính
thức của Vietnam Airline cũng bị tin tặc tấn công và thay đổi giao diện. Không
những thế, tin tặc còn để lại những công kích mang những nội dung bôi xấu Việt
Nam, Philippines và xuyên tạc về chủ quyền ở Biển Đông. Ngoài ra, tin tặc còn
phát tán một bảng danh sách ước tính hơn 400.0006 tài khoản hội viên Golden
Vụ tấn công mạng chấn động Singapore: đánh cắp thông tin cá nhân của 1,5 triệu người, trong đó có thủ tướng
Lý Hiển Long, https://cystack.net/
5
An ninh mạng tại Việt Nam năm 2014 đến năm 2017, https://securitybox.vn/391/an-ninh-mang-tai-viet-namnam-2014-den-nam-2017/
6
Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công, https://vnexpress.net/
4
2
EBOOKBKMT.COM
Lotus của Vietnam Airlines. Trong danh sách này có đầy đủ thông tin cá nhân
như ngày gia nhập, điểm tích luỹ, ngày hết hạn…
Theo đánh giá của Bộ TT&TT vào tháng 4/2019 về an toàn thông tin năm
2018, đa số Bộ, ngành, địa phương (70%)7được xếp hạng Ctức là quan tâm triển
khai ATTT ở mức trung bình, 17% cơ quan được đánh giá triển khai ATTT ở
mức khá và 13% cơ quan dừng ở mức Dtức là mới bắt đầu quan tâm đến ATTT.
Việc dữ liệu quan trọng của tổ chức bị đánh cắp diễn ra thường xuyên và trong
thời gian ngắn, những sự cố này chỉ được phát hiện ra sau vài tháng thậm chí vài
năm sau. Như vậy việc bị đánh cắp dữ liệu quan trọng xảy ra rất nhanh và lại
mất một thời gian rất dài để phát hiện ra. Kết quả thống kê này cho thấy tầm
quan trọng cần phải có một hệ thống ứng phó an ninh hiệu quả, trong đó giám
sát và ứng phó đóng vai trò cốt yếu.
1.2. Nhu cầu việc xây dựng Trung tâm điều hành ATTT SOC
Ngày nay, hoạt động tội phạm trên không gian mạng ngày càng gia tăng
về số vụ, thủ đoạn tấn công rất tinh vi gây thiệt hại nghiêm trọng về kinh tế, ảnh
hưởng tới văn hóa, xã hội tuy nhiên hệ thống bảo mật thông tin lại chưa được
đầu tư bài bản, chưa có phương án hay giải pháp cụ thể để phòng ngừa, cảnh báo
sớm các cuộc tấn công mạng.Do vậy, giải pháp về Trung tâm điều hành an toàn
thông tin là hệ thống cần thiết, hỗ trợ tích cực cho các tổ chức, doanh nghiệp
trong việc giám sát và nâng cao trạng thái an ninh hệ thống mạng của mình, sẵn
sàng phản ứng với các sự cố có thể xảy ra.
Trong những năm gần đây, khi tần suất các cuộc tấn công mạng trên thế
giới nói chung và ở Việt Nam nói riêng gia tăng ngày càng nhiều, mức độ
nghiêm trọng và tinh vi ngày càng cao, các biện pháp đảm bảo ATTT cũng được
các tổ chức, đơn vị chú ý và đầu tư bài bản hơn trước. Thay vì các giải pháp độc
lập, chuyên biệt chỉ xử lý được một khía cạnh của cuộc tấn công, các cơ quan, tổ
chức bị thuyết phục bởi các giải pháp tổng thể, đa tầng, nhiều lớp nhằm phát
hiện và giải quyết triệt để các mối nguy hại chưa từng có tiền lệ. Trung tâm điều
Bộ TT&TT công bố xếp hạng an toàn thông tin mạng của các cơ quan, tổ chức nhà nước năm 2018,
https://www.mic.gov.vn/
7
3
EBOOKBKMT.COM
hành an toàn thông tin SOC chính là một giải pháp tổng thể để theo dõi, giám sát
và phân tích các mối đe dọa đối với hệ thống mạng.
1.3. Trung tâm điều hành ATTT SOC
1.3.1. Khái niệm trung tâm điều hành ATTT SOC
Trung tâm điều hành ATTT SOC là nơi đội bảo mật thông tin chịu trách
nhiệm theo dõi và phân tích tư thế bảo mật của tổ chức một cách liên tục. Nhiệm
vụ của trung tâm là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng
bằng cách sử dụng kết hợp giữa con người, các giải pháp công nghệ và một bộ
quy trình mạnh mẽ. SOC hoạt động giám sát và phân tích hoạt động bảo mật
trên mạng, máy chủ, thiết bị đầu cuối, cơ sở dữ liệu, ứng dụng, trang web và các
hệ thống khác nhằm tìm kiếm các hoạt động bất thường có thể là dấu hiệu của
sự cố bảo mật hoặc xâm nhập trái phép. Trung tâm điều hành ATTT có trách
nhiệm đảm bảo rằng các sự cố về an ninh mạng tiềm ẩn luôn được xác định,
phân tích, bảo vệ, điều tra và báo cáo một cách chính xác.
4
EBOOKBKMT.COM
1.3.2. Nguyên lý hoạt động củaTrung tâm điều hành ATTT SOC
Hình 1.1 Nguyên lý hoạt động của SOC
Phát hiện
Phân tích
Phản ứng
Giám sát 24/7: Thiết bị Phân tích mã độc, phát Xác định chính xác rủi
mạng, máy chủ, cơ sở hiện bất thường, hành ro, phản ứng nhanh
dữ liệu, ứng dụng, thiết vi đáng ngờ.
chóng với sự cố, điều
bị bảo mật…
tra sự cố.
1.3.3. Đối tượng, phạm vi giám sát của Trung tâm điều hành ATTT SOC
1.3.3.1. Phạm vi giám sát
Phạm vi giám sát của SOC có thể là một hay nhiều hệ thống thông tin
hoặc một vùng mạng hoặc một đối tượng được giám sát cụ thể.
5
EBOOKBKMT.COM
Trong trường hợp phạm vi giám sát là một hệ thống thông tin được triển
khai tập trung tại một khu vực địa lý bao gồm các kết nối mạng nội bộ và mạng
internet mà không có kết nối mạng WAN.
Trong trường hợp phạm vi giám sát nhiều hệ thống thông tin là trường
hợp hệ thống thông tin tổng thể thuộc phạm vi quản lý của tổ chức nhưng các hệ
thống thành phần ở các khu vực địa lý khác nhau và có kết nối mạng diện rộng
về hệ thống tại trung tâm.
Trường hợp phạm vi giám sát là một vùng mạng như DMZ, vùng
CSDL,…thì các máy chủ, ứng dụng trong đó sẽ được coi là đối tượng thành
phần trong đối tượng giám sát là vùng mạng.
1.3.3.2. Đối tượng giám sát
Đối tượng giám sát củaTrung tâm điều hành ATTT SOC về cơ bản bao
gồm máy chủ, thiết bị bảo mật, thiết bị mạng, ứng dụng, dịch vụ, các thiết bị đầu
cuối và điểm giám sát trên đường truyền.
• Thiết bị mạng
• Thiế bị bảo mật
Giám sát
lớp
mạng
Giám sát
lớp máy
chủ
Giám sát
lớp đầu
cuối
Giám sát
lớp ứng
dụng
• Ứng dụng hệ
thống:
DHCP,VPN...
• HĐH:Linux
Windows, Unix
• Web
• Mail
• FPT
• CSDL...
• Máy tính cá nhân
• Máy in, máy fax
• IP camera, IP điện
thoại..
Hình 1.2 Đối tượng giám sát
6
EBOOKBKMT.COM
a. Giám sát lớp mạng
Việc triển khai giám sát ở lớp mạng cho phép hệ thống phát hiện:
- Các kết nối, truy vấn tới các máy chủ điều khiển mạng botnet (C&C
Server).
- Các file mã độc, URL nguy hiểm được truyền qua môi trường mạng
(với các giao thức không mã hóa) bằng cách giải mã giao thức, bóc
tách dữ liệu dạng file, URL đưa vào các hệ thống phân tích tự động.
- Các Shellcode, payload tấn công khai thác lỗ hổng phần mềm, dịch
vụ trong dữ liệu truyền tải trên mạng thông qua phân tích các dấu
hiệu đặc trưng.
- Các hành vi bất thường như dò quét mạng, dò quét tài khoản mật
khẩu mặc định, mật khẩu yếu,…
Phương án triển khai giám sát trên môi trường mạng phù hợp với việc
giám sát lưu lượng không sử dụng các giao thức mã hóa (SSH, VPN, TLS,
SSL..). Trường hợp, phương án kỹ thuật yêu cầu cần giám sát lưu lượng mạng
có mã hóa thì các thiết bị bảo mật phải có chức năng giải mã hoặc sử dụng thiết
bị giải mã chuyên dụng.
Tại mỗi điểm giám sát có thể triển khai 02 hình thức Inline và Passive.
- Hình thức Inline: Lưu lượng giám sát sẽ đi qua thiết bị giám sát,
bảo vệ như tường lửa, IDS/IPS… Ưu điểm của hình thức này là có
thể vừa phát hiện và thực hiện ngăn chặn tấn công mạng trực tiếp.
Tuy nhiên nhược điểm làm ảnh hưởng đến hiệu năng, thông lượng
của lưu lượng mạng do gói tin phải được kiểm tra hợp lệ mới được
cho phép đi qua thiết bị bảo vệ. Trong trường hợp hiệu năng của
thiết bị bảo vệ không đủ so với lưu lượng thực tế của hệ thống sẽ
làm tắc nghẽn hoặc gây gián đoạn hoạt động của hệ thống nếu thiết
bị bảo vệ xảy ra sự cố.
- Hình thức Passive: lưu lượng mạng sẽ được trích rút ra để phân tích
bằng cách sử dụng thiết bị trích rút dữ liệu chuyên dụng hoặc sử
7
EBOOKBKMT.COM
dụng chức năng SPAN port trên các switch. Ưu điểm hình thức này
là không làm ảnh hưởng đến hiệu năng, thông lượng lưu lượng
mạng. Tuy nhiên, hình thức này không ngăn chặn trực tiếp được
các tấn công mạng mà chỉ đưa ra cảnh báo. Để giải quyết vấn đề
này, giải pháp sử dụng cần có chức năng tương tác với các thiết bị
mạng, thiết bị bảo mật hay máy chủ để ngăn chặn tấn công.
b. Giám sát lớp máy chủ
Việc triển khai giám sát ở lớp máy chủ cho phép phát hiện:
- Các hành vi vi phạm chính sách truy cập, quản lý, thiết lập cấu hình
hệ điều hành, các dịch vụ hệ thống.
- Các kết nối của máy chủ ra các địa chỉ IP độc hại.
- Các hình thức tấn công mạng như tấn công khai thác điểm yếu, tấn
công dò quét và các dạng tấn công tương tự khác.
- Sự thay đổi trái phép của các tệp tin hệ thống.
- Các tiến trình có dấu hiệu bất thường về hành vi và việc sử dụng tài
nguyên máy chủ.
Việc triển khai giám sát ở lớp máy chủ cho phép giải quyết được vấn đề
của triển khai giám sát lớp mạng là thường không phụ thuộc vào các lưu lượng
mạng có mã hóa. Tuy nhiên, việc triển khai giám sát lớp máy chủ sẽ ảnh hưởng
đến tài nguyên của máy chủ và khả năng mở rộng phạm vi giám sát khi số lượng
máy chủ lớn.
Việc triển khai giám sát lớp máy chủ có thể triển khai theo hai hình thức
sau:
- Cài đặt phần mềm giám sát có chức năng phát hiện tấn công trực
tiếp trên máy chủ như HIDS, AV... Hình thức này chức năng phát
hiện tấn công hay các hành vi vi phạm được phát hiện trực tiếp và
gửi nhật ký cảnh báo về hệ thống quản lý tập trung.
- Gửi log về hệ thống giám sát tập trung như SIEM. Hình thức này
chức năng phát hiện tấn công mạng được thực hiện trên hệ thống
quản lý tập trung thông qua việc phân tích dấu hiệu, luật tương
8
EBOOKBKMT.COM
quan hay sử dụng công nghệ dữ liệu lớn. Việc gửi log về hệ thống
giám sát tập trung có thể thực hiện thông qua các giao thức hệ điều
hành hỗ trợ như Syslog, SNMP hoặc các Agent của những giải
pháp cụ thể.
Hình thức gửi log về hệ thống giám sát tập trung sẽ ít ảnh hưởng đến hiệu
năng của máy chủ so với hình thức trên. Tuy nhiên, hình thức này sẽ không thể
phát hiện được một số dạng tấn công mà giải pháp sử dụng cần phân tích nhiều
thông tin tương quan khác trên máy chủ.
Trường hợp gửi log về hệ thống giám sát tập trung thì cần lựa chọn nguồn
log có thông tin để phục vụ các giải pháp phát hiện tấn công. Nguồn log gửi về
cần tối thiểu có các thông tin sau:
- Thông tin kết nối mạng tới máy chủ (Firewall log).
- Thông tin đăng nhập vào máy chủ.
- Lỗi phát sinh trong quá trình hoạt động (nhật ký trạng thái hoạt
động của máy chủ).
- Thông tin về các tiến trình hệ thống.
- Thông tin về sự thay đổi các tập tin, thư mục trên hệ thống.
- Thông tin thay đổi cấu hình máy chủ.
c. Giám sát lớp ứng dụng
Việc triển khai giám sát lớp ứng dụng cho phép phát hiện:
- Các dạng tấn công vào lớp ứng dụng như SQLi, XSS...
- Tấn công dò quét, vét cạn mật khẩu, thư mục và khai thác thông tin.
- Tấn công thay đổi giao diện.
- Tấn công Phishing và cài cắm mã độc trên ứng dụng.
- Tấn công từ chối dịch vụ.
Việc triển khai giám sát ở mức mạng cũng có thể phát hiện các dạng tấn
công ở trên trong trường hợp lưu lượng mạng không có mã hóa.
Trường hợp gửi log về hệ thống giám sát tập trung thì cần lựa chọn nguồn
log có thông tin để phục vụ các giải pháp phát hiện tấn công. Nguồn log gửi về
cần tối thiểu có các thông tin sau:
9
EBOOKBKMT.COM
- Thông tin truy cập ứng dụng.
- Thông tin đăng nhập khi quản trị ứng dụng.
- Thông tin các lỗi phát sinh trong quá trình hoạt động.
- Thông tin thay đổi cấu hình ứng dụng.
d. Giám sát lớp thiết bị đầu cuối
Các thiết bị đầu cuối bao gồm máy tính người dùng và các thiết bị khác
không hỗ trợ cài đặt các phần mềm bảo vệ. Việc giám sát bảo vệ máy tính của
người sử dụng có thể thực hiện tương tự như đối với máy chủ. Còn các thiết bị
đầu cuối khác không hỗ trợ cài đặt phần mềm bảo vệ thì có thể triển khai giám
sát theo hai hình thức sau: Bật chức năng gửi Syslog trên thiết bị hoặc kết nối,
lấy dữ liệu về để phân tích sử dụng giao thức SNMP (hoặc giao thức có chức
năng tương đương).
