giải pháp nâng cao năng lực bảo toàn hệ thống thông tin doanh nghiệp - mr Đỗ...
TRANSCRIPT
HỘI THẢOTĂNG CƯỜNG AN NINH MẠNG
HIỂM HỌA VÀ GIẢI PHÁPGiải pháp nâng cao năng lực bảo toàn hệ thống thông tin doanh nghiệp
Đỗ Đức Huy – CISSP, CEH, RSA CSP Chuyên gia tư vấn giải pháp công nghệ RSA /
SỰ BIẾN ĐỔI CỦA HẠ TẦNG THÔNG TIN
Biến đổi về hạ tầng kỹ thuật
Mobile Cloud
Khó khăn hơn trong quản lý thiết bị truy cập và hạ tầng kỹ thuật
Biến đổi về các nguy cơ an ninh thông tin
APTs
SophisticatedFraud
Khả năng theo dõi, phát hiện và phản ứng với nguy cơ an ninh cần phải thay
đổi
Biến đổi về nghiệp vụ
Phát sinh nguồn dữ liệu khổng lồ cần bảo vệ, phân tích và xử lý
ExtendedWorkforce
NetworkedValue
ChainsBig
Data
NGUY CƠ ĐỐI VỚI HỆ THỐNG THÔNG TIN Nguy cơ tự nhiên
Động đât
Lũ lụt
Con người Chiến tranh
Khủng bố
Nguy cơ An ninh mạng Phá hoại cá nhân
Cạnh tranh kinh doanh
An ninh quốc gia
MỘT SỐ CON SỐ THỐNG KÊ Gần 500 nguy cơ mã độc mới phát sinh mỗi phút Hơn 2 triệu mẫu ransomware đã được phát hiện Trung bình mỗi giây có khoảng 19 thông tin định danh bị lấy cắp bởi các hoạt
động trực tuyến trên toàn thế giới. 1,5 tỉ định danh bị lộ năm 2015 Tỉ lệ tấn công mạng tăng với tốc độ 47% Y/Y Năm 2009, số sự kiện tấn công mạng là 3,4 triệu. Năm 2015: gần 50 triệu với
thiệt hại trung bình là 3,8 triệu USD Các vụ thâm nhập do mã độc gia tăng 259% trong 5 tháng gần đây, gây tổn
thất, giảm doanh thu cho 1/3 các dịch vụ và ngừng hoạt động khoảng 20%
Nguồn: Osterman Research Aug 2016
THÁCH THỨC ĐỐI VỚI DOANH NGHIỆP
1. Sự gia tăng nhanh chóng của các phát minh và công nghệ mới - 72%
2. An ninh thông tin – 66%3. Gia tăng các yêu cầu tuân thủ, luật và pháp chế - 61%
4. Thiếu nhân lực trình độ cao – 34%
5. Sự đa dạng trong quản lý – 25%
6. Hoạt động của cổ đông – 20%
7. Sự cạnh tranh từ các đối thủ mới nổi – 4%
For tune June 4 , 2015 – CEO Survey
An ninh quốc giaBí mật kinh doanh
Các tổ chức được tài trợStuxnet
Gián điệpĐấu tranh chính trị
- Đối thủ cạnh tranh- Hacker chuyên nghiệpAurora
Tài chính Nhóm tội phạmZeus
Ngịch ngợmTrả thù
- Nội bộ- Hacker nghiệp dưCode Red
MỤC ĐÍCH TẤN CÔNG, THÂM NHẬP
CÁC SỰ KIỆN BẢO MẬT“Toàn bộ dữ liệu lưu giữ trên 3,262 trong tổng số 6,797 máy tính cá nhân và 837 trong tổng số 1,555 máy chủ đã bị xóa bỏ. Sony đã phải sử dụng lại các máy fax và mạng thoại và trả lương cho nhân viên qua phương pháp thủ công (paper check).”- Fortune, July 2015
“Cách nhanh nhất và hiệu quả nhất để khôi phục hệ thống của chúng tôi là là trả tiền cho ransom để lấy khóa mã hóa. Và với mục tiêu quan trọng nhất là khôi phục hoạt động ban đầu, chúng tôi đã phải làm vậy.” - Thư gửi từ CEO, Feb 17, 2016
Tháng 11 năm 2014, Sony bị tấn công và mất toàn bộ dữ liệu. Hacker thâm nhập vào hạ tầng thông tin trong 6 tháng trước khi thực hiện tấn công. Đối tượng tấn công đầu tiên là khả năng khôi phục dữ liệu do đó Sony không thể khôi phục hoàn toàn dữ liệu đã mất.
