Chương 7: Đánh giá bảo mật (Security

Assessments)
Trong chương này, bạn sẽ
 Tìm hiểu về săn lùng mối đe dọa
 Kiểm tra chi tiết của các lần quét lỗ hổng bảo mật
 Khám phá công nghệ syslog / SIEM / SOAR
Đánh giá là việc kiểm tra một cái gì đó so với một tiêu chuẩn, để xem nó xếp chồng lên nhau như thế
nào. Về bảo mật, tiêu chuẩn chính phải là tập hợp các chính sách bảo mật của bạn — và chúng phải
phù hợp với mọi yêu cầu bên ngoài. Vì vậy, làm thế nào để bạn kiểm tra hệ thống của mình để xem
liệu mọi thứ có thực sự hoạt động theo cách bạn mong muốn hay không? Chương này sẽ khám phá
một số khía cạnh của việc đánh giá. Một trong những phương pháp chính để thực hiện đánh giá bảo
mật là thông qua việc sử dụng các bài kiểm tra thâm nhập và các bài kiểm tra này được đề cập trong
Chương 8, “Kiểm tra thâm nhập”.
Mục tiêu chứng nhận Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 1.7: Tóm tắt các kỹ
thuật được sử dụng trong đánh giá bảo mật.

Threat Hunting
Threat hunting là hoạt động chủ động tìm kiếm các mối đe dọa an ninh mạng bên trong mạng nhưng
vẫn chưa bị phát hiện. Săn lùng mối đe dọa mạng sử dụng các công cụ, kỹ thuật và quy trình (TTP) để
phát hiện ra các tác nhân trái phép trong mạng của bạn mà hệ thống phòng thủ của bạn chưa phát
hiện được. Hầu hết các yếu tố phòng thủ đều hướng ra bên ngoài và ở trên hoặc gần chu vi mạng, vì
đây là nơi bạn có nhiều khả năng bắt được người dùng trái phép nhất. Nhưng nếu kẻ tấn công có thể
vượt qua tuyến phòng thủ đó, chúng có thể ẩn náu trong một mạng lưới hàng tháng, nếu không
muốn nói là hàng năm. Trong thời gian này, họ có thể âm thầm thu thập dữ liệu, tìm kiếm tài liệu bí
mật hoặc lấy thông tin đăng nhập khi di chuyển ngang qua môi trường. Những kẻ tấn công có thể sử
dụng tài nguyên hệ thống để tiếp tục hiện diện của chúng, một kỹ thuật được gọi là “sống ngoài đất
liền”.
Threat hunting sử dụng các công cụ và kỹ thuật để phát hiện cụ thể kiểu người dùng này —
các công cụ như nguồn dữ liệu tình báo về mối đe dọa chiến thuật và nguồn cấp dữ liệu về mối đe
dọa mô tả các hoạt động của tin tặc, cũng như các công cụ như chỉ báo tấn công (IOA) và chỉ báo thỏa
hiệp (IOCs) ). Các chỉ số tấn công bao gồm một loạt các hành động mà kẻ tấn công phải thực hiện để
thực hiện một cuộc tấn công. Điều này bao gồm các hoạt động như tạo tài khoản, kết nối với máy
chủ điều khiển và chỉ huy cũng như di chuyển dữ liệu ra khỏi mạng trong một luồng được mã hóa.
Đây là những hành động được thực hiện bởi một tác nhân đe dọa như là một phần của quy trình làm
việc của họ nhằm xâm phạm hệ thống. Tìm kiếm những hoạt động này là một phần của việc săn lùng
mối đe dọa. Các dấu hiệu của sự thỏa hiệp là hiện vật do các hoạt động của kẻ tấn công để lại. Các
chuỗi cụ thể trong bộ nhớ khỏi phần mềm độc hại, tạo tác pháp y như tệp liên kết và tệp thực thi giả
mạo — đây là tất cả các chỉ báo về hoạt động độc hại, nhưng cũng là hoạt động trong quá khứ. Những
kẻ săn lùng mối đe dọa sử dụng những manh mối này để tập trung vào nơi kẻ tấn công đã ở, những
gì chúng đã làm và nơi chúng có khả năng sẽ đến tiếp theo khi kẻ tấn công theo dõi phiên bản Cyber
Kill Chain.
Intelligence Fusion
Thông tin tình báo về mối đe dọa là kiến thức đằng sau khả năng, cơ sở hạ tầng, động cơ, mục tiêu
và nguồn lực của mối đe dọa. Sự kết hợp thông tin tình báo về mối đe dọa cho phép người bảo vệ
xác định và bối cảnh hóa các mối đe dọa mà họ phải đối mặt trong môi trường, sử dụng thông tin từ
tình báo về mối đe dọa trong Mô hình Kim cương về Phân tích Xâm nhập, như được minh họa trong
Chương 27, “Chính sách, Quy trình và Thủ tục Ứng phó Sự cố”. Khi bạn hiểu đối thủ của mình, bạn có
thể thực hiện hành động quyết định để bảo vệ tổ chức của mình tốt hơn.

