GIỚI THIỆU SẢN PHẨM, DỊCH VỤ ĐỀ XUẤT

Hà nội 2020
 MỤC LỤC
GIỚI THIỆU CHI TIẾT SẢN PHẨM, DỊCH VỤ ĐỀ XUẤT.........................0
I. GIỚI THIỆU CHI TIẾT CÁC SẢN PHẨM, DỊCH VỤ ĐỀ XUẤT...........2
1. Dịch vụ giám sát an ninh mạng 24/7 - Cloud Managed Security Services
(SOC on-cloud)..................................................................................................2
2. Mô tả một số thành phần trong giải pháp SOC on-cloud..............................7
3. Mô tả kỹ thuật giải pháp NAC.....................................................................14
7. Kết quả đạt được..........................................................................................14
8. Điều kiện đảm bảo (triển khai hệ thống SOC Cloud)..................................14
I. GIỚI THIỆU CHI TIẾT CÁC SẢN PHẨM, DỊCH VỤ ĐỀ XUẤT
1. Dịch vụ giám sát an ninh mạng 24/7 - Cloud Managed Security Services
(SOC on-cloud)
Dịch vụ Giám sát an toàn thông tin mạng trên nền tảng điện toán đám
mây của Công ty An ninh mạng Viettel hỗ trợ khách hàng giảm sát toàn diện
24/7/365 trên các lớp, giúp phát hiện sớm và phản ứng lại các sự cố mất ATTT.
Giải pháp được triển khai trên nền tảng Cloud, giúp tiết kiệm các chi phí đầu tư
phần cứng mà vẫn đảm bảo khách hàng được trải nghiệm toàn bộ những tính
năng ưu việt của dịch vụ với chi phí hợp lý, cạnh tranh, các mức cam kết chất
lượng dịch vụ (SLA) rõ ràng, được vận hành bởi đội ngũ chuyên gia giàu kinh
nghiệm, được
công nhận trên toàn thế giới.

Dịch vụ bao gồm:

a. Giám sát hệ thống máy chủ, máy trạm
Hệ thống máy chủ, máy tính sẽ được thực hiện giám sát 24/7/365. Phạm vi
giám sát bao gồm:
+ Giám sát và phát hiện các dấu hiệu tấn công mạng như dấu hiệu kết nối
đến máy chủ điều khiển mã độc (C&C), dấu hiệu lây lan mã độc diện rộng
trong hệ thống.
 + Giám sát và phát hiện các dấu hiệu bất thường trên lớp endpoint (máy
trạm/máy chủ) trong hệ thống của khách hàng.
+ Phát hiện các dấu hiệu xâm nhập trên lớp endpoint.
+ Phát hiện và diệt virus trên các máy chủ và các máy trạm theo mô hình
quản trị tập trung.
b. Giám sát, phát hiện tấn công lớp mạng
Lưu lượng mạng và các gói tin sẽ được các cảm biến thu thập, bóc tách, kết
hợp với công nghệ phân tích mã độc tự động (Sandboxing) để phân tích tự
động và phát hiện các dấu hiệu bất thường, các nguy cơ bị tấn công tiềm ẩn
trên lớp mạng. Module giám sát mạng còn cung cấp các công cụ hỗ trợ đội ngũ
quản trị trong quá trình điều tra, truy vết và phân tích chuyên sâu các dấu hiệu
tấn công mạng
c. Quản lý, phân tích log tập trung
Hệ thống giám sát, thu thập và phân tích log tập trung là nền tảng giám
sát tổng thể, đóng vai trò cốt lõi trong dịch vụ Cloud M.S.S. Hệ thống này
cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ
log, các sự kiện ATTT mạng được sinh ra trong hệ thống CNTT của tổ
chức và cung cấp khả năng giám sát và phân tích dữ liệu vận hành theo
thời gian thực. Có thể sử dụng giải pháp để tìm kiếm, giám sát, phân tích
và xem xét trực quan các nguồn dữ liệu do tất cả các thiết bị khác nhau
tạo ra giúp hỗ trợ tối đa các tổ chức, đơn vị trong việc nhanh chóng phát
hiện và xử lý những sự cố, nguy cơ về ATTT trong hệ thống.
d. Nền tảng điều phối an ninh và phản ứng tự động
Viettel Cloud M.S.S được vận hành trên nền tảng điều phối thông minh,
tự đống hóa phản ứng. Nền tảng này giúp tích hợp các công nghệ và các
bộ quy trình bảo mật vào quá trình vận hành hệ thống một cách tự động
để tạo nên một hệ sinh thái sản phẩm ATTT gắn kết hơn, tối ưu hiệu quả
của quá trình giám sát, phân tích và xử lý sự cố
e. Phản ứng và ứng ứng cứu sự cố 24/7
Hệ thống của khách hàng sẽ được giám sát 24/7 bởi đội ngũ chuyên gia
của Viettel Cyber Security. Ngay khi phát hiện tấn công xâm nhập, các
chuyên gia an ninh mạng sẽ tiến hành điều tra, khoanh vùng và cô lập
phạm vi bị tấn công khỏi hệ thống mạng của khách hàng, sau đó thực
hiện các biện pháp nghiệp vụ, rà soát, phản ứng trên toàn mạng để ứng
cứu, xử lý và ngăn chặn việc leo thang, mở rộng phạm vi lây nhiễm.
Sau khi hoàn thành ứng cứu sự cố, khách hàng sẽ nhận được báo cáo bao
gồm cách thức xâm nhập, thời gian lây nhiễm và khuyến nghị cách thức
khắc phục các lỗ hổng đã bị lợi dụng trong quá trình bị tấn công.
f. Báo cáo định kỳ
Để đảm bảo khách hàng luôn được cập nhật và nắm bắt thông tin về tình
trạng ATTT trong hệ thống, các báo cáo định kỳ về tình hình sẽ được cung
cấp trong suốt quá trình sử dụng dịch vụ
Mô hình triển khai:

Mô hình chung của hệ thống SOC on Cloud

Trong đó:
+ Sensor NSM (triển khai trên máy chủ tại TTDL ): Là các cảm biến, đóng
vai trò thu thập các dữ liệu log, lưu lượng mạng và các gói tin trên hệ thống
thông tin, được triển khai tại hệ thống mạng của khách hàng.
+ Forwarder (triển khai trên máy chủ tại TTDL): thu thập log từ nhiều
nguồn: firewall, Router, Agent SIEM, Agent EDR sau đó thực hiện mã hóa 2
chiều & forward log ra mạng internet gửi về hệ thống Cloud MSS.
 Viettel SOAR - Security Orchestration, Automation and Response: là
giải pháp tập trung cho các thao tác vận hành, xử lý trên SOC bằng các
phương pháp tự động hóa thông qua sự tích hợp giữa SOC và các nền tảng
IT, Security khác nhau nhằm nâng cao hiệu quả của các hoạt động giám
sát, xử lý của SOC. Cho phép người vận hành điều tra, xác minh xử lý các
ticket căn cứ theo các mức độ cảnh báo.
 Viettel SIEM: Là giải pháp quản lý, lưu trữ, phân tích log/dữ liệu an toàn
thông tin tập trung và đưa ra các cảnh báo an toàn thông tin.
+ 24/7 Monitoring:
 Là đội ngũ nhân sự vận hành, giám sát 24/7 của Công ty An ninh mạng
Viettel; Thực hiện trực giám sát, xử lý các sự kiện ATTT cho Tỉnh/Thành
 Phố tại Trung tâm Giám sát ATTT của Công ty An ninh mạng Viettel
thông qua hệ thống giám sát tập trung trên nền tảng điện toán đám mây -
Cloud.
+ Global Threat Intelligence của Viettel: Là hệ thống cung cấp, cập nhật tri
thức về ATTT cho nền tảng Cloud MSS cảnh báo về hệ thống SOC để đội ngũ
quản trị/vận hành kiểm tra khắc phục.
Tổ chức thực hiện:
Viettel xây dựng cho khách hàng mô hình vềcác thành phần nhân sựvận hành hệ
thống Cloud M.S.S đạt chuẩn quốc tế, được chia thành 6 nhóm như sau:

+ Tier 1 (Viettel): Thực hiện giám sát 24/7 và chịu trách nhiệm xử lý các cảnh
báo theo hướng dẫn.
+ Tier 2 (Bệnh viện Bạch Mai): Tiếp nhận các sự cố từ Tier 1 và xử lý các sự
cố thông thường và leo thang sự cố đến Tier 3 với những sự cố không xử lý
thành công.
+ Tier 3 (Viettel): Tiếp nhận các sự cố leo thang từ Tier 2 để xử lý chuyên sâu
hơn, đồng thời viết lại hướng dẫn xử lý đối với các sự cố tương tự để hướng dẫn,
đào tạo cho Tier 2.
+ Content Analysis (Viettel): Cải thiện, nâng cao, tối ưu hóa khả năng xử lý
của hệ thống.
+ Threat Analysis (Viettel): Rà soát, phân tích, cập nhật các tri thức về các
nguy cơ mới vào hệ thống.
+ SOC Manager (Viettel): Quản lý điều hành hệ thống và kiểm tra, đánh giá
hiệu suất làm việc của hệ thống
Ưu điểm nổi bật:
Với thế mạnh là một nhà cung cấp dịch vụ viễn thông và Internet hàng đầu
trong nước và các nước lân cận, Viettel có khả năng nhận biết sớm được các bất
thường, các nguy cơ mất an toàn thông tin trên toàn bộ mạng lưới. Bên cạnh đó,
với đội ngũ chuyên gia hàng đầu cũng những công cụ tiên tiến nhất, Viettel cam
kết cung cấp cho khách hàng những dịch vụ hàng đầu, đáng tin cậy nhất và đạt
hiệu quả cao nhất.
Một số ưu thế của dịch vụ Viettel Cloud Mananged Security Service:
+ Nhà cung cấp dịch vụ viễn thông và ISP hàng đầu.
+ Khả năng nhận biết sớm các bất thường và các nguy cơ mất ATTT trên toàn
bộ mạng lưới.
+ Hiệu quả về công tác tài chính và quản lý.
+ Giải pháp minh bạch, rõ ràng.
+ Đội ngũ chuyên nghiệp, chất lượng cao.
+ Khả năng ứng cứu sự cố 24/7.
1. Mô tả một số thành phần trong giải pháp SOC on-cloud
a. Giám sát lớp mạng – NSM Sensor
Đặc tính kỹ thuật:
+ Phát hiện tấn công dựa trên signature.
+ Phát hiện tấn công dựa trên các hành vi bất thường.
+ Sử dụng công nghệ phân tích và xử lý tập trung: sử dụng công nghệ và
giải pháp đồng bộ với các thành phần khác như hệ thống giám sát bất thường
máy chủ để tạo thành giải pháp toàn diện, có thể phát hiện những loại APTs, mã
độc chưa được biết đến.
+ Tích hợp với hệ thống quản trị tập trung SOC: các thông tin, sự kiện an
ninh sau quá trình phân tích sẽ được gửi đến hệ thống quản trị tập trung SOC
giúp quản trị viên có bức tranh toàn cảnh về tình hình an ninh của hệ thống
Phương án triển khai hệ thống:
+ Hệ thống Network Security Monitoring (NSM) được triển khai ngoại
tuyến sử dụng cổng Mirror/SPAN trên switch tại vùng mạng Core, DMZ tại DC,
vùng mạng người dùng và tại trung tâm miền tại miền Trung và miền Nam, để
thu nhận thông tin truyền trên mạng, đưa các thông tin này vào môi trường thực
thi ảo (Advanced Malware Analysis) để phân tích.
 Các kết quả đạt được:
+ Ngăn chặn phát hiện sớm các cuộc tấn công mới và chưa biết (Zero day
attacks) theo thời gian thực.
+ Tích hợp với các giải pháp bảo mật khác để ra quyết định bảo vệ chính
xác và tức thì.
Nâng cao bảo mật với việc chia sẻ thông tin tấn công tới hệ thống quản lý sự
kiện an ninh, các chuyên gia an ninh mạng sớm tìm ra tấn công và đưa ra các
mẫu tấn công.
b. Giải pháp giám sát an ninh mạng - SIEM
Đặc tính kỹ thuật:
+ Thu thập dữ liệu từ các thành phần/hệ thống khác, chuẩn hóa và loại bỏ
dữ liệu dư thừa, phân loại theo định dạng chung tối ưu hóa cho việc phân tích và
điều tra xử lý sự cố
+ Phân tích, phát hiện tấn công thời gian thực dựa trên chuỗi tấn công
(Killchain) và các dấu hiệu xâm nhập (IOC). Hệ thống tập luật (rule) mềm dẻo,
dễ chỉnh sửa và giúp phát hiện các dấu hiệu khả nghi, những hành vi bất thường
bên trong hệ thống cần phải điều tra, xử lý, loại bỏ các cảnh báo giả, không
chính xác
+ Dashboard giám sát trực quan, đa dạng: cung cấp giao diện dashboard
trực quan, dễ sử dụng, có sẵn các loại dashboard/biểu đồ giám sát theo nhiều
tiêu chí, theo các use case vận hành SOC thường gặp và có thể tùy chỉnh dễ
dàng.
 + Quản lý workflow: cung cấp hệ thống quản lý ticket và workflow nhiều
cấp giúp quản lý vận hành SOC. Hệ thống giúp lưu trữ và truy vết lịch sử, xử lý
sự cố dễ dàng, đồng thời quản lý được vòng đời của các sự cố từ khi bắt đầu đến
khi kết thúc
