PHẦN MỞ ĐẦU 1. Sự cần thiết Với định hướng của Quốc hội và sự chỉ đạo quyết liệt của Chính phủ, trong giai đoạn 2016-2020, ngành BHXH Việt Nam đã và đang đầu tư xây dựng, hoàn thiện hệ thống CNTT của Ngành theo định hướng Chính phủ điện tử, tích hợp, tập trung cấp quốc gia, hiện đại đạt tiêu chuẩn quốc tế, hướng tới khách hàng với quy trình nghiệp vụ tự động hóa mức độ cao được vận hành bởi nguồn nhân lực công nghệ thông tin chuyên nghiệp, chất lượng cao đáp ứng yêu cầu đảm bảo an sinh xã hội quốc gia, phục vụ người dân và doanh nghiệp ngày càng tốt hơn, toàn diện trong các lĩnh vực BHXH và BHYT. Hệ thống CNTT của ngành BHXH Việt Nam được triển khai từ Trung ương tới tất cả BHXH cấp tỉnh, cấp huyện và các cơ sở y tế; triển khai thực hiện giao dịch điện tử trên tất cả các lĩnh vực: thu, cấp sổ BHXH; thẻ BHYT, giải quyết các chế độ BHXH, BHYT, BH thất nghiệp, giám định và thanh toán chi phí KCB BHYT... Đến nay, BHXH Việt Nam đã hoàn thành việc cung cấp dịch vụ công mức độ 4 cho tất cả các thủ tục hành chính của ngành, tổ chức, cá nhân có thể thông qua 13 nhà I-VAN hoặc thực hiện trực tiếp trên Cổng DVC của BHXH Việt Nam, Cổng DVC Quốc gia. Hiện tại, toàn Ngành BHXH Việt Nam đang có gần 30 hệ thống ứng dụng; quản lý CSDL của gần 98 triệu người dân, tương ứng với gần 28 triệu hộ gia đình trên toàn quốc; với hơn 20 nghìn tài khoản công chức, viên chức và người lao động trong Ngành thường xuyên truy cập, khai thác và sử dụng để thực hiện các nghiệp vụ của Ngành; kết nối liên thông với trên 12.000 cơ sở khám chữa bệnh và hơn 500 nghìn tổ chức, doanh nghiệp sử dụng dịch vụ công trên toàn quốc và các bộ, ngành. Năm 2021, Hệ thống giao dịch BHXH điện tử Giao dịch điện tử tiếp nhận và xử lý hơn 87 triệu hồ sơ (chưa kể hơn 170 triệu hồ sơ đề nghị thanh toán chi phí KCB BHYT). Như vậy, nếu tính bình quân mỗi cán bộ BHXH sẽ phải giải quyết hơn 4 nghìn hồ sơ mỗi năm. Năm 2020, BHXH Việt Nam đã đưa ứng dụng trên thiết bị di động VssID - Bảo hiểm xã hội số chính thức đi vào hoạt động, cung cấp các dịch vụ, tiện ích cho người tham gia, thụ hưởng chế độ, chính sách BHXH, BHYT, sau hơn 1 năm công bố ứng dụng, đến 31/12/2021 đã có hơn 23,8 triệu tài khoản giao dịch điện tử cá nhân (dùng để đăng nhập, sử dụng ứng dụng VssID) được đăng ký và phê duyệt. Cùng với đó, thực hiện Nghị định số 43/2021/NĐ-CP ngày 31/3/2021 của Chính phủ quy định Cơ sở dữ liệu quốc gia về bảo hiểm, đây là 1 trong 6 CSDL quốc gia quan trọng, được Chính phủ ưu tiên triển khai, BHXH Việt Nam được giao là đơn vị chủ quản của CSLD quốc gia về bảo hiểm. Xác định rõ vai trò và trách nhiệm, BHXH Việt Nam đã và đang tích cực phối hợp với các bộ, ngành liên quan hoàn thiện quy chuẩn kỹ thuật, tập trung, hoàn thiện cơ sở dữ liệu chuyên ngành, danh mục dữ liệu mở để sẵn sàng kết nối, chia sẻ theo chỉ đạo của Chính phủ. Do đó, việc đảm bảo an toàn thông tin cho toàn bộ hệ thống thông tin của Ngành là một thách thức rất lớn trước những nguy cơ tấn công mạng với kỹ thuật ngày càng tiên tiến của tội phạm công nghệ cao như hiện nay. 2. Mục tiêu nghiên cứu - Tìm hiểu việc xây dựng quy trình ứng cứu khẩn cấp sự cố ATTT của các đơn vị. - Đưa ra các đề xuất, lưu ý khi xây dựng quy trình ứng cứu khẩn cấp sự số ATTT của ngành BHXH Việt Nam. 3. Đối tượng và phạm