Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 1. GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC Trung Tâm Điều Hành An Ninh (Security Operations Center - SOC) là một đơn vị xử lý các vấn đề an ninh tập trung. Mục tiêu của SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng cách sử dụng kết hợp các giải pháp công nghệ và quy trình hoạt động chặc chẽ. Các trung tâm hoạt động bảo mật thường có nhân viên với các nhà phân tích bảo mật và kỹ sư cũng như các nhà quản lý giám sát các hoạt động bảo mật.
Nhân viên SOC làm việc chặt chẽ với các nhóm phản ứng sự cố để đảm bảo các vấn đề an ninh được giải quyết nhanh chóng khi phát hiện ra. Hệ thống trung tâm này có thể giúp bảo mật cho các thiết bị đầu cuối khác nhau: bảo mật website, bảo mật ứng dụng, bảo mật cơ sở dữ liệu, bảo mật máy chủ, bảo mật hệ thống mạng, máy tính, … Hệ thống SOC tùy theo kiến trúc thiết kế sẽ liên tục theo dõi mọi hoạt động trong hệ thống của khách hàng và đưa ra những cảnh báo. Các tính năng chính của hệ thống như sau: ● Kiểm soát – tập trung vào kiểm soát các trạng thái bảo mật của hệ thống như: đánh giá bảo mật pentest, đánh giá tính tuân thủ, đánh giá lỗ hổng hệ thống, … ● Giám sát – tập trung vào các sự kiện và phản hồi dựa trên giám sát logs, quản trị SIEM và phản hồi sự cố. ● Hoạt động – tập trung vào quản trị hoạt động bảo mật như quản lý định danh và truy cập, quản lý khóa, quản trị tường lửa, … Để xây dựng được hệ thống SOC thì điều quan trọng là cần có sự liên kết giữa con người (people), công nghệ (technology), quy trình (processes).
Như hình sau: 3 do an Hình 1. Khối xây dựng của SOC 1. Con người (People) - Nhân viên của SOC phải được đào tạo cần thiết để đối phó với công việc liên tục thay đổi và thường khá khó khăn của một nhà phân tích bảo mật, điều tra viên sự cố, chuyên gia về chủ đề hoặc người quản lý SOC. Bảng 1: Nhiệm vụ và nhu cầu đào tạo của SOC - Liên tục theo dõi hàng đợi cảnh báo; xử lý cảnh Cấp 1: Phân tích, cảnh báo báo an ninh; theo dõi thiết bị cảm biến an ninh và (Tier 1: Alert Analyst) thiết bị đầu cuối; thu thập dữ liệu và bối cảnh cần thiết để bắt đầu công việc ở Cấp 2.
- Thực hiện phân tích sự cố sâu bên trong bằng cách tương quan dữ liệu từ nhiều nguồn khác Cấp 2: Ứng phó sự cố nhau; xác định nếu một hệ thống quan trọng hoặc (Tier 2: Incident Responder) tập dữ liệu đã bị ảnh hưởng; tư vấn khắc phục; cung cấp hỗ trợ cho các phương pháp phân tích mới để phát hiện các mối đe dọa. - Có kiến thức chuyên sâu về mạng, thiết bị đầu Cấp 3: Chuyên gia xử lý các vấn đề. cuối, mối đe dọa, điều tra số và dịch ngược phần (Tier 3: Subject Matter Expert) mềm độc hại, cũng như chức năng của các ứng 4 do an dụng cụ thể hoặc cơ sở hạ tầng CNTT cơ bản; hoạt động như một sự cố, không chờ đợi sự cố leo thang; tham gia chặt chẽ trong việc phát triển, điều chỉnh và thực hiện các phân tích phát hiện mối đe dọa. - Quản lý các nguồn lực bao gồm nhân sự, ngân sách, lập kế hoạch thay đổi và chiến lược; đóng Quản lý SOC vai trò là người tổ chức cho các sự cố quan trọng; (SOC Manager) cung cấp định hướng chung cho SOC và đầu vào cho chiến lược bảo mật tổng thể.
Quy trình (Processes) - Xác định các quy trình xử lý và điều tra sự cố có thể lặp lại để chuẩn hóa các hành động mà nhà phân tích SOC thực hiện và đảm bảo không có nhiệm vụ quan trọng nào rơi vào vết nứt. Bằng cách tạo quy trình quản lý sự cố có thể lặp lại, các thành viên nhóm trách nhiệm và hành động từ việc tạo ra một cảnh báo và đánh giá Cấp 1 ban đầu để leo thang lên nhân sự Cấp 2 hoặc Cấp 3 được xác định. Dựa trên quy trình làm việc, tài nguyên có thể được phân bổ hiệu quả. - Quy trình bao gồm sáu giai đoạn: chuẩn bị, xác định, ngăn chặn, diệt trừ, phục hồi và rút ra bài học kinh nghiệm.
