Thao trường mạng (Cyber Range) [1] là giải pháp giúp các chuyên gia, học viên có thể thực hành các kỹ thuật, kỹ năng trong các mạng và hệ thống phức tạp; nhằm phản ứng với những tình huống thực tế phổ biến hoặc đặc thù. Đây là môi trường ảo và độc lập được thiết kế cho mục đích đào tạo, huấn luyện và diễn tập với chi phí thấp, thời gian triển khai nhanh, ít bị hạn chế bởi các quy định về bảo mật so với việc tiếp cận các hệ thống vật lý thực tế.
Ngoài ra, thao trường mạng còn có thể được sử dụng để kiểm thử, đánh giá an toàn một hệ thống công nghệ thông tin (CNTT) cụ thể dựa trên việc mô phỏng, giả lập hệ thống trên thao trường mà không cần tiếp cận trực tiếp hệ thống thực tế.
Hiện nay, nhiều giải pháp thao trường mạng trên thế giới đã được phát triển dưới sự bảo trợ của chính phủ, quân đội hoặc là sản phẩm độc lập của các công ty lớn như: CyberBit, Cisco CyberRange, KYPO, DoD Cyber Security Range, Virginia Cyber Range, Raytheon Cyber Range, European Space Agency (ESA) Cyber Range, CybExer Cyber Range, IBM Cyber Range.
Trong đó, CyberBit [2] của Israel, Cisco CyberRange [3] của Mỹ là 2 sản phẩm được sử dụng phổ biến tại Việt Nam. Đây là 2 giải pháp có quy mô, mức độ hoàn thiện cao, có khả năng tạo ra các mạng phức tạp. Tuy nhiên, sản phẩm này chưa thực sự phù hợp tại Việt Nam bởi: mức độ phụ thuộc công nghệ; chi phí bản quyền lớn; khả năng tuỳ biến phù hợp với yêu cầu thực tế tại Việt Nam chưa cao.
Ở Việt Nam, một số công ty, đơn vị nghiên cứu cũng đã bước đầu tiếp cận xây dựng các hệ thống diễn tập an ninh mạng như: tập đoàn Bkav, Đại học Công nghệ thông tin (Đại học Quốc gia thành phố Hồ Chí Minh). Tuy nhiên, các sản phẩm này đang trong giai đoạn thử nghiệm, ứng dụng trong một số phạm vi nhất định.
C500 Cyber Range (CrC500) [4] của Học viện An ninh nhân dân là thao trường mạng có các chức năng cơ bản của Cyberbit, Cisco Cyber Range. CrC500 được phát triển dựa trên việc tích hợp các giải pháp nguồn mở như: OpenStack, Linux Firmadyne, các công cụ rà quét, khai thác lỗ hổng, pháp lý số… Đặc biệt, công cụ mô phỏng mạng EVE-NG, giám sát mạng Splunk và cổng quản lý được tự phát triển dựa trên nền tảng ASP.NET MVC. Thao trường là giải pháp có chi phí thấp, có thể triển khai trên các hạ tầng sẵn có, phù hợp với điều kiện hiện tại của nước ta. Hệ thống có khả năng tuỳ biến, mở rộng cao, dễ dàng nâng cấp và bổ sung các kịch bản, mục tiêu phù hợp với bài toán an ninh mạng ở Việt Nam.
Nếu như các giải pháp nước ngoài hướng tới xây dựng các mạng Điều khiển giám sát và thu thập dữ liệu (Supervisory control and data acquisition – SCADA) phức tạp, đánh giá các sản phẩm cao cấp cung cấp cho doanh nghiệp; thì CrC500 hướng tới việc mô phỏng các hạ tầng thiết bị phổ biến trong các cơ quan, doanh nghiệp và gia đình như: các thiết bị dân dụng, thiết bị di động sử dụng hệ điều hành Android, các hệ thống mạng phổ biến từ doanh nghiệp cho đến gia đình.
