Báo Cáo Kết Quả Thực Tập

Người thực hiện : Lê Duy Thế

Vị trí : Thực tập sinh SOC
I. cyber Security rainbow wheel_________________________________________3
1. Giới thiệu về rainbow wheel_______________________________________________3
2. Phân loại và vai trò______________________________________________________4
2.1.Red Team____________________________________________________________________4
2.2. Blue Team____________________________________________________________________4
2.3. Purple Team__________________________________________________________________4
2.4. Yellow Team__________________________________________________________________5
2.5. Green Team__________________________________________________________________5
2.6. Orange Team_________________________________________________________________5
3. Kết luận________________________________________________________________6
4. Tài liệu tham khảo_______________________________________________________6
II. Defense in depth___________________________________________________6
1. Giới thiệu Defense in depth_______________________________________________6
2. Tại sao DID lại quan trọng________________________________________________7
1. Đa Lớp Bảo Vệ Tăng Cường An Ninh Toàn Diện_______________________________________7
2. Phát Hiện và Ứng Phó Nhanh Chóng________________________________________________8
3. Giảm Thiểu Rủi Ro và Thiệt Hại____________________________________________________8
4. Tăng Cường Khả Năng Phục Hồi___________________________________________________8
5. Phù Hợp với Các Quy Định và Tiêu Chuẩn____________________________________________8
6. Nâng Cao Nhận Thức và Kỹ Năng Bảo Mật___________________________________________9
3. Các thành phần chính của DID_____________________________________________9
1. Lớp Phòng Thủ Vật Lý____________________________________________________________9
2. Lớp Phòng Thủ Mạng____________________________________________________________9
3. Lớp Phòng Thủ Ứng Dụng_______________________________________________________10
4. Lớp Phòng Thủ Dữ Liệu_________________________________________________________10
5. Lớp Phòng Thủ Người Dùng______________________________________________________10
6. Lớp Phòng Thủ Chính Sách và Quy Trình___________________________________________11
4. Lợi ích của DID mang lại_________________________________________________11
4.1.Tăng Cường An Ninh Toàn Diện:_________________________________________________11
4.2.Phát Hiện và Ứng Phó Tốt Hơn:__________________________________________________11
4.3.Giảm Thiểu Rủi Ro:____________________________________________________________11
5. Thách thức và giải pháp_________________________________________________11
5.1. Thách thức__________________________________________________________________11
5.2.Giải pháp____________________________________________________________________12
6. Kết luận_______________________________________________________________12
III. SOC – CMM_____________________________________________________12
1. Giới thiệu SOC-CMM____________________________________________________12
2. Các thành phần của SOC-CMM___________________________________________12
2.1.Quy trình và Thủ tục (Processes and Procedures) :___________________________________12
2.2.Công nghệ (Technology):_______________________________________________________13
2.3.Con người (People):___________________________________________________________13
 2.4.Chính sách và Chiến lược (Policies and Strategies): Đánh giá các chính sách bảo mật và chiến
lược phát triển SOC.______________________________________________________________13
2.5.Quản lý và Điều hành (Management and Governance):________________________________13
3. Các mức độ trưởng thành của SOC-CMM__________________________________13
Mức 1 - Khởi Đầu (Initial):__________________________________________________________13
Mức 2 - Được Quản Lý (Managed):__________________________________________________13
Mức 3 - Định Nghĩa (Defined):_______________________________________________________13
Mức 4 - Được Quản Lý và Đo Lường (Quantitatively Managed):____________________________13
Mức 5 - Tối Ưu Hóa (Optimizing):____________________________________________________13
4. Lợi ích của việc sử dụng SOC-CMM_______________________________________13
4.1. Đánh Giá Hiện Trạng__________________________________________________________13
4.2. Lập Kế Hoạch Cải Tiến_________________________________________________________14
4.3. Tăng Cường Hiệu Quả Hoạt Động________________________________________________14
4.4. Đo Lường và So Sánh_________________________________________________________14
5. Kết luận_______________________________________________________________14
6. Tài liệu tham khảo______________________________________________________14
IV. SOC Roles______________________________________________________15
1. Giới thiệu về vai trò của SOC_____________________________________________15
2. Các vai trò trong SOC và nhiệm vụ________________________________________15
2.1. Alert Analyst_________________________________________________________________15
2.2. Incident Responder____________________________________________________________15
2.3. Subject Matter Expert (SME)/Hunter______________________________________________15
2.4. SOC Manager________________________________________________________________15
3. Sự quan trọng của các vai trò trong SOC___________________________________16
4. Kết luận_______________________________________________________________16
V. Tshape Skills_____________________________________________________16
1. Khái Niệm T-Shaped Skills_________________________________________________16
2. Cấu Trúc Của T-Shaped Skills______________________________________________16
3. Lợi Ích Của T-Shaped Skills________________________________________________17
4. Ví Dụ Về T-Shaped Skills Trong Ngành An Ninh Mạng (SOC)____________________17
4.1.Chuyên Môn Sâu (I-Skills)_______________________________________________________17
4.2.Hiểu Biết Rộng (Hyphen-Skills)___________________________________________________17
5. Cách Phát Triển Kỹ Năng T-Shaped_________________________________________18
6. Kết Luận________________________________________________________________18
VI. Quy tắc 80/20____________________________________________________18
1. Giới thiệu về Nguyên tắc 80/20 Pareto_______________________________________18
2. Ví dụ về Nguyên tắc 80/20_________________________________________________19
Cuộc sống:______________________________________________________________________19
Kinh doanh:_____________________________________________________________________19
3. Lợi ích của áp dụng Nguyên tắc 80/20_______________________________________19
 Đối với cá nhân:__________________________________________________________________19
Đối với doanh nghiệp:_____________________________________________________________19
4. Cách áp dụng Nguyên tắc 80/20 một cách hiệu quả____________________________19
Trong quản trị hiệu suất:___________________________________________________________19
Trong thiết lập mục tiêu:___________________________________________________________19

V. Quy tắc 99/1______________________________________________________20

1. Giới thiệu_______________________________________________________________20
2. Nguồn Gốc và Lịch Sử____________________________________________________20
3. Ứng Dụng trong Quản Lý Rủi Ro___________________________________________20
4. Kết Luận________________________________________________________________20
VI. SOC phases theo NIST csf v2.0_____________________________________21
1. Nhận Diện (Identify)______________________________________________________21
1.1. Mục Tiêu____________________________________________________________________21
1.2. Hoạt Động___________________________________________________________________21
2. Bảo Vệ (Protect)_________________________________________________________21
2.1. Mục Tiêu____________________________________________________________________21
2.2. Hoạt Động___________________________________________________________________22
3. Phát Hiện (Detect)________________________________________________________22
3.1. Mục Tiêu____________________________________________________________________22
3.2. Hoạt Động___________________________________________________________________22
4. Phản Ứng (Respond)_____________________________________________________22
4.1. Mục Tiêu____________________________________________________________________22
4.2. Hoạt Động___________________________________________________________________23
5. Phục Hồi (Recover)_______________________________________________________23
5.1. Mục Tiêu____________________________________________________________________23
5.2. Hoạt Động___________________________________________________________________23
6.Kết Luận________________________________________________________________23

I. cyber Security rainbow wheel

1. Giới thiệu về rainbow wheel
Cyber Security Rainbow Wheel là một mô hình phân loại
các nhóm bảo mật với vai trò và nhiệm vụ khác nhau,
 nhằm giúp tổ chức tăng cường khả năng phòng thủ trước
các mối đe dọa an ninh mạng. Mô hình này được hình
thành dựa trên sự phân chia màu sắc, mỗi màu đại diện
cho một nhóm có chức năng cụ thể. Việc phân chia này
giúp tăng cường sự phối hợp và chia sẻ thông tin giữa các
nhóm, từ đó nâng cao hiệu quả của chiến lược an ninh
mạng.
2. Phân loại và vai trò
2.1.Red Team

Red Team đóng vai trò như những người tấn công. Đây là
nhóm nhân viên có thẩm quyền, cấu trúc tương tự như một
kẻ thù, khai thác các lỗ hổng trong hệ thống an ninh để đạt
được các mục tiêu đã đề ra. Họ giúp tổ chức xác định và
sửa chữa những điểm yếu trước khi kẻ xấu có cơ hội tấn
công.
2.2. Blue Team

Blue Team là những người phòng thủ chủ động. Nhiệm vụ

của họ là sử dụng các hệ thống thông tin để duy trì an toàn
cho toàn hệ thống và chống lại các cuộc tấn công của tin
tặc. Họ liên tục giám sát, phân tích và cải thiện các biện
pháp bảo vệ an ninh mạng.
2.3. Purple Team
Purple Team kết hợp chiến lược tấn công (offensive) và
phòng thủ (defensive) để khuyến khích hợp tác và chia sẻ
giữa Red Team và Blue Team. Họ phát triển các biện pháp
phòng thủ dựa trên kiến thức và kinh nghiệm từ đội tấn
công, tạo ra một hệ thống bảo mật toàn diện và linh hoạt.
2.4. Yellow Team

Yellow Team là những người tạo ra hệ thống và chương

trình bảo mật. Họ xây dựng các hệ thống với các biện pháp
an ninh cơ bản, đảm bảo rằng các hệ thống được thiết kế
với khả năng chống lại các cuộc tấn công từ bên ngoài.
2.5. Green Team

Green Team phát triển mã dựa trên kiến thức từ đội phòng
thủ. Họ sử dụng đầu vào từ Blue Team để phát triển mã
bảo mật, tích hợp các biện pháp bảo vệ vào trong mã
nguồn, và tự động hóa các biện pháp phòng thủ để nâng
cao hiệu quả.
2.6. Orange Team
 Orange Team phát triển mã dựa trên kiến thức từ đội tấn
công. Họ sử dụng thông tin từ Red Team để thúc đẩy nhận
thức về an ninh và xây dựng mã bảo mật với tư duy như
một kẻ tấn công thực thụ, đảm bảo rằng mã nguồn có khả
năng chống lại các kỹ thuật tấn công phức tạp.
3. Kết luận
Mô hình Cyber Security Rainbow Wheel cung cấp một cách
tiếp cận toàn diện và linh hoạt để bảo vệ hệ thống thông tin
của tổ chức trước các mối đe dọa an ninh mạng. Bằng
cách phân loại và xác định vai trò rõ ràng cho từng nhóm,
tổ chức có thể tăng cường sự phối hợp và hiệu quả trong
việc phòng thủ và ứng phó với các cuộc tấn công. Mô hình
này không chỉ giúp phát hiện và khắc phục điểm yếu mà
còn thúc đẩy sự phát triển liên tục của các biện pháp an
ninh mạng.
4. Tài liệu tham khảo
"Understanding the Cyber Security Rainbow Team Model,"
SANS Institute.
"The Role of Red and Blue Teams in Cyber Security,"
Cybersecurity and Infrastructure Security Agency (CISA).
"Enhancing Security through Purple Teaming," National
Institute of Standards and Technology (NIST).
II. Defense in depth
1. Giới thiệu Defense in depth
 Defense in Depth (DID) là một chiến lược an ninh mạng sử
dụng nhiều lớp bảo vệ khác nhau để bảo vệ hệ thống
thông tin và dữ liệu quan trọng. Thay vì dựa vào một biện
pháp bảo mật duy nhất, DID kết hợp nhiều lớp bảo vệ để
tạo ra một hệ thống an ninh phức tạp và khó bị xâm nhập.
Các lớp bảo vệ này có thể bao gồm biện pháp vật lý, kỹ
thuật số, quy trình và con người. Mục tiêu của DID là tạo ra
nhiều rào cản để ngăn chặn, phát hiện và ứng phó với các
cuộc tấn công từ kẻ xấu, đảm bảo rằng ngay cả khi một lớp
bảo vệ bị xâm nhập, các lớp khác vẫn có thể bảo vệ hệ
thống.
2. Tại sao DID lại quan trọng
1. Đa Lớp Bảo Vệ Tăng Cường An Ninh Toàn Diện
DID quan trọng vì nó cung cấp một cách tiếp cận toàn diện và
nhiều lớp để bảo vệ hệ thống khỏi các mối đe dọa. Thay vì dựa
vào một biện pháp bảo mật duy nhất, DID sử dụng nhiều lớp
bảo vệ, mỗi lớp có một chức năng và nhiệm vụ riêng. Điều này
làm cho việc xâm nhập hệ thống trở nên khó khăn hơn đối với
kẻ tấn công, vì họ phải vượt qua nhiều lớp bảo vệ khác nhau.
2. Phát Hiện và Ứng Phó Nhanh Chóng
Với nhiều lớp bảo vệ, DID giúp phát hiện và ứng phó nhanh
chóng hơn với các mối đe dọa. Các lớp bảo vệ có thể bao gồm
hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm
nhập (IPS), tường lửa (firewall), và các biện pháp giám sát an
ninh khác. Khi một lớp phát hiện ra dấu hiệu xâm nhập, các lớp
khác có thể được kích hoạt để ứng phó, ngăn chặn và khắc
phục sự cố nhanh chóng.

