Một số vấn đề về triển khai mô hình trung tâm điều hành an ninh mạng tại các cơ quan, doanh nghiệp
Cuộc Cách mạng công nghiệp 4.0 đã và đang có những tác động mạnh mẽ đến mọi mặt của đời sống xã hội tại nhiều quốc gia trên thế giới và Việt Nam. Nó đã làm thay đổi cách thức sản xuất, chế tạo, hình thành các nhà máy thông minh, thành phố thông minh… Bất cứ quốc gia hay doanh nghiệp nào cũng không ngừng nỗ lực đẩy mạnh quá trình chuyển đổi số để phát huy nguồn tài nguyên số ngày càng đa dạng, phong phú.
Với sự phát triển mạnh mẽ của khoa học công nghệ, các nguy cơ gây mất an ninh, an toàn thông tin xảy ra ngày càng nhiều với hình thức và thủ đoạn ngày càng tinh vi, gây ra thiệt hại lớn về cả kinh tế, chính trị, uy tín cho các cơ quan, tổ chức. Đặc biệt, các cuộc tấn công phát tán mã độc ngày càng gia tăng về số lượng và hình thức tấn công, xuất hiện ngày các nhiều các loại mã độc mới, mã độc tấn công có chủ đích nhằm vào các cơ quan, tổ chức, cá nhân trong thời gian gần đây.
Trước những nguy cơ mất an ninh, an toàn thông tin trên không gian mạng, mỗi cơ quan, tổ chức cần phải có những biện pháp cụ thể để bảo vệ các hệ thống thông tin của mình. Tuy nhiên, đa số các cơ quan, doanh nghiệp tại Việt Nam vẫn phải đối mặt với bài toán khó trong việc đầu tư nguồn lực và các giải pháp bảo mật cho hệ thống tại đơn vị. Các giải pháp đảm bảo an ninh, an toàn thông tin đang được triển khai độc lập, quy mô nhỏ, chưa có khả năng phát hiện các cuộc tấn công quy mô lớn, các cuộc tấn công có chủ đích (APT). Do vậy, việc nghiên cứu, xây dựng, triển khai mô hình trung tâm điều hành an ninh mạng cho hệ thống mạng tại các cơ quan, doanh nghiệp là nhiệm vụ cấp thiết hiện nay.
Xây dựng trung tâm điều hành an ninh mạng
SOC là một tổ chức gồm các chuyên gia an ninh mạng bảo mật nhiều kinh nghiệm, sử dụng các quy trình đánh giá, cảnh báo trên một hệ thống giám sát tập trung nhằm xử lý toàn bộ các vấn đề an ninh, an toàn thông tin. SOC liên tục giám sát, phân tích, báo cáo và ngăn chặn các mối đe dọa an ninh mạng, đồng thời ứng phó với các sự cố trên hệ thống máy tính. Hệ thống SOC là sự kết hợp giữa 3 yếu tố cốt lõi trong an toàn thông tin bao gồm: Con người, công nghệ và quy trình.
Con người: Là những chuyên gia trong mô hình SOC, họ được phân công thực hiện các nhiệm vụ rõ ràng để cùng vận hành hệ thống và đưa ra các quyết định xử lý, ứng phó sự cố khi cần thiết.
Công nghệ: Là các giải pháp giám sát, phân tích, phát hiện, điều tra, truy vết sự cố an ninh, an toàn mạng.
Quy trình: Là các quy định, quy trình, chính sách an ninh thông tin được triển khai trên hệ thống.
Thiết lập một SOC có thể hiểu là cải thiện khả năng phát hiện sự cố an ninh mạng thông qua sự hỗ trợ của các công nghệ giám sát và phân tích liên tục hoạt động dữ liệu thu thập được trong hệ thống mạng. Hệ thống SOC thường vận hành tuân theo chuỗi vòng lặp OODA của chiến lược gia quân sự Mỹ. Vòng lặp OODA là chuỗi các quá trình được thiết kế để xác định các phản ứng thích hợp và đưa ra quyết định cho những vấn đề, tình huống cụ thể. Chu trình vòng lặp OODA gồm 4 bước: Quan sát (Observe), Định hướng (Orient), Quyết định (Decide) và Hành động (Act).
