Giải pháp nâng cao năng lực bảo toàn hệ thống thông tin doanh nghiệp - Mr Đỗ Đức Huy

HỘI THẢOTĂNG CƯỜNG AN NINH MẠNG

HIỂM HỌA VÀ GIẢI PHÁPGiải pháp nâng cao năng lực bảo toàn hệ thống thông tin doanh nghiệp

Đỗ Đức Huy – CISSP, CEH, RSA CSP Chuyên gia tư vấn giải pháp công nghệ RSA /

SỰ BIẾN ĐỔI CỦA HẠ TẦNG THÔNG TIN

Biến đổi về hạ tầng kỹ thuật

Mobile Cloud

Khó khăn hơn trong quản lý thiết bị truy cập và hạ tầng kỹ thuật

Biến đổi về các nguy cơ an ninh thông tin

APTs

SophisticatedFraud

Khả năng theo dõi, phát hiện và phản ứng với nguy cơ an ninh cần phải thay

đổi

Biến đổi về nghiệp vụ

Phát sinh nguồn dữ liệu khổng lồ cần bảo vệ, phân tích và xử lý

ExtendedWorkforce

NetworkedValue

ChainsBig

Data

NGUY CƠ ĐỐI VỚI HỆ THỐNG THÔNG TIN Nguy cơ tự nhiên

Động đât

Lũ lụt

Con người Chiến tranh

Khủng bố

Nguy cơ An ninh mạng Phá hoại cá nhân

Cạnh tranh kinh doanh

An ninh quốc gia

MỘT SỐ CON SỐ THỐNG KÊ Gần 500 nguy cơ mã độc mới phát sinh mỗi phút Hơn 2 triệu mẫu ransomware đã được phát hiện Trung bình mỗi giây có khoảng 19 thông tin định danh bị lấy cắp bởi các hoạt

động trực tuyến trên toàn thế giới. 1,5 tỉ định danh bị lộ năm 2015 Tỉ lệ tấn công mạng tăng với tốc độ 47% Y/Y Năm 2009, số sự kiện tấn công mạng là 3,4 triệu. Năm 2015: gần 50 triệu với

thiệt hại trung bình là 3,8 triệu USD Các vụ thâm nhập do mã độc gia tăng 259% trong 5 tháng gần đây, gây tổn

thất, giảm doanh thu cho 1/3 các dịch vụ và ngừng hoạt động khoảng 20%

Nguồn: Osterman Research Aug 2016

THÁCH THỨC ĐỐI VỚI DOANH NGHIỆP

1. Sự gia tăng nhanh chóng của các phát minh và công nghệ mới - 72%

2. An ninh thông tin – 66%3. Gia tăng các yêu cầu tuân thủ, luật và pháp chế - 61%

4. Thiếu nhân lực trình độ cao – 34%

5. Sự đa dạng trong quản lý – 25%

6. Hoạt động của cổ đông – 20%

7. Sự cạnh tranh từ các đối thủ mới nổi – 4%

For tune June 4 , 2015 – CEO Survey

An ninh quốc giaBí mật kinh doanh

Các tổ chức được tài trợStuxnet

Gián điệpĐấu tranh chính trị

- Đối thủ cạnh tranh- Hacker chuyên nghiệpAurora

Tài chính Nhóm tội phạmZeus

Ngịch ngợmTrả thù

- Nội bộ- Hacker nghiệp dưCode Red

MỤC ĐÍCH TẤN CÔNG, THÂM NHẬP

CÁC SỰ KIỆN BẢO MẬT“Toàn bộ dữ liệu lưu giữ trên 3,262 trong tổng số 6,797 máy tính cá nhân và 837 trong tổng số 1,555 máy chủ đã bị xóa bỏ. Sony đã phải sử dụng lại các máy fax và mạng thoại và trả lương cho nhân viên qua phương pháp thủ công (paper check).”- Fortune, July 2015

“Cách nhanh nhất và hiệu quả nhất để khôi phục hệ thống của chúng tôi là là trả tiền cho ransom để lấy khóa mã hóa. Và với mục tiêu quan trọng nhất là khôi phục hoạt động ban đầu, chúng tôi đã phải làm vậy.” - Thư gửi từ CEO, Feb 17, 2016

Tháng 11 năm 2014, Sony bị tấn công và mất toàn bộ dữ liệu. Hacker thâm nhập vào hạ tầng thông tin trong 6 tháng trước khi thực hiện tấn công. Đối tượng tấn công đầu tiên là khả năng khôi phục dữ liệu do đó Sony không thể khôi phục hoàn toàn dữ liệu đã mất.

