Giải pháp về Thiết bị và Phần mềm An ninh mạng
Trung tâm giám sát điều hành An ninh mạng
Tải về
Bkav eEye Security là Trung tâm giám sát điều hành an ninh mạng (SOC - eEye). Bkav eEye Security đảm bảo được việc cung cấp thông tin cập nhật 24/7 về hiện trạng an ninh của toàn bộ hệ thống, kết nối dữ liệu của tất cả các thành phần quan trọng trong hệ thống như thiết bị tường lửa bảo vệ vòng ngoài, các thiết bị mạng, các hệ thống Endpoint bảo vệ máy chủ, máy trạm, đồng thời giám sát toàn bộ lưu lượng mạng…Các dữ liệu này sẽ được xử lý, phân tích để phát hiện ra các bất thường, từ đó hiển thị các cảnh báo cho người quản lý để kịp thời đưa ra các chỉ đạo xử lý dựa trên các quy trình xử lý SOP (Standard operating procedure)
Trung tâm điều hành Bkav eEye Security sẽ giúp nhanh chóng phát hiện mọi dấu hiệu tấn công vào hệ thống mạng, chủ động ứng phó, từ đó giảm thiểu các thiệt hại. Hệ thống Bkav eEye Security ba gồm 03 thành phần cơ bản sau:
Công nghệ là các phương án, giải pháp kỹ thuật được sử dụng để bảo đảm việc giám sát an toàn thông tin đáp ứng các yêu cầu về kỹ thuật và tính hiệu quả
Quy trình là những quy định trong quy chế, chính sách bảo đảm an toàn thông tin của cơ quan, tổ chức được xây dựng để phục vụ việc quản lý, vận hành hệ thống an toàn.
Con người là việc tổ chức nhân sự cán bộ chuyên trách, chuyên gia và các đội ngũ khác (nếu có) để vận hành quản lý hệ thống Bkav eEye Security và các thành phần liên quan.
Bkav eEye Security bao gồm Hệ Thống hệ thống thu thập, lưu trữ và xử lý dữ liệu ATTT tập trung Security Information & Event Management (SIEM); Hệ thống giám sát, phát hiện tấn công ở mức máy chủ và mức mạng; hệ thống phát hiện tấn công chủ đích trên nền tảng dữ liệu lớn (Security Datamining)
Bkav Security Operations Center (SOC)
Kiến trúc giải pháp Giám sát an ninh mạng tập trung SOC
Sơ đồ hệ thống SOC
  • Network Controller: Đây là nơi tiếp nhận dữ liệu từ các thiết bị mạng trong hệ thống.
  • Sensor Collector: Đầy là nơi tiếp nhận dữ liệu từ các sensor cài trên các máy chủ và thiết bị cần giám sát gửi vể và lưu lại tại server trung tâm phục vụ cho phân tích và điều tra.
  • Analyzer: Đây là nơi phân tích dữ liệu tập chung đảm báo tính sẵn sàng của hệ thống và nhận biết các dấu hiệu tấn công từ chối dịch vụ, tấn công APT.
  • Warning: Đây là trung tâm cảnh báo. Gửi cảnh báo cho quản trị dưới dạng email hoặc SMS để phát hiện tấn công và xử lý.
  • Inspector Admin: Quản trị có thể vào website admin này để cấu hình hệ thống cảnh báo, luật vi phạm, cấu hình cảnh báo.
  • Monitor: Hệ thống màn hình giám sát giúp quản trị viên hệ thống có thể theo dõi trực quan hệ thống 24/7.
  • Monitor Admin: Quản trị hệ thống có thể cấu hình việc giám sát ở đây và cấu hình kết nối đến hệ thống tường lửa thế hệ mới BIF để ngăn chặn chủ động các hành vi tấn công DDoS, các hành vi đang rà quát trái phép trong mạng.
Chức năng của SOC
Giám sát và cảnh báo tính sẵn của các dịch vụ quan trọng trong hệ thống:
  • Giám sát toàn bộ hệ thống theo thời gian thực 24/7 qua màn hình hiển trị trực quan.
  • Giám sát và cảnh báo khi các dịch vụ website không hoạt động (site down) hoặc dung lượng website có thay đổi vượt quá khoảng sai số cho phép
  • Giám sát và cảnh báo thư mục: Kiểm soát thay đổi của các file trong folder quan trọng trên server để phát hiện và phản ứng kịp thời với các thay đổi nội dung file không mong muốn.
  • Giám sát và cảnh báo ổ đĩa: Kiểm soát dung lượng trống tối thiểu của ổ đĩa trên server để đảm bảo ổ đĩa hoạt động bình thường.
  • Giám sát và cảnh báo website: Kiểm soát nhằm đảm bảo website hoạt động liên tục.
