Trong thời gian vừa qua, tình hình ATTT tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)….
Chính phủ, Thủ tướng Chính phủ đã chỉ đạo và yêu cầu người đứng đầu các cơ quan nhà nước phải chịu trách nhiệm nếu để xảy ra mất an toàn, an ninh thông tin, đồng thời cũng ban hành các văn bản pháp lý nhằm tạo hành lang pháp lý về việc đảm bảo an toàn, an ninh thông tin.
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát ATTT là một trong những giải pháp kỹ thuật quan trọng có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo an toàn thông tin cho các cơ quan, tổ chức của Đảng và Chính phủ, yếu tố góp phần quan trọng đảm bảo an ninh thông tin trong các hoạt động lãnh đạo, chỉ đạo, quản lý và điều hành, tác nghiệp của các bộ, ngành, địa phương.
Tại các mạng CNTT trọng yếu của Đảng và Chính phủ, ngoài việc được trang bị các trang thiết bị và giải pháp chính như:
(1) Giải pháp thu thập dữ liệu nhật ký và dữ liệu mạng;
(2) Giải pháp phân tích và phòng chống tấn công có chủ đích ở lớp mạng;
(3) Giải pháp giám sát hành vi người dùng (UBA).
Hệ thống UBA tự động theo dõi hành vi của người dùng theo thời gian (chẳng hạn theo tuần hoặc theo tháng), sau đó tự động hình thành các hồ sơ người dùng với các thuộc tính nhất định, thời gian tiếp theo nếu người dùng có những hành vi, hoặc hành động bất thường như đăng nhập ngoài giờ hành chính, khởi động máy tính vào buổi tối...thì hệ thống tự động phát hiện và đưa ra các cảnh bảo thông qua phương pháp máy học.
Tại Trung tâm CNTT&GSANM của Ban Cơ yếu Chính phủ, bên cạnh các thành phần cốt lõi chính của hệ thống thì một số giải pháp thông minh tiên tiến, hiện đại được trang bị, trong đó có việc cập nhật liên tục nền tảng dữ liệu các nguy cơ (Threat intelligence platform) toàn cầu nhằm tăng cường hiệu quả tối đa cho hệ thống, một số giải pháp ứng dụng phát hiện sớm các nguy cơ mất ATTT được thể hiện trong Hình 1, cụ thể:
Hình 1. Một số giải pháp công nghệ chính được sử dụng của hệ thống
- Giải pháp cung cấp thông tin tình báo về các nguy cơ (Threat Intelligence Sources): cung cấp các dữ liệu, thông tin về các mẫu mã độc, thông tin tình báo về các nguy cơ tấn công mạng, cho phép đưa ra các cảnh báo sớm và có phương án phòng ngừa chủ động. Các báo cáo chiến lược thông tin về nguy cơ tấn công mạng còn giúp các nhà lãnh đạo có tầm nhìn bao quát để xây dựng chiến lược phù hợp trong công tác bảo đảm ATTT.
- Nền tảng truy lùng nguy cơ (Threat hunting platform): Cho phép thu thập nhiều dữ liệu khác nhau trong hệ thống mạng, cung cấp các công cụ tìm kiếm nhanh chóng, linh hoạt trên dữ liệu thu thập được bao gồm cả dữ liệu lớn, từ đó trực quan hóa các dữ liệu và kết quả tìm kiếm dưới nhiều lựa chọn khác nhau.
- Tra cứu mối đe dọa (Threat lookup): tập hợp cơ sở dữ liệu nguy cơ mất an toàn thông tin được tích lũy thành một dịch vụ web nhằm cung cấp cho các chuyên gia các dữ liệu và phương án ngăn chặn các cuộc tấn công mạng trước khi chúng làm ảnh hưởng đến hệ thống, với khả năng cho phép tìm kiếm chi tiết về các URL, tên miền, địa chỉ IP, file hashes, ... để nhận dạng các nguy cơ mới xuất hiện trên toàn cầu, nhằm bảo vệ, ngăn chặn và tăng cường khả năng ứng phó sự cố cho toàn bộ hệ thống.
Giải pháp này cung cấp các dữ liệu nguy cơ mất ATTT có độ chính xác cao, kết hợp phân tích theo bối cảnh môi trường mạng cho phép xác định nhanh chóng, kịp thời các nguy cơ mất ATTT mạng.
- Báo cáo về các thông tin tình báo tấn công có chủ dịch (APT intelligence reporting): giúp xác định phương pháp tốt nhất để ngăn chặn các cuộc tấn công mạng, xác định chiến lược và thông tin đang được kẻ tấn công sử dụng để tấn công. Các chuyên gia sẽ xây dựng báo cáo một bức tranh toàn diện về tình trạng, nguy cơ bị tấn công hiện tại, xác định các điểm yếu đã bị khai thác và đưa ra bằng chứng về các cuộc tấn công trong quá khứ, hiện tại và tương lai. Báo cáo này có thể chứa thông tin về tất cả các điểm yếu thuộc hệ thống mạng CNTT của Chính phủ điện tử.
- Dữ liệu các nguy cơ (Threat Data Feeds): được sử dụng để tăng cường năng lực về khả năng phát hiện và ngăn chặn nguy cơ mất ATTT mạng mới nhất. Các nguồn cấp dữ liệu nguy cơ được phân phối ở các định dạng khác nhau, cung cấp thông tin toàn diện về các mối đe dọa mới nhất mà hệ thống cần phải phát hiện và ngăn chặn (được thể hiện trong Hình 2), bao gồm:
Hình 2. Dữ liệu nguy cơ (toàn cầu) được cung cấp cho hệ thống SIEM
IP Reputation Feeds tập hợp các địa chỉ IP kèm ngữ cảnh bao quát các máy chủ đáng ngờ và độc hại được tin tặc sử dụng để điều khiển từ xa các máy tính bị kiểm soát.
Malicious and Phishing URLs tập hợp URLs bao quát các liên kết và trang web độc hại và lừa đảo.
Botnet C&C URLs tập hợp các URL của máy tính chỉ huy và kiểm soát (C & C) cùng các đối tượng độc hại có liên quan.
Mobile Botnet C&C URLs tập hợp các URLs với ngữ cảnh bao quát các máy chủ C & C điều khiển các thiết bị di động bị kiểm soát.
Ransomware URL Feed tập hợp các URL bao quát các liên kết lưu trữ các đối tượng ransomware hoặc bị tấn công thâm nhập.
Hình 3. Một số tiêu chí về dữ liệu nguy cơ mất an toàn thông tin
Malicious Hash Feeds tập hợp bao quát các phần mềm độc hại nguy hiểm, phổ biến và mới xuất hiện.
Mobile Malware Hashes tập hợp file hashes giúp phát hiện các đối tượng độc hại lây nhiễm trên nền tảng di động.
P-SMS Trojan Feeds tập hợp các mẫu nhận dạng các Trojan với ngữ cảnh tương ứng giúp phát hiện các Trojan SMS đổ chuông trả phí nhắm đến người dùng di động và cho phép kẻ tấn công đánh cắp, xóa và trả lời tin nhắn SMS.
Whitelisting Data Feed cung cấp các giải pháp và dịch vụ của bên thứ ba với tập hợp kiến thức có hệ thống về các phần mềm hợp pháp.
APT IoC Feeds tập hợp bao quát các tên miền độc hại, máy chủ lưu trữ, địa chỉ IP độc hại, các tệp độc hại được sử dụng bởi các đối thủ để thực hiện các cuộc tấn công APT hoặc các dòng phần mềm độc hại khác.
Nguồn cấp dữ liệu nguy cơ được thiết kế để tích hợp với các hệ thống SIEM của bên thứ ba bao gồm: HP ArcSight, IBM QRadar, Splunk... và các sản phẩm SIEM khác.
Trung bình hàng năm có hàng trăm nghìn cuộc tấn công mạng nguy hiểm được Trung tâm CNTT&GSANM phát hiện.
Trong năm 2018, hệ thống ghi nhận khoảng 1.000.000 cảnh báo tấn công mạng nguy hiểm, với nhiều hình thức và chủng loại vào hệ thống mạng các cơ quan trọng yếu của Đảng và Chính phủ, so với năm 2017 thì số lượng tấn công mạng tăng hơn 35%, đặc biệt là các hình thức tấn công nguy hiểm bằng mã độc.
Hình 4. Số lượng cảnh báo tấn công mạng nghi nhận 5 tháng đầu năm 2019
Trong 5 tháng đầu năm 2019, hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ đã kịp thời phát hiện và đưa ra phương án xử lý khoảng 400.000 cảnh báo tấn công mạng, trong đó có khoảng 150.000 cảnh báo tấn công dò quét lỗ hổng, dò quét cổng, gần 200.000 cảnh báo khai thác lổ hỗng bảo mật, gần 20.000 các cảnh báo tấn công mã độc. Các hình thức tấn công mạng nguy hiểm đều được phối hợp xử lý kịp thời.
Thông qua hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ với các giải pháp công nghệ tiên tiến được cập nhật liên tục, đã thực hiện thu thập, phân tích, xử lý, lưu trữ, tương quan các sự kiện để đưa ra bức tranh toàn cảnh về tình hình ATTT mạng tại các mạng CNTT trọng yếu của Đảng và Chính phủ, từ đó đưa ra các phương án phòng chống tấn công mạng và phối hợp xử lý các sự cố mất an toàn thông tin kịp thời, góp phần vào công tác bảo đảm ATTT cho các mạng CNTT trọng yếu của Đảng và Chính phủ nói riêng và góp phần vào công cuộc xây dựng và phát triển đất nước nói chung.
Trong thời gian tiếp theo, với sự chỉ đạo quyết liệt của Đảng và Chính phủ nhằm đẩy mạnh việc triển khai các thành phần của hệ thống Chính phủ điện tử theo đúng tinh thần của Nghị Quyết 17/NQ-CP, trong đó trước mắt là tập trung vào các thành phần chính như: Hệ thống e-Cabinet, Cổng dịch vụ công Quốc gia… Đặt ra nhiệm vụ mới với những thách thức đảm bảo ATTT cho các hệ thống này, Ban Cơ yếu Chính phủ với nguồn lực, giải pháp công nghệ hiện có cùng với nhiệm vụ được giao đang nỗ lực hoàn thành các nhiệm vụ nhằm đảm bảo ATTT cho hệ thống Chính phủ điện tử được hoạt động an toàn, ổn định, thông suốt.
Võ Văn Hoàng, Nguyễn Văn Duẩn
09:00 | 16/12/2020
10:00 | 15/11/2023
10:00 | 24/02/2021
16:00 | 29/01/2019
08:00 | 17/02/2020
08:00 | 22/06/2020
15:00 | 03/07/2018
14:00 | 22/04/2015
13:00 | 07/10/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
08:00 | 26/08/2024
DNS Tunneling là một kỹ thuật sử dụng giao thức DNS (Domain Name System) để truyền tải dữ liệu thông qua các gói tin DNS. Giao thức DNS được sử dụng để ánh xạ các tên miền thành địa chỉ IP, nhưng DNS tunneling sử dụng các trường dữ liệu không được sử dụng thông thường trong gói tin DNS để truyền tải dữ liệu bổ sung. DNS Tunneling thường được sử dụng trong các tình huống mà việc truy cập vào Internet bị hạn chế hoặc bị kiểm soát, như trong các mạng cơ quan, doanh nghiệp hoặc các mạng công cộng. Tuy nhiên, DNS Tunneling cũng có thể được sử dụng để thực hiện các cuộc tấn công mạng, bao gồm truy cập trái phép vào mạng hoặc truyền tải thông tin nhạy cảm mà không bị phát hiện.
16:00 | 04/08/2024
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
09:00 | 28/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
10:00 | 25/10/2024
