hướng dẫn đánh giá sản phẩm phần...

TCVN ISO/IEC xxxx:yyyy

T I Ê U C H U Ẩ N Q U Ố C G I A


ISO/IEC DIS 27039 Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – CHỌN LỰA, TRIỂN KHAI VÀ VẬN HÀNH HỆ THỐNG PHÁT

HIỆN VÀ NGĂN CHẶN XÂM NHẬP Information technology – Security techniques – Selection, deploymnet and operations of

intrusion detection systems (IDPS)

HÀ NỘI – 2017

TCVN


2


Mục lục

Lời nói đầu...............................................................................................................................................3

Lời giới thiệu............................................................................................................................................4

1 Phạm vi áp dụng...................................................................................................................................7

2 Thuật ngữ và định nghĩa......................................................................................................................7

3 Nền tảng...............................................................................................................................................12

4 Tổng quan............................................................................................................................................14

5 Chọn lựa...............................................................................................................................................145.1 Tổng quan......................................................................................................................................14

5.2 Đánh giá rủi ro an toàn thông tin...................................................................................................15

5.3 IDPS dựa trên máy chủ và dựa trên mạng....................................................................................15

5.3.1 Tổng quan...............................................................................................................................15

5.3.2 IDPS dựa trên máy chủ (HIDPS)............................................................................................16

5.3.3 IDPS dựa trên mạng (NIDPS).................................................................................................16

5.4 Các xem xét...................................................................................................................................16

5.4.1 Môi trường hệ thống................................................................................................................16

5.4.2 An toàn....................................................................................................................................17

5.4.3 Chính sách an toàn IDPS........................................................................................................17

5.4.4 Hiệu năng................................................................................................................................18

5.4.5 Xác thực tính năng..................................................................................................................19

5.4.6 Chi phí.....................................................................................................................................19

5.4.7 Cập nhật..................................................................................................................................20

5.4.8 Chiến lược cảnh báo...............................................................................................................21

5.4.9 Quản lý định danh...................................................................................................................22

5.5 Công cụ bổ sung cho IDPS...........................................................................................................23

5.5.1 Tổng quan...............................................................................................................................23

5.5.2 Công cụ kiểm tra tính toàn vẹn của tập tin..............................................................................23

5.5.3 Tường lửa...............................................................................................................................24

5.5.4 Honeypot.................................................................................................................................25

5.5.5 Công cụ quản lý mạng............................................................................................................26

5.5.6 Công cụ quản lý sự kiện và thông tin an toàn (SIEM).............................................................26

5.5.7 Công cụ bảo vệ vi-rút/nội dung...............................................................................................27

5.5.8 Công cụ đánh giá điểm yếu.....................................................................................................27

5.6 Tính mở rộng.................................................................................................................................28

5.7 Hỗ trợ kỹ thuật...............................................................................................................................28

TCVN ISO/IEC xxxx:yyyy5.8 Đào tạo..........................................................................................................................................29

6 Triển khai.............................................................................................................................................296.1 Tổng quan......................................................................................................................................29

6.2 Triển khai theo giai đoạn................................................................................................................30

6.3 Triển khai NIDPS...........................................................................................................................30

6.3.1 Tổng quan...............................................................................................................................30

6.3.2 Vị trí của NIDPS bên trong tường lửa Internet........................................................................31

6.3.3 Vị trí của NIDPS bên ngoài tường lửa Internet.......................................................................32

6.3.4 Vị trí của NIDPS trên trục mạng chính....................................................................................32

6.3.5 Vị trí của NIDPS trên mạng con trọng yếu..............................................................................32

6.4 Triển khai HIDPS...........................................................................................................................33

6.5 Đảm bảo và bảo vệ an toàn thông tin IDPS..................................................................................33

7 Vận hành..............................................................................................................................................347.1 Tổng quan......................................................................................................................................34

7.2 Tinh chỉnh IDPS.............................................................................................................................34

7.3 Điểm yếu IDPS..............................................................................................................................35

7.4 Xử lý cảnh báo IDPS.....................................................................................................................35

7.4.1 Tổng quan...............................................................................................................................35

7.4.2 Nhóm ứng cứu sự cố an toàn thông tin (ISIRT)......................................................................36

7.4.3 Thuê ngoài...............................................................................................................................36

7.5 Tùy chọn phản ứng........................................................................................................................37

7.5.1 Nguyên tắc..............................................................................................................................37

7.5.2 Phản ứng chủ động.................................................................................................................37

7.5.3 Phản ứng bị động....................................................................................................................39

7.6 Xem xét pháp lý.............................................................................................................................39

7.6.1 Tổng quan...............................................................................................................................39

7.6.2 Tính riêng tư............................................................................................................................39

7.6.3 Xem xét luật pháp và chính sách khác....................................................................................39

7.6.4 Điều tra....................................................................................................................................39

Phụ lục A (Tham khảo) Hệ thống phát hiện và ngăn chặn xâm nhập IDPS: Nền tảng và các vấn đề xem xét...................................................................................................................................................41

Tài liệu tham khảo...................................................................................................................................65

2

TCVN xxxx:yyyy

Lời nói đầu

TCVN ISO/IEC xxxx:yyyy hoàn toàn tương đương với tiêu chuẩn quốc tế

ISO/IEC DIS 27039.

TCVN ISO/IEC xxxx:yyyy do Học viện Công nghệ Bưu chính Viễn thông biên

soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường

Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

3


Lời giới thiệu

Các tổ chức không những nên nhận biết thời gian, cách thức của các tấn công xâm nhập vào hệ thống

mạng, ứng dụng của họ mà còn phải biết lỗ hổng được khai thác như thế nào và biện pháp cần được

triển khai trước những thay đổi về rủi ro để ngăn chặn các tấn công xâm nhập tương tự trong tương

lai. Tổ chức nên xác định và ngăn chặn tấn công xâm nhập mạng. Điều này đòi hỏi việc phân tích lưu

lượng mạng hoặc vết đánh giá của mạng và host để tìm ra dấu hiệu hoặc các mẫu tấn công nhằm chỉ

ra các ý đồ độc hại hoặc đáng ngờ. Vào giữa những năm 1990, nhiều tổ chức đã bắt đầu sử dụng hệ

thống phát hiện và ngăn chặn xâm nhập (IDPS) để thực hiện những yêu cầu này. Việc sử dụng IDPS

tiếp tục được mở rộng với số lượng lớn các sản phẩm gồm cả sản phẩm miễn phí và sản phẩm

thương mại để đáp ứng nhu cầu ngày càng tăng của tổ chức.

Để tổ chức có thể thu được lợi ích tối đa từ hệ thống phát hiện và ngăn chặn xâm nhập thì quy trình

chọn lựa, triển khai và vận hành IDPS cần được nhân viên có chuyên môn, có kinh nghiệm lên kế

hoạch và thực hiện cẩn thận. Trong trường hợp, quy trình này đã được thực hiện cẩn thận thì sản

phẩm IDPS có thể giúp tổ chức thu thập thông tin về xâm nhập và có thể được dùng như một thiết bị

an toàn trong cơ sở hạ tầng Công nghệ thông tin và truyền thông (ICT).

Tiêu chuẩn ISO/IEC DIS 27039 cung cấp các hướng dẫn cho tổ chức trong việc chọn lựa, triển khai và

vận hành hệ thống phát hiện và ngăn chặn xâm nhập. Tiêu chuẩn này cũng có thể áp dụng cho các tổ

chức thuê ngoài các tính năng phát hiện xâm nhập. Thông tin về mức độ thoả thuận dịch vụ thuê ngoài

có thể tìm trong bộ tiêu chuẩn ISO/IEC 2000 về quản lý dịch vụ công nghệ thông tin.

Ngoài ra tiêu chuẩn này được thiết kế còn giúp:

a) Tổ chức đáp ứng các yêu cầu của ISO/IEC 27001:

- Tổ chức cần phải thực hiện các thủ thục và kiểm soát khác để có thể phát hiện và phản ứng với

các sự cố an toàn;

- Tổ chức cần phải thực hiện các thủ tục theo dõi, soát xét, các kiểm soát khác để xác định

những nỗ lực, hành vi vi phạm chính sách an toàn và các sự cố.

b) Tổ chức thực hiện các biện pháp kiểm soát để đáp ứng mục tiêu của ISO/IEC 27002:

- Để phát hiện các hành động xử lý thông tin trái phép;

- Hệ thống phải được theo dõi, các sự kiện an toàn thông tin phải được ghi lại. Nhật ký hoạt động

và nhật ký lỗi phải được sử dụng để đảm bảo xác định các vấn đề của hệ thống thông tin;

- Tổ chức phải tuân thủ các yêu cầu pháp lý có liên quan có thể áp dụng cho các hành động giám

sát và ghi nhật ký.

- Giám sát hệ thống phải được thực hiện để kiểm tra hiệu quả của các biện pháp kiểm soát và để

xác nhận mô hình chính sách truy cập là phù hợp.

4

TCVN xxxx:yyyyTổ chức nên biết rằng việc triển khai IDPS không phải là giải pháp duy nhất để giải quyết vấn đề an

toàn thông tin hoặc đáp ứng các yêu cầu trên. Tiêu chuẩn này không nhằm mục đích làm tiêu chí cho

bất kỳ đánh giá nào như chứng nhận hệ thống quản lý an toàn thông tin (ISMS), chứng nhận sản phẩm

hoặc dịch vụ IDPS.

5


6

TCVN xxxx:yyyy

T I Ê U C H U Ẩ N Q U Ố C G I A TCVN xxxx:yyyy

Công nghệ thông tin – Các kỹ thuật an toàn – Chọn lựa, triển khai và vận hành hệ thống phát hiện và ngăn chặn xâm nhập

Information technology – Security techniques – Selection, deployment and operations of intrusion

detection systems (IDPS)

1 Phạm vi áp dụng

Tiêu chuẩn này cung cấp hướng dẫn giúp các tổ chức chuẩn bị triển khai hệ thống IDPS. Nó đề cập

đến việc chọn lựa, triển khai và vận hành IDPS, và cung cấp thông tin cơ bản về nguồn gốc của hướng

dẫn.

2 Thuật ngữ và định nghĩa

Các thuật ngữ và định nghĩa sau đây được áp dụng cho mục đích của tài liệu tiêu chuẩn này.

2.1

Tấn công (attack)

Việc tìm cách phá hủy, làm lộ, thay đổi, hoặc vô hiệu hóa một hệ thống thông tin và/hoặc thông tin bên

trong nó hay nói cách khác là vi phạm chính sách bảo mật.

2.2

Dấu hiệu tấn công (attack signature)

Chuỗi các hoạt động hoặc các thay đổi trong hệ thống được sử dụng để thực hiện một tấn công, được

sử dụng bởi một IDPS để phát hiện ra một tấn công đã xảy ra và thường được nhận biết bằng cách

kiểm tra lưu lượng mạng hoặc nhật ký của máy.

CHÚ THÍCH 1 Thuật ngữ này cũng có thể tham chiếu tới thuật ngữ mẫu tấn công (attack pattern).

2.3

Sự xác nhận (attestation)

Biến thể của mật mã khóa công khai cho phép các chương trình phần mềm và thiết bị IDPS xác thực

định danh của chúng với các bên ở xa.

CHÚ THÍCH 1 tới thực thể: 2.22, Xác nhận từ xa.

2.4

Cầu (Bridge)

7

TCVN ISO/IEC xxxx:yyyyThiết bị mạng để kết nối trong suốt một mạng LAN ở tầng hai mô hình OSI tới một mạng LAN khác sử

dụng cùng giao thức.

2.5

Giá trị băm mật mã (Cryptographic hash value)

Giá trị toán học được gán tới một tập tin và được sử dụng để “kiểm tra” tập tin sau này nhằm xác minh

dữ liệu trong tập tin không bị thay đổi độc hại.

2.6

Tấn công từ chối dịch vụ/Từ chối dịch vụ phân tán (Denial-of-Service/Distributed Denial-of-Service

attack)

DoS/DDoS

DoS: Sự ngăn chặn truy cập có thẩm quyền tới một tài nguyên hệ thống hoặc sự trì hoãn các chức

năng và sự vận hành hệ thống, gây ra sự tổn thất của sự hiệu lực cho người dùng ủy quyền. [Nguồn:

TCVN 9801-1:2013].

DDoS: Sự ngăn chặn truy cập có thẩm quyền tới một tài nguyên hệ thống hoặc làm cản trở các hoạt

động và chức năng hệ thống theo cách xâm phạm nhiều hệ thống để làm lụt băng thông hoặc tài

nguyên của hệ thống đích dẫn đến kết quả làm mất tính sẵn sàng đối với người sử dụng hợp pháp.

2.7

Vùng phi quân sự (Demilitarized Zone)

DMZ

Không gian mạng vật lý hoặc logic giữa bộ định tuyến vành đai và tường lửa bên ngoài.

CHÚ THÍCH 1 DMZ có thể ở giữa các mạng và được giám sát chặt chẽ.

CHÚ THÍCH 2 DMZ thường là những vùng không bảo mật chứa các máy chủ cung cấp dịch vụ công cộng.

2.8

Khai thác (exploit)

Xác định cách để phá vỡ tính an toàn của một hệ thống thông tin thông qua điểm yếu.

2.9

Tường lửa (Firewall)

Loại rào cản an ninh được đặt giữa các môi trường mạng – bao gồm một thiết bị dành riêng hoặc một

tổ hợp của một vài thành phần và công nghệ - qua đó tất cả lưu lượng từ một môi trường mạng đi qua

môi trường khác và ngược lại, và chỉ có thẩm quyền lưu lượng, được định nghĩa từ chính sách an ninh

khu vực, được phép đi qua.

[Nguồn: TCVN 9801-2013]

8

TCVN xxxx:yyyy2.10

Khẳng định sai (False Positive)

IDPS cảnh báo khi không có tấn công.

2.11

Phủ định sai (False Negative)

IDPS không cảnh báo khi có một tấn công.

2.12

Host (host)

Hệ thống hoặc máy tính có thể đánh địa chỉ trong các mạng dựa trên TCP/IP như Internet.

2.13

Kẻ xâm nhập (Intruder)

Cá nhân đã hoặc đang thực hiện một xâm nhập hoặc tấn công vào một host, ứng dụng web, mạng,

hoặc tổ chức của nạn nhân.

2.14

Sự xâm nhập (Intrusion)

Truy cập trái phép đến một mạng hoặc một hệ thống mạng – kết nối, tức là truy cập trái phép cố ý hoặc

vô ý đến một hệ thống thông tin, bao gồm hoạt động gây hại cho một hệ thống thông tin hoặc việc sử

dụng trái phép tài nguyên trong một hệ thống thông tin.

2.15

Phát hiện xâm nhập (Intrusion detection)

Là quy trình phát hiện xâm nhập, đặc trưng bằng việc thu thập các thông tin về các mẫu sử dụng bất

thường cũng như làm gì, làm như thế nào, điểm yếu nào đã bị khai thác bao gồm xảy ra như thế nào

và xảy ra khi nào.

2.16

Hệ thống phát hiện xâm nhập (Intrusion detection System)

IDS

Hệ thống kỹ thuật được sử dụng để nhận biết một xâm nhập đã được kiểm thử, đã hoặc đang xảy ra.

2.17

Hệ thống ngăn chặn xâm nhập (Intrusion Prevention System)

IPS

9

TCVN ISO/IEC xxxx:yyyyMột dạng của hệ thống phát hiện xâm nhập, được thiết kế nhằm cung cấp khả năng đối phó xâm nhập

một cách linh hoạt.

2.18

Hệ thống phát hiện và ngăn chặn xâm nhập (Intrusion Detection and Prevention System)

IDPS

IDS và IPS là ứng dụng phần mềm hoặc thiết bị để giám sát các hành vi độc hại cho hệ thống. IDS tập

trung vào việc phát hiện ra hành động độc hại trong khi đó IPS có khả năng ngăn chặn xâm nhập dựa

trên việc phát hiện.

CHÚ THÍCH 1 IPS được triển khai ở chế độ chủ động trong mạng nếu mong muốn thực hiện việc ngăn chặn tấn công. Nếu

được triển khai ở chế độ bị động nó sẽ không có chức năng như vậy và nó sẽ hoạt động như một IDS thông thường bằng

cách chỉ cung cấp cảnh báo.

2.19

Honeypot (Honeypot)

Thuật ngữ chung chỉ một hệ thống bẫy sử dụng để đánh lừa, đánh lạc hướng, chuyển hướng và thu

hút kẻ tấn công dành thời gian cho thông tin có vẻ rất có giá trị, nhưng thực tế là được tạo ra và có thể

không ảnh hưởng tới người sử dụng hợp pháp.

CHÚ THÍCH Thêm vào đó honeypot âm thầm giám sát để thu thập dữ liệu về cách thức và phương pháp tấn công.

2.20

Thâm nhập (penetration)

Hành động trái phép vượt qua các cơ chế bảo mật của một hệ thống thông tin.

2.21

Cấp phát (provisioning)

Bao gồm quy trình sử dụng phần mềm hợp pháp, áp dụng chính sách bảo mật và áp dụng dữ liệu cấu

hình chính xác cho các thiết bị công nghệ thông tin (IT).

2.22

Xác nhận từ xa (remote attestation)

Quy trình sử dụng chứng thư số để đảm bảo định danh cũng như cấu hình phần cứng và phần mềm

của IDPS và để truyền các thông tin này tới trung tâm vận hành một cách tin cậy.

2.23

Phản ứng/phản ứng sự cố hoặc phản ứng xâm nhập (response/incident response or intrusion

response)

10

TCVN xxxx:yyyyHành động được thực hiện để bảo vệ và khôi phục lại các điều kiện hoạt động bình thường của một hệ

thống thông tin và thông tin lưu trữ trong hệ thống đó khi có tấn công hoặc xâm nhập xảy ra.

2.24

Bộ định tuyến (Router)

Thiết bị mạng được dùng để thiết lập và kiểm soát an ninh luồng dữ liệu giữa các mạng khác nhau

bằng cách chọn lọc các tuyến hoặc đường dựa trên các thuật toán hoặc các cơ chế giao thức định

tuyến.

CHÚ THÍCH 1 Các mạng có thể dựa trên các giao thức khác nhau của chính nó.

CHÚ THÍCH 2 Thông tin định tuyến được lưu giữ trong bảng định tuyến.

[Nguồn: TCVN 9801-1:2013]

2.25

Máy chủ (Server)

Hệ thống máy tính hoặc chương trình cung cấp các dịch vụ tới các máy tính khác.

2.26

Thỏa thuận mức độ dịch vụ (Service Level Agreement)

SLA

Hợp đồng cung cấp dịch vụ hỗ trợ kỹ thuật hoặc các mục tiêu hiệu năng nghiệp vụ bao gồm việc đo

lường hiệu năng và hiệu quả của lỗi mà nhà cung cấp dịch vụ cung cấp cho khách hàng.

2.27

Bộ cảm biến (Sensor)

Thành phần/tác nhân của IDPS để thu thập dữ liệu sự kiện từ một hệ thống thông tin hoặc mạng được

theo dõi.

CHÚ THÍCH 1 Sensor cũng được gọi là bộ giám sát (monitor)

2.28

Mạng con (Subnet)

Một phần của mạng mà chia sẻ một phần địa chỉ thông thường.

2.29

Bộ chuyển mạch (Switch)

Thiết bị cung cấp kết nối giữa các thiết bị được nối mạng theo các cơ chế chuyển nội bộ, với công

nghệ chuyển được thiết lập điển hình ở tầng 2 hoặc 3 của mô hình tham chiếu OSI.

11

TCVN ISO/IEC xxxx:yyyyCHÚ THÍCH Các bộ chuyển là khác biệt từ các thiết bị liên kết nối mạng cục bộ khác (ví dụ: một trung tâm) như công nghệ

được sử dụng để chuyển các thiết lập các kết nối trên một điểm-tới-điểm căn bản.

[Nguồn: TCVN 9801-1:2013]

2.30

Điểm truy cập kiểm tra (Test Access Points)

TAP

Các thiết bị thụ động điển hình mà không thiết lập bất kỳ chi phí nào trên gói tin, nhưng làm tăng mức

độ an toàn như làm giao diện ẩn để thu thập dữ liệu trong mạng, nơi mà bộ chuyển mạch có thể duy trì

thông tin về cổng của lớp hai.

CHÚ THÍCH Một TAP cũng cung cấp tính năng đa cổng vì vậy các vấn đề trong mạng có thể được gỡ rối mà không làm mất

khả năng IDPS.

2.31

Trojan horse (Trojan horse)

Chương trình độc hại giả danh như một ứng dụng vô hại

2.32

Vi-rut (virus)

Là một loại mã độc, phần mềm được thiết kế với mục đích độc hại chứa các tính năng hoặc khả năng

có thể gây hại trực tiếp hoặc gián tiếp tới người dùng hoặc hệ thống của người dùng.

2.33

Mạng riêng ảo (VPN)

Mạng máy tính logic dùng riêng được xây dựng từ tài nguyên hệ thống của một mạng vật lý, ví dụ bằng

cách sử dụng mã hóa và bằng cách xây dựng đường hầm kết nối của mạng ảo trên một mạng thật.

[ISO/IEC 18028-3:2005]

2.34

Điểm yếu (vulnerability)

Điểm yếu của một tài sản hoặc của một sự kiểm soát dẫn đến việc có thể bị khai thác bởi một hoặc

nhiều mối đe dọa.

[ISO/IEC 27000:2012]

3 Nền tảng

Mục đích của IDPS là giám sát thụ động, phát hiện và ghi nhật ký các hoạt động không phù hợp, không

đúng, đáng ngờ hoặc bất thường mà có thể là biểu hiện của sự xâm nhập và cung cấp cảnh báo

và/hoặc một phản ứng tự động khi các hành động đó bị phát hiện. Trách nhiệm của các nhân viên an

12

TCVN xxxx:yyyytoàn công nghệ thông tin được giao là chủ động soát xét cảnh báo IDPS và các bản ghi nhật ký liên

quan để đưa ra quyết định phản ứng phù hợp. Khi tổ chức cần phát hiện kịp thời các xâm nhập tới hệ

thống thông tin của tổ chức và phản ứng phù hợp với xâm nhập đó thì tổ chức nên xem xét triển khai

IDPS. Một tổ chức có thể triển khai IDPS bằng cách sử dụng sản phẩm phần mềm, phần cứng hoặc

thuê từ các tổ chức cung cấp dịch vụ IDPS.

Có nhiều sản phẩm và dịch vụ IDPS thương mại hoặc mã nguồn mở dựa trên các công nghệ và

phương pháp tiếp cận khác nhau. Ngoài ra, IDPS không phải là công nghệ “cắm và chạy”. Vì vậy khi

chuẩn bị triển khai IDPS, ít nhất tổ chức cần phải làm quen với các hướng dẫn và thông tin được cung

cấp trong tiêu chuẩn này.

Kiến thức cơ bản về IDPS được trình bày trong Phụ lục A. Phụ lục này giải thích về các đặc điểm của

các loại IDPS khác nhau gồm:

- Dựa trên mạng, giám sát lưu lượng mạng cho một phân đoạn mạng hoặc các thiết bị cụ thể, phân

tích hoạt động của giao thức mạng và ứng dụng để xác định các hành vi đáng ngờ;

- Dựa trên máy chủ, giám sát đặc trưng của một host và các sự kiện xảy ra bên trong host đó nhằm

xác định các hành vi đáng ngờ cũng như xác định ba phương pháp tiếp cận cơ bản nhằm phân tích

phát hiện như phát hiện dựa trên dấu hiệu, phát hiện dựa trên thống kê bất thường và phát hiện dựa

trên phân tích trạng thái giao thức.

