1. Make yourself to be an expert!
Luong Trung Thanh | 25/05/2013 |
thanh.luongtrung@lactien.com
Security Monitoring
2. Make yourself to be an expert!
Những thay đổi so với phiên bản gốc
1. Giới thiệu OSSIM là gì, và các tính năng.
2. Phần Demo OSSIM cung cấp các link
download và các tài liệu kèm theo.
3. Bổ sung thêm một số Notes đã trình bày
trong hội thảo.
3. Make yourself to be an expert!
LÝ DO CỦA HỘI THẢO
Nguyên nhân sâu xa:
• Một sự nhầm lẫn
&
• Một cuộc thảo luận … hơi căng thẳng
• Đó là lý do của hội thảo
5. Make yourself to be an expert!
MONITOR
Mục đích:
• Phát hiện những “bất thường”
• Liên tục và gần như là 24/24 x 7 x 365.25
• Cảnh báo & kích hoạt hành động
6. Make yourself to be an expert!
CÁC BƯỚC …
1. Xác định đối tượng được/bị giám sát
2. Xác định ngưỡng bất thường
3. Phương thức cảnh báo
4. Kích hoạt các hành động tương ứng
7. Make yourself to be an expert!
Đối tượng
• Mục
đích
giám
sát
Ngưỡng
• Xác
định
ngưỡng
Cảnh báo
• Phương
thức
cảnh
báo
Kích hoạt
• Những
hành
động
• Tài nguyên sử
dụng
• Hoạt động bất
thường
• Email, sms
• Chuông báo động
• Thực thi scripts
• Báo động
• Điểm đặc
trưng của
đối tượng
8. Make yourself to be an expert!
MINH HỌA
Môi trường
Đối tượng
được/bị chọn
9. Make yourself to be an expert!
Các đặc tính đặc trưng
Xuân, Hạ, Thu,
Đông sẽ khác
nhau. Nhớ dùm
10. Make yourself to be an expert!
CHƯƠNG TRÌNH MONITOR
1. MRTG/PRTG
2. Nagios
3. Solarwinds
4. Cola-soft
5. Red-gate (SQL Monitor)
6. Splunk
7. OSSIM
8. ………
11. Make yourself to be an expert!
VÍ DỤ DEMO NHỎ
1. Demo 01: Teamviewer
2. Demo 02: Teamviewer
3. Demo 03:
http://oriondemo.solarwinds.com/Orion/Logi
n.aspx?ReturnUrl=%2f
4. Demo 04: http://monitor.red-
gate.com/Configuration/Custom-
Metrics/Edit/11#/?v=1
5. Demo 05: http://demo.opmanager.com/
12. Make yourself to be an expert!
MỘT VÀI NHẬN XÉT
1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích
cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh
(Security)
13. Make yourself to be an expert!
MỘT VÀI NHẬN XÉT
1. Chọn đúng các Metrics để giám sát sẽ đem
lại hiệu quả cao
2. Việc giám sát cung cấp các thông tin hữu ích
cho … công việc hằng ngày
3. Không phản ánh được mức độ an ninh
(Security)
14. Make yourself to be an expert!
Thế nào là giám sát an ninh …
1. Đoạn phim 01:
15. Make yourself to be an expert!
Thế nào là giám sát an ninh …
2. Đoạn phim 02:
16. Make yourself to be an expert!
SECURITY MONITORING
1. Security monitoring không chỉ là:
• Giám sát hệ thống mạng
• Giám sát hoạt động của các chương trình/ứng
dụng
• Giám sát các hoạt động trên hệ thống mạng
• Theo dõi tình trạng các phiên bản OS, patch, hệ
điều hành …
17. Make yourself to be an expert!
2. mà còn bao gồm:
• Các hoạt động liên quan tới dữ liệu (chống rò rỉ
dữ liệu)
• Tuân thủ các chính sách đề ra (Compliance)
• Số lượng các lỗ hổng/các bản vá triển khai…
• Đào tạo nhận thức/chuyên môn
18. Make yourself to be an expert!
OSSIM
1) Một giải pháp SIEM (Security Information &
Event Management)
2) Dựa trên mã nguồn mở (phiên bản 4 là phiên
bản thương mại).
