Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN

20% DN không biết mình có bị tấn công hay không

Theo khảo sát của Chi hội An toàn thông tin (ATTT) phía nam (VNISA phía nam), hiện chỉ có khoảng 1/3 số DN có khả năng nhận biết tiến công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng. Đặc biệt, có đến 20% tổ chức không biết mình có bị tấn công hay không. Bên cạnh đó, hầu hết các tổ chức đều có nhân sự chuyên trách cho công tác bảo đảm ATTT (77%) hoặc bán chuyên trách (51%), nhưng số lượng thực tế vẫn còn quá ít với đa số chỉ có từ 1-2 người (gần 50% yêu cầu).

Do đó, theo ý kiến của các chuyên gia về ATTT, để có thể đánh giá khái quát về bức tranh ATTT của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. 

Chưa kể đến, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời… gây thiệt hại lớn cho cơ quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi, giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống SIEM (Security Information and Event Management). Giải pháp này sẽ giúp quản lý nhật ký (log) trong toàn thể hệ thống của DN một cách tập trung, thay vì phải quản lý thủ công từng thiết bị một.

Nhờ đó, khi triển khai SIEM, hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Đồng thời, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. 

Tuy nhiên, SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của DN như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của DN.

Ngoài ra, SIEM còn cho thấy sự tương quan sự kiện giữa các thiết bị bằng cách kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách ly chúng ra một mạng riêng và xử lí cuộc tấn công.

Do đó, với các DN, hệ thống SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này. Vì vậy, hệ thống SIEM cực kì cần thiết đối với các cơ quan nhà nước, ngân hàng, các DN tài chính, các tập đoàn công nghệ…

Tuy nhiên, các chuyên gia ATTT cũng lưu ý, SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus, mà chỉ là một thành phần trong hệ sinh thái giám sát ATTT cho DN. Bởi vì, khi sử dụng SIEM độc lập sẽ không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.

Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN

Hệ thống VCS-CyM do Viettel làm chủ hiện được nhiều cơ quan sử dụng với tính hiệu quả cao.

Ra đời dựa trên nhu cầu của các hệ thống thông tin tại Việt Nam

Theo Công ty An ninh mạng Viettel (VCS), việc đối phó với các cuộc tấn công quy mô lớn, kỹ thuật tinh vi gặp nhiều khó khăn khi các giải pháp kỹ thuật cũ gần như đã bị qua mặt, trong khi đó các sản phẩm mới trên thế giới lại chưa phù hợp với tình hình thực tế tại Việt Nam.

Trước thực trạng đó, VCS đã xác định làm chủ công nghệ, tự lực, tự cường xây dựng hệ sinh thái sản phẩm phục vụ quá trình giám sát ATTT, phát hiện sớm các bất thường, các cuộc tấn công nhắm vào các hệ thống quan trọng tại Việt Nam.

Từ đó, giải pháp SIEM VCS-CyM 'Make in Viet Nam' của Viettel được xây dựng và phát triển 100% bởi các kỹ sư người Việt, dựa theo nhu cầu của các hệ thống thông tin tại Việt Nam. Toàn bộ công nghệ đều do Viettel tự phát triển, làm chủ và được vận hành bởi đội ngũ chuyên gia ATTT tại VCS.

Giải pháp này thuộc nhóm sản phẩm CyM Security Information and Event Management, là 1 trong những giải pháp quan trọng của Trung tâm Điều hành giám sát, xử lý sự cố ATTT (SOC) của VCS. Giải pháp VCS-CyM có 3 tầng xử lý dữ liệu gồm: Tầng Data Source thu thập dữ liệu từ các thiết bị, ứng dụng; Tầng SIEM Analysis giúp chuẩn hoá, làm mịn, phân loại và phân tích tương quan dữ liệu để phát hiện bất thường, tấn công, vi phạm chính sách; Tầng SIEM Console để tương tác với người dùng, hỗ trợ xử lý cảnh báo, điều tra thông tin từ hệ thống.

