Trong thời gian vừa qua, tình hình ATTT tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)….
Chính phủ, Thủ tướng Chính phủ đã chỉ đạo và yêu cầu người đứng đầu các cơ quan nhà nước phải chịu trách nhiệm nếu để xảy ra mất an toàn, an ninh thông tin, đồng thời cũng ban hành các văn bản pháp lý nhằm tạo hành lang pháp lý về việc đảm bảo an toàn, an ninh thông tin.
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát ATTT là một trong những giải pháp kỹ thuật quan trọng có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo an toàn thông tin cho các cơ quan, tổ chức của Đảng và Chính phủ, yếu tố góp phần quan trọng đảm bảo an ninh thông tin trong các hoạt động lãnh đạo, chỉ đạo, quản lý và điều hành, tác nghiệp của các bộ, ngành, địa phương.
Tại các mạng CNTT trọng yếu của Đảng và Chính phủ, ngoài việc được trang bị các trang thiết bị và giải pháp chính như:
(1) Giải pháp thu thập dữ liệu nhật ký và dữ liệu mạng;
(2) Giải pháp phân tích và phòng chống tấn công có chủ đích ở lớp mạng;
(3) Giải pháp giám sát hành vi người dùng (UBA).
Hệ thống UBA tự động theo dõi hành vi của người dùng theo thời gian (chẳng hạn theo tuần hoặc theo tháng), sau đó tự động hình thành các hồ sơ người dùng với các thuộc tính nhất định, thời gian tiếp theo nếu người dùng có những hành vi, hoặc hành động bất thường như đăng nhập ngoài giờ hành chính, khởi động máy tính vào buổi tối...thì hệ thống tự động phát hiện và đưa ra các cảnh bảo thông qua phương pháp máy học.
Tại Trung tâm CNTT&GSANM của Ban Cơ yếu Chính phủ, bên cạnh các thành phần cốt lõi chính của hệ thống thì một số giải pháp thông minh tiên tiến, hiện đại được trang bị, trong đó có việc cập nhật liên tục nền tảng dữ liệu các nguy cơ (Threat intelligence platform) toàn cầu nhằm tăng cường hiệu quả tối đa cho hệ thống, một số giải pháp ứng dụng phát hiện sớm các nguy cơ mất ATTT được thể hiện trong Hình 1, cụ thể:
Hình 1. Một số giải pháp công nghệ chính được sử dụng của hệ thống
- Giải pháp cung cấp thông tin tình báo về các nguy cơ (Threat Intelligence Sources): cung cấp các dữ liệu, thông tin về các mẫu mã độc, thông tin tình báo về các nguy cơ tấn công mạng, cho phép đưa ra các cảnh báo sớm và có phương án phòng ngừa chủ động. Các báo cáo chiến lược thông tin về nguy cơ tấn công mạng còn giúp các nhà lãnh đạo có tầm nhìn bao quát để xây dựng chiến lược phù hợp trong công tác bảo đảm ATTT.
- Nền tảng truy lùng nguy cơ (Threat hunting platform): Cho phép thu thập nhiều dữ liệu khác nhau trong hệ thống mạng, cung cấp các công cụ tìm kiếm nhanh chóng, linh hoạt trên dữ liệu thu thập được bao gồm cả dữ liệu lớn, từ đó trực quan hóa các dữ liệu và kết quả tìm kiếm dưới nhiều lựa chọn khác nhau.
- Tra cứu mối đe dọa (Threat lookup): tập hợp cơ sở dữ liệu nguy cơ mất an toàn thông tin được tích lũy thành một dịch vụ web nhằm cung cấp cho các chuyên gia các dữ liệu và phương án ngăn chặn các cuộc tấn công mạng trước khi chúng làm ảnh hưởng đến hệ thống, với khả năng cho phép tìm kiếm chi tiết về các URL, tên miền, địa chỉ IP, file hashes, ... để nhận dạng các nguy cơ mới xuất hiện trên toàn cầu, nhằm bảo vệ, ngăn chặn và tăng cường khả năng ứng phó sự cố cho toàn bộ hệ thống.
Giải pháp này cung cấp các dữ liệu nguy cơ mất ATTT có độ chính xác cao, kết hợp phân tích theo bối cảnh môi trường mạng cho phép xác định nhanh chóng, kịp thời các nguy cơ mất ATTT mạng.
