Cuộc Cách mạng công nghiệp 4.0 đã và đang có những tác động mạnh mẽ đến mọi mặt của đời sống xã hội tại nhiều quốc gia trên thế giới và Việt Nam. Nó đã làm thay đổi cách thức sản xuất, chế tạo, hình thành các nhà máy thông minh, thành phố thông minh… Bất cứ quốc gia hay doanh nghiệp nào cũng không ngừng nỗ lực đẩy mạnh quá trình chuyển đổi số để phát huy nguồn tài nguyên số ngày càng đa dạng, phong phú.
Với sự phát triển mạnh mẽ của khoa học công nghệ, các nguy cơ gây mất an ninh, an toàn thông tin xảy ra ngày càng nhiều với hình thức và thủ đoạn ngày càng tinh vi, gây ra thiệt hại lớn về cả kinh tế, chính trị, uy tín cho các cơ quan, tổ chức. Đặc biệt, các cuộc tấn công phát tán mã độc ngày càng gia tăng về số lượng và hình thức tấn công, xuất hiện ngày các nhiều các loại mã độc mới, mã độc tấn công có chủ đích nhằm vào các cơ quan, tổ chức, cá nhân trong thời gian gần đây.
Trước những nguy cơ mất an ninh, an toàn thông tin trên không gian mạng, mỗi cơ quan, tổ chức cần phải có những biện pháp cụ thể để bảo vệ các hệ thống thông tin của mình. Tuy nhiên, đa số các cơ quan, doanh nghiệp tại Việt Nam vẫn phải đối mặt với bài toán khó trong việc đầu tư nguồn lực và các giải pháp bảo mật cho hệ thống tại đơn vị. Các giải pháp đảm bảo an ninh, an toàn thông tin đang được triển khai độc lập, quy mô nhỏ, chưa có khả năng phát hiện các cuộc tấn công quy mô lớn, các cuộc tấn công có chủ đích (APT). Do vậy, việc nghiên cứu, xây dựng, triển khai mô hình trung tâm điều hành an ninh mạng cho hệ thống mạng tại các cơ quan, doanh nghiệp là nhiệm vụ cấp thiết hiện nay.
SOC là một tổ chức gồm các chuyên gia an ninh mạng bảo mật nhiều kinh nghiệm, sử dụng các quy trình đánh giá, cảnh báo trên một hệ thống giám sát tập trung nhằm xử lý toàn bộ các vấn đề an ninh, an toàn thông tin. SOC liên tục giám sát, phân tích, báo cáo và ngăn chặn các mối đe dọa an ninh mạng, đồng thời ứng phó với các sự cố trên hệ thống máy tính. Hệ thống SOC là sự kết hợp giữa 3 yếu tố cốt lõi trong an toàn thông tin bao gồm: Con người, công nghệ và quy trình.
Con người: Là những chuyên gia trong mô hình SOC, họ được phân công thực hiện các nhiệm vụ rõ ràng để cùng vận hành hệ thống và đưa ra các quyết định xử lý, ứng phó sự cố khi cần thiết.
Công nghệ: Là các giải pháp giám sát, phân tích, phát hiện, điều tra, truy vết sự cố an ninh, an toàn mạng.
Quy trình: Là các quy định, quy trình, chính sách an ninh thông tin được triển khai trên hệ thống.
Thiết lập một SOC có thể hiểu là cải thiện khả năng phát hiện sự cố an ninh mạng thông qua sự hỗ trợ của các công nghệ giám sát và phân tích liên tục hoạt động dữ liệu thu thập được trong hệ thống mạng. Hệ thống SOC thường vận hành tuân theo của chiến lược gia quân sự Mỹ. Vòng lặp OODA là chuỗi các quá trình được thiết kế để xác định các phản ứng thích hợp và đưa ra quyết định cho những vấn đề, tình huống cụ thể. Chu trình vòng lặp OODA gồm 4 bước: Quan sát (Observe), Định hướng (Orient), Quyết định (Decide) và Hành động (Act).
Hình 1. Mô hình triển khai và vận hành SOC
Để triển khai hệ thống SOC các cơ quan, doanh nghiệp có thể nghiên cứu, xây dựng mô hình dựa trên các công nghệ bao gồm:
- Thu thập giám sát thu thập thông tin và quản lý sự kiện (Security Information and Event Management -SIEM) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký (log), các sự kiện an ninh từ thiết bị đầu cuối... được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung phát hiện nguy cơ tấn công mạng thông qua các bộ luật tương quan (correlation rule), giúp phát hiện các cuộc tấn công mà không thể phát hiện được bởi các giải pháp thông thường (IDS/IPS, Firewall,…). Bên cạnh đó, báo cáo về các sự kiện an ninh mạng của các tổ chức, phát hiện.
Hình 2. Hệ thống SIEM
- Điều phối, tự động hóa và phản ứng an ninh mạng (Security Orchestration, Automation and Response - SOAR) là một giải pháp cho phép các tổ chức, doanh nghiệp hoặc các trung tâm an ninh mạng tối ưu hóa các hoạt động bảo mật bên trong hệ thống. SOAR là giải pháp thu thập thông tin về các mối đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố mà không cần sự can thiệp của con người.
