Đây là khóa học tập trung vào thực hành, cung cấp các kiến thức cơ bản cần thiết để thực hiện công việc của một nhà phân tích bảo mật và huấn luyện phân tích sự cố xâm nhập thông qua thực hành thực tế. Chúng ta sẽ cùng nhau tìm hiểu các phương pháp phân tích sự cố xâm nhập dưới góc nhìn thực tiễn, cần thiết cho công việc ứng phó và phân tích xâm nhập tại doanh nghiệp.
532 học viên
Độ khó Cơ bản
Thời gian Không giới hạn
Đánh giá từ những học viên đầu tiên
5.0
김채원
Hà, tuyệt vời quá ạ. Những phần trước đây tôi còn mơ hồ thì nay đã hiểu rõ rồi. Cảm ơn bạn.
5.0
seongin-joo
Nội dung bài giảng ngắn gọn và quan trọng
5.0
youkyun.kim
Nội dung được tổng hợp và giới thiệu rất tốt về các sự cố vi phạm bảo mật. Tôi nghĩ đây là một khóa học tốt cho việc làm thực tế.
Bạn sẽ biết cách phân tích nguyên nhân xảy ra sự cố xâm nhập.
Tìm hiểu về các giải pháp bảo mật để ứng phó với các mối đe dọa an ninh mạng.
Bạn có thể thực hành quá trình phân tích sự cố xâm nhập.
Điểm sáng trong công việc thực tế của một chuyên gia phân tích bảo mật chuyên nghiệp!
Hãy làm quen với việc phân tích sự cố xâm nhập thông qua thực hành.
💡 Sự cố xâm nhập là gì?
Khi sự cố xâm nhập mạng xảy ra, doanh nghiệp phải nhanh chóng xác định phạm vi thiệt hại và giảm thiểu tác động đến hoạt động kinh doanh thông qua việc khắc phục sự cố. Nếu thiếu các hoạt động cần thiết để tuân thủ quy định hoặc luật pháp mà ngành yêu cầu, có thể dẫn đến các hình phạt theo luật định hoặc phát sinh thêm các hạng mục thực thi bổ sung. Để giảm thiểu tác động đến kinh doanh, toàn bộ doanh nghiệp bao gồm đội ngũ bảo mật, đội ngũ truyền thông và đội ngũ pháp lý sẽ tập trung vào việc ứng phó sự cố. Các doanh nghiệp thường thực hiện huấn luyện mô phỏng hàng năm hoặc hàng quý để chuẩn bị cho các hoạt động thiết yếu cần thiết khi có sự cố bảo mật xảy ra.
Nhà phân tích bảo mật thực hiện nhiệm vụ phân tích sự cố khi có sự cố xâm nhập hoặc các vấn đề pháp lý xảy ra đối với doanh nghiệp hoặc tổ chức. Để nắm bắt được nguyên nhân của các hiện tượng hệ thống bất thường phát sinh từ nhiều nguyên nhân khác nhau, cần phải có năng lực phân biệt được các tình huống vấn đề này. Đặc biệt, khi xảy ra sự cố xâm nhập do người ngoài đột nhập hoặc do nhân viên nội bộ, vai trò của nhà phân tích bảo mật là phải thực hiện việc phân tích tình trạng thiệt hại của hệ thống và nguyên nhân xâm nhập thông qua phân tích sự cố.
Để phân tích thiệt hại do sự cố của doanh nghiệp và đưa ra các phương án ứng phó nhằm ngăn chặn sự cố tái diễn, việc phân tích chính xác nguyên nhân sự cố là quan trọng nhất. Tuy nhiên, trên thực tế, việc được trải nghiệm quá trình phân tích sự cố là một điều rất hiếm khi xảy ra và cũng là một việc khó khăn.
Thuật ngữ “Big Root” thường được sử dụng để nhấn mạnh tính phức tạp của một vấn đề hoặc tình huống. “Big Root” có nghĩa là gốc rễ của vấn đề rất lớn và phức tạp. Điều này chỉ ra rằng vấn đề không chỉ giới hạn ở một nguyên nhân hay yếu tố đơn giản, mà là sự đan xen phức tạp của nhiều yếu tố khác nhau..
