Internet là một kho dữ liệu khổng lồ mà người dùng có thể cung cấp, lưu trữ và khai thác thông tin, dữ liệu sẵn có trên hệ thống. Tuy nhiên, đi kèm với đó là các nguy cơ, mối đe dọa mà người dùng sẽ phải đối mặt tại bất kỳ không gian và thời gian nào. Với thực tế này, trong những năm vừa qua, nhiều cá nhân, tổ chức đã tập trung chú trọng vào việc bảo vệ máy tính và dữ liệu của họ khỏi tội phạm mạng bằng nhiều hình thức khác nhau, điển hình là thực hiện giám sát an ninh mạng.
Theo Luật An ninh mạng 2018 [1], “Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý”. Nội dung bài viết này sẽ giúp người dùng tiếp cận giám sát an ninh mạng dưới góc độ đảm bảo an ninh, an toàn thông tin cho hệ thống thông tin và sử dụng thuật ngữ “Giám sát an toàn mạng” (Network Security Monitoring – NSM). Giám sát an toàn mạng bao gồm việc thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu an ninh mạng.
Hình 1. Trung tâm giám sát dịch vụ hành chính công
Với tiêu chí dựa trên chức năng, hoạt động giám sát an toàn mạng bao gồm:
Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập và tấn công khai thác trái phép vào hệ thống. Các chức năng bao gồm đánh giá lỗ hổng, quản lý chống lại các phần mềm độc hại, đào tạo nâng cao nhận thức của người dùng và các nhiệm vụ đảm bảo thông tin khác.
Dò tìm (phát hiện): Tập trung vào việc phát hiện và phân tích các tấn công đang xảy ra theo thời gian thực hoặc đã xảy ra. Việc phát hiện xâm nhập mạng có thể dựa vào so sánh mẫu, dựa trên dấu hiệu bất thường hoặc phân tích trạng thái bất thường của giao thức.
Phản ứng: Tập trung vào việc phản ứng lại sau khi có một tấn công đã xảy ra. Chức năng bao gồm ngăn chặn sự cố, phân tích thiệt hại dựa trên máy chủ và các thành phần của hệ thống mạng, phân tích phần mềm độc hại và báo cáo sự cố.
Duy trì: Tập trung vào việc quản lý con người, tiến trình và côngnghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) để bảo vệ cho hệ thống mạng; đồng thời thường xuyên cập nhật các mẫu dữ liệu để phát hiện được các tấn công mới. Điều này bao gồm hợp đồng, biên chế, đào tạo, phát triển và triển khai công nghệ, quản lý các hệ thống hỗ trợ.
Hoạt động giám sát an toàn mạng nhằm mục đích thu thập, phân tích tình hình để xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc tồn tại trong hệ thống mạng, giúp cảnh báo, khắc phục, xử lý kịp thời. Hoạt động giám sát an toàn mạng cần được thực hiện thường xuyên, liên tục. Chủ quản hệ thống thông tin cần xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo từ hệ thống giám sát để đề ra phương án ứng phó, khắc phục khẩn cấp. Chu trình giám sát an toàn mạng bao gồm ba giai đoạn: Thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu [1]:
Hình 2.Chu trình giám sát an toàn mạng [2]
Thu thập dữ liệu: Là quá trình được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong việc tạo, sắp xếp, lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ liệu trong hệ thống giám sát an toàn mạng. Thu thập dữ liệu bao gồm các nhiệm vụ chính: Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức; Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức; Xác định nguồn dữ liệu có liên quan; Tiền xử lý, chuẩn hoá nguồn dữ liệu thu thập được; Cấu hình cổng SPAN để thu thập dữ liệu gói tin; Xây dựng hệ thống lưu trữ SAN phục vụ lưu giữ nhật ký (log) và Cấu hình phần cứng và phần mềm thu thập dữ liệu.
Phát hiện xâm nhập: Là quá trình theo dõi và phân tích các vấn đề xảy ra trong hệ thống để tìm kiếm dấu hiệu xâm nhập. Quá trình phát hiện xâm nhập thường được tự động hóa trở thành một sản phẩm phần mềm hoặc phần cứng, với một số gói phần mềm phổ biến như: Snort IDS và Bro IDS của hệ thống phát hiện xâm nhập mạng (NIDS); OSSEC, AIDE hoặc McAfee HIPS của hệ thống phát hiện xâm nhập máy chủ (HIDS). Một số ứng dụng như Quản lý sự kiện và thông tin bảo mật (Security Information and Event Management - SIEM) sẽ sử dụng cả dữ liệu dựa trên mạng và dữ liệu dựa trên máy chủ để phát hiện xâm nhập dựa trên các sự kiện liên quan.
