1. Trang chủ
  2. » Luận Văn - Báo Cáo

Xây dựng quy trình ứng cứu sự cố an toàn thông tin nghiêm trọng tại Trung tâm dữ liệu Ngành BHXH Việt Nam

67 23 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 67
Dung lượng 475,93 KB

Nội dung

Phần mở đầu i. Sự cần thiết Các sự cố an toàn thông tin đang dần trở thành mối lo ngại rất lớn đối với các tổ chức, đơn vị với bối cảnh hiện nay. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích hay nhiều những hình thức tấn công tinh vi… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này. Từ đó việc xây dựng được những quy trình điều phối, ứng cứu sự cố an toàn thông tin sẽ giúp cho việc xác định, xử lý được nhanh chóng, hiệu quả đảm bảo hoạt động thông suốt cho những hệ thống thông tin. ii. Mục tiêu nghiên cứu • Mục tiêu chung: Xác định các loại sự cố an toàn thông tin, mức độ nghiêm trọng đối với hệ thống thông tin tại Trung tâm dữ liệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể. • Mục tiêu cụ thể: o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố tại Trung tâm dữ liệu Ngành BHXH. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công mã độc. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công thay đổi giao diện. o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công lừa đảo (Phishing). o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công từ chối dịch vụ (DoS/DDoS). iii. Đối tượng và phạm vi nghiên cứu • Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát hiện và xử lý sự cố an toàn thông tin tại Trung tâm dữ liệu Ngành BHXH. • Phạm vi nghiên cứu: o Không gian: Trung tâm dữ liệu và Trung tâm dữ liệu dự phòng Ngành BHXH. o Thời gian: Từ 01/01/2020 đến 01/07/2021. iv. Cách tiếp cận và phương pháp nghiên cứu • Cách tiếp cận: Thông qua việc thu thập thông tin của Trung tâm dữ liệu về cơ sở hạ tầng, an toàn thông tin và việc nghiên cứu các sự cố an toàn thông tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách ứng cứu sự cố để xây dựng quy trình ứng cứu sự cố an toàn thông tin. • Phương pháp nghiên cứu: Phân tích, xử lý số liệu để lựa chọn thông tin, tài liệu phục vụ công tác nghiên cứu đề tài. v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề o Đưa ra được quy trình ứng chung cho các sự cố an toàn thông tin tại Trung tâm dữ liệu Ngành BHXH. o Xây dựng được 6 quy trình ứng cứu sự cố tiêu biểu, có khả năng xảy ra cao đối với các hệ thống thông tin. o Áp dụng các văn bản pháp luật, văn bản hướng dẫn vào việc xây dựng, thực hiện quy trình ứng cứu sự cố an toàn thông tin. • Những vấn đề mà chuyên đề chưa thực hiện được: o Chuyên đề chưa xây dựng được quy trình ứng cứu cho một số loại sự cố như tấn công có chủ đích, sự cố do thiên tai, hiểm họa thiên nhiên… vi. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin nghiêm trọng Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Người thực hiện: Nguyễn Quang Dũng Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 BẢO HIỂM XÃ HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM Chủ nhiệm: KS Lê Vũ Toàn Hà Nội - 2022 Mục lục Danh mục từ viết tắt Danh mục bảng Danh mục hình Phần mở đầu Chương Một số vấn đề cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam .4 1.1 Đặc điểm hệ thống an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 1.1.1 Danh sách hệ thống thông tin 1.1.1.1 Hệ thống thông tin sử dụng nội 1.1.1.2 Hệ thống thông tin phục vụ người dân, doanh nghiệp 1.1.1.3 Hệ thống sở hạ tầng thông