SOC Fundamentals

1. Phân loại và vai trò

1.1. SOC là gì?

Trung tâm điều hành An ninh mạng (SOC) là nơi mà có đội ngũ chuyên trách liên tục theo dõi, giám sát và phân tích những vấn đề về bảo mật của tổ chức. Mục đích của nhóm SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng cách sử dụng công nghệ, con người và quy trình.

1.2. Các mô hình SOC

In-house SOC: Tổ chức tự xây dựng đội ngũ SOC của riêng mình.

Virtual SOC: Đội ngũ SOC không tập chung một nơi mà làm việc từ xa ở các địa điểm khác nhau

Co-Managed SOC: Đội SOC nội bộ sẽ phối hợp và làm việc với nhà cung cấp dịch vụ bên ngoài - Managed Security Service Provider (MSSP)

Command SOC: Đội SOC làm việc ở những đơn vị cung cấp viễn thông, mạng internet (ISP) hay các cơ quan quốc phòng.

1.3. Sự kết hợp: Con người - Quy trình - Công nghệ

💡

Để xây dựng được một SOC thành công đòi hỏi sự phối hợp nghiêm túc, mối quan hệ chặt chẽ giữa con người, quy trình và công nghệ.

Con người: Đội ngũ nhân viên được đào tạo chuyên sâu, quen thuộc với các cảnh báo bảo mật và các kịch bản tấn công. Khi các kỹ thuật tấn công ngày càng thay đổi liên tục thì càng đòi hỏi những nhà phân tích SOC phải nhanh chóng thích ứng được với các kiểu tấn công mới và sẵn sàng nghiên cứu.

Quy trình: Để một cấu trúc SOC của tổ chức đạt đến độ hoàn thiện tốt, phải có sự tối ưu, điều chỉnh với nhiều loại yêu cầu bảo mật khác nhau như: NIST, PCI, HIPAA. Các quy trình yêu cầu phải được chuẩn hóa để đảm bảo không bị thiếu xót trong một khâu nào đó.

Công nghệ: Cần có nhiều sản phẩm khác nhau cho nhiều lĩnh vực như: Penetration Test, Detection, Prevention, Analyze. Tùy thuộc vào ngân sách của tổ chức mà lựa chọn sản phẩm phù hợp, đôi khi sản phẩm tốt nhất trên thị trường lại không phải là sản phẩm tốt nhất cho tổ chức của bạn.

1.4. Các vị trí hoạt động trong SOC

SOC Analyst: Có thể được chia thành các nhóm như Level 1, 2 ,3 theo cấu trúc SOC. Một SOC Analyst sẽ thực hiện phân loại cảnh báo, tìm nguyên nhân và đưa ra biện pháp khắc phục.

Incident Responder: Tham gia phát hiện các mối đe dọa, thực hiện đánh giá ban đầu về các vi phạm bảo mật.

Threat Hunter: Tìm ra các lỗ hổng trong hệ thống trước khi kẻ tấn công có thể khai thác chúng bằng một cuộc tấn công.

System Security Engineer: Vận hành hạ tầng các giải pháp như SIEM, các sản phẩm SOC, SOAR,..

SOC Manager: Chịu trách nhiệm quản lý chung, thiết lập ngân sách, xây dựng chiến lược, quản lý nhân sự, điều phối hoạt động. Thường giải quyết các vấn đề vận hành hơn là kỹ thuật.

2. SOC Analyst và trách nhiệm

SOC Analyst là những người đầu tiên được tiếp cận và phân tích mối đe dọa, đóng vai trò quan trọng trong SOC

Các kỹ thuật tấn công thay đổi liên tục, với SOC Analyst công việc sẽ bớt nhàm chán khi mỗi sự cố gặp phải sẽ khác nhau.

Kiến thức:

Operating Systems: Hiểu hệ điều hành, biết được những gì là bất thường trong quá trình hoạt động. VD: Suspicious Process/Service.
Network: Hiểu về hoạt động của mạng, cách mà các máy tính giao tiếp với nhau. VD: Malicious IP/Domain, Data leak on network.
Malware Analysis: Kỹ năng phân tích mã độc cơ bản, hiểu mã độc thực hiện những gì, xác định được máy chủ điều khiển của mã độc.