Exam Tip Intelligence fusion (Kết hợp tình báo) là một quá trình liên quan đến việc thu
thập và phân tích các nguồn cấp dữ liệu về mối đe dọa từ cả các nguồn bên trong và
bên ngoài trên quy mô lớn.

Threat Feeds
Nguồn cấp dữ liệu về mối đe dọa là nguồn thông tin liên quan đến kẻ thù. Nguồn cấp dữ liệu đe dọa
có thể đến từ các nguồn bên trong và bên ngoài. Bằng cách tận dụng dữ liệu mối đe dọa từ mạng của
chính bạn dựa trên dữ liệu ứng phó sự cố (nghĩa là tệp nhật ký, cảnh báo và kết quả ứng phó sự cố),
bạn có thể tìm thấy các vị trí khác có cùng mối đe dọa trong môi trường của bạn. Các nguồn thông
tin về mối đe dọa bên ngoài đến từ nhiều thực thể bên ngoài khác nhau và kết quả là chúng có thể
phù hợp hoặc không phù hợp với môi trường cụ thể của bạn. Nguồn cấp dữ liệu bên ngoài mất nhiều
công sức hơn để điều chỉnh thông tin thành một dạng hữu ích trong doanh nghiệp của bạn, nhưng
các phương pháp trao đổi tự động, chẳng hạn như Biểu thức điện tử về thông tin đe dọa có cấu trúc
(STIX), hỗ trợ việc di chuyển thông tin quan trọng này giữa các công ty. Cuối cùng, tùy thuộc vào
nhóm bảo mật của bạn với kiến thức cụ thể của họ về môi trường của tổ chức bạn và bối cảnh mối
đe dọa để xác định mức độ liên quan của nguồn cấp dữ liệu bên ngoài.
Advisories and Bulletins
Các lời khuyên và bản tin là tập hợp thông tin được xuất bản từ các đối tác, chẳng hạn như các nhà
cung cấp bảo mật, các nhóm ngành, chính phủ, các nhóm chia sẻ thông tin và các nguồn thông tin
“đáng tin cậy” khác. Đây là những nguồn cung cấp mối đe dọa từ bên ngoài và cần được nhân viên
an ninh xử lý để xác định khả năng áp dụng và cách sử dụng chúng để cải thiện khả năng phòng vệ
cho doanh nghiệp.
Maneuver
Maneuver đề cập đến khả năng di chuyển trong một mạng lưới, một chiến thuật thường được sử
dụng bởi các đối thủ tiên tiến khi họ tiến tới mục tiêu của mình. Săn lùng mối đe dọa có thể chống lại
sự di chuyển của kẻ tấn công thông qua một số cơ chế. Đầu tiên, kẻ săn lùng mối đe dọa có thể theo
dõi lưu lượng truy cập tại các điểm nghẹt thở (nghĩa là các điểm mà thực thể trái phép phải đi qua).
Thứ hai, kẻ săn lùng mối đe dọa có thể phân tích cơ sở hạ tầng mạng của chính công ty, thông qua
con mắt của kẻ tấn công và cung cấp thông tin chi tiết về cách mạng có thể được kết nối để cung cấp
khả năng phòng thủ tốt hơn chống lại sự di chuyển ngang, cả về kết nối và ghi nhật ký. Những nỗ lực
này làm cho việc điều động không bị phát hiện trở thành thách thức lớn hơn nhiều đối với kẻ tấn
công và bởi vì phần lớn các biện pháp phòng thủ có thể được thực hiện một cách thụ động đối với
những gì kẻ tấn công nhìn thấy, nó thậm chí còn hiệu quả hơn.
 Exam Tip Maneuvering (Cơ động) cũng là một chiến thuật phòng thủ được các chuyên
gia bảo mật sử dụng để phá vỡ hoặc ngăn chặn kẻ tấn công di chuyển theo chiều ngang
như một phần của chuỗi tấn công..