Phân tích hành vi áp dụng tới hệ thống IDPS dựa trên mạng và IDPS dựa trên máy chủ. Hướng tiếp

cận này kiểm tra lưu lượng mạng và hành vi host để xác định các mối đe dọa tạo ra hành vi bất thường

như các tấn công từ chối dịch vụ, tấn công vét cạn, một số dạng mã độc và các vi phạm chính sách (ví

dụ một hệ thống máy trạm cung cấp dịch vụ mạng tới các hệ thống khác).

Một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên máy chủ (HIDPS) có nguồn thông tin từ một

hoặc nhiều máy, trong khi một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng (NIDPS) có

nguồn thông tin từ luồng giao thông một hoặc nhiều phân đoạn mạng. Phương pháp tiếp cận dựa vào

các hành động lạm dụng này mô hình hoá các tấn công vào hệ thống thông tin thành các dấu hiệu tấn

công, và sau đó quét hệ thống để tìm ra dấu hiệu tấn công. Quy trình này liên quan đến việc tạo ra các

bảng mã cụ thể của các hành vi và hành động xâm phạm hoặc các mã độc được coi là xâm phạm

trước đó. Cách tiếp cận dựa trên hoạt động bất thường phát hiện xâm nhập bằng cách phát hiện sai

lệch đáng kể từ hành vi bình thường dựa trên giả thiết các cuộc tấn công là khác biệt so với hoạt động

thông thường và do đó có thể bị phát hiện bởi các hệ thống xác định sự khác biệt này.

Một tổ chức nên hiểu nguồn thông tin, các phương pháp phân tích khác nhau có thể cho kết quả gồm

cả thuận lợi và bất lợi tạo ra như giới hạn có thể ảnh hưởng tới khả năng hoặc không có khả năng phát

hiện các tấn công cụ thể và mức độ ảnh hưởng, độ khó liên quan tới việc cài đặt và duy trì IDPS.

4 Tổng quan

Các tính năng và hạn chế của IDPS được trình bày trong Phụ lục A cho biết một tổ chức nên kết hợp

phương pháp tiếp cận dựa trên máy chủ (bao gồm cả giám sát ứng dụng) và dựa trên mạng để đạt

13

TCVN ISO/IEC xxxx:yyyyđược sự bảo vệ phù hợp khỏi xâm nhập tiềm ẩn. Mỗi loại IDPS có ưu điểm và hạn chế riêng, khi triển

khai cùng nhau chúng có thể cung cấp một giải pháp an toàn và phân tích cảnh báo tốt hơn.

Việc kết hợp các công nghệ IDPS phụ thuộc vào tính sẵn sàng của thành phần tương quan trên hệ

thống quản lý cảnh báo. Việc kết hợp các cảnh báo HIDPS và NIDPS có thể dẫn đến IDPS hoạt động

quá tải mà không có thêm bất kỳ lợi ích nào và kết quả có thể xấu hơn việc chọn lựa đầu ra thích hợp

từ một loại IDPS.

Hình 1 - chọn lựa, triển khai và vận hành IDPS

5 Chọn lựa

5.1 Tổng quan

Có nhiều sản phẩm và dòng sản phẩm sẵn có, từ các phần mềm miễn phí có khả năng triển khai trên

máy chủ với chi phí thấp tới các hệ thống thương mại đắt tiền yêu cầu phần cứng có sẵn. Có nhiều sản

phẩm IDPS khác nhau để chọn lựa, vì vậy quy trình chọn lựa IDPS phù hợp nhất với nhu cầu của một

tổ chức là khó khăn. Hơn nữa có thể tồn tại sự giới hạn về khả năng tương thích giữa các sản phẩm

IDPS khác nhau được cung cấp trên thị trường. Ngoài ra, do việc sát nhập và phân tán về vị trí địa lý

của một tổ chức, nên các tổ chức bắt buộc phải sử dụng các IDPS khác nhau và việc tích hợp các

dạng IDPS khác nhau có thể gặp nhiều khó khăn.

14

TCVN xxxx:yyyyTài liệu quảng cáo của nhà cung cấp sản phẩm có thể không mô tả cách thức một IDPS có thể phát

hiện xâm nhập và các khó khăn khi triển khai, vận hành và duy trì trong hoạt động của mạng có lưu

lượng mạng lớn. Nhà cung cấp có thể chỉ ra các cuộc tấn công được phát hiện, nhưng nếu không truy

nhập tới lưu lượng mạng của tổ chức, rất khó để mô tả IDPS hoạt động tốt như thế nào và xác định

khả năng tránh tỉ lệ khẳng định sai và phủ định sai. Khả năng chủ động phản ứng và phản ứng lại của

một IDPS cần phải được đánh giá độc lập và tham chiếu tới các yêu cầu của tổ chức. Khả năng này

bao gồm nhu cầu thanh tra và hợp nhất lại gói tin theo chiều sâu so với nhu cầu hiệu năng và chi phí.

Do đó, việc chỉ dựa vào thông tin được cung cấp bởi nhà cung cấp về khả năng của IDPS là không đầy

đủ và không được khuyến nghị.

TCVN 8709 có thể được sử dụng để đánh giá IDPS. Trong trường hợp này tài liệu “Đích an toàn” có

thể bao gồm mô tả tin cậy và chính xác hơn so với tài liệu quảng cáo của các nhà cung cấp liên quan

tới hiệu năng IDPS. Tổ chức nên sử dụng tài liệu này trong quy trình chọn lựa sản phẩm của họ.

Các phần sau đây cung cấp các yếu tố chính nên được sử dụng bởi tổ chức trong quy trình chọn lựa

IDPS.

5.2 Đánh giá rủi ro an toàn thông tin

Trước khi chọn lựa một IDPS, tổ chức nên thực hiện việc đánh giá rủi ro an toàn thông tin, nhằm xác

định các tấn công và xâm nhập (các mối đe dọa) tới hệ thống thông tin có thể có điểm yếu của tổ chức,

có tính đến các yếu tố như bản chất của thông tin được sử dụng bởi hệ thống và nó cần được bảo vệ

như thế nào, loại hệ thống thông tin được sử dụng, các yếu tố vận hành và môi trường khác. Bằng

cách xem xét các mối đe dọa tiềm ẩn trong ngữ cảnh về các mục tiêu an toàn thông tin cụ thể, tổ chức

có thể xác định các biện pháp kiểm soát cung cấp các biện pháp hiệu quả về chi phí để giảm thiểu rủi

ro. Việc xác định các biện pháp kiểm soát sẽ cung cấp các yêu cầu cơ bản đối với tính năng của IDPS

được cung cấp cho tổ chức.

CHÚ THÍCH Quản lý rủi ro an toàn thông tin là đối tượng của tiêu chuẩn ISO/IEC 27005.

Khi IDPS được cài đặt và vận hành thì quy trình quản lý rủi ro liên tục nên được triển khai để xem xét

định kỳ hiệu quả của các biện pháp kiểm soát trong việc thay đổi hoạt động của hệ thống và môi

trường mối đe dọa.

5.3 IDPS dựa trên máy chủ và dựa trên mạng5.3.1 Tổng quan

Việc triển khai IDPS nên dựa trên đánh giá rủi ro của tổ chức và độ ưu tiên bảo vệ tài sản. Khi chọn lựa

IDPS, phương pháp hiệu quả nhất để giám sát các sự kiện nên được khảo sát. Cả HIDPS và NIDPS

có thể được triển khai song song. Trong trường hợp một phương pháp giám sát IDPS được chọn lựa,

tổ chức nên triển khai NIDPS trong giai đoạn đầu, vì cài đặt và duy trì NIDPS thường đơn giản nhất,

sau đó HIDPS nên được triển khai trên các máy chủ quan trọng.

Mỗi tùy chọn có thuận lợi và hạn chế riêng. Ví dụ trong trường hợp IDPS được triển khai bên ngoài

tường lửa, một IDPS có thể tạo ra số lượng lớn cảnh báo mà không yêu cầu phân tích cẩn thận vì số

15

TCVN ISO/IEC xxxx:yyyylượng lớn sự kiện cảnh báo có thể cho biết các dò quét đã sẵn sàng bị ngăn chặn hiệu quả bởi tường

lửa ngoài.

5.3.2 IDPS dựa trên máy chủ (HIDPS)

Chọn lựa một HIDPS yêu cầu việc xác định các máy chủ đích. Việc triển khai toàn diện trên tất cả các

máy chủ trong tổ chức là rất tốn kém, kết quả là thường chỉ triển khai HIDPS chỉ trên những máy chủ

quan trọng. Vì vậy việc triển khai HIDPS nên được ưu tiên theo kết quả phân tích rủi ro và xem xét về

chi phí. Tổ chức nên triển khai một IDPS có khả năng quản lý tập trung và có chức năng báo cáo khi

HIDPS được triển khai trên tất cả hoặc số lượng lớn máy chủ.

5.3.3 IDPS dựa trên mạng (NIDPS)

Yếu tố chính để xem xét khi triển khai một NIDPS là vị trí của các bộ cảm biến. Việc xem xét gồm các

tùy chọn:

- Bên trong tường lửa ngoài;

- Bên ngoài tường lửa ngoài;

- Trên trục mạng chính;

- Nằm giữa các vùng biên tin cậy.

5.4 Các xem xét

5.4.1 Môi trường hệ thống

Dựa trên quản lý rủi ro hệ thống, trước tiên tổ chức nên nhận biết, theo thứ tự độ ưu tiên, tài sản nào

nên được bảo vệ và sau đó là sự thích ứng IDPS với môi trường đó. Ở mức tối thiểu, các thông tin môi

trường hệ thống sau đây cần được thu thập:

- Sơ đồ mạng và bản đồ xác định số lượng và vị trí của các máy chủ, điểm truy cập tới mạng và các

kết nối tới các mạng bên ngoài;

- Mô tả hệ thống quản lý mạng doanh nghiệp;

- Hệ điều hành của mỗi máy;

- Số lượng, kiểu thiết bị mạng như bộ định tuyến, cầu nối, bộ chuyển mạch;

- Số lượng, kiểu máy chủ và các kết nối quay số;

- Mô tả các máy chủ mạng bao gồm kiểu, cấu hình, phần mềm ứng dụng, phiên bản trên mỗi máy;

- Các kết nối tới các mạng bên ngoài bao gồm băng thông và các giao thức được hỗ trợ;

- Những luồng dữ liệu đường về khác với đường kết nối tức là luồng dữ liệu bất đối xứng.

5.4.2 An toàn

Sau khi các thuộc tính kỹ thuật của môi trường hệ thống được viết thành tài liệu, các cơ chế đảm bảo

tính an toàn được cài đặt hiện tại phải được xác định. Ở mức tối thiểu, các thông tin sau là cần thiết:

- Vùng phi quân sự;

16

TCVN xxxx:yyyy- Số lượng, kiểu và vị trí của tường lửa và bộ định tuyến lọc;

- Định danh của các máy chủ xác thực;

- Việc mã hoá dữ liệu và kết nối;

- Các gói chống mã độc/vi-rút;

- Các sản phẩm kiểm soát truy cập;

- Thiết bị chuyên dụng đảm bảo an toàn thông tin như thiết bị mã hoá;

- Mạng riêng ảo;

- Cơ chế đảm bảo an toàn khác được cài đặt.

5.4.3 Chính sách an toàn IDPS

Sau khi xác định các môi trường an toàn chung và hệ thống, tổ chức nên định nghĩa chính sách an

toàn cho IDPS. Ở mức tối thiểu, chính sách cần trả lời những câu hỏi chính sau:

- Tài sản thông tin gì được giám sát?

- Chính sách cho các điều kiện mở-trạng thái lỗi và đóng- trạng thái lỗi là gì?

- Cần dùng loại IDPS nào?

- Có thể đặt IDPS ở đâu?

- Nên phát hiện những kiểu tấn công nào?

- Nên ghi nhật ký những kiểu thông tin nào?

- Khi IDPS phát hiện tấn công thì nó có thể cung cấp kiểu phản ứng hoặc cảnh báo nào?

Chính sách an toàn đại diện cho mục đích của tổ chức trong việc đầu tư IDPS. Đây là bước khởi đầu

trong nỗ lực đạt được giá trị tối đa từ tài sản IDPS.

Để xác định mục đích và mục tiêu của chính sách an toàn thông tin, tổ chức đầu tiên nên xác định các

rủi ro có nguồn gốc từ bên trong và bên ngoài của tổ chức. Tổ chức nên nhận ra rằng một số nhà cung

cấp IDPS định nghĩa các chính sách an toàn như một tập các luật mà IDPS sử dụng để tạo ra cảnh

báo.

Việc soát xét chính sách an toàn thông tin hiện hành của tổ chức nên cung cấp một mẫu cho các yêu

cầu của IDPS có thể được nhận biết và phát biểu theo thuật ngữ chuẩn về các mục tiêu an toàn của

tính bí mật, tính toàn vẹn, tính sẵn sàng và chống chối bỏ cũng như là các mục tiêu quản lý chung hơn

như tính riêng tư, bảo vệ từ tính trách nhiệm, tính quản lý.

Tổ chức nên xác định cách thức phản ứng lại khi IDPS phát hiện một chính sách an toàn bị vi phạm.

Cụ thể, trong thường hợp một tổ chức mong muốn phản ứng chủ động với một số loại vi phạm, IDPS

nên được cấu hình để làm như vậy và các nhân viên vận hành nên được thông báo về chính sách

phản ứng của tổ chức để họ có thể đối phó với cảnh báo một cách phù hợp. Ví dụ, một cuộc điều tra

thực thi pháp luật có thể được yêu cầu để hỗ trợ trong việc giải quyết hiệu quả sự cố an toàn. Thông

17

TCVN ISO/IEC xxxx:yyyytin có liên quan gồm có nhật ký IDPS có thể được yêu cầu để bàn giao cho cơ quan thực thi pháp luật

cho mục đích làm bằng chứng.

Thông tin bổ sung liên quan đến quản lý sự cố an toàn có thể tìm trong tiêu chuẩn ISO/IEC 27035.

5.4.4 Hiệu năng

Hiệu năng cũng là một yếu tố cần xem xét khi chọn lựa IDPS. Ở mức tối thiểu, cần trả lời các câu hỏi

sau:

- IDPS cần bao nhiêu băng thông để xử lý?

- Mức độ cảnh báo sai có thể chấp nhận được khi hoạt động ở băng thông đó?

- Chi phí của một IDPS tốc độ cao là hợp lý hay một IDPS tốc độ vừa hoặc chậm là đủ?

- Hậu quả của việc bỏ lỡ một xâm nhập tiềm ẩn do giới hạn hiệu năng IDPS là gì?

- Các tác động hiệu năng nào bị ảnh hưởng khi thực hiện thanh tra và hợp nhất gói tin sâu?

Hiệu năng ổn định có thể được định nghĩa là khả năng liên tục phát hiện các tấn công trong băng thông

sử dụng nhất định. Trong hầu hết các môi trường, một IDPS có thể gặp lỗi bị mất hoặc bỏ qua các gói

tin thuộc về một phần của tấn công. Ở một số thời điểm như băng thông hoặc lưu lượng mạng tăng,

nhiều IDPS sẽ không còn hiệu quả và liên tục phát hiện xâm nhập.

Sự kết hợp cân bằng tải và tinh chỉnh tải có thể làm tăng hiệu quả và hiệu năng. Ví dụ:

- Phải hiểu biết về mạng của tổ chức và các điểm yếu của nó: mỗi mạng là khác nhau, một tổ chức

phải nhận biết các tài sản mạng cần bảo vệ và điều chỉnh dấu hiệu tấn công cho phù hợp với các tài

sản đó. Điều này thường được thực hiện thông qua quy trình đánh giá rủi ro.

- Hiệu năng của hầu hết IDPS có thể tốt hơn trong trường hợp được cấu hình để xử lý lưu lượng mạng

và dịch vụ giới hạn. Ví dụ một tổ chức thương mại điện tử cần giám sát tất cả lưu lượng HTTP và điều

chỉnh một hoặc nhiều IDPS để tìm kiếm các dấu hiệu tấn công liên quan đến lưu lượng web.

- Cấu hình cân bằng tải phù hợp có thể cho phép IDPS dựa trên dấu hiệu làm việc nhanh hơn và kỹ

lưỡng hơn vì IDPS dựa trên dấu hiệu chỉ cần xử lý thông qua cơ sở dữ liệu dấu hiệu tấn công nhỏ hơn

được tối ưu hóa và không phải thông qua cơ sử dữ liệu của tất cả các dấu hiệu tấn công.

Cân bằng tải được sử dụng để chia băng thông có sẵn trong triển khai IDPS. Tuy nhiên, việc chia băng

thông có thể gặp các vấn đề như: chi phí tăng, chi phí quản lý, lưu lượng không đồng bộ, cảnh báo

trùng lặp, và phủ định sai. Hơn nữa công nghệ IDPS hiện thời đạt tới tốc độ Gigabits và kết quả là lợi

ích so với chi phí cân bằng tải có thể là cực tiểu.

5.4.5 Sự xác minh của tính năng

Dựa vào thông tin được cung cấp bởi nhà cung cấp về tính năng của IDPS thường không đủ. Tổ chức

nên yêu cầu thông tin bổ sung và chứng minh tính phù hợp của một IDPS cụ thể với môi trường và các

mục tiêu an toàn của tổ chức. Hầu hết các nhà cung cấp IDPS có kinh nghiệm trong việc tuỳ chỉnh các

sản phẩm của họ để đáp ứng yêu cầu như mục tiêu phát triển các mạng và một số cam kết hỗ trợ các

18

TCVN xxxx:yyyychuẩn giao thức mới, các kiểu nền tảng, và các thay đổi trong môi trường mối đe dọa. Ở mức tối thiểu,

tổ chức nên hỏi nhà cung cấp IDPS các câu hỏi sau:

- Việc áp dụng IDPS ở những môi trường cụ thể cần được thực hiện dựa trên giả thiết nào?

- Chi tiết những kiểm thử đã thực hiện để kiểm tra các khẳng định về khả năng IDPS là gì?

- Giả thiết nào cần thực hiện liên quan tới nhân viên vận hành IDPS?

- IDPS cung cấp những giao diện nào (giao diện vật lý, giao thức truyền thông, định dạng báo cáo để

giao tiếp với công cụ so sánh tương quan đều là những loại giao diện quan trọng)?

- Cơ chế xuất cảnh báo hoặc định dạng cảnh báo là gì, cái gì được viết thành tài liệu (ví dụ định dạng,

thông điệp syslog, hoặc MIB cho các thông điệp SNMP)?

- Giao diện IDPS có thể được cấu hình tắt với các phím tắt, có thể tùy chỉnh tắt tính năng cảnh báo, và

dấu hiệu ở đâu không?

- Trong trường hợp IDPS có thể được cấu hình tắt thì đâu là tính năng cung cấp khả năng đã được

viết thành tài liệu và đã được hỗ trợ này?

- Sản phẩm IDPS có thể đáp ứng được sự phát triển và sự thay đổi trong cơ sở hạ tầng các hệ thống

của tổ chức không?

- Sản phẩm IDPS có thể đáp ứng khi hệ thống mạng được mở rộng và phát triển không?

- IDPS có cung cấp tính năng dự phòng, dự phòng an toàn không và làm như thế nào để các tính năng

này kết hợp với những tính năng tương tự ở tầng liên kết mạng?

- IDPS có sử dụng mạng dùng riêng cho cảnh báo hay là truyền trong cùng một mạng mà nó giám sát?

- Uy tín của nhà cung cấp trong việc đảm bảo chất lượng, phản ứng với các điểm yếu được phát hiện

và hồ sơ hiệu năng của sản phẩm là gì?

5.4.6 Chi phí

Việc mua IDPS chưa phải là chi phí thực tế của chủ sở hữu, mà còn có chi phí khác bao gồm: mua lại

hệ thống để chạy phần mềm IDPS, hỗ trợ chuyên môn trong cài đặt và cấu hình IDPS, đào tạo nhân

lực và các chi phí duy trì. Chi phí cho nhân viên để quản lý hệ thống và phân tích kết quả là cao nhất.

Một kỹ thuật hiệu quả để đo lường chi chí IDPS là phân tích hiệu quả đầu tư (ROI) hoặc chi phí so với

lợi ích. Trong trường hợp này, ROI được tính toán dựa trên việc tiết kiệm được thực hiện bởi tổ chức

khi quản lý xâm nhập. Chi phí để mua lại và vận hành IDPS cần phải cân bằng với chi phí cho nhân

viên để giải quyết các cảnh báo, nguyên nhân do cảnh báo sai và phản ứng không phù hợp như việc

cài đặt lại một hệ thống thông tin do không có khả năng nhận biết cái gì đã bị xâm phạm.

Lợi ích hoạt động IDPS bao gồm:

- Xác định các thiết bị hỏng hoặc cấu hình sai;

- Sự xác minh của các cấu hình tắt;

- Cung cấp sớm các thống kê sử dụng hệ thống.

19

TCVN ISO/IEC xxxx:yyyyĐể đưa ra quyết định tài chính cho IDPS, các câu hỏi về tổng chi phí của chủ sở hữu IDPS nên được

trả lời. Để làm điều này, các chi phí của việc triển khai IDPS trong tổ chức nên được phân tích. Ở mức

tối thiểu, việc phân tích chi phí IDPS cần dựa trên kết quả trả lời từ những câu hỏi sau:

- Ngân sách cho chi phí đầu tư ban đầu để mua IDPS?

- Khoảng thời gian cần thiết cho hoạt động của IDPS, ví dụ 24/7 hoặc ít hơn?

- Cơ sở hạ tầng cần thiết để xử lý, phân tích và báo cáo đầu ra IDPS và cần chi phí như thế nào?

- Tổ chức cần có con người và các tài nguyên khác để cấu hình IDPS cho chính sách an toàn của tổ

chức, để vận hành, duy trì, cập nhật, giám sát đầu ra của IDPS và phản ứng với các cảnh báo không?

Nếu không, các chức năng có thể được thiết lập như thế nào?

- Có ngân quỹ cho việc đào tạo IDPS không?

- Quy mô triển khai là gì và nếu tổ chức sử dụng HIDPS thì có bao nhiêu host sẽ được bảo vệ?

Chi phí cho một tổ chức riêng lẻ có thể được giảm bớt bằng cách chia sẻ tổng kinh phí thông qua việc

thuê ngoài các chức năng giám sát và duy trì IDPS của nhà cung cấp dịch vụ phát hiện xâm nhập

được quản lý từ xa.

Chi phí tốn kém nhất của việc triển khai IDPS là việc đảm bảo phản ứng chống lại xâm nhập. Việc xác

định phản ứng nên được thực hiện, xây dựng nhóm phản ứng, phát triển và triển khai chính sách phản

ứng, đào tạo và diễn tập là các chi phí đáng kể cần phải được xem xét.

5.4.7 Cập nhật

5.4.7.1 Tổng quan

Phần lớn các IDPS hoạt động dựa trên dấu hiện tấn công và giá trị của IDPS phụ thuộc vào cơ sở dữ

liệu dấu hiệu để phân tích các sự kiện chống lại tấn công. Các điểm yếu và tấn công mới được phát

hiện thường xuyên. Do đó cơ sở dữ liệu dấu hiệu tấn công nên được cập nhật thường xuyên. Vì vậy, ở

mức tối thiểu một tổ chức nên xem xét các yếu tố sau:

- Cập nhật kịp thời;

- Tính hiệu quả của việc phân phối nội bộ;

- Triển khai;

- Tác động hệ thống.

