Hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường và nguy cơ mất an toàn thông tin trong Chính phủ điện tử

Việc giám sát thu thập, xử lý và phân tích các nhật ký, hay vết (log) truy cập mạng nói chung và các vết truy cập các dịch vụ mạng nói riêng là công việc không thể thiếu trong các hệ thống giám sát, phát hiện bất thƣờng, phát hiện tấn công, xâm nhập hệ thống và mạng. Từ dữ liệu log thô thu thập đƣợc, qua quá trình xử lý, phân tích, chúng ta có thể trích xuất được các thông tin quan trọng về dấu hiệu, hoặc khả năng xuất hiện của các hành vi truy cập bất thƣờng, các dạng mã độc và các dạng tấn công, xâm nhập.

Kết quả phân tích, phát hiện dấu hiệu xuất hiện của các truy cập bất thường, mã độc, tấn công, xâm nhập là đầu vào quyết định việc đưa ra các cảnh báo nguy cơ mất an toàn thông tin (ATTT) đối với hệ thống. Đồng thời, kết quả phân tích, phát hiện cũng là một trong các căn cứ quan trọng hỗ trợ việc đánh giá, lựa chọn và triển khai các giải pháp đảm bảo an toàn phù hợp cho thông tin, hệ thống và các tài nguyên mạng. Vấn đề này càng quan trọng hơn trong bối cảnh an toàn thông tin đã và đang trở thành vấn đề nóng được các cơ quan, tổ chức chính phủ, các doanh nghiệp và cả xã hội quan tâm.

Lĩnh vực xử lý và phân tích log truy cập đã được quan tâm nghiên cứu, phát triển và ứng dụng rộng rãi trên thế giới. Các nghiên cứu về phát hiện bất thường và các nguy cơ ATTT, như các dạng tấn công, xâm nhập và mã độc (như botnet) dựa trên xử lý và phân tích log truy nhập khá phong phú, với nhiều công bố học thuật trên các tạp chí và kỷ yếu hội thảo khoa học ở trong nước và quốc tế. Ngoài ra, cũng có một số đề xuất phân tích phát hiện truy cập web bất thường. Tuy nhiên, hầu hết các đề xuất chỉ xem xét từng vấn đề riêng lẻ, như phát hiện bất thường, hoặc phát hiện các dạng tấn công, xâm nhập, mã độc. Chẳng hạn, một số đề xuất phát hiện tên miền sử dụng bởi các máy chủ lệnh và điều khiển (C&C) trong các botnet, một số đề xuất phát hiện các bot gửi thư rác, hoặc một số đề xuất phát hiện tấn công vào các website và máy chủ web. Mỗi đề xuất lại có phạm vi riêng và được thử nghiệm trên tập dữ liệu đặc thù, hoặc tập dữ liệu tự thu thập nên độ tin cậy của các kết quả công bố có phần hạn chế. Hơn nữa, các hệ thống đề xuất thường chỉ xử lý một dạng xác định log truy cập (DNS log, hoặc web log) và chưa đặt vấn đề xử lý tích hợp nhiều dạng log thu thập từ nhiều nguồn phục vụ phát hiện các truy cập bất thường và các nguy cơ ATTT. Do vậy, cần có nghiên cứu đề xuất giải pháp cho phép thu thập, xử lý, chuẩn hóa và phân tích log truy cập tích hợp từ nhiều nguồn, hỗ trợ phát hiện bất thường và các nguy cơ ATTT trong hệ thống mạng.

Xuất phát từ thực tiễn đó, Cơ quan chủ trì Học viện Công nghệ Bưu Chính Viễn Thông cùng phối hợp với Chủ nhiệm đề tài TS. Hoàng Xuân Dậu để thực hiện “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường và nguy cơ mất an toàn thông tin trong Chính phủ điện tử” với mục tiêu: Nghiên cứu, đề xuất các giải pháp; Xây dựng, phát triển hệ thống thu thập và phân tích nhật ký vết truy cập dịch vụ hỗ trợ phát hiện, cảnh báo hành vi bất thƣờng và nguy cơ mất an toàn thông tin và triển khai thử nghiệm tại cơ quan cấp Tỉnh/Thành phố/Bộ dựa trên các giải pháp đã đề xuất.

