Xây dựng quy trình ứng cứu sự cố an toàn thông tin nghiêm trọng tại Trung tâm dữ liệu Ngành BHXH Việt Nam

Thông tin tài liệu

Phần mở đầu i. Sự cần thiết Các sự cố an toàn thông tin đang dần trở thành mối lo ngại rất lớn đối với các tổ chức, đơn vị với bối cảnh hiện nay. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích hay nhiều những hình thức tấn công tinh vi… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này. Từ đó việc xây dựng được những quy trình điều phối, ứng cứu sự cố an toàn thông tin sẽ giúp cho việc xác định, xử lý được nhanh chóng, hiệu quả đảm bảo hoạt động thông suốt cho những hệ thống thông tin. ii. Mục tiêu nghiên cứu • Mục tiêu chung: Xác định các loại sự cố an toàn thông tin, mức độ nghiêm trọng đối với hệ thống thông tin tại Trung tâm dữ liệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể. • Mục tiêu cụ thể: o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố tại Trung tâm dữ liệu Ngành BHXH. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công mã độc. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công thay đổi giao diện. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công lừa đảo (Phishing). o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công từ chối dịch vụ (DoS/DDoS). iii. Đối tượng và phạm vi nghiên cứu • Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát hiện và xử lý sự cố an toàn thông tin tại Trung tâm dữ liệu Ngành BHXH. • Phạm vi nghiên cứu: o Không gian: Trung tâm dữ liệu và Trung tâm dữ liệu dự phòng Ngành BHXH. o Thời gian: Từ 01/01/2020 đến 01/07/2021. iv. Cách tiếp cận và phương pháp nghiên cứu • Cách tiếp cận: Thông qua việc thu thập thông tin của Trung tâm dữ liệu về cơ sở hạ tầng, an toàn thông tin và việc nghiên cứu các sự cố an toàn thông tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách ứng cứu sự cố để xây dựng quy trình ứng cứu sự cố an toàn thông tin. • Phương pháp nghiên cứu: Phân tích, xử lý số liệu để lựa chọn thông tin, tài liệu phục vụ công tác nghiên cứu đề tài. v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề o Đưa ra được quy trình ứng chung cho các sự cố an toàn thông tin tại Trung tâm dữ liệu Ngành BHXH. o Xây dựng được 6 quy trình ứng cứu sự cố tiêu biểu, có khả năng xảy ra cao đối với các hệ thống thông tin. o Áp dụng các văn bản pháp luật, văn bản hướng dẫn vào việc xây dựng, thực hiện quy trình ứng cứu sự cố an toàn thông tin. • Những vấn đề mà chuyên đề chưa thực hiện được: o Chuyên đề chưa xây dựng được quy trình ứng cứu cho một số loại sự cố như tấn công có chủ đích, sự cố do thiên tai, hiểm họa thiên nhiên… vi. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin nghiêm trọng Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Người thực hiện: Nguyễn Quang Dũng Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 Mục lục Danh mục từ viết tắt Danh mục bảng Danh mục hình Phần mở đầu Chương Một số vấn đề cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam .4 1.1 Đặc điểm hệ thống an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 1.1.1 Danh sách hệ thống thông tin 1.1.1.1 Hệ thống thông tin sử dụng nội 1.1.1.2 Hệ thống thông tin phục vụ người dân, doanh nghiệp 1.1.1.3 Hệ thống sở hạ tầng thông tin tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động nhiều quan, tổ chức .6 1.1.2 Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH 1.1.1 Giải pháp lớp mạng 1.1.2 Giải pháp lớp ứng dụng 1.1.3 Giải pháp lớp liệu 1.1.4 Giải pháp lớp endpoint (người dùng cuối) .7 1.1.3 Cấp độ hệ thống thông tin 1.2 Xác định cố an tồn thơng tin nghiêm trọng 1.3 Các loại công mạng phổ biến .9 1.3.1 Sự cố tấn công mã độc (Malware) .9 1.3.1.1 Định nghĩa 1.3.1.2 Các bước xử lý sự cố tấn công mã độc .10 1.3.1.3 Các loại mã độc 11 1.3.1.4 Cách xác định mã độc 12 1.3.1.5 Cô lập mã độc .12 1.3.1.6 Cách gỡ bỏ mã độc .13 1.3.1.7 Ngăn chặn, xử lý hậu sự cố tấn công mã độc 13 1.3.1.8 Phân tích mã độc 13 1.3.2 Sự cố tấn công thay đổi giao diện (Deface) 14 1.3.2.1 Khái niệm .14 1.3.2.2 Các bước xử lý sự cố tấn công thay đổi giao diện 15 1.3.2.3 Thu thập thông tin sự cố tấn công thay đổi giao diện 16 1.3.2.4 Phân tích thông tin sự cố tấn công thay đổi giao diện .16 1.3.2.5 Xử lý ban đầu sự cố tấn công thay đổi giao diện 16 1.3.2.6 Xử lý sự cố tấn công thay đổi giao diện .16 1.3.2.7 Khắc phục sự cố tấn công thay đổi giao diện .17 1.3.3 Sự cố tấn công lừa đảo 18 1.3.3.1 Định nghĩa 18 1.3.3.2 Các bước xử lý sự cố tấn công lừa đảo .19 1.3.3.2 Thu thập thông tin tấn công lừa đảo .19 1.3.3.3 Cách xử lý sự cố tấn công lừa đảo .20 1.3.3.4 Cách ngăn chặn, xử lý hậu tấn công lừa đảo 21 1.3.4 Sự cố tấn công từ chối dịch vụ (DoS/DDoS) 21 1.3.4.1 Định nghĩa 21 1.3.4.2 Các bước xử lý sự cố tấn công từ chối dịch vụ 22 1.3.4.3 Các loại tấn công từ chối dịch vụ 22 1.3.4.4 Xác minh sự cố tấn công từ chối dịch vụ .23 1.3.4.5 Cô lập sự cố tấn công từ chối dịch vụ 23 1.3.4.6 Xử lý sự cố tấn công từ chối dịch vụ 24 1.3.4.7 Phục hồi hệ thống bị tấn công 24 Tiểu kết chương 25 Chương Yêu cầu việc xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 26 2.1 Tuân thủ quy định ứng cứu sự cố an tồn thơng tin 26 2.1.1 Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an toàn hệ thống thông tin theo cấp độ 26 2.1.2 Thông tư 03/2017/TT-BTTTT 24/04/2017 việc quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/7/2016 chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ .26 2.1.3 Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng Quốc gia .26 2.1.4 Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 việc quy định điều phối, ứng cứu sự cố an tồn thơng tin mạng tồn quốc 27 2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 việc ứng phó sự cố bảo đảm an tồn thơng tin mạng ngành BHXH Việt Nam 27 2.2 Hiệu q trình ứng cứu khẩn cấp sự cố an tồn thông tin 27 2.2.1 Xác định đối tượng áp dụng quy trình ứng cứu sự cố an tồn thơng tin 27 2.2.2 Xác định thành phần tham gia điều phối, ứng cứu sự cố an toàn thông tin 28 2.2.3 Xây dựng, xác định cụ thể bước thực điều phối, ứng cứu sự cố an tồn thơng tin 28 2.3 Thuận lợi, dễ dàng đào tạo, hướng dẫn, tác nghiệp 29 2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố .29 2.3.2 Phương án đối phó, ứng cứu số tình sự cố cụ thể 29 Chương Xây dựng quy trình ứng cứu cố an tồn thơng tin nghiêm trọng Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam .30 3.1 Phần quy định chung 30 3.1.1 Nguyên tắc chung ứng cứu sự cố .30 3.1.2 Nguyên tắc việc báo cáo sự cố 30 3.1.3 Nguyên tắc tiếp nhận, phát hiện, phân loại xử lý ban đầu sự cố an tồn thơng tin mạng 32 3.1.4 Các lực lượng tham gia ứng phó sự cố 34 3.2 Quy trình ứng cứu sự cố an tồn thơng tin nghiêm trọng 34 3.2.1 Quy trình xử lý sự cố nghiêm