Trong thời gian vừa qua, tình hình ATTT tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)….
Chính phủ, Thủ tướng Chính phủ đã chỉ đạo và yêu cầu người đứng đầu các cơ quan nhà nước phải chịu trách nhiệm nếu để xảy ra mất an toàn, an ninh thông tin, đồng thời cũng ban hành các văn bản pháp lý nhằm tạo hành lang pháp lý về việc đảm bảo an toàn, an ninh thông tin.
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát ATTT là một trong những giải pháp kỹ thuật quan trọng có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo an toàn thông tin cho các cơ quan, tổ chức của Đảng và Chính phủ, yếu tố góp phần quan trọng đảm bảo an ninh thông tin trong các hoạt động lãnh đạo, chỉ đạo, quản lý và điều hành, tác nghiệp của các bộ, ngành, địa phương.
Tại các mạng CNTT trọng yếu của Đảng và Chính phủ, ngoài việc được trang bị các trang thiết bị và giải pháp chính như:
(1) Giải pháp thu thập dữ liệu nhật ký và dữ liệu mạng;
(2) Giải pháp phân tích và phòng chống tấn công có chủ đích ở lớp mạng;
(3) Giải pháp giám sát hành vi người dùng (UBA).
Hệ thống UBA tự động theo dõi hành vi của người dùng theo thời gian (chẳng hạn theo tuần hoặc theo tháng), sau đó tự động hình thành các hồ sơ người dùng với các thuộc tính nhất định, thời gian tiếp theo nếu người dùng có những hành vi, hoặc hành động bất thường như đăng nhập ngoài giờ hành chính, khởi động máy tính vào buổi tối...thì hệ thống tự động phát hiện và đưa ra các cảnh bảo thông qua phương pháp máy học.
Tại Trung tâm CNTT&GSANM của Ban Cơ yếu Chính phủ, bên cạnh các thành phần cốt lõi chính của hệ thống thì một số giải pháp thông minh tiên tiến, hiện đại được trang bị, trong đó có việc cập nhật liên tục nền tảng dữ liệu các nguy cơ (Threat intelligence platform) toàn cầu nhằm tăng cường hiệu quả tối đa cho hệ thống, một số giải pháp ứng dụng phát hiện sớm các nguy cơ mất ATTT được thể hiện trong Hình 1, cụ thể:
Hình 1. Một số giải pháp công nghệ chính được sử dụng của hệ thống
- Giải pháp cung cấp thông tin tình báo về các nguy cơ (Threat Intelligence Sources): cung cấp các dữ liệu, thông tin về các mẫu mã độc, thông tin tình báo về các nguy cơ tấn công mạng, cho phép đưa ra các cảnh báo sớm và có phương án phòng ngừa chủ động. Các báo cáo chiến lược thông tin về nguy cơ tấn công mạng còn giúp các nhà lãnh đạo có tầm nhìn bao quát để xây dựng chiến lược phù hợp trong công tác bảo đảm ATTT.
- Nền tảng truy lùng nguy cơ (Threat hunting platform): Cho phép thu thập nhiều dữ liệu khác nhau trong hệ thống mạng, cung cấp các công cụ tìm kiếm nhanh chóng, linh hoạt trên dữ liệu thu thập được bao gồm cả dữ liệu lớn, từ đó trực quan hóa các dữ liệu và kết quả tìm kiếm dưới nhiều lựa chọn khác nhau.
- Tra cứu mối đe dọa (Threat lookup): tập hợp cơ sở dữ liệu nguy cơ mất an toàn thông tin được tích lũy thành một dịch vụ web nhằm cung cấp cho các chuyên gia các dữ liệu và phương án ngăn chặn các cuộc tấn công mạng trước khi chúng làm ảnh hưởng đến hệ thống, với khả năng cho phép tìm kiếm chi tiết về các URL, tên miền, địa chỉ IP, file hashes, ... để nhận dạng các nguy cơ mới xuất hiện trên toàn cầu, nhằm bảo vệ, ngăn chặn và tăng cường khả năng ứng phó sự cố cho toàn bộ hệ thống.
Giải pháp này cung cấp các dữ liệu nguy cơ mất ATTT có độ chính xác cao, kết hợp phân tích theo bối cảnh môi trường mạng cho phép xác định nhanh chóng, kịp thời các nguy cơ mất ATTT mạng.
- Báo cáo về các thông tin tình báo tấn công có chủ dịch (APT intelligence reporting): giúp xác định phương pháp tốt nhất để ngăn chặn các cuộc tấn công mạng, xác định chiến lược và thông tin đang được kẻ tấn công sử dụng để tấn công. Các chuyên gia sẽ xây dựng báo cáo một bức tranh toàn diện về tình trạng, nguy cơ bị tấn công hiện tại, xác định các điểm yếu đã bị khai thác và đưa ra bằng chứng về các cuộc tấn công trong quá khứ, hiện tại và tương lai. Báo cáo này có thể chứa thông tin về tất cả các điểm yếu thuộc hệ thống mạng CNTT của Chính phủ điện tử.
- Dữ liệu các nguy cơ (Threat Data Feeds): được sử dụng để tăng cường năng lực về khả năng phát hiện và ngăn chặn nguy cơ mất ATTT mạng mới nhất. Các nguồn cấp dữ liệu nguy cơ được phân phối ở các định dạng khác nhau, cung cấp thông tin toàn diện về các mối đe dọa mới nhất mà hệ thống cần phải phát hiện và ngăn chặn (được thể hiện trong Hình 2), bao gồm:
Hình 2. Dữ liệu nguy cơ (toàn cầu) được cung cấp cho hệ thống SIEM
IP Reputation Feeds tập hợp các địa chỉ IP kèm ngữ cảnh bao quát các máy chủ đáng ngờ và độc hại được tin tặc sử dụng để điều khiển từ xa các máy tính bị kiểm soát.
Malicious and Phishing URLs tập hợp URLs bao quát các liên kết và trang web độc hại và lừa đảo.
Botnet C&C URLs tập hợp các URL của máy tính chỉ huy và kiểm soát (C & C) cùng các đối tượng độc hại có liên quan.
Mobile Botnet C&C URLs tập hợp các URLs với ngữ cảnh bao quát các máy chủ C & C điều khiển các thiết bị di động bị kiểm soát.
Ransomware URL Feed tập hợp các URL bao quát các liên kết lưu trữ các đối tượng ransomware hoặc bị tấn công thâm nhập.
Hình 3. Một số tiêu chí về dữ liệu nguy cơ mất an toàn thông tin
Malicious Hash Feeds tập hợp bao quát các phần mềm độc hại nguy hiểm, phổ biến và mới xuất hiện.
Mobile Malware Hashes tập hợp file hashes giúp phát hiện các đối tượng độc hại lây nhiễm trên nền tảng di động.
P-SMS Trojan Feeds tập hợp các mẫu nhận dạng các Trojan với ngữ cảnh tương ứng giúp phát hiện các Trojan SMS đổ chuông trả phí nhắm đến người dùng di động và cho phép kẻ tấn công đánh cắp, xóa và trả lời tin nhắn SMS.
Whitelisting Data Feed cung cấp các giải pháp và dịch vụ của bên thứ ba với tập hợp kiến thức có hệ thống về các phần mềm hợp pháp.
APT IoC Feeds tập hợp bao quát các tên miền độc hại, máy chủ lưu trữ, địa chỉ IP độc hại, các tệp độc hại được sử dụng bởi các đối thủ để thực hiện các cuộc tấn công APT hoặc các dòng phần mềm độc hại khác.
Nguồn cấp dữ liệu nguy cơ được thiết kế để tích hợp với các hệ thống SIEM của bên thứ ba bao gồm: HP ArcSight, IBM QRadar, Splunk... và các sản phẩm SIEM khác.
Trung bình hàng năm có hàng trăm nghìn cuộc tấn công mạng nguy hiểm được Trung tâm CNTT&GSANM phát hiện.
Trong năm 2018, hệ thống ghi nhận khoảng 1.000.000 cảnh báo tấn công mạng nguy hiểm, với nhiều hình thức và chủng loại vào hệ thống mạng các cơ quan trọng yếu của Đảng và Chính phủ, so với năm 2017 thì số lượng tấn công mạng tăng hơn 35%, đặc biệt là các hình thức tấn công nguy hiểm bằng mã độc.
Hình 4. Số lượng cảnh báo tấn công mạng nghi nhận 5 tháng đầu năm 2019
Trong 5 tháng đầu năm 2019, hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ đã kịp thời phát hiện và đưa ra phương án xử lý khoảng 400.000 cảnh báo tấn công mạng, trong đó có khoảng 150.000 cảnh báo tấn công dò quét lỗ hổng, dò quét cổng, gần 200.000 cảnh báo khai thác lổ hỗng bảo mật, gần 20.000 các cảnh báo tấn công mã độc. Các hình thức tấn công mạng nguy hiểm đều được phối hợp xử lý kịp thời.
Thông qua hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ với các giải pháp công nghệ tiên tiến được cập nhật liên tục, đã thực hiện thu thập, phân tích, xử lý, lưu trữ, tương quan các sự kiện để đưa ra bức tranh toàn cảnh về tình hình ATTT mạng tại các mạng CNTT trọng yếu của Đảng và Chính phủ, từ đó đưa ra các phương án phòng chống tấn công mạng và phối hợp xử lý các sự cố mất an toàn thông tin kịp thời, góp phần vào công tác bảo đảm ATTT cho các mạng CNTT trọng yếu của Đảng và Chính phủ nói riêng và góp phần vào công cuộc xây dựng và phát triển đất nước nói chung.
Trong thời gian tiếp theo, với sự chỉ đạo quyết liệt của Đảng và Chính phủ nhằm đẩy mạnh việc triển khai các thành phần của hệ thống Chính phủ điện tử theo đúng tinh thần của Nghị Quyết 17/NQ-CP, trong đó trước mắt là tập trung vào các thành phần chính như: Hệ thống e-Cabinet, Cổng dịch vụ công Quốc gia… Đặt ra nhiệm vụ mới với những thách thức đảm bảo ATTT cho các hệ thống này, Ban Cơ yếu Chính phủ với nguồn lực, giải pháp công nghệ hiện có cùng với nhiệm vụ được giao đang nỗ lực hoàn thành các nhiệm vụ nhằm đảm bảo ATTT cho hệ thống Chính phủ điện tử được hoạt động an toàn, ổn định, thông suốt.
Võ Văn Hoàng, Nguyễn Văn Duẩn
09:00 | 16/12/2020
10:00 | 15/11/2023
10:00 | 24/02/2021
16:00 | 29/01/2019
08:00 | 17/02/2020
08:00 | 22/06/2020
15:00 | 03/07/2018
14:00 | 22/04/2015
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
23:00 | 22/01/2023
Với sự bùng nổ và phát triển của công nghệ mạng Internet cùng nhiều tiện ích và giải trí hiện nay, kéo theo đó là tần suất gia tăng các cuộc tấn công mạng, việc sử dụng hàng loạt những website lừa đảo không an toàn, nhằm mục đích đánh lừa người dùng truy cập vào những website độc hại để thực hiện hành vi đánh cắp thông tin, hay lây lan những phần mềm chứa mã độc đang trở thành một xu hướng tấn công của tin tặc. Nhận thức được tầm quan trọng của việc truy cập an toàn trên môi trường mạng, bài báo sau đây sẽ cung cấp đến độc giả những kỹ năng cần thiết để sử dụng các công cụ hỗ trợ nhằm kiểm tra chỉ số về độ an toàn của website, qua đó giúp người dùng an tâm và tránh được việc thông tin của bản thân bị đánh cắp và lợi dụng cho những mục đích xấu.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024