Hệ thống giám sát ATTT cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra trong hệ thống CNTT của tổ chức. Hệ thống này sẽ phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống; Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
Hiện nay, các cơ quan nhà nước đã và đang tăng cường các biện pháp để đảm bảo an toàn thông tin (ATTT) cho các mạng CNTT từ chính sách, quy trình kỹ thuật đến con người. Hệ thống CNTT đã được trang bị nhiều thiết bị, công nghệ ATTT hiện đại như: Tường lửa (Firewall), thiết bị phát hiện/ngăn chặn xâm nhập (IDS/IPS), thiết bị bảo mật web (Web security), thiết bị phát hiện và ngăn chặn mã độc cho hệ thống thư điện tử, thiết bị phát hiện tấn công có chủ đích (APT),....
Việc phân tích thông tin về sự kiện ATTT từ trang thiết bị này là rất quan trọng để phát hiện các điểm yếu, lỗ hổng bảo mật và các tấn công vào hệ thống. Thông thường, việc phân tích các sự kiện này được thực hiện thủ công. Do số lượng sự kiện rất lớn, nhiều định dạng khác nhau, hơn nữa các thiết bị hiện đại vẫn có thể đưa ra các cảnh báo nhầm, nên hệ thống này đòi hỏi phải có đội ngũ chuyên gia giỏi, có kinh nghiệm để phân tích và đưa ra các cảnh báo đúng cho người quản trị hệ thống.
Cũng chính vì những lý do nêu trên, hệ thống CNTT của các cơ quan, tổ chức cần một giải pháp có khả năng thu thập, lưu trữ và xử lý các sự kiện để đưa ra các cảnh báo về các mối đe dọa mà họ đang phải đối mặt, từ đó xây dựng kế hoạch ngăn chặn và xử lý. Đó chính là hệ thống giám sát ATTT. Nó cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra trong hệ thống CNTT của tổ chức. Hệ thống này sẽ phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống; Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet); Thực hiện việc giám sát tuân thủ chính sách an ninh trong hệ thống và cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố. Để giải quyết những vấn đề phức tạp này, các cơ quan cần phải xây dựng một hệ thống giám sát ATTT tập trung hoặc sử dụng dịch vụ giám sát của một tổ chức chuyên nghiệp, có uy tín, hoạt động trong lĩnh vực BM&ATTT.
Hệ thống giám sát ATTT của Ban Cơ yếu Chính phủ
Với chức năng, nhiệm vụ được Chính phủ giao, từ năm 2007, Ban Cơ yếu Chính phủ đã triển khai xây dựng Hệ thống giám sát ATTT tập trung, đặt tại Trung tâm CNTT&GSANM. Với hệ thống này, toàn bộ các sự kiện ATTT từ các mạng CNTT đang giám sát sẽ được thu thập, chuẩn hóa và gửi về hệ thống giám sát của Ban Cơ yếu Chính phủ, lưu trữ và xử lý tập trung, sau đó sẽ kịp thời gửi các cảnh báo và đề xuất giải pháp xử lý trở lại cho các tổ chức được giám sát. Từ các cảnh báo này, người quản trị mạng sẽ đưa ra các biện pháp ứng phó kịp thời để ngăn chặn các tấn công mạng; liên tục cập nhật bổ sung các bản vá để hạn chế các điểm yếu, lỗ hổng bảo mật.
Hiện nay, Ban Cơ yếu Chính phủ đã và đang triển khai Hệ thống giám sát ATTT cho gần 20 mạng CNTT của các cơ quan nhà nước từ Trung ương, Bộ, ngành đến các Tỉnh, Thành phố. Quá trình giám sát ATTT thực tế cho thấy, việc triển khai hệ thống đã góp phần nâng cao an toàn, an ninh cho các mạng CNTT được giám sát.
Dưới đây là số liệu về các tấn công mạng mà Hệ thống giám sát ATTT của Ban Cơ yếu Chính phủ ghi nhận được trong giai đoạn từ tháng 7/2014 đến tháng 3/2015 (thông qua giám sát 07 mạng CNTT đại diện cho các cơ quan ở Trung ương, Bộ, ngành và Tỉnh/Thành).
Thống kê cho thấy, số lượng tấn công mạng tăng mạnh và đạt đỉnh điểm vào những tháng cuối năm 2014. Những tháng đầu năm 2015, số lượng các cuộc tấn công đã giảm nhiều, nhưng vẫn còn ở mức cao, đáng báo động. Phần lớn các tấn công mạng được ghi nhận là dạng tấn công dò quét cổng, dò quét lỗ hổng (trên 87%), nhằm tìm kiếm các điểm yếu, lỗ hổng bảo mật của hệ thống, từ đó thực hiện các tấn công khai thác (0,2%) nhằm chiếm quyền điều khiển hệ thống. Loại tấn công phổ biến thứ hai là tấn công dò quét mật khẩu (chiếm 5,69%), do đó các cơ quan, tổ chức phải có chính sách quản lý mật khẩu mạnh, chặt chẽ. Mặc dù chiếm một tỷ lệ rất nhỏ (0,01%), nhưng loại tấn công sử dụng mã độc lại có xu hướng tăng so với năm 2013 và đầu năm 2014.
Trong quá trình triển khai hệ thống giám sát, Ban Cơ yếu Chính phủ đã phối hợp chặt chẽ với các cơ quan, đơn vị có mạng CNTT được giám sát để cung cấp kịp thời các cảnh báo, đề xuất giải pháp ngăn chặn các tấn công này, không để xảy ra các sự cố nghiêm trọng.
Một số biện pháp nâng cao hiệu quả công tác giám sát ATTT
Yếu tố quan trọng tác động đến hiệu quả hoạt động giám sát ATTT là lượng thông tin thu thập về sự kiện ATTT từ các trang thiết bị, dịch vụ và ứng dụng trong hệ thống CNTT. Do vậy, để hệ thống giám sát ATTT hoạt động hiệu quả, nguồn cung cấp các thông tin sự kiện phải đa dạng, phong phú. Đồng thời, quy trình tiếp nhận, xử lý các cảnh báo tại các mạng CNTT được giám sát cũng đóng một vai trò quan trọng. Điều này đòi hỏi các cơ quan, tổ chức phải có nguồn nhân lực ATTT đảm bảo về trình độ chuyên môn và số lượng, có thể xử lý đúng và kịp thời các cảnh báo mà hệ thống đưa ra.
Để nâng cao hiệu quả công tác giám sát ATTT, các cơ quan, tổ chức chủ quản hệ thống CNTT cần thực hiện một số giải pháp sau:
- Trang bị đầy đủ các thiết bị an toàn thông tin cần thiết cho hệ thống CNTT như: Hệ thống tường lửa, hệ thống phát hiện/ngăn chặn xâm nhập trái phép IDS/IPS, hệ thống Anti-virus, hệ thống bảo mật web, hệ thống phát hiện và ngăn chặn mã độc cho thư điện tử,....
- Đào tạo, nâng cao nhận thức về ATTT cho cán bộ lãnh đạo và người dùng trong cơ quan, tổ chức.
- Bổ sung và tăng cường đào tạo nâng cao kiến thức cho đội ngũ, cán bộ chuyên trách về ATTT.
Cùng với việc triển khai giám sát ATTT cho các hệ thống CNTT của cơ quan nhà nước, Ban Cơ yếu Chính phủ đã nghiên cứu, phát triển đồng bộ các giải pháp đảm bảo ATTT. Quy trình triển khai giám sát ATTT được thể hiện trong Hình 4.
Hình 4: Quy trình triển khai giám sát ATTT
Trong quy trình giám sát, đánh giá ATTT là bước đầu tiên và quan trọng giúp phát hiện ra các điểm yếu, lỗ hổng, những điểm hạn chế trong hệ thống. Từ đó sẽ xây dựng một giải pháp tổng thể để đảm bảo ATTT, từ chính sách, kỹ thuật, công nghệ, đến nguồn nhân lực. Bước tiếp theo sẽ triển khai các giải pháp kỹ thuật, công nghệ (do Ban Cơ yếu Chính phủ đảm bảo), trong đó chú trọng đến các giải pháp sử dụng kỹ thuật mật mã, chứng thực chữ ký số và giám sát ATTT. Việc đánh giá ATTT định kỳ 6 tháng, 1 năm sẽ giúp cho việc đảm bảo ATTT cho tổ chức được thực hiện liên tục và chặt chẽ.
Kết luận
Trong thời gian vừa qua, Ban Cơ yếu Chính phủ đã phối hợp triển khai Hệ thống Giám sát ATTT với nhiều cơ quan nhà nước và đã đạt được nhiều kết quả, góp phần đảm bảo an ninh và ATTT. Giai đoạn tiếp theo, Ban Cơ yếu Chính phủ sẽ phối hợp chặt chẽ với các Bộ, ngành, các tỉnh, thành phố để tăng cường triển khai giám sát ATTT cũng như các giải pháp đảm bảo ATTT khác cho các cơ quan, đơn vị, nhằm phòng chống và đối phó hiệu quả với các nguy cơ và hiểm họa mất ATTT đang ngày càng gia tăng.