3) Hỗ trợ các công cụ Security
4) Trực quan và thực sự là một hệ thống giám
sát an ninh.
19. Make yourself to be an expert!
SƠ LƯỢC CÁC THÀNH PHẦN
OSSIM
SENSOR
ASSETS
COMPLIANCE
RISK
ASSESSMENT
INCIDENT
RESPONSE
KNOWLEDGE
BASE
20. Make yourself to be an expert!
SƠ LƯỢC CÁC THÀNH PHẦN (2)
1. Sensor: các thành phần của IPS, IDS, HIPS…
như Snort, OSSec, ….
2. Asset:quản lý các tài sản cũng như việc xác
định các các nguy cơ trên các tài sản
3. Compliance: hỗ trợ việc thực thi các chính
sách theo tiêu chuẩn ISO 27000 và PCI DSS
21. Make yourself to be an expert!
4. Risk Assessment và quản lý việc thực thi các
Incident Response dựa trên các Ticket và
Alarm.
5. Tổng hợp tri thức (Knowledge Base)
6. Report trực quan
SƠ LƯỢC CÁC THÀNH PHẦN (3)
22. Make yourself to be an expert!
DEMO OSSIM
1. Link download:
• 32 bit:
http://data.alienvault.com/alienvault_open_sourc
e_siem_3.1_32bits.iso
• 64 bit:
http://data.alienvault.com/alienvault_open_sourc
e_siem_3.1_64bits.iso
2. OSSIM alientvault: là một Appliance, cài đặt
như một hệ điều hành Linux thông thường.
23. Make yourself to be an expert!
DEMO OSSIM
2. Tài liệu tham khảo:
• Install Guide:
• https://www.alienvault.com/wiki//doku.php?id=installation
• Deployment Guide:
• https://bloomfire-
production.s3.amazonaws.com/crocodoc_documents/237216
/original/OSSIM_Secure_Deployment_Guide_-
_Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2R
ZDA&Expires=2147385600&Signature=yF%2B%2Bg3map
pcu%2FSDNep8AmvVi70Y%3D&response-content-
disposition=attachment
24. Make yourself to be an expert!
DEMO OSSIM
3. Forum chính thức:
• https://www.alienvault.com/forum/index.php
4. Notes: tài khoản đăng nhập khi cài đặt
OSSIM hoàn tất, admin/admin.
25. Make yourself to be an expert!
• Patch,
updates
• Zero-
day
• Chính
sách
• Camera
Môi
trường
Tuân
thủ
Hệ
thống
Ứng
dụng
26. Make yourself to be an expert!
SUY XÉT
Privacy là vấn đề cần quan tâm
Sự chấp nhận/đồng thuận của người dùng
Chi phí cho việc thực hiện
Quy trình
Nhân tố con người
27. Make yourself to be an expert!
DETECT chỉ là PHÁT HIỆN
Thử thách:
VIRUS < > I V U R S
Khả năng phán đoán và ra quyết định
Phân tích Logs / Events:
Kỹ năng
Phản ứng nhanh
……
28. Make yourself to be an expert!
VIDEO
1) Tuân thủ chính sách:
2) …cần update công nghệ: link
29. Make yourself to be an expert!
NHỮNG GÌ BẠN CẦN
1) Quy trình và sự khác biệt của riêng.
