So sánh giữa SIEM và DAM
Dễ nhận thấy SIEM và DAM có nhiều điểm tương đồng về mặt kiến trúc, đồng thời cũng có sự trùng lặp về cách thức xử lý thông tin. Nhìn vào kiến trúc của 2 giải pháp này có thể thấy nền tảng được thiết kế cho việc thu thập sự kiện, chuẩn hóa, phân tích và báo cáo, cả hai đều thu thập nhật ký cơ sở dữ liệu đồng thời cung cấp các quy tắc và giải pháp tuân thủ, báo cáo tuân thủ, hỗ trợ an ninh bảo mật và giảm thiểu chi phí.
Ngoài những điểm tương đồng nêu trên thì SIEM và DAM lại có nhiều điểm hoàn toàn khác nhau. Sự khác nhau thể hiện ở mức độ phân tích và đối tượng mà mỗi giải pháp nhắm đến.
DAM cung cấp khả năng phân tích chuyên sâu trên tầng cơ sở dữ liệu theo thời gian thực. Không chỉ cung cấp thông tin từng truy vấn tới cơ sở dữ liệu riêng rẽ mà còn cung cấp lưu lượng truy vấn nói chung. DAM áp dụng các kỹ thuật phân tích nội dung, ngữ cảnh và hành vi trên thông tin cơ sở dữ liệu mục tiêu, qua đó triển khai các chính sách đảm bảo tuân thủ phù hợp với nhu cầu tổ chức.
Các nhà cung cấp SIEM cho rằng họ có thể giám sát cơ sở dữ liệu, nhưng chỉ một vài nhà cung cấp thực sự có giải pháp giám sát hiệu quả. Đa số cung cấp khả năng kiểm tra (audit) chứ không phải giám sát cơ sở dữ liệu thực sự. Tuy nhiên, không có nghĩa rằng DAM là công nghệ tốt hơn mà nó chỉ khác ở mức độ tập trung.
SIEM cung cấp khả năng phân tích các cảnh báo bảo mật từ các ứng dụng và hạ tầng mạng theo thời gian thực, tạo báo cáo các sự kiện cần tiến hành điều tra thêm và phục vụ mục đích kiểm soát tuân thủ. DAM cũng cung cấp khả năng phân tích theo thời gian thực nhưng giới hạn trong phạm vi các hoạt động ở tầng cơ sở dữ liệu. Điều này khiến việc triển khai công nghệ DAM cho doanh nghiệp đơn giản hơn khi triển khai SIEM vì sẽ không phải xử lý vấn đề kết hợp dữ liệu nhật ký (log) từ nhiều thiết bị và ứng dụng khác nhau.
Tuy nhiên, bất kì hệ thống giám sát nào cũng vậy, để hoạt động hiệu quả cần xác định hành vi nào là bình thường và chấp nhận được trong môi trường hoạt động, đồng thời chỉ ra hành vi bất thường, không mong muốn. Một sản phẩm giám sát thiếu hụt khả năng nhận thức về ngữ cảnh hoặc sự hiểu biết về hành động tiêu chuẩn sẽ đưa ra các cảnh báo giả, ảnh hưởng đến năng suất và an toàn hệ thống. Do SIEM phải kết hợp dữ liệu từ nhiều nguồn, nên mất thời gian để hiểu được mối quan hệ giữa các sự kiện khác nhau, liên kết và phân biệt được đâu là mẫu bình thường, đâu là mẫu bất thường. Điều này giúp tránh các rắc rối không cần thiết từ việc tinh chỉnh sai, cảnh báo nhầm hay ảnh hưởng đến hiệu năng của hệ thống cần giám sát.
Để đầu tư vào DAM được hiệu quả, các tổ chức cần khảo sát một quy trình tương tự để so sánh và tinh chỉnh các ngưỡng sự kiện, nhằm đưa ra các cảnh báo đủ chi tiết và cần thiết giúp xác định sự kiện cần điều tra. Để giảm thiểu công sức khi triển khai và cấu hình cho bất cứ thiết bị nào, các tổ chức nên xác định rõ mục tiêu cần đạt được. Công nghệ được áp dụng cho việc xác định đe dọa, tuân thủ hay báo cáo kiểm toán, pháp lý? Liệu các cảnh báo và báo cáo có cần cập nhật theo thời gian thực hay chấp nhận trễ một ngày? Nếu mục đích chính là kiểm soát tuân thủ, phục vụ kiểm toán hay pháp lý thì DAM hay SIEM cần phân tích, báo cáo dựa trên các yêu cầu tuân thủ và chính sách của tổ chức.
DAM có thể là công nghệ quan trọng giúp bảo vệ dữ liệu nhạy cảm khỏi các cuộc tấn công từ cả bên trong lẫn bên ngoài tổ chức. Bổ sung thêm một lớp bảo vệ bằng cách giám sát phân quyền người dùng truy cập ứng dụng ngoài việc ghi nhật ký (log) cơ sở dữ liệu và các chức năng kiểm tra (audit). Đồng thời tăng mức độ bảo mật cơ sở dữ liệu qua việc phát hiện các hành vi cập nhật hay đọc dữ liệu bất thường từ tầng ứng dụng gửi xuống. Để triển khai các tác vụ này hiệu quả, đầu tiên cần giám sát hoạt động ứng dụng và đề xuất ranh giới cho các hành vi thông thường nhằm xác định một cuộc tấn công dựa trên độ sai lệch so với hoạt động và cấu trúc SQL bình thường, từ đó đưa ra các cảnh báo vi phạm chính sách.
