slide notes event security monitoring

Make yourself to be an expert!

Luong Trung Thanh | 25/05/2013 |

[email protected]

Security Monitoring


Những thay đổi so với phiên bản gốc

1. Giới thiệu OSSIM là gì, và các tính năng.

2. Phần Demo OSSIM cung cấp các link

download và các tài liệu kèm theo.

3. Bổ sung thêm một số Notes đã trình bày

trong hội thảo.


LÝ DO CỦA HỘI THẢO

Nguyên nhân sâu xa:

• Một sự nhầm lẫn

&

• Một cuộc thảo luận … hơi căng thẳng

• Đó là lý do của hội thảo


MONITOR là …


MONITOR

Mục đích:

• Phát hiện những “bất thường”

• Liên tục và gần như là 24/24 x 7 x 365.25

• Cảnh báo & kích hoạt hành động


CÁC BƯỚC …

1. Xác định đối tượng được/bị giám sát

2. Xác định ngưỡng bất thường

3. Phương thức cảnh báo

4. Kích hoạt các hành động tương ứng


Đối tượng

• Mụcđíchgiámsát

Ngưỡng

• Xácđịnhngưỡng

Cảnh báo

• Phươngthứccảnhbáo

Kích hoạt

• Nhữnghànhđộng

• Tài nguyên sửdụng

• Hoạt động bấtthường

• Email, sms• Chuông báo động

• Thực thi scripts• Báo động

• Điểm đặctrưng củađối tượng


MINH HỌA

Môi trường

Đối tượngđược/bị chọn

Môi trường được hiểu là môi trường làm việc, hoạt động của doanh nghiệp.

Đối tượng được chọn lựa cho việc giám sát là những tài sản có giá trị mà doanh nghiệp mong

muốn bảo vệ.

Tài sản của doanh nghiệp có thể là những tài sản vô hình hoặc tài sản hữu hình, các thông tin

mật, các kế hoạch kinh doanh, bằng sáng chế, các công thức độc quyền ….


Các đặc tính đặc trưng

Xuân, Hạ, Thu, Đông sẽ khác

nhau. Nhớ dùm

Các đặc tính đặc trưng của đối tượng: dựa trên các đặc tính này để xác định ngưỡng hoạt động

của đối tượng trong những điều kiện nhất định và phán đoán những bất thường và thiết lập

những cảnh báo.

Các thiết lập cảnh báo thường dựa trên các yếu tố của chính đối tượng được giám sát.

Câu hỏi liên quan tới An ninh: các yếu tố xung quanh có ảnh hưởng hay không? Có thể chịu

đựng được khi có vấn đề về an ninh xảy ra?

Ví dụ: tình trạng cây tốt nhưng liệu có thể đứng vững trước bão?


CHƯƠNG TRÌNH MONITOR

1. MRTG/PRTG

2. Nagios

3. Solarwinds

4. Cola-soft

5. Red-gate (SQL Monitor)

6. Splunk

7. OSSIM

8. ………

Một số chương trình Monitor thường được sử dụng trong doanh nghiệp.


VÍ DỤ DEMO NHỎ1. Demo 01: Teamviewer

2. Demo 02: Teamviewer

3. Demo 03:

http://oriondemo.solarwinds.com/Orion/Logi

n.aspx?ReturnUrl=%2f

4. Demo 04: http://monitor.red-

gate.com/Configuration/Custom-

Metrics/Edit/11#/?v=1

5. Demo 05: http://demo.opmanager.com/

Nội dung: Phần Demo 01, 02: sử dụng Cola-soft không thể giám sát trên diện rộng, và không

xác định được mục tiêu cần giám sát, và không trả lời được câu hỏi giám sát cho mục đích gì.

Với Solarwinds: có thể triển khai trên diện rộng nhưng thiết bị không hỗ trợ cho công việc.

Phần Demo 03, 04, 05: các Demo chỉ có giá trị cho việc hoạt động hằng ngày, và không phản

ánh đúng những vấn đề về Security. Đa phần là giám sát các Performance của các thiết bị, ứng

dụng… đó các công việc hằng ngày.


MỘT VÀI NHẬN XÉT

1. Chọn đúng các Metrics để giám sát sẽ đem

lại hiệu quả cao

2. Việc giám sát cung cấp các thông tin hữu ích

cho … công việc hằng ngày

3. Không phản ánh được mức độ an ninh

(Security)

Nhận xét:

• Sử dụng đúng chương trình để giám sát và nên xác định rõ mục tiêu giám sát và các tiêu chí

(đặc trưng) cần giám sát, quan trọng nhất là: phải tập trung trên các tài sản của công ty/doanh

nghiệp.

• Tạo môi trường cần thiết cho việc giám sát: thiết bị, chương trình, khả năng lưu trữ, quy trình

Audit …

• Xác định mức độ an ninh hiện tại, áp dụng – tuân thủ các chuẩn của doanh nghiệp và mức độ

an ninh mong muốn trong tương lai.

