Các giải hỗ trợ cho các Trung tâm kiểm soát an toàn thông tin mạng được phát triển và cung cấp rất nhiều trên thị trường. Một số giải pháp nổi tiếng trên thế giới có thể kể đến như giải pháp của của hãng Verint, FireEye, Sguil, OSSIM AlienVault, Arcsight, Qradar, Splunk, Trend…, ở trong nước có các giải pháp của các công ty: Viettel, BKAV... Các giải pháp này rất đa dạng về góc độ chi phí và mục tiêu mà giải pháp hướng tới. Về góc độ chi phí, bên cạnh những giải pháp là mã nguồn mở được miễn phí cũng có những giải pháp thương mại có giá thành rất cao. Các giải pháp lại hướng tới những mục tiêu khác nhau. Một số giải pháp hướng tới việc phát hiện các dấu hiệu bất thường mạng, một số giải pháp hướng tới mô hình quản lý SIEM, trong khi một số khác lại hướng tới quản lý và thống kê trạng thái mạng. Nhìn chung khi áp dụng những giải pháp này các tổ chức thường gặp một số vấn đề sau:
- Mô hình có tính chất đóng, gây cản trở khả năng mở rộng, hệ thống bị giới hạn theo đúng các tính năng mà nhà sản xuất cung cấp. Quá trình tùy chỉnh, thêm hay loại bỏ bớt tính năng hoặc phát triển thêm các thành phần theo đặc thù mô hình triển khai của tổ chức gặp phải nhiều khó khăn.
- Các giải pháp mã nguồn mở và miễn phí thì tính năng khá đơn giản và thiếu nhiều chức năng, các giải pháp này chỉ thích hợp cho nghiên cứu, thử nghiệm, các giải pháp thương mại khác thì có chi phí giá thành cao, đặc biệt khi triển khai diện rộng.
- Các giải pháp thường bao gồm các thành phần chức năng tách biệt, sử dụng giao diện thống nhất để quản trị tập trung. Dữ liệu từ các kênh thu thập thông tin được tổng hợp, phân tích rồi đưa ra các cảnh báo hoặc hành động phù hợp. Các giải pháp này thường yêu cầu cán bộ giám sát/vận hành phải có trình độ chuyên môn sâu, hiểu rõ từng module chức năng để thực hiện tổng hợp, phân tích và thực hiện các hành động phù hợp. Điều này làm phát sinh chi phí lớn về nhân sự cho các đơn vị.
Các thế hệ công nghệ hỗ trợ xây dựng Trung tâm kiểm soát an toàn thông tin mạng:
Các hệ thống điều hành an toàn thông tin cho đến thời điểm hiện tại cũng đã không ngừng lớn mạnh theo thời gian. Điều này bản chất phản ánh nhận thức của con người về tính nghiêm ngặt trong việc đảm bảo an toàn thông tin. Tất cả để đáp ứng với các cuộc tấn công ngày càng phức tạp và tinh vi hơn.
Các hệ thống điều hành an toàn thông tin đã trải qua 4 chặng đường phát triển, với thế hệ thứ 4 ở hiện tại khả năng phân tích Big Data, dữ liệu lớn các thông tin an ninh, đảm bảo an ninh dịch vụ Cloud Computing, ứng dụng các thành tựu AI, trí tuệ nhân tạo, học máy thống kê vào trong quá trình tự động phân tích tìm kiếm mã độc và các mẫu mã độc mới chưa từng được công bố mà không phụ thuộc vào quá trình update signature, cập nhập các mẫu tấn công, như công nghệ cũ trước đây, đây là một trong các thành tựu cốt lõi trong cuộc đua dành vị trí dẫn đầu giữa các chuyên gia an ninh và tin tặc.
