Ben Line có hơn 2.400 người dùng phân bổ khắp khu vực châu Á - Thái Bình Dương, mỹ, canada với môi trường làm việc linh hoạt, di động. Trước đây, các biện pháp mitigate truy cập như chặn IP, giới hạn theo quốc gia hoạt động hiệu quả khi người dùng chủ yếu ở một địa điểm. Tuy nhiên, sự phân tán địa lý và tính chất di động đã khiến các biện pháp truyền thống này không còn khả thi. Thêm vào đó, các cuộc tấn công định danh (identity attacks) ngày càng gia tăng, thể hiện qua tỷ lệ đăng nhập thất bại cao và các dấu hiệu bất thường từ logs. Tôi chọn zero trust framework với pillar đầu tiên là Identity và 2/3 nguyên tắc cốt lõi của framework này là luôn kiểm tra, luôn giả định bị tấn công và giảm thiểu phạm vi ảnh hưởng.
Ben Line has over 2,400 users distributed across the Asia-Pacific region, the US, and Canada, operating in a flexible and mobile work environment. Previously, access mitigation measures such as IP blocking and geo-restrictions were effective when users were primarily located in a single region. However, geographical dispersion and increased mobility have rendered these traditional methods impractical. Moreover, identity attacks have been on the rise, evidenced by a high rate of failed login attempts and abnormal patterns observed in system logs. I have adopted the Zero Trust framework, with the first pillar focusing on Identity. Two out of three core principles of this framework are to always verify, assume breach, and minimize blast radius.
khảo sát 1 vòng về tình hình sign-in của toàn bộ user trong 1 tháng tính từ 21/5/2025 và logs được ghi nhận có độ trễ khoảng 5 đến 10 phút.
Conduct a survey on the sign-in activity of all users within one month starting from May 21, 2025, noting that the recorded logs may have a delay of approximately 5 to 10 minutes.
Thấy được Failed sign-in có khối lượng cao nhất cũng như các sign-in logs cũng cho thấy các tín hiệu bất thường mà khả năng cao là các tài khoản của Ben Line đang bị tấn công định danh.
Failed sign-ins account for the highest volume, and the sign-in logs also show abnormal signals, indicating a high likelihood that Ben Line accounts are being targeted in an identity-based attack.
Cơ chế tự block sign-in sau nhiều lần thử password sai hoặc sign-in đến từ 1 IP có hành vi độc hại.
A mechanism to automatically block sign-ins after multiple failed password attempts or when sign-ins originate from an IP address exhibiting malicious behavior.
Thực hiện vài câu truy vấn trực quan bằng workbook trong Sentinal
Run some visual queries using a workbook in Sentinel
Tôi không thể tiếp cận theo hương block dựa trên IP hay Quốc gia bởi vì có quá nhiều IP được generate và tính chất công việc ở Ben Line mọi người ở khắp mọi nơi trong khu vực châu á thái bình dương, châu âu etc. Họ luôn di chuyển… Nên ý tưởng remediation dựa theo hành vi sẽ là tối ưu nhất trong bối cảnh này và bám sát vào các nguyên tắt của Zero trust.
I can't take the IP or country-based blocking approach because too many IPs are generated dynamically, and due to the nature of work at Ben Line, users are spread across the Asia-Pacific and Europe regions and are constantly on the move. Therefore, a behavior-based remediation approach would be the most optimal in this context and aligns closely with Zero Trust principles.
Các câu hỏi được đặt ra: