Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của mạng máy tính ma (botnet).
1. Các yếu tố cơ bản của giám sát
Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được các yếu tố cốt lõi, cơ bản nhất của giám sát như:
- Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát.
- Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus...
Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người và đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng.
- Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát.
- Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
- Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus...
Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người và đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng.
2. Các giải pháp công nghệ giám sát an toàn mạng
Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong ba giải pháp sau:
- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
- Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, tài liệu sẽ hướng tới xây dựng giải pháp này.
- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
- Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, tài liệu sẽ hướng tới xây dựng giải pháp này.
3. Giải pháp quản lý và phân tích sự kiện an ninh
Mô hình giải pháp quản lý và phân tích sự kiện an ninh gồm 03 thành phần chính:
a. Thành phần thu thập nhật ký an toàn mạng, bao gồm các giao diện thu thập nhật ký an toàn mạng trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần này có các tính năng:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng,… gồm cả các thiết bị vật lý và thiết bị ảo hóa.
- Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
b. Thành phần phân tích và lưu trữ: bao gồm các thiết bị lưu trữ dung lượng lớn và cung cấp khả năng tổng hợp, phân tích tự động. Thành phần này có các tính năng:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.
- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký an toàn mạng được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Đồng thời cũng cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về an toàn mạng theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.
c. Thành phần quản trị tập trung:
- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn mạng. Các giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc,... Ngoài ra, các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng để phù hợp với hệ thống của mình.
- Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạngxảy ra trong hệ thống.
d. Các thành phần khác: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài.
a. Thành phần thu thập nhật ký an toàn mạng, bao gồm các giao diện thu thập nhật ký an toàn mạng trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần này có các tính năng:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng,… gồm cả các thiết bị vật lý và thiết bị ảo hóa.
- Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
b. Thành phần phân tích và lưu trữ: bao gồm các thiết bị lưu trữ dung lượng lớn và cung cấp khả năng tổng hợp, phân tích tự động. Thành phần này có các tính năng:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.
- Môđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký an toàn mạng được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Đồng thời cũng cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về an toàn mạng theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.
c. Thành phần quản trị tập trung:
- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn mạng. Các giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc,... Ngoài ra, các công cụ này còn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng để phù hợp với hệ thống của mình.
- Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạngxảy ra trong hệ thống.
d. Các thành phần khác: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài.
Nguồn: VNCERT
