Internet là một kho dữ liệu khổng lồ mà người dùng có thể cung cấp, lưu trữ và khai thác thông tin, dữ liệu sẵn có trên hệ thống. Tuy nhiên, đi kèm với đó là các nguy cơ, mối đe dọa mà người dùng sẽ phải đối mặt tại bất kỳ không gian và thời gian nào. Với thực tế này, trong những năm vừa qua, nhiều cá nhân, tổ chức đã tập trung chú trọng vào việc bảo vệ máy tính và dữ liệu của họ khỏi tội phạm mạng bằng nhiều hình thức khác nhau, điển hình là thực hiện giám sát an ninh mạng.
Theo Luật An ninh mạng 2018 [1], “Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý”. Nội dung bài viết này sẽ giúp người dùng tiếp cận giám sát an ninh mạng dưới góc độ đảm bảo an ninh, an toàn thông tin cho hệ thống thông tin và sử dụng thuật ngữ “Giám sát an toàn mạng” (Network Security Monitoring – NSM). Giám sát an toàn mạng bao gồm việc thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu an ninh mạng.
Hình 1. Trung tâm giám sát dịch vụ hành chính công
Với tiêu chí dựa trên chức năng, hoạt động giám sát an toàn mạng bao gồm:
Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập và tấn công khai thác trái phép vào hệ thống. Các chức năng bao gồm đánh giá lỗ hổng, quản lý chống lại các phần mềm độc hại, đào tạo nâng cao nhận thức của người dùng và các nhiệm vụ đảm bảo thông tin khác.
Dò tìm (phát hiện): Tập trung vào việc phát hiện và phân tích các tấn công đang xảy ra theo thời gian thực hoặc đã xảy ra. Việc phát hiện xâm nhập mạng có thể dựa vào so sánh mẫu, dựa trên dấu hiệu bất thường hoặc phân tích trạng thái bất thường của giao thức.
Phản ứng: Tập trung vào việc phản ứng lại sau khi có một tấn công đã xảy ra. Chức năng bao gồm ngăn chặn sự cố, phân tích thiệt hại dựa trên máy chủ và các thành phần của hệ thống mạng, phân tích phần mềm độc hại và báo cáo sự cố.
Duy trì: Tập trung vào việc quản lý con người, tiến trình và côngnghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) để bảo vệ cho hệ thống mạng; đồng thời thường xuyên cập nhật các mẫu dữ liệu để phát hiện được các tấn công mới. Điều này bao gồm hợp đồng, biên chế, đào tạo, phát triển và triển khai công nghệ, quản lý các hệ thống hỗ trợ.
Hoạt động giám sát an toàn mạng nhằm mục đích thu thập, phân tích tình hình để xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc tồn tại trong hệ thống mạng, giúp cảnh báo, khắc phục, xử lý kịp thời. Hoạt động giám sát an toàn mạng cần được thực hiện thường xuyên, liên tục. Chủ quản hệ thống thông tin cần xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo từ hệ thống giám sát để đề ra phương án ứng phó, khắc phục khẩn cấp. Chu trình giám sát an toàn mạng bao gồm ba giai đoạn: Thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu [1]:
Hình 2.Chu trình giám sát an toàn mạng [2]
Thu thập dữ liệu: Là quá trình được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong việc tạo, sắp xếp, lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ liệu trong hệ thống giám sát an toàn mạng. Thu thập dữ liệu bao gồm các nhiệm vụ chính: Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức; Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức; Xác định nguồn dữ liệu có liên quan; Tiền xử lý, chuẩn hoá nguồn dữ liệu thu thập được; Cấu hình cổng SPAN để thu thập dữ liệu gói tin; Xây dựng hệ thống lưu trữ SAN phục vụ lưu giữ nhật ký (log) và Cấu hình phần cứng và phần mềm thu thập dữ liệu.
Phát hiện xâm nhập: Là quá trình theo dõi và phân tích các vấn đề xảy ra trong hệ thống để tìm kiếm dấu hiệu xâm nhập. Quá trình phát hiện xâm nhập thường được tự động hóa trở thành một sản phẩm phần mềm hoặc phần cứng, với một số gói phần mềm phổ biến như: Snort IDS và Bro IDS của hệ thống phát hiện xâm nhập mạng (NIDS); OSSEC, AIDE hoặc McAfee HIPS của hệ thống phát hiện xâm nhập máy chủ (HIDS). Một số ứng dụng như Quản lý sự kiện và thông tin bảo mật (Security Information and Event Management - SIEM) sẽ sử dụng cả dữ liệu dựa trên mạng và dữ liệu dựa trên máy chủ để phát hiện xâm nhập dựa trên các sự kiện liên quan.
Phân tích dữ liệu: Là giai đoạn được thực hiện khi một người diễn giải và xem xét dữ liệu cảnh báo. Điều này thường sẽ liên quan đến việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác. Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau: Phân tích gói tin; Phân tích mạng; Phân tích máy chủ và Phân tích phần mềm độc hại.
