Search This Blog

Tuesday, September 15, 2015

Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của tổ chức.
    Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của mạng máy tính ma (botnet).
1. Các yếu tố cơ bản của giám sát
    Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được các yếu tố cốt lõi, cơ bản nhất của giám sát như:
- Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát.
- Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus...
Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người và đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng.
2. Các giải pháp công nghệ giám sát an toàn mạng
    Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong ba giải pháp sau:
- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
- Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, tài liệu sẽ hướng tới xây dựng giải pháp này.
3. Giải pháp quản lý và phân tích sự kiện an ninh
    Mô hình giải pháp quản lý và phân tích sự kiện an ninh gồm 03 thành phần chính:
a. Thành phần thu thập nhật ký an toàn mạng, bao gồm các giao diện thu thập nhật ký an toàn mạng trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần này có các tính năng:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng,… gồm cả các thiết bị vật lý và thiết bị ảo hóa.
- Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
b. Thành phần phân tích và lưu trữ: bao gồm các thiết bị lưu trữ dung lượng lớn và cung cấp khả năng tổng hợp, phân tích tự động. Thành phần này có các tính năng:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.
- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký an toàn mạng được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Đồng thời cũng cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về an toàn mạng theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.
c. Thành phần quản trị tập trung:
- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn mạng. Các giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc,... Ngoài ra, các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng để phù hợp với hệ thống của mình.
- Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạngxảy ra trong hệ thống.
d. Các thành phần khác: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài.
Nguồn: VNCERT

Posted by at No comments:

Sunday, September 6, 2015

Điện toán đám mây

         Điện toán đám mây (cloud computing), còn gọi là điện toán máy chủ ảo, là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet. Thuật ngữ "đám mây" ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách được bố trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó. Ở mô hình điện toán này, mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các "dịch vụ", cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó "trong đám mây" mà không cần phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó. Theo tổ chức Xã hội máy tính IEEE "Nó là hình mẫu trong đó thông tin được lưu trữ thường trực tại các máy chủ trên Internet và chỉ được được lưu trữ tạm thời ở các máy khách, bao gồm máy tính cá nhân, trung tâm giải trí, máy tính trong doanh nghiệp, các phương tiện máy tính cầm tay,...". Điện toán đám mây là khái niệm tổng thể bao gồm cả các khái niệm như phần mềm dịch vụWeb 2.0và các vấn đề khác xuất hiện gần đây, các xu hướng công nghệ nổi bật, trong đó đề tài chủ yếu của nó là vấn đề dựa vào Internet để đáp ứng những nhu cầu điện toán của người dùng. Ví dụ, dịch vụ Google AppEngine cung cấp những ứng dụng kinh doanh trực tuyến thông thường, có thể truy nhập từ một trình duyệt web, còn các phần mềm và dữ liệu đều được lưu trữ trên các máy chủ.
Theo: Wikipedia
Posted by at No comments:

Thursday, August 27, 2015

Các hình thức tấn công mạng phổ biến hiện nay

          1. Tấn công thay đổi giao diện website (Deface):        
        Từ ngày 01/08 đến ngày 07/08/2015 Trung tâm VNCERT đã ghi nhận và phát hiện 357 trường hợp sự cố tấn công thay đổi giao diện trên toàn quốc. Sau khi kiểm tra,Trung tâm đã gửi 274 yêu cầu điều phối đến các đơn vị liên quan. Tính đến ngày 07/08/2015, đã có 169 trường hợp website đã khắc phục sự cố, còn lại 188 trường hợp chưa khắc phục. Những trường hợp này VNCERT tiếp tục gửi cảnh báo cho đến khi sự cố được xử lý triệt để. Trong 357 sự cố trên, có 18 website của các Bộ, ngành, Cơ quan nhà nước.          
          Đặc biệt, VNCERT ghi nhận 66 tên miền có địa chỉ IP máy chủ đặt tại Việt Nam bị tấn công chiếm quyền điều khiển và thay đổi giao diện do Haker Trung Quốc gây ra. Sau khi phát hiện sự cố, Trung tâm tiến hành phân loại, phân tích, thống kê và đánh giá tính chất sự cố. VNCERT yêu cầu điều phối khẩn cấp tới các ISP và các đơn vị liên quan để phối hợp xử lý sự cố          
          2. Tấn công chèn mã giả mạo (Phishing):        
        Trung tâm VNCERT ghi nhận được 183 trường hợp liên kết website bị chèn mã Phishing trong tuần qua, trong đó có 01 đơn vị thuộc Cơ quan nhà nước. Trung tâm gửi cảnh báo cho 154 trường hợp, mới có 54 trường hợp bị tấn công Phishing được bóc gỡ, còn lại 129 trường hợp chưa được gỡ bỏ. Các mã này hướng tới giả mạo các tổ chức lớn như Google, Facebook hay các tổ chức ngân hàng, tài chính như: Halifax, Wells Fargo. 
         3. Tấn công chèn mã độc (Malware):         
        Tuần qua, có tổng số 173 liên kết website đang hoạt động tại Việt Nam bị chèn mã độc, đến ngày 07/08 vẫn còn tồn tại 133 liên kết chưa được xử lý. Trung tâm vẫn tiếp tục gửi cảnh báo tới các ISP này. Các mã độc được chèn vào chủ yếu là các iframe ẩn (nhằm tăng lượt xem trang), hay các đoạn mã tự động LIKE Fanpage Facebook.
        Nguồn: VNCERT
Posted by at No comments:
Subscribe to: Posts (Atom)