3. Giảm Thiểu Rủi Ro và Thiệt Hại

DID giúp giảm thiểu rủi ro và thiệt hại bằng cách đảm bảo rằng
ngay cả khi một lớp bảo vệ bị xâm nhập, các lớp khác vẫn có
thể bảo vệ hệ thống. Điều này giúp giảm thiểu rủi ro mất mát dữ
liệu và thiệt hại tài chính. Ví dụ, nếu một hacker vượt qua được
tường lửa, họ vẫn phải đối mặt với các biện pháp bảo vệ khác
như mã hóa dữ liệu, hệ thống kiểm soát truy cập và các biện
pháp phòng thủ vật lý.

4. Tăng Cường Khả Năng Phục Hồi

DID cũng tăng cường khả năng phục hồi của hệ thống trước các
cuộc tấn công. Khi một cuộc tấn công xảy ra, các lớp bảo vệ
khác nhau có thể hoạt động đồng thời để giảm thiểu tác động và
đảm bảo rằng hệ thống có thể phục hồi nhanh chóng. Ví dụ, việc
sao lưu dữ liệu định kỳ giúp đảm bảo rằng dữ liệu có thể được
khôi phục nhanh chóng khi xảy ra sự cố.

5. Phù Hợp với Các Quy Định và Tiêu Chuẩn

DID giúp tổ chức tuân thủ các quy định và tiêu chuẩn bảo mật
quốc tế. Nhiều quy định bảo mật yêu cầu các tổ chức phải có
các biện pháp bảo vệ đa lớp để bảo vệ dữ liệu nhạy cảm. Bằng
cách triển khai DID, các tổ chức có thể đảm bảo rằng họ tuân
thủ các yêu cầu pháp lý và bảo vệ dữ liệu của khách hàng và đối
tác một cách hiệu quả.
6. Nâng Cao Nhận Thức và Kỹ Năng Bảo Mật
Cuối cùng, DID giúp nâng cao nhận thức và kỹ năng bảo mật
của nhân viên thông qua việc đào tạo và huấn luyện liên tục. Khi
nhân viên hiểu rõ về các lớp bảo vệ khác nhau và cách chúng
hoạt động, họ có thể phát hiện và ứng phó nhanh chóng với các
mối đe dọa, từ đó giảm thiểu rủi ro và bảo vệ hệ thống hiệu quả
hơn.

3. Các thành phần chính của DID

1. Lớp Phòng Thủ Vật Lý
Lớp phòng thủ vật lý bao gồm các biện pháp bảo vệ trực
tiếp để ngăn chặn truy cập trái phép và bảo vệ cơ sở hạ
tầng vật lý. Các biện pháp này bao gồm:
Hàng rào và cổng: Hàng rào bảo vệ xung quanh cơ sở,
cổng vào có bảo vệ để kiểm soát việc ra vào.
Camera giám sát và hệ thống báo động: Hệ thống camera
an ninh giám sát liên tục khu vực quan trọng và các điểm
ra vào. Hệ thống báo động sẽ phát tín hiệu khi có dấu hiệu
đột nhập hoặc hoạt động bất thường.
Kiểm soát truy cập vật lý: Sử dụng thẻ nhận dạng, quét vân
tay hoặc nhận diện khuôn mặt để chỉ cho phép những
người có thẩm quyền truy cập vào các khu vực an ninh
quan trọng.
2. Lớp Phòng Thủ Mạng
Lớp phòng thủ mạng tập trung vào việc bảo vệ dữ liệu và
hệ thống thông qua các biện pháp kỹ thuật số. Các biện
pháp này bao gồm:
Tường lửa (Firewall): Tường lửa giúp kiểm soát lưu lượng
mạng vào và ra, ngăn chặn các truy cập không được phép
và bảo vệ hệ thống khỏi các cuộc tấn công từ bên ngoài.
Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS): IDS
phát hiện các hoạt động đáng ngờ, trong khi IPS có thể tự
động ngăn chặn các hoạt động đó trước khi chúng gây hại
cho hệ thống.
Mạng riêng ảo (VPN): VPN mã hóa các kết nối mạng, bảo
vệ dữ liệu khi truyền tải qua internet và đảm bảo rằng chỉ
những người dùng có thẩm quyền mới có thể truy cập vào
mạng nội bộ.
3. Lớp Phòng Thủ Ứng Dụng
Lớp phòng thủ ứng dụng bao gồm các biện pháp bảo vệ
dành riêng cho phần mềm và ứng dụng. Các biện pháp
này bao gồm:
Kiểm tra mã nguồn: Thực hiện kiểm tra mã nguồn thường
xuyên để phát hiện và sửa các lỗi bảo mật trước khi chúng
bị khai thác.
Tường lửa ứng dụng web (WAF): WAF bảo vệ các ứng
dụng web khỏi các cuộc tấn công thông qua việc lọc và
giám sát lưu lượng HTTP giữa ứng dụng web và internet.
Cập nhật và vá lỗi: Đảm bảo rằng các ứng dụng luôn được
cập nhật và vá lỗi kịp thời để giảm thiểu nguy cơ bị tấn
công qua các lỗ hổng bảo mật.
4. Lớp Phòng Thủ Dữ Liệu
Lớp phòng thủ dữ liệu nhằm bảo vệ thông tin quan trọng
bằng cách sử dụng các biện pháp bảo mật cụ thể như:

