Hiệu quả của hoạt động ứng cứu sự cố ATTT dựa trên công nghệ và dữ liệu

Tình hình ATTT được bảo đảm

Theo thống kê, năm 2023, Bộ TT&TT đã ghi nhận, cảnh báo và hướng dẫn xử lý 12.846 cuộc tấn công mạng, trong đó có 11.511 cuộc tấn công giả mạo (phishing), 451 cuộc tấn công thay đổi giao diện (deface), 884 cuộc tấn công mã độc (malware), tăng 5,3% so với cùng kỳ năm 2022. Số lượng địa chỉ IP Việt Nam nằm trong các mạng botnet là 456.699 địa chỉ, giảm 4,7% so với năm 2022; Đã xử lý 3.478 website lừa đảo, vi phạm pháp luật.

Trong năm 2023 cũng ghi nhận 2,1 tỷ lượt xem video tái hiện và cảnh báo các hành vi lừa đảo trực tuyến trên các kênh mạng xã hội (MXH). 3,7 triệu người dân được bảo vệ, không truy cập vào các website lừa đảo trực tuyến, vi phạm pháp luật trên không gian mạng. 17 bộ, ngành, địa phương được hỗ trợ rà soát, triển khai các biện pháp an toàn, an ninh mạng. 4.500 lượt cán bộ chuyên trách ATTT trong các cơ quan, tổ chức nhà nước, doanh nghiệp (DN) được tham gia diễn tập thực chiến.

Thông tin mới nhất sau dịp Tết nguyên đán Giáp Thìn 2024, tình hình ATTT mạng trong suốt dịp Tết được bảo đảm tốt. Các cơ quan, đơn vị chuyên môn đã chủ động phối hợp với các MXH, trang tin điện tử tổng hợp, đặc biệt là các MXH xuyên biên giới để xử lý kịp thời các thông tin xấu độc, thông tin sai sự thật, thông tin giả trong dịp Tết Nguyên đán. Kết quả ghi nhận được từ các hệ thống kỹ thuật của Bộ TT&TT, trong dịp Tết, không xảy ra sự cố ATTT nghiêm trọng, đã ghi nhận và cảnh báo 262 cuộc tấn công mạng, giảm 52% so với cùng kỳ Tết Nguyên đán Quý Mão 2023.

Cách làm mới để nắm bắt tình hình ATTT nhanh chóng, hiệu quả

Để nắm bắt được tình hình về ATTT mạng Việt Nam, ông Lê Công Phú, Phó Giám đốc Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) - Cục ATTT - Bộ TT&TT đã chia sẻ trước năm 2022, Cục ATTT chỉ thông tin về các mối đe doạ tấn công mạng, những lỗ hổng, các đồ thị tấn công cũng như các nhóm tin tặc (hacker), chủ yếu được thu thập từ các diễn đàn hacker cũng như các diễn đàn bảo mật, các MXH như Reddit, Twitter và từ các mạng lưới của Cục ATTT, các tổ chức quốc tế, các DN hạ tầng trong lĩnh vực ATTT. Thông tin được thu thập sẽ được cán bộ kỹ thuật của Cục ATTT phân tích và xác minh các thông tin đó có đúng với các nguồn thu thập hay không.

Tuy nhiên, với cách làm này, Phó Giám đốc VNCERT/CC cho rằng vừa tốn thời gian, nguồn nhân lực và chưa đáp ứng được các việc thu thập thông tin nhanh trước các xu thế tấn công mạng ngày càng gia tăng như hiện nay.

Trước tình hình đó, Cục ATTT đã thay đổi hướng tiếp cận trong hoạt động ứng cứu sự cố. Mục tiêu là chuyển từ hoạt động ứng cứu sự cố từ mang tính sự vụ sang hoạt động thường xuyên và từ bị động đối phó sang chủ động theo dõi, phát hiện cảnh báo. Theo đó, đơn vị tập trung vào việc tăng khả năng tự động hoá thu thập các thông tin, nguồn tin nguy cơ về các mối đe dọa trên không gian mạng, cũng như là mọi hoạt động điều phối trong mạng lưới ứng cứu sự cố cũng như là trên toàn quốc được thực hiện trên nền tảng duy nhất. Đồng thời, Cục ATTT còn triển khai các công cụ tự động phân tích xử lý sự cố trên diện rộng, hỗ trợ từ xa và giảm thiểu tối đa việc sử dụng nguồn lực của con người.

Để cụ thể hoá hướng tiếp cận đó, Cục ATTT đã phát triển hai nền tảng bảo mật và đưa vào vận hành là: Nền tảng hỗ trợ, điều phối xử lý sự cố và Nền tảng hỗ trợ điều tra số (Digital Forensics Lab - DFLab). Việc phát triển hai nền tảng này giúp tăng cường hiệu lực, hiệu quả công tác quản lý nhà nước về hoạt động ứng cứu sự cố. Đồng thời, thông qua hai nền tảng, Cục ATTT kiểm soát được sự tuân thủ của các cơ quan, tổ chức Nhà nước trong hoạt động ứng cứu sự cố và cho phép tổ chức sử dụng các nền tảng có thể tự quản lý được tình hình ứng cứu sự cố trong tổ chức của mình. Việc này giúp tận dụng được nguồn lực tại chỗ của các đơn vị và khi có sự cố ứng cứu quan trọng, cơ quan ứng cứu quốc gia sẽ vào cuộc.

