BỘ THÔNG TIN VÀ TRUYỀN THÔNG ĐỀ ÁN NÂNG CAO NĂNG LỰC PHÒNG, CHỐNG PHẦN MỀM ĐỘC HẠI, CẢI THIỆN MỨC ĐỘ TIN CẬY CỦA QUỐC GIA TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ THEO HƯỚNG XÃ HỘI HOÁ Hà Nội - 2017 MỞ ĐẦU CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN Thông tin chung Đề án Các hoạt động Đề án Tính cấp thiết đề án .6 Căn pháp lý để xây dựng đề án CHƯƠNG THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI Tổng quan phần mềm độc hại .9 Thực trạng lây nhiễm phần mềm độc hại giới 13 Thực trạng lây nhiễm phần mềm độc hại Việt Nam 16 Thực trạng hệ thống kỹ thuật tảng có 22 4.1 Bộ Thông tin Truyền thông 22 4.2 Các bộ, ngành, địa phương 24 4.3 Các doanh nghiệp ISP, doanh nghiệp làm an tồn thơng tin 24 Kinh nghiệm quốc tế 25 5.1 Kinh nghiệm Nhật Bản 26 5.2 Kinh nghiệm Hàn Quốc 28 5.3 Kinh nghiệm số nước Châu Âu 31 CHƯƠNG CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN 33 Tư tưởng chủ đạo 33 Phương pháp tiếp cận 33 Mơ hình giải pháp 34 Tổ chức thực trách nhiệm bên 37 4.1 Các Bộ, quan ngang Bộ, quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương: 37 4.2 Bộ Thông tin Truyền thơng có trách nhiệm: 38 4.3 Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh 38 4.4 Các Đài phát thanh, truyền hình quan thơng báo chí Trung ương địa phương 39 4.5 Hiệp hội An tồn thơng tin Việt Nam (VNISA) có trách nhiệm: 39 4.6 Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) 39 4.7 Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm liệu (data center): 39 4.8 Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm: 40 CHƯƠNG KIẾN NGHỊ, ĐỀ XUẤT 41 MỞ ĐẦU Trong xu hướng cách mạng công nghiệp lần thứ tư (cuộc cách mạng gắn liền với phát triển không gian mạng, cơng nghệ sinh học, trí tuệ nhân tạo, nhà cửa, thiết bị tự động thơng minh), có ngày nhiều máy tính, thiết bị, ứng dụng kết nối vào mạng Internet nguy cơng mạng ngày tăng Khi máy tính/thiết bị/ứng dụng khơng bảo đảm an tồn thơng tin việc bị lây nhiễm mã độc, tham gia vào mạng máy tính ma (botnet) bị đối tượng cơng kiểm sốt hoàn toàn dễ dàng ngày phổ biến Trên giới, có nhiều cơng mạng quy mô lớn nhằm vào hệ thống thông tin lớn quốc gia, tập đoàn đa quốc gia mà nguồn gốc mã độc, mạng botnet đối tượng cơng kiểm sốt như: cơng vào nhà máy hạt nhân Iran, công vào hạ tầng tài Mỹ, Anh, cơng vào Spamhaus Những cơng khơng gây đình trệ hệ thống, tiết lộ thơng tin nhạy cảm, mà cịn cơng khai nhiều tài liệu mật quốc gia gây tổn thất khó lường trị, ngoại giao Việt Nam khơng đứng ngồi xu hướng trên, chí nguy công mạng vào Việt Nam cơng mạng xuất phát từ Việt Nam cịn cao tình trạng lây nhiễm phần mềm độc hại Việt Nam mức báo động, chưa có biện pháp thực hiệu việc xử lý mã độc; mà nói nguyên nhân sâu xa do: việc sử dụng phần mềm, ứng dụng khơng quyền, phần mềm bẻ khố; người dùng chưa có ý thức cao việc phịng, chống phần mềm độc hại; nhận thức, thói quen, kỹ sử dụng thiết bị kỹ truy cập Internet; bên cạnh chưa làm chủ nhiều thiết bị, công nghệ, giải pháp bảo đảm an tồn thơng tin; sử dụng nhiều thiết bị có nguồn gốc xuất xứ khơng rõ ràng với giá rẻ chưa quan tâm đến an tồn thơng tin, lại chưa quan chức Việt Nam kiểm tra, kiểm định Mỗi năm, có hàng nghìn trang/cổng thơng tin điện tử, bị cơng, chỉnh sửa, chèn thêm nội dung, cài cắm mã độc, có hàng trăm tên miền gov.vn quan Nhà nước Riêng tháng đầu năm 2017 có tới 6.000 trang/cổng thơng tin