Mã hóa dữ liệu: Mã hóa dữ liệu khi lưu trữ và truyền tải để

đảm bảo rằng dữ liệu không thể bị truy cập hoặc đọc trộm
bởi những người không có thẩm quyền.
Quản lý quyền truy cập dữ liệu: Áp dụng các chính sách
quản lý quyền truy cập để đảm bảo rằng chỉ những người
có thẩm quyền mới có thể truy cập vào dữ liệu nhạy cảm.
Sao lưu dữ liệu định kỳ: Thực hiện sao lưu dữ liệu định kỳ
để đảm bảo rằng dữ liệu có thể được khôi phục trong
trường hợp xảy ra sự cố hoặc tấn công.
5. Lớp Phòng Thủ Người Dùng
 Lớp phòng thủ người dùng tập trung vào việc nâng cao
nhận thức và kỹ năng bảo mật của người dùng thông qua:
Đào tạo và huấn luyện: Cung cấp các chương trình đào tạo
và huấn luyện về an toàn thông tin cho nhân viên để nâng
cao nhận thức và kỹ năng bảo mật.
Chính sách mật khẩu mạnh và xác thực đa yếu tố (MFA):
Áp dụng các chính sách mật khẩu mạnh và sử dụng xác
thực đa yếu tố để tăng cường bảo vệ tài khoản người
dùng.
Kiểm tra và thử nghiệm bảo mật định kỳ: Thực hiện các
chương trình kiểm tra và thử nghiệm bảo mật định kỳ để
đánh giá và cải thiện khả năng bảo mật của người dùng.
6. Lớp Phòng Thủ Chính Sách và Quy Trình
Lớp phòng thủ này bao gồm việc xây dựng và thực thi các
chính sách và quy trình bảo mật chặt chẽ, bao gồm:
Chính sách bảo mật thông tin: Xây dựng các chính sách
bảo mật thông tin rõ ràng và cụ thể để hướng dẫn nhân
viên thực hiện các biện pháp bảo mật đúng đắn.
Quy trình ứng phó sự cố an ninh mạng: Xây dựng các quy
trình cụ thể để ứng phó và khắc phục khi xảy ra sự cố an
ninh mạng.
Đánh giá rủi ro và kiểm tra tuân thủ định kỳ: Thực hiện
đánh giá rủi ro và kiểm tra tuân thủ định kỳ để đảm bảo
rằng các biện pháp bảo mật luôn được duy trì và cải thiện.
4. Lợi ích của DID mang lại
4.1.Tăng Cường An Ninh Toàn Diện:
Bằng cách sử dụng nhiều lớp bảo vệ, hệ thống sẽ khó bị tấn
công hơn do kẻ tấn công phải vượt qua nhiều lớp phòng thủ
khác nhau.
4.2.Phát Hiện và Ứng Phó Tốt Hơn:
Nhiều lớp phòng thủ giúp phát hiện và phản ứng nhanh chóng
hơn với các mối đe dọa.
4.3.Giảm Thiểu Rủi Ro:
 Nếu một lớp bị xâm nhập, các lớp còn lại vẫn có thể bảo vệ hệ
thống, giảm thiểu rủi ro mất mát dữ liệu và thiệt hại.
5. Thách thức và giải pháp
5.1. Thách thức
Chi Phí Đầu Tư Cao: Việc triển khai nhiều lớp bảo vệ đòi
hỏi đầu tư lớn về tài chính và nhân lực.
Phức Tạp trong Quản Lý: Sự phối hợp và quản lý nhiều lớp
bảo vệ có thể phức tạp và đòi hỏi kỹ năng chuyên môn
cao.
5.2.Giải pháp
Tối Ưu Hóa Tài Nguyên: Sử dụng các giải pháp bảo mật
tích hợp và tự động hóa để giảm chi phí và đơn giản hóa
quản lý.
Đào Tạo và Nâng Cao Nhận Thức: Đầu tư vào đào tạo và
nâng cao nhận thức về bảo mật cho nhân viên.
6. Kết luận
Defense in Depth là một chiến lược bảo mật hiệu quả và toàn
diện giúp bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa an
ninh mạng. Bằng cách kết hợp nhiều lớp phòng thủ, tổ chức có
thể tăng cường khả năng phát hiện, ngăn chặn và ứng phó với
các cuộc tấn công, từ đó giảm thiểu rủi ro và bảo vệ tài sản quan
trọng.
III. SOC – CMM
1. Giới thiệu SOC-CMM
SOC – CMM (Security Operations Center – Capability
Maturity Model) là một khuôn khổ đánh giá và cải thiện khả
năng của các Trung tâm Điều hành An ninh (SOC). Được
thiết kế để đo lường mức độ trưởng thành của các hoạt
động và quy trình an ninh mạng, SOC – CMM giúp các tổ
chức xác định điểm mạnh, điểm yếu và cơ hội cải thiện
trong hoạt động bảo mật. Mô hình này dựa trên các
nguyên tắc của Capability Maturity Model (CMM) và áp
dụng chúng vào bối cảnh an ninh mạng, giúp các SOC
 phát triển từ các giai đoạn cơ bản đến mức độ cao của sự
trưởng thành và hiệu quả.
2. Các thành phần của SOC-CMM
SOC – CMM bao gồm nhiều thành phần chính, mỗi thành
phần tập trung vào một khía cạnh cụ thể của hoạt động an
ninh:
2.1.Quy trình và Thủ tục (Processes and
Procedures) :
Đánh giá sự tồn tại và hiệu quả của các quy trình bảo mật.
2.2.Công nghệ (Technology):
Đánh giá việc sử dụng và quản lý công nghệ trong SOC.
2.3.Con người (People):
Đánh giá kỹ năng, đào tạo và phát triển của nhân viên
SOC.
2.4.Chính sách và Chiến lược (Policies and
Strategies): Đánh giá các chính sách bảo mật và
chiến lược phát triển SOC.
2.5.Quản lý và Điều hành (Management and
Governance):
Đánh giá cấu trúc quản lý và khả năng lãnh đạo của SOC.
3. Các mức độ trưởng thành của SOC-CMM
SOC – CMM định nghĩa năm mức độ trưởng thành, từ cơ
bản đến nâng cao:
Mức 1 - Khởi Đầu (Initial):
SOC có các hoạt động bảo mật cơ bản nhưng thiếu tính
cấu trúc và hệ thống.
Mức 2 - Được Quản Lý (Managed):
SOC có các quy trình bảo mật cơ bản được thiết lập và
quản lý nhưng còn thiếu sự tối ưu hóa.
Mức 3 - Định Nghĩa (Defined):
SOC có các quy trình bảo mật được định nghĩa rõ ràng và
thống nhất, với sự hướng dẫn cụ thể.
Mức 4 - Được Quản Lý và Đo Lường (Quantitatively
Managed):
 SOC sử dụng các số liệu và chỉ số để đo lường và quản lý
hiệu quả hoạt động bảo mật.
Mức 5 - Tối Ưu Hóa (Optimizing):
SOC liên tục cải tiến các quy trình và công nghệ bảo mật
dựa trên phân tích và phản hồi.
4. Lợi ích của việc sử dụng SOC-CMM
4.1. Đánh Giá Hiện Trạng
Sử dụng SOC – CMM giúp các tổ chức đánh giá chính xác hiện trạng
của SOC, xác định điểm mạnh và điểm yếu, và hiểu rõ khả năng hiện
tại của họ. Điều này cung cấp một bức tranh toàn diện về tình trạng
bảo mật của tổ chức, giúp các lãnh đạo đưa ra quyết định chiến lược.