vi nghiên cứu - Đối tượng nghiên cứu: Quy trình ứng dụng khẩn cấp sự cố ATTT của các đơn vị. - Phạm vi nghiên cứu: Sơ đồ và các bước thực hiện trong quy trình ứng cứu sự cố ATTT. 4. Phương pháp nghiên cứu - Tìm hiểu, nghiên cứu, phân tích thực tiễn và thông qua báo cáo, bài viết về việc xây dựng quy trình ứng cứu khẩn cấp sự cố ATTT của các đơn vị 5. Những đóng góp mới và những vẫn đề chưa được giải quyết 6. Bố cục của chuyên đề Ngoài phần mở đầu và kết luận, chuyên đề được chia thành 3 chương. Cụ thể như sau: Chương 1. Một số quy trình ứng cứu khẩn cấp sự cố ATTT Chương 2. Một số lưu ý trong công tác ứng cứu sự cố an toàn thông tin mạng
BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Kinh nghiệm số bộ, ngành, đơn vị việc xây dựng quy trình ứng cứu khẩn cấp cố an tồn thơng tin Người thực hiện: ThS Nguyễn Đăng kiên Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Kinh nghiệm số bộ, ngành, đơn vị việc xây dựng quy trình ứng cứu khẩn cấp cố an tồn thơng tin Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 MỤC LỤC MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ PHẦN MỞ ĐẦU Sự cần thiết .7 Mục tiêu nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Những đóng góp đề chưa giải Bố cục chuyên đề Chương Một số quy trình ứng cứu khẩn cấp cố ATTT 10 1.1 Quy trình ứng cứu cố Học viện SANS 10 1.2 Quy trình ứng cứu, xử lý cố Ban Cơ yếu Chính phủ 12 1.2.1 Quy trình ứng cứu, xử lý cố mã độc .12 1.2.2 Quy trình ứng cứu cố cơng thay đổi giao diện 19 1.2.3 Quy trình ứng cứu cố công từ chối dịch vụ 23 1.3 Kinh nghiệm ứng cứu cố công từ chối dịch vụ Trung tâm an ninh mạng quốc gia Anh Quốc (NCSC UK) .26 1.3.1 Hiểu công từ chối dịch vụ .27 1.3.2 Các bước cần chuẩn bị ứng phó với công từ chối dịch vụ 28 1.3.3 Hiểu sâu mơ hình, khả xử lý của hệ thống 28 1.3.4 Kế hoạch ứng cứu cố 30 Tổng kết Chương 32 Chương Một số lưu ý công tác ứng cứu cố an tồn thơng tin mạng .33 2.1 Làm tốt công tác chuẩn bị .33 2.2 Bình tĩnh tránh hoảng loạn 34 2.3 Xác định phạm vi ảnh hưởng cố 34 2.4 Xác định việc cần ưu tiên làm 35 2.5 Tránh làm liệu chứng quan trọng 35 KẾT LUẬN 36 TÀI LIỆU THAM KHẢO 37 DANH MỤC TỪ VIẾT TẮT TT 10 11 12 Danh mục An tồn thơng tin Ứng cứu khẩn cấp Bảo hiểm xã hội Bảo hiểm y tế Bảo hiểm thất nghiệp Công nghệ thông tin Cơ sở liệu Giao dịch điện tử Khám bênh, chữa bệnh Cách mạng công nghiệp Chuyển đổi số Dịch vụ công Chữ viết tắt, rút gọn ATTT ƯCKC BHXH BHYT BHTN CNTT CSDL GDĐT KCB CMCN CĐS DVC DANH MỤC HÌNH VẼ Hình Quy trình ứng cứu cố Học viện SANS 11 Hình Quy trình xử lý cố mã độc 14 Hình Mạng lưới ứng cứu cố an tồn thơng tin quốc gia (Bộ TT&TT) 16 Hình Quy trình phân tích mã độc 17 Hình Sơ đồ quy trình ứng cứu cố công thay đổi giao diện .20 Hình Sơ đồ quy trình ứng cứu cố công từ chối dịch vụ 24 PHẦN MỞ ĐẦU Sự cần thiết Với định hướng Quốc hội đạo liệt Chính phủ, giai đoạn 2016-2020, ngành BHXH Việt Nam đầu tư xây dựng, hoàn thiện hệ thống CNTT Ngành theo định hướng Chính phủ điện tử, tích hợp, tập trung cấp quốc gia, đại đạt tiêu chuẩn quốc tế, hướng tới khách hàng với quy trình nghiệp vụ tự động hóa mức độ cao vận hành nguồn nhân lực công nghệ thông tin chuyên nghiệp, chất lượng cao đáp ứng yêu cầu đảm bảo an sinh xã hội quốc gia, phục vụ người dân doanh nghiệp ngày tốt hơn, toàn diện