Việc cấu hình và tối ưu hệ thống tiêu tốn khá nhiều thời gian và công sức của các tổ chức nhưng giúp hệ thống giám sát có khả năng phát hiện những vụ tấn công tinh vi nhất.
Nếu người quản trị quan tâm đến các công nghệ này và muốn lựa chọn giải pháp phù hợp nhất cho tổ chức của mình thì hãy tập trung vào các tình huống sử dụng của tổ chức mình. Không nên coi DAM như lựa chọn tốt nhất chỉ vì cần rà soát nhật ký cơ sở dữ liệu. Tương tự, SIEM mang đến một giải pháp giám sát sự kiện tổng thể nhưng không đồng nghĩa với việc có thể bảo mật cơ sở dữ liệu tốt. Cần hướng đến mục tiêu và tập trung vào các tình huống sử dụng cụ thể để có thể lựa chọn đúng công nghệ phù hợp. Đôi khi cần kết hợp cả hai.
Để tăng tính bảo mật cần tích hợp DAM vào SIEM
DAM và SIEM được áp dụng tương đối riêng rẽ trong quá khứ, nhưng hiện tại khi công nghệ bảo mật đã phát triển và theo đó là các mối đe dọa cũng biến chuyển, thì ranh giới giữa hai công nghệ này đã bắt đầu mờ nhạt dần.
Để có được cái nhìn tổng thể diễn biến hoạt động trong cơ sở dữ liệu cũng như môi trường xung quanh, các tổ chức cần đưa dữ liệu thu thập bởi DAM vào trong công cụ SIEM, thực hiện phân tích và giám sát.
Theo chuyên gia bảo mật Mike Rothman nhận định, lợi thế lớn nhất khi tích hợp DAM với SIEM là ngữ cảnh nó cung cấp: “Một cuộc tấn công cơ sở dữ liệu thường chỉ là một khía cạnh của một cuộc tấn công lớn hơn. DAM không giám sát được môi trường mạng, cấu hình máy chủ, hoạt động người dùng và nhiều vấn đề khác nữa”. Có thể cấu hình để SIEM phát hiện ra các mẫu trong tập dữ liệu lớn những thông tin về cơ sở dữ liệu chỉ là một trong số các đầu vào.
Theo Rick Caccia - Phó chủ tịch phụ trách mảng marketing tại hãng cung cấp phần mềm SIEM ArcSight: “Vấn đề thông thường với các sản phẩm DAM là hầu hết khách hàng không có ứng dụng trao đổi trực tiếp với một cơ sở dữ liệu; họ có một vài kiểu máy chủ chạy ứng dụng kết nối đến cơ sở dữ liệu, và chính máy chủ ứng dụng đó giữ kết nối đến cơ sở dữ liệu”. “Nó giống như một cái phễu mà tất cả các yêu cầu người dùng gửi đến ứng dụng đều đi qua đó. Vì vậy có thể một người dùng tên Rick đăng nhập và vấn tin danh sách khách hàng nhưng trên thực tế đối với cơ sở dữ liệu, Rick cũng chỉ được xem như là máy chủ ứng dụng”. Bằng cách đưa thông tin DAM vào hệ thống SIEM cho phép tổ chức dễ dàng liên kết một hành vi người dùng phát sinh từ tầng ứng dụng xuyên với truy vấn liên quan được gửi đến cơ sở dữ liệu.
Rick Cacci cũng cho biết: “Các tổ chức đưa nhật ký ứng dụng vào SIEM, đồng thời đưa nhật ký thu thập từ DAM vào SIEM, sau đó SIEM sẽ tìm ra mối liên hệ và liên kết các nhật ký này với nhau theo một chuỗi sự kiện có liên quan”. Có thể hình dung, tại một thời điểm nào đó, ứng dụng ghi lại hành động mà người dùng tên Fred thực hiện và chỉ ngay sau đó vài phần giây, DAM ghi lại truy vấn trên cơ sở dữ liệu với cùng loại thông tin. Khi đó, SIEM sẽ liên kết hai sự kiện này và suy đoán rất có thể “Fred” đã thực hiện tác vụ đó.
Cả Rothman và Caccia đều nhất trí rằng một trong những trở ngại lớn nhất khi tích hợp DAM vào SIEM không phải là vấn đề công nghệ vì thực tế các đối tác DAM và SIEM làm việc cùng nhau trong suốt nhiều năm qua, mà vấn đề là cuộc tranh luận nội bộ bên trong tổ chức. DAM thường nằm bên trong nhóm quản trị cơ sở dữ liệu còn SIEM thì thường thuộc quản lý của nhóm an ninh bảo mật. Do đó, việc kết hợp hai nhóm này cùng nhau làm việc có thể khó hơn việc tích hợp dữ liệu.
Theo Caccia, một trong những vấn đề cốt lõi là cuộc tranh luận từ lâu nay giữa hiệu năng và tính bảo mật. Để quá trình tích hợp trơn tru, trước tiên các tổ chức phải thống nhất được một bản thỏa thuận giữa các bên. Nếu không những nỗ lực tích hợp rất có thể sụp đổ khi mà các bên phụ trách các vấn đề khác nhau có những động lực khác nhau. Quản trị viên cơ sở dữ liệu sẽ chỉ thực hiện các tác vụ nhằm đảm bảo cơ sở dữ liệu chạy nhanh và không bao giờ phát sinh lỗi.
TÀI LIỆU THAM KHẢO 1. 2. 3. |
Vũ Mạnh Hùng
14:00 | 18/02/2020
10:00 | 09/04/2020
08:00 | 25/02/2020
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 27/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
15:00 | 04/08/2023
Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024