Slide Notes Event Security Monitoring

Make yourself to be an expert!
Luong Trung Thanh | 25/05/2013 |
thanh.luongtrung@lactien.com
Security Monitoring

Những thay đổi so với phiên bản gốc
1. Giới thiệu OSSIM là gì, và các tính năng.
2. Phần Demo OSSIM cung cấp các link
download và các tài liệu kèm theo.
3. Bổ sung thêm một số Notes đã trình bày
trong hội thảo.

LÝ DO CỦA HỘI THẢO
Nguyên nhân sâu xa:
• Một sự nhầm lẫn
&
• Một cuộc thảo luận … hơi căng thẳng
• Đó là lý do của hội thảo

MONITOR là …

MONITOR
Mục đích:
• Phát hiện những “bất thường”
• Liên tục và gần như là 24/24 x 7 x 365.25
• Cảnh báo & kích hoạt hành động

CÁC BƯỚC …
1. Xác định đối tượng được/bị giám sát
2. Xác định ngưỡng bất thường
3. Phương thức cảnh báo
4. Kích hoạt các hành động tương ứng

Đối tượng
• Mục
đích
giám
sát
Ngưỡng
• Xác
định
ngưỡng
Cảnh báo
• Phương
thức
cảnh
báo
Kích hoạt
• Những
hành
động
• Tài nguyên sử
dụng
• Hoạt động bất
thường
• Email, sms
• Chuông báo động
• Thực thi scripts
• Báo động
• Điểm đặc
trưng của
đối tượng

MINH HỌA
Môi trường
Đối tượng
được/bị chọn
Môi trường được hiểu là môi trường làm việc, hoạt động của doanh nghiệp.
Đối tượng được chọn lựa cho việc giám sát là những tài sản có giá trị mà doanh nghiệp mong
muốn bảo vệ.
Tài sản của doanh nghiệp có thể là những tài sản vô hình hoặc tài sản hữu hình, các thông tin
mật, các kế hoạch kinh doanh, bằng sáng chế, các công thức độc quyền ….

Các đặc tính đặc trưng
Xuân, Hạ, Thu,
Đông sẽ khác
nhau. Nhớ dùm
Các đặc tính đặc trưng của đối tượng: dựa trên các đặc tính này để xác định ngưỡng hoạt động
của đối tượng trong những điều kiện nhất định và phán đoán những bất thường và thiết lập
những cảnh báo.
Các thiết lập cảnh báo thường dựa trên các yếu tố của chính đối tượng được giám sát.
Câu hỏi liên quan tới An ninh: các yếu tố xung quanh có ảnh hưởng hay không? Có thể chịu
đựng được khi có vấn đề về an ninh xảy ra?
Ví dụ: tình trạng cây tốt nhưng liệu có thể đứng vững trước bão?

CHƯƠNG TRÌNH MONITOR
1. MRTG/PRTG
2. Nagios
3. Solarwinds
4. Cola-soft
5. Red-gate (SQL Monitor)
6. Splunk
7. OSSIM
8. ………
Một số chương trình Monitor thường được sử dụng trong doanh nghiệp.

VÍ DỤ DEMO NHỎ
1. Demo 01: Teamviewer
2. Demo 02: Teamviewer
3. Demo 03:
http://oriondemo.solarwinds.com/Orion/Logi
n.aspx?ReturnUrl=%2f
4. Demo 04: http://monitor.red-
gate.com/Configuration/Custom-
Metrics/Edit/11#/?v=1
5. Demo 05: http://demo.opmanager.com/
Nội dung: Phần Demo 01, 02: sử dụng Cola-soft  không thể giám sát trên diện rộng, và không
xác định được mục tiêu cần giám sát, và không trả lời được câu hỏi giám sát cho mục đích gì.
Với Solarwinds: có thể triển khai trên diện rộng nhưng thiết bị không hỗ trợ cho công việc.
Phần Demo 03, 04, 05: các Demo chỉ có giá trị cho việc hoạt động hằng ngày, và không phản
ánh đúng những vấn đề về Security. Đa phần là giám sát các Performance của các thiết bị, ứng
dụng… đó các công việc hằng ngày.

MỘT VÀI NHẬN XÉT
1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích
cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh
(Security)
Nhận xét:
• Sử dụng đúng chương trình để giám sát và nên xác định rõ mục tiêu giám sát và các tiêu chí
(đặc trưng) cần giám sát, quan trọng nhất là: phải tập trung trên các tài sản của công ty/doanh
nghiệp.
• Tạo môi trường cần thiết cho việc giám sát: thiết bị, chương trình, khả năng lưu trữ, quy trình
Audit …
• Xác định mức độ an ninh hiện tại, áp dụng – tuân thủ các chuẩn của doanh nghiệp và mức độ
an ninh mong muốn trong tương lai.
• Security monitoring cần phải trả lời được các câu hỏi:
• Mức độ an ninh cho hệ thống đã đủ chưa?
• Khả năng (%) bị tấn công / khả năng (%) phát hiện tấn công như thế nào?
• Cần phải (các hành động) làm gì để duy trì / đạt được mức độ an ninh mong
muốn?
• Số lượng các bản vá (patch) / các Migrate Control được triển khai?

