Diễn tập thực chiến: Thế giới chưa có tiền lệ

Nguồn gốc của kỹ thuật đặt ống thông tim là một câu chuyện không thể tin được trong lịch sử của ngành y học hiện đại, là một thí nghiệm có một không hai trong lịch sử y học thế giới. Đó là khi sinh viên y 24 tuổi Werner Forssmann (1) đã tự thí nghiệm trên chính cơ thể mình. Ông tự đâm ống thông vào động mạch cánh tay, và cứ thế đẩy ống tiến dần về tim, để khai phá con đường mới cho ngành Tim mạch, tạo nền móng vững chắc cho kỹ thuật chẩn đoán và phẫu thuật tim mạch sau này, góp phần cứu sống hàng triệu sinh mạng trên toàn cầu. Ông được trao Giải Nobel Sinh học và Y học năm 1956.

Thực chiến

Bài viết này không nói về y học, về vaccine, hay về những thí nghiệm trên chính cơ thể người để tìm ra các biện pháp bảo vệ cho sức khỏe con người; mà sẽ nói về các hoạt động bảo vệ máy móc và không gian mạng, bảo vệ sự an toàn của các hoạt động của con người trên không gian mạng.

Nhưng câu chuyện về bác sĩ Werner Forssmann với thí nghiệm lịch sử trên chính cơ thể mình tạo sự liên tưởng đến những hoạt động diễn tập bảo vệ ATTT mạng trên chính các hệ thống máy móc thật đang được vận hành để có thể tìm ra điểm yếu của chính hệ thống đó và luyện tập các kỹ năng của đội ngũ nhân sự.

Đó là ý nghĩa của từ "thực chiến".

Một trận chiến, một cuộc chiến đấu, giao tranh giữa hai bên theo đúng bản chất của nó. Một bên đi tấn công, một bên thực hiện phòng thủ để bảo vệ vững chắc thành trì của mình. Đó là hoạt động tương tác hai chiều để cùng làm nổi bật năng lực, lợi thế cũng như điểm yếu và những sơ hở của tất cả các bên tham gia.

Diễn tập thực chiến

Thuật ngữ này xuất hiện tại Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 về việc tổ chức triển khai diễn tập thực chiến bảo đảm ATTT mạng do Bộ TT&TT ban hành. Đối tượng áp dụng là các tổ chức, đội, nhóm làm về ứng cứu sự cố máy tính, sự cố ATTTM đang tham gia Mạng lưới Ứng cứu sự cố ATTT mạng quốc gia, theo Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia.

Diễn tập này được quy định để các tổ chức "gắn hoạt động diễn tập vào chính hệ thống mà đội ứng cứu sự cố có trách nhiệm bảo vệ, qua đó kinh nghiệm xử lý sự cố của đội ứng cứu sự cố đối với hệ thống đang vận hành được nâng cao" (2).

Diễn tập thực chiến là diễn tập được thực hiện trên hệ thống thật, không có kịch bản trước nhưng được giới hạn về mục tiêu, đối tượng tham gia, công cụ sử dụng, mức độ khai thác và khoảng thời gian diễn ra nhằm giảm thiểu rủi ro cho hệ thống (3).

Dù là "thực chiến", nhưng cũng là "diễn tập", do dó, mọi hoạt động đều được tiến hành chuyên nghiệp, bao gồm quy trình tổ chức nhiều bước, có phân công nhiệm vụ cụ thể cho các bên tham gia. Chủ quản hệ thống thông tin được đặt ra các giới hạn cho diễn tập. Các đội tấn công được quy định sử dụng các công cụ gì. Các đội phòng thủ phải tiến hành các bước xử lý như thế nào. Có Ban giám khảo để phân tích, đánh giá khách quan toàn bộ cuộc diễn tập.

Toàn bộ hoạt động là một quá trình thực hành thực tế theo các tiêu chí, mục tiêu, các nguyên tắc nhằm đạt hiệu quả cao nhất và quản trị rủi ro tốt nhất.

Diễn tập thực chiến hoàn toàn mới đối với các tổ chức, doanh nghiệp (DN) tại Việt Nam.

Diễn tập thực chiến: Thế giới chưa có tiền lệ

Xét theo tính chất, đặc điểm của diễn tập thực chiến mà Việt Nam đưa ra, chưa có nước nào trên thế giới tiến hành diễn tập ATTTM, diễn tập an ninh mạng trên hệ thống thật như vậy.

Mọi hoạt động diễn tập liên quan (cyber/cybersecurity drill, cyber/cybersecurity exercise) các nước đều được thực hiện trên các hệ thống giả lập, các hệ thống mô phỏng.

Liên minh Viễn thông Quốc tế (ITU) đã quyết định triển khai các diễn tập ATTT mạng là các hoạt động thường xuyên và chính thức. Các hoạt này vừa do chính ITU đứng ra tổ chức ở quy mô toàn cầu, vừa hỗ trợ các nước đứng ra tổ chức trong quy mô cấp quốc gia với các mục đích nâng cao năng lực cho các thành viên, tăng cường hợp tác và liên kết quốc tế, hỗ trợ các thành viên trong việc xây dựng và triển khai các hoạt động liên quan đảm bảo ATTT mạng.

Các hoạt động diễn tập của ITU được thực hiện theo cấu trúc vừa đào tạo, chia sẻ kinh nghiệm, và thực hành các tình huống khác nhau, liên quan đến một số sự cố bao gồm các loại tấn công phổ biến nhất. Các chi tiết về cuộc tấn công được các chuyên gia ITU đưa ra để những người tham gia thực hiện các cuộc điều tra và phân tích của họ về vụ việc và sẽ đưa ra các biện pháp giảm thiểu thông qua nền tảng Cyber Range. Thông qua các bài tập này, người tham gia có thể xác nhận các chính sách, kế hoạch, thủ tục, quy trình và khả năng cho phép chuẩn bị, phòng ngừa, ứng phó, phục hồi và đảm bảo tính liên tục của các hoạt động. (4)

Diễn tập do ITU thực hiện là điển hình và phổ biến của hoạt động diễn tập an ninh mạng hiện nay trên thế giới, tại tất cả các nước từ Mỹ đến châu Âu, châu Á và các châu lục khác. Với cách thức diễn tập này, hệ thống Cyber Range hỗ trợ cơ bản.

Cyber Range là hệ thống mô phỏng gần như đầy đủ các hệ thống mạng của các cơ quan, tổ chức, DN xung yếu và tiêu biểu, bao gồm các hệ thống máy chủ, máy trạm, thiết bị mạng, thiết bị điều khiển công nghiệp ICS/SCADA; các hệ thống CNTT và các hệ thống phòng vệ an ninh mạng điển hình…

Còn đối với diễn tập thực chiến tại Việt Nam: không có hệ thống Cyber Range, mà chính là sử dụng các kỹ năng, công cụ, hệ thống thực tế để thực hiện kiểm tra, đánh giá lại toàn bộ các kỹ năng của con người, chất lượng, độ chính xác, hiệu quả của máy móc, thiết bị.

Từ những kinh nghiệm thực tế, và hiện trạng đang tồn tại, diễn tập thực chiến giúp rèn luyện các kỹ thuật đã có, đồng thời giúp khám phá những cách làm mới để có thể khắc phục và hoàn thiện ngay tổ chức, kể cả về con người, công cụ và quy trình.

Tấn công vào các hệ thống thật, liệu có vi phạm luật?

Khi Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 được ban hành, đã có rất nhiều ý kiến lo ngại về việc khi thực hiện các tấn công mạng vào hệ thống thật, nếu hệ thống hư hỏng hay bị đánh sập, hay chỉ đơn giản là các thông tin bị ăn cắp hay hệ thống bị cài đặt mã độc, thì ai là người chịu trách nhiệm và coi đó là hoạt động vi phạm luật pháp.

Nghi ngại này hoàn toàn chính đáng.

Trong thực tế đảm bảo ATTT, có một hoạt động đang được làm thường xuyên và chính là một khía cạnh của diễn tập thực chiến: đó là hoạt động kiểm tra, đánh giá ATTT (Cyber security assessments) hoặc kiểm thử thâm nhập (Penetration Testing - PenTest).

Kiểm thử thâm nhập dùng để phát hiện ra các lỗ hổng, rủi ro hay mối đe dọa bảo mật mà các tin tặc có thể khai thác trong ứng dụng phần mềm, mạng hay ứng dụng web. Mục đích của kiểm thử thâm nhập là xác định và kiểm tra tất cả lỗ hổng bảo mật có thể có trong phần mềm.

Kiểm thử thâm nhập có thể gây ra rủi ro đáng kể cho hệ thống mạng. Ở mức tối thiểu, nó có thể làm chậm thời gian phản hồi của mạng do quá trình quét mạng và quét lỗ hổng bảo mật. Các hoạt động xâm nhập có thể khiến các thành phần của hệ thống không thể hoạt động, thay đổi dữ liệu hệ thống hoặc thậm chí gây ra thiệt hại về kinh tế hoặc vật chất.

Rủi ro này có thể được giảm thiểu bằng cách chỉ những người tiến hành kiểm thử thâm nhập có kinh nghiệm và có các quy tắc tham gia. Khi tin tặc tấn công hệ thống mạng có thể mang đến các rủi ro tương tự. Chính vì vậy, việc kiểm tra, đánh giá trước các hệ thống để tìm ra các điểm yếu, các lỗ hổng là để thực hiện vá các lỗ hổng đó và có các biện pháp phòng ngừa hiệu quả.

Do đó, hoạt động diễn tập thực chiến cần được thực hiện hết sức bài bản, được chủ sở hữu hệ thống thông tin và các bên liên quan cùng đưa ra quy trình, quy định thực hiện, được quản lý rủi ro chặt chẽ, có xác định giới hạn và cách thức diễn tập.

Khi triển khai đúng theo các quy tắc, quy trình đã đề ra, việc lo ngại nêu trên không còn nữa. Các tấn công mạng thuộc hoạt động diễn tập này là do chính chủ sở hữu hệ thống thông tin quyết định triển khai và hoàn toàn tự chịu trách nhiệm. Đây là hoạt động chủ động, được thông báo trước, có sự chứng kiến và chuẩn bị, do đó không có vấn đề về vi phạm luật pháp.

Một số hoạt động diễn tập nên triển khai năm 2022

Diễn tập thực chiến theo Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 tập trung vào hướng dẫn các cán bộ kỹ thuật tiến hành các nghiệp vụ chuyên môn chuyên sâu và là một hình thức triển khai diễn tập mới nhất hiện nay tại Việt Nam. Hình thức diễn tập này có thể áp dụng cho rất nhiều loại diễn tập và có các đối tượng tham gia khác nhau. Cụ thể như:

Diễn tập bàn tròn, dành cho các nhà quản lý và điều phối (Tabletop Exercises): Một tổ chức mà chưa bao giờ thực hiện bất kỳ diễn tập ATTT nào thì nên bắt đầu bằng loại diễn tập này. Những người tham gia diễn tập cùng ngồi lại để thảo luận về quy trình xử lý sự cố mất ATTT giả định trên giấy, giải thích các bước hành động của các bộ phận. "Phải làm gì" và "nên liên hệ với ai" là 2 câu hỏi phải được trả lời.

Diễn tập phòng chống lừa đảo qua email (Phishing Email): Những người tham gia phải cảnh giác trước những email nhận được. Ví dụ: đưa ra một email có một liên kết dẫn đến một trang đăng nhập giả. Khi những người tham gia diễn tập không phân biệt được có thể đăng nhập vào và thực hiện theo yêu cầu. Khi đó, ta sẽ biết có bao nhiêu người không chỉ nhấp vào liên kết mà còn chèn thông tin đăng nhập của họ.

Diễn tập phòng chống lừa đảo có chủ đích qua email(Spearphishing Email): Đây là lừa đảo có mục tiêu, đánh lừa những người cụ thể, thường là những người ở cấp cao trong tổ chức. Thực hiện diễn tập này có thể sử dụng thông tin nội bộ và thông tin công khai để xây dựng các email như thật, dễ thuyết phục để phục vụ diễn tập, nhằm cho người chơi hiểu các cách thức cần làm để có sự cảnh giác cao.

Diễn tập chống tấn công từ chối dịch vụ (Denial of Service (DoS)): Diễn tập này nhằm kiểm tra kỹ năng của bộ phận CNTT. Mục tiêu diễn tập để đánh giá tình hình xem các quản trị viên nhận thấy điều bất thường xảy ra nhanh hay chậm. Một cuộc tấn công DoS kéo dài có thể khiến người dùng không thể truy cập vào hệ thống hoặc làm cho các phản hồi chậm đến mức không thể chịu đựng nổi. 

Nếu cuộc tấn công DoS làm suy giảm đáng kể hiệu suất, câu hỏi đặt ra là bộ phận CNTT có thể ứng cứu tốt đến đâu. Họ sẽ có thể điều chỉnh tường lửa hoặc chuyển sang hệ thống chuyển đổi dự phòng để duy trì dịch vụ ở mức có thể chấp nhận được. Ngoài ra, có thể áp dụng các điều khoản sử dụng dịch vụ lọc khẩn cấp. Nhân viên CNTT nên biết họ đã có những gì và cách sử dụng nó.

Diễn tập phát hiện và phòng chống việc cài đặt thêm thiết bị trái phép vào hệ thống (Adding an Unauthorized Device): Khi các cuộc tấn công bên trong xuất phát từ một máy tính trái phép được thêm vào mạng thì có thể lấy thông tin từ cơ sở dữ liệu hoặc cố gắng phát tán phần mềm độc hại. 

Khi diễn tập, có 1 đội đỏ (red team) mang một máy tính có phần mềm cho mục đích này (nhưng không phải để gây hại thực sự) và cắm nó vào mạng. Nhân viên CNTT nên phát hiện hoạt động bất thường và xác định nguồn gốc của nó. Tốt nhất, họ sẽ xác định vị trí thiết bị giả mạo và rút phích cắm của nó. Nếu nó được ẩn tốt, họ vẫn có thể cắt quyền truy cập của nó vào mạng.

Diễn tập rà quét bên ngoài (External Scanning): Mạng liên tục được quét, có cả hợp pháp và phi pháp. Diễn tập nhằm giúp các cán bộ CNTT rèn kỹ năng phát hiện, nhận thấy các hoạt động quét mạng này. Cuộc diễn tập kiểm tra nhận thức của họ và những hành động mà họ thực hiện. Phản ứng thích hợp có thể là ghi lại nỗ lực hoặc chặn nó, tùy thuộc vào mức độ nghiêm trọng của nó.

Diễn tập rà quét nội bộ(Internal Scanning): Quét trái phép từ nguồn bên trong nguy hiểm hơn. Hoạt động đằng sau tường lửa có thể lấy thông tin dễ dàng hơn so với việc quét bên ngoài. Diễn tập sẽ có một đội đỏ có thể "lây nhiễm" cho máy tính của tổ chức để nó thăm dò cơ sở dữ liệu hoặc cố gắng đột nhập vào tài khoản. Nhóm CNTT nên xác định nó là một nguồn phần mềm độc hại và thực hiện các hành động thích hợp, chẳng hạn như cách ly nó khỏi mạng. Các cuộc thăm dò bên ngoài liên tục xảy ra, nhưng bất kỳ cuộc thăm dò bên trong trái phép nào đều là điều bất thường.