Tối ưu lưu trữ và tìm kiếm phục vụ cho điều tra: hệ thống lưu trữ dữ liệu
được sắp xếp, sao lưu, tinh chỉnh để phục vụ tối đa cho việc điều tra và xử lý sự
cố. Hệ thống này cũng có thể mở rộng được theo yêu cầu của người quản trị.
Dữ liệu đa dạng và toàn diện
Giải pháp SIEM thu thập dữ liệu ATTT từ nhiều nguồn, giúp mang lại góc
nhìn toàn cảnh về các vấn đề và nguy cơ bên trong của hệ thống. Các thiết bị cần
quản lý sẽ được thu thập log thông qua chế lấy Syslog hoặc bằng các giao thức
như: JDBC, SNMP, SDEE, OPSEC… Giải pháp của cho phép hỗ trợ thu thập
log của thiết bị vật lý và thiết bị ảo. Hệ thống đặc biệt tương thích tốt với các
giải pháp khác như Network Security Management, Server Endpoint…
Chuẩn hoá và loại bỏ dữ liệu dư thừa
Dữ liệu thu thập về sẽ được hệ thống sắp xếp, chuẩn hoá và phân loại lại
theo một định dạng chung, tối ưu hoá cho việc phân tích và điều tra xử lý sự cố.
Đồng thời dữ liệu cũng được lọc bớt các thành phần dư thừa, đảm bảo cho
người vận hành có thể điều tra và nhận diện nhanh chóng các vi phạm, tấn công
đang xảy ra trong hệ thống, từ đó đưa ra các quyết định hiệu quả và kịp thời.
Phát hiện tấn công thời gian thực dựa trên Killchain và IOC
Thành phần phân tích và phát hiện tấn công của SIEM có khả năng xử lý với
tốc độ dữ liệu lên đến 30000EPS/1 thiết bị và có khả năng mở rộng theo quy mô
của hệ thống. Qua đó, giúp phát hiện nhanh chóng các vi phạm, tấn công vào hệ
thống.
Công nghệ phân tích tương quan nhiều chiều theo thời gian thực, nhiều pha
trên dữ liệu, sử dụng các mô hình mới trên thế giới như Killchain và IOC. Hệ
thống tập luật mềm dẻo, tương thích dễ dàng với môi trường hạ tầng của các tổ
chức khác nhau.
Bộ phân tích của SIEM giúp nhanh chóng phát hiện ra các dấu hiệu khả
nghi, những hành vi bất thường bên trong hệ thống cần phải điều tra, xử lý; loại
bỏ các cảnh báo giả, không chính xác.
Tối ưu lưu trữ và tìm kiếm phục vụ cho điều tra
 Hệ thống lưu trữ dữ liệu được sắp xếp, sao lưu, tinh chỉnh để phục vụ tối đa
cho việc điều tra và xử lý sự cố. Hệ thống này cũng có thể mở rộng dễ dàng theo
quy mô, yêu cầu của hệ thống khách hàng.
Hỗ trợ lưu trữ dữ liệu dạng thô (Raw Data) và dữ liệu đã chuẩn hóa
(Normalized data) trong thời gian dài phục vụ tìm kiếm thông tin, điều tra sự cố
cũng như không cần mở rộng lưu trữ lên SAN.
Dashboard giám sát trực quan, đa dạng
Hệ thống SIEM cung cấp một giao diện dashboard trực quan, thân thiện.
Giải pháp cung cấp sẵn hàng chục loại portlet giám sát theo nhiều tiêu chí đa
dạng, theo các use case vận hành thường gặp.
Hệ thống dashboard và portlet giúp tối ưu hoá công việc vận hành giám sát
hệ thống. Chuyên viên vận hành có thể nhanh chóng nhìn được các cảnh báo, vi
phạm xảy ra trên hệ thống.
Quản lý workflow
Không chỉ phân tích và chỉ ra các cảnh báo, vi phạm của hệ thống, giải pháp
SIEM còn cung cấp một hệ thống quản lý ticket và workflow giúp quản lý vận
hành khai thác ATTT. Hệ thống giúp lưu trữ và truy vết lịch sử, xử lý sự cố dễ
dàng, đồng thời quản lý được vòng đời của các sự cố từ khi bắt đầu đến khi kết
thúc.
Phương án triển khai hệ thống:
Giải pháp sản phẩm sẽ thu thập nhật ký (log) dạng thô từ các hệ thống bảo
mật khác như Firewall, Secure Web Gateway, Anti-virus… để lưu trữ, chuẩn
hoá và phân tích tập trung dựa trên nguyên lý hoạt động với ba tầng xử lý dữ
liệu đặt tại vùng mạng SOC:
+ Tầng Data Source: Là nơi phát sinh dữ liệu ban đầu (raw data), với hệ
thống hạ tầng CNTT phức tạp hiện nay, các thành phần của Data Source có thể
là hệ điều hành, ứng dụng, giải pháp Anti-virus, thiết bị mạng, thiết bị bảo mật
Firewall, Proxy, IPS/IDS, các truy cập của người dùng, Admin …
+ Tầng SIEM Analysis: Đây là hệ thống phân tích dữ liệu thu thập được từ
Data Source, tại đây dữ liệu được chuẩn hóa, làm mịn, phân loại và phân tích
tương quan theo nhiều chiều để phát hiện các dấu hiệu, hành vi bất thường xuất
hiện trong hệ thống.
 + Tầng SIEM Console: Là hệ thống front-end tương tác với người dùng,
giúp người dùng vận hành giám sát và xử lý cảnh báo, vi phạm, hoặc tìm kiếm,
điều tra các thông tin từ hệ thống.