lĩnh vực BHXH BHYT Hệ thống CNTT ngành BHXH Việt Nam triển khai từ Trung ương tới tất BHXH cấp tỉnh, cấp huyện sở y tế; triển khai thực giao dịch điện tử tất lĩnh vực: thu, cấp sổ BHXH; thẻ BHYT, giải chế độ BHXH, BHYT, BH thất nghiệp, giám định tốn chi phí KCB BHYT Đến nay, BHXH Việt Nam hoàn thành việc cung cấp dịch vụ công mức độ cho tất thủ tục hành ngành, tổ chức, cá nhân thông qua 13 nhà I-VAN thực trực tiếp Cổng DVC BHXH Việt Nam, Cổng DVC Quốc gia Hiện tại, tồn Ngành BHXH Việt Nam có gần 30 hệ thống ứng dụng; quản lý CSDL gần 98 triệu người dân, tương ứng với gần 28 triệu hộ gia đình tồn quốc; với 20 nghìn tài khoản cơng chức, viên chức người lao động Ngành thường xuyên truy cập, khai thác sử dụng để thực nghiệp vụ Ngành; kết nối liên thông với 12.000 sở khám chữa bệnh 500 nghìn tổ chức, doanh nghiệp sử dụng dịch vụ cơng tồn quốc bộ, ngành Năm 2021, Hệ thống giao dịch BHXH điện tử Giao dịch điện tử tiếp nhận xử lý 87 triệu hồ sơ (chưa kể 170 triệu hồ sơ đề nghị tốn chi phí KCB BHYT) Như vậy, tính bình qn cán BHXH phải giải nghìn hồ sơ năm Năm 2020, BHXH Việt Nam đưa ứng dụng thiết bị di động VssID - Bảo hiểm xã hội số thức vào hoạt động, cung cấp dịch vụ, tiện ích cho người tham gia, thụ hưởng chế độ, sách BHXH, BHYT, sau năm cơng bố ứng dụng, đến 31/12/2021 có 23,8 triệu tài khoản giao dịch điện tử cá nhân (dùng để đăng nhập, sử dụng ứng dụng VssID) đăng ký phê duyệt Cùng với đó, thực Nghị định số 43/2021/NĐ-CP ngày 31/3/2021 Chính phủ quy định Cơ sở liệu quốc gia bảo hiểm, CSDL quốc gia quan trọng, Chính phủ ưu tiên triển khai, BHXH Việt Nam giao đơn vị chủ quản CSLD quốc gia bảo hiểm Xác định rõ vai trò trách nhiệm, BHXH Việt Nam tích cực phối hợp với bộ, ngành liên quan hoàn thiện quy chuẩn kỹ thuật, tập trung, hoàn thiện sở liệu chuyên ngành, danh mục liệu mở để sẵn sàng kết nối, chia sẻ theo đạo Chính phủ Do đó, việc đảm bảo an tồn thơng tin cho tồn hệ thống thơng tin Ngành thách thức lớn trước nguy công mạng với kỹ thuật ngày tiên tiến tội phạm công nghệ cao Mục tiêu nghiên cứu - Tìm hiểu việc xây dựng quy trình ứng cứu khẩn cấp cố ATTT đơn vị - Đưa đề xuất, lưu ý xây dựng quy trình ứng cứu khẩn cấp số ATTT ngành BHXH Việt Nam Đối tượng phạm vi nghiên cứu - Đối tượng nghiên cứu: Quy trình ứng dụng khẩn cấp cố ATTT đơn vị - Phạm vi nghiên cứu: Sơ đồ bước thực quy trình ứng cứu cố ATTT Phương pháp nghiên cứu - Tìm hiểu, nghiên cứu, phân tích thực tiễn thông qua báo cáo, viết việc xây dựng quy trình ứng cứu khẩn cấp cố ATTT đơn vị Những đóng góp đề chưa giải Bố cục chuyên đề Ngoài phần mở đầu kết luận, chuyên đề chia thành chương Cụ thể sau: Chương Một số quy trình ứng cứu khẩn cấp cố ATTT Chương Một số lưu ý cơng tác ứng cứu cố an tồn thơng tin mạng 10 Chương Một số quy trình ứng cứu khẩn cấp cố ATTT 1.1 Quy trình ứng cứu cố Học viện SANS Ứng cứu cố loạt hành động, việc làm nhằm xử lý, giảm thiểu, khắc phục hậu cố xảy Hiện nay, có hai quy trình ứng cứu cố coi tiêu chuẩn toàn giới Học viện SANS Viện Tiêu chuẩn Kỹ thuật quốc gia Hoa Kỳ (NIST) Bài báo giới thiệu đôi nét quy trình ứng cứu cố Học viện SANS Tình hình an ninh mạng Việt Nam giới diễn biến phức tạp, ngày có nhiều cơng vào hệ thống công nghệ thông tin quan trọng doanh nghiệp, tổ chức phủ Một cố an tồn thơng tin xảy mà khơng