1.4. Một số sản phẩm giám sát ATTT
SIEM (Security Information and Event Management) là một giải pháp
phần mềm kết hợp SIM và SEM thành một hệ thống quản lý bảo mật. Chức
năng cơ bản của SIEM là thu thập, lưu trữ và phân tích dữ liệu từ nhiều hệ thống
và xác định các cuộc tấn công mạng tiềm ẩn và phản ứng các hành động đối với
sự kiện đó. Để bảo vệ hệ thống mạng khỏi các cuộc tấn công, các hệ thống
SIEM đang dần trở thành nên tảng cho các mô hình bảo mật. Các hệ thống
SIEM không phải là một công cụ đơn lẻ mà thay vào đó nó bao gồm nhiều thành
phần giám sát và phân tích.
Có những giải pháp nền tảng độc quyền cung cấp giải pháp SIEM bao
gồm tất cả trong một như LogRhythm, Qradar và ArcSight. Các giải pháp này
có thể trở nên khá tốn kém đặc biệt là về lâu dài trong các tổ chức lớn. Vì
vậy, một xu thế là nhiều đơn vị tìm kiếm một nền tảng SIEM mã nguồn mở.
Nhưng liệu rằng có một nền tảng mã nguồn mở nào có thể bao gồm tất cả các
thành phần của hệ thống SIEM cơ bản hay không? Câu trả lời đơn giản được
đưa ra là không có. Không có hệ thống SIEM mã nguồn mở nào mà hoàn hảo
tất cả trong một. Các giải pháp hiện tại hoặc thiếu sự tương quan sự kiện và
10
EBOOKBKMT.COM
báo cáo hoặc yêu cầu kết hợp với các công cụ khác. Phần dưới đây, đồ án sẽ
trình bày về một số nền tảng sử dụng cho việc thu thập, phân tích và quản lý
các sự kiện bảo mật.
1.4.1. SIEMonster
Đây là công nghệ mã nguồn mở phổ
biến nhất có sẵn miễn phí và dưới dạng
nguồn trả phí. Nó đi kèm với phần mềm
bảo mật tùy chỉnh có thể mở rộng phù hợp
cho tất cả các loại tổ chức. Các thành phần
cơ bản là sự kết hợp của nhiều giải pháp
mã nguồn mở nổi tiếng. ELK Stack được
sử dụng để xử lý, lưu trữ và trực quan hóa dữ liệu được thu thập. RabbitMQ được
sử dụng để quản lý hàng đợi tin nhắn. Search Guard được sử dụng đễ mã hóa bảo
vệ luồng dữ liệu trong Elastic Stack hay Wazuh để dùng với mục đích HIDS. Từ
góc độ chức năng, SIEMonster bao gồm các tính năng mà các nhà phân tích, bảo
mật mong muốn. Người dùng có thể truy cập giao diện Kibana để tìm kiếm và hiển
thị dữ liệu, giao diện MineMeld dùng để tìm kiếm những mối đe dọa. Tính năng
nồi bật của SIEMonster là:
- Hành vi người dùng: Tương quan các hành vi của người dùng để làm
giàu thông tin các cảnh báo qua đó giảm thiểu các thông báo sai.
- Threat Intelligence: Thu thập dữ liệu từ các nguồn khác nhau để ngăn
chặn các cuộc tấn công thời gian thực
- Học sâu (Deep Learning): Phân tích hành vi của con người sau đó đưa ra
sự tương đồng với các sự kiện và dữ liệu trong quá khứ để xem xét bất
kỳ sự khác biệt nào.
1.4.2. ELK Stack
ELK Stack là công cụ mã nguồn mở phổ biến nhất hiện nay. Nó là một
phần kiến trúc của Apache Metron, SIEMonster và Wazuh. Nó bao gồm nhiều
sản phẩm SIEM miền phí: Elasticsearch, Logstash, Kibana.
11
EBOOKBKMT.COM
- Elasticsearch: Lập chỉ mục và lưu
trữ dữ liệu và sử dụng cơ chế xếp
hàng để các kết nối dữ liệu được
duy trì.
- Logstash: Tiếp nhận log từ nhiều
nguồn khác nhau và chuẩn hóa dữ
liệu thu được và ghi dữ liệu vào
Elasticsearch.
- Kibana: Cung cấp giao diện trực quan hóa dữ liệu cho người dùng.
- Beats: Một tập các công cụ thu thập, vận chuyển thông tin chuyên dụng
từ client tới máy chủ ELK.
1.4.3. OSSIM
OSSIM
(Open
Source
Security
Information Management) là một mã nguồn
mở quản lý thông tin và sự kiện an ninh bao
gồm tập hợp các công cụ được thiết kế để trợ giúp các nhân viên quản trị phát
hiện và phòng chống xâm nhập.
OSSIM bao gồm các thành phần SIEM chính, cụ thể là thu thập, xử lý và
chuẩn hóa sự kiện. Quan trọng nhất là OSSIM có sự tương quan sự kiện.
OSSIM tích hợp nhiều các mã nguồn mở vào hệ thống như: Snort,
Suricata, OSSEC, OpenVAS, Nagios, Munin, FProbe,…
1.4.4. Security Onion
Security Onion (SO) là một bản phân
phối của Linux được thiết kế để phát hiện xâm
nhập và giám sát an toàn mạng bao gồm Snort,
Suricata,
Squert,
Snorby,
Bro
(Zeek),
NetworkMiner, Xplico, Sguil và nhiều các công cụ an toàn khác.
Đây là bộ công cụ rất hữu dụng trong giảng dạy và học tập ngoài ra SO
còn được sử dụng cho các văn phòng và mạng cá nhân. Với việc cài đặt khá đơn
12
EBOOKBKMT.COM
giản, người dùng có thể có một hệ thống giám sát an toàn mạng với đầy đủ các
tính năng thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu.
1.4.5. IBM QRadar SIEM
IBM Qradar là một giải pháp tổng thể, hoạt
động như một trung tâm giám sát, bảo mật cho cở
quan tổ chức. Với giao diện người dùng trực quan
được tích hợp với nhiều sản phẩm của IBM nói
riêng và các hãng công nghệ khác khiến giải pháp
QRadar là giải pháp toàn diện cho hệ thống.
Trong QRadar SIEM, công cụ phân tích Sense Analytics Engine là trung
tâm của giải pháp dùng để ghi nhận các sự kiện, log thời gian thực cũng như các
luồng dữ liệu qua hệ thống mạng. Qua đó có thể phát hiện được các lỗ hổng bảo
mật, xâm nhập trái phép từ bên ngoài. QRadar SIEM có thể triển khai cài đặt
đơn giản, dễ dàng cùng với khả năng mở rộng, hợp nhất dữ liệu thu thập được từ
nhiều nguồn giúp nhanh chóng xác định và khắc phục các cuộc tấn công.
1.4.6. HP ArcSight SIEM
ArcSight tận dụng nhiều nền tảng bảo mật
mở, có thể kết nối với hơn 450 loại nguồn dữ liệu
để thu thập, tổng hợp, làm giàu dữ liệu trước khi
đưa vào phân tích.
Giải pháp ArcSight SIEM cho phép nhận dạng, đánh giá và phản hồi
nhanh chóng đối với các tấn công mạng hay các mối đe dọa từ bên trong. Ngoài
ra, ArcSight cho phép trao đổi thông tin, dữ liệu từ nhiều hệ thống khác nhau
cung cấp khả năng phát hiện mối đe dọa hiệu quả hơn với ít thông tin sai khiến
cho SOC hoạt động hiệu quả hơn.
13
EBOOKBKMT.COM
Từ những giải pháp kể trên, có thể thấy nhiều nền tảng giám sát ATTT có
tích hợp Wazuh bên trong hệ thống. Wazuh là một giải pháp HIDS được phát
triển trên nền tảng từ OSSEC nhưng bây giờ nó là giải pháp độc lập. Nó cảnh
báo dựa trên thời gian thực, phân tích nhật lý và phát hiện rootkit và có khả năng
hiển thị bảo mật bằng cách giám sát host tại một hệ điều hành. Wazuh giám sát
và đưa ra phản hồi ngay lập tức về các mối đe dọa mới. Trong chương 2, đồ án
này sẽ giới thiệu chi tiết hơn về giải pháp Wazuh.
1.5. Lợi ích của việc xây dựng Trung tâm điều hành ATTT SOC
Một trong những lợi ích chính của việc có Trung tâm điều hànhATTT là
cải thiện phát hiện các sự cố bảo mật thông qua giám và phân tích liên tục.
Thông qua hoạt động này, trung tâmcó thể phân tích mạng, máy chủ và cơ sở dữ
liệu nhằm đảm bảo phát hiện kịp thời các sự cố về an ninh mạng. Ngoài ra
Trung tâm điều hànhATTT SOC còn hoạt động 24/7 để có thể cung cấp cho các
cơ quan, tổ chức lợi thế trong việc trong việc bảo vệ hệ thống một cách chủ
động chống lại sự xâm nhập trái phép bất kể loại tấn công gì, bất cứ lúc nào.
1.6. Kết luận chương 1
Trung tâm điều hành an toàn thông tin SOC là giải pháp tổng thể nhằm
đảm bảo an ninh mạng cho các cơ quan tổ chức. Trong phạm vi chương này, đồ
án đã nêu những nét khái quát về Trung tâm điều hành ATTT SOC và giới thiệu
một số sản phẩm giám sát phổ biến trên thị trường. Qua đó có thể thấy rằng,
muốn cải thiện khả năng phát hiện sự cố, những nguy cơ tiềm ẩn thông qua giám
sát và phân tích dữ liệu liên tục thì việc xây dựng trung tâm là điều tất yếu của
các cơ quan, tổ chức. Và để có thể rà soát và phản ứng với các mỗi nguy hại
tiềm ẩn 24/7, điều kiện tiên quyết là phải thu thập dữ liệu trong hệ thống. Dữ
liệu thu thập từ các thiết bị mạng, thiết bị bảo mật, thiết bị đầu cuối là một phần
dữ liệu được Trung tâm điều hành ATTT SOC thu thập và phân tích xử lý. Do
vậy, trong các chương sau, đồ án này sẽ đề cập đến dữ liệu được thu thập từ hệ
thống HIDS.
14
EBOOKBKMT.COM
CHƯƠNG 2. HỆ THỐNG GIÁM SÁT AN TOÀN THÔNG TIN
WAZUH
2.1. Giới thiệu về Wazuh
Wazuh là một giải pháp giám sát an ninh
miễn phí, mã nguồn mở dùng cho việc bảo vệ
an ninh, phát hiện mối đe doa, giám sát toàn
vẹn và ứng phó sự cố.
Dưới đây là mô tả ngắn gọn về công cụ này có thể làm:
Hình 2.1 Mô tả về chức năng của hệ thống Wazuh
Wazuh được sinh ra như một nhánh của OSSEC HIDS và sau đó được tích
hợp với OpenSCAP và Elastic Stack.
Hình 2.2 Các nền tảng chính trong wazuh
15
EBOOKBKMT.COM
OSSEC HIDS: host-based Intrusion Detection System (HIDS) được dùng
cho việc phát hiện xâm nhập, hiển thị và giám sát. Nó dựa trên một agent (tác
nhân) đa nền tảng cho việc đẩy dữ liệu hệ thống (log message, file hash và phát
hiện bất thường) tới một máy quản lý trung tâm, nơi sẽ phân tích và xử lý dẫn
đến các cảnh báo an ninh. Các agent truyền dữ liệu sự kiện tới máy quản lý
trung tâm thông qua kênh được bảo mật và xác thực. Ngoài ra, OSSEC HIDS
cung cấp syslog máy chủ trung tâm và hệ thống giám sát cấu hình không có
agent cung cấp cái nhìn sâu sắc về bảo mật đối với các các sự kiện và thay đổi
trên các thiết bị không cài được agent như firewall, switch, router, access point,
thiết bị mạng....
OpenSCAP là một trình thông dịch OVALvà XCCDF được sử dụng để
kiểm tra cấu hình hệ thống và phát hiện các ứng dụng dễ bị tấn công. Nó được
biết đến như là một công cụ được thiết kế để kiểm tra việc tuân thủ an ninh của
hệ thống sử dụng các tiêu chuẩn an ninh dùng cho môi trường doanh nghiệp.
Elastic Stack là một bộ phần mềm (Filebeat, Elasticsearch, Kibana)được sử
dụng để thu thập, phân tích, lập chỉ mục (index), lưu trữ, tìm kiếm và hiển thị dữ
liệu log. Nó cung cấp một giao diện người dùng web về các sự kiện cho phép
phân tích nâng cao và khai thác dữ liệu vào sâu trong kho dữ liệu.
2.2. Kiến trúc của Wazuh
Kiến trúc Wazuh dự trên các agent chạy trên các máy chủ được giám sát
để chuyển tiếp log đến một máy chủ trung tâm. Ngoài ra, các thiết bị không cài
được agent (như tường lửa, switch, router, access points,…) được hỗ trợ và có
thể chủ động gửi log thông qua syslog hoặc thăm dò định kỳ các thay đổi cấu
hình của chúng để sau đó chuyển dữ liệu đến máy chủ trung tâm. Máy chủ trung
tâm giải mã và phân tích thông tin đến và chuyển các kết quả đến cụm
Elasticsearch để lập chỉ mục và lưu trữ.
Một cụm Elasticsearch là một tập hợp của nhiều nút(máy chủ) giao tiếp
với nhau để thực hiện các hoạt động đọc và ghi trên các chỉ mục. Việc triển khai
Wazuh nhỏ (<50 agent) có thể xử lý bởi một cụm đơn. Dưới đây là mô hình
triển khai đối với hệ thống Wazuh nhỏ:
16
EBOOKBKMT.COM
Hình 2.3Kiến trúc tổng quát
Các cụm nhiều nút được đề xuất khi hệ thống giám sát số lượng agent lớn
và cần có tính sẵn sàng cao.
Hình 2.4Kiến trúc wazuh triển khai trên diện rộng
Khi máy chủ Wazuh và cụm Elasticsearch nằm trên các máy chủ khác
nhau, Filebeat được sử dụng để chuyển tiếp an toàn các cảnh báo hoặc các sự
kiện được lưu trữ đến các máy chủ Elasticsearch bằng mã hóa TLS.
2.3. Phương thức liên lạc và luồng dữ liệu
Hình 2.5Kiến trúc luồng dữ liệu
17
EBOOKBKMT.COM
2.3.1. Liên lạc giữa Wazuh agent và Wazuh server
Các Wazuh agent sử dụng giao thức tin nhắn OSSEC để gửi các sự kiện
thu thập đến Wazuh server qua cổng 1514 (UDP hoặc TCP). Sau đó, Wazuh
server giải mã và kiểm tra luật các sự kiện nhận được bằng công cụ phân tích.
