Tổng công ty Điện lực TP.HCM

HỆ THỐNG QUẢN LÝ PHÂN TÍCH LOG TẬP TRUNG

Ngày đăng: 28/06/2022

Cùng với với sự phát triển vượt bậc công nghệ thông tin và mạng internet được ứng dụng rộng rãi trong nhiều lĩnh vực, các đối tượng tấn công và hình thức tấn công mạng cũng ngày một đa dạng, phức tạp. Bởi vậy, các tổ chức đã trang bị nhiều thiết bị, công nghệ, chính sách an ninh khác nhau để hỗ trợ việc đảm bảo an ninh thông tin hệ thống cho tổ chức của mình.

EVNHCMC đã triển khai hệ thống quản lý phân tích log tập trung (Security Information and Event Management - SIEM) cho mạng OT và mạng IT. Đây là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu tập trung. Các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của tổ chức. Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường, một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được.

Các lợi ích của triển khai hệ thống SIEM.
- Quản lý tập trung
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp các dữ liệu thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật ký (log) này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu nhật ký từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.
Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất nhiều công sức trong việc tập hợp báo cáo. Trong môi trường như vậy, cần phải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối hoặc lấy dữ liệu định kì bằng cách thủ công từ mỗi thiết bị rồi tập hợp chúng lại và phân tích để thành một báo cáo. Khó khăn xảy ra là không nhỏ do sự khác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến các nhật ký sự kiện an ninh được ghi lại khác nhau.
-Giám sát an toàn mạng
Hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được.
+ Rất nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.
+ Nâng cao khả năng phát hiện của SIEM chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện của toàn hệ thống, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa.
-Cải thiện hoạt động xử lý sự cố hiệu quả.
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối phó cho các nhân viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung cấp một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.

Mô hình kết nối SIEM

Nhận thấy được tầm quan trọng của hệ thống SIEM, từ tháng 5 năm 2019 EVNHCMC đã đầu tư và đưa vào vận hành hai hệ thống SIEM IBM QRadar và LogRhythm cho 2 hệ thống IT và OT.
Hệ thống IBM QRadar và LogRhythm đóng vai trò trung tâm trong toàn bộ kiến trúc an toàn thông tin của hệ thống IT và OT trong EVNHCMC. Qua các hệ thống này, toàn bộ sự kiện an toàn thông tin từ thiết bị, máy chủ, ứng dụng,… được thu thập. Từ đó, các SIEM thực hiện các đánh giá, sâu chuỗi sự kiện để hình thành các cảnh báo giúp đội ngũ giám sát vận hành SOC, NOCkịp thời phát hiện các bất thường.
Giá trị mang lại của hệ thống SIEM IBM QRadar và LogRhythm:
- Khả năng hiển thị toàn diện thông tin chi tiết tập trung về nhật ký, luồng và sự kiện trên các môi trường.
- Hiệu quả cao, loại bỏ các quy trình theo dõi thủ công để tập trung vào điều tra và phản hồi.
- Phát hiện mối đe dọa trong thời gian thực.
- Đánh giá sử dụng các báo cáo và mẫu được tạo sẵn để tăng tốc độ đánh giá nội bộ và bên ngoài.
- Giá trị cho bảo mật và hoạt động công nghệ thông tin
- Tích hợp rộng rãi giữa các nhà cung cấp bảo mật.
- Đánh giá tuân thủ, thực thi và báo cáo
Đây là một giải pháp hiệu quả mà EVNHCMC đã triển khai để tăng cường khả năng bảo mật của các hệ thống thông tin. Mặt khác, EVNHCMC tiếp tục nghiên cứu các giải pháp bảo mật mới để áp dụng nhằm tăng cường an toàn thông tin cho các hệ thống công nghệ thông tin của EVNHCMC.

Đưa tin: EVNHCMC

Số lần xem: 299 | In bài

Các tin khác

ỨNG DỤNG ISO/IEC 27001:2013 VÀ 27019:2017 TRONG CÔNG TÁC VẬN HÀNH, QUẢN LÝ ATTT MẠNG IT & OT TẠI EVNHCMC 28/06/2022 | 331 lần xem

HỆ THỐNG DÒ QUÉT VÀ QUẢN LÝ LỖ HỔNG BẢO MẬT 28/06/2022 | 361 lần xem

TRIỂN KHAI TRUNG TÂM GIÁM SÁT AN TOÀN THÔNG TIN (SOC) TẠI EVNHCMC 25/06/2022 | 322 lần xem

DATA DIODE: GIẢI PHÁP ĐẢM BẢO AN TOÀN KẾT NỐI GIỮA MẠNG OT VÀ IT TẠI EVNHCMC 25/06/2022 | 366 lần xem

Tổng quan mô hình an toàn thông tin của Hệ thống SCADA/DMS tại Trung tâm Điều độ Hệ thống điện - EVNHCMC 02/06/2022 | 351 lần xem

Hệ thống dò quét và bóc tách mã độc chuyên dụng tại EVNHCMC 02/06/2022 | 355 lần xem

An ninh hệ thống