3. SIEM và mối quan hệ với SOC Analyst

Security Information and Event Management (SIEM)

SIEM Là một giải pháp quản lý tập chung các sự kiện, nhật ký bảo mật theo thời gian thực trong một môi trường. Mục đích là phát hiện các mối đe dọa về bảo mật.
Với tư cách là một SOC Analyst, những gì cần được quan tâm nhất đó là xây dựng các quy tắc, bộ lọc đối với những dữ liệu thu thập được và tạo ra các cảnh báo cho bất kỳ sự kiện đáng ngờ.
VD: Một hoạt động đáng ngờ là có một người nào đó sử dụng HĐH Windows cố gắng thử đăng nhập 20 lần với các mật khẩu khác nhau trong vòng 10 giây. Không có ai quên mật khẩu của họ sau đó cố gắng nhập sai mật khẩu nhiều lần trong một khoảng thời gian ngắn như vậy. Như vậy trong tình huống này cần phải có quy tắc trên SIEM để tạo ra cảnh báo.
Một số giải pháp SIEM phổ biến: Splunk, IBM QRadar, ArcSight ESM, FortiSIEM,..

Mối quan hệ giữa SIEM và SOC Analyst

Dữ liệu thu thập được trên SIEM sẽ đi qua bộ lọc và tập luật để sinh ra các cảnh báo. Những cảnh báo này sẽ được phân tích bởi SOC Analyst nhằm xác định xem đó là một mối đe dọa thực sự (True Positive) hay nhầm lẫn (False Positive).
SOC Analyst phân tích các cảnh báo với sự trợ giúp của các sản phẩm SOC khác: EDR, Log Management, Threat Intelligence Feed,..

Ví dụ về False Positive

Một SIEM Team cố gắng tạo ra tập luật để phát hiện tấn công SQL Injection với từ khóa union trong URL
Một người dùng thực hiện tím kiếm Google và trên URL của anh ta xuất hiện: "https://www.google.com/search?q=sql+union+usage" và một cảnh báo đã được sinh ra vì nó chứa từ khóa khớp với tập luật. Như vậy tình huống này là FP và có thể được thông báo với SIEM Team để cải tiến tập luật, quy trình cảnh báo.

4. Quản lý Logs

Là một giải pháp quản lý nhật ký: web logs, operating system logs, firewall logs, proxy logs, edr logs, mail server logs.v.v.. tập chung tại một điểm.

Với tư cách là một SOC Analyst, họ thường sử dụng Log Management để kiểm tra chi tiết về một hoạt động nghi ngờ. Ví dụ:

Sử dụng Log Management để xem chi tiết về một cảnh báo sinh ra từ SIEM nhằm xác định là TP hay FP.
Sử dụng Log Management để truy vấn xem có bao nhiêu host đã kết nối đến địa chỉ ip hay tên miền độc hại đã biết.

Các giải pháp SIEM có thể đã đi kèm với Log Management

5. Endpoint Detection and Response (EDR)

Là một giải pháp bảo mật điểm cuối. Hỗ trợ giám sát theo thời gian thực, thu thập dữ liệu điểm cuối và có khả năng tự phân tích sau đó phản ứng lại với mối đe dọa một cách tự động dựa trên các quy tắc/kịch bản.

Một số giải pháp EDR phổ biến: CarbonBlack, SentinelOne, FireEye HX, Falcon CrowdStrike,..

Các giải pháp EDR cho phép quản lý tập chung nhiều điểm cuối, truy vấn hàng loạt, cô lập một điểm cuối (điểm cuối không thể giao tiếp với internet cũng như với các máy cùng mạng, chỉ giao tiếp được với trung tâm EDR), kết nối đến điểm cuối cho phép SOC Analyst thao tác trên đó,.v.v..

6. Điều phối, tự động hóa và phản ứng với sự cố bảo mật

SOAR (Security Orchestration Automation and Response): Là một giải pháp điều phối, tự động hóa và phản ứng lại với các mối đe dọa an ninh mạng. Một số sản phẩm SOAR: Splunk Phantom, QRadar SOAR (IBM Resilient), Cortex XSOAR (Demisto), Logsign,..