tin tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động nhiều quan, tổ chức .6 1.1.2 Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH 1.1.1 Giải pháp lớp mạng 1.1.2 Giải pháp lớp ứng dụng 1.1.3 Giải pháp lớp liệu 1.1.4 Giải pháp lớp endpoint (người dùng cuối) .7 1.1.3 Cấp độ hệ thống thông tin 1.2 Xác định cố an tồn thơng tin nghiêm trọng 1.3 Các loại công mạng phổ biến .9 1.3.1 Sự cố tấn công mã độc (Malware) .9 1.3.1.1 Định nghĩa 1.3.1.2 Các bước xử lý sự cố tấn công mã độc .10 1.3.1.3 Các loại mã độc 11 1.3.1.4 Cách xác định mã độc 12 1.3.1.5 Cô lập mã độc .12 1.3.1.6 Cách gỡ bỏ mã độc .13 1.3.1.7 Ngăn chặn, xử lý hậu sự cố tấn công mã độc 13 1.3.1.8 Phân tích mã độc 13 1.3.2 Sự cố tấn công thay đổi giao diện (Deface) 14 1.3.2.1 Khái niệm .14 1.3.2.2 Các bước xử lý sự cố tấn công thay đổi giao diện 15 1.3.2.3 Thu thập thông tin sự cố tấn công thay đổi giao diện 16 1.3.2.4 Phân tích thông tin sự cố tấn công thay đổi giao diện .16 1.3.2.5 Xử lý ban đầu sự cố tấn công thay đổi giao diện 16 1.3.2.6 Xử lý sự cố tấn công thay đổi giao diện .16 1.3.2.7 Khắc phục sự cố tấn công thay đổi giao diện .17 1.3.3 Sự cố tấn công lừa đảo 18 1.3.3.1 Định nghĩa 18 1.3.3.2 Các bước xử lý sự cố tấn công lừa đảo .19 1.3.3.2 Thu thập thông tin tấn công lừa đảo .19 1.3.3.3 Cách xử lý sự cố tấn công lừa đảo .20 1.3.3.4 Cách ngăn chặn, xử lý hậu tấn công lừa đảo 21 1.3.4 Sự cố tấn công từ chối dịch vụ (DoS/DDoS) 21 1.3.4.1 Định nghĩa 21 1.3.4.2 Các bước xử lý sự cố tấn công từ chối dịch vụ 22 1.3.4.3 Các loại tấn công từ chối dịch vụ 22 1.3.4.4 Xác minh sự cố tấn công từ chối dịch vụ .23 1.3.4.5 Cô lập sự cố tấn công từ chối dịch vụ 23 1.3.4.6 Xử lý sự cố tấn công từ chối dịch vụ 24 1.3.4.7 Phục hồi hệ thống bị tấn công 24 Tiểu kết chương 25 Chương Yêu cầu việc xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 26 2.1 Tuân thủ quy định ứng cứu sự cố an tồn thơng tin 26 2.1.1 Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an toàn hệ thống thông tin theo cấp độ 26 2.1.2 Thông tư 03/2017/TT-BTTTT 24/04/2017 việc quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/7/2016 chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ .26 2.1.3 Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng Quốc gia .26 2.1.4 Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 việc quy định điều phối, ứng cứu sự cố an tồn thơng tin mạng tồn quốc 27 2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 việc ứng phó sự cố bảo đảm an tồn thơng tin mạng ngành BHXH Việt Nam 27 2.2 Hiệu q trình ứng cứu khẩn cấp sự cố an tồn thông tin 27 2.2.1 Xác định đối tượng áp dụng quy trình ứng cứu sự cố an tồn thơng tin 27 2.2.2 Xác định thành phần tham gia điều phối, ứng cứu sự cố an toàn thông tin 28 2.2.3 Xây dựng, xác định cụ thể bước thực điều phối, ứng cứu sự cố an tồn thơng tin 28 2.3 Thuận lợi, dễ dàng đào tạo, hướng dẫn, tác nghiệp 29 2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố .29 2.3.2 Phương án đối phó, ứng cứu số tình sự cố cụ thể 29 Chương Xây dựng quy trình ứng cứu cố an tồn thơng tin nghiêm trọng Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam .30 3.1 Phần quy định chung 30 3.1.1 Nguyên tắc chung ứng cứu sự cố .30 3.1.2 Nguyên tắc việc báo cáo sự cố 30 3.1.3 Nguyên tắc tiếp nhận, phát hiện, phân loại xử lý ban đầu sự cố an tồn thơng tin mạng 32 3.1.4 Các lực lượng tham gia ứng phó sự cố 34 3.2 Quy trình ứng cứu sự cố an tồn thơng tin nghiêm trọng 