SIEM là gì và nó hoạt động như thế nào_1

SIEM là gì và nó hoạt động như thế nào? Những lợi ích mang lại cho doanh nghiệp

May 17, 2021 | vietsunshine

Các giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) cung cấp cho các tổ chức khả năng hiển thị tập trung vào môi trường CNTT và thậm chí đôi khi là OT của họ.

Ở cấp độ cao, SIEM biến dữ liệu thành thông tin chi tiết hữu ích bằng cách:

  • Sử dụng một lượng lớn dữ liệu sự kiện từ khắp doanh nghiệp, bao gồm cả môi trường tại chỗ và dựa trên đám mây;
  • Áp dụng phân tích thời gian thực để tổng hợp các sự kiện bảo mật liên quan thành các cảnh báo ưu tiên; và
  • Chuyển cảnh báo đến giải pháp điều phối bảo mật, tự động hóa và phản hồi (SOAR) để kích hoạt playbook ứng phó sự cố.

SIEM giúp các nhà phân tích của trung tâm hoạt động bảo mật (SOC) đạt được bốn mục tiêu quan trọng: (1) có được khả năng hiển thị trong môi trường của họ, (2) phát hiện các mối đe dọa, (3) điều tra hoạt động bất thường và (4) leo thang cảnh báo để có phản ứng nhanh chóng với các công cụ SOAR.

Một mối đe dọa kéo dài chưa được phát hiện là cơn ác mộng tồi tệ nhất của CISO. SIEM cung cấp cho các nhóm khả năng hiển thị để phát hiện các mối đe dọa trong môi trường của tổ chức họ. Nếu không có khả năng phát hiện mối đe dọa, nhóm SOC không có hy vọng ứng phó với các sự cố.

Nếu bạn đã hỏi một số chuyên gia bảo mật về định nghĩa của họ về SIEM, bạn sẽ nhận được một số điểm độc đáo và thú vị về định nghĩa thị trường. Ở đây, chúng ta sẽ đưa ra một điều nữa để xem xét.

SIEM mang lại giá trị nào cho doanh nghiệp?

Khi nói đến việc giảm thiểu tác động của một sự cố bảo mật, điều cốt yếu là thời gian. Có thể mất trung bình 207 ngày để xác định và 73 ngày để ngăn chặn vi phạm, theo Cost of a Data Breach Report 2020. Nghiên cứu cho thấy nếu phát hiện ra vi phạm trong vòng ít hơn 200 ngày sẽ tiết kiệm được trung bình 1 triệu đô la so nhiều hơn 200 ngày.

Tất cả những điều đó để nói rằng, mối đe dọa được xác định càng nhanh càng tốt, và đó là lúc SIEM phát huy tác dụng. SIEM có thể giảm thời gian xác định, điều tra và ứng phó với các sự cố liên quan đến bảo mật và giảm thiểu tác động kinh doanh của việc vi phạm dữ liệu. SIEM giúp các tổ chức tối đa hóa khoản đầu tư của họ vào con người và mở rộng phạm vi tiếp cận của nhóm của họ. SIEM cũng có thể thúc đẩy giảm đáng kể rủi ro thông qua sự phù hợp với các nhiệm vụ tuân thủ quy định như GDPR, PCI, SOX và HIPAA.

Công nghệ SIEM đã phát triển như thế nào theo thời gian?

Sự phát triển của SIEM thực sự khá thú vị. Hãy cùng xem qua những điểm nổi bật trước khi chuyển sang hiện tại và tương lai của SIEM. Ban đầu, các đội bảo mật chỉ đọc dữ liệu nhật ký (log data) và sau đó chỉ cần thu thập log. Khi kiểu quản lý nhật ký đó không còn đủ nữa, quản lý thông tin bảo mật (SIM), một công nghệ thế hệ đầu tiên cho phép tìm kiếm cơ bản, đã ra đời. Quản lý sự kiện bảo mật (SEM) là sự phát triển thứ hai của sản phẩm, nó tổng hợp và tương quan các sự kiện từ nhiều hệ thống bảo mật.

Cuối cùng vào năm 2005, các nhà phân tích của Gartner là Amrit T. Williams và Mark Nicolett đã đặt ra thuật ngữ mà chúng ta biết ngày nay, “SIEM” trong báo cáo của họ về việc cải thiện quản lý lỗ hổng bảo mật. Sự phát triển thứ ba này được xúc tác bởi sự cần thiết của các tổ chức tuân thủ các quy định và phát hiện các mối đe dọa tiên tiến hơn. Williams và Nicolett đã định nghĩa SIEM là công nghệ “cung cấp khả năng quản lý sự kiện theo thời gian thực và phân tích lịch sử dữ liệu bảo mật từ nhiều nguồn không đồng nhất”.

Kể từ khi SIEM ra đời vào năm 2005, việc áp dụng đám mây, cảnh quan mối đe dọa ngày càng phát triển và các yếu tố khác đã tiếp tục kích hoạt sự đổi mới và phát triển trong thị trường SIEM. Một giải pháp từng được sử dụng để bảo vệ chống lại tin tặc solo và phần mềm độc hại cơ bản thông qua thu thập nhật ký đã phát triển để phát hiện các mối đe dọa dai dẳng nâng cao từ các nation-state attack và các tác nhân xấu.

Sự phát triển của thị trường SIEM tiếp tục khiến công việc của tôi rất thú vị! Một vài trong số những cải tiến quan trọng nhất đã bao gồm tích hợp với nguồn cấp dữ liệu thông minh về mối đe dọa, phân tích hành vi người dùng (yêu thích của cá nhân tôi) và bổ sung AI và học máy. Khi SIEM phát triển, tầm quan trọng của chúng đối với các kế hoạch ứng phó sự cố hiệu quả là rất lớn. Thông qua tích hợp liền mạch, SIEM hiện cung cấp cho các nền tảng SOAR dữ liệu để khởi động các cuộc điều tra và hỗ trợ chúng.

Ngày nay SIEM hoạt động như thế nào?

Dưới đây là cái nhìn sâu hơn về thông tin bảo mật và chức năng quản lý sự kiện giúp các SOC đạt được bốn mục tiêu của họ: khả năng hiển thị, phát hiện, điều tra và chuyển lên nền tảng phản hồi.

Khả năng hiển thị

SIEM có thể tương quan dữ liệu trên toàn bộ bề mặt tấn công của tổ chức, từ người dùng, điểm cuối và dữ liệu mạng đến nhật ký tường lửa cho đến các sự kiện của antivirus. Dù tại chỗ hay trên đám mây, chúng đều cung cấp chế độ xem dữ liệu này trong một màn hình duy nhất. Đối với bối cảnh: trung bình, các tổ chức triển khai hơn 45 giải pháp bảo mật và sử dụng 19 công cụ khác nhau khi ứng phó với sự cố an ninh mạng. Chế độ xem tổng hợp do SIEM cung cấp có thể giúp giảm độ phức tạp của công cụ mà các nhóm SOC đang chống lại.

Khi nhiều tổ chức chuyển đổi cơ sở hạ tầng của họ sang đám mây và tận dụng ngày càng nhiều dịch vụ cloud-native, những kẻ tấn công cũng đang chuyển trọng tâm và đầu tư của chúng vào đó. Theo kinh nghiệm của tôi, các tổ chức có môi trường kết hợp đa đám mây có tư thế bảo mật mạnh mẽ hơn nhiều khi họ có thể kết nối dữ liệu tương quan chéo trong SIEM của họ từ tất cả các nền tảng.

SIEM có thể đóng một vai trò quan trọng trong việc phát hiện các bất thường của mạng. Như Jon O Regiik của ESG giải thích trong SIEM và NDR: Better Together, sự kết hợp của SIEM và NDR giúp các nhóm bảo mật cải thiện khả năng phát hiện và phản ứng mối đe dọa bằng cách thu thập dữ liệu mạng và cấp hệ thống đáng ngờ thành các cảnh báo bảo mật toàn diện.

Phát hiện mỗi đe dọa

Sau khi các nhóm có dữ liệu của họ ở một nơi, họ sẽ dễ dàng phát hiện ra hoạt động độc hại và các mẫu bất thường hơn. SIEM có thể được sử dụng để phát hiện các mối đe dọa không xác định và khai thác high profile, chẳng hạn như những kẻ nhắm mục tiêu đến SolarWinds Orion hoặc Microsoft Exchange. Những kẻ tấn công đã trở nên tinh vi hơn trong các kỹ thuật của họ. SIEM có thể hỗ trợ các nhóm SOC với khả năng phát hiện những thay đổi nhỏ trong hành vi của mạng, người dùng hoặc hệ thống. Những thay đổi như vậy có thể là dấu hiệu của malicious insider, thông tin đăng nhập bị xâm phạm hoặc các mối đe dọa liên tục nâng cao (APT).

Điều tra an ninh mạng

Khi phát hiện ra mối đe dọa, SIEM có thể tận dụng các cuộc điều tra tự động và làm phong phú dữ liệu để điều tra thêm. Các chức năng này giúp giảm bớt các công việc thủ công được thực hiện bởi các nhà phân tích, những người sau đó có thể dành thời gian của mình cho các hoạt động có giá trị bao gồm tìm kiếm mối đe dọa và ứng phó sự cố. Trong một ví dụ, một tổ chức đã cắt điều tra từ ba giờ xuống còn ba phút với sự trợ giúp của AI để xác định dương tính giả. Đặc biệt là với sự thiếu hụt kỹ năng được dự đoán sẽ lên tới 3,5 triệu vị trí an ninh mạng mở vào năm 2021, việc điều tra mối đe dọa hiệu quả là rất quan trọng.

Phản ứng trước sự cố

Khi một SIEM phát hiện ra mối đe dọa tiềm ẩn, SIEM sẽ cung cấp dữ liệu sự kiện đó trong thời gian thực cho nhóm SOC để điều tra thêm. Các cảnh báo, sự kiện đáng ngờ hoặc sự cố do SIEM phát hiện có thể kích hoạt các cuộc điều tra theo cách thủ công hoặc thông qua tự động hóa. Thông thường, các nhóm phản hồi sử dụng dữ liệu từ SIEM để điều tra sự cố như một phần của quy trình được xác định trong playbooks của công cụ SOAR.

Các đội có thể chuyển thế trận an ninh của mình từ phản ứng sang chủ động. Việc chuẩn hóa việc thực hiện phát hiện và phản hồi với playbook và quy trình làm việc có hướng dẫn giúp các nhóm xây dựng một chương trình ứng phó sự cố có thể lặp lại.

SIEM có thể phát hiện ra những loại đe dọa an ninh mạng nào?

Khả năng là vô tận.

Các tổ chức có thể áp dụng giám sát an ninh đối với các mối đe dọa trong toàn bộ MITER ATT&CK Chain. Còn nhiều, rất nhiều nữa, nhưng hôm nay tôi sẽ đi sâu vào ransomware, APT của quốc gia, các mối đe dọa nội gián và các trường hợp sử dụng lừa đảo.

Ransomware

Ransomware đã trở thành loại mối đe dọa hàng đầu vào năm 2020, chiếm 23% các sự cố được nghiên cứu trong X-Force Threat Intelligence Index. Những kẻ xấu như Sodinokibi đang thu lợi hàng triệu bằng cách kết hợp ransomware với mã độc tống tiền. Mục tiêu hấp dẫn ransomware là các ngành có khả năng chịu đựng thời gian chết thấp, như lĩnh vực sản xuất và năng lượng.

SIEM thúc đẩy phân tích để xác định các sự cố ransomware tiềm ẩn. Điều này có thể bao gồm kết nối với các địa chỉ internet độc hại, giám sát các bất thường trong truy cập tệp và kết nối bất thường.