Hệ thống điều hành an toàn thông tin thế hệ thứ nhất
Vào thời kỳ này, chưa có một giải pháp hệ thống điều hành an toàn thông tin hoàn thiện. Vai trò điều hành an toàn thông tin đơn thuần phụ thuộc vào nhóm có vai trò CNTT của tổ chức. Hệ thống log phục vụ cho hệ thống điều hành an toàn thông tin đơn giản, tập trung chủ yếu vào các thiết bị có ghi nhận nhật ký như Firewall, tường lửa, việc lưu trữ nhật ký trên hệ thống nội bộ không được mã hóa. Vào thời kỳ này nhật ký nói chung không được chủ động phân tích, mà chỉ khi có sự cố xảy ra quá trình xem xét nhật ký mới được để ý tới. Thêm vào đó thời kỳ này khái niệm về quy trình phản ứng với sự cố an toàn thông tin cũng chưa được hình thành, do đó quá trình phản ứng thông thường là rất chậm. Trong thế hệ này nhật ký các sự kiện được lưu trữ cục bộ, chưa được lưu tập trung như một hệ thống SIEM.
Hệ thống điều hành an toàn thông tin thế hệ thứ hai
Đây là thế hệ mà các công cụ SIEM (Security Information and Event Management) bắt đầu xuất hiện. Các nhà cung cấp đưa ra các công cụ này tập trung vào quản lý mối đe dọa an ninh, còn được gọi là quản lý sự kiện bảo mật (Security Event Management - SEM) cung cấp khả năng phân tích nhật ký thời gian thực cho mục đích phát hiện mối đe dọa. Những công cụ có đầu vào là các thông tin tạo ra bởi các nguồn khác nhau trong các định dạng khác nhau, các công cụ này có tính năng đẩy nhanh quá trình phát hiện các sự cố an ninh tiềm ẩn. Ý tưởng cơ bản của SEM là tổng hợp thông tin dưới dạng các sự kiện từ nhiều nguồn khác nhau trong quá trình vận hành hệ thống, thiết bị an ninh và ứng dụng. Các Sự kiện sau đó được đối sánh tương quan để tìm ra các mối quan hệ giữa chúng, đánh giá khả năng sự cố xảy ra. Sự cố sau đó được báo cáo dưới dạng một cảnh báo cho quản trị để điều tra thêm.
Chức năng SEM về sau được củng cố bằng hệ thống quản lý thông tin bảo mật (Security Information Management - SIM) và tạo ra giải pháp được biết đến ngày nay với tên SIEM. SIM là các công cụ có chức năng tìm kiếm thông tin an ninh qua một lượng lớn dữ liệu nhật ký thu được. Như vậy dữ liệu lịch sử có thể được phân tích cho các mục đích khác nhau, chẳng hạn như thực hiện các cuộc điều tra kỹ thuật số hoặc các yêu cầu tạo báo cáo. Một khía cạnh hoạt động quan trọng khác được giới thiệu trong thế hệ thứ hai của Trung tâm kiểm soát an toàn thông tin mạng là quản lý sự cố an ninh. Các tổ chức sử dụng SIEM có thể tạo ra và phân tách các trường hợp cho các sự cố an ninh trên các báo cáo. Công cụ SIEM có khả năng nhận, phân tích cú pháp, chuẩn hóa, và liên kết các sự kiện khác nhau và cuối cùng cảnh báo cho quản trị viên về hành vi đăng nhập gây hại.
Hệ thống điều hành an toàn thông tin thế hệ thứ ba
Khi các công cụ SIEM thiết lập được tầm quan trọng của chúng, các dịch vụ an ninh bắt đầu hình thành giải pháp điều hành an toàn thông tin hoàn thiện. Trong thế hệ này, nhóm điều hành an toàn thông tin sẽ xử lý các nhiệm vụ liên quan đến việc quản lý các điểm yếu an ninh, các lỗ hổng, các cuộc tấn công, hình thành quy trình phản hồi ứng cứu sự cố. Việc Quản lý các lỗ hổng hay các điểm trọng yếu bản chất thiên nhiều đến các vấn đề thực tiễn, trong đó các lỗ hổng được phát hiện, xác nhận và quản lý, tác động của chúng được đánh giá, các biện pháp khắc phục được đưa ra và thực hiện, tình trạng của chúng được theo dõi và báo cáo cho đến khi phiên khắc phục được đóng lại.
