Professional Documents
Culture Documents
Intrusion là hành động xâm nhập CIA trái phép, qua mặt cơ chế bảo mật hoặc trạng
thái không được mời, right, đón tiếp.
Nguyên nhân: malware, nội gián, ...
Dấu hiệu chung của xâm nhập
- Log ngắn và không đầy đủ
- Hiệu suât hệ thống bất thường
- Processes bất thường
- Hệ thống bị crash hoặc reboot
- Hiển thông tin bất thường
Xâm nhập hệ thống: file/app lạ, quyền file bị thay đổi, thiếu file
Xâm nhập mạng: thăm dò liên tục, kết nối từ vị trí bất thường, đăng nhập liên tục
từ host ở xa, dữ liệu bất thường trong file log, dấu hiệu của DoS hoặc hướng tới
crash dịch vụ
Intrusion detection - phát hiện xâm nhập là quy trình theo dõi các sự kiện diễn ra
trong một hệ thống máy tính hoặc mạng máy tính và phân tích để nhận biết các dấu
hiệu của sự bất thường (hành vi xâm nhập - instrusion).
IDS - là hệ thống phần mềm hoặc phần cứng tự động thực hiện quy trình phát hiện
xâm nhập
IPS - là hệ thống có tất cả chức năng của IDS, và có thể dừng sự xâm nhập
IDS và IPS: tùy ngữ cảnh sẽ sử dụng, có những mô hình mạng không thể sử dụng IPS
IDPS: tập trung xác định các sự cố có thể xảy ra và hỗ trợ ứng phó với sự cố
Buổi 2
Khái niệm, phân loại, phân loại
Phân loại dựa trên tiêu chí
- Dựa trên các kỹ thuật phát hiện tấn công: signature-based, anomaly-based
Signature là một pattern tương ứng với một nguy cơ tấn công (CSDL đã biết trước)
VD: một kết nối với username root là dấu hiệu vi phạm chính sách bảo mật, một
email có title Free pictures! có đính kèm file freepics.exe có đặc điểm malware đã
biết
Anomaly: tạo ra một profile cơ sở đại diện cho các hành vi bình thường/dự kiến
trong mạng, dựa trên đó, bất kỳ hoạt động mạng đang xem xét nào có sai khác so với
profile này đều bị xem là bất thường. (Profile đại diện cho hoạt động mạng bình
thường được tạo thông qua phân tích lưu lượg mạng (qua các hàm thống kê, máy
học, clustering, fuzzy logic, heuristics, ...)
Ưu điểm: phát hiện được các tấn công mới, sau đó dùng làm signature-based
Nhược điểm: tỷ lệ phát hiện sai cao (FP và FN), không hiệu quả trong môi trường
mạng động thay đổi nhiều, yêu cầu tài nguyên để xây dựng profile.
Specification-based
Thu thập các hoạt động chính xác của một chương trình hoặc giao thức và theo dõi
hoạt động của nó dựa trên các ràng buộc. VD: thực hiền nhiều câu lệnh khi ở trạng
thái chua chứng thực trong FTP thường bị xem là bất thường.
Hybrid
Kết hợp các kỹ thuật trên
Ưu điểm: Đối phó được với các thay đổi tinh vi trong tấn công, tích hợp các lợi
ích của ba kỹ thuật trước,
Nhược:
- Dựa trên nguồn dữ liệu: network based, host based, hybrid (lai)
Network-based: theo dõi lưu lượng mạng cho một phần mạng network-based hoặc các
thiết bị, phân tích các hoạt động mạng và các giao thức, ứng dụng để xác định các
hành vi bất thường, thường triển khai ở biên mạng, như gần firewall hoặc router
biên, server VPN, server remote access và mạng không dây, gồm nhiều sensor đặt ở
nhiều điểm khác nhau trong mạng để theo dõi lưu lượng mạng.
Host-based, theo dõi các đặc điểm của một host riêng lẻ và các sự kiện xảy ra
trong host đó để phát hiện sự bất thường. Theo dõi: lưu lượng mạng, log hệ thống,
các hoạt động ứng dụng. Được triển khai trên host quan trọng (Các server có thể
truy cập từ bên ngoài).
Hybrid: xem xét tất dữ liệu từ các sự kiện trên host và sự kiện trong các phần
mạng, kết hợp chức năng của của network và host-based IDPS
2. Ghi log: dữ liệu liên quan đến sự kiện phát hiện được, kiểm tra tính hợp lệ
của cảnh báo, log nên được lưu trữ ở cả nội bộ và tập trung để đảm bảo tính toàn
vẹn và sẵn sàng của dữ liệu.
