Chào các anh chị và mọi người,

Hôm nay em rất vui khi được trình bày về những kiến thức mà em đã
được các anh hướng dẫn và đạt được trong 2 tuần thực tập tại SOC
của HPT. Trong tuần đầu tiên, em và các bạn được anh Hảo và các
anh trong team SOC hướng dẫn và tập trung vào việc xây dựng
mindset và hiểu được vai trò của SOC, cũng như cách hoạt động và
làm việc của các đội trong SOC. Chúng em đã học về cách các đội làm
việc và liên kết với nhau theo mô hình Rainbow Wheel, chiến lược
Defense in Depth, mô hình SOC-CMM, kỹ năng T-Shaped, quy tắc
80/20 và 99/1, và các giai đoạn của SOC theo NIST CSF v2.0.

I. Cyber Security Rainbow Wheel

Đầu tiên, chúng ta hãy cùng tìm hiểu về mô hình Rainbow Wheel.

Giới thiệu về Rainbow Wheel

Rainbow Wheel là một mô hình phân loại các nhóm an ninh mạng,
mỗi nhóm có màu sắc riêng biệt tượng trưng cho vai trò và nhiệm vụ
của họ trong việc bảo vệ hệ thống.
Phân loại và vai trò

Red Team: Nhóm chuyên tấn công để tìm ra các lỗ hổng bảo mật.
Blue Team: Nhóm chuyên phòng thủ, bảo vệ hệ thống trước các cuộc
tấn công.
Purple Team: Kết hợp giữa Red Team và Blue Team, tạo ra sự cân
bằng và phối hợp hiệu quả.
Yellow Team: Chuyên về phân tích và cải tiến các biện pháp bảo mật.
Green Team: Tập trung vào việc phát triển phần mềm và các hệ
thống bảo mật.
Orange Team: Đảm bảo an toàn và bảo mật thông tin, giáo dục và
nâng cao nhận thức an ninh mạng.
Kết luận

Rainbow Wheel là một cách tiếp cận toàn diện giúp các tổ chức bảo
vệ hệ thống mạng một cách hiệu quả.
Tiếp theo, sau khi đã hiểu về các đội và cách họ phối hợp, chúng em
đã chuyển sang học về chiến lược bảo mật Defense in Depth (DID),
một khía cạnh quan trọng trong việc xây dựng hệ thống an ninh
mạnh mẽ.

II. Defense in Depth (DID)

Giới thiệu Defense in Depth

Defense in Depth là chiến lược bảo mật nhiều lớp, giúp ngăn chặn và
đối phó với các mối đe dọa một cách toàn diện.
Tại sao DID lại quan trọng

Đa Lớp Bảo Vệ Tăng Cường An Ninh Toàn Diện

Phát Hiện và Ứng Phó Nhanh Chóng
Giảm Thiểu Rủi Ro và Thiệt Hại
Tăng Cường Khả Năng Phục Hồi
Phù Hợp với Các Quy Định và Tiêu Chuẩn
Nâng Cao Nhận Thức và Kỹ Năng Bảo Mật
Các thành phần chính của DID

Lớp Phòng Thủ Vật Lý

Lớp Phòng Thủ Mạng
Lớp Phòng Thủ Ứng Dụng
Lớp Phòng Thủ Dữ Liệu
Lớp Phòng Thủ Người Dùng
Lớp Phòng Thủ Chính Sách và Quy Trình
Lợi ích của DID mang lại

Tăng Cường An Ninh Toàn Diện

Phát Hiện và Ứng Phó Tốt Hơn
Giảm Thiểu Rủi Ro
Thách thức và giải pháp

Thách thức
Giải pháp
Kết luận
Defense in Depth là một chiến lược cần thiết cho mọi tổ chức để bảo
vệ hệ thống mạng của mình.
Sau khi nắm vững các chiến lược bảo mật, chúng em đã tìm hiểu về
mô hình trưởng thành năng lực SOC – CMM (Security Operations
Center - Capability Maturity Model) để hiểu rõ hơn về khả năng và
mức độ trưởng thành của các trung tâm điều hành an ninh.