2) Xây dựng giám sát an ninh đến mức độ nào:
• Detect
• Response
• Prevent
3) Kế hoạch hành động ngay từ bây giờ
31. Make yourself to be an expert!
LỜI CẢM ƠN
1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud
2) Nguyễn Hải Long – trình bày Demo OSSIM
3) Lê Vĩnh Đạt và công ty Optimum – cung cấp
tài nguyên Lab cho Cloud
4) Nguyễn Phương Trường Anh, Phạm Ta Ni,
Nguyễn Chấn Việt, Nguyễn Hải Long, Trần
Chí Cần – nội dung thảo luận tiền đề cho hội
thảo.
Editor's Notes
Môitrườngđượchiểulàmôitrườnglàmviệc, hoạtđộngcủadoanhnghiệp.Đốitượngđượcchọnlựachoviệcgiámsátlànhữngtàisảncógiátrịmàdoanhnghiệpmongmuốnbảovệ.Tàisảncủadoanhnghiệpcóthểlànhữngtàisảnvôhìnhhoặctàisảnhữuhình, cácthông tin mật, cáckếhoạchkinhdoanh ….
Cácđặctínhđặctrưngcủađốitượng: dựatrêncácđặctínhnàyđểxácđịnhngưỡnghoạtđộngcủađốitượngtrongnhữngđiềukiệnnhấtđịnhvàphánđoánnhữngbấtthườngvàthiếtlậpnhữngcảnhbáo.Cácthiếtlậpcảnhbáothườngdựatrêncácyếutốcủachínhđốitượngđượcgiámsát.Câuhỏiliênquantới An ninh: cácyếutốxungquanhcóảnhhưởng hay không? Cóthểchịuđựngđượckhicóvấnđềvề an ninhxảyra?Vídụ: tìnhtrạngcâytốtnhưngliệucóthểđứngvữngtrướcbão?
Giớithiệu:OSSIM làdựánthửnghiệmcủaNgânhàngĐông Á – trướcđâyNgânhàngĐông Á sửdụngSplunk, cóthể search trên Google, blog củaDươngNgọcThái.ĐâylàmộtgiảiphápKếthợpvớinhiềucôngcụ Security củamãnguồnmở, cũngnhưcócác Plug-in hỗtrợcácthiếtbịphầncứngkhác.
Thànhphầnquantrọngcủa OSSIM:Assets: quảnlýcác Assets vàtiếnhànhquétcáclỗhổng (Vulnerabilities), xâydựngmột Risk Assessment.Sensor: hỗtrợcác Sensor từcácthiếtbị, phầnmềm Security khácnhư Snort, HIPS (host intrusion prevention), Firewall … Compliance: hỗtrợápdụngcáctuânthủcácchuẩn an ninh ‘quốctế’ như ISO 27001 hoặc PCI DSSIncident Response: quảnlýcáccôngviệcphảnứngkhicósựcố, đồngthờigiaoviệcchocácđốitượngphùhợp (baogồmnhóm)Knowledge Base: tổnghợp tri thứcđểcảithiệnhệthống.
Môitrường: cónhiềugiảiphápgiámsáttrênmôitrường, Camera chỉlàmộttrongsốđó, ngoàiracòncócácviệcthựchiệnkiểmsoátnhưbảovệ…Tuânthủ: tuânthủtheođúngcácquyđịnhđượcđềranhư ISO 27001 hoặc PCI DSS; việcthựcthituânthủápdụngtrêncácthiếtbị, máytính, đàotạo, kiểmsoátrủi ro.Hệthống: baogồmtoànbộcácquytrình, chínhsách, hệthốngmạng, ứngdụng … Patch/update: muốnchỉđếncácphầnbổ sung, kiếnthứccậpnhậtdànhchotoànhệthống, khôngchỉđịnhriêngchohệthốngmạnghoặccác OS.Ứngdụng: Zero-day – chỉđịnhnhữngcáchthứctấncôngmớicầncáchànhđộngphánđoán, ngănchặntrướcbằngcáchsửdụnglạicác tri thứcđượctổnghợp. Nóimộtcáchkhác Zero-day làđiểmmùcủahệthốnggiámsát an ninhnêncầncócácbiệnphápkiểmsoát.