Bảo vệ hiệu quả cho dữ liệu khổng lồ
Phát hiện chính xác nguy cơ về mất an toàn thông tin trong kỷ nguyên của dữ liệu khổng lồ không dễ dàng.QRadar được trang bị năng lực để xác định và tương quan các yếu tố rủi ro phát sinh từ những dữ liệu chi tiết nhất bên trong dữ liệu khổng lồ, từ thông tin truy cập mạng tại vành đai cho tới các hoạt động trên cơ sở dữ liệu nằm ở tâm điểm của một doanh nghiệp. Các cải tiến mới để QRadar xử lý hiệu quả dữ liệu khổng lồ bao gồm :
Tìm kiếm tức thời [Instant Search] cung cấp khả năng truy vấn tốc độ cao đối với cả dữ liệu luồng và dữ liệu nhật ký [log and flow data], đưa tính đơn giản và tốc độ của các công cụ tìm kiếm trên mạng Internet vào trong giải pháp thông tin an ninh hàng đầu này.
Thiết bị XX24 series tăng cường khả năng mở rộng và các ưu thế về hiệu năng nổi tiếng của các giải pháp QRadar. Với việc công bố các thiết bị QRadar 3124 SIEM, Bộ xử lý sự kiện QRadar 1624 Event Processor và Bộ xử lý luồng QRadar 1724 Flow Processor - tất cả đều được trang bị dung lượng lưu trữ khả dụng 16TB và dung lượng bộ nhớ RAM 64GB – các tổ chức có thể hỗ trợ được nhiều người dùng hơn, đạt được hiệu năng cao hơn và lưu trữ được dữ liệu lâu dài hơn.
Quản lý chính sách dữ liệu thông minh cho phép người dùng quyết định những thông tin nào họ muốn lưu trữ và lưu trữ trong bao lâu. Những dữ liệu ít quan trọng hoặc ít nhạy cảm hơn có thể được loại bỏ sớm hơn để kéo dài thời gian lưu trữ những dữ liệu quan trọng.
Các thiết bị ảo cho phép người dùng cuối và các nhà cung cấp dịch vụ khai thác các cơ sở hạ tầng ảo hóa và cơ sở hạ tầng điện toán đám mây đã được phát triển. Trong khi đó, người dùng vẫn được hưởng lợi từ các giải pháp thông tin an ninh có chi phí thấp nhưng lại cung cấp đầy đủ năng lực cần thiết. Các mô-đun tích hợp mới [các mô-đun hỗ trợ thiết bị] được miễn phí trong QRadar SIEM và QRadar Log Manager, thông qua cập nhật tự động.
Với những mô-đun tích hợp mới, nền tảng phân tích này có thể nhanh chóng xác định một hoạt động bất thường bằng cách kết hợp khả năng nhận dạng các nguy cơ an ninh theo ngữ cảnh. Nó còn nhận dạng và phát hiện các phương pháp mới nhất đang được sử dụng bởi tin tặc với công nghệ phân tích lưu lượng theo thời gian thực trên cơ sở hạ tầng CNTT của công ty. Nhờ đó, QRadar có thể phát hiện trường hợp nhiều lần đăng nhập không thành công vào một máy chủ cơ sở dữ liệu và sau đó là một lần đăng nhập thành công để truy cập vào bảng số liệu về thẻ tín dụng, tiếp nối là một tác vụ tải lên một trang web khả nghi.
Các mô-đun tích hợp của QRadar với IBM Security Identity Manager, IBM Security Access Manager và IBM Guardium Database Security, cũng như là những cải tiến về Dữ liệu Khổng lồ và điện toán đám mây dự kiến sẽ ra mắt trong quý 1/2012. Các mô-đun tích hợp với thông tin an ninh của IBM X-Force, thiết bị quét an ninh ứng dụng IBM Security AppScan và IBM Tivoli Endpoint Manager sẽ có mặt muộn hơn, khoảng quý 2/2012.
Ông Ken Major, Giám đốc CNTT của công ty tài chính AmeriCU Credit Union, tổ chức đã triển khai QRadar, cho biết: “Chúng tôi lựa chọn QRadar để xây dựng một nền tảng tối ưu hóa, thông minh và hoạt động như một hệ thần kinh trung ương trong việc kiểm soát an ninh của toàn bộ doanh nghiệp. Giải pháp đã giúp chúng tôi đạt được các mục tiêu, dẫn đầu trong ngành về lĩnh vực bảo mật và đáp ứng các yêu cầu khắt khe về tuân thủ.”
Những tiến bộ về phương pháp xử lý cũng như cách thức bảo vệ của QRadar tạo ra hướng đi mới trong lĩnh vực giải pháp an toàn bảo mật thông tin. Những thử nghiệm ban đầu đang chứng minh tính hiệu quả của giải pháp này. Tuy nhiên, QRadar vẫn còn đang trong quá trình hoàn thiện và mới chỉ thực sự phù hợp với các tổ chức, doanh nghiệp lớn. IBM tiết lộ đang nghiên cứu để định ra các gói dịch vụ phù hợp với nhiều loại hình doanh nghiệp hoặc tính chi phí theo nhu cầu cụ thể.