điện tử bị cơng, có 3.647 trang/cổng lưu trữ phát tán mã độc Theo thống kê Cục An tồn thơng tin - Bộ Thơng tin Truyền thơng tháng có triệu (9.223.364) lượt địa IP Việt Nam nằm mạng botnet lớn giới Nằm sau địa IP hệ thống thơng tin/hệ thống mạng đơn vị/doanh nghiệp với vài chục đến hàng trăm máy tính, thiết bị mạng mà vài nhiều thiết bị số bị nhiễm mã độc, bị đối tượng cơng kiểm sốt tham gia vào công mạng giới Theo thống kê tổ chức quốc tế uy tín (tổ chức cung cấp sản phẩm, dịch vụ phổ biến giới Việt Nam: Microsoft, Kaspersky, Norton, Symantec ) Việt Nam ln nằm nhóm nước có tỉ lệ lây nhiễm phần mềm độc hại cao Mặc dù quan, tổ chức Việt Nam nỗ lực thực nhiều giải pháp khác việc xử lý mã độc, tình hình chưa cải thiện Trong thực trạng lây nhiễm mã độc Việt Nam đáng báo động Đặc biệt, quan chức ghi nhận nhiều trường hợp công mã độc mà giải pháp có khơng phản ứng kịp thời việc phát hiện, phân tích gỡ bỏ Những thống kê Bộ thông tin Truyền thơng, đơn vị, doanh nghiệp an tồn thông tin nước tổ chức nước ngồi phản ánh phần mức báo động thực trạng lây nhiễm phần mềm độc hại khơng gian mạng Việt Nam, ngồi nhiều mạng botnet âm thầm hoạt động mà chưa phát Nếu không hành động sớm, khơng có giải pháp hữu hiệu mạng botnet gây ảnh hưởng lớn đến kinh tế, trị đời sống xã hội đất nước CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN Thông tin chung Đề án Tên Đề án: Nâng cao lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử theo hướng xã hội hố Trách nhiệm bóc gỡ phần mềm độc hại trách nhiệm quan, tổ chức Vì trước mắt, để tăng cường bảo đảm an tồn thơng tin, đề án đưa giải pháp nhằm phát động, tổ chức chiến dịch xử lý, bóc gỡ phần mềm độc hại theo hướng xã hội hóa, với nịng cốt tham gia ISP doanh nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam nước Đề án tận dụng sở hạ tầng, trang thiết bị có để thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát mã độc không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ Đề án khơng làm phát sinh thêm dự án mà chủ yếu tổ chức khai thác hiệu hạ tầng kỹ thuật đầu tư Cục An tồn thơng tin, Trung tâm VNCERT, ISPs; đồng thời, huy động tham gia Hiệp hội an tồn thơng tin doanh nghiệp hoạt động lĩnh vực CNTT an tồn thơng tin Đề án đưa giải pháp bổ sung thay cho giải pháp mà quan, tổ chức triển khai Hình thức xã hội hóa khơng làm phát sinh tăng thêm gánh nặng chi phí cho ngân sách nhà nước Các hoạt động Đề án Quy định trách nhiệm bóc gỡ phần mềm độc hại trách nhiệm quan, tổ chức, cá nhân Gắn kết, tăng cường hiệu hoạt động hệ thống kỹ thuật, đề án đầu tư cho quan đơn vị Thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát mã độc không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ dựa sở hạ tầng trang thiết bị có Xây dựng thực chương trình, chiến dịch xử lý, bóc gỡ mã độc, mạng máy tính ma theo hướng xã hội hóa, với tham gia doanh nghiệp cung cấp dịch vụ viễn thông, Internet (ISPs) tổ chức, doanh nghiệp hoạt động lĩnh vực công nghệ thông tin an tồn thơng tin Xây dựng, ban hành văn hướng dẫn kết nối, trao đổi, chia sẻ thông tin, liệu mã độc hệ thống kỹ thuật quan chức liên quan với giải pháp phòng, chống mã độc bộ, ngành, địa phương, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật Tính cấp thiết đề án Trong xu hướng cách mạng cơng nghiệp lần thứ tư, có ngày nhiều thiết bị thông minh kết nối mạng Những thiết bị bị lây nhiễm loại phần mềm