Kết hợp SIEM và DAM: Sự khác nhau trong việc triển khai và cách thức để ứng dụng thành công DAM
So sánh giữa SIEM và DAM
Dễ nhận thấy SIEM và DAM có nhiều điểm tương đồng về mặt kiến trúc, đồng thời cũng có sự trùng lặp về cách thức xử lý thông tin. Nhìn vào kiến trúc của 2 giải pháp này có thể thấy nền tảng được thiết kế cho việc thu thập sự kiện, chuẩn hóa, phân tích và báo cáo, cả hai đều thu thập nhật ký cơ sở dữ liệu đồng thời cung cấp các quy tắc và giải pháp tuân thủ, báo cáo tuân thủ, hỗ trợ an ninh bảo mật và giảm thiểu chi phí.
Ngoài những điểm tương đồng nêu trên thì SIEM và DAM lại có nhiều điểm hoàn toàn khác nhau. Sự khác nhau thể hiện ở mức độ phân tích và đối tượng mà mỗi giải pháp nhắm đến.
DAM cung cấp khả năng phân tích chuyên sâu trên tầng cơ sở dữ liệu theo thời gian thực. Không chỉ cung cấp thông tin từng truy vấn tới cơ sở dữ liệu riêng rẽ mà còn cung cấp lưu lượng truy vấn nói chung. DAM áp dụng các kỹ thuật phân tích nội dung, ngữ cảnh và hành vi trên thông tin cơ sở dữ liệu mục tiêu, qua đó triển khai các chính sách đảm bảo tuân thủ phù hợp với nhu cầu tổ chức.
Các nhà cung cấp SIEM cho rằng họ có thể giám sát cơ sở dữ liệu, nhưng chỉ một vài nhà cung cấp thực sự có giải pháp giám sát hiệu quả. Đa số cung cấp khả năng kiểm tra (audit) chứ không phải giám sát cơ sở dữ liệu thực sự. Tuy nhiên, không có nghĩa rằng DAM là công nghệ tốt hơn mà nó chỉ khác ở mức độ tập trung.
SIEM cung cấp khả năng phân tích các cảnh báo bảo mật từ các ứng dụng và hạ tầng mạng theo thời gian thực, tạo báo cáo các sự kiện cần tiến hành điều tra thêm và phục vụ mục đích kiểm soát tuân thủ. DAM cũng cung cấp khả năng phân tích theo thời gian thực nhưng giới hạn trong phạm vi các hoạt động ở tầng cơ sở dữ liệu. Điều này khiến việc triển khai công nghệ DAM cho doanh nghiệp đơn giản hơn khi triển khai SIEM vì sẽ không phải xử lý vấn đề kết hợp dữ liệu nhật ký (log) từ nhiều thiết bị và ứng dụng khác nhau.
Tuy nhiên, bất kì hệ thống giám sát nào cũng vậy, để hoạt động hiệu quả cần xác định hành vi nào là bình thường và chấp nhận được trong môi trường hoạt động, đồng thời chỉ ra hành vi bất thường, không mong muốn. Một sản phẩm giám sát thiếu hụt khả năng nhận thức về ngữ cảnh hoặc sự hiểu biết về hành động tiêu chuẩn sẽ đưa ra các cảnh báo giả, ảnh hưởng đến năng suất và an toàn hệ thống. Do SIEM phải kết hợp dữ liệu từ nhiều nguồn, nên mất thời gian để hiểu được mối quan hệ giữa các sự kiện khác nhau, liên kết và phân biệt được đâu là mẫu bình thường, đâu là mẫu bất thường. Điều này giúp tránh các rắc rối không cần thiết từ việc tinh chỉnh sai, cảnh báo nhầm hay ảnh hưởng đến hiệu năng của hệ thống cần giám sát.
Để đầu tư vào DAM được hiệu quả, các tổ chức cần khảo sát một quy trình tương tự để so sánh và tinh chỉnh các ngưỡng sự kiện, nhằm đưa ra các cảnh báo đủ chi tiết và cần thiết giúp xác định sự kiện cần điều tra. Để giảm thiểu công sức khi triển khai và cấu hình cho bất cứ thiết bị nào, các tổ chức nên xác định rõ mục tiêu cần đạt được. Công nghệ được áp dụng cho việc xác định đe dọa, tuân thủ hay báo cáo kiểm toán, pháp lý? Liệu các cảnh báo và báo cáo có cần cập nhật theo thời gian thực hay chấp nhận trễ một ngày? Nếu mục đích chính là kiểm soát tuân thủ, phục vụ kiểm toán hay pháp lý thì DAM hay SIEM cần phân tích, báo cáo dựa trên các yêu cầu tuân thủ và chính sách của tổ chức.
DAM có thể là công nghệ quan trọng giúp bảo vệ dữ liệu nhạy cảm khỏi các cuộc tấn công từ cả bên trong lẫn bên ngoài tổ chức. Bổ sung thêm một lớp bảo vệ bằng cách giám sát phân quyền người dùng truy cập ứng dụng ngoài việc ghi nhật ký (log) cơ sở dữ liệu và các chức năng kiểm tra (audit). Đồng thời tăng mức độ bảo mật cơ sở dữ liệu qua việc phát hiện các hành vi cập nhật hay đọc dữ liệu bất thường từ tầng ứng dụng gửi xuống. Để triển khai các tác vụ này hiệu quả, đầu tiên cần giám sát hoạt động ứng dụng và đề xuất ranh giới cho các hành vi thông thường nhằm xác định một cuộc tấn công dựa trên độ sai lệch so với hoạt động và cấu trúc SQL bình thường, từ đó đưa ra các cảnh báo vi phạm chính sách.
