SlideShare a Scribd company logo

Monitoring event 20130525_chinhsua

Download as PPTX, PDF
Luong Trung Thanh
Luong Trung Thanh
1 of 31
Make yourself to be an expert! Luong Trung Thanh | 25/05/2013 | thanh.luongtrung@lactien.com Security Monitoring
Make yourself to be an expert! Những thay đổi so với phiên bản gốc 1. Giới thiệu OSSIM là gì, và các tính năng. 2. Phần Demo OSSIM cung cấp các link download và các tài liệu kèm theo. 3. Bổ sung thêm một số Notes đã trình bày trong hội thảo.
Make yourself to be an expert! LÝ DO CỦA HỘI THẢO Nguyên nhân sâu xa: • Một sự nhầm lẫn & • Một cuộc thảo luận … hơi căng thẳng • Đó là lý do của hội thảo
Make yourself to be an expert! MONITOR là …
Make yourself to be an expert! MONITOR Mục đích: • Phát hiện những “bất thường” • Liên tục và gần như là 24/24 x 7 x 365.25 • Cảnh báo & kích hoạt hành động
Make yourself to be an expert! CÁC BƯỚC … 1. Xác định đối tượng được/bị giám sát 2. Xác định ngưỡng bất thường 3. Phương thức cảnh báo 4. Kích hoạt các hành động tương ứng
Make yourself to be an expert! Đối tượng • Mục đích giám sát Ngưỡng • Xác định ngưỡng Cảnh báo • Phương thức cảnh báo Kích hoạt • Những hành động • Tài nguyên sử dụng • Hoạt động bất thường • Email, sms • Chuông báo động • Thực thi scripts • Báo động • Điểm đặc trưng của đối tượng
Make yourself to be an expert! MINH HỌA Môi trường Đối tượng được/bị chọn
Make yourself to be an expert! Các đặc tính đặc trưng Xuân, Hạ, Thu, Đông sẽ khác nhau. Nhớ dùm
Make yourself to be an expert! CHƯƠNG TRÌNH MONITOR 1. MRTG/PRTG 2. Nagios 3. Solarwinds 4. Cola-soft 5. Red-gate (SQL Monitor) 6. Splunk 7. OSSIM 8. ………
Make yourself to be an expert! VÍ DỤ DEMO NHỎ 1. Demo 01: Teamviewer 2. Demo 02: Teamviewer 3. Demo 03: http://oriondemo.solarwinds.com/Orion/Logi n.aspx?ReturnUrl=%2f 4. Demo 04: http://monitor.red- gate.com/Configuration/Custom- Metrics/Edit/11#/?v=1 5. Demo 05: http://demo.opmanager.com/
Make yourself to be an expert! MỘT VÀI NHẬN XÉT 1. Chọn đúng các Metrics để giám sát sẽ đem lại hiệu quả cao 2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày 3. Không phản ánh được mức độ an ninh (Security)
Make yourself to be an expert! MỘT VÀI NHẬN XÉT 1. Chọn đúng các Metrics để giám sát sẽ đem lại hiệu quả cao 2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày 3. Không phản ánh được mức độ an ninh (Security)
Make yourself to be an expert! Thế nào là giám sát an ninh … 1. Đoạn phim 01:
Make yourself to be an expert! Thế nào là giám sát an ninh … 2. Đoạn phim 02:
Make yourself to be an expert! SECURITY MONITORING 1. Security monitoring không chỉ là: • Giám sát hệ thống mạng • Giám sát hoạt động của các chương trình/ứng dụng • Giám sát các hoạt động trên hệ thống mạng • Theo dõi tình trạng các phiên bản OS, patch, hệ điều hành …
Make yourself to be an expert! 2. mà còn bao gồm: • Các hoạt động liên quan tới dữ liệu (chống rò rỉ dữ liệu) • Tuân thủ các chính sách đề ra (Compliance) • Số lượng các lỗ hổng/các bản vá triển khai… • Đào tạo nhận thức/chuyên môn