Các sự cố xâm nhập do tấn công mạng nâng cao cũng rất khó giải quyết nguyên nhân gốc rễ nếu chỉ phân tích hệ thống trên bề mặt. Những cuộc tấn công tinh vi này khiến sự cố lặp đi lặp lại và gây thiệt hại liên tục cho hoạt động kinh doanh của doanh nghiệp. Đội ngũ bảo mật doanh nghiệp cần phải kiểm tra thông tin từ nhiều hệ thống và giải pháp khác nhau trong quá trình phân tích để xác định nguyên nhân cốt lõi (root cause) và lộ trình xâm nhập (vector) của sự cố bảo mật.
Thông qua bài giảng, chúng tôi sẽ giải thích về quy trình ứng phó sự cố xâm nhập, đồng thời tìm hiểu về các loại hình và nguyên nhân gây ra các sự cố an ninh mạng gây thiệt hại nghiêm trọng cho doanh nghiệp. Học viên sẽ được đào tạo các kỹ năng cần thiết để giải quyết tận gốc các lỗ hổng bảo mật vốn là nguyên nhân gây ra các sự cố hack.
Thông qua việc huấn luyện phân tích sự cố xâm nhập tương tự như các trường hợp thực tế, bạn có thể
nâng cao năng lực phân tích sự cố.
Trong khóa học này, chúng ta sẽ cùng nhau tìm hiểu về phương pháp phân tích sự cố xâm nhập dưới góc nhìn thực tế cần thiết cho việc thực hiện nghiệp vụ ứng phó và phân tích xâm nhập tại doanh nghiệp. Khóa học cung cấp cho những người đang thực hiện nghiệp vụ phân tích gói tin mạng hoặc nhật ký phát hiện xâm nhập dựa trên mạng những kiến thức cần thiết và bí quyết sử dụng các công cụ phân tích mà một nhà phân tích bảo mật cần có, đồng thời giải thích những kết quả nào cần phải tìm ra thông qua quá trình phân tích.
Đặc biệt, khi thực hiện công việc phân tích bảo mật, bạn sẽ phải sử dụng nhiều loại log và công cụ phân tích khác nhau. Tôi muốn giải thích các khái niệm cơ bản về phân tích mối đe dọa và kỹ năng thực tế cho những ai muốn thực hiện công việc phân tích log hệ thống phát hiện xâm nhập, log máy chủ web và phân tích gói tin mạng. Bằng cách giải thích các khái niệm, kỹ thuật cơ bản cùng với những bí quyết mà tác giả đã tích lũy được trong quá trình làm việc, tôi hy vọng sẽ giúp các học viên nâng cao năng lực thực thi công việc của mình.
Các thông tin được phân tích để phục vụ việc phân tích sự cố tiêu biểu bao gồm nhật ký web (web log), nhật ký IDS/IPS và nhật ký gói tin mạng (network packet log). Chúng ta sẽ dự kiến thực hiện huấn luyện ứng phó sự cố thông qua việc phân tích nhật ký của các hệ thống thực tế đã từng xảy ra sự cố bảo mật. Cuối cùng, tôi cũng sẽ chia sẻ về cách định hướng phát triển sự nghiệp trong tương lai dưới góc độ quản lý lộ trình nghề nghiệp.
Phương pháp thu thập thông tin
cần thiết cho thực tế
ứng phó/phân tích xâm nhập
Công cụ phân tích và cách sử dụng
dành cho người làm thực tế
về ứng phó/phân tích sự cố
Bí quyết thực tế
thông qua các trường hợp
ứng phó/phân tích xâm nhập
Nếu bạn chưa có nhiều kinh nghiệm phân tích sự cố xâm nhập, bạn có thể cảm thấy lúng túng không biết nên bắt đầu từ đâu khi tiến hành điều tra. Thông qua khóa học này, bạn sẽ được thực hành các tình huống sự cố theo từng loại hình để giúp nhà phân tích nhanh chóng tìm ra nguyên nhân và xác định lộ trình tấn công. Qua quá trình thực hành, bạn sẽ biết cần tập trung vào điều gì để tìm ra dấu vết của sự cố xâm nhập khi phân tích nhật ký (log) bảo mật và cách thực hiện phân tích sao cho hiệu quả.