Cung cấp các môi trường ảo: với số lượng từ 10 đến hàng trăm máy tính và được thiết lập sẵn với các công cụ phục vụ thực hành. Bên cạnh đó, phòng Lab ảo cho phép quản lý và truy cập thông qua đám mây, nên người tổ chức thao trường và người học không phải đáp ứng yêu cầu máy tính cấu hình cao, mà chỉ cần sử dụng trình duyệt có kết nối Internet. Song song, quy mô có thể thay đổi dễ dàng trong thời gian ngắn. Để thuận tiện, CrC500 còn cung cấp 50 kịch bản cùng với các hệ thống đã được mô phỏng sẵn và kết nối mặc định với các phòng Lab ảo.
Giám sát toàn bộ trạng thái các hệ thống: CrC500 có thể giám sát thông tin các máy tính của người học (gồm thông tin hệ thống, giám sát màn hình, thông tin mạng) và giám sát các thành phần chuyên dụng của các hệ thống như OpenStack, EVE.
Quản lý lớp học và kết quả của người tham gia diễn tập: Hệ thống quản lý kết quả học tập cho phép đánh giá kết quả tự động dựa trên so sánh kết quả, đánh giá thông tin giám sát quá trình của người tham gia hoặc qua chấm báo cáo thông qua kênh tập trung.
Hiện tại, CrC500 hỗ trợ triển khai 3 cách diễn tập khác nhau: theo hình thức cướp cờ (Cature the flag), đối kháng (Attack and Defence) hoặc luyện tập cấu hình, kiểm tra, phân tích mục tiêu.
Kiến trúc tổng thể của CrC500 gồm 6 thành phần chính: Phòng học ảo (C500VC), mô phỏng mạng (EVE), kịch bản diễn tập (C500Sc), giám sát (C500M), quản lý kết quả diễn tập (C500El), mục tiêu (C500Tg).
Hình 1. Mô hình tổng thể hệ thống diễn tập tấn công và phòng thủ CrC500
Phòng học ảo
Thành phần đầu tiên của hệ thống diễn tập là phòng học ảo. Bao gồm các máy tính, thiết bị đi động mà người dùng có thể truy cập và sử dụng để tham gia vào các cuộc diễn tập. Phòng học ảo được sử dụng với 2 mục đích:
- Thực hành: Người học có thể tham gia luyện tập thực hành, chơi CTF...
- Thao diễn: Người học đóng vai là người tham gia tấn công (Redteam) hoặc người tham gia phòng thủ (Blueteam). Đội tấn công sẽ tiến hành các hoạt động tấn công, khai thác các mục tiêu giả định. Đội phòng thủ (Blue team) có vai trò quản trị, đảm bảo an toàn thông tin tiến hành các hoạt động cấu hình thiết bị, khắc phục lỗ hổng bảo mật, đảm bảo an toàn cho hệ thống cần bảo vệ.
Mô phỏng mạng
CrC500 mô phỏng các hệ thống mạng theo các sơ đồ, kịch bản dựa trên module EVE-NG. Đây là một giải pháp mô phỏng mạng được các chuyên gia CISCO đánh giá tốt nhất hiện nay. Module được cài đặt và triển khai đầy đủ, có khả năng mô phỏng các thiết bị mạng bao gồm thiết bị định tuyến, thiết bị tường lửa, IDS/IPS,… để xây dựng được các hệ thống mạng phổ biến hiện nay tại các cơ quan, doanh nghiệp vừa và nhỏ.
Phần mềm có giao diện đồ họa trực quan thuận tiện cho việc quản trị, xây dựng kịch bản, cho phép tối ưu hóa tài nguyên và mô phỏng gần như đầy đủ các thiết bị mạng của các nhà sản xuất khác nhau mà không cần phải tạo host riêng cho từng máy ảo như GNS3. Nó cho phép mô phỏng thiết bị mạng thương mại trên Dynamips hoặc IOU và các thiết bị mạng khác dựa nền tảng QEMU.
Hình 2. Mô phỏng một mạng doanh nghiệp
Module này cho phép xây dựng hệ thống mở, kết nối với các hệ thống khác thông qua các giao thức mạng. Các mô hình mạng được xây dựng có thể kết nối với các phòng học ảo hay mục tiêu. Các mô hình này cũng có thể mở rộng bằng cách kết nối các thiết bị vật lý trực tiếp vào vị trí đã được quy hoạch, cấu hình sẵn. Các dữ liệu được thiết lập cũng được sao lưu để dễ dàng phục hồi khi có sự cố xảy ra.
