Trung tâm giám sát dịch vụ hành chính công
Khái niệm giám sát an toàn mạng
Theo Luật An ninh mạng 2018 [1], “Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý”. Nội dung bài viết này sẽ giúp người dùng tiếp cận giám sát an ninh mạng dưới góc độ đảm bảo an ninh, an toàn thông tin cho hệ thống thông tin và sử dụng thuật ngữ “Giám sát an toàn mạng” (Network Security Monitoring – NSM). Giám sát an toàn mạng bao gồm việc thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu an ninh mạng.
Với tiêu chí dựa trên chức năng, hoạt động giám sát an toàn mạng bao gồm:Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập và tấn công khai thác trái phép vào hệ thống. Các chức năng bao gồm đánh giá lỗ hổng, quản lý chống lại các phần mềm độc hại, đào tạo nâng cao nhận thức của người dùng và các nhiệm vụ đảm bảo thông tin khác.
Dò tìm (phát hiện): Tập trung vào việc phát hiện và phân tích các tấn công đang xảy ra theo thời gian thực hoặc đã xảy ra. Việc phát hiện xâm nhập mạng có thể dựa vào so sánh mẫu, dựa trên dấu hiệu bất thường hoặc phân tích trạng thái bất thường của giao thức.
Phản ứng: Tập trung vào việc phản ứng lại sau khi có một tấn công đã xảy ra. Chức năng bao gồm ngăn chặn sự cố, phân tích thiệt hại dựa trên máy chủ và các thành phần của hệ thống mạng, phân tích phần mềm độc hại và báo cáo sự cố.
Duy trì: Tập trung vào việc quản lý con người, tiến trình và côngnghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) để bảo vệ cho hệ thống mạng; đồng thời thường xuyên cập nhật các mẫu dữ liệu để phát hiện được các tấn công mới. Điều này bao gồm hợp đồng, biên chế, đào tạo, phát triển và triển khai công nghệ, quản lý các hệ thống hỗ trợ.
Chu trình giám sát an toàn mạng
Hoạt động giám sát an toàn mạng nhằm mục đích thu thập, phân tích tình hình để xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc tồn tại trong hệ thống mạng, giúp cảnh báo, khắc phục, xử lý kịp thời. Hoạt động giám sát an toàn mạng cần được thực hiện thường xuyên, liên tục. Chủ quản hệ thống thông tin cần xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo từ hệ thống giám sát để đề ra phương án ứng phó, khắc phục khẩn cấp. Chu trình giám sát an toàn mạng bao gồm ba giai đoạn: Thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu [1]:
Thu thập dữ liệu: Là quá trình được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong việc tạo, sắp xếp, lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ liệu trong hệ thống giám sát an toàn mạng. Thu thập dữ liệu bao gồm các nhiệm vụ chính: Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức; Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức; Xác định nguồn dữ liệu có liên quan; Tiền xử lý, chuẩn hoá nguồn dữ liệu thu thập được; Cấu hình cổng SPAN để thu thập dữ liệu gói tin; Xây dựng hệ thống lưu trữ SAN phục vụ lưu giữ nhật ký (log) và Cấu hình phần cứng và phần mềm thu thập dữ liệu.Phát hiện xâm nhập: Là quá trình theo dõi và phân tích các vấn đề xảy ra trong hệ thống để tìm kiếm dấu hiệu xâm nhập. Quá trình phát hiện xâm nhập thường được tự động hóa trở thành một sản phẩm phần mềm hoặc phần cứng, với một số gói phần mềm phổ biến như: Snort IDS và Bro IDS của hệ thống phát hiện xâm nhập mạng (NIDS); OSSEC, AIDE hoặc McAfee HIPS của hệ thống phát hiện xâm nhập máy chủ (HIDS). Một số ứng dụng như Quản lý sự kiện và thông tin bảo mật (Security Information and Event Management - SIEM) sẽ sử dụng cả dữ liệu dựa trên mạng và dữ liệu dựa trên máy chủ để phát hiện xâm nhập dựa trên các sự kiện liên quan.
Phân tích dữ liệu: Là giai đoạn được thực hiện khi một người diễn giải và xem xét dữ liệu cảnh báo. Điều này thường sẽ liên quan đến việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác. Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau: Phân tích gói tin; Phân tích mạng; Phân tích máy chủ và Phân tích phần mềm độc hại.