34 3.2.1 Quy trình xử lý sự cố nghiêm trọng tấn công mã độc (Malware) .34 3.2.2 Quy trình xử lý sự cố nghiêm trọng thay đổi giao diện (Deface) .42 3.2.3 Quy trình xử lý cố nghiêm trọng công chối dịch vụ (DoS/DDoS) 49 Kết luận 56 DANH MỤC TÀI LIỆU THAM KHẢO 57 Danh mục từ viết tắt TT 10 Danh mục An tồn thơng tin Ứng cứu khẩn cấp Bảo hiểm xã hội Bảo hiểm y tế Bảo hiểm thất nghiệp Công nghệ thông tin Cơ sở liệu Bảo hiểm xã hội Denial of Service Distributed Denial of Service Chữ viết tắt, rút gọn ATTT ƯCKC BHXH BHYT BHTN CNTT CSDL BHXH DoS DDoS Danh mục bảng Bảng 1: Danh sách hệ thống thông tin nội Bảng Danh sách hệ thống thông tin phục vụ người dân, doanh nghiệp .5 Bảng Hệ thống sở hạ tầng Danh mục hình Hình Các bước xử lý sự cố tấn công mã độc 10 Hình Các bước xử lý sự cố tấn công thay đổi giao diện .15 Hình Các bước xử lý sự cố tấn công lừa đảo 19 Hình Các bước xử lý sự cố tấn công từ chối dịch vụ 22 Phần mở đầu i Sự cần thiết Các sự cố an tồn thơng tin dần trở thành mối lo ngại rất lớn tổ chức, đơn vị với bối cảnh Đặc biệt, với sự xuất ngày nhiều mã độc mã độc siêu đa hình, mã độc tống tiền, mã độc tấn cơng có chủ đích hay nhiều hình thức tấn công tinh vi… đặt vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để hệ thống mạng để loại bỏ, hạn chế rủi ro từ loại hình tấn cơng Từ việc xây dựng quy trình điều phối, ứng cứu sự cố an tồn thơng tin giúp cho việc xác định, xử lý nhanh chóng, hiệu đảm bảo hoạt động thông suốt cho hệ thống thông tin ii Mục tiêu nghiên cứu  Mục tiêu chung: Xác định loại sự cố an tồn thơng tin, mức độ nghiêm trọng hệ thống thông tin Trung tâm liệu từ xây dựng quy trình ứng cứu sự cố cụ thể  Mục tiêu cụ thể: o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố Trung tâm liệu Ngành BHXH o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công mã độc o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng thay đổi giao diện o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công lừa đảo (Phishing) o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng từ chối dịch vụ (DoS/DDoS) iii Đối tượng phạm vi nghiên cứu  Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát xử lý sự cố an tồn thơng tin Trung tâm liệu Ngành BHXH 44 - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện: o Xác định máy chủ, ứng dụng bị ảnh hưởng tấn cơng o Xác định /dự đồn yếu tố, lý do, nguyên nhân gây web defacement Nguyên nhân theo trường hợp sau:  Nguyên nhân lỗ hổng bảo mật lợi dụng để thực Web Defacement XSS, SQLi, upload file,  Khai thác thơng qua CMS:  CMS có chứa lỗ hổng cho phép kẻ tấn công khai thác  Tài khoản CMS bị lộ (sử dụng mật yếu, dùng chung mật khẩu, )  Xác định danh sách người dùng hệ thống CMS, truy vết tìm kiếm thơng tin người dùng liên quan đến sự cố  Nhân viên nội cố tình nhằm mục đích xấu o Xác định mức độ quan trọng máy chủ ứng dụng (website quan trọng có ảnh hưởng tới hình ảnh, hoạt động tổ chức hay khơng?) Từ xác định mức độ quan trọng ưu tiên sự cố o Xác định luồng logic tấn công, thời gian sự kiện liên quan tới sự cố o Rà soát webshell máy chủ trang tin điện tử o Rà sốt tiến trình có dấu hiệu khả nghi, đặc biệt tiến trình có ngày tạo trùng với thời gian ghi nhận tấn công o Thu thập thông tin nhật ký từ máy chủ, thiết bị lưu trữ, ứng dụng thành phần khác o Thu thập thông tin sự kiện từ hệ thống bảo vệ, giám sát an tồn thơng tin mạng o Thu thập thơng tin khác có liên quan đến sự cố e Phân tích, giám sát tình hình liên quan sự cố - Đơn vị chủ trì: Trung tâm CNTT 45 - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện: Giám sát liên tục diễn biến sự cố thông báo, cập nhật đến đơn vị liên quan tác nghiệp ứng cứu khẩn cấp - Các đơn vị liên quan tác nghiệp ứng cứu khẩn cấp dựa thông tin thu thập được, sử dụng nguồn lực, phương tiện quy trình nghiệp vụ để tiến hành phân tích sự cố Kết phân tích sự cố báo cáo Trung tâm CNTT, TTBCĐ BHXH VN chia sẻ Nhóm tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố - Các bước phân tích sự cố thay đổi giao diện: o Kiểm tra thông tin cố định tệp tin như: ngày thay đổi nội dung, giá trị băm file, tài khoản thay đổi nội dung … o Kiểm tra, phân tích nội dung nhúng từ trang tin điện tử khác o Kiểm tra đường dẫn trang tin điện tử (src, meta, css, script, …) o Kiểm tra, phân tích file nhật ký o Phân tích khả bị lợi dụng cấu hình sai o Phân tích khả khai thác lỗ hổng ứng dụng o Rò quét sở liệu để phát nội dung chứa mã độc f Khắc phục sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp giải pháp hệ thống - Nội dung thực hiện:  Trong trường hợp chưa có hệ thống dự phòng, chuẩn bị máy chủ web tạm thời Nội dung máy chủ tạm thời giống với nội dung máy chủ bị tấn công hoặc ít nhất chứa thông tin phù hợp Những nội dung máy chủ tạm thời nội dung tĩnh, chứa nhất mã nguồn HTML để ngăn chặn tối đa nguy bị tin tặc tấn công  Sao lưu toàn liệu máy chủ trang tin điện tử để phục vụ điều tra chứng số, tốt nhất thực lưu bit-by-bit toàn ổ cứng máy chủ 46  Kiểm tra kiến trúc hệ thống mạng, đảm bảo phát tất lỗ hổng bị khai thác cách sau:  Kiểm tra hệ điều hành máy chủ chạy ứng dụng web  Kiểm tra dịch vụ khác chạy máy chủ trang tin điện tử  Kiểm tra toàn hệ thống khác kết nối tới máy chủ trang tin điện tử bị tin tặc tấn cơng  Nếu ng̀n tấn công từ hệ thống khác mạng, ngắt kết nối mạng hệ thống (nếu có thể)  Tìm ngun nhân tin tặc tấn công vào hệ thống thực vá lỗ hổng này:  Lỗ hổng từ thành phần Website cho phép quyền ghi vá thành phần editor trang tin điện tử  Sửa lỗi thư mục public trang tin điện tử  Sửa lỗi mã ng̀n SQL có lỗi injection  Xóa bỏ thành phần nhúng  Phân lại quyền quản trị để thay đổi cách truy cập trực tiếp vào máy chủ g Ngăn chặn, xử lý hậu quả: - Trung tâm CNTT đơn vị liên quan có trách nhiệm xử lý hậu sự cố hệ thống thơng tin gây ảnh hưởng đến người dân, quan, tổ chức khác o Cập nhật vá bảo mật khắc phục lỗ hổng bảo mật (nếu có) bị lợi dụng khai thác tấn cơng o Thay đổi tồn mật tài khoản quản trị hệ thống trang tin điện tử, bao gồm tài khoản người dùng đăng nhập o Kiểm tra lưu hệ thống, phục hồi phiên phù hợp nhất Đảm bảo lỗ hổng bảo mật phát bước phải vá an toàn o Điều hướng truy cập người dùng trở lại trang tin điện tử đã khôi phục o Đối với trang tin điện tử quan trọng, cần phải chuẩn bị sẵn máy chủ web tạm thời, thường xuyên cập nhật Nội dung máy chủ tạm thời giống với nội dung máy chủ bị tấn công hoặc ít nhất chứa thông tin phù hợp Những nội dung máy chủ tạm thời 47 nội dung tĩnh, chứa nhất mã nguồn HTML để ngăn chặn tối đa nguy bị tin tặc tấn công - Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp, dựa kết phân tích, điều tra, sử dụng nguồn lực, phương tiện nghiệp vụ để tiến hành ngăn chặn hành vi gây sự cố hỗ trợ xử lý hậu h Xác minh nguyên nhân truy tìm ng̀n gốc: Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau phân tích sự cố, tham khảo kết phân tích sự cố đơn vị khác, sử dụng ng̀n tin quy trình nghiệp vụ mình, chủ động điều tra chi tiết nguyên nhân truy tìm nguồn gốc, gửi Trung tâm CNTT, TTBCĐ BHXH VN để tổng hợp, xác minh, báo cáo Cơ quan ĐPQG Ban Chỉ đạo quốc gia thông tin liên quan, cụ thể bao gồm: - Đối tượng bị tấn công; - Phương thức thủ đoạn tấn cơng (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại); - Thời gian tấn công; - Các thiệt hại đã xảy ra; - Đối tượng tấn cơng; - Dự đốn khả xảy tấn công tương tự thiệt hại III.2.2.6 Đánh giá kết triển khai phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu III.2.2.7 Kết thúc - Đơn Đơn vị chủ trì: TTBCĐ BHXH VN - Nội dung thực hiện: TTBCĐ BHXH VN kết đánh giá Trung tâm CNTT thực hoàn tất nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp: o Lưu hồ sơ, tài liệu lưu trữ; o Xây dựng, đúc rút học, kinh nghiệm; o Đề xuất kiến nghị kỹ thuật, chính sách để hạn chế thiệt hại xảy tấn công tương tự; o Báo cáo quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông cần thiết 48 o Review tồn q trình xử lý sự cố, rút kinh nghiệm với điểm cịn tờn o Xem xét bổ sung, sửa đổi kiến thức (Quy trình, playbook xử lý sự cố hay tập luật firewall rule, SIEM rule, ) nhằm phát sớm sự cố tương tự, tăng hiệu suất chất lượng xử lý sự cố trương lai o Công bố thông tin (nếu thích hợp) phù hợp với chiến lược truyền thông tổ chức Các thông khiến thương hiệu tổ chức bị tổn thương hoặc dẫn tới tin cung cấp không kích động khác III.2.3 Quy trình xử lý cố nghiêm trọng công chối dịch vụ (DoS/DDoS) III.2.3.1 Phát tiếp nhận sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: Trung tâm CNTT chịu trách nhiệm liên tục theo dõi, phát tấn công, sự cố Cụ thể: o Cách phát sự cố:  Cấu hình hệ thống SIEM (quản lý tập trung log) để đẩy thông tin cảnh báo liên quan đến cảnh báo hệ thống SOC Platform  Thơng tin tình báo mạng (Threat Intelligence) để phát sớm hành vi tấn công tin tặc  Thực săn tìm (hunting) để phát hành vi bất thường hệ thống qua hệ thống lưu trữ log tập trung (SIEM) - Xác định mức độ, phạm vi ảnh hưởng: Xác định thiết bị, phân vùng, hệ thống, máy chủ bị ảnh hưởng III.2.3.2 Xác minh, phân tích, đánh giá phân loại sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng a Xác minh sự cố: - Tình trạng sự cố: 49 o Xác định phương thức tấn công DDOS thành phần hệ thống bị ảnh hưởng o Xác định luồng logic tấn công, thời gian sự kiện liên quan tới sự cố o Xác định mục đích tấn công hoặc nạn nhân bị ảnh hưởng o Phân tích tương quan tải hệ thống log thu thập từ hệ thống có liên quan bị DOS/DDOS o Xác định yếu tố để phân biệt luồng tấn công DOS/DDOS với truy vấn bất hợp pháp như: IP nguồn, cổng đích, URL, giao thức o Sử dụng công cụ hỗ trợ, phối hợp với nhà cung cấp mạng (ISP) để xác định để phân tích luồng mạng o Thiết lập luật để phân tích luồng tấn công với luồng truy cập hợp pháp o Xác định lỗ hổng bảo mật lợi dụng để gây nên DOS/DDOS (nếu có) - Mức độ sự cố - Phạm vi ảnh hưởng sự cố: - Đối tượng, địa điểm xảy sự cố b Sau xác minh sự cố, Trung tâm CNTT có trách nhiệm phân loại sự cố triển khai tiếp sau: - Trường hợp sự cố phân loại thông thường Trung tâm CNTT thơng báo cho bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an tồn thơng tin mạng thơng thường - Trường hợp sự cố phân loại nghiêm trọng Trung tâm CNTT báo cáo TTBCĐ BHXH VN Cơ quan ĐPQG sự cố nghiêm trọng với đề xuất: Phương án ứng cứu; đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập phận tác nghiệp ứng cứu khẩn cấp III.2.3.3 Lựa chọn phương