trọng tấn công mã độc (Malware) .34 3.2.2 Quy trình xử lý sự cố nghiêm trọng thay đổi giao diện (Deface) .42 3.2.3 Quy trình xử lý cố nghiêm trọng công chối dịch vụ (DoS/DDoS) 49 Kết luận 56 DANH MỤC TÀI LIỆU THAM KHẢO 57 Danh mục từ viết tắt TT 10 Danh mục An tồn thơng tin Ứng cứu khẩn cấp Bảo hiểm xã hội Bảo hiểm y tế Bảo hiểm thất nghiệp Công nghệ thông tin Cơ sở liệu Bảo hiểm xã hội Denial of Service Distributed Denial of Service Chữ viết tắt, rút gọn ATTT ƯCKC BHXH BHYT BHTN CNTT CSDL BHXH DoS DDoS Danh mục bảng Bảng 1: Danh sách hệ thống thông tin nội Bảng Danh sách hệ thống thông tin phục vụ người dân, doanh nghiệp .5 Bảng Hệ thống sở hạ tầng Danh mục hình Hình Các bước xử lý sự cố tấn công mã độc 10 Hình Các bước xử lý sự cố tấn công thay đổi giao diện .15 Hình Các bước xử lý sự cố tấn công lừa đảo 19 Hình Các bước xử lý sự cố tấn công từ chối dịch vụ 22 Phần mở đầu i Sự cần thiết Các sự cố an tồn thơng tin dần trở thành mối lo ngại rất lớn tổ chức, đơn vị với bối cảnh Đặc biệt, với sự xuất ngày nhiều mã độc mã độc siêu đa hình, mã độc tống tiền, mã độc tấn cơng có chủ đích hay nhiều hình thức tấn công tinh vi… đặt vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để hệ thống mạng để loại bỏ, hạn chế rủi ro từ loại hình tấn cơng Từ việc xây dựng quy trình điều phối, ứng cứu sự cố an tồn thơng tin giúp cho việc xác định, xử lý nhanh chóng, hiệu đảm bảo hoạt động thông suốt cho hệ thống thông tin ii Mục tiêu nghiên cứu  Mục tiêu chung: Xác định loại sự cố an tồn thơng tin, mức độ nghiêm trọng hệ thống thông tin Trung tâm liệu từ xây dựng quy trình ứng cứu sự cố cụ thể  Mục tiêu cụ thể: o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố Trung tâm liệu Ngành BHXH o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công mã độc o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng thay đổi giao diện o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công lừa đảo (Phishing) o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng từ chối dịch vụ (DoS/DDoS) iii Đối tượng phạm vi nghiên cứu  Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát xử lý sự cố an tồn thơng tin Trung tâm liệu Ngành BHXH 44 - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện: o Xác định máy chủ, ứng dụng bị ảnh hưởng tấn cơng o Xác định /dự đồn yếu tố, lý do, nguyên nhân gây web defacement Nguyên nhân theo trường hợp sau:  Nguyên nhân lỗ hổng bảo mật lợi dụng để thực Web Defacement XSS, SQLi, upload file,  Khai thác thơng qua CMS:  CMS có chứa lỗ hổng cho phép kẻ tấn công khai thác  Tài khoản CMS bị lộ (sử dụng mật yếu, dùng chung mật khẩu, )  Xác định danh sách người dùng hệ thống CMS, truy vết tìm kiếm thơng tin người dùng liên quan đến sự cố  Nhân viên nội cố tình nhằm mục đích xấu o Xác định mức độ quan trọng máy chủ ứng dụng (website quan trọng có ảnh hưởng tới hình ảnh, hoạt động tổ chức hay khơng?) Từ xác định mức độ quan trọng ưu tiên sự cố o Xác định luồng logic tấn công, thời gian sự kiện liên quan tới sự cố o Rà soát webshell máy chủ trang tin điện tử o Rà sốt tiến trình có dấu hiệu khả nghi, đặc biệt tiến trình có ngày tạo trùng với thời gian ghi nhận tấn công o Thu thập thông tin nhật ký từ máy chủ, thiết bị lưu trữ, ứng dụng thành phần khác o Thu thập thông tin sự kiện từ hệ thống bảo vệ, giám sát an tồn thơng tin mạng o Thu thập thơng tin khác