Ứng dụng công cụ phát hiện và cảnh báo những kết nối độc hại trong hệ thống Trung tâm dữ liệu
Ngày đăng: 09/05/2019
- Đối với một hệ thống có quy mô lớn như hệ thống máy chủ tại Trung tâm dữ liệu thành phố Đà Nẵng, thì việc kiểm soát và phát hiện triệt để các mối nguy cơ, rũi ro mất An toàn thông tin thật sự là một vấn đề rất phức tạp và quan trọng hàng đầu. Đội ngũ vận hành và đảm bảo An ninh thông tin phải đối mặt với rất nhiều khó khăn: + Lưu lượng mạng và số lượng truy cập rất lớn, không thể tiếp cận bằng phương pháp thủ công để kiểm soát và xử lý. + Nguy cơ rủi ro rất lớn từ vùng máy chủ khách hàng, trong khi đó đội ngũ đảm bảo An ninh thông tin không có thẩm quyền can thiệp các máy chủ thuộc khách hàng. + Kiến thức và ý thức về rủi ro mất An toàn thông tin của người dùng cuối chưa cao và chưa được chú trọng quan tâm. + Công nghệ và dịch vụ đang được lưu ký và vận hành vô cùng đa dạng, không thể đồng nhất trong công tác giám sát, xử lý. + Kinh phí đầu tư và duy trì các phần mềm, công cụ có bản quyền để kiểm soát hệ thống còn nhiều hạn chế. - Mặt khác, với việc khảo sát các cuộc tấn công mạng đã xảy ra vừa qua chúng tôi nhận thấy: Biểu hiện mấu chốt trước hầu hết các rủi ro mất An toàn thông tin là sự xuất hiện nhiều kết nối bất thường từ máy chủ trong hệ thống ra các địa chỉ IP ngoài mạng Internet. Việc xuất hiện các kết nối đó là do tiến trình mã độc đang được cài cắm hoặc vận chuyển dữ liệu trong quá trình tấn công. Nắm được mấu chốt đó và cùng với thực trạng của Hệ thống tại Trung tâm dữ liệu thành phố Đà Nẵng, chúng tôi xác định nhiệm vụ cấp thiết nhất hiện nay là phải kiểm tra phân biệt được các kết nối nào là độc hại, có biêủ hiện xâm nhập hệ thống, từ đó có biện pháp ngăn chặn ngay lập tức trước khi các thiệt hại không đáng có xảy ra. Đó cũng chính là mục tiêu mà giải pháp này cần đạt được.

- Cung cấp trang giám sát các kết nối khả nghi, độc hại trong toàn bộ hệ thống mạng.

- Thống kê tình trạng các kết nối để thấy được tình hình chung của hệ thống.

- Nhận biết địa chỉ, domain độc hại thông qua bộ cơ sở dữ liệu đa dạng và phong phú đến từ nhiều nguồn cung cấp.

- Cơ sở dữ liệu có khả năng cập nhật thường xuyên.

- Khả năng cấu hình và áp dụng mở rộng theo quá trình nâng cấp hệ thống mà không bị giới hạn.

Giải pháp được xây dựng trên mô hình Server-sensor:


- Traffic: Sử dụng kỹ thuật span port trên thiết bị Switch để tập trung lưu lượng mạng vào các máy giám sát sensor.

- Sensor: Có nhiệm vụ tiếp nhận lưu lượng mạng, phân tích và nhận biết truy cập độc hại sau đó truyền về Server.

- Server: Có nhiệm vụ thống kê và hiển thị các kết nối độc hại lên màn hình phục vụ công tác giám sát.

- Giải pháp ứng dụng công cụ mã nguồn mở nên tiết kiệm được kinh phí đầu tư và duy trì thường niên cho hệ thống, đồng thời đội ngũ vận hành và đảm bảo An ninh thông tin có được sự chủ động trong việc phát triển và bảo trì công cụ.

- Tuy còn nhiều vấn đề về An toàn thông tin nhưng giải pháp đã góp phần hỗ trợ đội ngũ vận hành kiểm soát hệ thống toàn diện hơn, đưa ra những cảnh báo chính xác và hướng xử lý cụ thể hơn so với việc khai thác chức năng của tường lửa Asa.

                                                                                                                                                                 V. Thắng (ATTT-IID)

Tin liên quan

Trang 1 / 11 - 106 dòngFirstPrevNextLast v
Trang 1 / 11 - 106 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.