xử lý cách kịp thời để lại hậu khôn lường, dẫn tới phá hủy liệu làm sụp đổ hệ thống hạ tầng cơng nghệ thơng tin Giới thiệu quy trình ứng cứu cố SANS SANS viết tắt cụm từ “SysAdmin, Audit, Network and Security” Học viện SANS tổ chức tư nhân Mỹ, chuyên bảo mật thông tin, đào tạo an ninh mạng cung cấp chứng liên quan Quy trình ứng cứu cố SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi rút học 23 chứa thông tin phù hợp Những nội dung máy chủ tạm thời nội dung tĩnh, chứa mã nguồn HTML để ngăn chặn tối đa nguy bị tin tặc công Bước 6: Xem xét kết xử lý cố deface Trung tâm Công nghệ thông tin Giám sát an ninh mạng phối hợp với đơn vị quản lý vận hành xem xét kết xử lý cố deface: - Nếu xử lý: Chuyển thực đến Bước mục 2; - Nếu chưa xử lý: Thực điều phối ứng cứu cố theo Bước mục Bước 7: Điều phối ứng cứu cố deface Trung tâm Công nghệ thông tin Giám sát an ninh mạng báo cáo Lãnh đạo Ban phương án phối hợp với đơn vị quản lý vận hành thực điều phối ứng cứu cố deface Bước 8: Phục hồi hệ thống bị cố deface - Thay đổi toàn mật tài khoản quản trị hệ thống trang tin điện tử, bao gồm tài khoản người dùng đăng nhập; - Kiểm tra lưu hệ thống, phục hồi phiên phù hợp Đảm bảo lỗ hổng bảo mật phát bước phải vá an toàn; - Điều hướng truy cập người dùng trở lại trang tin điện tử khôi phục Bước 9: Tắt hệ thống dự phòng Thực ngắt kết nối, tiến trình, ứng dụng chạy hệ thống trang tin điện tử dự phòng tắt hệ thống dự phòng 1.2.3 Quy trình ứng cứu cố cơng từ chối dịch vụ 1.2.3.1 Sơ đồ quy trình 24 Hình Sơ đồ quy trình ứng cứu cố cơng từ chối dịch vụ 25 1.2.3.2 Hướng dẫn thực Bước 1: Phân tích cố DDOS - Xác định phương thức công DDOS thành phần hệ thống bị ảnh hưởng; - Xác định mục đích công nạn nhân bị ảnh hưởng; - Phân tích tương quan tải hệ thống log thu thập từ hệ thống có liên quan bị DDOS; - Xác định yếu tố để phân biệt luồng công DDOS với truy vấn bất hợp pháp như: IP nguồn, cổng đích, URL, giao thức; - Sử dụng cơng cụ hỗ trợ phân tích luồng mạng; - Thiết lập luật để phân tích luồng cơng với luồng truy cập hợp pháp Bước 2: Cô lập cố DDOS - Kiểm tra chức ứng dụng gây tượng DDOS phải tạm thời vơ hiệu hóa chức đó; - Chặn lọc luồng truy cập nghi ngờ mạng lưới botnet thông quan thiết bị an ninh tường lửa, cân tải thiết bị chuyên dụng khác; - Ngắt kết nối, tiến trình khơng cần thiết máy chủ, thiết bị định tuyến, đồng thời tinh chỉnh lại thiết lập TCP/IP; - Nếu có thể, sử dụng mạng dự phòng cách thiết lập lại DNS chế khác để tập trung tồn cơng DDOS vào IP chính; - Dùng chế định tuyến luồng truy cập dịch vụ lọc luồng truy cập; - Thiết lập lọc luồng liệu trả lời truy vấn DDOS Bước 3: Xử lý cố DDOS 26 Tùy theo trường hợp cụ thể, lựa chọn biện pháp sau: - Chặn lọc luồng truy cập dựa vào kết phân tích; - Định hướng luồng truy cập; - Định tuyến tập trung luồng DDOS vào địa IP, luồng truy cập hợp pháp định tuyến vào địa IP dự phòng Bước 4: Kết xử lý cố DDOS Đơn vị quản lý vận hành đánh giá kết xử lý định bước thực tiếp theo: - Sự cố giải quyết: Chuyển xử lý đến Bước mục Phụ lục này; - Sự cố không xử lý được: Trung tâm Công nghệ thông tin Giám sát an ninh mạng báo cáo thực điều phối ứng cứu cố Bước 5: Điều phối ứng cứu cố DDOS Trung tâm Công nghệ thông tin Giám sát an ninh mạng báo cáo Lãnh đạo Ban phương án điều phối ứng