Nâng cao khả năng ứng phó sự cố an ninh mạng

Thứ Hai, 13-07-2020, 15:40
Các đội xử lý tình huống tại chương trình diễn tập.

Chương trình Diễn tập An ninh mạng lần thứ 7 - WhiteHat Drill 07, với chủ đề “Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC”  vừa kết thúc sau ba ngày diễn ra sôi nổi.

Đây là chương trình hoàn toàn miễn phí, được Cục An toàn thông tin (Bộ Thông tin và Truyền thông) và Tập đoàn Công nghệ Bkav phối hợp tổ chức, trực tuyến tại Cộng đồng An ninh mạng Việt Nam WhiteHat.vn. Đã có hơn 100 đơn vị, tổ chức trên toàn quốc đăng ký tham gia tại địa chỉ WhiteHat.vn/DangKy.

Theo nghiên cứu của Bkav, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam năm 2019 đã lên tới 20.892 tỷ đồng, sự gia tăng các máy tính bị nhiễm mã độc tấn công có chủ đích APT là một trong hai nguyên nhân chính gây ra thiệt hại khổng lồ này.

Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav chia sẻ về chủ đề của chương trình: “Đối với các cuộc tấn công APT, phát hiện sớm là yêu cầu tối quan trọng để giảm thiểu rủi ro cho hệ thống. Bên cạnh đó, việc điều tra, phân tích nguyên nhân, đề xuất các biện pháp cải tiến… nhằm tránh lặp lại sự cố tương tự trong tương lai cũng cần đặt ra. Tham gia diễn tập, các đội sẽ được sử dụng Trung tâm điều hành an toàn, an ninh mạng SOC trong việc phát hiện sớm và thực hiện các quy trình ứng phó (SOP - Standard Operating Procedures) để xử lý kịp thời các cuộc tấn công”.

Chia sẻ về việc đồng tổ chức WhiteHat Drill 07, ông Nguyễn Thành Phúc, Cục trưởng Cục An toàn thông tin (Bộ TT và TT) cho biết: “Cục An toàn thông tin hoan nghênh và đánh giá cao Bkav trong việc thường xuyên tổ chức diễn tập với sự tham gia của các cơ quan, tổ chức trên toàn quốc. Chương trình sẽ góp phần hỗ trợ các đơn vị nâng cao khả năng giám sát, ứng cứu sự cố an toàn thông tin mạng, bảo vệ hệ thống thông tin, đáp ứng yêu cầu Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ”.

WhiteHat Drill 07 bao gồm các tình huống mô phỏng kịch bản hệ thống của đơn vị bị tấn công APT (có chủ đích, sử dụng mã độc). Các đội sẽ trực tiếp vận hành hệ thống SOC để giám sát, phát hiện dấu hiệu tấn công, chủ động ứng cứu, bảo vệ hệ thống thông tin thuộc quyền quản lý, từ đó giảm thiểu các thiệt hại. Được biết, buổi diễn tập an ninh mạng được Cục An toàn thông tin và Tập đoàn công nghệ Bkav tổ chức thường xuyên với các chủ đề và nội dung khác nhau như: Điều tra, xử lý và phòng chống mã độc đào tiền ảo qua lỗ hổng phần mềm; rà soát và xử lý phần mềm gián điệp trên máy tính; phòng chống tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng website…

Với chủ đề “Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC”, kịch bản đưa ra tình huống hệ thống mạng của một cơ quan tổ chức đã bị tấn công có chủ đích APT, có sử dụng mã độc. Mã độc đã “nằm vùng” trong hệ thống và tiến hành các hành vi nhằm lây lan rộng ra toàn bộ hệ thống, từ đó đánh cắp các thông tin quan trọng của tổ chức. Nhiệm vụ của các đội tham gia diễn tập là làm quen với hệ thống giám sát an toàn, an ninh mạng (SOC) được BTC cung cấp, sử dụng các công cụ của hệ thống SOC để phát hiện dấu hiệu tấn công, từ đó từ ghi nhận, phân tích, thông báo, xử lý, điều tra đến đánh giá nguồn gốc cuộc tấn công, khôi phục hệ thống và đưa ra các biện pháp phòng chống trong tương lai.

