TÌNH HÌNH ATTT VÀ CÁC NGUY CƠ TẤN CÔNG MỘT SỐ BIỆN PHÁP CẤP THIẾT - ĐIỀU PHỐI - GIÁM SÁT - CÁNH BÁO - ỨNG CỨU - CHỐNG THƯ, TIN NHẮN RÁC GIỚI THIỆU VỀ VNCERT

Các hiệp hội VNISA, VAIP, VINASA… Không gian mạng quốc gia IXP, ISPs tầng thông tin trọng yếu Điều phối ứng cứu khẩn cấp Các sở TTTT, các ngành Thu thập thông tin, cảnh báo sớm Đầu mối,

www.vncert.gov.vn

GIỚI THIỆU

VỀ VNCERT

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Hệ thống Giám sát An toàn mạng quốc gia:

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Hệ thống Giám sát An toàn mạng quốc gia:

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Hệ thống Giám sát An toàn mạng quốc gia:

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Hệ thống Giám sát An toàn mạng quốc gia:

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Hệ thống Giám sát An toàn mạng quốc gia:

 Top 5 kỹ thuật được tin tặc sử dụng nhiều nhất 6 tháng đầu năm là:

1 OS-WINDOWS Microsoft Windows UPnP malformed advertisement

2 APP-DETECT failed FTP login attempt

3 PROTOCOLDNS potential dns cache poisoning attempt

-mismatched txid

4 INDICATOR-SCAN SSH brute force login attempt

5 SERVER-WEBAPP content-disposition file upload attempt

I TÌNH HÌNH ATTT VÀ NGUY CƠ

Một số loại tấn công điển hình đặc biệt nguy hiểm với các hệ thống

thông tin trọng yếu:

1 Tấn công cài mã độc trojan, backdoor v.v thông qua các con đường tấn công phức tạp tinh vi Không nằm ngoài xu hướng chung, Việt Nam là mục tiêu tấn công kiểu APT (mối thường trực và cao cấp) Theo FireEye, báo chí, các cơ quan chính phủ Việt Nam, các ngân hàng đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục đích lấy cắp dữ liệu nhạy cảm.

2 Mã độc tống tiền mã hóa dữ liệu Ransomware đang có xu hướng gia tăng, gây hậu quả nghiêm trọng đối với dữ liệu trên máy tính cá nhân Khả năng khôi phục dữ liệu ngày càng thấp.

3 Thiết bị di động gia tăng nhanh chóng và kèm với nó là xu hướng kết nối internet từ di động gây khó khăn trong công tác đảm bảo an toàn thông tin.

4 Các thói quen sử dụng thiết bị thiếu an toàn: sử dụng usb lưu trữ, đặt mật khẩu kém an toàn v.v

I TÌNH HÌNH ATTT VÀ NGUY CƠ

www.vncert.gov.vn

II Hoạt động Điều phối – Xử lý

Các sự cố tính đến tháng 10/2015 tại Việt Nam

Hoạt động Điều phối – Xử lý

Tổng số sự cố xử lý qua các năm (tính đến tháng 10/2015) tại Việt Nam

www.vncert.gov.vn

III Một số biện pháp cấp thiết?

 Tăng cường công tác kiểm tra, rà soát đánh giá an toàn thông tinthường xuyên, định kỳ hoặc khi có các yếu tố đặc biệt thay đổi.Ngay cả các mã độc APT nguy hiểm nhất chỉ có thể vượt qua cácphần mềm, hệ thống phòng thủ, rà quét, phát hiện theo từng thờiđiểm nhất định Việc tăng cường rà soát sẽ giúp phát hiện ra các

sơ hở đang tồn tại

 Triển khai các biện pháp khác nhau để giám sát hệ thống: giám sátvật lý, giám sát an toàn thông tin, giám sát hoạt động v.v…

 Xây dựng đội ngũ chuyên gia bảo mật, ứng cứu sự cố có đủ trình

độ và năng lực Thường xuyên đào tạo và diễn tập thử nghiệm đểđảm bảo sự sẵn sàng cao

 Không chủ quan với các hệ thống không có kết nối mạng Internet,các hệ thống này vẫn có nhiều con đường khác để truyền tải dữliệu như USB, Kết nối mạng nội bộ v.v…