III. SOC – CMM

Giới thiệu SOC-CMM

SOC-CMM là mô hình đánh giá khả năng và mức độ trưởng thành

của Trung tâm Điều hành An ninh (SOC).
Các thành phần của SOC-CMM

Quy trình và Thủ tục

Công nghệ
Con người
Chính sách và Chiến lược
Quản lý và Điều hành
Các mức độ trưởng thành của SOC-CMM

Mức 1 - Khởi Đầu

Mức 2 - Được Quản Lý
Mức 3 - Định Nghĩa
Mức 4 - Được Quản Lý và Đo Lường
Mức 5 - Tối Ưu Hóa
Lợi ích của việc sử dụng SOC-CMM

Đánh Giá Hiện Trạng

Lập Kế Hoạch Cải Tiến
Tăng Cường Hiệu Quả Hoạt Động
Đo Lường và So Sánh
Kết luận

SOC-CMM giúp các tổ chức cải thiện và quản lý hiệu quả hơn các
hoạt động an ninh của mình.
Chúng em cũng đã được giới thiệu về các vai trò trong SOC để hiểu
rõ hơn về nhiệm vụ của từng vị trí và tầm quan trọng của họ trong
việc duy trì an ninh hệ thống.
IV. SOC Roles

Giới thiệu về vai trò của SOC

SOC bao gồm nhiều vai trò khác nhau, mỗi vai trò có nhiệm vụ cụ thể
để bảo vệ hệ thống.
Các vai trò trong SOC và nhiệm vụ

Alert Analyst: Giám sát và phân tích các cảnh báo bảo mật.
Incident Responder: Phản ứng và xử lý các sự cố bảo mật.
Subject Matter Expert (SME)/Hunter: Tìm kiếm và phân tích các mối
đe dọa tiềm tàng.
SOC Manager: Quản lý và điều phối các hoạt động của SOC.
Sự quan trọng của các vai trò trong SOC
Mỗi vai trò đều đóng góp quan trọng vào việc duy trì an ninh và phản
ứng kịp thời trước các mối đe dọa.
Kết luận

Sự phân công rõ ràng và phối hợp hiệu quả giữa các vai trò trong SOC
là yếu tố then chốt để bảo vệ hệ thống mạng.
Tiếp theo, chúng em đã học về T-Shaped Skills, một mô hình kỹ năng
kết hợp giữa chuyên môn sâu và hiểu biết rộng, từ đó giúp nâng cao
hiệu quả làm việc và khả năng thích nghi của nhân viên trong SOC.

V. T-Shaped Skills

Khái Niệm T-Shaped Skills

T-Shaped Skills là mô hình kỹ năng kết hợp giữa chuyên môn sâu và
hiểu biết rộng.
Cấu Trúc Của T-Shaped Skills

Chuyên Môn Sâu (I-Skills)

Hiểu Biết Rộng (Hyphen-Skills)
Lợi Ích Của T-Shaped Skills

Giúp các chuyên gia có khả năng hợp tác tốt hơn và giải quyết vấn đề
một cách toàn diện.
Ví Dụ Về T-Shaped Skills Trong Ngành An Ninh Mạng (SOC)

Chuyên Môn Sâu (I-Skills)

Hiểu Biết Rộng (Hyphen-Skills)
Cách Phát Triển Kỹ Năng T-Shaped

Phát triển kỹ năng chuyên môn sâu và mở rộng hiểu biết về các lĩnh
vực liên quan.
Kết Luận

T-Shaped Skills giúp nâng cao hiệu quả làm việc và khả năng thích
nghi của nhân viên trong SOC.
Sau đó, chúng em đã tìm hiểu về các quy tắc 80/20 và 99/1, hai quy
tắc quan trọng trong việc quản lý thời gian và nguồn lực hiệu quả.

VI. Quy tắc 80/20

Giới thiệu về Nguyên tắc 80/20 Pareto

Nguyên tắc 80/20, hay còn gọi là nguyên tắc Pareto, cho rằng 80%
kết quả đến từ 20% nguyên nhân.
Ví dụ về Nguyên tắc 80/20

Cuộc sống: 80% hạnh phúc của bạn có thể đến từ 20% hoạt động bạn
yêu thích nhất.
Kinh doanh: 80% doanh thu có thể đến từ 20% khách hàng quan
trọng.
Lợi ích của áp dụng Nguyên tắc 80/20

Đối với cá nhân: Tăng hiệu quả công việc và quản lý thời gian tốt hơn.
Đối với doanh nghiệp: Tối ưu hóa nguồn lực và tập trung vào các yếu
tố quan trọng nhất.
Cách áp dụng Nguyên tắc 80/20 một cách hiệu quả

Trong quản trị hiệu suất: Xác định và tập trung vào các hoạt động
mang lại giá trị cao nhất.
Trong thiết lập mục tiêu: Đặt mục tiêu dựa trên những yếu tố có tác
động lớn nhất.
VII. Quy tắc 99/1

Giới thiệu
Quy tắc 99/1 cho rằng 1% hoạt động quan trọng nhất sẽ mang lại
99% giá trị.
Nguồn Gốc và Lịch Sử

Quy tắc này phát triển từ nguyên tắc Pareto, nhấn mạnh tầm quan
trọng của việc tập trung vào những hoạt động then chốt.
Ứng Dụng trong Quản Lý Rủi Ro

Tập trung vào việc kiểm soát 1% rủi ro lớn nhất có thể ngăn chặn
99% các vấn đề tiềm tàng.
Kết Luận

Quy tắc 99/1 giúp tối ưu hóa quản lý rủi ro và tăng hiệu quả trong
các quy trình.
Cuối cùng, chúng em đã học về các giai đoạn của SOC theo chuẩn
NIST CSF v2.0 để hiểu rõ hơn về cách xây dựng và duy trì an ninh
mạng một cách hệ thống.

