Internet là một kho dữ liệu khổng lồ mà người dùng có thể cung cấp, lưu trữ và khai thác thông tin, dữ liệu sẵn có trên hệ thống. Tuy nhiên, đi kèm với đó là các nguy cơ, mối đe dọa mà người dùng sẽ phải đối mặt tại bất kỳ không gian và thời gian nào. Với thực tế này, trong những năm vừa qua, nhiều cá nhân, tổ chức đã tập trung chú trọng vào việc bảo vệ máy tính và dữ liệu của họ khỏi tội phạm mạng bằng nhiều hình thức khác nhau, điển hình là thực hiện giám sát an ninh mạng.
Theo Luật An ninh mạng 2018 [1], “Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý”. Nội dung bài viết này sẽ giúp người dùng tiếp cận giám sát an ninh mạng dưới góc độ đảm bảo an ninh, an toàn thông tin cho hệ thống thông tin và sử dụng thuật ngữ “Giám sát an toàn mạng” (Network Security Monitoring – NSM). Giám sát an toàn mạng bao gồm việc thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu an ninh mạng.
Hình 1. Trung tâm giám sát dịch vụ hành chính công
Với tiêu chí dựa trên chức năng, hoạt động giám sát an toàn mạng bao gồm:
Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập và tấn công khai thác trái phép vào hệ thống. Các chức năng bao gồm đánh giá lỗ hổng, quản lý chống lại các phần mềm độc hại, đào tạo nâng cao nhận thức của người dùng và các nhiệm vụ đảm bảo thông tin khác.
Dò tìm (phát hiện): Tập trung vào việc phát hiện và phân tích các tấn công đang xảy ra theo thời gian thực hoặc đã xảy ra. Việc phát hiện xâm nhập mạng có thể dựa vào so sánh mẫu, dựa trên dấu hiệu bất thường hoặc phân tích trạng thái bất thường của giao thức.
Phản ứng: Tập trung vào việc phản ứng lại sau khi có một tấn công đã xảy ra. Chức năng bao gồm ngăn chặn sự cố, phân tích thiệt hại dựa trên máy chủ và các thành phần của hệ thống mạng, phân tích phần mềm độc hại và báo cáo sự cố.
Duy trì: Tập trung vào việc quản lý con người, tiến trình và côngnghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) để bảo vệ cho hệ thống mạng; đồng thời thường xuyên cập nhật các mẫu dữ liệu để phát hiện được các tấn công mới. Điều này bao gồm hợp đồng, biên chế, đào tạo, phát triển và triển khai công nghệ, quản lý các hệ thống hỗ trợ.
Hoạt động giám sát an toàn mạng nhằm mục đích thu thập, phân tích tình hình để xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc tồn tại trong hệ thống mạng, giúp cảnh báo, khắc phục, xử lý kịp thời. Hoạt động giám sát an toàn mạng cần được thực hiện thường xuyên, liên tục. Chủ quản hệ thống thông tin cần xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo từ hệ thống giám sát để đề ra phương án ứng phó, khắc phục khẩn cấp. Chu trình giám sát an toàn mạng bao gồm ba giai đoạn: Thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu [1]:
Hình 2.Chu trình giám sát an toàn mạng [2]
Thu thập dữ liệu: Là quá trình được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong việc tạo, sắp xếp, lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ liệu trong hệ thống giám sát an toàn mạng. Thu thập dữ liệu bao gồm các nhiệm vụ chính: Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức; Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức; Xác định nguồn dữ liệu có liên quan; Tiền xử lý, chuẩn hoá nguồn dữ liệu thu thập được; Cấu hình cổng SPAN để thu thập dữ liệu gói tin; Xây dựng hệ thống lưu trữ SAN phục vụ lưu giữ nhật ký (log) và Cấu hình phần cứng và phần mềm thu thập dữ liệu.
Phát hiện xâm nhập: Là quá trình theo dõi và phân tích các vấn đề xảy ra trong hệ thống để tìm kiếm dấu hiệu xâm nhập. Quá trình phát hiện xâm nhập thường được tự động hóa trở thành một sản phẩm phần mềm hoặc phần cứng, với một số gói phần mềm phổ biến như: Snort IDS và Bro IDS của hệ thống phát hiện xâm nhập mạng (NIDS); OSSEC, AIDE hoặc McAfee HIPS của hệ thống phát hiện xâm nhập máy chủ (HIDS). Một số ứng dụng như Quản lý sự kiện và thông tin bảo mật (Security Information and Event Management - SIEM) sẽ sử dụng cả dữ liệu dựa trên mạng và dữ liệu dựa trên máy chủ để phát hiện xâm nhập dựa trên các sự kiện liên quan.
Phân tích dữ liệu: Là giai đoạn được thực hiện khi một người diễn giải và xem xét dữ liệu cảnh báo. Điều này thường sẽ liên quan đến việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác. Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau: Phân tích gói tin; Phân tích mạng; Phân tích máy chủ và Phân tích phần mềm độc hại.