cứu cố DDOS thực quản lý, theo dõi trình ứng cứu cố Bước 6: Phục hồi hệ thống bị DDOS Thực kiểm tra dịch vụ bị tác động cố DDOS hoạt động trở lại sau: - Đảm bảo hiệu hoạt động hệ thống mức bình thường; - Thiết lập luồng truy cập trở trạng thái cũ; - Khởi động lại dịch vụ bị vơ hiệu hóa q trình xử lý cố 1.3 Kinh nghiệm ứng cứu cố công từ chối dịch vụ Trung tâm an ninh mạng quốc gia Anh Quốc (NCSC UK) Bài viết đăng tải trang https://www.ncsc.gov.uk/collection/denial-service-dos-guidance-collection 27 NCSC UK vào ngày 16/03/2016 1.3.1 Hiểu công từ chối dịch vụ "Từ chối dịch vụ" "DOS" mô tả mục tiêu cuối loạt công mạng thiết kế để khiến cho dịch vụ truy cập Các công DOS mà phổ biến công chống lại trang web đơn vị, tổ chức điều thường truyền thông đưa tin Tuy nhiên, công vào loại hệ thống nào, bao gồm hệ thống kiểm sốt cơng nghiệp sử dụng quy trình quan trọng ví dụ hệ thống điều khiển bay, hệ thống theo dõi giao thơng dẫn đến việc từ chối dịch vụ Các cơng DOS thời gian dài nhắm mục tiêu nhiều trang web hệ thống lúc Một công trở thành Distributed Denial of Service' hay DDoS nguồn cơng đến từ nhiều máy tính (hoặc nơi) thay Đây hình thức công DOS phổ biến trang web Sự khác biệt DOS DDOS: - DOS sử dụng số lượng nhỏ hệ thống cơng (có thể một) để làm q tải mục tiêu Đây loại công phổ biến ngày đầu Internet, nơi dịch vụ tương đối nhỏ quy mô công nghệ bảo mật giai đoạn trứng nước Tuy nhiên, ngày nay, công DOS đơn giản thường đơn giản để làm chệch hướng kẻ cơng dễ dàng xác định chặn - Trong công DDOS, kẻ công dùng hàng ngàn người dùng internet với người tạo số lượng nhỏ yêu cầu, cộng lại với dẫn đến tải mục tiêu Những thành phần tham gia đồng phạm nạn nhân vơ tình có thiết bị bị nhiễm phần mềm độc hại Hai loại công từ chối dịch vụ cách gây tải (overload-based): 28 - Tấn công lớp network (Overload DoS attacks at the network layer): Các công DOS thường cố gắng làm tải liên kết mạng khiến phần cứng, phần mềm mạng bị hỏng tải - Tấn công lớp ứng dụng (Overload DoS attacks at the application layer): Các công thường cố gắng tiêu thụ tài nguyên xử lý dịch vụ cách thực chức cách tạo nhiều phiên ứng dụng quy mô xử lý hệ thống 1.3.2 Các bước cần chuẩn bị ứng phó với công từ chối dịch vụ Khơng có cách giảm thiểu hết rủi ro từ công từ chối dịch có số bước thực tế giúp bạn chuẩn bị ứng phó: - Hiểu dịch vụ mình: Cần hiểu cặn kẽ điểm yếu dịch vụ bạn nơi tài nguyên bị tải (những điểm tạo nút cổ chai) - Cách thức phối hợp với nhà cung cấp: Đảm bảo nhà cung cấp dịch vụ bạn sẵn sàng đối phó, xử lý tài nguyên họ cung cấp gặp công gây cạn kiệt, tải - Khả mở rộng: Đảm bảo dịch vụ mở rộng nhanh, kịp thời để ứng phó với cơng - Kế hoạch ứng phó: Nên thiết kế dịch vụ kế hoạch cụ thể phản ứng lại công - Giám sát kiểm thử: Cần thử nghiệm khả phòng thủ bạn cách kiểm tra thường xuyên, bạn tìm cách sử dụng cơng cụ tối ưu để giám sát, đối phó hệ thống bị cơng thực 1.3.3 Hiểu sâu mơ hình, khả xử lý của hệ thống Có nhiều điểm dịch vụ bạn mà kẻ cơng làm tải tài nguyên có sẵn để ngăn hệ thống phục vụ người dùng hợp pháp Cần 29 hiểu điểm đâu trường hợp, xác định đơn vị xử lý - Kết nối mạng: • Kết nối từ bên ngồi: Băng thơng mạng tài ngun hữu hạn, người dùng truy cập hệ thống qua Internet, nhà cung cấp dịch vụ Internet cung cấp băng thông định