4.2. Lập Kế Hoạch Cải Tiến

Dựa trên kết quả đánh giá, SOC – CMM cung cấp hướng dẫn để lập
kế hoạch cải tiến. Các tổ chức có thể xác định các lĩnh vực cần nâng
cao, từ quy trình và công nghệ đến phát triển kỹ năng của nhân viên,
và xây dựng lộ trình phát triển cụ thể để đạt được các mục tiêu bảo
mật.

4.3. Tăng Cường Hiệu Quả Hoạt Động

SOC – CMM giúp tối ưu hóa hiệu quả hoạt động của SOC bằng cách
cung cấp các thực tiễn tốt nhất và quy trình chuẩn. Bằng cách áp
dụng các nguyên tắc của mô hình, SOC có thể nâng cao khả năng
phát hiện và phản ứng với các mối đe dọa, giảm thiểu rủi ro và bảo vệ
hệ thống một cách hiệu quả hơn.

4.4. Đo Lường và So Sánh

Một trong những lợi ích lớn của SOC – CMM là khả năng đo lường và
so sánh mức độ trưởng thành của SOC với các tiêu chuẩn công
nghiệp và các tổ chức tương tự. Điều này giúp các tổ chức xác định vị
trí của họ trong bối cảnh rộng hơn và thúc đẩy sự cải tiến liên tục dựa
trên các chỉ số hiệu quả.
5. Kết luận
SOC-CMM là một công cụ hữu ích cho các tổ chức muốn
đánh giá và nâng cao khả năng của Trung tâm Điều hành
An ninh. Bằng cách áp dụng SOC-CMM, tổ chức có thể
đảm bảo rằng SOC của mình hoạt động hiệu quả và luôn
sẵn sàng đối phó với các mối đe dọa an ninh mạng ngày
càng phức tạp.
6. Tài liệu tham khảo
"Security Operations Center Capability Maturity Model
(SOC-CMM)," Van Horenbeeck, A.
"The SOC-CMM: A New Model for Assessing SOC
Maturity," SANS Institute.
"Implementing a Security Operations Center Maturity
Model," ISACA Journal.
"Best Practices for Building and Growing a Security
Operations Center," National Institute of Standards and
Technology (NIST).
IV. SOC Roles
1. Giới thiệu về vai trò của SOC
Trung tâm Điều hành An ninh Mạng (SOC) đóng vai trò
quan trọng trong việc bảo vệ hệ thống thông tin của tổ
chức khỏi các mối đe dọa và tấn công mạng. Để hoạt động
hiệu quả, SOC cần có các vai trò được phân chia một cách
rõ ràng và chịu trách nhiệm trong việc giám sát, phát hiện
và ứng phó với các sự cố bảo mật. Dưới đây là một số vai
trò chính trong SOC và nhiệm vụ của họ:
2. Các vai trò trong SOC và nhiệm vụ
2.1. Alert Analyst
Nhiệm Vụ: Theo dõi, giám sát và xử lý các cảnh báo từ hệ
thống giám sát an ninh mạng. Phân tích và đánh giá cảnh
báo để xác định mức độ nghiêm trọng và ưu tiên các hành
động phản ứng.
 2.2. Incident Responder
Nhiệm Vụ: Tiếp nhận và xử lý các sự cố bảo mật được ghi
nhận bởi Alert Analyst. Phân loại, đánh giá và ứng phó với
các sự cố một cách kịp thời và hiệu quả.
2.3. Subject Matter Expert (SME)/Hunter
Nhiệm Vụ: Là những chuyên gia có kiến thức sâu rộng về
an toàn thông tin. Chịu trách nhiệm điều tra các sự cố phức
tạp, xác định nguồn gốc và cách thức tấn công, đồng thời
đề xuất biện pháp phòng ngừa và phục hồi.
2.4. SOC Manager
Nhiệm Vụ: Quản lý toàn bộ hoạt động của SOC, bao gồm
quản lý nhân sự, ngân sách, và phát triển chính sách và
quy trình. Đảm bảo việc phản ứng và giải quyết sự cố
được thực hiện một cách hiệu quả và có tổ chức.
3. Sự quan trọng của các vai trò trong SOC
Các vai trò trong SOC đóng vai trò quan trọng trong việc
bảo vệ hệ thống thông tin của tổ chức trước các mối đe
dọa và tấn công mạng ngày càng phức tạp. Sự phân chia
công việc rõ ràng và hiệu quả giữa các vai trò này giúp
SOC hoạt động một cách linh hoạt, nhanh chóng và hiệu
quả trong việc phát hiện, phản ứng và ứng phó với các sự
cố bảo mật.
4. Kết luận
Trong môi trường an ninh mạng ngày nay, vai trò của SOC
không thể phủ nhận. Việc tổ chức và phân chia công việc
một cách hiệu quả giữa các vai trò trong SOC là rất quan
trọng để đảm bảo an toàn thông tin và bảo vệ hệ thống của
tổ chức khỏi các mối đe dọa mạng.
V. Tshape Skills
1. Khái Niệm T-Shaped Skills
"T-Shaped Skills" là một khái niệm mô tả cho việc kết hợp