3. Phát hiện:
- Ngưỡng (thresholds): là một giá trị thiết lập giới hạn giữa hành vi bình thường
và bât thường, xác định mức độ tối đa có thể chấp nhận được.
- Blacklist và Whitelist:
- Thiết lập cảnh báo: email. SMS, thông báo ứng dụng
- Xem và chỉnh sửa mã nguồn:
4. Ngăn chặn:
- IDPS cho phép quản trị viên cấu hình khă năng ngăn chặn cho mỗi loại cảnh báo mà
nó đưa ra
- Thường bao gồm bật/tắt
Buổi 3
Promiscuous mode: cho phép bắt các gói tin khác địa chỉ MAC
Passive sensor (vị trí chia giữa các mạng, segment mạng quan trọng như DMZ):
- theo dõi bản sao lưu lượng mạng; không có lưu lượgn thực tế nào đi qua sensor
Ghi log:
Hạn chế:
- bị giới hạn không thể phân tích lưu lượng mạng đã hóa
- xử lý tải lưu lượng cao
- hứng chịu các tấn công vào chính NIDPS
Buổi 5 - HIDPS
Endpoint security
- Endpoint các host nhưn laptop, máy bàn, máy in, servers,
- Hạ tầng mạng - các thiết bị trong LAN kết nối endpoints, gồm switch, thiết bị
không dây,
4 bước bảo vệ endpoint: Discover -> Inventory -> Monitor -> Protect
Gồm antivirus, anti-phising, safe browsing, Host-based, Firewall và chức năng ghi
log
Malware Protection
Các phần mềm antimalware/antivirusL singnature-based, heuristics-based (tính năng
chung thường được malware sử dụng), behavior-based (phân tích hành vi đáng ngờ).
Host-based firewall
- Windows firewall dùng profile-based
- Iptables - rules trên linux
- Nftables -
- TCP Wrapper
Host-based IDPS
Theo dõi các đặc điểm của 1 host và event trong host
- Trafic mạng có dây và không
- Log hệ thống, process running, files, access and modify files, registry
(WWindows)
- Không lắng nghe gói tin khi chsung đi vào LAN
Các thành phần,
- Agent: phần mềm hoặc phần cứng chung dụng hoạt động trên 1 host
- Cấu hình phân tán: phân tán giữa host và console, host tạo và phân tích event
theo thời gian thực, giảm hiệu suất trên các host 9 các host được trang bị tối đa
CPU, RAM, ổ cứng.
Độ chính xác
- Thách thức hơn HIDPS,sử dụng nhiều kỹ thuật hơn, nhưng yếu tố chính phải là con
người
Tùy chỉnh
Quản lý
- Triển khai: kiểm tra các thành phần, bảo vệ các thành phần
- Vận hành
Khi cài antivirus ở ngoài thi nên disable defender và firewall trên WWindwos để
tránh xung đột
Ưu và nhược
- Ưu:
Buổi 6 -
Giám sát an ninh
Thu thập và phân tích thông tin để phát hiện hành vi đáng ngờ hoặc thay đổi trên
hệ thống
Syslog và NEtwork time protocol
- Syslog lắng nghe ở UDP 514, gửi các log hệ thống hoặc các thông điệp sự kiện đến
server
- Các server syslog có thể thành target
- Hacker có thể ngăn việc truyền dữ liệu, làm giả dữ liệu log hoặc giả mạo các
phần mềm tạo và truyền log
- Cải tiến cung cấp trong syslog-ng (next generation).
NTP
- Gói tin syslog thường được gán nhãn thời gian với giao thức NTP
- Hoạt độnng trên UDP 123
- Nhãn thời gian rất quan trọng trong việc phát hiện tấn công
DNS
- Attack đóng gói các giao thức mạng khác nhau bên trong các gói DNS bypass
- Malware sử dụng DNS để giao tiếo với server C&C và đánh cắp các dữ liệu đực
ngụy trang thành truy vấn DNS thông thường.
- Malware mã hóa dữ liệu đáp cắp được trong phần subdomain trong truy vấn DNS
HTTP và HTTPS
DUyệt web -. Server trả về chứng chỉ -> Client gửi đến CA server ->
ICMP
ACLs
- Kẻ tấn công có thể xác định được các IP, giao thức và port nào cho phép bới
ACLs,
Mã hóa và Tunneling
Load Balancing
- Cân bằng phân phối lưu lượng mạng giữa các thiết bị hoặc đường mạng để tránh
quá tải tài nguyên mạng
Syslog
Log của server
SIEM và thu thập log