Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN

20% DN không biết mình có bị tấn công hay không

Theo khảo sát của Chi hội An toàn thông tin (ATTT) phía nam (VNISA phía nam), hiện chỉ có khoảng 1/3 số DN có khả năng nhận biết tiến công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng. Đặc biệt, có đến 20% tổ chức không biết mình có bị tấn công hay không. Bên cạnh đó, hầu hết các tổ chức đều có nhân sự chuyên trách cho công tác bảo đảm ATTT (77%) hoặc bán chuyên trách (51%), nhưng số lượng thực tế vẫn còn quá ít với đa số chỉ có từ 1-2 người (gần 50% yêu cầu).

Do đó, theo ý kiến của các chuyên gia về ATTT, để có thể đánh giá khái quát về bức tranh ATTT của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. 

Chưa kể đến, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời… gây thiệt hại lớn cho cơ quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi, giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống SIEM (Security Information and Event Management). Giải pháp này sẽ giúp quản lý nhật ký (log) trong toàn thể hệ thống của DN một cách tập trung, thay vì phải quản lý thủ công từng thiết bị một.

Nhờ đó, khi triển khai SIEM, hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Đồng thời, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. 

Tuy nhiên, SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của DN như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của DN.

Ngoài ra, SIEM còn cho thấy sự tương quan sự kiện giữa các thiết bị bằng cách kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách ly chúng ra một mạng riêng và xử lí cuộc tấn công.

Do đó, với các DN, hệ thống SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này. Vì vậy, hệ thống SIEM cực kì cần thiết đối với các cơ quan nhà nước, ngân hàng, các DN tài chính, các tập đoàn công nghệ…

Tuy nhiên, các chuyên gia ATTT cũng lưu ý, SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus, mà chỉ là một thành phần trong hệ sinh thái giám sát ATTT cho DN. Bởi vì, khi sử dụng SIEM độc lập sẽ không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.

Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN

Hệ thống VCS-CyM do Viettel làm chủ hiện được nhiều cơ quan sử dụng với tính hiệu quả cao.

Ra đời dựa trên nhu cầu của các hệ thống thông tin tại Việt Nam

Theo Công ty An ninh mạng Viettel (VCS), việc đối phó với các cuộc tấn công quy mô lớn, kỹ thuật tinh vi gặp nhiều khó khăn khi các giải pháp kỹ thuật cũ gần như đã bị qua mặt, trong khi đó các sản phẩm mới trên thế giới lại chưa phù hợp với tình hình thực tế tại Việt Nam.

Trước thực trạng đó, VCS đã xác định làm chủ công nghệ, tự lực, tự cường xây dựng hệ sinh thái sản phẩm phục vụ quá trình giám sát ATTT, phát hiện sớm các bất thường, các cuộc tấn công nhắm vào các hệ thống quan trọng tại Việt Nam.

Từ đó, giải pháp SIEM VCS-CyM 'Make in Viet Nam' của Viettel được xây dựng và phát triển 100% bởi các kỹ sư người Việt, dựa theo nhu cầu của các hệ thống thông tin tại Việt Nam. Toàn bộ công nghệ đều do Viettel tự phát triển, làm chủ và được vận hành bởi đội ngũ chuyên gia ATTT tại VCS.

Giải pháp này thuộc nhóm sản phẩm CyM Security Information and Event Management, là 1 trong những giải pháp quan trọng của Trung tâm Điều hành giám sát, xử lý sự cố ATTT (SOC) của VCS. Giải pháp VCS-CyM có 3 tầng xử lý dữ liệu gồm: Tầng Data Source thu thập dữ liệu từ các thiết bị, ứng dụng; Tầng SIEM Analysis giúp chuẩn hoá, làm mịn, phân loại và phân tích tương quan dữ liệu để phát hiện bất thường, tấn công, vi phạm chính sách; Tầng SIEM Console để tương tác với người dùng, hỗ trợ xử lý cảnh báo, điều tra thông tin từ hệ thống.

VCS-CyM phù hợp với khách hàng DN, cơ quan ban ngành để giám sát các hệ thống CNTT quan trọng của DN, hạ tầng trọng yếu quốc gia qua đó giúp chuẩn hoá và phân tích các sự kiện ATTT, giúp phát hiện sớm các cuộc tấn công mạng, các cuộc tấn công có chủ đích vào hệ thống DN. Hiện tại, VCS-CyM đang được sử dụng để giám sát cho nhiều hệ thống quan trọng của quốc gia. Một số khách hàng tiêu biểu của VCS-CyM bao gồm Vietnam Airlines, Vietcombank, MBBank….

Sản phẩm VCS-CyM có những ưu điểm, lợi thế bao gồm: Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng như máy chủ, ứng dụng, thiết bị; Giám sát theo thời gian thực; Quản lý tập trung; Linh hoạt với nhiều mô hình tổ chức; Tri thức về ATTT được cập nhật liên tục; Kiến trúc triển khai mềm dẻo, dễ mở rộng theo quy mô của hệ thống. 

'VCS-CyM còn cho phép xử lý lên đến 100.000 EPS (sự kiện/giây), dễ dàng mở rộng theo chiều ngang và được tích hợp với hệ thống Giám sát an toàn không gian mạng quốc gia', theo VCS. 

Mới đây, Bộ TT&TT đã ban hành 'Yêu cầu kỹ thuật có bản đối với sản phẩm quản lý và phân tích sự kiện ATTT' tại Quyết định số 1127/QĐ-BTTTT ngày 30/7/2021. Theo đó, các yêu cầu kỹ thuật cơ bản đối với sản phẩm Quản lý và phân tích sự kiện ATTT (SIEM) bao gồm: Yêu cầu về tài liệu; Yêu cầu về quản trị hệ thống; Yêu cầu về kiểm soát lỗi; Yêu cầu về log; Yêu cầu về hiệu năng xử lý; Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phân tích tương quan sự kiện và cảnh báo.

Quyết định này cũng khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm SIEM đáp ứng các yêu cầu kỹ thuật cơ bản. Cục ATTT, Bộ TT&TT chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu.

Theo Cục ATTT, việc ban hành các yêu cầu kỹ thuật cơ bản này là một nội dung thực hiện nhiệm vụ đã được lãnh đạo Bộ TT&TT chỉ đạo, đó là đưa ra các yêu cầu kỹ thuật cơ bản cho 11 sản phẩm ATTT trong nước.

Cũng theo Cục ATTT, để xây dựng yêu cầu kỹ thuật cơ bản cho từng sản phẩm cụ thể, cơ quan này đã nghiên cứu, lựa chọn các tiêu chuẩn quốc tế như ISO/IEC, bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới như NIST, Gartner, ICSA Labs, ECSEC Laboratory. Bên cạnh đó, nhằm bảo đảm tính phù hợp và khả thi áp yêu cầu kỹ thuật đối với sản phẩm ATTT trong nước, Cục ATTT đã tổ chức làm việc với các DN trong nước để lựa chọn các yêu cầu an toàn phù hợp./.

TIN LIÊN QUAN

Dự kiến 180 đội sẽ tham gia cuộc thi sinh viên với ATTT ASEAN 2021

Điểm mới của cuộc thi năm nay là giải thưởng dành cho các đội đạt giải cao vòng Chung khảo với các voucher tham gia các kỳ thi, khóa học về ATTT chất lượng cao.

Cần diễn tập ATTT thực chiến với phương thức, phạm vi, tính chất mới

Bộ TTTT đã ban hành Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 về việc tổ chức triển khai diễn tập thực chiến bảo đảm ATTT mạng.

Mikko Hypponen - “huyền thoại” của làng bảo mật thế giới sắp tới Việt Nam

Cuộc cách mạng công nghiệp lần thứ 4 (CMCN 4.0) mang đến cho Việt Nam vô vàn cơ hội nhưng cũng có rất nhiều thách thức.

Số vụ tấn công mạng ở Việt Nam đã giảm nhưng mức độ tinh vi, thiệt hại lớn hơn nhiều

Theo ông Hoàng Minh Tiến, Phó Cục trưởng Cục ATTT Bộ TTTT, số lượng tấn công mạng vào Việt Nam trong 6 tháng đầu năm 2021 đã giảm 244 cuộc so với cùng kỳ năm 2019, nhưng mức độ tinh vi và thiệt hại lớn hơn nhiều.

Đảm bảo ATTT cho các hệ thống phòng, chống dịch: Cần sự chung tay của cộng đồng

Bảo vệ an toàn dữ liệu và thông tin cá nhân của người dân là một trong những ưu tiên hàng đầu của các nhà phát triển ứng dụng, nền tảng phòng chống Covid-19.

4 rào cản cần vượt qua để tạo lập niềm tin số tại Việt Nam

Trong bối cảnh đại dịch COVID-19 diễn biến phức tạp, sự thay đổi trong phương thức hoạt động của doanh nghiệp DN, xu hướng đẩy nhanh số hóa các quy trình kinh doanh, gia tăng sử dụng các thiết bị di động và IoT, và mở rộng điện toán đám mây đang

52% tổ chức, doanh nghiệp chi trả tiền chuộc cho tấn công ransomware

Theo một cuộc khảo sát gần đây, khi các cuộc tấn công bằng mã độc tống tiền ransomware ngày càng thường xuyên, hơn một nửa số tổ chức được nhắm mục tiêu tại 7 thị trường lớn đã buộc phải chi trả tiền chuộc.

Để không trở thành nạn nhân của lừa đảo trực tuyến, người dùng cần biết?

Thời gian qua đã xuất hiện nhiều vụ lừa đảo trực tuyến trên không gian mạng lợi dụng tình hình dịch Covid-19, gây hoang mang cho nhiều người, làm ảnh hưởng trật tự, an toàn xã hội.

THỦ THUẬT HAY

Hướng dẫn làm USB Boot chuẩn Legacy và UEFI với DLCBoot 2017 v3.4

Dù bạn là một kỹ thuật viên máy tính hay sửa Windows dạo, hoặc chỉ đơn thuần là người thích vọc vạch thì USB cứu hộ vẫn là một thứ không thể thiếu được. Hôm nay, TECHRUM sẽ hướng dẫn các bạn cách để tạo một chiếc USB

Unfold, ứng dụng giúp sáng tạo các nội dung Story trên Facebook

Nếu thường xuyên chia sẻ các nội dung Story lên Instagram hay Facebook thì Unfold, ứng dụng giúp giúp việc sáng tạo các nội dung Story của bạn thêm phần sinh động hơn sẽ là trợ thủ đắc lực dành cho bạn.

Hướng dẫn xóa mật khẩu trên điện thoại Oppo không mất dữ liệu

Trong dòng đời tấp nập, đôi lúc vừa thay đổi mật khẩu điện thoại xong bạn lại quên bén đi. Vậy khi gặp tình huống này thì phải làm như thế nào? Đừng quá lo lắng, ngay bây giờ mình sẽ hướng dẫn bạn cách xóa mật khẩu

Cách sử dụng cùng lúc 2 tài khoản Facebook, Zalo, Instagram trên smartphone

Clone Master là một ứng dụng rất tốt để giải quyết vấn đề cho bạn. App sẽ tạo ra một bản sao của từng ứng dụng như Facebook, Instagram, Zalo,... tuỳ theo người dùng lựa chọn, để sử dụng nick thứ 2 song song mà không cần

Kiếm thêm 2Gb dung lượng lưu trên trên Drive trong 3 nốt nhạc

Chỉ với một vài bước đơn giản nhân ngày Safer Internet Day 2016, người dùng sẽ được sở hữu thêm 2Gb dung lượng lưu trữ trên mây của Google.

ĐÁNH GIÁ NHANH

Trên tay Jabra 710 - loa chuyên dùng cho thoại hội nghị

Nếu bạn thường xuyên phải họp hội nghị qua điện thoại, hoặc thường xuyên nghe điện thoại bằng loa ngoài (speaker phone) thì loa Jabra 710 này có khả năng đáp ứng được nhu cầu của bạn.

Đánh giá Asus UX310UA. "Siêu mẫu" dành cho doanh nhân

Asus UX310UA, dòng sản phẩm Ultrabook thuộc phân khúc cao cấp được thiết kế dành cho doanh nhân, những người thường xuyên di chuyển. Dưới đây mình sẽ đánh giá chi tiết sau vài ngày trải nghiệm sản phẩm.

Trên tay và đánh giá nhanh Gionee S6s: Cứng cáp, sang trọng

Là chiếc điện thoại tầm trung mới nhất từ Gionee, S6s có thiết kế sang trọng, cứng cáp và cấu hình tốt, hứa hẹn mang đến trải nghiệm chất lượng cho người dùng.