Giải pháp về Thiết bị và Phần mềm An ninh mạng
Hệ thống trung tâm giám sát An ninh mạng Bkav SOC
Bkav Security Operations Center (SOC) là Trung tâm giám sát An ninh mạng do Bkav phát triển. Bên cạnh việc giám sát tính sẵn sàng của các dịch vụ quan trọng trong hệ thống, SOC còn có khả năng phát hiện sớm kiểu tấn công nằm vùng đặc trưng của các cuộc tấn công APT, từ đó cảnh báo để quản trị hệ thống cách ly, xử lý các máy tính đã bị xâm nhập, ngăn chặn hacker có thể thọc sâu vào hệ thống.
Bkav Security Operations Center (SOC)
Kiến trúc giải pháp Giám sát an ninh mạng tập trung SOC
Sơ đồ hệ thống SOC
  • Network Controller: Đây là nơi tiếp nhận dữ liệu từ các thiết bị mạng trong hệ thống.
  • Sensor Collector: Đầy là nơi tiếp nhận dữ liệu từ các sensor cài trên các máy chủ và thiết bị cần giám sát gửi vể và lưu lại tại server trung tâm phục vụ cho phân tích và điều tra.
  • Analyzer: Đây là nơi phân tích dữ liệu tập chung đảm báo tính sẵn sàng của hệ thống và nhận biết các dấu hiệu tấn công từ chối dịch vụ, tấn công APT.
  • Warning: Đây là trung tâm cảnh báo. Gửi cảnh báo cho quản trị dưới dạng email hoặc SMS để phát hiện tấn công và xử lý.
  • Inspector Admin: Quản trị có thể vào website admin này để cấu hình hệ thống cảnh báo, luật vi phạm, cấu hình cảnh báo.
  • Monitor: Hệ thống màn hình giám sát giúp quản trị viên hệ thống có thể theo dõi trực quan hệ thống 24/7.
  • Monitor Admin: Quản trị hệ thống có thể cấu hình việc giám sát ở đây và cấu hình kết nối đến hệ thống tường lửa thế hệ mới BIF để ngăn chặn chủ động các hành vi tấn công DDoS, các hành vi đang rà quát trái phép trong mạng.
Chức năng của BSOC
Giám sát và cảnh báo tính sẵn của các dịch vụ quan trọng trong hệ thống:
  • Giám sát toàn bộ hệ thống theo thời gian thực 24/7 qua màn hình hiển trị trực quan.
  • Giám sát và cảnh báo khi các dịch vụ website không hoạt động (site down) hoặc dung lượng website có thay đổi vượt quá khoảng sai số cho phép
  • Giám sát và cảnh báo thư mục: Kiểm soát thay đổi của các file trong folder quan trọng trên server để phát hiện và phản ứng kịp thời với các thay đổi nội dung file không mong muốn.
  • Giám sát và cảnh báo ổ đĩa: Kiểm soát dung lượng trống tối thiểu của ổ đĩa trên server để đảm bảo ổ đĩa hoạt động bình thường.
  • Giám sát và cảnh báo website: Kiểm soát nhằm đảm bảo website hoạt động liên tục.
  • Giám sát và cảnh báo backup dữ liệu: Kiểm soát nhằm đảm bảo dịch vụ backup dữ liệu tự động (file database, log web) hoạt động thường xuyên và thông suốt.
  • Cảnh báo ping:  Kiểm soát xem Server/Dịch vụ có hoạt động bình thường hay không.
  • Cảnh báo tài nguyên: Kiểm soát hoạt động của các tài nguyên (CPU, RAM của server; băng thông mạng; ổ đĩa).
  • Cảnh báo cập nhật bản vá cho server dịch vụ: Đảm bảo server luôn cập nhật các bản vá mới nhất.
  • Cảnh báo đồng bộ CSDL trên server: Đảm bảo tool đồng bộ CSDL luôn hoạt động đúng như yêu cầu.
  • Cảnh báo đồng bộ folder: Đảm bảo việc đồng bộ Folder bằng các tool đồng bộ (Robocopy, Rsync…) luôn hoạt động đúng.
Giám sát toàn bộ lưu lượng mạng (máy trạm, máy chủ).
Giám sát và bảo vệ toàn bộ hệ thống máy chủ, máy trạm, phát hiện và xử lý kịp thời đợt các tấn công APT 24/7:
  • Phát hiện các cuộc tấn công Web: SQL Injection, XSS …
  • Phát hiện các cuộc tấn công DDoS
  • Phát hiện nguy cơ từ việc phân tích event log
  • Phát hiện sự thay đổi của các file hệ thống, cập nhật bản vá cho server.
  • Phát hiện hành vi kết nối đến các danh sách máy chủ điều khiển của mã độc (Có trong danh sách server mã độc)
  • Phát hiện hành vi rà quét thăm dò trong mạng nhằm lây lan rộng trong hệ thống.
  • Phát hiện các hành vi truy cập trái phép vào các dịch vụ quan trọng (như ssh, remote desktop...) trên server.
Cảnh báo thời gian thực qua email, SMS:
  • Phân cấp trong cảnh báo: chuyên viên – trưởng phòng – lãnh đạo đơn vị.
  • Gửi report tổng quan và chi tiết các sự kiện.