Để đảm bảo ATTT, chỉ đầu tư hạ tầng hệ thống phòng bị là chưa đủ
An toàn thông tin - Ngày đăng : 11:27, 10/05/2022
Những lỗ hổng ATTT từ việc thiếu chia sẻ tri thức
Chia sẻ trong trong chương trình hội thảo trực tuyến chủ đề "Tăng cường đảm bảo ATTT thông qua hợp tác chia sẻ tri thức về tấn công mạng", mới được Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục ATTT, Bộ TT&TT tổ chức, ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT - Bộ TT&TT cho biết, bảo đảm ATTT là yếu tố then chốt quyết định sự thành công của chuyển đổi số (CĐS). Vì vậy, mọi cơ quan, tổ chức phải triển khai đầy đủ phương án bảo đảm ATTT cho các hệ thống của mình khi vận hành theo quy định của pháp luật về ATTT. Mạng lưới ứng cứu sự cố ATTT mạng Việt Nam hiện đã có hơn 220 thành viên, bao gồm các đơn vị chuyên trách ứng cứu sự cố, doanh nghiệp (DN), tổ chức liên quan trên toàn quốc.
Tuy nhiên, mạng lưới còn thiếu tính gắn kết, chia sẻ thông tin với nhau. Năng lực ứng cứu sự cố của đa số cơ quan nhà nước (CQNN) còn rất thấp, chưa có khả năng phản ứng nhanh, kịp thời trước các nguy cơ, mối đe doạ từ không gian mạng. Vì vậy, việc tổ chức chuỗi webinar là cơ hội để các thành viên trong mạng lưới tiếp thu được những kiến thức chuyên sâu về ATTT phục vụ các hoạt động của các đơn vị. Đồng thời kết nối với các chuyên gia bảo mật có uy tín trong nước với các đơn vị làm về ATTT.
Đánh giá về hiện trạng ATTT hiện nay, ông Trần Minh Quảng, Giám đốc Trung tâm Phân tích và chia sẻ nguy cơ an ninh mạng (Công ty An ninh mạng Vietttel) cho biết, so với vài năm trước, một số cơ quan, tổ chức, nhất là những đơn vị phát triển mạnh về CNTT hay có hạ tầng trọng yếu, đã có sự đầu tư tương đối đầy đủ về các giải pháp bảo mật các lớp: quản trị; ứng dụng; cơ sở dữ liệu (CSDL); hạ tầng.
Tuy nhiên, ông Quảng cho rằng, nếu các đơn vị chỉ triển khai các giải pháp, phần mềm bảo đảm ATTT… là chưa đủ, mà cần phải có sự chia sẻ thông tin, cập nhật thường xuyên về tri thức thì mới thực sự tận dụng hiệu quả đầu tư. Bởi vì, nếu chỉ đầu tư hạ tầng ATTT 4 lớp nhưng không cập nhật các kiến thức tấn công mới, những dấu hiệu nhận biết tấn công mới của các nhóm tấn công thì những giải pháp này cũng rất khó để ngăn chặn, phòng bị tin tặc xâm nhập.
Cụ thể, theo ông Quảng, do hiện nay các nguy cơ bị tấn công về ATTT liên tục thay đổi và diễn ra liên tục, nhất là trong bối cảnh các lỗ hổng thường xuyên xuất hiện, ngay cả khi hệ thống thường xuyên cập nhật bản vá. Chưa kể đến, các thông tin về ATTT trên mạng xuất hiện ngày càng nhiều với hàng trăm nghìn lỗ hổng xuất hiện cùng rất nhiều cảnh báo. Điều này sẽ khiến cho những người quản trị hệ thống cảm thấy bối rối và không biết phải phản ứng như thế nào là đủ.
"Khi chúng ta thiếu tri thức, chúng ta sẽ không biết lỗ hổng nào mới thực sự nghiêm trọng, hay nhóm tài chính, ngân hàng… đang bị các tổ chức nào tấn công, đặc tính kỹ thuật các cuộc xâm nhập này là gì… Để rồi, khi hệ thống của chúng ta bị tấn công thì mới tiến hành xử lý sự cố, giải quyết hậu quả", ông Quảng nói.
Ông Nguyễn Thanh Tú, Trưởng nhóm dịch vụ Viettel Threat Intelligence (Công ty An ninh mạng Vietttel) cho biết, tri thức là việc thu thập, xử lý và phân tích thông tin về một thực thể và các tác nhân của nó, mà một tổ chức hoặc nhóm cần để đảm bảo an ninh và phát triển. Do đó, để chia sẻ thông tin hiệu quả, đầu tiên, các đơn vị cần xác định và ưu tiên các lỗ hổng về tri thức mà DN đang thiếu. Từ đó lên kế hoạch, định hướng phát triển để giải quyết vấn đề lỗ hổng gặp phải của tri thức trong đơn vị mình.
Sau đó, các tổ chức cần thu thập thông tin, dữ liệu về những nguy cơ ATTT từ bằng nhiều cách như thông qua các nhà cung cấp dịch vụ, cơ quan chức năng và trong chính nội bộ DN.
Sau khi đã có thông tin, các tổ chức cần xử lý dữ liệu thô thu thập được, để từ đó phân tích và đánh giá thông tin. "Qua đó, các đơn vị sẽ biết được những thông tin này ảnh hưởng đến việc kinh doanh, bảo đảm ATTT của DN mình như thế nào, mức độ nghiêm trọng của thông tin đó ra sao… Từ đó hình thành nên các tri thức, và phân phối cho "khách hàng", để họ có được những sự phản ứng kịp thời trước những nguy cơ, rủi ro có thể gặp phải", ông Tú nói.
Yêu cầu về tri thức bao gồm 3 thành phần gồm: Tri thức liên quan đến chiến lược (strategic); tri thức liên quan đến mặt vận hành (operational); tri thức liên quan đến kỹ thuật (Tactical).
Đề xuất thiết lập mô hình VN-ISAC chia sẻ thông tin trong mạng lưới ứng cứu sự cố
Do đó, để chia sẻ thông tin tốt cần phải đảm bảo các yếu tố như kịp thời, chính xác và bảo mật (thông tin, danh tính…). ông Quảng đã đề xuất với Mạng lưới ứng cứu sự cố ATTT mạng Việt Nam kênh chia sẻ thông tin, tri thức qua mô hình VN-ISAC (Information Sharing and Analysis Centres).
Mô hình này được các quốc gia, các ngành trên toàn cầu sử dụng rộng rãi. Bởi vì, trên thực tế triển khai, nó rất phù hợp cho việc chia sẻ thông tin giữa các tổ chức trong cùng một ngành, một quốc gia với nhau. Trên thế giới có rất nhiều ISAC khác nhau như FS- ISAC (chia sẻ thông tin ngành tài chính toàn cầu), E- ISAC (chia sẻ thông tin ngành năng lượng)…
"Đối với Việt Nam, Công ty An ninh mạng Viettel đề xuất mô hình VN-ISAC dành riêng cho mạng lưới ứng cứu sợ cố ở nước ta, nó giúp chia sẻ thông tin toàn bộ nguy cơ trong mạng lưới, một cách an toàn, hiệu quả, kịp thời", ông Quảng nói.
Trong VN-ISAC sẽ có các thành phần chính, như nguồn tin, được lấy từ các tổ chức chính phủ, các tổ chức giám sát ATTT ở Việt Nam, các Bộ ngành khác, hay lấy từ các thông tin toàn cầu do các đơn vị thu thập. Sau khi được xử lý, nó sẽ phân loại thành các dạng thông tin như các lỗ hổng mới công bố, nhóm APT mới hoạt động, các hình thức lừa đảo lấy cắp thông tin…, từ đó chia sẻ chéo với các ISAC khác.
Các thành viên trong mạng lưới VN-ISAC sẽ chia sẻ kiến thức, thông tin về dấu hiệu tấn công mới, điều tra mới, gian lận mới… theo mô hình P2P (chia sẻ ngang hàng), tức là bất kì thành viên nào cũng có quyền đẩy thông tin lên và thành viên khác sẽ nhận được ngay lập tức.
Nền tảng VN-ISAC sẽ bao gồm: Chủ quản là các cơ quan điều phối quốc gia (VNCERT/CC hay Cục ATTT); Các DN như Viettel sẽ tham gia cung cấp nền tảng chia sẻ thông tin, cung cấp việc vận hành 24/7 và đội ngũ phân tích chuyên sâu để cung cấp các nguy cơ mới phát hiện cũng như đánh giá các thông tin được các thành viên đưa lên; các đơn vị khác như các đơn vị tiếp nhận thông tin như ngân hàng, tài chính...
Theo ông Quảng, các tổ chức khi tham gia ISAC sẽ có 2 quyền, đó là chia sẻ các nguy cơ ATTT đang gặp phải và tiếp nhận các tri thức ATTT, cập nhật các giải pháp tự động. "Mô hình này đã được vận hành trên thế giới trong nhiều năm và đã cho thấy những hiệu quả nhất định trong việc chia sẻ thông tin tri thức", ông Quảng bày tỏ.
Quy trình vận hành nền tảng ISAC này sẽ như sau: Thành viên báo cáo sự cố/nguy cơ thông qua việc gửi ẩn danh/hoặc chính thống qua ISAC, tiếp theo Viettel sẽ phản hồi trong thời gian thực hoạt động 24/7 phân tích, ẩn danh nguồn với các phân tích và khuyến nghị ban đầu, cuối cùng VNCERT/CC sẽ tạo cảnh báo cho thành viên chung trong mạng lưới.
Nhiều rào cản trong việc chia sẻ tri thức ATTT ở Việt Nam hiện nay
Theo đánh giá của đại diện Viettel, việc chia sẻ tri thức ở Việt Nam hiện nay đang gặp phải không ít trở ngại. Đầu tiên là việc chia sẻ còn diễn ra theo những cách thức thủ công như email, ứng dụng OTT hay điện thoại. Điều này khiến cho mọi người hiếm khi nhìn được bức tranh ATTT đầy đủ về các mối đe doạ, nguy cơ đang diễn ra hiện nay cũng như tạo ra những lo ngại về tính bảo mật thông tin khi chia sẻ.
Các rào cản khác bao gồm: Sự tin tưởng giữa các đơn vị về những vấn đề ATTT đang gặp phải; Thiếu các nhà phân tích chuyên sâu khi mà doanh nghiệp không đủ khả năng phân tích nắm rõ những đối tượng, kẻ tấn công nhắm vào là ai, vì mục đích gì; Quy trình chia sẻ thông tin thủ công; Làm sao để chia sẻ mà không lọt thông tin ra bên ngoài.
"Đây là những khó khăn mà Viettel nhận thấy được trong quá trình cung cấp, phát triển về việc chia sẻ tri thức hiện nay", ông Tú nói.
Cùng quan điểm, ông Lê Công Phú, Giám đốc trung tâm VNCERT/CC cho biết, việc chia sẻ thông tin ở Việt Nam hiện vẫn còn thấp và các tổ chức, đơn vị thường cảm thấy ngại khi phải chia sẻ thông tin về ATTT.
Còn theo ông Nguyễn Lê Thành, Phó Tổng Giám đốc VNG cho rằng, trong quá trình ứng cứu, ông thấy rằng việc chia sẻ thông tin giữa các DN, tổ chức nhà nước, cơ quan chức năng rất ít khi xảy ra. Như năm 2016, khi một hãng hàng không bị tấn công, tại một cuộc hội thảo, việc chia sẻ thông tin đã được các chuyên gia đưa ra nhưng việc thực hiện không dễ dàng và cuối cùng đã không được diễn ra hoặc chia sẻ tương đối giới hạn thay vì mang tầm quốc gia hay hiệp hội.
Nguyên nhân là do các đơn vị cảm thấy lo lắng khi các thông tin đều mang tính chất nhạy cảm và có thể bị chia sẻ, hay một bên khác biết mình bị tấn công. Như việc một số ngân hàng bị tấn công thông qua nhóm APT lớn, hầu hết các vụ việc diễn ra và được xử lý âm thầm thay vì chia sẻ thông tin.
Đối với việc chia sẻ thông tin, yếu tố kỹ thuật không phải là vấn đề lớn, chủ yếu là quan điểm của mỗi đơn vị, tổ chức có sẵn sàng tham gia hay không. VNG sẵn sàng tham gia vì nó mang lại một giá trị cho DN, cộng đồng tốt hơn thay vì giữ riêng cho đơn vị mình. viên công ty)… Việc chia sẻ này cũng giúp các DN rà soát lại để phòng bị, phát hiện sớm các cuộc tấn công.
Về giải pháp chia sẻ tri thức VN-ISAC mà Viettel đề xuất, ông Phú cho biết, VNCERT/CC cũng đang có sự chia sẻ trong mạng lưới ứng cứu sự cố, nhất là khi cũng có nhiều thông tin từ các CERT quốc tế, các đơn vị khác cũng như chuyên gia. Nhưng hiện mới chỉ cung cấp thông báo cho các đơn vị bị ảnh hưởng và mang tính chất một chiều, thay vì 2 chiều từ các đơn vị cung cấp lên và có thể chia sẻ cho các đơn khác.
"Mô hình chia sẻ thông tin tri thức mà VN-ISAC khá hay và có thể hợp lực được nhiều nguồn lực trong xã hội, mang tính chất chuyên nghiệp và tạo được sự tin tưởng", ông Phú đánh giá.
Ông Thành cũng tán thành việc nên thành lập VN-ISAC, ít nhất là có sự tham gia của các cơ quan nhà nước. Các DN bên ngoài hay ngành ngân hàng sẽ tham gia sau, sau khi có được sự tin tưởng nhất định. "Nó sẽ giúp phát hiện sớm các cuộc tấn công, hạn chế tối đa mức độ ảnh hưởng đến tổ chức của mình", ông Thành nói.
Ông Quảng cho rằng, việc chia sẻ thông tin bao gồm 2 thành phần, cho và nhận. Với vai trò của VNCERT/CC, nếu duy trì một nền tảng khung (framework) để cho các thành viên khác cùng tham gia, để được "nhận" các thông tin có giá trị thì dần dần họ cũng sẽ chia sẻ lại các tri thức của mình. Công ty An ninh mạng Vietttel cũng sẵn sàng chia sẻ những thông tin lên trên mạng lưới này.
Những thông tin được chia sẻ theo nguyên tắc chung thì sau đó sẽ tăng được tâm lý chia sẻ của cùng các thành viên, vì nếu không có ai chia sẻ trước thì sẽ rất khó để mọi người bắt đầu. "Viettel sẽ phối hợp với Cục ATTT để sớm triển khai mô hình này, nâng cao năng lực của mạng lưới, từ đó nâng cao trình độ nhân lực ATTT chung của Việt Nam", ông Quảng kết luận./.