Kẻ tấn công cố gắng xâm nhập vào hệ thống bằng nhiều phương thức khác nhau. Bằng cách hiểu rõ nguyên lý khai thác lỗ hổng thay vì phụ thuộc vào một công cụ hay phương pháp tấn công cụ thể, bạn có thể ứng dụng và thực hiện phân tích đối với nhiều nỗ lực tấn công bảo mật đa dạng khác nhau.
Một phần nhật ký hành vi tấn công được phát hiện từ các sản phẩm bảo mật thương mại sẽ được lọc và cung cấp để thực hành. Tên sự kiện tấn công, thời gian tấn công và các thông tin khác được cấu trúc giống hệt với các trường hợp sự cố thực tế.
Trực tiếp phân tích các kỹ thuật tấn công đã được thực hiện nhắm vào máy chủ web và các bản ghi log còn lại trên máy chủ mục tiêu. Thông qua việc phân tích, xác định các thiết lập lỗ hổng của máy chủ web và tìm ra nguyên nhân gây ra sự cố.
Các tình huống sự cố an ninh mạng đã được tái hiện trong môi trường lab với cùng điều kiện tương tự, đồng thời quy trình tấn công hệ thống dưới góc nhìn của kẻ tấn công cũng được thực hiện lại để thu thập lưu lượng mạng. Bằng cách phân tích các gói tin đã thu thập, chúng tôi phân tích đối tượng bị tấn công và phạm vi thiệt hại.
📣 Vui lòng kiểm tra trước khi bắt đầu khóa học!
Thông qua từng trường hợp thực hành cụ thể, bạn có thể thực hành phân tích sự cố xâm nhập và học hỏi quy trình phân tích. Trước khi học thông qua quy trình phân tích, hãy tự mình thực hiện phân tích trước, sau đó so sánh quá trình bạn đã thực hiện với nội dung trong hướng dẫn phân tích.
Trước khi bắt đầu thực hành, chúng ta sẽ tìm hiểu về các phương pháp luận cần thiết cho việc phân tích. Chúng ta sẽ học cách phân tích phân loại theo phương pháp nhận diện hành vi tấn công dựa trên các mẫu (pattern) đặc định và phương pháp thiết lập ngưỡng (threshold) dựa trên hành vi để nhận diện mối đe dọa, sau đó sẽ cùng tìm hiểu cách áp dụng vào các trường hợp sự cố bảo mật thông qua ví dụ về nhận diện hành vi bất thường trong phim.
Phân tích các sự kiện từ giải pháp phát hiện xâm nhập được phát hiện trong một khoảng thời gian nhất định để tìm ra nguyên nhân gây ra sự cố mạng trên diện rộng. Bảng dưới đây là các sự kiện phát hiện xâm nhập được trích xuất từ hệ thống phát hiện xâm nhập (IDS).
Mục phát hiện | Thông tin phát hiện |
Thời gian thu thập sự kiện | 3tháng |
Tên chữ ký dò tìm | TCP_Invalid_SACK |
IP nguồn | 10.0.0.1 |
Cổng nguồn | ngẫu nhiên |
IP đích | ngẫu nhiên |
Cổng đích | ngẫu nhiên |
Tổng cộng | 1441 vụ |
Signature của hệ thống phát hiện xâm nhập có tên TCP_Invalid_SACK được tạo ra bởi các gói tin SYN và ACK bất thường. Thông thường, giao tiếp TCP trao đổi các gói tin cần thiết theo phương thức được quy định trong giao thức. Tuy nhiên, tùy thuộc vào đặc điểm mạng hoặc chương trình được sử dụng để giao tiếp, hiện tượng giao tiếp theo cách khác với giao thức đã định sẵn có thể xảy ra. Signature TCP_Invalid_SACK ghi lại những hiện tượng này.
Vì lý do này, ngay cả khi kẻ tấn công sử dụng các chương trình không chuẩn, lịch sử giao tiếp vẫn bị phát hiện. Tất nhiên, thông tin bị phát hiện không chỉ ghi lại mỗi giao tiếp của kẻ tấn công. Trong số 1441 sự kiện được phát hiện, số lần kẻ tấn công thực hiện giao tiếp có thể chỉ chiếm một phần nhỏ. Nhà phân tích bảo mật phải tìm ra số ít trường hợp phát hiện tấn công đó thông qua việc phân tích sự kiện.
