Khai thác và vận hành hiệu quả hệ thống giám sát an toàn thông tin tại EVNHCMC

Ngày đăng : 30/06/2024

1. Hệ thống giám sát ATTT của EVNHCMC
Giới thiệu chung
Hệ thống giám sát ATTT (SOC) của EVNHCMC là bộ phận thực hiện chức năng giám sát, phân tích mức độ an ninh của toàn bộ hệ thống thông tin của tổ chức với tần suất hoạt động liên tục 24/7. 
Nhiệm vụ của trung tâm là phát hiện, phân tích và xử lý các sự cố an ninh mạng dựa trên sự kết hợp giữa các giải pháp công nghệ và một bộ các quy trình.
Đối với hệ thống giám sát ATTT, việc thu thập dữ liệu giám sát cần phải được thực hiện dựa trên các trường hợp cụ thể (usecase) cần giám sát. Việc thu thập dữ kiện và dữ liệu giám sát theo usecase để đảm bảo:
- Tính đầy đủ thông tin: cần thu thập đầy đủ các thông tin cần thiết cho việc giám sát của hệ thống giám sát ATTT.
- Tính tập trung: dữ kiện và dữ liệu được thu thập tập trung vào đối tượng cần giám sát.
- Tính cô đọng: chỉ thu thập các dữ kiện và dữ liệu cần thiết cho việc giám sát, tránh dư thừa dữ liệu làm tiêu tốn tài nguyên, thời gian phân tích và phản ứng và để tối ưu tính chính xác của các bộ luật phát hiện tấn công.
Quy trình hoạt động của hệ thống giám sát ATTT 
 

Bước 1: Giám sát ATTT thường trực 24x7
- Các nhân sự Tier 1 giám sát 24x7 có trách nhiệm theo dõi các cảnh báo phát hiện các bất thường từ các dữ liệu nhận được dựa trên các kịch bản phát hiện được xây dựng sẵn từ hệ thống hoặc tạo mới trong quá trình vận hành.
Bước 2: Phân tích và xử lý sự cố ATTT
- Nhân sự Tier 1 vận hành phần lớn trên giải pháp SOAR, từ các thông tin được làm giàu và kịch bản phân tích để đánh giá incident có phải false positive. Nếu đúng là false positive thực hiện đóng incident, gắn nhãn.
- Trường hợp nghi ngờ là incident thực sự, nhân sự Tier 1 cần nhân sự Tier 2 phân tích sâu và chấp thuận các action phản hồi để ngăn chặn incident, nếu đã có kịch bản và ảnh hưởng của incident chưa nghiêm trọng.
- Trường hợp phức tạp, khó khăn hơn, nhân sự Tier 2 cần nhân sự Tier 3 hỗ trợ phân tích, xác nhận để có cơ sở ngăn chặn incidient.
Bước 3: Tiếp nhận sự cố ATTT
- Trường hợp nếu incident được Tier 2 (Tier 3) đánh giá là có ảnh hưởng nghiêm trọng, kịch bản đã xây dựng chưa thể phản hồi hoàn toàn. Nhân sự Tier 2 (Tier 3) lập báo cáo nhanh sự cố ATTT gửi cho EVNHCM
- EVNHCM tiếp nhận thông tin và báo cáo, thực hiện quy trình ứng cứu sự cố ATTT nội bộ. Trường hợp cần sự phối hợp của Incident Response Team (IRT) của đơn vị chuyên ngành bên ngoài, EVNHCM thực hiện phản hồi và tạo ticket để phối hợp thực hiện.
Bước 4: Thực hiện ứng cứu sự cố ATTT
- Thực hiện ứng cứu sự cố ATTT do đội ngũ nội bộ EVNHCM đảm nhiêm và kết hợp với đơn vị chuyên trách ATTT bên ngoài, theo chỉ đạo và điều hành của các cấp lãnh đạo và phối hợp các phòng ban liên quan của EVNHCM theo qui định của EVN, EVNHCMC.
- Sau khi thực hiện ứng cứu sự cố ATTT theo kế hoạch, cần được đánh giá và kiểm tra kết quả thực hiện. Để từ đó xác nhận rằng hệ thống ảnh hưởng đã được điều tra và làm sạch. Trường hợp kết quả chưa đạt, đội ngũ ứng cứu sự cố ATTT sẽ phải tiếp tục thực hiện theo kế hoạch cho đến khi đạt yêu cầu.
Bước 5: Phục hồi và báo cáo sự cố
- Kiểm tra và đảm bảo hệ thống được phục hồi, hoạt động kinh doanh và vận hành được bình thường sau sự cố ATTT
- Đội ngũ ứng cứu sự cố ATTT ghi nhật ký, lập báo cáo, lưu trữ. Tier 2 cập nhật hoặc tạo mới kịch bản phát hiện phản hồi cho sự cố ATTT tương tự trong tương lai
2. Hoạt động của hệ thống giám sát ATTT
Hệ thống giám sát ATTT tại EVNHCMC được xây dựng và chính thức đưa vào hoạt động vào năm 2024 với trung tâm là giải pháp SOAR (Security Orchestration Automation and Response) là một gói giải pháp bao gồm các chương trình phần mềm tích hợp với nhau, cho phép một tổ chức thu thập dữ liệu về các mối đe dọa bảo mật từ nhiều nguồn và phản ứng với các sự kiện bảo mật đơn giản mà không cần đến sự trợ giúp của con người. Mục tiêu của việc sử dụng SOAR là nhằm cải thiện hiệu quả của các hoạt động bảo mật (bao gồm cả bảo mật vật lý và bảo mật kỹ thuật số).
- Chức năng chính của một giải pháp SOAR:
+ Quản lý các mối đe dọa và lỗ hổng bảo mật (Threat and Vulnerability Management): Hỗ trợ khắc phục các lỗ hổng, cung cấp quy trình làm việc chính thức và đưa ra báo cáo.
+ Phản ứng với sự cố bảo mật (Security Incident Response): Hỗ trợ cách tổ chức lên kế hoạch, quản lý, theo dõi và điều phối phản ứng đối với sự cố bảo mật.
+ Tự động hóa vận hành bảo mật (Security operations automation): Hỗ trợ tự động hóa và sắp xếp các công việc, quy trình, thực thi các chính sách và công việc báo cáo.
 