giữa chiều sâu chuyên môn trong một lĩnh vực cụ thể và
chiều rộng hiểu biết trong nhiều lĩnh vực khác nhau. Đây là
một mô hình phổ biến trong môi trường làm việc hiện đại, đặc
biệt là trong các ngành công nghiệp đòi hỏi sự đổi mới và hợp
tác liên ngành.
2. Cấu Trúc Của T-Shaped Skills
Chiều Dọc của Chữ T (I-Skills)
Chuyên Môn Sâu: Đại diện cho sự hiểu biết chuyên sâu và kỹ
năng trong một lĩnh vực cụ thể.
Ví Dụ: Lập trình viên với chuyên môn sâu về Python và thuật
toán phức tạp.
Chiều Ngang của Chữ T (Hyphen-Skills)
Hiểu Biết Rộng: Đại diện cho sự hiểu biết và kỹ năng rộng
trong nhiều lĩnh vực khác nhau.
Ví Dụ: Lập trình viên không chỉ biết về coding mà còn hiểu về
quản lý dự án và giao tiếp tốt.
3. Lợi Ích Của T-Shaped Skills
Hợp Tác Hiệu Quả: Có khả năng hợp tác với đồng nghiệp từ
các phòng ban khác nhau, thúc đẩy sự sáng tạo và đổi mới.
Linh Hoạt và Thích Ứng: Dễ dàng chuyển đổi giữa các vai trò
và dự án khác nhau, đáp ứng nhanh chóng với thay đổi trong
công việc.
Giải Quyết Vấn Đề Hiệu Quả: Đưa ra những giải pháp sáng
tạo và hiệu quả cho các vấn đề phức tạp.
Phát Triển Nghề Nghiệp: Có cơ hội phát triển nghề nghiệp tốt
hơn nhờ vào khả năng đảm nhận nhiều vai trò và trách nhiệm
khác nhau.
4. Ví Dụ Về T-Shaped Skills Trong Ngành An Ninh Mạng
(SOC)
4.1.Chuyên Môn Sâu (I-Skills)
Chuyên Gia Phân Tích Malware (Malware Analysis Expert):
Chuyên Môn: Hiểu biết sâu về cơ chế hoạt động của malware
và các kỹ thuật tấn công.
Kỹ Năng: Phân tích mã độc, xác định nguyên nhân và tác
động của các cuộc tấn công malware.
Chuyên Gia Bảo Mật Hệ Thống (System Security Specialist):
 Chuyên Môn: Kiến thức chuyên sâu về hệ thống mạng và các
lỗ hổng bảo mật.
Kỹ Năng: Thiết lập và duy trì các hệ thống bảo mật, phát hiện
và xử lý các mối đe dọa cho hệ thống.
4.2.Hiểu Biết Rộng (Hyphen-Skills)
Chuyên Viên Giao Tiếp Với Khách Hàng (Customer
Communication Specialist):
Hiểu Biết Rộng: Hiểu biết về các quy trình và quy định an
ninh, cũng như về các nguy cơ an ninh mạng phổ biến.
Kỹ Năng: Giao tiếp hiệu quả với khách hàng để diễn đạt về
các biện pháp bảo mật cần thiết và hướng dẫn cách phòng
tránh các cuộc tấn công.
Chuyên Viên Phát Triển Chính Sách An Ninh (Security Policy
Development Specialist):
Hiểu Biết Rộng: Kiến thức về các quy định pháp lý và tiêu
chuẩn an ninh mạng.
Kỹ Năng: Phát triển và triển khai các chính sách an ninh phù
hợp với nhu cầu của tổ chức và các yêu cầu pháp lý.
5. Cách Phát Triển Kỹ Năng T-Shaped
Đầu Tư Vào Chuyên Môn Sâu: Học tập và rèn luyện để trở
thành chuyên gia trong lĩnh vực bạn quan tâm.
Mở Rộng Hiểu Biết: Tham gia các khóa học, hội thảo để mở
rộng kiến thức trong các lĩnh vực liên quan.
Kết Nối và Học Hỏi: Tham gia các cộng đồng chuyên môn để
học hỏi từ những người khác.
Thử Thách Bản Thân: Tham gia vào các dự án đa lĩnh vực để
phát triển cả kỹ năng chuyên môn và hiểu biết rộng của bạn.
6. Kết Luận
Kỹ năng T-shaped là một yếu tố quan trọng giúp cá nhân nổi
bật trong môi trường làm việc hiện đại. Bằng cách phát triển
và hoàn thiện kỹ năng này, cá nhân có thể tăng cường khả
năng làm việc nhóm, giải quyết vấn đề và mở rộng cơ hội
phát triển nghề nghiệp.
VI. Quy tắc 80/20
1. Giới thiệu về Nguyên tắc 80/20 Pareto
Nguyên tắc 80/20, hay còn được gọi là quy luật Pareto, là một
nguyên tắc quan trọng trong quản lý và tối ưu hóa hiệu suất.
Quy luật này phản ánh rằng trong nhiều tình huống, chỉ có
khoảng 20% nguyên nhân tạo ra 80% kết quả. Điều này giúp
chúng ta nhận biết và tập trung vào những yếu tố quan trọng
nhất để đạt được hiệu suất cao nhất.
Nguyên tắc 80/20 được đặt tên theo Vilfredo Pareto, một nhà
kinh tế học Ý, sau khi ông phát hiện ra rằng khoảng 80% cải
và thu nhập tập trung vào 20% dân số. Từ đó, nguyên tắc này