5.7.4.2 Cập nhật kịp thời cho IDPS dựa trên dấu hiệu

Việc duy trì các dấu hiệu tấn công hiện tại là cần thiết để phát hiện các tấn công đã biết. Ở mức tối

thiểu, các câu hỏi sau nên được giải quyết theo thứ tự để đảm bảo các dấu hiệu tấn công được cập

nhật kịp thời:

- Nhà cung cấp IDPS phát hành các bản cập nhật dấu hiệu tấn công khi một khai thác hoặc một điểm

yếu được phát hiện nhanh như thế nào?

- Quy trình thông báo có tin cậy không?

20

TCVN xxxx:yyyy- Tính xác thực và tính toàn vẹn của các bản cập nhật dấu hiệu tấn công có được đảm bảo không?

- Trong trường hợp dấu hiệu tấn công phải tùy chỉnh, tổ chức có đủ kỹ năng không?

- Có đủ khả năng viết hoặc tùy chỉnh các dấu hiệu tấn công để phản ứng kịp thời với điểm yếu hoặc

tấn công đang diễn ra có rủi ro cao hay không?

5.4.7.3 Hiệu lực của phân phối và triển khai nội bộ

Tổ chức có khả năng phân phối và triển khai các bản cập nhật trong khung thời gian phù hợp với tất cả

hệ thống liên quan không? Trong nhiều trường hợp, các bản cập nhật dấu hiệu tấn công nên được

chỉnh sửa bao gồm địa chỉ IP, số hiệu cổng,..Ở mức tối thiểu, đối với các vùng biên mạng doanh

nghiệp tin cậy, các câu hỏi sau nên được trả lời:

- Trong trường hợp thực hiện quy trình phân phối thủ công thì các quản trị hoặc kỹ sư triển khai dấu

hiệu tấn công trong khung thời gian cho phép không?

- Hiệu quả của quy trình phân phối và cài đặt tự động có thể đo lường được không?

- Có cơ chế để theo dõi các thay đổi của các bản cập nhật dấu hiệu tấn công một cách hiệu quả

không?

5.4.7.4 Tác động hệ thống

Để giảm thiểu tác động của các bản cập nhật dấu hiệu tấn công vào hiệu năng hệ thống, ở mức tối

thiểu các câu hỏi sau nên được trả lời:

- Bản cập nhật dấu hiệu tấn công ảnh hưởng tới hiệu năng của các dịch vụ và ứng dụng quan trọng

không?

- Có cần phải chọn lựa giữa các bản cập nhật không? Việc này có thể cần thiết để tránh những xung

đột và ảnh hưởng hiệu năng tới các dịch vụ và ứng dụng.

5.4.8 Chiến lược cảnh báo

Việc cấu hình và vận hành IDPS nên dựa trên chính sách giám sát của tổ chức. Ở mức tối thiểu tổ

chức nên đảm bảo IDPS có thể hỗ trợ phương thức cảnh báo cụ thể sử dụng cơ sở hạ tầng hiện tại

của tổ chức. Các tính năng cảnh báo có thể được hỗ trợ gồm thư điện tử, tin nhắn SMS, sự kiện

SNMP và tự động chặn các nguồn tấn công.

Trong trường hợp dữ liệu IDPS được sử dụng cho mục đích pháp lý, bao gồm truy tố và bằng chứng

để kỷ luật nội bộ thì ở mức tối thiểu dữ liệu IDPS nên được xử lý và quản lý phù hợp với pháp luật và

các yêu cầu pháp lý của chính quyền địa phương.

5.4.9 Quản lý định danh

5.4.9.1 Tổng quan

Quản lý định danh là cơ sở quan trọng để thực hiện việc xác nhận và cấp phát IDPS từ xa không cần

sự can thiệp của con người. Mỗi tính năng yêu cầu việc tạo và sử dụng bên thứ ba tin cậy như cơ

quan có thẩm quyền tương tự như một phần của cơ sở hạ tầng khóa công khai. Những tính năng này

21

TCVN ISO/IEC xxxx:yyyyrất quan trọng cho tính liên tục, an toàn, kiểm soát dữ liệu IDPS và trao đổi định danh IDPS ngang qua

các vùng biên mạng tin cậy.

5.4.9.2 Xác nhận từ xa

IDPS có thể chứa hàng triệu dòng mã. Việc cố ý chèn phần mềm độc hại bên trong là khó phát hiện và

nó có thể cho phép kẻ tấn công kiểm soát đầu ra IDPS. Do vậy, việc xác thực nghiêm ngặt kiểm soát

truy cập trên phần cứng và phần mềm là vô cùng quan trọng và nên dựa trên phần định danh của thực

thể đưa ra yêu cầu truy cập. Xác nhận từ xa có thể cung cấp tính năng kiểm soát truy cập không cần

con người can thiệp.

Việc xác nhận từ xa tạo ra trong phần cứng một chứng thư số hoặc giá trị băm mật mã để định danh

thiết bị hoặc phần mềm chạy trên thiết bị không có sự tham gia của người dùng. Theo hình thức đơn

giản nhất, định danh được đại diện bởi giá trị băm mật mã, cho phép các chương trình phần mềm hoặc

các thiết bị phân biệt với các chương trình phần mềm, thiết bị khác hoặc các thay đổi trong phầm mềm

được phát hiện. Chứng thư số này có thể được cung cấp tới bất kỳ bên ở xa nào theo yêu cầu của

người dùng IDPS, và nó có hiệu lực chứng minh rằng IDPS bên đó đang sử dụng đúng phần mềm và

không bị thay đổi. Nếu phần mềm trên IDPS bị thay đổi thì chứng thư số đã tạo ra sẽ phản ánh rằng

mã nguồn IDPS đã bị thay đổi.

Trong trường hợp của IDPS, mục đích của xác nhận từ xa là phát hiện các thay đổi trong phần mềm

IDPS không được xác thực. Cho ví dụ, nếu một kẻ tấn công thay đổi hoặc chỉnh sửa một trong các ứng

dụng IDPS, hoặc một phần hệ điều hành IDPS để chèn mã độc, thì giá trị băm sẽ không được công

nhận bởi dịch vụ hoặc các phần mềm khác từ xa. Kết quả là việc thay đổi phần mềm IDPS bằng vi-rút,

Trojan bị phát hiện bởi bên ở xa (ví dụ trung tâm vận hành mạng), sau đó có thể hành động dựa trên

các thông tin này. Vì sự xác nhận là “từ xa” nên những bên tương tác với IDPS cũng có thể cho rằng

IDPS đã bị xâm phạm. Vì vậy họ có thể tránh gửi các thông tin tới IDPS cho đến khi nó được sửa

chữa.

Với những lý do trên, IDPS nên xác nhận/báo cáo từ xa tới trung tâm vận hành mạng thông tin trạng

thái, thông tin cấu hình và các thông tin quan trọng khác của nó. Khả năng xác nhận hoặc xác thực

IDPS là quan trọng để đánh giá độ mạnh của IDPS và để thực hiện các hoạt động cấu hình và cập

nhật. Cụ thể hơn, sự xác nhận là khả năng kiểm tra tính toàn vẹn của IDPS từ xa. Khi được tổng hợp,

các báo cáo xác nhận cung cấp nhận thức tình huống về phòng thủ mạng và là một phần quan trọng

của khả năng nhận thức tình huống mạng tổng thể.

5.4.9.3 Cấp phát

Khi xác nhận từ xa phát hiện một vấn đề trong IDPS, hành động khắc phục là cần thiết để giảm thiểu

vấn đề. Việc này có thể đạt được bằng cách cho phép trung tâm vận hành mạng đẩy cấu hình phù

hợp, các bản cập nhật phần mềm và các bản vá đã được xác thực tới IDPS. Thuật ngữ “cấp phát”

được dùng để chỉ quy trình nạp phần mềm, chính sách bảo mật và dữ liệu cấu hình đúng cho thiết bị IT

bao gồm IDPS. Mục đích của cấp phát là để điều khiển từ xa nhất có thể. Việc này vừa tiết kiệm chi phí

22

TCVN xxxx:yyyynguồn lực tới vị trí vật lý của IDPS vừa có thời gian để khắc phục vấn đề, đặc biệt là cập nhật dấu hiệu

tấn công. Để đạt được hiệu quả, tính năng cấp phát IDPS cần được đẩy an toàn từ Trung tâm vận

hành mạng cũng như kéo an toàn bởi IDPS. Trong tình huống sau, IDPS nên có tính năng an toàn và

tự động để tìm kiếm từ xa các bản cập nhật phần mềm mới từ trang web của nhà cung cấp và tải về

bản cập nhật đã được xác thực một cách kịp thời.

5.5 Công cụ bổ sung cho IDPS

5.5.1 Tổng quan

Tổ chức nên phát hiện xâm nhập kịp thời và giảm thiểu thiệt hại do xâm nhập gây ra. Tuy nhiên tổ

chức cũng nên hiểu IDPS không phải là một giải pháp duy nhất và/hoặc đầy đủ để thực hiện mục tiêu

này. Một số thiết bị mạng và công cụ công nghệ thông tin có thể cung cấp khả năng như IDPS. Tổ

chức nên xem xét việc triển khai các thiết bị và công cụ như vậy để củng cố và bổ sung cho khả năng

của IDPS.

Ví dụ các thiết bị và công cụ bao gồm:

- Công cụ kiểm tra tính toàn vẹn của tập tin;

- Tường lửa hoặc cổng an toàn: tường lửa, cổng an toàn;

- Honeypot;

- Công cụ quản lý mạng;

- Công cụ quản lý sự kiện và thông tin an toàn (Security Information and Event Management (SIEM)

Tools);

- Công cụ bảo vệ nội dung;

- Công cụ đánh giá điểm yếu

- Chống thực thi dữ liệu (Data Execution Prevention – DEP);

- Không gian địa chỉ ngẫu nhiên (Address Space Layout Randomization – ASLR).

5.5.2 Công cụ kiểm tra tính toàn vẹn của tập tin

Kiểm tra tính toàn vẹn của tập tin là một lớp công cụ an toàn khác bổ sung cho IDPS. Chúng sử dụng

hàm băm hoặc tổng kiểm tra mật mã cho các tập tin hoặc đối tượng quan trọng, so sánh với giá trị

tham chiếu và đánh dấu sự khác biệt hoặc thay đổi. Việc sử dụng tổng kiểm tra mật mã là quan trọng

vì kẻ tấn công thường thay đổi các tập tin hệ thống ở ba giai đoạn của tấn công. Giai đoạn đầu tiên kẻ

tấn công thay đổi tập tin hệ thống theo như mục tiêu tấn công (ví dụ đặt Trojan Hourse). Giai đoạn thứ

hai kẻ tấn công cố gắng để lại cổng sau trong hệ thống để có thể quay lại hệ thống sau này. Cuối cùng,

kẻ tấn công cố gắng che đậy dấu vết của chúng làm cho chủ sở hữu không biết về tấn công.

Ưu điểm:

- Nhận biết xem có các bản vá lỗi của nhà cung cấp hoặc các thay đổi được áp dụng tới các tập tin nhị

phân hệ thống;

23

TCVN ISO/IEC xxxx:yyyy- Cho phép chuẩn đoán nhanh và tin cậy dấu hiệu của tấn công, đặc biệt khi thực hiện kiểm tra pháp lý

các hệ thống đã bị tấn công

- Kẻ tấn công thường thay đổi hoặc thay thế các tập tin hệ thống và sử dụng các kỹ thuật để duy trì các

thuộc tính của tập tin thường xuyên bị soát xét bởi các quản trị hệ thống. Các công cụ kiểm tra tính

toàn vẹn sử dụng tổng kiểm tra mật mã có thể phát hiện bất kỳ thay đổi hoặc chỉnh sửa nào.

- Cho phép nhận dạng dữ liệu các tập tin thay đổi.

Nhược điểm:

- Có thể yêu cầu hệ thống thông tin hoặc ít nhất là hệ thống đang được xác minh ra khỏi mạng và

ngừng hoạt động trong suốt quá trình phân tích.

5.5.3 Tường lửa

Vai trò chính của tường lửa (xem ISO/IEC 27033-2) là giới hạn truy nhập giữa các mạng. Tường lửa

được thiết kế để lọc lưu lượng mạng dựa trên địa chỉ IP nguồn và đích, số hiệu cổng mà một tổ chức

muốn cho phép truy nhập. Ví dụ, tổ chức có thể chỉ chấp nhận lưu lượng cho máy chủ thư điện tử

(cổng 25) hoặc máy chủ web (cổng 80). Tuy nhiên tường lửa tầng ứng dụng sử dụng các thông tin giao

thức tầng ứng dụng để cung cấp việc lọc tinh vi. Trong trường hợp này tường lửa được đặt trong một

vùng mà nó có thể giảm lưu lượng mà một NIDPS yêu cầu để kiểm tra.

Hầu hết các tường lửa đều giới hạn tính năng giám sát nội dung thông điệp mạng và giới hạn cảnh báo

khi một số lưu lượng bị cấm trong việc cố gắng vượt qua tường lửa. Trong khi đó một NIDPS được

thiết kế đặc biệt để giám sát các gói tin nhằm phát hiện cái gì tạo nên lưu lượng hợp pháp và bất hợp

pháp, và có thể tạo ra một cảnh báo khi phát hiện nội dung độc hại trong các gói tin. Trong nhiều

trường hợp, một cảnh báo NIDPS có thể được sử dụng để tạo ra thay đổi trong các tham số lọc của

tường lửa nếu cần thiết.

Trong trường hợp một NIDPS được triển khai trên tường lửa của tổ chức, nếu tường lửa được cấu

hình đúng cách sẽ giảm đáng kể lượng gói tin nên được kiểm tra bởi NIDPS. Cấu hình NIDPS có thể

cải thiện độ chính xác do các nhiễu Internet tạo ra do các hoạt động dò quét có thể được loại bỏ khi

kiểm soát lưu lượng đến.

5.5.4 Honeypot

Honeypot là thuật ngữ chung chỉ một hệ thống bẫy sử dụng để đánh lừa, đánh lạc hướng, chuyển

hướng và thu hút kẻ tấn công dành thời gian cho thông tin có vẻ rất có giá trị, nhưng thực tế là được

tạo ra và có thể không được người sử dụng hợp pháp quan tâm. Mục đích chính của Honeypot là thu

thập thông tin về các mối đe dọa tới một tổ chức và thu hút những kẻ xâm nhập ra khỏi hệ thống quan

trọng.

Honeypot không phải là một hệ thống hoạt động thật và nó được thiết kế như một hệ thống thông tin có

khả năng bị xâm phạm bằng cách khuyến khích kẻ tấn công ở lại một thời gian dài, đủ để tổ chức có

thể đánh giá mục đích, mức độ kĩ năng và phương thức thực hiện của kẻ tấn công.

24

TCVN xxxx:yyyyThông tin thu thập từ việc phân tích các hành động của kẻ xâm nhập trong Honeypot cho phép tổ chức

hiểu các mối đe dọa và các điểm yếu trong hệ thống tốt hơn và từ đó cải thiện hoạt động IDPS. Bằng

việc phân tích các hành động của kẻ xâm nhập trong hệ thống Honeypot, thông tin này có thể góp

phần phát triển chính sách IDPS của tổ chức, cơ sở dữ liệu dấu hiệu tấn công và phương pháp tiếp

cận chung của tổ chức giúp cho IDPS hoạt động tốt hơn trong việc bảo vệ chống lại các kiểu phân tích

mối đe dọa của kẻ tấn công.

Trong mọi trường hợp, tổ chức nên sử dụng Honeypot chỉ sau khi có được sự hướng dẫn từ nhà tư

vấn pháp lý. Dữ liệu từ “Honeypot” có thể được coi như từ một kỹ thuật bẫy và vì vậy không thể chấp

nhận trong một số khu vực pháp lý.

Một số ưu điểm và nhược điểm của Honeypot

Ưu điểm:

- Kẻ tấn công có thể bị chuyển hướng khỏi hệ thống đích mà không có thiệt hại;

- Honeypot không phải là hành động hợp pháp và vì vậy bất kỳ hành động xác định bởi Honeypot được

coi là đáng ngờ;

- Quản trị viên có thêm thời gian để quyết định việc phản ứng như thế nào với kẻ tấn công;

- Hành động của kẻ tấn công có thể được giám sát dễ dàng và chi tiết hơn với các kết quả sử dụng để

hoàn thiện mô hình các mối đe dọa và cải thiện việc bảo vệ hệ thống;

- Có thể có hiệu quả trong việc bắt kẻ xâm nhập, người đang dò quét xung quanh hệ thống mạng;

Nhược điểm:

- Ý nghĩa pháp lý của việc sử dụng các thiết bị là không được xác định rõ ràng;

- Kẻ tấn công khi được chuyển hướng vào hệ thống bẫy, có thể tức giận và cố gắng khởi tạo một cuộc

tấn công nguy hiểm hơn để chống lại hệ thống của tổ chức;

- Các quản trị viên và các chuyên viên quản lý an toàn cần có chuyên môn ở mức độ cao để sử dụng

hệ thống.

5.5.5 Công cụ quản lý mạng

Các công cụ quản lý mạng sử dụng nhiều kỹ thuật dò quét chủ động và bị động để giám sát tính sẵn

sàng và hiệu năng của các thiết bị mạng. Các công cụ này có vai trò như một chức năng để cấu hình

và quản trị cơ sở hạ tầng mạng bằng cách thu thập thông tin thành phần và cấu trúc liên kết mạng.

Sự tương quan của các công cụ quản lý mạng/hệ thống với các cảnh báo IDPS có thể giúp nhân viên

vận hành IDPS xử lý các cảnh báo và đánh giá tác động của chúng đối với hệ thống đang được giám

sát một cách phù hợp.

5.5.6 Công cụ quản lý sự kiện và thông tin an toàn (SIEM)

Các tổ chức sử dụng SIEM để hợp nhất báo cáo tới cùng một giao diện điều khiển cảnh báo và quản

lý. Một công cụ quản lý thông tin an toàn có thể thu thập thông tin từ IDPS, tường lửa, và các bộ nghe

25

TCVN ISO/IEC xxxx:yyyylén thông tin…có thể giảm quá tải thông tin, quản lý một khối lượng lớn thông tin dùng để phân tích. Lý

do thứ hai là việc thu thập dữ liệu tập trung về một điểm giúp cho việc so sánh tương quan nhiều phần

nhỏ, một gói tin, nhiều nguồn, trong thời gian dài, theo sự định vị, các tấn công mà có thể là phủ định

sai với một IDPS.

Các công cụ SIEM có thể được sử dụng để xử lý dữ liệu thu được bởi IDPS. Điển hình các công cụ

quản lý thông tin an toàn được sử dụng để triển khai các chức năng sau:

- Thu thập và duy trì dữ liệu sự kiện liên quan tới an toàn từ nhiều nguồn khác nhau vào một cơ sở dữ

liệu tập trung. Nó có thể chứa dữ liệu từ một hoặc nhiều IDPS, tập tin nhật ký từ các thiết bị mạng và

các máy cũng như dữ liệu sự kiện từ các công cụ diệt vi-rút.

- Xử lý sau khi thu thập, đặc biệt cung cấp khả năng lọc mở rộng, kết hợp và so sánh tương quan.

- Tương quan sự kiện bằng việc xây dựng ngữ cảnh giữa các sự kiện liên quan tới an toàn và không

an toàn để phát hiện các vi phạm an toàn không có mẫu liên quan.

- Lọc sự kiện bằng việc giảm thiểu mức độ cảnh báo dựa trên tương quan nhờ sự liên quan như các

cảnh báo IDPS và mức độ vá lỗi an toàn.

- Tập hợp các sự kiện bằng cách thu thập và chuẩn hóa các sự kiện dựa trên nguồn, đích, nhãn thời

gian và mô tả sự kiện... để giảm thiểu các lỗi tràn cảnh báo IDPS.

- Cung cấp giao diện đơn giản và tiện ích cho việc báo cáo các cảnh báo liên quan và cung cấp trợ

giúp để phân tích sâu các cảnh báo dựa trên dữ liệu đã thu thập.

Mục đích chính của các công cụ SIEM là cung cấp một cách tự động hóa để phân biệt giữa các cảnh

báo liên quan, đưa ra mối đe dọa có thể ở mức cao, và các cảnh báo không liên quan hoặc khẳng định

sai không phải mối đe dọa. Việc cấu hình phù hợp các công cụ SIEM là một điều kiện không thể thiếu

để đạt được mục tiêu này và tổ chức nên xem xét nó như một công việc quan trọng khi lập kế hoạch

giới thiệu công cụ SIEM. Với các hệ thống IDPS, việc cấu hình đòi hỏi có chuyên môn cao và khối

lượng công việc lớn. Khi được cài đặt và cấu hình phù hợp các công cụ SIEM có thể cung cấp một giá

trị cao, và đặc biệt có thể cung cấp thông tin có thể có giá trị để kích hoạt các quy trình và các hoạt

động như quản lý sự cố.

5.5.7 Công cụ bảo vệ vi-rút/nội dung

Các công cụ bảo vệ vi-rút/nội dung có thể bổ sung cho IDPS bằng cách cung cấp dữ liệu bổ sung để

phân tích chéo với lưu lượng và thông tin cụ thể dựa trên nguồn gốc của các vi-rút.

5.5.8 Công cụ đánh giá điểm yếu

Đánh giá điểm yếu là một phần của đánh giá rủi ro và một phần có giá trị của việc kiểm tra an toàn

đánh giá/tuân thủ và các chiến lược giám sát. Kiểu đánh giá này cho phép tổ chức tìm các điểm yếu và

trong hầu hết trường hợp khuyến cáo các hành động khắc phục để giảm cơ hội có một kẻ xâm nhập

có thể khai thác chúng. Vì vậy, việc sử dụng công cụ đánh giá điểm yếu có thể làm giảm đáng kể số

cuộc tấn công mà IDPS nên tìm kiếm.

26

TCVN xxxx:yyyyCông cụ đánh giá điểm yếu tập trung vào việc đánh giá sự phơi bày của một máy với một điểm yếu

nhất định. Quy trình đánh giá này không giống như việc thực hiện một kịch bản tấn công. Kết quả là,

sự thất bại của IDPS trong việc phát hiện hành động dò quét điểm yếu không có nghĩa là IDPS không

thể phát hiện tấn công. Ngược lại, việc IDPS phát hiện hành động dò quét điểm yếu không có nghĩa là

IDPS có thể phát hiện đúng tấn công.

Công cụ đánh giá điểm yếu được sử dụng để kiểm tra tính nhạy cảm của máy chủ mạng bị lạm dụng.

Việc sử dụng các công cụ kiểm tra điểm yếu kết hợp với IDPS cung cấp một phương pháp tốt để đánh

giá hiệu quả của IDPS trong việc phát hiện và phản ứng lại tấn công. Công cụ đánh giá điểm yếu được

phân loại thành dựa trên máy chủ hoặc dựa trên mạng. Các công cụ dựa trên máy chủ đánh giá tính

an toàn của hệ thống thông tin bằng cách truy vấn các tài nguyên dữ liệu như nội dung tập tin, chi tiết

cấu hình và các thông tin trạng thái khác. Công cụ dựa trên máy chủ được cấp quyền truy cập tới các

máy đích đang chạy thông qua một kết nối từ xa. Công cụ dựa trên mạng được sử dụng để quyét một

số máy có điểm yếu kết hợp với các dịch vụ mạng. Để thực hiện đánh giá điểm yếu của máy chủ hoặc

mạng, tổ chức phải chấp nhận việc kiểm thử ở một mức độ quản lý phù hợp. Đây là yếu tố quan trọng

để nhấn mạnh việc sử dụng các công cụ đánh giá điểm yếu bổ sung cho IDPS nhưng không thể thay

thế IDPS.

