An ninh mạng Hoạt động an ninh
Hoạt động bảo mật thường được chứa trong SOC ("Trung tâm điều hành bảo mật"). Các thuật ngữ được sử dụng thay thế cho nhau.
Thông thường, trách nhiệm của SOC là phát hiện các mối đe dọa trong môi trường và ngăn chặn chúng phát triển thành các vấn đề tốn kém.
SIEM ("Quản lý sự kiện thông tin bảo mật")
Hầu hết các hệ thống đều tạo nhật ký thường chứa thông tin bảo mật quan trọng.
Một sự kiện chỉ đơn giản là những quan sát mà chúng ta có thể xác định từ nhật ký và thông tin từ mạng, ví dụ:
- Người dùng đăng nhập
- Các cuộc tấn công được quan sát trong mạng
- Giao dịch trong ứng dụng
Một sự cố là điều gì đó tiêu cực mà chúng tôi tin rằng sẽ ảnh hưởng đến tổ chức của mình. Nó có thể là một mối đe dọa dứt khoát hoặc khả năng xảy ra một mối đe dọa như vậy. SOC nên cố gắng hết sức để xác định những sự kiện nào có thể được kết luận là sự cố thực tế và cần được ứng phó.
SIEM xử lý cảnh báo dựa trên nhật ký từ các cảm biến và màn hình khác nhau trong mạng, mỗi cảm biến và màn hình có thể tạo ra cảnh báo quan trọng để SOC phản hồi. SIEM cũng có thể cố gắng liên hệ nhiều sự kiện để xác định cảnh báo.
SIEM thường cho phép phân tích các sự kiện từ các lĩnh vực sau:
- Mạng
- Chủ nhà
- Các ứng dụng
Các sự kiện từ mạng là điển hình nhất nhưng ít giá trị nhất vì chúng không nắm bắt được toàn bộ bối cảnh của những gì đã xảy ra. Mạng thường tiết lộ ai đang liên lạc ở đâu, qua giao thức nào và khi nào, nhưng không tiết lộ chi tiết phức tạp về những gì đã xảy ra, với ai và tại sao.
Các sự kiện chủ trì cung cấp thêm thông tin liên quan đến những gì thực sự đã xảy ra và với ai. Những thách thức như mã hóa không còn bị mờ nhạt nữa và người ta có thể thấy rõ hơn những gì đang diễn ra. Nhiều SIEM được bổ sung thêm thông tin chi tiết về những gì xảy ra trên chính máy chủ, thay vì chỉ từ mạng.
Các sự kiện từ ứng dụng là nơi SOC thường có thể hiểu rõ nhất điều gì đang diễn ra. Những sự kiện này cung cấp thông tin về Triple A, AAA ("Xác thực, Ủy quyền và Tài khoản"), bao gồm thông tin chi tiết về cách ứng dụng đang hoạt động và những gì người dùng đang làm.
Để SIEM hiểu được các sự kiện từ các ứng dụng, thông thường, Nhóm SOC phải làm việc để giúp SIEM hiểu những sự kiện này, vì thường không bao gồm hỗ trợ "dùng ngay". Nhiều ứng dụng là độc quyền của một tổ chức và SIEM chưa hiểu rõ về dữ liệu mà các ứng dụng chuyển tiếp.
Nhân sự SOC
Cách bố trí nhân sự của SOC rất khác nhau tùy theo yêu cầu và cơ cấu của một tổ chức. Trong phần này, chúng ta xem nhanh các vai trò điển hình liên quan đến việc vận hành SOC. Tổng quan về các vai trò tiềm năng:
Như trong hầu hết các nhóm có tổ chức, một vai trò được chỉ định để lãnh đạo bộ phận. Giám đốc SOC xác định chiến lược và chiến thuật liên quan để chống lại các mối đe dọa chống lại tổ chức.
Kiến trúc sư SOC chịu trách nhiệm đảm bảo hệ thống, nền tảng và kiến trúc tổng thể có khả năng cung cấp những gì các thành viên trong nhóm yêu cầu để thực hiện nhiệm vụ của họ. Kiến trúc sư SOC sẽ giúp xây dựng các quy tắc tương quan trên nhiều điểm dữ liệu và đảm bảo dữ liệu đến tuân thủ các yêu cầu của nền tảng.
Trưởng nhóm phân tích chịu trách nhiệm phát triển và duy trì các quy trình hoặc sổ tay để đảm bảo các nhà phân tích có thể tìm thấy thông tin cần thiết để kết luận các cảnh báo và sự cố tiềm ẩn.