Make yourself to be an expert! OSSIM 1) Một giải pháp SIEM (Security Information & Event Management) 2) Dựa trên mã nguồn mở (phiên bản 4 là phiên bản thương mại). 3) Hỗ trợ các công cụ Security 4) Trực quan và thực sự là một hệ thống giám sát an ninh.
Make yourself to be an expert! SƠ LƯỢC CÁC THÀNH PHẦN OSSIM SENSOR ASSETS COMPLIANCE RISK ASSESSMENT INCIDENT RESPONSE KNOWLEDGE BASE
Make yourself to be an expert! SƠ LƯỢC CÁC THÀNH PHẦN (2) 1. Sensor: các thành phần của IPS, IDS, HIPS… như Snort, OSSec, …. 2. Asset:quản lý các tài sản cũng như việc xác định các các nguy cơ trên các tài sản 3. Compliance: hỗ trợ việc thực thi các chính sách theo tiêu chuẩn ISO 27000 và PCI DSS
Make yourself to be an expert! 4. Risk Assessment và quản lý việc thực thi các Incident Response dựa trên các Ticket và Alarm. 5. Tổng hợp tri thức (Knowledge Base) 6. Report trực quan SƠ LƯỢC CÁC THÀNH PHẦN (3)
Make yourself to be an expert! DEMO OSSIM 1. Link download: • 32 bit: http://data.alienvault.com/alienvault_open_sourc e_siem_3.1_32bits.iso • 64 bit: http://data.alienvault.com/alienvault_open_sourc e_siem_3.1_64bits.iso 2. OSSIM alientvault: là một Appliance, cài đặt như một hệ điều hành Linux thông thường.
Make yourself to be an expert! DEMO OSSIM 2. Tài liệu tham khảo: • Install Guide: • https://www.alienvault.com/wiki//doku.php?id=installation • Deployment Guide: • https://bloomfire- production.s3.amazonaws.com/crocodoc_documents/237216 /original/OSSIM_Secure_Deployment_Guide_- _Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2R ZDA&Expires=2147385600&Signature=yF%2B%2Bg3map pcu%2FSDNep8AmvVi70Y%3D&response-content- disposition=attachment
Make yourself to be an expert! DEMO OSSIM 3. Forum chính thức: • https://www.alienvault.com/forum/index.php 4. Notes: tài khoản đăng nhập khi cài đặt OSSIM hoàn tất, admin/admin.
Make yourself to be an expert! • Patch, updates • Zero- day • Chính sách • Camera Môi trường Tuân thủ Hệ thống Ứng dụng
Make yourself to be an expert! SUY XÉT  Privacy là vấn đề cần quan tâm  Sự chấp nhận/đồng thuận của người dùng  Chi phí cho việc thực hiện  Quy trình  Nhân tố con người
Make yourself to be an expert! DETECT chỉ là PHÁT HIỆN  Thử thách:  VIRUS < > I V U R S  Khả năng phán đoán và ra quyết định  Phân tích Logs / Events:  Kỹ năng  Phản ứng nhanh  ……
Make yourself to be an expert! VIDEO 1) Tuân thủ chính sách: 2) …cần update công nghệ: link
Make yourself to be an expert! NHỮNG GÌ BẠN CẦN 1) Quy trình và sự khác biệt của riêng. 2) Xây dựng giám sát an ninh đến mức độ nào: • Detect • Response • Prevent 3) Kế hoạch hành động ngay từ bây giờ
Make yourself to be an expert! Q & A
Make yourself to be an expert! LỜI CẢM ƠN 1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud 2) Nguyễn Hải Long – trình bày Demo OSSIM 3) Lê Vĩnh Đạt và công ty Optimum – cung cấp tài nguyên Lab cho Cloud 4) Nguyễn Phương Trường Anh, Phạm Ta Ni, Nguyễn Chấn Việt, Nguyễn Hải Long, Trần Chí Cần – nội dung thảo luận tiền đề cho hội thảo.

