Log Reviews

Một hệ thống nhật ký được định cấu hình thích hợp có thể cung cấp cái nhìn sâu sắc về những gì đã xảy ra trên một hệ thống máy tính. Điều quan trọng là ở cấu hình phù hợp để bạn nắm bắt các sự kiện bạn muốn mà không cần thêm dữ liệu không liên quan. Điều đó đang được nói, một hệ thống nhật ký là một kho tàng tiềm năng của thông tin hữu ích cho một ai đó đang tấn công một hệ thống. Nó sẽ có thông tin về hệ thống, tên tài khoản, những gì đã hoạt động để truy cập và những gì chưa. Việc xem xét nhật ký có thể cung cấp thông tin về các sự cố bảo mật, vi phạm chính sách (hoặc cố gắng vi phạm chính sách) và các tình trạng bất thường khác cần phân tích thêm.

Credentialed vs. Non-Credentialed

Quét lỗ hổng bảo mật có thể được thực hiện có và không có thông tin xác thực. Thực hiện quét mà không có thông tin xác thực có thể cung cấp một số thông tin về trạng thái của dịch vụ và liệu nó có dễ bị tấn công hay không. Đây là góc nhìn của một người ngoài cuộc thực sự trên mạng. Nó có thể được thực hiện nhanh chóng, theo cách tự động, trên các phân đoạn lớn của mạng. Tuy nhiên, nếu không có thông tin đăng nhập, không thể xem chi tiết thông tin đăng nhập cung cấp. Các bản quét lỗ hổng bảo mật có thể xem xét sâu hơn một máy chủ lưu trữ và trả về thông tin rủi ro quan trọng và chính xác hơn. Thường xuyên sử dụng các bản quét này cùng nhau. Đầu tiên, quá trình quét không xác thực được thực hiện trên các phân đoạn mạng lớn bằng các công cụ tự động. Sau đó, dựa trên các kết quả sơ bộ này, các bản quét thông tin xác thực chi tiết hơn được chạy trên các máy có nhiều hứa hẹn nhất về các lỗ hổng.

Exam Tip Quét chứng chỉ có liên quan nhiều hơn, yêu cầu thông tin xác thực và các bước bổ sung để đăng nhập vào hệ thống, trong khi quét không xác thực có thể được thực hiện nhanh hơn trên nhiều máy bằng cách sử dụng tự động hóa. Quét chứng chỉ có thể tiết lộ thông tin bổ sung so với quét không chứng thực.

Intrusive vs. Non-Intrusive

Quét lỗ hổng bảo mật có thể xâm nhập hoặc không xâm nhập vào hệ thống được quét. Quét không xâm nhập thường là một quá trình quét đơn giản đối với các cổng và dịch vụ đang mở, trong đó quá trình quét xâm nhập cố gắng tận dụng các lỗ hổng tiềm ẩn thông qua việc khai thác để chứng minh các lỗ hổng. Sự xâm nhập này có thể dẫn đến sự cố hệ thống và do đó được gọi là xâm nhập.

Application

Ứng dụng là các chương trình phần mềm thực hiện xử lý dữ liệu thông tin trong hệ thống. Là yếu tố hoạt động liên quan đến dữ liệu, cũng như phương tiện giao tiếp điển hình giữa người dùng và dữ liệu, các ứng dụng là mục tiêu phổ biến của những kẻ tấn công. Quét lỗ hổng đánh giá sức mạnh của một ứng dụng đã triển khai so với hiệu suất mong muốn của hệ thống khi bị tấn công. Các lỗ hổng ứng dụng đại diện cho một số vấn đề rủi ro hơn trong doanh nghiệp vì các ứng dụng là cần thiết và càng có ít phương pháp để xử lý thông tin sai lệch dữ liệu càng lên cao.

Web Application

Ứng dụng web chỉ là những ứng dụng có thể truy cập được trên web. Phương pháp tiếp cận này mang lại sự tiện lợi và khả năng xảy ra hoạt động trái phép nhiều hơn. Tất cả các chi tiết của các ứng dụng tiêu chuẩn vẫn được áp dụng, nhưng việc đặt hệ thống trên web sẽ tạo thêm gánh nặng cho hệ thống để ngăn chặn truy cập trái phép và kiểm soát các rủi ro dựa trên web. Từ góc độ quét lỗ hổng, một ứng dụng web giống như một lời mời để khám phá xem nó được bảo mật tốt như thế nào. Rủi ro lớn nhất là các ứng dụng web cây nhà lá vườn vì chúng hiếm khi có mức độ bảo vệ đầu vào cần thiết cho môi trường web thù địch.