Công nghệ (Technology) - Xây dựng một giải pháp thu thập, tổng hợp, phát hiện, phân tích và quản lý dữ liệu là công nghệ cốt lõi của SOC. - Một hệ thống giám sát an ninh hiệu quả sẽ kết hợp dữ liệu được thu thập từ việc giám sát liên tục các điểm cuối (PC, máy tính xách tay, thiết bị di động và máy chủ,.) cũng như các mạng và nguồn nhật ký và sự kiện.Các dữ liệu này được thu thập trước và trong khi xảy ra sự cố, nên các nhà phân tích có thể ngay lập tức xoay vòng từ việc sử dụng hệ thống giám sát an ninh như một công cụ thám tử để sử dụng nó như một công cụ điều tra, xem xét các hoạt động đáng ngờ tạo nên sự cố hiện tại và thậm chí là một công cụ để quản lý phản ứng với các sự cố. KIẾN TRÚC Hình 2. Mô hình kiến trúc cơ bản của một hệ thống SOC Kiến trúc cơ bản của một hệ thống SOC chia thành các lớp xử lý sau: - Reporting and management layer – Báo cáo và quản trị.
● Chịu trách nhiệm về việc quản lý các vấn đề về bảo mật, quản lý hệ thống các thiết bị, hệ thống mạng… ● Lập báo cáo về các sự cố trong hệ thống. - Data collaboration – Tổng hợp các dữ liệu ● Lớp này sẽ quản lý các chính sách về các vấn đề an ninh. Lưu trữ và quản lý dữ liệu về sự cố đã xảy ra để cập nhật vào dữ liệu hệ thống. Tự động hóa về an ninh.
- Security vulnerability: Phân tích lỗ hổng bảo mật. ● Cung cấp cơ sở dữ liệu về các lỗ hổng bảo mật phổ biến (CVE) giúp dễ dàng đối chiếu thông tin lỗ hổng trên các công cụ và dịch vụ khác nhau, dễ dàng xác định và cập nhật các bản vá lỗi thuận lợi cho việc bảo trì và xây dựng hệ thống. ● Kiểm soát cấu hình. ● Tổng hợp số liệu bảo mật, xếp hạng các rủi ro.
- Event correlation layer – Tương quan sự kiện. 6 do an + Sử dụng công cụ tương quan sự kiện để quản lý, phân tích và lọc các sự kiện, phân tích luồng dữ liệu. + Tích hợp với hệ thống quản lý mạng như: NMS. + Tích hợp xử lý rắc rối.
- Security information and event management (SIEM): Quản lý thông tin và sự kiện bảo mật. + Thu thập thông tin và sự kiện từ các thiết bị đầu cuối, dịch vụ … trong hệ thống. Lưu trữ và quản lý tập trung. + Phân tích và xử lý các sự cố an ninh xảy ra.
- Network layer – Mạng. +Vùng chứa các thiết bị mạng (Router, switch, ảo hóa, …), thiết bị đầu cuối (PC), server (DMZ, Data center), các thiết bị bảo mật (Firewall, IDS, AV, …). + Logs của các thiết bị hay dịch vụ ở lớp mạng này sẽ được chuyển tới SIEM để phân tích và xử lý. Trung tâm điều hành an ninh (SOC) có thể giải quyết các vấn đề về lượng dữ liệu khổng lồ và đơn giản hóa mô hình dữ liệu của quản lý bảo mật nói chung.
Thông tin bảo mật từ tất cả các thiết bị mạng sẽ được lưu trữ vào cơ sở dữ liệu chung và được phân tích theo các chính sách bảo mật tùy chỉnh. Tất cả các thông tin có liên quan được lưu trữ để thực hiện phân tích rủi ro, giám sát rủi ro và giải quyết rủi ro. Hệ thống SOC là một công cụ mạnh mẽ trong hoạt động của các chuyên gia bảo trì bảo mật và sẽ liên tục phân tích các rủi ro bảo mật của hệ thống và đưa ra các giải pháp một cách hiệu quả, linh hoạt. Hệ thống SOC có thể được xây dựng theo một trong ba mô hình giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.
- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng. Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có. Vì vậy, bài báo cáo này em sẽ hướng đến giải pháp này. CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC 1.
Logs Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống. Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu … Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. Log ứng dụng, log của điều hành, … Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, Firewall, … Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng.
Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích log thực sự là một điều vô cùng khó khăn. Event Một sự kiện vẫn có thể là một bản ghi, nhưng nó là một bản ghi có bối cảnh cụ thể cho bạn. Sự kiện có thể đến từ nhiều nguồn, không chỉ là nhật ký. Ví dụ: một người dùng gọi để phàn nàn về quá nhiều tin nhắn rác trong email của anh ta là một sự kiện.
Trong mọi trường hợp, một sự kiện là một đầu vào cho SOC cần được thay đổi và xem xét để xác định xem nó có đảm bảo điều tra hoặc phân tích thêm không. Nó thường là một bản ghi ý nghĩa mà ai đó muốn ghi lại về những gì đang xảy ra. Thông thường có thể bao gồm ký hiệu Information, Warning, Exception. Ví dụ: - Dung lượng ổ đĩa đã vượt quá một ngưỡng nhất định, chẳng hạn như 95%.
- Việc sử dụng CPU vượt quá 99%. - Một người dùng đăng nhập vào hệ thống.