Các sự kiện thực hiện quy tắc được tăng cường với dữ liệu cảnh báo như ID luật
và tên luật. Các sự kiện có thể được lưu vào một hoặc cả hai tệp sau:
- /var/ossec/logs/archives/archives.json: chứa tất cả các sự kiện cho dù
có phù hợp với luật đã được cấu hình hay không.
- /var/ossec/logs/alerts/alerts.json: chỉ chứa các sự kiện khi phù hợp với
một luật đã được cấu hình.
Giao thức tin nhắn Wazuh sử dụng mã hóa Blowfish 192 bit với thực hiện
đầy đủ 16 vòng, hoặc mã hóa AES với 128 bit cho mỗi khối và khóa 256 bit.
2.3.2. Liên lạc giữa Wazuh và Elastic
Wazuh server sử dụng Filebeat để gửi dữ liệu cảnh báo và sự kiện đến
máy chủ Elasticsearch bằng mã hóa TLS.
Filebeat định dạng dữ liệu đến và làm phong phú thêm thông tin với
GeoIP trước khi gửi nó đến Elasticsearch (cổng 9200/TCP). Sau khi dữ liệu
được lập chỉ mục vào Elasticsearch, Kibana (cổng 5601/TCP) được sử dụng để
khai thác và trực quan hóa thông tin.
Ứng dụng Wazuh chạy bên trong Kibana liên tục truy vấn API RESTful
(cổng 55000/TCP trên trình quản lý Wazuh) để hiển thị thông tin liên quan đến
cấu hình và trạng thái của máy chủ và agent, cũng như để khởi động lại các
agent khi muốn. Giao tiếp này được mã hóa bằng TLS và được xác thực bằng
tên người dùng và mật khẩu.
2.4. Các thành phần chính trong Wazuh
2.4.1. Wazuh server
Thành phần máy chủ phụ trách việc phân tích dữ liệu nhận từ agent, tạo
các ngưỡng cảnh báo khi mộtsự kiện được ánh xạ với luật (phát hiện xâm nhập,
thay đổi file, cấu hình không tuân thủ chính sách, rootkit...).
18
EBOOKBKMT.COM
Hình 2.6Quy trình xử lý dữ liệu trên wazuh server
Máy chủ thường chạy trên một máy vật lý độc lập, máy ảo, hoặc cloud và
chạy các thành phần agent với mục đích giám sát chính nó. Một số thành phần
máy chủ chính là:
- Dịch vụ đăng ký (Registration service): Được dùng để đăng ký agent
mới bằng cách cung cấp và phân phối các khóa xác thực được chia sẻ
trước, các khóa này là duy nhất đối với mỗi agent. Quá trình này chạy
như mộtdịch vụ mạng và hỗ trợ việc xác thực qua TLS/SSL hoặc mật
khẩu cố định.
- Dịch vụ daemon từ xa (Remote daemon service): Đây là dịch vụ nhận dữ
liệu từ agent. Nó sử dụng các khóa chia sẻ trước để xác thực định danh
của mỗi agent và mã hóa giao tiếp với chúng.
- Phân tích daemon (Analysis daemon): Đây là quá trình thực hiện việc
phân tích dữ liệu. Nó sử dụng các bộ giải mã để nhận dạng thông tin
được xử lý (các Windows event, SSHD logs...) và sau đó giải nén các
yếu tố dữ liệu thích hợp từ log message (source ip, event id, user...). Sau
đó, bằng cách sử dụng các luật được định nghĩa trước đó, nó sẽ tạo các
ngưỡng cảnh báo thậm chí ra lệnh để thực hiện các biện pháp đối phó tự
động như chặn IP trên tường lửa.
19
EBOOKBKMT.COM
- RESTful API: Cung cấp giao diện để quản lý và giám sát cấu hình và
trạng thái triển khai của các agent. Nó cũng được dùng bởi giao diện web
Wazuh-ứng dụng Kibana.
2.4.2. Wazuh agent
Wazuh agent chạy trên các hệ điều hành như: Windows, Linux, Solaris,
BSD hoặc MAC OS. Nó được dùng để thu thập các dạng khác nhau của dữ liệu
hệ thống và ứng dụng. Dữ liệu được chuyển tới Wazuh server thông qua một
kênh được mã hóa và xác thực.
Các agent có thể dùng để giám sát server vật lý, máy ảo, cloud instance
(AWS, Azure hoặc Google cloud). Các các cài đặt pre-compile agent có sẵn cho
các hệ điều hành: Linux, HP-UX, AIX, Solaris, Windows và Darwin (Mac OS
X).
Các tác vụ hoặc tiến trình của agent khác nhau được dùng để giám sát hệ
thống theo các cách khác nhau (ví dụ: giám sát sự thay đổi về file, đọc log, quét
các thay đổi hệ thống).
Sơ đồ sau thể hiện các tác vụ và quy trình nội bộ ở agent.
Hình 2.7 Quy trình xử lý dữ liệu trên wazuh agent
Tất cả các process agent có mục tiêu và thiết lập khác nhau.
- Rootcheck: Thực hiện các tác vụ liên quan đến phát hiện về
Rootkits, phần mềm độc hại và sự bất thường của hệ thống. Nó
20
EBOOKBKMT.COM
chạy một số công cụ kiểm tra an ninh cơ bản dựa vào các file cấu
hình hệ thống.
- Log Collector: Dùng để đọc và thu thập các log message, bao gồm
các các tệp nhật ký phẳng, Windows event log và thậm chí là
Windows Event Channel. Nó cũng được cấu hình để chạy định kỳ
và bắt một số đầu ra của các câu lệnh cụ thể.
- Syscheck: Quá trình này thực hiện giám sát toàn vẹn file (FIM). Nó
cũng có thể giám sát registry key trên Windows. Nó sẽ bắt các thay
đổi về nội dung file, quyền và các thuộc tính khác, cũng như phát
hiện việc tạo và xóa file. Mặc dù nó thực hiện quét FIM định kỳ
theo mặc định, nó cũng có thể cấu hình để giao tiếp với nhân hệ
điều hành để phát hiện các thay đổi file trong thời gian thực và tạo
báo cáo thay đổi chi tiết.
- OpenSCAP: Định kỳ quét hệ thống, nó sẽ phát hiện được các ứng
dụng và cấu hình dễ bị tấn công, không tuân theo các tiêu chuẩn nổi
tiếng. Ví dụ như các tiêu chuẩn được xác định trong tiêu chuẩn CIS.
- Agent Daemon: Quá trình nhận dữ liệu được tạo hoặc được thu thập
bởi tất cả các thành phần agent khác. Nó nén, mã hóa và phân phối
dữ liệu tới server thông qua kênh được xác thực. Quá trình này chạy
trong một môi trường bị cô lập, có nghĩa rằng nó sẽ hạn chế truy
cập tới các hệ thống được giám sát. Điều này cải thiện bảo mật cho
agent vì đây là quá trình duy nhất kết nối tới mạng.
Chú giải:
- Rootkits: Phần mềm hoặc công cụ phần mềm che giấu sự tồn tại của một
phần mềm khác, thường là virus xâm nhập vào hệ thống.
- Malware: Mọi loại mã gây hại trên máy tính người dùng: spyware,
trojan, virus...
2.4.3. Elastic Stack
Wazuh tích hợp với Elastic Stack để cung cấp dữ liệu đã được giải mã và
đánh chỉ mục bởi Elasticsearch, cũng như giao diện web thời gian thực cho việc
21
EBOOKBKMT.COM
cảnh báo và phân tích log. Một chỉ mục Elasticsearch là một tập hợp các
document có một chút các đặc trưng tương tự nhau (như các trường chung hoặc
các yêu cầu về lưu trữ dữ liệu). Wazuh sử dụng 3 chỉ mục khác nhau, được tạo
hàng ngày và lưu trữ các dạng event khác nhau:
- Wazuh-alert: Chỉ mục cho các cảnh báo được sinh ra bởi Wazuh server
mỗi khi một sự kiện ứng với luật tạo ra.
- Wazuh-events: Chỉ mục cho tất cả các sự kiện (archive data) được nhận từ
các agent, bất kể có ánh xạ với luật hay không.
- Wazuh-monitoring: Chỉ mục cho dữ liệu liên quan đến trạng thái agent.
Nó được dùng bởi giao diện web cho việc hiển thị agent đã hoặc đang "Active",
"Disconnect" hoặc "Never connected".
2.5. Luật trong Wazuh
Luật (rules) là một phần vô cùng quan trọng trong Wazuh, nó chính là cốt
lõi trong việc đảm bảo hệ thống Wazuh có được hoạt động theo quy trình, chính
xác và hiệu quả hay không. Các luật được hệ thống sử dụng để phát hiện các
cuộc tấn công xâm nhập, sự cố cấu hình, phần mềm độc hại, rootkits,…
2.5.1. Các cấp độ luật của Wazuh
Wazuh có 16 cấp độ luật
Bảng 2.1 Các cấp độ luật trong Wazuh
Mức độ
Tiêu đề
Mô tả
Không thực hiện hành động nào. Được sử
dụng để tránh cảnh báo giả. Khi gặp luật có
cấp độ này thì sẽ không có thông báo. Các
0
Ignored
luật này được quét trước tất cả các luật
khác. Chúng bao gồm các sự kiện không có
sự liên quan về bảo mật.
1
None
System low priority
Thông báo hệ thống hoặc thông báo trạng
22
EBOOKBKMT.COM
2
3
notification
thái. Không có sự liên quan về bảo mật.
Successful/Authorized
Bao gồm các lần đăng nhập thành công,
events
tường lửa cho phép sự kiện, v.v.
Các lỗi liên quan đến cấu hình hoặc thiết
4
System low priority
error
bị/ứng dụng không sử dụng. Chúng không
có sự liên quan về bảo mật và thường được
gây ra bởi các cài đặt mặc định hoặc kiểm
thử phần mềm.
Chúng bao gồm mật khẩu bị bỏ lỡ, hành
5
User generated error
động bị từ chối, v.v. Chính chúng không có
sự liên quan về bảo mật.
Chúng chỉ ra một con sâu hoặc virus không
ảnh hưởng đến hệ thống (như mã màu đỏ
6
Low relevance attack
cho các máy chủ apache, vv). Chúng cũng
bao gồm các sự kiện IDS thường xuyên và
các lỗi thường xuyên.
Chúng bao gồm các từ như "bad", "error",
7
“Bad word” matching
v.v. Những sự kiện này hầu như không
được phân loại và có thể có một số mức độ
liên quan về bảo mật
Bao gồm các sự kiện lần đầu tiên được
xem. Lần đầu tiên một sự kiện IDS được
First time seen
kích hoạt hoặc lần đầu tiên người dùng
đăng nhập. Nếu bạn mới bắt đầu sử dụng
8
OSSEC HIDS, những thông báo này có thể
23
EBOOKBKMT.COM
sẽ thường xuyên. Sau một thời gian sẽ
giảm dần, Nó cũng bao gồm các hành động
bảo mật có liên quan (như bắt đầu của một
sniffer)
Bao gồm các lần đăng nhập dưới dạng
người dùng không xác định hoặc từ nguồn
9
Error from invalid
không hợp lệ. Có thể có sự liên quan về
source
bảo mật (đặc biệt nếu được lặp lại). Chúng
cũng bao gồm các lỗi liên quan đến tài
khoản "quản trị" (root)
Chúng bao gồm nhiều mật khẩu không hợp
10
Multiple user generated
errors
lệ, nhiều lần đăng nhập không thành công,
v.v. Họ có thể chỉ ra một cuộc tấn công
hoặc có thể chỉ là người dùng vừa quên
thông tin đăng nhập của mình
Chúng bao gồm các thông báo liên quan
đến việc sửa đổi các tệp nhị phân hoặc sự
hiện diện của rootkit (bằng kiểm tra root).
11
Integrity checking
Nếu bạn chỉ cần sửa đổi cấu hình hệ thống
warning
của bạn, bạn sẽ được báo về các thông báo
"syscheck". Nó có thể chỉ ra một cuộc tấn
công thành công. Cũng bao gồm các sự
kiện IDS sẽ bị bỏ qua (số lần lặp lại cao)
Chúng bao gồm các thông báo lỗi hoặc
12
High importancy event
cảnh báo từ hệ thống, hạt nhân, v.v. Chúng
có thể chỉ ra một cuộc tấn công chống lại
một ứng dụng cụ thể
24
EBOOKBKMT.COM
13
14
Unusual error (high
Hầu hết các lần khớp với một kiểu tấn
importance)
công chung.
High importance
security event
15
Severe attack
Hầu hết thời gian được thực hiện với sự
tương quan và nó chỉ ra một cuộc tấn công.
Cần chú ý ngay lập tức.
Luật trong Wazuh được hỗ trợ quản lý theo nhóm, các bộ luật được xây
dựng sẵn trong hệ thống Wazuh thuộc 12 nhóm sau:
- invalid_login
- authentication_success
- authentication_failed
- connection_attempt
- attacks
- adduser
- sshd
- ids
- firewall
- squid
- apache
- syslog
Đặc biệt: admin có thể tự tạo một group chứa một hoặc nhiều bộ luật mới.
Một vài thuộc tính của mộtluật trong Wazuh:
- Level (bắt buộc phải có): thể hiện mức độ của luật, Wazuh có 16
cấp độ từ 0-15.
- ID (bắt buộc phải có): id của luật, mỗi luật sẽ có một id riêng biệt
không trùng lặp và là 1 trong các số từ 100-99999. (Khi tạo một
luật mới nên đặt id từ khoảng 100.000 đến 120000).
25
EBOOKBKMT.COM
- Maxsize: chỉ định kích thước tối đa của sự kiện thu thập, là một
trong các số từ 1-99999.
- Frequency: chỉ định số lần luật được kiểm tra trước khi thực hiện.
Số lần kích hoạt phải gấp đôi số lần cài đặt. Ví dụ: tần số = 2 thì
luật phải được so sánh 4 lần.
- Timeframe: khung thời gian tính bằng giây, được sử dụng để kết
hợp với frequency.
- Ignore: thời gian (tính bằng giây) bỏ qua rule này.
- Overwrite: Cho phép chỉnh sửa luật.
2.5.2. Phân loại luật
Trong Wazuh, luật được chia thành 2 loại: Luật nguyên tố và luật kết hợp:
Luật nguyên tố-các luật xử lý một sự kiện, cảnh báo, thông báo hay hành
động ứng phó sẽ xuất hiện khi có một sự kiện thỏa mãn. Ví dụ: Bao nhiêu lần
đăng nhập thất bại sẽ xuất hiện bấy nhiêu lần thông báo.
<rule id="100000" level="7">
<listlookup="match_key"
field="srcip">path/to/list/file</list>
<description>Checking srcip against cdb list
file</description>
</rule>
- Luật kết hợp–xử lý nhiều sự kiện một lúc trong một luật:
Có thể sử dụng với thẻ Frequency và Timeframe để xử lý một xự kiện
được diễn ra nhiều lần.