  • Giám sát và cảnh báo backup dữ liệu: Kiểm soát nhằm đảm bảo dịch vụ backup dữ liệu tự động (file database, log web) hoạt động thường xuyên và thông suốt.
  • Cảnh báo ping:  Kiểm soát xem Server/Dịch vụ có hoạt động bình thường hay không.
  • Cảnh báo tài nguyên: Kiểm soát hoạt động của các tài nguyên (CPU, RAM của server; băng thông mạng; ổ đĩa).
  • Cảnh báo cập nhật bản vá cho server dịch vụ: Đảm bảo server luôn cập nhật các bản vá mới nhất.
  • Cảnh báo đồng bộ CSDL trên server: Đảm bảo tool đồng bộ CSDL luôn hoạt động đúng như yêu cầu.
  • Cảnh báo đồng bộ folder: Đảm bảo việc đồng bộ Folder bằng các tool đồng bộ (Robocopy, Rsync…) luôn hoạt động đúng.
Giám sát toàn bộ lưu lượng mạng (máy trạm, máy chủ).
Giám sát và bảo vệ toàn bộ hệ thống máy chủ, máy trạm, phát hiện và xử lý kịp thời đợt các tấn công APT 24/7:
  • Phát hiện các cuộc tấn công Web: SQL Injection, XSS …
  • Phát hiện các cuộc tấn công DDoS
  • Phát hiện nguy cơ từ việc phân tích event log
  • Phát hiện sự thay đổi của các file hệ thống, cập nhật bản vá cho server.
  • Phát hiện hành vi kết nối đến các danh sách máy chủ điều khiển của mã độc (Có trong danh sách server mã độc)
  • Phát hiện hành vi rà quét thăm dò trong mạng nhằm lây lan rộng trong hệ thống.
  • Phát hiện các hành vi truy cập trái phép vào các dịch vụ quan trọng (như ssh, remote desktop...) trên server.
  • Cảnh báo thời gian thực qua email, SMS
  • Phân cấp trong cảnh báo: chuyên viên – trưởng phòng – lãnh đạo đơn vị.
  • Gửi report tổng quan và chi tiết các sự kiện.
Mô tả chi tiết chức năng của SOC
1. Chức năng chung
Hệ thống quản trị hạ tầng mạng và giám sát hoạt động có các chức năng cơ bản sau:
Thu nhận số liệu từ mọi thiết bị, hệ thống ứng dụng
Agent
  • Hỗ trợ cài đặt trên đa dạng nền tảng OS (Linux, UNIX, Windows)
  • Hỗ trợ chế độ thu nhận dữ liệu chủ động, bị động.
  • Hỗ trợ thu nhận số liệu như: CPU, Network, Memory, Disk, Dịch vụ, File hệ thống, Log, …
Giao thức SNMP
  • SNMP agent được tích hợp trên hầu hết các thiết bị
  • Hỗ trợ phiên bản SNMP v1, v2, v3
Giao thức IPMI
  • IPMI agent được tích hợp sẵn trên các máy chủ sử dụng nền tảng Intel
  • Dữ liệu cung cấp bởi IPMI phổ biến gồm: nhiệt độ CPU; tốc độ quạt; điện thế; trang thái đĩa vật lý; trạng thái đèn báo;
Giao thức TCP, ICMP, SSH,Telnet
  • TCP: kiểm tra port dịch vụ
  • ICMP: kiểm tra phản hồi ping
  • SSH, Telnet: chạy lệnh từ xa để thu thập thông tin phản hồi
  • Hỗ trợ nhận diện phản hồi các dịch vụ: FTP, IMAP, HTTP, HTTPS, LDAP, NNTP, POP3, SMTP, SSH, TCP và Telnet
Kịch bản tùy biến
  • Khi số liệu cần thu nhận chưa được hỗ trợ sẵn, có thể tạo và tùy biến các kịch bản thông qua các ngôn ngữ lập trình (shell script, Perl, Python, Ruby, ...) để thu thập số liệu
Tính toán mở rộng trên số liệu thu nhận
  • Hỗ trợ tính toán trên số liệu thu nhận để tạo ra số liệu tổng hợp theo nhu cầu
Hỗ trợ giám sát linh hoạt web site
  • Hỗ trợ thu thập các thông số cơ bản: tốc độ tải, thời gian phản hồi, code phản hồi, kiểm tra chuỗi trong phản hồi
  • Định nghĩa ngưỡng linh hoạt.
Hỗ trợ phát hiện vấn đề
  • Dự đoán trước xu hướng giá trị thu nhận.
  • Phân tích dữ liệu lịch sử.
  • Xây dựng các phản ứng áp dụng thuật toán trên nhiều giá trị thu nhận từ nhiều thiết bị
  • Xây dựng các phụ thuộc để cảnh báo chính xác nguyên nhân chính của vấn đề
  • Hỗ trợ 06 mức cảnh báo
Giao diện quản lý, giám sát trực quan
Giao diện hiển thị dạng
  • Bảng điều khiển dựa trên widget.
