GIẢI PHÁP QUẢN LÝ BẢO MẬT TẬP TRUNG HỖ TRỢ GIÁM SÁT 24/7 – AN NINH MẠNG VIETTEL (SOC)

1.1.          Định nghĩa

Giải pháp quản lý bảo mật tập trung – Viettel SIEM + Security Datamining: là giải pháp thu thập, chuẩn hóa, so sánh tương quan log trên toàn bộ hệ thống CNTT. Qua đó, thông qua các thuật toán, các quy luật so sánh giúp người quản trị phát hiện những dấu hiệu bất thường trên hệ thống.  

1.2.          Đặc điểm

-         Là giải pháp duy nhất có cả 2 thành phần SIEM và Security Datamining để phát hiện triệt để những bất thường trên hệ thống của khách hàng theo cả thời gian thực và trong một thời gian dài

-         Được triển khai và hỗ trợ bởi lực lượng chuyên gia bảo mật hàng đầu tại Việt Nam ( hơn 70 chuyên gia)

-       Việc kết hợp giữa giải pháp quản lý bảo mật tập trung với các giải pháp khác của Viettel như: Anti APT, Web Security, Net AD, Dịch vụ quản lý 24/7, Dịch vụ dò quét, làm sạch hệ thống… giúp khách hàng có được sự bảo vệ tốt nhất trước các nguy cơ tấn công.

-         Đã được kiểm chứng tại Tập đoàn Viettel với hơn 30,000 PC, 4,000 Server; Giúp khôi phục và bảo vệ cho nhiều cơ quan Nhà nước.

1.3.          Lợi ích đem lại cho khách hàng

-       Giám sát bảo mật tập trung trên phạm vi toàn tổ chức:

+        Một hệ thống CNTT bao gồm nhiều thành phần: Mạng, Máy chủ, Dữ liệu, Ứng dụng nghiệp vụ, Ưng dụng quản lý, Hệ điều hành, Endpoint, Thiết bị bảo mật, Người dùng….với tổng số lượng có thể lên tới hàng trăm hoặc hàng vài trăm thiết bị.

+        Trong quá trình hoạt động, các thiết bị, ứng dụng… sinh ra nhật ký hoạt động (Log) trong đó hàm chứa các thông tin liên quan đến bảo mật như: người truy cập, địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, time stamp, nội dung gói tin….

+        Việc theo dõi và quản lý trên từng thiết bị, ứng dụng… là không thể vì số lượng quá lớn và có quá nhiều loại khác nhau. Do đó, cần giải pháp quản lý bảo mật tập trung trên phạm vi toàn hệ thống

-       Nâng cao uy tín của Cơ quan, Doanh nghiệp: Điều gì sẽ xảy ra khi hệ thống CNTT của cơ quan/doanh nghiệp bị tấn công và không thể truy cập? Hệ thống hành chính công, hệ thống thương mại điện tử…. sẽ  bị dừng phục vụ, các dữ liệu lưu trên máy có thể bị đánh cắp, thay đổi, xóa bỏ…; Giao diện website/portal có thể bị thay bằng các hình ảnh phản động, hình ảnh nhạy cảm… gây ảnh hưởng nghiêm trọng tới uy tín, hình ảnh của cơ quan, doanh nghiệp trong mắt người dân, khách hàng và đối tác.

-       Nâng cao doanh thu: Việc các dịch vụ được cung cấp liên tục sẽ giúp các cơ quan phục vụ nhân dân được tốt hơn và giúp các doanh nghiệp đạt doanh thu cao hơn.

MÔ HÌNH HOẠT ĐỘNG DỊCH VỤ GIÁM SÁT ATTT 24/7

1.     Các Tier

1. 1.    Tier 1 (Viettel):

• Thực hiện hoạt động giám sát 24/7.

• Chịu trách nhiệm về việc giám sát, phân tích sơ bộ nhằm nhận diện và phân loại các sự kiện ATTT được cung cấp từ hệ thống các công cụ và từ các bộ phận, quy trình hoạt động khác.

• Thực hiện các hành động được định nghĩa sẵn nhằm ngăn chặn nhanh chóng các sự cố, tránh gây thiệt hại về mặt kinh tế, dữ liệu, hình ảnh,..

• Theo dõi quá trình xử lý, đóng các ticket đã xử lý.

1.2    Tier 2 (ABC).

-  Xử lý cảnh báo theo hướng dẫn xử lý của Viettel trên SOC.

-  Với các vấn đề khó xử lý không thành công theo hướng dẫn hoặc chưa có hướng dẫn, cần chuyên môn sâu như phân tích mã độc, điều tra truy vết, tấn công  DDos,… thì chuyển cho Tier 3 xử lý.

1.3    Tier 3 (Viettel):

-  Phân tích mã độc.

-  Phân tích điều tra sâu về nguồn tấn công, phát hiện đề phòng các tấn công.

-  Phân tích xử lý các sự cố mới, phức tạp.

1.4    Content Analysis (Viettel).

-  Tối ưu cảnh báo để tăng hiệu quả của việc vận hành, giảm thiểu tối đa cảnh sai.

-  Phân tích thông tin sự cố nội bộ và bên ngoài tạo cảnh báo, tối ưu hóa luật.

-  Threat hunting – Chủ động tìm kiếm, phát hiện các nguy cơ trong môi trường của KH

1.5    Threat Analysis.

-  Theo dõi các nguồn tin về lỗ hổng mới (CVE, các nguồn thông tin về lỗ hổng khác: website của hãng, thế giới ngầm,..) để đánh giá ảnh hưởng đến hệ thống của KH

-  Phân tích để cập nhật tri thức trên tất cả các giải pháp triển khai cho KH để phát hiện, ngăn chặn các lỗ hổng mới.

-  Threat hunting – Chủ động tìm kiếm, phát hiện các nguy cơ trong môi trường của KH

1.6    SOC Manager.

-  Quản lý điều hành việc xử lý các cảnh báo, sự cố theo KPI

-  Báo cáo, đánh giá các công tác hoạt động của SOC.

2.     Tổng quan về các quy trình SOC (Process):

2.1    Quản lý sự kiện ATTT

-  Đảm bảo các sự kiện ATTT có ý nghĩa được phát hiện sớm nhất có thể.

-  Đảm bảo các phương pháp và tiến trình chuẩn được sử dụng để khởi tạo một hành động thực thi xử lý thích hợp với từng loại sự kiện ATTT.

-  Ngăn chặn các sự kiện ATTT không quan trọng gây nhiễu giám sát làm lọt các sự kiện ATTT, cảnh báo, sự cố quan trọng.

-  Thực hiện giám sát các hệ thống cảnh báo ATTT theo thời gian thực, cung cấp các dữ liệu cho các tiến trình hoặc hành động có liên quan.

-  Xử lý chính xác các ticket sự cố ATTT nhận được từ hệ thống chăm sóc khách hàng hoặc từ các đơn vị khác.

2.2    Quản lý sự cố ATTT

-  Để đảm bảo rằng tất cả các sự cố ATTT được ứng cứu, giải quyết càng nhanh càng tốt, cân nhắc đầy đủ các mức độ nghiêm trọng của sự cố.

-  Để đảm bảo việc tập trung vào việc phản ứng sự cố không bị sử dụng bởi những hành động không liên quan.

-  Để thực hiện tối ưu tái sử dụng của tri thức khắc phục sự cố.

-  Để giảm thiểu rủi ro cho tổng thể hoạt động sản xuất kinh doanh.

-  Để áp dụng các giải pháp chính xác hoặc có giải pháp tạm thời hiệu quả nhất để giảm thiểu các tác động tiêu cực do sự cố ATTT gây ra.

2.3    Quản lý lỗ hổng vi phạm ATTT

-  Giảm thiểu số lượng lỗ hổng vi phạm ATTT trên hệ thống CNTT của ABC

-  Đảm bảo việc đưa ra giải pháp khắc phục các lỗ hổng vi phạm ATTT chính xác và đúng thời hạn.

-  Quản lý cơ sở dữ liệu lỗi, nguy cơ ATTT, hỗ trợ bổ xung phương án khôi phục sự cố.

2.4    Quản lý vấn đề ATTTT

-  Phát hiện các vấn đề ATTT mang tính hệ thống, lặp lại trên một hoặc nhiều đối tượng, gây ra các nguy cơ sự cố ATTT.

-  Đảm bảo việc đưa ra giải pháp khắc phục triệt để các vấn đề ATTT hoặc giảm thiểu các rủi ro khi chưa thể giải quyết được vấn đề gốc.

2.5    Quản lý tối ưu cảnh báo ATTT

Là quy trình ghi nhận, xử lý các vấn đề trong hoạt động của SOC, tối ưu hệ thống, công cụ, luật giám sát, nâng cao hiệu quả hoạt động, chỉ tiêu KPI trong các hoạt động giám sát, phân loại, xử lý sự cố , vấn đề ATTT.

2.6    Quản lý nguy cơ ATTT

Là quy trình ghi nhận nguy cơ về ATTT từ các thông tin về lỗ hổng, các đơn vị khác, các diễn đàn, nguồn tin về ATTT nhằm xác định các mối đe dọa, nguy cơ ATTT có thể xảy ra với hệ thống đang vận hành, khai thác.

Mọi chi tiết vui lòng liên hệ:

Mr. Tống Anh Sơn  - Mobile: 036 965 7724 (SĐT, Zalo, Telegram, Viber, Whatsapp)

Email: sonta@viettelidc.com.vn

Linkedin: https://www.linkedin.com/in/son-tong/

Website: https://viettel-idc.com.vn/