Tháng 2 năm 2016, Hollywood Presbyterian bị tấn công và dữ liệu hệ thống EMR bị mã hóa và khống chế bởi mã độc ransomware. Hơn 900 bệnh nhân đã phải chuyển sang cơ sở khác gây thiệt hại hàng triệu USD. Họ còn bị buộc phải trả tiền để lấy lại dữ liệu đã bị mã hóa.
Tháng 2 năm 2016, Ngân hàng TW Bangladesh bị tấn công và lấy cắp 951 triệu USD. Vụ việc bị ngăn chặn nhưng hơn 85 triệu USD đã bị chuyển đi mà không lấy lại được. Hacker đã thâm nhập trong môi trường đủ lâu để học và giả mạo dữ liệu chuyển tiền liên ngân hàng khi thực hiện khai thác.
“Mẫu mã độc được sử dụng trong sự kiện Bangladesh có nhiều điểm tương đồng với mẫu mã độc phát hiện ở Việt Nam năm 2015 và sự kiện Sony 2014. Chúng có thể xuất phát từ cùng một bộ exploit kit và được hacker sửa đổi để tấn công chủ đích.” - Nghiên cứu của BAE System – May 13, 2016
Tháng 5 năm 2016, hệ thống thông tin của bệnh viện Kansas bị mã hóa toàn bộ bởi ransomeware. Họ đã trả tiền để lấy khóa giải mã nhưng dữ liệu của họ cũng không thể khôi phục được
“Việc sao lưu dự phòng có kiểm soát sẽ làm giảm tác hại của phần mềm nguy hiểm này. Nếu các bạn có một bản sao lưu còn tốt của dữ liệu thì sẽ không cần phải trả tiền cho ransomeware như vậy. Để bảo toàn chi phí, sao lưu là hệ thống mà chúng tôi cũng như mọi tổ chức khác cần chú trọng đến.”- President, Dr. Greg Duick
BẢO VỆ HỆ THỐNG THÔNG TINFRAMEWORKS Các khía cạnh bảo vệ dữ liệu và hệ thống thông tin
CSIP
GIẢI PHÁP IRS – BẢO VỆ DỮ LIỆU
ISOLATE RECOVERY SYSTEM
Isolated Recovery System
Air Gap A B
DataDomain
DD Replication
Mgmt Host
Validation Hosts
Isolated Recovery System
Recovery Hosts
Avamar
High Variance!
High Variance!
GIẢI PHÁP CHO TRUNG TÂM BẢO MẬT SOCR S A N E T W I T N E S S S U I T E – T H E O D Õ I , P H Á T H I Ệ N V À Ứ N G C Ứ U
Tấn công xảy ra nghĩa là nó đã qua mặt được các kiểm soát bảo mật.
Sử dụng các tài khoản hợp lệ Giao diện điều khiển, tương tác tin cậyl Loại hình khai thác điểm yếu mới Kiên trì và có chủ đích
HIỆN TRẠNG BẢO MẬT HIỆN NAY
MaliciousTraffic
Firewall
Threat Actors
IDS/IPS
AntiVirus
Sandbox
APT Blocking
Tài sản thông tin
Khoảng trốngphòng thủ
Khả năng bị tấn công xảy
ra
GOOD: Nhận diện và ngăn chặn thành công nhiều cuộc tấn côngNgăn chặn phần lớn các loại tấn công đã được nhận dạng
BAD: Thống kê về các vụ việc bị tấn công vẫn diễn ra và gia tăngCác tổ chức lớn với hạ tầng phòng thủ hiện đại vẫn bị tấn công
KHẢ NĂNG THEO DÕI VÀ PHÂN TÍCH CHƯA ĐẦY ĐỦ
MaliciousTraffic
Firewall
Threat Actors
IDS/IPS
AntiVirus
Sandbox
APT Blocking
Tài sản thông tin
Khoảng trốngphòng thủ
Khả năng bị tấn công xảy
ra
Theo dõi phiến diện dựa trên sự kiện (log)Khó tương quan cảnh báo để nhận dạng các nguy cơ mớiThiếu thông tin để phân tích, điều tra truy vết
SIEM
Blocked Session
Blocked Session
Blocked Session
Alert
Alert
HOÀN THIỆN KHẢ NĂNG BẢO VỆ, PHÁT HIỆN VÀ ỨNG CỨU SỰ CỐ
MaliciousTraffic
Firewall
Threat Actors
IDS/IPS
AntiVirus
Sandbox
APT Blocking
Tài sản thông tin
SIEMLog/Event
Vision
Blocked Session
Blocked Session
Blocked Session
Alert
Alert
Full Packet CaptureEndpoint
Activities
Traffic VisionEndpoint
Vision
Theo dõiCảnh báo
Tương quan
Phân tíchĐiều traTruy vết
Quy trìnhChính sáchThông tin nghiệp vụ
KIẾN TRÚC THAM KHẢO THÀNH PHẦN CHỨC NĂNG SOC
Firewall IDS AV DDOS
Prevention
NAC Authentication DC Controller VDI
External Vuleribility & Threat Data
...
External Intelligent
3rd party Penetration Test
DataExternal Audit
VNCerts GovermentAuthorities
External Standards (ISO,
ITU…)
Mornitoring
Endpoint/Host monitoring
SIEM/Log Management
Network content Vision
Emergency Call CenterCorrelation
Flow monitoring
Dashboard
Alerting Reporting
Response
Incident Management
Content Analysis
Tool Expertises
Network Forensic & Investigate
Endpoint Forensic
Breach Response
Focused monitoring
Case Management Communication
Security Services
Alerting/notification
Security Monitoring
Security Consulting Svc
Penetration Testing
Incident Handling
Education/ Training
Business Context
Internal Intelligent
Assets/FacilitiesSystems/Business Owners
Humen Resource Internal Audit Legal
SOC Operation
Threat Management
SOC Manager
Tier 1 Analyst Tier 2 Detection & Incident Mgnt
SOC Portal
Tier 3 Advance IR Analysis
Shift Management
Vulerability Management
Implementation
SOC as a Service
GRC
Risk Management BCM/DRP Process Improvement
Compliance ManagementPolicy Management Identity
Management Audit management Asset management
Các giai đoạn tấn công
Các quy trình SOC
PHÁT HIỆN ĐIỀU TRA PHẢN ỨNG
Tổng hợp cảnh báo Đánh giá cảnh báo Lọc các cảnh báo sai Xác nhận sự cố
Điều tra truy vết Đánh giá ảnh hưởng Lên kế hoạch phục hồi Thông cáo xâm phạm
Thực thi kế hoạch Thông báo Phục hồi hệ thống Truy tìm nguyên nhân
Chuyên gia phân tích, CNTT, Nhân sự
Nhân sự
Năng lực
Chuyên gia phân tích CNTT, Pháp lý, Bên thứ 3…
Do thám Trang bị công cụ Phát tán Khai thác Hành độngLiên lạc ra bên ngoàiCài đặt
QUẢN LÝGiám đốc SOC/Giám đốc An ninh thông tin Chính sách I Độ sẵn sàng I KPIs I Báo cáo I Nhân sự
TRUNG TÂM VẬN HÀNH BẢO MẬT SOCS Ự T Ổ N G H Ò A C Ủ A C O N G N G Ư Ờ I – Q U Y T R Ì N H V À G I Ả I P H Á P C Ô N G N G H Ệ
Hạ tầng công nghệ Phòng chống Theo dõi/Cảnh báo Phản ứng/Xử lý
RSA SOC Solution
Threat IntelligenceThreat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
RSA Netwitness Suite
EndpointAnalysis
Security Operations Management Hosts
Incident Response
BreachResponse
SOCProgram
Mgmt.
