CMC CYBER SECURITY CORP.

NHỮNG BÀI TOÁN TRONG VIỆC PHÁT TRIỂN VÀ VẬN HÀNH MỘT TRUNG TÂM SOC

PHUONG HA

17.04.2018

AGENDAAGENDA

• Hiện trạng các vấn đề tồn tại ở một số trung tâm SOC tại Việt Nam

• Phân tích các vấn đề và hướng giải quyết

• Xây dựng chiến lược phù hợp cho trung tâm SOC của tổ chức

WHAT IS A SOC?WHAT IS A SOC?

Theo ông Siddharth Deshpande, principle research analyst, tại Gartner:

Q: What is a security operations center (SOC)?A: A security operations center (SOC) can be defined both as a team, often operating in shifts around the clock, and a facility dedicated to and organized to prevent, detect, assess and respond to cybersecurity threats and incidents, and to fulfill and assess regulatory compliance.

A: Một trung tâm điều hành ANAT TT có thể được định nghĩa như một tổ đội, thườngxuyên vận hành theo ca, và còn có thể được định nghĩa như một trung tâm chức năngtrong một tổ chức với nhiệm vụ ngăn chặn, phát hiện, đánh giá và phản ứng với các nguycơ, sự cố ANAT TT, còn nhằm mục đích đáp ứng và đánh giá tình trạng tuân thủ của tổchức.

WHAT IS A SOC?WHAT IS A SOC?

SOC có thể coi là một bộ phận chức năng của tổ chức, có nhiệm vụ phát hiện, xử lý, loạibỏ các nguy cơ gây mất ANAT TT khi tổ chức hoạt động.

Vì vậy, trung tâm SOC khi thiết lập, cần xoay quanh các nhu cầu về bảo mật của tổ chứcđó. Các nhu cầu này sẽ phụ thuộc vào mục tiêu và môi trường hoạt động của tổ chức(ngành hoạt động), nội lực của tổ chức (vốn đầu tư, nguồn lực con người, hiện trạng kĩthuật) và chiến lược về ANAT TT của tổ chức, nếu có (định hướng phát triển về ANAT TT).

Xác định tốt những điều này sẽ giúp tổ chức dễ dàng lựa chọn hướng để phát triển trungtâm điều hành ANAT TT SOC một cách hiệu quả nhất.

MỘT SỐ VẤN ĐỀ TRONG QUÁ TRÌNH PHÁT TRIỂN SOCMỘT SỐ VẤN ĐỀ TRONG QUÁ TRÌNH PHÁT TRIỂN SOC

THÀNH PHẦN SOCTHÀNH PHẦN SOC

Câu hỏi: Bắt đầu từ đâu với một tổ chức chưa có SOC?

THÀNH PHẦN SOCTHÀNH PHẦN SOC

Nên bắt đầu từ các SECURITY OPERATIONS (các nhiệm vụliên quan tới ANAT TT) trong tổ chức

Nếu tổ chức chưa có phòng ANAT TT riêng, tách rời vớicác chức năng phát triển và vận hành hệ thống CNTT →liệu đã sẵn sàng để triển khai SOC (vì còn chưa tách rờiđược các chức năng nhiệm vụ đảm bảo ANAT TT riêng)

Nếu tổ chức đã có phòng ANAT TT riêng→ xem xét cácnhiệm vụ, chức năng đang có của phòng→ so với nhu cầuvà định hướng phát triển của tổ chức→ đang thiếunhững gì

Dựa trên những nội dung trên, tổ chức có thể hoạch địnhra những bước tiếp theo để đầu tư, phát triển SOC cùngquyết định về các nguồn lực, công nghệ, giải pháp, đối tác

CÁC VẤN ĐỀCÁC VẤN ĐỀ

• Đặt quá nặng vấn đề về đầu tư công nghệ SIEM

• Rủi ro: đầu tư các công nghệ trước sau đó mới tính đến chuyện nguồn lực vận hành.

• Vấn đề: Đầu tư về công nghệ SIEM là rất dễ tuy nhiên chuẩn bị cho nguồn lực là vấn đề phức tạphơn rất nhiều.