Các luật được kết hợp với nhau thông qua id, sử dụng thẻ <if_sid> hoặc
(<if_matched_sid> hoặc <same_id> hoặc <same_source_ip>-các thẻ này được
kết hợp với Frequency và Timeframe).
<rule id="100103" level="7">
<if_sid>100102</if_sid>
<match>^Failed</match>
<description>Fakeinc Custom: Failedpassword</description>
</rule>
26
EBOOKBKMT.COM
2.6. Khả năng của Wazuh
2.6.1. Phân tích bảo mật
Wazuh được sử dụng để thu thập, tổng hợp, lập
chỉ mục và phân tích dữ liệu bảo mật, giúp các tổ chức
phát hiện sự xâm nhập, các mối đe dọa và hành vi bất
thường.Khi các mối đe dọa trên mạng đang trở nên tinh
vi hơn, việc theo dõi và phân tích bảo mật theo thời gian
thực là cần thiết để phát hiện và khắc phục các mối đe dọa nhanh chóng. Đó là
lý do tại sao agent cung cấp khả năng giám sát và phản hồi cần thiết, trong khi
thành phần Wazuh server cung cấp thông tin bảo mật và thực hiện phân tích dữ
liệu.
2.6.2. Phát hiện xâm nhập
Wazuh agent quét các hệ thống được giám sát để
tìm kiếm phần mềm độc hại, rootkit và sự bất thường
đáng ngờ. Nó có thể phát hiện các file ẩn, các quy trình
bị che giấu hoặc các trình nghe mạng chưa đăng ký,
cũng như sự không nhất quán trong các phản hồi cuộc
gọi hệ thống.
Ngoài các khả năng của agent, thành phần máy chủ sử dụng cách tiếp cận
dựa trên mẫu đã có để phát hiện xâm nhập, sử dụng công cụ biểu thức chính quy
của nó để phân tích dữ liệu nhật ký được thu thập và tìm kiếm các chỉ số thỏa
hiệp.
2.6.3. Phân tích dữ liệu nhật ký
Wazuh agent đọc nhật ký hệ điều hành và ứng
dụng, vàchuyển tiếp chúng một cách an toàn đến Wazuh
server để phân tích và lưu trữ dựa trên luật.
Các luật của Wazuh giúp bạn biết về các lỗi ứng
dụng hoặc hệ thống, cấu hình sai, các hoạt động độc hại
đã cố gắng và/hoặc thành công, vi phạm chính sách và
một loạt các vấn đề bảo mật và hoạt động khác.
27
EBOOKBKMT.COM
2.6.4. Giám sát toàn vẹn tệp
Wazuh giám sát hệ thống file, xác định các thay đổi
về nội dung, quyền, quyền sở hữu và thuộc tính của các file
mà bạn cần để mắt tới. Ngoài ra, nó còn xác định người
dùng và ứng dụng được sử dụng để tạo hoặc sửa đổi các
file.
Khả năng giám sát toàn vẹn tệp có thể được sử dụng để xác định các mối
đe dọa hoặc máy chủ bị xâm nhập.
2.6.5. Phát hiện lỗ hổng
Wazuh agent lấy dữ liệu kiểm kê phần mềm và
gửi thông tin này đến máy chủ, nơi tương quan với cơ
sở dữ liệu CVE được cập nhật liên tục, để xác định lỗ
hổng phần mềm nổi tiếng.
Đánh giá lỗ hổng tự động giúp tìm ra những điểm
yếu trong tài sản quan trọng và có biện pháp khắc phục
trước khi kẻ tấn công khai thác chúng để phá hoại hoặc đánh cắp dữ liệu bí mật.
2.6.6. Đánh giá cấu hình
Wazuh giám sát các cài đặt cấu hình hệ thống
và ứng dụng để đảm bảo chúng tuân thủ các chính
sách bảo mật, tiêu chuẩn. Agent thực hiện quét định
kỳ để phát hiện các ứng dụng được biết là có lỗ
hổng, chưa được vá hoặc được cấu hình không an
toàn.
Ngoài ra, kiểm tra cấu hình có thể được tùy chỉnh, điều chỉnh để phù hợp.
Cảnh báo bao gồm các khuyến nghị để cấu hình tốt hơn, tham chiếu và ánh xạ
với quy định.
2.6.7. Ứng phó sự cố
Wazuh cung cấp các phản ứng tích cực để
thực hiện các biện pháp đối phó khác nhau để giải
28
EBOOKBKMT.COM
quyết các mối đe dọa hoạt động, chẳng hạn như chặn truy cập vào hệ thống khỏi
nguồn đe dọa khi đáp ứng một số tiêu chí nhất định.
Ngoài ra, Wazuh có thể được sử dụng để chạy các lệnh hoặc truy vấn hệ
thống từ xagiúp thực hiện các nhiệm vụ forensics hoặc phản ứng sự cố trực tiếp
khác.
2.6.8. Tuân thủ quy định
Wazuh cung cấp một số kiểm soát bảo mật cần thiết
để tuân thủ các tiêu chuẩn và quy địn. Các tính năng này,
kết hợp với khả năng mở rộng và hỗ trợ đa nền tảng của nó
giúp các tổ chức đáp ứng các yêu cầu tuân thủ kỹ thuật.
2.6.9. Giám sát an ninh cloud
Wazuh giúp giám sát cơ sở hạ tầng đám mây ở
cấp API, sử dụng các mô-đun tích hợp có khả năng lấy
dữ liệu bảo mật từ các nhà cung cấp cloud nổi tiếng
như Amazon AWS, Azure hoặc Google Cloud. Ngoài
ra, Wazuh cung cấp các luật để đánh giá cấu hình của
môi trường could, dễ dàng phát hiện ra các điểm yếu.
2.6.10. Bảo mật Containers
Wazuh cung cấp khả năng hiển thị bảo mật vào các
máy chủ và bộ chứa Docke, theo dõi hành vi của chúng và
phát hiện các mối đe dọa, lỗ hổng và sự bất thường.
Wazuh agentcó tích hợp riêng với công cụ Docker cho
phép người dùng theo dõi hình ảnh, âm lượng, cài đặt
mạng và chạy container.
Wazuh liên tục thu thập và phân tích thông tin thời gian chạy chi tiết. Ví
dụ: cảnh báo cho các container chạy ở chế độ đặc quyền, các ứng dụng dễ bị tấn
công, shell chạy trong container, thay đổi thành khối lượng hoặc hình ảnh liên
tục và các mối đe dọa có thể khác.
29
EBOOKBKMT.COM
2.7. Kết luận chương 2
Chương này đã trình bày chi tiết về wazuh-hệ thống phát hiện xâm nhập
dựa trên host. Hệ thống này là một hệ thống mã nguồn mở và có thể khả năng
tùy biến cao. Không những thế, hệ thống có thể dễ dàng được thiết lập do khả
năng tương thích đối với nhiều hệ điều hành cũng như khả năng mở rộng do hỗ
trợ việc sử dụng các nút dữ liệu.
Việc ứng dụng hệ thống wazuh trở thành một thành phần của Trung tâm
điều hành ATTT SOC sẽ giúp cho việc thu thập dữ liệu ở trên các máy chủ, máy
người dùng trở nên dễ dàng và hiệu quả. Việc ứng dụng, triển khai hệ thống
wazuh trong trung tâm như thế nào sẽ được đồ án đề cập và đưa ra phương án ở
trong chương tiếp theo.
30
EBOOKBKMT.COM
CHƯƠNG 3. XÂY DỰNG TRUNG TÂM ĐIỀU HÀNH AN TOÀN
THÔNG TIN DỰA TRÊN NỀN TẢNG WAZUH
3.1. Cơ sở lý thuyết xây dựng Trung tâm điều hành ATTT SOC
3.1.1. Nền tảng Trung tâm điều hành ATTT SOC
SOC là bức tường chắn cuối cùng để có thể giải quyết những thiếu sót của
các thiết bị mạng, thiết bị bảo mật. Để SOC hoạt động hiệu quả thì phải kết hợp
chặt chẽ giữa con người, quy trình và công nghệ.
Con
người
Quy
trình
Công nghệ
Hình 3.1Yếu tố quan trọng trong SOC
3.1.1.1.
Con người
Cho dù SOC tự động tốt đến đâu thì con người vẫn hoàn toàn cần thiết.
Hai nhiệm vụ cơ bản nhất trong SOC là phân tích bảo mật và phản ứng với sự
cố. Các nhà phân tích bảo mật làm việc chủ yếu trong giám sát và các giai đoạn
phát hiện của vòng đời một cuộc tấn công. Nhiệm vụ điển hình bao gồm giám
sát, cảnh báo và thực hiện phân chia để xác định cảnh báo nào cần can thiệp từ
đội ứng phó sự cố. Nhiệm vụ ứng phó sự cố có thể bao gồm:
- Tiến hành phân tích sâu hơn về các sự kiện bảo mật đáng ngờ:
 Khả năng phân tích, tìm kiếm
31
EBOOKBKMT.COM
 Các nguồn thông tin đe dọa
 Kỹ thuật forensics cơ bản
 Công cụ phân tích phần mềm độc hại
- Thực hiện các hoạt động phản ứng với một sự kiện cần thiết.
- Giữ cho quản lý được thông báo về tình trạng sự cố nỗ lực đáp ứng. Các
vai trò SOC khác có thể bao gồmcác đội điều tra forensic và các kỹ sư
dịch ngược phần mềm độc hại.
Kiến trúc sư bảo mật thường là một người nào đó trong tổ chức an ninh
với sự hiểu biết sâu sắc của chương trình bảo mật và cơ sở hạ tầng của tổ chức.
Người này sẽ giúp thiết kế giải pháp SOC ban đầu và giám sát việc thực hiện để
đảm bảo nó hiệu quả. Theo thời gian, kiến trúc sư an ninh có thể lập kế hoạch và
thực hiện các điều chỉnh đối với giải pháp SOC, bao gồm mở rộng để đáp ứng
nhu cầu bổ sung của tổ chức.Vai trò kiến trúc sư bảo mật đặc biệt quan trọng bởi
vì quyết định của kiến trúc sư sẽ ảnh hưởng đáng kể đến chương trình an ninh và
ảnh hưởng đến toàn bộ tổ chức.
Các tổ chức có nhiều lựa chọn mô hình nhân sự cho tổ chức SOC của
mình:
- Thuê ngoài hoàn toàn: Tất cả nhân viên vận hành hệ thống SOC được
thuê từ một đơn vị có chuyên môn bên ngoài. Khi tổ chức gặp sự cố an
ninh mạng, đội vận hành SOC sẽ nỗ lực tham gia ứng phó hoặc giải đáp
các thông tin về hình thế bảo mật của tổ chức.
- Kết hợp nhân viên và thuê ngoài: Việc này sẽ liên quan đến thời gian
làm việc. Ví dụ giờ làm việc 8x5 thì tổ chức cần thuê thêm chuyên viên
bảo mật để có thể vân hành SOC 24x7.
- Nhân viên của tổ chức: Đảm bảo thông tin của tổ chức không bị lộ lọt ra
bên ngoài nhưng nhân viên phải có chuyên môn cao, đáp ứng được công
việc.
3.1.1.2.
Quy trình
32
EBOOKBKMT.COM
Trong mỗi hệ thống SOC, bất kể mô hình triển khai như nào được sử
dụng đều dựa trên các quy trình. Khi một sự cố lớnxảy ra, nhiều nhà phân tích
bảo mật, ứng phó sự cốvà các chuyên gia forensics đều có thể giúp xử lý sự cố
vànhững người khác trong tổ chức cũng có thể tham gia nhờ một bộ quy trình
mạnh mẽ để đảm bảo nhanh chóng và hiệu quả trong việc nhanh chóng phát
hiện, phản ứng với các đe dọa. Xây dựng một bộ quy trình mạnh mẽ là điều cần
thiết, bởi vìnó sẽ đảm bảo công việc không có gì bị bỏ qua hoặc xử lý quá chậm.
3.1.1.3.
Công nghệ
Công nghệ sử dụng trong hệ thống SOC được xây dựng và tích hợp tất cả
các hình thức cần thiết của tự động hóa an ninh và ứng phó sự cố vào giao diện
trực quan. Đây bao gồm các giải pháp giám sát, phân tích, phát hiện sự cố và
điều tra truy vết các sự cố. Các lĩnh vực kỹ thuật quan trọng nhất của SOC là:
- Nền tảng bảo mật thông tin
- Công cụ điều tra và phân tích sự cố
- Hệ thống ghi lại và quản lý các sự cố bảo mật và các quy trình tương
ứng
3.1.2. Đề xuất tiêu chí xây dựng SOC
Về việc xây dựng SOC, trên thế giới nói chung và tại Việt Nam nói riêng
đều đã đề cập đến rất nhiều nhưng chưa có một tổ chức, đơn vị nào đưa ra một
bộ tiêu chí để xây dựng. Hiện nay, cục ATTT cũng đang gấp rút phối hợp với
các doanh nghiệp làm an ninh mạng để xây dựng một bộ tiêu chí về các sản
phẩm an ninh mạng. Chính vì thế, đồ án đề xuất tiêu chí xây dựng SOC dựa trên
chỉ thị 14/CT-TTg năm 2018, chỉ thị 14/CT-TTg năm 2019, công văn số
2973/BTTTT-CATTT, công văn số 235/CATTT-ATHTTT để xây dựng bộ tiêu
chí này.
3.1.2.1. Tiêu chí về công nghệ
a. Tiêu chí về việc quản lý dữ liệu
- Thu thập, xử lý dữ liệu theo thời gian thực: thời gian thu thập và xử
lý dữ liệu ít hơn 5 phút.
33
EBOOKBKMT.COM
- Thu thập, xử lý dữ liệu từ nhiều nguồn dữ liệu: Thu thập từ mạng,
các thiết bị mạng, các thiết bị bảo mật, các thiết bị đầu cuối,…
- Tổng hợp và chuẩn hóa dữ liệu: Tổng hợp dữ liệu về một nơi lưu
trữ và chuẩn hóa dữ liệu theo một định dạng chung.
- Phân tích và tương quan dữ liệu: Kết hợp các sự kiện và dữ liệu liên
quan để xác định chính xác một sự cố hoặc đưa ra một cảnh báo
chính xác.
- Truy cập kho lưu trữ: Cho phép truy cập trực tuyến tất cả các log
thu thập được và các dữ liệu đã được xử lý.
- Lưu trữ: Có thể lưu trữ log, dữ liệu căn cứ vào cấp độ hệ thống để
phục vụ cho việc báo cáo thống kê, điều tra lâu dài. (Điều 9
Thông tư số 03/2017/TT-BTTT).
b. Tiêu chí về việc giám sát và phân tích
- Giám sát, phát hiện theo thời gian thực: Cho phép thực hiện việc
giám sát, phát hiện các sự kiện, nguy cơ tấn công trong thời gian
thực.