Network

Mạng là phần tử kết nối tất cả các hệ thống tính toán với nhau, mang dữ liệu giữa hệ thống và người dùng. Mạng cũng có thể được sử dụng để quét lỗ hổng bảo mật để truy cập vào các hệ thống được kết nối. Việc quét lỗ hổng bảo mật phổ biến nhất được thực hiện trên toàn bộ mạng trong đó tất cả các hệ thống đều được quét, lập bản đồ và liệt kê theo các cổng và dịch vụ. Sau đó, thông tin này có thể được sử dụng để nhắm mục tiêu thêm các lần quét cụ thể của các hệ thống riêng lẻ theo kiểu chi tiết di chuyển, sử dụng thông tin xác thực và các hoạt động có khả năng xâm nhập.

Common Vulnerabilities and Exposures (CVE)/ Common Vulnerability Scoring System (CVSS)

The Common Vulnerabilities and Exposures (CVE)    liệt kê là danh sách các lỗ hổng đã biết trong hệ thống phần mềm. Mỗi lỗ hổng trong danh sách có một số nhận dạng, mô tả và tài liệu tham khảo. Danh sách này là cơ sở cho hầu hết các hệ thống máy quét lỗ hổng, vì máy quét xác định phiên bản phần mềm và tra cứu các lỗ hổng đã biết hoặc được báo cáo. Hệ thống chấm điểm lỗ hổng chung (CVSS) là một hệ thống tính điểm để xác định mức độ rủi ro của một lỗ hổng bảo mật đối với hệ thống. Điểm CVSS nằm trong khoảng từ 0 đến 10. Khi điểm CVSS tăng lên, mức độ nghiêm trọng của rủi ro từ lỗ hổng cũng tăng theo. Mặc dù CVSS không thể tính đến vị trí của lỗ hổng bảo mật trong doanh nghiệp, nhưng nó có thể giúp xác định mức độ nghiêm trọng bằng cách sử dụng các chỉ số như liệu nó có dễ khai thác hay không, liệu nó có cần sự can thiệp của người dùng hay không, mức độ đặc quyền được yêu cầu, v.v. Hai bộ thông tin này kết hợp với nhau có thể cung cấp nhiều thông tin về nguy cơ tiềm ẩn liên quan đến một hệ thống phần mềm cụ thể.

Điểm CVSS và mức độ nghiêm trọng rủi ro liên quan của chúng như sau:

Exam Tip Biết rằng Common  Vulnerabilities and      Exposures (CVE) là danh sách các lỗ hổng bảo mật đã biết, mỗi lỗ hổng có một số nhận dạng, mô tả và tài liệu tham khảo. Common Vulnerability Scoring System (CVSS) xác định mức độ rủi ro của một lỗ hổng đối với hệ thống. Điểm CVSS nằm trong khoảng từ 0 đến 10. Khi nó tăng lên, mức độ nghiêm trọng của rủi ro từ lỗ hổng cũng tăng theo..

Configuration Review

Cấu hình hệ thống đóng một vai trò quan trọng trong bảo mật hệ thống. Cấu hình sai khiến hệ thống ở trạng thái dễ bị tấn công hơn, đôi khi thậm chí khiến các biện pháp kiểm soát bảo mật bị bỏ qua hoàn toàn. Xác minh cấu hình hệ thống là một mục kiểm tra lỗ hổng bảo mật quan trọng; nếu bạn tìm thấy một cấu hình sai, khả năng cao là nó để lộ lỗ hổng. Đánh giá cấu hình đủ quan trọng để chúng phải được tự động hóa và thực hiện thường xuyên. Có các giao thức và tiêu chuẩn để đo lường và xác nhận cấu hình. Hướng dẫn Liệt kê Cấu hình Chung (CCE – Common Configuration    Enumeration) và Liệt kê Nền tảng Chung (CPE – Common Platform Enumeration), là một phần của Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) do NIST duy trì, là những nơi bắt đầu để biết chi tiết.

Syslog/Security Information and Event Management (SIEM)

Syslog là viết tắt của System Logging Protocol và là một giao thức tiêu chuẩn được sử dụng trong hệ thống Linux để gửi nhật ký hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, được gọi là máy chủ nhật ký hệ thống. Nhiều loại thiết bị, chẳng hạn như máy in, thiết bị mạng và hệ thống trên nhiều nền tảng, sử dụng tiêu chuẩn nhật ký hệ thống. Giá trị trong nhật ký hệ thống là sự tách biệt của một hệ thống khỏi các báo cáo lỗi, cho phép cả chức năng bảo mật của ghi nhật ký được tách biệt khỏi hệ thống đang được giám sát và tổng hợp nhiều luồng nhật ký trên một máy chủ chung. Máy chủ nhật ký hệ thống lắng nghe trên cổng UDP 514 hoặc cổng TCP 6514. Syslog không chỉ là lỗi; nó là tiêu chuẩn để ghi nhật ký từ xa trên hệ thống Linux. Ubuntu lưu trữ hoạt động toàn cầu và thông báo khởi động trong / var / log / syslog. Các ứng dụng cũng có thể sử dụng nó.