  • Đồ thị.
  • Bản đồ mạng.
  • Trình chiếu.
  • Báo cáo chi tiết
Cảnh báo
Gửi cảnh báo đến đúng người qua các phương thức và tùy chọn:
  • SMS, Email, qua ứng dụng theo các kịch bản tùy biến
  • Nâng cấp độ cảnh báo linh hoạt dựa theo định nghĩa cấp độ dịch vụ người xử lý
  • Tùy chỉnh thông điệp cảnh báo theo vai trò người nhận.
  • Thực hiện lệnh từ xa.
  • Cảnh báo các nguy cơ đến người dùng dựa trên định danh của người sử dụng
Bảo mật và xác thực
Bảo vệ dữ liệu nhiều mức:
  • Mã hóa TLS giữa agent và máy chủ giám sát.
  • Hỗ trợ đa dạng hình thức xác thực người sử dụng: Open LDAP, Active Directory
  • Hỗ trợ cấp quyền linh hoạt cho người sử dụng.
Giám sát
Giám sát theo mô hình của Bộ Thông tin và Truyền thông
  • Quản lý tập trung, giám sát phân tán nhiều vị trí địa lý thông qua proxy.
  • Giám sát đằng sau tường lửa.
  • Thu thập dữ liệu ngay cả trong trường hợp xảy ra sự cố mạng.
  • Chạy từ xa các tập lệnh tùy chỉnh trên các máy chủ được giám sát.
2. Chức năng chi tiết
Hệ thống quản trị hạ tầng mạng và giám sát hoạt động các ứng dụng Chính phủ điện tử, Đô thị thông minh, Chuyển đổi số
Quản lý, giám sát tổng thể mô hình hoạt động của toàn bộ hệ thống mạng
  • Xây dựng bức tranh tổng thể về hiện trạng hoạt động của toàn bộ hạ tầng mạng.
  • Cảnh báo các nguy cơ an ninh trong toàn bộ hệ thống.
  • Hỗ trợ phát hiện nhanh, truy vết các vấn đề trong hệ thống.
Quản lý, Giám sát trạng thái hoạt động máy chủ
  • Giám sát trạng thái thiết bị.
  • Giám sát hiệu năng CPU.
  • Giám sát hiệu năng bộ nhớ RAM.
  • Giám sát hiệu năng và tình trạng ổ cứng.
  • Giám sát hiệu năng mạng.
  • Hỗ trợ giám sát các thông số khác theo yêu cầu của khách hàng.
  • Hỗ trợ hệ điều hành Window, Linux.
Quản lý, Giám sát trạng thái hoạt động của các thiết bị mạng, thiết bị an ninh…
  • Giám sát trạng thái thiết bị.
  • Giám sát hiệu năng CPU.
  • Giám sát hiệu năng bộ nhớ RAM.
  • Giám sát hiệu năng và tình trạng ổ cứng.
  • Giám sát hiệu năng mạng.
  • Giám sát nhiệt độ của thiết bị.
  • Hỗ trợ giám sát các thông số khác theo yêu cầu của khách hàng.
Quản lý, Giám sát trạng thái hoạt động của các thiết bị dùng chung
  • Giám sát trạng thái hoạt động của thiết bị.
  • Giám sát các cảnh báo của thiết bị.
  • Giám sát các thông số khác được hỗ trợ bởi thiết bị.
  • Hỗ trợ giám sát nhiều loại thiết bị: máy in, camera, UPS, máy phát điện, điều hòa…
  • Giám sát, cảnh báo các nguy cơ an ninh liên quan đến cập nhật hệ điều hành (hệ điều hành Windows)
Quản lý, Giám sát, cảnh báo các nguy cơ an ninh hệ thống
  • Cảnh báo các nguy cơ an ninh bất thường của hệ thống
  • Giám sát hoạt động cập nhật, khắc phục các bản vá an ninh
  • Giám sát các chính sách áp dụng trên máy chủ (hệ điều hành Windows)
  • Đánh giá tính phù hợp của chính sách áp dụng trên máy chủ so với quy định của tổ chức
  • Cảnh báo các chính sách vi phạm quy định của tổ chức
Quản lý, Giám sát, cảnh báo hoạt động của hệ thống: ứng dụng, cổng thông tin điện tử, thư điện tử…
  • Giám sát trạng thái hoạt động của ứng dụng.
  • Giám sát hoạt động cơ sở dữ liệu.
  • Phân tích log, cảnh báo bất thường hệ thống.
  • Tùy chỉnh theo mô hình hoạt động của hệ thống phần mềm
Triển khai
  • Hỗ trợ triển khai phân tán, trên nhiều site, phù hợp với mô hình hệ thống.