MỘT VÀI NHẬN XÉT
1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích
cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh
(Security)
Nhận xét:
• Công việc hằng ngày là một công việc đòi hỏi sự giám sát rất chi tiết, phản ảnh trực tiếp
những ‘điểm yếu’ của hệ thống
• Một số công việc hằng ngày không phản ảnh đến mức độ an ninh: chẳng hạn như việc thực
hiện một Backup có thể chiếm tài nguyên quá nhiều, xử lý các truy vấn quá nặng, hoặc đang
thử nghiệm một chương trình nào đó, hoặc sự cố đứt cáp quang … Đó là những công việc
quan trọng và có ảnh hưởng đến công việc doanh nghiệp nhưng thực tế không phản ánh đúng
mức về An ninh.

Thế nào là giám sát an ninh …
1. Đoạn phim 01:
Đoạn phim Eagle Eye: phầm mở đầu – hệ thống giám sát và phân tích nhận dạng, hỗ trợ ra quyết
định.
• Việc phân tích của hệ thống giám sát đòi hỏi kỹ năng và nghiệp vụ cao và không được đề cập
trong hội thảo này.
• Những phân tích của Monitoring được sử hỗ trợ cấu hình từ các dịch vụ khác như Snort,
Firewall, Database … và được đánh giá dựa trên các Risk Assessment của doanh nghiệp.

Thế nào là giám sát an ninh …
2. Đoạn phim 02:

SECURITY MONITORING
1. Security monitoring không chỉ là:
• Giám sát hệ thống mạng
• Giám sát hoạt động của các chương trình/ứng
dụng
• Giám sát các hoạt động trên hệ thống mạng
• Theo dõi tình trạng các phiên bản OS, patch, hệ
điều hành …

2. mà còn bao gồm:
• Các hoạt động liên quan tới dữ liệu (chống rò rỉ
dữ liệu)
• Tuân thủ các chính sách đề ra (Compliance)
• Số lượng các lỗ hổng/các bản vá triển khai…
• Đào tạo nhận thức/chuyên môn

OSSIM
1) Một giải pháp SIEM (Security Information &
Event Management)
2) Dựa trên mã nguồn mở (phiên bản 4 là phiên
bản thương mại).
3) Hỗ trợ các công cụ Security
4) Trực quan và thực sự là một hệ thống giám
sát an ninh.
Giới thiệu:
• OSSIM là dự án thử nghiệm của Ngân hàng Đông Á – trước đây Ngân hàng Đông Á sử
dụng Splunk, có thể search trên Google, blog của Dương Ngọc Thái.
• Đây là một giải pháp
• Kết hợp với nhiều công cụ Security của mã nguồn mở, cũng như có các Plug-in hỗ trợ các
thiết bị phần cứng khác.

SƠ LƯỢC CÁC THÀNH PHẦN
OSSIM
SENSOR
ASSETS
COMPLIANCE
RISK
ASSESSMENT
INCIDENT
RESPONSE
KNOWLEDGE
BASE
Thành phần quan trọng của OSSIM:
• Assets: quản lý các Assets và tiến hành quét các lỗ hổng (Vulnerabilities), xây dựng một
Risk Assessment.
• Sensor: hỗ trợ các Sensor từ các thiết bị, phần mềm Security khác như Snort, HIPS (host
intrusion prevention), Firewall …
• Compliance: hỗ trợ áp dụng các tuân thủ các chuẩn an ninh ‘quốc tế’ như ISO 27001 hoặc
PCI DSS
• Incident Response: quản lý các công việc phản ứng khi có sự cố, đồng thời giao việc cho
các đối tượng phù hợp (bao gồm nhóm)
• Knowledge Base: tổng hợp tri thức để cải thiện hệ thống.

SƠ LƯỢC CÁC THÀNH PHẦN (2)
1. Sensor: các thành phần của IPS, IDS, HIPS…
như Snort, OSSec, ….
2. Asset:quản lý các tài sản cũng như việc xác
định các các nguy cơ trên các tài sản
3. Compliance: hỗ trợ việc thực thi các chính
sách theo tiêu chuẩn ISO 27000 và PCI DSS

4. Risk Assessment và quản lý việc thực thi các
Incident Response dựa trên các Ticket và
Alarm.
5. Tổng hợp tri thức (Knowledge Base)
6. Report trực quan
SƠ LƯỢC CÁC THÀNH PHẦN (3)

DEMO OSSIM
1. Link download:
• 32 bit:
http://data.alienvault.com/alienvault_open_sourc
e_siem_3.1_32bits.iso
• 64 bit:
http://data.alienvault.com/alienvault_open_sourc
e_siem_3.1_64bits.iso
2. OSSIM alientvault: là một Appliance, cài đặt
như một hệ điều hành Linux thông thường.

DEMO OSSIM
2. Tài liệu tham khảo:
• Install Guide:
• https://www.alienvault.com/wiki//doku.php?id=installation
• Deployment Guide:
• https://bloomfire-
production.s3.amazonaws.com/crocodoc_documents/237216
/original/OSSIM_Secure_Deployment_Guide_-
_Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2R
ZDA&Expires=2147385600&Signature=yF%2B%2Bg3map
pcu%2FSDNep8AmvVi70Y%3D&response-content-
disposition=attachment

DEMO OSSIM
3. Forum chính thức:
• https://www.alienvault.com/forum/index.php
4. Notes: tài khoản đăng nhập khi cài đặt
OSSIM hoàn tất, admin/admin.

• Patch,
updates
• Zero-
day
• Chính
sách
• Camera
Môi
trường
Tuân
thủ
Hệ
thống
Ứng
dụng
Môi trường: có nhiều giải pháp giám sát trên môi trường, Camera chỉ là một trong số đó, ngoài
ra còn có các việc thực hiện kiểm soát như bảo vệ…
Tuân thủ: tuân thủ theo đúng các quy định được đề ra như ISO 27001 hoặc PCI DSS; việc thực
thi tuân thủ áp dụng trên các thiết bị, máy tính, đào tạo, kiểm soát rủi ro.
Hệ thống: bao gồm toàn bộ các quy trình, chính sách, hệ thống mạng, ứng dụng …
Patch/update: muốn chỉ đến các phần bổ sung, kiến thức cập nhật dành cho toàn hệ thống, không
chỉ định riêng cho hệ thống mạng hoặc các OS.
Ứng dụng: Zero-day – chỉ định những cách thức tấn công mới cần các hành động phán đoán,
ngăn chặn trước bằng cách sử dụng lại các tri thức được tổng hợp. Nói một cách khác Zero-day
là điểm mù của hệ thống giám sát an ninh nên cần có các biện pháp kiểm soát.

SUY XÉT
 Privacy là vấn đề cần quan tâm
 Sự chấp nhận/đồng thuận của người dùng
 Chi phí cho việc thực hiện
 Quy trình
 Nhân tố con người
Các vấn đề thực sự quan tâm:
• Yếu tố con người: nhân lực thực hiện, trình độ và sự chấp nhận của người dùng.
• Privacy – đây là phạm trù của luật.
• Sử dụng các giải pháp rời rạc không gắn kết với nhau là một nguy cơ, và vấn đề sẽ phát sinh
khi hệ thống lớn và ngày càng phải quản lý nhiều hơn.
• Chi phí ẩn: việc lưu trữ theo đúng quy định của công ty (ổ cứng, các thiết bị dự phòng …)

DETECT chỉ là PHÁT HIỆN
 Thử thách:
 VIRUS < > I V U R S
 Khả năng phán đoán và ra quyết định
 Phân tích Logs / Events:
 Kỹ năng
 Phản ứng nhanh
 ……

VIDEO
1) Tuân thủ chính sách:
2) …cần update công nghệ: link
Phim Batman – Dark knight: (phút từ 31 – 35) thể hiện việc thực thi chính sách (giữ điện thoại
của khách), khả năng bypass qua các Policy khi đi chung với ‘sếp’. Đoạn phim thứ hai cho biết
việc thực thi đúng theo quy trình (giữ điện thoại khi khách không nhận lại)  nhưng điện thoại
đó là một thiết bị lạ và thực hiện hành động lạ (ra lệnh tắt điện tòa nha).
Điện thoại có thể Scan lại sơ đồ tòa nhà (update về công nghệ)

NHỮNG GÌ BẠN CẦN
1) Quy trình và sự khác biệt của riêng.
2) Xây dựng giám sát an ninh đến mức độ nào:
• Detect
• Response
• Prevent
3) Kế hoạch hành động ngay từ bây giờ

Q & A

LỜI CẢM ƠN
1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud
2) Nguyễn Hải Long – trình bày Demo OSSIM
3) Lê Vĩnh Đạt và công ty Optimum – cung cấp
tài nguyên Lab cho Cloud
4) Nguyễn Phương Trường Anh, Phạm Ta Ni,
Nguyễn Chấn Việt, Nguyễn Hải Long, Trần
Chí Cần – nội dung thảo luận tiền đề cho hội
thảo.

Slide Notes Event Security Monitoring

Recomendados

Recomendados

Más contenido relacionado

Similar a Slide Notes Event Security Monitoring

Similar a Slide Notes Event Security Monitoring (20)

Más de Luong Trung Thanh

Más de Luong Trung Thanh (12)

Último

Último (20)

Slide Notes Event Security Monitoring