Chúng ta sẽ truy tìm nguyên nhân sự cố thông qua quá trình trực tiếp phân tích các tệp nhật ký (log) thực hành. Kết quả phân tích nguyên nhân sự cố sẽ được giải thích trong phần hướng dẫn phân tích. Như đã nhấn mạnh trước đó, bạn sẽ thực hiện huấn luyện phân tích sự cố bằng cách tự mình phân tích quá trình xảy ra sự cố trước, sau đó tham khảo nội dung trong phần hướng dẫn phân tích để so sánh với những gì mình đã tự phân tích.
Thông qua việc phân tích nhật ký web (web log), chúng ta sẽ phân tích diễn biến sự cố của hệ thống bị xâm nhập. Quá trình xử lý nhật ký là công việc loại bỏ các thông tin không được phân tích hoặc không cần thiết để phân tích các sự kiện một cách hiệu quả hơn. Tuy nhiên, lượng lưu lượng truy cập này nhiều vô kể như một đống rơm. Việc tìm kiếm các lưu lượng tấn công giống như tìm cây kim ẩn trong đống rơm chưa bao giờ là điều dễ dàng.
Trong bài thực hành thứ hai, chúng ta sẽ cùng nhau tìm hiểu cách dọn dẹp "đống rơm" bằng cách sử dụng nhật ký web (web log). Hãy cài đặt Splunk, Log Parser, Elasticsearch và thực hành quy trình phân tích nhật ký máy chủ web Windows.
Kẻ tấn công đã vượt qua giới hạn phần mở rộng tệp, tải tệp thực thi ứng dụng (tệp mở rộng ASP) lên bảng tin và chiếm quyền kiểm soát hệ thống. Hãy cùng phân tích cuộc tấn công Web Shell được thực hiện thông qua giao tiếp mạng. Quá trình phân tích gói tin giúp thực hiện phân tích xâm nhập một cách hiệu quả chỉ bằng việc lựa chọn phạm vi phân tích máy chủ hoặc lưu lượng giao tiếp mục tiêu. Để phân tích các gói tin giao tiếp Web Shell, chúng ta sẽ sử dụng các cú pháp bộ lọc chuyên dụng để phân tích gói tin một cách hiệu quả.
Trong quá trình phân tích, chúng ta hãy thử trích xuất tệp backdoor đã được thực thi thông qua giao tiếp mạng thực tế, đồng thời truy vết thông qua việc tái hiện lại để xem loại giao tiếp nào đã diễn ra và gây ra thiệt hại gì cho máy chủ.
Q. Những kiến thức tiên quyết cần thiết để học là gì?
Khóa học này được cấu trúc tập trung vào thực hành. Nó không bao gồm các khái niệm cơ bản hay lý thuyết về an ninh mạng. Để thực hiện các bài thực hành trong khóa học này, bạn cần hiểu về IDS, cũng như hiểu về cấu hình ứng dụng web và mã phản hồi của máy chủ web. Mặc dù cần có kiến thức tiên quyết, nhưng ngay cả khi bạn chưa từng thực hiện hành vi hack nào, bạn vẫn có thể thực hiện phân tích sự cố xâm nhập.
Q. Khóa học này có gì khác biệt so với các khóa học bảo mật khác?
Nội dung bài giảng được xây dựng tập trung vào kinh nghiệm thực tế về các kỹ thuật và bí quyết phân tích sự cố bảo mật. Vì cả 3 trường hợp phân tích sự cố xâm nhập đều được chuyển thể từ các trường hợp sự cố thực tế, nên bạn có thể nâng cao kinh nghiệm phân tích sự cố bảo mật của mình. Tuy nhiên, khóa học sẽ không đề cập đến quy trình pháp y (forensic) theo nghĩa pháp lý để thu thập hình ảnh đĩa (disk image).
Q. Có lưu ý gì liên quan đến việc tham gia khóa học không?
Thực hành sẽ sử dụng các công cụ công khai (MS Log Parser Studio, Wireshark), các sản phẩm bảo mật bản dùng thử miễn phí và Microsoft EXCEL. Quá trình cài đặt các sản phẩm phân tích đã được lược bỏ trong nội dung thực hành. Học viên cần tham khảo link hướng dẫn cài đặt từ nhà sản xuất của từng sản phẩm để tự tiến hành cài đặt.