có liên quan đến sự cố e Phân tích, giám sát tình hình liên quan sự cố - Đơn vị chủ trì: Trung tâm CNTT 45 - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện: Giám sát liên tục diễn biến sự cố thông báo, cập nhật đến đơn vị liên quan tác nghiệp ứng cứu khẩn cấp - Các đơn vị liên quan tác nghiệp ứng cứu khẩn cấp dựa thông tin thu thập được, sử dụng nguồn lực, phương tiện quy trình nghiệp vụ để tiến hành phân tích sự cố Kết phân tích sự cố báo cáo Trung tâm CNTT, TTBCĐ BHXH VN chia sẻ Nhóm tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố - Các bước phân tích sự cố thay đổi giao diện: o Kiểm tra thông tin cố định tệp tin như: ngày thay đổi nội dung, giá trị băm file, tài khoản thay đổi nội dung … o Kiểm tra, phân tích nội dung nhúng từ trang tin điện tử khác o Kiểm tra đường dẫn trang tin điện tử (src, meta, css, script, …) o Kiểm tra, phân tích file nhật ký o Phân tích khả bị lợi dụng cấu hình sai o Phân tích khả khai thác lỗ hổng ứng dụng o Rò quét sở liệu để phát nội dung chứa mã độc f Khắc phục sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện:  Trong trường hợp chưa có hệ thống dự phòng, chuẩn bị máy chủ web tạm thời Nội dung máy chủ tạm thời giống với nội dung máy chủ bị tấn công hoặc ít nhất chứa thông tin phù hợp Những nội dung máy chủ tạm thời nội dung tĩnh, chứa nhất mã nguồn HTML để ngăn chặn tối đa nguy bị tin tặc tấn công  Sao lưu toàn liệu máy chủ trang tin điện tử để phục vụ điều tra chứng số, tốt nhất thực lưu bit-by-bit toàn ổ cứng máy chủ 46  Kiểm tra kiến trúc hệ thống mạng, đảm bảo phát tất lỗ hổng bị khai thác cách sau:  Kiểm tra hệ điều hành máy chủ chạy ứng dụng web  Kiểm tra dịch vụ khác chạy máy chủ trang tin điện tử  Kiểm tra toàn hệ thống khác kết nối tới máy chủ trang tin điện tử bị tin tặc tấn cơng  Nếu ng̀n tấn công từ hệ thống khác mạng, ngắt kết nối mạng hệ thống (nếu có thể)  Tìm ngun nhân tin tặc tấn công vào hệ thống thực vá lỗ hổng này:  Lỗ hổng từ thành phần Website cho phép quyền ghi vá thành phần editor trang tin điện tử  Sửa lỗi thư mục public trang tin điện tử  Sửa lỗi mã ng̀n SQL có lỗi injection  Xóa bỏ thành phần nhúng  Phân lại quyền quản trị để thay đổi cách truy cập trực tiếp vào máy chủ g Ngăn chặn, xử lý hậu quả: - Trung tâm CNTT đơn vị liên quan có trách nhiệm xử lý hậu sự cố hệ thống thơng tin gây ảnh hưởng đến người dân, quan, tổ chức khác o Cập nhật vá bảo mật khắc phục lỗ hổng bảo mật (nếu có) bị lợi dụng khai thác tấn cơng o Thay đổi tồn mật tài khoản quản trị hệ thống trang tin điện tử, bao gồm tài khoản người dùng đăng nhập o Kiểm tra lưu hệ thống, phục hồi phiên phù hợp nhất Đảm bảo lỗ hổng bảo mật phát bước phải vá an toàn o Điều hướng truy cập người dùng trở lại trang tin điện tử đã khôi phục o Đối với trang tin điện tử quan trọng, cần phải chuẩn bị sẵn máy chủ web tạm thời, thường xuyên cập nhật Nội dung máy chủ tạm thời giống với nội dung máy chủ bị tấn công hoặc ít nhất chứa thông tin phù hợp Những nội dung máy chủ tạm thời 47 nội dung tĩnh, chứa nhất mã nguồn HTML để ngăn chặn tối đa nguy bị tin tặc tấn công - Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp, dựa kết phân tích, điều tra, sử dụng nguồn lực, phương tiện nghiệp vụ để tiến hành ngăn chặn hành vi gây sự cố hỗ trợ xử lý hậu h Xác minh nguyên nhân truy tìm ng̀n gốc: Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau phân tích sự cố, tham khảo kết phân tích sự cố đơn vị khác, sử dụng ng̀n tin quy trình nghiệp vụ mình, chủ động điều tra chi tiết nguyên nhân truy tìm nguồn gốc, gửi Trung tâm CNTT, TTBCĐ BHXH VN để tổng hợp, xác minh, báo cáo Cơ quan ĐPQG Ban Chỉ đạo quốc gia thông tin liên quan, cụ thể bao gồm: - Đối tượng bị tấn công; - Phương thức thủ đoạn tấn cơng (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại); - Thời gian tấn công; - Các thiệt hại đã xảy ra; - Đối tượng tấn cơng; - Dự đốn khả xảy tấn công tương tự thiệt hại III.2.2.6 Đánh giá kết triển khai phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu III.2.2.7 Kết thúc - Đơn Đơn vị chủ trì: TTBCĐ BHXH VN - Nội dung thực hiện: TTBCĐ BHXH VN kết đánh giá Trung tâm CNTT thực hoàn tất nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp: o Lưu hồ sơ, tài liệu lưu trữ; o Xây dựng, đúc rút học, kinh nghiệm; o Đề xuất kiến nghị kỹ thuật, chính sách để hạn chế thiệt hại xảy tấn công tương tự; o Báo cáo quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông cần thiết 48 o Review tồn q trình xử lý sự cố, rút kinh nghiệm với điểm cịn tờn o Xem xét bổ sung, sửa đổi kiến thức (Quy trình, playbook xử lý sự cố hay tập luật firewall rule, SIEM rule, ) nhằm phát sớm sự cố tương tự, tăng hiệu suất chất lượng xử lý sự cố trương lai o Công bố thông tin (nếu thích hợp) phù hợp với chiến lược truyền thông tổ chức Các thông khiến thương hiệu tổ chức bị tổn thương hoặc dẫn tới tin cung cấp không kích động khác III.2.3 Quy trình xử lý cố nghiêm trọng công chối dịch vụ (DoS/DDoS) III.2.3.1 Phát tiếp nhận sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: Trung tâm CNTT chịu trách nhiệm liên tục theo dõi, phát tấn công, sự cố Cụ thể: o Cách phát sự cố:  Cấu hình hệ thống SIEM (quản lý tập trung log) để đẩy thông tin cảnh báo liên quan đến cảnh báo hệ thống SOC Platform  Thơng tin tình báo mạng (Threat Intelligence) để phát sớm hành vi tấn công tin tặc  Thực săn tìm (hunting) để phát hành vi bất thường hệ thống qua hệ thống lưu trữ log tập trung (SIEM) - Xác định mức độ, phạm vi ảnh hưởng: Xác định thiết bị, phân vùng, hệ thống, máy chủ bị ảnh hưởng III.2.3.2 Xác minh, phân tích, đánh giá phân loại sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng a Xác minh sự cố: - Tình trạng sự cố: 49 o Xác định phương thức tấn công DDOS thành phần hệ thống bị ảnh hưởng o Xác định luồng logic tấn công, thời gian sự kiện liên quan tới sự cố o Xác định mục đích tấn công hoặc nạn nhân bị ảnh hưởng o Phân tích tương quan tải hệ thống log thu thập từ hệ thống có liên quan bị DOS/DDOS o Xác định yếu tố để phân biệt luồng tấn công DOS/DDOS với truy vấn bất hợp pháp như: IP nguồn, cổng đích, URL, giao thức o Sử dụng công cụ hỗ trợ, phối hợp với nhà cung cấp mạng (ISP) để xác định để phân tích luồng mạng o Thiết lập luật để phân tích luồng tấn công với luồng truy cập hợp pháp o Xác định lỗ hổng bảo mật lợi dụng để gây nên DOS/DDOS (nếu có) - Mức độ sự cố - Phạm vi ảnh hưởng sự cố: - Đối tượng, địa điểm xảy sự cố b Sau xác minh sự cố, Trung tâm CNTT có trách nhiệm phân loại sự cố triển khai tiếp sau: - Trường hợp sự cố phân loại thông thường Trung tâm CNTT thơng báo cho bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an tồn thơng tin mạng thơng thường - Trường hợp sự cố phân loại nghiêm trọng Trung tâm CNTT báo