• Ảnh hưởng: sau khi đầu tư giải pháp SIEM xảy ra tình trạng nguồn lực hiện tại không đủ để vậnhành, cấu hình hệ thống SIEM sinh ra tình trạng lãng phí về nguồn vốn đầu tư mà hiệu quả giámsát chưa chắc được đảm bảo (vì cần một team riêng optimize và tuning hệ thống SIEM thườngxuyên nhằm giảm false positive của những alerts sinh ra). Khi nhiều các cảnh báo false positive được sinh ra từ SIEM sẽ dẫn đến tình trạng quá tải cho team phân tích và team xử lý sự cố, vậnhành (vì phải đi xác định và tìm những vấn đề sai).

CÁC VẤN ĐỀCÁC VẤN ĐỀ

• SIEM chỉ là 1 thành phần trong hệ thống SOC

• Rủi ro: CHỈ quan tâm đến công nghệ SIEM là chưa đủ. SIEM làm nhiệm vụ tập hợp, phân tích dữliệu từ các nguồn sinh ra dữ liệu rồi đưa ra các cảnh báo dựa trên một bộ luật (rules) có sẵn.

• Vấn đề: Để có thể có được các chức năng về phản ứng sự cố, điều tra số, phân tích tìm mối nguyhại (threats hunting) thì tổ chức cần đầu tư vào các thành phần khác. Ví dụ các hệ thống có chứcnăng ngăn chặn khai thác, dò tìm thông tin, mã độc như EDR, Firewall, AV nếu không được tíchhợp vào hệ thống SIEM thì kết quả trả về của SIEM cũng sẽ rất hạn chế.

• Ảnh hưởng: Xấu nhất sẽ xảy ra trường hợp SIEM ko được tích hợp sâu cùng các cấu phần kháctrong hệ thống, điều này sẽ dẫn đến các kết quả trả về của SIEM không phản ánh đúng các vấn đềliên quan tới ANAT TT đang xảy ra thực tế, dẫn đến việc điều phối xử lý không hiệu quả

CÁC VẤN ĐỀCÁC VẤN ĐỀ

• Chưa có các kế hoạch và định hướng về phát triển nguồn lực vận hành SOC

• Rủi ro: Sử dụng nguồn lực đang có trong tổ chức để vận hành một trung tâm SOC mới mà chưa cócác định hướng, phương án về phát triển nguồn lực

• Vấn đề: Team hiện tại sẽ quá tải vì sẽ phát sinh ra nhiều các quy trình phối hợp nội bộ, hoạt độngthường xuyên hàng ngày như giám sát, phân tích bỏ false positive, threat hunting, điều phối xử lýcác sự cố diện rộng liên quan đến mã độc…

• Ảnh hưởng: các quy trình đề ra có thể sẽ không được vận hành một cách hiệu quả. Nhiều trườnghợp nhân sự sẽ bị quá tải, quá nhiều việc dồn vào một nhóm có quá ít người và khó có khả năngmở rộng (đặc biệt là các nhân sự thực hiện nhiệm vụ giám sát 2 ca hoặc 3 ca 24/7 và phân tích cáccảnh báo)

CÁC VẤN ĐỀCÁC VẤN ĐỀ

• Các cảnh báo, đầu ra từ hệ thống giám sát của SOC phải có tính chất thực thi được (actionable)

• Rủi ro: Khi hệ thống giám sát chưa được tối ưu hoặc các kết quả trả về rất rời rạc thì sẽ rất khó đểtạo ra các ticket (case) đầy đủ thông tin vấn đề để cho các team thực hiện việc phân tích hoặc xửlý sự cố một cách hiệu quả

• Vấn đề: Các cảnh báo nhiều khi mang tính chất thông báo sự kiện, được cóp nhặt từ nhiều nguồndata source khác nhau trong hệ thống (ví dự từ FW, từ DNS server, từ các endpoint…), khi khôngđược xâu chuỗi lại với nhau để thể hiện được vấn đề đúng với thực tế thì đội xử lý không thểnhận biết được nguồn phát sinh ra vấn đề là ở đâu để đi xử lý