Hiện nay, giám sát an toàn mạng được thực hiện tại đường truyền mạng/luồng thông tin (là các gói tin thuộc lớp mạng) tại các cổng kết nối Internet; thực hiện giám sát hoạt động các ứng dụng, hệ thống thông tin thông qua nhật ký (log file) đã được lưu trữ; thực hiện giám sát bằng cách thu thập thông tin về nguy cơ, sự cố gây mất an toàn thông tin từ các nguồn thông tin khác.
Để ứng dụng mô hình này một cách hiệu quả hơn, một số hệ thống có thể bổ sung các giải pháp như: sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật tạo tên miền (Domain Generation Algorithms - DGA); ứng dụng các kỹ thuật học máy để xác định các hiểm hoạ an toàn thông tin, từ đó đưa ra cảnh báo sớm.
Khó khăn, thách thức trong hoạt động giám sát an toàn mạng
Sự ra đời của hệ thống giám sát an toàn mạng là một bước phát triển tiến bộ trong lĩnh an toàn thông tin mạng, tuy nhiên vẫn còn nhiều khó khăn, thách thức trong quá trình hoạt động.
Về mặt kỹ thuật: Với tốc độ phát triển nhanh chóng của công nghệ, các kỹ thuật tấn công phức tạp cũng được thiết kế đặc biệt để lẩn tránh khỏi sự phát hiện của các hệ thống bảo mật. Các cuộc tấn công mạng hiện nay thường sử dụng các kỹ thuật tinh vi khó bị hệ thống bảo mật phát hiện như tấn công sử dụng lỗ hổng zero-day, tấn công kỹ nghệ xã hội (Social Engeenering), tấn công phát tán mã độc, tấn công có chủ đích (APT)... Quản trị viên thường chỉ phát hiện ra tấn công khi đã có những thiệt hại nhất định trên hệ thống. Ngoài tấn công mạng, các hiểm họa tấn công từ chính trong mạng nội bộ, mạng LAN của cơ quan, tổ chức cũng là một trong những mối đe dọa an toàn thông tin nghiêm trọng. Các cuộc tấn công này rất khó bị phát hiện theo các cách thức và kỹ thuật thông thường.
Về mặt con người: Việc đào tạo, xây dựng đội ngũ nguồn nhân lực thực hiện giám sát mạng còn chưa được quan tâm đúng mức. Các chuyên gia giám sát an toàn mạng chưa phủ rộng được tất cả các cơ quan, tổ chức có sử dụng mạng hiện nay. Việc trang bị các kỹ năng thực hành cho đội ngũ quản trị viên để có được hiệu quả tốt trong giám sát an toàn mạng và ứng cứu sự cố mạng là một vấn đề khó khăn. Trình độ, kỹ năng về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưa đồng đều, dễ tạo ra lỗ hổng để tội phạm mạng lợi dụng, khai thác.
Về mặt chính sách: Chi phí cần thiết để xây dựng và duy trì một hệ thống giám sát an toàn mạng không nhỏ và không phải tổ chức nào cũng có thể đáp ứng được. Trong đó bao gồm chi phí phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức năng giám sát mạng, chi phí chi trả cho lực lượng chuyên gia để thực hiện phân tích giám sát an toàn mạng và chi phí để đầu tư cơ sở hạ tầng.
Kết luận
Với sự phát triển nhanh chóng của khoa học - công nghệ, xu hướng chuyển đối số diễn ra trong mọi lĩnh vực của đời sống xã hội, nhiều hình thức tấn công mạng mới sẽ xuất hiện nhằm vào các hệ thống thông tin quan trọng. Đây là những thách thức trong công tác đảm bảo an toàn, an ninh thông tin nói chung và công tác giám sát an toàn, an ninh mạng nói riêng. Mỗi cơ quan, doanh nghiệp cần tập trung nâng cao nguồn lực và triển khai có hiệu quả các giải pháp đảm bảo an toàn, an ninh thông tin góp phần quan trọng trong công tác bảo vệ an ninh mạng trong giai đoạn hiện nay.
