Diễn tập ứng phó với nguy cơ hàng đầu về an ninh mạng

02:23 PM 06/09/2018 In bài viết

Chương trình diễn tập ứng cứu sự cố mạng của các nước Đông Nam Á 2018 chủ đề “Xử lý sự cố khai thác điểm yếu hệ thống để chiếm dụng đào tiền ảo” nhằm ứng phó với nguy cơ này.

ATTT mạng là một trụ cột của nền kinh tế số

Ngày 5/9, tại Hà Nội, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TTTT tổ chức diễn tập ứng cứu sự cố mạng của các nước ASEAN (ASEAN CERTs Incident Drill - ACID) năm 2018 với chủ đề “Xử lý sự cố khai thác điểm yếu hệ thống để chiếm dụng đào tiền ảo”. Tham dự Lễ khai mạc có Thứ trưởng Bộ TTTT Phan Tâm, đại diện lãnh đạo các đơn vị thuộc Bộ TTTT,  lãnh đạo các doanh nghiệp viễn thông và CNTT cùng khoảng 400 cán bộ quản lý và kỹ thuật của Mạng lưới ứng cứu sự cố ATTT mạng quốc gia..

Thứ trưởng Bộ TTTT Phan Tâm chia sẻ trong phát biểu khai mạc Chương trình diễn tập: “Thời gian gần đây thị trường tiền ảo ngày càng phát triển, do vậy bên cạnh các nguy cơ mất ATTT truyền thống, nguy cơ của các mã độc, lợi dụng các lỗ hổng để khai thác đào tiền ảo đang ngày càng gia tăng”.

Thứ trưởng Bộ TT&TT Phan Tâm phát biểu khai mạc

Tấn công mạng đang gia tăng nhanh chóng, diễn ra từng phút trên toàn cầu. Nhiều hệ thống thông tin lớn trên thế giới đã bị tấn công, tiêu biểu như: hệ thống bầu cử liên bang Mỹ bị hack; gần 1 tỷ tài khoản Yahoo bị lộ thông tin; 68 triệu tài khoản Dropbox bị lộ; hay cơ quan an ninh quốc gia Mỹ bị tấn công; dữ liệu hồ sơ y tế của SingHealth bao gồm của cả Thủ tướng cũng bị lộ; nhiều ngân hàng lớn trên thế giới bị tấn công… Cùng với cách mạng công nghiệp 4.0, những lỗ hổng mất an toàn ngày càng gia tăng, ước tính khoảng hơn 300% mỗi năm.

Thứ trưởng Bộ TTTT Phan Tâm khẳng định, ATTT mạng là một trụ cột của nền kinh tế số. Với nước đang phát triển và chịu nhiều cuộc tấn công mạng như Việt Nam, hoạt động đảm bảo ATTT càng trở nên thiết yếu. Vì vậy, đảm bảo ATTT mạng ở Việt Nam luôn nhận được sự quan tâm, chỉ đạo ở cấp cao nhất của Chính phủ.

Các cơ quan, tổ chức, doanh nghiệp cần phối hợp chặt chẽ với nhau và thông qua sự điều phối của VNCERT để có sự phối hợp hiệu quả hơn ở cấp độ khu vực và toàn cầu để chủ động ứng phó với các thách thức ngày càng phức tạp về ATTT. “Là người vận hành hệ thống, chịu trách nhiệm về an toàn thông tin tại các đơn vị, tổ chức, chúng ta phải luôn cảnh giác, nghiêm túc, đặt trách nhiệm cao nhất đối với sự an toàn của hệ thống CNTT, chuẩn bị sẵn sàng các phương án phản ứng với sự cố mất an toàn thông tin có thể xảy ra bất cứ lúc nào”, Thứ trưởng Phan Tâm nhấn mạnh.

Thứ trưởng cũng đánh giá cao việc Trung tâm VNCERT tổ chức hoạt động diễn tập chất lượng cao thường niên. Thông qua hoạt động diễn tập, các cán bộ chuyên trách về ATTT được cọ xát, luyện tập các kỹ năng, kiểm tra tính sẵn sàng trong phối hợp giữa các quốc gia và giữa các thành viên mạng lưới khi xảy ra sự cố an toàn mạng. Các cơ quan, tổ chức và Trung tâm VNCERT cũng củng cố, hoàn thiện các phương pháp liên lạc, kết nối bảo đảm sự thông suốt của quá trình chia sẻ thông tin, phối hợp ứng cứu và xử lý sự cố.