Ưu điểm và nhược điểm của việc sử dụng công cụ đánh giá điểm yếu:

Ưu điểm:

- Công cụ đánh giá điểm yếu cung cấp phương pháp hiệu quả cho việc viết thành tài liệu trạng thái an

toàn của hệ thống thông tin và trong trường hợp tái thiết lập một cơ sở an toàn để quay lại sau khi thay

đổi hệ thống;

- Khi sử dụng thường xuyên, công cụ đánh giá điểm yếu có thể xác định các thay đổi trong trạng thái

an toàn của hệ thống thông tin một cách tin cậy;

- Ưu điểm lớn nhất của công cụ đánh giá điểm yếu là xác định các điểm yếu;

- Cho phép tổ chức so khớp dữ liệu tấn công với những điểm yếu đã biết để nhận biết nếu cuộc tấn

công đã thành công.

Nhược điểm:

- Công cụ đánh giá điểm yếu dựa trên máy chủ có nền tảng và ứng dụng cụ thể và thường tốn kém

hơn các công cụ dựa trên mạng trong việc xây dựng, quản lý và duy trì;

- Công cụ đánh giá điểm yếu dựa trên mạng có nền tảng độc lập và ít cụ thể hơn các công cụ dựa trên

máy chủ;

- Đánh giá điểm yếu là một hoạt động tiêu thụ tài nguyên và có thể không thực tế hoặc có thể được vận

hành chỉ ở mức chi phí làm giảm hiệu năng của mạng/hệ thống hoặc có thể chỉ ở ngày và thời gian

hạn chế;

27

TCVN ISO/IEC xxxx:yyyy- Trong nhiều trường hợp, đánh giá điểm yếu là một hoạt động định kỳ có thể là hàng tuần, hàng tháng

hoặc ngẫu nhiên và kết quả là phát hiện kịp thời vấn đề an toàn ở mức độ cao nhất hoặc đôi khi là

không thể phát hiện;

- Giống như IDPS, việc lặp lại các đánh giá điểm yếu có thể làm cho IDPS dựa trên bất thường bỏ qua

các tấn công thật sự;

- Cần phải cập nhật các dấu hiệu tấn công;

- Công cụ đánh giá điểm yếu dựa trên máy chủ nên được cấu hình tới hệ thống đích và cần phải chú ý

thực hiện bảo vệ sự nhạy cảm của bất kỳ dữ liệu được thu thập trong suốt quy trình này. Dữ liệu được

thu thập bởi công cụ đánh giá điểm yếu là thông tin nhạy cảm có thể được sử dụng bởi bất kỳ kẻ xâm

nhập nào để khai thác hệ thống của tổ chức và vì vậy nó cần phải được bảo vệ.

5.6 Tính mở rộng

Một tổ chức phải tìm hiểu tính năng mở rộng của IDPS cụ thể trước khi quyết định sử dụng IDPS.

Nhiều IDPS thực hiện đầy đủ chức năng ở tốc độ dữ liệu thấp, nhưng hiệu suất sẽ bị giảm khi băng

thông tăng. Việc giảm hiệu năng thường dẫn đến lỗi làm tăng tỉ lệ cảnh báo phủ định sai (không cảnh

báo khi có tấn công xảy ra) và khẳng định sai (vẫn cảnh báo khi có tấn công) do có nhiều gói tin bị hủy

và lỗi khi xử lý. Nói cách khác, nhiều IDPS hoạt động không ổn định trong môi trường mạng doanh

nghiệp phân tán lớn và rộng.

Các liên quan đến tính năng mở rộng được áp dụng hầu hết trong triển khai NIDPS, nhưng cũng được

áp dụng tới HIDPS trong trường hợp máy chủ yêu cầu hiệu năng cao.

5.7 Hỗ trợ kỹ thuật

Như các hệ thống khác, IDPS yêu cầu việc duy trì và hỗ trợ, IDPS không phải là công nghệ “cắm và

chạy”. Nhiều nhà cung cấp IDPS cung cấp chuyên gia hỗ trợ khách hàng trong việc cài đặt và cấu hình

IDPS. Trong khi đó một số nhà cung cấp khác mong đợi rằng nhân viên của tổ chức có thể xử lý các

chức năng và chỉ cung cấp hỗ trợ qua điện thoại hoặc thư điện tử.

Mức độ hỗ trợ kỹ thuật phụ thuộc vào hợp đồng của tổ chức với nhà cung cấp IDPS và được triển khai

dựa trên từng trường hợp. Ở mức tối thiểu, hỗ trợ kỹ thuật nên bao gồm: hỗ trợ trong việc tinh chỉnh và

phù hợp hóa IDPS để đáp ứng các nhu cầu cụ thể của tổ chức, cho dù họ thực hiện giám sát hệ thống

có thể thay đổi hoặc hệ thống kế thừa trong một doanh nghiệp, hoặc thực hiện báo cáo kết quả IDPS

trong giao thức hoặc định dạng tùy chỉnh.

Tổ chức nên xác định cách thức để liên lạc với hỗ trợ kỹ thuật (ví dụ thư điện tử, điện thoại, trao đổi

trực tuyến, báo cáo dựa trên web, giám sát từ xa hoặc các dịch vụ phản ứng). Các điều khoản hợp

đồng thông thường có thể chỉ rõ các dịch vụ hỗ trợ kỹ thuật và thời gian đáp ứng. Hợp đồng với nhà

cung cấp phải đủ nhằm truy cập cho việc hỗ trợ xử lý sự cố và các nhu cầu thời gian khác.

28

TCVN xxxx:yyyy5.8 Đào tạo

Chỉ có công nghệ là không đủ để phát hiện xâm nhập hệ thống. Tổ chức nên có đội ngũ nhân viên kỹ

thuật để ước lượng, chọn lựa, cài đặt, vận hành và duy trì IDPS. Nhu cầu chất lượng nhân viên IDPS

là rất cao và trong nhiều trường hợp rất khó trong việc tuyển dụng, thuê và duy trì nhân viên có kinh

nghiệm và chuyên môn cần thiết để hoàn toàn phụ trách IDPS. Do vậy, nhiều tổ chức quyết định thuê

ngoài các hoạt động cho dịch vụ quản lý an toàn. Chọn lựa này thể hiện các vấn đề và rủi ro trong tổ

chức đào tạo. Ví dụ, trong trường hợp mà hầu hết các chức năng đang diễn ra được thuê ngoài, một tổ

chức nên đào tạo nhân viên với kiến thức tương đối về các vấn đề và vận hành IDPS hoặc nếu không

tổ chức có thể mất kiểm soát quy trình IDPS tới các hệ thống khác. Để tổ chức sử dụng tối ưu IDPS,

nhân viên của tổ chức chịu trách nhiệm giám sát các hoạt động thuê ngoài của IDPS phải trở nên quen

thuộc với các thủ tục và vận hành IDPS. Loại hình đào tạo này phải có sẵn từ nhà cung cấp sản phẩm

IDPS. Tổ chức nên có loại hình đào tạo này trong một phần chi phí mua IDPS.

Trong trường hợp nhà cung cấp không cung cấp chương trình đào tạo như một phần của gói sản

phẩm IDPS thì tổ chức nên có ngân sách phù hợp để đào tạo nhân viên vận hành. Việc đào tạo như

vậy nên được cung cấp trên cơ sở liên tục nhằm cho phép nhân viên luân chuyển và thay đổi đối với

IDPS và môi trường của nó.

6 Triển khai

6.1 Tổng quan

Dựa trên tiêu chí được cung cấp trong phần trước, việc triển khai thành công hệ thống HIDPS hoặc

NIDPS có thể đạt được bằng cách:

- Phân tích chi tiết các yêu cầu, bao gồm nhu cầu IDPS dựa trên đánh giá rủi ro;

- Chọn lựa cẩn thận chiến lược triển khai IDPS;

- Xác định giải pháp phù hợp với cơ sở hạ tầng, chính sách và mức độ tài nguyên mạng của tổ chức;

- Đào tạo việc duy trì và vận hành IDPS;

- Viết thành tài liệu việc đào tạo và các thủ tục diễn tập để xử lý và phản ứng với các cảnh báo IDPS.

Do lợi ích và hạn chế của hai loại IDPS, tổ chức nên xem xét kết hợp IDPS dựa trên mạng và IDPS

dựa trên máy chủ để bảo vệ mạng của tổ chức.

6.2 Triển khai theo giai đoạn

Tổ chức nên xem xét triển khai theo giai đoạn IDPS. Phương pháp tiếp cận này có thể cho phép nhân

viên có thêm kinh nghiệm và để xác định cần bao nhiêu tài nguyên giám sát và duy trì để hỗ trợ cho

các hoạt động IDPS. Yêu cầu tài nguyên của mỗi loại IDPS rất khác nhau và phù thuộc nhiều vào hệ

thống và môi trường an toàn của tổ chức.

Trong triển khai theo giai đoạn, tổ chức nên bắt đầu với IDPS dựa trên mạng. Việc cài đặt và duy trì

NIDPS là đơn giản nhất. Bước tiếp theo là bảo vệ các máy chủ quan trọng với IDPS dựa trên máy chủ.

29

TCVN ISO/IEC xxxx:yyyyTổ chức phải sử dụng các công cụ đánh giá điểm yếu định kỳ để kiểm tra IDPS và các cơ chế an toàn

cho các chức năng và cấu hình của nó.

6.3 Triển khai NIDPS

6.3.1 Tổng quan

Với một HIDPS, tổ chức nên đảm bảo nhân viên vận hành được làm quen với NIDPS trong môi trường

kiểm định và đào tạo chủ động được kiểm soát. Các vị trí khác nhau của các bộ cảm biến NIDPS có

thể được kiểm thử trước khi triển khai toàn diện trên mạng. Các vị trí phổ biến của bộ cảm biến NIDPS

được nêu chi tiết trong phần sau và thể hiện trong Hình 2. Trong việc triển khai các bộ cảm biến mạng,

tổ chức nên cân đối chi phí việc triển khai và các hoạt động đang diễn ra so với mức yêu cầu bảo vệ

thực tế.

Ngoài ra, đặc biệt trong các môi trường mạng có tốc độc cao, mức độ hủy gói tin cần được giám sát

khi tỉ lệ hủy gói tin ở mức cao có thể tăng thêm lượng gói tin không khớp mẫu, kết quả là tăng tỉ lệ

khẳng định sai hoặc phủ định sai. Một biện pháp khắc phục là sử dụng các cổng giao tiếp mạng có thể

bắt gói tin ở tốc độc cao hoặc công nghệ tương tự nhằm giảm thiểu việc hủy gói tin có thể được yêu

cầu để đảm bảo hiệu quả.

Khi triển khai một NIDPS để giám sát mạng, phương pháp bắt dữ liệu nên được xem xét, đặc biệt

trong trường hợp, một bộ chuyển mạch hoặc một TAP được sử dụng. Tổ chức nên sử dụng bộ chuyển

mạch phân tách vật lý khi triển khai một NIDPS và không có VLAN hoặc công nghệ tương tự trên bộ

chuyển mạch lõi. Các bộ chuyển mạch thông thường chỉ cho phép có một cổng giám sát mạng (còn gọi

là cổng SPAN) thực hiện chức năng ở bất kỳ thời gian nào được phép. Cổng giám sát mạng cũng làm

tăng việc sử dụng CPU của bộ chuyển mạch, và được thiết kế để dừng việc nhân bản dữ liệu trong

trường hợp đến ngưỡng sử dụng CPU.

Tương tự, trong trường hợp cổng này sử dụng để gỡ rối mạng, IDPS trở thành phi chức năng. Tổ

chức nên dành cổng này cho chức năng của IDPS. Để xác định vấn đề này tổ chức nên có một TAP

mạng, đặc biệt TAP tích hợp hai chiều dữ liệu. Các thiết bị này là thiết bị thụ động, vì vậy không tạo

thêm bất kỳ chi phí nào trên gói tin. Các thiết bị này cũng làm tăng mức độ an toàn như làm giao diện

thu thập dữ liệu ẩn trong mạng, nơi bộ chuyển mạch vẫn có thể duy trì thông tin về cổng ở lớp hai. Một

TAP có chức năng của nhiều cổng vì vậy các vấn đề mạng có thể được xử lý mà không làm mất khả

năng của IDPS.

30

TCVN xxxx:yyyy

Hình 2 - Các vị trí IDPS điển hình

6.3.2 Vị trí của NIDPS bên trong tường lửa Internet

Ưu điểm:

- Xác định nguồn gốc của các tấn công xâm nhập từ mạng bên ngoài vành đai phòng thủ;

- Có thể giúp phát hiện các lỗi trong chính sách cấu hình tường lửa;

- Giám sát các tấn công có mục đích vào các hệ thống trong vùng DMZ;

- Có thể được cấu hình để phát hiện các tấn công đối với các mục tiêu bên ngoài có nguồn gốc từ

mạng bên trong tổ chức;

Nhược điểm:

- Không được bảo vệ tốt do gần với mạng bên ngoài;

- Không thể giám sát các cuộc tấn công đã bị chặn (đã lọc bên ngoài) bởi tường lửa.

6.3.3 Vị trí của NIDPS bên ngoài tường lửa Internet

Ưu điểm:

31

TCVN ISO/IEC xxxx:yyyy- Cho phép đưa ra thông tin về số lượng và kiểu tấn công có nguồn gốc từ mạng bên ngoài;

- Có khả năng thấy các tấn công không bị chặn (lọc phía ngoài) bởi tường lửa;

- Có thể giảm thiểu tác động của các cuộc tấn công từ chối dịch vụ;

- Trong trường hợp NIDPS được sử dụng kết hợp với IDPS phía trong tường lửa ngoài thì cấu hình

IDPS này có thể đánh giá hiệu quả của tường lửa;

Nhược điểm:

- Khi bộ cảm biến được đặt bên ngoài vành đai an toàn của mạng, nó là đối tượng dễ bị tấn công vì

vậy thiết bị cần phải được gia cố và ẩn danh.

- Lượng lớn dữ liệu được tạo ra ở vị trí này làm cho việc phân tích dữ liệu thu thập được của IDPS vô

cùng khó khăn;

- Tương tác giữa bộ cảm biến IDPS và giao tiếp quản lý có thể yêu cầu bổ sung các cổng trong tường

lửa, tạo ra việc truy cập từ bên ngoài tới giao tiếp quản lý.

6.3.4 Vị trí của NIDPS trên trục mạng chính

Ưu điểm:

- Giám sát lượng lớn lưu lượng mạng, vì vậy tăng khả năng truy vết các tấn công;

- Trong trường hợp một IDPS hỗ trợ trục mạng chính thì nó có khả năng chặn các tấn công từ chối

dịch vụ trước khi chúng có thể gây thiệt hại cho các mạng con quan trọng;

- Phát hiện các hành động truy nhập mạng trái phép của người dùng bất hợp pháp trong vành đai an

toàn của tổ chức.

Nhược điểm:

- Rủi ro trong việc bắt và lưu trữ dữ liệu nhạy cảm hoặc bí mật;

- IDPS phải xử lý lượng lớn dữ liệu;

- Không phát hiện được các tấn công không đi qua trục;

- Không xác định được máy lưu giữ các tấn công trên mạng con.

6.3.5 Vị trí của NIDPS trên mạng con trọng yếu

Ưu điểm:

- Giám sát mục tiêu các cuộc tấn công ở các hệ thống, dịch vụ và tài nguyên trọng yếu;

- Cho phép tập trung các tài nguyên giới hạn thành tài sản mạng có giá trị lớn nhất;

Nhược điểm:

- Vấn đề trong việc so sánh tương quan các sự kiện an toàn giữa các mạng con;

- Nếu các cảnh bảo không được truyền đi trên một mạng dành riêng, lưu lượng mạng liên quan đến

IDPS có thể làm tăng độ tải mạng trên các mạng con trọng yếu;

32

TCVN xxxx:yyyy- Nếu cấu hình không đúng cách thì IDPS có thể bắt, lưu trữ dữ liệu nhạy cảm và cho phép truy cập tới

các thông tin này theo những cách không được xác định.

6.4 Triển khai HIDPS

Trước khi triển khai hoạt động của một HIDPS, tổ chức phải đảm bảo nhân viên vận hành quen thuộc

với các tính năng và khả năng của nó trong môi trường được bảo vệ nhưng chủ động. Hiệu quả của tất

cả IDPS chứ không phải là một HIDPS cụ thể phụ thuộc vào khả năng phân biệt giữa cảnh báo đúng

và sai của nhân viên vận hành. Việc này đòi phỏi phải có kiến thức về công nghệ mạng, các điểm yếu

và kiến thức khác liên quan tới việc giải quyết cảnh báo sai của tổ chức. Với kinh nghiệm vận hành

theo thời gian có thể xác định kiểu hoạt động thông thường hoặc cơ bản trong môi trường được giám

sát bởi IDPS. Vì HIDPS không được giám sát liên lục nên tổ chức phải lập lịch để kiểm tra đầu ra

IDPS. Chế độ hoạt động này của HIDPS sẽ giảm đáng kể rủi ro mà một kẻ tấn công có thể làm xáo

trộn với HIDPS trong một cuộc tấn công.

Việc triển khai đầy đủ HIDPS nên bắt đầu với các máy chủ trọng yếu. Khi việc vận hành HIDPS trở nên

quen thuộc thì các máy chủ khác có thể được xem xét để triển khai HIDPS. Việc cài đặt HIDPS trên tất

cả các máy trong tổ chức có thể tốn kém và kéo dài thời gian, vì mỗi IDPS phải được cài đặt và cấu

hình cho từng máy cụ thể. Vì vậy, tổ chức trước tiên nên cài đặt HDPS chỉ trên các máy chủ trọng yếu.

Cách tiếp cận này có thể giảm chi phí triển khai tổng thể và cho phép nhân viên thiếu kinh nghiệm tập

trung vào việc tạo cảnh báo từ các tài sản quan trọng nhất. Khi việc vận hành HIDPS trở nên quen

thuộc, tổ chức có thể xem lại các kết quả đánh giá rủi ro an toàn thông tin ban đầu và xem xét cài đặt

thêm HIDPS. Tổ chức nên sử dụng HIDPS có chức năng quản lý và báo cáo tập trung. Các tính năng

này có thể làm giảm đáng kể sự phức tạp của việc quản lý cảnh báo từ HIDPS được triển khai trong tổ

chức. Trong trường hợp triển khai số lượng HIDPS đáng kể, tổ chức có thể xem xét thuê ngoài việc

vận hành và duy trì HIDPS tới một dịch vụ quản lý an toàn thông tin.

6.5 Đảm bảo và bảo vệ an toàn thông tin IDPS

Cơ sở dữ liệu lưu trữ tất cả dữ liệu liên quan tới các hành động nghi ngờ và các tấn công bên trong cơ

sở hạ tầng thông tin của tổ chức và là thông tin nhạy cảm. Vì vậy việc bảo vệ dữ liệu là cần thiết, các

kiểm soát tối thiểu sau cần được khuyến cáo:

- Sử dụng tổng kiểm tra để xác minh tính toàn vẹn của dữ liệu được lưu trữ;

- Mã hóa dữ liệu lưu trữ;

- Cấu hình thích hợp cơ sở dữ liệu, đặc biệt là sử dụng cơ chế kiểm soát truy cập;

- Các kỹ thuật duy trì cơ sở dữ liệu phù hợp bao gồm các thủ tục sao lưu;

- Gia cố hệ thống chạy cơ sở dữ liệu IDPS để chống lại thâm nhập;

- Các cáp nghe lén (chỉ nhận) kết nối tới IDPS, tới hub hoặc bộ chuyển mạch Ethernet;

- Triển khai một mạng quản lý IDPS riêng biệt;

- Đánh giá và kiểm thử thâm nhập điểm yếu thường xuyên trên IDPS và các hệ thống kết nối;

33

TCVN ISO/IEC xxxx:yyyy- Nhật ký nên được lưu trữ trên các máy riêng và không lưu trên hệ thống IDPS cục bộ, các cấu hình,

dấu hiệu tấn công và thông tin trao đổi giữa bộ cảm biến IDPS và các bộ thu thập nên được bảo vệ

chống lại việc thay đổi và xóa dữ liệu trái phép. Nhật ký IDPS có thể chứa thông tin nhạy cảm, bí mật

và nên được bảo vệ trong khi lưu trữ và vận chuyển. Người được phép có trách nhiệm phân tích thông

tin từ các bộ cảm biến IDPS và các bộ thu thập nên đảm bảo an toàn thông tin.

7 Vận hành

7.1 Tổng quan

Trước thời điểm vận hành, tổ chức nên:

- Thiết lập quy trình, thủ tục và các cơ chế đảm bảo IDPS tuân theo các quy trình quản lý điểm yếu của

tổ chức;

- Chuẩn bị quy trình quản lý sự cố theo tiêu chuẩn ISO/IEC 27035;

- Xác định các hành động nên được thực hiện khi IDPS tạo ra cảnh báo;

- Xác định các điều kiện phản ứng tự động hoặc bán tự động có thể được phép và làm thế nào để giám

sát kết quả phản ứng đảm bảo hoạt động thực sự an toàn và phù hợp;

- Làm rõ và chuẩn bị quy định pháp lý;

7.2 Tinh chỉnh IDPS

Theo sau việc triển khai IDPS, tổ chức nên quyết định cái gì, khi nào và làm thế nào có thể sử dụng

các tính năng cảnh báo IDPS và để đảm bảo các tính năng được điều chỉnh thường xuyên.

Hầu hết IDPS đi kèm với các đặc điểm cảnh báo có thể cấu hình cho phép một loạt các tùy chọn cảnh

báo bao gồm: thư điện thử, SMS, giao thức quản lý mạng, và ngăn chặn tự động các nguồn tấn công.

Mặc dù có nhiều tính năng cảnh báo hấp dẫn, nhưng tổ chức nên xem xét thận trọng việc sử dụng các

tính năng này cho tới khi đạt được độ ổn định về cài đặt IDPS và trong một số ngữ cảnh hành vi của

IDPS trong môi trường của tổ chức.

Như đã đề cập trước đó, việc sử dụng công nghệ SIEM có thể mang lại giá trị lớn trong việc ưu tiên và

giảm nhẹ các cảnh báo IDPS, ví dụ việc so sánh dữ liệu đánh giá điểm yếu, mức độ vá lỗi hệ thống với

cấu hình cảnh báo IDPS. Trong phạm vi sử dụng công cụ khám phá mạng và bộ phân tích lưu lượng

có thể thêm giá trị và cho phép tinh chỉnh các luật cảnh báo.

Trong một số trường hợp, tổ chức nên trì hoãn việc kích hoạt đầy đủ các tính năng cảnh báo cho tới

khi giai đoạn kiểm thử có độ cân bằng tốt nhất cho các yêu cầu vận hành và khả năng cảnh báo, để

cuối cùng cho phép việc tùy biến các luật cảnh báo và phản ứng. Tổ chức sau đó phải quyết định các

tính năng cần thiết mang lại một hoặc nhiều lợi ích hơn so với các tính năng khác. Trong trường hợp

các tính năng cảnh báo và phản ứng bao gồm tự động phản ứng lại các tấn công, đặc biệt tính năng

cho phép IDPS ra lệnh cho tường lửa thực hiện ngăn chặn lưu lượng từ các nguồn được cho là tấn

công, tổ chức nên đặc biệt cẩn thận khi kẻ tấn công sử dụng tính năng IDPS này để từ chối truy cập tới

người dùng hợp pháp. Ví dụ như tự gây ra tấn công từ chối dịch vụ. Ban đầu các tính năng này nên

34

TCVN xxxx:yyyyđặt trong chế độ bán tự động, mà trong đó con người nên quyết định có nên kích hoạt phản ứng IDPS

không.