Recommended

Slide Notes Event Security Monitoring
Slide Notes Event Security MonitoringSlide Notes Event Security Monitoring
Slide Notes Event Security Monitoring
Luong Trung Thanh
 
Cai dat squid proxy trong suot
Cai dat squid proxy trong suotCai dat squid proxy trong suot
Cai dat squid proxy trong suot
THT
 
Fire wall
Fire wallFire wall
Fire wall
ICTU
 
Dịch vụ squid server
Dịch vụ squid serverDịch vụ squid server
Dịch vụ squid server
Tan Phat Phung
 
Squid proxy linux
Squid proxy linuxSquid proxy linux
Squid proxy linux
Phuc Tran
 
Slide nagios
Slide nagiosSlide nagios
Slide nagios
Minh Le
 
Bai giang kiem_toan
Bai giang kiem_toanBai giang kiem_toan
Bai giang kiem_toan
SaiGon University
 
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệpNhững nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
CIO Vietnam
 

Recommended

Slide Notes Event Security Monitoring
Slide Notes Event Security MonitoringSlide Notes Event Security Monitoring
Slide Notes Event Security Monitoring
Luong Trung Thanh
 
Cai dat squid proxy trong suot
Cai dat squid proxy trong suotCai dat squid proxy trong suot
Cai dat squid proxy trong suot
THT
 
Fire wall
Fire wallFire wall
Fire wall
ICTU
 
Dịch vụ squid server
Dịch vụ squid serverDịch vụ squid server
Dịch vụ squid server
Tan Phat Phung
 
Squid proxy linux
Squid proxy linuxSquid proxy linux
Squid proxy linux
Phuc Tran
 
Slide nagios
Slide nagiosSlide nagios
Slide nagios
Minh Le
 
Bai giang kiem_toan
Bai giang kiem_toanBai giang kiem_toan
Bai giang kiem_toan
SaiGon University
 
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệpNhững nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
CIO Vietnam
 
Advance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
Advance Penetration Test with Armitage - Nguyễn Trần Tường VinhAdvance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
Advance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
Security Bootcamp
 
Thu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitageThu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitage
Security Bootcamp
 
SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)
Security Bootcamp
 
Báo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmBáo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềm
Thuyet Nguyen
 
Chương 1.pdf
Chương 1.pdfChương 1.pdf
Chương 1.pdf
ChauNguyenThiMinh6
 
Dacs snort
Dacs snortDacs snort
Dacs snort
ntphong2702
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorter
nghia le trung
 
Keylogger
KeyloggerKeylogger
Keylogger
Golden Eyes
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
Nguyễn Thế Vinh
 
Nhom23 nessus
Nhom23 nessusNhom23 nessus
Nhom23 nessus
Trịnh Tuân
 
Isas semina
Isas seminaIsas semina
Isas semina
hoangt_ti22
 
Checkpoint r77
Checkpoint r77Checkpoint r77
Checkpoint r77
Minh Dương
 
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-soThuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
Vu Thu
 
Ispring suite
Ispring suiteIspring suite
Ispring suite
Van Vo
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng cao
ssuserd16c49
 
Malware - Thieu Mao - KSEC
Malware - Thieu Mao - KSECMalware - Thieu Mao - KSEC
Malware - Thieu Mao - KSEC
Thieu Mao
 
C03 chuan iso vebao mat
C03 chuan iso vebao matC03 chuan iso vebao mat
C03 chuan iso vebao mat
dlmonline24h
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorter
nghia le trung
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
Con Ranh
 
Cloud Control Matrix v3 - Security Bootcamp 2016
Cloud Control Matrix v3 - Security Bootcamp 2016Cloud Control Matrix v3 - Security Bootcamp 2016
Cloud Control Matrix v3 - Security Bootcamp 2016
Luong Trung Thanh
 
Cloud Security - What you Should Be Concerned About
Cloud Security - What you Should Be Concerned AboutCloud Security - What you Should Be Concerned About
Cloud Security - What you Should Be Concerned About
Luong Trung Thanh
 

More Related Content

Similar to Monitoring event 20130525_chinhsua

Thu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitageThu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitage
Security Bootcamp
 
SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)
Security Bootcamp
 
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-soThuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
Vu Thu
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
 

Similar to Monitoring event 20130525_chinhsua (20)

Advance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
Advance Penetration Test with Armitage - Nguyễn Trần Tường VinhAdvance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
Advance Penetration Test with Armitage - Nguyễn Trần Tường Vinh
 
Thu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitageThu 6 04 advance penetration test with armitage
Thu 6 04 advance penetration test with armitage
 
SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)SBC 2012 - Information Gathering (Lương Trung Thành)
SBC 2012 - Information Gathering (Lương Trung Thành)
 
Báo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềmBáo cáo môn đảm bảo chất lượng phần mềm
Báo cáo môn đảm bảo chất lượng phần mềm
 
Chương 1.pdf
Chương 1.pdfChương 1.pdf
Chương 1.pdf
 
Dacs snort
Dacs snortDacs snort
Dacs snort
 
Security standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorterSecurity standard-present-th07-2013-shorter
Security standard-present-th07-2013-shorter
 
Keylogger
KeyloggerKeylogger
Keylogger
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
 
Nhom23 nessus
Nhom23 nessusNhom23 nessus
Nhom23 nessus
 
Isas semina
Isas seminaIsas semina
Isas semina
 
Checkpoint r77
Checkpoint r77Checkpoint r77
Checkpoint r77
 
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-soThuyet minhtcvn-27042-giai-thich-bang-chung-so
Thuyet minhtcvn-27042-giai-thich-bang-chung-so
 
Ispring suite
Ispring suiteIspring suite
Ispring suite
 
Mạng máy tính nâng cao
Mạng máy tính nâng caoMạng máy tính nâng cao
Mạng máy tính nâng cao
 
Malware - Thieu Mao - KSEC
Malware - Thieu Mao - KSECMalware - Thieu Mao - KSEC
Malware - Thieu Mao - KSEC
 
C03 chuan iso vebao mat
C03 chuan iso vebao matC03 chuan iso vebao mat
C03 chuan iso vebao mat
 
Security standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorterSecurity standard-present-th06-2013-shorter
Security standard-present-th06-2013-shorter
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 

More from Luong Trung Thanh

Slide 2013 05_31_include_hidden_slide
Slide 2013 05_31_include_hidden_slideSlide 2013 05_31_include_hidden_slide
Slide 2013 05_31_include_hidden_slide
Luong Trung Thanh
 
Virtualization application(app v)
Virtualization application(app v)Virtualization application(app v)
Virtualization application(app v)
Luong Trung Thanh
 

More from Luong Trung Thanh (12)

Cloud Control Matrix v3 - Security Bootcamp 2016
Cloud Control Matrix v3 - Security Bootcamp 2016Cloud Control Matrix v3 - Security Bootcamp 2016
Cloud Control Matrix v3 - Security Bootcamp 2016
 
Cloud Security - What you Should Be Concerned About
Cloud Security - What you Should Be Concerned AboutCloud Security - What you Should Be Concerned About
Cloud Security - What you Should Be Concerned About
 
APP-V Present - Vietnamese
APP-V Present - VietnameseAPP-V Present - Vietnamese
APP-V Present - Vietnamese
 
PCI-DSS Funny (Vietnamese only)
PCI-DSS Funny (Vietnamese only)PCI-DSS Funny (Vietnamese only)
PCI-DSS Funny (Vietnamese only)
 
PCI-DSS Experience- Phan Canh Nhat Present on 13/11/2014
PCI-DSS Experience- Phan Canh Nhat Present on 13/11/2014PCI-DSS Experience- Phan Canh Nhat Present on 13/11/2014
PCI-DSS Experience- Phan Canh Nhat Present on 13/11/2014
 
The first slide
The first slide The first slide
The first slide
 
Main slinux
Main slinuxMain slinux
Main slinux
 
Slide 2013 05_31_include_hidden_slide
Slide 2013 05_31_include_hidden_slideSlide 2013 05_31_include_hidden_slide
Slide 2013 05_31_include_hidden_slide
 
Present 2013 05_31
Present 2013 05_31Present 2013 05_31
Present 2013 05_31
 
Main
MainMain
Main
 
Slide kinh nghiệm vận hành Cloud trên Amazon - Huỳnh Kỳ Anh
Slide kinh nghiệm vận hành Cloud trên Amazon - Huỳnh Kỳ AnhSlide kinh nghiệm vận hành Cloud trên Amazon - Huỳnh Kỳ Anh
Slide kinh nghiệm vận hành Cloud trên Amazon - Huỳnh Kỳ Anh
 