cáo TTBCĐ BHXH VN Cơ quan ĐPQG sự cố nghiêm trọng với đề xuất: Phương án ứng cứu; đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập phận tác nghiệp ứng cứu khẩn cấp III.2.3.3 Lựa chọn phương án triệu tập thành viên phận tác nghiệp ứng cứu khẩn cấp Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu III.2.3.4 Triển khai phương án ứng cứu ban đầu - Đơn vị chủ trì: Trung tâm CNTT 50 - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: a Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu: - Các sự cố liên quan đã xảy - Đối tượng bị ảnh hưởng - Phạm vi bị ảnh hưởng - Các mục tiêu ưu tiên khắc phục sự cố (khôi phục hoạt động, bảo đảm bí mật liệu; bảo đảm tính tồn vẹn liệu) - Dự đốn diễn biến xảy b Điều phối hoạt động ứng cứu ban đầu: Trung tâm CNTT thực điều phối chia sẻ thông tin, tài liệu liên quan đến tình ứng cứu cho thành viên tham gia theo chức năng, nhiệm vụ giao c Báo cáo sự cố mạng lưới ứng cứu quốc gia: Trung tâm CNTT (Thành viên mạng lưới ƯCSC quốc gia) thực cảnh báo cho thành viên mạng lưới đối tượng có liên quan hoặc có khả xảy sự cố tương tự d Tiến hành biện pháp khôi phục tạm thời: Trung tâm CNTT phối hợp với nhà cung cấp dịch vụ quan chức khác tiến hành khôi phục số hoạt động, liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại hệ thống thông tin, ảnh hưởng uy tín quan chủ quản, quản lý hệ thống hoặc gây ảnh hưởng xấu tới xã hội e Xử lý hậu ban đầu: Trung tâm CNTT cần nhanh chóng tiến hành biện pháp khắc phục khẩn cấp hậu quả, thiệt hại gây làm ảnh hưởng đến người dân, xã hội, quan, tổ chức khác Cụ thể: - Thực cô lập sự cố tấn công từ chối dịch vụ: o Kiểm tra chức ứng dụng gây tượng DOS/DDOS phải tạm thời vơ hiệu hóa chức o Chặn lọc luồng truy cập nghi ngờ mạng lưới botnet thông quan thiết bị an ninh tường lửa, cân tải hoặc thiết bị chuyên dụng khác o Ngắt kết nối, tiến trình khơng cần thiết máy chủ, thiết bị định tuyến, đồng thời tinh chỉnh lại thiết lập TCP/IP 51 o Nếu có thể, sử dụng mạng dự phịng cách thiết lập lại DNS hoặc chế khác để tập trung tồn tấn cơng DOS/DDOS vào IP chính o Dùng chế định tuyến luồng truy cập dịch vụ lọc luồng truy cập o Thiết lập lọc luồng liệu trả lời truy vấn DOS/DDOS III.2.3.5 Triển khai phương án ứng cứu khẩn cấp a Chỉ đạo xử lý sự cố Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu b Điều phối công tác ứng cứu Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu c Phát ngôn công bố thông tin Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu d Thu thập thơng tin: - Đơn vị chủ trì Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: o Xác định loại hình tấn công từ chối dịch vụ o Xác định mục đích tấn công o Xác định tải hệ thống thời gian bị tấn công o Xác định thông tin địa IP dùng để thực tấn công o Phối hợp nhà cung cấp mạng (ISP) để xác định để phân tích luồng mạng e Phân tích, giám sát tình hình liên quan sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng 52 - Nội dung thực hiện: Giám sát liên tục diễn biến sự cố thông báo, cập nhật đến đơn vị liên quan tác nghiệp ứng cứu khẩn cấp - Các đơn vị liên quan tác nghiệp ứng cứu khẩn cấp dựa thông tin thu thập được, sử dụng ng̀n lực, phương tiện quy trình nghiệp vụ để tiến hành phân tích sự cố Kết phân tích sự cố báo cáo Trung tâm CNTT, TTBCĐ BHXH VN chia sẻ Nhóm tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố f Khắc phục sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật - Nội dung thực hiện: o Xử lý sự cố:  Điều chỉnh, chặn lưu lượng DDoS, request bất thường thông qua thiết bị/giải pháp bảo mật router, firewall, load balancer,  Tăng băng thông, tăng connection tối đa, giảm connection timeout, giới hạn tốc độ tạo kết nối IP firewall Xem xét tạm thời thay thiết bị có khả chịu tải cao  Điều hướng truy cập tới website hoặc network khác sử dụng DNS hoặc chế tương tự (blackhole routing)  Xem xét tạm thời chặn kết nối từ IP nước kết nối truy cập tới dịch vụ, ứng dụng bị ảnh hưởng hoặc whitelist danh sách IP/dải IP phép kết nối (nếu có thể)  Trường hợp có lỗ hổng bảo mật đã bị lợi dụng tấn công, thực ngắn chặn tạm thời theo payload khai thác lỗi (firewall, waf, ) hoặc tạm thời vơ hiệu hóa chức liên quan tới lỗ hổng bảo mật  Trường hợp cần thiết, liên hệ với ISP hỗ trợ việc ngăn chặn, loại bỏ IP, lưu lượng truy cập nhắm mục tiêu đến dịch vụ, ứng dụng bị ảnh hưởng o Phục hồi hệ thống bị tấn công:  Cập nhật vá bảo mật khắc phục lỗ hổng bảo mật (nếu có) bị lợi dụng khai thác tấn công  Thiết lập cấu hình DNS trở ban đầu (nếu có thay đổi) 53  Bật lại chức ứng dụng đã tạm vơ hiệu hóa sau đã khắc phục lỗ hổng bảo mật (nếu có)  Kiểm tra cấu hình hệ thống thiết bị, máy chủ, firewall nhằm tăng khả xử lý, giảm connection timeout, ngăn chặn tấn công DoS Flood g Ngăn chặn, xử lý hậu quả: - Trung tâm CNTT đơn vị liên quan có trách nhiệm xử lý hậu sự cố hệ thống thông tin gây ảnh hưởng đến người dân, quan, tổ chức khác Các nội dung cần thực để khôi phục hoạt động hệ thống: o Khôi phục hoạt động với thành phần xảy sự cố o Theo dõi hoạt động hệ thống, thành phần gặp sự cố o Cài đặt cảnh báo, ngưỡng cảnh báo phù hợp để nhanh chóng phát bất thường hệ thống - Các cá nhân thuộc thành phần tác nghiệp ứng cứu khẩn cấp ngành BHXH tham gia điều tra, phân tích, xử lý sự cố đưa biện pháp ngăn chặn chống tải diễn cách tấn công lừa đảo ngành đơn vị h Xác minh nguyên nhân truy tìm ng̀n gốc: Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau phân tích sự cố, tham khảo kết phân tích sự cố đơn vị khác, sử dụng nguồn tin quy trình nghiệp vụ mình, chủ động điều tra chi tiết ngun nhân truy tìm ng̀n gốc, gửi Trung tâm CNTT, TTBCĐ BHXH VN để tổng hợp, xác minh, báo cáo Cơ quan ĐPQG Ban Chỉ đạo quốc gia thông tin liên quan, cụ thể bao gồm: - Đối tượng bị tấn công; - Phương thức thủ đoạn tấn cơng (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại); - Thời gian tấn công; - Các thiệt hại đã xảy ra; - Đối tượng tấn cơng; - Dự đốn khả xảy tấn công tương tự thiệt hại III.2.3.6 Đánh giá kết triển khai phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu 54 III.2.3.7 Kết thúc - Đơn vị chủ trì: TTBCĐ BHXH VN - Nội dung thực hiện: TTBCĐ BHXH VN kết đánh giá Trung tâm CNTT thực hoàn tất nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp: o Lưu hồ sơ, tài liệu lưu trữ; o Xây dựng, đúc rút học, kinh nghiệm; o Đề xuất kiến nghị kỹ thuật, chính sách để hạn chế thiệt hại xảy tấn công tương tự; o Báo cáo quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông cần thiết o Review tồn q trình xử lý sự cố, rút kinh nghiệm với điểm cịn tờn o Xem xét bổ sung, sửa đổi kiến thức (Quy trình, playbook xử lý sự cố hay tập luật firewall rule, SIEM rule, ) nhằm phát sớm sự cố tương tự, tăng hiệu suất chất lượng xử lý sự cố