Tháng 2 năm 2016, Hollywood Presbyterian bị tấn công và dữ liệu hệ thống EMR bị mã hóa và khống chế bởi mã độc ransomware. Hơn 900 bệnh nhân đã phải chuyển sang cơ sở khác gây thiệt hại hàng triệu USD. Họ còn bị buộc phải trả tiền để lấy lại dữ liệu đã bị mã hóa.

Tháng 2 năm 2016, Ngân hàng TW Bangladesh bị tấn công và lấy cắp 951 triệu USD. Vụ việc bị ngăn chặn nhưng hơn 85 triệu USD đã bị chuyển đi mà không lấy lại được. Hacker đã thâm nhập trong môi trường đủ lâu để học và giả mạo dữ liệu chuyển tiền liên ngân hàng khi thực hiện khai thác.

“Mẫu mã độc được sử dụng trong sự kiện Bangladesh có nhiều điểm tương đồng với mẫu mã độc phát hiện ở Việt Nam năm 2015 và sự kiện Sony 2014. Chúng có thể xuất phát từ cùng một bộ exploit kit và được hacker sửa đổi để tấn công chủ đích.” - Nghiên cứu của BAE System – May 13, 2016

Tháng 5 năm 2016, hệ thống thông tin của bệnh viện Kansas bị mã hóa toàn bộ bởi ransomeware. Họ đã trả tiền để lấy khóa giải mã nhưng dữ liệu của họ cũng không thể khôi phục được

“Việc sao lưu dự phòng có kiểm soát sẽ làm giảm tác hại của phần mềm nguy hiểm này. Nếu các bạn có một bản sao lưu còn tốt của dữ liệu thì sẽ không cần phải trả tiền cho ransomeware như vậy. Để bảo toàn chi phí, sao lưu là hệ thống mà chúng tôi cũng như mọi tổ chức khác cần chú trọng đến.”- President, Dr. Greg Duick

BẢO VỆ HỆ THỐNG THÔNG TINFRAMEWORKS Các khía cạnh bảo vệ dữ liệu và hệ thống thông tin

CSIP

GIẢI PHÁP IRS – BẢO VỆ DỮ LIỆU

[email protected]

ISOLATE RECOVERY SYSTEM

Isolated Recovery System

Air Gap A B

DataDomain

DD Replication

Mgmt Host

Validation Hosts

Isolated Recovery System

Recovery Hosts

Avamar

High Variance!

High Variance!

GIẢI PHÁP CHO TRUNG TÂM BẢO MẬT SOCR S A N E T W I T N E S S S U I T E – T H E O D Õ I , P H Á T H I Ệ N V À Ứ N G C Ứ U

Tấn công xảy ra nghĩa là nó đã qua mặt được các kiểm soát bảo mật.

Sử dụng các tài khoản hợp lệ Giao diện điều khiển, tương tác tin cậyl Loại hình khai thác điểm yếu mới Kiên trì và có chủ đích

HIỆN TRẠNG BẢO MẬT HIỆN NAY

MaliciousTraffic

Firewall

Threat Actors

IDS/IPS

AntiVirus

Sandbox

APT Blocking

Tài sản thông tin

Khoảng trốngphòng thủ

Khả năng bị tấn công xảy

ra

GOOD: Nhận diện và ngăn chặn thành công nhiều cuộc tấn côngNgăn chặn phần lớn các loại tấn công đã được nhận dạng

BAD: Thống kê về các vụ việc bị tấn công vẫn diễn ra và gia tăngCác tổ chức lớn với hạ tầng phòng thủ hiện đại vẫn bị tấn công