Virtualization application(app v)
Virtualization application(app v)Virtualization application(app v)
Virtualization application(app v)
 

Monitoring event 20130525_chinhsua

  • 1. Make yourself to be an expert! Luong Trung Thanh | 25/05/2013 | thanh.luongtrung@lactien.com Security Monitoring
  • 2. Make yourself to be an expert! Những thay đổi so với phiên bản gốc 1. Giới thiệu OSSIM là gì, và các tính năng. 2. Phần Demo OSSIM cung cấp các link download và các tài liệu kèm theo. 3. Bổ sung thêm một số Notes đã trình bày trong hội thảo.
  • 3. Make yourself to be an expert! LÝ DO CỦA HỘI THẢO Nguyên nhân sâu xa: • Một sự nhầm lẫn & • Một cuộc thảo luận … hơi căng thẳng • Đó là lý do của hội thảo
  • 4. Make yourself to be an expert! MONITOR là …
  • 5. Make yourself to be an expert! MONITOR Mục đích: • Phát hiện những “bất thường” • Liên tục và gần như là 24/24 x 7 x 365.25 • Cảnh báo & kích hoạt hành động
  • 6. Make yourself to be an expert! CÁC BƯỚC … 1. Xác định đối tượng được/bị giám sát 2. Xác định ngưỡng bất thường 3. Phương thức cảnh báo 4. Kích hoạt các hành động tương ứng
  • 7. Make yourself to be an expert! Đối tượng • Mục đích giám sát Ngưỡng • Xác định ngưỡng Cảnh báo • Phương thức cảnh báo Kích hoạt • Những hành động • Tài nguyên sử dụng • Hoạt động bất thường • Email, sms • Chuông báo động • Thực thi scripts • Báo động • Điểm đặc trưng của đối tượng
  • 8. Make yourself to be an expert! MINH HỌA Môi trường Đối tượng được/bị chọn
  • 9. Make yourself to be an expert! Các đặc tính đặc trưng Xuân, Hạ, Thu, Đông sẽ khác nhau. Nhớ dùm
  • 10. Make yourself to be an expert! CHƯƠNG TRÌNH MONITOR 1. MRTG/PRTG 2. Nagios 3. Solarwinds 4. Cola-soft 5. Red-gate (SQL Monitor) 6. Splunk 7. OSSIM 8. ………
  • 11. Make yourself to be an expert! VÍ DỤ DEMO NHỎ 1. Demo 01: Teamviewer 2. Demo 02: Teamviewer 3. Demo 03: http://oriondemo.solarwinds.com/Orion/Logi n.aspx?ReturnUrl=%2f 4. Demo 04: http://monitor.red- gate.com/Configuration/Custom- Metrics/Edit/11#/?v=1 5. Demo 05: http://demo.opmanager.com/
  • 12. Make yourself to be an expert! MỘT VÀI NHẬN XÉT 1. Chọn đúng các Metrics để giám sát sẽ đem lại hiệu quả cao 2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày 3. Không phản ánh được mức độ an ninh (Security)
  • 13. Make yourself to be an expert! MỘT VÀI NHẬN XÉT 1. Chọn đúng các Metrics để giám sát sẽ đem lại hiệu quả cao 2. Việc giám sát cung cấp các thông tin hữu ích cho … công việc hằng ngày 3. Không phản ánh được mức độ an ninh (Security)
  • 14. Make yourself to be an expert! Thế nào là giám sát an ninh … 1. Đoạn phim 01:
  • 15. Make yourself to be an expert! Thế nào là giám sát an ninh … 2. Đoạn phim 02:
  • 16. Make yourself to be an expert! SECURITY MONITORING 1. Security monitoring không chỉ là: • Giám sát hệ thống mạng • Giám sát hoạt động của các chương trình/ứng dụng • Giám sát các hoạt động trên hệ thống mạng • Theo dõi tình trạng các phiên bản OS, patch, hệ điều hành …
  • 17. Make yourself to be an expert! 2. mà còn bao gồm: • Các hoạt động liên quan tới dữ liệu (chống rò rỉ dữ liệu) • Tuân thủ các chính sách đề ra (Compliance) • Số lượng các lỗ hổng/các bản vá triển khai… • Đào tạo nhận thức/chuyên môn