độc hại gây an tồn thơng tin, tiềm ẩn nguy khó lường Các quan, tổ chức Việt Nam thực nhiều giải pháp khác việc xử lý mã độc Tuy nhiên, hiệu đạt chưa cao Thực trạng lây nhiễm mã độc Việt Nam đáng báo động Đặc biệt, quan chức ghi nhận nhiều trường hợp công mã độc mà giải pháp có khơng phản ứng kịp thời việc phát hiện, phân tích gỡ bỏ Trong quan đơn vị nỗ lực nghiên cứu tìm giải pháp phù hợp đối tượng công tiếp tục lợi dụng phần mềm độc hại, mạng botnet mã độc APT để thực công mạng, gây thiệt hại nghiêm trọng Điển hình cơng APT vào Vietnam Airlines Cảng hàng không vào tháng 7/2016, hay công DDoS vào số doanh nghiệp ISP lớn Việt Nam thời gian vừa qua Đây số cơng mà nhìn thấy phần hậu Đáng ý, thống kê có phản ánh phần mức báo động thực trạng lây nhiễm phần mềm độc hại khơng gian mạng Việt Nam, ngồi cịn nhiều nguy cơ/cuộc công mạng âm thầm hoạt động mà chưa phát Nếu không hành động ngay, khơng có giải pháp hữu hiệu cơng gây ảnh hưởng lớn đến kinh tế, trị đời sống xã hội đất nước Căn pháp lý để xây dựng đề án Trước tình hình an tồn thơng tin mạng tình trạng lây nhiễm phần mềm độc hại diễn biễn ngày phức tạp Việt Nam năm gần đây, Lãnh đạo Đảng Nhà nước có quan tâm sâu sắc ban hành nhiều văn đạo Đảng, văn quy phạm pháp luật, văn đạo điều hành Chính phủ lĩnh vực an tồn thơng tin, có nhiều nội dung liên quan đến cơng tác phịng chống phần mềm độc hại Các Văn đạo Đảng: - Nghị số 36-NQ/TW ngày 01/7/2014 Bộ Chính trị đẩy mạnh ứng dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững hội nhập quốc tế Trong đó, bảo đảm an tồn thơng tin phát triển công nghiệp công nghệ thông tin nội dung quan trọng Nghị Bộ Chính trị quán triệt cấp, ngành tập trung nguồn lực để thúc đẩy phát triển; - Chỉ thị 28-CT/TW ngày 16/9/2013 Ban Bí thư Trung ương Đảng tăng cường công tác bảo đảm an tồn thơng tin mạng Căn thực tiễn Văn đạo Đảng, Chính phủ đề xuất, xây dựng trình Quốc hội ban hành Luật An tồn thơng tin mạng Ngày 19/11/2015, Quốc hội thơng qua Luật An tồn thơng tin mạng (Luật số 86/2015/QH13) Trong Luật An tồn thơng tin mạng có Điều, Khoản nghiêm cấm hành vi phát tán phần mềm độc hại quy định phòng ngừa, phát hiện, ngăn chặn xử lý phần mềm độc hại Cụ thể, Luật An tồn thơng tin mạng định nghĩa rõ Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ hệ thống thông tin Theo đó, Luật An tồn thơng tin mạng quy định hành vi phát tán phần mềm độc hại hành vi bị nghiêm cấm Ngoài ra, Luật An tồn thơng tin mạng quy định cụ thể việc phòng ngừa, phát hiện, ngăn chặn xử lý phần mềm độc hại Điều 11 sau: - Cơ quan, tổ chức, cá nhân có trách nhiệm thực phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu quan nhà nước có thẩm quyền; - Chủ quản hệ thống thơng tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn xử lý kịp thời phần mềm độc hại; - Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thơng tin phải có hệ thống lọc phần mềm độc hại trình gửi, nhận, lưu trữ thơng tin hệ thống báo cáo quan nhà nước có thẩm quyền theo quy định pháp luật; - Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phịng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại xử lý theo yêu cầu quan nhà nước có thẩm quyền; - Bộ Thơng tin Truyền thơng chủ trì, phối hợp với Bộ Quốc phịng, Bộ Công an bộ, ngành liên quan tổ chức phát hiện, phòng ngừa, ngăn chặn xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia Ngày 27/5/2016, Phó Thủ tướng Chính phủ Vũ Đức Đam ký Quyết định số 898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020 (Quyết định 898) Đối với tình hình lây nhiễm phần mềm độc hại, Quyết định 898 nêu rõ mục tiêu giai đoạn 2016 - 2020 “Nâng cao uy tín giao dịch điện tử Việt Nam, đưa Việt Nam khỏi danh sách 20 quốc gia có tỷ lệ lây nhiễm phần mềm độc hại phát tán thư rác cao giới theo xếp hạng tổ chức quốc tế” Cũng theo Quyết định 898 để bảo đảm an tồn thơng tin mạng quy mơ quốc gia nhiệm vụ “Nâng cao lực phịng, chống phần mềm độc hại, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử theo hướng xã hội hóa” nhiệm vụ cần phải thực giai đoạn 2016 – 2020 Để triển khai nội dung Quyết định 898, Thủ tướng Chính phủ giao bộ, ngành liên quan phối hợp tổ chức thực hiện, liên quan tới cơng tác phịng chống phần mềm độc hại giao Bộ Thơng tin Truyền thơng “chủ trì, phối hợp với bộ, ngành doanh nghiệp thành lập Tổ phản ứng nhanh phân tích, ứng phó với phần mềm độc hại” CHƯƠNG THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI Tổng quan phần mềm độc hại a) Phần mềm độc hại gì? Theo Luật An tồn thơng tin mạng Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thông tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thơng tin Như từ góc độ kỹ thuật hình dung Phần mềm độc hại (sau gọi mã độc) chương trình đoạn mã đưa vào máy tính, thiết bị mạng thiết bị điện tử, phần mềm, ứng dụng hệ thống thơng tin (có kết nối mạng khơng có kết nối mạng) nhằm thực hành vi trái phép (như ăn trộm liệu, gửi thư rác, tham gia công DDOS hay công mạng điều khiển đối tượng công tiếp tục phát tán mã độc) Mã độc bao gồm: vi-rút (vi-rút), sâu máy tính (worm), ngựa gỗ (trojan), mã độc (malware), gián điệp (Spyware), mạng máy tính ma (botnet), mối nguy hại APT v.v… Trong đó: Vi-rút chương trình tự chép cách chèn vào chương trình lưu trữ tập tin liệu Vi-rút thường kích hoạt thơng qua tương tác người dùng mở tập tin chạy chương trình Vi-rút chia thành hai loại là: vi-rút biên dịch vi-rút diễn dịch Vi-rút biên dịch (Compiled vi-rút) kích hoạt hệ điều hành, Vi-rút diễn dịch (Interpreted vi-rút) khởi động ứng dụng Trojan chương trình khơng có khả chép, xuất dường vô hại chúng thiết kế để thực hành vi độc hại ẩn hệ thống thông tin Mã độc Trojan có khả thay tập tin biến thể mã độc khác tiếp tục cài cắm thêm biến thể khác lên hệ thống Mạng máy tính ma hay cịn gọi botnet tập hợp máy tính, thiết bị nhiễm mã độc bị đối tượng công điều khiển từ xa phục vụ cho mục đích độc hại phát tán mã độc, gửi thư rác, công DDoS, ăn trộm liệu Những mạng botnet giới xuất vào năm 1999 sử dụng kiến trúc, kênh truyền, kỹ thuật điều khiển đơn giản; tiếp sau xuất mạng botnet với kiến trúc phức tạp, có khả thực công mạng với mục tiêu khác điều khiển đối tượng công như: mạng botnet chuyên gửi thư rác Rustock, mạng botnet chuyên ăn trộm thông tin tài khoản Zeus Mạng botnet chuyên gửi thư rác Rustock hoạt động mạnh năm 2006 tới 2011 lây nhiễm công vào 2,5 triệu máy tính Windows, máy bị nhiễm mã độc gửi 25.000 thư rác Trong lượng lớn thư rác xuất phát từ McColo - doanh nghiệp cung cấp dịch vụ Internet Mỹ, sau dừng hoạt động ISP số lượng thư rác toàn cầu giảm 75% vào cuối năm 2008, nhiên sau lại tăng trở lại Microsoft phải xây dựng chiến dịch B107 để bóc gỡ mạng botnet này) Mạng botnet Zeus phát vào năm 2009, ăn trộm thơng tin 74.000 tài khoản FPT trang web tổ chức Bank of America, NASA, Monster.com, Oracle, Play.com, Cisco, Amazon Các mối nguy hại APT (Advanced Persistent Threat), góc độ kỹ thuật loại mã độc cụ thể, hình thức cơng mà sử dụng loại mã độc tinh vi khó phát hiện, mã độc có khả cài cắm ẩn sâu vào hệ thống thông tin tổ chức Những công thường nhằm vào hệ thống thông tin quan trọng quốc gia, tổ chức kinh tế, trị lớn cơng có chủ đích, có tổ chức đứng sau tài trợ Ví dụ cơng vào nhà máy hạt nhân Iran mạng botnet Stuxnet thực bị phát vào tháng năm 2010 nhiên theo chuyên gia an ninh mạng Stuxnet bắt đầu công vào từ năm 2007 phát triển từ 2005 Có nhiều thuật ngữ kỹ thuật khác để mô tả, phân loại mã độc, năm gần Botnet APT hai thuật ngữ gắn liền với công mạng lớn quy mơ mức độc tinh vi Khơng có cơng mạng khơng có tham gia mã độc, hay nói cách khác mã độc cơng cụ để đối tượng cơng thực hành động độc hại Internet (từ việc kiểm soát hệ thống mục tiêu, ăn trộm liệu, phát tán mã độc, công từ chối dịch vụ… ) Đặc biệt xu hướng IoT phát triển, vấn đề bảo đảm an tồn thơng tin thiết bị IoT lại chưa quan tâm nguy cài cắm mã độc vào thiết bị để xây dựng lên mạng botnet lớn phổ biến Và mạng botnet trở thành công cụ mang lại lợi nhuận khổng lồ cho nhóm tội phạm, đối tượng công sử dụng cho cuộc công mạng Chính gia tăng loại hình tội phạm mạng liên quan đến mạng botnet trở thành vấn đề 10 (1): Máy tính người dùng bị nhiễm mã độc truy cập Internet (2): Phát lấy mẫu bot thông qua ISP: yêu cầu ISP xác định với máy tính người dùng bị nhiễm mã độc (3): Phân tích mẫu để chuẩn bị cơng cụ loại bỏ mã độc (4): Gửi yêu cầu định danh máy tính bị nhiễm mã độc tới ISP (5): ISP định danh máy bị nhiễm mã độc (6): ISP gửi cảnh báo máy bị nhiễm bot công cụ để loại bỏ tới người dùng (7): Người dùng nhận cảnh báo chủ động truy cập vào trang web cung cấp cơng cụ loại bỏ mã độc khỏi máy tính (8): Người dùng tải cơng cụ bóc gỡ mã độc hệ thống CCC cung cấp thực loại bỏ mã độc Cấu trúc hệ thống: Hình 7: Cấu trúc tổ chức hệ thống Cyber Clean Center Hệ thống bao gồm ban đạo ba nhóm làm việc ban đạo tuỳ thuộc vào trường hợp - Ban đạo thực xem xét sách hoạt động CCC; Bộ Nội vụ Truyền thông (MIC) Bộ Kinh tế, Thương mại Cơng nghiệp (METI) đảm nhiệm - Nhóm vận hành hệ thống đối phó với BOT: đóng vai trị vận hành hệ thống thu 27 thập thông tin, cảnh báo đến người dùng máy tính bị nhiễm mã độc cung cấp thơng tin, cơng cụ đối phó với mã độc thông qua nhà cung cấp dịch vụ (ISP) Ngồi nhóm tham gia vào điều tra, phân tích mã độc Nhóm Trung tâm Chia sẻ Phân tích liệu Viễn thơng Nhật Bản (Telecom-ISAC Japan) đảm nhiệm với ISP - Nhóm phân tích mã độc: thực nghiên cứu phân tích đặc tính mã độc thu thập tham gia vào kế hoạch để phát triển công cụ, giải pháp đối phó với phần mềm thơng hại dựa kết phân tích, hợp tác với hãng bảo mật Nhóm JPCERT (Trung tâm điều phối ứng cứu cố máy tính Nhật Bản) đảm nhiệm với tham gia công ty, hãng phát triển cơng cụ bóc gỡ mã độc (như Trend Micro Incorporated) - Nhóm thúc đẩy ngăn chặn lây nhiễm mã độc: thực biện pháp thúc đẩy việc phòng chống lây nhiễm, tái nhiễm mã độc thơng qua hợp tác với hãng bảo mật Nhóm cung cấp mẫu mã độc thu thập cho hãng bảo mật (thường công ty cung cấp phần mềm, dịch vụ chống vi-rút Nhật) để cập nhật mẫu vào biện pháp đối phó giải pháp, hệ thống họ Nhóm IPA Nhật Bản (Cơ quan xúc tiến CNTT - Infomation Technology Promotion Agency) đảm nhiệm, với tham gia hãng bảo mật 5.2 Kinh nghiệm Hàn Quốc Dự án chống mã độc, Botnet Hàn Quốc bắt đầu xây dựng công DDoS xảy nhiều bắt nguồn từ máy tính cá nhân Hàn Quốc Vì vậy, Cơ quan an tồn Internet Hàn Quốc (KISA- Korean Internet Security Agency) bắt đầu chiến dịch chống mã độc rộng rãi Dưới mơ hình chống botnet Hàn Quốc 28 Hình 8: Mơ hình bóc gỡ Botnet/mã độc Hàn Quốc (1) Trong mơ hình máy tính người dùng bị lây nhiễm mã độc thực hiện: Khi chưa áp dụng kỹ thuật DNS Sinkhole (1) Máy tính người dùng bị nhiễm mã độc tìm kiếm máy chủ điều khiển để nhận lệnh công cập nhật biến thể mã độc thông qua truy vấn DNS; (2) Máy chủ DNS ISP trả địa IP máy chủ điều khiển phù hợp ; (3) Máy tính bị nhiễm kết nối tới máy chủ điều khiển Sau áp dụng kỹ thuật DNS Sinkhole: (1) Máy tính người dùng bị nhiễm mã độc tìm kiếm máy chủ điều khiển để nhận lệnh công cập nhật biến thể mã độc thông qua truy vấn DNS; (2) Máy chủ DNS ISP máy chủ Sinkhole (3) Máy tính bị nhiễm thay kết nối tới máy chủ điều khiển kết nối tới máy chủ Sinkhole nhận cảnh báo việc máy tính bị nhiễm mã độc Và hướng dẫn cung cấp cơng cụ để loại bỏ mã độc khỏi máy tính người dùng thơng qua trang web (https://www.boho.or.kr) Mơ hình loại bỏ mã độc Hàn Quốc gồm: - Thành phần phát hiện: máy tính bị nhiễm botnet phát theo nhiều cách khác (giám sát máy chủ DNS, liệu thu thập từ kết phân tích phần mềm độc hại từ báo cáo hệ thống phát xâm nhập, hệ thống bẫy - Honeypot ) - Thành phần bóc gỡ: Cơ quan chức KISA thực giám sát botnet 29 diện rộng bóc gỡ cách sử dụng kỹ thuật DNS Sinkhole Hình 9: Mơ hình bóc gỡ Botnet/mã độc Hàn Quốc (2) Dự án chống mã độc Hàn Quốc KISA triển khai có 10 ISP/IDC lớn tham gia KrCERT đó: KISA: thực thu thập thông tin liệu máy chủ điều khiển (IP, tên miền) mạng botnet thông qua nhật ký DNS hệ thống bẫy (Honeynet), hệ thống thu thập mã độc KISA, danh sách tên miền độc hại qua chia sẻ thông tin với tổ chức khác từ kết xử lý cố KrCERT/CC; tạo ghi DNS cho tên miền độc hại KISA theo dõi phản ứng với mạng botnet Hàn Quốc từ hệ thống điều khiển trung tâm KrCERT/CC: thu thập cập nhật danh sách ghi DNS; cập nhập danh sách tới hệ thống chia sẻ ghi DNS với ISP ISP: cập nhật danh sách ghi DNS cập nhật lại cấu hình cho hệ thống máy chủ tên miền Dự án chống mã độc Hàn Quốc giúp Hàn Quốc từ nước thường xuyên nhắc đến báo cáo an tồn thơng tin hãng (Synmantec, Kaspersky) tỷ lệ lây nhiễm mã độc, điểm nóng an tồn thơng tin vào năm 2005, 2006, năm gần tỉ lệ giảm đáng kể khơng cịn bị nhắc đến ( Cụ thể báo cáo Synmantec: năm 2015 Hàn Quốc đứng thứ TOP 10 nước bị nhiễm mã độc, đến năm 2009-2016 khơng cịn nằm 30 nhóm 10 nước có tỉ lệ lây nhiễm mã độc cao) 5.3 Kinh nghiệm số nước Châu Âu Các quốc gia Châu Âu có dự án, chiến lược tương tự (gồm hệ thống kỹ thuật quy tắc thỏa thuận với tham gia nòng cốt tổ chức: Cơ quan quản lý nhà nước an tồn thơng tin, doanh nghiệp ISP, doanh nghiệp chuyên phần mềm diệt vi-rút Sau triển khai dự án, chiến lược phòng chống mã độc tình hình an tồn thơng tin nói chung, tỉ lệ lây nhiễm mã độc nói riêng nước cải thiện đáng kể a) Kinh nghiệm Đức Đức quốc gia đầu hoạt động chống mã độc, botnet Tại Đức có dự án chống botnet Hiệp hội Cơng nghiệp internet Đức (Association of the German Internet Industry) phối hợp với Văn phịng liên bang An tồn thơng tin Đức (German Federal Office for Information Security) nhằm đưa Đức khỏi danh sách 10 nước đứng đầu nguồn