Giám sát An toàn thông tin là một hoạt động quan trọng trong việc phát hiện sớm các chuỗi tấn công nhắm vào các cơ quan, tổ chức và doanh nghiệp. Hiện nay, có nhiều xu hướng và quan điểm trong việc xây dựng Trung tâm Giám sát An toàn thông tin (Security Operation Center – SOC) vì thế các tổ chức, doanh nghiệp gặp khó khăn trong việc định hướng xây dựng Trung tâm Giám sát An toàn thông tin một cách hiệu quả. Kaspersky là hãng bảo mật hàng đầu thế giới, hiện nay cũng đang cung cấp dịch vụ Giám sát bảo mật cho các khách hàng trên toàn cầu (Kaspersky Managed Detection and Response). NTS là nhà phân phối độc quyền của Kaspersky tại Việt Nam và chúng tôi mang đến thị trường không chỉ dịch vụ giám sát bảo mật của Kaspersky mà còn bao gồm dịch vụ tư vấn, hỗ trợ khách hàng tự xây dựng một Trung tâm Giám sát An toàn thông tin hiệu quả, chi phí hợp lý và vận hành liên tục. Có nhiều mô hình SOC khác nhau, tùy theo quy mô hay phạm vi hay chức năng nhiệm vụ mà các tổ chức – doanh nghiệp lựa chọn mô hình SOC cho phù hợp. Mỗi mô hình sẽ có chức năng, nhiệm vụ, quy mô và yêu cầu khác nhau. Kaspersky sẽ giúp tư vấn, đánh giá nhu cầu của tổ chức – doanh nghiệp và chia sẻ đến khách hàng các ưu – nhược điểm và đặc thù của mỗi mô hình trước khi khách hàng quyết định lựa chọn một mô hình SOC để áp dụng. Triết lý xây dựng Trung tâm Giám sát An toàn thông tin của Kaspersky dựa trên 3 thành tố: Nhân sự, Quy trình và Công nghệ.

• Nhân sự
• Quy trình
• Công nghệ

(1) Nhân sự

Nhân sự hoạt động trong Trung tâm Giám sát yêu cầu có đầy đủ số lượng, chuyên môn, kỹ năng và được phân cấp theo các mức độ chuyên môn khác nhau. Tùy theo quy mô và nhiệm vụ của SOC, kết hợp với nhân sự hiện tại và khả năng trong tương lai thì Kaspersky sẽ tư vấn, đề xuất khách hàng số lượng, trình độ, phân cấp nhân sự trong SOC để đảm bảo giám sát 24/7 và xử lý triệt để các sự cố mạng.

(2) Quy trình trong SOC

SOC bao gồm rất nhiều nhân sự hoạt động trong các mảng nhỏ của an ninh mạng, kết hợp với nhiêu công nghệ từ đó việc xây dựng được Quy trình hoạt động một cách trơn tru sẽ giúp SOC hoạt động hiệu quả, tránh trùng lặp, tránh bỏ sót. Các đầu việc liên quan đến vận hành SOC bao gồm các chức năng:

• Quản trị, vận hành
• Giám sát và phát hiện
• Đánh giá lỗ hổng
• Phản ứng sự cố
• Báo cáo
• Thám báo an ninh mạng

Mỗi đầu việc đều cần được định nghĩa về phạm vi hoạt động, tương tác với các đầu việc khác. Việc xây dựng Quy trình không thể hoàn thành chỉ trong một lần duy nhất, Kaspersky sẽ giúp khách hàng liên tục theo dõi các nhân sự trong SOC thực hiện các quy trình này và từ đó sẽ tiếp tục đưa ra các cải tiến để SOC hoạt động trơn tru. Các quy trình cũng được tài liệu hóa để dễ dàng đào tạo cho các nhân sự của SOC.

