Siem
August 27, 2017 | Author: Johnny Bailey | Category: N/A
Short Description
Siem...
Description
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2013
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
TÌM HIỂU VÀ TRIỂN KHAI CÔNG NGHỆ QUẢN LÝ THÔNG TIN VÀ SỰ KIỆN AN NINH
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn:
HÀ NỘI - 2013
VIETNAM NATIONAL UNIVERSITY, HANOI UNIVERSITY OF ENGINEERING AND TECHNOLOGY
(Upper case, bold, 18pt, centered)
Major: FACULTY OF INFORMATION TECHNOLOGY
Supervisor: DOAN MINH PHUONG
HA NOI - 2013
TÓM TẮT
Tóm tắt: Cùng với sự phát triển của xã hội, việc ứng dụng Công nghệ thông tin vào đời sống và làm việc ngày càng được phát triển và nâng cao hiệu quả. Vấn đề An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một đề tài hay, thu hút được sự chú ý của nhiều nhà nghiên cứu với nhiều hướng nghiên cứu trong và ngoài nước khác nhau. Chính vì vậy em đã lựa chọn đề tài “Tìm hiểu và triển khai giải pháp Quản lý thông tin và sự kiện an ninh” được viết tắt là SIEM (Security Information and Event Management). SIEM là một giải mới cung cấp cái nhìn tổng thể về hệ thống, quét các lỗ hổng, đánh giá tổn thương, thu thập dữ liệu sau đó phân tích liên kết các sự kiện an ninh đưa ra cảnh báo và báo cáo đáp ứng với chuẩn quốc tế. Với mong muốn tìm hiểu cũng như triển khai trên thực tế một giải pháp công nghệ mới đang là xu thế ứng dụng đảm bảo an ninh cho hệ thống mạng trên thế giới. Trong quá trình tìm hiểu, nghiên cứu và triển khai, khóa luận đã chứng minh được vai trò, cũng như ưu điểm của SIEM trong việc đảm bảo an ninh cho hệ thống. Từ khóa: SIEM, Security information and event management.
iv
ABSTRACT Abstract:
Keywords: SIEM, Security information and event management.
v
SUPERVISOR’S APPROVAL “I hereby approve that the thesis in its current form is ready for committee examination as a requirement for the Bachelor of Information Systems degree at the University of Engineering and Technology.”
Signature:………………………………………………
MỤC LỤC
TÓM TẮT ................................................................................................................iv ABSTRACT .............................................................................................................. v MỤC LỤC ................................................................................................................ ii LỜI CẢM ƠN ..........................................................................................................iv DANH MỤC CÁC HÌNH ........................................................................................ v DANH MỤC CÁC BẢNG ......................................................................................vi DANH MỤC CÁC TỪ VIẾT TẮT ..........................................................................i MỞ ĐẦU ................................................................................................................... 1 TỔNG QUAN VỀ SIEM ......................................................................................... 2 1.1. Tổng quan về SIEM......................................................................................... 2 1.1.1. Quản lý nhật ký sự kiện an ninh................................................................ 4 1.1.2. Tuân thủ các quy định về CNTT ............................................................... 4 1.1.3. Tương quan liên kết các sự kiện an ninh .................................................. 4 1.1.4. Cung cấp các hoạt động ứng phó ............................................................. 5 1.1.5. Đảm bảo an ninh thiết bị đầu cuối............................................................ 6 1.2. Ưu điểm của SIEM .......................................................................................... 7 THÀNH PHẦN CỦA SIEM .................................................................................... 9 2.1. Thiết bị nguồn................................................................................................ 10 2.2. Thu thập Log ................................................................................................. 12 2.2.1. Push Log ................................................................................................. 12 2.2.2. Pull Log................................................................................................... 12 2.3. Phân tích, chuẩn hóa Log .............................................................................. 14 2.4. Kỹ thuật tương quan sự kiện an ninh............................................................. 15 2.5. Lưu trữ Log ................................................................................................... 16 2.6. Theo dõi và giám sát...................................................................................... 18
HOẠT ĐỘNG CỦA SIEM .................................................................................... 19 3.1. Thu thập thông tin ......................................................................................... 20 3.2. Chuẩn hóa và tổng hợp sự kiện an ninh ........................................................ 22 3.3. Tương quan sự kiện an ninh .......................................................................... 23 3.4. Cảnh báo và báo cáo ...................................................................................... 25 3.5. Lưu trữ ........................................................................................................... 26 THỰC NGHIỆM, KẾT QUẢ ............................................................................... 27 4.1. Một số công cụ triển khai SIEM.................................................................... 28 4.1.1. AlienVault OSSIM ................................................................................... 28 4.1.2. Q1 Labs Qradar ...................................................................................... 29 4.1.3. MARS ...................................................................................................... 30 4.2. Triển khai SIEM với AlienVault OSSIM ...................................................... 31 4.2.1. Phương pháp thu thập thông tin ............................................................. 31 4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM ......................... 31 4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM ........................... 33 4.2.4. Đánh giá rủi ro ....................................................................................... 33 4.2.5. Các hành động ứng phó sự cố an ninh ................................................... 34 4.2.6. Báo cáo trong AlienVault OSSIM ........................................................... 35 4.3. Thực nghiệm kết quả với AlienVault OSSIM ............................................... 36 4.3.1. Lab 1 ....................................................................................................... 36 4.3.2. Lab 2 ....................................................................................................... 36 4.3.3. Lab 3 ....................................................................................................... 36 KẾT LUẬN ............................................................................................................. 37 TÀI LIỆU THAM KHẢO ..................................................................................... 38 Phụ lục A ................................................................................................................. 40
iii
LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn đến thầy cô trường Đại học Công NghệĐHQGHN đã tận tình chỉ bảo và truyền đạt kiến thức cho chúng em trong suốt các năm học qua. Đặc biệt là các thầy trong bộ môn đã hết lòng trực tiếp hướng dẫn, quan tâm và dạy dỗ, truyền đạt nhiều kinh nghiệm cũng như cho em nhiều ý kiến, kiến thức quý báu trong suốt quá trình chuẩn bị, thực hiện và hoàn thành khóa luận tốt nghiệp này. Tôi xin cảm ơn các bạn sinh viên K55 trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, đặc biệt là các bạn sinh viên lớp K55C-CLC và K55CB đã đoàn kết, giúp đỡ cùng tôi tham gia theo học các môn học bổ ích và thú vị trong chương trình đại học. Với kiến thức còn hạn hẹp, khả năng áp dụng kiến thức vào thực tiễn chưa được tốt. Do đó trong quá trình xây dựng bài khóa luận không tránh khỏi những sai sót và những hạn chế. Em rất mong nhận được những đóng góp, ý kiến của quý thầy cô để em hoàn chỉnh kiến thức của mình. Cuối cùng em xin chúc quý Thầy Cô và toàn thể cán bộ trong trường Đại học Công Nghệ - ĐHQGHN dồi dào sức khỏe và thành công trong công việc. Em xin chân thành cảm ơn! Hà Nội, tháng 05 năm 2013.
iv
DANH MỤC CÁC HÌNH Figure 2-1 – UET Logo. .................................... Error! Bookmark not defined. Figure 2-2 – University of Engineering and Technology: (a) Logo of UET (b) Front view of UET Headquater..................................................... Error! Bookmark not defined.
v
DANH MỤC CÁC BẢNG Table 2.1 – Average day of a UET graduate student.Error! Bookmark not defined.
DANH MỤC CÁC TỪ VIẾT TẮT SIEM
Security Information and Event Management
IDS
Bit Error Rate
IPS
Fast Fourier Transform
LOG
Signal to Noise Ratio
Guidelines: Put them in alphabetical order. Note that in the main text of the thesis, the first time you introduce an abbreviation, it must be given in full. For example: Fast Fourier transform (FFT) was developed by Cooley and Tuckey in 1965. And even an abbreviation has been introduced earlier, you still need to re-provide the full text when you give a definition about it.
MỞ ĐẦU
An toàn an ninh mạng cho một hệ thống đang là một nhu cầu cần thiết cho các tổ chức. Các cuộc tấn công ngày càng trở lên phức tạp tinh vi hơn. Một hệ thống mạng hàng ngày tạo ra một lượng lớn dữ liệu bản ghi log từ các thiết bị và ứng dụng khác nhau. Việc thu thập phân tích các bản ghi log ngày càng trở lên phức tạp và khó khăn hơn. Đã có nhiều đề tài nghiên cứu và các giải pháp nhằm phát hiện, ngăn chặn và đưa ra cảnh báo về các sự kiện an ninh trong hệ thống như các thiết bị IDS, IPS. Mỗi thiết bị đều có những ưu điểm và lợi ích riêng giúp chúng ta đảm bảo phần nào nhu cầu an ninh cho hệ thống. Song hầu hết các thiết bị này hoạt động một cách riêng lẻ, việc quản lý tập trung, xử lý các dữ liệu, phân tích các thông tin và quản lý sự kiện an ninh trong hệ thống là không có. SIEM là một giải pháp có thể giúp các tổ chức giải quyết các vấn đề trên và làm giảm nguy cơ hệ thống bị tấn công xâm nhập. SIEM giúp chúng ta quản lý các thiết bị, dò quét các lổ hổng trong hệ thống, thu thập các dữ liệu từ các thiết bị và các ứng dụng khác nhau, dữ liệu sau đó được chuẩn hóa sang một định dạng chuẩn riêng, phân tích tương quan các thông tin sự kiện an ninh với nhau theo ngữ cảnh và cảnh báo cho các quản trị viên cảnh báo trong trường hợp bị tấn công. Bên cạnh đó SIEM đáp ứng các tuân thủ về hoạt động công nghệ thông tin và cung cấp sẵn các báo cáo theo đúng chuẩn quốc tế quy định về an toàn thông tin. Phần tiếp theo của khóa luận được tổ chức như sau: Chương 1: Tổng quan về SIEM. Trong chương này sẽ giới thiệu một cách tổng quan về SIEM. Nhằm cung cấp cái nhìn sơ lược về SIEM và những ưu điểm của SIEM. Chương 2: Thành phần của SIEM. Chương này cung cấp thông tin về thành phần của SIEM. Chương 3: Hoạt động của SIEM. Sau khi đã biết về thành phần của SIEM gồm những thành phần nào ở chương trước thì chương này cung cấp các thông tin về cách mà SIEM hoạt động. Giúp hiểu thêm về công nghệ SIEM. Chương 4: Thực nghiệm kết quả. Trong chương này, em tiến hành tìm hiểu một số công cụ triển khai SIEM và lựa chọn một công cụ triển khai thực tế nhằm thể hiện rõ hơn lợi ích của công nghệ SIEM. Chương 5: Kết luận. Chương này tổng…………..
1
Chương 1 TỔNG QUAN VỀ SIEM
1.1. Tổng quan về SIEM Sự phát triển của hệ thống mạng ngày càng phát triển, một số nhu cầu đặt ra như: Làm sao để quản lý rất nhiều các thiết bị, việc quản lý thông tin và sự kiện an ninh trong hệ thống vận hành tốt và an toàn? Đó là câu hỏi mà các nhà nghiên cứu hay các quản trị viên an ninh mạng đang đi tìm câu trả lời sao cho tối ưu nhất. Đã có rất nhiều các thiết bị IDS, IPS ra đời nhằm trả lời điều đó. Nhưng hầu hết các thiết bị này đều hoạt động riêng lẻ, quản lý tập chung là không có, sự tương quan liên kết các sự kiện an ninh cũng không có, bên cạnh đó là việc đảm bảo tuân thủ an ninh còn hạn chế và có thể là rất mệt mỏi để hoàn thành các báo cáo về tình trạng an ninh của hệ thống đúng theo chuẩn quốc tế. Chính vì vậy SIEM (Security information and event management – Công nghệ quản lý thông tin và sự kiện an ninh) ra đời một cách khách quan và theo xu hướng phát triển của thế giới. SIEM giải quyết được các vấn đề nêu trên đảm bảo cho hệ thống của chúng ta an toàn và hiệu quả hơn. Giải pháp quản lý thông tin và sự kiện an ninh (SIEM) là một giải pháp bảo mật an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức. SIEM là sự kết hợp giữa quản lý thông tin an ninh (SIM - Security Information Management) và quản lý sự kiện an ninh (SEM - Security Event Management). Nguyên lý cơ bản của SIEM là thu các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau ở các vị trí khác nhau trong hệ thống và chúng ta có thể dễ dàng phân tích, theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi các dấu hiệu bất thường. SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương quan liên kết. SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent. Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an 2
ninh chuyên nghiệp như Firewall, Anti Virus hoặc các hệ thống phòng chống xâm nhập. Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn hóa, quản lý tập trung, phân tích, tương quan các sự kiện an ninh. Tiếp sau đó có thể xác định các sự kiện bất thường và thông báo tới quản trị viên. < sach imple> Các chuyên gia bảo mật và các nhà phân tích sử dụng SIEM nhằm theo dõi, xác định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh. Một số sự kiện an ninh như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và phát virus. SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác. Nhiều sự kiện khó phát hiện hoặc bị che khuất bởi hàng ngàn các sự kiện an ninh khác trong mỗi giây. Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống CNTT. Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số lượng cảnh báo giả. Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả. Nhiều cảnh báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập trung chú ý vào các cảnh báo đó. Điều đó làm cho các nhà phân tích lại bỏ qua các cảnh báo đúng đắn và quan trọng hơn. Với hệ thống SIEM, việc giảm các cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các thông tin sự kiện an ninh với nhau. Điều đó xác định và cảnh báo chính xác khi có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh lớn và nhiều. SIEM cung cấp các dịch vụ sau: - Quản lý nhật lý sự kiện an ninh (Log management). - Tuân thủ các quy định về CNTT (IT regulatory compliance). - Tương quan liên kết các sự kiện an ninh (Event correlation). - Cung cấp các hoạt động ứng phó (Active response). - Đảm bảo an ninh thiết bị đầu cuối (Endpoint security).
3
1.1.1. Quản lý nhật ký sự kiện an ninh SIEM quản lý Log từ các thiết bị trong hệ thống. Bắt đầu với việc cấu hình các vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập trung. SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương quan liên kết. Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu. Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian thực, trình trạng khai thác dữ liệu và an ninh của tất cả hệ thống CNTT.
1.1.2. Tuân thủ các quy định về CNTT
Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, chúng ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân thủ đã đặt ra của tổ chức. Các luật đó được đối chiếu với log được đưa vào hệ thống. Có thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản vá lỗi ứng dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật. Chúng ta có thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các quy định đã đề ra. Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các doanh nghiệp cần phải tuân thủ. Chúng được đóng gói và cung cấp bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí.
1.1.3. Tương quan liên kết các sự kiện an ninh Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn cho hệ thống. Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay không ứng phó với nó. Với tương quan liên kết giữa các sự kiện an ninh, chúng ta xem xét điều kiện khác nhau trước khi kích hoạt báo động. Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau. Nó có thể do một vấn đề xảy ra hoặc có thể không. Cũng có thể là một dấu hiệu cho thấy hệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được 4
chia sẻ trên các máy chủ khác. Và cũng có thể là máy chủ đạt đến hết công suất do một một tấn công từ chối dịch vụ (DoS) vào hệ thống. Hoặc nó có thể là ngừng trệ tạm thời một cách tự nhiên của máy chủ. Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan) các sự kiện khác không phải liên quan đến việc sử dụng CPU. Có thể cung cấp một bức tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của vấn đề. Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình để xem xét một số nguyên nhân sau đây: - Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không? - Bất kỳ máy chủ nào có CPU sử dụng 100%? Cần xem xét có hay không sự tồn tại của virus? - Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động? - Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt quá sự cung cấp dịch vụ của máy chủ. - Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người dùng vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS? Từ các nguồn khác nhau? Có thể là một từ chối dịch vụ phân tán (DDoS)? Đó là sự tương quan các sự kiện an ninh. Cảnh báo của SIEM giúp chúng ta đưa ra cách ứng phó tùy thuộc vào các điều kiện.
1.1.4. Cung cấp các hoạt động ứng phó Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định và phân tích mối quan hệ giữa các thông tin đầu vào đó. Chúng ta có thể cấu hình các hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau. Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng có điều bất lợi. Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể đưa ra các hành động ứng phó không cần thiết. Hoạt động ứng phó tự động này dễ dàng trở thành con dao hai lưỡi cho chúng ta.
5
1.1.5. Đảm bảo an ninh thiết bị đầu cuối Hầu hết các hệ SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông báo sự an toàn của hệ thống. SIEM cung cấp việc quản lý cũng như đánh giá tài sản các thiết bị. Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá. Nhiều hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall. Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống. Như cấu hình Firewall, cập nhật và theo dõi Anti-Virus, chống spyware, chống spam email.
6
1.2. Ưu điểm của SIEM Với sự phát triển của hệ thống mạng thì ngày càng nhiều các thiết bị gia tăng và việc quản lý nó trở lên phức tạp hơn rất nhiều. Do vậy SIEM là một giải pháp giúp chúng ta quản lý chúng tốt hơn. Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log trong một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích một cách nhanh chóng, chính xác được. SIEM cung cấp việc tích hợp dữ liệu quản lý file log từ nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng hợp nhất dữ liệu để tránh mất các sự kiện quan trọng. Việc đánh giá giá trị tài sản của các thiết bị trong hệ thống là không có với các hệ thống an ninh trước đó. SIEM cung cấp việc đánh giá giá trị của các thiết bị hay ứng dụng trong hệ thống (Giá trị tăng dần từ 0-5) và sắp xếp theo sự ưu tiên cảnh báo và bảo vệ chúng. SIEM cung cấp sự tương quan liên kết giữa các sự kiện an ninh lại với nhau rồi sau đó đưa ra kết luận có hay không một cuộc tấn công. Ví dụ như tấn công Brute Force. Nếu nhận thấy có hành vi quét cổng, bên cạnh đó là thấy số lần đăng nhập sai tên đăng nhập hoặc mật khẩu quá một giá trị nào đó và từ một IP nguồn trong một thời gian thì SIEM liên kết các sự kiện này với nhau và khẳng chắc rằng có một tấn công Brute Force đang xảy ra với hệ thống. Với các hệ thống an ninh trước đó các sự kiện an ninh này không được liên kết lại với nhau. Chúng chỉ có thể đưa ra cảnh báo rằng có những hành vi như quét cổng, đăng nhập sai hay gì đó… Với SIEM nếu có một trong các sự kiện an ninh nói trên thì chúng đưa ra cảnh báo mức trung bình và nếu cùng với đó xảy ra các sự kiện an ninh tiếp theo xảy ra thì nâng mức cảnh báo cao hơn và báo cho quản trị viên biết để ứng phó. SIEM cung cấp công cụ đánh giá lỗ hổng của các thiết bị trong hệ thống xem chúng có những lỗ hổng anh ninh nào? Hoặc có những bản vá cập nhật cho những lỗ hổng đó cần được cập nhật. SIEM cung cấp cái nhìn trực quan thông qua các biểu đồ, đồ thị giúp theo dõi rõ ràng hơn. Công cụ có thể hiện dữ liệu sự kiện và có thể thể hiện thành biểu đồ thông tin để hỗ trợ cho thấy mô hình hoặc xác định hoạt động không phù hợp. SIEM cung cấp các khuôn mẫu báo cáo chuẩn theo các tiêu chuẩn về an ninh quốc tế nhau như HIPAA, ISO27001 để các quản trị viên bảo mật có thể tập trung vào các hoạt động tăng cường an ninh mạng. 7
Cung cấp việc lưu trữ các bản ghi log trong một thời gian lâu dài phục vụ cho nhu cầu điều tra tổng hợp sau này và tuân thủ các quy định trong hoạt động CNTT.
8
Chương 2 THÀNH PHẦN CỦA SIEM
SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt. Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không cùng hoạt động cùng một lúc thì chúng ta sẽ không có một SIEM hiệu quả. Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có các thành phần cơ bản cơ bản được mô tả trong chương này. Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh.
9
2.1. Thiết bị nguồn
Hình 2.1. Thành phần đầu tiên của SIEM là các thiết bị đầu vào cung cấp dữ liệu cho SIEM. Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng hoặc chỉ là bất kỳ dữ liệu nào khác. Việc biết về những gì mình có trong hệ thống là rất quan trọng trong việc triển khai SIEM. Hiểu rõ những nguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền đáng kể và giảm sự phức tạp trong triển khai. Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng. Hầu hết các hệ điều hành vê cơ bản công nghệ khác nhau và thực hiện chuyên một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log. Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì trên hệ thống?...Các bản ghi log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn đoán vấn đề hay chỉ là việc cấu hình sai. Thiết bị: Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản. Nhưng có thể quản lý các thiết bị thông qua một giao diện. Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên. Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể được cấu hình theo cách mà hệ điều hành thông thường. Một ví dụ như một router hoặc switch. Nó không phụ thuộc vào nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc 10
giao diện web được sử dụng để quản lý. Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP. Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng. Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác. Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn. Một số ứng dụng sinh ra bản ghi log sẽ có ích cho chúng ta? Chúng ta được yêu cầu để duy trì, lưu trữ các bản ghi log theo sự tuân thủ của pháp luật. Xác định bản ghi log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc thu thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM. Một số điểm cần chú ý trong việc thu thập các bản ghi log như sau: - Thiết bị nguồn nào được ưu tiên? Dữ liệu nào là quan trọng mà chúng ta cần phải thu thập? - Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao nhiêu? Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ. - Tốc độ các thiết bị nguồn này sinh ra các bản ghi log là bao lâu? Thông tin này cùng với kích thước bản ghi log để lựa chọn việc sử dụng đường truyền mạng khi thu thập các bản ghi. - Cách thức liên kết giữa các thiết bị nguồn với SIEM? - Có cần các bản ghi log theo thời gian thực hay thiết lập quá trình thực hiện tại một thời điểm cụ thể trong ngày? Các thông tin trên rất có ích trong việc xác định nguồn thiết bị cần thiết cho SIEM của chúng ta. Chúng có quá nhiều nhưng nó là cần thiết để xác định chính xác hơn điều gì là cần thiết cho SIEM. Số lượng người sử dụng, lịch bảo trì hệ thống và nhiều yếu tố khác có thể tác động đáng kể đến số lượng các bản ghi log được tạo ra mỗi ngày.
11
2.2. Thu thập Log Bước tiếp theo trong sơ đồ là làm thế nào để thu thập các bản ghi log từ các thiết bị khác nhau. Cơ chế thu thập các bản ghi log phụ thuộc vào từng thiết bị nhưng cơ bản nhất có hai phương thức như sau: Pull log và Push log. 2.2.1. Push Log Push log: Các bản ghi log sẽ được các thiết bị nguồn gửi về SIEM. Phương pháp này có lợi ích: Dễ dàng cài đặt và cấu hình. Thông thường, chúng ta chỉ cần thiết lập một bộ tiếp nhận và sau đó kết nối thiết bị nguồn đến bộ phận tiếp nhận này. Ví dụ như syslog. Khi cấu hình thiết bị nguồn sử dụng syslog, chúng ta có thể thiết lập địa chỉ IP hoặc DNS tên của một máy chủ syslog trên mạng và thiết bị sẽ tự động gửi các bản ghi của nó thông qua syslog. Tuy nhiên phương pháp nay cũng còn một số nhược điểm. Ví dụ, sử dụng syslog trong môi trường UDP. Bản chất vốn của việc sử dụng syslog trong môi trường UDP có nghĩa là không bao giờ có thể đảm bảo rằng các gói tin đến đích, vì UDP là một giao thức không hướng kết nối. Nếu một tình huống xảy ra trên mạng chẳng hạn như khi một loại virus mạnh trên mạng, chúng ta có thể không nhận được gói tin syslog. Một vấn đề có thể phát sinh là nếu không đặt quyền điều khiển truy cập thích hợp trên máy thu nhận các bản ghi log thì khi cấu hình sai hoặc có phần mềm độc hại có thể làm tràn ngập các thông tin sai lệch. Điều đó làm cho các sự kiện an ninh khó được phát hiện. Nếu là một cuộc tấn công có chủ ý nhằm chống lại SIEM thì một kẻ xấu có thể làm sai lệch các thông tin và và thêm các dữ liệu rác vào SIEM. Do vậy sự hiểu biết về các thiết bị gửi các bản ghi log cho SIEM là điều rất quan trọng. 2.2.2. Pull Log Pull log: Các bản ghi log sẽ được SIEM đi tới và lấy về. Không giống như phương pháp Push log, trong đó thiết bị nguồn gửi các bản ghi log cho SIEM mà không cần bất kỳ sự tương tác từ SIEM. Pull log đòi hỏi SIEM bắt đầu kết nối với các thiết bị nguồn và chủ động lấy các bản ghi từ các thiết bị nguồn đó. Một ví dụ nếu các bản ghi log được lưu trữ trong tập tin văn bản chia sẻ trên một mạng. SIEM sẽ thiết lập một kết nối lấy các thông tin được lưu trữ và đọc các file bản ghi từ các thiết bị nguồn.