Nhà phân tích cấp 1 đóng vai trò là người phản hồi đầu tiên trước các cảnh báo. Nhiệm vụ của họ, trong khả năng của mình, là đưa ra các cảnh báo và chuyển mọi rắc rối đến nhà phân tích cấp cao hơn.
Nhà phân tích cấp 2 được phân biệt bởi có nhiều kinh nghiệm và kiến thức kỹ thuật hơn. Họ cũng phải đảm bảo mọi rắc rối trong việc giải quyết cảnh báo đều được chuyển đến Trưởng nhóm phân tích để hỗ trợ cải tiến liên tục SOC. Cấp 2, cùng với Trưởng nhóm phân tích, báo cáo sự cố cho Nhóm ứng phó sự cố.
IRT ("Nhóm ứng phó sự cố") là một phần mở rộng tự nhiên của Nhóm SOC. Nhóm IRT được triển khai để khắc phục và giải quyết các vấn đề ảnh hưởng đến tổ chức.
Lý tưởng nhất là Người kiểm tra thâm nhập cũng hỗ trợ việc phòng thủ. Người kiểm tra thâm nhập có kiến thức phức tạp về cách thức hoạt động của kẻ tấn công và có thể giúp phân tích nguyên nhân gốc rễ cũng như hiểu cách xảy ra đột nhập. Việc hợp nhất các đội tấn công và phòng thủ thường được gọi là Đội Tím và được coi là hoạt động có hiệu quả nhất.
Chuỗi leo thang
Một số cảnh báo yêu cầu hành động ngay lập tức. Điều quan trọng là SOC phải xác định quy trình liên hệ với ai khi xảy ra các sự cố khác nhau. Sự cố có thể xảy ra ở nhiều đơn vị kinh doanh khác nhau, SOC nên biết cần liên hệ với ai, khi nào và trên phương tiện liên lạc nào.
Ví dụ về chuỗi leo thang đối với các sự cố ảnh hưởng đến một bộ phận của tổ chức:
- Tạo một Sự cố trong Hệ thống Theo dõi Sự cố được chỉ định, chỉ định sự cố đó cho (các) bộ phận hoặc người chính xác
- Nếu không có hành động trực tiếp nào từ bộ phận/người: gửi SMS và Email đến người liên hệ chính
- Nếu vẫn không có hành động trực tiếp: gọi điện thoại cho người liên hệ chính
- Nếu vẫn không có hành động trực tiếp: gọi liên hệ phụ
Phân loại sự cố
Các sự cố nên được phân loại theo:
- Loại
- Mức độ quan trọng
- Nhạy cảm
Tùy thuộc vào phân loại sự cố và cách quy kết sự cố, SOC có thể thực hiện các biện pháp khác nhau để giải quyết vấn đề hiện tại.
Loại sự cố sẽ quyết định cách ứng phó. Có nhiều loại sự cố và điều quan trọng là SOC phải hiểu ý nghĩa của từng loại sự cố đối với tổ chức. Các sự cố điển hình được liệt kê dưới đây:
- Hack nội bộ
- Phần mềm độc hại trên máy trạm của Khách hàng
- Worm lây lan khắp mạng
- Tấn công từ chối dịch vụ phân tán
- Thông tin xác thực bị rò rỉ
Mức độ nghiêm trọng của một sự cố được xác định dựa trên số lượng hệ thống bị ảnh hưởng, tác động tiềm tàng của việc không ngăn chặn sự cố, các hệ thống liên quan và nhiều yếu tố khác. Điều quan trọng là SOC phải có thể xác định chính xác mức độ nghiêm trọng để có thể kết thúc sự cố một cách phù hợp. Mức độ quan trọng là yếu tố quyết định tốc độ ứng phó của một sự cố.
Sự cố có nên được phản hồi ngay lập tức hay nhóm có thể đợi đến ngày mai?
Độ nhạy cảm xác định ai sẽ được thông báo về vụ việc. Một số sự cố đòi hỏi sự thận trọng cao độ.
SOAR ("Điều phối bảo mật, tự động hóa và phản hồi")
Để chống lại những tiến bộ của các tác nhân đe dọa, tự động hóa là chìa khóa để SOC hiện đại phản ứng đủ nhanh. Để tạo điều kiện ứng phó nhanh với các sự cố, SOC cần có sẵn các công cụ để tự động điều phối các giải pháp nhằm ứng phó với các mối đe dọa trong môi trường.
