Slide Notes Event Security Monitoring
Upcoming SlideShare
Loading in...5
×
 

Slide Notes Event Security Monitoring

on

  • 553 views

 

Statistics

Views

Total Views
553
Views on SlideShare
553
Embed Views
0

Actions

Likes
1
Downloads
22
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Slide Notes Event Security Monitoring Slide Notes Event Security Monitoring Document Transcript

  • Slide 1Make yourself to be an expert!Luong Trung Thanh | 25/05/2013 |thanh.luongtrung@lactien.comSecurity Monitoring
  • Slide 2Make yourself to be an expert!Những thay đổi so với phiên bản gốc1. Giới thiệu OSSIM là gì, và các tính năng.2. Phần Demo OSSIM cung cấp các linkdownload và các tài liệu kèm theo.3. Bổ sung thêm một số Notes đã trình bàytrong hội thảo.
  • Slide 3Make yourself to be an expert!LÝ DO CỦA HỘI THẢONguyên nhân sâu xa:• Một sự nhầm lẫn&• Một cuộc thảo luận … hơi căng thẳng• Đó là lý do của hội thảo
  • Slide 4Make yourself to be an expert!MONITOR là …
  • Slide 5Make yourself to be an expert!MONITORMục đích:• Phát hiện những “bất thường”• Liên tục và gần như là 24/24 x 7 x 365.25• Cảnh báo & kích hoạt hành động
  • Slide 6Make yourself to be an expert!CÁC BƯỚC …1. Xác định đối tượng được/bị giám sát2. Xác định ngưỡng bất thường3. Phương thức cảnh báo4. Kích hoạt các hành động tương ứng
  • Slide 7Make yourself to be an expert!Đối tượng• MụcđíchgiámsátNgưỡng• XácđịnhngưỡngCảnh báo• PhươngthứccảnhbáoKích hoạt• Nhữnghànhđộng• Tài nguyên sửdụng• Hoạt động bấtthường• Email, sms• Chuông báo động• Thực thi scripts• Báo động• Điểm đặctrưng củađối tượng
  • Slide 8Make yourself to be an expert!MINH HỌAMôi trườngĐối tượngđược/bị chọnMôi trường được hiểu là môi trường làm việc, hoạt động của doanh nghiệp.Đối tượng được chọn lựa cho việc giám sát là những tài sản có giá trị mà doanh nghiệp mongmuốn bảo vệ.Tài sản của doanh nghiệp có thể là những tài sản vô hình hoặc tài sản hữu hình, các thông tinmật, các kế hoạch kinh doanh, bằng sáng chế, các công thức độc quyền ….
  • Slide 9Make yourself to be an expert!Các đặc tính đặc trưngXuân, Hạ, Thu,Đông sẽ khácnhau. Nhớ dùmCác đặc tính đặc trưng của đối tượng: dựa trên các đặc tính này để xác định ngưỡng hoạt độngcủa đối tượng trong những điều kiện nhất định và phán đoán những bất thường và thiết lậpnhững cảnh báo.Các thiết lập cảnh báo thường dựa trên các yếu tố của chính đối tượng được giám sát.Câu hỏi liên quan tới An ninh: các yếu tố xung quanh có ảnh hưởng hay không? Có thể chịuđựng được khi có vấn đề về an ninh xảy ra?Ví dụ: tình trạng cây tốt nhưng liệu có thể đứng vững trước bão?
  • Slide 10Make yourself to be an expert!CHƯƠNG TRÌNH MONITOR1. MRTG/PRTG2. Nagios3. Solarwinds4. Cola-soft5. Red-gate (SQL Monitor)6. Splunk7. OSSIM8. ………Một số chương trình Monitor thường được sử dụng trong doanh nghiệp.