CrC500 đã cài đặt sẵn 45 mô hình mạng tương ứng với 45 kịch bản, mỗi mô hình được nhân bản thành 10 - 15 phiên bản độc lập khác nhau để cung cấp cho người thực hành, diễn tập.
Giám sát
Module giám sát được phát triển trên giải pháp giám sát mạng Splunk. C500M cho phép giám sát các thiết bị đầu cuối, thiết bị trên định tuyến và băng thông chung của hệ thống mạng. Đối với thiết bị đầu cuối, C500M có thể thu thập nhật ký (log) hệ thống ứng dụng, các thư mục, tệp tin và chương trình đang chạy trên các thiết bị này. Với các thiết bị mạng, C500M có khả năng giám sát hầu hết các dựa trên giao thức SNMP. Dữ liệu thu thập được từ hệ thống giám sát mạng mô phỏng như băng thông luồng dữ liệu, hoạt động của các thiết bị endpoint, thiết bị mạng được trực quan hoá cho người giám sát thông qua các bảng giám sát trực quan (dashboard).
C500M hiện tại đang sử dụng cho giáo viên, quản lý để có giám sát tổng quan cũng như chi tiết về thao trường đang diễn ra. Ngoài ra, C500M còn có khả năng giám sát trực tiếp màn hình của người tham gia diễn tập trong thời gian thực, có thể trực tiếp thao tác để hướng dẫn, hỗ trợ, gợi ý cho người học.
Quản lý thực hành, diễn tập
Module quản lý thực hành, diễn tập giúp quản lý các kịch bản, lớp học, người học và kết quả của người học. C500eL hỗ trợ nhiều kiểu đánh giá khác nhau như tự động đánh giá hay đánh giá qua các báo cáo của sinh viên. C500eL đã tích hợp hệ thống đánh giá theo hình thức CTF, cho phép tính điểm, đánh giá người diễn tập với các tình huống được thiết lập trong hệ thống kịch bản diễn tập. Hệ thống kịch bản diễn tập có thể kết hợp cả hai hình thức: nguy cơ và tấn công phòng thủ. Người dùng sẽ được cung cấp thông tin quản trị các máy chủ, máy thực hiện tấn công trong hệ thống mạng mô phỏng để tìm kiếm các “flag” theo từng kịch bản diễn tập.
Kết quả diễn tập cũng được thể hiện trực quan qua giao diện Website hiển thị thông tin kết quả diễn tập, người dùng có thể dễ dàng theo dõi và tạo không khí cạnh tranh trong các cuộc diễn tập. C500eL cũng giúp giảng viên có thể giám sát máy tính của học viên, qua đó trợ giúp hoặc cảnh bảo sớm các hành vi không được phép. C500eL kết nối với các phân hệ khác để tạo thành hệ thống thống nhất, đồng bộ trong CrC500.
Kịch bản diễn tập
Các kịch bản được xây dựng với các mức độ từ cơ bản đến nâng cao, cho phép huấn luyện, đào tạo nhiều đối tượng học khác nhau. Các kịch bản được xây dựng đảm bảo tính thực tiễn, lựa chọn các hình thức tấn công điển hình, phổ biến trong thực tế. Bên cạnh đó, với lợi thế của hệ thống mô phỏng mạng, CrC500 cho phép xây dựng các kịch bản liên quan đến thiết bị IoT, hệ thống SCADA, cho phép tuỳ chỉnh, lựa chọn quy mô và thiết bị cho mỗi kịch bản tấn công và phòng thủ.
Hệ thống kịch bản cũng kết hợp với hệ thống đánh giá, đưa ra các gợi ý thực hiện cho người học trong thời gian tham gia diễn tập cho từng kịch bản cụ thể. Điều này giúp người học có thể có định hướng tốt hơn hoặc tiếp thu tốt với các kịch bản tấn công và phòng thủ mới.