• Security monitoring cần phải trả lời được các câu hỏi:

• Mức độ an ninh cho hệ thống đã đủ chưa?

• Khả năng (%) bị tấn công / khả năng (%) phát hiện tấn công như thế nào?

• Cần phải (các hành động) làm gì để duy trì / đạt được mức độ an ninh mong

muốn?

• Số lượng các bản vá (patch) / các Migrate Control được triển khai?


MỘT VÀI NHẬN XÉT

1. Chọn đúng các Metrics để giám sát sẽ đem

lại hiệu quả cao

2. Việc giám sát cung cấp các thông tin hữu ích

cho … công việc hằng ngày

3. Không phản ánh được mức độ an ninh

(Security)

Nhận xét:

• Công việc hằng ngày là một công việc đòi hỏi sự giám sát rất chi tiết, phản ảnh trực tiếp

những ‘điểm yếu’ của hệ thống

• Một số công việc hằng ngày không phản ảnh đến mức độ an ninh: chẳng hạn như việc thực

hiện một Backup có thể chiếm tài nguyên quá nhiều, xử lý các truy vấn quá nặng, hoặc đang

thử nghiệm một chương trình nào đó, hoặc sự cố đứt cáp quang … Đó là những công việc

quan trọng và có ảnh hưởng đến công việc doanh nghiệp nhưng thực tế không phản ánh đúng

mức về An ninh.


Thế nào là giám sát an ninh …

1. Đoạn phim 01:

Đoạn phim Eagle Eye: phầm mở đầu – hệ thống giám sát và phân tích nhận dạng, hỗ trợ ra quyết

định.

• Việc phân tích của hệ thống giám sát đòi hỏi kỹ năng và nghiệp vụ cao và không được đề cập

trong hội thảo này.

• Những phân tích của Monitoring được sử hỗ trợ cấu hình từ các dịch vụ khác như Snort,

Firewall, Database … và được đánh giá dựa trên các Risk Assessment của doanh nghiệp.


Thế nào là giám sát an ninh …

2. Đoạn phim 02:


SECURITY MONITORING

1. Security monitoring không chỉ là:

• Giám sát hệ thống mạng

• Giám sát hoạt động của các chương trình/ứng

dụng

• Giám sát các hoạt động trên hệ thống mạng

• Theo dõi tình trạng các phiên bản OS, patch, hệ

điều hành …


2. mà còn bao gồm:

• Các hoạt động liên quan tới dữ liệu (chống rò rỉ

dữ liệu)

• Tuân thủ các chính sách đề ra (Compliance)

• Số lượng các lỗ hổng/các bản vá triển khai…

• Đào tạo nhận thức/chuyên môn


OSSIM

1) Một giải pháp SIEM (Security Information &

Event Management)

2) Dựa trên mã nguồn mở (phiên bản 4 là phiên

bản thương mại).

3) Hỗ trợ các công cụ Security

4) Trực quan và thực sự là một hệ thống giám

sát an ninh.

Giới thiệu:

• OSSIM là dự án thử nghiệm của Ngân hàng Đông Á – trước đây Ngân hàng Đông Á sử

dụng Splunk, có thể search trên Google, blog của Dương Ngọc Thái.

• Đây là một giải pháp

• Kết hợp với nhiều công cụ Security của mã nguồn mở, cũng như có các Plug-in hỗ trợ các

thiết bị phần cứng khác.


SƠ LƯỢC CÁC THÀNH PHẦN

OSSIM

SENSOR

ASSETS

COMPLIANCE

RISK ASSESSMENT

INCIDENT RESPONSE

KNOWLEDGE BASE

Thành phần quan trọng của OSSIM:

• Assets: quản lý các Assets và tiến hành quét các lỗ hổng (Vulnerabilities), xây dựng một

Risk Assessment.

• Sensor: hỗ trợ các Sensor từ các thiết bị, phần mềm Security khác như Snort, HIPS (host

intrusion prevention), Firewall …

• Compliance: hỗ trợ áp dụng các tuân thủ các chuẩn an ninh ‘quốc tế’ như ISO 27001 hoặc

PCI DSS

• Incident Response: quản lý các công việc phản ứng khi có sự cố, đồng thời giao việc cho

các đối tượng phù hợp (bao gồm nhóm)

• Knowledge Base: tổng hợp tri thức để cải thiện hệ thống.


SƠ LƯỢC CÁC THÀNH PHẦN (2)

1. Sensor: các thành phần của IPS, IDS, HIPS…

như Snort, OSSec, ….

2. Asset:quản lý các tài sản cũng như việc xác

định các các nguy cơ trên các tài sản

3. Compliance: hỗ trợ việc thực thi các chính

sách theo tiêu chuẩn ISO 27000 và PCI DSS


4. Risk Assessment và quản lý việc thực thi các

Incident Response dựa trên các Ticket và

Alarm.