Chiến lược SOAR có nghĩa là đảm bảo SOC có thể sử dụng dữ liệu hữu ích để giúp giảm thiểu và ngăn chặn các mối đe dọa đang phát triển theo thời gian thực hơn trước. Trong môi trường truyền thống, kẻ tấn công mất một khoảng thời gian rất ngắn kể từ khi xâm nhập cho đến khi chúng lây lan sang các hệ thống lân cận. Ngược lại, các tổ chức thường phải mất một thời gian rất dài để phát hiện các mối đe dọa đã xâm nhập vào môi trường của họ. SOAR cố gắng giúp giải quyết vấn đề này.
SOAR bao gồm các khái niệm như IAC "Cơ sở hạ tầng dưới dạng mã" để giúp xây dựng lại và khắc phục các mối đe dọa. SDN ("Mạng được xác định bằng phần mềm") để kiểm soát quyền truy cập trôi chảy và dễ dàng hơn, v.v.
Giám sát những gì?
Các sự kiện có thể được thu thập trên nhiều thiết bị khác nhau, nhưng làm cách nào để xác định những gì cần thu thập và giám sát? Chúng tôi muốn nhật ký có chất lượng cao nhất. Nhật ký có độ chính xác cao, phù hợp và có khả năng xác định để nhanh chóng ngăn chặn các tác nhân đe dọa trong mạng của chúng tôi. Chúng tôi cũng muốn làm cho những kẻ tấn công khó vượt qua các cảnh báo mà chúng tôi định cấu hình.
Nếu chúng ta xem xét các cách khác nhau để bắt những kẻ tấn công, chúng ta sẽ thấy rõ chúng ta nên tập trung vào đâu. Dưới đây là danh sách các chỉ số khả thi mà chúng tôi có thể sử dụng để phát hiện những kẻ tấn công và mức độ khó mà những kẻ tấn công có thể thay đổi.
| Indicator | Difficulty to change |
|---|---|
| File checksums and hashes | Very Easy |
| IP Addresses | Easy |
| Domain Names | Simple |
| Network and Host Artifacts | Annoying |
| Tools | Challenging |
| Tactics, Techniques and Procedures | Hard |
Tổng kiểm tra và băm tệp có thể được sử dụng để xác định các phần mềm độc hại hoặc công cụ đã biết được kẻ tấn công sử dụng. Việc thay đổi những chữ ký này được coi là chuyện nhỏ đối với những kẻ tấn công vì mã của chúng có thể được mã hóa và thay đổi theo nhiều cách khác nhau, khiến tổng kiểm tra và giá trị băm thay đổi.
Địa chỉ IP cũng dễ dàng thay đổi. Những kẻ tấn công có thể sử dụng địa chỉ IP từ các máy chủ bị xâm nhập khác hoặc chỉ cần sử dụng địa chỉ IP trong nhóm các nhà cung cấp đám mây và VPS ("Máy chủ riêng ảo") khác nhau.
Tên miền cũng có thể được cấu hình lại khá dễ dàng bởi những kẻ tấn công. Kẻ tấn công có thể định cấu hình hệ thống bị xâm nhập để sử dụng DGA ("Thuật toán tạo tên miền") nhằm liên tục sử dụng tên DNS mới theo thời gian. Một tuần hệ thống bị xâm nhập sử dụng một tên, nhưng tuần tiếp theo tên đó đã tự động thay đổi.
Các tạo phẩm mạng và máy chủ khó thay đổi hơn vì điều này kéo theo nhiều thay đổi hơn đối với những kẻ tấn công. Các tiện ích của họ sẽ có chữ ký, chẳng hạn như tác nhân người dùng hoặc thiếu chữ ký, có thể được SOC thu thập.
Những kẻ tấn công ngày càng khó thay đổi các công cụ hơn. Không phải là hàm băm của các công cụ mà là cách các công cụ hoạt động và hoạt động khi tấn công. Các công cụ sẽ để lại dấu vết trong nhật ký, tải thư viện và những thứ khác mà chúng tôi có thể theo dõi để phát hiện những điểm bất thường này.
Nếu những người bảo vệ có khả năng xác định Chiến thuật, Kỹ thuật và Quy trình mà những kẻ đe dọa sử dụng, thì những kẻ tấn công sẽ càng khó đạt được mục tiêu hơn. Ví dụ: nếu chúng tôi biết kẻ đe dọa thích sử dụng Spear-Phishing và sau đó Chuyển hướng ngang hàng sang các hệ thống nạn nhân khác, thì những người bảo vệ có thể sử dụng điều này để làm lợi thế cho họ. Người bảo vệ có thể tập trung đào tạo những nhân viên có nguy cơ bị lừa đảo trực tuyến và bắt đầu thực hiện các rào cản để từ chối kết nối mạng ngang hàng.
