Đồ án nghiên cứu và thực nghiệm Trung tâm An ninh Mạng SOC tại HCMUTE

Đồ án nghiên cứu hcmute nghiên cứu và thực nghiệm soc security operation center, thiết kế chi tiết, tính toán kỹ thuật theo tiêu chuẩn, đánh giá tính khả thi dự án.

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

khóa luận tốt nghiệp

2019

92
4
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LỜI CẢM ƠN

1. PHẦN 1: MỞ ĐẦU

1.1. TÍNH CẤP THIẾT CỦA ĐỀ TÀI

1.2. MỤC ĐÍCH CỦA ĐỀ TÀI

1.3. ĐỐI TƯỢNG NGHIÊN CỨU

1.4. PHƯƠNG PHÁP NGHIÊN CỨU

1.5. Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI

2. PHẦN 2: NỘI DUNG

2. PHẦN 2: NỘI DUNG

2. Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER)

1.1. GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC

1.2. Con người (People)

1.3. Quy trình (Processes)

1.4. CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC

1.4.1. Thành phần thu thập thông tin nhật ký an ninh mạng

1.4.2. Thành phần phân tích và lưu trữ

1.4.3. Thành phần quản lý tập trung

1.5. CÁC THÀNH PHẦN BẢO MẬT MẠNG

1.6. SIEM

3. Chương 2: XÂY DỰNG HỆ THỐNG SOC

2.1. Xác định các đối tượng cần xây dựng và bảo vệ

2.2. Xây dựng kế hoạch

2.3. Vai trò người quản trị

2.4. Quy trình giám sát hệ thống SOC

2.5. Khả năng áp dụng

2.6. Hoạt động giám sát

2.7. Luôn luôn cập nhật thông tin

2.8. Duy trì nhật ký

2.9. Vận hành hệ thống SOC

2.10. Phản ứng với các sự kiện và sự cố

2.11. Duy trì đánh giá sự kiện

4. Chương 3: THỰC NGHIỆM

3.1. Mô hình thực nghiệm

3.2. Xây dựng hệ thống

3.2.1. Xây dựng hệ thống SIEM

3.2.2. Cài đặt Anti-virus ClamAV

3.2.3. Xây dựng hệ thống Firewall – Pfsense

3.2.4. Xây dựng hệ thống IDS – Suricata

3.2.5. Cấu hình phản hồi, cảnh báo (website, email, sms)

3.3. Thực nghiệm tấn công

3.3.1. Mô hình tấn công

3.3.2. Tấn công Ping of death

3.3.3. Port scan Nmap Attack Prevent

3.3.4. SSH Brute Force attacks

3.3.5. Tấn công MS17-010

3.3.6. Phân tích log từ ClamAV – Antivirus

3.3.7. Phân tích log từ Firewall – Pfsense

5. PHẦN 3: KẾT LUẬN

3.1. NHỮNG KẾT QUẢ ĐẠT ĐƯỢC

3.2. NHỮNG KHÓ KHĂN THI THỰC HIỆN ĐỀ TÀI

3.3. HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Giới thiệu về Trung tâm An ninh mạng SOC tại HCMUTE

Trung tâm An ninh mạng SOC tại HCMUTE được thành lập nhằm mục đích nâng cao khả năng bảo mật thông tin cho các hệ thống mạng trong bối cảnh an ninh mạng ngày càng trở nên phức tạp. SOC HCMUTE không chỉ là một đơn vị giám sát mà còn là nơi nghiên cứu và phát triển các giải pháp bảo mật tiên tiến. Việc xây dựng Trung tâm An ninh mạng SOC là một bước đi quan trọng trong việc đảm bảo an toàn cho thông tin và dữ liệu của tổ chức. Các hoạt động tại SOC bao gồm giám sát, phân tích và phản ứng với các sự cố an ninh mạng, từ đó giúp phát hiện và ngăn chặn các mối đe dọa tiềm ẩn. Đặc biệt, SOC HCMUTE còn đóng vai trò quan trọng trong việc đào tạo nhân lực cho lĩnh vực an ninh mạng, cung cấp kiến thức và kỹ năng cần thiết cho sinh viên và các chuyên gia trong ngành.

II. Nghiên cứu An ninh mạng tại SOC

Nghiên cứu về An ninh mạng tại SOC HCMUTE tập trung vào việc phân tích các nguy cơ và lỗ hổng trong hệ thống mạng. Các phương pháp nghiên cứu bao gồm việc sử dụng các công cụ phân tích và giám sát hiện đại để theo dõi hoạt động mạng. Phân tích nguy cơ mạng là một phần quan trọng trong việc xác định các điểm yếu có thể bị tấn công. Nhóm nghiên cứu đã thực hiện nhiều thí nghiệm để kiểm tra khả năng bảo mật của hệ thống, từ đó đưa ra các giải pháp khắc phục hiệu quả. Việc áp dụng các công nghệ như SIEM (Security Information and Event Management) giúp tăng cường khả năng phát hiện và phản ứng với các sự cố an ninh. Kết quả nghiên cứu không chỉ có giá trị lý thuyết mà còn có ứng dụng thực tiễn cao trong việc bảo vệ thông tin và dữ liệu của tổ chức.