điểm mà kẻ cơng sử dụng để làm tràn băng thơng • Các dịch vụ mà hệ thống sử dụng: hệ thống có sử dụng, kết nối đến dịch vụ khác, có khả cơng vào dịch vụ dó ảnh hưởng đến hệ thống • Kết nối mạng hệ thống: Dung lượng mạng nội hệ thống tài nguyên hữu hạn cạn kiệt Xác định thành phần mạng nội (kết nối thiết bị) tìm nút cổ chai, chẳng hạn thành phần mạng có thơng lượng thấp nơi sử dụng lúc nhiều mạng • Giao diện quản trị: Kẻ cơng ngăn chặn cách có chủ đích quản trị viên người vận hành truy cập máy chủ công - Khả xử lý: Tài ngun tính tốn sử dụng cho yêu cầu hợp pháp dịch vụ bị tải gia tăng yêu cầu phiên độc hại thông qua hoạt động chuyên sâu tính tốn thực kẻ cơng Cần xem xét điểm sau: • Khả cung cấp ứng dụng (application capacity): Kẻ cơng cố gắng tạo nhiều phiên người dùng khả đáp ứng hệ thống gọi chức ứng dụng mà tiêu tốn nhiều khả tính tốn Cả hai giảm khả phục vụ người dùng hợp pháp • Khả truy xuất sở liệu: Tùy thuộc vào kiến trúc dịch vụ hệ thống, truy vấn sở liệu cần nhiều khả tính tốn 30 Kẻ cơng tận dụng điều cách gọi chức gây tải cho máy chủ sở liệu - Dung lượng lưu trữ: Kẻ cơng cố gắng tiêu thụ dung lượng lưu trữ có sẵn bạn, dẫn đến việc ngừng hoạt động dịch vụ gây hiệu ứng “chờ đợi” đến phiên xử lý Các khía cạnh cần xem xét: • Nhật ký ứng dụng (application logs): Kẻ cơng cố làm đầy dung lượng lưu trữ có sẵn cách thực liên tục hành động cần ghi nhiều liệu vào nhật ký • Khả lưu trữ máy chủ: Nếu hệ thống cí dịch vụ gửi, nhận tệp tin, ví dụ: người dùng tải lên tệp lên trang web tệp nhận từ bên thứ ba, kẻ cơng cố gắng làm ngập dung lượng lưu trữ máy chủ chế • Khả lưu trữ sở liệu: Tương tự trên, kẻ cơng cố gắng lấp đầy khả lưu trữ sở liệu 1.3.4 Kế hoạch ứng cứu cố Việc phòng chống, phản ứng lại cơng chủ động, có hiệu có sẵn kịch sẵn sàng sử dụng số phương pháp sau đây: - Xác định người dùng ưu tiên - Chuẩn bị phương án với việc kẻ công thay đổi chiến thuật công lặp lặp lại - Retaining administrative access during an attack - Having a scalable fall-back plan for essential services, for example where it is imperative that customers are able to contact you a Xác định ưu tiên Ngay sau phát công, xác định người dùng thực sự, 31 tính để thực phục vụ riêng cho đối tượng Ví dụ: - Ưu tiên quyền truy cập dựa địa nguồn người dùng (ví dụ giới hạn truy cập vào địa IP Việt Nam) - Vô hiệu hóa nội dung tạo tự động (ví dụ: Tìm kiếm trang web khuyến nghị sản phẩm cụ thể khách hàng tính cần nhiều lực tính tốn chun sâu sở liệu) b Chuẩn bị phương án với việc kẻ công thay đổi chiến thuật công lặp lặp lại Thông thường công DDOS sóng đánh vào hệ thống, tức là, hết đợt sóng đến đợt sóng khác Mỗi sóng xảy theo cách khác kẻ cơng tìm lỗ hổng để khai thác Do cần chuẩn bị cho công phân phối nguồn lực hợp lý để đối phó với sóng sóng c Giữ quyền truy cập quản trị Khi phát bị công, cần xem xét cách quản lý dịch vụ bị công đảm bảo quản lý từ xa, quyền truy cập quản lý bị ảnh hưởng cơng vào dịch vụ Ví dụ: hệ thống cung cấp quyền truy cập quản lý thông qua mạng mạng khác ràng buộc truy cập vào danh sách cho phép vị trí đáng tin cậy Cẩn thận không dựa vào khu vực DNS công cộng có khả nhắm mục tiêu d Phục hồi dịch vụ Phải đảm bảo có lưu tệp cấu hình cho thiết bị máy chủ Điều bao gồm dịch vụ bên thứ ba mà hệ thống sử dụng ví dụ tệp