Có không kịch bản ứng phó với tấn công mạng?

04/08/2016 16:24 GMT+7
Ảnh minh họa: github.io

TTO - Vụ tấn công mạng website Vietnam Airlines ngày 29-7 khiến không ít doanh nghiệp, cơ quan tổ chức phải giật mình với câu hỏi "kịch bản ứng phó khi có sự cố an ninh mạng?".

Ảnh minh họa: github.io
Ảnh minh họa: github.io
Khả năng ứng phó của một tổ chức đối với các sự cố mà mình gặp phải sẽ tạo nên sự khác biệt so với những phần còn lại

Chuyên viên Forensic Lê Công Phú

Một bài viết từ chuyên viên Lê Công Phú chia sẻ, đúc kết từ những kinh nghiệm thực tế về nguy cơ và sự chuẩn bị ứng phó bài bản rất cần thiết trong mỗi doanh nghiệp, cơ quan tổ chức về an toàn thông tin.

Trước hết chúng ta phải thừa nhận với nhau rằng, những năm gần đây các tổ chức, doanh nghiệp bắt đầu có ý thức hơn trong việc đầu tư cho ATTT, ít nhiều thì hệ thống phòng thủ của chúng ta đang trở nên mạnh hơn, được đầu tư trang bị nhiều giải pháp, công nghệ bảo mật tiên tiến. Nhưng ở bên kia chiến tuyến khác, các cuộc tấn công chống lại các hệ thống máy tính sẽ ngày càng phức tạp, gia tăng về tần suất và mức độ tinh vi. 

Khi việc phòng thủ thất bại những gì còn lại của an toàn thông tin chỉ có thể là xử lý, ứng phó. Nói cách khác xử lý, phản hồi là tuyến phòng thủ cuối cùng của an toàn thông tin.

Những vụ an toàn thông tin lớn tại VN những năm gần đây như VCCORP, Vietnam Airlines hay rộng hơn trên thế giới như Sony Picture, eBay, Target hay HackingTeam một công ty chuyên cung cấp “vũ khí tấn công mạng” bị tấn công thâm nhập dữ liệu, hay những báo cáo về sự gia tăng các cuộc tấn công APT cho thấy những hệ thống phòng thủ tưởng như rất kiên cố cuối cùng cũng thất bại.

Rõ ràng, kẻ tấn công đang ngày càng trở nên tinh nhuệ và khó lường hơn, được trang bị và hậu thuẫn, chống lưng bởi những tổ chức có tiềm lực, mục tiêu nhắm đến vẫn là những dữ liệu có giá trị như thông tin tình báo, sở hữu trí tuệ, kinh doanh... Bất cứ tổ chức nào cũng có thể là mục tiêu tiếp theo. Lúc này khả năng ứng phó của một tổ chức đối với các sự cố mà mình gặp phải sẽ tạo nên sự khác biệt so với những phần còn lại. 

Trước khi đi vào chi tiết, tôi muốn kể một vài câu chuyện về vấn đề xử lý - ứng phó các sự cố an toàn thông tin (sự cố) tại Việt Nam mà tôi từng tham gia.

Câu chuyện đầu tiên diễn ra vào tháng 8-2014 khi tôi tham gia điều tra truy vết (Forensic) cho một máy chủ bị tấn công, kẻ tấn công khi đã khai thác thành công lỗ hổng tải dữ liệu (File upload) của một website, có được quyền điều khiển máy chủ cung cấp dịch vụ, sau đó tiến hành "Deface" (1) một loạt các site trên máy chủ đấy.

Từ những thông tin có được từ phía nhà cung cấp dịch vụ, theo họ thì vấn đề này sẽ được đội ngũ kỹ thuật của họ giải quyết êm đẹp bằng việc khôi phục lại dữ liệu mới nhất mà trước đó họ đã cập nhật? Tất nhiên dữ liệu đó "sạch" hay không nó lại nằm ngoài khả năng của họ. May mắn là trên hệ thống của họ lưu trữ website của một số cơ quan quan trọng nên nhóm của tôi mới có cơ hội tiếp cận. 

Nhiệm vụ của chúng tôi là điều tra tìm ra thông tin về cuộc tấn công (càng nhiều càng tốt). 

Câu chuyện thứ hai diễn ra vào tháng 10-2014, một trong những tổ chức hoạt động trong lĩnh vực Internet và truyền thông tại Việt Nam bị tấn công gây thiệt hại lớn về uy tín lẫn tài chính cho đơn vị này. Chúng tôi nhận được yêu cầu hỗ trợ, mục tiêu cuối cùng vẫn là tìm ra thủ phạm tấn công, tuy nhiện ở vụ này không chỉ chúng tôi mà ngay cả một số đơn vị khác tham gia ứng phó đều không được tiếp cận nhiều đến hệ thống của khách hàng bởi vì nhiều lý do.

Hai câu chuyện trên đều có một điểm chung đó là khả năng xử lý và ứng phó của họ rất yếu. Họ không có quy trình, công cụ, cũng như một đội ngũ lành nghề để đáp ứng những công việc trên. 

Ở vụ thứ nhất, trong quá trình phân tích các bản ghi sự kiện, chúng tôi tìm thấy nhiều bằng chứng cho thấy kẻ tấn công đã thực hiện quá trình "Cover Track". Chính vì thế chúng tôi cần những bản ghi từ hệ thống quản lý "bản ghi" (log) tập trung của nhà cung cấp dịch vụ để phân tích rõ hơn. Tuy nhiên, thật đáng tiếc khi một nhà cung cấp dịch vụ Hosting (lưu trữ web) mà lại không xây dựng một hệ thống như vậy. 

Ở vụ thứ hai, lúc chúng tôi trao đổi thông tin với khách hàng thì phần lớn các máy bị tấn công đều đã được tắt nguồn và niêm phong để tiến hành "Dead analysis" (phân tích thô). Đây là một cách làm thiếu sót bởi vì những chứng cứ liên quan đến kẻ tấn công như dữ liệu trong bộ nhớ tạm RAM, dữ liệu mạng, các truy cập… "vô tình" bị phá hủy, xóa dấu vết "giúp" kẻ tấn công. 

Trong vụ thứ hai, "nạn nhân" chỉ cung cấp cho chúng tôi mẫu mã độc để phân tích, câu chuyện vui nhưng kết thúc chỉ có thế. Tất nhiên là công cụ tìm diệt mã độc sau đó đã ra đời và "làm sạch" đáng kể hệ thống của khách hàng. 

Ở hai câu chuyện trên, cái mà chúng tôi cần nhất là dữ liệu, càng nhiều, càng tin cậy càng tốt. Chúng tôi cần tiếp cận và thu thập càng nhiều thông tin về hệ thống để xây dựng lộ trình phục vụ cho việc phân tích. Trong xử lý - phản hồi thì "Forensics" được xem là một trong những phần quan trọng nhất, và một trong những phần quan trọng nhất trong Forensics chính là dữ liệu để phân tích. Ở hai trường hợp trên chúng tôi đều không có những thứ chúng tôi cần.

Hai câu chuyện ở hai tổ chức nhưng cũng là câu chuyện của rất rất nhiều công ty, cơ quan khác mà tôi có cơ hội làm việc. Tất cả những sự cố đều thực hiện sau khi việc đã rồi, có nghĩa là họ không có các quy trình cụ thể để thu thập, lưu trữ cũng như bảo vệ những dữ liệu cần thiết phục vụ cho những công việc ứng phó sự cố sau này. Công việc của những đơn vị, cá nhân tham gia xử lý sự cố gặp rất nhiều khó khăn vì dữ liệu bị phá hủy, không đủ dữ liệu để phân tích..

Lướt qua những báo cáo an ninh mạng gần đây của Trustwave hay Mandiant cho biết các tổ chức phải mất rất nhiều thời gian để phát hiện sự xâm nhập vào hệ thống mạng của mình.

Hơn 64% tổ chức mất ba tháng liền để phát hiện hệ thống của mình bị xâm nhập và con số trung bình 243 ngày là thời gian kẻ tấn công âm thầm hoạt động trên các hệ thống của nạn nhân mà họ không hề hay biết

Trích Báo cáo Trustwave Global Security Report và Mandiant M-Trend Report

Khi mà chúng ta đang cần một phương pháp để phản ứng nhanh với các sự cố, thì hiện tại những gì tôi quan sát được, phần lớn công việc ứng phó sự cố trong các tổ chức tại Việt Nam vẫn đang bỏ ngõ. Nhiều tổ chức và công ty lớn trên thế giới, họ duy trì một đội phản ứng sự cố, sẵn sàng 24/7 để đối phó với các sự cố tiềm năng có thể xảy ra với đơn vị mình. Trong khi ở Việt Nam khi nhắc đến ứng phó sự cố đồng nghĩa với việc nhắc đến những cái tên "nhờ vả" quen thuộc như VNCERT hay CMC hay BKAV. 

* Phần 02: “Hệ thống của chúng tôi có gì đâu, ai tấn công làm gì?!"

(1) Deface: chiếm quyền điều khiển website và thay đổi giao diện trang web sang nội dung tùy ý

​Danti tấn công mạng khắp Châu Á Thái Bình Dương

TTO - Một lỗ hổng trong phần mềm Microsoft Office đã bị nhiều nhóm tội phạm mạng khác nhau thực hiện trên khắp khu vực châu Á Thái Bình Dương và vùng viễn đông.

VNCERT cảnh báo phòng tránh các cuộc tấn công mạng

TTO - Cảnh báo số 2 về “Tăng cường kiểm tra, rà soát đảm bảo hệ thống an toàn thông tin” vừa được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) gửi đi chiều 30-7. 

NHỊP SỐNG SỐ trích lược - tổng hợp
Ảnh chỉnh sửa hiện là tin tức giả đáng ngại nhất trên Facebook

TTO - Các hình ảnh bị chỉnh sửa đang lan truyền chóng mặt trên mạng xã hội Facebook, và điều đáng nói các thuật toán lọc thông tin giả của Facebook vẫn chưa thể ngăn chặn được chúng.

Trợ lý ảo Google Assistant sẽ sớm hỗ trợ thêm hơn 20 ngôn ngữ

TTO - Với kế hoạch bổ sung này, cho tới cuối năm nay, trợ lý ảo Google Assistant sẽ hỗ trợ tổng cộng hơn 30 ngôn ngữ khác nhau.

Tuyển startup công nghệ 'tấn công' thị trường quốc tế

TTO - Không gian hỗ trợ đổi mới sáng tạo và khởi nghiệp SiHub sắp có đợt trao đổi startup Hàn Quốc về TP.HCM trong khuôn khổ chương trình Runway to the world trong cuối tháng 2, đầu tháng 3-2018.

Chơi game luyện... chống tin giả

TTO - Để 'miễn dịch' với tin giả, một trò chơi đã được viết ra như vắc xin chống tin giả: làm quen với việc tạo ra tin giả để hiểu rõ bản chất của chúng.

Nhật Bản phát triển kính thông minh chuyển đổi hình ảnh thành giọng nói

TTO - Loại kính thông minh này sẽ giúp ích cho những người mắc chứng khó đọc và khiếm thị.

Nếu máy tính chạy chậm, có thể là do các trang web khiêu dâm

TTO - Các chuyên gia từ 360NetLab đã sử dụng công cụ quét lưu lượng truy cập để phân tích và phát hiện các trang web khiêu dâm chiếm khoảng 49% khả năng sử dụng phần mềm khai thác mật mã để xâm nhập máy tính người dùng.

Lần đầu tiên doanh số bán smartphone toàn cầu giảm

TTO - Kể từ khi hãng nghiên cứu thị trường Gartner bắt đầu theo dõi số lượng smartphone bán ra trên toàn cầu, lần đầu tiên hãng này ghi nhận mức sụt giảm trong quý 4-2017.