  • 18. Make yourself to be an expert! OSSIM 1) Một giải pháp SIEM (Security Information & Event Management) 2) Dựa trên mã nguồn mở (phiên bản 4 là phiên bản thương mại). 3) Hỗ trợ các công cụ Security 4) Trực quan và thực sự là một hệ thống giám sát an ninh.
  • 19. Make yourself to be an expert! SƠ LƯỢC CÁC THÀNH PHẦN OSSIM SENSOR ASSETS COMPLIANCE RISK ASSESSMENT INCIDENT RESPONSE KNOWLEDGE BASE
  • 20. Make yourself to be an expert! SƠ LƯỢC CÁC THÀNH PHẦN (2) 1. Sensor: các thành phần của IPS, IDS, HIPS… như Snort, OSSec, …. 2. Asset:quản lý các tài sản cũng như việc xác định các các nguy cơ trên các tài sản 3. Compliance: hỗ trợ việc thực thi các chính sách theo tiêu chuẩn ISO 27000 và PCI DSS
  • 21. Make yourself to be an expert! 4. Risk Assessment và quản lý việc thực thi các Incident Response dựa trên các Ticket và Alarm. 5. Tổng hợp tri thức (Knowledge Base) 6. Report trực quan SƠ LƯỢC CÁC THÀNH PHẦN (3)
  • 22. Make yourself to be an expert! DEMO OSSIM 1. Link download: • 32 bit: http://data.alienvault.com/alienvault_open_sourc e_siem_3.1_32bits.iso • 64 bit: http://data.alienvault.com/alienvault_open_sourc e_siem_3.1_64bits.iso 2. OSSIM alientvault: là một Appliance, cài đặt như một hệ điều hành Linux thông thường.
  • 23. Make yourself to be an expert! DEMO OSSIM 2. Tài liệu tham khảo: • Install Guide: • https://www.alienvault.com/wiki//doku.php?id=installation • Deployment Guide: • https://bloomfire- production.s3.amazonaws.com/crocodoc_documents/237216 /original/OSSIM_Secure_Deployment_Guide_- _Location.pdf?AWSAccessKeyId=AKIAJ76YXHBP7FR2R ZDA&Expires=2147385600&Signature=yF%2B%2Bg3map pcu%2FSDNep8AmvVi70Y%3D&response-content- disposition=attachment
  • 24. Make yourself to be an expert! DEMO OSSIM 3. Forum chính thức: • https://www.alienvault.com/forum/index.php 4. Notes: tài khoản đăng nhập khi cài đặt OSSIM hoàn tất, admin/admin.
  • 25. Make yourself to be an expert! • Patch, updates • Zero- day • Chính sách • Camera Môi trường Tuân thủ Hệ thống Ứng dụng
  • 26. Make yourself to be an expert! SUY XÉT  Privacy là vấn đề cần quan tâm  Sự chấp nhận/đồng thuận của người dùng  Chi phí cho việc thực hiện  Quy trình  Nhân tố con người
  • 27. Make yourself to be an expert! DETECT chỉ là PHÁT HIỆN  Thử thách:  VIRUS < > I V U R S  Khả năng phán đoán và ra quyết định  Phân tích Logs / Events:  Kỹ năng  Phản ứng nhanh  ……
  • 28. Make yourself to be an expert! VIDEO 1) Tuân thủ chính sách: 2) …cần update công nghệ: link
  • 29. Make yourself to be an expert! NHỮNG GÌ BẠN CẦN 1) Quy trình và sự khác biệt của riêng. 2) Xây dựng giám sát an ninh đến mức độ nào: • Detect • Response • Prevent 3) Kế hoạch hành động ngay từ bây giờ
  • 30. Make yourself to be an expert! Q & A
  • 31. Make yourself to be an expert! LỜI CẢM ƠN 1) Nguyễn Chấn Việt – Cấu hình Lab trên Cloud 2) Nguyễn Hải Long – trình bày Demo OSSIM 3) Lê Vĩnh Đạt và công ty Optimum – cung cấp tài nguyên Lab cho Cloud 4) Nguyễn Phương Trường Anh, Phạm Ta Ni, Nguyễn Chấn Việt, Nguyễn Hải Long, Trần Chí Cần – nội dung thảo luận tiền đề cho hội thảo.

Editor's Notes

  1. Môitrườngđượchiểulàmôitrườnglàmviệc, hoạtđộngcủadoanhnghiệp.Đốitượngđượcchọnlựachoviệcgiámsátlànhữngtàisảncógiátrịmàdoanhnghiệpmongmuốnbảovệ.Tàisảncủadoanhnghiệpcóthểlànhữngtàisảnvôhìnhhoặctàisảnhữuhình, cácthông tin mật, cáckếhoạchkinhdoanh ….
  2. Cácđặctínhđặctrưngcủađốitượng: dựatrêncácđặctínhnàyđểxácđịnhngưỡnghoạtđộngcủađốitượngtrongnhữngđiềukiệnnhấtđịnhvàphánđoánnhữngbấtthườngvàthiếtlậpnhữngcảnhbáo.Cácthiếtlậpcảnhbáothườngdựatrêncácyếutốcủachínhđốitượngđượcgiámsát.Câuhỏiliênquantới An ninh: cácyếutốxungquanhcóảnhhưởng hay không? Cóthểchịuđựngđượckhicóvấnđềvề an ninhxảyra?Vídụ: tìnhtrạngcâytốtnhưngliệucóthểđứngvữngtrướcbão?
  3. Mộtsốchươngtrình Monitor thườngđượcsửdụngtrongdoanhnghiệp.
  4. Nội dung: Phần Demo 01, 02: sửdụng Cola-soft  khôngthểgiámsáttrêndiệnrộng, vàkhôngxácđịnhđượcmụctiêucầngiámsát, vàkhôngtrảlờiđượccâuhỏigiámsátchomụcđíchgì. VớiSolarwinds: cóthểtriểnkhaitrêndiệnrộngnhưngthiếtbịkhônghỗtrợchocôngviệc.Phần Demo 03, 04, 05: các Demo chỉcógiátrịchoviệchoạtđộnghằngngày, vàkhôngphảnánhđúngnhữngvấnđềvề Security. Đaphầnlàgiámsátcác Performance củacácthiếtbị, ứngdụng… đócáccôngviệchằngngày.
  5. Nhậnxét: Sửdụngđúngchươngtrìnhđểgiámsátvànênxácđịnhrõmụctiêugiámsátvàcáctiêuchí (đặctrưng) cầngiámsát, quantrọngnhấtlà: phảitậptrungtrêncáctàisảncủacôngty/doanhnghiệp.Tạomôitrườngcầnthiếtchoviệcgiámsát: thiếtbị, chươngtrình, khảnănglưutrữ, quytrình Audit …Xácđịnhmứcđộ an ninhhiệntại, ápdụng – tuânthủcácchuẩncủadoanhnghiệpvàmứcđộ an ninhmongmuốntrongtươnglai.Security monitoring cầnphảitrảlờiđượccáccâuhỏi:Mứcđộ an ninhchohệthốngđãđủchưa?Khảnăng (%) bịtấncông / khảnăng (%) pháthiệntấncôngnhưthếnào?Cầnphải (cáchànhđộng) làmgìđểduytrì / đạtđượcmứcđộ an ninhmongmuốn?Sốlượngcácbảnvá (patch) / các Migrate Control đượctriểnkhai?
  6. Nhậnxét:Côngviệchằngngàylàmộtcôngviệcđòihỏisựgiámsátrất chi tiết, phảnảnhtrựctiếpnhững ‘điểmyếu’ củahệthốngMộtsốcôngviệchằngngàykhôngphảnảnhđếnmứcđộ an ninh: chẳnghạnnhưviệcthựchiệnmột Backup cóthểchiếmtàinguyênquánhiều, xửlýcáctruyvấnquánặng, hoặcđangthửnghiệmmộtchươngtrìnhnàođó, hoặcsựcốđứtcápquang … Đólànhữngcôngviệcquantrọngvàcóảnhhưởngđếncôngviệcdoanhnghiệpnhưngthựctếkhôngphảnánhđúngmứcvề An ninh.