Hiện tại, C500KB có sẵn 45 kịch bản thuộc 8 nhóm khác nhau, trong đó có các kịch bản mang tính đặc thù của ngành Công an. Cấu trúc của mỗi kịch bản gồm 5 phần: mục tiêu, mô tả kịch bản, yêu cầu diễn tập, cách thức đánh giá và hướng dẫn diễn tập. Để sử dụng được các kịch bản này, các sơ đồ mạng tương ứng, mục tiêu trong kịch bản và máy thực hành phục vụ cho kịch bản luôn sẵn sàng. Nhằm phục vụ cho mục tiêu đào tạo, hơn 50% số kịch bản có sẵn có hướng dẫn diễn tập cụ thể, giúp học viên tham khảo cách giải quyết các kịch bản. Đây là đặc trưng và cũng đóng góp lớn của các nhà phát triển CrC500 đối với thao trường giành cho đào tạo, huấn luyện về an toàn, an ninh mạng.
Các mục tiêu thực hành
C500Tg là tập các mục tiêu sử dụng để thực hành cấu hình, rà quét, khai thác lỗi, tấn công, phân tích đánh giá trong các kịch bản. C500Tg hỗ trợ thiết lập nhiều loại mục tiêu khác nhau: các máy chủ, máy trạm, thiết bị mobile, thiết bị mạng hay cả hệ thống mạng. Các mục tiêu được tạo ra từ các nguồn:
- EVE-NG: giải pháp giúp mô phỏng các thiết bị mạng phổ biến như router, tường lửa của các doanh nghiệp, các máy chủ, máy trạm…
- F-Sandbox: giải pháp được cải tiến và tích hợp vào hệ thống với mục đích mô phỏng các thiết bị định tuyến dòng soho của các hãng như Tplink, Dlink…
Theo tập các kịch bản C500KB, các mục tiêu khác nhau gắn với các kịch bản đã được xây dựng sẵn cho diễn tập. Bên cạnh đó, đối với các mục tiêu IoT, tập mục tiêu trong hệ thống mạng đã tích hợp các mục tiêu thực tế để đảm bảo thao trường diễn tập có tính thực tiễn cao. Hệ thống cũng cho phép mở rộng kết nối với các mục tiêu là các máy trạm, máy chủ, thiết bị di động mô phỏng trên VMWare, OpenStack…
CrC500 hiện vẫn đang tiếp tục được hoàn thiện để tích hợp các khả năng mới như: tạo luồng dữ liệu mạng mô phỏng tấn công, đánh giá mức độ chịu tải hệ thống, mở rộng các loại mạng, đa dạng phù hợp với từng lĩnh vực, các phòng lab chuyên dụng cho phân tích chứng cứ điện tử, phân tích mã độc… Quản trị viên, giáo viên và học viên tham gia thao trường mạng CrC500 thông qua cổng địa chỉ qldt.firmware.vn.
|
Tài liệu tham khảo [1]. Evangelos C. Chaskos, Cyber-security training: A comparative analysis of cyber- ranges and emerging trends, Master thesis, National and Kapodistrian university of Athens, 3-2019.
[2]. CyberBit. Url: https://www.cyberbit.com/.
[3]. Hệ thống huấn luyện an toàn thông tin mạng Cyber Range. Url: http://www.antoanthongtin.vn/tin-tuc-san-pham/he-thong-huan-luyen-an-toan-thong-tin-mang-cyber-range-105479.
[4]. Dung Xuan Nguyen, Thuy Thi Thanh Pham, Toan Ngoc Nguyen, Phu Nghi Tran, Dung Thi Kim Ha, Hoai Thi Phan. CyberRC500: Towards an Ecosystem for Cyber Security Training. Tạp chí Khoa học Quân sự, 2018.
|
TS. Trần Nghi Phú, Học viện An ninh nhân dân
14:18 | 08/11/2016
17:00 | 22/04/2021
08:00 | 26/01/2021
14:00 | 28/11/2018
09:00 | 18/10/2019
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
07:00 | 08/02/2023
Với sự phát triển không ngừng của công nghệ, những cuộc tấn công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn. Đặc biệt là hoạt động trò chơi trực tuyến tiềm ẩn không ít những mối đe dọa bị tấn công bởi mã độc. Bài báo này sẽ đưa ra các mối đe dọa liên quan đến trò chơi trực tuyến, phân tích các phương thức, thủ đoạn mà tin tặc tấn công mạng dựa vào các trò chơi trực tuyến, từ đó đưa ra một số giải pháp phòng tránh.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