APT

APT là các cuộc tấn công thường được thực hiện bởi các tác nhân đe dọa có khả năng cao, được trang bị tốt, thường với các hành động được nhắm mục tiêu cụ thể. Những kẻ tấn công này có xu hướng hoạt động “thấp và chậm”, khiến các mối đe dọa ít rõ ràng hơn và khó phát hiện hơn. SIEM có thể tận dụng khả năng phát hiện bất thường cho các công cụ để phát hiện các APT này. Hơn nữa, SIEM có thể tận dụng tích hợp với nguồn cấp dữ liệu thông minh về mối đe dọa trong thời gian thực để đảm bảo rằng các nhóm SOC tập trung vào các sự kiện quan trọng và có kiến thức về các chỉ số thỏa hiệp (IoC) cập nhật nhất trước khi một cuộc tấn công nâng cao lan rộng.

Mối đe dọa nội bộ

Các mối đe dọa từ nội bộ xảy ra khi người dùng sử dụng quyền truy cập hợp pháp vào tài sản của công ty để gây tổn hại cho doanh nghiệp, dù là do cố ý hoặc không cố ý.

Hiểu người dùng của bạn, hoạt động của họ và mô hình của họ là chìa khóa. Bất kỳ sự bất thường nào trong các khu vực này có thể chỉ ra một sự cố an ninh. Quay trở lại nhận xét của tôi về khả năng hiển thị, SIEM có thể tổng hợp dữ liệu từ mỗi người dùng từ nhiều nguồn và sử dụng dữ liệu đó để tạo hồ sơ cơ sở của một người dùng cụ thể. Người dùng có hành vi khác với hành vi trước đây của họ hoặc với nhóm ngang hàng của họ, có thể khiến SIEM gán rủi ro cho người dùng này và gắn cờ hoạt động đáng ngờ để điều tra thêm. Thông thường, học máy được sử dụng để phân tích người dùng.

Lừa đảo (phishing)

Vào năm 2020, lừa đảo là vectơ truy cập ban đầu phổ biến thứ hai được xác định bởi IBM Security X-Force. Trong khi nhiều tổ chức khuyến khích người dùng của họ cảnh giác, một cuộc tấn công điển hình có thể gửi thư từ cho nạn nhân trông có vẻ xác thực, lôi kéo họ nhấp vào tệp đính kèm hoặc liên kết độc hại. SIEM có thể giúp các nhóm phát hiện các dấu hiệu lừa đảo quan trọng như dòng tiêu đề email đáng ngờ, rò rỉ dữ liệu tiềm ẩn, hành vi bất thường từ email gửi đến và gửi đi cũng như giao tiếp với các máy chủ thù địch đã biết. Ngoài ra, SIEM có thể tận dụng tích hợp với các công cụ Endpoint Security để phát hiện hành vi đáng ngờ trên điểm cuối có thể là dấu hiệu của một cuộc tấn công lừa đảo.

Làm thế nào để chọn một giải pháp SIEM?

Người mua có thể cân nhắc những yếu tố nào khi đánh giá một giải pháp SIEM? Ngoài các chức năng cốt lõi của SIEM, tôi khuyên bạn nên lưu ý cách giải pháp sẽ mở rộng quy mô với doanh nghiệp của bạn, tính dễ tích hợp của nó và thời gian thành giá trị được đo lường nhanh như thế nào.

Người mua có thể tự hỏi:

Giải pháp có cung cấp các use case và nội dung bảo mật out-of-the-box không? Các SIEM cung cấp các trường hợp sử dụng out-of-the-box và phát hiện với khả năng tùy chỉnh cho phép các tổ chức nhận ra ngay giá trị từ khoản đầu tư của họ. Tìm một giải pháp không yêu cầu kiến thức về nhiều ngôn ngữ truy vấn có thể giúp các nhân viên triển khai.

Giải pháp có hỗ trợ các quy định tuân thủ trên toàn thế giới không? Hỗ trợ các quy định như GDPR, PCI, SOX và HIPAA có thể giúp các tổ chức đáp ứng các yêu cầu công bố thông tin vi phạm trong khung thời gian mà luật pháp yêu cầu. Một số SIEM cung cấp các báo cáo và mẫu quy tắc được tạo sẵn để giúp các tổ chức giải quyết các yêu cầu tuân thủ trong ngành.

Giải pháp có cung cấp các tùy chọn triển khai linh hoạt không? Giải pháp có được phân phối trên đám mây không? On-Prem? Cả hai? The Forrester Wave for Security Analytics Platforms, Q4 2020 cho biết, “Khi các doanh nghiệp đã chuyển khối lượng công việc của riêng họ sang đám mây để tận dụng quy mô, tính linh hoạt và tính khả dụng của nó, các nhà cung cấp bảo mật cuối cùng đã bắt đầu làm theo với việc phân phối dựa trên đám mây của họ giải pháp phân tích bảo mật ”và tôi đồng ý! Tuy nhiên, mọi tổ chức đều có những nhu cầu riêng và điều quan trọng là phải chọn một phương án có thể đáp ứng được những nhu cầu đó.

Giải pháp có phù hợp với industry frameworks? Nếu nhóm của bạn sử dụng các khuôn khổ ngành như MITER ATT&CK, hãy đảm bảo rằng chúng là một phần của công cụ.

Điều gì tiếp theo cho SIEM Tool?

Core intelligence được cung cấp cho người dùng bởi SIEM của họ luôn ở đây. SIEM sẽ có những thách thức thú vị là cần phải đơn giản để sử dụng trong khi đủ linh hoạt để thích ứng với các mối đe dọa mới nhất và nhu cầu cơ sở hạ tầng đang phát triển. Khi cơ sở hạ tầng và công cụ thay đổi trong các tổ chức, sự tích hợp và nội dung cũng sẽ cần phát triển. Để duy trì sự phù hợp, các nhà cung cấp SIEM sẽ phải dễ dàng tích hợp với các công nghệ khác, ngay cả đối thủ cạnh tranh của họ.

Trong khi SIEM truyền thống tập trung vào phát hiện, chúng sẽ cần được mở rộng để gắn kết chặt chẽ hơn giữa phát hiện sự cố với ứng phó. Mặc dù SIEM cực kỳ có giá trị đối với các nhóm SOC, nhưng họ cũng dựa vào các công cụ khác như công cụ EDR và NDR của họ. Trong nỗ lực không ngừng để giảm thiểu sự phức tạp, ngành công nghiệp hiện đang chuyển hướng theo hướng hợp nhất các công cụ này, như SIEM, EDR và NDR, thành phát hiện và phản hồi mở rộng (XDR).

Tôi nghĩ về XDR là mở rộng khả năng hiển thị trên các mạng, điểm cuối và sự kiện bảo mật của tổ chức. Điều này rất giống với cách tôi nghĩ về SIEM. Vì lý do đó, tôi nghĩ chúng ta có thể sẽ thấy các công cụ SIEM và công cụ XDR hoạt động ngày càng chặt chẽ với nhau trong một số tổ chức và thậm chí được kết hợp bởi một số nhà cung cấp và được các tổ chức sử dụng theo cách đó.

SIEM có lịch sử lâu dài và phong phú trong việc cung cấp giá trị và thúc đẩy kết quả kinh doanh và XDR là công nghệ mới và đang phát triển. Cả hai kết hợp với nhau sẽ có tác động thú vị trong cách chúng ta chống lại các mối đe dọa.

Lược dịch theo bài viết “What Is SIEM and How Does it Work? The Past, Present and Future“, của Wendy Willner, Product Manager, QRadar, IBM Security.

Xem thêm: Tổng quan về giải pháp IBM QRadar SIEM

Tags: , , ,