Hình 1. Mô hình triển khai và vận hành SOC
Để triển khai hệ thống SOC các cơ quan, doanh nghiệp có thể nghiên cứu, xây dựng mô hình dựa trên các công nghệ bao gồm:
- Thu thập giám sát thu thập thông tin và quản lý sự kiện (Security Information and Event Management -SIEM) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký (log), các sự kiện an ninh từ thiết bị đầu cuối... được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung phát hiện nguy cơ tấn công mạng thông qua các bộ luật tương quan (correlation rule), giúp phát hiện các cuộc tấn công mà không thể phát hiện được bởi các giải pháp thông thường (IDS/IPS, Firewall,…). Bên cạnh đó, báo cáo về các sự kiện an ninh mạng của các tổ chức, phát hiện.
Hình 2. Hệ thống SIEM
- Điều phối, tự động hóa và phản ứng an ninh mạng (Security Orchestration, Automation and Response - SOAR) là một giải pháp cho phép các tổ chức, doanh nghiệp hoặc các trung tâm an ninh mạng tối ưu hóa các hoạt động bảo mật bên trong hệ thống. SOAR là giải pháp thu thập thông tin về các mối đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố mà không cần sự can thiệp của con người.
Hình 3. Hệ thống SOAR
- Phát hiện và phản hồi điềm cuối (Endpoint Detection and Response - EDR) là công nghệ có khả năng đưa ra quyết định và hành động đối với các sự cố an ninh mạng điểm cuối.
- Bên cạnh đó là sự hỗ trợ của một số phần mềm khác nhằm tự động hóa trong quá trình vận hành, điều hành an ninh mạng.
Việc triển khai hệ thống SOC tại các cơ quan, doanh nghiệp bước đầu sẽ gặp phải một số khó khăn, thách thức về mặt công nghệ áp dụng, quy trình xử lý và ứng phó sự cố an ninh mạng. Bên cạnh việc đầu tư trang thiết bị, cơ sở hạ tầng, thì việc thu thập bao nhiêu dữ liệu cho hệ thống SOC, thu thập từ những thiết bị nào cũng cần được cơ quan xem xét, việc xây dựng các luật ra sao, xây dựng các phản ứng như thế nào cũng cần được xem xét trước khi xây dựng mô hình.
Để giải quyết vấn đề này khi xây dựng hệ thống SOC, các nhà chức trách cần phải xây dựng các kịch bản tấn công và phòng thủ, nhận diện các nguy cơ mất an ninh mạng đối với hệ thống mạng của cơ quan, doanh nghiệp. Từ đó có thể xác định được phạm vi thu thập dữ liệu, định nghĩa các luật phát hiện nguy cơ, xây dựng các phương án phản ứng cho hệ thống.
Hiện nay, một số cơ sở dữ liệu, kiến thức sử dụng để xác định các kiểu tấn công, kỹ thuật tấn công có thể kể đến như MITRE ATT&CK xây dựng ma trận để định nghĩa 193 kiểu tấn công mạng khác nhau như Hình 4. Điều này tạo cơ sở để các cơ quan, doanh nghiệp xây dựng các luật và định nghĩa các hình thức phản ứng đối với hệ thống SOC.
Hình 4. Ma trận ATT&CK cho các cơ quan doanh nghiệp
Hình 5. Xây dựng hệ thống SOC dựa trên MITRE
Song song, việc đào tạo và xây dựng đội ngũ chuyên gia là yếu tố quan trọng để giải quyết các cuộc tấn công mới, không nằm trong định nghĩa của MITRE ATT&CK.
Kết luận
Việc triển khai hệ thống SOC đối với các cơ quan, doanh nghiệp hiện nay là xu hướng tất yếu. Theo thống kê của Bộ TT&TT, tỷ lệ các bộ, ngành, địa phương triển khai bảo đảm an toàn thông tin theo mô hình 4 lớp đã nâng từ mức 0% của các năm 2018, 2019 lên đạt 100% trong tháng 12/2020. Tuy nhiên, để triển khai và vận hành có hiệu quả thì việc kết hợp các yếu tố con người, quy trình, công nghệ vẫn là yếu tố then chốt và đóng vai trò quyết định hiệu quả của hệ thống. Việc chuẩn bị nhân lực, xây dựng quy trình theo OODA và ứng dụng MITRE ATT&CK sẽ có thể giúp cơ quan doanh nghiệp định hướng và thuận lợi để xây dựng được trung tâm điều hành an ninh mạng trong tương lai.
ThS. Nguyễn Ngọc Toàn