Báo cáo đồ án: Giám sát xâm nhập bằng Splunk trong an ninh mạng

Splunk là một nền tảng phần mềm tiên tiến cho phép tìm kiếm, phân tích và trực quan hóa dữ liệu lớn do máy tạo ra, được thu thập từ các trang web, ứng dụng, cảm biến, thiết bị, v.v. Vượt ra ngoài vai trò của một công cụ quản lý log đơn thuần, Splunk cung cấp khả năng lập chỉ mục (indexing) toàn bộ dữ liệu, cho phép thực hiện các truy vấn phức tạp để chẩn đoán sự cố và xác định các mẫu hành vi. Trong lĩnh vực bảo mật thông tin, Splunk hoạt động như một hệ thần kinh trung ương, tiếp nhận dữ liệu từ mọi ngóc ngách của hạ tầng công nghệ thông tin. Nền tảng này không yêu cầu một lược đồ dữ liệu cứng nhắc, giúp nó có thể xử lý hiệu quả các định dạng log đa dạng, từ syslog của thiết bị mạng đến event log của Windows hay các log ứng dụng tùy chỉnh. Sức mạnh của Splunk nằm ở khả năng biến đổi dữ liệu thô thành các báo cáo, biểu đồ và cảnh báo tấn công dễ hiểu, hỗ trợ đắc lực cho việc ra quyết định.

Splunk đóng vai trò là hạt nhân của một hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). Theo báo cáo nghiên cứu, hệ thống này thu thập và tổng hợp dữ liệu nhật ký từ các thiết bị bảo mật như Firewall, hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS) và Anti-virus. Chức năng chính của Splunk là tương quan các sự kiện an ninh từ các nguồn phân tán này. Ví dụ, một cảnh báo từ IDS có thể được kết hợp với một log từ Firewall và một sự kiện đăng nhập thất bại trên máy chủ để xác định một cuộc tấn công đa giai đoạn. Bằng cách này, Splunk không chỉ phát hiện mối đe dọa mà còn cung cấp ngữ cảnh đầy đủ, giúp các nhà phân tích bảo mật hiểu rõ bản chất, quy mô và tác động của sự cố, từ đó đưa ra phương án ứng phó sự cố an ninh mạng kịp thời và chính xác.

Một hạ tầng mạng doanh nghiệp điển hình bao gồm nhiều lớp bảo mật và thiết bị. Tài liệu nghiên cứu cho thấy các nguồn log chính bao gồm: Firewall (ví dụ: pfSense), IDS/IPS (ví dụ: Suricata), Anti-virus (ví dụ: ClamAV), máy chủ web, và hệ điều hành. Mỗi hệ thống này ghi lại hoạt động theo cách riêng. Log của tường lửa ghi lại các kết nối được cho phép hoặc từ chối, trong khi log của IDS chứa các cảnh báo về chữ ký tấn công đã biết. Việc quản lý các log này một cách riêng lẻ là không hiệu quả và gần như không thể cung cấp cái nhìn tổng thể. Sự phân tán này không chỉ làm chậm quá trình điều tra mà còn tạo ra các 'điểm mù' an ninh, nơi các hoạt động độc hại có thể diễn ra mà không bị phát hiện.

Việc phát hiện các cuộc tấn công tinh vi (Advanced Persistent Threats - APT) đòi hỏi khả năng tương quan dữ liệu ở mức độ cao. Một cảnh báo đơn lẻ, chẳng hạn như một lần quét cổng từ một địa chỉ IP lạ, có thể không đáng lo ngại. Tuy nhiên, khi sự kiện đó được kết hợp với một nỗ lực đăng nhập thất bại từ cùng một IP vào một máy chủ quan trọng, tiếp theo là một cảnh báo về việc tải xuống một tệp đáng ngờ, thì đó rõ ràng là một chuỗi tấn công. Nếu không có nền tảng phân tích tập trung, việc kết nối các điểm dữ liệu này theo thời gian thực là bất khả thi. Các nhà phân tích phải đối mặt với việc sàng lọc thủ công qua hàng gigabyte dữ liệu, một quá trình chậm chạp và dễ xảy ra lỗi con người. Đây là lý do tại sao khả năng phân tích log an ninh tự động và tương quan sự kiện là tính năng quan trọng nhất của một hệ thống giám sát hiệu quả.

Kiến trúc nền tảng của hệ thống giám sát Splunk bao gồm một máy chủ Splunk Enterprise đóng vai trò là 'bộ não', nơi tất cả dữ liệu được tập trung để phân tích. Thành phần thứ hai là Splunk Universal Forwarder, hoạt động như những 'cảm biến' được triển khai trên các hệ thống cần giám sát. Các Forwarder này được thiết kế để tiêu thụ tài nguyên hệ thống ở mức tối thiểu, chỉ thực hiện nhiệm vụ thu thập và gửi log về máy chủ. Theo mô hình thực nghiệm, một trình Forwarder được cài đặt trên máy chủ Suricata (IDS) và máy chủ ClamAV (Anti-virus). Cấu hình này cho phép giám sát các tệp log cụ thể (ví dụ: /var/log/suricata/fast.log) theo thời gian thực. Bất kỳ sự kiện mới nào được ghi vào các tệp này sẽ ngay lập tức được chuyển đến Splunk Enterprise, giúp giảm thiểu độ trễ trong việc phát hiện.

Việc cấu hình các nguồn dữ liệu là bước quan trọng để đảm bảo luồng thông tin thông suốt. Đối với Pfsense Firewall, tài liệu mô tả việc cấu hình tính năng 'Remote Logging', chỉ định địa chỉ IP của máy chủ Splunk và port 514. Splunk Enterprise được cấu hình để 'lắng nghe' trên port UDP 514, sẵn sàng nhận dữ liệu syslog. Đối với Suricata và ClamAV, sau khi cài đặt Splunk Forwarder, người quản trị sẽ cấu hình tệp inputs.conf để chỉ định các tệp và thư mục cần theo dõi. Đồng thời, tệp outputs.conf trên Forwarder được cấu hình với địa chỉ IP của máy chủ Splunk và port 9997. Máy chủ Splunk Enterprise cũng được cấu hình để nhận dữ liệu trên port TCP 9997. Quy trình này đảm bảo mọi mẩu tin quan trọng từ các thành phần bảo mật đều được tập hợp về một nơi duy nhất để phân tích.

Hoạt động săn lùng mối đe dọa (threat hunting) là một quy trình chủ động, nơi các nhà phân tích không chờ đợi cảnh báo mà tự mình tìm kiếm các dấu hiệu xâm nhập. SPL là công cụ không thể thiếu trong quá trình này. Dựa trên tài liệu, một nhà phân tích có thể viết một truy vấn SPL để tìm kiếm các sự kiện 'Possible DDoS attack' từ log của Suricata. Câu lệnh index=* host="syslog" "Possible DDoS attack" sẽ nhanh chóng lọc ra tất cả các sự kiện liên quan. Từ đó, họ có thể sử dụng các lệnh như stats count by src_ip để đếm số lượng tấn công từ mỗi địa chỉ IP nguồn, hoặc top limit=10 dest_ip để xác định các mục tiêu bị tấn công nhiều nhất. Khả năng tương tác và tinh chỉnh truy vấn một cách linh hoạt cho phép các nhà phân tích đi sâu vào dữ liệu, khám phá các mối liên hệ ẩn và xác định các mối đe dọa chưa từng được biết đến.

Một dashboard giám sát an ninh hiệu quả là sự kết hợp của nhiều bảng điều khiển (panel), mỗi panel hiển thị kết quả của một truy vấn SPL. Ví dụ, một dashboard có thể bao gồm biểu đồ về số lượng cảnh báo IDS theo thời gian, bản đồ địa lý hiển thị vị trí các cuộc tấn công, và danh sách các IP đáng ngờ nhất. Điều này cung cấp một cái nhìn tổng quan, 'nhìn nhanh' về tình hình an ninh. Đối với các sự kiện quan trọng, việc thiết lập cảnh báo là tối cần thiết. Tài liệu đã trình bày chi tiết cách tạo một cảnh báo cho sự kiện tấn công DDoS. Cảnh báo này có thể được cấu hình để chạy theo lịch trình (ví dụ: mỗi 5 phút) hoặc theo thời gian thực. Khi điều kiện của cảnh báo được thỏa mãn, Splunk có thể tự động thực hiện một hành động, chẳng hạn như gửi email đến quản trị viên. Tính năng này đảm bảo rằng các sự cố nghiêm trọng sẽ được chú ý ngay lập tức, cho phép ứng phó sự cố an ninh mạng một cách nhanh chóng.