Mạnh Vỹ
CHƯƠNG 1 CƠ SỞ LÝ THUYẾT
1.4 Tổng quan về Rules trên SIEM-Qradar
1.4.2 Giới thiệu về Rules trên Qradar
1.4.2.1.Khái niệm Rules và Building Block
Khái niệm tập luật dùng để chỉ một bộ các quy tắc được người quản trị thiết lập, dựa trên một tập điều kiện cụ thể nhằm tìm kiếm và phát hiện ra các điểm bất thường trên hệ thống. Khi tất cả các điều kiện trong tập luật được đáp ứng, nó có thể thực hiện các hành vi đã được chỉ định sẵn, còn gọi là phản hồi. Trên hệ thống SIEM-Qradar, hỗ trợ 2 loại tập luật là:
-Custom Rules cho phép phân tích thông tin từ các sự kiện, luồng hoặc các offense để phát hiện những điểm bất thường bên trong mạng.
-Anomaly Detection Rules cho phép phân tích dựa trên kết quả lưu lại các luồng/sự kiện đã tìm kiếm trước đó để phát hiện những bất thường trong mạng. Các luật trong nhóm này yêu cầu bắt buộc phải có một kết quả tìm kiếm đã được lưu lại và sẽ được nhóm theo một tham số chung.
Trên SIEM-Qradar, ta có thể tạo các luật mới, thay đổi, hoặc xóa cấu hình của các luật mặc định đã có sẵn khi cài đặt hệ thống. Ngoài ra, ta có thể tải xuống và cập nhật các luật mới từ kho dữ liệu IBM® Security App Exchange của IBM.
Ngoài khái niệm Rule, trong Qradar còn có khái niệm Building Block [BB]. Về bản chất, mỗi một BB có cấu trúc hoàn toàn tương tự như một rule. Tuy nhiên, nó không có phần cấu hình phản ứng khi các điều kiện đã thiết lập trong BB được thỏa mãn. Thông thường, ta dùng BB để nhóm lại các điều kiện, giúp đơn giản hóa việc cấu hình rule, nhất là khi trong rule đó có nhiều điều kiện phức tạp. Sau này, khi cập nhật rule, chỉ cần thay đổi các BB tương ứng, chứ không cần trực tiếp thay đổi các điều kiện bên trong của rule giúp dễ quản lý và cập
41
nhật cấu hình rule. Ví dụ, ta có thể tạo một BB danh sách địa chỉ IP của các máy chủ trong mạng và viết rule dựa trên BB đó. Sau này, khi thông số địa chỉ IP của các máy chủ thay đổi, ta chỉ cần cập nhật lại vào BB chứ không cần tác động đến cấu hình của rule. Trên hệ thống SIEM-Qradar, có một số thành phần với các chức năng và nhiệm vụ như sau:
Thành phần Mô tả chức năng
QRadar Event Collectors
Thực hiện thu thập các sự kiện từ các nguồn cục bộ hoặc từ xa sau đó chuẩn hóa và phân loại chúng theo low-level và high-level.
QRadar QFlow Collectors
Với các luồng [flow], thành phần này cho phép đọc các gói tin hoặc nhận luồng từ các thiết bị khác. Thực hiện chuyển đổi các dữ liệu mạng này thành flow records.
Event Processor
Xử lý các sự kiện hoặc các luồng dữ liệu nhận được từ Qradar Event Collectors
Flow Processors
Thực hiện kiểm tra và liên kết các thông tin để tìm kiếm các hành vi nghi ngờ hoặc sự vi phạm các chính sách
Ngoài các thành phần đã biết ở trên, trong SIEM-Qradar còn có thành phần Custom Rules Engine, gọi tắt là CRE. Nó cho phép xử lý các sự kiện và so sánh với các điều kiện đã được thiết lập từ trước trong tập luật, nhằm phát hiện ra các điểm bất thường. Đồng thời, khi các điều kiện trong tập luật được thỏa mãn, nó sẽ gọi Event Processor để thực hiện các hành động đã được thiết lập trước đó trong phần Rule Response. Một trong các thiết lập phổ biến là "gắn" các sự kiện vào các offense và sinh cảnh báo lên giao diện hệ thống. Tóm lại, mối quan hệ giữa rules và offense trong Qradar có thể mô tả trong bảng bên dưới:
Bảng 1.13. Bảng mô tả mối quan hệ giữa rules và offense trong Qradar
Thành phần Mô tả chức năng
CRE Thành phần CRE cho phép hiển thị thông tin về các rule và Building Block trong IBM®Qradar. Chúng sẽ được quản lý trong 2 danh sách riêng biệt vì có cơ chế hoạt động khác nhau. CRE sẽ cung cấp thông tin về cách các rule được nhóm lại, các điều kiện sẽ được kiểm tra và các thiết lập trong cấu hình response của rule tương ứng.
