Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN

PV| 24/09/2021 07:03
Theo dõi ICTVietnam trên

Trước thực trạng nhiều tổ chức không biết mình có bị tấn công hay không, giải pháp giám sát an ninh mạng VCS-CyM ra đời giúp phát hiện sớm các mối đe doạ, giảm thiểu ảnh hưởng tấn công mạng đến việc kinh doanh của doanh nghiệp (DN), cũng như giảm thiểu thời gian xác định điều tra, khắc phục sự cố.

20% DN không biết mình có bị tấn công hay không

Theo khảo sát của Chi hội An toàn thông tin (ATTT) phía nam (VNISA phía nam), hiện chỉ có khoảng 1/3 số DN có khả năng nhận biết tiến công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng. Đặc biệt, có đến 20% tổ chức không biết mình có bị tấn công hay không. Bên cạnh đó, hầu hết các tổ chức đều có nhân sự chuyên trách cho công tác bảo đảm ATTT (77%) hoặc bán chuyên trách (51%), nhưng số lượng thực tế vẫn còn quá ít với đa số chỉ có từ 1-2 người (gần 50% yêu cầu).

Do đó, theo ý kiến của các chuyên gia về ATTT, để có thể đánh giá khái quát về bức tranh ATTT của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau. 

Chưa kể đến, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời… gây thiệt hại lớn cho cơ quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi, giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống SIEM (Security Information and Event Management). Giải pháp này sẽ giúp quản lý nhật ký (log) trong toàn thể hệ thống của DN một cách tập trung, thay vì phải quản lý thủ công từng thiết bị một.

Nhờ đó, khi triển khai SIEM, hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Đồng thời, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. 

Tuy nhiên, SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của DN như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của DN.

Ngoài ra, SIEM còn cho thấy sự tương quan sự kiện giữa các thiết bị bằng cách kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách ly chúng ra một mạng riêng và xử lí cuộc tấn công.

Do đó, với các DN, hệ thống SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này. Vì vậy, hệ thống SIEM cực kì cần thiết đối với các cơ quan nhà nước, ngân hàng, các DN tài chính, các tập đoàn công nghệ…

Tuy nhiên, các chuyên gia ATTT cũng lưu ý, SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus, mà chỉ là một thành phần trong hệ sinh thái giám sát ATTT cho DN. Bởi vì, khi sử dụng SIEM độc lập sẽ không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.

Giải pháp giám sát “nội

Hệ thống VCS-CyM do Viettel làm chủ hiện được nhiều cơ quan sử dụng với tính hiệu quả cao.

Ra đời dựa trên nhu cầu của các hệ thống thông tin tại Việt Nam

Theo Công ty An ninh mạng Viettel (VCS), việc đối phó với các cuộc tấn công quy mô lớn, kỹ thuật tinh vi gặp nhiều khó khăn khi các giải pháp kỹ thuật cũ gần như đã bị qua mặt, trong khi đó các sản phẩm mới trên thế giới lại chưa phù hợp với tình hình thực tế tại Việt Nam.

Trước thực trạng đó, VCS đã xác định làm chủ công nghệ, tự lực, tự cường xây dựng hệ sinh thái sản phẩm phục vụ quá trình giám sát ATTT, phát hiện sớm các bất thường, các cuộc tấn công nhắm vào các hệ thống quan trọng tại Việt Nam.

Từ đó, giải pháp SIEM VCS-CyM "Make in Viet Nam" của Viettel được xây dựng và phát triển 100% bởi các kỹ sư người Việt, dựa theo nhu cầu của các hệ thống thông tin tại Việt Nam. Toàn bộ công nghệ đều do Viettel tự phát triển, làm chủ và được vận hành bởi đội ngũ chuyên gia ATTT tại VCS.

Giải pháp này thuộc nhóm sản phẩm CyM Security Information and Event Management, là 1 trong những giải pháp quan trọng của Trung tâm Điều hành giám sát, xử lý sự cố ATTT (SOC) của VCS. Giải pháp VCS-CyM có 3 tầng xử lý dữ liệu gồm: Tầng Data Source thu thập dữ liệu từ các thiết bị, ứng dụng; Tầng SIEM Analysis giúp chuẩn hoá, làm mịn, phân loại và phân tích tương quan dữ liệu để phát hiện bất thường, tấn công, vi phạm chính sách; Tầng SIEM Console để tương tác với người dùng, hỗ trợ xử lý cảnh báo, điều tra thông tin từ hệ thống.

VCS-CyM phù hợp với khách hàng DN, cơ quan ban ngành để giám sát các hệ thống CNTT quan trọng của DN, hạ tầng trọng yếu quốc gia qua đó giúp chuẩn hoá và phân tích các sự kiện ATTT, giúp phát hiện sớm các cuộc tấn công mạng, các cuộc tấn công có chủ đích vào hệ thống DN. Hiện tại, VCS-CyM đang được sử dụng để giám sát cho nhiều hệ thống quan trọng của quốc gia. Một số khách hàng tiêu biểu của VCS-CyM bao gồm Vietnam Airlines, Vietcombank, MBBank….

Sản phẩm VCS-CyM có những ưu điểm, lợi thế bao gồm: Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng như máy chủ, ứng dụng, thiết bị; Giám sát theo thời gian thực; Quản lý tập trung; Linh hoạt với nhiều mô hình tổ chức; Tri thức về ATTT được cập nhật liên tục; Kiến trúc triển khai mềm dẻo, dễ mở rộng theo quy mô của hệ thống. 

"VCS-CyM còn cho phép xử lý lên đến 100.000 EPS (sự kiện/giây), dễ dàng mở rộng theo chiều ngang và được tích hợp với hệ thống Giám sát an toàn không gian mạng quốc gia", theo VCS. 