án triệu tập thành viên phận tác nghiệp ứng cứu khẩn cấp Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu III.2.3.4 Triển khai phương án ứng cứu ban đầu - Đơn vị chủ trì: Trung tâm CNTT 50 - Đơn vị phối hợp: Đội ứng cứu sự cố Ngành BHXH; Đội vận hành hệ thống ATTT; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: a Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu: - Các sự cố liên quan đã xảy - Đối tượng bị ảnh hưởng - Phạm vi bị ảnh hưởng - Các mục tiêu ưu tiên khắc phục sự cố (khôi phục hoạt động, bảo đảm bí mật liệu; bảo đảm tính tồn vẹn liệu) - Dự đốn diễn biến xảy b Điều phối hoạt động ứng cứu ban đầu: Trung tâm CNTT thực điều phối chia sẻ thông tin, tài liệu liên quan đến tình ứng cứu cho thành viên tham gia theo chức năng, nhiệm vụ giao c Báo cáo sự cố mạng lưới ứng cứu quốc gia: Trung tâm CNTT (Thành viên mạng lưới ƯCSC quốc gia) thực cảnh báo cho thành viên mạng lưới đối tượng có liên quan hoặc có khả xảy sự cố tương tự d Tiến hành biện pháp khôi phục tạm thời: Trung tâm CNTT phối hợp với nhà cung cấp dịch vụ quan chức khác tiến hành khôi phục số hoạt động, liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại hệ thống thông tin, ảnh hưởng uy tín quan chủ quản, quản lý hệ thống hoặc gây ảnh hưởng xấu tới xã hội e Xử lý hậu ban đầu: Trung tâm CNTT cần nhanh chóng tiến hành biện pháp khắc phục khẩn cấp hậu quả, thiệt hại gây làm ảnh hưởng đến người dân, xã hội, quan, tổ chức khác Cụ thể: - Thực cô lập sự cố tấn công từ chối dịch vụ: o Kiểm tra chức ứng dụng gây tượng DOS/DDOS phải tạm thời vơ hiệu hóa chức o Chặn lọc luồng truy cập nghi ngờ mạng lưới botnet thông quan thiết bị an ninh tường lửa, cân tải hoặc thiết bị chuyên dụng khác o Ngắt kết nối, tiến trình khơng cần thiết máy chủ, thiết bị định tuyến, đồng thời tinh chỉnh lại thiết lập TCP/IP 51 o Nếu có thể, sử dụng mạng dự phịng cách thiết lập lại DNS hoặc chế khác để tập trung tồn tấn cơng DOS/DDOS vào IP chính o Dùng chế định tuyến luồng truy cập dịch vụ lọc luồng truy cập o Thiết lập lọc luồng liệu trả lời truy vấn DOS/DDOS III.2.3.5 Triển khai phương án ứng cứu khẩn cấp a Chỉ đạo xử lý sự cố Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu b Điều phối công tác ứng cứu Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu c Phát ngôn công bố thông tin Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu d Thu thập thơng tin: - Đơn vị chủ trì Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng - Nội dung thực hiện: o Xác định loại hình tấn công từ chối dịch vụ o Xác định mục đích tấn công o Xác định tải hệ thống thời gian bị tấn công o Xác định thông tin địa IP dùng để thực tấn công o Phối hợp nhà cung cấp mạng (ISP) để xác định để phân tích luồng mạng e Phân tích, giám sát tình hình liên quan sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp dịch vụ mạng 52 - Nội dung thực hiện: Giám sát liên tục diễn biến sự cố thông báo, cập nhật đến đơn vị liên quan tác nghiệp ứng cứu khẩn cấp - Các đơn vị liên quan tác nghiệp ứng cứu khẩn cấp dựa thông tin thu thập được, sử dụng ng̀n lực, phương tiện quy trình nghiệp vụ để tiến hành phân tích sự cố Kết phân tích sự cố báo cáo Trung tâm CNTT, TTBCĐ BHXH VN chia sẻ Nhóm tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố f Khắc phục sự cố - Đơn vị chủ trì: Trung tâm CNTT - Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật - Nội dung thực hiện: o Xử lý sự cố:  Điều chỉnh, chặn lưu lượng DDoS, request bất