Đứng ở trung tâm của mô hình, hệ thống Resilient SOAR nhận các cảnh báo từ các kênh như email, SIEM... về các dấu hiệu tấn công, hoặc bất thường bên trong hệ thống để khởi tạo các sự cố. Khi một sự cố được tạo ra trên Resilient SOAR, đội ngũ vận hành sẽ cùng phối hợp với nhau và với hệ thống để điều tra nguyên nhân, ngăn chặn và khắc phục hậu quả của nó. Mỗi sự cố được tạo ra sẽ kích hoạt một kịch bản ứng phó (playbook) phù hợp, được xây dựng trước, trên Resilient SOAR. Trong đó liệt kê trình tự các bước và hướng dẫn về nhiệm vụ mà từng cán bộ cần thực hiện. Trong quá trình kịch bản ứng phó diễn ra, hệ thống có thể có những bước tự động hóa bao gồm việc thu thập các thông tin làm giàu, gửi thông báo, hoặc kết nối đến những hệ thống an ninh khác để ngăn chặn các mối đe dọa.
 

Phân tích mô hình nguyên lý - luồng dữ liệu bao gồm các loại sau:
- Escalate: việc khởi tạo các sự cố thông qua các kênh khác nhau, bao gồm:
+ Email: người dùng báo cáo về sự cố bằng cách gửi email đến hòm thư dành riêng cho hệ thống Resilient SOAR. Trong email cần chứa các thông tin liên quan phục vụ cho quá trình điều tra sự cố, thường bao gồm các thông tin điển hình như: định danh người báo cáo, thông tin về đối tượng bị ảnh hưởng (Source IP, Username...)
+ Hệ thống SIEM: sau quá trình phân tích tương quan, nếu SIEM phát hiện ra các dấu hiệu bất thường, nó sẽ tự động khởi tạo sự cố trên Resilient với các thông tin tương ứng trong offense/alarm sinh ra. Ngoài ra, cán bộ giám sát cũng có thể khởi tạo sự cố thủ công qua kênh này, trong khi phân tích điều tra các offense/alarm và event trên SIEM
- Enrich: Resilient SOAR kết nối tới các nguồn thông tin khác như mạng lưới tình báo an ninh mạng (Threat Intelligence) hoặc các nguồn chứa dữ liệu nội bộ của tổ chức (Corporate Data) để làm giàu thêm dữ kiện cho sự cố, giúp quá trình xử lý được chính xác và nhanh chóng hơn. Việc bổ sung này sẽ được thực hiện tự động để giảm tối đa độ trễ và các sai sót xuất phát từ các yếu tố con người
- Notify: trong tất cả các giai đoạn, từ khi sự cố được khởi tạo, đến quá trình sự cố đang được xử lý, cũng như lúc nó được kết thúc, hệ thống sẽ tự động thông báo đến các thành viên, cá nhân cũng như đơn vị liên quan để giữ luồng thông tin xuyên suốt và đảm bảo tất cả các bên tham gia vào sự cố đều được cập nhật với những dữ liệu mới nhất. Việc thông báo này cũng có thể được thực hiện qua nhiều kênh khác nhau, VD: email, Telegram, Slack...