7.3 Điểm yếu IDPS

Việc triển khai bộ cảm biến IDPS không an toàn có khả năng dễ bị tấn công giống như các thiết bị khác

trên mạng. Trong trường hợp kẻ tấn công biết được sự tồn tại của nó, chúng sẽ cố gắng nhiều hơn và

khai thác bất kỳ điểm yếu nào đã biết trong IDPS. Kẻ tấn công có thể cố gắng vô hiệu hóa IDPS hoặc

buộc IDPS cung cấp những thông tin sai lệch. Ngoài ra, nhiều IDPS có điểm yếu an toàn như gửi tập

tin nhật ký không mã hóa, kiểm soát truy cập hạn chế và thiếu sự kiểm tra tính toàn vẹn trên các tập tin

nhật ký. Một điều bắt buộc là các cảm biến IDPS và các giao tiếp phải được triển khai trong mô hình an

toàn và các điểm yếu tiềm ẩn trong IDPS nên được giải quyết.

7.4 Xử lý cảnh báo IDPS

7.4.1 Tổng quan

Thông thường IDPS sẽ tạo lượng thông tin đầu ra lớn. Để phân biệt số ít các cảnh báo có tính chất

nghiêm trọng từ một lượng lớn thông tin, tổ chức nên phân tích đầu ra IDPS một cách triệt để. Thông

thường các cảnh báo chứa thông tin tóm tắt về tấn công đã phát hiện và tối thiểu bao gồm:

- Thời gian/ngày phát hiện tấn công;

- Địa chỉ IP của bộ cảm biến phát hiện tấn công;

- Nhà cung cấp tên tấn công cụ thể;

- Tên của tấn công (nếu có);

- Địa chỉ IP nguồn và đích;

- Cổng nguồn và đích;

- Giao thức mạng sử dụng trong tấn công.

Một số IDPS cung cấp chi tiết hơn về phương pháp sử dụng để tấn công. Thông tin này cho phép nhân

viên vận hành đánh giá mức độ nghiêm trọng của tấn công và nên chứa những thông tin sau:

- Mô tả của tấn công;

- Mức độ nghiêm trọng của tấn công;

- Loại tổn thất do kết quả của tấn công;

- Loại điểm yếu dùng để khai thác tấn công;

- Danh sách các loại phần mềm và số hiệu phiên bản có điểm yếu bị tấn công;

- Danh sách bản vá liên quan;

- Tham chiếu tới các khuyến cáo công khai, chứa thông tin chi tiết về tấn công hoặc điểm yếu.

35

TCVN ISO/IEC xxxx:yyyy7.4.2 Nhóm ứng cứu sự cố an toàn thông tin (ISIRT)

Khi nhận được một cảnh báo tổ chức nên có ISIRT tại chỗ. Kế hoạch cho ISIRT nên quy định tập các

thủ tục xử lý sự cố an toàn như vi rút, vi phạm nội bộ hệ thống và các kiểu tấn công khác. Tổ chức nên

vạch ra các hành động cần được thực hiện khi có sự cố, lập lịch và nội dung đào tạo cho nhân viên về

trách nhiệm của họ trong quy trình xử lý sự cố. Thông tin thêm về thông báo và xử lý sự cố an toàn

thông tin được thảo luận trong ISO/IEC 27035.

7.4.3 Thuê ngoài

Ngoài các sản phẩm IDPS, một số nhà cung cấp dịch vụ an toàn cung cấp việc quản lý các dịch vụ

IDPS bao gồm tư vấn và quản lý trung tâm vận hành mạng. Nhiều tổ chức muốn thuê ngoài các vai trò

hỗ trợ chính, bao gồm các dịch vụ an toàn cho nhà cung cấp dịch vụ quản lý, và vì vậy họ không đào

tạo và duy trì nhân viên với các kỹ năng chuyên môn. Cũng như việc chọn lựa sản phẩm IDPS, việc

cung cấp dịch vụ quản lý an toàn nên được xem xét thận trọng để nhận biết nếu chúng khả thi về tài

chính và cung cấp mức độ hỗ trợ phù hợp để duy trì tính bí mật.

Khi làm việc với nhà cung cấp IDPS để cung cấp giải pháp dịch vụ quản lý an toàn, ở mức tối thiểu tổ

chức nên yêu cầu nhà cung cấp những thông tin sau:

- Thỏa thuận về tính bí mật?

- Yêu cầu bằng cấp của người giám sát IDPS?

- Thỏa thuận về thông tin liên lạc và liên hệ giữa nhà cung cấp dịch vụ và nhân viên an toàn nội bộ của

tổ chức?

- Nhà cung cấp có đưa ra dịch vụ phản ứng khẩn cấp để bổ sung khả năng của tổ chức không?

- Nhà cung cấp có đưa ra một SLA không?

- Tùy chọn báo cáo nào có sẵn, và có thể được tùy chỉnh theo yêu cầu của tổ chức không?

- Có thể tùy chỉnh các chính sách phát hiện cho môi trường của tổ chức hay sử dụng cài đặt mặc định?

- Biện pháp kỹ thuật nào được đưa ra để thực hiện các thỏa thuận này?

- Thủ tục rà soát tính an toàn của nhân viên cung cấp dịch vụ được tiến hành là gì?

SLA của việc thuê ngoài có thể được yêu cầu gồm các yêu cầu chi tiết cho:

- Nội dung của báo cáo định kỳ (hàng ngày, hàng tuần...);

- Khoảng thời gian đáp ứng;

- Cơ chế thông báo cho tổ chức khi tấn công xảy ra (thư điện tử, tin nhắn, SMS, điện thoại, hệ thống đa

phương tiện...);

- Các thủ tục theo dõi và quản lý sự cố;

- Các thỏa thuận về tính bí mật và không tiết lộ thông thông tin.

Ưu điểm:

36

TCVN xxxx:yyyy- Nhà cung cấp dịch vụ quản lý an toàn cung cấp mức độ an toàn cao hơn tổ chức cung cấp với chi phí

tương đương;

- Nhìn chung, khả năng 24/7 có thể được triển khai nhanh hơn, hiệu quả hơn và có thể ít chi phí hơn;

- Bởi vì nhiều nhà cung cấp dịch vụ quản lý an toàn có thể có truy cập tới thông tin từ nhiều khách

hàng khác nhau nên họ có ưu thế tốt hơn trong việc giải quyết các hành động đáng ngờ và xác định

một tấn công;

- Tổ chức có thể giảm thời gian cần thiết để đưa các thủ tục IDPS hiệu quả cùng nhau và thời gian cần

thiết để theo dõi chi tiết việc triển khai;

- Trong khi có một nhu cầu để nâng cao nhận thức về khả năng của IDPS trong tổ chức, thì không có

yêu cầu để cung cấp việc đào tạo chuyên môn cho nhân viên về các công cụ và khả năng mới nhất

của IDPS.

Nhược điểm:

- Bên thuê ngoài nên được giám sát và đánh giá để tuân thủ các yêu cầu an toàn, các hạn chế và

chính sách của tổ chức;

- Để lộ thông tin nhạy cảm với một bên thứ ba;

- Có thể tốn kém hơn nếu không triển khai cẩn thận;

- Có thể mất kiểm soát đối với dữ liệu nhạy cảm.

7.5 Tùy chọn phản ứng

7.5.1 Nguyên tắc

Nhiều IDPS hỗ trợ nhiều tùy chọn phản ứng, các phản ứng có thể phân loại vào chủ động hoặc bị

động.

7.5.2 Phản ứng chủ động

Một phản ứng chủ động gồm một hành động tự động đươc thực hiện bởi IDPS dựa trên việc phát hiện

một tấn công. Hệ thống phát hiện xâm nhập được thiết kế để cung cấp phản ứng chủ động được biết

như hệ thống ngăn chặn xâm nhập IPS. Các phản ứng chủ động được phân loại như sau:

- Thu thập thông tin bổ sung về tấn công đã nghi ngờ;

- Thay đổi môi trường “hệ thống” để dừng cuộc tấn công;

- IPS chủ động việc cấm truyền thông và/hoặc phiên truyền thông không cần hành động của con người

sau một cảnh báo để đưa ra hành động ngăn chặn xâm nhập.

IPS và IDS chia sẻ nhiều chức năng tương tự nhau như thanh tra gói tin, so khớp dấu hiệu tấn công và

phân tích trạng thái. Tuy nhiên, mỗi thiết bị có thể được phát triển cho mục đích khác nhau. IPS đại

diện cho sự hợp nhất khả năng bảo vệ với khả năng phát hiện xâm nhập, và làm cho nó có thể phát

hiện một tấn công và sau đó bảo vệ chống lại tấn công theo cách thức tĩnh hoặc động.

37

TCVN ISO/IEC xxxx:yyyyIDPS là thiết bị thụ động để giám sát các hành động và tìm kiếm dấu hiệu tấn công đã biết hoặc các

tình huống bất thường. IDPS là thiết bị ẩn được thiết kế để xác định các hành động độc hại đang xảy

ra trên mạng. Do bản chất bị động của IDPS nên có rất ít cơ hội để IDPS làm cho mạng hoạt động sai

lệch.

IDPS cho phép hoặc từ chối truy cập tới tài nguyên dựa trên các thông tin ủy nhiệm và một số tập luật

hoặc chính sách đã định nghĩa trước, IPS là thiết bị nội tuyến được thiết kế để giám sát lưu lượng và

quyết định việc có hủy gói tin, ngắt các kết nối chứa dữ liệu trái phép, cho phép lưu lượng đi qua hay

không. Nói cách khác, IPS cung cấp sự bảo vệ cho tài sản thông tin bằng cách loại bỏ lưu lượng mạng

độc hại trong khi tiếp tục cho phép các hành động hợp pháp diễn ra. Có hai loại IPS là:

- IPS dựa trên máy chủ (HIPS) – chạy phần mềm trực tiếp trên máy trạm hoặc máy chủ và có thể phát

hiện và chống các mối đe dọe có mục đích ở host cục bộ;

- IPS dựa trên mạng (NIPS) – kết hợp các tính năng của IDPS chuẩn, IPS và một tường lửa. Lưu

lượng mạng được đi qua tới bộ phát hiện để nhận biết trong trường hợp lưu lượng có chứa mối đe

dọa. Khi phát hiện lưu lượng độc hại, một cảnh báo phát ra và lưu lượng bị chặn lại.

Như với HIDPS, HIPS dựa trên phần mềm được cài đặt trực tiếp trên hệ thống được bảo vệ và bị ràng

buộc bởi hệ điều hành và các dịch vụ. Điều này cho phép các lời gọi hệ thống tới hệ điều hành hoặc

các API được giám sát và chặn lại để chống tấn công và ghi nhật ký các tấn công. NIPS kết hợp các

tính năng của IDPS, IPS và tường lửa. Các gói tin xuất hiện ở giao diện bên trong hoặc bên ngoài và

được chuyển qua bộ phát hiện để nhận biết nếu gói tin chứa mối đe dọa. Trong trường hợp một gói tin

độc hại bị phát hiện, cảnh báo được nâng lên, gói tin bị hủy bỏ, và luồng lưu lượng bị đánh dấu là độc

hại. Điều này dẫn đến các gói tin còn lại của phiên TCP bị chuyển đến thiết bị IPS và ngay lập tức bị

loại bỏ. Một IPS cải tiến hơn có thể chặn các gói tin riêng lẻ chứ không chặn toàn bộ phiên làm việc,

chúng có thể tự động thiết lập lại luật tường lửa, định tuyến lưu lượng tới Honeypot hoặc kết hợp nhiều

hành động...

Phần mềm HIPS ngăn chặn tất cả yêu cầu tới hệ thống mà nó bảo vệ. Do vậy nó phải rất được tin cậy,

không ảnh hưởng tới hiệu năng, và không chặn lưu lượng hợp pháp.

Ưu điểm

- Khả năng phát hiện và ngăn chặn các tấn công;

- Cung cấp bảo vệ chủ động;

- Tăng hiệu quả hoạt động do giảm nhu cầu phản ứng lại để ghi nhật ký sự kiện IDPS.

Nhược điểm

- Thiết kế để làm việc nội tuyến, vì vậy tồn tại một điểm tắc nghẽn tiềm ẩn và điểm lỗi cục bộ;

- Khẳng định sai có thể nghiêm trọng và sâu rộng hơn tức là kết quả có thể là tự gây ra một tấn công từ

chối dịch vụ;

38

TCVN xxxx:yyyy- Theo độ tải lưu lượng dự kiến, một phân tích nên được thực hiện không có bất kỳ tác động đáng kể

nào trên mỗi gói tin vào luồng dữ liệu;

- Phản ứng chủ động chỉ có thể áp dụng tới một mạng con của tập dấu hiệu;

- Với sự tích hợp chặt chẽ của phần mềm HIPS tới nhân hệ điều hành thì việc nâng cấp hệ thống trong

tương lai có thể gây ra các vấn đề.

7.5.3 Phản ứng bị động

Phản ứng bị động cung cấp thông tin tới nhân viên vận hành hoặc tới vị trí được xác định trước. Chúng

dựa vào nhân viên vận hành để đưa ra hành động tiếp theo dựa trên những thông tin được cung cấp.

Phản ứng bị động lấy mẫu từ:

- Các cảnh báo hoặc thông báo, thông thường là các cảnh báo trên màn hình, cửa sổ thông báo và các

thông điệp tới máy nhắn tin hoặc điện thoại di động;

- Các bẫy SNMP đã cấu hình để phản ứng tới giao tiếp quản lý tập trung.

7.6 Xem xét pháp lý

7.6.1 Tổng quan

Như với tất cả hệ thống, việc thu thập thông tin có thể chứa tài liệu nhạy cảm, dữ liệu người dùng hoặc

bằng chứng để điều tra tội phạm sau này, dữ liệu nên được lưu trữ và xử lý có trách nhiệm và tuân thủ

pháp luật hiện hành. Tổ chức nên đảm bảo nhân viên nhận thức được trách nhiệm của họ trong vấn đề

này. Điều này chỉ ra các xem xét pháp lý kết hợp với việc sử dụng IDPS.

7.6.2 Tính riêng tư

Trong quá trình vận hành thông thường, một hệ thống IDPS có thể thu thập thông tin về nhân viên và

có thể được sử dụng để giám sát hành động của nhân viên. Mục tiêu này có thể chịu sự điều chỉnh của

pháp luật về tính riêng tư và có thể áp dụng trong nhiều khu vực pháp lý cục bộ. Một tổ chức nên xây

dựng và triển khai các chính sách để đảm bảo phù hợp với pháp luật về tính riêng tư và áp dụng trong

bất kỳ trường hợp sử dụng của IDPS.

7.6.3 Xem xét luật pháp và chính sách khác

Việc triển khai và vận hành IDPS có thể phải chịu sự điều chỉnh của pháp luật và các yêu cầu nguyên

tắc khác như yêu cầu chính sách của tổ chức nơi IDPS được triển khai. Luật pháp, quy tắc và các yêu

cầu chính sách nên được soát xét và giải quyết khi triển khai và vận hành IDPS. Các khía cạnh luật

pháp và quy định được thảo luận trong ISO/IEC 27035.

7.6.4 Điều tra

Nhật ký IDPS có thể được sử dụng cho mục đích điều tra. Các yêu cầu điều tra của khu vực điều tra có

liên quan nên được hiểu và kiểm soát phù hợp về lưu trữ và việc xử lý nhật ký IDPS nên được đặt ở vị

trí cho phép xem xét điều tra thông tin. Có thể có các yêu cầu bổ sung liên quan tới tài liệu hệ thống

IDPS và các quy trình để đáp ứng yêu cầu và bằng chứng điều tra.

39


Phụ lục A(Tham khảo)

Hệ thống phát hiện và ngăn chặn xâm nhập IDPS: Nền tảng và các vấn đề xem xét

A.1 Giới thiệu hệ thống phát hiện xâm nhập

Tổ chức cần bảo vệ hệ thống thông tin của mình vì nhiều lý do nghiệp vụ tổ chức sử dụng hệ thống

thông tin và để kết nối chúng tới Internet và các mạng khác mặc dù thực tế là có nhiều điểm yếu trong

hệ thống thông tin có thể bị khai thác, xâm nhập và tấn công vô tình hoặc cố ý.

Các kỹ thuật ngày càng nâng cao và dễ dàng hơn trong việc truy cập tới thông tin cũng như các điểm

yếu được tìm ra mỗi tuần. Đồng thời, các cuộc tấn công cũng được phát triển để khai thác các điểm

yếu. Những kẻ xâm nhập liên tục nâng cao kỹ thuật, thông tin để hỗ trợ chúng ngày càng nhiều và dễ

dàng có được. Quan trọng không kém là kỹ năng máy tính ngày càng phổ biến và do tính sẵn sàng của

các kịch bản tấn công và các công cụ tiên tiến, các kỹ năng cần thiết để khởi tạo các tấn công lại đang

giảm dần. Do đó, các tấn công có thể được khởi tạo mà không cần biết chính xác cái gì xảy ra và

những tác hại có thể có do tấn công.

Lớp phòng thủ đầu tiên để bảo vệ hệ thống thông tin là sử dụng kiểm soát vật lý, quản lý, và các kỹ

thuật bao gồm cơ chế định danh, xác thực, kiểm soát truy cập vật lý và logic, đánh giá và mã hóa. Tổ

chức phải tìm danh sách các khuyến nghị kiểm soát trong TCVN ISO/IEC 27002:2011. Tuy nhiên về

mặt kinh tế thì không thể bảo vệ tuyệt đối mỗi hệ thống thông tin, dịch vụ và mạng ở tất cả thời gian. Ví

dụ, rất khó để triển khai cơ chế kiểm soát truy cập khi các mạng được sử dụng toàn cầu, không có giới

hạn địa lý, và sự khác biệt giữa người bên trong và người bên ngoài là không rõ ràng. Hơn nữa, việc

phòng thủ vành đai truyền thông đã trở nên ít khả thi do các tổ chức ngày càng dựa vào truy cập từ xa

bởi nhân viên và các đối tác kinh doanh bên ngoài. Môi trường công nghệ thông tin đã tạo ra các cấu

hình mạng phức tạp và biến động, bao gồm nhiều điểm truy cập tới các hệ thống và dịch vụ IT của tổ

chức. Vì vậy lớp phòng thủ thứ 2 là cần thiết để phát hiện, phản ứng kịp thời và hiệu quả với các xâm

nhập khi chúng xảy ra. Tầng phòng thủ này được thực hiện chủ yếu bởi IDPS. Ngoài ra thông tin phản

hồi từ IDPS được triển khai có thể điều chỉnh để nhận biết các điểm yếu trong hệ thống thông tin của tổ

chức, có thể giúp tổ chức nâng cao chất lượng tổng thể về an toàn thông tin.

Một tổ chức có thể triển khai IDPS bằng phần mềm hoặc sản phẩm phần cứng IDPS từ thị trường hoặc

thuê ngoài các tính năng của IDPS tới nhà cung cấp dịch vụ IDPS. Trong cả hai trường hợp, tổ chức

phải hiểu rằng việc triển khai hiệu quả IDPS yêu cầu tổ chức phải có kiến thức về IDPS vì nó không

phải là thiết bị cắm và chạy.

Giống như tất cả các kiểm soát, tổ chức cần phải chứng minh việc triển khai IDPS bằng việc đánh giá

rủi ro an toàn thông tin, tích hợp triển khai IDPS và quy trình quản lý an toàn thông tin của tổ chức.

Ngoài ra việc đảm bảo sự tương thích cần được xem xét, trong trường hợp kẻ xâm nhập hoặc kẻ tấn

công nghe lén thông tin trong IDPS đã triển khai, kẻ xâm nhập hoặc kẻ tấn công có thể ghi đè lên và

làm cho tổ chức đối đầu với khó khăn lớn. Các khía cạnh bao gồm làm thế nào để định danh và chứng

40

TCVN xxxx:yyyyminh cho nhu cầu bảo vệ như IDPS. Doanh nghiệp và hệ thống liên quan hoặc chính sách an toàn dịch

vụ phải chỉ ra những biện pháp bảo vệ được chọn lựa là phù hợp để quản lý rủi ro xâm nhập. Những

biện pháp bảo vệ bao gồm:

- Giảm thiểu nguy cơ xảy ra xâm nhập;

- Phát hiện và phản ứng hiệu quả với các xâm nhập có thể xảy ra.

Giống như tất cả các kiểm soát, tổ chức cần phải chứng minh việc triển khai IDPS bằng việc đánh giá

rủi ro an toàn thông tin, tích hợp triển khai IDPS và quy trình quản lý an toàn thông tin của tổ chức.

Ngoài ra việc đảm bảo sự tương thích cần được xem xét, trong trường hợp kẻ xâm nhập hoặc kẻ tấn

công nghe lén thông tin trong IDPS đã triển khai, kẻ xâm nhập hoặc kẻ tấn công có thể ghi đè lên nó và

làm cho tổ chức đối đầu với khó khăn lớn.

Khi tổ chức xem xét việc triển khai IDPS, họ phải hiểu:

- Các kiểu xâm nhập và tấn công tới hệ thống thông tin và/hoặc các mạng;

- Mô hình chung của IDPS được đề xuất trong tài liệu này.

A.2 Các kiểu xâm nhập và tấn công

A.2.1 Giới thiệu

Những kẻ xâm nhập và kẻ tấn công trên hệ thống thông tin có thể khai thác lỗi cấu hình, lỗi triển khai

và/hoặc lỗi quan niệm của hệ thống thông tin và/hoặc các mạng, cũng như lợi dụng hành vi người

dùng bất thường.

Các điểm yếu có thể cho phép kẻ xâm nhập hoặc kẻ tấn công để truy cập tới hệ thống thông tin và

thông tin được bảo vệ, đang được xử lý và lưu trữ trong hệ thống thông tin, và thỏa hiệp tính bí mật,

tính toàn vẹn và/hoặc tính sẵn sàng của thông tin và hệ thống thông tin. Những cuộc xâm nhập và tấn

công có thể cung cấp cho kẻ xâm nhập và kẻ tấn công giá trị về hệ thống thông tin và/hoặc các mạng

có thể bị khai thác bằng nhiều kỹ thuật xâm nhập và tấn công phức tạp. Tổ chức phải nhận ra những

xâm nhập và tấn công được cố gắng không chỉ bởi ai đó bên ngoài tổ chức, mà còn bởi mã độc bên

trong tổ chức. Ví dụ, người dùng có thẩm quyền của hệ thống thông tin của tổ chức có thể cố gắng đạt

được thêm các quyền mà họ không được phép. Các xâm nhập và tấn công cố ý có thể được sử dụng

để:

- Thu thập thông tin, mà theo đó một kẻ tấn công cố gắng lấy thông tin chi tiết về hệ thống thông tin

đích;

- Cố gắng sử dụng trái phép các quyền, tài nguyên và dữ liệu hệ thống;

- Xâm nhập hệ thống mà có thể cho phép sử dụng tài nguyên hệ thống cho các tấn công khác;

- Tiết lộ thông tin mà theo đó kẻ xâm nhập cố gắng sử dụng thông tin được bảo vệ (ví dụ mật khẩu, dữ

liệu thẻ tín dụng) như phương tiện trái phép;

- Các tấn công từ chối dịch vụ, mà theo đó kẻ tấn công cố gắng làm chậm hoặc tạo ra từ chối dịch vụ

cho các dịch vụ hệ thống thông tin đích;

41

TCVN ISO/IEC xxxx:yyyyXem xét các điểm yếu có khả năng bị xâm nhập hoặc bị tấn công, các xâm nhập và tấn công cũng có

thể được chia nhỏ ra và xem xét như:

- Dựa trên máy chủ;

- Dựa trên mạng;

- Kết hợp cả hai phương pháp.