  • Slide 11Make yourself to be an expert!VÍ DỤ DEMO NHỎ1. Demo 01: Teamviewer2. Demo 02: Teamviewer3. Demo 03:http://oriondemo.solarwinds.com/Orion/Login.aspx?ReturnUrl=%2f4. Demo 04: http://monitor.red-gate.com/Configuration/Custom-Metrics/Edit/11#/?v=15. Demo 05: http://demo.opmanager.com/Nội dung: Phần Demo 01, 02: sử dụng Cola-soft  không thể giám sát trên diện rộng, và khôngxác định được mục tiêu cần giám sát, và không trả lời được câu hỏi giám sát cho mục đích gì.Với Solarwinds: có thể triển khai trên diện rộng nhưng thiết bị không hỗ trợ cho công việc.Phần Demo 03, 04, 05: các Demo chỉ có giá trị cho việc hoạt động hằng ngày, và không phảnánh đúng những vấn đề về Security. Đa phần là giám sát các Performance của các thiết bị, ứngdụng… đó các công việc hằng ngày.
  • Slide 12Make yourself to be an expert!MỘT VÀI NHẬN XÉT1. Chọn đúng các Metrics để giám sát sẽ đemlại hiệu quả cao2. Việc giám sát cung cấp các thông tin hữu íchcho … công việc hằng ngày3. Không phản ánh được mức độ an ninh(Security)Nhận xét:• Sử dụng đúng chương trình để giám sát và nên xác định rõ mục tiêu giám sát và các tiêu chí(đặc trưng) cần giám sát, quan trọng nhất là: phải tập trung trên các tài sản của công ty/doanhnghiệp.• Tạo môi trường cần thiết cho việc giám sát: thiết bị, chương trình, khả năng lưu trữ, quy trìnhAudit …• Xác định mức độ an ninh hiện tại, áp dụng – tuân thủ các chuẩn của doanh nghiệp và mức độan ninh mong muốn trong tương lai.• Security monitoring cần phải trả lời được các câu hỏi:• Mức độ an ninh cho hệ thống đã đủ chưa?• Khả năng (%) bị tấn công / khả năng (%) phát hiện tấn công như thế nào?• Cần phải (các hành động) làm gì để duy trì / đạt được mức độ an ninh mongmuốn?• Số lượng các bản vá (patch) / các Migrate Control được triển khai?
  • Slide 13Make yourself to be an expert!MỘT VÀI NHẬN XÉT1. Chọn đúng các Metrics để giám sát sẽ đemlại hiệu quả cao2. Việc giám sát cung cấp các thông tin hữu íchcho … công việc hằng ngày3. Không phản ánh được mức độ an ninh(Security)Nhận xét:• Công việc hằng ngày là một công việc đòi hỏi sự giám sát rất chi tiết, phản ảnh trực tiếpnhững ‘điểm yếu’ của hệ thống• Một số công việc hằng ngày không phản ảnh đến mức độ an ninh: chẳng hạn như việc thựchiện một Backup có thể chiếm tài nguyên quá nhiều, xử lý các truy vấn quá nặng, hoặc đangthử nghiệm một chương trình nào đó, hoặc sự cố đứt cáp quang … Đó là những công việcquan trọng và có ảnh hưởng đến công việc doanh nghiệp nhưng thực tế không phản ánh đúngmức về An ninh.
  • Slide 14Make yourself to be an expert!Thế nào là giám sát an ninh …1. Đoạn phim 01:Đoạn phim Eagle Eye: phầm mở đầu – hệ thống giám sát và phân tích nhận dạng, hỗ trợ ra quyếtđịnh.• Việc phân tích của hệ thống giám sát đòi hỏi kỹ năng và nghiệp vụ cao và không được đề cậptrong hội thảo này.• Những phân tích của Monitoring được sử hỗ trợ cấu hình từ các dịch vụ khác như Snort,Firewall, Database … và được đánh giá dựa trên các Risk Assessment của doanh nghiệp.
  • Slide 15Make yourself to be an expert!Thế nào là giám sát an ninh …2. Đoạn phim 02:
  • Slide 16Make yourself to be an expert!SECURITY MONITORING1. Security monitoring không chỉ là:• Giám sát hệ thống mạng• Giám sát hoạt động của các chương trình/ứngdụng• Giám sát các hoạt động trên hệ thống mạng• Theo dõi tình trạng các phiên bản OS, patch, hệđiều hành …
  • Slide 17Make yourself to be an expert!2. mà còn bao gồm:• Các hoạt động liên quan tới dữ liệu (chống rò rỉdữ liệu)• Tuân thủ các chính sách đề ra (Compliance)• Số lượng các lỗ hổng/các bản vá triển khai…• Đào tạo nhận thức/chuyên môn
  • Slide 18Make yourself to be an expert!OSSIM1) Một giải pháp SIEM (Security Information &Event Management)2) Dựa trên mã nguồn mở (phiên bản 4 là phiênbản thương mại).3) Hỗ trợ các công cụ Security4) Trực quan và thực sự là một hệ thống giámsát an ninh.Giới thiệu:• OSSIM là dự án thử nghiệm của Ngân hàng Đông Á – trước đây Ngân hàng Đông Á sửdụng Splunk, có thể search trên Google, blog của Dương Ngọc Thái.• Đây là một giải pháp• Kết hợp với nhiều công cụ Security của mã nguồn mở, cũng như có các Plug-in hỗ trợ cácthiết bị phần cứng khác.
  • Slide 19Make yourself to be an expert!SƠ LƯỢC CÁC THÀNH PHẦNOSSIMSENSORASSETSCOMPLIANCERISKASSESSMENTINCIDENTRESPONSEKNOWLEDGEBASEThành phần quan trọng của OSSIM:• Assets: quản lý các Assets và tiến hành quét các lỗ hổng (Vulnerabilities), xây dựng mộtRisk Assessment.• Sensor: hỗ trợ các Sensor từ các thiết bị, phần mềm Security khác như Snort, HIPS (hostintrusion prevention), Firewall …• Compliance: hỗ trợ áp dụng các tuân thủ các chuẩn an ninh ‘quốc tế’ như ISO 27001 hoặcPCI DSS• Incident Response: quản lý các công việc phản ứng khi có sự cố, đồng thời giao việc chocác đối tượng phù hợp (bao gồm nhóm)• Knowledge Base: tổng hợp tri thức để cải thiện hệ thống.
  • Slide 20Make yourself to be an expert!SƠ LƯỢC CÁC THÀNH PHẦN (2)1. Sensor: các thành phần của IPS, IDS, HIPS…như Snort, OSSec, ….2. Asset:quản lý các tài sản cũng như việc xácđịnh các các nguy cơ trên các tài sản3. Compliance: hỗ trợ việc thực thi các chínhsách theo tiêu chuẩn ISO 27000 và PCI DSS
  • Slide 21Make yourself to be an expert!4. Risk Assessment và quản lý việc thực thi cácIncident Response dựa trên các Ticket vàAlarm.5. Tổng hợp tri thức (Knowledge Base)6. Report trực quanSƠ LƯỢC CÁC THÀNH PHẦN (3)
  • Slide 22Make yourself to be an expert!DEMO OSSIM1. Link download:• 32 bit:http://data.alienvault.com/alienvault_open_source_siem_3.1_32bits.iso• 64 bit:http://data.alienvault.com/alienvault_open_source_siem_3.1_64bits.iso2. OSSIM alientvault: là một Appliance, cài đặtnhư một hệ điều hành Linux thông thường.
  • Slide 23Make yourself to be an expert!DEMO OSSIM2. Tài liệu tham khảo:• Install Guide:• https://www.alienvault.com/wiki//doku.php?id=installation• Deployment Guide:• https://bloomfire-production.s3.amazonaws.com/crocodoc_documents/237216/original/OSSIM_Secure_Deployment_Guide_-_Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2RZDA&Expires=2147385600&Signature=yF%2B%2Bg3mappcu%2FSDNep8AmvVi70Y%3D&response-content-disposition=attachment
