So sánh giữa SIEM và DAM
Dễ nhận thấy SIEM và DAM có nhiều điểm tương đồng về mặt kiến trúc, đồng thời cũng có sự trùng lặp về cách thức xử lý thông tin. Nhìn vào kiến trúc của 2 giải pháp này có thể thấy nền tảng được thiết kế cho việc thu thập sự kiện, chuẩn hóa, phân tích và báo cáo, cả hai đều thu thập nhật ký cơ sở dữ liệu đồng thời cung cấp các quy tắc và giải pháp tuân thủ, báo cáo tuân thủ, hỗ trợ an ninh bảo mật và giảm thiểu chi phí.
Ngoài những điểm tương đồng nêu trên thì SIEM và DAM lại có nhiều điểm hoàn toàn khác nhau. Sự khác nhau thể hiện ở mức độ phân tích và đối tượng mà mỗi giải pháp nhắm đến.
DAM cung cấp khả năng phân tích chuyên sâu trên tầng cơ sở dữ liệu theo thời gian thực. Không chỉ cung cấp thông tin từng truy vấn tới cơ sở dữ liệu riêng rẽ mà còn cung cấp lưu lượng truy vấn nói chung. DAM áp dụng các kỹ thuật phân tích nội dung, ngữ cảnh và hành vi trên thông tin cơ sở dữ liệu mục tiêu, qua đó triển khai các chính sách đảm bảo tuân thủ phù hợp với nhu cầu tổ chức.
Các nhà cung cấp SIEM cho rằng họ có thể giám sát cơ sở dữ liệu, nhưng chỉ một vài nhà cung cấp thực sự có giải pháp giám sát hiệu quả. Đa số cung cấp khả năng kiểm tra (audit) chứ không phải giám sát cơ sở dữ liệu thực sự. Tuy nhiên, không có nghĩa rằng DAM là công nghệ tốt hơn mà nó chỉ khác ở mức độ tập trung.
SIEM cung cấp khả năng phân tích các cảnh báo bảo mật từ các ứng dụng và hạ tầng mạng theo thời gian thực, tạo báo cáo các sự kiện cần tiến hành điều tra thêm và phục vụ mục đích kiểm soát tuân thủ. DAM cũng cung cấp khả năng phân tích theo thời gian thực nhưng giới hạn trong phạm vi các hoạt động ở tầng cơ sở dữ liệu. Điều này khiến việc triển khai công nghệ DAM cho doanh nghiệp đơn giản hơn khi triển khai SIEM vì sẽ không phải xử lý vấn đề kết hợp dữ liệu nhật ký (log) từ nhiều thiết bị và ứng dụng khác nhau.
Tuy nhiên, bất kì hệ thống giám sát nào cũng vậy, để hoạt động hiệu quả cần xác định hành vi nào là bình thường và chấp nhận được trong môi trường hoạt động, đồng thời chỉ ra hành vi bất thường, không mong muốn. Một sản phẩm giám sát thiếu hụt khả năng nhận thức về ngữ cảnh hoặc sự hiểu biết về hành động tiêu chuẩn sẽ đưa ra các cảnh báo giả, ảnh hưởng đến năng suất và an toàn hệ thống. Do SIEM phải kết hợp dữ liệu từ nhiều nguồn, nên mất thời gian để hiểu được mối quan hệ giữa các sự kiện khác nhau, liên kết và phân biệt được đâu là mẫu bình thường, đâu là mẫu bất thường. Điều này giúp tránh các rắc rối không cần thiết từ việc tinh chỉnh sai, cảnh báo nhầm hay ảnh hưởng đến hiệu năng của hệ thống cần giám sát.
Để đầu tư vào DAM được hiệu quả, các tổ chức cần khảo sát một quy trình tương tự để so sánh và tinh chỉnh các ngưỡng sự kiện, nhằm đưa ra các cảnh báo đủ chi tiết và cần thiết giúp xác định sự kiện cần điều tra. Để giảm thiểu công sức khi triển khai và cấu hình cho bất cứ thiết bị nào, các tổ chức nên xác định rõ mục tiêu cần đạt được. Công nghệ được áp dụng cho việc xác định đe dọa, tuân thủ hay báo cáo kiểm toán, pháp lý? Liệu các cảnh báo và báo cáo có cần cập nhật theo thời gian thực hay chấp nhận trễ một ngày? Nếu mục đích chính là kiểm soát tuân thủ, phục vụ kiểm toán hay pháp lý thì DAM hay SIEM cần phân tích, báo cáo dựa trên các yêu cầu tuân thủ và chính sách của tổ chức.
DAM có thể là công nghệ quan trọng giúp bảo vệ dữ liệu nhạy cảm khỏi các cuộc tấn công từ cả bên trong lẫn bên ngoài tổ chức. Bổ sung thêm một lớp bảo vệ bằng cách giám sát phân quyền người dùng truy cập ứng dụng ngoài việc ghi nhật ký (log) cơ sở dữ liệu và các chức năng kiểm tra (audit). Đồng thời tăng mức độ bảo mật cơ sở dữ liệu qua việc phát hiện các hành vi cập nhật hay đọc dữ liệu bất thường từ tầng ứng dụng gửi xuống. Để triển khai các tác vụ này hiệu quả, đầu tiên cần giám sát hoạt động ứng dụng và đề xuất ranh giới cho các hành vi thông thường nhằm xác định một cuộc tấn công dựa trên độ sai lệch so với hoạt động và cấu trúc SQL bình thường, từ đó đưa ra các cảnh báo vi phạm chính sách.
Việc cấu hình và tối ưu hệ thống tiêu tốn khá nhiều thời gian và công sức của các tổ chức nhưng giúp hệ thống giám sát có khả năng phát hiện những vụ tấn công tinh vi nhất.
