Giám sát an toàn thông tin có một vai trò quan trọng, góp phần nâng cao năng lực đảm bảo an toàn thông tin (ATTT), kịp thời phát hiện các cuộc tấn công mạng, phản ứng và đưa ra biện pháp khắc phục, đối phó với những cuộc tấn công có thể lớn hơn và gây ra những hậu quả khó lường.
Trong một vài năm gần đây, tình hình an ninh mạng trên thế giới đã và đang có chiều hướng phức tạp, tác động đến nhiều lĩnh vực, về kinh tế, xã hội và quốc phòng, an ninh.
Bên cạnh những tấn công đơn lẻ nhằm đánh cắp thông tin, các cuộc tấn công có quy mô lớn hơn vẫn đang diễn ra, như các cuộc tấn công từ chối dịch vụ gây ngưng trệ hoạt động hệ thống của cơ quan, tổ chức. Tác động từ các cuộc tấn công này không hề nhỏ, ảnh hưởng không chỉ đến hoạt động, uy tín mà cả những giá trị về kinh tế đối với các tổ chức.
Nhận thức được những vấn đề nguy hiểm đó, nhiều cơ quan, tổ chức đã tiến hành nâng cấp hệ thống, trang bị một số giải pháp đảm bảo ATTT, thay đổi chính sách, đầu tư nhân lực, thuê chuyên gia đánh giá, kiểm toán an ninh, an toàn,… nhằm kiện toàn hệ thống để hạn chế và tránh các nguy cơ gây mất ATTT. Các giải pháp, đầu tư nhằm nâng cao năng lực đảm bảo ATTT hiện nay tập trung vào ba vấn đề chính là kỹ thuật - công nghệ, chính sách - quản lý và nhân lực. Trong đó, hướng đầu tư chủ yếu vẫn là về mặt kỹ thuật - công nghệ, trang bị các giải pháp, thiết bị đảm bảo ATTT cho hệ thống mạng CNTT.
Bên cạnh đó, các cơ quan, tổ chức cũng triển khai các biện pháp giám sát ATTT cho các hệ thống CNTT. Hoạt động này có thể tự thực hiện hoặc phối hợp với một cơ quan có chức năng và năng lực giám sát ATTT.
Giám sát ATTT cho hệ thống CNTT
Hệ thống giám sát ATTT cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ thông tin về các sự kiện an toàn phát sinh trong hệ thống mạng CNTT của tổ chức. Thông qua hệ thống giám sát sẽ phát hiện kịp thời các tấn công mạng, xác định được các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống. Đối với hệ thống đã được trang bị các giải pháp đảm bảo an toàn như tường lửa, hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS)... thì việc phân tích thông tin về các sự kiện an toàn từ các thiết bị này rất quan trọng. Nhờ vào hệ thống giám sát ATTT, việc phân tích, đánh giá các nguy cơ mất an toàn sẽ thuận lợi hơn, khi mà số lượng các sự kiện rất lớn, theo nhiều định dạng khác nhau. Hơn nữa, các thiết bị hiện đại vẫn có thể đưa ra các cảnh báo nhầm, nên hệ thống này đòi hỏi phải có đội ngũ chuyên gia giỏi, có kinh nghiệm để phân tích và đưa ra các cảnh báo đúng cho người quản trị hệ thống.
Thực hiện quá trình giám sát ATTT để theo dõi, và trên môi trường Internet, chúng ta có thể theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng cấp, bảo trì, bảo dưỡng, phát hiện các công cụ nghe lén mật khẩu, quét các lỗi của hệ thống và các ứng dụng, thống kê số lượng các kết nối, các phiên làm việc cũng như những lưu lượng bất thường trên hệ thống mạng.... Hệ thống giám sát ATTT là giải pháp hữu hiệu hỗ trợ cho các chuyên gia phân tích, xử lý các sự kiện, cảnh báo tấn công đang xảy ra đối với hệ thống, thông qua những phân tích và xử lý để kịp thời đưa ra biện pháp ứng phó, giảm thiểu các tấn công vào hệ thống.