đã được áp dụng và chứng minh rằng nó có ý nghĩa và ứng
dụng rộng rãi trong nhiều lĩnh vực cuộc sống và kinh doanh.
2. Ví dụ về Nguyên tắc 80/20
Cuộc sống:
Trong tủ quần áo: Chỉ có khoảng 20% số lượng quần áo mà
bạn thường mặc, trong khi 80% còn lại ít được sử dụng.
Trong quan hệ: Khoảng 20% số lượng quan hệ thân thiết
mang lại 80% niềm vui và hạnh phúc cho bạn.
Kinh doanh:
Doanh số bán hàng: Thường chỉ có khoảng 20% khách hàng
tạo ra 80% doanh số bán hàng.
Sản phẩm: Chỉ có khoảng 20% sản phẩm hoặc dịch vụ tạo ra
80% doanh thu cho doanh nghiệp.
3. Lợi ích của áp dụng Nguyên tắc 80/20
Đối với cá nhân:
Tối ưu hóa thời gian và năng lượng bằng cách tập trung vào
những việc quan trọng nhất.
Cân bằng cuộc sống thông qua việc quản lý thời gian và quan
hệ.
Đối với doanh nghiệp:
Tăng năng suất.
Xác định đối tượng khách hàng quan trọng nhất.
Dự đoán và giảm thiểu rủi ro.
Tập trung nguồn lực vào những mục tiêu quan trọng nhất.
 4. Cách áp dụng Nguyên tắc 80/20 một cách hiệu quả
Trong quản trị hiệu suất:
Xác định và tập trung vào những công việc quan trọng nhất.
Loại bỏ hoặc giảm thiểu những yếu tố không quan trọng.
Trong quản lý thời gian cá nhân và đội nhóm:
Phân chia thời gian và ưu tiên công việc quan trọng nhất.
Xác định nguyên nhân làm việc không hiệu quả và cải thiện.
Trong thiết lập mục tiêu:
Thiết lập mục tiêu dựa trên mức độ quan trọng của công việc.
Xác định và ưu tiên những mục tiêu quan trọng nhất.
V. Quy tắc 99/1
1. Giới thiệu
Quy tắc 99/1 là một phương pháp quản lý rủi ro được phát
triển dựa trên nguyên tắc Pareto, mà theo đó, chỉ một phần
nhỏ của các yếu tố gây ra hậu quả lớn. Trong trường hợp
này, quy tắc Pareto được mở rộng để áp dụng cho các tình
huống đặc biệt nơi một yếu tố nhỏ hơn rất ít (khoảng 1%) tạo
ra hậu quả lớn (khoảng 99%). Quy tắc này là một công cụ
quan trọng trong việc đánh giá và quản lý rủi ro trong nhiều
lĩnh vực.
2. Nguồn Gốc và Lịch Sử
Quy tắc 99/1 là một biến thể của nguyên tắc Pareto, được đặt
tên theo Vilfredo Pareto, một nhà kinh tế học Ý. Pareto đã
quan sát thấy rằng khoảng 80% cải và thu nhập tập trung vào
20% dân số. Từ đó, nguyên tắc này đã được áp dụng rộng rãi
trong kinh doanh và quản lý. Quy tắc 99/1 là một sự mở rộng
của nguyên tắc Pareto, nhấn mạnh vào sự quan trọng của
các yếu tố hiếm nhưng có thể gây ra hậu quả lớn.
3. Ứng Dụng trong Quản Lý Rủi Ro
Quy tắc 99/1 có ứng dụng quan trọng trong quản lý rủi ro.
Trong các lĩnh vực như bảo mật mạng, tài chính, y tế và nhiều
lĩnh vực khác, nhận diện và quản lý các yếu tố hiếm nhưng có
khả năng gây ra hậu quả lớn là vô cùng quan trọng. Dưới đây
 là một số ứng dụng cụ thể của quy tắc 99/1 trong quản lý rủi
ro:
Bảo mật Mạng: Một lỗ hổng an ninh nhỏ (khoảng 1%) có thể
dẫn đến một cuộc tấn công mạng lớn (khoảng 99%) và gây ra
hậu quả nghiêm trọng cho tổ chức.
Tài chính: Một biến động nhỏ trên thị trường có thể gây ra
một làn sóng lớn trong các thị trường tài chính toàn cầu.
Y tế: Một loại vi khuẩn hiếm nhưng kháng thuốc có thể gây ra
một đợt dịch bệnh lớn và có thể lan rộng nhanh chóng.
4. Kết Luận
Quy tắc 99/1 là một công cụ quan trọng trong việc đánh giá và
quản lý rủi ro. Nó nhấn mạnh vào sự quan trọng của việc
nhận diện và quản lý các yếu tố hiếm nhưng có thể gây ra
hậu quả lớn. Trong một thế giới nơi các nguy cơ và rủi ro
ngày càng phức tạp, việc áp dụng quy tắc 99/1 giúp tổ chức
chuẩn bị và ứng phó hiệu quả với các tình huống không mong
muốn và không lường trước.
VI. SOC phases theo NIST csf v2.0
NIST Cybersecurity Framework (CSF) v2.0 cung cấp một
khuôn khổ quản lý rủi ro an ninh mạng dựa trên các tiêu
chuẩn, hướng dẫn và thực hành tốt nhất. Các giai đoạn trong
Trung tâm Điều hành An ninh (SOC) theo NIST CSF bao