Tôi đã hoạt động được 18 năm với tư cách là chuyên gia ứng phó sự cố của đội CERT và kỹ sư giải pháp tại các công ty bảo mật nước ngoài. Tôi từng đảm nhiệm vị trí PM cho các dự án xây dựng và vận hành SOC tại IBM Hàn Quốc. Tôi đã thực hiện các công việc thiết kế hạ tầng bảo mật và phát triển quy trình xây dựng/vận hành. Tại đội CERT của AhnLab, tôi đã thực hiện phân tích và ứng phó sự cố xâm nhập bảo mật cho các doanh nghiệp tư nhân và cơ quan công quyền. Vào thời điểm xảy ra chiến dịch 3.20 DarkSeoul, tôi đã thực hiện kiểm tra hệ thống của các đài truyền hình trong nước, và hỗ trợ kiểm tra hệ thống bị rò rỉ trong sự cố lộ thông tin cá nhân của Nate.
Kinh nghiệm làm việc chính
Khóa học này dành cho ai?
Chuyên viên phân tích bảo mật SOC
Nhân viên phụ trách thực thi bảo mật IT doanh nghiệp
Đội Phân tích Sự cố (Blue Team)
Nhân lực nghiệp vụ giám sát an ninh
Tư vấn viên bảo mật
Nhân viên thực thi phân tích ứng phó xâm phạm khác
Cần biết trước khi bắt đầu?
Hiểu biết cơ bản về an ninh mạng
Hiểu về thiết lập IDS và ứng dụng web, mã phản hồi của máy chủ web
532
Học viên
55
Đánh giá
4.7
Xếp hạng
1
Khóa học
Tôi đã từng đảm nhiệm công việc phân tích và ứng phó sự cố xâm nhập bảo mật cho các doanh nghiệp tư nhân và cơ quan nhà nước tại đội CERT của AhnLab. Tại thời điểm xảy ra chiến dịch 3.20 DarkSeoul, tôi đã thực hiện kiểm tra hệ thống cho các đài truyền hình trong nước, và hỗ trợ kiểm tra hệ thống bị rò rỉ trong sự cố lộ thông tin cá nhân của Nate. Tôi đã thực hiện nhiều nhiệm vụ điều tra các sự cố xâm nhập khác nhau xảy ra đối với các doanh nghiệp tư nhân và doanh nghiệp công ích.
Tại IBM Hàn Quốc, tôi đã đảm nhiệm vai trò PM cho các dự án xây dựng và vận hành SOC, thực hiện các công việc thiết kế hạ tầng bảo mật cũng như phát triển quy trình xây dựng và vận hành.
Tại Cisco Korea, với tư cách là chuyên gia kỹ thuật về giải pháp bảo mật, tôi đã vận dụng kiến thức về cấu trúc bảo mật và các kịch bản ứng phó mối đe dọa để chẩn đoán hiện trạng và tư vấn cải thiện cho khách hàng.
Hiện tại, tôi đang làm việc với tư cách là kỹ sư giải pháp (Solution Engineer) tại một công ty bảo mật nước ngoài.
<주요 경력사항> • Tư vấn bảo mật: Thiết kế/xây dựng/vận hành chiến lược tăng cường bảo mật thông qua tư vấn hạ tầng bảo mật • Tư vấn kiểm soát bảo mật: Thực hiện tư vấn xây dựng và vận hành SOC (Trung tâm điều hành an ninh mạng)
• Chuyên gia tư vấn bảo mật: Thiết kế/xây dựng/vận hành chiến lược tăng cường bảo mật thông qua tư vấn hạ tầng bảo mật
• Tư vấn giám sát an ninh mạng: Thực hiện tư vấn thiết lập SOC và vận hành trung tâm điều hành an ninh mạng
• Phát triển sản phẩm dịch vụ bảo mật: Phát triển giải pháp & dịch vụ giám sát an toàn thông tin thế hệ mới
• Ứng phó sự cố xâm nhập: Nhiều doanh nghiệp trong lĩnh vực Quân đội/Công lập/Tư nhân
Tư vấn: Thực hiện tư vấn xây dựng và vận hành SOC • Phát triển sản phẩm dịch vụ bảo mật: Phát triển giải pháp & dịch vụ giám sát an toàn thông tin thế hệ mới • Ứng cứu sự cố: Thực hiện cho nhiều đơn vị quân đội/công lập/doanh nghiệp tư nhân, v.v.