thường thông qua thiết bị/giải pháp bảo mật router, firewall, load balancer,  Tăng băng thông, tăng connection tối đa, giảm connection timeout, giới hạn tốc độ tạo kết nối IP firewall Xem xét tạm thời thay thiết bị có khả chịu tải cao  Điều hướng truy cập tới website hoặc network khác sử dụng DNS hoặc chế tương tự (blackhole routing)  Xem xét tạm thời chặn kết nối từ IP nước kết nối truy cập tới dịch vụ, ứng dụng bị ảnh hưởng hoặc whitelist danh sách IP/dải IP phép kết nối (nếu có thể)  Trường hợp có lỗ hổng bảo mật đã bị lợi dụng tấn công, thực ngắn chặn tạm thời theo payload khai thác lỗi (firewall, waf, ) hoặc tạm thời vơ hiệu hóa chức liên quan tới lỗ hổng bảo mật  Trường hợp cần thiết, liên hệ với ISP hỗ trợ việc ngăn chặn, loại bỏ IP, lưu lượng truy cập nhắm mục tiêu đến dịch vụ, ứng dụng bị ảnh hưởng o Phục hồi hệ thống bị tấn công:  Cập nhật vá bảo mật khắc phục lỗ hổng bảo mật (nếu có) bị lợi dụng khai thác tấn công  Thiết lập cấu hình DNS trở ban đầu (nếu có thay đổi) 53  Bật lại chức ứng dụng đã tạm vơ hiệu hóa sau đã khắc phục lỗ hổng bảo mật (nếu có)  Kiểm tra cấu hình hệ thống thiết bị, máy chủ, firewall nhằm tăng khả xử lý, giảm connection timeout, ngăn chặn tấn công DoS Flood g Ngăn chặn, xử lý hậu quả: - Trung tâm CNTT đơn vị liên quan có trách nhiệm xử lý hậu sự cố hệ thống thông tin gây ảnh hưởng đến người dân, quan, tổ chức khác Các nội dung cần thực để khôi phục hoạt động hệ thống: o Khôi phục hoạt động với thành phần xảy sự cố o Theo dõi hoạt động hệ thống, thành phần gặp sự cố o Cài đặt cảnh báo, ngưỡng cảnh báo phù hợp để nhanh chóng phát bất thường hệ thống - Các cá nhân thuộc thành phần tác nghiệp ứng cứu khẩn cấp ngành BHXH tham gia điều tra, phân tích, xử lý sự cố đưa biện pháp ngăn chặn chống tải diễn cách tấn công lừa đảo ngành đơn vị h Xác minh nguyên nhân truy tìm ng̀n gốc: Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau phân tích sự cố, tham khảo kết phân tích sự cố đơn vị khác, sử dụng nguồn tin quy trình nghiệp vụ mình, chủ động điều tra chi tiết ngun nhân truy tìm ng̀n gốc, gửi Trung tâm CNTT, TTBCĐ BHXH VN để tổng hợp, xác minh, báo cáo Cơ quan ĐPQG Ban Chỉ đạo quốc gia thông tin liên quan, cụ thể bao gồm: - Đối tượng bị tấn công; - Phương thức thủ đoạn tấn cơng (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại); - Thời gian tấn công; - Các thiệt hại đã xảy ra; - Đối tượng tấn cơng; - Dự đốn khả xảy tấn công tương tự thiệt hại III.2.3.6 Đánh giá kết triển khai phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Thực quy trình tổng thể ứng cứu sự cố nghiêm trọng Trung tâm liệu 54 III.2.3.7 Kết thúc - Đơn vị chủ trì: TTBCĐ BHXH VN - Nội dung thực hiện: TTBCĐ BHXH VN kết đánh giá Trung tâm CNTT thực hoàn tất nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp: o Lưu hồ sơ, tài liệu lưu trữ; o Xây dựng, đúc rút học, kinh nghiệm; o Đề xuất kiến nghị kỹ thuật, chính sách để hạn chế thiệt hại xảy tấn công tương tự; o Báo cáo quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông cần thiết o Review tồn q trình xử lý sự cố, rút kinh nghiệm với điểm cịn tờn o Xem xét bổ sung, sửa đổi kiến thức (Quy trình, playbook xử lý sự cố hay tập luật firewall rule, SIEM rule, ) nhằm phát sớm sự cố tương tự, tăng hiệu suất chất lượng xử lý sự cố trương lai o Công bố thông tin (nếu thích hợp) phù hợp với chiến lược truyền thông Các thông tin cung cấp không khiến thương hiệu bị tổn thương hoặc dẫn tới kích động