Nếu người quản trị quan tâm đến các công nghệ này và muốn lựa chọn giải pháp phù hợp nhất cho tổ chức của mình thì hãy tập trung vào các tình huống sử dụng của tổ chức mình. Không nên coi DAM như lựa chọn tốt nhất chỉ vì cần rà soát nhật ký cơ sở dữ liệu. Tương tự, SIEM mang đến một giải pháp giám sát sự kiện tổng thể nhưng không đồng nghĩa với việc có thể bảo mật cơ sở dữ liệu tốt. Cần hướng đến mục tiêu và tập trung vào các tình huống sử dụng cụ thể để có thể lựa chọn đúng công nghệ phù hợp. Đôi khi cần kết hợp cả hai.
Để tăng tính bảo mật cần tích hợp DAM vào SIEM
DAM và SIEM được áp dụng tương đối riêng rẽ trong quá khứ, nhưng hiện tại khi công nghệ bảo mật đã phát triển và theo đó là các mối đe dọa cũng biến chuyển, thì ranh giới giữa hai công nghệ này đã bắt đầu mờ nhạt dần.
Để có được cái nhìn tổng thể diễn biến hoạt động trong cơ sở dữ liệu cũng như môi trường xung quanh, các tổ chức cần đưa dữ liệu thu thập bởi DAM vào trong công cụ SIEM, thực hiện phân tích và giám sát.
Theo chuyên gia bảo mật Mike Rothman nhận định, lợi thế lớn nhất khi tích hợp DAM với SIEM là ngữ cảnh nó cung cấp: “Một cuộc tấn công cơ sở dữ liệu thường chỉ là một khía cạnh của một cuộc tấn công lớn hơn. DAM không giám sát được môi trường mạng, cấu hình máy chủ, hoạt động người dùng và nhiều vấn đề khác nữa”. Có thể cấu hình để SIEM phát hiện ra các mẫu trong tập dữ liệu lớn những thông tin về cơ sở dữ liệu chỉ là một trong số các đầu vào.
Theo Rick Caccia - Phó chủ tịch phụ trách mảng marketing tại hãng cung cấp phần mềm SIEM ArcSight: “Vấn đề thông thường với các sản phẩm DAM là hầu hết khách hàng không có ứng dụng trao đổi trực tiếp với một cơ sở dữ liệu; họ có một vài kiểu máy chủ chạy ứng dụng kết nối đến cơ sở dữ liệu, và chính máy chủ ứng dụng đó giữ kết nối đến cơ sở dữ liệu”. “Nó giống như một cái phễu mà tất cả các yêu cầu người dùng gửi đến ứng dụng đều đi qua đó. Vì vậy có thể một người dùng tên Rick đăng nhập và vấn tin danh sách khách hàng nhưng trên thực tế đối với cơ sở dữ liệu, Rick cũng chỉ được xem như là máy chủ ứng dụng”. Bằng cách đưa thông tin DAM vào hệ thống SIEM cho phép tổ chức dễ dàng liên kết một hành vi người dùng phát sinh từ tầng ứng dụng xuyên với truy vấn liên quan được gửi đến cơ sở dữ liệu.
Rick Cacci cũng cho biết: “Các tổ chức đưa nhật ký ứng dụng vào SIEM, đồng thời đưa nhật ký thu thập từ DAM vào SIEM, sau đó SIEM sẽ tìm ra mối liên hệ và liên kết các nhật ký này với nhau theo một chuỗi sự kiện có liên quan”. Có thể hình dung, tại một thời điểm nào đó, ứng dụng ghi lại hành động mà người dùng tên Fred thực hiện và chỉ ngay sau đó vài phần giây, DAM ghi lại truy vấn trên cơ sở dữ liệu với cùng loại thông tin. Khi đó, SIEM sẽ liên kết hai sự kiện này và suy đoán rất có thể “Fred” đã thực hiện tác vụ đó.
Cả Rothman và Caccia đều nhất trí rằng một trong những trở ngại lớn nhất khi tích hợp DAM vào SIEM không phải là vấn đề công nghệ vì thực tế các đối tác DAM và SIEM làm việc cùng nhau trong suốt nhiều năm qua, mà vấn đề là cuộc tranh luận nội bộ bên trong tổ chức. DAM thường nằm bên trong nhóm quản trị cơ sở dữ liệu còn SIEM thì thường thuộc quản lý của nhóm an ninh bảo mật. Do đó, việc kết hợp hai nhóm này cùng nhau làm việc có thể khó hơn việc tích hợp dữ liệu.
Theo Caccia, một trong những vấn đề cốt lõi là cuộc tranh luận từ lâu nay giữa hiệu năng và tính bảo mật. Để quá trình tích hợp trơn tru, trước tiên các tổ chức phải thống nhất được một bản thỏa thuận giữa các bên. Nếu không những nỗ lực tích hợp rất có thể sụp đổ khi mà các bên phụ trách các vấn đề khác nhau có những động lực khác nhau. Quản trị viên cơ sở dữ liệu sẽ chỉ thực hiện các tác vụ nhằm đảm bảo cơ sở dữ liệu chạy nhanh và không bao giờ phát sinh lỗi.
TÀI LIỆU THAM KHẢO 2. https://www.darkreading.com/risk/siem-aint-dam/ d/d-id/1133999 3. https://www.darkreading.com/to-improve-security-get-your-dam-info-into-siem/d/d- id/1134874 |
Vũ Mạnh Hùng
14:00 | 18/02/2020
10:00 | 09/04/2020
08:00 | 25/02/2020
17:00 | 18/12/2023
Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024