Phân tích dữ liệu: Là giai đoạn được thực hiện khi một người diễn giải và xem xét dữ liệu cảnh báo. Điều này thường sẽ liên quan đến việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác. Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau: Phân tích gói tin; Phân tích mạng; Phân tích máy chủ và Phân tích phần mềm độc hại.
Hiện nay, giám sát an toàn mạng được thực hiện tại đường truyền mạng/luồng thông tin (là các gói tin thuộc lớp mạng) tại các cổng kết nối Internet; thực hiện giám sát hoạt động các ứng dụng, hệ thống thông tin thông qua nhật ký (log file) đã được lưu trữ; thực hiện giám sát bằng cách thu thập thông tin về nguy cơ, sự cố gây mất an toàn thông tin từ các nguồn thông tin khác.
Để ứng dụng mô hình này một cách hiệu quả hơn, một số hệ thống có thể bổ sung các giải pháp như: sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật tạo tên miền (Domain Generation Algorithms - DGA); ứng dụng các kỹ thuật học máy để xác định các hiểm hoạ an toàn thông tin, từ đó đưa ra cảnh báo sớm.
Sự ra đời của hệ thống giám sát an toàn mạng là một bước phát triển tiến bộ trong lĩnh an toàn thông tin mạng, tuy nhiên vẫn còn nhiều khó khăn, thách thức trong quá trình hoạt động.
Về mặt kỹ thuật: Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Các cuộc tấn công mạng hiện nay thường sử dụng các kỹ thuật tinh vi khó bị hệ thống bảo mật phát hiện như tấn công sử dụng lỗ hổng zero-day, tấn công kỹ nghệ xã hội (Social Engeenering), tấn công phát tán mã độc, tấn công có chủ đích (APT)... Quản trị viên thường chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Ngoài tấn công mạng, các hiểm họa tấn công từ chính trong mạng nội bộ, mạng LAN của cơ quan, tổ chức cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng. Các cuộc tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Về mặt con người: Việc đào tạo, xây dựng đội ngũ nguồn nhân lực thực hiện giám sát mạng còn chưa được quan tâm đúng mức. Các chuyên gia giám sát an toàn mạng chưa phủ rộng được tất cả các cơ quan, tổ chức có sử dụng mạng hiện nay. Việc trang bị các kỹ năng thực hành cho đội ngũ quản trị viên để có được hiệu quả tốt trong giám sát an toàn mạng và ứng cứu sự cố mạng là một vấn đề khó khăn. Trình độ, kỹ năng về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưa đồng đều, dễ tạo ra lỗ hổng để tội phạm mạng lợi dụng, khai thác.
Về mặt chính sách: Chi phí cần thiết để xây dựng và duy trì một hệ thống giám sát an toàn mạng không nhỏ và không phải tổ chức nào cũng có thể đáp ứng được. Trong đó bao gồm chi phí phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức năng giám sát mạng, chi phí chi trả cho lực lượng chuyên gia để thực hiện phân tích giám sát an toàn mạng và chi phí để đầu tư cơ sở hạ tầng.
Với sự phát triển nhanh chóng của khoa học - công nghệ, xu hướng chuyển đối số diễn ra trong mọi lĩnh vực của đời sống xã hội, nhiều hình thức tấn công mạng mới sẽ xuất hiện nhằm vào các hệ thống thông tin quan trọng. Đây là những thách thức trong công tác đảm bảo an toàn, an ninh thông tin nói chung và công tác giám sát an toàn, an ninh mạng nói riêng. Mỗi cơ quan, doanh nghiệp cần tập trung nâng cao nguồn lực và triển khai có hiệu quả các giải pháp đảm bảo an toàn, an ninh thông tin góp phần quan trọng trong công tác bảo vệ an ninh mạng trong giai đoạn hiện nay.
Tài liệu tham khảo [1] Luật An ninh mạng 2018. |
Ngọc Toàn
08:00 | 01/04/2021
13:00 | 09/09/2021
15:00 | 13/07/2022
20:00 | 30/06/2021
16:00 | 17/12/2021
10:00 | 24/02/2021
16:00 | 30/03/2022
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
14:00 | 14/09/2023
NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024