gốc mạng botnet Dự án nhằm bảo đảm cho máy tính cá nhân người dùng bị nhiễm mã độc tham gia vào mạng botnet cảnh báo hỗ trợ loại bỏ mã độc thông qua nhà cung cấp dịch vụ Intetnet họ Dự án Đức tập trung vào nhiệm vụ gồm: Xác định khách hàng với máy tính bị nhiễm mã độc: máy tính bị nhiễm mã độc xác định trực tiếp thông qua hệ thống bẫy spam honeypot Cảnh báo cho khách hàng: người dùng nhận cảnh báo từ ISP họ Hỗ trợ người dùng loại bỏ mã độc thông qua trung tâm hỗ trợ tập trung: website cung cấp công cụ loại bỏ mã độc b) Kinh nghiệm Hà Lan Tháng 7/2009, 14 doanh nghiệp ISP Hà Lan thoả thuận hợp tác chiến chống botnet Trong Cục Quản lý Viễn thơng Hà Lan (Dutch Telecom Regulatory Authority) quan khởi tạo hoạt động NICC (National Infrastructure against Cybercrime) chương trình hành động năm 2006, tập trung vào việc nâng cao khả phục hồi cho hệ thống thơng tin quan trọng trước hiểm hoạ an tồn thông tin mạng Mặc dù NICC không trực tiếp chống lại mã độc hệ thống hỗ trợ hiệu cho bên liên quan tham gia vào hoạt động chống mã độc Dự án hệ thống kết nối bên, tạo nguồn lực khuyến khích trao đổi thơng tin, trọng tâm vấn đề chia sẻ thông tin cố an tồn thơng tin Việc truyền 31 thơng bên thực thông qua môi trường tin cậy, bảo đảm an toàn 32 CHƯƠNG CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN Tư tưởng chủ đạo Để ứng phó với tình hình lây nhiễm mã độc mức báo động, quan, tổ chức Việt nam thực giải pháp khác việc xử lý mã độc Bất chấp điều đó, thực trạng nói khơng cải thiện nhiều Vấn nạn toán phức tạp, khó giải Trong đó, botnet APT thời gian vừa qua số đối tượng lợi dụng để thực công mạng, gây thiệt hại nghiêm trọng Chính vậy, bên cạnh nỗ lực đơn lẻ quan, tổ chức, cần có nỗ lực mang tính tổng thể, huy động tham gia nhiều tổ chức, cá nhân xã hội để thực chiến dịch bóc gỡ mã độc, mà ưu tiên bóc gỡ mạng Botnet APT nguy hiểm Trách nhiệm bóc gỡ mã độc trách nhiệm quan, tổ chức Vì cần đưa giải pháp nhằm phát động, tổ chức chiến dịch xử lý, bóc gỡ Botnet APT theo hướng xã hội hóa, với nòng cốt tham gia ISPs doanh nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam nước Đây giải pháp bổ sung thay cho giải pháp mà quan, tổ chức triển khai Hình thức xã hội hóa khơng làm tăng thêm gánh nặng chi phí cho ngân sách nhà nước Tuy vậy, để giải pháp khả thi thực tế, điểm mấu chốt bên liên quan, bên cạnh trách nhiệm, phải có quyền lợi tham gia thực giải pháp Phương pháp tiếp cận Qua nghiên cứu kinh nghiệm quốc tế (Hàn Quốc, Nhật Bản, Châu Âu), thấy có 03 cách tiếp cận việc xử lý mã độc Hình 10: Các cách tiếp cận xử lý mã độc 33 (1) (2) Bắt đối tượng điều khiển Vô hiệu hóa máy chủ C&C (3) Xử lý thiết bị lây nhiễm Ưu điểm: Ưu điểm: Xử lý từ gốc (con người) Xử lý nhanh, mang lại hiệu Có thể xã hội hóa thời gian ngắn Nhược điểm: Nhược điểm: Khó phát đối tượng Đối tượng điều khiểu Tốn thời gian cơng sức thay đổi máy chủ C&C phải xử lý thiết bị Khơng thể xã hội hóa Ưu điểm: Nhược điểm: Khó xã hội hóa Có thể bị “tái nhiễm” Phù hợp với: Phù hợp với: Phù hợp với: Lực lượng cơng an Xử lý tình ứng cứu khẩn cấp, cần vơ hiệu hóa mạng Botnet hay APT nhanh tốt thời gian ngắn Triển khai biện pháp mang tính dài hạn, bền vững để làm môi trường mạng Việt Nam, đưa Việt Nam khỏi danh sách top giới Căn văn đạo Đảng, Chính phủ, cần đưa giải pháp với mục tiêu góp phần làm giảm tỷ lệ lây nhiễm mã độc Việt Nam từ đến năm 2020 Đây chương