Giải pháp SIEM cho doanh nghiệp

SIEM là gì?

– SIEM được viết tắt từ cụm từ Security Information and Event Management.  Đây là nơi tập trung event và log trong toàn thể hệ thống của doanh nghiệp, thay vì phải manual từng thiết bị một, từng thiết bị một, thì SIEM sẽ giúp chúng ta tập hợp chúng lại. SIEM là một giải pháp cung cấp lại 1 cái nhìn toàn diện về cái gì đang diễn ra bên trong hệ thống của bạn một cách real-time và từ đó giúp IT Team chủ động hơn trong việc chống lại các mối đe dọa tiềm tàng trong hệ thống.

giai phap siem - hinh 1

Hình 1: Giải pháp SIEM cho doanh nghiệp

Vai trò của giải pháp SIEM?

– SIEM giúp bạn thu thập thống kê thông tin liên quan về security một cách tập trung từ đó bạn có thể phân tích các event liên quan từ đó đưa ra các cảnh báo, phát hiện điểm yếu, lỗ hổng bảo mật. Có thể nói SIEM đóng vai trò như 1 cuốn từ điển đồ sộ ghi nhận lại hết tất cả các sự kiện đã và đang diễn ra trong hệ thống mạng của bạn.

– SIEM đóng vai trò như một trợ lý đắc lực giúp bạn có thể tra cứu thông tin bất kỳ lúc nào bạn cần. Thậm chí SIEM còn chủ động đưa cho bạn các các cảnh báo kịp thời, một cái nhìn toàn diện về bức tranh an toàn thông tin của doanh nghiệp trong 1 thời điểm đã diễn ra và thậm chí dựa trên các thông tin từ SIEM thu thập được bạn có thể đưa ra các dự báo về các hiểm họa về an ninh thông tin, tình trạng sức khỏe của hệ thống, từ đó giúp người IT có thể có các nhận định phù hợp để giúp tránh được các tổn thất lớn từ các mầm họa trong việc.

Tại sao phải cần có giải pháp SIEM và khi nào cần triển khai SIEM?

– Có SIEM bạn sẽ có một giải pháp toàn diện.
– Giả sử bạn đã trang bị IPS/ IDS /AV, nhưng bạn phải nhớ rằng bản thân các thiết bị nầy cũng phải cập nhật Sigset/signeture trong một thời gian nhất định mới đưa ra các action cần thiết trong việc protect hệ thống của bạn nếu trong hệ thsong bạn có IoC(Indicator of compromise) hoặc zero day attack.

– Trong quá trình chưa cập nhật kip để phát hiện các IoC hoặc zero day attack thi việc truy xuất thông tin các even log đã lưu trữ từ SIEM là việc rất hữu ích để giúp bạn có thể trace các security attack đã diễn ra ở thời gian nào, trên thiết bị nào, user nào, ảnh hưởng tới toàn cục ra sao. Vì bản thân SIEM nhận tất cả log, flow từ các nơi để phân tich thống kê.

giai phap SIEM - IoC

Hình 2: Giải pháp SIEM cho doanh nghiệp

– Thông qua SIEM bạn có thể phát hiện được các attack liên quan tới hành vi, đây là việc mà không phải IDS nào cũng có thể làm tròn trách nhiệm được.

– Với sự phát triển của công nghệ thông tin đặc biệt là nhu cầu lưu trữ và truy xuất dữ liệu thì việc có 1 hệ thống SIEM để truy vấn lại thông tin của hệ thống ở 1 thời điểm là điều hầu như bắt buộc với một proffessional enterprise nào. Chưa kể một rất nhiều quốc gia và châu lục hiện tại đã có chính sách ban hành về an ninh thông tin. Và việc phải có hệ thống SIEM lúc nầy không đơn thuần là việc doanh nghiệp bạn muốn hay không mà đó là việc mà bắt buộc phải làm.

So sánh giữa 2 hệ thống đó là  1 bên có SIEM và 1 bên không có SIEM bạn sẽ thấy sự tương quan khá lớn:

Hệ Thống Có Giải Pháp SIEM Hệ Thống Có Giải Pháp Không Có SIEM
– Quản lý event log một cách tập trung và việc truy xuất đến log ở 1 thời điểm nhất định rát dễ dàng – Việc lưu trữ log bạn phải thực hiện trên local, và việc truy xuất logo bạn phải truy xuất đến từng thiết bị một cách thủ công.
– Dựa trên các event log bạn có thể đưa ra các phân tích cho toàn hệ thống một cách tự động hóa một cách dễ dàng. – Việc bạn phân tích log cho toàn thể hệ thống để đưa ra 1 đánh giá tổng thể là một việc làm khá khó, thậm chí sẽ tốn của bạn rất nhiều thời gian.
– Tiết kiệm về chi phí phần cứng phục vụ cho việc lưu trữ log trong 1 thời gian dài: bạn cứ tưởng tượng 1 server xxx bạn đầu tư HDD cho việc lưu trữ log trong 10 năm thì liệu việc nầy có khả thi hay chăng, chưa kể nếu doanh nghiệp bạn có 100 server như vậy bạn phải đầu tư trang bị HDD lưu trữ log cho 100 server, việc đưa log tập trung lại ở 1 mối không chỉ tiết kiệm hơn về chi phí đầu tư mà còn cải thiện performance cho thiết bị vì không phải ghi log lên HDD của server đang vận hành. – Việc lưu trữ log trên từng thiết bị một cách dài hạn đòi hỏi bạn phải trang bị HDD với dung lượng lớn cho từng thiết bị, đó là chưa kể các thiết bị firewall, network device thì internal storage của các thiết bị nầy cực kỳ nhỏ nên thậm chí việc lưu trữ log trên local từng thiết bị nầy hầu như là việc cực kỳ khó khăn và tốn kém. Việc lưu trữ log xuống HDD local đối với nhiều thiết bị vận hành phức tạp thì việc nầy có thể dẫn đến việc ảnh hưởng tới performance của thiết bị đang vận hành khá nhiều.

