Hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng

Thứ Bảy, 21/03/2020, 06:37 [GMT+7]
.
.

Trước những nguy cơ về mất an toàn mạng có thể xảy ra, gây ảnh hưởng đến việc hoạt động, vận hành hệ thống, thiết bị CNTT của các cơ quan nhà nước, Sở Thông tin và Truyền thông đã nghiên cứu, xây dựng và đưa vào vận hành hệ thống giám sát và cảnh bảo sớm tấn công gây mất an toàn mạng. Qua đó, góp phần nâng cao hiệu quả công tác đảm bảo an toàn, an ninh mạng.

Vận hành hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng tại Trung tâm tích hợp dữ liệu tỉnh.
Vận hành hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng tại Trung tâm tích hợp dữ liệu tỉnh.

Theo ông Phùng Thế Phương, Phó Giám đốc Trung tâm Công nghệ thông tin và Truyền thông (Sở TT&TT): Hiện nay, có rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký, nhưng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.

Bên cạnh đó, các sự kiện mạng thường đến từ rất nhiều nguồn, cần phải có một công cụ để tổng hợp, phân tích nó. Hơn nữa việc xử lý một vấn đề về an toàn thông tin trên môi trường mạng cần có sự phối hợp chặt chẽ từ nhiều bộ phận. Xuất phát từ những yêu cầu trên, nhóm tác giả đã xây dựng hệ thống giám sát và cảnh bảo sớm tấn công gây mất an toàn mạng.

Việc giám sát an toàn mạng nhằm theo dõi, phát hiện, cảnh báo sớm, điều tra, thu thập chứng cứ về các nguy cơ, sự cố, dấu hiệu tấn công đối với hệ thống, dịch vụ công nghệ thông tin. Qua đó, hỗ trợ kịp thời công tác điều phối, ứng cứu sự cố an toàn thông tin xảy ra.

Giao diện thống kê sự cố trên hệ thống.
Giao diện thống kê sự cố trên hệ thống.

Cũng theo ông Phương, hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng bao gồm: Phần mềm Hỗ trợ giám sát an toàn thông tin; Bộ nhận diện luật tương quan để cập nhật thông tin nhận diện cho phần mềm Hỗ trợ giám sát an toàn thông tin; Phần mềm điều phối xử lý các cảnh báo sự cố an toàn mạng.

Trên cơ sở các dữ liệu đã thu thập được thông qua nhật ký truy cập, ứng dụng, cài đặt, an toàn cho máy chủ Microsoft Windows, cảm biến phát hiện xâm nhập IDS/IPS..., hệ thống sẽ tích hợp, kết nối với các sản phẩm SIEM để hỗ trợ công tác phát hiện sự cố an toàn thông tin. Từ đó cảnh báo sớm đến quản trị viên, người dùng.

Ưu điểm của hệ thống là tăng cường khả năng chủ động phát hiện ra các sự cố an toàn thông tin cho các hệ thống CNTT dựa trên việc phân tích dữ liệu nhật ký và sự kiện an toàn thông tin. Qua đó, hỗ trợ tích cực cho các chuyên viên quản trị mạng, chuyên viên giám sát trong việc theo dõi, kiểm tra tình trạng an toàn thông tin của hệ thống của mình và có cơ sở phục vụ cho việc phân tích, kiểm chứng.

Ngoài ra, hệ thống còn có thể thống kê được các sự kiện, sự cố theo thời gian thực. Đồng thời cũng là cơ sở dữ liệu lưu trữ, nguồn thông tin hữu ích cho việc truy vết, điều tra hành vi tấn công của tin tặc.

Việc đưa vào vận hành
Việc đưa vào vận hành hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng giúp bảo đảm an toàn thông tin mạng của tỉnh - Trong ảnh: cán bộ Trung tâm tích hợp dữ liệu tỉnh vận hành hệ thống máy chủ.

Hệ thống có những tính năng mới, hiện đại để hỗ trợ phát hiện sớm và kịp thời xử lý các nguy cơ trong hệ thống mạng; đồng thời có khả năng kết nối đến hệ thống giám sát sự cố an toàn mạng quốc gia do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT - Bộ Thông tin và Truyền thông vận hành.

Hiện tại, hệ thống giám sát và cảnh báo sớm tấn công gây mất an toàn mạng đang được áp dụng tại Trung tâm tích hợp dữ liệu của tỉnh từ năm 2017. Những dấu hiệu có nguy cơ gây mất an toàn mạng sẽ được hệ thống cảnh báo và gửi cho cơ quan chủ quản, đội ngũ chuyên trách của các đơn vị, giám sát, phối hợp xử lý kịp thời, hiệu quả.

Cũng thông qua hệ thống, hằng tuần đều có một báo cáo cảnh báo sớm về tình hình, dấu hiệu có thể xảy ra mất an ninh thông tin mạng cung cấp cho các cơ quan, đơn vị thành viên của Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh. Nhờ đó, các đơn vị có thể phát hiện, thực hiện các biện pháp phòng ngừa cũng như xử lý sớm nguy cơ để đảm bảo an toàn, an ninh mạng.

Nguyên Ngọc

Tin liên quan

.
.
.
.
.
.
.
.