12
Đối với phương pháp Push Log, các bản ghi log của thiết bị nguồn thường gửi các bản ghi đến SIEM ngay sau khi nó được tạo ra. Nhưng với phương pháp Pull Log thì một kết nối sẽ được tạo ra để SIEM tiếp cận với các thiết bị nguồn và kéo các bản ghi log từ các thiết bị nguồn về. Chu kỳ của việc kết nối để lấy các bản ghi log của Pull Log có thể là vài giây hoặc theo giờ. Khoảng thời gian này chúng ta có thể cấu hình theo tùy chọn hoặc để cấu hình mặc định cho SIEM. - Prebuilt Log collection: Tùy thuộc vào SIEM, thường có các phương pháp được xây dựng sẵn có sẵn để lấy được các bản ghi từ các thiết bị hoặc các ứng dụng. Ví dụ, chúng ta có thể trỏ một máy chủ SIEM chạy cơ sở dữ liệu Oracle cung cấp cho các thông tin cơ sở dữ liệu SIEM. SIEM sẽ có những phương pháp xác thực và quy tắc (logic) được xây dựng để lấy thông tin từ cơ sở dữ liệu Oracle. Ví dụ này làm cho việc lấy các bản ghi từ các thiết bị nguồn được dễ dàng hơn. Nhưng đối với một ứng dụng nào đó mà chúng ta muốn lấy những bản ghi log nhưng không có phương pháp hay quy tắc logic nào được xác định trước đó thì hơi khó. Trong trường hợp này, cần thay đổi các bản ghi từ các định dạng file gốc thành một cái gì đó mà SIEM có thể hiểu được. Một ví dụ là nếu chúng ta đang chạy một ứng dụng trên một máy chủ và ứng dụng lưu trữ các bản ghi của nó trong một định dạng tập tin trên máy chủ. Chúng ta có thể sử dụng một ứng dụng khác để đọc tập tin này và gửi các bản ghi thông qua syslog. Trong trường hợp máy chủ Windows, một cách khác để làm việc với các bản ghi không chuẩn sẽ được để viết nhật ký để Windows Event Log và kéo Windows Event Log vào SIEM. - Custom Log Collection: Với các thiết bị khác nhau trong mạng có thể có một số nguồn bản ghi log không có phương pháp thu thập log chuẩn cung cấp sẵn bởi SIEM. Chúng ta cần có phương thức để lấy các bản ghi log từ một nguồn bằng việc xây dựng phương pháp riêng để thu thập các bản ghi log. Việc xây dựng phương thức riêng để lấy bản ghi log và phân tích có thể tốn nhiều công sức và thời gian, nhưng nếu được thực hiện đúng cách, nó sẽ có nghĩa là các bản ghi sẽ được kéo trực tiếp từ các thiết bị vào SIEM. Một lợi ích khác của việc xây dựng phương pháp thu tập riêng là chúng ta có thể kiểm soát tất cả các quá trình phân tích và tìm kiếm.
13
2.3. Phân tích, chuẩn hóa Log Vô số các bản ghi log được gửi từ các thiết bị và ứng dụng trong môi trường đến SIEM, điều gì sẽ xảy ra tiếp theo? Tại thời điểm này, tất cả các bản ghi đang ở định dạng gốc ban đầu, do đó chúng ta không thực hiện được bất cứ điều gì ngoại trừ lưu nó vào một nơi nào đó. Nhưng để các bản ghi log hữu ích trong SIEM chúng ta cần định dạng lại chúng sang một định dạng chuẩn duy nhất. Việc thay đổi tất cả các loại bản ghi log khác nhau thành các bản ghi có cùng một định dạng duy nhất được gọi là chuẩn hóa. Việc chuẩn hóa các bản ghi log giúp cho SIEM có thể thống nhất các bản ghi log, nhanh chóng phân tích cũng như tương quan sự kiện an ninh sau nay.
14
2.4. Kỹ thuật tương quan sự kiện an ninh Các quy luật cho phép mở rộng việc chuẩn hóa các bản ghi các sự kiện an ninh từ các nguồn khác nhau trong việc kích hoạt cảnh báo trong SIEM. Cách viết các quy luật trong SIEM bắt đầu thường khá đơn giản, nhưng có thể trở nên cực kỳ phức tạp. Chúng ta thường viết các quy tắc sử dụng một biểu thức Boolean logic để xác định điều kiện cụ thể được đáp ứng và kiểm tra xem có phù hợp trong các dữ liệu. Tương quan là một tập hợp các quy tắc. Tương quan sự kiện an ninh giúp liên kết các sự kiện an ninh từ các nguồn khác nhau thành một sự kiện an ninh chính xác. Tương quan các sự kiện an ninh được thực hiện nhằm đơn giản hóa các thủ tục ứng phó sự cố cho cho hệ thống, bằng việc thể hiện một sự cố duy nhất được liên hệ từ nhiều sự kiện an ninh đến từ các thiết bị nguồn khác nhau. Nếu nhìn vào ví dụ trong bảng dưới, nó cho thấy nhiều sự kiện an ninh đăng nhập vào SIEM trong khoảng thời gian 10 giây. Nhìn vào điều này có thể nhìn thấy sự thất bại đăng nhập và đăng nhập thành công từ nhiều địa chỉ đến để một số địa chỉ đích. Nếu nhìn kỹ, có thể thấy một một địa chỉ nguồn duy nhất đăng nhập vào nhiều địa chỉ đích nhiều lần, và sau đó đột ngột thấy một đăng nhập thành công. Điều này có thể là một cuộc tấn công brute-force với máy chủ. Nhưng trừ khi chúng ta có một trí nhớ rất tốt mới nhận ra điều đó. Thường là chúng ta có thể đã quên các sự kiện an ninh đầu tiên xảy ra. (Hình bảng) Mở rộng theo ví dụ này và thay vì chỉ 10 sự kiện an ninh trong một khoảng thời gian 10 giây, chúng ta có 1000 sự kiện an ninh trong 10 giây. Hãy chọn ra những sự kiện an ninh từ tất trong hệ thống có thể hiển thị một sự kiện an ninh nguy cơ nguy hại là điều cực kỳ khó khăn. Chúng ta cần một cách để loại bỏ tất cả các thông tin sự kiện an ninh không liên quan trong các bản ghi log và chỉ cần theo dõi các thông tin sự kiện an ninh mà có thể chỉ ra một nguy hại qua nhiều sự kiện an ninh.
15
2.5. Lưu trữ Log Với các bản ghi log gửi tới SIEM chúng ta cần một cách để lưu trữ chúng để phục vụ các mục đích lưu giữ và truy vấn sau này. Có ba cách mà có thể lưu trữ các bản ghi trong SIEM là: Dùng một cơ sở dữ liệu, file Text và dưới dạng file nhị phân. Lưu trữ dưới dạng cơ sở dữ liệu Lưu trữ các bản ghi log trong cơ sở dữ liệu là cách lưu trữ các bản ghi log hay được dùng nhất trong SIEM. Cơ sở dữ liệu thường là một nền tảng cơ sở dữ liệu chuẩn như Oracle, MySQL, Microsoft SQL hoặc một trong các ứng dụng cơ sở dữ liệu lớn khác đang được sử dụng trong doanh nghiệp. Phương pháp này cho phép khá dễ dàng tương tác với dữ liệu vì các truy vấn cơ sở dữ liệu là một phần của ứng dụng cơ sở dữ liệu. Hiệu suất cũng khá tốt khi truy cập vào các bản ghi log trong cơ sở dữ liệu, phụ thuộc vào phần cứng cơ sở dữ liệu đang chạy, nhưng các ứng dụng cơ sở dữ liệu phải được tối ưu hóa để chạy với SIEM. Sử dụng cơ sở dữ liệu là một giải pháp tốt cho việc lưu trữ nhật ký, nhưng một số vấn đề có thể phát sinh tùy thuộc vào cách SIEM triển khai cơ sở dữ liệu tương ứng với nó. Nếu SIEM là một thiết bị thường không có nhiều sự tương tác với cơ sở dữ liệu, do đó việc cung cấp và bảo trì thường không phải là một vấn đề. Nhưng nếu SIEM đang chạy trên phần cứng riêng thì việc quản lý cơ sở dữ liệu cho mình cũng là vấn đề lớn. Điều này có thể là khó khăn nếu chúng ta không có một DBA. Lưu trữ dưới dạng file Text
Một tập tin văn bản chuẩn để lưu trữ các thông tin trong một định dạng có thể đọc được. Các thông tin cần phải có một ranh giới phân cách có thể là dấu phẩy, tab hoặc một số kí hiệu khác. Vì vậy thông tin có thể được phân tích và đọc đúng. Phương pháp lưu trữ này không được sử dụng thường xuyên. Hành động viết và đọc từ tập tin văn bản dường như chậm hơn so với các phương pháp khác. Thật sự không có nhiều lợi ích khi sử dụng một tập tin text để lưu trữ dữ liệu, nhưng nó dễ dàng cho các ứng dụng bên ngoài để truy cập dữ liệu này. Nếu các bản ghi log được lưu trữ trong một tập tin văn bản, thì sẽ không khó khăn khi một viết mã của riêng để mở các tập tin và lấy thông tin để cung cấp cho cho một ứng dụng khác. Một lợi ích khác là khi tập tin văn bản con người có thể đọc được và dễ dàng để nhà phân tích tìm kiếm và hiểu nó. Chúng ta có thể mở các tập tin và sử dụng lệnh grep hoặc một số công cụ tìm kiếm tập tin văn bản khác để tìm ra thông tin tìm kiếm mà không cần mở một giao diện điều khiển. 16
Lưu trữ dưới dạng file nhị phân Định dạng tập tin nhị phân là sử dụng một tập tin với định dạng tùy chỉnh để lưu trữ thông tin duới dạng nhị phân. SIEM biết làm thế nào để đọc và ghi vào những file này.