Điều quan trọng ở đây chính là giai đoạn đánh giá các tác động tới các lỗ hổng được phát hiện luôn đi kèm với thực tiễn đánh giá rủi ro an ninh, dữ liệu của tổ chức. Điều này cũng hàm ý rằng hệ thống điều hành an toàn thông tin đề cập đến toàn bộ quá trình quản lý các lỗ hổng thay vì đơn thuần chạy công cụ tìm kiếm những điểm yếu và mục tiêu đối với tài sản CNTT. Với hệ thống điều hành an toàn thông tin các điểm yếu là một phần của chu trình quản lý và thường được thực hiện trong giai đoạn phát hiện, xác nhận và theo dõi các lỗ hổng.
Hệ thống điều hành an toàn thông tin thế hệ thứ tư
Thế hệ hệ thống điều hành an toàn thông tin này giới thiệu một số tính năng và dịch vụ an ninh tiên tiến mà mục đích dành vị trí dẫn đầu trong cố gắng để giải quyết các mối đe dọa an ninh mới. Khái niệm mới này đầu tiên tập trung vào khai phá mạnh mẽ hơn sự tương quan giữa các sự kiện ghi nhận được, mà ở các thế hệ trước còn hạn chế. Phân tích bảo mật dữ liệu lớn (Big Data Security Analyst) có thể được định nghĩa là “khả năng phân tích số lượng lớn dữ liệu có được trong một khoảng thời gian dài để phát hiện các mối đe dọa và sau đó trình bày và báo cáo các kết quả”. Các nền tảng dữ liệu lớn hiện đang được triển khai để thu thập dữ liệu từ bất kỳ nguồn nào với tốc độ cao và khối lượng cực lớn, trong khi có thể thực hiện đồng thời việc phân tích an ninh song song. Một ví dụ về việc sử dụng dữ liệu lớn là nguồn dữ liệu thu thập bao gồm các mối đe dọa, thông tin tình báo về những cuộc tấn công xảy ra trên khắp thế giới thay vì chỉ hạn chế đánh giá tương quan các sự kiện trong phạm vi nội bộ tổ chức, cho dù quy mô tổ chức có thể rất lớn.
Một khái niệm hệ thống điều hành an toàn thông tin thế hệ thứ tư mới khác là khả năng làm giàu dữ liệu thông qua sử dụng các nguồn như dữ liệu địa lý, dữ liệu Hệ thống Tên miền (DNS), mạng tích hợp kiểm soát truy cập, dịch vụ IP và mạng thông tin cảm biến. Các công nghệ mới đang được Trung tâm kiểm soát an toàn thông tin mạng sử dụng với mục tiêu giám định an ninh và xác định vi phạm mạng còn được gọi chung là các giải pháp phát hiện vi phạm.
Hệ thống điều hành an toàn thông tin thế hệ thứ tư có khả năng xử lý dữ liệu lớn nhưng cũng đáp ứng tốt về mặt tốc độ giúp các chuyên gia phân tích và điều tra xử lý các sự cố nhanh chóng.
Hệ thống điều hành an toàn thông tin thế hệ thứ tư cũng tạo ra bước phát triển đột phá khi tích hợp thêm khả năng tương tác tự động với các thiết bị khác để chống lại các tấn công (Incident response). Điều này giảm thiểu được nhiều thời gian cũng như phù hợp với các tổ chức hạn chế về số lượng nhân sự.
Các thông tin được thu thập trong hệ thống điều hành an toàn thông tin thế hệ thứ tư không chỉ là các nguồn thu thập sự kiện mà bao gồm cả các thông tin từ các nguồn Endpoint và thu thập gói tin.
Một cách tổng quan thì Trung tâm kiểm soát an toàn thông tin mạng thế hệ thứ tư đang mở rộng nguồn dữ liệu mối đe dọa, dựa trên các công nghệ xử lý Big Data, giải quyết các bài toán phân lớp an ninh, đưa ra các khả năng bảo mật khác nhau để chống lại các mối đe dọa tiên tiến hơn, và tự động hóa các hoạt động an ninh để cải thiện thời gian phản ứng cho sự cố. Thế hệ điều hành an toàn thông tin thứ 4 cũng bao gồm các chính sách để trở thành một quá trình liên tục được tối ưu hóa và tăng cường cho các mục đích khác nhau.
