Bóc gỡ mã độc/botnet và phòng chống
tấn công DDoS
Giải pháp phát hiện và bóc gỡ botnet
Hiện nay, ở Việt Nam chỉ có thể phát hiện và cảnh báo botnet dựa trên các báo cáo nhận được trong giai đoạn 4, 5 (trong chu kỳ một mạng botnet) từ các tổ chức và nạn nhân bị tấn công. Giải pháp này tuy có ưu điểm là chưa cần đầu tư lớn, chi phí vận hành thấp, nhưng không chủ động phát hiện được sớm và chỉ thu được thông tin khi mạng botnet bắt đầu thực hiện tấn công mới.
Để làm tốt công việc bóc gỡ botnet thì các cơ quan, đơn vị cần có sự phối hợp kịp thời, phải chủ động xây dựng các giải pháp và có kế hoạch phòng chống cụ thể bao gồm: Tiến hành ngăn chặn việc hình thành mạng botnet (tác động vào giai đoạn 1); Dùng các biện pháp kỹ thuật để hạn chế sự lây lan của mạng botnet (tác động vào giai đoạn 2); Lên phương án và giải pháp kỹ thuật để theo dõi và sớm phát hiện ra các mạng botnet mới hình thành (tác động vào giai đoạn 3); Ngăn chặn việc mua bán trên thị trường mã độc, botnet hoạt động tại Việt Nam (tác động vào giai đoạn 4); Nhanh chóng phản ứng với các cuộc tấn công, thu thập thông tin về mạng botnet (tác động vào giai đoạn 5).
Quy trình phòng chống tấn công DDoS
VNCERT đã xây dựng quy trình phòng chống DDoS nhằm giúp các cơ quan, đơn vị ứng phó kịp thời với các dạng tấn công này.
- Bước 1, khi phát hiện sự cố, các tổ chức, người dùng và ISP cần báo ngay với VNCERT (ngay cả khi sự cố có thể khắc phục được) để theo dõi tổng hợp và kịp thời ngăn chặn sự bùng phát của sự cố.
- Bước 2, cơ quan điều phối kết hợp với các cơ quan chức năng, các ISP, người dùng nhằm thu thập các Log-file để tìm nguồn gốc tấn công. Sau đó, tiến hành phân tích Log-file, tìm ra các máy chủ điều khiển, phát tán mã độc và xác định cơ chế tấn công.
- Bước 3, quá trình theo dõi botnet được Cơ quan điều phối phối hợp với các cơ quan chức năng theo dõi các hoạt động của các máy chủ điều khiển tấn công, máy chủ phát tán mã độc để xác định vị trí, quy mô của các bot vận tải bị điều khiển tham gia tấn công. Sau đó, lấy mẫu các bot vận tải để đánh giá, xác định khả năng nguy cơ phát triển tiềm ẩn của sự cố.
Bước tiếp theo là ngăn chặn tấn công và bóc gỡ các máy chủ điều khiển ở quy mô quốc gia và quốc tế, theo dõi kết quả. Các tổ chức có nguy cơ bị tấn công phải thường xuyên theo dõi, giám sát hệ thống 24/7 để nắm bắt diễn biến và kịp thời báo cáo về cơ quan điều phối.
Một số khuyến nghị về chống DDoS
và định hướng triển khai
Nhằm ngăn chặn hiệu quả các tấn công DDoS, VNCERT đã đưa ra những khuyến nghị sau:
- Các tổ chức, đơn vị cần phải chuẩn bị sẵn các phương án, kịch bản phản ứng trong mọi tình huống diễn ra. Để làm các công việc này, cần phải xác định được yêu cầu về tính sẵn sàng của hệ thống; đánh giá năng lực chống đỡ của hệ thống; nhanh chóng phân loại DDoS ngay từ các dấu hiệu đầu tiên; xây dựng kịch bản phản ứng khi mức tấn công vượt quá năng lực hệ thống (Dừng dịch vụ, thuê dịch vụ chống DDoS, thuê thêm đường truyền…).
- Chuẩn bị sẵn các đầu mối liên lạc nhận tư vấn tư VNCERT, mạng điều phối. Các tổ chức cần có biện pháp phản ứng sớm từ khi phát hiện dấu hiện ban đầu. Qua thực tế cho thấy, việc chậm chễ trong phản ứng khi có dấu hiệu tấn công của các đơn vị là một nguyên nhân chính để thời gian tấn công kéo dài.