Các kết quả đạt được:

+ Lưu trữ và quản lý nhật ký tập trung, đồng bộ, an toàn và phục vụ nhanh
chóng các yêu cầu về truy vấn, tìm kiếm thông tin liên quan đến nhật ký an ninh
của toàn hệ thống.
+ Thực hiện theo dõi, phân tích, tạo báo cáo về các vấn đề an ninh trong hệ
thống một cách tập trung, hiệu quả. Từ đó nâng cao khả năng bảo vệ của hệ
thống.
+ Thông tin được tổng hợp và phân tích theo thời gian thực cho phép nhận
ra được các tấn công, các xâm hại vào hệ thống, các dấu hiệu vi phạm chính
sách an toàn thông tin từ đó có một “bức tranh” toàn cảnh về an ninh bảo mật
của hệ thống thông tin;
+ Làm tiền đề trong việc xây dựng hệ thống SOC.
c. Giải pháp điều phối, tự động hóa và phản ứng sự cố (Viettel
Orchestration, Automation and Response)
Giới thiệu
 Viettel SOAR - Security Orchestration, Automation and Response là giải
pháp tập trung cho các thao tác vận hành, xử lý trên SOC bằng các phương pháp
tự động hóa thông qua sự tích hợp giữa SOC và các nền tảng IT, Security khác
nhau nhằm nâng cao hiệu quả của các hoạt động giám sát, xử lý của SOC.
Tính năng
Automation:
+ Thực hiện một thao tác hoàn toàn tự động bằng máy thông qua các công
cụ ứng dụng IT, Security, thay thế cho việc thực hiện thủ công bởi nhân viên
ATTT. Ví dụ: scan file với virustotal, ra lệnh AV scan, chặn domain trên
security gateway, …
+ Các thao tác được lập trình và phát triển thành "playbook”. Bộ thư viện
được cung cấp sẵn trong sản phẩm, hoặc được tạo bởi nhân viên vận hành
Orchestration:
+ Kết nối và tích hợp các giải pháp IT, Security khác nhau thành một luồng
để giải quyết vấn đề. Có thể bao gồm các thao tác tự động lẫn thao tác của người
vận hành.
+ Các tác động này có thể được tích hợp sẵn trong từng playbook, hoặc
được thay đổi trong quá trình sử dụng bởi nhân viên vận hành.
Mô hình triển khai hệ thống

d. Giám sát xử lý an toàn thông tin 24/7

Đặc thù riêng của công tác đảm bảo ATTT là khó phát hiện, dự đoán cũng
như xác định trước được hình thức, kỹ thuật, mức độ của sự cố, lỗ hổng an toàn
thông tin. Tổ chức khó có thể xác định ai, cách nào, khi nào bị tấn công, đánh
cắp dữ liệu hay cách thức bị tấn công. Việc bảo vệ các cơ quan, doanh nghiệp
trước những rủi ro, sự cố ATTT không thể chỉ đơn thuần dựa vào việc triển khai
các giải pháp bảo vệ đơn thuần. Khi đó yêu cầu thiết yếu để bảo vệ các hệ thống,
dữ liệu của cơ quan doanh nghiệp là phải tổ chức giám sát phát hiện các sự kiện
ATTT, đánh giá, phân loại và xử lý các sự kiện ATTT 24/7; từ đó phát hiện,
phân tích, ngăn chặn và xử lý kịp thời mọi nguy cơ, sự cố, lỗ hổng về ATTT xảy
ra trong tổ chức.
Mô hình hệ thống SOC:

Mô hình hoạt động dịch vụ giám sát ATTT 24/7 cho Khách hàng
Dịch vụ giám sát ATTT 27/4 được cung cấp thông qua Trung tâm Giám sát
an toàn thông tin SOC – Security Operation Center. Bên cạnh hệ thống các giải
pháp ATTT triển khai tại trung tâm dự liệu của khách hàng gồm 06 nhóm nhân
sự và 06 bộ quy trình như sau:
 Mô hình hoạt động 06 nhóm nhân sự vận hành trung tâm giám sát ATTT 24/7
và 06 quy trình

2. Mô tả kỹ thuật giải pháp NAC

NAC là giải pháp quản lý và kiểm soát truy cập cho các thiết bị trong
mạng văn phòng. Giải pháp cung cấp tầm nhìn bao quát và các công
cụ để kiểm soát thiết bị và chính sách trong mạng.
Hệ thống NAC theo dõi các thiết bị, dữ liệu mạng theo thời gian thực
và kiểm soát truy cập truy cập trái phép hoặc các thiết bị không đảm
bảo các chính sách an toàn thông tin (ATTT)

Giải pháp NAC bao gồm các tính năng chính sau:
 Xác định cài đặt đầy đủ các thành phần bảo vệ và các hệ
thống quản lý tập trung
 Hỗ trợ xác thực 802.1x
 Hoạt động theo mô hình out-of-band không can thiệp trực
tiếp vào mô hình mạng.
 Giao diện quản trị thân thiện, tối ưu.