VIII. SOC phases theo NIST CSF v2.0

Nhận Diện (Identify)

Mục Tiêu: Xác định và quản lý tài sản, rủi ro, và các yếu tố quan
trọng.
Hoạt Động: Xây dựng hồ sơ tài sản, đánh giá rủi ro.
Bảo Vệ (Protect)

Mục Tiêu: Phát triển và triển khai các biện pháp bảo vệ nhằm đảm
bảo cung cấp dịch vụ hạ tầng trọng yếu.
Hoạt Động: Kiểm soát truy cập, đào tạo nhân viên.
Phát Hiện (Detect)

Mục Tiêu: Xây dựng và thực hiện các hoạt động giám sát để nhận
diện sự cố an ninh mạng.
Hoạt Động: Giám sát liên tục, phân tích sự cố.
Phản Ứng (Respond)

Mục Tiêu: Triển khai các hành động thích hợp khi phát hiện sự cố an
ninh mạng.
Hoạt Động: Lập kế hoạch phản ứng, giảm thiểu tác động.
Phục Hồi (Recover)

Mục Tiêu: Lên kế hoạch và thực hiện các hoạt động phục hồi sau sự
cố an ninh mạng.
Hoạt Động: Khôi phục các chức năng bị ảnh hưởng, cải tiến kế hoạch
phục hồi.
Kết Luận

Các giai đoạn của NIST CSF giúp các tổ chức xây dựng một khung bảo
mật vững chắc và toàn diện.
khi hiểu rõ về các khái niệm và chiến lược quan trọng trong bảo mật
mạng như Rainbow Wheel, Defense in Depth, SOC-CMM và các vai
trò trong SOC, tiếp theo chúng em được hương dẫn cách xây dựng
mô hinh mạng cho doanh nghiệp vừa và nhỏ ,
X. Xây dựng mô hình mạng cho doanh nghiệp vừa và nhỏ

Trong phần này, chúng em được hướng dẫn cách xây dựng một mô
hình mạng phù hợp cho các doanh nghiệp vừa và nhỏ (SMBs). Chúng
tôi bắt đầu bằng cách phân tích yêu cầu cụ thể của doanh nghiệp,
bao gồm số lượng nhân viên, cơ sở hạ tầng hiện có, và các ứng dụng
và dịch vụ mà doanh nghiệp sử dụng.
Sau khi chọn được mô hình mạng phù hợp, chúng tôi tiến hành phân
chia các network zone trong vùng mạng. Các zone bao gồm DMZ
(vùng mạng giữa), Internal (nội bộ), và External (bên ngoài), và mỗi
zone có các quy tắc truy cập riêng biệt để đảm bảo an toàn và bảo
mật.

Cuối cùng, chúng tôi tạo các rule an toàn để kiểm soát truy cập giữa
các zone một cách an toàn và hiệu quả. Quy tắc này đảm bảo rằng
chỉ những người dùng và thiết bị được ủy quyền mới có thể truy cập
vào các tài nguyên cụ thể trong mạng.

XI. Quản lý log event

Trong phần này, chúng tôi tập trung vào việc quản lý log event để
phát hiện và ứng phó nhanh chóng với các sự kiện an ninh mạng
quan trọng. Chúng tôi bắt đầu bằng cách giải thích các loại event cơ
bản mà một SOC có thể gặp phải, bao gồm các cảnh báo bảo mật,
thông tin truy cập, và sự cố hệ thống.

Tiếp theo, chúng tôi tập trung vào việc hiểu log của firewall và sự
khác biệt giữa log dịch vụ và log hệ thống. Chúng tôi giải thích cách
các log này có thể giúp trong việc phát hiện và phản ứng với các mối
đe dọa an ninh mạng.

Sau đó, chúng tôi giới thiệu các công cụ quản lý log như sysmon,
audit policy, và powershell, và giải thích cách chúng có thể được sử
dụng để thu thập và phân tích log event một cách hiệu quả.
Cuối cùng, chúng tôi tóm tắt bằng cách nhấn mạnh sự quan trọng
của việc quản lý log event đối với việc bảo vệ hệ thống mạng và nhấn
mạnh về tầm quan trọng của việc phản ứng nhanh chóng và hiệu quả
với các sự kiện an ninh mạng.Trên đây là những nội dung chính mà
em đã học được trong tuần đầu tiên của kỳ thực tập.

Cảm ơn các anh chị và mọi người đã lắng nghe.