Ưu điểm của SOAR:

Tiết kiệm thời gian cho SOC Analyst, thông qua việc tự động hóa các tác vụ như: truy vấn băm của tệp, quét tệp trong môi trường sandbox,...
Vận hành một cách tập chung các công cụ, giải pháp bảo mật: Sandbox, Log Management,.v.v.. từ một điểm. Nói cách khác, các công cụ này được tích hợp vào SOAR.

Playbook: Là một tài liệu dạng kịch bản, mô tả những tình huống cụ thể được sử dụng trong các giải pháp SOAR. Playbook trình bày các bước thực hiện của một quy trình điều tra/phân tích. Đảm bảo tính đầy đủ cũng như sự thống nhất trong cách làm việc giữa các thành viên trong SOC Team.

Ví dụ: Một SOC Team thực hiện điều tra, phân tích một case về sự cố, nhưng một thành viên nào đó hoặc tất cả những người trong team đó đã không kiểm tra địa chỉ IP hoặc đã quên/bỏ lỡ bước này thì đó là một tình huống không mong muốn → Để khắc phục tình trạng này có thể đưa bước kiểm tra IP với các nguồn khác nhau vào Playbook.

Hình dưới minh họa SOAR như là trung tâm điều khiển, được cấu hình để hoạt động với các sản phẩm bảo mật khác:

7. Threat Intelligence Feed

Threat Intelligence feed: có thể hiểu như là nguồn dữ liệu chứa thông tin về các mối đe dọa an ninh mạng, chẳng hạn như: Hash, IP, Domain, URL,.v.v.. Những dữ liệu này được tạo ra từ các hoạt động độc hại đã được phát hiện.

Nguồn dữ liệu này có thể đến từ những bên thứ ba cung cấp và nó liên tục được cập nhật. Với một SOC Analyst, có thể tìm kiếm, thu thập và sử dụng chúng trong việc điều tra phát hiện các mối đe dọa trong hệ thống.

Một số nguồn Threat Intelligence phổ biến và miễn phí:

Một số lưu ý:

Dữ liệu có thể được tìm thấy hoặc không tìm thấy trên các nguồn Threat Intelligence. Khi không tìm thấy, không có nghĩa là nó an toàn. Ví dụ: Hash của một tệp có thể không thấy trên VirusTotal
Dữ liệu được tìm thấy trên các nguồn Threat Intelligence cũng không có nghĩa là nó độc hại. VD: Một địa chỉ IP được cho là độc hại tại một thời điểm nhưng sau một khoảng thời gian, tin tặc thay đổi địa chỉ IP và địa chỉ IP cũ được nhà cung cấp cấp lại cho một người dùng khác → Lúc này không thể nói rằng IP đó là độc hại.

8. Những sai lầm phổ biến đối với SOC Analysts

Phụ thuộc quá nhiều vào VirusTotal

Kết quả trên VT không khẳng định URL/IP/File là vô hại ⇒ Chỉ sử dụng VT như là công cụ hỗ trợ.
Các Malware mới và sử dụng các kỹ thuật AV Bypass ⇒ VT không phát hiện được hoặc ít bị phát hiện

Phân tích nhanh chóng mã độc trong Sandbox

Quá trình phân tích trong Sandbox thường mất khoảng 3-4 phút ⇒ Không phải lúc nào cũng đem lại kết quả chính xác
Mã độc có thể sử dụng các kỹ thuật phát hiện môi trường Sandbox và không tự động thực hiện các hành vi độc hại của mình, hoặc chúng không tự động kích hoạt ngay mà đợi 10-15 phút sau đó mới kích hoạt

⇒ Nên phân tích trong thời gian dài là tốt nhất và nó được thực hiện trong môi trường thực tế nếu có thể

Phân tích logs không đầy đủ

SOC Analyst nên sử dụng các giải pháp Log Management để thực hiện truy vấn, tìm kiếm trên toàn bộ hệ thống để đảm bảo không bỏ xót

Xem qua VirusTotal Dates

Khi thực hiện tìm kiếm IP/Domain/Hash trên các nguồn VT cần chú ý đến thời gian gần nhất mà dữ liệu được cập nhật, tốt nhất nên là mới nhất có thể
Cách tốt nhất là nên chủ động tìm kiếm lại hoặc re-analysis chứ không dựa vào kết quả cũ trước đó (cache).

9. Tham khảo

LetsDefend - Hands-On Training platform, SOC Fundamentals