  • Slide 24Make yourself to be an expert!DEMO OSSIM3. Forum chính thức:• https://www.alienvault.com/forum/index.php4. Notes: tài khoản đăng nhập khi cài đặtOSSIM hoàn tất, admin/admin.
  • Slide 25Make yourself to be an expert!• Patch,updates• Zero-day• Chínhsách• CameraMôitrườngTuânthủHệthốngỨngdụngMôi trường: có nhiều giải pháp giám sát trên môi trường, Camera chỉ là một trong số đó, ngoàira còn có các việc thực hiện kiểm soát như bảo vệ…Tuân thủ: tuân thủ theo đúng các quy định được đề ra như ISO 27001 hoặc PCI DSS; việc thựcthi tuân thủ áp dụng trên các thiết bị, máy tính, đào tạo, kiểm soát rủi ro.Hệ thống: bao gồm toàn bộ các quy trình, chính sách, hệ thống mạng, ứng dụng …Patch/update: muốn chỉ đến các phần bổ sung, kiến thức cập nhật dành cho toàn hệ thống, khôngchỉ định riêng cho hệ thống mạng hoặc các OS.Ứng dụng: Zero-day – chỉ định những cách thức tấn công mới cần các hành động phán đoán,ngăn chặn trước bằng cách sử dụng lại các tri thức được tổng hợp. Nói một cách khác Zero-daylà điểm mù của hệ thống giám sát an ninh nên cần có các biện pháp kiểm soát.
  • Slide 26Make yourself to be an expert!SUY XÉT Privacy là vấn đề cần quan tâm Sự chấp nhận/đồng thuận của người dùng Chi phí cho việc thực hiện Quy trình Nhân tố con ngườiCác vấn đề thực sự quan tâm:• Yếu tố con người: nhân lực thực hiện, trình độ và sự chấp nhận của người dùng.• Privacy – đây là phạm trù của luật.• Sử dụng các giải pháp rời rạc không gắn kết với nhau là một nguy cơ, và vấn đề sẽ phát sinhkhi hệ thống lớn và ngày càng phải quản lý nhiều hơn.• Chi phí ẩn: việc lưu trữ theo đúng quy định của công ty (ổ cứng, các thiết bị dự phòng …)
  • Slide 27Make yourself to be an expert!DETECT chỉ là PHÁT HIỆN Thử thách: VIRUS < > I V U R S Khả năng phán đoán và ra quyết định Phân tích Logs / Events: Kỹ năng Phản ứng nhanh ……
  • Slide 28Make yourself to be an expert!VIDEO1) Tuân thủ chính sách:2) …cần update công nghệ: linkPhim Batman – Dark knight: (phút từ 31 – 35) thể hiện việc thực thi chính sách (giữ điện thoạicủa khách), khả năng bypass qua các Policy khi đi chung với ‘sếp’. Đoạn phim thứ hai cho biếtviệc thực thi đúng theo quy trình (giữ điện thoại khi khách không nhận lại)  nhưng điện thoạiđó là một thiết bị lạ và thực hiện hành động lạ (ra lệnh tắt điện tòa nha).Điện thoại có thể Scan lại sơ đồ tòa nhà (update về công nghệ)
  • Slide 29Make yourself to be an expert!NHỮNG GÌ BẠN CẦN1) Quy trình và sự khác biệt của riêng.2) Xây dựng giám sát an ninh đến mức độ nào:• Detect• Response• Prevent3) Kế hoạch hành động ngay từ bây giờ
  • Slide 30Make yourself to be an expert!Q & A
  • Slide 31Make yourself to be an expert!LỜI CẢM ƠN1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud2) Nguyễn Hải Long – trình bày Demo OSSIM3) Lê Vĩnh Đạt và công ty Optimum – cung cấptài nguyên Lab cho Cloud4) Nguyễn Phương Trường Anh, Phạm Ta Ni,Nguyễn Chấn Việt, Nguyễn Hải Long, TrầnChí Cần – nội dung thảo luận tiền đề cho hộithảo.