- Báo cáo về các thông tin tình báo tấn công có chủ dịch (APT intelligence reporting): giúp xác định phương pháp tốt nhất để ngăn chặn các cuộc tấn công mạng, xác định chiến lược và thông tin đang được kẻ tấn công sử dụng để tấn công. Các chuyên gia sẽ xây dựng báo cáo một bức tranh toàn diện về tình trạng, nguy cơ bị tấn công hiện tại, xác định các điểm yếu đã bị khai thác và đưa ra bằng chứng về các cuộc tấn công trong quá khứ, hiện tại và tương lai. Báo cáo này có thể chứa thông tin về tất cả các điểm yếu thuộc hệ thống mạng CNTT của Chính phủ điện tử.
- Dữ liệu các nguy cơ (Threat Data Feeds): được sử dụng để tăng cường năng lực về khả năng phát hiện và ngăn chặn nguy cơ mất ATTT mạng mới nhất. Các nguồn cấp dữ liệu nguy cơ được phân phối ở các định dạng khác nhau, cung cấp thông tin toàn diện về các mối đe dọa mới nhất mà hệ thống cần phải phát hiện và ngăn chặn (được thể hiện trong Hình 2), bao gồm:
Hình 2. Dữ liệu nguy cơ (toàn cầu) được cung cấp cho hệ thống SIEM
IP Reputation Feeds tập hợp các địa chỉ IP kèm ngữ cảnh bao quát các máy chủ đáng ngờ và độc hại được tin tặc sử dụng để điều khiển từ xa các máy tính bị kiểm soát.
Malicious and Phishing URLs tập hợp URLs bao quát các liên kết và trang web độc hại và lừa đảo.
Botnet C&C URLs tập hợp các URL của máy tính chỉ huy và kiểm soát (C & C) cùng các đối tượng độc hại có liên quan.
Mobile Botnet C&C URLs tập hợp các URLs với ngữ cảnh bao quát các máy chủ C & C điều khiển các thiết bị di động bị kiểm soát.
Ransomware URL Feed tập hợp các URL bao quát các liên kết lưu trữ các đối tượng ransomware hoặc bị tấn công thâm nhập.
Hình 3. Một số tiêu chí về dữ liệu nguy cơ mất an toàn thông tin
Malicious Hash Feeds tập hợp bao quát các phần mềm độc hại nguy hiểm, phổ biến và mới xuất hiện.
Mobile Malware Hashes tập hợp file hashes giúp phát hiện các đối tượng độc hại lây nhiễm trên nền tảng di động.
P-SMS Trojan Feeds tập hợp các mẫu nhận dạng các Trojan với ngữ cảnh tương ứng giúp phát hiện các Trojan SMS đổ chuông trả phí nhắm đến người dùng di động và cho phép kẻ tấn công đánh cắp, xóa và trả lời tin nhắn SMS.
Whitelisting Data Feed cung cấp các giải pháp và dịch vụ của bên thứ ba với tập hợp kiến thức có hệ thống về các phần mềm hợp pháp.
APT IoC Feeds tập hợp bao quát các tên miền độc hại, máy chủ lưu trữ, địa chỉ IP độc hại, các tệp độc hại được sử dụng bởi các đối thủ để thực hiện các cuộc tấn công APT hoặc các dòng phần mềm độc hại khác.
Nguồn cấp dữ liệu nguy cơ được thiết kế để tích hợp với các hệ thống SIEM của bên thứ ba bao gồm: HP ArcSight, IBM QRadar, Splunk... và các sản phẩm SIEM khác.
Trung bình hàng năm có hàng trăm nghìn cuộc tấn công mạng nguy hiểm được Trung tâm CNTT&GSANM phát hiện.
Trong năm 2018, hệ thống ghi nhận khoảng 1.000.000 cảnh báo tấn công mạng nguy hiểm, với nhiều hình thức và chủng loại vào hệ thống mạng các cơ quan trọng yếu của Đảng và Chính phủ, so với năm 2017 thì số lượng tấn công mạng tăng hơn 35%, đặc biệt là các hình thức tấn công nguy hiểm bằng mã độc.
Hình 4. Số lượng cảnh báo tấn công mạng nghi nhận 5 tháng đầu năm 2019
Trong 5 tháng đầu năm 2019, hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ đã kịp thời phát hiện và đưa ra phương án xử lý khoảng 400.000 cảnh báo tấn công mạng, trong đó có khoảng 150.000 cảnh báo tấn công dò quét lỗ hổng, dò quét cổng, gần 200.000 cảnh báo khai thác lổ hỗng bảo mật, gần 20.000 các cảnh báo tấn công mã độc. Các hình thức tấn công mạng nguy hiểm đều được phối hợp xử lý kịp thời.