gồm: Identify (Nhận Diện), Protect (Bảo Vệ), Detect (Phát
Hiện), Respond (Phản Ứng), và Recover (Phục Hồi). Dưới
đây là mô tả chi tiết về các giai đoạn này:
1. Nhận Diện (Identify)
1.1. Mục Tiêu
Giai đoạn Nhận Diện tập trung vào việc hiểu rõ môi trường
kinh doanh và quản lý rủi ro an ninh mạng để phát triển chiến
lược bảo mật phù hợp.
1.2. Hoạt Động
Quản Lý Tài Sản (Asset Management): Xác định và quản lý
tài sản, dữ liệu, hệ thống và cơ sở hạ tầng quan trọng.
Môi Trường Kinh Doanh (Business Environment): Hiểu rõ bối
cảnh kinh doanh, các yếu tố bên ngoài và bên trong ảnh
hưởng đến an ninh.
Quản Trị (Governance): Thiết lập chính sách, thủ tục và các
quy định về an ninh mạng.
Đánh Giá Rủi Ro (Risk Assessment): Đánh giá rủi ro an ninh
mạng và tác động của chúng.
Chiến Lược Quản Lý Rủi Ro (Risk Management Strategy):
Phát triển chiến lược quản lý rủi ro.
2. Bảo Vệ (Protect)
2.1. Mục Tiêu
Giai đoạn Bảo Vệ nhằm phát triển và triển khai các biện pháp
bảo vệ phù hợp để đảm bảo tính liên tục của dịch vụ và bảo
vệ tài sản thông tin.
2.2. Hoạt Động
Kiểm Soát Truy Cập (Access Control): Quản lý quyền truy cập
vào hệ thống và dữ liệu.
Nhận Thức và Đào Tạo (Awareness and Training): Đào tạo và
nâng cao nhận thức an ninh mạng cho nhân viên.
Bảo Mật Dữ Liệu (Data Security): Bảo vệ dữ liệu qua các biện
pháp mã hóa, kiểm soát truy cập và phân loại dữ liệu.
Quy Trình và Thủ Tục Bảo Vệ Thông Tin (Information
Protection Processes and Procedures): Xây dựng quy trình và
thủ tục bảo vệ thông tin.
Bảo Trì (Maintenance): Đảm bảo hệ thống và phần mềm
được cập nhật và bảo trì thường xuyên.
Công Nghệ Bảo Vệ (Protective Technology): Sử dụng công
nghệ bảo vệ như tường lửa, hệ thống phát hiện xâm nhập
(IDS/IPS), và phần mềm chống malware.
3. Phát Hiện (Detect)
3.1. Mục Tiêu
Giai đoạn Phát Hiện nhằm phát hiện kịp thời các sự cố an
ninh mạng để có thể phản ứng nhanh chóng và hiệu quả.
3.2. Hoạt Động
Sự Kiện và Sự Bất Thường (Anomalies and Events): Giám
sát và phân tích để phát hiện các sự kiện bất thường và tiềm
ẩn nguy cơ.
Giám Sát Liên Tục An Ninh (Security Continuous Monitoring):
Giám sát liên tục các hệ thống mạng và thông tin để phát hiện
các mối đe dọa.
Quy Trình Phát Hiện (Detection Processes): Thiết lập và duy
trì quy trình phát hiện sự cố, bao gồm các chỉ số và cảnh báo.
4. Phản Ứng (Respond)
4.1. Mục Tiêu
Giai đoạn Phản Ứng tập trung vào việc phản ứng nhanh
chóng và hiệu quả với các sự cố an ninh mạng nhằm giảm
thiểu tác động và phục hồi hoạt động.
4.2. Hoạt Động
Lập Kế Hoạch Phản Ứng (Response Planning): Chuẩn bị và
thực hiện kế hoạch và quy trình phản ứng sự cố.
Giao Tiếp (Communications): Thiết lập kênh liên lạc và thông
báo sự cố với các bên liên quan.
Phân Tích (Analysis): Phân tích sự cố để hiểu rõ nguyên nhân
và tác động.
Giảm Thiểu Thiệt Hại (Mitigation): Thực hiện các biện pháp
giảm thiểu thiệt hại và ngăn chặn sự cố lan rộng.
Cải Tiến (Improvements): Đánh giá và cải tiến quy trình phản
ứng sau sự cố.
5. Phục Hồi (Recover)
5.1. Mục Tiêu
Giai đoạn Phục Hồi nhằm khôi phục các dịch vụ và chức năng
bị ảnh hưởng bởi sự cố an ninh mạng để đảm bảo hoạt động
kinh doanh liên tục.
5.2. Hoạt Động
Lập Kế Hoạch Phục Hồi: Chuẩn bị kế hoạch phục hồi và duy
trì hoạt động sau sự cố.
Cải Thiện: Cải thiện quy trình phục hồi dựa trên kinh nghiệm
từ các sự cố trước đó.
Giao Tiếp: Thông báo tình trạng phục hồi và các biện pháp
khắc phục với các bên liên quan.
6.Kết Luận
Các giai đoạn của SOC theo NIST CSF v2.0 cung cấp một
phương pháp tiếp cận toàn diện để quản lý an ninh mạng.
Bằng cách thực hiện các hoạt động trong mỗi giai đoạn, tổ
chức có thể nâng cao khả năng bảo vệ, phát hiện, phản ứng
và phục hồi trước các mối đe dọa an ninh mạng, đảm bảo
tính liên tục và an toàn của hoạt động kinh doanh.