- Giám sát, phát hiện trên mạng: Cung cấp khả năng giám sát phát
hiện các sự kiện, nguy cơ tấn công trên mạng.
- Giám sát, phát hiện trên thiết bị đầu cuối: Cung cấp khả năng cho
phép giám sát, phát hiện các sự kiện, lỗ hổng, mã độc và tính sẵn
sàng trên các thiết bị đầu cuối.
- Giám sát, phát hiện trên thiết bị mạng, thiết bị bảo mật: Cung cấp
khả năng cho phép giám sát, phát hiện các sự kiện, nguy cơ tấn
công, tính sẵn sàng trên các thiết bị mạng và thiết bị bảo mật.
- Phân tính, làm giàu dữ liệu: Cung cấp khả năng phân tích dữ liệu
chuyên sâu, tương quan dữ liệu từ nhiều nguồn.
- Threat intelligence: Kết hợp dữ liệu với các nguồn thông tin từ các
bên thứ ba để lấy các dữ liệu về các mối đe dọa, lỗ hổng và các kiểu
tấn công.
c. Quy trình làm việc và tự động hóa
34
EBOOKBKMT.COM
- Khả năng kết hợp với các giải pháp khác: Có khả năng tương tác
với các giải pháp bảo mật khác thông qua APIs, tự động tạo luồng
công việc trong các sự cố riêng biệt. Ngoài ra, còn tương thích với
các công cụ SOAR.
- Kết nối, chia sẻ thông tin hai chiều với cục ATTT: Kết nối, chia sẻ
thông tin với hệ thống Giám sát an toàn không gian mạng quốc gia.
- Threat hunting/Investigate: Cho phép chuyên viên bảo mật tìm
kiếm, lọc dữ liệu, phân tích log và dữ liệu.
- Forensics analysis: Cho phép chuyên viên bảo mật có thể đọc, tải
pcap, phân tích log thô.
d. Tương tác với người dùng
- Cảnh báo: Cảnh báo và gửi cảnh báo đến các chuyên viên bảo mật
ngay lập tức khi có sự cố bất thường qua nhiều phương thức khác
nhau như sms, email…
- Giao diện (Dashboard): Tạo các bảng thống kê, biểu đồ trực quan
dựa trên các dữ liệu theo thời gian thực và các dữ liệu đã được lưu
trữ trước đó.
- Báo cáo: Cho phép người dùng tạo các bản báo cáo theo định kỳ:
tuần, tháng quý, năm.
- Tích hợp ứng dụng điện thoại: Tích hợp ứng dụng điện thoại nhằm
cho phép theo dõi nhanh các sự kiện, cảnh báo ngay trên điện thoại,
tablet.
e. Khả năng mở rộng
Cung cấp khả năng mở rộng quy mô một cách dễ dàng và triển khai
hệ thống một với nhiều quy mô khác nhau.
f. Khả năng tự vệ
- Phòng thủ chủ động: Chủ động chặn các thiết bị có những hành vi
bất thường vào hệ thống SOC.
- Phân quyền linh hoạt: Cho phép phân quyền từng loại chức năng
theo các dải mạng, IP.
35
EBOOKBKMT.COM
- Ghi lại Log: Ghi lại toàn bộ log đăng nhập, hoạt động của người
dùng trên hệ thống SOC.
- Sao lưu và khôi phục: Có khả năng sao lưu và khôi phục hoạt động
của hệ thống sau sự cố.
3.1.2.2.
Tiêu chí về con người
a. Đội theo dõi, cảnh báo:
- Có kiến thức cơ bản về lỗ hổng, mã độc, các hình thức tấn công vào
hệ thống mạng.
- Có thể phân loại và xác định mức độ của các sự cố an ninh mạng.
- Tìm kiếm, truy vấn thông tin từ các nguồn dữ liệu bên ngoài như hệ
thống Threat Intelligence.
b. Đội xử lý sự cố
- Nắm vững kiến thức về mạng, lập trình, mã độc, các hình thức tấn
công.
- Quen thuộc với việc sử dụng các công cụ trực quan hóa dữ liệu,
pentest,…
c. Đội điều tra, phân tích
- Các kỹ năng chuyên sâu về mạng, mã độc, các hệ điều hành.
- Các cách thức khai thác lỗ hổng, vá lỗ hổng.
- Có các kỹ năng chuyên sâu về Forensics.
d. Đội quản lý, vận hành hệ thống SOC
e. Thời gian giám sát: Giám sát 24x7x365 đối với các hệ thống quan trọng
(Cấp độ 3 trở nên theo quy định).
3.1.2.3.
Tiêu chí về quy trình
a. Quy định và quy trình về quản lý, vân hành hoạt động bình thường của
hệ thống: nhằm đẳm bảo hệ thống giám sát hoạt động ổn đinh, có tính
chịu lỗi cao và sẵn sàng khôi phục lại trạng thái bình thường sau khi sự
cố xảy ra.
b. Quy định và quy trình kết nối và gửi log từ đối tượng được giám sát về
hệ thống quản lý tập trung.
36
EBOOKBKMT.COM
c. Quy định và quy trình truy cập và quản trị hệ thống giám sát.
d. Quy định và quy trình về việc lưu trữ, bảo vệ log hệ thống.
e. Quy trình liên quan đến việc theo dõi, giám sát, cảnh báo và xử lý tấn
công mạng.
3.1.3. Đề xuất các bước xây dựng Trung tâm điều hànhATTT SOC
Để xây dựng Trung tâm điều hành ATTT SOC cần thực hiện các bước
sau:
Xây
dựng
chiến
lược
Thiết
kế
giải
pháp
Tạo
quy
trình,
thủ
tục và
đào
tạo
Chuẩn
bị môi
trường
Thực
hiện
giải
pháp
Triển
khai
trường
hợp sử
dụng
Duy
trì và
phát
triển
Hình 3.2 Các bước xây dựng trung tâm điều hành ATTT SOC
3.1.3.1.
Xây dựng chiến lược
Trong giai đoạn xây dựng chiến lược, hai phần đặc biệt quan trọng của
việc phát triển một chiến lược cho SOC đó là:
- Đánh giá khả năng SOC hiện có của tổ chức trong điều kiện của
con người, quy trình và công nghệ. Lưu ý rằng khi xây dựng SOC,
phạm vi ban đầu của SOC nên được giới hạn ở các chức năng cốt
lõi: giám sát, phát hiện, phản ứng, và phục hồi sự cố.
- Xác định các mục tiêu hoạt động cho SOC. Để có hiệu quả, SOC
nên tập trung vào việc đáp ứng mục đích hoạt động của tổ chức.
3.1.3.2.
Thiết kế giải pháp
Trong giai đoạn này, cần xác định các yêu cầu về chức năng. Những yêu
cầu nàynên được gắn với các mục tiêu hoạt động bất cứ khi nào được áp dụng.
Các yêu cầu chức năng bao gồm:
- Xác định nguồn dữ liệu nhật ký và sự kiện đểđược theo dõi.
- Xác định các nguồn thông tin về mối đe dọađược sử dụng.
37
EBOOKBKMT.COM
- Xác định các yêu cầu về hiệu suất.
Chọn lựa mô hình SOC: Điều này nên được dựa trênyêu cầu chức năng
vừa được xác định, cũng nhưchiến lược được xác định trong bước đầu tiên.
Quyết định đưa rabao gồm giờ và ngày cho nhân viên so với thuê ngoài,trách
nhiệm nào đối với nhân viên so với thuê ngoài, màSOC sẽ có vai trò gì.
Thiết kế kiến trúc kỹ thuậtbao gồm:
- Lập kế hoạch thành phần và cấu hình củacác thành phần của giải
pháp.
- Xác định hệ thống thông tin chosự kiện an ninh và sự cố.
- Xác định quy trình công việc cho các sự kiện và sự cố đểphù hợp
với các quy trình hiện có của tổ chức.
- Lập kế hoạch tự động hóa giải pháp càng nhiều càng tốt,bao gồm
các công nghệ cần thiết để cung cấpcái nhìn tổng thể về các mối đe
dọa cho các hệ thống vàdữ liệu trong phạm vi SOC ban đầu và để
ngăn chặn các cuộc tấn công ở những giai đoạn càng sớm càng tốt.
3.1.3.3.
Tạo quy trình, thủ tục và đào tạo
Quy trình phải bao gồm tất cả các giai đoạn của một cuộc tấn công và
đảm bảo rằng các quy trình, thủ tục và đào tạo đều tính đến điều đó.
3.1.3.4.
Chuẩn bị môi trường
Trước khi triển khai giải pháp SOC, nó cực kỳ quan trọng để đảm bảo
rằng tất cả các yếu tố được đặt ra để cung cấp một môi trường an toàn cho giải
pháp. Yếu tố đáng chú ý bao gồm bảo mật chặt chẽ máy tính để bàn của nhân
viên SOC, máy tính xách tay và thiết bi ̣di đô ̣ng; có cơ chế truy cập từ xa an toàn
thay thế cho nhân viên để tương tác với giải pháp SOC; và yêu cầu xác thực
mạnh mẽ để truy cập từ xa vào giải pháp SOC ở mức tối thiểu.
3.1.3.5.
Thực hiện giải pháp
Chìa khóa để thực hiện chính giải pháp là tập trung vào việc tận dụng tối
đa công nghệ để giảm thiểu khối lượng công việc trên người. Giải pháp này là
một quá trình khởi đầu bằng:
38
EBOOKBKMT.COM
- Đưa lên cơ sở hạ tầng quản lý nhật ký
- Đưa lên cơ sở dữ liệu tối thiểu các nguồn dữ liệu quan trọng.
- Đưa ra các khả năng phân tích bảo mật.
- Tự động hóa an ninh vàkhả năng điều phối.
- Bắt đầu triển khai các trường hợp sử dụng tập trung vào đầu
cuốiphát hiện mối đe dọa và thực hiện phản ứng một yếu tố quan
trọng khác là đạt được sự liền mạchkhả năng tương tác với các hệ
thống khác, cả hai để thu thập dữ liệutừ các nguồn và đưa ra các
hành động và lệnh để giúp đỡáp dụng bối cảnh, chứa và khắc phục
phù hợp vớiquy trình làm việc. Cái sau đặc biệt hữu ích cho việc
giảmthời gian trung bình để phát hiện và ứng phó với sự cố. Cácgiải
pháp cũng nên kết hợp với thức ăn thông minh mối đe dọavà các
nguồn thông tin tình báo khác làm đầu vào tự động chocải thiện độ
chính xác phát hiện.
3.1.3.6.
Triển khai sử dụng
Khi giải pháp được triển khai có thể thực hiện phân tích và tự động hóa
bảo mật, chẳng hạn như phát hiện bị xâm phạm thông tin đăng nhập và các chiến
dịch lừa đảo thành công. Kiểm tra nên được thực hiện trong một loạt các trường
hợp. Tất cả các hình thức tự động hóa giải pháp đề cập trước đó là đặc biệt quan
trọng để kiểm tra nghiêm ngặt. Độ tin cậy và bảo mật của truy cập từ xa giải
pháp cũng cần được xác minh ở mức độ khả thi.
3.1.3.7.
Duy trì và phát triển
Một khi giải pháp đã hoàn thành, nó sẽ cần tiếp tục bảo trì, chẳng hạn như
cập nhật cài đặt cấu hình và điều chỉnh theo thời gian để cải thiện độ chính xác
phát hiện và thêm các hệ thống khác như đầu vào hoặc đầu ra cho giải pháp. Bảo
trì sẽ được cần định kỳ, bao gồm cả việc xem xét mô hình SOC, vai trò SOC, …
do đó điều chỉnh có thể được thực hiện.
39
EBOOKBKMT.COM
3.1.4. Xây dựng các thành phần cơ bản của SOC
Một Trung tâm điều hành ATTT SOC tin gồm bốn thành phần cơ bản như
hình dưới đây:
Hình 3.3 Thành phần cơ bản của trung tâm điều hành ATTT SOC
3.1.4.1. Hạ tầng mạng
Hạ tầng mạng phục vụ việc kết nối, kiểm soát truy cập giữa các vùng
mạng, các thành phần bên trong hệ thống và với các hệ thống khác.
40
EBOOKBKMT.COM
Hình 3.4 Mô hình hạ tầng mạng trung tâm điều hành ATTT SOC
Thiết kế của hệ thống bao gồm các phân hệ sau:
- Phân hệ kết nối ra bên ngoài (Outsite): Là phân hệ kết nối SOC với
các hệ thống bên ngoài và mạng Internet thông qua các kết nối
mạng TSLCD, WAN và Internet. Phân hệ này bao gồm các thiết bị
cơ bản sau: Thiết bị định tuyến chuyên dụng để đón các đường kết
nối; Hệ thống tường lửa để kiểm soát truy cập ra, vào hệ thống; Hệ
thống VPN và hệ thống phòng, chống tấn công DoS/DDoS.
- Phân hệ cho hệ thống SOC được chia thành các vùng mạng chức
năng sau: Phân vùng cho hệ thống giám sát trung tâm quy hoạch
cho các thành phần giám sát trung tâm; Phân vùng cho hệ thống
quản lý Endpoint tập trung; Phân vùng cho các hệ thống quản lý,
vận hành, bao gồm các giải pháp bảo vệ các thành phần trong Phân
hệ SOC và TTDL (Data Center).
41
EBOOKBKMT.COM
- Phân hệ cho hệ thống SOC có hệ thống tường lửa, Core Switch và
Access Switch, Hệ thống lưu trữ để kết nối, quản lý truy cập giữa
các hệ thống thành phần trong phân hệ này với nhau và quản lý
truy cập giữa vùng Outsite và vùng TTDL.
- Phân hệ lưu trữ cần được thiết lập để lưu trữ và quản lý tập trung
log từ các thiết bị mạng, bảo mật, máy chủ, ứng dụng tại SOC,
TTDL và log từ các hệ thống cần bảo vệ gửi về. Hệ thống lưu trữ
cần bảo đảm về dung lượng lưu trữ theo yêu cầu giám sát thực tế
của từng đơn vị.
- Phân hệ mạng lõi (System Core SW): Là hệ thống thiết bị chuyển
mạch có băng thông và tốc độ chuyển mạch mạng rất lớn, có nhiệm
vụ kết nối các phân vùng Outsite, SOC và TTDL lại với nhau.
- Phân hệ cho TTDL là phân hệ phục vụ hoạt động cung cấp dịch vụ,
ứng dụng CNTT. Phân hệ này được chia thành các phân vùng:
Vùng DMZ để đặt các máy chủ cung cấp dịch vụ trực tiếp ra bên
ngoài Internet; Vùng máy chủ nội bộ để đặt các máy chủ có yêu cầu
bảo mật cao, không được kết nối trực tiếp với Internet; Vùng máy
chủ cơ sở dữ liệu để đặt các máy chủ cơ sở dữ liệu của hệ thống.