Phó Giám đốc VNCERT nhấn mạnh: “Việc này vừa tăng vai trò của cơ quan điều phối quốc gia, cũng như trao quyền nhiều hơn cho các thành viên của mạng lưới ứng cứu sự cố”.

Luồng ứng cứu sự cố

Thông qua nền tảng ứng cứu sự cố, hệ thống được lập lịch để 7 - 8h hàng ngày sẽ tải dữ liệu về từ các nguồn đã định sẵn từ trước như từ các client server, DN trong lĩnh vực ATTT trên thế giới. Nguồn dữ liệu lên tới 2,3 - 2,5 Gigabytes/ngày với khoảng 134 danh mục dữ liệu khác nhau được xử lý dưới dạng streaming, vì vậy, không cần phải đợi tải dữ liệu xong về mới thực hiện phân tích như trước đây. Hiện nay, hệ thống có thể tự động phân tích, xử lý ngay khi có dữ liệu mới và sau khi có đầy đủ dữ liệu, hệ thống sẽ dựa vào các danh sách, địa chỉ IP của các tổ chức đã đăng ký trên nền tảng và tự động gửi các cảnh báo phù hợp với từng địa chỉ IP mà các tổ chức đăng ký vào khoảng 8h.

Phó Giám đốc VNCERT cho biết từ việc thu thập, phân tích, tiếp nhận và xử lý đến gửi báo cáo các đơn vị chỉ diễn ra trong vòng 1 giờ và mọi thứ đều toàn trình, không cần đến sự can thiệp của con người. “Tất cả đều tự động xử lý. Chỉ có làm như vậy, chúng tôi mới có thể thực hiện phân tích và xử lý hàng Gigabyte dữ liệu mỗi ngày với hàng triệu bản ghi. Việc này trước sử dụng sức người thì sẽ không làm được và không đáp ứng được khả năng phản ứng nhanh”.

Thông qua giao diện quản trị, đại diện VNCERT cũng cho biết cơ quan điều phối quốc gia sẽ nắm bắt được trạng thái xử lý sự cố của từng đơn vị và dễ dàng quản lý số lượng cảnh báo đã phát đi trong 1 tuần, 1 tháng hay bất cứ thời gian nào tuỳ chọn. Trong năm 2023, Cục ATTT đã điều phối, xử lý sự cố 2338 sự cố trong đó có 1998 sự cố đã xử lý xong và còn 122 sự cố xử lý chưa xong. Đồng thời, các sự cố cũng sẽ được phân loại và thông tin này giúp cho cơ quan điều phối quốc gia dễ dàng làm việc với các nhà cung cấp trong việc chặn lọc các địa chỉ IP của mã độc, cũng như chặn lọc các đường dẫn của các chiến dịch tấn công, lừa đảo người dùng.

Xử lý sự cố tại chỗ

Đại diện VNCERT cũng cho biết trước đây xử lý 1 sự cố ở TP. HCM hay Đà Nẵng thì các chuyên gia Cục ATTT từ Hà Nội sẽ vào trực tiếp và xử lý sự cố. Việc này không đáp ứng được khả năng phản ứng nhanh, tính cơ động trong hoạt động điều phối, xử lý sự cố. Nay thông qua DFLab được Cục ATTT ra mắt tháng 6/2023, đội ngũ chuyên gia của Cục ATTT hay bất cứ chuyên gia nào được cấp quyền trong mạng lưới ứng cứu của Cục ATTT thông qua nền tảng tại Hà Nội có thể xử lý sự cố toàn quốc, thậm chí những sự cố ở nước ngoài khi có yêu cầu sử dụng CERT của các quốc gia khác.

DFLab cho phép phân tích điều tra trên phạm vi rộng lớn lên đến hàng trăm, thậm chí hàng ngàn máy tính. “Nếu làm theo cách truyền thống thì không đáp ứng được. Đó là một người tại một thời điểm chỉ có thể phân tích được 1 máy tính, còn bây giờ với những sự cố mà cần phân tích 100 - 200 máy tính, 2 - 3 chuyên gia của Cục ATTT đều có thể làm được và làm tốt trong thời gian ngắn”, ông Phú cho hay.

Các chuyên gia của Cục ATTT có thể phân tích và xác định nhiều máy chủ bị nhiễm mã độc và nguyên nhân tấn công từ đó đưa ra các biện pháp để gia cố hệ thống, loại bỏ các tác nhân, tệp (file) mã độc đang tồn tại trên hệ thống và đưa hệ thống vào hoạt động bình thường. Đây có thể là những hệ thống rất quan trọng và quá trình ứng cứu sự cố thì không cho phép đóng (shutdown) hệ thống mà yêu cầu hệ thống phải vận hành 24/7 nhưng vẫn có thể thực hiện điều tra phân tích.

Phó Giám đốc VNCERT cho rằng có được kết quả này là nhờ ứng dụng công nghệ dữ liệu vào hoạt động ứng cứu sự cố, theo đó, việc quản lý ứng cứu được đồng nhất trên nền tảng duy nhất. Đồng thời, nền tảng cung cấp các công cụ miễn phí cho các tổ chức, cộng đồng và tăng khả năng phản ứng nhanh, không phụ thuộc vào khoảng cách địa lý, tiết kiệm thời gian, chi phí nguồn lực khi xử lý sự cố.

“Việc ứng dụng công nghệ dữ liệu cũng giải quyết được bài toán thiếu hụt nguồn nhân lực chất lượng cao cho các cơ quan, tổ chức và DN”, ông Lê Công Phú nhấn mạnh./.