  7. Đoạnphim Eagle Eye: phầmmởđầu – hệthốnggiámsátvàphântíchnhậndạng, hỗtrợraquyếtđịnh.Việcphântíchcủahệthốnggiámsátđòihỏikỹnăngvànghiệpvụcaovàkhôngđượcđềcậptronghộithảonày.Nhữngphântíchcủa Monitoring đượcsửhỗtrợcấuhìnhtừcácdịchvụkhácnhư Snort, Firewall, Database … vàđượcđánhgiádựatrêncác Risk Assessment củadoanhnghiệp.
  8. Giớithiệu:OSSIM làdựánthửnghiệmcủaNgânhàngĐông Á – trướcđâyNgânhàngĐông Á sửdụngSplunk, cóthể search trên Google, blog củaDươngNgọcThái.ĐâylàmộtgiảiphápKếthợpvớinhiềucôngcụ Security củamãnguồnmở, cũngnhưcócác Plug-in hỗtrợcácthiếtbịphầncứngkhác.
  9. Thànhphầnquantrọngcủa OSSIM:Assets: quảnlýcác Assets vàtiếnhànhquétcáclỗhổng (Vulnerabilities), xâydựngmột Risk Assessment.Sensor: hỗtrợcác Sensor từcácthiếtbị, phầnmềm Security khácnhư Snort, HIPS (host intrusion prevention), Firewall … Compliance: hỗtrợápdụngcáctuânthủcácchuẩn an ninh ‘quốctế’ như ISO 27001 hoặc PCI DSSIncident Response: quảnlýcáccôngviệcphảnứngkhicósựcố, đồngthờigiaoviệcchocácđốitượngphùhợp (baogồmnhóm)Knowledge Base: tổnghợp tri thứcđểcảithiệnhệthống.
  10. Môitrường: cónhiềugiảiphápgiámsáttrênmôitrường, Camera chỉlàmộttrongsốđó, ngoàiracòncócácviệcthựchiệnkiểmsoátnhưbảovệ…Tuânthủ: tuânthủtheođúngcácquyđịnhđượcđềranhư ISO 27001 hoặc PCI DSS; việcthựcthituânthủápdụngtrêncácthiếtbị, máytính, đàotạo, kiểmsoátrủi ro.Hệthống: baogồmtoànbộcácquytrình, chínhsách, hệthốngmạng, ứngdụng … Patch/update: muốnchỉđếncácphầnbổ sung, kiếnthứccậpnhậtdànhchotoànhệthống, khôngchỉđịnhriêngchohệthốngmạnghoặccác OS.Ứngdụng: Zero-day – chỉđịnhnhữngcáchthứctấncôngmớicầncáchànhđộngphánđoán, ngănchặntrướcbằngcáchsửdụnglạicác tri thứcđượctổnghợp. Nóimộtcáchkhác Zero-day làđiểmmùcủahệthốnggiámsát an ninhnêncầncócácbiệnphápkiểmsoát.
  11. Cácvấnđềthựcsựquantâm:Yếutố con người: nhânlựcthựchiện, trìnhđộvàsựchấpnhậncủangườidùng.Privacy – đâylàphạmtrùcủaluật.Sửdụngcácgiảipháprờirạckhônggắnkếtvớinhaulàmộtnguycơ, vàvấnđềsẽphátsinhkhihệthốnglớnvàngàycàngphảiquảnlýnhiềuhơn.Chi phíẩn: việclưutrữtheođúngquyđịnhcủacôngty (ổ cứng, cácthiếtbịdựphòng …)
  12. Phim Batman – Dark knight: (phúttừ 31 – 35) thểhiệnviệcthựcthichínhsách (giữđiệnthoạicủakhách), khảnăng bypass qua các Policy khiđichungvới ‘sếp’. Đoạnphimthứhaichobiếtviệcthựcthiđúngtheoquytrình (giữđiệnthoạikhikháchkhôngnhậnlại)  nhưngđiệnthoạiđólàmộtthiếtbịlạvàthựchiệnhànhđộnglạ (ralệnhtắtđiệntòanha).Điệnthoạicóthể Scan lạisơđồtòanhà (update vềcôngnghệ)