Cơ sở hạ tầng quan trọng rất quan trọng đối với sự tồn tại, tăng trưởng và phát triển của xã hội. Các xã hội phụ thuộc vào các dịch vụ được cung cấp bởi các lĩnh vực cơ sở hạ tầng quan trọng như viễn thông, năng lượng, y tế, giao thông vận tải và công nghệ thông tin. An toàn và bảo mật là cần thiết để vận hành tối ưu các cơ sở hạ tầng quan trọng này. Cơ sở hạ tầng quan trọng được tạo thành từ các tài sản kỹ thuật số và phi kỹ thuật số. Các tổ chức phải luôn đón đầu các mối đe dọa an ninh mạng để ngăn chặn những thất bại do các cuộc tấn công mạng vào cơ sở hạ tầng quan trọng gây ra. Tìm cách bảo vệ tài sản kỹ thuật số trong bối cảnh luôn thay đổi chứa đầy các mối đe dọa là một hoạt động liên tục. Các tổ chức cũng phải sử dụng các giải pháp bảo mật hiệu quả và các phương pháp hay nhất để luôn được bảo vệ và giảm khả năng bị xâm phạm.
Các giải pháp bảo mật giúp bảo mật và cải thiện khả năng hiển thị toàn cảnh mối đe dọa của một tổ chức. Các giải pháp khác nhau sử dụng các khái niệm và cách tiếp cận khác nhau. Một khái niệm quan trọng đã nổi lên gần đây là Phát hiện và Phản hồi Mở rộng (XDR).
Các giải pháp XDR cung cấp khả năng phát hiện và phản hồi trên nhiều lớp. Các công cụ XDR tương quan dữ liệu bằng cách sử dụng các phương pháp phát hiện và phản hồi mối đe dọa bằng cách thu thập nhật ký và sự kiện từ nhiều nguồn khác nhau, chẳng hạn như thiết bị mạng, máy chủ và ứng dụng. Những khả năng này giúp các nhóm bảo mật có thể nhanh chóng phát hiện, điều tra và ứng phó với các sự cố.
Tấn công vào cơ sở hạ tầng quan trọng
Vào tháng 2 năm 2022, một cuộc tấn công chuỗi cung ứng đã xảy ra tại một trong những tập đoàn năng lượng khổng lồ của Đức. Cuộc tấn công này đã dẫn đến việc đóng cửa hơn 200 trạm xăng trên khắp nước Đức, ảnh hưởng đến cuộc sống và hoạt động kinh doanh. Sự kiện này xảy ra gần một năm sau cuộc tấn công Đường ống thuộc địa ở Hoa Kỳ, nơi xảy ra việc đánh cắp dữ liệu và lây nhiễm ransomware khiến các dịch vụ kỹ thuật số trong cơ sở hạ tầng của họ ngừng hoạt động trong nhiều ngày. Một bài báo từ NYTimes đã báo cáo rằng ước tính có khoảng 5 triệu đô la đã được trả cho các tin tặc liên quan đến cuộc tấn công ransomware Colonial Pipeline. Các tin tặc trong vụ Colonial Pipeline có thể xâm nhập bằng mật khẩu VPN bị xâm phạm và chúng đã tiến hành thực hiện các hoạt động xâm nhập trong cả ngày trước khi bị phát hiện.
Có một số điểm vào cho các cuộc tấn công vào cơ sở hạ tầng quan trọng và một số vectơ phổ biến hơn các vectơ khác. Các vectơ này bao gồm thông tin đăng nhập bị xâm phạm, hệ điều hành chưa được vá, ứng dụng dễ bị tấn công và phần mềm độc hại được phân phối thông qua các kỹ thuật khác nhau.