Hiện nay, giám sát an toàn mạng được thực hiện tại đường truyền mạng/luồng thông tin (là các gói tin thuộc lớp mạng) tại các cổng kết nối Internet; thực hiện giám sát hoạt động các ứng dụng, hệ thống thông tin thông qua nhật ký (log file) đã được lưu trữ; thực hiện giám sát bằng cách thu thập thông tin về nguy cơ, sự cố gây mất an toàn thông tin từ các nguồn thông tin khác.
Để ứng dụng mô hình này một cách hiệu quả hơn, một số hệ thống có thể bổ sung các giải pháp như: sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật tạo tên miền (Domain Generation Algorithms - DGA); ứng dụng các kỹ thuật học máy để xác định các hiểm hoạ an toàn thông tin, từ đó đưa ra cảnh báo sớm.
Sự ra đời của hệ thống giám sát an toàn mạng là một bước phát triển tiến bộ trong lĩnh an toàn thông tin mạng, tuy nhiên vẫn còn nhiều khó khăn, thách thức trong quá trình hoạt động.
Về mặt kỹ thuật: Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Các cuộc tấn công mạng hiện nay thường sử dụng các kỹ thuật tinh vi khó bị hệ thống bảo mật phát hiện như tấn công sử dụng lỗ hổng zero-day, tấn công kỹ nghệ xã hội (Social Engeenering), tấn công phát tán mã độc, tấn công có chủ đích (APT)... Quản trị viên thường chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Ngoài tấn công mạng, các hiểm họa tấn công từ chính trong mạng nội bộ, mạng LAN của cơ quan, tổ chức cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng. Các cuộc tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Về mặt con người: Việc đào tạo, xây dựng đội ngũ nguồn nhân lực thực hiện giám sát mạng còn chưa được quan tâm đúng mức. Các chuyên gia giám sát an toàn mạng chưa phủ rộng được tất cả các cơ quan, tổ chức có sử dụng mạng hiện nay. Việc trang bị các kỹ năng thực hành cho đội ngũ quản trị viên để có được hiệu quả tốt trong giám sát an toàn mạng và ứng cứu sự cố mạng là một vấn đề khó khăn. Trình độ, kỹ năng về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưa đồng đều, dễ tạo ra lỗ hổng để tội phạm mạng lợi dụng, khai thác.
Về mặt chính sách: Chi phí cần thiết để xây dựng và duy trì một hệ thống giám sát an toàn mạng không nhỏ và không phải tổ chức nào cũng có thể đáp ứng được. Trong đó bao gồm chi phí phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức năng giám sát mạng, chi phí chi trả cho lực lượng chuyên gia để thực hiện phân tích giám sát an toàn mạng và chi phí để đầu tư cơ sở hạ tầng.
Với sự phát triển nhanh chóng của khoa học - công nghệ, xu hướng chuyển đối số diễn ra trong mọi lĩnh vực của đời sống xã hội, nhiều hình thức tấn công mạng mới sẽ xuất hiện nhằm vào các hệ thống thông tin quan trọng. Đây là những thách thức trong công tác đảm bảo an toàn, an ninh thông tin nói chung và công tác giám sát an toàn, an ninh mạng nói riêng. Mỗi cơ quan, doanh nghiệp cần tập trung nâng cao nguồn lực và triển khai có hiệu quả các giải pháp đảm bảo an toàn, an ninh thông tin góp phần quan trọng trong công tác bảo vệ an ninh mạng trong giai đoạn hiện nay.
|
Tài liệu tham khảo [1] Luật An ninh mạng 2018. |
Ngọc Toàn
08:00 | 01/04/2021
13:00 | 09/09/2021
15:00 | 13/07/2022
20:00 | 30/06/2021
16:00 | 17/12/2021
10:00 | 24/02/2021
16:00 | 30/03/2022
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
08:00 | 03/01/2023
Các thiết bị Smartphone ngày nay đang phải đối mặt với nhiều mối đe dọa khác nhau, bất kể đó là hệ điều hành Android hay iOS. Thông qua các liên kết độc hại được gửi qua mạng xã hội, đến những chương trình có khả năng theo dõi, xâm phạm các ứng dụng hoặc triển khai mã độc tống tiền trên thiết bị của người dùng. Bài báo sẽ giới thiệu đến độc giả các mối đe dọa phổ biến nhắm vào thiết bị Smartphone giúp người dùng có thể chủ động phòng tránh.
13:00 | 06/12/2022
Cùng với sự gia tăng không ngừng của các mối đe dọa an ninh mạng, các tin tặc thay đổi, phát triển các chiến thuật và phương thức tấn công mới tinh vi hơn dường như xuất hiện liên tục. Trong khi đó, các chiến dịch tấn công nhắm vào cơ sở hạ tầng công nghệ thông tin của các tổ chức/doanh nghiệp (TC/DN) được các nhóm tin tặc thực hiện với tần suất nhiều hơn. Chính vì thế, việc xây dựng một chiến lược phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các TC/DN nên thực hiện để chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên khó lường và phức tạp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
