Dịch vụ Giám sát An toàn thông tin VNPT
Giới thiệu
Dịch vụ Giám sát An toàn thông tin VNPT giúp thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối của khách hàng, lưu trữ dữ liệu một cách tập trung và phân tích sự tương quan giữa các sự kiện để chỉ ra được các vấn đề về an ninh mà hệ thống đang phải đối mặt.
Mô hình triển khai
Các thành phần triển khai bao gồm:
- Log sources là các thiết bị cần tích hợp log giám sát như Router, Switch, Firewall, hệ điều hành, ứng dụng, cơ sở dữ liệu sẽ cấu hình đẩy sự kiện an ninh thông tin về thiết bị Event Collector tại mỗi site.
- Thành phần thu thâp log (Event Collector – EC) sẽ đặt trong cùng hệ thống mạng của các thiết bị cần tích hợp log giám sát. Thiết bị Event Collector sẽ thu thập log/syslog/flow (netflow/jflow) của các thiết bị cần quản lý thông qua các giao thức: Syslog, JDBC, SNMP, SDEE, OPSEC...Sau khi thu thập log/syslog/flow, Event Collector sẽ chuẩn hoá và gửi về thành phần Event Processor nằm trong hệ thống mạng nội bộ của VNPT.
- Thành phần Event Processor: nằm trong hệ thống mạng nội bộ của VNPT, có chức năng nhận logs từ các thiết bị Event Collector, lưu trữ log tập trung, phân tích, tương quan các nguồn log
Lợi ích:
Giám sát, phát hiện và cảnh báo các sự cố tấn công mạng đối với các dạng tấn công cụ thể, tối thiểu bao gồm:
- Tấn công dò, quét và khai thác thông tin hệ thống
- Tấn công mã độc, tấn công có chủ đích
- Tấn công khai thác điểm yếu, chiếm quyền điều khiển hệ thống
- Tấn công thay đổi giao diện
- Tấn công đánh cắp dữ liệu hoặc phá hoại dữ liệu
- Tấn công từ chối dịch vụ
Từ đó thống kê và biểu đạt các kết quả giám sát, phát hiện các sự cố mất ATTT thông qua các chỉ số ATTT (hay còn gọi là Bộ chỉ số KPI về ATTT), tối thiểu bao gồm:
- Chỉ số về số lượng sự kiện ATTT của từng hệ thống giám sát theo thời gian
- Chỉ số về số lượng cảnh báo ATTT:
- Số lượng cảnh báo ATTT đã được tạo
- Số lượng cảnh báo ATTT đã được xử lý
- Mức độ nghiêm trọng của các cảnh bảo ATTT
- Chỉ số phân loại theo loại hình tấn công
- Các cuộc tấn công liên quan đến mã độc
- Các cuộc tấn công liên quan đến DoS/DDoS
- Các cuộc tấn công liên quan đến truy cập trái phép
- Các cuộc tấn công liên quan đến vi phạm chính sách
- Chỉ số về tỷ lệ các loại hình tấn công trong hệ thống giám sát
Chỉ số về diễn biến các loại hình tấn công theo thời gian