Ngoài ra, Phân hệ này cũng có phân vùng cho hệ thống lưu trữ. Hệ
thống lưu trữ cần tách riêng về vật lý hoặc logic với hệ thống lưu
trữ của phân hệ SOC.
- Hệ thống trích rút dữ liệu chuyên dụng (Network-TAP): Hệ thống
này là các thiết bị chuyên dụng được dùng để sao chép dữ liệu (log
thô) tại các điểm cần giám sát. Các điểm cần giám sát trên hệ thống
bao gồm: Các điểm tại các Router biên kết nối ra các mạng bên
ngoài; Các điểm ra vào các vùng mạng chức năng DMZ, Máy chủ
nội bộ, Cơ sở dữ liệu, Vùng quản trị…
Các điểm cần giám sát có thể triển khai các thiết bị Network-TAP độc lập
hoặc sử dụng một thiết bị Network-TAP tập trung trên một thiết bị vật lý chuyên
42
EBOOKBKMT.COM
dụng cho phép trích rút dữ liệu tại nhiều điểm và cung cấp các tính năng lọc gói
tin.
Dữ liệu log tại SOC sẽ được lưu trữ ở 02 dạng:
- Dạng dữ liệu không lưu trữ nén: bao gồm cả dữ liệu thô và dữ liệu
phục vụ phân tích cảnh báo thời gian thực (hot data). Việc sử dụng
nén sẽ làm gia tăng thời gian xử lý dẫn đến giảm hiệu quả cảnh báo,
báo cáo.
- Dạng dữ liệu nén, lưu trữ dài hạn: đây là dữ liệu phục vụ việc báo
cáo thống kê, báo cáo lịch sử hoặc báo cáo tuân thủ thời gian dài.
Dữ liệu này có thể sử dụng các cơ chế nén để tối ưu không gian lưu
trữ.
Do đó, căn cứ vào yêu cầu thực tế về số lượng sự kiện hệ thống cần xử lý
trong một giây (EPS) và thời gian log cần lưu trữ theo quy định mà để xác định
không gian lưu trữ của hệ thống lưu trữ cho phù hợp.
3.1.4.2. Hệ thống giám sát trung tâm
Hệ thống giám sát trung tâm bao gồm 04 thành phần như hình dưới đây:
43
EBOOKBKMT.COM
Hình 3.5 Thành phần của hệ thống giám sát tập trung
a. Thành phần thu thập và quản lý log
Thành phần này cho phép thu thập, chuẩn hóa và
quản lý log từ các thành phần trong SOC, TTDL và các
hệ thống quan trắc cơ sở của các hệ thống bên ngoài
phục vụ hoạt động giám sát.
Dữ liệu thu thập cơ bản bao gồm:
- Log từ các thiết bị mạng, thiết bị bảo mật.
- Log từ các máy chủ và ứng dụng.
- Log thô (nếu có) là các gói tin được thu thập trực tiếp trên môi
trường mạng tại các điểm giám sát sử dụng thiết bị TAP chuyên
dụng hoặc thực hiện SPAN trên các thiết bị Switch của hệ thống.
Sau khi dữ liệu được thu thập và chuẩn hóa, dữ liệu này là dữ liệu đầu vào
của thành phần giám sát tổng thể phục vụ hoạt động phân tích, giám sát, truy
vết và xử lý sự cố.
b. Thành phần giám sát tổng thể (Security Analytic/SIEM)
44
EBOOKBKMT.COM
Đây là thành phần lõi, cung cấp khả năng kết
nối, thu thập thông tin từ các các hệ thống khác
cho phép tổng hợp tất cả thông tin và giúp tương
tác, kết nối các thành phần khác của SOC. Dữ liệu
thu thập được từ các hệ thống quan trắc cơ sở sẽ
được tập hợp vào hệ thống giám sát nền tảng này
và tiến hành phân tách dữ liệu trước khi tiến hành các phân tích chuyên sâu hơn.
Thành phần giám sát tổng thể cũng hỗ trợ giám sát và phát hiện hành vi
bất thường (Anormaly detection) và điều tra, xử lý các sự cố (Investigation).
Thành phần này sử dụng các dữ liệu thu thập được từ các thành phần trong hệ
thống để tiến hành các phân tích chuyên sâu, liên kết tương quan dữ liệu nhằm
phát hiện ra các nguy cơ, sự cố, tấn công mạng. Ngoài ra, thành phần này cũng
cung cấp giao diện thống kê các sự kiện, các cảnh báo sớm, các sự cố đang xử
lý, các lỗ hổng, các cuộc tấn công vào hệ thống trên một hệ thống giao diện tổng
thể giúp bao quát được toàn bộ tình hình an toàn thông tin của hệ thống cần bảo
vệ.
Không chỉ vậy, thành phần còn cho phép kết hợp các nguồn mối đe dọa an
toàn thông tin (Threat Intelligence) từ các tổ chức bên ngoài nhằm cập nhật các
nguy cơ mất an toàn thông tin kịp thời.
Đồng thời, khi có các sự cố xảy ra, thành phần này cũng giúp các chuyên
gia phân tích và hỗ trợ điều tra xử lý các sự cố và cho phép tương tác với các
thiết bị khác để chống lại các tấn công.
c. Thành phần quản lý (Management)
Thành phần quản lý bao gồm các chức năng
chính:
- Chức năng quản lý tài sản cho phép quản lý
các thành phần: máy chủ, thiết bị và các
thành phần có kết nối mạng vào hệ thống.
45
EBOOKBKMT.COM
Thành phần này cho phép quản lý truy cập, giám sát trạng thái hoạt
động ở lớp mạng, hệ điều hành và ứng dụng tập trung.
- Chức năng quản lý rủi ro cho phép quản lý các nguy cơ, rủi ro mất
an toàn thông tin có thể xảy ra với hệ thống. Các nguy cơ, rủi ro có
thể đến từ hạ tầng, ứng dụng, con người, công nghệ và quy trình
quản lý hệ thống. Thành phần này được kết nối với thành phần
giám sát tổng thể để cung cấp thông tin đầu vào cho phép giám sát
để tiến hành phân tích tương quan dữ liệu lỗ hổng với các dữ liệu
khác trên hệ thống.
- Chức năng quản lý chính sách cho phép quản lý các quy trình,
chính sách đã và đang được thực thi trong tổ chức, đảm bảo các
chính sách này được thực thi, áp dụng trên các thiết bị trong hệ
thống.
d. Thành phần điều tra và xử lý sự cố (Incident Response)
Thành phần này cho phép thực thi các hành động
cụ thể căn cứ vào kết quả đầu ra của thành phần giám sát
tổng thể. Thành phần giám sát tổng thể sẽ đưa ra các cảnh
báo, căn cứ vào mức độ của mỗi cảnh báo, người quản trị
có thể thực hiện điều tra, phân tích ở mức sâu để xác
minh sự cố và đưa ra các hành động xử lý.
3.1.4.3. Các giải pháp bảo vệ
Các giải pháp bảo vệ dưới đây là cần thiết để phục vụ hoạt động, bảo vệ
SOC và các hệ thống thông tin. Các giải pháp bảo vệ cơ bản bao gồm các giải
pháp sau:
a. Giải pháp phát hiện và ứng phó điểm cuối EDR
Giải pháp phát hiện và ứng phó điểm cuối cho phép tạo thêm lớp bảo vệ
cho các máy trạm bên cạnh các giải pháp bảo vệ và phần mềm diệt virus. Giải
pháp này cung cấp khả năng phát hiện bất thường dựa trên hành vi và cho cái
46
EBOOKBKMT.COM
nhìn sâu hơn về các thông tin cụ thể có liên quan trên điểm cuối để phát hiện và
giảm thiểu các mối đe dọa. Giải pháp bao gồm hai thành phần:
- Thành phần cảm biến được cài đặt trên điểm cuối (máy chủ, máy
trạm): thực hiện việc thu thập các dữ liệu tại các điểm đầu cuối để
phát hiện các mối đe dọa, các hành vi bất thường. Thành phần cảm
biến có thể tiếp nhận và thực thi các hành động ứng phó đối với mối
đe dọa từ thành phần máy chủ EDR.
- Thành phần máy chủ EDR được triển khai trong hạ tầng mạng của
tổ chức để thực hiện việc tiếp nhận, xử lý, phân tích, điều tra, giám
sát, phát hiện các mối đe dọa và cung cấp khả năng xử lý thông qua
việc ra lệnh cho thành phần cảm biến.
b. Giải pháp quản lý lỗ hổng
Giải pháp này cho phép dò quét lỗ hổng bằng các phương thức chủ động
hoặc bị động trên các thiết bị mạng, máy chủ, máy trạm để thu thập các thông
tin nhằm phát hiện ra các lỗ hổng, dữ liệu nhạy cảm, các kết nối bất
thường…Các thông tin này sau khi được xử lý sẽ tổng hợp kết quả và gửi về
thành phần giám sát trung tâm để tiến hành liên kết thông tin với các dữ liệu
khác.
c. Giải pháp dò quét lỗ hổng bảo mật trên các ứng dụng
Giải pháp này cho phép dò quét lỗ hổng ứng dụng, cở sở dữ liệu để đánh
giá được tình trạng bảo mật hiện tại của ứng dụng. Giúp SOC kịp thời đưa ra các
biện pháp khắc phục và tránh các rủi ro có thể xảy ra.
d. Giải pháp tường lửa
Hệ thống tường lửa là giải pháp sử dụng để phân chia và kiểm soát truy
cập giữa các vùng mạng trong một hệ thống. Các hệ thống tường lửa thế hệ mới
cho phép tích hợp các tính năng bảo mật trên một nền tảng phần cứng.
e. Giải pháp kiểm soát truy cập (NAC)
47
EBOOKBKMT.COM
Giải pháp này cho phép quản lý các thiết bị đầu cuối, thiết bị mạng khi kết
nối, hoạt động trong hệ thống bảo đảm sự tuân thủ theo một chính sách quản lý
chung.
f. Giải pháp quản lý truy cập đặc quyền (PAM)
Giải pháp này cho phép quản lý tập trung các tài khoản quản trị hệ thống
trong việc truy cập tài nguyên và thiết lập, thay đổi chính sách, cấu hình trên hệ
thống.
g. Giải pháp phòng chống tấn công DoS/DDoS
Giải pháp này cho phép phát hiện và phòng, chống tấn công từ chối dịch
vụ DoS/DDoS đã biết và zero- day nhằm bảo đảm tính khả dụng của hệ thống,
ứng dụng và dịch vụ.
Giải pháp này có thể triển khai theo nhiều hình thức khác nhau như thuê
dịch vụ của doanh nghiệp hoặc đầu tư triển khai giải pháp tại các hệ thống được
bảo vệ. Tuy nhiên, việc đầu tư giải pháp tại các hệ thống được bảo vệ chỉ hiệu
quả với các dạng tấn công DoS/DDoS vào lớp ứng dụng khi lưu lượng tấn công
nhỏ hơn băng thông kết nối mạng của hệ thống bị tấn công.
h. Giải pháp phòng chống mã độc cho máy chủ, máy trạm
Giải pháp này được triển khai dưới dạng phần mềm được cài đặt trên máy
chủ, máy trạm. Giải pháp này cho phép bảo vệ các máy chủ, máy trạm trước các
nguy cơ tấn công, lây nhiễm phần mềm độc hại.
i. Giải pháp tường lửa ứng dụng Web (WAF)
Giải pháp này cho phép bảo vệ ứng dụng Web trước các tấn công mức
ứng dụng sử dụng chức năng phân tích sâu vào ứng dụng Web, cấu trúc dữ liệu
cũng như logic hoạt động bình thường của ứng dụng.
Giải pháp này có nhiều hình thức triển khai khác nhau. Để triển khai giải
pháp tại SOC thì hình thức Reserve Proxy sẽ cho phép bảo vệ tập trung các
trang web được đặt tại các hệ thống thông tin khác nhau.
j. Giải pháp đảm bảo an toàn thông tin cho hệ thống thư điện tử
48
EBOOKBKMT.COM
Giải pháp này cho phép bảo vệ ứng dụng thư điện tử trước các tấn công
mức ứng dụng sử dụng từ bên ngoài Internet.
Giải pháp này hoạt động như một tường lửa lớp ứng dụng cho phép giám
sát và kiểm soát mọi yêu cầu gửi đến, kiểm tra tính hợp lệ trước khi chuyển tới
hệ thống thư điện tử.
k. Hệ thống VPN
Giải pháp này cho phép các hệ thống khác nhau hoặc máy trạm từ xa kết
nối với một hệ thống thông tin thông qua một đường hầm ảo (tunnel). Giao thức
VPN sử dụng công nghệ mã hóa, xác thực và chống chối bỏ cho phép dữ liệu
trao đổi được bảo vệ an toàn khi đi qua môi trường Internet.
Đối với SOC cần triển khai một cổng kết nối VPN để cho phép nhận các
thông tin giám sát từ các thiết bị quan trắc cơ sở không có chức năng mã hóa dữ
liệu trước khi gửi về hệ thống trung tâm.
Cổng kết nối VPN tại SOC cần triển khai trên thiết bị độc lập chuyên
dụng. Tại các hệ thống thông tin cần bảo vệ thì có thể sử dụng chức năng VPN
trên tường lửa nếu hỗ trợ.
3.1.4.4. Hệ thống hạ tầng SOC
Bảng 3.1 Danh mục thiết bị trong trung tâm điều hành ATTT SOC
STT Hệ thống hạ tầng
1
Hạ tầng máy trạm
phục vụ giám sát
Chi tiết thiết bị
- Máy tính xách tay chuyên dùng phục vụ giám sát
- - Máy tính để bàn chuyên dùng phục vụ giám sát
- Hệ thống UPS dùng cho máy giám sát.
- Hệ thống màn hình chuyên dụng cho giám sát
Hệ thống màn
2
hình chuyên dụng
cho giám sát
được thiết kế có chức năng hiển thị hình ảnh cho
hệ thống Camera giám sát và hệ thống máy chủ
quản trị.
- Hệ thống màn hình ghép thường được ghép bởi
06 màn hình cho phép hiển thị thông tin giám sát
49
EBOOKBKMT.COM
với khung hình lớn. Các màn hình hiển thị, thiết bị
điều khiển, cáp kết nối tạo thành một hệ thống
Videowall.
Hệ thống bàn ghế
3
cho phòng giám
sát
Bàn ghế chuyên dụng phục vụ công tác giám sát,
ứng cứu được lắp đặt tại phòng giám sát, vận hành
an toàn thông tin cũng là nơi lắp đặt hệ thống màn
hình chuyên dụng phục vụ giám sát.
- Máy kiểm soát cửa vào/ra, vân tay.
4
Hệ thống kiểm
soát ra vào
- Thẻ cảm ứng từ.
- Khóa điện từ.
- Bộ nguồn dự phòng;
- Nút nhấn mở cửa khẩn cấp.