trương lai o Công bố thông tin (nếu thích hợp) phù hợp với chiến lược truyền thông Các thông tin cung cấp không khiến thương hiệu bị tổn thương hoặc dẫn tới kích động khác Kết luận Cơ sở liệu quốc gia Bảo hiểm Cơ sở liệu quốc gia lưu trữ thông tin bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp thông tin y tế, an sinh xã hội quan có thẩm quyền ghi nhận đảm bảo quyền lợi, nghĩa vụ bảo hiểm công dân Đây số CSDL Quốc gia quan trọng liên quan trực tiếp đến người dân Chính phủ ưu tiên triển khai để tạo tảng phát triển chính phủ điện tử chuyển đổi số Quốc gia Đối với hệ thống thông tin quan trọng cần xây dựng tình huống, kịch sự cố cụ thể đưa phương án đối phó, ứng cứu sự cố tương ứng Trong phương án đối phó, ứng cứu phải đặt tiêu chí để nhanh chóng xác định tính chất, mức độ sự cố sự cố xảy 55 Đờng thời, quy trình ứng cứu sự cố cần có sự phân vai rõ ràng để thành phần thực vai trò, trách nhiệm đảm bảo xử lý nhanh chóng sự cố tránh gây thiệt hại cho, đơn vị chủ quản, người dân, doanh nghiệp Từ đó, nhóm thành viên đề tài đã đề xuất quy trình ứng phó sự cố an tồn thơng tin, cụ thể 04 sự cố tấn công mạng phổ biến nghiêm trọng 56 DANH MỤC TÀI LIỆU THAM KHẢO Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an toàn hệ thống thông tin theo cấp độ Thông tư 03/2017/TT-BTTTT 24/04/2017 việc quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/7/2016 chính phủ bảo đảm an toàn hệ thống thông tin theo cấp độ Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng Quốc gia Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 việc quy định điều phối, ứng cứu sự cố an tồn thơng tin mạng tồn quốc Thông tư số 24/2020/TT-BTTTT ngày 09/09/2020 quy định công tác triển khai, giám sát công tác triển khai nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 việc ứng phó sự cố bảo đảm an tồn thơng tin mạng ngành BHXH Việt Nam Tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn hệ thống thông tin theo cấp độ Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 ISO/IEC 27001:2013 "Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các u cầu" TCVN ISO/IEC 27002:2020 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an tồn thơng tin 10.TCVN 9801-3:2014 Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng - Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát (ISO/IEC 27033-3:2010) 11 TCVN 9801-2:2015 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng (ISO/IEC 27033-2:2012) 12 TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn Quản lý sự cố an toàn thông tin 57 13 Lê Nguyên Bồng (2021) “Giải pháp hoàn thiện việc xây dựng vận hành sở liệu điện tử quản lý bảo hiểm xã hội phạm vi nước” 14 Hoàng Đăng Trị nhóm nghiên cứu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (2017) Nghiên cứu xây dựng tiêu chuẩn “Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đảm bảo sự phù hợp đầy đủ theo phương pháp điều tra sự cố” ... việc xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 2.1 Tuân thủ quy định ứng cứu cố an tồn thơng tin Việc xây dựng quy trình ứng cứu cần tuân thủ quy. .. HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN... sự cố an toàn thông tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Chương Yêu cầu việc xây dựng quy trình ứng cứu sự cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam

Ngày đăng: 28/10/2022, 14:16

Xem thêm: