Cuộc Cách mạng công nghiệp 4.0 đã và đang có những tác động mạnh mẽ đến mọi mặt của đời sống xã hội tại nhiều quốc gia trên thế giới và Việt Nam. Nó đã làm thay đổi cách thức sản xuất, chế tạo, hình thành các nhà máy thông minh, thành phố thông minh… Bất cứ quốc gia hay doanh nghiệp nào cũng không ngừng nỗ lực đẩy mạnh quá trình chuyển đổi số để phát huy nguồn tài nguyên số ngày càng đa dạng, phong phú.
Với sự phát triển mạnh mẽ của khoa học công nghệ, các nguy cơ gây mất an ninh, an toàn thông tin xảy ra ngày càng nhiều với hình thức và thủ đoạn ngày càng tinh vi, gây ra thiệt hại lớn về cả kinh tế, chính trị, uy tín cho các cơ quan, tổ chức. Đặc biệt, các cuộc tấn công phát tán mã độc ngày càng gia tăng về số lượng và hình thức tấn công, xuất hiện ngày các nhiều các loại mã độc mới, mã độc tấn công có chủ đích nhằm vào các cơ quan, tổ chức, cá nhân trong thời gian gần đây.
Trước những nguy cơ mất an ninh, an toàn thông tin trên không gian mạng, mỗi cơ quan, tổ chức cần phải có những biện pháp cụ thể để bảo vệ các hệ thống thông tin của mình. Tuy nhiên, đa số các cơ quan, doanh nghiệp tại Việt Nam vẫn phải đối mặt với bài toán khó trong việc đầu tư nguồn lực và các giải pháp bảo mật cho hệ thống tại đơn vị. Các giải pháp đảm bảo an ninh, an toàn thông tin đang được triển khai độc lập, quy mô nhỏ, chưa có khả năng phát hiện các cuộc tấn công quy mô lớn, các cuộc tấn công có chủ đích (APT). Do vậy, việc nghiên cứu, xây dựng, triển khai mô hình trung tâm điều hành an ninh mạng cho hệ thống mạng tại các cơ quan, doanh nghiệp là nhiệm vụ cấp thiết hiện nay.
SOC là một tổ chức gồm các chuyên gia an ninh mạng bảo mật nhiều kinh nghiệm, sử dụng các quy trình đánh giá, cảnh báo trên một hệ thống giám sát tập trung nhằm xử lý toàn bộ các vấn đề an ninh, an toàn thông tin. SOC liên tục giám sát, phân tích, báo cáo và ngăn chặn các mối đe dọa an ninh mạng, đồng thời ứng phó với các sự cố trên hệ thống máy tính. Hệ thống SOC là sự kết hợp giữa 3 yếu tố cốt lõi trong an toàn thông tin bao gồm: Con người, công nghệ và quy trình.
Con người: Là những chuyên gia trong mô hình SOC, họ được phân công thực hiện các nhiệm vụ rõ ràng để cùng vận hành hệ thống và đưa ra các quyết định xử lý, ứng phó sự cố khi cần thiết.
Công nghệ: Là các giải pháp giám sát, phân tích, phát hiện, điều tra, truy vết sự cố an ninh, an toàn mạng.
Quy trình: Là các quy định, quy trình, chính sách an ninh thông tin được triển khai trên hệ thống.
Thiết lập một SOC có thể hiểu là cải thiện khả năng phát hiện sự cố an ninh mạng thông qua sự hỗ trợ của các công nghệ giám sát và phân tích liên tục hoạt động dữ liệu thu thập được trong hệ thống mạng. Hệ thống SOC thường vận hành tuân theo chuỗi vòng lặp OODA của chiến lược gia quân sự Mỹ. Vòng lặp OODA là chuỗi các quá trình được thiết kế để xác định các phản ứng thích hợp và đưa ra quyết định cho những vấn đề, tình huống cụ thể. Chu trình vòng lặp OODA gồm 4 bước: Quan sát (Observe), Định hướng (Orient), Quyết định (Decide) và Hành động (Act).
Hình 1. Mô hình triển khai và vận hành SOC
Để triển khai hệ thống SOC các cơ quan, doanh nghiệp có thể nghiên cứu, xây dựng mô hình dựa trên các công nghệ bao gồm:
- Thu thập giám sát thu thập thông tin và quản lý sự kiện (Security Information and Event Management -SIEM) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký (log), các sự kiện an ninh từ thiết bị đầu cuối... được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung phát hiện nguy cơ tấn công mạng thông qua các bộ luật tương quan (correlation rule), giúp phát hiện các cuộc tấn công mà không thể phát hiện được bởi các giải pháp thông thường (IDS/IPS, Firewall,…). Bên cạnh đó, báo cáo về các sự kiện an ninh mạng của các tổ chức, phát hiện.
Hình 2. Hệ thống SIEM
- Điều phối, tự động hóa và phản ứng an ninh mạng (Security Orchestration, Automation and Response - SOAR) là một giải pháp cho phép các tổ chức, doanh nghiệp hoặc các trung tâm an ninh mạng tối ưu hóa các hoạt động bảo mật bên trong hệ thống. SOAR là giải pháp thu thập thông tin về các mối đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố mà không cần sự can thiệp của con người.
Hình 3. Hệ thống SOAR
- Phát hiện và phản hồi điềm cuối (Endpoint Detection and Response - EDR) là công nghệ có khả năng đưa ra quyết định và hành động đối với các sự cố an ninh mạng điểm cuối.
- Bên cạnh đó là sự hỗ trợ của một số phần mềm khác nhằm tự động hóa trong quá trình vận hành, điều hành an ninh mạng.
Việc triển khai hệ thống SOC tại các cơ quan, doanh nghiệp bước đầu sẽ gặp phải một số khó khăn, thách thức về mặt công nghệ áp dụng, quy trình xử lý và ứng phó sự cố an ninh mạng. Bên cạnh việc đầu tư trang thiết bị, cơ sở hạ tầng, thì việc thu thập bao nhiêu dữ liệu cho hệ thống SOC, thu thập từ những thiết bị nào cũng cần được cơ quan xem xét, việc xây dựng các luật ra sao, xây dựng các phản ứng như thế nào cũng cần được xem xét trước khi xây dựng mô hình.
Để giải quyết vấn đề này khi xây dựng hệ thống SOC, các nhà chức trách cần phải xây dựng các kịch bản tấn công và phòng thủ, nhận diện các nguy cơ mất an ninh mạng đối với hệ thống mạng của cơ quan, doanh nghiệp. Từ đó có thể xác định được phạm vi thu thập dữ liệu, định nghĩa các luật phát hiện nguy cơ, xây dựng các phương án phản ứng cho hệ thống.
Hiện nay, một số cơ sở dữ liệu, kiến thức sử dụng để xác định các kiểu tấn công, kỹ thuật tấn công có thể kể đến như MITRE ATT&CK xây dựng ma trận để định nghĩa 193 kiểu tấn công mạng khác nhau như Hình 4. Điều này tạo cơ sở để các cơ quan, doanh nghiệp xây dựng các luật và định nghĩa các hình thức phản ứng đối với hệ thống SOC.
Hình 4. Ma trận ATT&CK cho các cơ quan doanh nghiệp
Hình 5. Xây dựng hệ thống SOC dựa trên MITRE
Song song, việc đào tạo và xây dựng đội ngũ chuyên gia là yếu tố quan trọng để giải quyết các cuộc tấn công mới, không nằm trong định nghĩa của MITRE ATT&CK.
Việc triển khai hệ thống SOC đối với các cơ quan, doanh nghiệp hiện nay là xu hướng tất yếu. Theo thống kê của Bộ TT&TT, tỷ lệ các bộ, ngành, địa phương triển khai bảo đảm an toàn thông tin theo mô hình 4 lớp đã nâng từ mức 0% của các năm 2018, 2019 lên đạt 100% trong tháng 12/2020. Tuy nhiên, để triển khai và vận hành có hiệu quả thì việc kết hợp các yếu tố con người, quy trình, công nghệ vẫn là yếu tố then chốt và đóng vai trò quyết định hiệu quả của hệ thống. Việc chuẩn bị nhân lực, xây dựng quy trình theo OODA và ứng dụng MITRE ATT&CK sẽ có thể giúp cơ quan doanh nghiệp định hướng và thuận lợi để xây dựng được trung tâm điều hành an ninh mạng trong tương lai.
ThS. Nguyễn Ngọc Toàn
09:00 | 13/07/2021
16:00 | 07/12/2020
13:00 | 20/11/2020
09:00 | 20/08/2021
09:00 | 10/02/2025
Lừa đảo mạo danh tiếp tục là điểm nóng trên không gian mạng. Cục An toàn thông tin (Bộ TT&TT) vừa khuyến cáo các đơn vị, cá nhân trong nước cảnh giác trước chiêu giả mạo Trung tâm An ninh mạng quốc gia, Cục Hải quan, Shopee.
09:00 | 24/01/2025
Thời gian qua xuất hiện nhiều đối tượng giả mạo công an gọi đến người dân để hướng dẫn làm tài khoản định danh, thông báo vi phạm để lừa đảo chiếm đoạt tài sản. Các nhà mạng cảnh báo khách hàng sử dụng điện thoại nên cảnh giác với các cuộc gọi nhỡ quốc tế, số điện thoại lừa đảo.
10:00 | 07/01/2025
Cơ quan chức năng của Bộ Thông tin và Truyền thông đã ghi nhận hơn 7.000 phản ánh của người dân về lừa đảo trực tuyến trong tuần qua, đồng thời cảnh báo nguy cơ gia tăng số thiết bị có thể trở thành nguồn tấn công từ chối dịch vụ….
08:00 | 24/12/2024
Hội thảo khoa học quốc tế lần thứ nhất về Mật mã và An toàn thông tin (The IEEE International Conference on Cryptography and Information Securiry - VCRIS 2024) là sự kiện do Học viện Kỹ thuật mật mã phối hợp với các cơ quan khoa học uy tín trong và ngoài nước tổ chức, dưới sự chỉ đạo của Ban Cơ yếu Chính phủ. Phóng viên Tạp chí An toàn thông tin đã có cuộc phỏng vấn GS.TS Nguyễn Hiếu Minh, Phó Giám đốc Học viện Kỹ thuật mật mã, Ban Tổ chức Hội thảo VCRIS 2024 về ý nghĩa, mục tiêu và các nội dung liên quan đến Hội thảo.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Sự bùng nổ, phát triển của khoa học công nghệ, nhất là trí tuệ nhân tạo (AI) đang đem lại nhiều lợi ích, giúp tăng hiệu suất trên rất nhiều lĩnh vực của đời sống xã hội và tiện nghi cuộc sống cho con người. Tuy nhiên, đi kèm với cơ hội là không ít các rủi ro, thách thức từ sự phát triển quá nhanh chóng của công nghệ.
16:00 | 14/02/2025