A.2.2 Xâm nhập máy

Xâm nhập máy thường được coi là các hành động xâm nhập sử dụng mã độc hại để xâm nhập (ví dụ,

các tấn công sử dụng Trojan, sâu, hoặc vi-rút) và ở trên:

- Tầng ứng dụng (SMTP, DNS) (ví dụ, giả mạo thư điện tử, gửi thư rác, tấn công tràn bộ đệm, tấn công

tranh chấp điều kiện và tấn công nghe lén);

- Một hệ thống xác thực (ví dụ tấn công nghe trộm hoặc dò đoán mật khẩu);

- Các dịch vụ trên nền web (ví dụ các tấn công nhằm vào CGI, ActiveX hoặc Javascript);

- Tính sẵn sàng hệ thống (ví dụ tấn công từ chối dịch vụ);

- Hệ điều hành;

- Hệ thống quản lý mạng và ứng dụng (tấn công SNMP).

A.2.3 Xâm nhập mạng

Các xâm nhập mạng thường được coi là các hành động xâm nhập trên:

- Giao thức truyền thông tầng vật lý, tầng liên kết dữ liệu và các hệ thống để thực hiện xâm nhập (ví dụ

giả mạo ARP, làm giả địa chỉ MAC);

- Các giao thức truyền thông tầng mạng, tầng vận chuyển và các hệ thống đã triển khai (IP, ICMP,

UDP, TCP) (ví dụ giả mạo địa chỉ IP, tấn công phân mảnh IP, tấn công ngập lụt gói tin SYN, tấn công

thay đổi tiêu đề TCP dị dạng).

A.3 Mô hình chung của quy trình phát hiện xâm nhập


IDPS bao gồm các sản phẩm phần mềm và/hoặc phần cứng tự động giám sát, thu thập và phân tích

sự kiện nghi ngờ xảy xa trong hệ thống thông tin hoặc mạng có dấu hiệu của xâm nhập. Mô hình

chung của phát hiện xâm nhập có thể được định nghĩa bởi một tập các chức năng. Các chức năng này

bao gồm: nguồn dữ liệu thô, phát hiện sự kiện, phân tích, kho dữ liệu và phản ứng. Các chức năng có

thể được triển khai bởi các thành phần riêng biệt hoặc bởi gói phần mềm như một phần của hệ thống

lớn. Hình A.1 thể hiện mối liên quan giữa các chức năng.

42

TCVN xxxx:yyyy

Hình A.1 - Mô hình phát hiện xâm nhập chung

A.3.2 Chức năng nguồn dữ liệu

Sự thành công của quy trình phát hiện xâm nhập phụ thuộc và các nguồn dữ liệu được lấy để phát

hiện nỗ lực xâm nhập. Các nguồn dữ liệu có thể được định nghĩa như sau:

- Dữ liệu đánh giá từ các tài nguyên hệ thống khác nhau: các bản ghi dữ liệu đánh giá chứa thông điệp

và thông tin trạng thái ở mức tóm lược tới dữ liệu ở mức chi tiết thể hiện theo dòng thời gian của các

sự kiện. Các nguồn tài nguyên hữu ích cho dữ liệu đánh giá là các tập tin nhật ký của hệ điều hành,

trong đó bao gồm nhật ký sự kiện hệ thống và các hành động được tạo ra bởi hệ điều hành ví dụ nhật

ký/vết đánh giá. Các ứng dụng ghi thông tin về hệ thống tập tin, dịch vụ mạng, các cố gắng truy cập, …

cũng là tài nguyên tốt cho dữ liệu thô;

- Phân bố tài nguyên hệ thống bởi hệ điều hành: các tham số giám sát mạng như độ tải CPU, lượng sử

dụng bộ nhớ, thiếu hụt tài nguyên hệ thống, tỉ lệ vào ra, số kết nối mạng hoạt động,.. là thông tin hữu

ích cho phát hiện xâm nhập;

43

TCVN ISO/IEC xxxx:yyyy- Nhật ký quản lý mạng: nhật ký quản lý mạng cung cấp tình trạng, trạng thái thiết bị mạng và thông tin

giao dịch trạng thái thiết bị;

- Lưu lượng mạng: lưu lượng mạng cung cấp các tham số như địa chỉ nguồn và địa chỉ đích, cổng

nguồn và cổng đích liên quan tới an toàn. Các tùy chọn khác của giao thức truyền thông (ví dụ trạng

thái cờ IP hoặc TCP cho biết định tuyến nguồn, cố gắng kết nối hoặc cờ xác nhận) là thông tin có ích

cho IDPS. Việc thu thập dữ liệu thô ở tầng thấp của mô hình OSI là hữu ích vì có ít khả năng dữ liệu bị

thay đổi hơn trước khi thu thập. Trong trường hợp dữ liệu thô chỉ được thu thập ở tầng cao, ví dụ từ

máy chủ proxy, sau đó thông tin đã hiển thị ở tầng thấp hơn có thể đã bị mất;

- Các nguồn dữ liệu khác: bao gồm tường lửa, bộ chuyển mạch, bộ định tuyến, và các cảm biến/ thành

phần giám sát IDPS cụ thể.

Vị trí của nguồn dữ liệu thô có thể được phân thành hai loại: host và mạng. Sự khác biệt của hai vị trí

này là ưu thế trong lĩnh vực phát hiện xâm nhập, IDPS có thể được phân thành hai loại: dựa trên máy

chủ và dựa trên mạng. IDPS dựa trên máy chủ có thể kiểm tra các vết/nhật ký đánh giá và dữ liệu khác

từ các host hoặc các ứng dụng. IDPS dựa trên mạng có thể kiểm tra nhật ký quản lý mạng cũng như

dữ liệu từ tường lửa, bộ chuyển mạch, bộ định tuyến và các bộ cảm biến mạng IDPS cụ thể.

A.3.3 Chức năng phát hiện sự kiện

Mục đích của chức năng phát hiện sự kiện là để phát hiện và cung cấp dữ liệu sự kiện liên quan tới an

toàn sử dụng trong chức năng phân tích.

Các sự kiện đã phát hiện có thể là sự kiện đơn giản (gồm một phần của tấn công hoặc các sự kiện

trong quá trình hoạt động bình thường) hoặc sự kiện phức tạp (bao gồm sự kết hợp của nhiều sự kiện

đơn giản mà có khả năng cao chỉ ra một tấn công cụ thể).

Khi quy trình phát hiện sự kiện có thể tạo ra lượng lớn dữ liệu sự kiện, thì tần số phát hiện sự kiện có

thể ảnh hưởng tới hiệu quả chung của IDPS. Trường hợp này có thể được áp dụng cho quy trình phân

tích sau.

A.3.4 Chức năng phân tích

Mục đích của chức năng phân tích là phân tích và xử lý dữ liệu sự kiện được cung cấp bởi chức năng

phát hiện sự kiên, để tìm ra liệu có một nỗ lực xâm nhập đang xảy ra hoặc đã xảy ra hay không. Ngoài

dữ liệu sự kiện đã phát hiện, chức năng phân tích có thể tận dụng thông tin hoặc dữ liệu từ nhiều

nguồn, bao gồm:

- Dữ liệu kết quả từ phân tích trước và dữ liệu được giữ bởi chức năng lưu trữ dữ liệu;

- Thông tin hoặc dữ liệu tạo ra từ tri thức về thành phần riêng lẻ hoặc hệ thống được hỗ trợ để chạy

(tức là từ những công việc phải được thực hiện hoặc công việc từ các hành động có thẩm quyền được

hoàn thành);

- Thông tin hoặc dữ liệu tạo ra từ tri thức về thành phần riêng lẻ hoặc hệ thống không được hỗ trợ để

chạy (tức là từ các cuộc tấn công hoặc hành động có hại đã biết);

44

TCVN xxxx:yyyy- Thông tin và dữ liệu liên quan khác như các trang web, thành phần riêng lẻ, hoặc vị trí của kẻ tấn

công đã nghi ngờ là nguồn của tấn công.

Có hai phương pháp tiếp cận để phân tích: dựa trên sử dụng sai (còn gọi là dựa trên dấu hiệu) hoặc

dựa trên bất thường. Phương pháp tiếp cận dựa trên sử dụng sai còn gọi là dựa trên tri thức. Phương

pháp tiếp cận dựa trên bất thường còn gọi là dựa trên hành vi.

A.3.4.1 Phương pháp tiếp cận dựa trên dấu hiệu

Phương pháp tiếp cận dựa trên dấu hiệu (còn gọi là dựa trên sử dụng sai) tập trung vào việc tìm kiếm

bằng chứng tấn công trong dữ liệu sự kiện đã phát hiện dựa trên tri thức đã tích lũy từ các tấn công và

các hành động trái phép đã biết.

Phương pháp tiếp cận dựa trên sử dụng sai điển hình cố gắng mô hình hóa và mã hóa các tấn công đã

biết trên hệ thống thông tin, cũng như các hành vi và hành động được cho là độc hại hoặc xâm nhập

trước đó, như dấu hiệu tấn công cụ thể bao gồm việc quét tự động hệ thống thông tin để tìm sự xuất

hiện của dấu hiệu tấn công. Do các mẫu của tấn công đã biết hoặc biến thể của các tấn công đã biết

còn được gọi là dấu hiệu nên IDPS dựa trên sử dụng sai còn gọi là IDPS dựa trên dấu hiệu.

Hầu hết các kỹ thuật phát hiện tấn công dựa trên dấu hiệu phổ biến sử dụng trong các sản phẩm

thương mại, xác định mỗi mẫu sự kiện tương ứng với một tấn công hoặc hành động trái phép như một

dấu hiệu tấn công cụ thể. Tuy nhiên, một số cơ chế phức tạp hơn cho phép sử dụng một dấu hiệu tấn

công đơn để phát hiện một nhóm tấn công hoặc nhóm hành động truy cập trái phép đã biết.

Sự thận trọng cần được đưa ra, mặc dù phương pháp tiếp cận dựa trên dấu hiệu giả thiết dữ liệu sự

kiện không khớp với dấu hiệu tấn công thì không thể chỉ ra xâm nhập hoặc tấn công nhưng một số dữ

liệu không khớp có thể vẫn chứa bằng chứng xâm nhập hoặc tấn công mà có thể không biết tại thời

điểm các dấu hiệu tấn công đã được mô hình hóa.

Các phương pháp phổ biến hiện nay đã sử dụng chức năng phân tích dựa trên dấu hiệu là:

A.3.4.1.1 Phân tích dấu hiệu tấn công

Phương pháp này là cách phổ biến nhất để phát hiện xâm nhập và dựa trên sự mong đợi là bất kỳ

hành động nào liên quan tới an toàn đã khởi tạo trên hệ thống thông tin có thể dẫn tới một bản ghi nhật

ký đánh giá tương ứng.

Các kịch bản xâm nhập có thể được dịch thành chuỗi các bản ghi đánh giá hoặc các mẫu dữ liệu mà

có thể tìm trong dữ liệu đã tạo ra bởi hệ điều hành của một máy tính, ứng dụng, tường lửa, bộ chuyển

mạch và bộ định tuyến, hoặc các bộ cảm biến IDPS cụ thể hoặc bộ giám sát. Các chuỗi hoặc dấu hiệu

tấn công khác có thể được tìm thấy trong một luồng lưu lượng mạng. Phân tích giao thức là một hình

thức phân tích dấu hiệu tấn công mạng đặc biệt và sử dụng cấu trúc chuẩn của các giao thức truyền

thông. Phân tích giao thức có thể xử lý các thành phần như các gói tin, các khung và các kết nối.

Bằng quy trình phân tích, các mô tả ngữ nghĩa hoặc các dấu hiệu tấn công của tấn công đã biết được

thu thập hoặc thiết lập và lưu trữ trong một cơ sở dữ liệu. Khi trình tự cụ thể hoặc dấu hiệu tấn công

45

TCVN ISO/IEC xxxx:yyyykhớp với một dấu hiệu tấn công được định nghĩa trước của một xâm nhập bị tìm thấy trong nhật ký

đánh giá... thì cố gắng xâm nhập được chỉ báo.

Các phương pháp phân tích dấu hiệu tấn công có thể được sử dụng với các ngưỡng hoặc không.

Trong trường hợp, không có ngưỡng xác định thì một cảnh báo được tạo ra khi dấu hiệu tấn công

được ghi nhận. Khi một ngưỡng được định nghĩa thì một cảnh báo chỉ được tạo ra khi số lượng dấu

hiệu tấn công vượt quá ngưỡng đó. Một ngưỡng có thể là một tỉ lệ phần trăm, một số, hoặc số lần xuất

hiện trên một khoảng thời gian hoặc một số giá trị khác.

Hạn chế chính của phương pháp phân tích dấu hiệu tấn công là cần phải cập nhật mẫu thường xuyên

để theo kịp các điểm yếu và các tấn công mới được phát hiện.

A.3.4.1.2 Hệ thống chuyên môn

Trong phương pháp tiếp cận dựa trên dấu hiệu, các hệ thống chuyên môn chứa các luật mô tả xâm

nhập. Trong phương pháp tiếp cận dựa trên bất thường, một tập luật được tạo ra để mô tả thống kê

hành vi của người dùng dựa trên bản ghi của các hành động của họ trong một khoảng thời gian. Các

luật phải được cập nhật phù hợp với các mô tả xâm nhập hoặc mẫu sử dụng mới.

Các sự kiện đã đánh giá được chuyển dịch thành sự việc mang ngữ nghĩa trong hệ thống chuyên môn.

Chức năng phân tích xâm nhập đưa ra kết luận sử dụng các luật và sự việc để phát hiện sự xuất hiện

của một xâm nhập đáng ngờ hoặc để phát hiện hành vi không phù hợp.

A.3.4.1.3 Phân tích quá trình chuyển đổi trạng thái

Kỹ thuật này mô tả một xâm nhập với tập các mục tiêu, quá trình chuyển đổi và thể hiện lại chúng theo

sơ đồ chuyển đổi trạng thái. Trạng thái trong các dấu hiệu tấn công tương ứng với trạng thái hệ thống

có khẳng định đúng/sai kết hợp với chúng và phải được chuyển đổi an toàn tới trạng thái đó.

A.3.4.2 Phương pháp tiếp cận dựa trên bất thường

Phương pháp tiếp cận dựa trên bất thường tập trung vào việc tìm ra vi phạm của hành vi được quan

sát từ hành vi thông thường đã dự đoán hoặc mong đợi, dựa trên những quan sát của hệ thống trước

đó trong suốt quá trình hoạt động bình thường hoặc một hồ sơ được xác định bằng cách sử dụng các

tham số đã dự kiến khác. Hồ sơ là một mẫu sự kiện cụ thể đã nhận biết trước thường liên quan tới một

loạt các sự kiện, và được lưu trữ trong cơ sở dữ liệu cho mục đích so sánh.

Cần chú ý rằng phương pháp tiếp cận dựa trên bất thường sử dụng giả thiết dữ liệu sự kiện không

khớp với dấu hiệu tấn công cho thấy xâm nhập hoặc tấn công, một số dữ liệu không khớp có thể vẫn

chứa bằng chứng thông thường hoặc các hành vi được phép mà có thể không biết ở thời điểm các

dấu hiệu tấn công được mô hình hóa.

Các phương pháp phổ biến sử dụng chức năng phân tích dựa trên bất thường là:

A.3.4.2.1 Định danh hành vi bất thường

Phương pháp này so khớp với mẫu hành động phù hợp của người dùng, trong khi phân tích dấu hiệu

tấn công so khớp với mẫu hành động không bình thường.

46

TCVN xxxx:yyyyPhương pháp này thực hiện mô hình hóa các hành vi thông thường và/hoặc được phép của người

dùng bởi một tập các công việc họ phải làm hoặc được phép thực hiện trên hệ thống bằng cách sử

dụng kỹ thuật phi thống kê. Những công việc và khía cạnh sau đó được thể hiện lại như mẫu của các

hành động dự kiến hoặc hành động được phép như truy cập tới tập tin hoặc kiểu tập tin cụ thể.

Các hành động của thành phần riêng lẻ tìm thấy trong vết đánh giá được so sánh với các mẫu dự kiến

hoặc được phép. Một cảnh báo được tạo ra khi mẫu hành động khác với mẫu dự kiến hoặc được

phép.

A.3.4.2.2 Hệ thống chuyên môn

Xem A.3.3.1.2

A.3.4.2.3 Phương pháp thống kê

Phương pháp được sử dụng rộng rãi nhất trong phương pháp tiếp cận dựa trên bất thường để phát

hiện xâm nhập là phương pháp thống kê.

Hành vi của người dùng hoặc hệ thống được đo bằng một số biến mẫu theo thời gian và lưu trữ trong

một hồ sơ. Theo định kỳ, hồ sơ hiện thời được gộp với hồ sơ đã lưu trữ và được cập nhật khi hành vi

của người dùng mở rộng hơn.

Ví dụ các biến bao gồm thời gian đăng nhập, đăng xuất của mỗi phiên làm việc, khoảng thời gian sử

dụng tài nguyên, và lượng tài nguyên của bộ xử lý- bộ nhớ- ổ đĩa đã tiêu thụ trong suốt phiên làm việc

hoặc trong khoảng thời gian nhất định.

Một hồ sơ có thể bao gồm nhiều loại đo lường như:

- Đo cường độ hành động;

- Đo sự phân bố bản ghi đánh giá;

- Đo phân loại (ví dụ tần số đăng nhập tương đối);

- Đo số lượng (giá trị số về một lượng tài nguyên CPU hoặc I/O dành cho người dùng cụ thể).

Hành vi bất thường được nhận biết bằng cách kiểm tra hồ sơ hiện tại với hồ sơ đã lưu trữ xem ngưỡng

có bị vượt dựa trên độ lệch chuẩn của một biến.

A.3.4.2.4 Mạng Nơron

Mạng Nơron là giải thuật học dựa trên việc phân tích mối quan hệ giữa các vecto vào-ra và khám phá

luật tổng quát để có được các vecto vào-ra mới một cách hợp lý. Việc sự dụng mạng Nơron cho phép

phát hiện xâm nhập là để học hành vi của các tác tử trên hệ thống (ví dụ, người dùng, các chương

trình). Ưu điểm của việc sử dụng mạng nơron so với thống kê là cách thể hiện mối quan hệ phi tuyến

giữa các biến và tính tự động của mạng nơron trong việc học và truyền lại là đơn giản.

A.3.4.3 Phương pháp kết hợp

47

TCVN ISO/IEC xxxx:yyyyPhương pháp kết hợp dựa trên dấu hiệu và dựa trên bất thường có thể tận dụng ưu điểm của mỗi

phương pháp. Việc triển khai IDPS kết hợp cho phép phát hiện xâm nhập dựa trên các dấu hiệu đã

biết cũng như các mẫu chưa được xác định như số lần cố gắng đăng nhập của một người dùng cụ thể.

Cũng có nghiên cứu tiếp tục khai thác thêm các phương pháp tiếp cận để phát hiện xâm nhập. Ví dụ

một nghiên cứu liên quan tới ứng dụng lưới Petri. Cũng có nghiên cứu mới còn gọi là miễn dịch máy

tính “Computer immunology”.

A.3.4.4 Tần xuất phân tích

Dữ liệu thô (ví dụ các vết/nhật ký đánh giá) thường được tạo ra liên tục nhưng chúng thường không

được xử lý bởi chức năng phát hiện sự kiện hoặc chức năng phân tích.

Tần xuất phân tích có thể là:

- Liên tục;

- Định kỳ;

- Trong trường hợp đặc biệt.

A.3.4.4.1. Liên tục/theo thời gian thực

Trong khi chức năng phát hiện sự kiện tìm kiếm sự xuất hiện của dữ liệu, các tình huống, hoặc các

hành động cụ thể và cung cấp dữ liệu sự kiện thì chức năng phân tích có thể thực hiện liên tục.

Cần chú ý rằng xâm nhập có thể được hoàn thành trong một số trường hợp trước khi bị phát hiện và

báo cáo như khoảng thời gian trễ giữa khi xảy ra sự kiện và thời gian xâm nhập bị phát hiện hoặc báo

cáo. Thời gian trễ có thể phụ thuộc vào các tham số như nguồn của dữ liệu sự kiện và phương pháp

phát hiện hoặc bản chất xâm nhập làm cho thời gian trôi đi từ khi xâm nhập bắt đầu và khi hệ thống

đích bị xâm nhập.

A.3.4.4.2 Xử lý định kỳ/hàng loạt

Trong trường hợp dữ liệu thô và dữ liệu sự kiện đã phát hiện được chuyển tới thiết bị lưu trữ, để phát

hiện hoặc/và phân tích chúng định kỳ hoặc ở thời điểm phù hợp. Ví dụ việc phát hiện và phân tích có

thể đạt được khi độ tải trên hệ thống thấp hơn như vào ban đêm, hoặc bởi một hệ thống phụ trợ con

ngoại tuyến.

A.3.4.4.3 Trong các trường hợp đặc biệt

Một số phân tích có thể chỉ được khởi tạo trong các trường hợp đặc biệt như khi tấn công trên diện

rộng đã được định danh và gây ra thiệt hại nghiêm trọng. Trong trường hợp này tổ chức cần nỗ lực

phân tích tất cả các khía cạnh của tấn công và hậu quả của nó. Những nỗ lực này còn gọi là phân tích

điều tra và có thể sử dụng cho mục đích pháp lý. Trong trường hợp hành động điều tra được xem xét

áp dụng thì các quy luật bằng chứng cần phải được tuân theo.

A.3.5 Lưu trữ dữ liệu

48

TCVN xxxx:yyyyMục đích của chức năng lưu trữ dữ liệu là để lưu trữ thông tin an toàn liên quan và làm cho nó có thể

sẵn sàng để phân tích ở thời điểm sau này và/hoặc để báo cáo.

Dữ liệu lưu trữ có thể bao gồm:

- Sự kiện đã phát hiện và các loại dữ liệu cần thiết khác;

- Kết quả phân tích bao gồm xâm nhập đã phát hiện và các sự kiện nghi nghờ có thể được sử dụng

sau để điều phối việc phân tích sự kiện nghi ngờ;

- Dữ liệu thô chi tiết đã thu thập và thể hiện như bằng chứng (ví dụ để truy vết nguồn gốc), khi một

cảnh báo an toàn được mở rộng;

Cần có chính sách lưu giữ và bảo vệ dữ liệu tại chỗ, trong đó giải quyết các vấn đề như hoàn thành

việc phân tích, giám định dữ liệu, và bảo vệ bằng chứng cũng như bảo vệ chống nghe lén thông tin an

toàn liên quan.

A.3.6 Phản ứng

Mục đích của chức năng phản ứng là thể hiện kết quả phân tích phù hợp tới người có trách nhiệm (ví

dụ quản trị hệ thống, nhân viên an toàn). Cũng như các kết quả thường được thể hiện trên giao tiếp

quản lý với giao diện đồ họa, các phương tiện bổ sung cho nhân viên có thể cần như thư điện tử, tin

nhắn văn bản, gọi điện... để mở rộng và tổ chức các phản ứng với các cảnh báo đã đưa ra.