17
2.6. Theo dõi và giám sát Khi đã có tất cả các bản ghi log trong SIEM và các sự kiện an ninh đã được xử lý, điều cần làm tiếp theo như thế nào để sử dụng hữu ích với các thông tin từ các bản ghi log khác nhau. SIEM có một giao diện điều khiển dựa trên web hoặc ứng dụng tải về máy trạm. Cả hai giao diện sẽ cho phép tương tác với các dữ liệu được lưu trữ trong SIEM. Giao diện điều khiển này cũng được sử dụng để quản lý SIEM. Giao diện ứng dụng này cho phép xử lý sự cố hoặc cung cấp cái nhìn tổng quan về môi trường của chúng ta. Bình thường khi muốn xem các thông tin hoặc xử lý sự cố các kỹ sư sẽ phải đi đến các thiết bị khác nhau và xem các bản ghi log trong định dạng gốc của nó. Nhưng với SIEM sẽ đơn giản và tiện lợi hơn nhiều. Nó có thể xử lý tại một nơi duy nhất, phân tích tất cả các bản ghi log khác nhau dễ dàng bởi vì SIEM đã chuẩn hóa các thông tin dữ liệu đó. Trong quản lý và giám sát giao diện điều khiển của SIEM, chúng ta có thể phát triển nội dung và quy định được sử dụng để tìm ra thông tin từ các sự kiện an ninh được xử lý. Giao diện điều khiển này là một cách để giao tiếp với các dữ liệu được lưu trữ trong SIEM.
18
Chương 3 HOẠT ĐỘNG CỦA SIEM
Việc quan trọng khi thực hiện triển khai SIEM là cần phải hiểu nó làm việc như thế nào? Đối với mỗi nhà cung cấp khác nhau sẽ có đôi chút khác nhau nhưng chúng đều dựa trên những khái niệm cốt lõi. Thành phần cơ bản vẫn là thu thập thông tin, phân tích và lưu trữ. Các bản ghi Log được thu thập từ các thiết bị khác nhau và chúng có thể có những định dạng theo từng loại thiết bị. Chúng ta cần thu thập và chuyển nó về một định dạng chung. Quá trình này gọi là hợp nhất dữ liệu (consolidation). Sau đó sẽ tiến hành phân tích từ các dữ liệu này và thực hiện tương quan sự kiện an ninh (Correlation) để đưa tới kết luận có một cuộc tấn công hay không? Các thông tin về môi trường mạng và các mối đe dọa phổ biến rất có ích trong giai đoạn này. Việc đưa ra cảnh báo và các báo cáo sẽ được tạo ra như một kết quả của việc phân tích. Các bản ghi Log được lưu trữ trực tiếp trên SIEM ít nhất vài giờ đồng hồ sau đó chuyển tới nơi lưu trữ lâu dài để phục vụ cho quá trình điều tra hoặc sử dụng sau này.
19
3.1. Thu thập thông tin
Hình 3.1. Mục đích việc thu thập thông tin là để nắm bắt và chuẩn hóa các thông tin từ các thiết bị an ninh khác nhau và cung cấp nó cho các máy chủ để phân tích tiếp. Chức năng này là rất quan trọng vì các dữ liệu có định dạng khác nhau từ các thiết bị và nhà cung cấp khác nhau. Sau khi dữ liệu đã được thu thập và chuẩn hóa có thể được sử dụng kết hợp với các dữ liệu khác từ các nguồn khác. Khi đã cùng một định dạng thì việc phát hiện sự kiện an ninh có khả năng độc hại được nâng cao và chính xác hơn. SIEM thu thập các bản ghi Log từ rất nhiều các thiết bị khác nhau, việc truyền các bản ghi log từ các thiết bị nguồn tới SIEM cần được giữ bí mật, xác thực và tin cậy bằng việc sử dụng syslog hoặc các giao thức SNMP, OPSEC, SFTP, IDXP. Sau đó các bản ghi log chuẩn hóa đưa về cùng một định dạng. Nếu các thiết bị không hỗ trợ syslog hay các giao thức này chúng ta cần phải sử dụng các Agent. Đó là một điều cần thực hiện để thực hiện việc lấy các bản ghi log có định dạng mà SIEM có thể hiểu được. Việc cài đặt các Agent có thể kéo dài quá trình triển khai SIEM nhưng chúng ta sẽ có những bản ghi log theo dạng chuẩn mong muốn. Có hai cách để SIEM thu thập bản ghi log từ các thiết bị nguồn. Các thứ nhất là Pull log, trong cách này SIEM sẽ truy xuất tới các thiết bị nguồn và lấy các bản ghi log về. Thời gian để truy xuất tới các thiết bị SIEM có thể tùy chọn. Cách thứ hai là Push log, các thiết bị nguồn tự đẩy các bản ghi log về cho SIEM. Điều này cũng cần tính toán về chu kỳ thời gian đẩy các bản ghi về SIEM vì nếu không sẽ dẫn tới việc tràn và bận của SIEM khi quá nhiều các thiết bị nguồn cùng gửi bản ghi log về. 20
Pull Log: Một phần mềm được cài đặt trên các thiết bị an ninh và sử dụng để lấy dữ liệu từ các thiết bị bằng cảm biến hoặc máy chủ. Các thiết bị an ninh sử dụng plugin để phân tích thông tin từ một định dạng cụ thể tùy thuộc vào thiết bị hoặc nhà cung cấp. Kỹ thuật này thường sử dụng trên các máy chủ và máy trạm vì nó rất dễ dàng để cài đặt thêm phần mềm vào. Push Log: Dữ liệu định dạng gốc được lấy từ các thiết bị an ninh. Việc này được thực hiện bằng SNMP hoặc SYSLOG và không thay đổi được các phần mềm chạy trên các thiết bị an ninh. Kỹ thuật này thường dùng cho các thiết bị mà khó có thể cài đặt thêm phần mềm vào. Khi các sự kiện an ninh đến máy chủ, mức độ ưu tiên sẽ được định dạng theo chuẩn từ 0 đến 5. Người quản trị có thể điều chỉnh các giá trị mặc định thông qua một bảng tiêu chuẩn và chính sách ưu tiên. Chính sách thu thập thông tin: Có thể thiết lập một chính sách ưu tiên và thu thập ở các bộ cảm biến để lọc và củng cố các thông tin sự kiện an ninh trước khi gửi chúng đến máy chủ. Kỹ thuật này cho phép người quản trị để điều tiết sự kiện an ninh và quản lý những thông tin, nếu không sẽ rất nhiều các sự kiện an ninh trong hệ thống mạng làm cho chúng ta lúng túng không biết bắt đầu từ đâu.
21
3.2. Chuẩn hóa và tổng hợp sự kiện an ninh Rất nhiều các dữ liệu bản ghi log cần được SIEM chuẩn hóa đưa về một định dạng riêng mà nó có thể hiểu được. Khi các dữ liệu được chuẩn hóa thì một số thông số quan cần được lưu ý như ngày tháng, thời gian và thời gian thu thập dữ liệu. Các thông số này thông thường được cung cấp bởi Network Time Protocol (NTP). Sau quá trình chuẩn hóa các bản ghi log thì quá trình tổng hợp sự kiện an ninh diễn ra. Mục đích của quá trình này là tổng hợp các sự kiện an ninh thuộc cùng một kiểu để thấy được sự tổng thể của hệ thống. Điều này có vẻ tương tự như với quá trình tương quan sự kiện an ninh nhưng thực sự không phải vậy. Tương quan sự kiện an ninh thì sẽ tổng hợp nhiều sự kiện an ninh khác nhau để đưa ra kết luận có hay không về một cuộc tấn công.
