Hệ thống giám sát an ninh mạng viết tắt là SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký, các sự kiện an ninh từ các thiết bị đầu cuối và được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an ninh mạng của tổ chức, phát hiện thông qua các bộ luật tương quan (correlation rule), giúp phát hiện các cuộc tấn công mà không thể phát hiện được bởi các giải pháp thông thường (IDS/IPS, Firewall…).
Hệ thống SIEM đã xuất hiện nhiều năm nay nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt. SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ. Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM.
Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau, do đó lợi ích thu được cũng khác nhau. Bài viết sẽ làm rõ ba lợi ít lớn nhất của SIEM:
- Quản lý tập trung
- Giám sát an ninh mạng
- Cải thiện hiệu quả trong hoạt động xử lý sự cố
Quản lý tập trung
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật ký (log) này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu nhật ký từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.
Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất nhiều công sức trong việc tập hợp báo cáo. Trong môi trường như vậy, cần phải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối, hoặc lấy dữ liệu định kì bằng cách thủ công từ mỗi thiết bị rồi tập hợp chúng lại và phân tích để thành một báo cáo. Khó khăn xảy ra là không nhỏ do sự khác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến các nhật ký sự kiện an ninh được ghi lại khác nhau. Chuyển đổi tất cả thông tin đó thành một định dang chung đòi hỏi việc phát triển hoặc tùy biến mã nguồn rất lớn.
Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và báo cáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc tế như Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley Act (SOX). Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ.
Giám sát an ninh mạng – SIEM
Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.
Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện của toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện cách li chúng ra một mạng riêng và xử lí cuộc tấn công.
Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phần mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa ra các cảnh báo.
Ngoài ra, rất nhiều hệ thống SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.
Để có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thập các IEM (các thông tin về các mối nguy hại, hình thức tấn công…) từ các nguồn bên ngoài đáng tin cậy. Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu cuối, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn, cách ly thiết bị đang tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ điểm đầu tiên.
Cải thiện hoạt động phát hiện và xử lý sự cố
Một lợi ích khác của các hệ thống SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:
- Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của cuộc tấn công vào doanh nghiệp.
- Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng bởi cuộc tấn công.
- Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn ra và cách ly các thiết bị đầu cuối đã bị xâm hại.
Lợi ích của các hệ thống SIEM khiến chúng trở nên cần thiết hơn bao giờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệp tài chính, các tập đoàn công nghệ…
Hệ thống SIEM cho phép tổ chức có được bức tranh toàn cảnh về các sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.