- Đầu ghi hình và phần mềm quản lý
- Camera giám sát để theo dõi liên tục các khu vực
5
Thiết kế hệ thống
camera
chức năng trong SOC
- Mạng truyền tín hiệu, cáp điều khiển, các kết nối
bên trong hệ thống
- Thành phần lưu trữ (Sử dụng ổ cứng HDD
chuyên dụng hoặc hệ thống lưu trữ của SOC)
Hệ thống sàn nâng bảo vệ hệ thống dây điện, cáp
điện hay bất kì vật liệu gì để dưới sàn tránh được
6
Hệ thống sàn nâng sự xâm hại của côn trùng, hóa chất hay không khí
kỹ thuật
nóng ẩm của mặt sàn bê tông bằng hệ thống giá đỡ
được thiết kế phù hợp cho từng công trình, từng
loại thiết bị đặt trên sàn phụ.
3.2. Tích hợp wazuh trong trung tâm giám sát ATTT SOC
Đối với Trung tâm giám sát an toàn thông tin, việc triển khai những hệ
thống IDS là điều tiên quyết để có thể thu thập được những thông tin mất an
toàn trong hệ thống. IDS không tự động cấm các cuộc tấn công hoặc là ngăn
50
EBOOKBKMT.COM
chặn những kẻ khai thác một cách thành công. IDS có thể cung cấp cho chúng ta
biết rằng hệ thống mạng đang gặp nguy hiểm và điều quan trọng để nhận ra đó
là vài cuộc tấn công vào mạng đã thành công nếu không có hệ thống IDS. Hệ
thống IDS cho phép các cơ quan, tổ chức bảo vệ hệ thống của họ khỏi những đe
dọa với việc gia tăng kết nối mạng hay là việc bổ sung những điểm yếu của hệ
thống… Nhìn chung, hệ thống IDS có thể giúp chúng ta giám sát, phân tích tìm
kiếm và ngăn ngừa các sự cố an ninh mạng khi nó mới manh nha hình thành.
Qua đó có thể thấy rằng hệ thống IDS làphương pháp bảo mật cần thiết nhằm
tăng cường khả năng chống lại những cuộc tấn công vào hệ thống mạng từ đó
giúp ngăn chặn sớm và giảm thiểu thiệt hại của những sự cố về mất an toàn, an
ninh thông tin. Và trong chương này, đồ án xin trình bày về mô hình, cách thức
hoạt động của Wazuh HIDS trong một hệ thống giám sát.
Bằng cách cài đặt Wazuh-agent trên các client cần được giám sát, Wazuh
server sẽ quan sát được tất cả những hoạt động hệ thống như các log file, những
lưu lượng mạng thu thập được. Hệ thống cũng theo dõi hệ điều hành, những
cuộc gọi hệ thống, audit log hay những thông điệp báo lỗi trên client. Không chỉ
vậy, hệ thống có thể xác định xem cuộc tấn công có thành công hay không.
Thêm nữa Wazuh có thể ghi nhận được những việc mà người tấn công đã làm
trên host bị tấn công.
Không phải tất cả các cuộc tấn công được thực hiện qua mạng, bằng cách
giành quyền truy cập ở mức vật lý vào một hệ thống máy tính, kẻ tấn công có
thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng
mạng nào cả. Vào tình huống này, Wazuh có thể phát hiện các cuộc tấn công mà
không đi qua mạng được theo dõi.
Wazuh nên được cài đặt ở trên các host quan trọng của tổ chức, các server
đặt trong vùng DMZ-đây thường là mục tiêu bị tấn công đầu tiên.
Hình ảnh dưới đây minh họa cho việc sử dụng Wazuh để bảo vệ các host
trong hệ thống:
51
EBOOKBKMT.COM
Hình 3.6Mô hình triển khai hệ thống sử dụng wazuh
Trong hệ thống triển khai giải pháp Wazuh, các host cần bảo vệ sẽ được
cài đặt gói wazuh-agent và được cài đặt trên nhiều hệ điều hành khác nhau. Đây
là phần mềm được cài đặt trên các host giúp thu thập các thông tin và gửi thông
tin thu thập được về wazuh server để giám sát, phân tích và thống kê. Ngoài ra,
đối với những thiết bị mạng, thiết bị bảo mật không thể cài đặt được agent thì
wazuh cũng có hỗ trợ cơ chế được gọi là Agentless giúp việc thu thập thông tin
trở nên dễ dàng trên switch, router, tường lửa....
Wazuh agent được cài đặt chiếm ít hiệu năng của host (RAM, CPU) nên
sẽ không ảnh hưởng nhiều đến hoạt động của host đó. Do chỉ theo dõi cho một
host cụ thể nên wazuh agent có thể theo dõi sâu hơn về những thông tin của hệ
thống như system call hay là những thay đổi trong file hệ thống, system logs.
Ngoài ra, quản trị viên có thể linh động cấu hình các tập luật cho từng host cụ
thể để có thể thu được thông tin mong muốn cũng để giảm bớt những luật không
cần thiết giúp tăng cường hiệu suất và giảm thiểu những xử lý gây quá tải.
52
EBOOKBKMT.COM
Thông tin mà các agent gửi về wazuh server sẽ được lưu trữ và phân
tích.Tại đây, wazuh server quản lý các bộ luật, các bộ giải mã và cấu hình chính.
Nhờ những thứ này sẽ tạo ra những tiến trình để kiểm tra các log, sự kiện và có
thể đưa ra các cảnh báo nếu nó phù hợp với luật đã được cấu hình. Chínhđiều
này sẽ giúp quản lý hệ thống một cách dễ dàng cho dù hệ thống đó có số lượng
agent lớn.Một lưu ý nhỏ là wazuh server không thể cài đặt trên hệ điều hành
Windows.
Wazuh server sử dụng Logstash thu thập dữ liệu với thời gian thực.
Logstash có thể thu thập dữ liệu từ nhiều nguồn khác nhau và chuẩn hóa dữ liệu
đó. Filebeat để gửi dữ liệu cảnh báo và sự kiện đến Elasticsearch bằng mã hóa
TLS. Filebeat định dạng dữ liệu đến và làm giàu dữ liệu nhờ GeoIP trước khi
gửi nó đến Elasticsearch. Sau khi dữ liệu được lập chỉ mục vào Elasticsearch.
Kibana được sử dụng để tìm kiếm, xem và tương tác với dữ liệu được lưu trữ
trong Elasticsearch. Qua đó dễ dàng thực hiện phân tích để khai thác, phân tích
dữ liệu thu thập được và trực quan hóa thông tin cho người dùng thông qua biểu
đồ, bảng biểu.
Ngoài việc gửi dữ liệu đến Elasticsearch, các cảnh báo và sự kiện không
cảnh báo đều được lưu trữ trên wazuh server. Các file lưu trữ có thể được lưu ở
định dạng JSON hoặc ở định dạng log để thực hiện việc phân tích và báo cáo dữ
liệu trong thời gian dài.
3.3. Thử nghiệm
3.3.1. Xây dựng hệ thống
Mô hình thử nghiệm: Mô hình bao gồm 2 agent được cài đặt trên hệ điều
hành Ubuntu và Windows kết nối đến một máy cài đặt wazuh server và một máy
attacker để thực hiện tấn công vào các máy trong hệ thống. Về việc cài đặt mô
hình thử nghiệm đã được trình bày trong Phụ lục.
53
EBOOKBKMT.COM
Hình 3.7 Mô hình thử nghiệm
Cấu hình các máy trong mô hình thử nghiệm
Bảng 3.2 Cấu hình máy ảo thử nghiệm
STT
Tên thiết bị
RAM
CPU
HDD
1
Attacker
2GB
1 core
20GB
2
Wazuh Server
4GB
2 core
40GB
3
Window 7
1GB
1 core
30GB
4
Ubuntu 16
1GB
1 core
20GB
3.3.2. Kịch bản 01
Quản trị viên dựng hệ thống có sử dụng giải pháp Wazuh và thực hiện
việc quét lỗ hổng để phát hiện những lỗ hổng trên các thiết bị đã được cài đặt
wazuh agent và có kết nối đến wazuh server. Để làm được điều đó, đầu tiên
chúng ta phải sửa file theo đường dẫn /var/ossec/etc/ossec.conf trên wazuh
server.
Dưới đây là đoạn cấu hình tiến trình để thu thập dữ liệu từ các agent
<wodle name="syscollector">
<disabled>no</disabled>
54
EBOOKBKMT.COM
<interval>1h</interval>
<scan_on_start>yes</scan_on_start>
<hardware>yes</hardware>
<os>yes</os>
<hotfixes>yes</hotfixes>
<network>yes</network>
<packages>yes</packages>
<ports all="no">yes</ports>
<processes>yes</processes>
</wodle>
Sau khi cấu hình tiến trìn nhận dữ liệu cần cấu hình trình phát hiện lỗ
hổng trên hai hệ điều hành là ubuntu và windows.
<vulnerability-detector>
<enabled>yes</enabled>
<interval>5m</interval>
<ignore_time>6h</ignore_time>
<run_on_start>yes</run_on_start>
<provider name="canonical">
<enabled>yes</enabled>
<os>trusty</os>
<os>xenial</os>
<os>bionic</os>
<update_interval>1h</update_interval>
</provider>
<provider name="nvd">
<enabled>yes</enabled>
<update_from_year>2010</update_from_year>
<update_interval>1h</update_interval>
</provider>
</vulnerability-detector>
Sau khi cấu hình trên wazuh server, chúng ta cần chạy lại câu lệnh service
wazuh-manager restart để áp dụng những thay đổi vừa được cấu hình.
55
EBOOKBKMT.COM
Dưới đây là kết quả của việc quét lỗ hổng trên các agent đã cài đặt wazuh
agent. Từ dashboard này, dễ dàng nhận thấy được số lượng các lỗ hổng và mức
độ các lỗ hổng đang tồn tại trong hệ thống mạng từ đó có thể đưa ra những biện
pháp xử lý đối với các lỗ hổng này.
Hình 3.8 Dashboard lỗ hổng hệ thống
Hình 3.9 Log của một lỗ hổng được phát hiện
56
EBOOKBKMT.COM
Hình 3.10 Thông tin JSON của lỗ hổng
3.3.3. Kịch bản 02
Trên các client đã được cài agent sẽ giám sát những thư mục quan trọng
và được chỉ định. Giả định, attacker đã chiếm quyền điều khiển của client và sửa
đổi dữ liệu trong thư mục đã được giám sát. Ngoài ra, attacker còn đưa vào thư
mục giám sátmột file có chứa mã độc.
Đầu tiên, chúng ta cần tích hợp Virus Total vào hệ thống wazuh
Hình 3.11 Đăng ký nhận API của Virus Total miễn phí
Sau khi đăng ký tài khoản Virus Total và nhận được API miễn phí, chúng
ta cần cấu hình thêm API trong tệp /var/ossec/etc/ossec.conf để có thể tích hợp
Virus Total vào wazuh server
57
EBOOKBKMT.COM
<integration>
<name>virustotal</name><api_key>e32fd7cb9bdbfb3fc00f0b2244c5cb
5d3ef5adb70468aaffed65a539536736c0</api_key>
<group>syscheck</group>
<alert_format>json</alert_format>
</integration>
Tiếp theo, chúng ta sẽ tạo thư mục PhanNA windows và cấu hình giám sát
các thư mục đó trên agent.
<syscheck>
<directories check_all="yes" realtime="yes" whodata="yes"
report_changes="yes">C:\PhanNA Windows</directories>
<alert_new_files>yes</alert_new_files>
</syscheck>
Sau khi cấu hình giám sát thư mục, chúng ta tạo một tệp text trong thư
mục PhanNA windows
Hình 3.12 Tạo file trong thư mục
Kiểm tra trên dashboard, dễ dàng nhận thấy thông tin về việc tạo tệp mới
trong thư mục được giám sát.
58
EBOOKBKMT.COM
Hình 3.13 Thông tin hiển thị việc thêm file trên dashboard (1)
Hình 3.14Thông tin hiển thị việc thêm file trên dashboard (2)
59
EBOOKBKMT.COM
Hình 3.15 Log thêm file được ghi lại trên hệ thống
Kiểm tra thông tin trong log, chúng ta có thể đọc được dữ liệu mới thêm.
Hình 3.16 Nội dung dữ liệu được viết trong file
Sau attacker khi thêm file mới, Virus Total được tích hợp trong hệ thống
tự động kiểm tra dữ liệu và đưa ra kết luận tệp đó có chứa mã độc hay không.
60
EBOOKBKMT.COM
Hình 3.17 Virus Total tự động kiểm tra mã độc trong file mới được thêm
Attcker chiếm quyền điều khiển máy tính đã thực hiện hành vi sửa đổi dữ
liệu trong tệp tin.
Hình 3.18 Sửa nội dung tệp tin
Khi attacker sửa đổi nội dung của tệp nằm trong thư mục đã được giám
sát, hệ thống ghi lại những thông tin quan trọng liên quan đến việc sửa đổi như
61
EBOOKBKMT.COM
chương trình thực hiện sửa đổi, tài khoản thực hiện sửa đổi và quan trọng nhất
đó là nội dung sửa đổi.
Hình 3.19 Thông tin về việc thay đổi nội dung file
Sau khi chỉnh sửa dữ liệu, attacker còn đưa vào thư mục những thư mục
có chứa mã độc.
Hình 3.20 Thêm thư mục chứa mã độc
Hệ thống vừa ghi lại log của việc thêm mới thư mục và sử dụng Virus
Total để kiểm tra thư mục vừa được thêm. Kết quả của việc kiểm tra là thư mục
mới thêm vào có chứa mã độc. Những thông tin quan trọng được ghi lại bao
gồm mã agent, IP của agent, file chứa mã độc và cảnh báo về file đó.
62
EBOOKBKMT.COM
Hình 3.21Virus Total tự động phát hiện mã độc trong thư mục mới thêm
Chúng ta có thể bấm vào link ở mục data.virustotal.permalink để có thể
liên kết và xem thông tin liên quan đến file chứa mã độc trên trang web của
Virus Total
63
EBOOKBKMT.COM
Hình 3.22Kiểm tra thông tin trên Virus Total
3.3.4. Kịch bản 03
Attacker tấn công SSH brute force vào client với địa chỉ IP là 10.1.3.132.
Khi bị tấn công, wazuh sẽ chạy các lệnh trên agent để phản ứng lại cuộc tấn
công vào client.
Để có thể chủ động phản ứng với cuộc tấn công, cần tạo ra luật để có thể
biết được khi nào cần phản ứng. Dưới đây là là luật SSH sẽ chặn khi điều kiện
phìu hợp nó sẽ được kích hoạt:
<rule id="5700" level="0" noalert="1">
<decoded_as>sshd</decoded_as>
<description>SSHD messages grouped.</description>
</rule>
<rule id="5710" level="5">
64
EBOOKBKMT.COM
<if_sid>5700</if_sid>
<match>illegal user|invalid user</match>
<description>sshd: Attempt to login using a non-existent
user</description>
<group>invalid_login,authentication_failed</group>
</rule>
<rule id="5712" level="10" frequency="8" timeframe="120"
ignore="60">
<if_matched_sid>5710</if_matched_sid>
<description>sshd: brute force trying to get access to
</description>
<description>the system.</description>
<same_source_ip />
<group>authentication_failures</group>
</rule>
Khi xác định được lúc nào phản ứng chủ động với cuộc tấn công SSH
brute force, cần phải có tập lệnh để hoạt động.