- Respond: để đẩy nhanh tiến độ khắc phục sự cố, Resilient sẽ tự động kết nối đến các giải pháp phòng thủ khác trong tổ chức (VD: Firewall, AntiVirus, Email/Web Security,...) để tiêu diệt hoặc ngăn chặn sự lây lan của các nguồn đe dọa gây ra sự cố. Việc phản hồi này có thể được thực hiện tự động hoàn toàn (lệnh được thực thi tự động theo kịch bản - workflow), hoặc tự động một phần (lệnh do cán bộ xử lý thực thi.
3. Lợi ích của hệ thống giám sát ATTT 
Với việc hoàn thành tích hợp các hệ thống CNTT của EVNHCMC, các playbook tự động hóa, các nguồn threat intelligence vào hệ thống Resilient, hệ thống giám sát an toàn thông tin có thể đáp ứng các yêu cầu đảm bảo ATTT cho hệ thống OT và IT của EVNHCMC như sau:
- Tăng cường bảo mật mạng: Cung cấp giải pháp bảo mật toàn diện cho hệ thống mạng của ENVHCMC bằng cách phát hiện, giám sát, phân tích và đáp ứng các mối đe dọa an ninh. 
- Phát hiện sớm các mối đe dọa: Giúp phát hiện sớm các mối đe dọa an ninh trên hệ thống mạng và phản ứng kịp thời để ngăn chặn những mối đe dọa này trước khi chúng gây ra hậu quả nghiêm trọng hơn.
- Tăng cường khả năng giám sát: cung cấp khả năng giám sát toàn diện các hoạt động trong hệ thống mạng, giúp phát hiện các hoạt động bất thường và tiềm ẩn nguy cơ an ninh. Điều tra chi tiết và thuận tiện nhờ các thông tin đầy đủ quan trọng về sự cố luôn được dễ dàng truy cập mọi lúc mọi nơi.
- Cải thiện khả năng đáp ứng: Hệ thống giám sát ATTT cung cấp khả năng đáp ứng nhanh chóng và hiệu quả khi có các sự cố an ninh xảy ra trên hệ thống mạng. Hệ thống có khả năng phối hợp và tự động hoá các quy trình phản ứng, xử lý sự cố giúp tối ưu các công tác vận hành an ninh và công tác ứng cứu sự cố. 
Đồng thời đáp ứng nhanh chóng với những hiểm hoạ bằng các kịch bản thông minh được xây dựng dựa trên những kinh nghiệm và tri thức của tổ chức chuyên bảo mật được đúc kết qua nhiều cuộc tấn công. Có khả năng linh hoạt thay đổi trong vận hành để thích nghi với từng diễn biến mới của sự cố trong quá trình điều tra nhờ việc phân cấp ưu tiên quản lý các sự kiện và công việc.
- Tăng cường năng suất: Hệ thống giám sát ATTT giúp EVNHCMC tiết kiệm thời gian và tài nguyên trong việc quản lý an ninh mạng, giúp tập trung vào các hoạt động vận hành lưới điện và SXKD của EVNHCMC.
- Nâng cao chất lượng dịch vụ: Cung cấp dịch vụ an ninh chuyên nghiệp và đáng tin cậy trong nội bộ EVNHCMC và đối với khách hàng khi sử dụng các dịch vụ cung cấp điện trực tuyến, bảo mật thông tin khách hàng, góp phần tăng cường lòng tin của khách hàng.
Với tất cả những tính năng ưu việt và năng lực vượt trội nêu trên, hệ thống giám sát ATTT của EVNHCMC thực sự là chìa khoá để tạo nên một nền móng vững chắc và tin cậy về ATTT giúp EVNHCMC đảm bảo ATTT cho các hệ thống thông tin, mạng IT và OT của EVNHCMC.