Trong khi một chức năng phản ứng thụ động bị giới hạn việc tạo cảnh báo trên giao tiếp, thì chức năng

phản ứng chủ động có thể cung cấp biện pháp đối phó phù hợp với xâm nhập. Các hệ thống phát hiện

xâm nhập được thiết kế để cung cấp phản ứng chủ động được gọi là hệ thống ngăn chặn xâm nhập

(IPS). Một số chức năng phản ứng chủ động có thể cung cấp biện pháp khắc phục hoặc chủ động để

ngăn chặn xâm nhập hoặc giảm thiểu hậu quả bằng cách:

- Cấu hình lại một hệ thống đã bị xâm nhập;

- Khóa tài khoản bị xâm nhập;

- Đóng phiên làm việc.

Thông tin được cung cấp bởi chức năng phản ứng có thể giúp cơ quan phù hợp của tổ chức đánh giá

mức độ nghiêm trọng của xâm nhập và quyết định triển khai các biện pháp đối phó phù hợp. Tổ chức

cần đảm bảo đánh giá mức độ nghiêm trọng và triển khai các biện pháp đối phó phù hợp với các chính

sách và thủ tục an toàn thông tin của tổ chức.

Tổ chức có thể tìm danh sách các kiểm soát có thể khuyến cáo, trong đó bao gồm việc báo cáo sự kiện

an toàn thông tin, trách nhiệm và thủ tục để phục hồi từ các vi phạm an toàn và hoàn chỉnh các lỗi hệ

thống trong mục 13 của tiêu chuẩn TCVN ISO/IEC 27002:2011. ISO/IEC 27035 cũng cung cấp thông

tin hữu ích về quản lý sự cố an toàn thông tin.

A.4 Các kiểu IDPS

Như đã đề cập trước đó, có ba loại IDPS: IDPS dựa trên dấu hiệu, IDPS dựa trên bất thường và IDPS

phân tích trạng thái giao thức. Hầu hết IDPS sử dụng nhiều phương pháp phát hiện, hoặc riêng biệt

49

TCVN ISO/IEC xxxx:yyyyhoặc được tích hợp để cung cấp việc phát hiện rộng và chính xác hơn. Các lớp phương pháp phát

hiện chính bao gồm:

Dựa trên dấu hiệu: phương pháp so sánh dấu hiệu của mối đe dọa đã biết tới các sự kiện được giám

sát để xác định các sự cố. Phương pháp này rất hiệu quả trong phát hiện các mối đe dọa đã biết

nhưng không hiệu quả trong việc phát hiện mối đe dọa chưa biết và các mối đe dọa có nhiều biến thể.

Phát hiện dựa trên dấu hiệu không thể truy vết và hiểu trạng thái của các truyền thông phức tạp, vì vậy

nó không thể phát hiệt hầu hết các tấn công xâm nhập có nhiều sự kiện.

Phát hiện dựa trên bất thường: phương pháp so sánh định nghĩa của các hành động được coi là bình

thường với các sự kiện được quan sát để xác định độ lệch lớn bất thường. Phương pháp này sử dụng

hồ sơ được xây dựng bằng cách giám sát đặc trưng của các hành động điển hình trong một khoảng

thời gian. Sau đó IDPS so sánh đặc trưng của hành động hiện tại với ngưỡng liên quan của hồ sơ.

Phương pháp phát hiện dựa trên bất thường có thể rất hiệu quả trong việc phát hiện các mối đe dọa

chưa biết. Vấn đề thường gặp với phát hiện dựa trên bất thường là vô tình bao gồm hành động độc hại

trong một hồ sơ, thiết lập các hồ sơ không đủ tinh vi để phản ánh đúng hoạt động tính toán trên thực

tế, và tạo ra nhiều khẳng định sai.

Phân tích trạng thái giao thức: phương pháp so sánh hồ sơ các định nghĩa nhận biết trước đã được

chấp nhận thuộc về hoạt động giao thức của mỗi trạng thái giao thức với các sự kiện được quan sát để

xác định các sai lệch. Không giống như phát hiện dựa trên bất thường sử dụng hồ sơ host hoặc mạng

cụ thể, phương pháp phân tích trạng thái giao thức dựa trên hồ sơ của nhà cung cấp đã phát triển để

xác định các giao thức cụ thể nên và không nên được sử dụng như thế nào. Nó có khả năng hiểu và

theo dõi trạng thái của các giao thức có khái niệm về trạng thái, cho phép phát hiện nhiều tấn công mà

phương pháp khác không thể phát hiện. Vấn đề với phương pháp phân tích trạng thái giao thức là rất

khó hoặc không thể phát triển mô hình hoàn toàn chính xác của các giao thức, có rất nhiều tài nguyên

chuyên sâu, và không thể phát hiện tấn công mà không vi phạm các đặc trưng chung của hành vi giao

thức có thể chấp nhận.

Các kiểu IDPS khác:

- IDPS dựa trên ứng dụng (AIDPS) nhưng nó là một loại HIDPS và có đặc trưng tương tự HIDPS.

Nhìn chung IDPS có thể thực hiện các chức năng sau:

- Giám sát và phân tích các sự kiện hệ thống và hành vi người dùng;

- Nhận biết các mẫu sự kiện hệ thống tương ứng với các tấn công đã biết;

- Nhận biết các mẫu hành vi mà thống kê khác với hành động thông thường;

- Cảnh báo cho nhân viên phù hợp bằng các phương tiện thích hợp khi tấn công được phát hiện;

- Thực hiện việc đo lường các chính sách an toàn được mã hóa trong công cụ phân tích;

- Cho phép các chuyên gia không phải an toàn thực hiện chức năng giám sát an toàn quan trọng;

- Tăng nhận thức và hình phạt đối với kẻ tấn công về việc rủi ro bị phát hiện;

50

TCVN xxxx:yyyy- Xác định nhiều vấn đề không được ngăn chặn bởi các thiết bị an toàn khác;

- Phối hợp các sự kiện với các thiết bị an toàn khác như tường lửa;

- Kiểm tra, ghi phận từng loại và mô tả các mối đe dọa không gian mạng tới hệ thống thông tin của tổ

chức;

- Cung cấp thông tin vô giá về các xâm nhập để hỗ trợ xử lý sự cố, đánh giá thiệt hại, nỗ lực phục hồi

và các hành động hợp pháp trong một số trường hợp.

IDPS có những hạn chế cần được hiểu rõ. Các hạn chế đáng kể bao gồm:

- Không thể phát hiện các tấn công mới, và không thể nắm bắt được hầu hết các biến thể của các tấn

công;

- Khó bù đắp cho các lỗi và nhiễu từ các nguồn thông tin;

- Khó giải quyết hiệu quả với các mạng chuyển mạch;

- Khó mở rộng tới các mạng phân tán hoặc mạng lớn;

- Khó nhận biết vị trí vật lý hoặc vị trí ảo của kẻ xâm nhập từ một đầu ra IDPS;

- Khó tích hợp các sản phẩm IDPS khác nhau với các hệ thống quản lý mạng;

- Không có khả năng bù đắp cho chính sách an toàn và các cơ chế an toàn yếu hoặc lỗi trong cơ sở hạ

tầng bảo vệ như các tường lửa, việc định danh, xác thực, mã hóa liên kết, các cơ chế kiểm soát truy

cập, phát hiện và loại bỏ vi-rút;

- Không có khả năng phát hiện, báo cáo và phản ứng đủ nhanh với một số loại hình tấn công;

- Không có khả năng giảm thiểu hầu hết các tấn công DoS, mặc dùng có khả năng nhận dạng;

- Không có khả năng phát hiện các cuộc tấn công mới hoặc các biến thể của các tấn công hiện tại (chỉ

áp dụng cho IDPS dựa trên dấu hiệu, không áp dụng cho IDPS dựa trên bất thường);

- Không có khả năng thực hiện phân tích chi tiết các tấn công mà không có can thiệp của con người;

- Không có khả năng bù đắp cho sự thiếu hụt trong chiến lược, chính sách an toàn hoặc kiến trúc an

toàn của tổ chức;

- Không có khả năng bù đắp cho các điểm yếu an toàn trong các giao thức mạng;

- Khả năng đầu ra của IDPS chứa tỉ lệ lỗi đáng kể, đặc biệt là khẳng định sai và có thể mất thời gian và

nguồn lực đáng kể để giải quyết;

- Khả năng bị vô hiệu hóa như một phần của chuỗi tấn công;

- Khả năng bị khai thác bởi kẻ tấn công để tạo ra khẳng định sai nhằm đánh lạc hướng sự chú ý từ

chính kẻ tấn công;

- Khả năng tạo lượng lớn thông tin đánh giá mà có thể yêu cầu lưu trữ cục bộ trên hệ thống;

- Khả năng tự động chặn dựa trên cảnh báo có thể gây ra các vấn đề an toàn và tính sẵn sàng;

- Yêu cầu hiểu biết kỹ thuật và hệ thống chuyên sâu để sử dụng hiệu quả.

51

TCVN ISO/IEC xxxx:yyyyA.4.1 IDPS dựa trên máy chủ (HIDPS)

Một HIDPS dựa trên một máy tính đơn và cung cấp bảo vệ cho máy tính cụ thể đó. Điều này cho phép

HIDPS kiểm tra dữ liệu nhật ký hệ điều hành máy tính (ví dụ vết/nhật ký đánh giá) và các dữ liệu cục

bộ khác. HIDPS cũng có thể phân tích các sự kiện xảy ra trong các ứng dụng sử dụng tập tin nhật ký

ứng dụng hoặc hệ điều hành.

Các vết đánh giá hệ điều hành mà HIDPS sử dụng thường được tạo ra ở lớp trong cùng (nhân) của hệ

điều hành nên do đó được chi tiết hơn và được bảo vệ tốt hơn so với nhật ký hệ thống. Tuy nhiên nhật

ký kệ thống nhỏ hơn vết đánh giá và dễ hiểu hơn.

Một số HIDPS được thiết kế để hỗ trợ cơ sở hạ tầng quản lý và báo cáo IDPS tập trung để có thể cho

phép theo dõi nhiều host từ một giao tiếp quản lý đơn. Các thiết bị khác tạo ra thông điệp theo định

dạng tương thích với hệ thống quản lý mạng. Không như NIDPS, HIDPS có thể xem xét kết quả của

một nỗ lực tấn công như nó có thể truy cập và giám sát trực tiếp các tập tin dữ liệu và các quy trình hệ

thống thường là mục tiêu của các cuộc tấn công. Ví dụ HIDPS cho phép phát hiện các tấn công từ bàn

phím của một máy chủ có nhiệm vụ trọng yếu.

HIDPS được thiết kế để:

- Kết hợp định danh người dùng cụ thể với các hành động đáng ngờ;

- Giám sát và theo dõi những thay đổi hành vi người dùng;

- Hình thành trạng thái an toàn cơ bản của một hệ thống, và theo dõi sự thay đổi đó;

- Quản lý các cơ chế đánh giá, ghi nhật kí hệ điều hành và tạo ra dữ liệu;

- Cung cấp việc ghi nhật ký và giám sát tầng ứng dụng khi dữ liệu được truyền hoặc lưu trữ trong định

dạng mã hóa hoặc không mã hóa;

- Giám sát các thay đổi dữ liệu do các tấn công gây ra;

- Giám sát hệ thống trong mạng tốc độ cao và trong mạng sử dụng mã hóa;

- Phát hiện các tấn công mà IDPS mạng không phát hiện được.

HIDPS có hạn chế cần được hiểu rõ. Các hạn chế đáng kể bao gồm:

- Khả năng một tấn công DoS có thể vô hiệu hóa HIDPS;

- Khả năng HIDPS tiêu thụ tài nguyên của host, bao gồm các yêu cầu lưu trữ dữ liệu cho nhật ký đánh

giá host;

- Khả năng yêu cầu quy trình cài đặt và duy trì phức tạp do lượng lớn trường hợp cài đặt (ít nhất là một

trường hợp trên một máy);

- Không có khả năng sử dụng trong chế độ ẩn như các host điển hình có thể giải quyết bởi các tầng

mạng cao hơn;

- Không có khả năng nhận biết các tấn công trực tiếp nhằm vào các host hoặc ở một mạng khác.

A.4.2 IDPS dựa trên mạng (NIDPS)

52

TCVN xxxx:yyyyNIDPS giám sát lưu lượng dành riêng cho các hệ thống host trên một mạng, NIDPS thường bao gồm

một tập các bộ cảm biến hoặc các host đơn mục đích đặt ở các vị trí khác nhau trong một mạng. Các

đơn vị giám sát lưu lượng mạng thực hiện phân tích lưu lượng cục bộ và báo cáo tấn công với một

giao tiếp quản lý tập trung. Do các bộ cảm biến được sử dụng cụ thể như một thành phần IDPS nên

chúng có thể dễ dàng bảo vệ chống lại tấn công. Nhiều bộ cảm biến là ẩn với các tầng mạng cao hơn

(tức là được thiết kế để chạy trong chế độ “ẩn”) để gây khó khăn cho kẻ tấn công trong việc nhận biết

sự có mặt và vị trí của nó.

NIDPS cho phép phát hiện và phản ứng theo thời gian thực bằng cách cung cấp thông tin về các xâm

nhập đáng ngờ khi chúng xảy ra (ví dụ tấn công DoS), trong khi tính kịp thời của phản ứng từ HIDPS

liên quan trực tiếp tới tần số thăm dò.

Các chức năng đặc trưng của NIDPS:

- Để vận hành trong “chế độ ẩn” và ẩn bộ cảm biến từ các giao thức mạng tầng cao hơn (điển hình là

tầng ba và các tầng trên);

- Để sử dụng một bộ cảm biến duy nhất để giám sát lưu lượng cho một số host trên cùng một phân

đoạn mạng;

- Để nhận biết các tấn công phân tán ảnh hưởng tới nhiều host.

NIDPS có hạn chế cần được hiểu rõ. Các hạn chế bao gồm:

- Không có khả năng đối phó với lưu lượng mạng mã hóa,

- Khả năng yêu cầu băng thông cao và khả năng xử lý nhanh hơn so với HIDPS do khả năng thực hiện

NIDPS phải bằng khối lượng giao thông trên phân đoạn mạng mà nó được triển khai để có hiệu quả tối

đa.

- Khả năng mà có nhiều tính năng được cung cấp bởi NIDPS cần có kỹ thuật cài đặt đặc biệt để có thể

sẵn sàng trong mô hình mạng dựa trên bộ chuyển mạch (ví dụ các bộ cảm biến mạng cần kết nối tới

các cổng của bộ chuyển mạch mạng mà có dữ liệu của tất cả các cổng khác),

- Khả năng mà một số NIDPS có vấn đề trong xử lý các tấn công phân mảnh gói tin tầng mạng (IP)

hoặc tầng vận chuyển (TCP/UDP) do các vấn đề liên quan tới giải mã giao thức tầng ứng dụng (ví dụ

HTTP, SMTP);

- Không có khả năng giám sát khi cuộc tấn công đã thành công.

A.5 Kiến trúc

IDPS có thể được triển khai theo nhiều cách khác nhau.

Trong các tổ chức nhỏ hơn để bảo vệ một hệ thống đã xác định rõ ràng và tương đối độc lập thì IDPS

đơn có thể là giải pháp tốt.

Trong môi trường với cơ sở hạ tầng mạng, hệ thống, và các ứng dụng tương đối rộng và phức tạp,

một IDPS đơn không đủ hoặc không đáp ứng được các yêu cầu thực tế cho việc phát hiện xâm nhập.

Để đáp ứng yêu cầu này cần nhiều IDPS, mỗi thiết bị phù hợp với một hệ thống con hoặc thành phần

53

TCVN ISO/IEC xxxx:yyyyđã xác định. Trong các môi trường như vậy, các tấn công có thể nhằm mục tiêu vào một số hệ thống

con hoặc các thành phần. Trong kịch bản khác, một tấn công có thể nhằm vào một cấu hình cụ thể các

hệ thống con hoặc các thành phần thay vì một điểm yếu của hệ thống hoặc thành phần đó. Để phát

hiện một tấn công trong kịch bản như vậy, dữ liệu sự kiện từ một vài IDPS cần được so sánh phân tích

tương quan.

Mục đích của kiến trúc IDPS là để triển khai tính năng phát hiện xâm nhập hiệu quả và theo cách hiệu

quả.

Hai kiến trúc chính được xem xét trong phạm vi này gồm:

- Cách thức một số IDPS kết nối và tương quan với nhau,

- Tập trung hoặc phân phối các công việc trong kiến trúc IDPS.

Ví dụ về kiến trúc phát hiện xâm nhập phân cấp thể hiện trong Hình A.2

Hình A.2 - Kiến trúc phát hiện xâm nhập phân cấp.

Trong Hình A.2, đầu ra của một vài thành phần phân tích và tương quan được tích hợp và bổ sung cho

thành phần phân tích và tương quan ở mức cao hơn. Như trong bất kỳ cơ sở hạ tầng ứng dụng đa

tầng có nhiều vị trí để thực hiện chức năng cần thiết.

54

TCVN xxxx:yyyyTrong kiến trúc tập trung, các thành phần phát hiện sự kiện và cảm biến có thể đơn giản thu thập dữ

liệu thô và gửi nó tới một thành phần duy nhất để phân tích và so sánh tương quan. Mặc dù phương

pháp tiếp cận này có thuận lợi trong việc thiết kế đơn giản, nhưng nó không có khả năng mở rộng và

chỉ phù hợp với môi trường mạng nhỏ.

Nhiều giải pháp có khả năng mở rộng có thể thực hiện một số nhiệm vụ IDPS trong các thành phần

phân tán với mục đích giảm dữ liệu thô càng sớm trong quy trình càng tốt và chuyển tiếp các sự kiện

liên quan tới tầng tiếp theo của các thành phần. Một chuỗi thành phần có thể tiếp tục phân tích và

tương quan dữ liệu sự kiện, chuyển tiếp các sự kiện liên quan hoặc cảnh báo tới thành phần cuối

cùng, trung tâm. Các hệ thống như vậy có một số nhiệm vụ rất phức tạp.

Ví dụ, kiến trúc này yêu cầu cấu hình các bộ lọc và thành phần phân tích và so sánh tương quan liên

quan theo cách mà tấn công chỉ ra đường đến thành phần trung tâm và cách mà cảnh báo được phát

ra.

A.6 Quản lý IDPS

Quản lý hệ thống phát hiện xâm nhập là công việc rất quan trọng để đạt được hiệu quả và hiệu quả

triển khai trong cơ sở hạ tầng mạng doanh nghiệp. Để IDPS đạt được hiệu quả, hệ thống con quản lý

nên cung cấp đầy đủ chức năng. Phần này giải quyết các khía cạnh quản lý khác nhau của IDPS.

A.6.1 Quản lý cấu hình

Quản lý cấu hình cung cấp các chức năng để thực hiện kiểm soát, định danh, thu thập dữ liệu từ các

thành phần của IDPS và cung cấp dữ liệu tới toàn bộ các thành phần của IDPS. Với mục đích phát

hiện xâm nhập, quản lý cấu hình bao gồm quản lý chức năng phát hiện và cơ chế phản ứng tương ứng

được sử dụng.

A.6.1.1 Chức năng phát hiện

Việc cấu hình chức năng phát hiện bao gồm việc cài đặt các tiêu chí cho các sự kiện và trình tự sự

kiện vi phạm chính sách an toàn. Chức năng này có thể chứa mô tả hành vi sử dụng sai mẫu và hành

vi của người dùng thông thường.

A.6.1.2 Chức năng phản ứng

Việc quản lý chức năng phản ứng nhận biết hành vi hệ thống sau một cảnh báo an toàn. Chức năng

này bao gồm kiểm soát các cơ chế phản ứng khác nhau như cảnh báo tiếng động, thông báo tới quản

trị và nhân viên an toàn, kết thúc phiên. IDPS cũng phải được bảo vệ khỏi phản ứng trái phép. Trong

trường hợp kẻ tấn công có thể tìm ra cách để đánh lừa hệ thống phản ứng với các xâm nhập không

tồn tại, điều này có thể tiềm ẩn, phụ thuộc vào các phản ứng đã cấu hình, gây ra nguy hiểm hơn là

không có cài đặt IDPS. Quản lý phản ứng phải được xem xét phù hợp với lược đồ quản lý sự cố của tổ

chức.

A.6.1.3 Quản lý dịch vụ an toàn

55

TCVN ISO/IEC xxxx:yyyyQuản lý dịch vụ an toàn bao gồm việc quản lý các dịch vụ an toàn thuộc về một phần của IDPS. Nó

bao gồm việc kiểm soát thông tin người dùng, tính bí mật, tính toàn vẹn và các dịch vụ kiểm soát truy

cập. Tùy thuộc vào thông tin của người dùng, quyền quy cập có thể được giới hạn để hạn chế quyền

truy cập tới các tham số cấu hình, vết đánh giá và thông tin liên quan tới các sự kiện an toàn.

A.6.1.4 Tích hợp với hệ thống quản lý khác

Một hệ thống quản lý IDPS phải giao tiếp an toàn với hoặc là một phần không thể thiếu của quản lý

mạng, quản lý hệ thống và/hoặc các hệ thống quản lý an toàn của môi trường cần được bảo vệ. Việc

này là cần thiết để triển khai một số kiểu chức năng phát hiện (ví dụ để truy cập nhật ký) và chức năng

phản ứng. Điểm mấu chốt là IDPS không thế được chọn lựa hoặc triển khai độc lập do chức năng

quản lý IDPS phải tích hợp tốt với chức năng quản lý hệ thống.

A.6.1.5 Tính an toàn của hoạt động quản lý

Tính an toàn của các hoạt động quản lý cần được bảo vệ để ngăn chặn kẻ xâm nhập truy cập vào

thông tin trong IDPS hoặc kiểm soát tài nguyên của IDPS. Tính an toàn quản lý IDPS bao gồm tính xác

thực, tính toàn vẹn, tính bí mật, và tính sẵn sàng của dịch vụ quản lý.

Hệ thống chạy quyền quản lý IDPS phải được cấu hình phù hợp với chính sách an toàn mà yêu cầu

mức độ an toàn cao (tương đương với yêu cầu cho các hệ thống quản lý khác). Khi bộ cảm biến IDPS

dựa trên máy chủ chạy với quyền của hệ điều hành thì việc xâm phạm quyền quản lý có thể dẫn đến

các vi phạm an toàn diện rộng và có khả năng tất cả các máy chạy tác tử IDPS có thể bị xâm phạm.

Hậu quả của việc vi phạm tính an toàn quyền quản lý IDPS thường bị bỏ qua đặc biệt với IDPS dựa

trên máy chủ, nơi mà hầu hết các dịch vụ thương mại có một tùy chọn thực hiện lệnh phản ứng tấn

công trên host được giám sát.

Việc giám sát của bộ phát hiện và bộ cảm biến để đảm bảo hoạt động đúng chức năng là cần thiết với

thành công của IDPS. Bộ phát hiện sự kiện chuyển tiếp thông tin từ các bộ cảm biến tới chức năng

phân tích. Lỗi trong việc duy trì một tính năng giám sát của các thiết bị có thể dẫn tới một lỗi an toàn, ví

dụ một bộ cảm biến lỗi và hệ thống trung tâm không biết lỗi kỹ thuật này. Vì vậy hệ thống trung tâm

không có cảnh báo hoặc việc đọc để chuyển tiếp tới người vận hành trung tâm vẫn đang tin tưởng

rằng tất cả đều hoạt động tốt.

