Giám sát an toàn thông tin sử dụng nền tảng dữ liệu các nguy cơ
Trong thời gian vừa qua, tình hình ATTT tại Việt Nam tiếp tục diễn biến phức tạp, các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu, phá hủy hệ thống thông tin bằng các hình thức tấn công và khai thác lỗ hổng sử dụng công nghệ mới như: trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data)….
Chính phủ, Thủ tướng Chính phủ đã chỉ đạo và yêu cầu người đứng đầu các cơ quan nhà nước phải chịu trách nhiệm nếu để xảy ra mất an toàn, an ninh thông tin, đồng thời cũng ban hành các văn bản pháp lý nhằm tạo hành lang pháp lý về việc đảm bảo an toàn, an ninh thông tin.
Theo dự báo mới nhất về an ninh mạng, các cuộc tấn công mạng tới đây sẽ vượt ra ngoài các loại tấn công thông thường như DDoS, botnet... Sự phát triển của AI, Big Data sẽ dẫn đến các hình thức tấn công mới nguy hiểm hơn.
Trong bối cảnh đó, giám sát ATTT là một trong những giải pháp kỹ thuật quan trọng có ý nghĩa thiết thực trong việc tăng cường năng lực đảm bảo an toàn thông tin cho các cơ quan, tổ chức của Đảng và Chính phủ, yếu tố góp phần quan trọng đảm bảo an ninh thông tin trong các hoạt động lãnh đạo, chỉ đạo, quản lý và điều hành, tác nghiệp của các bộ, ngành, địa phương.
Tại các mạng CNTT trọng yếu của Đảng và Chính phủ, ngoài việc được trang bị các trang thiết bị và giải pháp chính như:
(1) Giải pháp thu thập dữ liệu nhật ký và dữ liệu mạng;
(2) Giải pháp phân tích và phòng chống tấn công có chủ đích ở lớp mạng;
(3) Giải pháp giám sát hành vi người dùng (UBA).
Hệ thống UBA tự động theo dõi hành vi của người dùng theo thời gian (chẳng hạn theo tuần hoặc theo tháng), sau đó tự động hình thành các hồ sơ người dùng với các thuộc tính nhất định, thời gian tiếp theo nếu người dùng có những hành vi, hoặc hành động bất thường như đăng nhập ngoài giờ hành chính, khởi động máy tính vào buổi tối...thì hệ thống tự động phát hiện và đưa ra các cảnh bảo thông qua phương pháp máy học.
Tại Trung tâm CNTT&GSANM của Ban Cơ yếu Chính phủ, bên cạnh các thành phần cốt lõi chính của hệ thống thì một số giải pháp thông minh tiên tiến, hiện đại được trang bị, trong đó có việc cập nhật liên tục nền tảng dữ liệu các nguy cơ (Threat intelligence platform) toàn cầu nhằm tăng cường hiệu quả tối đa cho hệ thống, một số giải pháp ứng dụng phát hiện sớm các nguy cơ mất ATTT được thể hiện trong Hình 1, cụ thể:
Hình 1. Một số giải pháp công nghệ chính được sử dụng của hệ thống
- Giải pháp cung cấp thông tin tình báo về các nguy cơ (Threat Intelligence Sources): cung cấp các dữ liệu, thông tin về các mẫu mã độc, thông tin tình báo về các nguy cơ tấn công mạng, cho phép đưa ra các cảnh báo sớm và có phương án phòng ngừa chủ động. Các báo cáo chiến lược thông tin về nguy cơ tấn công mạng còn giúp các nhà lãnh đạo có tầm nhìn bao quát để xây dựng chiến lược phù hợp trong công tác bảo đảm ATTT.
- Nền tảng truy lùng nguy cơ (Threat hunting platform): Cho phép thu thập nhiều dữ liệu khác nhau trong hệ thống mạng, cung cấp các công cụ tìm kiếm nhanh chóng, linh hoạt trên dữ liệu thu thập được bao gồm cả dữ liệu lớn, từ đó trực quan hóa các dữ liệu và kết quả tìm kiếm dưới nhiều lựa chọn khác nhau.
- Tra cứu mối đe dọa (Threat lookup): tập hợp cơ sở dữ liệu nguy cơ mất an toàn thông tin được tích lũy thành một dịch vụ web nhằm cung cấp cho các chuyên gia các dữ liệu và phương án ngăn chặn các cuộc tấn công mạng trước khi chúng làm ảnh hưởng đến hệ thống, với khả năng cho phép tìm kiếm chi tiết về các URL, tên miền, địa chỉ IP, file hashes, ... để nhận dạng các nguy cơ mới xuất hiện trên toàn cầu, nhằm bảo vệ, ngăn chặn và tăng cường khả năng ứng phó sự cố cho toàn bộ hệ thống.
Giải pháp này cung cấp các dữ liệu nguy cơ mất ATTT có độ chính xác cao, kết hợp phân tích theo bối cảnh môi trường mạng cho phép xác định nhanh chóng, kịp thời các nguy cơ mất ATTT mạng.
- Báo cáo về các thông tin tình báo tấn công có chủ dịch (APT intelligence reporting): giúp xác định phương pháp tốt nhất để ngăn chặn các cuộc tấn công mạng, xác định chiến lược và thông tin đang được kẻ tấn công sử dụng để tấn công. Các chuyên gia sẽ xây dựng báo cáo một bức tranh toàn diện về tình trạng, nguy cơ bị tấn công hiện tại, xác định các điểm yếu đã bị khai thác và đưa ra bằng chứng về các cuộc tấn công trong quá khứ, hiện tại và tương lai. Báo cáo này có thể chứa thông tin về tất cả các điểm yếu thuộc hệ thống mạng CNTT của Chính phủ điện tử.
