Giải pháp giám sát ATTT tổng thể

Những năm gần đây, tình hình an ninh mạng diễn ra rất phức tạp. Các quốc gia không những coi an ninh mạng như một phương thức hiện quả mà còn sử dụng an ninh mạng như một vũ khí đấu tranh chính trị. Trong thời gian qua, hầu hết các cuộc tấn công mạng nhằm trực tiếp vào hệ thống của các tổ chức, đặc biệt là gần đây, đã có nhiều cuộc tấn công nhằm vào các website, cơ sở dữ liệu và hệ thống máy chủ của các cơ quan chính phủ gây thiệt hại, không những gây thiệt hại về uy tín mà tin tặc còn có thể chèn phần mềm gián điệp để thu thập thông tin lâu dài. Các đơn vị bị tấn công thường là các đơn vị lớn, có nhiều hệ thống quan trọng, do đó mỗi cuộc tấn công xảy ra thường đem theo tổn hại nặng nề.

Để phòng tránh tổn thất do hứng chịu các cuộc tấn công mạng, việc giám sát an toàn thông tin hệ thống và đưa ra phản ứng nhanh là rất quan trọng. Tuy nhiên, nhiều cơ quan, đơn vị còn gặp một số hạn chế trong việc giám sát, phát hiện và ngăn ngừa tấn công. Cụ thể như sau:

  • Chưa có hệ thống giám sát tập trung, đồng nhất.
  • Tự động phân tích, phát hiện, và gửi cảnh báo qua email và SMS khi bị tấn công, thay đổi giao diện.
  • Chưa có công cụ hỗ trợ phân tích logs, điều tra sự cố khi hệ thống bị tấn công.
  • Các hệ thống giám sát chưa có đầy đủ thông tin, dẫn đến không tìm ra nguyên nhân gốc.
  • Chưa có các giao diện trực quan để biểu diễn dữ liệu, phát hiện bất thường.
  • Chỉ giám sát được một số hệ thống quan trọng, không thể giám sát tốt khi hệ thống tăng lên về mặt quy mô, số lượng.

Nhằm giải quyết vấn đề cấp thiết này trước tình hình mới, trong thời gian qua, Công ty cổ phần công nghệ Giải pháp quốc tế VNCS Global đã nghiên cứu và phát triển giải pháp Giám sát An toàn thông tin tổng thể (Overall Security Monitoring). Với kinh nghiệm phát triển giải pháp đã VNCS Web Monitoring được các hội đồng khoa học trong nước công nhận thông qua các giải thưởng Sao khuê, Nhân tài đất Việt 2014. VNCS Web Monitoring cũng là giải pháp duy nhất của Việt Nam đạt giải ICT ASEAN 2014 do hội đồng bộ trưởng CNTT ASEAN trao tặng.

Overall Security Monitoring là một giải pháp giám sát an toàn thông tin tổng thể, bao quát nhất về toàn bộ sự kiện an toàn thông tin đang diễn ra trên hệ thống. Giải pháp hỗ trợ phân tích tự động, tìm ra nguyên nhân giúp người quản trị đưa ra phương án phản ứng nhanh, giảm thời gian nhận biết sự cố và tổng thời gian khắc phục sự cố

Overall Security Monitoring hoạt động trên nền tảng Bigdata Splunk Enterprise, thu thập và xử lý bằng các công nghệ Bigdata của Splunk, đồng thời được phát triển theo các giải thuật sáng tạo riêng và hoàn toàn có thể tùy biến theo các yêu cầu nghiệp vụ

TỔNG QUAN SẢN PHẨM

Dashboard giám sát tổng thể ATTT
Phân tích hành vi người dùng
Giám sát, điều tra các sự kiến tấn công ATTT
Giám sát cơ sở dữ liệu
Gửi cảnh báo khi xảy ra sự cố
Giám sát hành vi bất thường
Theo dõi, phát hiện malware
Giám sát hạ tầng mạng
Giám sát hạ tầng mạng

TÍNH NĂNG SẢN PHẨM

Có khả năng thu thập log từ nhiều nguồn dữ liệu máy khác nhau như: các máy chủ, các ứng dụng, các dữ liệu mạng bao gồm cả dữ liệu log, dữ liệu về các giao dịch, nhật ký cuộc gọi, dữ liệu từ điện thoại di động…
Có khả năng cảnh báo theo thời gian thực thông qua Email, Script, RSS, SNMP, Telegram
Giám sát chi tiết hiệu năng và tình trạng bảo mật các máy chủ, thiết bị phục vụ sự kiện
Đưa ra các cảnh báo khi có các cuộc tấn công vào hệ thống được giám sát
Thống kê số máy nhiễm virus/bot/malware trong hệ thống
Thống kê đăng nhập thất bại nhiều lần do sai username/password
Phát hiện sử dụng PowerShell đến gọi một dấu nhắc lệnh xác thực
Phát hiện tiến trình đáng ngờ được tạo như vssadmin.exe, certutil.exe,…
Giám sát Database đưa ra nội dung 20 dòng gần nhất với các keyword lỗi
Cảnh báo băng thông mạng máy tính người dùng tăng bất thường
Hỗ trợ việc giám sát toàn bộ các thiết bị và hỗ trợ phân tích log khi có sự cố xảy ra
Cung cấp giao diện thống kê tổng thể theo thời gian thực tình hình ATTT, các sự kiện xảy ra trên toàn bộ hệ thống được giám sát
Tổng hợp và hiển thị các thông tin các cảnh báo từ các thiết bị bảo mật đang phục vụ sự kiện
Phát hiện Nhiều đăng nhập thất bại với tài khoản Administrators
Phát hiện đăng nhập từ 1 nguồn tới nhiều đích (thành công & ko thành công)
Phát hiện leo thang đặc quyền (Windows, Linux)
Phát hiện tạo, sửa, xóa tài khoản (Local và Domain) bao gồm create, delete, disable/enable, lock/unlock, modify…
Phát hiện thay đổi rule FW (local, FW cứng, iptable….)
Thống kê tổng số connection đến hệ thống switch, router, đưa ra detail thời điểm người user truy cập đến.
Phát hiện hành vi clone, rename các service của windows (cmd.exe, powershell.exe…)
Phát hiện các từ khóa đã biết từ khai thác PowerShell

Giải pháp Giám sát An toàn thông tin tổng thể Overall Security Monitoring tập trung được xây dựng trên kiến trúc mở nên có thể dễ dàng mở rộng thêm các tính năng theo yêu cầu riêng. Sau khi triển khai giải pháp chúng tôi có thể phát triển thêm các tính năng trên nền tảng này. Overall Security Monitoring là công cụ hỗ trợ đắc lực cho người quản trị hệ thống có thể nắm bắt được tình hình hệ thống của trung tâm đang diễn ra như thế nào. Không chỉ giúp giảm tối đa thời gian và công sức cho quản trị viên mà còn giúp phát hiện kịp thời các cuộc tấn công vào các website của thông qua cảnh báo Email (hoặc SMS). Giải pháp cung cấp cơ chế giám sát liên tục và phân tích hoàn toàn tự động, phát hiện kịp thời khi có dấu hiệu về cuộc tấn công vào hệ thống.