Trong kịch bản tấn công Ping of Death (một dạng DDoS), kẻ tấn công sử dụng công cụ hping3 để tạo ra một lượng lớn gói tin ICMP gửi đến máy chủ mục tiêu. Suricata, với vai trò là hệ thống phát hiện xâm nhập (IDS), ngay lập tức nhận diện lưu lượng bất thường này và ghi lại một sự kiện với chữ ký cảnh báo tấn công DDoS. Log này được Splunk Forwarder thu thập và gửi về máy chủ. Trên giao diện Splunk, nhà phân tích có thể thấy sự gia tăng đột biến của các sự kiện từ Suricata và dễ dàng lọc ra thông tin về IP nguồn và đích. Tương tự, với cuộc tấn công SSH Brute Force bằng công cụ Hydra, hệ thống ghi nhận hàng loạt lần đăng nhập thất bại trong một khoảng thời gian ngắn từ một địa chỉ IP duy nhất. Splunk có thể dễ dàng phát hiện mẫu hành vi này và đưa ra cảnh báo về một nỗ lực dò mật khẩu đang diễn ra.

Đối với các cuộc tấn công vào tầng ứng dụng như SQL Injection, Suricata đóng vai trò quan trọng trong việc phát hiện các chuỗi truy vấn độc hại trong lưu lượng mạng. Khi kẻ tấn công chèn các câu lệnh SQL vào một biểu mẫu trên trang web, Suricata sẽ so khớp với các quy tắc (rules) của nó và tạo ra một cảnh báo. Splunk tiếp nhận cảnh báo này và cho phép nhà phân tích xem chi tiết về chuỗi tấn công, địa chỉ IP của kẻ tấn công, và máy chủ web bị nhắm tới. Tương tự, khi khai thác lỗ hổng MS17-010 bằng Metasploit, các dấu hiệu đặc trưng của việc khai thác sẽ bị Suricata phát hiện. Splunk không chỉ hiển thị cảnh báo này mà còn cho phép tương quan nó với các log khác, chẳng hạn như log từ hệ điều hành của máy chủ bị tấn công, để xác nhận xem cuộc tấn công có thành công hay không. Quá trình này cung cấp đầy đủ thông tin để tiến hành các bước ứng phó sự cố an ninh mạng tiếp theo.

Mô hình được trình bày đã đạt được các mục tiêu chính: xây dựng thành công một hệ thống thu thập log tập trung, phân tích và hiển thị các sự kiện an ninh từ nhiều nguồn khác nhau, và phát hiện thành công các cuộc tấn công mô phỏng. Báo cáo nghiên cứu đã chứng minh rằng Splunk là một giải pháp SIEM mạnh mẽ và linh hoạt. Tuy nhiên, tài liệu cũng thẳng thắn nhìn nhận những hạn chế, bao gồm cơ sở lý thuyết chưa thực sự đi sâu vào các kỹ thuật phân tích hành vi người dùng (UBA) hay machine learning, và chưa khai thác hết các ứng dụng (add-on) mở rộng có sẵn trên Splunk. Đây là những điểm có thể cải thiện trong các nghiên cứu và triển khai trong tương lai để nâng cao hơn nữa khả năng phát hiện các mối đe dọa không xác định.

SOAR (Security Orchestration, Automation, and Response) là công nghệ cho phép các tổ chức định nghĩa các quy trình ứng phó sự cố (playbook) và tự động thực thi chúng. Trong một mô hình tích hợp, khi Splunk tạo ra một cảnh báo quan trọng (ví dụ: phát hiện một máy chủ bị nhiễm mã độc), nó sẽ gửi thông tin này đến nền tảng SOAR. Hệ thống SOAR sau đó sẽ tự động kích hoạt một playbook: cô lập máy chủ bị nhiễm khỏi mạng, chặn địa chỉ IP của kẻ tấn công trên tường lửa, và tạo một phiếu yêu cầu (ticket) cho đội ngũ an ninh để điều tra sâu hơn. Việc tích hợp Splunk Enterprise Security với một giải pháp SOAR giúp giảm tải công việc lặp đi lặp lại cho các nhà phân tích, cho phép họ tập trung vào các nhiệm vụ phức tạp hơn như săn lùng mối đe dọa, đồng thời đảm bảo rằng các sự cố được xử lý một cách nhất quán và nhanh chóng, bất kể thời gian nào trong ngày.