Thay vì audit theo user/session dễ bị hijack và lộ thông tin, nó sử dụng capability làm đơn vị kiểm toán, kết hợp log append-only (chỉ ghi thêm, bất biến) để đảm bảo forensics chính xác, khoanh vùng nhanh và giảm thiểu thiệt hại.
Hệ thống vẫn đáp ứng tốt compliance (traceability, least privilege, incident response), cung cấp log an toàn cho bên thứ ba mà không lộ kiến trúc nội bộ.
1. Vấn đề cốt lõi: Stealth ≠ Không kiểm soát
Một hiểu nhầm rất phổ biến là: “Hệ thống càng tàng hình thì càng khó audit.”
Thực tế thì ngược lại.
Trong các hệ thống lưu trữ dữ liệu nhạy cảm (NAS, private storage, internal data vault), audit và forensics không phải để “theo dõi người dùng”, mà để trả lời ba câu hỏi sống còn:
- Dữ liệu nào đã bị truy cập?
- Truy cập đó có hợp lệ không?
- Nếu có sự cố, phạm vi ảnh hưởng là bao nhiêu?
Với hệ thống stealth data – nơi không có login, không session, không service lộ diện – câu hỏi đặt ra là: Làm sao audit được một hệ thống mà gần như không “hiện hữu” trên mạng?
2. Audit truyền thống thất bại như thế nào?
2.1 Audit dựa trên user/session
Phần lớn hệ thống hiện nay audit theo mô hình:
- User login
- Session tồn tại
- Action gắn với user
Cách này có 3 vấn đề nghiêm trọng:
- ❌ Session bị hijack → audit không còn giá trị
- ❌ User có quyền rộng → khó khoanh vùng sự cố
- ❌ Log quá nhiều thông tin nhạy cảm → log trở thành mục tiêu tấn công
Với dữ liệu nhạy cảm cấp doanh nghiệp hoặc nhà nước, audit kiểu này không đủ tin cậy.
2.2 Audit dựa trên network/service
Một số hệ thống audit theo kiểu:
- Log IP
- Log port
- Log endpoint
Nhược điểm:
- Không phản ánh ý định truy cập
- Không phân biệt được hành vi hợp lệ và bất thường
- Không phù hợp với kiến trúc tàng hình (stealth)
3. Audit đúng cho hệ thống Stealth Data là gì?
Trong kiến trúc stealth data, đơn vị audit không phải là user, cũng không phải là session. Đơn vị audit là capability.
Capability (chứng chỉ truy cập) trong audit có các đặc trưng:
- ✅ Phạm vi rõ ràng (resource)
- ✅ Thời gian hiệu lực giới hạn
- ✅ Hành động cụ thể (read, write, list, snapshot…)
- ✅ Không đại diện cho danh tính con người
Vì vậy: Audit capability = audit hành vi thực tế
4. Log Append-Only: Nền tảng của forensics
4.1 Vì sao log phải append-only?
Trong hệ thống bảo mật cao phải đảm bảo:
- ✅ Log không được sửa
- ✅ Log không được xoá
- ✅ Log không được rollback
Nếu log có thể chỉnh sửa, forensics mất toàn bộ giá trị pháp lý và kỹ thuật.
4.2 Cấu trúc log append-only
Một log entry tối thiểu nên gồm:
- Timestamp (monotonic)
- Capability ID (hash)
- Action
- Resource identifier (hash)
- Result (allow / deny)
- Execution node (nếu có)
Không log các thông tin sau:
- ❌ Dữ liệu plaintext
- ❌ Key
- ❌ Nội dung file
4.3 Lợi ích thực tế
- ✅ Log bị lộ → không lộ dữ liệu
- ✅ Log bị đánh cắp → không tái tạo được truy cập
- ✅ Log dùng cho:
- Audit nội bộ
- Điều tra sự cố
- Compliance
5. Trace Capability: Forensics chính xác và khoanh vùng nhanh
5.1 Forensics truyền thống: chậm và mơ hồ
Khi có sự cố, câu hỏi thường là:
- User nào?
- Máy nào?
- Session nào?
Và câu trả lời thường không chắc chắn.
5.2 Forensics dựa trên capability
Với capability-based access:
- ✅ Mỗi truy cập = 1 capability
- ✅ Capability có scope cực hẹp
Khi điều tra:
- Xác định capability bị lạm dụng
- Xem log append-only
- Khoanh vùng chính xác:
- Đúng file
- Đúng thời gian
- Đúng hành động
Không cần truy ngược toàn hệ thống
5.3 Giảm thiểu thiệt hại
Nếu một capability bị lộ:
- ✅ Không lan sang tài nguyên khác
- ✅ Không leo thang quyền
- ✅ Không phá vỡ hệ thống
Đây là điểm mà phần lớn NAS và cloud hiện nay không làm được.
6. Compliance trong hệ thống Stealth Data
6.1 Một câu hỏi hay gặp
“Hệ thống tàng hình như vậy có đáp ứng compliance không?” Câu trả lời là: Có, và thường là tốt hơn.
6.2 Mapping với các yêu cầu phổ biến
| Yêu cầu | Cách đáp ứng |
|---|---|
| Traceability | ✅ Log theo capability |
| Least privilege | ✅ Capability scope hẹp |
| Access review | ✅ Dựa trên policy cấp capability |
| Incident response | ✅ Khoanh vùng theo capability |
| Data minimization | ✅ Không log nội dung |
6.3 Audit cho bên thứ ba
Một lợi thế lớn:
- ✅ Có thể cung cấp log trích xuất
- ✅ Không cần mở hệ thống
- ✅ Không lộ kiến trúc nội bộ
Điều này rất phù hợp với:
- Kiểm toán độc lập
- Đánh giá an ninh
- Cơ quan quản lý
7. Stealth nhưng không “mù”
Một hệ thống stealth data không phải là hệ thống “không nhìn thấy gì”, mà là: Chỉ nhìn thấy những gì cần nhìn, đúng mức cần nhìn.
Audit & forensics đúng cách giúp:
- ✅ Giảm bề mặt tấn công
- ✅ Tăng khả năng kiểm soát
- ✅ Giảm thiệt hại khi có sự cố
8. Kết luận
Audit trong hệ thống stealth data không dựa trên việc theo dõi con người, mà dựa trên:
- Capability
- Hành vi
- Bằng chứng bất biến
Đây là sự khác biệt căn bản giữa:
- Bảo mật truyền thống
- Và kiến trúc dữ liệu hiện đại, chủ quyền, tàng hình
