Giải pháp giám sát sự kiện an ninh, an toàn mạng OSSIM

1. SIEM là gì?
2. OSSIM là gì?

1. SIEM là gì?

SIEM là viết tắt của Security information and event management, là hệ thống giám sát an ninh mạng được thiết kế nhằm thu thập các sự kiên an ninh từ các thiết bị đầu cuối trong hệ thống mạng và được lưu trữ một cách tập trung. Các sản phẩm SIEM cho phép phân tích, tổng hợp và báo cáo các sự kiện an toàn mạng của một tổ chức. Từ đó, có thể phát hiện ra các cuộc tấn công mà không thể phát hiện theo phương pháp thông thường. Một số sản phẩm SIEM cho phép ngăn chặn cuộc tấn công mà nó phát hiện được.

Lợi ích của SIEM:

• Giám sát an toàn mạng
• Quản lý tập trung
• Nâng cao hiệu quả xử lý sự cố

Giám sát an toàn mạng:

Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất nhiều thiết bị đầu cuối có phần mềm ghi lại SE nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại. Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập SE của toàn hệ thống, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công. Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo. Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.

Quản lý tập trung:

Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp log tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu log này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu log từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.

Nâng cao hiệu quả xử lý sự cố:
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:

• Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn công vào doanh nghiệp.
• Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn công.
• Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ravà cách ly các thiết bị đầu cuối đã bị xâm hại.

Lợi ích của các sản phẩm SIEM khiến chúng trở nên cần thiết hơn bao giờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệp tài chính, các tập đoàn công nghệ...
Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.

OSSIM là một sản phẩm SIEM mã nguồn mở của AlienVault. OSSIM đã được tích hợp một số công cụ bảo mật mạnh mẽ như Snort, ntop, OpenVAS,P0f, PADs, arpwatch, OSSEC,Osiris, Nagios, OCS, và Kismet.

Hoạt động cơ bản OSSIM:

• Ứng dụng bên ngoài tác động vào hệ thống (ví dụ như attacker bruteforce ssh vào hệ thống) sẽ tạo ra các SE (security event) được ghi vào log.
• Các SE được thu thập và chuẩn hóa trước khi được gửi đến một máy chủ trung tâm.
• Server đánh giá rủi ro, tương quan và lưu trữ các sự kiện an ninh trong một cơ sở dữ liệu .
• Server tiến hành xử lý: đưa thông báo ra dashboard và có thể gửi mail cảnh báo đến admin.

Tương quan SE trong OSSIM
Sự tương quan liên kết SE là một trong những tính năng cốt lõi của OSSIM phân biệt nó với IDS/IPS. Nó giúp giảm các cảnh báo giả bằng cách tương quan liên kết nhiều SE khác nhau (Hệ thống sẽ phân tích nhiều SE cùng một lúc và đối chiếu với nhau để đưa ra kết quả chính xác nhất) và báo động cho các quản trị viên biết và chú ý đến các SE.

Các hành động ứng phó sự cố an ninh
OSSIM có khả năng ứng phó tự động với các SE nhất định hoặc thiết lập các ứng phó cho các SE. Ứng phó bao gồm việc gửi một email tới quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiện một hành động nào đó nhằm ngăn chặn các hành vi vi phạm an ninh. Điều này rất có ích nhưng cũng nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ra những cảnh báo giả hay gây ảnh hưởng xấu cho hệ thống.

Các bạn có thể download OSSIM tại https://www.alienvault.com/products/ossim