Vulnerability Scans
Quét lỗ hổng bảo mật là quá trình kiểm tra các dịch vụ trên hệ thống máy tính để tìm các lỗ hổng đã
biết trong phần mềm. Về cơ bản, đây là một quá trình đơn giản để xác định phiên bản cụ thể của một
chương trình phần mềm và sau đó tra cứu các lỗ hổng đã biết. Cơ sở dữ liệu Các lỗ hổng phổ biến và
Phơi nhiễm có thể được sử dụng như một kho lưu trữ; nó đã ghi lại hơn 145.000 lỗ hổng cụ thể. Điều
này làm cho nhiệm vụ không chỉ là một thủ công; nhiều chương trình phần mềm có thể được sử dụng
để thực hiện chức năng này.
False Positives
Bất kỳ hệ thống nào sử dụng phép đo một số thuộc tính để phát hiện một số điều kiện khác đều có
thể có lỗi. Khi một phép đo được sử dụng như một phần của quá trình quyết định, các yếu tố bên
ngoài có thể gây ra sai số. Đổi lại, những sai số này có thể ảnh hưởng đến phép đo đến một điều kiện
tạo ra sai số trong số cuối cùng. Khi một phép đo được sử dụng trong quá trình quyết định, khả năng
xảy ra sai sót và ảnh hưởng của chúng phải là một phần của quá trình quyết định. Ví dụ, khi một nhà
hàng nấu bít tết ở nhiệt độ trung bình, cách dễ nhất để xác định bít tết đã chín chính xác hay chưa là
cắt miếng ra và nhìn. Nhưng điều này không thể được thực hiện trong nhà bếp, vì vậy các biện pháp
khác được sử dụng, chẳng hạn như thời gian, nhiệt độ, v.v. Khi khách hàng cắt miếng bít tết là thời
điểm của sự thật, bởi vì lúc đó tình trạng thực tế mới được tiết lộ.

Exam Tip Kết quả False positives và false negatives phụ thuộc vào kết quả xét nghiệm
và kết quả thật. Nếu bạn kiểm tra một cái gì đó, nhận được dấu hiệu dương tính, nhưng
dấu hiệu sai, đó là dương tính giả. Nếu bạn kiểm tra một cái gì đó, không nhận được
một dấu hiệu, nhưng kết quả đáng lẽ phải là sự thật, đây là một âm tính giả.
Hai loại lỗi có liên quan: dương tính giả và âm tính giả (False positives and false negatives). Việc lựa
chọn các thuật ngữ tích cực và tiêu cực liên quan đến kết quả của thử nghiệm. Nếu bạn đang sử dụng
Nmap như một công cụ để kiểm tra hệ điều hành, nó sẽ báo cáo hệ điều hành là một loại cụ thể (giả
sử như Windows 10). Nếu kết quả này không chính xác, thì đây là lỗi dương tính giả nếu bạn đang
tính kết quả là đúng.

Exam Tip Đây là một mặt hàng được thử nghiệm cao. False positives xảy ra khi hành
vi dự kiến hoặc bình thường bị xác định sai là độc hại. Việc phát hiện đăng nhập không
thành công, sau đó là đăng nhập thành công được gắn nhãn là độc hại, khi hoạt động
do người dùng mắc lỗi sau khi thay đổi mật khẩu của họ gần đây, là một ví dụ về False
positives.

False Negatives
Kết quả âm tính giả ngược lại với kết quả dương tính giả. Nếu bạn kiểm tra thứ gì đó và kết quả là âm
tính, nhưng thực tế là dương tính, thì kết quả là âm tính giả. Ví dụ: nếu bạn quét các cổng để tìm bất
kỳ cổng nào đang mở và bạn bỏ lỡ cổng đang mở vì máy quét không thể phát hiện nó đang mở và
bạn không chạy kiểm tra vì kết quả sai này, bạn đang bị âm tính giả. lỗi.
 Exam Tip Khi một hệ thống phát hiện xâm nhập (IDS) không tạo ra cảnh báo về một
cuộc tấn công bằng phần mềm độc hại, thì đây là một âm báo giả.