Tư vấn: Thực hiện tư vấn xây dựng và vận hành SOC • Phát triển sản phẩm dịch vụ bảo mật: Phát triển giải pháp & dịch vụ giám sát an toàn thông tin thế hệ mới • Ứng cứu sự cố: Thực hiện cho nhiều đơn vị quân đội/công lập/doanh nghiệp tư nhân, v.v.
Tất cả
73 bài giảng ∙ (7giờ 48phút)
Tài liệu khóa học:
Tất cả
55 đánh giá
4.7
55 đánh giá
Đánh giá 1
∙
Đánh giá trung bình 5.0
Đánh giá 3
∙
Đánh giá trung bình 5.0
Đánh giá 3
∙
Đánh giá trung bình 5.0
5
Nội dung được tổng hợp và giới thiệu rất tốt về các sự cố vi phạm bảo mật. Tôi nghĩ đây là một khóa học tốt cho việc làm thực tế.
Cảm ơn phản hồi của bạn. Nếu có thắc mắc gì, hãy để lại câu hỏi trên bảng hỏi đáp nhé.
Đánh giá 4
∙
Đánh giá trung bình 3.3
1
Thật đáng tiếc. Tôi muốn nghiên cứu thực tiễn về tai nạn vi phạm hơn là bài nói chuyện giới thiệu có thể dễ dàng nhìn thấy trên YouTube. Trên thực tế, không có lời giải thích nào trong quá trình đào tạo thực tế và bạn chỉ trải qua quá trình một mình và chỉ nói về kết luận. Ngoài ra, từ giữa, một bản nhạc nền lạ đột nhiên vang lên và tôi không thể nghe được lời giải thích nào cả. Nhìn vào ngày sửa đổi tập tin, video thực hành có vẻ đã khá cũ.
Xin chào, đây là Song Dae-geun. Cảm ơn bạn đã chia sẻ đánh giá khóa học của bạn. Mục tiêu học tập của ba nội dung thực hành trong bài giảng là thực hiện phân tích trực tiếp với tư cách là nhà phân tích sự cố vi phạm và đạt được mục tiêu thực hành (ví dụ: xác định IP của kẻ tấn công, v.v.) để tối đa hóa khả năng thực hành của người học. Mục tiêu học tập là phân tích trực tiếp sách giáo khoa thực hành, rút ra câu trả lời cho các câu hỏi thuộc mục tiêu thực hành, xem xét kết quả phân tích bằng cách so sánh với kết quả phân tích tai nạn vi phạm thực tế ở chương tiếp theo (xem lại thực hành) và xác nhận câu trả lời cho câu hỏi về mục tiêu bài tập. Tuy nhiên, nếu bạn thấy phần thực hành khó hoặc có thắc mắc gì trong quá trình phân tích 3 giáo trình thực hành, vui lòng đăng ký tại mục "Đặt câu hỏi". Sau khi kiểm tra thông tin liên quan, chúng tôi sẽ trả lời mọi câu hỏi mà bạn có thể có. Nếu bạn cho chúng tôi biết video ôn tập thực hành nào trong số ba video ôn tập thực hành này không thể nghe được lời giải thích của bài giảng do âm thanh, chúng tôi sẽ cập nhật video đó bằng cách điều chỉnh độ cân bằng của nhạc nền. Các hồ sơ liên quan đến thực tiễn là vào thời điểm xảy ra sự cố thực tế và các trường hợp tấn công tiêu biểu (ví dụ: cuộc khủng hoảng Internet 3.20) đã được chọn làm sách giáo khoa thực hành. Tham khảo - https://namu.wiki/w/3.20%20%EC%A0%84%EC%82%B0%EB%A7%9D%20%EB%A7%88%EB%B9%84%EC % 82%AC%ED%83%9C Cảm ơn các bạn đã tham dự buổi giảng mùa hè nóng nực đến cuối cùng.
Đánh giá 2
∙
Đánh giá trung bình 2.0
Khám phá các khóa học khác trong cùng lĩnh vực!
