Trong thời gian vừa qua, tình hình ATTT tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)….
Chính phủ, Thủ tướng Chính phủ đã chỉ đạo và yêu cầu người đứng đầu các cơ quan nhà nước phải chịu trách nhiệm nếu để xảy ra mất an toàn, an ninh thông tin, đồng thời cũng ban hành các văn bản pháp lý nhằm tạo hành lang pháp lý về việc đảm bảo an toàn, an ninh thông tin.
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát ATTT là một trong những giải pháp kỹ thuật quan trọng có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo an toàn thông tin cho các cơ quan, tổ chức của Đảng và Chính phủ, yếu tố góp phần quan trọng đảm bảo an ninh thông tin trong các hoạt động lãnh đạo, chỉ đạo, quản lý và điều hành, tác nghiệp của các bộ, ngành, địa phương.
Tại các mạng CNTT trọng yếu của Đảng và Chính phủ, ngoài việc được trang bị các trang thiết bị và giải pháp chính như:
(1) Giải pháp thu thập dữ liệu nhật ký và dữ liệu mạng;
(2) Giải pháp phân tích và phòng chống tấn công có chủ đích ở lớp mạng;
(3) Giải pháp giám sát hành vi người dùng (UBA).
Hệ thống UBA tự động theo dõi hành vi của người dùng theo thời gian (chẳng hạn theo tuần hoặc theo tháng), sau đó tự động hình thành các hồ sơ người dùng với các thuộc tính nhất định, thời gian tiếp theo nếu người dùng có những hành vi, hoặc hành động bất thường như đăng nhập ngoài giờ hành chính, khởi động máy tính vào buổi tối...thì hệ thống tự động phát hiện và đưa ra các cảnh bảo thông qua phương pháp máy học.
Tại Trung tâm CNTT&GSANM của Ban Cơ yếu Chính phủ, bên cạnh các thành phần cốt lõi chính của hệ thống thì một số giải pháp thông minh tiên tiến, hiện đại được trang bị, trong đó có việc cập nhật liên tục nền tảng dữ liệu các nguy cơ (Threat intelligence platform) toàn cầu nhằm tăng cường hiệu quả tối đa cho hệ thống, một số giải pháp ứng dụng phát hiện sớm các nguy cơ mất ATTT được thể hiện trong Hình 1, cụ thể:
Hình 1. Một số giải pháp công nghệ chính được sử dụng của hệ thống
- Giải pháp cung cấp thông tin tình báo về các nguy cơ (Threat Intelligence Sources): cung cấp các dữ liệu, thông tin về các mẫu mã độc, thông tin tình báo về các nguy cơ tấn công mạng, cho phép đưa ra các cảnh báo sớm và có phương án phòng ngừa chủ động. Các báo cáo chiến lược thông tin về nguy cơ tấn công mạng còn giúp các nhà lãnh đạo có tầm nhìn bao quát để xây dựng chiến lược phù hợp trong công tác bảo đảm ATTT.
- Nền tảng truy lùng nguy cơ (Threat hunting platform): Cho phép thu thập nhiều dữ liệu khác nhau trong hệ thống mạng, cung cấp các công cụ tìm kiếm nhanh chóng, linh hoạt trên dữ liệu thu thập được bao gồm cả dữ liệu lớn, từ đó trực quan hóa các dữ liệu và kết quả tìm kiếm dưới nhiều lựa chọn khác nhau.
- Tra cứu mối đe dọa (Threat lookup): tập hợp cơ sở dữ liệu nguy cơ mất an toàn thông tin được tích lũy thành một dịch vụ web nhằm cung cấp cho các chuyên gia các dữ liệu và phương án ngăn chặn các cuộc tấn công mạng trước khi chúng làm ảnh hưởng đến hệ thống, với khả năng cho phép tìm kiếm chi tiết về các URL, tên miền, địa chỉ IP, file hashes, ... để nhận dạng các nguy cơ mới xuất hiện trên toàn cầu, nhằm bảo vệ, ngăn chặn và tăng cường khả năng ứng phó sự cố cho toàn bộ hệ thống.
Giải pháp này cung cấp các dữ liệu nguy cơ mất ATTT có độ chính xác cao, kết hợp phân tích theo bối cảnh môi trường mạng cho phép xác định nhanh chóng, kịp thời các nguy cơ mất ATTT mạng.
- Báo cáo về các thông tin tình báo tấn công có chủ dịch (APT intelligence reporting): giúp xác định phương pháp tốt nhất để ngăn chặn các cuộc tấn công mạng, xác định chiến lược và thông tin đang được kẻ tấn công sử dụng để tấn công. Các chuyên gia sẽ xây dựng báo cáo một bức tranh toàn diện về tình trạng, nguy cơ bị tấn công hiện tại, xác định các điểm yếu đã bị khai thác và đưa ra bằng chứng về các cuộc tấn công trong quá khứ, hiện tại và tương lai. Báo cáo này có thể chứa thông tin về tất cả các điểm yếu thuộc hệ thống mạng CNTT của Chính phủ điện tử.
- Dữ liệu các nguy cơ (Threat Data Feeds): được sử dụng để tăng cường năng lực về khả năng phát hiện và ngăn chặn nguy cơ mất ATTT mạng mới nhất. Các nguồn cấp dữ liệu nguy cơ được phân phối ở các định dạng khác nhau, cung cấp thông tin toàn diện về các mối đe dọa mới nhất mà hệ thống cần phải phát hiện và ngăn chặn (được thể hiện trong Hình 2), bao gồm:
Hình 2. Dữ liệu nguy cơ (toàn cầu) được cung cấp cho hệ thống SIEM
IP Reputation Feeds tập hợp các địa chỉ IP kèm ngữ cảnh bao quát các máy chủ đáng ngờ và độc hại được tin tặc sử dụng để điều khiển từ xa các máy tính bị kiểm soát.
Malicious and Phishing URLs tập hợp URLs bao quát các liên kết và trang web độc hại và lừa đảo.
Botnet C&C URLs tập hợp các URL của máy tính chỉ huy và kiểm soát (C & C) cùng các đối tượng độc hại có liên quan.
Mobile Botnet C&C URLs tập hợp các URLs với ngữ cảnh bao quát các máy chủ C & C điều khiển các thiết bị di động bị kiểm soát.
Ransomware URL Feed tập hợp các URL bao quát các liên kết lưu trữ các đối tượng ransomware hoặc bị tấn công thâm nhập.
Hình 3. Một số tiêu chí về dữ liệu nguy cơ mất an toàn thông tin
Malicious Hash Feeds tập hợp bao quát các phần mềm độc hại nguy hiểm, phổ biến và mới xuất hiện.
Mobile Malware Hashes tập hợp file hashes giúp phát hiện các đối tượng độc hại lây nhiễm trên nền tảng di động.
P-SMS Trojan Feeds tập hợp các mẫu nhận dạng các Trojan với ngữ cảnh tương ứng giúp phát hiện các Trojan SMS đổ chuông trả phí nhắm đến người dùng di động và cho phép kẻ tấn công đánh cắp, xóa và trả lời tin nhắn SMS.
Whitelisting Data Feed cung cấp các giải pháp và dịch vụ của bên thứ ba với tập hợp kiến thức có hệ thống về các phần mềm hợp pháp.
APT IoC Feeds tập hợp bao quát các tên miền độc hại, máy chủ lưu trữ, địa chỉ IP độc hại, các tệp độc hại được sử dụng bởi các đối thủ để thực hiện các cuộc tấn công APT hoặc các dòng phần mềm độc hại khác.
Nguồn cấp dữ liệu nguy cơ được thiết kế để tích hợp với các hệ thống SIEM của bên thứ ba bao gồm: HP ArcSight, IBM QRadar, Splunk... và các sản phẩm SIEM khác.
Trung bình hàng năm có hàng trăm nghìn cuộc tấn công mạng nguy hiểm được Trung tâm CNTT&GSANM phát hiện.
Trong năm 2018, hệ thống ghi nhận khoảng 1.000.000 cảnh báo tấn công mạng nguy hiểm, với nhiều hình thức và chủng loại vào hệ thống mạng các cơ quan trọng yếu của Đảng và Chính phủ, so với năm 2017 thì số lượng tấn công mạng tăng hơn 35%, đặc biệt là các hình thức tấn công nguy hiểm bằng mã độc.
Hình 4. Số lượng cảnh báo tấn công mạng nghi nhận 5 tháng đầu năm 2019
Trong 5 tháng đầu năm 2019, hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ đã kịp thời phát hiện và đưa ra phương án xử lý khoảng 400.000 cảnh báo tấn công mạng, trong đó có khoảng 150.000 cảnh báo tấn công dò quét lỗ hổng, dò quét cổng, gần 200.000 cảnh báo khai thác lổ hỗng bảo mật, gần 20.000 các cảnh báo tấn công mã độc. Các hình thức tấn công mạng nguy hiểm đều được phối hợp xử lý kịp thời.
Thông qua hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ với các giải pháp công nghệ tiên tiến được cập nhật liên tục, đã thực hiện thu thập, phân tích, xử lý, lưu trữ, tương quan các sự kiện để đưa ra bức tranh toàn cảnh về tình hình ATTT mạng tại các mạng CNTT trọng yếu của Đảng và Chính phủ, từ đó đưa ra các phương án phòng chống tấn công mạng và phối hợp xử lý các sự cố mất an toàn thông tin kịp thời, góp phần vào công tác bảo đảm ATTT cho các mạng CNTT trọng yếu của Đảng và Chính phủ nói riêng và góp phần vào công cuộc xây dựng và phát triển đất nước nói chung.
Trong thời gian tiếp theo, với sự chỉ đạo quyết liệt của Đảng và Chính phủ nhằm đẩy mạnh việc triển khai các thành phần của hệ thống Chính phủ điện tử theo đúng tinh thần của Nghị Quyết 17/NQ-CP, trong đó trước mắt là tập trung vào các thành phần chính như: Hệ thống e-Cabinet, Cổng dịch vụ công Quốc gia… Đặt ra nhiệm vụ mới với những thách thức đảm bảo ATTT cho các hệ thống này, Ban Cơ yếu Chính phủ với nguồn lực, giải pháp công nghệ hiện có cùng với nhiệm vụ được giao đang nỗ lực hoàn thành các nhiệm vụ nhằm đảm bảo ATTT cho hệ thống Chính phủ điện tử được hoạt động an toàn, ổn định, thông suốt.
Võ Văn Hoàng, Nguyễn Văn Duẩn
09:00 | 16/12/2020
10:00 | 15/11/2023
10:00 | 24/02/2021
16:00 | 29/01/2019
08:00 | 17/02/2020
08:00 | 22/06/2020
15:00 | 03/07/2018
14:00 | 22/04/2015
13:00 | 13/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
10:00 | 08/05/2024
Trong thời đại công nghệ phát triển ngày nay, việc tiếp xúc với môi trường trực tuyến đã trở nên rất phổ biến. Điện thoại thông minh không chỉ là công cụ để chúng ta có thể liên lạc với con cái, mà còn mở ra cơ hội cho trẻ tiếp cận kiến thức và giải trí một cách bổ ích, miễn là người lớn biết cách hướng dẫn chúng một cách đúng đắn. Thay vì kiểm soát, hãy tìm cách để thiết lập điện thoại sao cho phù hợp, từ đó đảm bảo an toàn cho trẻ em trên môi trường mạng. Bài báo sau đây sẽ hướng dẫn độc giả đặc biệt là các phụ huynh cách thiết lập quản lý việc sử dụng điện thoại thông minh (hệ điều hành Android) của con mình một cách hiệu quả và an toàn.
10:00 | 22/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 30/09/2024