Log Reviews
Một hệ thống nhật ký được định cấu hình thích hợp có thể cung cấp cái nhìn sâu sắc về những gì đã
xảy ra trên một hệ thống máy tính. Điều quan trọng là ở cấu hình phù hợp để bạn nắm bắt các sự
kiện bạn muốn mà không cần thêm dữ liệu không liên quan. Điều đó đang được nói, một hệ thống
nhật ký là một kho tàng tiềm năng của thông tin hữu ích cho một ai đó đang tấn công một hệ thống.
Nó sẽ có thông tin về hệ thống, tên tài khoản, những gì đã hoạt động để truy cập và những gì chưa.
Việc xem xét nhật ký có thể cung cấp thông tin về các sự cố bảo mật, vi phạm chính sách (hoặc cố
gắng vi phạm chính sách) và các tình trạng bất thường khác cần phân tích thêm.
Credentialed vs. Non-Credentialed
Quét lỗ hổng bảo mật có thể được thực hiện có và không có thông tin xác thực. Thực hiện quét mà
không có thông tin xác thực có thể cung cấp một số thông tin về trạng thái của dịch vụ và liệu nó có
dễ bị tấn công hay không. Đây là góc nhìn của một người ngoài cuộc thực sự trên mạng. Nó có thể
được thực hiện nhanh chóng, theo cách tự động, trên các phân đoạn lớn của mạng. Tuy nhiên, nếu
không có thông tin đăng nhập, không thể xem chi tiết thông tin đăng nhập cung cấp. Các bản quét lỗ
hổng bảo mật có thể xem xét sâu hơn một máy chủ lưu trữ và trả về thông tin rủi ro quan trọng và
chính xác hơn. Thường xuyên sử dụng các bản quét này cùng nhau. Đầu tiên, quá trình quét không
xác thực được thực hiện trên các phân đoạn mạng lớn bằng các công cụ tự động. Sau đó, dựa trên
các kết quả sơ bộ này, các bản quét thông tin xác thực chi tiết hơn được chạy trên các máy có nhiều
hứa hẹn nhất về các lỗ hổng.
Exam Tip Quét chứng chỉ có liên quan nhiều hơn, yêu cầu thông tin xác thực và các
bước bổ sung để đăng nhập vào hệ thống, trong khi quét không xác thực có thể được
thực hiện nhanh hơn trên nhiều máy bằng cách sử dụng tự động hóa. Quét chứng chỉ
có thể tiết lộ thông tin bổ sung so với quét không chứng thực.

Intrusive vs. Non-Intrusive

Quét lỗ hổng bảo mật có thể xâm nhập hoặc không xâm nhập vào hệ thống được quét. Quét không
xâm nhập thường là một quá trình quét đơn giản đối với các cổng và dịch vụ đang mở, trong đó quá
trình quét xâm nhập cố gắng tận dụng các lỗ hổng tiềm ẩn thông qua việc khai thác để chứng minh
các lỗ hổng. Sự xâm nhập này có thể dẫn đến sự cố hệ thống và do đó được gọi là xâm nhập.
Application
Ứng dụng là các chương trình phần mềm thực hiện xử lý dữ liệu thông tin trong hệ thống. Là yếu tố
hoạt động liên quan đến dữ liệu, cũng như phương tiện giao tiếp điển hình giữa người dùng và dữ
liệu, các ứng dụng là mục tiêu phổ biến của những kẻ tấn công. Quét lỗ hổng đánh giá sức mạnh của
một ứng dụng đã triển khai so với hiệu suất mong muốn của hệ thống khi bị tấn công. Các lỗ hổng
ứng dụng đại diện cho một số vấn đề rủi ro hơn trong doanh nghiệp vì các ứng dụng là cần thiết và
càng có ít phương pháp để xử lý thông tin sai lệch dữ liệu càng lên cao.
Web Application
Ứng dụng web chỉ là những ứng dụng có thể truy cập được trên web. Phương pháp tiếp cận này
mang lại sự tiện lợi và khả năng xảy ra hoạt động trái phép nhiều hơn. Tất cả các chi tiết của các ứng
dụng tiêu chuẩn vẫn được áp dụng, nhưng việc đặt hệ thống trên web sẽ tạo thêm gánh nặng cho hệ
thống để ngăn chặn truy cập trái phép và kiểm soát các rủi ro dựa trên web. Từ góc độ quét lỗ hổng,
một ứng dụng web giống như một lời mời để khám phá xem nó được bảo mật tốt như thế nào. Rủi
ro lớn nhất là các ứng dụng web cây nhà lá vườn vì chúng hiếm khi có mức độ bảo vệ đầu vào cần
thiết cho môi trường web thù địch.
Network
Mạng là phần tử kết nối tất cả các hệ thống tính toán với nhau, mang dữ liệu giữa hệ thống và người
dùng. Mạng cũng có thể được sử dụng để quét lỗ hổng bảo mật để truy cập vào các hệ thống được
kết nối. Việc quét lỗ hổng bảo mật phổ biến nhất được thực hiện trên toàn bộ mạng trong đó tất cả
các hệ thống đều được quét, lập bản đồ và liệt kê theo các cổng và dịch vụ. Sau đó, thông tin này có
thể được sử dụng để nhắm mục tiêu thêm các lần quét cụ thể của các hệ thống riêng lẻ theo kiểu chi
tiết di chuyển, sử dụng thông tin xác thực và các hoạt động có khả năng xâm nhập.
Common Vulnerabilities and Exposures (CVE)/ Common
Vulnerability Scoring System (CVSS)
The Common Vulnerabilities and Exposures (CVE) liệt kê là danh sách các lỗ hổng đã biết trong hệ
thống phần mềm. Mỗi lỗ hổng trong danh sách có một số nhận dạng, mô tả và tài liệu tham khảo.
Danh sách này là cơ sở cho hầu hết các hệ thống máy quét lỗ hổng, vì máy quét xác định phiên bản
phần mềm và tra cứu các lỗ hổng đã biết hoặc được báo cáo. Hệ thống chấm điểm lỗ hổng chung
(CVSS) là một hệ thống tính điểm để xác định mức độ rủi ro của một lỗ hổng bảo mật đối với hệ
thống. Điểm CVSS nằm trong khoảng từ 0 đến 10. Khi điểm CVSS tăng lên, mức độ nghiêm trọng của
rủi ro từ lỗ hổng cũng tăng theo. Mặc dù CVSS không thể tính đến vị trí của lỗ hổng bảo mật trong
doanh nghiệp, nhưng nó có thể giúp xác định mức độ nghiêm trọng bằng cách sử dụng các chỉ số
như liệu nó có dễ khai thác hay không, liệu nó có cần sự can thiệp của người dùng hay không, mức
độ đặc quyền được yêu cầu, v.v. Hai bộ thông tin này kết hợp với nhau có thể cung cấp nhiều thông
tin về nguy cơ tiềm ẩn liên quan đến một hệ thống phần mềm cụ thể.
Điểm CVSS và mức độ nghiêm trọng rủi ro liên quan của chúng như sau:

Exam Tip Biết rằng Common Vulnerabilities and Exposures (CVE) là danh sách các
lỗ hổng bảo mật đã biết, mỗi lỗ hổng có một số nhận dạng, mô tả và tài liệu tham khảo.
Common Vulnerability Scoring System (CVSS) xác định mức độ rủi ro của một lỗ hổng
đối với hệ thống. Điểm CVSS nằm trong khoảng từ 0 đến 10. Khi nó tăng lên, mức độ
nghiêm trọng của rủi ro từ lỗ hổng cũng tăng theo..

Configuration Review
Cấu hình hệ thống đóng một vai trò quan trọng trong bảo mật hệ thống. Cấu hình sai khiến hệ thống
ở trạng thái dễ bị tấn công hơn, đôi khi thậm chí khiến các biện pháp kiểm soát bảo mật bị bỏ qua
hoàn toàn. Xác minh cấu hình hệ thống là một mục kiểm tra lỗ hổng bảo mật quan trọng; nếu bạn
tìm thấy một cấu hình sai, khả năng cao là nó để lộ lỗ hổng. Đánh giá cấu hình đủ quan trọng để
chúng phải được tự động hóa và thực hiện thường xuyên. Có các giao thức và tiêu chuẩn để đo lường
và xác nhận cấu hình. Hướng dẫn Liệt kê Cấu hình Chung (CCE – Common Configuration
Enumeration) và Liệt kê Nền tảng Chung (CPE – Common Platform Enumeration), là một phần của
Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD) do NIST duy trì, là những nơi bắt đầu để biết chi tiết.

Syslog/Security Information and Event Management

(SIEM)
Syslog là viết tắt của System Logging Protocol và là một giao thức tiêu chuẩn được sử dụng trong
hệ thống Linux để gửi nhật ký hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, được gọi là
máy chủ nhật ký hệ thống. Nhiều loại thiết bị, chẳng hạn như máy in, thiết bị mạng và hệ thống trên
nhiều nền tảng, sử dụng tiêu chuẩn nhật ký hệ thống. Giá trị trong nhật ký hệ thống là sự tách biệt
của một hệ thống khỏi các báo cáo lỗi, cho phép cả chức năng bảo mật của ghi nhật ký được tách
biệt khỏi hệ thống đang được giám sát và tổng hợp nhiều luồng nhật ký trên một máy chủ chung.
Máy chủ nhật ký hệ thống lắng nghe trên cổng UDP 514 hoặc cổng TCP 6514. Syslog không chỉ là lỗi;
nó là tiêu chuẩn để ghi nhật ký từ xa trên hệ thống Linux. Ubuntu lưu trữ hoạt động toàn cầu và thông
báo khởi động trong / var / log / syslog. Các ứng dụng cũng có thể sử dụng nó.
Thông tin trong máy chủ nhật ký hệ thống chỉ là các bảng dữ liệu thô. Để làm cho thông tin này dễ
sử dụng hơn, một hệ thống được gọi là thông tin bảo mật và quản lý sự kiện (SIEM) được sử dụng để
thu thập, tổng hợp và áp dụng đối sánh mẫu cho khối lượng dữ liệu. Điều này biến các bảng dữ liệu
thành thông tin hành động có ý nghĩa dựa trên các quy tắc do một tổ chức thiết lập. Bước đầu tiên
của quá trình xử lý trong SIEM là thu thập dữ liệu vào một loạt các bảng có cấu trúc. Điều này cho
phép các nguồn dữ liệu khác nhau với các phần tử dữ liệu khác nhau có khả năng hoạt động cùng
nhau. Các bảng dữ liệu này sau đó được làm giàu bằng cách sử dụng tra cứu và các tính năng kết hợp
khác để cung cấp ngữ cảnh lớn hơn cho dữ liệu đã được thu thập. Sau đó, hệ thống có thể kiểm tra
dữ liệu liên quan đến thời gian này để tìm các mối tương quan của sự kiện có thể được sử dụng để
kích hoạt các hành động ứng phó sự cố.

Exam Tip Hãy nhớ rằng nhật ký hệ thống có thể được sử dụng để tổng hợp nhật ký
trên các thiết bị mạng và hệ điều hành Linux. Máy chủ nhật ký hệ thống lắng nghe và
ghi nhật ký các thông báo từ các máy khách nhật ký hệ thống. Hệ thống SIEM thu thập,
tổng hợp và áp dụng đối sánh mẫu với khối lượng dữ liệu để tạo ra thông tin mà con
người có thể đọc được.

Review Reports
Phương tiện chính để cung cấp đầu ra từ SIEM là một cảnh báo hoặc một báo cáo. Đây là những điều
kiện được xác định trước để kích hoạt một đầu ra thông tin cụ thể dựa trên các quy tắc trong hệ
thống. Các báo cáo này sau đó có thể được xem xét để xác định xem sự cố có tồn tại hay là báo động
giả.
Packet Capture
 Việc nắm bắt gói tin đã là một công việc quan trọng của các kỹ sư mạng miễn là các mạng còn tồn
tại. Việc chẩn đoán và hiểu các vấn đề truyền thông mạng dễ dàng hơn khi người ta có thể quan sát
cách các gói truyền qua mạng. Gần đây hơn, khái niệm chụp gói liên tục để giám sát một đoạn mạng
đã trở thành một công cụ trong hộp công cụ của chuyên gia bảo mật. Hầu hết các cảnh báo bảo mật
xảy ra sau thực tế. Điều gì đó xảy ra, một quy tắc kích hoạt và dữ liệu được tạo ra, dẫn đến một cuộc
điều tra về quy tắc. Mặc dù điều này có thể được thực hiện nhanh chóng với tự động hóa, nhưng các
gói liên quan đã biến mất từ lâu. Nhập các lần chụp gói liên tục. Trong các khu vực quan trọng của
mạng, nơi khả năng phát lại lưu lượng truy cập từ một khoảng thời gian trước đó là quan trọng, việc
thu thập liên tục các gói có thể cung cấp cơ hội đó. Điều này thường sẽ tiêu tốn một lượng lưu trữ
đáng kể, do đó, vị trí và thời gian thu gom có thể rất quan trọng.
Sử dụng SIEM, cùng với các thiết bị thông minh như tường lửa thế hệ tiếp theo, khi một quy tắc
được kích hoạt, thiết bị thu thập mạng có thể tự động thu thập và gửi một lượng lưu lượng xác định
trước để phân tích sau này. Với chi phí lưu trữ tương đối thấp và vị trí thích hợp, phương pháp thu
thập dữ liệu quan trọng này có thể được thực hiện bằng phần cứng hàng hóa.
Data Inputs
Các đầu vào dữ liệu cho SIEM cũng đa dạng như các hệ thống mà chúng được sử dụng để bảo vệ.
Mặc dù một mạng hiện đại có thể tạo ra số lượng cực lớn dữ liệu nhật ký, nhưng điều quan trọng
trong SIEM là xác định thông tin nào cần thiết để hỗ trợ các quyết định. Người ta có thể thu thập mọi
thứ, nhưng điều đó phải chịu rất nhiều chi phí và tạo ra rất nhiều báo cáo mà không ai cần. Điều quan
trọng là xác định các đầu ra mong muốn từ SIEM và sau đó theo dõi các đầu vào cần thiết từ tường
lửa, thiết bị mạng, máy chủ chính, v.v. để hỗ trợ các quyết định đó. Khi SIEM trưởng thành, nhiều
nguồn dữ liệu hơn được xác định và đưa vào, và những nguồn không được sử dụng sẽ bị loại bỏ. Một
SIEM được điều chỉnh bởi nhân viên an ninh để trả lời các câu hỏi liên quan đến môi trường và rủi ro
của họ.
User Behavior Analysis
SIEMS là các hệ thống được xây dựng để áp dụng các quy tắc cho các tập dữ liệu liên quan đến các
mẫu cụ thể. Theo truyền thống, điều này có nghĩa là các sự kiện mạng và kiểu máy chủ, lỗi và các
điều kiện khác cảnh báo người vận hành rằng hệ thống không phản hồi theo cách bình thường. Các
sự kiện tương quan giữa các hệ thống có thể cho thấy các mô hình hoạt động bình thường và được
mong đợi hoặc bất thường và cần được điều tra. Những tiến bộ trong phân tích hành vi của người
dùng đã cung cấp một công dụng thú vị khác của SIEM: theo dõi những gì mọi người làm với hệ thống
của họ và cách họ thực hiện. Nếu mỗi ngày, khi bắt đầu công việc, kế toán khởi động các chương
trình giống nhau, thì khi tài khoản kế toán đăng nhập và làm một việc hoàn toàn khác, chẳng hạn như
truy cập vào hệ thống mà họ chưa từng truy cập trước đây, điều này cho thấy một sự thay đổi hành
vi đáng xem xét. Nhiều SIEM hiện đại có các mô-đun phân tích hành vi của người dùng cuối, tìm kiếm
các mẫu hành vi bất thường cho thấy nhu cầu phân tích.
Sentiment Analysis
Các hệ thống tương tự được sử dụng để đối sánh các vấn đề bảo mật có thể được điều chỉnh để phù
hợp với các mẫu dữ liệu biểu thị tình cảm cụ thể. Các mức độ gần gũi của tình cảm có thể được xác
định bằng cách sử dụng các đầu vào như e-mail, cuộc trò chuyện, cơ chế thu thập phản hồi và truyền
thông mạng xã hội, cùng với các hệ thống AI có thể giải thích giao tiếp bằng văn bản. Người giao tiếp
có vui, buồn, tức giận hay thất vọng không? Những tình cảm này và hơn thế nữa có thể được xác
định bởi cách mọi người giao tiếp.
 Exam Tip Phân tích cảm xúc được sử dụng để xác định và theo dõi các mẫu cảm xúc, ý
kiến hoặc thái độ của con người có thể có trong dữ liệu.

