Bóc gỡ mã độc/botnet và phòng chống
tấn công DDoS
Giải pháp phát hiện và bóc gỡ botnet
Hiện nay, ở Việt Nam chỉ có thể phát hiện và cảnh báo botnet dựa trên các báo cáo nhận được trong giai đoạn 4, 5 (trong chu kỳ một mạng botnet) từ các tổ chức và nạn nhân bị tấn công. Giải pháp này tuy có ưu điểm là chưa cần đầu tư lớn, chi phí vận hành thấp, nhưng không chủ động phát hiện được sớm và chỉ thu được thông tin khi mạng botnet bắt đầu thực hiện tấn công mới.
Để làm tốt công việc bóc gỡ botnet thì các cơ quan, đơn vị cần có sự phối hợp kịp thời, phải chủ động xây dựng các giải pháp và có kế hoạch phòng chống cụ thể bao gồm: Tiến hành ngăn chặn việc hình thành mạng botnet (tác động vào giai đoạn 1); Dùng các biện pháp kỹ thuật để hạn chế sự lây lan của mạng botnet (tác động vào giai đoạn 2); Lên phương án và giải pháp kỹ thuật để theo dõi và sớm phát hiện ra các mạng botnet mới hình thành (tác động vào giai đoạn 3); Ngăn chặn việc mua bán trên thị trường mã độc, botnet hoạt động tại Việt Nam (tác động vào giai đoạn 4); Nhanh chóng phản ứng với các cuộc tấn công, thu thập thông tin về mạng botnet (tác động vào giai đoạn 5).
Quy trình phòng chống tấn công DDoS
VNCERT đã xây dựng quy trình phòng chống DDoS nhằm giúp các cơ quan, đơn vị ứng phó kịp thời với các dạng tấn công này.
- Bước 1, khi phát hiện sự cố, các tổ chức, người dùng và ISP cần báo ngay với VNCERT (ngay cả khi sự cố có thể khắc phục được) để theo dõi tổng hợp và kịp thời ngăn chặn sự bùng phát của sự cố.
- Bước 2, cơ quan điều phối kết hợp với các cơ quan chức năng, các ISP, người dùng nhằm thu thập các Log-file để tìm nguồn gốc tấn công. Sau đó, tiến hành phân tích Log-file, tìm ra các máy chủ điều khiển, phát tán mã độc và xác định cơ chế tấn công.
- Bước 3, quá trình theo dõi botnet được Cơ quan điều phối phối hợp với các cơ quan chức năng theo dõi các hoạt động của các máy chủ điều khiển tấn công, máy chủ phát tán mã độc để xác định vị trí, quy mô của các bot vận tải bị điều khiển tham gia tấn công. Sau đó, lấy mẫu các bot vận tải để đánh giá, xác định khả năng nguy cơ phát triển tiềm ẩn của sự cố.
Bước tiếp theo là ngăn chặn tấn công và bóc gỡ các máy chủ điều khiển ở quy mô quốc gia và quốc tế, theo dõi kết quả. Các tổ chức có nguy cơ bị tấn công phải thường xuyên theo dõi, giám sát hệ thống 24/7 để nắm bắt diễn biến và kịp thời báo cáo về cơ quan điều phối.
Một số khuyến nghị về chống DDoS
và định hướng triển khai
Nhằm ngăn chặn hiệu quả các tấn công DDoS, VNCERT đã đưa ra những khuyến nghị sau:
- Các tổ chức, đơn vị cần phải chuẩn bị sẵn các phương án, kịch bản phản ứng trong mọi tình huống diễn ra. Để làm các công việc này, cần phải xác định được yêu cầu về tính sẵn sàng của hệ thống; đánh giá năng lực chống đỡ của hệ thống; nhanh chóng phân loại DDoS ngay từ các dấu hiệu đầu tiên; xây dựng kịch bản phản ứng khi mức tấn công vượt quá năng lực hệ thống (Dừng dịch vụ, thuê dịch vụ chống DDoS, thuê thêm đường truyền…).
- Chuẩn bị sẵn các đầu mối liên lạc nhận tư vấn tư VNCERT, mạng điều phối. Các tổ chức cần có biện pháp phản ứng sớm từ khi phát hiện dấu hiện ban đầu. Qua thực tế cho thấy, việc chậm chễ trong phản ứng khi có dấu hiệu tấn công của các đơn vị là một nguyên nhân chính để thời gian tấn công kéo dài.
- Thông báo sự cố nhanh: Nhiều tổ chức chỉ thông báo cho cơ quan chức năng khi không tự chống đỡ được tấn công mạng. Việc này làm chậm quá trình ngăn chặn tấn công. Các cơ quan chức năng cần nhanh chóng nắm được thông tin để tìm kiếm các máy chủ điều khiển. Việc chủ động chia sẻ thông tin từ các đơn vị là yếu tố quan trọng để nhận được sự hỗ trợ sớm và đồng bộ từ các cơ quan, tổ chức liên quan.
- Hành động phối hợp đồng thời: Các đơn vị điều phối, tham gia ứng cứu sự cố, đặc biệt là các ISP cần thực hiện ngăn chặn đồng loạt, trong thời gian ngắn nhất để tin tặc không đủ thời gian điều khiển mạng botnet thay đổi sang dạng mới.
Trong thời gian tới, để phát huy một cách có hiệu quả các phương án phòng chống tấn công mạng, các cơ quan, đơn vị cần phải bồi dưỡng nâng cao nhận thức cho người dùng về kiến thức ATTT; tổ chức tập huấn kỹ thuật về ATTT; tổ chức hội thảo chuyên đề sâu về một số lĩnh vực trong công tác đảm bảo ATTT; tổ chức diễn tập mạng lưới (cấp quốc gia, cấp Bộ, ngành, tỉnh, thành phố); tăng cường hợp tác với các tổ chức, doanh nghiệp ATTT trong và ngoài nước; tăng cường biện pháp điều phối chống malware và botnet. Bên cạnh đó, cần có chế tài mạnh và thanh, kiểm tra việc thực thi. Với các giải pháp này được triển khai đồng bộ, chúng ta sẽ ngăn chặn hiệu quả các dạng tấn công nhằm vào hệ thống CNTT của các tổ chức, đơn vị.
15:00 | 16/04/2024
Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.
17:00 | 12/04/2024
Tin tặc sử dụng dịch vụ quảng cáo trên Facebook và các trang Facebook bị tấn công để quảng bá các dịch vụ AI giả mạo như Midjourney, SORA và ChatGPT-5 của OpenAI và DALL-E, nhằm phát tán phần mềm độc hại đánh cắp mật khẩu của người dùng.
16:00 | 02/04/2024
Trong quý I/2024, thông qua hệ thống giám sát an toàn thông tin, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ) đã phân tích phát hiện tổng số 32.265 nguy cơ tấn công mạng nhắm vào các mạng công nghệ thông tin trọng yếu, tăng 18,7% so với cùng kỳ năm 2023.
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024