III. Thực nghiệm An ninh mạng tại SOC

Thực nghiệm tại Trung tâm An ninh mạng SOC HCMUTE được thực hiện với mục tiêu kiểm tra và đánh giá hiệu quả của các giải pháp bảo mật đã triển khai. Các thí nghiệm bao gồm việc mô phỏng các cuộc tấn công mạng như tấn công DDoS, tấn công SQL Injection và các phương thức tấn công khác. Nhóm nghiên cứu đã sử dụng các công cụ như ClamAV, Pfsense và Suricata để thực hiện các bài kiểm tra này. Kết quả thực nghiệm cho thấy khả năng phát hiện và phản ứng của hệ thống là rất tốt, giúp nâng cao độ tin cậy của các giải pháp bảo mật. Việc thực nghiệm không chỉ giúp cải thiện hệ thống mà còn cung cấp những bài học quý giá cho việc phát triển các giải pháp an ninh mạng trong tương lai.

IV. Kết luận và hướng phát triển trong tương lai

Kết luận từ nghiên cứu và thực nghiệm tại SOC HCMUTE cho thấy tầm quan trọng của việc xây dựng một hệ thống giám sát an ninh mạng hiệu quả. Các giải pháp đã được triển khai không chỉ giúp bảo vệ thông tin mà còn nâng cao nhận thức về an ninh mạng trong cộng đồng. Hướng phát triển trong tương lai sẽ tập trung vào việc cải tiến công nghệ và quy trình hoạt động của SOC, đồng thời mở rộng các chương trình đào tạo cho sinh viên và chuyên gia trong lĩnh vực an ninh mạng. Việc áp dụng các công nghệ mới như trí tuệ nhân tạo và học máy vào SOC sẽ là một bước tiến quan trọng trong việc nâng cao khả năng bảo mật và phản ứng với các mối đe dọa an ninh mạng.

01/02/2025

Trích đoạn nội dung tài liệu

Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 1. GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC Trung Tâm Điều Hành An Ninh (Security Operations Center - SOC) là một đơn vị xử lý các vấn đề an ninh tập trung. Mục tiêu của SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng cách sử dụng kết hợp các giải pháp công nghệ và quy trình hoạt động chặc chẽ. Các trung tâm hoạt động bảo mật thường có nhân viên với các nhà phân tích bảo mật và kỹ sư cũng như các nhà quản lý giám sát các hoạt động bảo mật.

Nhân viên SOC làm việc chặt chẽ với các nhóm phản ứng sự cố để đảm bảo các vấn đề an ninh được giải quyết nhanh chóng khi phát hiện ra. Hệ thống trung tâm này có thể giúp bảo mật cho các thiết bị đầu cuối khác nhau: bảo mật website, bảo mật ứng dụng, bảo mật cơ sở dữ liệu, bảo mật máy chủ, bảo mật hệ thống mạng, máy tính, … Hệ thống SOC tùy theo kiến trúc thiết kế sẽ liên tục theo dõi mọi hoạt động trong hệ thống của khách hàng và đưa ra những cảnh báo. Các tính năng chính của hệ thống như sau: ● Kiểm soát – tập trung vào kiểm soát các trạng thái bảo mật của hệ thống như: đánh giá bảo mật pentest, đánh giá tính tuân thủ, đánh giá lỗ hổng hệ thống, … ● Giám sát – tập trung vào các sự kiện và phản hồi dựa trên giám sát logs, quản trị SIEM và phản hồi sự cố. ● Hoạt động – tập trung vào quản trị hoạt động bảo mật như quản lý định danh và truy cập, quản lý khóa, quản trị tường lửa, … Để xây dựng được hệ thống SOC thì điều quan trọng là cần có sự liên kết giữa con người (people), công nghệ (technology), quy trình (processes).

Như hình sau: 3 do an Hình 1. Khối xây dựng của SOC 1. Con người (People) - Nhân viên của SOC phải được đào tạo cần thiết để đối phó với công việc liên tục thay đổi và thường khá khó khăn của một nhà phân tích bảo mật, điều tra viên sự cố, chuyên gia về chủ đề hoặc người quản lý SOC. Bảng 1: Nhiệm vụ và nhu cầu đào tạo của SOC - Liên tục theo dõi hàng đợi cảnh báo; xử lý cảnh Cấp 1: Phân tích, cảnh báo báo an ninh; theo dõi thiết bị cảm biến an ninh và (Tier 1: Alert Analyst) thiết bị đầu cuối; thu thập dữ liệu và bối cảnh cần thiết để bắt đầu công việc ở Cấp 2.

