Trong nhiều hệ thống bảo mật, audit và monitoring thường bị xem là “phụ trợ”. Trong OBELISK, đây là lớp an ninh độc lập với mục tiêu rõ ràng: Biết chính xác điều gì đã xảy ra – mà không để lộ thêm bề mặt tấn công.
Audit của OBELISK không phục vụ marketing. Monitoring của OBELISK không phục vụ dashboard đẹp. Chúng phục vụ kiểm soát, điều tra và trách nhiệm.
Checklist nhanh: Audit & Monitoring của OBELISK có phù hợp với bạn không?
- ✅ Bạn cần bằng chứng toàn vẹn để điều tra sự cố
- ✅ Bạn muốn audit không thể bị xoá hay chỉnh sửa ngay cả khi hệ thống bị chiếm
- ✅ Bạn cần phát hiện bất thường mà không để attacker biết mình bị lộ
- ✅ Bạn chấp nhận không log nội dung dữ liệu hay metadata nhạy cảm
- ✅ Bạn ưu tiên dấu vết tối thiểu nhưng đủ dùng thay vì dashboard chi tiết
- ✅ Bạn không muốn gửi log ra SaaS bên ngoài hoặc expose endpoint public
- ❌ Bạn cần theo dõi hành vi chi tiết từng user từng phút
- ❌ Bạn muốn realtime dashboard fancy với biểu đồ truy cập
- ❌ Bạn chấp nhận log chứa tên file, đường dẫn thật, nội dung dữ liệu
→ Nếu tick ít nhất 4 ô đầu → OBELISK Audit & Monitoring là lựa chọn đúng. → Nếu tick nhiều ô dưới → bạn nên cân nhắc giải pháp khác.
1️⃣ Vấn đề với audit & monitoring truyền thống
Hầu hết hệ thống mắc ít nhất một trong ba lỗi:
- ❌ Log quá nhiều → lộ access pattern, metadata nhạy cảm
- ❌ Log quá ít → không điều tra được sự cố
- ❌ Log đúng chỗ sai người → attacker chiếm hệ thống → xoá hoặc sửa log
OBELISK giả định lạnh lùng: Nếu hệ thống bị tấn công, audit là thứ đầu tiên attacker muốn phá.
2️⃣ Mục tiêu của Audit & Monitoring trong OBELISK
Lớp này chỉ trả lời 4 câu hỏi duy nhất:
- Ai đã yêu cầu truy cập?
- Khi nào yêu cầu đó xảy ra?
- Yêu cầu gì đã được thực thi?
- Kết quả là thành công hay bị từ chối?
Không trả lời:
- Dữ liệu là gì
- Nội dung ra sao
- User đã đọc bao nhiêu byte
Audit cố ý không log dữ liệu, kể cả metadata quá chi tiết.
3️⃣ Audit là append-only, không phải text log
Audit log trong OBELISK có đặc điểm:
- ✅ Append-only
- ✅ Không thể chỉnh sửa
- ✅ Không thể xoá
- ✅ Có thể xác minh toàn vẹn
Mỗi entry được:
- Gắn timestamp
- Hash nối chuỗi (hash chaining)
- Ký bởi key hệ thống
👉 Nếu một entry bị sửa hoặc xoá → chuỗi hash gãy ngay lập tức. Không dựa vào syslog text, file dễ chỉnh sửa hay quyền root userland.
4️⃣ Audit cái gì – và không audit cái gì
| Audit CÓ | Audit KHÔNG |
|---|---|
| Capability hash (không plaintext) | Tên file thật |
| Action (READ / WRITE / LIST / QUERY) | Đường dẫn thật |
| Resource identifier dạng hash | Nội dung dữ liệu |
| Thời điểm | Offset chi tiết |
| Kết quả (allow / deny) | Pattern truy cập dài hạn |
| Daemon thực thi | Metadata nhạy cảm |
Lý do: Audit không được trở thành kênh rò rỉ dữ liệu thứ hai.
5️⃣ Monitoring ≠ Surveillance
OBELISK phân biệt rõ:
- Audit → sau sự kiện, phục vụ điều tra
- Monitoring → phát hiện bất thường, cảnh báo sớm
Monitoring không theo dõi người dùng, mà theo dõi hành vi hệ thống.
6️⃣ Những tín hiệu được theo dõi
OBELISK chỉ theo dõi các signal có giá trị an ninh cao:
- Spike request bất thường
- Capability bị reject liên tục
- Sai lệch timestamp vượt ngưỡng
- Access pattern trái policy
- Daemon restart bất thường
- Jail violation / MAC deny
Không theo dõi:
- Hành vi chi tiết từng user
- Nội dung request
- Dữ liệu truy xuất
Mục tiêu: “Có gì đó không đúng” chứ không phải “Ai đang làm gì từng phút”.
7️⃣ Silent detection – không phản hồi lộ liễu
Khi phát hiện bất thường:
- ❌ Không trả error chi tiết
- ❌ Không thay đổi hành vi observable
- ❌ Không phản hồi khác biệt cho attacker
Alert được gửi:
- ✅ Out-of-band
- ✅ Qua kênh nội bộ riêng
- ❌ Không đi chung data plane
Attacker không biết mình đã bị phát hiện.
8️⃣ Tách audit plane khỏi data plane
Audit trong OBELISK:
- Không chạy chung process với data
- Không ghi log vào cùng filesystem
- Không dùng chung privilege
Kể cả khi datad hoặc capd bị exploit → audit trail vẫn tồn tại.
9️⃣ Không realtime dashboard cho mọi thứ
OBELISK không khuyến khích:
- Dashboard realtime chi tiết
- Biểu đồ truy cập fancy
- Analytics theo người dùng
Thay vào đó:
- Summary định kỳ
- Alert có chọn lọc
- Forensic khi cần
Giảm bề mặt tấn công, giảm phức tạp vận hành.
🔟 Audit phục vụ trách nhiệm, không phục vụ đổ lỗi
Mục đích:
- Xác minh hành động
- Hỗ trợ điều tra
- Chứng minh tuân thủ
Không nhằm:
- Theo dõi cá nhân
- Giám sát vi mô
- Tạo áp lực vận hành
Hệ thống audit tốt là hệ thống chỉ được chú ý khi có vấn đề.
1️⃣1️⃣ Kết hợp với các lớp khác
Audit & Monitoring tích hợp chặt chẽ:
- Capability → audit xác nhận ai được phép
- Execution & Isolation → audit xác nhận ai đã thực thi
- Stealth network → audit xác nhận ai đã cố tiếp cận
- MAC → audit xác nhận điều gì đã bị kernel chặn
Mỗi lớp để lại dấu vết tối thiểu nhưng đủ dùng.
1️⃣2️⃣ Điều OBELISK cố ý không làm
OBELISK không:
- Gửi log ra SaaS bên ngoài
- Phụ thuộc SIEM cloud
- Expose audit endpoint public
- Cho phép “tạm tắt audit”
Audit không phải tính năng – audit là cam kết.
1️⃣3️⃣ Kết luận
Trong OBELISK:
- Audit không giúp bạn ngủ ngon mỗi ngày
- Monitoring không giúp bạn xem dashboard đẹp
Nhưng khi sự cố xảy ra:
- Bạn biết chính xác chuyện gì đã xảy ra
- Bạn biết giới hạn thiệt hại ở đâu
- Bạn có bằng chứng toàn vẹn
Và quan trọng nhất: Bạn không phải tin rằng hệ thống an toàn – bạn có thể kiểm chứng điều đó.