KHẢ NĂNG THEO DÕI VÀ PHÂN TÍCH CHƯA ĐẦY ĐỦ

MaliciousTraffic

Firewall

Threat Actors

IDS/IPS

AntiVirus

Sandbox

APT Blocking


Khoảng trốngphòng thủ

Khả năng bị tấn công xảy

ra

Theo dõi phiến diện dựa trên sự kiện (log)Khó tương quan cảnh báo để nhận dạng các nguy cơ mớiThiếu thông tin để phân tích, điều tra truy vết

SIEM

Blocked Session

Blocked Session

Blocked Session

Alert

Alert

HOÀN THIỆN KHẢ NĂNG BẢO VỆ, PHÁT HIỆN VÀ ỨNG CỨU SỰ CỐ

MaliciousTraffic

Firewall

Threat Actors

IDS/IPS

AntiVirus

Sandbox

APT Blocking


SIEMLog/Event

Vision

Blocked Session

Blocked Session

Blocked Session

Alert

Alert

Full Packet CaptureEndpoint

Activities

Traffic VisionEndpoint

Vision

Theo dõiCảnh báo

Tương quan

Phân tíchĐiều traTruy vết

Quy trìnhChính sáchThông tin nghiệp vụ

KIẾN TRÚC THAM KHẢO THÀNH PHẦN CHỨC NĂNG SOC

Firewall IDS AV DDOS

Prevention

NAC Authentication DC Controller VDI

External Vuleribility & Threat Data

...

External Intelligent

3rd party Penetration Test

DataExternal Audit

VNCerts GovermentAuthorities

External Standards (ISO,

ITU…)

Mornitoring

Endpoint/Host monitoring

SIEM/Log Management

Network content Vision

Emergency Call CenterCorrelation

Flow monitoring

Dashboard

Alerting Reporting

Response

Incident Management

Content Analysis

Tool Expertises

Network Forensic & Investigate

Endpoint Forensic

Breach Response

Focused monitoring

Case Management Communication

Security Services

Alerting/notification

Security Monitoring

Security Consulting Svc

Penetration Testing

Incident Handling

Education/ Training

Business Context

Internal Intelligent

Assets/FacilitiesSystems/Business Owners

Humen Resource Internal Audit Legal

SOC Operation

Threat Management

SOC Manager

Tier 1 Analyst Tier 2 Detection & Incident Mgnt

SOC Portal

Tier 3 Advance IR Analysis

Shift Management

Vulerability Management

Implementation

SOC as a Service

GRC

Risk Management BCM/DRP Process Improvement

Compliance ManagementPolicy Management Identity

Management Audit management Asset management

Các giai đoạn tấn công

Các quy trình SOC

PHÁT HIỆN ĐIỀU TRA PHẢN ỨNG

Tổng hợp cảnh báo Đánh giá cảnh báo Lọc các cảnh báo sai Xác nhận sự cố

Điều tra truy vết Đánh giá ảnh hưởng Lên kế hoạch phục hồi Thông cáo xâm phạm

Thực thi kế hoạch Thông báo Phục hồi hệ thống Truy tìm nguyên nhân

Chuyên gia phân tích, CNTT, Nhân sự

Nhân sự

Năng lực

Chuyên gia phân tích CNTT, Pháp lý, Bên thứ 3…

Do thám Trang bị công cụ Phát tán Khai thác Hành độngLiên lạc ra bên ngoàiCài đặt

QUẢN LÝGiám đốc SOC/Giám đốc An ninh thông tin Chính sách I Độ sẵn sàng I KPIs I Báo cáo I Nhân sự

TRUNG TÂM VẬN HÀNH BẢO MẬT SOCS Ự T Ổ N G H Ò A C Ủ A C O N G N G Ư Ờ I – Q U Y T R Ì N H V À G I Ả I P H Á P C Ô N G N G H Ệ

Hạ tầng công nghệ Phòng chống Theo dõi/Cảnh báo Phản ứng/Xử lý

RSA SOC Solution

Threat IntelligenceThreat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions

RSA Netwitness Suite

EndpointAnalysis

Security Operations Management Hosts

Incident Response

BreachResponse

SOCProgram

Mgmt.

Vulnerability

CMDB/Assets

Data Discovery

SIEM

Identity

Sources of Context

RSA SECURITY OPERATION MANAGEMENT FRAMEWORK

QUY TRÌNH XỬ LÝ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS

Quy trình khuyến nghị

25+CIRC

Kinh nghiệmthực tế

THIẾT KẾ THEO KHUYẾN NGHỊ CHUẨN KẾT HỢP VỚI KINH NGHIỆM THỰC TẾ

Khung chương trình và các thuật ngữ

VERISFramework

SOC Manager

Tier 2 Analyst

Analysis & Tools Support Analyst

Tier 1 Analyst

Threat Intelligence Analyst

TỔ CHỨC NHÂN SỰ TRONG SOCGIẢI PHÁP RSA NETWITNESS SECOPS

SOC Manager

Tier 2 Analyst



Tier 1 Analyst

Theo dõi thường trực 24/7 Đánh giá và phân loại sự kiện Điều tra sơ bộ Khoanh vùng sự cố


SOC Manager


Tier 1 Analyst


Tier 2 Analyst

Phân tích đảo mã các phần mềm độc hại Điều tra truy vết trên hệ thống mạng, máy tính Xác định nguyên nhân và nguồn gốc tấn công Đánh giá thất thoát dữ liệu


SOC Manager

Tier 2 Analyst


Tier 1 Analyst


Thu thập thông tin về mối nguy từ các nguồn Nhận diện và cảnh báo tấn công Nhận diện các mục tiêu giá trị cao


SOC Manager

Tier 2 Analyst

Tier 1 Analyst



Tích hợp Phát triển nội dung Báo cáo Cảnh báo và tạo luật phát hiện


Tier 2 Analyst


Tier 1 Analyst


SOC Manager

Quản lý đội ngũ Quản lý chuyển giao Theo dõi KPI Quản lý quy trình xử lý sự cố Báo cáo và phân tích ảnh hưởng kinh doanh


OnPrem

Cloud

GIẢI PHÁP HẠ TẦNG CÔNG NGHỆ SOCThu thập theo dõi và phân tích điều tra toàn diện trên endpoints, packet, log, flow và cloudRSA NETWITNESS LOG, PACKET, ENDPOINT

Investigation

Compliance Reporting

Endpoint Analysis

Session Reconstruction

Incident Management

Capture Time Data Enrichment

LIVE

LOGS

PACKETS

ENDPOINT

NETFLOW

ActionAnalysisVisibility

LIVE

Threat Intel | Biz Context RSA LIVE

Advanced Analytics

ENRICH

Rules | Parsers | DS Models Reports | Feeds

Powered by RSA Research, Incident Response & Engineering

LIVE

CÂU CHUYỆN THỰC TẾ

RANSOMWARE{SWIFT INCIDENT}

Giải pháp tổng thể cho SOC

Hạ tầng công nghệ triển khai linh hoạt theo giai đoạn

Tổ chức nhân sự phù hợp theo best practice

Quy trình, chính sách điều hành, tổ chức SOC

Phân tích điều tra truy vết chi tiết hiệu quả Log event

Network forensic

Endpoint forensic

Khả năng theo dõi, chi tiết và đầy đủ

SIEM: Log/Flow

Network traffic

Endpoint Activities

ĐIỂM KHÁC BIỆT CỦA GIẢI PHÁP RSA

B Ộ B A C Ô N G C Ụ C H I Ế N L Ư Ợ C C H O S O C

• Quản lý sự kiện bảo mật tập trung - SIEM

• Theo dõi, điều tra truy vết dữ liệu mạng - Network Forensics

• Theo dõi, điều tra trên thiết bị đầu cuối - Endpoint Detection & Response

“Giảm thiểu đáng kể cơ hội cho kẻ tấn công có đủ thời gian để đạt được các mục tiêu thâm nhập, gây thiệt hại cho hệ thống thông tin và nghiệp vụ”

G A R T N E R ’ S ” S O C N U C L E A R T R I A D ” O F V I S I B I L I T YA N T O N C H U V A K I N – G A R T N E R R E S E A R C H V P

Source: http://blogs.gartner.com/anton-chuvakin/2015/08/04/your-soc-nuclear-triad/

TRÂN TRỌNG CẢM ƠNQ & A

Technology

Giải pháp nâng cao năng lực bảo toàn hệ thống thông tin doanh nghiệp - Mr Đỗ Đức Huy