 Chú ý backup dữ liệu tránh bị mã độc Ransomware mã hóa

 Kết quả an toàn vật lý với an toàn thông tin để tạo ra các rào cảnkhác nhau nâng cao mức độ an toàn

IV MỘT SỐ HOẠT ĐỘNG TRỌNG TÂM CỦA TRUNG TÂM VNCERT ĐỂ HỖ TRỢ BẢO VỆ HẠ TẦNG TRỌNG YẾU:

 + Luật Giao dịch điện tử (2005)

+ Luật Viễn thông (2009)

+ Luật Công nghệ thông tin (sửa đổi 2009),

+ Luật Hình sự (sửa đổi 2015), Các điều 224-226b về ATTT số

+ Luật Cơ yếu 2011

 Nghị định 64/2007/NĐ-CP ngày 10/04/2007 - Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

 Nghị định 90/2008/NĐ-CP ngày 13/08/2008 – Chống thư rác và Nghị định 77/2012/NĐ-CP ngày 05/10/2012 Sửa đổi bổ sung một số điều trong nghị

định 90 về Chống thư rác, thông tư 12/2008/TT-BTTTT về Chống thư rác

 Nghị định 72/2013/NĐ-CP ngày 15/07/2013 - Quy định về quản lý, cung

cấp, sử dụng dịch vụ Internet và thông tin trên mạng

 Thông tư 27/2011/TT-BTTTT ngày 04/10/2011 - Quy định về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam

Các hiệp hội (VNISA, VAIP, VINASA…)

Không gian mạng quốc gia

IXP, ISPs

tầng thông tin trọng yếu

Điều phối ứng cứu khẩn cấp

Các sở TTTT, các ngành

Thu thập thông tin, cảnh báo sớm

Đầu mối, điều phối ứng cứu sự cố

Phát triển mạng lưới ứng cứu sự cố

Cục An toàn Thông tin

Quản lý nhà nước về ATTT, chống thư rác,thanh kiểm tra về đảm bảo ATTT

Hoạt động Điều phối – Xử lý

Mạng lưới ứng cứu sự cố quốc gia

 Cơ quan điều phối: VNCERT

+ điều phối các hoạt động ứng cứu sự cố trên toàn quốc và có quyền điều động các tổ chức khác trong mạng lưới phối hợp ngăn chặn, xử lý và khắc phục sự cố mạng Internet tại Việt Nam;

+ quyết định hình thức điều phối các hoạt động ứng cứu sự cố và chịu trách nhiệm về các yêu cầu điều phối;

+ đầu mối trao đổi thông tin về hợp tác ứng cứu sự cố với các tổ chức ứng cứu khẩn cấp máy tính quốc tế

 Các nguyên tắc hoạt động của mạng lưới điều phối ứng cứu:

+ Bảo mật, bảo vệ thông tin riêng của các tổ chức

+ Chấp nhận chia sẻ thông tin qua tài liệu, thư điện tử, điện thoại, fax Các thông tin sẽ được kiểm tra và xác nhận

+ Các thành viên sẽ nhận các thông tin chia sẻ, các kinh nghiệm và tham gia các diễn tập, các khoá huấn luyện về phản ứng các sự cố

Hoạt động Điều phối – Xử lý

Hoạt động Điều phối – Xử lý

Hợp tác quốc tế về hoạt động điều phối

 Thành viên chính thức của APCERT (2008)

 Thoả thuận hợp tác (MoU) với JPCERT/CC (2009), KISA (2009), Bộ Viễn thông và Internet Lào (2010)

 Phối hợp với KISDI, Microsoft, Google, TWCERT, USCERT, Brazil và nhiều tổ chức CERT của các nước trên thế giới

CERT- Tham gia thường xuyên 3 diễn tập quốc tế: Diễn tập hàng năm của APCERT, diễn tập ASEAN - Nhật Bản và Diễn tập Sự cố của CERT các nước ASEAN

Hoạt động Giám sát

Giám sát An toàn mạng (GSATM)

 GSATM là hoạt động kiểm soát, phân tích các dấu hiệu tấn công

mạng, các sự kiện ATTT nhằm phát hiện sớm các nguy cơ và sự cố đối với các hệ thống thông tin trên mạng