khác Kết luận Cơ sở liệu quốc gia Bảo hiểm Cơ sở liệu quốc gia lưu trữ thông tin bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp thông tin y tế, an sinh xã hội quan có thẩm quyền ghi nhận đảm bảo quyền lợi, nghĩa vụ bảo hiểm công dân Đây số CSDL Quốc gia quan trọng liên quan trực tiếp đến người dân Chính phủ ưu tiên triển khai để tạo tảng phát triển chính phủ điện tử chuyển đổi số Quốc gia Đối với hệ thống thông tin quan trọng cần xây dựng tình huống, kịch sự cố cụ thể đưa phương án đối phó, ứng cứu sự cố tương ứng Trong phương án đối phó, ứng cứu phải đặt tiêu chí để nhanh chóng xác định tính chất, mức độ sự cố sự cố xảy 55 Đờng thời, quy trình ứng cứu sự cố cần có sự phân vai rõ ràng để thành phần thực vai trò, trách nhiệm đảm bảo xử lý nhanh chóng sự cố tránh gây thiệt hại cho, đơn vị chủ quản, người dân, doanh nghiệp Từ đó, nhóm thành viên đề tài đã đề xuất quy trình ứng phó sự cố an tồn thơng tin, cụ thể 04 sự cố tấn công mạng phổ biến nghiêm trọng 56 DANH MỤC TÀI LIỆU THAM KHẢO Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an toàn hệ thống thông tin theo cấp độ Thông tư 03/2017/TT-BTTTT 24/04/2017 việc quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/7/2016 chính phủ bảo đảm an toàn hệ thống thông tin theo cấp độ Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng Quốc gia Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 việc quy định điều phối, ứng cứu sự cố an tồn thơng tin mạng tồn quốc Thông tư số 24/2020/TT-BTTTT ngày 09/09/2020 quy định công tác triển khai, giám sát công tác triển khai nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách Nhà nước Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 việc ứng phó sự cố bảo đảm an tồn thơng tin mạng ngành BHXH Việt Nam Tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn hệ thống thông tin theo cấp độ Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2019 ISO/IEC 27001:2013 "Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các u cầu" TCVN ISO/IEC 27002:2020 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành Quản lý an tồn thơng tin 10.TCVN 9801-3:2014 Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng - Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát (ISO/IEC 27033-3:2010) 11 TCVN 9801-2:2015 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng (ISO/IEC 27033-2:2012) 12 TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn Quản lý sự cố an toàn thông tin 57 13 Lê Nguyên Bồng (2021) “Giải pháp hoàn thiện việc xây dựng vận hành sở liệu điện tử quản lý bảo hiểm xã hội phạm vi nước” 14 Hoàng Đăng Trị nhóm nghiên cứu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (2017) Nghiên cứu xây dựng tiêu chuẩn “Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đảm bảo sự phù hợp đầy đủ theo phương pháp điều tra sự cố” ... việc xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam 2.1 Tuân thủ quy định ứng cứu cố an tồn thơng tin Việc xây dựng quy trình ứng cứu cần tuân thủ quy. .. HỘI VIỆT NAM - - CHUYÊN ĐỀ Xây dựng quy trình ứng cứu cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Đề tài: XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ AN TỒN... sự cố an toàn thông tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam Chương Yêu cầu việc xây dựng quy trình ứng cứu sự cố an tồn thơng tin Trung tâm liệu ngành Bảo hiểm xã hội Việt Nam

Ngày đăng: 28/10/2022, 14:16

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w