Vulnerability
CMDB/Assets
Data Discovery
SIEM
Identity
Sources of Context
RSA SECURITY OPERATION MANAGEMENT FRAMEWORK
QUY TRÌNH XỬ LÝ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
Quy trình khuyến nghị
25+CIRC
Kinh nghiệmthực tế
THIẾT KẾ THEO KHUYẾN NGHỊ CHUẨN KẾT HỢP VỚI KINH NGHIỆM THỰC TẾ
Khung chương trình và các thuật ngữ
VERISFramework
SOC Manager
Tier 2 Analyst
Analysis & Tools Support Analyst
Tier 1 Analyst
Threat Intelligence Analyst
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
SOC Manager
Tier 2 Analyst
Analysis & Tools Support Analyst
Threat Intelligence Analyst
Tier 1 Analyst
Theo dõi thường trực 24/7 Đánh giá và phân loại sự kiện Điều tra sơ bộ Khoanh vùng sự cố
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
SOC Manager
Analysis & Tools Support Analyst
Tier 1 Analyst
Threat Intelligence Analyst
Tier 2 Analyst
Phân tích đảo mã các phần mềm độc hại Điều tra truy vết trên hệ thống mạng, máy tính Xác định nguyên nhân và nguồn gốc tấn công Đánh giá thất thoát dữ liệu
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
SOC Manager
Tier 2 Analyst
Analysis & Tools Support Analyst
Tier 1 Analyst
Threat Intelligence Analyst
Thu thập thông tin về mối nguy từ các nguồn Nhận diện và cảnh báo tấn công Nhận diện các mục tiêu giá trị cao
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
SOC Manager
Tier 2 Analyst
Tier 1 Analyst
Threat Intelligence Analyst
Analysis & Tools Support Analyst
Tích hợp Phát triển nội dung Báo cáo Cảnh báo và tạo luật phát hiện
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
Tier 2 Analyst
Analysis & Tools Support Analyst
Tier 1 Analyst
Threat Intelligence Analyst
SOC Manager
Quản lý đội ngũ Quản lý chuyển giao Theo dõi KPI Quản lý quy trình xử lý sự cố Báo cáo và phân tích ảnh hưởng kinh doanh
TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS
OnPrem
Cloud
GIẢI PHÁP HẠ TẦNG CÔNG NGHỆ SOCThu thập theo dõi và phân tích điều tra toàn diện trên endpoints, packet, log, flow và cloudRSA NETWITNESS LOG, PACKET, ENDPOINT
Investigation
Compliance Reporting
Endpoint Analysis
Session Reconstruction
Incident Management
Capture Time Data Enrichment
LIVE
LOGS
PACKETS
ENDPOINT
NETFLOW
ActionAnalysisVisibility
LIVE
Threat Intel | Biz Context RSA LIVE
Advanced Analytics
ENRICH
Rules | Parsers | DS Models Reports | Feeds
Powered by RSA Research, Incident Response & Engineering
LIVE
CÂU CHUYỆN THỰC TẾ
RANSOMWARE{SWIFT INCIDENT}
Giải pháp tổng thể cho SOC
Hạ tầng công nghệ triển khai linh hoạt theo giai đoạn
Tổ chức nhân sự phù hợp theo best practice
Quy trình, chính sách điều hành, tổ chức SOC
Phân tích điều tra truy vết chi tiết hiệu quả Log event
Network forensic
Endpoint forensic
Khả năng theo dõi, chi tiết và đầy đủ
SIEM: Log/Flow
Network traffic
Endpoint Activities
ĐIỂM KHÁC BIỆT CỦA GIẢI PHÁP RSA
B Ộ B A C Ô N G C Ụ C H I Ế N L Ư Ợ C C H O S O C
• Quản lý sự kiện bảo mật tập trung - SIEM
• Theo dõi, điều tra truy vết dữ liệu mạng - Network Forensics
• Theo dõi, điều tra trên thiết bị đầu cuối - Endpoint Detection & Response
“Giảm thiểu đáng kể cơ hội cho kẻ tấn công có đủ thời gian để đạt được các mục tiêu thâm nhập, gây thiệt hại cho hệ thống thông tin và nghiệp vụ”
G A R T N E R ’ S ” S O C N U C L E A R T R I A D ” O F V I S I B I L I T YA N T O N C H U V A K I N – G A R T N E R R E S E A R C H V P
Source: http://blogs.gartner.com/anton-chuvakin/2015/08/04/your-soc-nuclear-triad/
TRÂN TRỌNG CẢM ƠNQ & A