5. Tổng hợp tri thức (Knowledge Base)

6. Report trực quan

SƠ LƯỢC CÁC THÀNH PHẦN (3)


DEMO OSSIM

1. Link download:

• 32 bit:

http://data.alienvault.com/alienvault_open_sourc

e_siem_3.1_32bits.iso

• 64 bit:

http://data.alienvault.com/alienvault_open_sourc

e_siem_3.1_64bits.iso

2. OSSIM alientvault: là một Appliance, cài đặt

như một hệ điều hành Linux thông thường.


DEMO OSSIM

2. Tài liệu tham khảo:

• Install Guide:

• https://www.alienvault.com/wiki//doku.php?id=installation

• Deployment Guide:

• https://bloomfire-

production.s3.amazonaws.com/crocodoc_documents/237216

/original/OSSIM_Secure_Deployment_Guide_-

_Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2R

ZDA&Expires=2147385600&Signature=yF%2B%2Bg3map

pcu%2FSDNep8AmvVi70Y%3D&response-content-

disposition=attachment


DEMO OSSIM

3. Forum chính thức:

• https://www.alienvault.com/forum/index.php

4. Notes: tài khoản đăng nhập khi cài đặt

OSSIM hoàn tất, admin/admin.


• Patch, updates

• Zero-day

• Chínhsách

• Camera

Môitrường

Tuânthủ

Hệthống

Ứngdụng

Môi trường: có nhiều giải pháp giám sát trên môi trường, Camera chỉ là một trong số đó, ngoài

ra còn có các việc thực hiện kiểm soát như bảo vệ…

Tuân thủ: tuân thủ theo đúng các quy định được đề ra như ISO 27001 hoặc PCI DSS; việc thực

thi tuân thủ áp dụng trên các thiết bị, máy tính, đào tạo, kiểm soát rủi ro.

Hệ thống: bao gồm toàn bộ các quy trình, chính sách, hệ thống mạng, ứng dụng …

Patch/update: muốn chỉ đến các phần bổ sung, kiến thức cập nhật dành cho toàn hệ thống, không

chỉ định riêng cho hệ thống mạng hoặc các OS.

Ứng dụng: Zero-day – chỉ định những cách thức tấn công mới cần các hành động phán đoán,

ngăn chặn trước bằng cách sử dụng lại các tri thức được tổng hợp. Nói một cách khác Zero-day

là điểm mù của hệ thống giám sát an ninh nên cần có các biện pháp kiểm soát.


SUY XÉT

Privacy là vấn đề cần quan tâm

Sự chấp nhận/đồng thuận của người dùng

Chi phí cho việc thực hiện

Quy trình

Nhân tố con người

Các vấn đề thực sự quan tâm:

• Yếu tố con người: nhân lực thực hiện, trình độ và sự chấp nhận của người dùng.

• Privacy – đây là phạm trù của luật.

• Sử dụng các giải pháp rời rạc không gắn kết với nhau là một nguy cơ, và vấn đề sẽ phát sinh

khi hệ thống lớn và ngày càng phải quản lý nhiều hơn.

• Chi phí ẩn: việc lưu trữ theo đúng quy định của công ty (ổ cứng, các thiết bị dự phòng …)


DETECT chỉ là PHÁT HIỆN

Thử thách:

VIRUS < > I V U R S

Khả năng phán đoán và ra quyết định

Phân tích Logs / Events:

Kỹ năng

Phản ứng nhanh

……


VIDEO

1) Tuân thủ chính sách:

2) …cần update công nghệ: link

Phim Batman – Dark knight: (phút từ 31 – 35) thể hiện việc thực thi chính sách (giữ điện thoại

của khách), khả năng bypass qua các Policy khi đi chung với ‘sếp’. Đoạn phim thứ hai cho biết

việc thực thi đúng theo quy trình (giữ điện thoại khi khách không nhận lại) nhưng điện thoại

đó là một thiết bị lạ và thực hiện hành động lạ (ra lệnh tắt điện tòa nha).

Điện thoại có thể Scan lại sơ đồ tòa nhà (update về công nghệ)


NHỮNG GÌ BẠN CẦN

1) Quy trình và sự khác biệt của riêng.

2) Xây dựng giám sát an ninh đến mức độ nào:

• Detect

• Response

• Prevent

3) Kế hoạch hành động ngay từ bây giờ


Q & A


LỜI CẢM ƠN

1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud

2) Nguyễn Hải Long – trình bày Demo OSSIM

3) Lê Vĩnh Đạt và công ty Optimum – cung cấp

tài nguyên Lab cho Cloud

4) Nguyễn Phương Trường Anh, Phạm Ta Ni,

Nguyễn Chấn Việt, Nguyễn Hải Long, Trần

Chí Cần – nội dung thảo luận tiền đề cho hội

thảo.

slide notes event security monitoring

Education

cc c tnh c trngxun

tng c gim

cc cng thc c quyn

s lng cc bn v patch

cc thng tinmt

khng phn nh c mc

database v c nh gi

cc performance ca cc