Thông tin trong máy chủ nhật ký hệ thống chỉ là các bảng dữ liệu thô. Để làm cho thông tin này dễ sử dụng hơn, một hệ thống được gọi là thông tin bảo mật và quản lý sự kiện (SIEM) được sử dụng để thu thập, tổng hợp và áp dụng đối sánh mẫu cho khối lượng dữ liệu. Điều này biến các bảng dữ liệu thành thông tin hành động có ý nghĩa dựa trên các quy tắc do một tổ chức thiết lập. Bước đầu tiên của quá trình xử lý trong SIEM là thu thập dữ liệu vào một loạt các bảng có cấu trúc. Điều này cho phép các nguồn dữ liệu khác nhau với các phần tử dữ liệu khác nhau có khả năng hoạt động cùng nhau. Các bảng dữ liệu này sau đó được làm giàu bằng cách sử dụng tra cứu và các tính năng kết hợp khác để cung cấp ngữ cảnh lớn hơn cho dữ liệu đã được thu thập. Sau đó, hệ thống có thể kiểm tra dữ liệu liên quan đến thời gian này để tìm các mối tương quan của sự kiện có thể được sử dụng để kích hoạt các hành động ứng phó sự cố.

Exam Tip Hãy nhớ rằng nhật ký hệ thống có thể được sử dụng để tổng hợp nhật ký trên các thiết bị mạng và hệ điều hành Linux. Máy chủ nhật ký hệ thống lắng nghe và ghi nhật ký các thông báo từ các máy khách nhật ký hệ thống. Hệ thống SIEM thu thập, tổng hợp và áp dụng đối sánh mẫu với khối lượng dữ liệu để tạo ra thông tin mà con người có thể đọc được.

Review Reports

Phương tiện chính để cung cấp đầu ra từ SIEM là một cảnh báo hoặc một báo cáo. Đây là những điều kiện được xác định trước để kích hoạt một đầu ra thông tin cụ thể dựa trên các quy tắc trong hệ thống. Các báo cáo này sau đó có thể được xem xét để xác định xem sự cố có tồn tại hay là báo động giả.

Packet      Capture

Việc nắm bắt gói tin đã là một công việc quan trọng của các kỹ sư mạng miễn là các mạng còn tồn tại. Việc chẩn đoán và hiểu các vấn đề truyền thông mạng dễ dàng hơn khi người ta có thể quan sát cách các gói truyền qua mạng. Gần đây hơn, khái niệm chụp gói liên tục để giám sát một đoạn mạng đã trở thành một công cụ trong hộp công cụ của chuyên gia bảo mật. Hầu hết các cảnh báo bảo mật xảy ra sau thực tế. Điều gì đó xảy ra, một quy tắc kích hoạt và dữ liệu được tạo ra, dẫn đến một cuộc điều tra về quy tắc. Mặc dù điều này có thể được thực hiện nhanh chóng với tự động hóa, nhưng các gói liên quan đã biến mất từ ​​lâu. Nhập các lần chụp gói liên tục. Trong các khu vực quan trọng của mạng, nơi khả năng phát lại lưu lượng truy cập từ một khoảng thời gian trước đó là quan trọng, việc thu thập liên tục các gói có thể cung cấp cơ hội đó. Điều này thường sẽ tiêu tốn một lượng lưu trữ đáng kể, do đó, vị trí và thời gian thu gom có ​​thể rất quan trọng.

Sử dụng SIEM, cùng với các thiết bị thông minh như tường lửa thế hệ tiếp theo, khi một quy tắc được kích hoạt, thiết bị thu thập mạng có thể tự động thu thập và gửi một lượng lưu lượng xác định trước để phân tích sau này. Với chi phí lưu trữ tương đối thấp và vị trí thích hợp, phương pháp thu thập dữ liệu quan trọng này có thể được thực hiện bằng phần cứng hàng hóa.