Hiện nay, giám sát an toàn mạng được thực hiện tại đường truyền mạng/luồng thông tin (là các gói tin thuộc lớp mạng) tại các cổng kết nối Internet; thực hiện giám sát hoạt động các ứng dụng, hệ thống thông tin thông qua nhật ký (log file) đã được lưu trữ; thực hiện giám sát bằng cách thu thập thông tin về nguy cơ, sự cố gây mất an toàn thông tin từ các nguồn thông tin khác.
Để ứng dụng mô hình này một cách hiệu quả hơn, một số hệ thống có thể bổ sung các giải pháp như: sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật tạo tên miền (Domain Generation Algorithms - DGA); ứng dụng các kỹ thuật học máy để xác định các hiểm hoạ an toàn thông tin, từ đó đưa ra cảnh báo sớm.
Sự ra đời của hệ thống giám sát an toàn mạng là một bước phát triển tiến bộ trong lĩnh an toàn thông tin mạng, tuy nhiên vẫn còn nhiều khó khăn, thách thức trong quá trình hoạt động.
Về mặt kỹ thuật: Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Các cuộc tấn công mạng hiện nay thường sử dụng các kỹ thuật tinh vi khó bị hệ thống bảo mật phát hiện như tấn công sử dụng lỗ hổng zero-day, tấn công kỹ nghệ xã hội (Social Engeenering), tấn công phát tán mã độc, tấn công có chủ đích (APT)... Quản trị viên thường chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Ngoài tấn công mạng, các hiểm họa tấn công từ chính trong mạng nội bộ, mạng LAN của cơ quan, tổ chức cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng. Các cuộc tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Về mặt con người: Việc đào tạo, xây dựng đội ngũ nguồn nhân lực thực hiện giám sát mạng còn chưa được quan tâm đúng mức. Các chuyên gia giám sát an toàn mạng chưa phủ rộng được tất cả các cơ quan, tổ chức có sử dụng mạng hiện nay. Việc trang bị các kỹ năng thực hành cho đội ngũ quản trị viên để có được hiệu quả tốt trong giám sát an toàn mạng và ứng cứu sự cố mạng là một vấn đề khó khăn. Trình độ, kỹ năng về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưa đồng đều, dễ tạo ra lỗ hổng để tội phạm mạng lợi dụng, khai thác.
Về mặt chính sách: Chi phí cần thiết để xây dựng và duy trì một hệ thống giám sát an toàn mạng không nhỏ và không phải tổ chức nào cũng có thể đáp ứng được. Trong đó bao gồm chi phí phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức năng giám sát mạng, chi phí chi trả cho lực lượng chuyên gia để thực hiện phân tích giám sát an toàn mạng và chi phí để đầu tư cơ sở hạ tầng.
Với sự phát triển nhanh chóng của khoa học - công nghệ, xu hướng chuyển đối số diễn ra trong mọi lĩnh vực của đời sống xã hội, nhiều hình thức tấn công mạng mới sẽ xuất hiện nhằm vào các hệ thống thông tin quan trọng. Đây là những thách thức trong công tác đảm bảo an toàn, an ninh thông tin nói chung và công tác giám sát an toàn, an ninh mạng nói riêng. Mỗi cơ quan, doanh nghiệp cần tập trung nâng cao nguồn lực và triển khai có hiệu quả các giải pháp đảm bảo an toàn, an ninh thông tin góp phần quan trọng trong công tác bảo vệ an ninh mạng trong giai đoạn hiện nay.
Tài liệu tham khảo [1] Luật An ninh mạng 2018. |
Ngọc Toàn
08:00 | 01/04/2021
13:00 | 09/09/2021
15:00 | 13/07/2022
20:00 | 30/06/2021
16:00 | 17/12/2021
10:00 | 24/02/2021
16:00 | 30/03/2022
14:00 | 05/08/2024
Mỗi quốc gia sẽ có các quy định và chính sách riêng để bảo vệ dữ liệu cá nhân, nhưng có một số nguyên tắc và biện pháp chung mà hầu hết các quốc gia áp dụng để đảm bảo an toàn và quyền riêng tư cho dữ liệu cá nhân của công dân. Dưới đây là một số cách mà các nước trên thế giới áp dụng bảo vệ dữ liệu cá nhân cho công dân của mình.
10:00 | 20/05/2024
Công nghệ Blockchain hiện nhận được nhiều sự quan tâm, nghiên cứu và ứng dụng trên toàn thế giới, với nhiều nền tảng có thể kể đến như Bitcoin, Etherum, Solana, Polygon…. Bài báo này tập trung trình bày về các công nghệ Blockchain phổ biến hiện nay, tiến hành so sánh, đánh giá đặc điểm của những công nghệ này và đưa ra các lưu ý khi sử dụng trong thực tế.
14:00 | 10/05/2024
Hiện nay, người dùng mạng máy tính đang thường xuyên phải đối mặt với những rủi ro từ các mối đe dọa mạng, như mã độc, phần mềm gián điệp, rootkit, tấn công lừa đảo,… Đối với Windows 11, dù hệ điều hành này có khả năng bảo mật nâng cao so với những phiên bản Windows trước đây, tuy nhiên không vì vậy mà người dùng được phép chủ quan. Trong bài báo này sẽ chia sẻ tới độc giả một số tùy chỉnh cấu hình nâng cao giúp Windows 11 trở nên bảo mật và an toàn hơn.
10:00 | 22/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024