  • Phân chia, quản lý người dùng theo các cấp theo chức năng nhiệm vụ
Cảnh báo các nguy cơ an ninh phát hiện
  • Cảnh báo trên giao diện website.
  • Cảnh báo qua email.
  • Cảnh báo qua ứng dụng trên di động.
  • Cảnh báo qua SMS.
  • Cảnh báo qua các ứng dụng khác: MS Team, Telegram, Zendesk, ...
Báo cáo
  • Báo cáo tự động phục vụ công tác quản trị
  • Cơ chế phân quyền thực hiện kết xuất báo cáo
Hệ thống quản lý giám sát nguy cơ an ninh cho website
Rà quét an ninh website, web service
  • Rà quét các lỗ hổng liên quan đến hệ điều hành, dịch vụ Web Server.
  • Phát hiện lộ lọt các thông tin nhạy cảm (tài khoản mặc định, mật khẩu yếu).
  • Kiểm tra cấu hình an ninh chuẩn của một Webserver.
  • Kiểm tra các nguy cơ liên quan tới upload dữ liệu.
  • Rà quét - cảnh báo mọi lỗ hổng và kiểm thử xâm nhập hoàn toàn tự động.
  • Hỗ trợ lập lịch và tần suất cho công cụ bảo vệ.
  • Báo cáo chi tiết về kết quả và cách khắc phục lỗi Website
Hướng dẫn khắc phục lỗ hổng điểm yếu
  • Các biện pháp khắc phục tương ứng với các lỗ hổng và các thông tin đã thu thập được.
  • Theo dõi số lượng lỗ hổng điểm yếu đã khắc phục, chưa khắc phục, chưa xử lý thông qua giao diện quản trị.
  • Ghi dấu, theo dõi, giám sát quá trình khắc phục lỗ hổng điểm yếu
Hệ thống quản lý giám sát nguy cơ an ninh cho hệ thống mạng
Giám sát toàn diện an ninh hệ thống
  • Hệ thống quản lý giám sát nguy cơ an ninh cho mạng Lan có khả năng rà quét, phát hiện và thu thập nhiều thông tin trong hạ tầng mạng như: thông tin về hệ điều hành, phần mềm, và các ứng dụng
  • Thu thập các thông tin trái phép đang tồn tại bên trong hệ thống từ đó cảnh báo tới quản trị viên
  • Phát hiện, cảnh báo thông tin thiết bị mới tham gia vào hệ thống mạng.
  • Phát hiện, cảnh báo các dấu hiệu bất thường của của thiết bị, máy chủ.
  • Cảnh báo nguy cơ an ninh qua email. Cảnh báo an ninh với tối thiểu 4 tiêu chí: Lỗ hổng mức Nghiêm trọng, Lỗ hổng mức Cao, Bất thường, Kiểm thử xâm nhập.
  • Đánh giá mức độ an ninh mạng của hệ thống tại thời điểm hiện tại.
Rà quét an ninh hệ thống
  • Rà quét, phát hiện các thiết bị trong hệ thống mạng.
  • Rà quét, phát hiện các lỗ hổng hệ điều hành.
  • Rà quét, phát hiện các lỗ hổng an ninh: Lỗ hổng hệ điều hành, Lỗ hổng phần mềm.
  • Các biện pháp khắc phục tương ứng với các lỗ hổng và các thông tin đã thu thập được.
Tấn công kiểm thử
  • Tấn công thử nghiệm với các lỗ hổng mức độ nguy hiểm an ninh Nghiêm trọng.
Báo cáo
  • Cung cấp báo cáo sau mỗi lần thực hiện rà quét hoặc định kỳ cung cấp báo cáo hàng ngày, hàng tuần, hàng tháng hoặc trong các trường hợp đột xuất theo yêu cầu.
  • Hỗ trợ báo cáo theo các mức độ khác nhau (báo cáo tổng quan, báo cáo chi tiết).
Phương thức vận hành
  • Quản trị thông qua giao diện Website.
  • Cấu hình mạng và các thông số cho thiết bị thông qua giao diện quản trị.
  • Hướng dẫn sử dụng tích hợp trên phần mềm.
Kết nối đến các hệ thống thiết bị mạng, hệ thống an toàn bảo mật khác
  • Có khả năng kết nối với các hệ thống thiết bị mạng, hệ thống an toàn bảo mật, hệ thống phòng chống mã độc tập trung của tỉnh đã triển khai.
  • Kết nối chia sẻ thông tin với Trung tâm giám sát không gian mạng quốc gia NCSC
Lưu trữ, cảnh báo, điều tra, tìm kiếm nguy cơ thông qua Log
  • Thu thập log chủ động bằng agent cài trên các máy chủ, máy trạm
  • Thu thập log từ các thiết bị mạng, thiết bị an ninh mạng