Cần nhấn mạnh vào việc bảo vệ cơ sở hạ tầng quan trọng trước khi một cuộc tấn công xảy ra, bất kể nó bắt nguồn như thế nào. Các giải pháp bảo mật giúp các tổ chức tự bảo vệ mình khỏi các hướng tấn công khác nhau. Các giải pháp này bao gồm XDR, SIEM, máy quét mã, máy phân tích cơ sở hạ tầng, máy quét lỗ hổng và giải pháp phát hiện phần mềm độc hại. Ngoài các giải pháp này là các tiêu chuẩn tuân thủ. Một số tiêu chuẩn được đề xuất là NIST, PCI DSS, HIPAA và GDPR. Việc áp dụng đúng các giải pháp và tiêu chuẩn tuân thủ này có thể giúp cải thiện tình hình bảo mật của tổ chức.
Cách XDR có thể giảm thiểu các cuộc tấn công
XDR đóng một vai trò quan trọng trong các tình huống mà các tác nhân đe dọa nhắm mục tiêu vào các tài sản kỹ thuật số khác nhau của một tổ chức. Với XDR được tích hợp vào cơ sở hạ tầng của tổ chức, các sự kiện bảo mật từ nhiều nguồn và nội dung khác nhau được phân tích và tương quan để xác định những hoạt động nào đang diễn ra trong cơ sở hạ tầng. XDR có khả năng phát hiện và cung cấp phản hồi tự động đối với các hoạt động độc hại trong môi trường. Một phản hồi như vậy có thể giết chết một tiến trình độc hại, xóa một tệp độc hại hoặc cô lập một điểm cuối bị xâm nhập. Vì các phản hồi được thực hiện gần như trong thời gian thực nên tốc độ đóng một vai trò quan trọng trong việc thực hiện các tác vụ này.
Wazuh SIEM/XDR
Wazuh là một nền tảng SIEM và XDR mã nguồn mở và miễn phí. Nó bao gồm một số thành phần bảo vệ cả khối lượng công việc trên đám mây và tại chỗ. Nền tảng Wazuh hoạt động với mô hình đại lý-máy chủ. Các thành phần trung tâm của Wazuh (máy chủ, bộ lập chỉ mục và bảng điều khiển) phân tích dữ liệu bảo mật từ các điểm cuối trong cơ sở hạ tầng của bạn. Đồng thời, tác nhân Wazuh được triển khai trên các điểm cuối để thu thập dữ liệu bảo mật và cung cấp khả năng phát hiện và phản hồi mối đe dọa. Tác nhân Wazuh rất nhẹ và hỗ trợ nhiều nền tảng. Wazuh cũng hỗ trợ giám sát không cần tác nhân trên bộ định tuyến, tường lửa và bộ chuyển mạch.
Khả năng Wazuh XDR
Wazuh có một số khả năng giúp tổ chức vượt qua các mối đe dọa bảo mật. Một số khả năng này là phát hiện phần mềm độc hại, phát hiện lỗ hổng, giám sát tính toàn vẹn của tệp và phản hồi tự động trước các mối đe dọa, trong số những khả năng khác. Các phần sau đây chứa nhiều chi tiết hơn về các khả năng của Wazuh giúp bảo vệ cơ sở hạ tầng quan trọng.
Phân tích dữ liệu nhật ký
Mô-đun phân tích dữ liệu nhật ký Wazuh thu thập và phân tích dữ liệu bảo mật từ nhiều nguồn khác nhau. Những dữ liệu này bao gồm nhật ký sự kiện hệ thống, nhật ký ứng dụng và nhật ký hành vi bất thường của hệ thống. Do đó, dữ liệu được phân tích được sử dụng để phát hiện mối đe dọa và phản hồi tự động. Khả năng này cung cấp cho bạn khả năng hiển thị các sự kiện xảy ra ở các điểm cuối khác nhau trong cơ sở hạ tầng của bạn.