trình triển khai hướng tới hiệu bền vững giai đoạn trung hạn, thực biện pháp khẩn cấp Chính vậy, phương pháp tiếp cận thứ lựa chọn phương pháp tiếp cận chủ đạo Tuy nhiên, phương pháp tiếp cận thứ thứ triển khai cách phù hợp để bảo đảm hiệu tổng thể Mơ hình giải pháp Việc tổ chức thực cần kết hợp đồng hoạt động nhiều quan, tổ chức khác nhau, lồng ghép triển khai đề án, dự án phê duyệt lĩnh vực an toàn thơng tin để lan tỏa hiệu Chu trình xử lý, gỡ bỏ thực sau: 34 Hệ thống kỹ thuật Hệ thống xử lý công DDoS Hệ thống giám sát Cục ATTT VNCERT Tuyên truyền Đ/v chuyên trách ATTTT Xác định các mạng Botnet & APT lớn và các thiết bị lây nhiễm Cục ATTT VNCERT Cục ATTT VNCERT Hiệp hội ATTT Tuyên truyền Hệ thống kỹ thuật ISPs Thực hiện phân Ach, phát động chiến dịch xử lý Phòng, chống việc bị tái lây nhiễm trở lại Doanh nghiệp ATTTT Hiệp hội ATTT Doanh nghiệp ATTTT Chuyên gia ISPs Chuyên gia Chuyên gia Chuyên gia Hình 11: Chu trình xử lý, gõ bỏ mã độc Dự kiến mơ hình tổ chức thực sau: 35 ĐIỀU PHỐI CHUNG Bộ TT&TT VNCERT Cục ATTT Hệ thống giám sát Hệ thống theo dõi botnet (DDoS) và APT Cục BC Cục PTTH Chỉ đạo truyền thơng CHIẾN DỊCH BĨC GỠ Nhóm Đơn vị vận hành hệ thống Nhóm Chuyên gia phân tích Nhóm Đơn vị thúc đẩy xử lý Nịng cốt ISP, phát mẫu phần mềm độc hại lây nhiễm thiết bị lây nhiễm Chuyên gia từ Hiệp hội doanh nghiệp để phân tích, lên kế hoạch thực chiến dịch bóc gỡ Tuyên truyền, thông báo cho doanh nghiệp cung cấp giải pháp phần mềm diệt vi-rút cập nhật Nhóm đơn vị vận hành hệ thống: Nịng cốt nhóm trước tiên ISP Nhóm mở rộng bao gồm đơn vị chuyên trách ATTT quan, tổ chức Các đơn vị chức Bộ TT&TT (Cục ATTT, VNCERT) phối hợp đơn vị vận hành hệ thống việc thu thập thông tin, liệu để phát mẫu mã độc lây nhiễm qua mạng thiết bị mạng bị lây nhiễm Nhóm chun gia phân tích: Nịng cốt nhóm chun gia an tồn thơng tin Cục ATTT, VNCERT, chuyên gia Hiệp hội ATTT doanh nghiệp chuyên phần mềm diệt vi-rút Việt Nam (CMC, BKAV, Viettel, VNPT, FPT) Nhóm phân tích mẫu mã độc thu được, tổ chức thảo luận để lên kế hoạch thực chiến dịch bóc gỡ Nhóm đơn vị thúc đẩy xử lý: Nịng cốt nhóm đơn vị chức liên quan thuộc Bộ TT&TT Nhóm có trách nhiệm thơng báo cho hãng phần mềm diệt vi-rút (BKAV, CMC, Microsoft, Kaspesky, Norton, F-Secure v.v…) liên tục 36 cập nhật, phổ biến mẫu vi-rút phát cách đồng Đồng thời, thực tuyên truyền phổ biến theo phương thức khác (qua phương tiện truyền thông đại chúng, truyền thông xã hội v.v…) để tổ chức, cá nhân biết tham gia triển khai thực Giải pháp tận dụng mạnh bên tham gia đem lại lợi ích thiết thực cho bên Tổ chức thực trách nhiệm bên 4.1 Các Bộ, quan ngang Bộ, quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương: a) Khẩn trương phân loại, xác định cấp độ an tồn hệ thống thơng tin xây dựng phương án bảo đảm an tồn hệ thống thơng tin theo cấp độ phù hợp với quy định pháp luật tiêu chuẩn, quy chuẩn kỹ thuật Thời hạn hoàn thành xác định hệ thống thông tin cấp độ 4, cấp độ 5: Tháng 9/2018 b) Bảo đảm có giải pháp phòng, chống mã độc bảo vệ cho 100% máy chủ, máy trạm, thiết bị đầu cuối có chế tự động cập nhật phiên dấu hiệu nhận dạng mã độc Thời hạn hoàn thành: Tháng 6/2018 Giải pháp phòng, chống mã độc đầu tư cần có chức cho phép quản trị tập trung; có dịch vụ hỗ trợ kỹ thuật 24/7, có khả phản ứng kịp thời việc phát hiện, phân tích gỡ bỏ mã độc; chia sẻ thơng tin, liệu với quan chức có thