Các cuộc tấn công mạng ngày càng tinh vi

Đây là thông tin được ông Hoàng Minh Tiến, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT đưa ra tại Hội nghị chuyên đề và diễn tập ứng cứu sự cố cho bộ phận tác nghiệp tổ chức vào sáng 29/9.

Theo ông Hoàng Minh Tiến, thời gian gần đây đã có nhiều sự kiện mất an toàn thông tin nghiêm trọng trên thế giới và Việt Nam cũng không ngoại lệ. Các cuộc tấn công khai thác lỗ hổng bảo mật (lỗ hổng Zero-day) nhắm vào việc kiểm soát, tấn công APT hoặc phổ biến hiện nay là tạo ra các mạng máy tính ma (Botnet) có quy mô lớn; cung cấp dịch vụ tấn công theo yêu cầu, tấn công từ chối dịch vụ...

Dẫn số liệu 6 tháng đầu năm nay, ông Tiến cho biết dù các cuộc tấn công mạng vào Việt Nam đã giảm 244 cuộc so với năm 2019 nhưng mức độ tinh vi và thiệt hại lại lớn hơn nhiều.

Thực tế cho thấy, không một tổ chức nào có thể đảm bảo an toàn 100% hệ thống thông tin và các chuyên gia, các cán bộ thực thi bảo đảm an toàn thông tin của tổ chức không thể quán xuyến hết mọi vấn đề từ bảo đảm an toàn đến việc ứng phó khi xảy ra sự cố mất an toàn hoặc bị tấn công mạng.

Từ mô hình tổ chức đội ứng cứu sự cố bảo mật (CSIRT) trên thế giới, Việt Nam đã phát triển một mô hình riêng là Mạng lưới ứng cứu sự cố bảo đảm an toàn thông tin mạng quốc gia; thành lập Đội tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia để tham gia ứng cứu xử lý các sự cố nghiêm trọng quốc gia, lãnh đạo Cục An toàn thông tin chia sẻ.

Mục tiêu là để tạo kênh trao đổi, phối hợp và hỗ trợ lẫn nhau trong việc bảo đảm an toàn, ứng cứu khi xảy ra sự cố giữa cơ quan điều phối quốc gia, Đội tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và các đầu mối ứng cứu sự cố của các bộ, ngành, các địa phương khi xử lý các sự cố nghiêm trọng. Bổ sung kiến thức, kỹ năng, kinh nghiệm của lực lượng kỹ thuật chịu trách nhiệm đảm bảo an toàn, an ninh mạng cho các cơ quan tổ chức trong tình huống phòng, chống tấn công từ chối dịch vụ. Đồng thời nắm chắc các quy trình ứng cứu, xử lý sự cố tấn công mạng và cơ chế phối hợp với các đơn vị liên quan để có thể ứng cứu kịp thời khi có sự cố xảy ra.

Tình huống diễn tập được đưa ra là hệ thống Dịch vụ công quốc gia có dấu hiệu bị tấn công từ chối dịch vụ phân tán (DDoS) làm cho mọi hoạt truy cập đến hệ thống bị gián đoạn sau một thời gian toàn bộ hạ tầng công nghệ thông tin phục vụ rơi vào tình trạng tê liệt.

Ngoài cổng dịch vụ công quốc gia, các cổng dịch vụ công của các địa phương và của các bộ ngành cũng đang có dấu hiệu rà quét, tấn công thăm dò.

VNCERT/CC phối hợp với Đội tác nghiệp ứng cứu khẩn cấp quốc gia, với các ISP và các đơn vị vận hành các hệ thống cung cấp dịch vụ công trực tuyến của quốc gia, của các bộ, ngành, địa phương triển khai các hoạt động ứng phó, xử lý ở những điểm đang có sự cố, sẵn sàng các điều kiện phát hiện và ngăn chặn tấn công ở các điểm chưa bị tấn công.

 Toàn cảnh hội nghị tại điểm cầu VNCERT

Lãnh đạo Cục An toàn thông tin cũng kì vọng, chương trình diễn tập sẽ tiếp tục được phát triển sâu hơn, thực tế hơn. Các cán bộ, đầu mối ứng cứu sự số của các bộ, ngành, địa phương và thành viên mạng lưới tăng cường các hoạt động phối hợp đảm bảo an toàn thông tin, tham gia và góp ý cho Bộ TT&TT và các cơ quan chức năng về những nội dung, giải pháp cần thực hiện để tăng cường đảm bảo an toàn cho các hệ thống thông tin, nhất là trong thời kỳ cả nước thúc đẩy xây dựng Chính phủ số - Kinh tế số và xã hội số.

Đưa các đội ứng cứu vào trạng thái luôn thường trực, sẵn sàng xử lý sự cố

Trong Chỉ thị 60 mới ban hành về tổ chức triển khai diễn tập thực chiến bảo đảm an toàn thông tin mạng, Bộ TT&TT chỉ rõ, bảo đảm an toàn thông tin mạng là nhiệm vụ then chốt, liên quan mật thiết tới sự phát triển bền vững của quá trình chuyển đổi số. Đảm bảo an toàn thông tin mạng gắn liền với việc nâng cao năng lực chuyên môn của đội ứng cứu sự cố thuộc các cơ quan, tổ chức, doanh nghiệp.

Thời gian qua, hoạt động diễn tập bảo đảm an toàn thông tin, ứng cứu sự cố mạng (gọi tắt là diễn tập) đã được một số cơ quan, tổ chức, doanh nghiệp triển khai nhưng số lượng rất ít, nặng về hình thức, “diễn” nhiều hơn “tập”, thường theo những kịch bản có sẵn và thực hiện trên các hệ thống mô phỏng, giả lập.

Hạn chế của hình thức diễn tập này là các đội ứng cứu sự cố không có nhiều cơ hội cọ xát thực tế, năng lực cải thiện không đáng kể, phần lớn chưa có khả năng đối phó với các cuộc tấn công phức tạp, quy mô, kéo dài.

Trong khi đó, nguy cơ các hệ thống thông tin của bộ, ngành, địa phương, doanh nghiệp bị tấn công, khai thác là hiện hữu. Để các đội ứng cứu sự cố có đủ năng lực xử lý sự cố xảy ra trong hệ thống của mình, hoạt động diễn tập cần chuyển sang hình thức diễn tập thực chiến, với phương thức, phạm vi và tính chất mới.

Diễn tập thực chiến được thực hiện trên hệ thống thật, không có kịch bản trước nhưng được quy định về mục tiêu, đối tượng tham gia, công cụ sử dụng, mức độ khai thác và thời gian diễn ra nhằm giảm thiểu rủi ro.

Diễn tập thực chiến gắn hoạt động diễn tập vào chính hệ thống mà đội ứng cứu sự cố có trách nhiệm bảo vệ, qua đó kinh nghiệm xử lý sự cố của đội ứng cứu sự cố đối với các hệ thống đang vận hành càng được nâng cao.

Với hình thức diễn tập này, diễn tập chuyển từ trạng thái “tĩnh” sang “động”, thay vì có kịch bản trước, giới hạn trong thời gian ngắn thì diễn ra không cần kịch bản, trong thời gian đủ dài để thành viên tham gia có thể phát huy kỹ năng tấn công và đưa đội ứng cứu vào trạng thái luôn thường trực, sẵn sàng xử lý sự cố như các cuộc tấn công trong thực tế.

Dương Huyền (TH)