22
3.3. Tương quan sự kiện an ninh Quá trình tương quan sự kiện an ninh là từ các bản ghi sự kiện an ninh khác nhau được liên kết lại với nhau nhằm đưa ra kết luận có hay không một tấn công vào hệ thống. Quá trình đòi hỏi việc xử lý tập trung và chuyên sâu vì chúng phải hiểu được một tấn công diễn ra như thế nào? Mà thông thường sẽ sử dụng các thông tin dữ liệu trong cơ sở dữ liệu sẵn có và liên kết với các thông tin về bối cảnh trong môi trường mạng của hệ thống. Các thông tin này có thể như các thư mục người dùng, các thiết bị và vị trí của chúng. Điều tuyệt vời là SIEM có thể học được từ những sự kiện an ninh mới mà dữ liệu gửi về và cập nhật các thông tin về bối cảnh. Như chúng ta đã biết, có nhiều thiết bị IDS và IPS là những thiết bị phát hiện và ngăn chặn tấn công phổ biến đang được dùng trong hiện tại. Nhưng chúng đều là hoạt động một cách độc lập hay riêng lẻ. Một câu hỏi đặt ra trong nhu cầu tất yếu của sự phát triển liệu có một giải pháp nào giải quyết được những hạn chế trên. Nếu duy nhất một tập tin có thể chứa tất cả các thông tin cần thiết để phân tích an ninh, chúng ta sẽ không cần phải bận tâm với việc thu thập và liên kết các sự kiện từ nhiều nguồn khác nhau. Sự thật là mỗi bản ghi log hoặc sự kiện có chứa một mẩu thông tin. Để đưa ra quyết định có chính xác về những gì đang xảy ra với các ứng dụng và trong hệ thống, chúng ta cần phải kết hợp các sự kiện từ nhiều nguồn khác nhau. Các sự kiện chúng ta muốn và phần nào của dữ liệu từ những sự kiện chúng ta cần là những gì mà SIEM mang đến cho chúng ta. Vậy tương quan là gì? Tương quan là việc liên kết nhiều sự kiện lại với nhau để phát hiện hành vi lạ. Nó là sự kết hợp của các sự kiện khác nhau nhưng liên quan đến một sự cố duy nhất trong hệ thống. Thông thường có hai kiểu Correlation là dựa trên các quy tắc kiến thức đã biết (Rule - based) và dựa trên phương pháp thống kê (statistical-based). Rule - based: Là phương pháp tương quan sự kiện dựa trên các quy tắc và kiến thức đã biết về các cuộc tấn công. Các kiến thức đã biết về các cuộc tấn công được sử dụng để liên kết các sự kiện lại với nhau và phân tích chúng trong một bối cảnh chung. Các quy tắc được xây dựng vào các mẫu xác định và do các nhà cung cấp phát triển hoặc chúng ta có thể tự xây dựng, phát triển và bổ sung vào hệ thống theo thời gian và kinh nghiệm tích lũy.
23
Ví dụ: Nếu một quản trị viên dùng các quy tắc theo dõi giám sát xem có sự quét các cổng trên các thiết bị. Nếu thấy rằng có sự quét cổng để cố gắng telnet vào đó, các quy tắc sau đó tiếp tục theo dõi xem khoảng thời gian trước đó đã xảy ra hay chưa? Nếu có một kết nối telnet được xác định từ một nguồn IP không rõ thì hệ thống tương quan sự kiện này sẽ gửi cảnh báo qua giao diện điều khiển hoặc có thể nhắn tin, gửi mail đến cho các quản trị viên được biết. Statistical - based: Phương thức tương quan không sử dụng bất kỳ kiến thức của các hoạt động cho là nguy hiểm đã biết trước đó. Nhưng thay vì dựa vào những kiến thức của các hoạt động bình thường đã được công nhận và tích lũy theo thời gian. Các sự kiện đang diễn ra được đánh giá bởi một thuật toán và có thể được so sánh với mẫu bình thường để phân biệt hành vi bình thường và hành vi bất thường. Hệ thống phân tích các sự kiện an ninh trong một khoảng thời gian và sử dụng trọng số để đánh giá tài sản, hệ thống. Các giá trị trọng này sau đó được phân tích để xác định nguy cơ kiểu tấn công này xảy ra. Các hệ thống này cũng thiết lập mức độ hoạt động mạng bình thường và tìm kiếm sai lệch so với những mẫu có hành vi bình thường có thể chỉ ra một cuộc tấn công.
24
3.4. Cảnh báo và báo cáo SIEM cung cấp ba cách để SIEM thông báo tới các quản trị viên một cuộc tấn công hay một hành vi bất thường đang xảy ra. Thứ nhất, SIEM có thể đưa ra một cảnh báo ngay khi chúng nhận ra rằng có điều gì bất thường. Thứ hai, SIEM sẽ gửi một thông báo vào một thời điểm được xác định trước của cuộc tấn công và thứ ba là các quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua một giao diện web. Các IDS thông thường đưa ra nhiều cảnh báo giả nhưng với SIEM nó tạo ra một tỷ lệ nhỏ các thông báo giả như vậy. Tuy nhiên tất cả những thông báo có thể là cần thiết để thực hiện một hành động hay đơn giản là bỏ qua nó còn tùy thuộc vào mức độ của sự kiện an ninh. Một số sản phẩm của SIEM có thể thực hiện các hành động ứng phó như xóa các phần mềm độc hại, đóng một số cổng nào đó thông qua việc kết nối tới các thiết bị đó. Báo cáo được lập lịch để đưa ra các báo cáo thường xuyên. Các báo này được thể hiện theo chuẩn quốc tế và có thể thể hiện qua những biểu đồ trực quan về những số liệu. Những báo cáo này cung cấp nhanh chóng cái nhìn tổng quan cho các quản trị viên và nhà quản lý.
25
3.5. Lưu trữ Khi phân tích thì các dữ liệu được lưu trữ trực tuyến và khi không còn cần thiết thì chúng sẽ được chuyển tới nơi khác để lưu trữ dài hạn. Dữ liệu có thể được lưu trữ dưới dạng đã chuẩn hóa (hay đã tổng hợp) nhằm đẩy nhanh tốc độ tìm kiếm sử dụng sau này. Bên cạnh đó chúng cũng được lưu trữ dưới dạng gốc ban đầu nhằm phục vụ nhu cầu bằng chứng và điều tra pháp y sau này. Thông thường chúng được lưu trữ dưới dạng nén và có thể được mã hóa. SIEM cung cấp khả năng lưu trữ đến TB hàng trăm triệu sự kiện an ninh khác nhau.
26
Chương 4 THỰC NGHIỆM, KẾT QUẢ
Guidelines: 1. Restate the Thesis Problem, the Thesis Objectives, the Methods used to carry out the Objectives, and ALL corresponding results obtained in Chapter 4. 2. Provide interpretations/perspectives of several MOST important results which you think they are significant and help draw a better picture about the Context of the thesis. 3. Give 1 or 2 future directions/tasks such that, apart from the results obtained in Chapter 4, by undertaking these directions/tasks, one (not just you) can help solve the Thesis Problem, or even to extend it. This helps guide other people to complete/extend your work. Do not write about future works which are FAR related to the Thesis Problem. A good length of this chapter is about 2 pages.
27
4.1. Một số công cụ triển khai SIEM 4.1.1. AlienVault OSSIM OSSIM là một cách tiếp cận hấp dẫn đối với SIEM. OSSIM là mã nguồn mở do đó có thể tải về miễn phí, cài đặt và chỉnh sửa phù hợp với hoạt động riêng cho từng hệ thống. OSSIM được phát triển bởi AlienVault, gồm hai phiên bản miễn phí và tính phí. Phiên bản miễn phí có một số hạn chế liên quan đến hiệu suất, lưu trữ và việc hỗ trợ. Tuy nhiên khi chúng ta dùng các phiên bản cao hơn phiên bản miễn phí thì nó có thể đáp ứng rất nhiều nhu cầu của chúng ta. Một tính năng quan trọng AlienVault OSSIM là Logger. Nó là một cơ sở dữ liệu bổ sung cho mục đích pháp y. Logger cho phép lưu trữ các bản ghi số lượng lớn trong thời gian lâu dài. Chúng sử dụng chủ yếu là hệ thống lưu trữ NAS/SAN. OSSIM phát triển dựa trên cộng đồng và khả năng tùy chỉnh giống như với bất kỳ phần mềm mã nguồn mở khác. OSSIM có thể được sử dụng bởi các tổ chức nhỏ nhưng hiệu quả nhất khi được sử dụng bởi các tổ chức lớn, nơi có nhiều thiết bị mạng như Firewall, IDS/IPS, Anti-Virus và các máy chủ web,... OSSIM đã được tích hợp với các công cụ bảo mật mã nguồn mở khác nhưng không giới hạn Snort, ntop, OpenVAS, P0f, PADs, arpwatch, OSSEC, Osiris, Nagios, OCS, và Kismet. Có công cụ mã nguồn mở nổi tiếng như là một phần của nền tảng làm cho các chuyên gia an ninh dễ dàng làm việc với nó. Hoạt động cơ bản của AlienVault OSSIM: Ứng dụng bên ngoài và các thiết bị tạo ra các sự kiện an ninh. Các ứng dụng chuyển với AlienVault tạo ra sự kiện an ninh ( AlienVault cảm biến ) Sự kiện an ninh được thu thập và chuẩn hóa trước khi được gửi đến một máy chủ trung tâm. Các AlienVault Server đánh giá rủi ro, tương quan và lưu trữ các sự kiện an ninh trong một cơ sở dữ liệu SQL. Các máy chủ lưu trữ AlienVault các sự kiện an ninh trong một hệ thống lưu trữ, thường NAS cho bản mã nguồn mở hoặc SAN cho bản thương mại.