Hình 3. Hệ thống SOAR
- Phát hiện và phản hồi điềm cuối (Endpoint Detection and Response - EDR) là công nghệ có khả năng đưa ra quyết định và hành động đối với các sự cố an ninh mạng điểm cuối.
- Bên cạnh đó là sự hỗ trợ của một số phần mềm khác nhằm tự động hóa trong quá trình vận hành, điều hành an ninh mạng.
Việc triển khai hệ thống SOC tại các cơ quan, doanh nghiệp bước đầu sẽ gặp phải một số khó khăn, thách thức về mặt công nghệ áp dụng, quy trình xử lý và ứng phó sự cố an ninh mạng. Bên cạnh việc đầu tư trang thiết bị, cơ sở hạ tầng, thì việc thu thập bao nhiêu dữ liệu cho hệ thống SOC, thu thập từ những thiết bị nào cũng cần được cơ quan xem xét, việc xây dựng các luật ra sao, xây dựng các phản ứng như thế nào cũng cần được xem xét trước khi xây dựng mô hình.
Để giải quyết vấn đề này khi xây dựng hệ thống SOC, các nhà chức trách cần phải xây dựng các kịch bản tấn công và phòng thủ, nhận diện các nguy cơ mất an ninh mạng đối với hệ thống mạng của cơ quan, doanh nghiệp. Từ đó có thể xác định được phạm vi thu thập dữ liệu, định nghĩa các luật phát hiện nguy cơ, xây dựng các phương án phản ứng cho hệ thống.
Hiện nay, một số cơ sở dữ liệu, kiến thức sử dụng để xác định các kiểu tấn công, kỹ thuật tấn công có thể kể đến như xây dựng ma trận để định nghĩa 193 kiểu tấn công mạng khác nhau như Hình 4. Điều này tạo cơ sở để các cơ quan, doanh nghiệp xây dựng các luật và định nghĩa các hình thức phản ứng đối với hệ thống SOC.
Hình 4. Ma trận ATT&CK cho các cơ quan doanh nghiệp
.png)
Hình 5. Xây dựng hệ thống SOC dựa trên MITRE
Song song, việc đào tạo và xây dựng đội ngũ chuyên gia là yếu tố quan trọng để giải quyết các cuộc tấn công mới, không nằm trong định nghĩa của MITRE ATT&CK.
Việc triển khai hệ thống SOC đối với các cơ quan, doanh nghiệp hiện nay là xu hướng tất yếu. Theo thống kê của Bộ TT&TT, tỷ lệ các bộ, ngành, địa phương đã nâng từ mức 0% của các năm 2018, 2019 lên đạt 100% trong tháng 12/2020. Tuy nhiên, để triển khai và vận hành có hiệu quả thì việc kết hợp các yếu tố con người, quy trình, công nghệ vẫn là yếu tố then chốt và đóng vai trò quyết định hiệu quả của hệ thống. Việc chuẩn bị nhân lực, xây dựng quy trình theo OODA và ứng dụng MITRE ATT&CK sẽ có thể giúp cơ quan doanh nghiệp định hướng và thuận lợi để xây dựng được trung tâm điều hành an ninh mạng trong tương lai.
ThS. Nguyễn Ngọc Toàn
09:00 | 13/07/2021
16:00 | 07/12/2020
13:00 | 20/11/2020
09:00 | 20/08/2021
10:00 | 25/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
13:00 | 22/10/2024
Ngày 8/10, Tòa án Tối cao Brazil đã cho phép nền tảng xã hội X hoạt động trở lại tại nước này sau khi nộp phạt 5,23 triệu USD và chấp thuận tuân thủ các phán quyết của các nhà chức trách cũng như quy định pháp luật nước này.
13:00 | 07/10/2024
Với sự phát triển mạnh mẽ của ngành công nghiệp trò chơi điện tử (game online), việc các vật phẩm ảo có thể quy đổi thành giá trị tiền thật đã trở nên rất phổ biến. Điều này vô tình tạo cơ hội thuận lợi để kẻ tấn công thực hiện hành vi chiếm đoạt tài sản.
20:00 | 28/09/2024
Sau 8 giờ thi đấu sôi nổi, quyết liệt, đội UIT.CoS đến từ Đại học Công nghệ thông tin, Đại học Quốc gia TP. HCM đã xuất sắc giành chức quán quân cuộc thi An toàn và Bảo mật thông tin toàn quốc CIS 2024 lần đầu tiên được tổ chức tại Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ).
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Suốt chặng đường 79 năm xây dựng, chiến đấu và trưởng thành (12/9/1945 - 12/9/2024), ngành Cơ yếu Việt Nam luôn xứng đáng là lực lượng đặc biệt tin cậy, cùng toàn Đảng, toàn quân và toàn dân lập nên những chiến công hiển hách trong sự nghiệp đấu tranh giải phóng dân tộc, giành độc lập, tự do, thống nhất đất nước, xây dựng và bảo vệ Tổ quốc.
11:00 | 24/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
14:00 | 28/10/2024
Gã khổng lồ công nghệ Google hiện đang phải đối mặt với thách thức lớn nhất từ trước đến nay trong lĩnh vực quảng cáo trực tuyến khi trí tuệ nhân tạo bùng nổ.
09:00 | 29/10/2024