Về các nền tảng xử lý và phân tích log truy cập, có nhiều nền tảng và sản phẩm thƣơng mại cũng như mã mở được cung cấp, như IBM QRadar SIEM, Splunk, Sumo Logic, Logstash, Graylog, LOGalyze, Webalizer... Các nền tảng thương mại như IBM QRadar SIEM, Splunk và Sumo Logic cung cấp các tính năng phong phú phục vụ thu thập, xử lý và phân tích log truy cập, cho phép nhận dạng và cảnh báo nhiều dạng bất thường và nguy cơ ATTT. Tuy nhiên, các giải pháp thương mại thường có chi phí cài đặt và vận hành cao, khó khăn cho việc triển khai tại các cơ quan, đơn vị cấp tỉnh/thành có quy mô hệ thống mạng cỡ nhỏ và vừa với nguồn lực hạn chế. Ngược lại, các nền tảng mã mở như Logstash, Graylog, LOGalyze và Webalizer có chi phí cài đặt và vận hành rẻ, hoặc miễn phí, nhƣng tính năng có phần hạn chế. Đa số nền tảng mã mở chỉ cung cấp các tính năng quản lý và lưu trữ log, hỗ trợ yếu hoặc không hỗ trợ phát hiện, cảnh báo các nguy cơ an toàn thông tin.

Từ các phân tích trên có thể thấy, với các cơ quan, tổ chức có quy mô hệ thống mạng và nguồn lực cỡ nhỏ và vừa, không có nền tảng, công cụ xử lý, phân tích log sẵn có thực sự phù hợp, trong đó yêu cầu hỗ trợ thu thập, xử lý phân tích nhiều dạng log, từ nhiều nguồn, đa nền tảng, cho phép phát hiện các bất thường và nguy cơ mất an toàn thông tin. Do vậy, yêu cầu cần thiết phát triển hệ thống thu thập, xử lý và phân tích log truy cập tích hợp, hỗ trợ phát hiện bất thường và nguy cơ mất ATTT cho hệ thống mạng với quy mô cỡ nhỏ và vừa của các cơ quan cấp tỉnh có nguồn lực hạn chế. Trong đó, các nền tảng và công cụ mã nguồn mở được tận dụng, khai thác tối đa, giúp giảm chi phí phát triển hệ thống.

Đề tài khoa học và công nghệ cấp nhà nước “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường và nguy cơ mất an toàn thông tin trong Chính phủ điện tử” đã được nghiên cứu, phát triển, thử nghiệm đánh giá các tính năng và triển khai thử nghiệm thành công tại 3 đơn vị phối hợp. Các kết quả chính đề tài đạt được bao gồm:

- Xây dựng và thử nghiệm thành công hệ thống thu thập và phân tích log truy cập phục vụ phát hiện, cảnh báo truy cập bất thường và nguy cơ an toàn thông tin trong chính phủ điện tử.

- Xây dựng các bộ tài liệu kèm theo:

+ Bộ tài liệu đặc tả giải pháp thu thập và phân tích log truy cập các máy chủ tại các cơ quan cấp Tỉnh/Thành Phố/Bộ, nhằm trích xuất các thông tin có giá trị hỗ trợ phát hiện và cảnh báo hành vi bất thƣờng và đảm bảo an toàn thông tin.

+ Bộ tài liệu phân tích và thiết kế chi tiết hệ thống phân tích log truy cập dịch vụ. + Bộ tài liệu thử nghiệm và đánh giá hệ thống phân tích log truy cập dịch vụ.

+ Bộ tài liệu hướng dẫn triển khai, cài đặt và hướng dẫn sử dụng.

- Xuất bản 05 bài báo khoa học:

+ 02 bài đăng trên các tạp chí chuyên ngành thuộc danh mục ISI/Scopus.

+ 03 bài đăng trên các hội thảo khoa học quốc tế có phản biện.

- Tham gia đào tạo sau đại học:

+ 05 thạc sỹ chuyên ngành An toàn thông tin và Hệ thống thông tin (đã thực hiện luận văn và tốt nghiệp).

+ 01 NCS tiến sỹ chuyên ngành Hệ thống thông tin (đang thực hiện luận án).

Có thể tìm đọc báo cáo kết quả nghiên cứu (mã số 171123/2019) tại Cục Thông tin khoa học và công nghệ quốc gia.