Rule-Based Monitoring trong An Ninh Mạng -

Đặc trưng của Rule-Based Monitoring

• Dựa vào các luật/heuristics tùy chỉnh thay vì chỉ so khớp mẫu.

• Có thể phát hiện hành vi bất thường hoặc vi phạm chính sách bảo mật.

• Được tinh chỉnh cho từng tổ chức, phù hợp với yêu cầu tuân thủ và đặc thù vận hành.

• Có khả năng đáp ứng các chuẩn mực pháp lý (PCI DSS, HIPAA, GDPR, ISO 27001...).

Các Danh Mục Rule-Based Monitoring

1. Network Rule-Based Monitoring

• Theo dõi traffic mạng, kiểm soát cổng, địa chỉ IP, giao thức.

• Ứng dụng: bảo vệ biên mạng, phát hiện xâm nhập, ACL động.

• Công cụ: Firewall, IDS/IPS.

2. Endpoint Rule-Based Monitoring

• Giám sát hoạt động trên máy trạm, server.

• Ứng dụng: phát hiện malware, insider threat, USB cắm trái phép.

• Công cụ: EDR, Antivirus.

3. Application Rule-Based Monitoring

• Theo dõi ứng dụng và API.

• Ứng dụng: bảo vệ web app, SQL injection, outbound kết nối lạ.

• Công cụ: APM, WAF.

4. User Behavior Rule-Based Monitoring

• Giám sát hành vi người dùng: login bất thường, truy cập ngoài giờ.

• Công cụ: SIEM, UBA.

5. Cloud Rule-Based Monitoring

• Theo dõi hoạt động trong AWS, Azure, GCP.

• Ứng dụng: bucket public, security group thay đổi, region không được phép.

• Công cụ: CloudWatch, Azure Monitor, Google Ops Suite.

6. Identity & Access Rule-Based Monitoring

• Bảo vệ IAM, MFA, account privilege.

• Ứng dụng: login từ vị trí lạ, tài khoản admin tạo user mới.

7. Resource Utilization Monitoring

• Giám sát CPU, RAM, Disk, Network usage.

• Ứng dụng: phát hiện DoS/DDoS, outage.

• Công cụ: Nagios, Zabbix, SolarWinds.

8. File Integrity Rule-Based Monitoring

• Theo dõi thay đổi file cấu hình hoặc dữ liệu nhạy cảm.

• Ứng dụng: phát hiện malware chèn mã, file bị chỉnh sửa.

• Công cụ: Tripwire, OSSEC.

9. Compliance Monitoring

• Đảm bảo tuân thủ chuẩn mực: mật khẩu, mã hóa, dữ liệu nhạy cảm.

• Công cụ: Qualys, Nessus, Splunk Compliance.

10. Event Correlation Monitoring

• Kết hợp nhiều sự kiện để phát hiện mẫu tấn công phức tạp (APT).

• Ứng dụng: login bất thường kèm file transfer, scan port kèm brute force.

• Công cụ: SIEM (Splunk, QRadar, ArcSight).

Quy Trình Rule-Based Detection

• Rule Definition – Xây dựng luật dựa trên hành vi hợp lệ & hành vi nghi ngờ.

• Data Collection – Thu thập log, packet, event từ endpoint, network, cloud.

• Rule Matching – So khớp dữ liệu với rule.

• Action Trigger – Sinh cảnh báo hoặc phản ứng tự động (block, isolate, quarantine).

Ưu Điểm và Hạn Chế

Ưu điểm

• Rõ ràng, minh bạch: dễ audit, dễ giải thích.

• Tùy biến cao: phù hợp từng môi trường.

• Hiệu quả: giảm nhiễu nhờ tập trung vào tình huống cụ thể.

Hạn chế

• Bảo trì nặng: phải update liên tục.

• Giới hạn: khó phát hiện mối đe dọa chưa biết.

• False positive cao nếu rule viết chưa tối ưu.

So Sánh với Signature-Based Monitoring

• Signature-based: nhanh, chính xác với mối đe dọa đã biết → dùng trong Antivirus, IDS/IPS.

• Rule-based: linh hoạt, phát hiện hành vi bất thường → dùng trong SIEM, UBA, Compliance.

• Kết hợp cả hai: tạo nên hệ thống phòng thủ đa lớp, giảm thiểu blind spot.

Ví Dụ Đời Thực

• Security Guard analogy: Bảo vệ tòa nhà kiểm tra checklist hành vi khả nghi.

• Airport analogy: Kiểm tra an ninh sân bay, mọi hành vi vi phạm rule đều bị đánh giá và theo dõi (flag).

TÓM TẮT