Một số hệ thống giám sát ATTT tiêu biểu
Hệ thống giám sát ATTT đã phát triển qua các công nghệ: quản lý thông tin an toàn (Security infomation management - SIM), quản lý sự kiện an toàn (Security Event Management - SEM) và giải pháp quản lý phân tích sự kiện ATTT (Security Information and Event Management - SIEM).
Hệ thống SIM tự động thu thập dữ liệu, ghi sự kiện từ các thiết bị an toàn, chẳng hạn như tường lửa, máy chủ, hệ thống phát hiện xâm nhập và phần mềm chống virus. Hệ thống dịch các dữ liệu, ghi vào các định dạng tương quan đơn giản. Do chưa có thành phần phân tích và xử lý sự kiện an ninh, nên SIM chỉ có thể phát hiện và xử lý được các biến cố đơn giản.
Hệ thống SEM thu thập các dữ liệu sự kiện, nhật ký do các thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lý, phân tích các sự kiện, rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến vấn đề an ninh, an toàn của hệ thống. Hạn chế của SEM là không có khả năng lưu trữ nhật ký trong thời gian dài.
SIEM là một giải pháp hoàn chỉnh kết hợp từ SIM và SEM, cho phép các tổ chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống. Nó được xây dựng trên những ưu điểm của hai giải pháp SIM, SEM và bổ sung thêm các tính năng mới nhằm mục đích tăng cường hiệu quả trong việc giám sát an toàn mạng. Nguyên lý cơ bản của SIEM là thu thập các dữ liệu về các sự kiện an toàn từ nhiều thiết bị khác nhau, ở các vị trí khác nhau trong hệ thống. Từ đó giúp người quản trị có thể dễ dàng theo dõi tất cả các dữ liệu ở tại một vị trí duy nhất để phát hiện xu hướng và theo dõi các dấu hiệu bất thường, cũng như các dấu hiệu tấn công mạng có thể xảy ra. Một điểm mạnh nữa của SIEM là khả năng giám sát, quản lý người dùng và sự thay đổi cấu hình cho các hệ thống khác nhau, cung cấp khả năng kiểm soát đăng nhập, xem xét và ứng phó sự cố.
Hệ thống SIEM cung cấp các dịch vụ quản lý bản ghi sự kiện an toàn, tuân thủ các quy định về CNTT, tương quan liên kết các sự kiện an ninh, hỗ trợ ứng phó sự cố, đảm bảo an ninh thiết bị đầu cuối.
Với những tính năng vượt trội, đáp ứng yêu cầu thực tế, hiện nay trên thị trường các sản phẩm về giám sát ATTT hầu hết phát triển theo mô hình SIEM. Các sản phẩm cũng rất đa dạng, có thể dưới dạng phần mềm hoặc thiết bị chuyên dụng, với một số sản phẩm tiêu biểu như IBM Qradar, HP ArcSight, Splunk, McAfee....
Nâng cao chất lượng giám sát ATTT
Để nâng cao hiệu quả của hoạt động giám sát ATTT, yếu tố cần thiết chính là lượng thông tin thu thập về các sự kiện an ninh, an toàn từ các thiết bị, dịch vụ, ứng dụng trong hệ thống phải đa dạng, phong phú. Đồng thời, quy trình tiếp nhận, xử lý các cảnh báo giám sát có vai trò quan trọng, đòi hỏi nguồn lực có trình độ chuyên môn để xử lý đúng lúc, kịp thời xử lý các cảnh báo mà hệ thống giám sát đưa ra. Hoạt động giám sát ATTT cũng phải đảm bảo tính liên thông giữa hệ thống xử lý trung tâm và hệ thống xử lý tại chỗ, giữa điểm giám sát và hệ thống giám sát; đồng thời hoạt động giám sát phải tuân thủ đúng quy trình, chính sách an ninh trong hệ thống.
Khi thực hiện giám sát ATTT, việc tuân thủ chính sách an ninh trong hệ thống sẽ giúp thu thập chứng cứ về các nguy cơ, sự cố, dấu hiệu tấn công đối với hệ thống, phục vụ công tác điều tra sau này, hỗ trợ kịp thời công tác điều phối, ứng cứu sự cố ATTT xảy ra đối với hệ thống.
Một số sản phẩm, giải pháp giám sát ATTT như Qradar của IBM, ArcSight của HP,.... có ưu điểm chính là tích hợp công nghệ mới, cập nhật liên tục, đáp ứng yêu cầu giám sát ATTT cho các hệ thống có quy mô từ nhỏ đến lớn, hiệu suất cao, khả năng đáp ứng tối đa trong thu thập, phân tích sự kiện từ nhiều nguồn ứng dụng, dịch vụ, thiết bị khác nhau. Tuy nhiên, chi phí đầu tư của các giải pháp này khá cao và duy trì sẽ tốn kém.
Ngoài ra, còn một số giải pháp giám sát ATTT mã nguồn mở được đánh giá khá cao như AlienVault OSSIM, Splunk.... được phát triển theo định hướng vừa thương mại, vừa mở rộng, phù hợp cho việc giám sát hệ thống có quy mô nhỏ và để nghiên cứu. Ưu điểm của các giải pháp này là không tốn chi phí đầu tư, duy trì, có khả năng mở rộng một số tính năng cần thiết. Tuy nhiên, điểm hạn chế là việc tích hợp công nghệ mới, các tính năng xử lý, phát hiện tấn công.
Hoạt động giám sát ATTT của Trung tâm CNTT&GSANM - Ban Cơ yếu Chính phủ
Với chức năng, nhiệm vụ được Chính phủ giao, Ban Cơ yếu Chính phủ đã triển khai xây dựng Hệ thống giám sát ATTT tập trung, đặt tại Trung tâm CNTT&GSANM. Với hệ thống này, toàn bộ các sự kiện ATTT từ các mạng CNTT đang được Trung tâm giám sát sẽ được thu thập, chuẩn hóa và gửi về hệ thống giám sát, lưu trữ và xử lý tập trung, sau đó sẽ kịp thời gửi các cảnh báo và đề xuất giải pháp xử lý cho các tổ chức được giám sát. Hiện nay, Ban Cơ yếu Chính phủ đã và đang triển khai Hệ thống giám sát ATTT cho hơn 10 mạng CNTT của các cơ quan nhà nước từ Trung ương, Bộ, ngành đến các Tỉnh, Thành phố. Quá trình giám sát ATTT cho thấy, việc triển khai hệ thống đã góp phần nâng cao an toàn, an ninh cho các mạng CNTT được giám sát.
Thống kê các loại tấn công vào hơn 10 mạng CNTT trọng yếu được giám sát trong năm 2016 đã ghi nhận: 63.895 lượt tấn công dò quét cổng, dò quét lỗ hổng, hơn 10.700 lượt tấn công dò quét mật khẩu, 12.833 lượt tấn công sử dụng mã độc; 158.176 hiện tượng bất thường.
Phân tích các số liệu thống kê, có thể thấy phần lớn tấn công vào hệ thống mạng CNTT là dạng tấn công dò quét cổng, lỗ hổng và dò quét mật khẩu. Các dịch vụ trong hệ thống, chính sách mật khẩu thường bị lợi dụng khai thác tấn công, lượt tấn công sử dụng mã độc hại cũng tăng đáng kể, đây là loại tấn công nguy hiểm và đang được sử dụng khá nhiều để tấn công vào hệ thống mạng CNTT.
Trong quá trình triển khai hệ thống giám sát, Ban Cơ yếu Chính phủ đã phối hợp chặt chẽ với các cơ quan chủ quản hệ thống mạng CNTT được giám sát, để cung cấp kịp thời các cảnh báo, đề xuất giải pháp ngăn chặn các tấn công này, không để xảy ra các sự cố nghiêm trọng.
Trong giai đoạn hiện nay, giám sát ATTT cho hệ thống CNTT có vai trò rất quan trọng. Thông qua công tác giám sát sẽ kịp thời phát hiện dấu hiệu các cuộc tấn công, đưa ra phương án xử lý nhanh trước sự cố, giúp cho các cơ quan, tổ chức nhanh chóng khôi phục lại hoạt động khi có sự cố ATTT xảy ra. Hoạt động giám sát ATTT cần được thực hiện, duy trì liên tục, đội ngũ chuyên trách về giám sát ATTT cần nâng cao trình độ chuyên môn, năng lực xử lý trước các tình huống có thể dự báo trước về các cuộc tấn công nguy hiểm vào hệ thống mạng CNTT được giám sát.