A.6.1.5.1 Xác thực

Các hoạt động quản lý phải được bắt đầu bằng việc định danh và xác thực thực thể quản lý. Một thực

thể quản lý có thể là một con người hoặc một thực thể hệ thống.

A.6.1.5.2 Tính toàn vẹn

Các hoạt động quản lý phải được bảo vệ chống lại các tấn công vào tính toàn vẹn. Không thể chèn,

xóa hoặc thay đổi một hoạt động quản lý mà không có quyền hợp pháp.

A.6.1.5.3 Tính bí mật

56

TCVN xxxx:yyyyCác hoạt động quản lý phải được bảo vệ chống lại các tấn công vào tính bí mật. Không thể suy diễn

mục đích của hoạt động quản lý một cách trái phép.

A.6.1.5.4 Tính sẵn sàng

Một tấn công chống lại cơ sở hạ tầng mạng, chính bản thân IDPS, hoặc mục tiêu giám sát không được

ảnh hưởng đến tính sẵn sàng của dịch vụ quản lý. Ví dụ, quản lý IDPS cần có khả năng chống lại tấn

công DoS. Quản lý IDPS cần phải có khả năng ngay cả khi IDPS bị hỏng. IDPS và quản lý của nó phải

được giải quyết trong quy trình hoạch định tính liên tục của nghiệp vụ.

A.6.2 Mô hình quản lý

Kiểm soát và quản lý là cần thiết để triển khai thành công phát hiện xâm nhập, đặc biệt là trong môi

trường phân tán nơi sử dụng lượng lớn thành phần phát hiện xâm nhập. Hình A.3 cung cấp một ví dụ

về việc triển khai mô hình quản lý phân cấp, mô hình phù hợp với các tổ chức lớn. Có những trường

hợp, nơi kiểm soát tập trung đại diện cho một điểm lỗi duy nhất, trong một số môi trường điều này

không thể chấp nhận. Nó cũng cung cấp cho kẻ tấn công một điểm tấn công duy nhất. Đây là cơ hội

cho phép kẻ tấn công trì hoãn việc phát hiện tấn công và việc chống lại tấn công của quản trị viên từ

những hành động thích hợp.

Hình A.3 - Mô hình quản lý phát hiện xâm nhập

Bên cạnh lực lượng quan hệ một-nhiều sử dụng trong mô hình phân cấp, các lực lượng quan hệ quản

lý khác có thể phù hợp:

57

TCVN ISO/IEC xxxx:yyyy- Giao tiếp quản lý nhiều - nhiều có thể quản lý nhiều tác tử phân tán;

- Giao tiếp quản lý một - nhiều có thể quản lý nhiều tác tử phân tán;

- Giao tiếp quản lý một - một có thể quản lý một tác tử đơn.

A.7 Vấn đề thực hiện và triển khai


Có nhiều vấn đề và xem xét quan trọng khi tổ chức quyết định triển khai một IDPS. Tất cả IDPS là

không giống nhau và vì vậy các yêu cầu của doanh nghiệp cần được xem xét trong ngữ cảnh quản lý

rủi ro công nghệ thông tin của nó và chính sách an toàn trong việc thẩm định IDPS để triển khai.

A.7.2 Hiệu quả

Một xem xét quan trọng trong việc đánh giá IDPS để triển khai hiệu quả là ước lượng sự đầy đủ của

IDPS trên nhiều khía cạnh bao gồm:

- Tính chính xác: sự không chính xác xảy ra khi một IDPS xác định không chính xác hành động như

một tấn công (ví dụ khẳng định sai) hoặc khi một IDPS xác định sai một tấn công như hành động hợp

pháp (ví dụ phủ định sai). Tỉ lệ một trong hai loại lỗi so với tổng số sự kiện đã kiểm tra ảnh hưởng đáng

kể đến khả năng sử dụng của IDPS. Tỉ lệ khẳng định sai so với phủ định sai có thể là một tham số

chính sách an toàn quan trọng và là dấu hiệu của xu hướng thực hiện phân tích.

- Hiệu năng: hiệu năng của IDPS là tốc độ thu thập, lưu trữ và xử lý các sự kiện đánh giá. Trong

trường hợp hiệu năng của IDPS thấp thì việc phát hiện theo thời gian thực là không thể. Một khía cạnh

hiệu năng khác tham chiếu tới độ tải mạng mà một IDPS có thể tạo ra;

- Tính đầy đủ: không đầy đủ xảy ra khi IDPS lỗi trong việc phát hiện tấn công. Việc đo tiêu chí này có

nhiều khó khăn hơn so với các tiêu chí khác, vì không thể có toàn bộ tri thức về các tấn công hoặc xâm

phạm quyền;

- Tính chịu lỗi: một IDPS phải có khả năng tự chống lại các tấn công, đặc biệt là tấn công từ chối dịch

vụ, và mục tiêu này phải được thiết kế ngay từ đầu. Tiêu chí này đặc biệt quan trọng vì hầu hết IDPS

chạy trên nền hệ điều hành hoặc phần cứng thương mại có sẵn mà được biết là dễ bị tấn công;

- Tính kịp thời: một IDPS phải thực hiện và quảng bá phân tích càng nhanh càng tốt để cho phép nhân

viên an toàn phản ứng trước khi thiệt hại xảy ra hoàn toàn và cũng để ngăn chặn kẻ tấn công phác họa

dữ lệu, nguồn dữ liệu và bản thân IDPS.

A.7.3 Tính năng

Một xem xét quan trọng khác trong việc triển khai IDPS là tính năng vượt trội như đã thảo luận trong

các phần trước. Một số khía cạnh tính năng được thảo luận dưới đây:

- Sử dụng trong môi trường mã hóa hoặc chuyển mạch - IDPS dựa trên máy chủ có thể phù hợp với

các môi trường mã hóa hoặc chuyển mạch. Vì các hệ thống dựa trên máy chủ nằm trong nhiều máy

khác nhau trong một doanh nghiệp, nên chúng có thể vượt qua một số thách thức triển khai gặp phải

bởi IDPS dựa trên mạng trong môi trường mã hóa và chuyển mạch;

58

TCVN xxxx:yyyy- Phát hiện các tấn công khi chúng xảy ra - nguồn dữ liệu dựa trên mạng cho phép phát hiện theo thời

gian thực và phản ứng bằng cách cung cấp dữ liệu để phát hiện mã độc và các tấn công đáng ngờ khi

chúng xảy ra (ví dụ, tấn công từ chối dịch vụ), vì vậy cung cấp thông báo và phản ứng nhanh hơn.

IDPS dựa trên mạng có thể phát hiện tấn công mà các hệ thống dựa trên máy chủ bỏ lỡ. Nhiều tấn

công từ chối dịch vụ dựa trên IP và tấn công phân mảnh gói tin có thể chỉ định danh bằng cách xem

tiêu đề gói tin khi chúng truyền qua một mạng;

- Kết hợp phân tích dữ liệu dựa trên máy chủ và dựa trên mạng - một số IDPS sử dụng nguồn dữ liệu

từ cả host và mạng, và vì vậy có tích hợp thành phần máy chủ và mạng. Mỗi giải pháp IDPS dựa trên

máy chủ và dựa trên mạng có thế mạnh và ưu điểm nhất định bổ sung cho nhau như đã thảo luận

trong 6.1. Kỹ thuật phát hiện xâm nhập dựa trên máy chủ và dựa trên mạng có thể được kết hợp trong

việc phân tích để tạo ra một hệ thống thông tin phòng thủ mạnh.

A.7.4 Nhân viên triển khai và vận hành IDPS

IDPS được chọn có thể là tiên tiến nhất và các hệ thống con của nó có thể kết hợp với nhau và với hệ

thống công nghệ thông tin, dịch vụ và mạng rất tốt. Tuy nhiên, hầu hết các chức năng phải được hỗ trợ

thủ công bởi nhân viên được đào tạo và có hiểu biết về phát hiện xâm nhập, an toàn công nghệ thông

tin, bao gồm an toàn mạng và an toàn công nghệ thông tin của tổ chức (bao gồm kiến trúc liên kết và

cấu hình mạng).

Quy trình phát hiện xâm nhập bao gồm việc cài đặt một IDPS và có tài nguyên con người để có thể:

- Tinh chỉnh IDPS để tìm kiếm sự kiện liên quan tới môi trường IP nơi nó được triển khai;

- Giải thích cách mà IDPS đang thể hiện khi một cảnh báo phát ra;

- Phát triển các chính sách và thủ tục để phản ứng với cảnh báo IDPS xuất hiện thật;

- Sửa chữa các điểm yếu có thể cho phép xâm nhập thành công.

Các vận hành yêu cầu tập trung nguồn nhân lực nhiều hơn việc cài đặt một IDPS và là một phần không

thể thiếu của quy trình phát hiện xâm nhập.

Chức năng phân tích dữ liệu đã thu thập bởi bộ cảm biến cho biết dấu hiệu của hành động hoặc sự

kiện trái phép hoặc nghi ngờ có thể là dấu hiệu cho thấy thăm dò/dò quét mạng đang diễn ra, một xâm

nhập có thể xảy ra hoặc một tấn công độc hại đang được tiến hành. Các thành phần tự động không thể

hoạt động mà không cần trợ giúp của con người trong đầu vào, cấu hình, diễn giải đầu ra, và tinh chỉnh

IDPS.

Khi một IDPS được cấu hình đúng, nó cung cấp thông tin nên được phân tích cẩn thận để hiểu hành vi

xâm phạm đang xảy ra trong mạng. Một IDPS yêu cầu tương tác chuyên sâu của con người để từ chối

các gói tin không mong muốn. IDPS yêu cầu nhân viên có kỹ năng có thể hiểu khi đầu ra của IDPS là

một vấn đề được quan tâm so với việc là một khẳng định sai (một hành động hợp pháp nhưng lại bị coi

là một xâm nhập) hoặc phủ định sai (một hành động xâm nhập đã xảy ra nhưng định danh là hợp

pháp).

59

TCVN ISO/IEC xxxx:yyyyChức năng phản ứng bao gồm cả công cụ vận hành tự động và vận hành thủ công. Ví dụ, hầu hết

IDPS ngày nay phân loại cảnh báo theo một số tiêu chí về mức độ nghiêm trọng đã được xác định

trước nhưng ít chỉ ra việc nên làm gì khi cảnh báo xảy ra. Trường hợp này là phức tạp bởi vì hầu hết

IDPS ngày nay tạo ra lượng lớn khẳng định sai và trong hầu hết các trường hợp, mức phản ứng đầu

tiên sẽ liên quan tới nhân viên vận hành thiếu kinh nghiệm. Ngay cả khi nếu một tổ chức may mắn có

nhân viên vận hành có kiến thức và kinh nghiêm thì cũng không chắc chắn họ biết cách phản ứng với

các kiểu xâm nhập đã được phát hiện. Mặt khác, việc phản ứng nhanh với một cảnh báo IDPS cũng rất

quan trọng và trong suốt khoảng thời gian căng thẳng khi sự cố đang diễn ra rất nhanh. Với các lý do

khác, việc cung cấp cho nhân viên vận hành các hướng dẫn phác thảo các bước cần thực hiện với các

kiểu cảnh báo IDPS cụ thể là quan trọng. Trong trường hợp, hướng dẫn này không có sẵn, việc phản

ứng với một cảnh báo IDPS có thể không đầy đủ, lộn xộn, hoặc bỏ qua phản ứng. Việc phụ thuộc hoàn

toàn vào cơ chế phản ứng tự động là không đầy đủ.

Trong trường hợp hiếm gặp, IDPS có thể phát hiện ra một khai thác Zero-day thông qua việc so khớp

một tải trọng tương tự với một khai thác đã biết, hoặc thông qua các dấu hiệu mã byte độc hại, thì nhân

viên vận hành phải phối hợp với nhà cung cấp phù hợp để cho họ biết điểm yếu mới được tìm thấy và

đang tấn công vào mạng tổ chức.

A.7.5 Các xem xét triển khai khác

Các nội dung liệt kê dưới đây là những đặc trưng quan trọng khi xem xét việc triển khai, vận hành, tích

hợp và chọn lựa một IDPS.

- Giao diện người dùng;

- Vị trí của các bộ cảm biến mạng: các bộ cảm biến mạng có thể được đặt linh hoạt để hỗ trợ một loạt

chiến lược phát hiện và phản ứng, ví dụ tường lửa ngoài để phát hiện các nỗ lực tấn công;

- Chịu lỗi hệ thống - tính toàn vẹn hệ thống là một vấn đề quan trọng; từ chối dịch vụ là một ví dụ về tấn

công. Nếu có thể các thông tin liên lạc giữa các bộ cảm biến, bộ giám sát các thực thể quản lý IDPS

nên được truyền trên mạng riêng biệt để giám sát. Việc này sẽ làm tăng tính an toàn và tính sẵn sàng;

- Sự đảm bảo của IDPS;

- Tính sử dụng, ví dụ dễ sử dụng;

- Tính mở rộng của IDPS;

- Tính tương tác với các sản phẩm an toàn khác;

- Mức độ và chất lượng hỗ trợ của nhà cung cấp;

- Quản trị - IDPS không phải là thiết bị cắm và chạy nên cần có đội ngũ nhân viên có kỹ năng để phân

tích và thông giải đầu ra IDPS;

- Các yêu cầu phần cứng và phần mềm;

- Tài liệu;

60

TCVN xxxx:yyyy- Chi phí - bên cạnh chi phí phần mềm, phần cứng, và cài đặt còn có chi phí cho giáo dục, đào tạo, vận

hành và duy trì.

A.8 Vấn đề phát hiện xâm nhập

A.8.1 Phát hiện xâm nhập và tính riêng tư

Tính riêng tư đã trở thành một vấn đề đối với việc sử dụng IDPS. Việc nhận biết và đánh lạc hướng

xâm nhập đòi hỏi phải phân tích lưu lượng mạng và/hoặc vết đánh giá của hệ điều hành trong khi tìm

kiếm dấu hiệu hoặc mẫu tấn công thường chỉ cho biết mục đích độc hại hoặc đáng ngờ.

Lưu lượng mạng hoặc dữ liệu sự kiện đã thu thập có thể chứa dữ liệu cá nhân, tức là dữ liệu có thể

liên quan tới cá nhân cụ thể. Phần cứng hoặc địa chỉ IP là một ví dụ về dữ liệu như vậy. Vì vậy phát

hiện xâm nhập có thể sử dụng như một công cụ để giám sát người dùng và hành vi của họ. Trong

trường hợp phát hiện xâm nhập được áp dụng để phát hiện những kẻ xâm nhập nội bộ, tức là nhân

viên trong tổ chức thì cần xem xét những ảnh hưởng.

Ba nguyên tắc phản ánh các thách thức tính riêng tư cần được xem xét nếu sử dụng phát hiện xâm

nhập gồm:

- Phát hiện xâm nhập phải phục vụ mục đích bảo vệ dữ liệu hoặc hệ thống;

- Thu thập dữ liệu (các gói tin mạng, nhật ký đánh giá) phải đầy đủ cho mục đích bảo vệ;

- Một chính sách bao gồm các yêu cầu bảo vệ tính riêng tư của thông tin cá nhân đã thu thập trong

IDPS phải được phát triển và áp dụng.

Khía cạnh đầu tiên có nghĩa là phát hiện xâm nhập không cần phải sử dụng như một công cụ cho việc

giám sát hành vi của nhân viên.

Khía cạnh thứ hai chỉ ra dữ liệu cần được thu thập và phân tích để nhận biết các tấn công. Sau khi so

sánh dữ liệu sự kiện với các dấu hiệu tấn công của IDPS, dữ liệu không cần thiết hoặc chưa có dấu

hiệu tấn công phải được xóa, các dữ liệu liên quan tới tấn công phải được lưu trữ theo cách an toàn.

Tuy nhiên việc xóa dữ liệu có thể không đầy đủ trong một số trường hợp, dữ liệu sự kiện cần sử dụng

để điều tra sau này, ví dụ cho mục đích truy vết nguồn gốc kẻ tấn công hoặc cho mục đích phân tích

điều tra sau này. Một số dữ liệu có thể xuất hiện ban đầu là lành tính, nhưng sau khi phân tích nó có

thể liên quan tới tấn công. Sự tương quan với dữ liệu đã thu thập sau đó có thể chứng minh dữ liệu đó

có liên quan tới một tấn công. Trong mọi trường hợp dữ liệu phải được bảo vệ mạnh khỏi các truy cập

cho nhiều mục đích, bao gồm cả tính riêng tư. Các hành động đưa ra phải nhất quán với chính sách an

toàn của tổ chức.

Dữ liệu phải được lưu trữ trong một khoảng thời gian nhất định phù hợp với chính sách, và sau đó

được hủy một cách an toàn để bảo vệ quyền riêng tư của các bên liên quan. Khoảng thời gian này cho

phép pháp lý và luật pháp thực hiện điều tra và không để lại dữ liệu nhạy cảm mà không còn cần thiết

trên hệ thống có thể bị truy cập trái phép trong tương lai.

61

TCVN ISO/IEC xxxx:yyyyKhía cạnh thứ ba có nghĩa là tính riêng tư của thông tin cá nhân cần được bảo vệ và quản lý theo

chính sách riêng tư chung và/hoặc bất kỳ pháp lý có thể áp dụng tới thông tin cá nhân nhạy cảm.

Hiện tại có rất ít yêu cầu pháp lý và quy định cụ thể liên quan tới phát hiện xâm nhập. Luật pháp và các

quy tắc dự kiến có thể cung cấp bảo vệ tính riêng tư đầy đủ cho cá nhân đồng thời cho phép IDPS và

các bản ghi sự kiện liên quan thu thập và sử dụng toàn bộ dữ liệu để định danh xâm nhập nguy hiểm

tiềm ẩn. Đã có một số quy định của các quốc gia chứa tiêu chí về tính đầy đủ và mục đích liên quan tới

việc sử dụng dữ liệu cá nhân. Một số quốc gia có quy định liên quan tới việc bảo vệ dữ liệu cá nhân

của nhân viên và quyền của nhân viên trong tính riêng tư của dữ liệu cá nhân của họ. Ngoài ra các quy

định của các quốc gia khác nhau và các điều ước quốc tế liên quan tới biên giới luồng dữ liệu có thể

ảnh hưởng tới việc phát hiện xâm nhập và tính riêng tư.

Một số bộ luật và quy tắc yêu cầu nếu việc giám sát các hành động của con người được thực hiện, ví

dụ thông qua nhật ký sự kiện và các bộ cảm biến/tác tử giám sát IDPS cụ thể, sau đó các nhân viên và

nhà thầu liên quan phải thông báo cụ thể và thừa nhận việc này trước khi bắt đầu vận hành. Điều này

có thể đạt được theo hình thức ký kết hợp đồng lao động, văn bản giấy hoặc thông báo điện tử cụ thể.

A.8.2 Chia sẻ dữ liệu xâm nhập

Có thể có lợi ích cho tất cả tổ chức sử dụng IDPS trong việc chia sẻ dữ liệu về xâm nhập, và kinh

nghiệm sử dụng IDPS. Ví dụ việc việc cảnh báo sớm cho một số tổ chức có thể bị xâm nhập có thể đạt

được từ những phân tích đã thực hiện trên xâm nhập tương tự đã có bởi một số tổ chức, hoặc thông

tin về một số kiểu xâm nhập có thể hữu ích với nhiều tổ chức. Thông tin về kinh nghiệm sử dụng IDPS

có thể giúp các tổ chức khác cải thiện việc vận hành IDPS của họ.

Tuy nhiên, có những mối lo ngại dễ hiểu trong hầu hết tổ chức về việc công khai tri thức của các cuộc

xâm nhập ảnh hưởng tới hệ thống công nghệ thông tin và các hoạt động nghiệp vụ của họ. Công khai

tri thức ở mức tối thiểu có thể bị lúng túng và ở mức tối đa có thể có ảnh hưởng tới nghiệp vụ, ví dụ lợi

nhuận, giá cổ phiếu. Hầu hết các khuyến cáo phù hợp cho tổ chức là tham gia vào lược đồ hợp tác,

theo đó nguồn thông tin về các xâm nhập và sử dụng dữ liệu IDPS đã được xử lý. Lược đồ này có thể

dựa trên việc thu thập tri thức và thông tin nặc danh trong cơ sở dữ liệu đã thiết kế để phục vụ cộng

đồng IDPS. Một cơ sở dữ liệu phát hiện xâm nhập phải được thiết kế để:

- Phối hợp thông tin chi tiết về cấu hình điểm yếu, kiểu xâm nhập, và hướng dẫn khai thác cấu hình;

- Xử lý một lượng lớn thông tin về một mẫu xâm nhập đặc biệt để tạo tuyên bố đúng về một kiểu xâm

nhập trong nhóm các điều kiện cần, các ảnh hưởng, dấu vết, khó khăn và các biện pháp…;

- Lưu trữ thông tin kỹ thuật về kiểu xâm nhập và chia sẻ sự khác biệt cơ bản giữa hai kiểu nếu dấu vết

có thể quan sát của chúng khác nhau trong cùng một cách;

- Đảm bảo dấu vết thông tin được cấu trúc theo định dạng hỗ trợ việc tải các mô tả xâm nhập mới;

- Cập nhật các luật hoặc các tham số thay đổi khi một loại điểm yếu mới được phát hiện;

62

TCVN xxxx:yyyy- Có khả năng trích xuất thông tin cần thiết để tự động tạo ra luật mới (dấu hiệu, tham số...) để định

danh xâm nhập mới.

Một cơ sở dữ liệu IDPS có thể được so sánh với hệ thống phát hiện vi-rút hiện đại, nó thường có chức

năng cập nhật dựa trên mạng.

Cơ sở dữ liệu xâm nhập không phải là cơ sở dữ liệu các sự cố xâm nhập lưu trữ bằng chứng liên quan

tới tấn công.

Các xem xét để chia sẻ thông tin sự cố được nêu chi tiết trong chuẩn ISO/IEC 27010:2012. Để thuận

lợi cho việc trao đổi dữ liệu xâm nhập tự động thì mô hình, định dạng dữ liệu và các giao thức trao đổi

an toàn đã được phát triển và chuẩn hóa trong IETF. Các chuẩn tự động quốc tế bao gồm RFC 5070 ,

RFC 6545 và RFC 6546.

Tài liệu tham khảo

[1] TCVN 8709 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ

thông tin (tất cả các phần) (ISO/IEC 15408)

[2] ISO/IEC 18028-3:2005 Information technology - Security techniques - IT network security - Part 3:

Securing communications between networks using security gateways.

[3] ISO/IEC 18028-4:2005 Information technology - Security techniques - IT network security - Part 4:

Securing remote access.

[4] ISO/IEC 18028-5 Information technology - Security techniques - IT network security - Part 5:

Securing communications across networks using virtual private networks.

[5] ISO/IEC 20000 (all parts) Information technology - Service management.

[6] ISO/IEC 27010:2012 Information technology - Security techniques - Information security

management for inter-sector and inter-organizational communications.

[7] TCVN 9801-1:2013, Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng

quan và nội dung (ISO/IEC 27033-1:2009).

[8] ISO/IEC 27033-2:2012 Information technology - Security techniques - Network security - Part 2:

Guidelines for the design and implementation of network security.

[9] ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident

management.

63

TCVN ISO/IEC xxxx:yyyy[10] ISO/IEC 27001 Information Technology – Security techniques – Information security management

systems – Requirements.

[11] ISO/IEC 27002 Information technology - Security techniques - Code of practice for information

security controls.

64

hướng dẫn đánh giá sản phẩm phần...

Documents