Diễn tập chống xâm nhập vật lý (Physical Intrusion): Kiểu tấn công này rất đơn giản, nhưng điều quan trọng là phải xem mọi người kiểm soát máy tính của họ tốt như thế nào. Các thành viên của đội đỏ đi lang thang quanh các văn phòng. Nếu họ tìm thấy một máy tính không được mở khóa, không được giám sát, họ sẽ gửi một số "phần mềm độc hại" vào đó, bằng cách sử dụng thiết bị USB hoặc file tải xuống. Khi nhân viên bất cẩn quay lại, màn hình sẽ hiển thị cảnh báo máy tính đã bị xâm nhập. Sau đó, đội diễn tập sẽ ghi lại những máy nào họ có thể truy cập.

Kết luận

Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 đã nhấn mạnh: mỗi Bộ, ngành, địa phương ít nhất 1 năm tổ chức 01 cuộc diễn tập thực chiến về đảm bảo ATTT mạng.

Hiện nay, Cục ATTT, Bộ TT&TT đang chủ trì xây dựng các văn bản hướng dẫn các địa phương triển khai. Trong đó, các cơ quan, tổ chức là thành viên Mạng lưới ứng cứu sự cố ATTT mạng quốc gia đang nắm giữ hạ tầng hệ thống thông tin thuộc cấp độ 1, cấp độ 2, hoặc cấp độ 3 là đối tượng triển khai Chỉ thị. Các hệ thống thông tin thuộc cấp độ 4, hoặc cấp độ 5 sẽ có những hướng dẫn cụ thể sau.

Trong quá trình triển khai, các đơn vị, địa phương có thể liên hệ với Cục ATTT để được hỗ trợ. Để tránh hiện tượng "diễn" nhiều hơn "tập", diễn tập thực chiến sẽ là xu hướng mới giúp công tác đảm bảo ATTT ngày càng thực chất và hiệu quả.

Công tác đảm bảo ATTT mạng là hàng giờ, hàng phút, hàng giây phải chống lại các tấn công mạng, là xây dựng hệ thống phòng thủ chắc chắn và luôn sẵn sàng trước các thảm họa. Đây thực sự là một cuộc chiến với kẻ thù giấu mặt. Do đó, rất nhiều bất ngờ có thể xảy ra, nằm ngoài các kế hoạch, ngoài các dự đoán. Diễn tập thực chiến sẽ giúp đội ngũ đảm bảo ATTTM được trải nghiệm gần với thực tế hơn và đưa ra được nhiều phương án khả thi trước các mối đe dọa an toàn mạng hơn. Có thể coi các tấn công mạng là kẻ thù, thì hãy đối mặt bằng chính năng lực thật của đội ngũ, các công cụ đang có, các quy trình đã xây dựng để có thể hiểu được chính mình và tự bảo vệ mình được tốt hơn.

Như Bá tước Moltke the Elder (1800-1891), Tổng Tham mưu trưởng quân đội Phổ, Thống chế tài ba trên chiến trường Đức cho rằng cần phát triển một loạt các phương án chiến đấu thay vì một kế hoạch duy nhất. Ông kết luận "Không có kế hoạch hoạt động nào kéo dài một cách chắc chắn ngoài cuộc chạm trán đầu tiên với sức mạnh tổng thể của kẻ thù" (No plan of operations extends with certainty beyond the first encounter with the enemy's main strength), hay có thể hiểu: "không có kế hoạch nào sống sót khi tiếp xúc với kẻ thù" (No plan survives contact with the enemy) (5)./.

Tài liệu tham khảo:

(1). https://nhandan.vn/nhan-vat_1/tu-trai-tim-den-trai-tim-259140/

(2). Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

(3). Dự thảo "Hướng dẫn thực hiện hoạt động diễn tập thực chiến" của Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

(4). https://www.itu.int/en/ITU-D/Cybersecurity/Pages/cyberdrills.aspx

(5).http://connect2amc.com/118-strategic-planning-moltke-the-elder-dwight-eisenhowerwinston -churchill-and-just-a-little-mike-tyson

(Bài đăng ấn phẩm in Tạp chí TT&TT số 2 tháng 2/2022)