Khi nào Cần có SIEM?

– Trong việc triển khai giải pháp SIEM cho doanh nghiệp chắc hẳn có nhiều bạn sẽ thác mắc là khi nào bạn cần triển khai SIEM? Đây là câu hỏi mà không chỉ các anh em IT hay thắc mắc mà chính chủ doanh nghiệp cũng có quan tâm tương tự.

– Có nhiều đơn vị, công ty khi được hỏi tại sao lại triển khai giải pháp SIEM họ chỉ trả lời đơn giản: “Để đối phó với các luật liên quan đến an ninh mạng, hay các security compliance mà nhà nước ban hành”.

– Tuy nhiên có nhiều đơn vị, chính chủ doanh nghiệp hơn ai hết họ nhận biết rằng SIEM đóng vai trò cực kỳ quan trọng trong việc góp phần bảo vệ an ninh thông tin cho doanh nghiệp. Mà trong kỹ nguyên 4.0 nầy thì việc an ninh thông tin dường như là yếu tố quyết định sự sống còn của doanh nghiệp.

Các khó khăn gặp phải khi triển khai và vận hành SIEM?

– Để có được giải pháp SIEM phù hợp đã là vấn đề  rất nan giải rồi. Có 5 khó khăn mà doanh nghiệp hay gặp phải:

Thiếu security analysts được đào tạo chuyên sâu:

Doanh nghiệp đã sở hữu một giải pháp SIEM xịn chưa chắc sẽ khai thác hết điểm mạnh của nó.  Một hệ thống SIEM để hoạt động trơn tru nó cần có những con người xịn tương ứng. Nên việc tìm được chuyên gia vận hành SIEM có am hiểu sâu về Cyber Security là vấn đề rất nan giải với rất nhiều doanh nghiệp. Thậm chí có nhiều doanh nghiệp đầu từ SIEM đơn giản là chỉ để đối phó.

Không được training đầy đủ để vận hành hệ thống SIEM

Đây là vấn đề doanh nghiệp thường gặp phải khi triển khai giải pháp SIEM. Việc không được training đầy đủ sẽ dẫn đến doanh nghiệp không khác thác hết sức mạnh mà giải pháp.

Security Team không đủ nhân lực để cover 24/7

– Vấn đề thứ 3: Security Team không đủ nhân lực để cover 24/7. Hacker thường tấn công vào những thời điểm mà đội ngũ security không túc trực. Vì vậy để hệ thống vận hành một cách an toàn việc có một đội ngủ túc trực  24/7.

Những cảnh báo được thiết lập chưa hợp lý

– Những cảnh báo mà bạn thiết lập chưa hợp lý hoặc quá nhiều đến nỗi bạn bị lụt thông tin. Và điều đó làm cho thật sự bị rối trong 1 đống thông tin.

Các thông báo riêng lẽ không chính xác

Các thông báo riêng lẻ không được tương quan chính xác bởi  vậy hệ thống SIEM sẽ không notify.

Lựa chọn SIEM như thế nào thì phù hợp với doanh nghiệp?

Hiện tại có rất nhiều hãng SIEM trên thị trường với  nhiều tính năng tính năng nỗi bật. Vì vậy  tùy hạ tầng và ngân sách  mà  chúng ta quyết định chọn appliance hay virtual application.

Bên cạnh đó giải pháp SIEM mà bạn lữa chọ  hỗ trợ  thời  gian lưu trữ bao lâu. Bạn đặt như thế nào và flow ra sao. Security Team cần  chỉ nhận gì, phân tích ra sao cho phù hợp với chinh sach mỗi công ty.

Để demo cho giải pháp SIEM. Trong seri bài viết nầy ITFORVN sẽ sử dụng phần mềm SPLUNK để demo cho các bạn. Về Splunk đây là 1 enterprise SIEM khá nỗi tiếng và là lựa chọn của rất nhiều doanh nghiệp.

Bài viết có tham khảo các nguồn từ :

  • https://blog.truedigitalsecurity.com/blog/why-siem-deployment-is-so-difficult
  • https://www.forcepoint.com/cyber-edu/indicators-compromise-ioc
Đánh giá post

Leave a Reply

Your email address will not be published. Required fields are marked *