Rules Là một tập hợp các điều kiện sẽ được kiểm tra và các hành động sẽ được thực hiện khi các điều kiện được thỏa mãn. Mỗi rule có thể được cấu hình cho phép theo dõi và phản hồi
42
lại dựa trên thông tin của một sự kiện cụ thể, một chuỗi các sự kiện, một luồng, hoặc một chuỗi offense. Một số hành động có thể được kích hoạt gồm:
- Gửi email thông báo
- Tạo cảnh báo [offense] trên hệ thống, ...
Để tạo mới, cập nhật hoặc xóa rule, cần sử dụng Rule Editor Offenses Thông qua CRE, dữ liệu trong các sự kiện và luồng sẽ được
xử lý, thực hiện so khớp với tập luật trên hệ thống để sinh các offense tương ứng [nếu có]. Trên giao diện hệ thống, có thể truy cập mục Offenses để xem các thông tin về các hành vi vi phạm đã phát hiện được.
1.4.2.2.Cấu hình Custom Event Rules trên Qradar
Sau khi cài đặt, QRadar đã xây dựng sẵn nhiều luật cho phép phát hiện các hành vi bất thường trong mạng, chẳng hạn như phát hiện tấn công từ chối dịch vụ trên lưu lượng của tường lửa, phát hiện hành vi đăng nhập thất bại nhiều lần của người dùng, phát hiện hoạt động của mạng Botnet, v.v. Các luật này đa phần đều thuộc nhóm Custom Event Rules. Ngoài ra, có thể tạo thêm nhiều luật khác để phát hiện bất thường trong hệ thống. Trong Custom Event Rules lại chia ra làm nhiều loại nhỏ hơn. Về cơ bản, cách thức cấu hình chúng là hoàn toàn giống nhau, chủ yếu khác nhau ở điều kiện được sử dụng để kiểu tra. Chi tiết về các loại Custom Event Rule được liệt kê trong bảng bên dưới.
Loại
tập luật Mô tả chi tiết
Event Rules Cho phép kiểm tra nguồn dữ liệu được xử lý theo thời gian thực bởi QRadar Event Processor. Có thể tạo Event Rules để phát hiện bất thường dựa trên một hoặc một chuỗi các sự kiện, ví dụ để giám sát các hành vi trong hệ thống mạng như phát hiện hành vi đăng nhập không thành công, truy cập nhiều máy chủ, các hành vi do thám [reconnaissance], sau đó là khai thác [exploit], v.v. Thông thường, phần response của các rule này sẽ sinh ra một cảnh báo dưới dạng một offense tương ứng.
Flow Rules Cho phép kiểm tra nguồn dữ liệu được xử lý bởi QRadar Flow Processor. Có thể tạo Flow Rules để phát hiện bất thường dựa trên một luồng duy nhất hoặc một trình tự các luồng khác nhau. Thông thường, phần response của các rule này sẽ sinh ra một cảnh báo dưới dạng một offense tương ứng.
43
Rules thể tạo một Common Rules để phát hiện các sự kiện và luồng từ một tập địa chỉ IP nguồn cụ thể. Thông thường, phần response của các rule này sẽ sinh ra một cảnh báo dưới dạng một offense tương ứng.
Offense rules Cho phép kiểm tra thông số của các offense để kích hoạt nhiều phản ứng hơn. Ví dụ, một phản ứng có thể là sinh ra một offense tại một ngày/giờ cụ thể. Offense Rule Processes thường sẽ chỉ xử lý khi offense đó thay đổi, chẳng hạn như khi có một sự kiện mới được thêm vào offense, hoặc khi hệ thống lên lịch các offense để đánh giá lại. Thông thường, phần response của các rule này sẽ sinh ra một cảnh báo dưới dạng email gửi tới người có liên quan.
Đối với các rule đơn giản, hầu hết đầu sử dụng các điều kiện đơn lẻ, chẳng hạn như kiểm tra sự tồn tại của một phần tử trong một tập dữ liệu tham chiếu, hoặc là kiểm tra giá trị của một thuộc tính trong sự kiện. Đối với các điều kiện phức tạp, ta có thể sử dụng các câu truy vấn AQL [Ariel Query Language] dưới dạng mệnh đề WHERE. Ví dụ sử dụng mệnh đề AQL để kiểm tra lưu lượng truy cập web hoặc lưu lượng mã hóa SSL đang được theo dõi trong Reference Sets. Nhìn chung, ta có thể xây dựng điều kiện dựa trên các thuộc tính của event, flow hoặc offense, chẳng hạn như từ địa chỉ IP nguồn, mức độ nghiêm trọng [severity] của sự kiện, v.v. Ta cũng có thể kết hợp nhiều Building Block, hoặc các rules khác nhau thông qua các toán từ điều kiện AND, OR khi xây dựng điều kiện cho rules. Ví dụ, để sử dụng các rules trong một điều kiện, có thể sử dụng tham số when an event matches any|all of the following rules.
Để có thể cấu hình rules trên SIEM-Qradar, tài khoản thực hiện cần được cấp các roles tương ứng sau:
-Quyền Maintain Custom Rules cho phép cập nhật, xóa một rules
-Quyền View Custom Rules cho phép xem thông tin một rules.