 GSATM không phân tích nội dung ngữ nghĩa mà chỉ phân tích nội dung kỹ thuật luồng thông tin trong mạng

 GSATM nhằm mục đích:

+ Nhận biết sớm: nguy cơ bị do thám, có hoạt động lạ, mã độc; các

quy trình, cơ chế tấn công mới (như APT); khởi đầu các cuộc tấn công và cường độ tấn công

+ Cảnh báo sớm: các hoạt động tấn công ngầm, nguy cơ và dấu

hiệu tấn công

 Giám sát các đối tượng: luồng tin (lưu lượng, nguồn, đích), dịch vụ (cổng dịch vụ, giao thức), hệ thống (CSDL, email, website, …)

www.vncert.gov.vn

Hoạt động Giám sát

Hệ thống Giám sát An toàn mạng quốc gia

 Không thu thập nội dung

 Hoạt động chủ động, xử lý tự động số liệu lớn dữ liệu; cấu trúc mở, tích hợp theo chuẩn thông dụng; thu thập thông tin phân tán, quản

lý đa cấp, xử lý tập trung; phối kế hợp thông tin quốc tế

 Phạm vi áp dụng: một số Bộ, ngành, tỉnh, thành và các ISP

 Khả năng hiện tại:

+ Phát hiện nguy cơ APT, xâm nhập của Hacker

+ Giám sát dịch vụ của hệ thống

+ Phát hiện hoạt động của mã độc, botnet

+ Phát hiện tấn công từ chối dịch vụ DoS/DDoS

+ Phát hiện các kỹ thuật sử dụng của tin tặc

+ Phát hiện các địa chỉ tấn công / bị tấn công

+ Tổng hợp toàn cảnh bức tranh ATTT

Hoạt động Giám sát

Hệ thống Giám sát An toàn mạng quốc gia: trung tâm giám sát

Hoạt động Giám sát

Hệ thống Giám sát An toàn mạng quốc gia: các điểm giám sát

Hoạt động Giám sát

Hệ thống Giám sát An toàn mạng quốc gia:

giám sát phát hiện sự

cố, nguy

cơ APT

Hoạt động Giám sát

Hệ thống Giám sát An toàn mạng quốc gia: biểu

đồ giám sát lưu lượng phát hiện DoS/

DDoS

Hoạt động Cảnh báo

 Cảnh báo các nguy cơ mất an toàn

 Cảnh báo các sự cố về an toàn mạng: mã độc, deface, phishing, botnet và địa chỉ IP nhiễm mã độc botnet

+ Sử dụng và quản trị hệ thống thư điện tử an toàn

+ mật khẩu bị rò rỉ / không an toàn

+ hệ điều hành không an toàn

Giới thiệu VNCERT

 Trung tâm Ứng cứu Khẩn cấp Máy tính Việt nam – VNCERT được thành lập theo quyết định 339/2005/QĐ-TTg ngày 20/12/2005 của Thủ tướng Chính phủ dưới sự quản lý trực tiếp của Bộ Bưu chính Viễn thông, nay là Bộ Thông tin và Truyền thông

 Chức năng chính:

+ Điều phối các hoạt động ứng cứu sự cố

+ Giám sát và Cảnh báo các vấn đề về an toàn mạng

 + Giám sát, phát hiện, phòng chống thư, tin nhắn rác

+ Xây dựng các tiêu chuẩn kỹ thuật về an toàn mạng

+ Thúc đẩy hình thành các tổ chức CERT trong nước và là đầu mối hợp tác với các tổ chức CERT nước ngoài

Giới thiệu VNCERT

MIC VNCERT

Phòng Điều

phối và Ứng

cứu ATM

Phòng Kỹ thuật Hệ thống

Phòng Tư vấn

- Đào tạo

Phòng Nghiên cứu & Phát triển

Chi nhánh tại thành phố Đà Nẵng

Chi nhánh tại thành phố Hồ Chi Minh Phòng Hành

chính Tổng hợp Phòng Kế hoạch– Tài chính

Giới thiệu VNCERT

Các hoạt động chính trong thời gian qua:

 Giám sát an toàn mạng

 Cảnh báo tấn công và sự cố an toàn mạng

 Điều phối ứng cứu – xử lý sự cố an toàn mạng

 Đầu mối nhóm ứng cứu sự cố (CSIRT) quốc gia

 Khuyến khích và hỗ trợ thành lập các nhóm ứng cứu các tỉnh, địaphương

 Đầu mối CERT Việt Nam, làm việc và hợp các với các tổ chứcCERT của các nước cũng như hợp tác quốc tế trong lĩnh vực an toàn thông tin

 Kiểm tra, đánh giá an toàn mạng và hệ thống thông tin

 Quản lý, phòng và chống tin nhắn rác

 Phối hợp, tham gia xây dựng các tiêu chuẩn kỹ thuật và các vănbản quy phạm pháp luật theo phân công của Bộ TT&TT

Hoạt động Điều phối – Ứng cứu

 Điều chỉnh thông tư 27/2011/TT-BTTTT về điều phối các hoạt động ứng cứu

sự cố mạng Internet Việt nam theo hướng gia tăng quyền hạn, trách nhiệm và hiệu lực thi hành, điều chỉnh những điểm chưa phù hợp và bổ sung hoạt động điều phối phù hợp với tình hình mới

 Hỗ trợ xây dựng và hoạt động các nhóm ứng cứu sự cố ở các tỉnh thành Đào tạo, tập huấn, diễn tập, chia sẻ thông tin để nâng cao năng lực

 Tăng cường chia sẻ thông tin về ATTT giữa các thành viên trong mạng và

giữa các đơn vị, đặc biệt thông tin về các cuộc tấn công mạng

 Tăng cường hoạt động cảnh báo về mã độc, các mạng botnet

 Nâng cao tính hiệu lực của hoạt động điều phối, báo cáo, chia sẻ thông tin

+ Triển khai các cơ chế vận hành: chỉ huy, điều hành, điều phối, phối hợp

+ Đảm bảo các nguồn lực cần thiết: nhân lực , đầu tư trang bị, kinh phí

Hoạt động Giám sát – Cảnh báo

 Xây dựng dự thảo thông tư về hoạt động giám sát trình Bộ TT&TT ban hành, làm cơ sở quản lý và hướng dẫn cho hoạt động giám sát, cảnh báo an toàn mạng của quốc gia và các đơn vị

 Quy trình giám sát, cảnh báo của các tổ chức được giao trách nhiệm

 Quy định xử lý sự cố sau cảnh báo

ĐỢT TẬP TRẬN QUỐC TẾ ACID 2015

 Cuộc tập trận quốc tế về an toàn mạng ACID 2015 với sự tham gia của 10 quốc gia trong khối ASEAN và 4 nước đối thoại (gồm Trung Quốc, Nhật Bản, Ấn Độ và Australia): Việt Nam dẫn đầu 4/6 tình huống diễn tập và gửi đáp án trả lời nhanh nhất

Việt Nam vô địch Cyber Seagame 2015

VNCERT và ĐỘI VIỆT NAM 1

VNCERT và ĐỘI VIỆT NAM 2

+ cảnh báo sự cố theo các yêu cầu riêng biệt;

+ phân tích - xử lý sự cố - ứng cứu tại hiện trường;

+ phân tích - phát hiện - xử lý các lỗ hổng bảo mật,

+ phát hiện - phân tích - xử lý mã độc;

+ Phục hồi - cứu dữ liệu hư hỏng vật lý / hư hỏng logic, kể cả trong các hệ thống phức tạp như ảo hoá, cloud, …

 Nhóm dịch vụ Phòng ngừa sự cố:

+ Thông báo các nguy cơ mất an toàn

+ Thông báo các lỗ hổng bảo mật mới

+ Giám sát an toàn hệ thống

+ Tư vấn thiết kế - triển khai - vận hành các hệ thống bảo mật

 Nhóm dịch vụ Quản lý về ATTT:

+ Tư vấn xây dựng kế hoạch khôi phục sau thảm hoạ

+ Tư vấn, đào tạo, huấn luyện về ATTT

+ Tư vấn xây dựng các hệ thống ISMS, ISO/IEC 27000

www.vncert.gov.vn