cấu hình DNS Điều đặc biệt quan trọng trường hợp hệ 32 thống chịu đợt cơng hỏng hóc, địi hỏi phải triển khai lại phần hệ thống Cân nhắc đặt chế lưu để hỗ trợ dịch vụ chức quan trọng Tổng kết Chương Trong bối cảnh công mã độc ngày gia tăng với mức độ phức tạp, tinh vi hơn, việc tăng cường lực cho đội ngũ kỹ thuật chuyên trách khả ứng cứu cố mã độc nâng cao nhận thức đảm bảo an tồn thơng tin mạng ln quốc gia, quan, tổ chức, doanh nghiệp trọng Việc ứng cứu có cố mã độc xảy cần thực khoa học để đem lại hiệu cao nhất, giảm thiểu tối đa rủi ro gây hệ thống 33 Chương Một số lưu ý công tác ứng cứu cố an tồn thơng tin mạng Khi xảy cố an tồn thơng tin khơng xử lý xử lý khơng cách để lại hậu to lớn không rị rỉ liệu, thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín, hình ảnh tổ chức Sau số lưu ý công tác ứng cứu cố an tồn thơng tin mạng 2.1 Làm tốt cơng tác chuẩn bị Để ứng phó với cố ATTT kịp thời, hiệu quả, công tác chuẩn bị đóng vai trị quan trọng phương diện: người, trang thiết bị kế hoạch Về người: Con người ba yếu tố quan trọng việc ứng cứu cố Mỗi tổ chức cần có đội ngũ chuyên trách đảm nhiệm cơng việc Do đó, thành viên đội ứng cứu cố cần trang bị tốt nhiều kỹ cần thiết để ứng biến với tình phát sinh Các kỹ phục vụ cho hoạt động ứng cứu, xử lý cố gồm: kỹ cá nhân (giao tiếp viết nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…), kỹ trình độ kỹ thuật (khả lập trình, nguyên lý bảo mật, giao thức mạng, phân tích cố…) Bên cạnh đó, thành viên đội ứng cứu cố cần đạt chứng ứng cứu cố như: EC-Council Certified Incident Handler (ECIH), GIAC Certified Incident Handler (GCIH), Incident Handling & Response Professional (IHRP) Về trang thiết bị: Cần chuẩn bị sẵn công cụ, thiết bị phần cứng, phần mềm để dễ dàng nhanh chóng sử dụng cho việc ứng cứu cố cần Các công cụ bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách tay… 34 Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn kịch nhằm ứng cứu xử lý cố ATTT mạng xảy Kế hoạch ứng cứu cần xây dựng riêng cho loại cố khác nhau, cố khác cần có cách xử lý, ứng cứu khác Đối với cố có tính chất phức tạp, nằm ngồi khả xử lý cần tìm kiếm hỗ trợ quan chức năng, như: Nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Bộ Thông tin Truyền thông), Bộ Công an… 2.2 Bình tĩnh tránh hoảng loạn Khi cố nghiêm trọng xảy người tham gia họat động ứng cứu dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn Do đó, thành viên đội ứng cứu cố cần phải có khả nhận biết trạng thái căng thẳng để hỗ trợ kiểm sốt, trì bình tĩnh Cần phân bổ cơng việc phù hợp với chuyên môn thành viên, tránh giao nhiều việc cho cá nhân dẫn đên ức chế trình xử lý cố Vai trị người làm cơng tác điều phối quan trọng cố xảy Điều phối tốt giúp việc xử lý cố hiệu hơn, tránh căng thẳng không mong muốn 2.3 Xác định phạm vi ảnh hưởng cố Khi tiếp nhận thông tin cố, người tham gia ứng cứu cần xem xét thông tin liên quan đến cố như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây cố… Từ đó, đưa số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng Để xác định phạm vi ảnh hưởng xác hơn, đội ứng cứu cố cần lưu ý số thông tin quan trọng sau: nhật ký kiện (event logs), thông tin cảnh báo lỗi, liệu thiết bị tường lửa, WAF, IDS, IPS… 35 2.4 Xác định việc cần ưu tiên làm Mục đích việc làm hạn chế