Việc cấu hình và tối ưu hệ thống tiêu tốn khá nhiều thời gian và công sức của các tổ chức nhưng giúp hệ thống giám sát có khả năng phát hiện những vụ tấn công tinh vi nhất.
Nếu người quản trị quan tâm đến các công nghệ này và muốn lựa chọn giải pháp phù hợp nhất cho tổ chức của mình thì hãy tập trung vào các tình huống sử dụng của tổ chức mình. Không nên coi DAM như lựa chọn tốt nhất chỉ vì cần rà soát nhật ký cơ sở dữ liệu. Tương tự, SIEM mang đến một giải pháp giám sát sự kiện tổng thể nhưng không đồng nghĩa với việc có thể bảo mật cơ sở dữ liệu tốt. Cần hướng đến mục tiêu và tập trung vào các tình huống sử dụng cụ thể để có thể lựa chọn đúng công nghệ phù hợp. Đôi khi cần kết hợp cả hai.
Để tăng tính bảo mật cần tích hợp DAM vào SIEM
DAM và SIEM được áp dụng tương đối riêng rẽ trong quá khứ, nhưng hiện tại khi công nghệ bảo mật đã phát triển và theo đó là các mối đe dọa cũng biến chuyển, thì ranh giới giữa hai công nghệ này đã bắt đầu mờ nhạt dần.
Để có được cái nhìn tổng thể diễn biến hoạt động trong cơ sở dữ liệu cũng như môi trường xung quanh, các tổ chức cần đưa dữ liệu thu thập bởi DAM vào trong công cụ SIEM, thực hiện phân tích và giám sát.
Theo chuyên gia bảo mật Mike Rothman nhận định, lợi thế lớn nhất khi tích hợp DAM với SIEM là ngữ cảnh nó cung cấp: “Một cuộc tấn công cơ sở dữ liệu thường chỉ là một khía cạnh của một cuộc tấn công lớn hơn. DAM không giám sát được môi trường mạng, cấu hình máy chủ, hoạt động người dùng và nhiều vấn đề khác nữa”. Có thể cấu hình để SIEM phát hiện ra các mẫu trong tập dữ liệu lớn những thông tin về cơ sở dữ liệu chỉ là một trong số các đầu vào.
Theo Rick Caccia - Phó chủ tịch phụ trách mảng marketing tại hãng cung cấp phần mềm SIEM ArcSight: “Vấn đề thông thường với các sản phẩm DAM là hầu hết khách hàng không có ứng dụng trao đổi trực tiếp với một cơ sở dữ liệu; họ có một vài kiểu máy chủ chạy ứng dụng kết nối đến cơ sở dữ liệu, và chính máy chủ ứng dụng đó giữ kết nối đến cơ sở dữ liệu”. “Nó giống như một cái phễu mà tất cả các yêu cầu người dùng gửi đến ứng dụng đều đi qua đó. Vì vậy có thể một người dùng tên Rick đăng nhập và vấn tin danh sách khách hàng nhưng trên thực tế đối với cơ sở dữ liệu, Rick cũng chỉ được xem như là máy chủ ứng dụng”. Bằng cách đưa thông tin DAM vào hệ thống SIEM cho phép tổ chức dễ dàng liên kết một hành vi người dùng phát sinh từ tầng ứng dụng xuyên với truy vấn liên quan được gửi đến cơ sở dữ liệu.
Rick Cacci cũng cho biết: “Các tổ chức đưa nhật ký ứng dụng vào SIEM, đồng thời đưa nhật ký thu thập từ DAM vào SIEM, sau đó SIEM sẽ tìm ra mối liên hệ và liên kết các nhật ký này với nhau theo một chuỗi sự kiện có liên quan”. Có thể hình dung, tại một thời điểm nào đó, ứng dụng ghi lại hành động mà người dùng tên Fred thực hiện và chỉ ngay sau đó vài phần giây, DAM ghi lại truy vấn trên cơ sở dữ liệu với cùng loại thông tin. Khi đó, SIEM sẽ liên kết hai sự kiện này và suy đoán rất có thể “Fred” đã thực hiện tác vụ đó.
Cả Rothman và Caccia đều nhất trí rằng một trong những trở ngại lớn nhất khi tích hợp DAM vào SIEM không phải là vấn đề công nghệ vì thực tế các đối tác DAM và SIEM làm việc cùng nhau trong suốt nhiều năm qua, mà vấn đề là cuộc tranh luận nội bộ bên trong tổ chức. DAM thường nằm bên trong nhóm quản trị cơ sở dữ liệu còn SIEM thì thường thuộc quản lý của nhóm an ninh bảo mật. Do đó, việc kết hợp hai nhóm này cùng nhau làm việc có thể khó hơn việc tích hợp dữ liệu.
Theo Caccia, một trong những vấn đề cốt lõi là cuộc tranh luận từ lâu nay giữa hiệu năng và tính bảo mật. Để quá trình tích hợp trơn tru, trước tiên các tổ chức phải thống nhất được một bản thỏa thuận giữa các bên. Nếu không những nỗ lực tích hợp rất có thể sụp đổ khi mà các bên phụ trách các vấn đề khác nhau có những động lực khác nhau. Quản trị viên cơ sở dữ liệu sẽ chỉ thực hiện các tác vụ nhằm đảm bảo cơ sở dữ liệu chạy nhanh và không bao giờ phát sinh lỗi.
TÀI LIỆU THAM KHẢO 2. https://www.darkreading.com/risk/siem-aint-dam/ d/d-id/1133999 3. https://www.darkreading.com/to-improve-security-get-your-dam-info-into-siem/d/d- id/1134874 |
Vũ Mạnh Hùng