VCS-CyM phù hợp với khách hàng DN, cơ quan ban ngành để giám sát các hệ thống CNTT quan trọng của DN, hạ tầng trọng yếu quốc gia qua đó giúp chuẩn hoá và phân tích các sự kiện ATTT, giúp phát hiện sớm các cuộc tấn công mạng, các cuộc tấn công có chủ đích vào hệ thống DN. Hiện tại, VCS-CyM đang được sử dụng để giám sát cho nhiều hệ thống quan trọng của quốc gia. Một số khách hàng tiêu biểu của VCS-CyM bao gồm Vietnam Airlines, Vietcombank, MBBank….

Sản phẩm VCS-CyM có những ưu điểm, lợi thế bao gồm: Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng như máy chủ, ứng dụng, thiết bị; Giám sát theo thời gian thực; Quản lý tập trung; Linh hoạt với nhiều mô hình tổ chức; Tri thức về ATTT được cập nhật liên tục; Kiến trúc triển khai mềm dẻo, dễ mở rộng theo quy mô của hệ thống. 

'VCS-CyM còn cho phép xử lý lên đến 100.000 EPS (sự kiện/giây), dễ dàng mở rộng theo chiều ngang và được tích hợp với hệ thống Giám sát an toàn không gian mạng quốc gia', theo VCS. 

Mới đây, Bộ TT&TT đã ban hành 'Yêu cầu kỹ thuật có bản đối với sản phẩm quản lý và phân tích sự kiện ATTT' tại Quyết định số 1127/QĐ-BTTTT ngày 30/7/2021. Theo đó, các yêu cầu kỹ thuật cơ bản đối với sản phẩm Quản lý và phân tích sự kiện ATTT (SIEM) bao gồm: Yêu cầu về tài liệu; Yêu cầu về quản trị hệ thống; Yêu cầu về kiểm soát lỗi; Yêu cầu về log; Yêu cầu về hiệu năng xử lý; Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phân tích tương quan sự kiện và cảnh báo.

Quyết định này cũng khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm SIEM đáp ứng các yêu cầu kỹ thuật cơ bản. Cục ATTT, Bộ TT&TT chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu.

Theo Cục ATTT, việc ban hành các yêu cầu kỹ thuật cơ bản này là một nội dung thực hiện nhiệm vụ đã được lãnh đạo Bộ TT&TT chỉ đạo, đó là đưa ra các yêu cầu kỹ thuật cơ bản cho 11 sản phẩm ATTT trong nước.

Cũng theo Cục ATTT, để xây dựng yêu cầu kỹ thuật cơ bản cho từng sản phẩm cụ thể, cơ quan này đã nghiên cứu, lựa chọn các tiêu chuẩn quốc tế như ISO/IEC, bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới như NIST, Gartner, ICSA Labs, ECSEC Laboratory. Bên cạnh đó, nhằm bảo đảm tính phù hợp và khả thi áp yêu cầu kỹ thuật đối với sản phẩm ATTT trong nước, Cục ATTT đã tổ chức làm việc với các DN trong nước để lựa chọn các yêu cầu an toàn phù hợp./.

TIN LIÊN QUAN

Dự kiến 180 đội sẽ tham gia cuộc thi sinh viên với ATTT ASEAN 2021

Điểm mới của cuộc thi năm nay là giải thưởng dành cho các đội đạt giải cao vòng Chung khảo với các voucher tham gia các kỳ thi, khóa học về ATTT chất lượng cao.

Cần diễn tập ATTT thực chiến với phương thức, phạm vi, tính chất mới

Bộ TTTT đã ban hành Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 về việc tổ chức triển khai diễn tập thực chiến bảo đảm ATTT mạng.

Mikko Hypponen - “huyền thoại” của làng bảo mật thế giới sắp tới Việt Nam

Cuộc cách mạng công nghiệp lần thứ 4 (CMCN 4.0) mang đến cho Việt Nam vô vàn cơ hội nhưng cũng có rất nhiều thách thức.

Số vụ tấn công mạng ở Việt Nam đã giảm nhưng mức độ tinh vi, thiệt hại lớn hơn nhiều

Theo ông Hoàng Minh Tiến, Phó Cục trưởng Cục ATTT Bộ TTTT, số lượng tấn công mạng vào Việt Nam trong 6 tháng đầu năm 2021 đã giảm 244 cuộc so với cùng kỳ năm 2019, nhưng mức độ tinh vi và thiệt hại lớn hơn nhiều.