thiệt hại ngăn chặn thiệt hại xảy thêm Hành động ngăn chặn chia thành ngắn hạn dài hạn Ngăn chặn ngắn hạn hành động ứng phó tức thời nhằm ngăn chặn ảnh hưởng cố, không để thiệt hại lớn Hành động ngăn chặn ngắn hạn gồm hành động cô lập hệ thống bị ảnh hưởng hay chặn địa IP hệ thống an ninh Còn ngăn chặn dài hạn hoạt động sau cố, kế hoạch giúp nâng cao khả bảo mật cho hệ thống 2.5 Tránh làm liệu chứng quan trọng Mất liệu chứng liên quan đến cố vấn đề nghiêm trọng Nó đồng nghĩa với việc tổ chức phải thêm thời gian tiền bạc để khắc phục cố, làm chứng quan trọng tổ chức khơng có sở để điều tra, đưa việc pháp luật Có nhiều nguyên nhân dẫn đến liệu, trình ứng cứu xử lý cố người làm vơ tình xóa liệu, liệu bị tin tặc đánh cắp hay hỏng thiết bị lưu trữ Khi cố xảy ra, nhiều chứng lưu vết lại máy tính, có chứng trạng thái dễ bị xử lý cách (như chứng lưu RAM) Do đó, trước bắt đầu thực công việc ứng cứu cố việc lưu liệu lưu trữ chứng việc làm quan trọng Sự cố xử lý kịp thời hiệu giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức Vì vậy, đội ứng cứu cố cần có chuẩn bị tốt để đối phó với cố xảy đến tương lai 36 KẾT LUẬN Trong bối cảnh công mạng ngày gia tăng với mức độ phức tạp, tinh vi hơn, việc tăng cường lực cho đội ngũ kỹ thuật chuyên trách khả ứng cứu cố nâng cao nhận thức đảm bảo an tồn thơng tin mạng ln quốc gia, quan, tổ chức, doanh nghiệp trọng Việc ứng cứu có cố mã độc xảy cần thực khoa học để đem lại hiệu cao nhất, giảm thiểu tối đa rủi ro gây hệ thống Khi xảy cố an tồn thơng tin không xử lý xử lý không cách để lại hậu to lớn khơng rị rỉ liệu, thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín, hình ảnh tổ chức Vì vậy, để khơng bị động trước tình cơng, quan, đơn vị cần phải xây dựng quy trình ứng cứu cố công mạng, đồng thời phải thường xuyên tổ chức chương trình đào tạo, tổ chức diễn tập để trang bị kiến thức, nâng cao kỹ cho cán bộ, công chức, viên chức người lao động đơn vị, đặc biệt đội ngũ cán chuyên trách an tồn thơng tin 37 TÀI LIỆU THAM KHẢO Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin Giám sát an ninh mạng, Ban Cơ yếu Chính phủ) - Quy trình ứng cứu cố SANS http://antoanthongtin.gov.vn/giai-phap-khac/quy-trinh-ung-cuu-su-co-sans107491 Bộ Công an, Tài liệu tập huấn ứng cứu, xử lý cố an tồn thơng tin, 2020 Nguyễn Huy Trung, Nguyễn Ngọc Toàn, Đề cương giảng “Phân tích mã độc”, Học viện ANND, 2020 http://antoanthongtin.vn/giai-phap-khac/quy-trinh-ung-cuu-xu-ly-su-co-madoc-107392 Các quy trình kèm theo Quy chế điều phối, ứng cứu cố an tồn thơng tin mạng Ban Cơ yếu Chính phủ Denial of Service (DoS) guidance (của NCSC UK đăng tải vào ngày 16/03/2016) https://www.ncsc.gov.uk/collection/denial-service-dos-guidance-collection ... - CHUYÊN ĐỀ Kinh nghiệm số bộ, ngành, đơn vị việc xây dựng quy trình ứng cứu khẩn cấp cố an tồn thơng tin Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO... trình ứng cứu khẩn cấp cố ATTT Chương Một số lưu ý cơng tác ứng cứu cố an tồn thơng tin mạng 10 Chương Một số quy trình ứng cứu khẩn cấp cố ATTT 1.1 Quy trình ứng cứu cố Học viện SANS Ứng cứu cố. .. nghiên cứu - Tìm hiểu việc xây dựng quy trình ứng cứu khẩn cấp cố ATTT đơn vị - Đưa đề xuất, lưu ý xây dựng quy trình ứng cứu khẩn cấp số ATTT ngành BHXH Việt Nam Đối tượng phạm vi nghiên cứu -