Data Inputs

Các đầu vào dữ liệu cho SIEM cũng đa dạng như các hệ thống mà chúng được sử dụng để bảo vệ. Mặc dù một mạng hiện đại có thể tạo ra số lượng cực lớn dữ liệu nhật ký, nhưng điều quan trọng trong SIEM là xác định thông tin nào cần thiết để hỗ trợ các quyết định. Người ta có thể thu thập mọi thứ, nhưng điều đó phải chịu rất nhiều chi phí và tạo ra rất nhiều báo cáo mà không ai cần. Điều quan trọng là xác định các đầu ra mong muốn từ SIEM và sau đó theo dõi các đầu vào cần thiết từ tường lửa, thiết bị mạng, máy chủ chính, v.v. để hỗ trợ các quyết định đó. Khi SIEM trưởng thành, nhiều nguồn dữ liệu hơn được xác định và đưa vào, và những nguồn không được sử dụng sẽ bị loại bỏ. Một SIEM được điều chỉnh bởi nhân viên an ninh để trả lời các câu hỏi liên quan đến môi trường và rủi ro của họ.

User Behavior Analysis

SIEMS là các hệ thống được xây dựng để áp dụng các quy tắc cho các tập dữ liệu liên quan đến các mẫu cụ thể. Theo truyền thống, điều này có nghĩa là các sự kiện mạng và kiểu máy chủ, lỗi và các điều kiện khác cảnh báo người vận hành rằng hệ thống không phản hồi theo cách bình thường. Các sự kiện tương quan giữa các hệ thống có thể cho thấy các mô hình hoạt động bình thường và được mong đợi hoặc bất thường và cần được điều tra. Những tiến bộ trong phân tích hành vi của người dùng đã cung cấp một công dụng thú vị khác của SIEM: theo dõi những gì mọi người làm với hệ thống của họ và cách họ thực hiện. Nếu mỗi ngày, khi bắt đầu công việc, kế toán khởi động các chương trình giống nhau, thì khi tài khoản kế toán đăng nhập và làm một việc hoàn toàn khác, chẳng hạn như truy cập vào hệ thống mà họ chưa từng truy cập trước đây, điều này cho thấy một sự thay đổi hành vi đáng xem xét. Nhiều SIEM hiện đại có các mô-đun phân tích hành vi của người dùng cuối, tìm kiếm các mẫu hành vi bất thường cho thấy nhu cầu phân tích.

Sentiment Analysis

Các hệ thống tương tự được sử dụng để đối sánh các vấn đề bảo mật có thể được điều chỉnh để phù hợp với các mẫu dữ liệu biểu thị tình cảm cụ thể. Các mức độ gần gũi của tình cảm có thể được xác định bằng cách sử dụng các đầu vào như e-mail, cuộc trò chuyện, cơ chế thu thập phản hồi và truyền thông mạng xã hội, cùng với các hệ thống AI có thể giải thích giao tiếp bằng văn bản. Người giao tiếp có vui, buồn, tức giận hay thất vọng không? Những tình cảm này và hơn thế nữa có thể được xác định bởi cách mọi người giao tiếp.

Exam Tip Phân tích cảm xúc được sử dụng để xác định và theo dõi các mẫu cảm xúc, ý kiến hoặc thái độ của con người có thể có trong dữ liệu.

Giám sát an ninh (Security Monitoring)

Giám sát an ninh là quá trình thu thập và phân tích thông tin để phát hiện hành vi đáng ngờ hoặc những thay đổi trái phép trên mạng và hệ thống được kết nối của bạn. Điều này ngụ ý một quá trình xác định loại hành vi nào sẽ kích hoạt cảnh báo. Các thiết bị SIEM đầu tiên tập trung vào việc thu thập thông tin cần thiết. Các SIEM sau này đã nâng cao thành quản lý dữ liệu sự kiện được liên kết với các sự kiện được phát hiện. Ngày nay, các hệ thống điều phối, tự động hóa và phản hồi bảo mật (SOAR) hoàn thành việc chuyển sang tự động hóa chu trình hoàn toàn của các quy trình bảo mật. Do sự phức tạp của các hệ thống và doanh nghiệp CNTT hiện đại, cùng với sự phức tạp của các cuộc tấn công và các mẫu hành vi, nếu không có các hệ thống tự động như SIEM và SOAR, thì việc giám sát an ninh là không thể thực hiện được..

Log Aggregation

… còn tiếp

(Để xem đầy đủ hình ảnh các bạn hãy tải file pdf ở chuyên mục Download)

Tài liệu biên soạn bởi Viện Đào Tạo An Ninh Mạng Security365 / CertMaster Đông Dương)

Đặt Sách Comptia Bản In (kèm video quốc tế với phụ đề và video giới thiệu tổng quan bằng tiếng Việt về nội dung, chứng chỉ, cách đăng kí thi, cách học …)