Giám sát an ninh (Security Monitoring)

Giám sát an ninh là quá trình thu thập và phân tích thông tin để phát hiện hành vi đáng ngờ hoặc
những thay đổi trái phép trên mạng và hệ thống được kết nối của bạn. Điều này ngụ ý một quá trình
xác định loại hành vi nào sẽ kích hoạt cảnh báo. Các thiết bị SIEM đầu tiên tập trung vào việc thu thập
thông tin cần thiết. Các SIEM sau này đã nâng cao thành quản lý dữ liệu sự kiện được liên kết với các
sự kiện được phát hiện. Ngày nay, các hệ thống điều phối, tự động hóa và phản hồi bảo mật (SOAR)
hoàn thành việc chuyển sang tự động hóa chu trình hoàn toàn của các quy trình bảo mật. Do sự phức
tạp của các hệ thống và doanh nghiệp CNTT hiện đại, cùng với sự phức tạp của các cuộc tấn công và
các mẫu hành vi, nếu không có các hệ thống tự động như SIEM và SOAR, thì việc giám sát an ninh là
không thể thực hiện được..
Log Aggregation
Log aggregation (Tổng hợp nhật ký) là quá trình kết hợp các nhật ký lại với nhau. Điều này được thực
hiện để cho phép các định dạng khác nhau từ các hệ thống khác nhau hoạt động cùng nhau. Tổng
hợp nhật ký hoạt động để cho phép nhiều nguồn thông tin độc lập được kết nối với nhau trong một
bức tranh toàn cảnh hơn về trạng thái hệ thống so với một nguồn dữ liệu duy nhất có thể cung cấp.
Trong quá trình tổng hợp, các mục nhập nhật ký có thể được phân tích cú pháp, sửa đổi và có các
trường khóa được trích xuất hoặc sửa đổi dựa trên tra cứu hoặc quy tắc. Mục tiêu của việc tổng hợp
nhật ký là lấy nhiều nguồn dữ liệu khác nhau và điều kiện dữ liệu thành một dạng có thể tìm kiếm và
sử dụng được cho các mục đích cụ thể.
Log Collectors
Bộ thu thập nhật ký là các phần mềm có chức năng thu thập dữ liệu từ nhiều nguồn độc lập và đưa
dữ liệu đó vào một nguồn thống nhất chẳng hạn như SIEM. Các nguồn khác nhau có thể có các định
dạng khác nhau và người thu thập nhật ký có thể hài hòa các yếu tố trường khác nhau này thành một
luồng dữ liệu toàn diện.

