20% DN không biết mình có bị tấn công hay không
Theo khảo sát của Chi hội An toàn thông tin (ATTT) phía nam (VNISA phía nam), hiện chỉ có khoảng 1/3 số DN có khả năng nhận biết tiến công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng. Đặc biệt, có đến 20% tổ chức không biết mình có bị tấn công hay không. Bên cạnh đó, hầu hết các tổ chức đều có nhân sự chuyên trách cho công tác bảo đảm ATTT (77%) hoặc bán chuyên trách (51%), nhưng số lượng thực tế vẫn còn quá ít với đa số chỉ có từ 1-2 người (gần 50% yêu cầu).
Do đó, theo ý kiến của các chuyên gia về ATTT, để có thể đánh giá khái quát về bức tranh ATTT của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện từ các thiết bị, dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau.
Chưa kể đến, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời… gây thiệt hại lớn cho cơ quan, tổ chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi, giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống SIEM (Security Information and Event Management). Giải pháp này sẽ giúp quản lý nhật ký (log) trong toàn thể hệ thống của DN một cách tập trung, thay vì phải quản lý thủ công từng thiết bị một.
Nhờ đó, khi triển khai SIEM, hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Đồng thời, hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra.
Tuy nhiên, SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của DN như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của DN.
Ngoài ra, SIEM còn cho thấy sự tương quan sự kiện giữa các thiết bị bằng cách kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách ly chúng ra một mạng riêng và xử lí cuộc tấn công.
Do đó, với các DN, hệ thống SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này. Vì vậy, hệ thống SIEM cực kì cần thiết đối với các cơ quan nhà nước, ngân hàng, các DN tài chính, các tập đoàn công nghệ…
Tuy nhiên, các chuyên gia ATTT cũng lưu ý, SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus, mà chỉ là một thành phần trong hệ sinh thái giám sát ATTT cho DN. Bởi vì, khi sử dụng SIEM độc lập sẽ không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.
Ra đời dựa trên nhu cầu của các hệ thống thông tin tại Việt Nam
Theo Công ty An ninh mạng Viettel (VCS), việc đối phó với các cuộc tấn công quy mô lớn, kỹ thuật tinh vi gặp nhiều khó khăn khi các giải pháp kỹ thuật cũ gần như đã bị qua mặt, trong khi đó các sản phẩm mới trên thế giới lại chưa phù hợp với tình hình thực tế tại Việt Nam.
Trước thực trạng đó, VCS đã xác định làm chủ công nghệ, tự lực, tự cường xây dựng hệ sinh thái sản phẩm phục vụ quá trình giám sát ATTT, phát hiện sớm các bất thường, các cuộc tấn công nhắm vào các hệ thống quan trọng tại Việt Nam.
Từ đó, giải pháp SIEM VCS-CyM "Make in Viet Nam" của Viettel được xây dựng và phát triển 100% bởi các kỹ sư người Việt, dựa theo nhu cầu của các hệ thống thông tin tại Việt Nam. Toàn bộ công nghệ đều do Viettel tự phát triển, làm chủ và được vận hành bởi đội ngũ chuyên gia ATTT tại VCS.
Giải pháp này thuộc nhóm sản phẩm CyM Security Information and Event Management, là 1 trong những giải pháp quan trọng của Trung tâm Điều hành giám sát, xử lý sự cố ATTT (SOC) của VCS. Giải pháp VCS-CyM có 3 tầng xử lý dữ liệu gồm: Tầng Data Source thu thập dữ liệu từ các thiết bị, ứng dụng; Tầng SIEM Analysis giúp chuẩn hoá, làm mịn, phân loại và phân tích tương quan dữ liệu để phát hiện bất thường, tấn công, vi phạm chính sách; Tầng SIEM Console để tương tác với người dùng, hỗ trợ xử lý cảnh báo, điều tra thông tin từ hệ thống.
VCS-CyM phù hợp với khách hàng DN, cơ quan ban ngành để giám sát các hệ thống CNTT quan trọng của DN, hạ tầng trọng yếu quốc gia qua đó giúp chuẩn hoá và phân tích các sự kiện ATTT, giúp phát hiện sớm các cuộc tấn công mạng, các cuộc tấn công có chủ đích vào hệ thống DN. Hiện tại, VCS-CyM đang được sử dụng để giám sát cho nhiều hệ thống quan trọng của quốc gia. Một số khách hàng tiêu biểu của VCS-CyM bao gồm Vietnam Airlines, Vietcombank, MBBank….
Sản phẩm VCS-CyM có những ưu điểm, lợi thế bao gồm: Giám sát được tất cả các thành phần trong hệ thống CNTT của khách hàng như máy chủ, ứng dụng, thiết bị; Giám sát theo thời gian thực; Quản lý tập trung; Linh hoạt với nhiều mô hình tổ chức; Tri thức về ATTT được cập nhật liên tục; Kiến trúc triển khai mềm dẻo, dễ mở rộng theo quy mô của hệ thống.
"VCS-CyM còn cho phép xử lý lên đến 100.000 EPS (sự kiện/giây), dễ dàng mở rộng theo chiều ngang và được tích hợp với hệ thống Giám sát an toàn không gian mạng quốc gia", theo VCS.
Mới đây, Bộ TT&TT đã ban hành "Yêu cầu kỹ thuật có bản đối với sản phẩm quản lý và phân tích sự kiện ATTT" tại Quyết định số 1127/QĐ-BTTTT ngày 30/7/2021. Theo đó, các yêu cầu kỹ thuật cơ bản đối với sản phẩm Quản lý và phân tích sự kiện ATTT (SIEM) bao gồm: Yêu cầu về tài liệu; Yêu cầu về quản trị hệ thống; Yêu cầu về kiểm soát lỗi; Yêu cầu về log; Yêu cầu về hiệu năng xử lý; Yêu cầu về chức năng tự bảo vệ, Yêu cầu về chức năng phân tích tương quan sự kiện và cảnh báo.
Quyết định này cũng khuyến nghị cơ quan, tổ chức nghiên cứu, phát triển, lựa chọn, sử dụng sản phẩm SIEM đáp ứng các yêu cầu kỹ thuật cơ bản. Cục ATTT, Bộ TT&TT chủ trì, phối hợp với các cơ quan, tổ chức liên quan hướng dẫn việc áp dụng các yêu cầu.
Theo Cục ATTT, việc ban hành các yêu cầu kỹ thuật cơ bản này là một nội dung thực hiện nhiệm vụ đã được lãnh đạo Bộ TT&TT chỉ đạo, đó là đưa ra các yêu cầu kỹ thuật cơ bản cho 11 sản phẩm ATTT trong nước.
Cũng theo Cục ATTT, để xây dựng yêu cầu kỹ thuật cơ bản cho từng sản phẩm cụ thể, cơ quan này đã nghiên cứu, lựa chọn các tiêu chuẩn quốc tế như ISO/IEC, bộ tiêu chí đánh giá của các tổ chức uy tín trên thế giới như NIST, Gartner, ICSA Labs, ECSEC Laboratory. Bên cạnh đó, nhằm bảo đảm tính phù hợp và khả thi áp yêu cầu kỹ thuật đối với sản phẩm ATTT trong nước, Cục ATTT đã tổ chức làm việc với các DN trong nước để lựa chọn các yêu cầu an toàn phù hợp./.