(3) Công nghệ trong SOC

Công nghệ là cốt yếu để SOC hoạt động hiệu quả. Công nghệ trong SOC cần đầy đủ tính năng, có khả năng xử lý lượng sự kiện lớn, đa dạng.

• KIẾN TRÚC SOC TỔNG QUÁT

Các khối chức năng mà một SOC cần có:

• Tại nguồn thu thập: cần có thiết bị/phần mềm thu thập các loại sự kiện khác nhau trên các loại thiết bị, ứng dụng, hệ điều hành.
• Tại SOC: cần có
  • SIEM để phân tích các sự kiện thu thập được
  • Case management để ghi nhận các sự cố (ticket)
  • Hệ thống quản lý lỗ hổng để nhanh chóng xác định các điểm yếu
  • Hệ thống phân tích mã độc để phân tích các dữ liệu thu thập
  • Threat Intelligence để liên tục cập nhật dữ liệu về an ninh mạng (cho cả nhân sự và các công nghệ trong SOC)
  • SOAR/IRP để tự động đưa ra phản ứng khi một sự cố được SIEM phát hiện.
  • EDR để thực hiện các tác vụ phản ứng trên thiết bị đầu cuối.
  • Các hệ thống hỗ trợ: hệ thống tri thức, hệ thống giao tiếp, hệ thống báo cáo, hệ thống giám sát/quản trị…

 

• CÁC GIẢI PHÁP CỦA Kaspersky TRONG SOC

Kaspersky cung cấp nhiều các giải pháp khác nhau trong SOC:

• Tại nguồn thu thập: có thể sử dụng
  • Collector: của SIEM để thu thập
  • Giải pháp bảo vệ thiết bị đầu cuối: sau khi phát hiện, ngăn chặn các tấn công thì các sự kiện sẽ được gửi về SIEM. Vừa bảo vệ khỏi tấn công, vừa cung cấp sự kiện cho SIEM. Các giải pháp bảo vệ thiết bị đầu cuối của Kaspersky gồm có: Endpoint Security, Embedded Security, Endpoint Detection and Response, Hybrid Cloud Security.
  • Giải pháp phát hiện ngăn chặn tấn công có chủ đích – APT: Kaspersky Anti Targeted Attack (KATA) có khả năng thu thập, phân tích các luồng dữ liệu mạng, Email, Web để phát hiện các tấn công có chủ đích. Các sự kiện cũng được KATA gửi về SIEM.
• Tại SOC:
  • SIEM: giải pháp SIEM – Kaspersky Unified Monitoring and Analysis (KUMA)
  • Threat Intelligence: gồm
    • dữ liệu dạng máy (machine readable) để làm giàu thông tin cho SIEM/SOAR
    • dữ liệu dạng đọc hiểu (Human readable) dành cho nhân sự SOC tìm hiểu về các chiến thuật, kỹ thuật tấn công của tin tặc.
  • Các hệ thống về phân tích mã độc, điều tra:
    • Threat Lookup cho phép truy vấn, mở rộng tìm kiếm thông tin về đối tượng cần tìm.
    • Research Sandbox là môi trường cho phép phân tích tự động các tệp tin và tìm hiểu các hành vi mà tệp tin sẽ thực hiện.
    • Threat Attribution Engine cho phép tìm “DNA” của tệp tin và xác định tệp tin đó do tin tặc nào làm. Đây là giải pháp săn tìm tin tặc.

  Mỗi mô hình SOC sẽ yêu cầu các công nghệ để thực hiện các nhiệm vụ. Kaspersky với hơn 25 năm kinh nghiệm và đang giám sát cho hàng nghìn các khác hàng trên toàn cầu, chúng tôi hiểu rõ các công nghệ nào cần cho mỗi mô hình SOC.   Chi tiết vui lòng liên hệ:

Công ty cổ phần Nam Trường Sơn Hà Nội

Tầng 15, tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, Hà Nội Tel: 02462. 818. 045 Email: info.ntshn@nts.com.vn