Nâng cao khả năng ứng phó sự cố an ninh mạng -0
 Các đội tham gia chương trình diễn tập.

Các đội cũng sẽ được làm quen với quy trình xử lý chuẩn SOP (Standard Operation Procedures), bảo đảm các quy trình được thực hiện đầy đủ, chất lượng và được ghi nhận đầy đủ trong nhật ký xử lý. Buổi diễn tập cũng hướng tới thể hiện rõ mô hình “bốn lớp” nhân sự trong giám sát, đảm bảo an toàn thông tin mạng, bao gồm: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.

Các ngày diễn tập đã diễn ra sôi nổi với sự bám đuổi và quyết liệt của các đội tham gia. Theo đó, trong ngày diễn tập đầu tiên, Sở TT và TT Đà Nẵng và Sở TT và TT Bình Thuận là hai đội đầu tiên ghi tên trên bảng điểm của WhiteHat Drill 07. Hai đội này cũng liên tục thay phiên nhau chiếm giữ vị trí số 1. Dù xuất hiện muộn hơn, Sở TT và TT Bắc Ninh lại là đội về đích trước khi xuất sắc hoàn thành toàn bộ các pha diễn tập trong thời gian ngắn nhất.

Ngày diễn tập thứ hai, Sở TT và TT Vĩnh Phúc và Sở TT và TT Cao Bằng là hai đội đầu tiên ghi điểm; 2/3 thời gian diễn tập sau đó, Sở TTTT Long An và Sở TTTT Sóc Trăng thay phiên nhau chiếm giữ vị trí số 1 trên bảng điểm của WhiteHat Drill 07. Đến 16 giờ 10 phút, Sở TT và TT Cao Bằng vươn lên vị trí số 1 sau khi là đội duy nhất giải được Pha 5 của chương trình diễn tập. Đến 16 giờ 30 phút, Sở TT và TT Cao Bằng khẳng định vị trí đầu bảng của mình khi hoàn thành tất cả các pha của ngày diễn tập thứ hai.

Ngày diễn tập cuối cùng, chỉ sau 30 phút mở hệ thống, bảng điểm của WhiteHat Drill 07 ghi nhận có tám đội ghi điểm. Trong 2/3 thời gian diễn tập sau đó, Sở TT và TT Quảng Ngãi, Sở TT và TT Hà Tĩnh, Sở TT và TT Thái Nguyên, Sở TT và TT Tuyên Quang thay phiên nhau chiếm giữ vị trí số 1 trên bảng điểm. Đến 16 giờ 15 phút, Cục Bưu điện Trung ương khiến tất cả bất ngờ khi xuất sắc hoàn thành tất cả các pha của chương trình diễn tập, giành vị trí dẫn đầu. Cũng trong ngày diễn tập cuối này, 8/15 đội tham gia hoàn thành toàn bộ nội dung diễn tập.

Các đội tham gia Diễn tập đã được thực nghiệm và thể hiện khả năng qua các tình huống khác nhau, qua đó có thêm kinh nghiệm trong việc thu thập bằng chứng và phân tích,  xác định thông tin cụ thể về sự cố, từ đó loại bỏ được tận gốc vấn đề. Đây cũng là công việc của các đội trong một trong những phần diễn tập, đó là: Xử lý nguyên nhân gây ra tấn công. Mục đích của  tình huống là giúp các đội: Biết cách tìm ra nguyên nhân gốc rễ của sự cố; cảnh báo cho đơn bị cung cấp và phát triển của đơn vị bị ảnh hưởng; đưa ra phương án để giảm thiểu thiệt hại; kiểm tra các hệ thống tương tự có bị khai thác hay không; kiểm thử hệ thống trước khi bắt đầu quá trình khôi phục…

SONG LINH