Thứ trưởng Phan Tâm đề nghị các đơn vị tham gia tích cực cuộc diễn tập quốc tế ACID 2018, tập trung cùng phân tích, xử lý các tình huống, cách thức phối hợp, ứng cứu và xử lý tình huống mà Ban tổ chức đề ra.

Việt Nam vẫn lúng túng trong xử lý sự cố

Theo đại diện VNCERT, Việt Nam luôn đứng đầu về nguy cơ ATTT mạng. Theo trang securelist.com, Việt Nam đứng thứ 5 trong Top 10 quốc gia bị tấn công DDoS (tấn công từ chối dịch vụ phân tán) nhiều nhất trong quý IV/2017. Và với 637.395 máy tính bị kiểm soát nằm trong mạng máy tính ma (Botnet), Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng botnet. Tần suất sự cố mất ATTT mạng ở Việt Nam khá lớn, cũng từ số liệu thống kê từ hệ thống giám sát của VNCERT, loại hình tấn công được tin tặc sử dụng nhiều nhất là tấn công thu thập thông tin, chiếm tới 70%. Bên cạnh đó, còn phải kể đến các loại hình tấn công khác cũng được tin tặc sử dụng nhiều như: tấn công chiếm quyền điều khiển, tấn công mã độc và tấn công ứng dụng web. Ngoài ra, theo VNCERT, hiện nay hàng ngày có khoảng gần 100.000 địa chỉ IP của Việt Nam truy vấn hoặc kết nối đến các mạng máy tính ma.

Riêng trong 8 tháng đầu năm 2018, VNCERT ghi nhận có tổng cộng 6.567 sự cố tấn công vào các trang web của Việt Nam với cả 3 loại hình Malware, Deface và Phishing. Trong đó, số sự cố Deface nhiều hơn cả, lên tới 3.818 sự cố, tiếp đó Phishing với 1.800 sự cố, số sự cố tấn công Malware là 949 sự cố.

Số liệu thống kê của VNCERT cũng cho hay, các trang web có kiểu tên miền “.name.vn” bị tấn công nhiều nhất, chiếm tới 44,07%; tiếp đó là các website có kiểu tên miền “.com.vn” với 36,58%; “edu.vn” chiếm 9,45% và đặc biệt tỷ lệ trang web có kiểu tên miền “.gov.vn” bị tấn công mạng chiếm 4,72% tổng số các sự cố tấn công vào các website của Việt Nam.

Theo đánh giá của các tổ chức ATTT thế giới, nguy cơ sự cố bị khai thác lỗ hổng để chiếm dụng đào tiền ảo là một trong top 10 nguy cơ hàng đầu về sự cố ATTT trong năm 2018. Cùng với sự phát triển, tăng giá trị của các đồng tiền ảo; việc dùng mã độc mã hóa dữ liệu (ransomware) để mã hóa dữ liệu và đòi tiền chuộc không còn hiệu quả như trước đây, do nhiều các cơ quan, tổ chức đã triển khai các biện pháp phòng ngừa tấn công ransomware, các tin tặc (hacker) và tội phạm mạng đang có xu hướng chuyển sang phát tán các mã độc đào tiền ảo để khai thác lỗ hổng hệ thống, cài đặt trái phép phần mềm đào tiền ảo trực tiếp trên hệ thống máy chủ, máy tính dữ liệu người dùng. Có thể nói, khi bị mã hóa và tấn công bằng ransomware, các cơ quan, đơn vị có thể dễ dàng nhận biết do các hacker yêu cầu tiền chuộc sau khi đã bị mã hóa toàn bộ dữ liệu và thông điệp hiện sẵn trên màn hình của các nạn nhân. Nhưng không phải ai cũng nhận ra những gì đang xảy ra khi họ lướt đến một trang web mà những kẻ tấn công đã thiết lập để bí mật cài đặt mã độc đào tiền ảo, sử dụng tài nguyên của PC để khai thác tiền ảo hay khi hệ thống bị khai thác lỗ hổng và sử dụng để đào tiền ảo bất hợp pháp. Đây là một loại sự cố nguy hiểm, không chỉ đơn thuần việc bị chiếm dựng tài nguyên bất hợp pháp để đào tiền ảo, bởi khi đã khai thác lỗ hổng đề đào tiền ảo thì tin tặc và tội phạm mạng cũng có thể thay các hình thức tấn công hoặc mã độc nguy hiểm hơn, ảnh hưởng đến sự an toàn của hệ thống thông tin.

Hình ảnh buổi Diễn tập tại đầu cầu Hà Nội

Thực tế thời gian qua VNCERT đã thực hiện một số lần cảnh báo trên diện rộng về hoạt động khai thác lỗ hổng, đào tiền ảo như “coinhive”,… và rất nhiều cơ quan, đơn vị tại Việt Nam gặp phải sự cố này. Tuy nhiên rất nhiều đơn vị lúng túng trong khâu xử lý sự cố, có nhiều đơn vị nhận được cảnh báo bị cài đặt mã độc đào tiền ảo đến 2 lần mới thực hiện tháo gỡ.

Cần tăng cường “tập trận” và hợp tác quốc tế

Nhằm tăng cường năng lực cho các thành viên Mạng lưới ứng cứu sự cố ATTT mạng quốc gia và bộ phận chuyên trách ứng cứu sự cố an toàn mạng trên toàn quốc, VNCERT tổ chức Chương trình diễn tập các nước Đông Nam Á về ứng cứu sự cố mạng 2018 (gọi tắt là ACID 2018) tại Việt Nam theo kịch bản quốc tế.

Cuộc diễn tập lần này nhằm tăng cường sự chủ động ứng phó với sự cố ATTT mạng của các nước thành viên ASEAN; Đánh giá khả năng phản ứng của các CERT quốc gia trong khu vực ASEAN; Nâng cao hợp tác giữa các nước ASEAN với các đối tác đối thoại chính trong đảm bảo ATTT không gian mạng. Các đội quốc tế có sự tham gia của 18 đội CERT đến từ 15 nước bao gồm: Úc, Brunei, Campuchia, Trung Quốc, Ấn Độ, Indonesia, Nhật Bản, Hàn Quốc, Lào, Malaysia, Myanmar, Philippines, Singapore, Thái Lan và Việt Nam.

Tại Việt Nam dưới sự chủ trì của Bộ TT&TT, có sự tham gia của các Lãnh đạo, cán bộ đảm nhiệm công tác bảo đảm ATTT mạng của các bộ, ngành, các Sở TTTT các tỉnh, thành phố trực thuộc Trung ương; Các cơ quan, đơn vị nắm giữ hạ tầng trọng yếu quốc gia; Bộ tư lệnh 86- Bộ Quốc Phòng; Cục an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công An; Hiệp hội ATTT (VNISA); Các doanh nghiệp ISP lớn như: Viettel, VNPT, NetNam, CMC, FPT; Các doanh nghiệp làm về ATTT như: CMC infosec, Misoft, BKAV…; Các doanh nghiệp, tổ chức tài chính, ngân hàng; Các doanh nghiệp năng lượng như Tập đoàn dầu khí quốc gia, Tập đoàn điện lực quốc gia; Cảng hàng không Việt Nam… 

Theo TS. Nguyễn Trọng Đường, Giám đốc VNCERT, “Thông qua hoạt động hợp tác, chia sẻ thông tin, phối hợp ứng cứu sự cố mạng giữa các nước thành viên khu vực ASEAN, Chương trình diễn tập quốc tế về ứng cứu sự cố an toàn mạng ASEAN CERTs Incident Drill 2018 với chủ đề “Xử lý sự cố khai thác điểm yếu hệ thống để đào tiền ảo” tiếp tục là cơ hội cọ xát thực tế công tác ứng cứu sự cố, thực hành các biện pháp phối hợp xác minh, phương thức chia sẻ thông tin giữa các nước nhằm nhanh chóng ngăn chặn, giải quyết và khắc phục sự cố và tiếp tục góp phần nâng cao trình độ, năng lực xử lý các tình huống tấn công mạng xuyên biên giới quốc gia cho đội ngũ cán bộ kỹ thuật ATTT mạng tại Việt Nam”.

TS. Nguyễn Trọng Đường, Giám đốc Trung tâm VNCERT

Chương trình diễn tập nhằm tạo cơ hội cho các đội tham gia diễn tập có cơ hội tiếp cận với các sự cố mất ATTT mang tính xu hướng thế giới, đồng thời rèn luyện đội ngũ kỹ thuật các kỹ năng như: Điều tra chứng cứ số liên quan đến sự cố; Phân tích phần mềm độc hại và phân tích log để xác định “hành vi của kẻ tấn công” vào lỗ hổng hệ thống; Đưa ra các biện pháp cảnh báo, khắc phục và các biện pháp phòng ngừa cần thực hiện cho các cơ quan tổ chức liên quan đến sự cố và các đối tác; Ngăn chặn sự lây nhiễm, giảm thiểu thiệt hại của sự cố và phục hồi các máy bị nhiễm mã độc; Xây dựng báo cáo về sự cố dựa trên kết quả điều tra, phân tích bằng chứng số.

Chương trình diễn tập ACID 2018 cũng là cơ hội để các đội tham gia diễn tập giao lưu và chia sẻ kinh nghiệm ứng cứu sự cố tại các đơn vị, tạo sự gắn kết giữa các thành viên mạng lưới ứng cứu sự cố quốc gia.

Trong bối cảnh hoạt động đảm bảo ATTT ngày càng đối diện với nhiều thách thức, các hành vi và thủ đoạn tấn công vào hệ thống diễn ra ngày càng tinh vi và phức tạp; không ai có thể đảm bảo hệ thống mình an toàn tuyệt đối, không bị tấn công và bị sự cố. Do vậy, hoạt động diễn tập ứng cứu sự cố và sẵn sàng, chuẩn bị cho tình huống phát sinh, xẩy ra sự cố luôn luôn được các nước, cơ quan và tổ chức chú trọng và triển khai thường xuyên.

Tại Việt Nam, Chính phủ, Thủ tướng Chính phủ đã ban hành nhiều văn bản, tạo hành lang pháp lý đầy đủ và thuận lợi trong công tác đảm bảo ATTT và điều phối, ứng cứu sự cố như: Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia; Quyết định số 1622/QĐ-TTg ngày 25/12/2017 phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng cứu sự cố ATTT mạng trên toàn quốc đến năm 2020, định hướng đến 2025; và mới đây nhất là Quyết định số 1017/QĐ-TTg phê duyệt Đề án giám sát ATTT mạng đối với hệ thống, dịch vụ công nghệ thông tin phục vụ Chính phủ điện tử đến năm 2020, định hướng đến 2025.

Bộ TTTT cũng đã ban hành Thông tư số 20/ 2017/TT-BTTTT ngày 12/9/2017 Quy định về điều phối, ứng cứu sự cố ATTT mạng trên toàn quốc. Thông qua đó, Mạng lưới ứng cứu sự cố ứng cứu ATTT quốc gia ngày càng phát triển mạnh mẽ, tại các đơn vị đã có quy định thành lập các Đội ứng cứu sự cố (CSIRT) riêng, đây chính là nhân lực nòng cốt chịu trách nhiệm bảo đảm ATTT cho các đơn vị. Chính vì vậy, việc các CSIRT tham gia các đợt huấn luyện, diễn tập và phối hợp, chia sẻ kinh nghiệm, thông tin là điều kiện tốt góp phần nâng cao khả năng bảo an toàn và xử lý sự cố khi gặp phải cho chính hệ thống mạng của tổ chức mình.

Chương trình diễn tập quốc tế ACID 2018, cũng như các cuộc diễn tập quốc tế khác (như: diễn tập giữa thành viên Hiệp hội các Trung tâm Ứng cứu khẩn cấp máy tính Châu Á - Thái Bình Dương (APCERT Drill), diễn tập ASEAN-Japan, v.v...) đã, đang và sẽ được Trung tâm VNCERT tổ chức hàng năm, mở rộng cho đông đảo các cán bộ kỹ thuật viên ATTT mạng của các thành viên mạng lưới ứng cứu sự cố ATTT mạng quốc gia và các tổ chức trên toàn lãnh thổ Việt Nam tham dự.

Minh Thiện