- Thông báo sự cố nhanh: Nhiều tổ chức chỉ thông báo cho cơ quan chức năng khi không tự chống đỡ được tấn công mạng. Việc này làm chậm quá trình ngăn chặn tấn công. Các cơ quan chức năng cần nhanh chóng nắm được thông tin để tìm kiếm các máy chủ điều khiển. Việc chủ động chia sẻ thông tin từ các đơn vị là yếu tố quan trọng để nhận được sự hỗ trợ sớm và đồng bộ từ các cơ quan, tổ chức liên quan.
- Hành động phối hợp đồng thời: Các đơn vị điều phối, tham gia ứng cứu sự cố, đặc biệt là các ISP cần thực hiện ngăn chặn đồng loạt, trong thời gian ngắn nhất để tin tặc không đủ thời gian điều khiển mạng botnet thay đổi sang dạng mới.
Trong thời gian tới, để phát huy một cách có hiệu quả các phương án phòng chống tấn công mạng, các cơ quan, đơn vị cần phải bồi dưỡng nâng cao nhận thức cho người dùng về kiến thức ATTT; tổ chức tập huấn kỹ thuật về ATTT; tổ chức hội thảo chuyên đề sâu về một số lĩnh vực trong công tác đảm bảo ATTT; tổ chức diễn tập mạng lưới (cấp quốc gia, cấp Bộ, ngành, tỉnh, thành phố); tăng cường hợp tác với các tổ chức, doanh nghiệp ATTT trong và ngoài nước; tăng cường biện pháp điều phối chống malware và botnet. Bên cạnh đó, cần có chế tài mạnh và thanh, kiểm tra việc thực thi. Với các giải pháp này được triển khai đồng bộ, chúng ta sẽ ngăn chặn hiệu quả các dạng tấn công nhằm vào hệ thống CNTT của các tổ chức, đơn vị.
16:00 | 21/08/2024
Ngày 18/8, tại thành phố Quy Nhơn, tỉnh Bình Định, Lễ khởi công Dự án Trung tâm Trí tuệ nhân tạo - Đô thị phụ trợ đã chính thức diễn ra. Dự án trọng điểm này bao gồm 3 phân khu chức năng chính: Trung tâm trí tuệ nhân tạo, Khu giáo dục và đào tạo, và Khu đô thị phụ trợ.
13:00 | 21/08/2024
Chỉ trong vòng vài tháng, tốc độ Internet di động tại Việt Nam đã có bước nhảy vọt đáng kinh ngạc, nhờ vào chính sách công khai chất lượng dịch vụ. Người dùng đang được hưởng lợi trực tiếp từ sự cạnh tranh giữa các nhà mạng.
08:00 | 24/07/2024
Ngày 22/7, thông tin từ Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an TP. HCM, đơn vị đã phối hợp Công an TP Thủ Đức, Công an Quận 10, 12 triệu tập xử lý 3 kẻ dùng mạng xã hội đăng tải thông tin thất thiệt, bịa đặt, xuyên tạc, phủ nhận những thành tựu, đóng góp to lớn của Tổng Bí thư Nguyễn Phú Trọng.
11:00 | 18/07/2024
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp tại Việt Nam về loại mã độc mã hóa dữ liệu mới có tên Eldorado, nhắm vào các hệ thống dùng VMware ESXi và Windows.
“Vinh quang thầm lặng 2024” là chương trình nghệ thuật đặc biệt, lấy âm nhạc để vinh danh những thành tựu và cống hiến hào hùng của Ngành trong suốt quá trình chiến đấu, trưởng thành và phát triển. Qua đó, tạo sự đồng thuận trong việc phối hợp triển khai nhiệm vụ chính trị, xây dựng ngành Cơ yếu Việt Nam cách mạng, chính quy, tiến thẳng lên hiện đại, đáp ứng yêu cầu bảo mật, an toàn thông tin quốc gia trong tình hình mới. Đó là những lời chia sẻ của đồng chí Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tại buổi họp báo được tổ chức chiều ngày 29/8 tại Hà Nội.
15:00 | 30/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
11:00 | 26/08/2024
Kể từ tháng 8/2023, các nền tảng kỹ thuật số lớn nhất thế giới phải đối mặt với các quy định nghiêm ngặt nhất từ trước đến nay tại Liên minh châu Âu.
08:00 | 26/08/2024