- Thực hiện phân tích sự cố sâu bên trong bằng cách tương quan dữ liệu từ nhiều nguồn khác Cấp 2: Ứng phó sự cố nhau; xác định nếu một hệ thống quan trọng hoặc (Tier 2: Incident Responder) tập dữ liệu đã bị ảnh hưởng; tư vấn khắc phục; cung cấp hỗ trợ cho các phương pháp phân tích mới để phát hiện các mối đe dọa. - Có kiến thức chuyên sâu về mạng, thiết bị đầu Cấp 3: Chuyên gia xử lý các vấn đề. cuối, mối đe dọa, điều tra số và dịch ngược phần (Tier 3: Subject Matter Expert) mềm độc hại, cũng như chức năng của các ứng 4 do an dụng cụ thể hoặc cơ sở hạ tầng CNTT cơ bản; hoạt động như một sự cố, không chờ đợi sự cố leo thang; tham gia chặt chẽ trong việc phát triển, điều chỉnh và thực hiện các phân tích phát hiện mối đe dọa. - Quản lý các nguồn lực bao gồm nhân sự, ngân sách, lập kế hoạch thay đổi và chiến lược; đóng Quản lý SOC vai trò là người tổ chức cho các sự cố quan trọng; (SOC Manager) cung cấp định hướng chung cho SOC và đầu vào cho chiến lược bảo mật tổng thể.

Quy trình (Processes) - Xác định các quy trình xử lý và điều tra sự cố có thể lặp lại để chuẩn hóa các hành động mà nhà phân tích SOC thực hiện và đảm bảo không có nhiệm vụ quan trọng nào rơi vào vết nứt. Bằng cách tạo quy trình quản lý sự cố có thể lặp lại, các thành viên nhóm trách nhiệm và hành động từ việc tạo ra một cảnh báo và đánh giá Cấp 1 ban đầu để leo thang lên nhân sự Cấp 2 hoặc Cấp 3 được xác định. Dựa trên quy trình làm việc, tài nguyên có thể được phân bổ hiệu quả. - Quy trình bao gồm sáu giai đoạn: chuẩn bị, xác định, ngăn chặn, diệt trừ, phục hồi và rút ra bài học kinh nghiệm.

Công nghệ (Technology) - Xây dựng một giải pháp thu thập, tổng hợp, phát hiện, phân tích và quản lý dữ liệu là công nghệ cốt lõi của SOC. - Một hệ thống giám sát an ninh hiệu quả sẽ kết hợp dữ liệu được thu thập từ việc giám sát liên tục các điểm cuối (PC, máy tính xách tay, thiết bị di động và máy chủ,.) cũng như các mạng và nguồn nhật ký và sự kiện.Các dữ liệu này được thu thập trước và trong khi xảy ra sự cố, nên các nhà phân tích có thể ngay lập tức xoay vòng từ việc sử dụng hệ thống giám sát an ninh như một công cụ thám tử để sử dụng nó như một công cụ điều tra, xem xét các hoạt động đáng ngờ tạo nên sự cố hiện tại và thậm chí là một công cụ để quản lý phản ứng với các sự cố. KIẾN TRÚC Hình 2. Mô hình kiến trúc cơ bản của một hệ thống SOC Kiến trúc cơ bản của một hệ thống SOC chia thành các lớp xử lý sau: - Reporting and management layer – Báo cáo và quản trị.

● Chịu trách nhiệm về việc quản lý các vấn đề về bảo mật, quản lý hệ thống các thiết bị, hệ thống mạng… ● Lập báo cáo về các sự cố trong hệ thống. - Data collaboration – Tổng hợp các dữ liệu ● Lớp này sẽ quản lý các chính sách về các vấn đề an ninh. Lưu trữ và quản lý dữ liệu về sự cố đã xảy ra để cập nhật vào dữ liệu hệ thống. Tự động hóa về an ninh.

- Security vulnerability: Phân tích lỗ hổng bảo mật. ● Cung cấp cơ sở dữ liệu về các lỗ hổng bảo mật phổ biến (CVE) giúp dễ dàng đối chiếu thông tin lỗ hổng trên các công cụ và dịch vụ khác nhau, dễ dàng xác định và cập nhật các bản vá lỗi thuận lợi cho việc bảo trì và xây dựng hệ thống. ● Kiểm soát cấu hình. ● Tổng hợp số liệu bảo mật, xếp hạng các rủi ro.

- Event correlation layer – Tương quan sự kiện. 6 do an + Sử dụng công cụ tương quan sự kiện để quản lý, phân tích và lọc các sự kiện, phân tích luồng dữ liệu. + Tích hợp với hệ thống quản lý mạng như: NMS. + Tích hợp xử lý rắc rối.

- Security information and event management (SIEM): Quản lý thông tin và sự kiện bảo mật. + Thu thập thông tin và sự kiện từ các thiết bị đầu cuối, dịch vụ … trong hệ thống. Lưu trữ và quản lý tập trung. + Phân tích và xử lý các sự cố an ninh xảy ra.

- Network layer – Mạng. +Vùng chứa các thiết bị mạng (Router, switch, ảo hóa, …), thiết bị đầu cuối (PC), server (DMZ, Data center), các thiết bị bảo mật (Firewall, IDS, AV, …). + Logs của các thiết bị hay dịch vụ ở lớp mạng này sẽ được chuyển tới SIEM để phân tích và xử lý. Trung tâm điều hành an ninh (SOC) có thể giải quyết các vấn đề về lượng dữ liệu khổng lồ và đơn giản hóa mô hình dữ liệu của quản lý bảo mật nói chung.

Thông tin bảo mật từ tất cả các thiết bị mạng sẽ được lưu trữ vào cơ sở dữ liệu chung và được phân tích theo các chính sách bảo mật tùy chỉnh. Tất cả các thông tin có liên quan được lưu trữ để thực hiện phân tích rủi ro, giám sát rủi ro và giải quyết rủi ro. Hệ thống SOC là một công cụ mạnh mẽ trong hoạt động của các chuyên gia bảo trì bảo mật và sẽ liên tục phân tích các rủi ro bảo mật của hệ thống và đưa ra các giải pháp một cách hiệu quả, linh hoạt. Hệ thống SOC có thể được xây dựng theo một trong ba mô hình giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.

- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng. Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, bài báo cáo này em sẽ hướng đến giải pháp này. CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC 1.

Logs Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống. Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu … Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. Log ứng dụng, log của điều hành, … Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, Firewall, … Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng.

Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích log thực sự là một điều vô cùng khó khăn. Event Một sự kiện vẫn có thể là một bản ghi, nhưng nó là một bản ghi có bối cảnh cụ thể cho bạn. Sự kiện có thể đến từ nhiều nguồn, không chỉ là nhật ký. Ví dụ: một người dùng gọi để phàn nàn về quá nhiều tin nhắn rác trong email của anh ta là một sự kiện.

Trong mọi trường hợp, một sự kiện là một đầu vào cho SOC cần được thay đổi và xem xét để xác định xem nó có đảm bảo điều tra hoặc phân tích thêm không. Nó thường là một bản ghi ý nghĩa mà ai đó muốn ghi lại về những gì đang xảy ra. Thông thường có thể bao gồm ký hiệu Information, Warning, Exception. Ví dụ: - Dung lượng ổ đĩa đã vượt quá một ngưỡng nhất định, chẳng hạn như 95%.

- Việc sử dụng CPU vượt quá 99%. - Một người dùng đăng nhập vào hệ thống.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Bài viết "Nghiên cứu và thực nghiệm Trung tâm An ninh Mạng SOC tại HCMUTE" cung cấp cái nhìn sâu sắc về việc thiết lập và vận hành Trung tâm An ninh Mạng tại Trường Đại học Công nghệ TP.HCM (HCMUTE). Bài viết nhấn mạnh tầm quan trọng của việc bảo vệ thông tin trong bối cảnh công nghệ số ngày càng phát triển, đồng thời giới thiệu các phương pháp và công nghệ hiện đại được áp dụng trong trung tâm. Độc giả sẽ nhận thấy những lợi ích từ việc nắm bắt kiến thức về an ninh mạng, từ đó có thể áp dụng vào thực tiễn công việc và học tập.

Để mở rộng thêm kiến thức về các lĩnh vực liên quan, bạn có thể tham khảo bài viết Giải pháp cảnh báo kiểu tấn công an ninh mạng deface và hiện thực, nơi cung cấp thông tin về các biện pháp bảo vệ trước các cuộc tấn công mạng. Ngoài ra, bài viết Nghiên cứu công nghệ IoT và ứng dụng trong hệ thống giám sát chất lượng không khí Hà Nội cũng sẽ giúp bạn hiểu rõ hơn về ứng dụng công nghệ trong việc bảo vệ môi trường và sức khỏe cộng đồng. Cuối cùng, bài viết Luận án tiến sĩ nghiên cứu thuật toán và xây dựng chương trình xử lý số liệu GNSS sẽ mang đến cái nhìn về công nghệ định vị vệ tinh, một lĩnh vực có liên quan mật thiết đến an ninh mạng và quản lý dữ liệu. Những tài liệu này sẽ giúp bạn mở rộng kiến thức và hiểu biết về các khía cạnh khác nhau của công nghệ hiện đại.