<command>
<name>firewall-drop</name>
<executable>firewall-drop.sh</executable>
<expect>srcip</expect>
<timeout_allowed>yes</timeout_allowed>
</command>
Cuối cùng, chúng ta cấu hình wazuh để chạy các phản ứng:
<active-response>
<command>firewall-drop</command>
<location>local</location>
<level>6</level>
<timeout>300</timeout>
</active-response>
65
EBOOKBKMT.COM
Tăng thời gian chặn đối với những IP vi phạm nhiều lần
<active-response>
<repeated_offenders>10,30,60</repeated_offenders>
</active-response>
Trên agent cần cấu hình nơi nhận log/var/ossec/etc/shared/agent.conf
<agent_config>
<localfile>
<log_format>syslog</log_format>
<location>/var/ossec/logs/active-responses.log</location>
</localfile>
</agent_config>
Kiểm tra kết nối từ máy Attacker đến ubuntu agent
Hình 3.23 Kiểm tra kết nối mạng giữa máy Attacker và ubuntu agent
66
EBOOKBKMT.COM
Hình 3.24 Thực hiện SSH từ máy Attacker đến máy agent
Thực hiện giả định tấn công ssh brute force vào ubuntu client bằng cách
ssh sai nhiều lần.
Hình 3.25 Thực hiện giả định tấn công SSH brute force
67
EBOOKBKMT.COM
Sau khi thực hiện giả định việc tấn công ssh brute force, hệ thống đã
nhanh chóng phát hiện và thực thi phản ứng chặn lại IP của máy tính attacker.
Khi đo từ máy tính của attacker không thể ping hay SSH tới máy ubuntu agent.
Hình 3.26 Attacker thực hiện ping đến agent
Hình 3.27 Attacker SSH đến agent
Khi IP máy tính attacker bị chặn, hệ thống ghi lại log tại đường dẫn
/var/ossec/logs/active-response.log đã được cấu hình trước đó.
Hình 3.28 Log ghi lại trên agent
Trên dashboard, quản trị viên có thể dễ dàng thấy được thông tin của việc
chặn IP của kẻ tấn công
68
EBOOKBKMT.COM
Hình 3.29 Log của thông tin chặn IP của Attacker
Khi hết thời gian chặn, IP của máy attacker đã được bỏ chặn và có thể liên
lạc được đến máy ubuntu client
Hình 3.30Kết nối máy Attacker và agent khi hết thời gian chặn
Dưới đây là log hệ thống ghi lại về việc bỏ chặn IP của máy attacker
Hình 3.31 Log trên dashboard về việc bỏ chặn IP của Attacker
69
EBOOKBKMT.COM
3.4. Kết luận chương 3
Chương này đã đề xuất bộ tiêu chí xây dựng Trung tâm điều hành ATTT
SOC cũng như các bước để xây dựng trung tâm. Ngoài ra, chương này còn làm
rõ các thành phần cơ bản của SOC cũng như cách thức triển khai giải pháp
wazuh trong một trung tâm điều hành. Không chỉ vậy, đồ án đã đưa ra một vài
kịch bản thử nghiệm để nêu ra những tính năng nổi bật của giải pháp wazuh.
Các kịch bản thử nghiệm có thể thấy giải pháp wazuh là một giải pháp hiệu quả
từ chức năng cho đến cách thức triển khai trong thực tế.
70
EBOOKBKMT.COM
KẾT LUẬN
Ba chương của đồ án đã thực hiện được những mục tiêu cụ thể đã được
đặt ra. Cụ thể:
Chương 1 đã điểm qua các sự kiện an ninh mạng những năm gần đây và
cho thấy được nhu cầu cấp thiết trong việc xây dựng trung tâm điều hành ATTT
SOC. Đồ án đã đưa ra khái niệm cũng như giới thiệu về nguyên lý hoạt động,
đối tượng, phạm vi giám sát của trung tâm điều hành ATTT SOC đã cho thấy lợi
ích to lớn khi xây dựng trung tâm. Ngoài ra, trong chương 1 đã giới thiệu một số
sản phẩm giám sát ATTT phổ biến trên thị trường.
Chương 2 đã giới thiệu về giải pháp wazuh – một giải pháp HIDS mã
nguồn mở trên thị trường. Ở chương này đã hệ thống hóa những kiến thức tổng
quan về giải pháp wazuh như kiến trúc, phương thức liên lạc và luồng dữ liệu,
các thành phần chính trong giải pháp, cấu trúc luật và các khả năng chính của
wazuh.
Chương 3 đã trình bày những cơ sở để có thể xây dựng trung tâm điều
hành ATTT SOC. Đồ án đã đề xuất về tiêu chí xây dựng trung tâm và các bước
thực hiện việc xây dựng giải pháp trong trung tâm điều hành ATTT SOC. Ngoài
ra, chương 3 đã nêu cách thức tích hợp wazuh thành một giải pháp giám sát
trong trung tâm và đã thử nghiệm một vài kịch bản cho thấy sự hiệu quả trong
việc giám sát máy tính người dùng, máy chủ.
Dù vậy, do thời gian nghiên cứu, tìm hiểu ngắn nên đồ án vẫn còn một số
khiếm khuyết. Đồ án đang tập trung về việc xây dựng và tích hợp wazuh vào
trong trung tâm điều hành ATTT SOC và sử dụng wazuh giám sát như một giải
pháp độc lập.Việc tương quan dữ liệu của wazuh với hệ thống phát hiện xâm
nhập dựa trên mạng chưa được xem xét và làm rõ. Việc giải quyết điểm tồn
đọng này cũng chính là hướng phát triển tương lai của đồ án và để đồ án có thể
có giá trị thực tiễn cao hơn.
71
EBOOKBKMT.COM
TÀI LIỆU THAM KHẢO
[1]. Công văn 2973/BTTTT-CATTT Hướng dẫn triển khai hoạt động giám sát
an toàn thông tin trong cơ quan, tổ chức nhà nước
[2]. Điều 9 Thông tư số 03/2017/TT-BTTT
[3]. What is a Security Operations Center (SOC)?
https://www.mcafee.com/enterprise/en-ca/security-awareness/operations/whatis-soc.html
[4]. What Is a Security Operations Center, and Why Is It Important?
https://www.blackstratus.com/what-is-a-security-operations-center-and-why-isit-important/
[5]. How to build a security operations center (soc): peoples, processes, and
technologies
https://digitalguardian.com/blog/how-build-security-operations-center-socpeoples-processes-and-technologies
[6]. Building a security operations center (SOC)
https://cybersecurity.att.com/solutions/security-operations-center/building-a-soc
[7]. How to build a soc with limited resources
https://coresight.com.au/wp-content/uploads/2017/08/LR-build-a-SOC.pdf
[8]. Vai trò, lợi ích của Trung tâm điều hành an ninh mạng SOC phần 1
https://techinsight.com.vn/vai-tro-loi-ich-cua-trung-tam-dieu-hanh-an-ninhmang-soc-phan-1/
[9]. Getting started
https://documentation.wazuh.com/3.12/getting-started/index.html
[10]. Install wazuh server-ubuntu from packages
https://documentation.wazuh.com/3.12/installation-guide/installing-wazuhmanager/linux/ubuntu/wazuh_server_packages_ubuntu.html#wazuh-serverpackages-ubuntu
[11]. Wazuh architecture
https://documentation.wazuh.com/3.12/getting-started/architecture.html
[12]. Wazuh use cases
https://documentation.wazuh.com/3.12/getting-started/use-cases.html
[13]. Integration with external APIs
72
EBOOKBKMT.COM
https://documentation.wazuh.com/3.12/user-manual/manager/manualintegration.html#virustotal
[14]. Registering the Wazuh agents using the command line (CLI)
https://documentation.wazuh.com/3.12/user-manual/registering/command-lineregistration.html
[15]. File integrity monitoring-How it works
https://documentation.wazuh.com/3.12/user-manual/capabilities/fileintegrity/how-it-works.html
[16]. Active response-Configuration
https://documentation.wazuh.com/3.12/user-manual/capabilities/activeresponse/remediation-configuration.html
[17]. Vulnerability detection
https://documentation.wazuh.com/3.12/user-manual/capabilities/vulnerabilitydetection/index.html
[18]. VirusTotal integration
https://documentation.wazuh.com/3.12/user-manual/capabilities/virustotalscan/index.html
73
EBOOKBKMT.COM
PHỤ LỤC
1. Cài đặt hệ thống
1.1.
Cài đặt trình quản lý Wazuh
1.1.1. Wazuh server
- Tải các gói cài đặt trên server
apt-get install curl apt-transport-https lsb-release
gnupg2
- Cài đặt khóa GPG
curl-shttps://packages.wazuh.com/key/GPG-KEY-WAZUH|
apt-
key add -
- Thêm kho lưu trữ
echo "deb https://packages.wazuh.com/3.x/apt/ stable main"
| tee -a /etc/apt/sources.list.d/wazuh.list
- Cập nhật thông tin gói cài đặt
apt-get update
- Cài đặt đặt trình quản lý wazuh
apt-get install wazuh-manager
- Kiểm tra trạng thái dịch vụ wazuh
service wazuh-manager status
1.1.2. Wazuh API
- Cài đặt kho lưu trữ NodeJS
curl -sL https://deb.nodesource.com/setup_8.x | bash -
Cài đặt NodeJS
apt-get install nodejs
- Cài đặt wazuh API
apt-get install wazuh-api
- Kiểm tra trạng thái dịch vụ của wazuh API
service wazuh-api status
1.1.3. Filebeat
74
EBOOKBKMT.COM
- Thêm kho Elastic và khóa GPG
apt-get install curl apt-transport-https
curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch
| apt-key add echo
"deb
stable
https://artifacts.elastic.co/packages/7.x/apt
main"
|
tee
/etc/apt/sources.list.d/elastic-
7.x.list
apt-get update
- Cài đặt Filebeat
apt-get install filebeat=7.6.2
- Tải tệp cấu hình Filebeat từ kho lưu trữ của wazuh
url -so /etc/filebeat/filebeat.yml
https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/exte
nsions/filebeat/7.x/filebeat.yml
- Tải mẫu cảnh báo cho Elasticsearch
curl -so /etc/filebeat/wazuh-template.json
https://raw.githubusercontent.com/wazuh/wazuh/v3.12.3/exte
nsions/elasticsearch/7.x/wazuh-template.json
- Tải xuống mô-đun wazuh cho Filebeat
curl -s https://packages.wazuh.com/3.x/filebeat/wazuhfilebeat-0.1.tar.gz | sudo tar -xvz -C
/usr/share/filebeat/module
- Chỉnh sửa tệp /etc/filebeat/filebeat.yml
output.elasticsearch.hosts:
['http://YOUR_ELASTIC_SERVER_IP:9200']
- Kích hoạt và chạy dịch vụ Filebeat
systemctl daemon-reload
systemctl enable filebeat.service
systemctl start filebeat.service
1.2. Cài đặt Elastic Stack
- Thêm kho Elastic và khóa GPG
75
EBOOKBKMT.COM
apt-get install curl apt-transport-https
curl -s https://artifacts.elastic.co/GPG-KEY-elasticsearch
| apt-key add echo
"deb
stable
https://artifacts.elastic.co/packages/7.x/apt
main"
|
tee
/etc/apt/sources.list.d/elastic-
7.x.list
apt-get update
1.2.1. Cài đặt Elasticsearch
- Cài đặt gói Elasticsearch
apt-get install elasticsearch=7.6.2
- Cấu hình cài đặt trong tệp/etc/elasticsearch/elasticsearch.yml
network.host: 10.1.3.130
node.name: <phanna_node>
cluster.initial_master_nodes: ["<phanna_node>"]
- Kích hoạt và khởi động dịch vụ Elasticsearch
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
1.2.2. Kibana
- Cài đặt gói Kibana
apt-get install kibana=7.6.2
- Cài đặt plugin cho ứng dụng wazuh trên Kibana
cd /usr/share/kibana/
sudo -u kibana bin/kibana-plugin
installhttps://packages.wazuh.com/wazuhapp/wazuhapp3.12.3_7.6.2.zip
- Chỉnh sửa cấu hình cài đặt trong tệp/etc/kibana/kibana.yml
server.host: "<10.1.3.130>"
elasticsearch.hosts: ["http://10.1.3.130:9200"]
- Tăng kích thước heap của Kibana để đảm bảo cài đặt plugin
76
EBOOKBKMT.COM
cat >> /etc/default/kibana << EOF
NODE_OPTIONS="--max_old_space_size=2048"
EOF
- Kích hoạt và bắt đầu dich vụ Kibana
systemctl daemon-reload
systemctl enable kibana.service
systemctl start kibana.service
1.3. Cài đặt Wazuh agent
1.3.1. Cài đặt wazuh agent trên ubuntu
- Cài đặt các gói hỗ trợ trên server
apt-get
install
curl
apt-transport-https
lsb-release
gnupg2
- Cài đặt khóa GPG của kho lưu trữ wazuh
curl
-s
https://packages.wazuh.com/key/GPG-KEY-WAZUH
|
apt-key add -
- Thêm kho lưu trữ
echo "deb https://packages.wazuh.com/3.x/apt/ stable main"
| tee /etc/apt/sources.list.d/wazuh.list
- Cập nhật thông tin gói cài đặt
apt-get update
- Cài đặt gói wazuh agent
apt-get install wazuh-agent
- Khởi chạy dịch vụ wazuh agent
service wazuh-agent restart
1.3.2. Cài đặt wazuh agent trên windows
Tải file cài đặt theo đường dẫn
https://packages.wazuh.com/3.x/windows/wazuh-agent-3.12.3-1.msi
Chạy file đã được tải và cài đặt wazuh agent
77
EBOOKBKMT.COM
1.4. Cấu hình wazuh agent kết nối wazuh server
1.4.1. Cấu hình kết nối trên Windows
Hình 3.32 Thêm windows agent
Hình 3.33 Sinh khóa chia sẻ trước của windows agent
78
EBOOKBKMT.COM
Hình 3.34 Đăng ký, kết nối đến wazuh server
Hình 3.35 Xác nhận kết nối đến wazuh server
1.4.2. Cấu hình kết nối trên Ubuntu
Hình 3.36 Thêm ubuntu agent
79
EBOOKBKMT.COM
Hình 3.37 Sinh khóa chia sẻ trước của ubuntu agent
Hình 3.38 Thêm key để kết nối với wazuh server
Hình 3.39 Xác nhận kết nối đến wazuh server
80
EBOOKBKMT.COM
81