28
Một giao diện web cho phép và cung cấp một hệ thống số liệu, báo cáo, (bảng điều khiển, hệ thống, báo cáo lỗ hổng, hệ thống quản lý và thông tin thời gian thực của mạng. 4.1.2. Q1 Labs Qradar Q1 Labs tham gia vào thị trường SIEM vào năm 2001 với dòng sản phẩm đầy đủ tính năng. Họ cung cấp công nghệ trong một thiết bị (bao gồm cả phần cứng và phần mềm) và một phiên bản phần mềm mà chúng ta có thể cài đặt trên phần cứng của riêng. Sản phẩm hàng đầu của họ được gọi là QRadar SIEM. Hệ thống này bao gồm tất cả mọi thứ cần thiết để có được những thông tin về mức độ bảo mật của và các dịch vụ quản lý sự kiện an ninh. Hệ thống QRadar đáp ứng yêu cầu tuân thủ để lưu trữ sự kiện an ninh, giám sát, báo cáo và bao gồm các chức năng sau đây để thực hiện yêu cầu an ninh bảo mật của tổ chức: Theo dõi sự kiện an ninh. Theo dõi lưu lượng mạng. Tích hợp máy quét lỗ hổng. Kiểm kê tài sản và tạo ra hồ sơ về nó. Phân tích dữ liệu. Tương quan dữ liệu. Phát hiện ra những mối đe dọa. Tạo ra các báo cáo. Các dòng sản phẩm gồm: QRadar 2100 có giá không quá cao dành cho các doanh nghiệp vừa và nhỏ. Dòng sản phẩm QRadar 3100 dành cho các doanh nghiệp quy mô lớn hơn. Trong triển khai các thiết bị giám sát, lưu trữ trên toàn mạng tạo thành một hệ thống phân cấp và cung cấp nguồn dữ liệu vào Management Console. QRadar là một trong những sản phẩm đơn giản nhất triển khai SIEM. Nó dễ dàng được thu nhỏ và tùy chỉnh mở rộng nhằm giảm thiểu các thông báo giả, lọc các luồng và phân tích sự kiện an ninh.
29
4.1.3. MARS Hệ thống theo dõi, giám sát và ứng phó (MARS - Monitoring Analysis and Response System) là một sản phẩm triển khai SIEM được sản xuất bởi Cisco. MARS là một sản phẩm thương mại rất được ưa chuộng trong việc triển khai SIEM. Do công ty chiếm lĩnh đa phần thị trường thiết bị mạng nên việc áp dụng rộng dãi và tác động của nó cũng trở lên dễ dàng hơn. Theo nguồn tin từ công ty thì MARS có một lộ trình trong tương lai là tích hợp công cụ này với các sản phẩm của họ trong thời gian tới. MARS được thiết kế với mục đích giảm nhẹ một phần của SIEM. Khi triển khai một cách chính xác thì MARS có thể: Xác định một cuộc tấn công nào được tiến hành. Hiện thị các thông tin chi tiết và mạng hay đường dẫn liên quan đến sự việc. Xác định các thiết bị có thể sử dụng để ngăn chặn các cuộc tấn công. Trong nhiều trường hợp nó có thể cung cấp các lệnh cụ thể áp dụng cho các thiết bị để ngăn chặn các cuộc tấn công. Giống như nhiều sản phẩm SIEM khác, MARS cũng cung cấp chức năng phục vụ điều tra pháp y và báo cáo. Kiểm toán các chính sách về hệ thống mạng, báo cáo hiện trạng mạng, việc sử dụng các thiết bị và xác định định hướng quy hoạch phạm vi của SIEM. MARS vẫn cung cấp khả năng thu thập thông tin sự kiện an ninh từ các thiết bị và ứng dụng qua Syslog hoặc giao thức SNMP.
30
4.2. Triển khai SIEM với AlienVault OSSIM Các bản ghi log luôn phản ánh đúng các sự kiện an ninh, nó rất quan trọng để tổng hợp và phân tích các bản ghi mạng nội bộ và bên ngoài để các công ty có thể ngăn chặn hành vi vi phạm hoặc thực hiện ứng phó sự cố một cách kịp thời. Vì lý do an ninh, các công ty sử dụng SIEM như một giải pháp và nó được triển khai trong một tổ chức để giải quyết các mối đe dọa quản lý, ứng phó sự cố và tuân thủ. Theo Magic Quadrant hơn 80% của việc triển khai ban đầu SIEM mất một chi phí rất lớn. Đó là một điều không may và hầu hết ban giám đốc chỉ phê duyệt ngân sách cho SIEM khi họ đã gặp rắc rối về đề an ninh. Đó không phải là một hành động là an ninh chủ động. Thật may mắn, có một cách để quản lý hệ thống của chúng ta mà không chi tiêu một xu nào khi sử dụng SIEM bằng cách triển khai OSSIM AlienVault của (Open Source SIM). OSSIM có thể là một điều tuyệt vời cho những công ty có nhu cầu cho SIEM nhưng không thể đủ khả năng tài chính hoặc cho những công ty đang xem xét việc quản lý an ninh của AlienVault nhưng muốn thử các chức năng cơ bản trước khi mua bản tính phí. OSSIM AlienVault tham gia thị trường SIEM từ năm 2003, nền tảng SIEM mã nguồn mở hiện nay theo trang web của AlienVault việc triển khai OSSIM là khoảng 18.000, đó là một con số khá lớn đối với các sản phẩm cùng loại khác trên thế giới. 4.2.1. Phương pháp thu thập thông tin Có nhiều cách để thu thập các bản ghi từ máy chủ sử dụng các Agent như OSSEC và Snare. Lựa chọn thay thế để cài đặt các Agent cho các hệ thống Linux chỉ đơn giản là cấu hình rsyslog hoặc thiết lập snmptrapd. Cách tốt nhất để chuyển tiếp các bản ghi từ một hệ thống Windows là sử dụng Snare. 4.2.2. Một số công cụ mã nguồn mở trong AlienVault OSSIM Các công cụ mã nguồn mở cung cấp sự linh hoạt, cho phép các tổ chức giảm chi phí và tận dụng tài năng của hàng ngàn lập trình viên trên toàn thế giới. Hầu hết các tổ chức đã sử dụng một số loại ứng dụng bảo mật được xây dựng từ mã nguồn mở. OSSIM đã tích hợp và sử dụng những công cụ này. Hơn 15 loại công cụ mã nguồn mở tốt nhất được biên dịch vào OSSIM. Snort 31
Snort là công cụ mã nguồn mở hàng đầu về IDS ngày nay. Một phiên bản với những tùy chọn được tích hợp vào OSSIM. Nó cung cấp các cảnh báo liên quan đến các cuộc tấn công mạng. OpenVAS OpenVAS được cấp phép (GPL) của phiên bản Nessus. Một công cụ mã nguồn mở quét lỗ hổng phổ biến. Công cụ này được sử dụng nhằm cung cấp các thông tin về các lỗ hổng quét trong mạng và thêm các thông tin có giá trị cho cơ sở dữ liệu OSSIM. Ntop Ntop là một công cụ mã nguồn mở giám sát lưu lượng mạng phổ biến. Công cụ này cung cấp những thông tin về lưu lượng truy cập trên mạng, có thể được sử dụng để phát hiện một cách chủ động những vấn đề bất thường hay độc hại. Nagios Nagios là một công cụ phần mềm mã nguồn mở giám sát thiết bị mạng phổ biến. Công cụ này được sử dụng để giám sát các thiết bị mạng, các dịch vụ theo thời gian và cung cấp các cảnh báo trong trường hợp ngừng hoạt động. PADs (Passive Asset Detection System) Hệ thống phát hiện thụ động tài sản là một công cụ duy nhất. Công cụ lặng lẽ theo dõi lưu lượng mạng, các bản ghi log và dịch vụ. Dữ liệu này được theo dõi bởi OSSIM khi có sự bất thường trong dịch vụ mạng. P0f Công cụ P0f được sử dụng thu thập thông tin về hệ điều hành. Công cụ này theo dõi lưu lượng truy cập mạng và xác định hệ điều hành. Thông tin này rất hữu ích trong quá trình suy luận tương quan. OCS-NG (Open Computer and Software Inventory Next Generation) Phần mềm giám sát, thống kê các thiết bị, tài sản của hệ thống. Công cụ này thực hiện một cách tự động theo dõi những tài sản và cung cấp các phân tích thông tin an ninh cần thiết. OSSEC
32