Đảm bảo ATTT cho các hệ thống phòng, chống dịch: Cần sự chung tay của cộng đồng

Bảo vệ an toàn dữ liệu và thông tin cá nhân của người dân là một trong những ưu tiên hàng đầu của các nhà phát triển ứng dụng, nền tảng phòng chống Covid-19.

4 rào cản cần vượt qua để tạo lập niềm tin số tại Việt Nam

Trong bối cảnh đại dịch COVID-19 diễn biến phức tạp, sự thay đổi trong phương thức hoạt động của doanh nghiệp DN, xu hướng đẩy nhanh số hóa các quy trình kinh doanh, gia tăng sử dụng các thiết bị di động và IoT, và mở rộng điện toán đám mây đang

52% tổ chức, doanh nghiệp chi trả tiền chuộc cho tấn công ransomware

Theo một cuộc khảo sát gần đây, khi các cuộc tấn công bằng mã độc tống tiền ransomware ngày càng thường xuyên, hơn một nửa số tổ chức được nhắm mục tiêu tại 7 thị trường lớn đã buộc phải chi trả tiền chuộc.

Để không trở thành nạn nhân của lừa đảo trực tuyến, người dùng cần biết?

Thời gian qua đã xuất hiện nhiều vụ lừa đảo trực tuyến trên không gian mạng lợi dụng tình hình dịch Covid-19, gây hoang mang cho nhiều người, làm ảnh hưởng trật tự, an toàn xã hội.

THỦ THUẬT HAY

Cách tải Rom Xiaomi về điện thoại đơn giản và nhanh chóng nhất (Update 2023)

Up Rom Xiaomi là một trong những thao tác cần thiết giúp người dùng dễ sử dụng hơn như: Tối ưu hoá giao diện, cảm biến vân tay, theo dõi sức khoẻ, nâng cao bảo mật,... và rất nhiều tính năng nổi bật khác. Vì vậy, trong

Cách đồng bộ hóa dữ liệu Y tế iCloud trong iOS 11

Bây giờ, Apple cho phép bạn đồng bộ dữ liệu sức khỏe của bạn ở iCloud trong iOS 11 trên iPhone và iPad.

7 lựa chọn miễn phí thay thế tốt nhất cho Google Now Launcher mà bạn nên thử qua

Google Now Launcher là bộ giao diện được nhiều người yêu thích bởi sự nhẹ nhàng và thuần gốc nhất. Tuy nhiên, theo một số thông tin thì trong thời gian tới Google sẽ gỡ bỏ hoàn toàn launcher này ra khỏi kho ứng dụng

Cách làm thanh taskbar Windows 10 trong suốt trong tích tắc

Trên Windows 10, Microsoft không cho phép người dùng làm thanh taskbar trong suốt hoàn toàn như Win 7 được. Tuy nhiên, mình xin hướng dẫn các bạn...

Thông tin SMTP, IMAP và POP của các nhà cung cấp

Với sự ra đời của công nghệ di đọng việc sử dụng hòm thư điện tử khá phổ biến sau đây TCN sẽ cung cấp cho các bạn thông tin SMTP/POP3/IMAP của các nhà dịch vụ internet lớn hiện nay

ĐÁNH GIÁ NHANH

Đánh giá chi tiết Asus Zenbook UX330UA giá 750 USD

Thiết kế của Asus ZenBook UX330UA không giống với người tiền nhiệm UX305UA. Nó mỏng hơn 1/10 inch và chỉ nặng 1,18 kg nhưng bạn sẽ không nhận thấy sự khác biệt này nếu không đặt hai chiếc laptop ở cạnh nhau.

Trên tay Sharp R1, R1s và Pi với mức giá lần lượt là 4.3tr, 4.8tr và 3tr

R1s là chiếc máy đắt nhất trong 3 máy với điểm nhấn là camera kép và viên pin lên đến 5000mAh. R1 là phiên bản rút rọn của R1s, không có camera kép nhưng vẫn sở hữu viên pin lớn 4000mAh.