lochv37
W-------
-
05/01/2015
-
29
-
50 bài viết
SIEM & OSSIM
I. SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của tổ chức. Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường. Một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được.
Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau, do đó lợi ích thu được cũng khác nhau. Bài viết sẽ làm rõ ba lợi ít lớn nhất của SIEM:
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp log tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu log này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu log từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.
Giám sát an toàn mạng
Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất nhiều thiết bị đầu cuối có phần mềm ghi lại SE nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại. Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập SE của toàn hệ thống, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công. Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo. Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.
Cải thiện hoạt động xử lý sự cố hiệu quả
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:
Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.
II. OSSIM là một sản phẩm SIEM mã nguồn mở của AlienVault. OSSIM đã được tích hợp một số công cụ bảo mật mạnh mẽ như Snort, ntop, OpenVAS,P0f, PADs, arpwatch, OSSEC,Osiris, Nagios, OCS, và Kismet.
Hoạt động cơ bản OSSIM:
Sự tương quan liên kết SE là một trong những tính năng cốt lõi của OSSIM phân biệt nó với IDS/IPS. Nó giúp giảm các cảnh báo giả bằng cách tương quan liên kết nhiều SE khác nhau (Hệ thống sẽ phân tích nhiều SE cùng một lúc và đối chiếu với nhau để đưa ra kết quả chính xác nhất) và báo động cho các quản trị viên biết và chú ý đến các SE.
Các hành động ứng phó sự cố an ninh
OSSIM có khả năng ứng phó tự động với các SE nhất định hoặc thiết lập các ứng phó cho các SE. Ứng phó bao gồm việc gửi một email tới quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiện một hành động nào đó nhằm ngăn chặn các hành vi vi phạm an ninh. Điều này rất có ích nhưng cũng nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ra những cảnh báo giả hay gây ảnh hưởng xấu cho hệ thống.
Các bạn có thể download OSSIM tại https://www.alienvault.com/products/ossim
Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau, do đó lợi ích thu được cũng khác nhau. Bài viết sẽ làm rõ ba lợi ít lớn nhất của SIEM:
- Quản lý tập trung
- Giám sát an toàn mạng
- Cải thiện hiệu quả trong hoạt động xử lý sự cố
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp log tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu log này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu log từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.
Giám sát an toàn mạng
Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất nhiều thiết bị đầu cuối có phần mềm ghi lại SE nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại. Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập SE của toàn hệ thống, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công. Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo. Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.
Cải thiện hoạt động xử lý sự cố hiệu quả
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:
- Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn công vào doanh nghiệp.
- Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn công.
- Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ravà cách ly các thiết bị đầu cuối đã bị xâm hại.
Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.
II. OSSIM là một sản phẩm SIEM mã nguồn mở của AlienVault. OSSIM đã được tích hợp một số công cụ bảo mật mạnh mẽ như Snort, ntop, OpenVAS,P0f, PADs, arpwatch, OSSEC,Osiris, Nagios, OCS, và Kismet.
Hoạt động cơ bản OSSIM:
- Ứng dụng bên ngoài tác động vào hệ thống (ví dụ như attacker bruteforce ssh vào hệ thống) sẽ tạo ra các SE (security event) được ghi vào log.
- Các SE được thu thập và chuẩn hóa trước khi được gửi đến một máy chủ trung tâm.
- Server đánh giá rủi ro, tương quan và lưu trữ các sự kiện an ninh trong một cơ sở dữ liệu .
- Server tiến hành xử lý: đưa thông báo ra dashboard và có thể gửi mail cảnh báo đến admin.
Sự tương quan liên kết SE là một trong những tính năng cốt lõi của OSSIM phân biệt nó với IDS/IPS. Nó giúp giảm các cảnh báo giả bằng cách tương quan liên kết nhiều SE khác nhau (Hệ thống sẽ phân tích nhiều SE cùng một lúc và đối chiếu với nhau để đưa ra kết quả chính xác nhất) và báo động cho các quản trị viên biết và chú ý đến các SE.
Các hành động ứng phó sự cố an ninh
OSSIM có khả năng ứng phó tự động với các SE nhất định hoặc thiết lập các ứng phó cho các SE. Ứng phó bao gồm việc gửi một email tới quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiện một hành động nào đó nhằm ngăn chặn các hành vi vi phạm an ninh. Điều này rất có ích nhưng cũng nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ra những cảnh báo giả hay gây ảnh hưởng xấu cho hệ thống.
Các bạn có thể download OSSIM tại https://www.alienvault.com/products/ossim