• Ảnh hưởng: Tốn nguồn lực xâu chuỗi lại các cảnh báo, đi tìm nguyên nhân gốc (root cause) và cáchệ thống (assets) có liên quan đến sự cố. Điều này làm giảm tính thức thời của việc xử lý sự cố vàgiảm hiệu quả hoạt động của trung tâm SOC

HƯỚNG GIẢI QUYẾT VÀ CHIẾN LƯỢC PHÁT TRIỂN SOC PHÙ HỢPHƯỚNG GIẢI QUYẾT VÀ CHIẾN LƯỢC PHÁT TRIỂN SOC PHÙ HỢP

PHÁT TRIỂN SOCPHÁT TRIỂN SOC

Nên bắt đầu từ việc phân tích môi trường hoạt động của tổ chức, từ đó sẽ có các yêu cầu mục tiêu cụ thể về bảo mật. Từ các yêu cầu bảo mật cụ thể của ngành kết hợp phân tích rủi ro về ANAT TT của tổ chức→ các công việc cần thựchiện để đảm bảo ANAT TT.

Từ các mục tiêu và công việc cụ thể này, tổ chức sẽ hoạch định được các quy trình để thực hiện và con người (hoặc đốitác) phụ trách các quy trình, công việc đó. Phần công nghệ sẽ được chọn sau cùng như các công cụ dành cho các team liên quan để thực thi các quy trình và mục tiêu trên.

Lúc này tổ chức có thể dễ dàng quyết định nên đầu tư về công nghệ thế nào để phù hợp với năng lực tài chính và nhânsự của mình, nên đầu tư riêng phần nào và nên out-source, tìm đối tác kết hợp những phần nào…

Một số lưu ý Một số lưu ý

• Khi một tổ chức muốn triển khai SOC không có nghĩa là tổ chức đó phải tự mình đầu tư đầy đủ tất cả các cấu phầnvà nguồn lực của SOC đó. Rất nhiều thành phần trong SOC có thể tách nhỏ và cung cấp bởi các bên thứ 3, ví dụ: thuê SIEM, vận hành giám sát SIEM, phân tích cảnh báo level 2, threat hunting, xử lý sự cố, phân tích mã độc, điềutra số…

• Có rất nhiều mô hình triển khai SOC để tham khảo (Virtual SOC, Dedicated SOC, Co-managed SOC, Command SOC, Fusion SOC…). Mỗi mô hình sẽ có ưu và nhược điểm riêng, quan trọng là phù hợp với nhu cầu và điều kiện của tổchức.

• Nhóm SOC nên tách rời so với nhóm vận hành hệ thống CNTT trong tổ chức tuy nhiên các quy trình ứng phó với sựcố ANAT TT thì luôn cần liên quan tới nhóm vận hành hệ thống CNTT

• Các ticket khi được sinh ra từ hệ thống SOC phải luôn có tính sẵn sàng để xử lý cao (thể hiện được vấn đề gì, ở đâu, vào lúc nào, và không phải false positive)

• Hệ thống threat intelligence là một hệ thống rất quan trọng trong quá trình thực hiện threat hunting để tìm ra cácnguy cơ tiềm ẩn có thể xảy ra đối với tổ chức (tìm dấu hiệu tấn công APT). Hệ thống này nên sử dụng của một bênthứ 3 chuyên nghiệp về lĩnh vực bảo mật vì đây là một hệ thống thu thập dữ liệu rất lớn và cần được cập nhậtthường xuyên (như CSDL mã độc trong các hệ thống AV), các bên bảo mật chuyên nghiệp sẽ có nhiều nguồn để thuthập các dữ liệu một cách đầy đủ hơn so với trường hợp tổ chức tự đầu tư làm.

THE END

CẢM ƠN QUÝ VỊ ĐÃ QUAN TÂM THEO DÕI

THE END

CẢM ƠN QUÝ VỊ ĐÃ QUAN TÂM THEO DÕI