Security Orchestration, Automation, and Response (SOAR)

Threat hunting là một công việc đòi hỏi nhiều dữ liệu. Doanh nghiệp sở hữu rất nhiều dữ liệu liên
quan đến bảo mật. Dữ liệu này đến từ vô số các thiết bị mạng, hệ thống phát hiện xâm nhập, tường
lửa và các thiết bị bảo mật khác. Dữ liệu này thường được đưa vào hệ thống quản lý sự kiện và thông
tin bảo mật (SIEM) có thể thu thập, tổng hợp và áp dụng đối sánh mẫu cho khối lượng dữ liệu. Các
cảnh báo sau đó có thể được xử lý bởi nhân viên an ninh. Tuy nhiên, điều này còn lâu mới tích hợp
hoàn toàn. Hệ thống điều phối bảo mật, tự động hóa và phản hồi (SOAR) lấy dữ liệu SIEM cũng như
dữ liệu từ các nguồn khác và hỗ trợ việc tạo sách chạy và sách phát.
Những kẻ săn lùng mối đe dọa sử dụng thông tin này, cả ở dạng thô từ hệ thống SOAR và SIEM cũng
như dạng đã xử lý của nó từ sách chạy và sách phát, để kiểm tra một doanh nghiệp như kẻ tấn công,
lập biểu đồ đường dẫn tấn công đến các tài sản thông tin có giá trị. Sau đó, bằng cách sử dụng thông
tin này, một kẻ săn lùng mối đe dọa có thể thu hẹp nơi họ tìm kiếm những kẻ tấn công để thu hẹp
các con đường cơ hội mà họ đã xác định là phương thức truy cập và tấn công có thể xảy ra.
Thông tin này cũng hữu ích cho người đánh giá bảo mật, vì nó đưa ra các biện pháp bảo vệ an ninh ở
định dạng dễ hiểu và dễ kiểm tra. Khoảng trống có thể được xác định bằng cách kiểm tra cấu trúc và
nội dung của sách chạy và sách phát. Thông tin thêm về SOAR cũng như sách chạy và sách phát được
tìm thấy trong Chương 29, “Các kỹ thuật và kiểm soát giảm thiểu.”

Exam Tip Hệ thống SOAR kết hợp dữ liệu và cảnh báo từ các nền tảng tích hợp trong
toàn doanh nghiệp và đặt chúng ở một vị trí duy nhất nơi phản hồi tự động sau đó có
thể giải quyết các mối đe dọa và lỗ hổng bảo mật.

Tóm lược
Trong chương này, bạn đã làm quen với các công cụ và kỹ thuật được sử dụng trong đánh giá bảo
mật. Chương mở đầu với một phần về săn lùng mối đe dọa. Trong phần này, các chủ đề về tổng hợp
thông tin tình báo, nguồn cấp dữ liệu về mối đe dọa, lời khuyên và bản tin cũng như cách điều động
đã được đề cập. Phần tiếp theo bao gồm quét lỗ hổng bảo mật. Phần này bắt đầu với việc kiểm tra
dương tính giả và âm tính giả. Sau đó, đánh giá nhật ký được bao gồm, tiếp theo là quét được xác
thực so với không được xác thực và quét xâm nhập so với không xâm nhập. Việc kiểm tra các ứng
dụng, ứng dụng web và quét mạng cũng được cung cấp. Phần kết thúc bằng việc kiểm tra các hệ
thống Lỗ hổng và Phơi nhiễm Phổ biến (CVE – Common Vulnerabilities and Exposures) và Hệ thống
Chấm điểm Lỗ hổng Phổ biến (CVSS - Common Vulnerability Scoring System), cũng như đánh giá cấu
hình.
Phần tiếp theo đề cập đến nhật ký hệ thống và thông tin bảo mật và hệ thống quản lý sự kiện
(SIEM). Trong phần này, các chủ đề bao gồm báo cáo đánh giá, thu thập gói dữ liệu, đầu vào dữ liệu,
phân tích hành vi của người dùng và phân tích tình cảm. Các chủ đề về giám sát an ninh, tổng hợp
nhật ký và thu thập nhật ký đã hoàn thành phần này. Chương này khép lại với phân tích về các hệ
thống điều phối bảo mật, tự động hóa và phản hồi (SOAR – security orchestration, automation, and
response).