OSSEC là một công cụ mã nguồn mở phát hiện xâm nhập trên host. Công cụ này cung cấp nền tảng phân tích log, kiểm tra tính toàn vẹn của tập tin, phát hiện rootkit, giám sát chính sách, thời gian thực và đưa ra cảnh báo. OSVDB (Open Source Vulnerability Database) Là một dự án mã nguồn mở cập nhật thông tin lỗ hổng cơ sở dữ liệu. Nó được tích hợp vào OSSIM sử dụng trong quá trình tương quan và cho các nhà phân tích. NFSen/NFDump Netflow là một phần quan trọng của theo dõi hệ thống mạng và rất ích trong quá trình tương quan. NFSen cung cấp một giao diện dựa trên web đồ họa làm việc. Cả NFSen và NFDump đã được tích hợp vào OSSIM và đã được điều chỉnh để làm việc với các công cụ khác. Inprotect Inprotect là thể hiện giao diện trên nền web của Nessus, OpenVAS và Nmap. Inprotect đã được tích hợp vào OSSIM và cung cấp khả năng quét theo mẫu, quét theo lịch và xuất ra kết quả sang các định dạng khác nhau. 4.2.3. Tương quan sự kiện an ninh trong AlienVault OSSIM Sự tương quan liên kết sự kiện an ninh là một trong những tính năng cốt lõi của OSSIM phân biệt nó với IDS/IPS. Nó giúp giảm các cảnh báo giả bằng cách tương quan liên kết nhiều sự kiện an ninh khác nhau và báo động cho các quản trị viên biết và chú ý đến các sự kiện an ninh. Tính năng tương quan bao gồm tương quan chéo và tương quan hợp lý (tương quan Chỉ thị ). Chéo tương quan chỉ làm việc với các sự kiện an ninh đã được xác định IP đích đến bởi vì nó đã kiểm tra các máy chủ đích để xác định xem nó có bất kỳ lỗ hổng không có trong cơ sở dữ liệu và thay đổi giá trị độ tin cậy của sự kiện an ninh phù hợp. Giá trị độ tin cậy của sự kiện an ninh là một trong những số liệu được sử dụng để tính toán rủi ro trong OSSIM. 4.2.4. Đánh giá rủi ro Đánh giá rủi ro là việc làm quan trọng nhằm xác định cái gì là quan trọng cái gì là không? Việc đánh giá rủi ro được coi như là một trợ lý của quá trình ra quyết định.
33
OSSIM tính toán rủi ro cho từng sự kiện an ninh. Việc tính toán này dựa trên ba thông số sau: Giá trị tài sản (Mất bao nhiêu giá trị nếu bị xâm nhập?) Nguy cơ nào sẽ xảy ra? Xác suất xảy ra nó là bao nhiêu? Bản ghi log được cung cấp từ các nguồn dữ liệu khác nhau đến máy chủ OSSIM. Các bản ghi log chuẩn hóa và hiển thị trong giao diện quản lý web như các sự kiện an ninh. Tickets được tự mở hoặc tự động tạo ra trong OSSIM. Để xử lý sự cố, OSSIM sẽ được xem xét báo động, tạo ra một ticket về sự cố có liên quan và gán nó cho thành phần thích hợp. Báo động xảy ra khi giá trị rủi ro của sự kiện an ninh bằng hoặc lớn hơn một giá trị nào đó. Rủi ro được tính toán theo công thức sau: [ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25 = RISK OF THE EVENT(0-10) Trong đó: ASSET VALUE: Giá trị của tài sản. PRIORITY: Độ ưu tiên cho từng sự kiện an ninh. RELIABILITY: Độ tin cậy của sự kiện an ninh. RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh. Các tài sản trong OSSIM có giá trị tài sản từ 0-5. Số càng cao là càng có giá trị tài sản. Tài sản có thể là một nhóm máy chủ, các nhóm máy chủ, mạng và nhóm mạng. Căn cứ vào độ tin cậy có thể để nhận thấy xác suất của một cuộc tấn công. Ví dụ, một giá trị cao (9 hoặc 10) có nghĩa là các cuộc tấn công là có thật. 4.2.5. Các hành động ứng phó sự cố an ninh OSSIM có khả năng ứng phó tự động với các sự kiện an ninh nhất định hoặc thiết lập các ứng phó cho các sự kiện an ninh. Ứng phó bao gồm việc gửi một email tới quản trị viên, đưa ra cảnh báo trên giao diện quản lý hoặc thực hiện một hành động nào đó nhằm ngăn chặn các hành vi vi phạm an ninh. Điều này rất có ích nhưng cũng nguy hiểm bởi chúng ta cấu hình không tốt sẽ gây ra những cảnh báo giả hay đưa ra các hành động không tốt cho hệ thống. 34
4.2.6. Báo cáo trong AlienVault OSSIM AlienVault OSSIM cung cấp công cụ tạo báo cáo một cách trực quan thông qua các biểu đồ và nhiều kiểu báo cáo khác nhau. Bên cạnh đó là khả năng tùy chỉnh, mở rộng và dễ dàng để làm việc tạo các báo cáo tương ứng với mục đích cụ thể theo chuẩn quốc tế.
35
4.3. Thực nghiệm kết quả với AlienVault OSSIM 4.3.1. Lab 1: Tấn công Bruteforce
4.3.2. Lab 2: Tấn công khai thác lỗ hổng bảo mật
4.3.3. Lab 3: Tấn công Ddos botnet
36
Chương 5 KẾT LUẬN
Guidelines: 4. Restate the Thesis Problem, the Thesis Objectives, the Methods used to carry out the Objectives, and ALL corresponding results obtained in Chapter 4. 5. Provide interpretations/perspectives of several MOST important results which you think they are significant and help draw a better picture about the Context of the thesis. 6. Give 1 or 2 future directions/tasks such that, apart from the results obtained in Chapter 4, by undertaking these directions/tasks, one (not just you) can help solve the Thesis Problem, or even to extend it. This helps guide other people to complete/extend your work. Do not write about future works which are FAR related to the Thesis Problem. A good length of this chapter is about 2 pages.
37
TÀI LIỆU THAM KHẢO Tiếng Việt
Tiếng Anh (Ví dụ) [1] ITU, “Internet protocol data communication service – IP packet transfer and availability performance parameters,” ITU-T Recommendation Y.1540, Feb. 1999. [2] IEEE Reference Format [Online] http://www.ieee.org/auinfo03.pdf [3] B. Callaghan, Voices from the Margins: Postmodernism and Latin American Fiction, Master thesis, University College Cork, 1994. [4] H. Schimanski and C. Thanner, “Raiders of the lost ark,” IEEE Trans. Electromagnetic Compatibility, vol. 51, no. 5, pp. 543–547, May 2003. [5] J. Matula and R. Franck, “A case for two,” in Proc. 15th Int. Zurich Symposium and Technical Exhibition on Electromagnetic Compatibility, Zurich, Switzerland, Feb. 2003, vol. 1, pp. 347–350.
38
Guidelines to format the references, in accordance with the IEEE. Journal articles: [6] H. Schimanski and C. Thanner, “Raiders of the lost ark,” IEEE Trans. Electromagn. Compat., vol. 51, no. 5, pp. 543–547, May 2003. Conference papers: [7] J. Matula and R. Franck, “A case for two,” in Proc. 15th Int. Zurich Symp. and Technical Exhibition on Electromagnetic Compatibility, Zurich, Switzerland, Feb. 2003, vol. 1, pp. 347–350. Books: [8] F.T. Ulaby, Fundamentals of Applied Electromagnetics, 2nd edn., Prentice Hall, 2004 Standards: [9] ITU, “Internet protocol data communication service – IP packet transfer and availability performance parameters,” ITU-T Recommendation Y.1540, Feb. 1999. Online: [10] IEEE Reference Format [Online] http://www.ieee.org/auinfo03.pdf Thesis: [11] B. Callaghan, Voices from the Margins: Postmodernism and Latin American Fiction, Master thesis, University College Cork, 1994.
39
Phụ lục A Guidelines: This includes some concepts/materials which are used in the thesis but do not fit with the structures written in the thesis. For examples: 1. While in a previous chapter you wrote about definition of this function and use it to analyse the bit-error-rate performance of a communication system, you may want to explain about the properties of the Q(x) function and how it is used in detection theory. 2. Provide some important MATLAB codes.
40
View more...
Comments