Hình 1: Các sự kiện bảo mật của điểm cuối được giám sát trên bảng điều khiển Wazuh. phát hiện phần mềm độc hại
Wazuh có một số tính năng giúp phát hiện phần mềm độc hại. Ngoài ra, Wazuh có thể được tích hợp với các công cụ bảo mật khác như YARA và VirusTotal để phát hiện phần mềm độc hại. Bằng cách định cấu hình đúng danh sách Cơ sở dữ liệu không đổi Wazuh (CDB), các giá trị từ cảnh báo được giải mã như người dùng, hàm băm tệp, địa chỉ IP hoặc tên miền có thể được so sánh với các bản ghi độc hại. Đây là một bài đăng trên blog cho thấy cách Wazuh có thể được tích hợp với danh sách CDB để phát hiện và phản hồi các tệp độc hại. Khả năng Wazuh này giúp bạn phát hiện phần mềm độc hại trên các điểm cuối được giám sát khác nhau.
Giám sát tính toàn vẹn của tệp
Mô-đun Giám sát tính toàn vẹn của tệp Wazuh (FIM) giám sát hệ thống tệp điểm cuối để phát hiện các thay đổi trong các tệp và thư mục được xác định trước. Cảnh báo được kích hoạt khi một tệp được tạo, sửa đổi hoặc xóa trong các thư mục được giám sát. Bạn có thể xem cách mô-đun này được sử dụng để phát hiện các thay đổi đối với tệp khóa SSH trong bài đăng trên blog Phát hiện các công cụ khai thác tiền điện tử bất hợp pháp trên các điểm cuối Linux. Sử dụng mô-đun Wazuh FIM, bạn có thể phát hiện các thay đổi đối với tệp cấu hình trên các hệ thống quan trọng và xác định xem hoạt động đó có được phép hay độc hại hay không.
phát hiện lỗ hổng
Wazuh sử dụng mô-đun phát hiện lỗ hổng để tìm lỗ hổng trên điểm cuối được giám sát. Phát hiện lỗ hổng hoạt động bằng cách thực hiện kiểm toán phần mềm. Các cuộc kiểm tra này được thực hiện bằng cách tận dụng các nguồn cấp dữ liệu về lỗ hổng được lập chỉ mục từ các nguồn như Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft và Cơ sở dữ liệu về lỗ hổng quốc gia. Các nguồn cấp dữ liệu này được Wazuh tương quan chéo với thông tin từ kho ứng dụng của điểm cuối. Quản trị viên nên bắt đầu khắc phục ngay sau khi lỗ hổng được phát hiện trước khi các tác nhân độc hại có thể khai thác chúng.
Phản ứng tự động với các mối đe dọa
Mô-đun ứng phó tích cực Wazuh có thể được cấu hình để tự động thực hiện các biện pháp đối phó khi các sự kiện khớp với các tiêu chí cụ thể. Nó có thể thực thi các hành động do người dùng xác định, chẳng hạn như chặn hoặc bỏ tường lửa, định hình hoặc điều tiết lưu lượng, khóa tài khoản, tắt hệ thống, v.v. Mô-đun phản hồi tích cực đã được định cấu hình để từ chối kết nối mạng từ một nguồn độc hại đã xác định trong bài đăng trên blog Phản hồi các cuộc tấn công mạng với Suricata và Wazuh XDR.
Sự kết luận
Triển khai bảo mật trên nhiều lớp cơ sở hạ tầng quan trọng làm giảm bề mặt tấn công của tổ chức. Chúng tôi đã nhấn mạnh một số yếu tố cần lưu ý để duy trì tình trạng an ninh phù hợp. Để bảo vệ tài sản kỹ thuật số của bạn, chúng tôi đề xuất một giải pháp hoạt động tốt với nhiều điểm cuối, hệ thống và công nghệ khác nhau.
Wazuh là một giải pháp XDR mã nguồn mở và miễn phí. Nó bao gồm các khả năng cần thiết để khám phá các lỗ hổng, xác định trạng thái cấu hình hệ thống và ứng phó với các mối đe dọa đối với tài sản kỹ thuật số của bạn. Wazuh cũng cung cấp hỗ trợ cho các tiêu chuẩn tuân thủ như PCI DSS, HIPAA, NIST và GDPR. Wazuh có một cộng đồng ngày càng phát triển, nơi cung cấp hỗ trợ cho người dùng. Kiểm tra tài liệu Wazuh để biết thêm thông tin.