- Dữ liệu các nguy cơ (Threat Data Feeds): được sử dụng để tăng cường năng lực về khả năng phát hiện và ngăn chặn nguy cơ mất ATTT mạng mới nhất. Các nguồn cấp dữ liệu nguy cơ được phân phối ở các định dạng khác nhau, cung cấp thông tin toàn diện về các mối đe dọa mới nhất mà hệ thống cần phải phát hiện và ngăn chặn (được thể hiện trong Hình 2), bao gồm:
Hình 2. Dữ liệu nguy cơ (toàn cầu) được cung cấp cho hệ thống SIEM
IP Reputation Feeds tập hợp các địa chỉ IP kèm ngữ cảnh bao quát các máy chủ đáng ngờ và độc hại được tin tặc sử dụng để điều khiển từ xa các máy tính bị kiểm soát.
Malicious and Phishing URLs tập hợp URLs bao quát các liên kết và trang web độc hại và lừa đảo.
Botnet C&C URLs tập hợp các URL của máy tính chỉ huy và kiểm soát (C & C) cùng các đối tượng độc hại có liên quan.
Mobile Botnet C&C URLs tập hợp các URLs với ngữ cảnh bao quát các máy chủ C & C điều khiển các thiết bị di động bị kiểm soát.
Ransomware URL Feed tập hợp các URL bao quát các liên kết lưu trữ các đối tượng ransomware hoặc bị tấn công thâm nhập.
Hình 3. Một số tiêu chí về dữ liệu nguy cơ mất an toàn thông tin
Malicious Hash Feeds tập hợp bao quát các phần mềm độc hại nguy hiểm, phổ biến và mới xuất hiện.
Mobile Malware Hashes tập hợp file hashes giúp phát hiện các đối tượng độc hại lây nhiễm trên nền tảng di động.
P-SMS Trojan Feeds tập hợp các mẫu nhận dạng các Trojan với ngữ cảnh tương ứng giúp phát hiện các Trojan SMS đổ chuông trả phí nhắm đến người dùng di động và cho phép kẻ tấn công đánh cắp, xóa và trả lời tin nhắn SMS.
Whitelisting Data Feed cung cấp các giải pháp và dịch vụ của bên thứ ba với tập hợp kiến thức có hệ thống về các phần mềm hợp pháp.
APT IoC Feeds tập hợp bao quát các tên miền độc hại, máy chủ lưu trữ, địa chỉ IP độc hại, các tệp độc hại được sử dụng bởi các đối thủ để thực hiện các cuộc tấn công APT hoặc các dòng phần mềm độc hại khác.
Nguồn cấp dữ liệu nguy cơ được thiết kế để tích hợp với các hệ thống SIEM của bên thứ ba bao gồm: HP ArcSight, IBM QRadar, Splunk... và các sản phẩm SIEM khác.
Trung bình hàng năm có hàng trăm nghìn cuộc tấn công mạng nguy hiểm được Trung tâm CNTT&GSANM phát hiện.
Trong năm 2018, hệ thống ghi nhận khoảng 1.000.000 cảnh báo tấn công mạng nguy hiểm, với nhiều hình thức và chủng loại vào hệ thống mạng các cơ quan trọng yếu của Đảng và Chính phủ, so với năm 2017 thì số lượng tấn công mạng tăng hơn 35%, đặc biệt là các hình thức tấn công nguy hiểm bằng mã độc.
Hình 4. Số lượng cảnh báo tấn công mạng nghi nhận 5 tháng đầu năm 2019
Trong 5 tháng đầu năm 2019, hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ đã kịp thời phát hiện và đưa ra phương án xử lý khoảng 400.000 cảnh báo tấn công mạng, trong đó có khoảng 150.000 cảnh báo tấn công dò quét lỗ hổng, dò quét cổng, gần 200.000 cảnh báo khai thác lổ hỗng bảo mật, gần 20.000 các cảnh báo tấn công mã độc. Các hình thức tấn công mạng nguy hiểm đều được phối hợp xử lý kịp thời.
Thông qua hệ thống giám sát an toàn thông tin của Ban Cơ yếu Chính phủ với các giải pháp công nghệ tiên tiến được cập nhật liên tục, đã thực hiện thu thập, phân tích, xử lý, lưu trữ, tương quan các sự kiện để đưa ra bức tranh toàn cảnh về tình hình ATTT mạng tại các mạng CNTT trọng yếu của Đảng và Chính phủ, từ đó đưa ra các phương án phòng chống tấn công mạng và phối hợp xử lý các sự cố mất an toàn thông tin kịp thời, góp phần vào công tác bảo đảm ATTT cho các mạng CNTT trọng yếu của Đảng và Chính phủ nói riêng và góp phần vào công cuộc xây dựng và phát triển đất nước nói chung.
Trong thời gian tiếp theo, với sự chỉ đạo quyết liệt của Đảng và Chính phủ nhằm đẩy mạnh việc triển khai các thành phần của hệ thống Chính phủ điện tử theo đúng tinh thần của Nghị Quyết 17/NQ-CP, trong đó trước mắt là tập trung vào các thành phần chính như: Hệ thống e-Cabinet, Cổng dịch vụ công Quốc gia… Đặt ra nhiệm vụ mới với những thách thức đảm bảo ATTT cho các hệ thống này, Ban Cơ yếu Chính phủ với nguồn lực, giải pháp công nghệ hiện có cùng với nhiệm vụ được giao đang nỗ lực hoàn thành các nhiệm vụ nhằm đảm bảo ATTT cho hệ thống Chính phủ điện tử được hoạt động an toàn, ổn định, thông suốt.
Võ Văn Hoàng, Nguyễn Văn Duẩn