Thông qua hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ với các giải pháp công nghệ tiên tiến được cập nhật liên tục, đã thực hiện thu thập, phân tích, xử lý, lưu trữ, tương quan các sự kiện để đưa ra bức tranh toàn cảnh về tình hình ATTT mạng tại các mạng CNTT trọng yếu của Đảng và Chính phủ, từ đó đưa ra các phương án phòng chống tấn công mạng và phối hợp xử lý các sự cố mất an toàn thông tin kịp thời, góp phần vào công tác bảo đảm ATTT cho các mạng CNTT trọng yếu của Đảng và Chính phủ nói riêng và góp phần vào công cuộc xây dựng và phát triển đất nước nói chung.
Trong thời gian tiếp theo, với sự chỉ đạo quyết liệt của Đảng và Chính phủ nhằm đẩy mạnh việc triển khai các thành phần của hệ thống Chính phủ điện tử theo đúng tinh thần của Nghị Quyết 17/NQ-CP, trong đó trước mắt là tập trung vào các thành phần chính như: Hệ thống e-Cabinet, Cổng dịch vụ công Quốc gia… Đặt ra nhiệm vụ mới với những thách thức đảm bảo ATTT cho các hệ thống này, Ban Cơ yếu Chính phủ với nguồn lực, giải pháp công nghệ hiện có cùng với nhiệm vụ được giao đang nỗ lực hoàn thành các nhiệm vụ nhằm đảm bảo ATTT cho hệ thống Chính phủ điện tử được hoạt động an toàn, ổn định, thông suốt.
Võ Văn Hoàng, Nguyễn Văn Duẩn
09:00 | 16/12/2020
10:00 | 15/11/2023
10:00 | 24/02/2021
16:00 | 29/01/2019
08:00 | 17/02/2020
08:00 | 22/06/2020
15:00 | 03/07/2018
14:00 | 22/04/2015
08:00 | 07/04/2023
Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.
10:00 | 15/02/2023
Phần mềm diệt virus (antivirus) là một trong những giải pháp bảo mật được sử dụng phổ biến, nhằm ngăn chặn tin tặc xâm nhập vào hệ thống. Tuy nhiên, hiện nay tin tặc đã phát triển các kỹ thuật để qua mặt các giải pháp antivirus và giành quyền truy cập vào các hệ thống được bảo vệ. Những kỹ thuật này được sử dụng trong các công cụ lẩn tránh giải pháp antivirus sẵn có dưới dạng công cụ mã nguồn mở mà tin tặc có thể dễ dàng sở hữu và sử dụng để xâm nhập hệ thống máy tính có trang bị chương trình antivirus.
11:00 | 27/01/2023
Nhà máy thông minh hay sản xuất thông minh là sự phát triển vượt bậc từ một hệ thống sản xuất truyền thống sang một hệ thống sản xuất thông minh dựa trên dữ liệu có thể kết nối và xử lý liên tục, được thu thập từ các máy móc thiết bị sản xuất, đến các quy trình sản xuất và kinh doanh. Việc kết nối với điện toán đám mây và môi trường Internet mang lại nhiều lợi thế cho hệ thống, tuy nhiên nó cũng dẫn đến nguy cơ bị tấn công mạng. Các cuộc tấn công mạng vào các hệ thống sản xuất công nghiệp có thể làm tê liệt dây chuyền vận hành và từ chối hoạt động truy cập vào dữ liệu quan trọng. Do đó, cần thiết lập các biện pháp bảo mật mạnh mẽ để phát hiện và bảo vệ trước các mối đe dọa an ninh từ các cuộc tấn công độc hại vào hạ tầng mạng và các thiết bị công nghiệp đối với sự phát triển của mô hình nhà máy thông minh.
17:00 | 18/01/2023
Ngày nay, mạng không dây đang trở nên phổ biến trong các tổ chức, doanh nghiệp và cá nhân. Sự ra đời, phát triển và cải tiến không ngừng của mạng Wifi đã giải quyết được những hạn chế trước đó của mạng có dây truyền thống. Tuy nhiên, công nghệ mạng Wifi vẫn còn tồn tại những điểm yếu liên quan đến tính bảo mật và an toàn thông tin (ATTT). Do tính chất môi trường truyền dẫn vô tuyến nên mạng Wifi rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công từ các tin tặc.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024