1. Công nghệ SIEM (Security Information and Events Management – Quản lý thông tin và sự kiện an ninh mạng): SIEM có nhiệm vụ thu thập nhật kỹ bảo mật từ các máy chủ, thiết bị mạng và bảo mật, các ứng dụng; thu thập và phân rã dữ liệu lưu lượng mạng; thực hiện việc chuẩn hóa thông tin dữ liệu, phân tích để phát hiện bất thường, đưa ra các cảnh báo về an toàn thông tin.
Kiến trúc giải pháp SOC của NCS cho phép khách hàng triển khai theo bất cứ mô hình nào mà khách hàng mong muốn, tùy theo thực trạng hạ tầng, quy định quản lý dữ liệu nội bộ của khách hành. NCS có thể cung cấp toàn bộ phải pháp thu thập log, quản lý sự kiện an ninh SIEM dưới dạng dịch vụ (Managed Service) hoặc khách hàng có thể tự trang bị giải pháp SIEM. Tùy theo nhu cầu, nguồn lực của khách hàng, NCS sẽ tư vấn, cung cấp giải pháp SIEM cho khách hàng dựa trên nền tảng mã nguồn mở như ELK hoặc dựa trên giải pháp thương mại hàng đầu trên thị trường hiện nay như IBM Qradar, Splunk, RSA Netwitness, Micro Focus ArcSight…. Ngoài ra, NCS đã và đang liên tục hỗ trợ khách hàng trong việc tinh chỉnh tập luật trên SIEM nhằm giảm thiểu các cảnh báo sai (false positive) trên hệ thống, tăng hiệu quả giám sát của SIEM. NCS đã xây dựng bộ tập luật riêng lên tới 400 usecase song song với các tập luật trên SIEM được tham chiếu theo MITRE ATT&CK. Các tập luật trên SIEM này cho phép việc chuyển đổi từ một định dạnh chung (Sigma) sang các định dạnh khác để có thể sử dụng trên các giải pháp SIEM phổ biến như Qradar, Splunk, RSA Netwitness, Arcsight, ELK…
Đang chú ý, đội ngũ chuyên gia của NCS đã phát triển công cụ Backbone Integration Framework để đảm bảo tích hợp giữa các thành phần trong SOC dù khách hàng sử dụng, có mong muốn sử dụng bất cứ nền tảng SIEM nào. Công cụ này vừa gia tăng tính linh hoạt tối đa cho khách hàng, vừa giúp tối ưu hóa sự phối hợp giữa các thành phần trong hệ thống SOC của NCS, tối ưu hoạt động vận hành trên thực tế.
2. Công nghệ SOAR (Security Orchestration, Automation and Response - Điều phối, tự động hóa, phản ứng sự cố an ninh mạng): Giúp quản lý, xử lý các cảnh báo được gửi về từ các hệ thống SIEM của khách hàng một cách tập trung; đồng thời cung cấp các quy trình chi tiết nhằm xử lý cảnh báo, sự cố. Nền tàng SOAR còn cung cấp các quy trình tự động, bán tự động nhằm tương tác với các hệ thống phòng thủ khác như IDP/IPS, Firewall để nhanh chóng ngăn chặn các cuộc tấn công.
Khi khách hàng sử dụng dịch vụ SOC của NCS sẽ được cung cấp tài khoản để truy cập hệ thống SOAR Portal. Hệ thống này cho phép khách hàng có thể theo dõi chi tiết quá trình xử lý một cảnh báo theo luồng xử lý cảnh báo hoặc có thể để lại nhận xét hay lời nhắn để cùng phối hợp với đội ngũ trực 24/7 trên một giao diện duy nhất.
Hệ thống SOAR Portal tự động kiểm tra, đối chiếu các IoC với dữ liệu thông tin tình báo an ninh mạng, từ đó cho phép khách hàng có thể nhanh chóng kiểm tra các dấu hiệu bất thường từ cảnh báo.
Đối với việc xử lý các cảnh báo NCS thực hiện chia các cảnh báo thành nhiều loại cảnh báo tấn công khác nhau. Từ đó cung cấp các checklist chi tiết cho việc kiểm tra và xử lý nhận định các cảnh báo như sau: Data Leak, Email Phising, Execution, File Integrity Monitoring (FIM), Security Solution Alert, System Down, Threat Intelligence, Vulnerablility Detection, Web Attack, UEBA, Windows Account UEBA,….