Mới đây, Bộ TT&TT đã ban hành "Yêu cầu kỹ thuật có bản đối với sản phẩm quản lý và phân tích sự kiện ATTT" tại Quyết định số 1127/QĐ-BTTTT ngày 30/7/2021. Theo đó, các yêu cầu kỹ thuật cơ bản đối với sản phẩm Quản lý và phân tích sự kiện ATTT (SIEM) bao gồm: Yêu cầu về tài liệu; Yêu cầu về quản trị hệ thống; Yêu cầu về kiểm soát lỗi; Yêu cầu về log; Yêu cầu về hiệu năng xử lý; Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phân tích tương quan sự kiện và cảnh báo.

Quyết định này cũng khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm SIEM đáp ứng các yêu cầu kỹ thuật cơ bản. Cục ATTT, Bộ TT&TT chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu.

Theo Cục ATTT, việc ban hành các yêu cầu kỹ thuật cơ bản này là một nội dung thực hiện nhiệm vụ đã được lãnh đạo Bộ TT&TT chỉ đạo, đó là đưa ra các yêu cầu kỹ thuật cơ bản cho 11 sản phẩm ATTT trong nước.

Cũng theo Cục ATTT, để xây dựng yêu cầu kỹ thuật cơ bản cho từng sản phẩm cụ thể, cơ quan này đã nghiên cứu, lựa chọn các tiêu chuẩn quốc tế như ISO/IEC, bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới như NIST, Gartner, ICSA Labs, ECSEC Laboratory. Bên cạnh đó, nhằm bảo đảm tính phù hợp và khả thi áp yêu cầu kỹ thuật đối với sản phẩm ATTT trong nước, Cục ATTT đã tổ chức làm việc với các DN trong nước để lựa chọn các yêu cầu an toàn phù hợp./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Các dự đoán về AI năm 2025
    Năm 2024, chúng ta thấy trí tuệ nhân tạo (AI) đã chuyển từ giai đoạn thí điểm sang ứng dụng thương mại. Sang năm 2025, AI sẽ mở rộng triển khai toàn diện tại các doanh nghiệp.
  • 5 năm chuyển đổi số quốc gia
    Việt Nam là một quốc gia đầu tiên trên thế giới ban hành chương trình chuyển đổi số quốc gia, đưa Việt Nam trở thành quốc gia có nhận thức về chuyển đổi số, song hành cùng các quốc gia tiên tiến.
  • Chuyển đổi ngành công nghiệp viễn thông bằng trí tuệ nhân tạo
    Việc triển khai AI trên quy mô lớn và chuyển đổi sang các tổ chức gốc AI có thể là chìa khóa để thúc đẩy tăng trưởng và đổi mới cho các công ty viễn thông
  • Hy Lạp triển khai ứng dụng giúp bảo vệ trẻ em trên mạng
    Ngày 30/12, Hy Lạp đã công bố kế hoạch tăng cường quyền giám sát của phụ huynh đối với việc sử dụng thiết bị di động của trẻ em vào năm 2025 thông qua một ứng dụng do chính phủ điều hành.
  • Các xu hướng khai thác zero-day hàng đầu trong năm 2024
    Các lỗ hổng chưa được vá luôn là những điểm yếu để tin tặc xâm nhập vào hệ thống CNTT của doanh nghiệp. Hoạt động của tội phạm mạng xung quanh lỗ hổng zero-day cho thấy các xu hướng chính mà bộ phận an ninh mạng cần lưu ý.
  • VNPT 2024: Những dấu ấn nổi bật
    Không chỉ giữ vững thị phần với các dịch vụ trọng điểm, đạt mức tăng trưởng 7% so với cùng kỳ, năm 2024, Tập đoàn Bưu chính viễn thông Việt Nam (VNPT) còn ghi dấu ấn với nhiều hoạt động ý nghĩa, khẳng định trách nhiệm với cộng đồng.
  • Tổng Bí thư Tô Lâm: Kỷ nguyên vươn mình của dân tộc là kỷ nguyên phát triển bứt phá
    Nhân dịp năm mới Ất Tỵ 2025 và kỷ niệm 95 năm Ngày thành lập Đảng Cộng sản Việt Nam quang vinh (3/2/1930 - 3/2/2025), Tổng Bí thư Tô Lâm đã dành thời gian trả lời phỏng vấn TTXVN.
  • Các thảm họa CNTT lớn năm 2024
    Sự cố lớn của CrowdStrike đã làm lu mờ hầu hết các thảm họa CNTT khác, nhưng năm nay chúng ta còn chứng kiến việc ​​các hệ thống CNTT cáo buộc nhân viên trộm cắp, và các nhà sản xuất PC bán thiết bị có chứa phần mềm độc hại.
  • Hợp tác để quảng bá các sản phẩm công nghệ số "Make in Viet Nam"
    Bộ TT&TT và Liên đoàn Thương mại và Công nghiệp Việt Nam (VCCI) đã ký thỏa thuận hợp tác về hỗ trợ xúc tiến đầu tư, thương mại sản phẩm công nghệ số Make in Viet Nam phục vụ chuyển đổi số, phát triển kinh tế số và xã hội số giai đoạn 2024 - 2026, tầm nhìn 2030.
  • Bộ Tài chính Mỹ bị tin tặc tấn công
    Bộ Tài chính Mỹ cho biết vào ngày 30/12 (theo giờ địa phương) rằng đã có một vụ xâm nhập mạng trái phép vào một số máy trạm của họ.
Giải pháp giám sát “nội" giúp phát hiện sớm các cuộc tấn công cho DN
POWERED BY ONECMS - A PRODUCT OF NEKO