Các tổ chức vẫn luôn tìm cách để giữ trạng thái bảo mật tốt. Rất khó để tạo ra các chính sách hệ thống an toàn và tìm các công cụ phù hợp giúp đạt được điều này. Trong nhiều trường hợp, các tổ chức sử dụng các công cụ không tích hợp được với nhau gây tốn kém chi phí để mua và bảo trì.
Quản lý tình hình bảo mật (Security posture management) đề cập đến quá trình xác định và giảm thiểu các cấu hình bảo mật sai và các rủi ro tuân thủ (compliance risks) trong một tổ chức. Để duy trì trang thái bảo mật tốt, các tổ chức ít nhất nên thực hiện những điều sau:
- Duy trì kiểm kê: Kiểm kê tài sản cung cấp danh sách toàn diện về tất cả các tài sản CNTT cần được bảo vệ, bao gồm các thiết bị phần cứng, ứng dụng và dịch vụ đang được sử dụng.
- Thực hiện đánh giá lỗ hổng: xác định các điểm yếu trong các ứng dụng và dịch vụ.
- Đảm bảo cấu hình hệ thống an toàn: liên quan đến việc sửa đổi cài đặt hệ thống để tăng cường bảo mật tổng thể cho hệ thống bằng cách giảm thiểu rủi ro. Các hành động như thay đổi cài đặt mặc định, xác định và loại bỏ cấu hình sai giúp cải thiện tình hình bảo mật của tổ chức.
- Giám sát tất cả tài sản để phát hiện tấn công, có thể được thực hiện thông qua giám sát mạng, hệ thống và log ứng dụng để tìm các điểm bất thường hoặc các dấu hiệu về sự xâm phạm.
Giải pháp Wazuh
Wazuh là nền tảng mã nguồn mở hợp nhất của XDR và SIEM. Nó miễn phí và có hơn 10 triệu lượt tải xuống hàng năm. Wazuh có các agent được triển khai trên các endpoint cần giám sát. Agent sẽ thu thập dữ liệu sự kiện bảo mật (security event) từ các endpoint được giám sát và chuyển tiếp chúng đến máy chủ Wazuh để phân tích log, phân tích tương quan và đưa ra cảnh báo.
Wazuh có sẵn một số mô-đun giúp nâng cao tình hình bảo mật tổng thể của một tổ chức. Dưới đây là một số mô-đun Wazuh có liên quan.
Kiểm kê hệ thống (System inventory)
Mô-đun kiểm kê hệ thống trong Wazuh thu thập thông tin từ các endpoint được giám sát thông qua các agent đã cài đặt. Các loại thông tin được thu thập bao gồm:
- Thông tin phần cứng và hệ điều hành.
- Các ứng dụng và thư viện (package) đã cài đặt.
- Các network interface và cổng (port) đang mở.
- Các bản cập nhật có sẵn và các tiến trình đang chạy.
Thông tin thu thập được sử dụng để phát hiện các lỗ hổng hoặc mối đe dọa. Ví dụ, phiên bản của một package đã cài đặt có thể được sử dụng để xác định xem nó có dễ bị tấn công hay không.
Phát hiện lỗ hổng bảo mật (Vulnerability detector)
Mô-đun phát hiện lỗ hổng của Wazuh dùng để phát hiện các lỗ hổng có thể có trong hệ điều hành và các ứng dụng trên các endpoint được giám sát. Máy chủ Wazuh xây dựng cơ sở dữ liệu lỗ hổng toàn cầu từ các kho CVE có sẵn công khai.
Các lỗ hổng được phát hiện được phân thành bốn mức độ: nghiêm trọng, cao, trung bình và thấp.
Đánh giá cấu hình bảo mật (SCA)
Mô-đun Wazuh SCA có thể đánh giá cấu hình hệ thống và đưa ra cảnh báo khi cấu hình không đáp ứng các chính sách hệ thống an toàn đã xác định. Wazuh có sẵn các chính sách SCA để kiểm tra việc tuân thủ các tiêu chuẩn của Center of Internet Security (CIS). Người dùng cũng có thể tạo các chính sách của riêng họ hoặc mở rộng các chính sách hiện có để phù hợp với nhu cầu của họ.
Sau khi kiểm tra SCA, bảng điều khiển Wazuh sẽ hiển thị thông tin về cấu hình đã được kiểm tra và các bước khắc phục giúp tăng cường hệ thống.
Mô-đun SCA cho phép kiểm tra các cấu hình sai và tuân thủ theo các regulatory framework khác nhau (PCI DSS, GDPR và NIST).
Phát hiện và ứng phó với mối đe dọa
Agent Wazuh chuyển tiếp dữ liệu sự kiện bảo mật tới máy chủ Wazuh để phát hiện phần mềm độc hại và phát hiện bất thường. Ngoài ra, agent còn quét, kiểm tra định kỳ trên các endpoint được giám sát để phát hiện rootkit.
Ngoài ra, Wazuh còn cung cấp khả năng giám sát không cần agent đối với các thiết bị không hỗ trợ cài đặt agent như router, firewall và switch.
Bạn cần thực hiện các biện pháp khắc phục ngay khi phát hiện ra các sự cố bảo mật. Wazuh có khả năng tự động hóa các hành động khắc phục bằng mô-đun active response.
Tổng kết
Duy trì trạng thái bảo mật tốt sẽ làm giảm bề mặt tấn công vào tổ chức của bạn. Wazuh là một giải pháp miễn phí tích hợp tốt với nhiều hệ thống, công nghệ và thiết bị đầu cuối, cho phép kiểm kê hệ thống, thực hiện đánh giá lỗ hổng, kiểm tra cấu hình hệ thống, phát hiện và ứng phó với các cuộc tấn công.
Wazuh có một cộng đồng lớn người dùng hỗ trợ lẫn nhau và giúp cải thiện sản phẩm. Bạn có thể tham khảo Hướng dẫn nhanh để có thể triển khai máy chủ Wazuh hoặc sử dụng dịch vụ Wazuh cloud.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Phát hiện 75 ứng dụng trên Google Play và 10 ứng dụng trên Apple App Store có hành vi gian lận quảng cáo như một phần của chiến dịch phát tán phần mềm độc hại bắt đầu từ năm 2019.
Tín nhiệm mạng | Hưởng ứng Ngày chuyển đổi số quốc gia 10/10, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin sẽ tiến hành thay đổi bộ nhận diện chứng nhận Tín nhiệm mạng.
Tín nhiệm mạng | Vấn đề lừa đảo qua mạng vẫn đang diễn ra hằng ngày và có xu hướng ngày một tăng với các kỹ thuật và thủ đoạn ngày càng tinh vi hơn. Trong đó, lợi dụng tình cảm là một trong những thủ đoạn đã và đang được sử dụng phổ biến để dụ dỗ các con mồi nhẹ dạ cả tin, thiếu nhận thức, cảnh giác đối với các tấn công lừa đảo.
Tín nhiệm mạng | Cuối tuần trước, cảnh sát Thành phố London vừa tiết lộ rằng họ đã bắt giữ một thiếu niên 17 tuổi từ Oxfordshire vì nghi ngờ liên quan đến các vụ tấn công mạng.