Tương ứng với việc xử cảnh báo, NCS cũng cung cấp sẵn các checklist để phục vụ việc xử lý khi phát hiện sự cố như: AD Attack, DOS/DDOS, Malware, OS forensics, Vulnerability Exploiting.
3. Công nghệ TIP (Threat Intelligence Platform – Nền tảng thông tin tình báo an ninh mạng): Cung cấp đầy đủ các thông tin về IoCs, sự cố được cập nhật liên tục từ nhiều nguồn Threat Intelligence khác nhau, bao gồm cả các nguồn thương mại (như ThreatConnect, Recorded Future) và các nguồn mở (OSINT - Opensource Intelligence). Ngoài ra, đội ngũ NCS còn xây dựng, phát triển nguồn Threat Intelligence nội bộ, từ các nghiên cứu, phân tích của các thành viên cũng như thông tin thu được trong quá trình NCS tham gia xử lý sự cố phía khách hàng và đối tác.
Cung cấp thông tin các mối đe dọa an ninh mạng mới nhất vừa xuất hiện bao gồm các lỗ hổng mới, kỹ thuật tấn công mới vượt qua các giải pháp phòng thủ, chiến dịch tấn công mới từ các nhóm tấn công có chủ đích (APT), các loại mã độc mới nguy hiểm và thông tin các IoCs đồng thời có dẫn chứng liên quan đến các IoCs này.
Cho phép tích hợp dữ liệu IoCs về hệ thống SIEM hay EDR của khách hàng nhằm kiểm tra nhanh chóng dữ liệu hoặc có thể bổ sung các tập luật phát hiện các sự kiện liên quan đến các IoC được cung cấp.
4. Các ưu điểm nổi trội của sản phẩm/giải pháp/dịch vụ so sánh với SP cùng loại:
- Đảm bảo tính bảo mật về thông tin, dữ liệu khách hàng, các tài khoản của cán bộ kỹ thuật được áp dụng mã OTP để thực hiện xác thực 2 thành phần (2FA) được quản lý theo vai trò (role) của từng người dùng, phân chia theo ma trận RASCI, bảo đảm không thể bị thay đổi trái phép. Các công nghệ, nền tảng, hệ thống hạ tầng phục vụ dịch vụ SOC được bảo vệ bởi hệ thống tường lửa (firewall) với bộ luật được tối ưu hóa, thiết bị phát hiện/ngăn chặn xâm nhập (IPDS), giải pháp cân bằng tải (load balancing) để bảo đảm hoạt động ổn định, an toàn.
- Kiến trúc hệ thống SOC chuẩn hóa, có khả năng mở rộng dễ dàng.
- Các thành phần công nghệ lõi là giải pháp chuyên nghiệp của nhà cung cấp có uy tín trên thế giới; được tích hợp, triển khai theo tiêu chuẩn và chuẩn thực hành tốt quốc tế; được cập nhật, hỗ trợ thường xuyên.
- Có thành phần tự phát triển (công cụ Backbone Integration Framework) để tăng cường khả năng tương thích và nâng cao hiệu quả xử lý thông tin, giám sát và phản ứng sự cố.
- Có khả năng tích hợp, giám sát an ninh mạng cho các hệ thống điều khiển công nghiệp (ICS) trong môi trường vận hành (OT environment), là đơn vị duy nhất tại Việt Nam hiện có năng lực này.
- Quy trình vận hành được chuẩn hóa chuyên nghiệp nhằm giảm thiểu rủi ro vận hành theo kinh nghiệm, hỗ trợ đắc lực công tác đào tạo nội bộ.
- Hệ thống thu thập thông tin cảnh báo được triển khai, tích hợp theo mô hình linh hoạt, phù hợp với nhu cầu phía khách hàng.
- Chuyên gia vận hành, phản ứng sự cố và thực hiện các dịch vụ liên quan có trình độ chuyên môn vững, đạt những chứng chỉ chuyên sâu cấp độ cao theo tiêu chuẩn quốc tế.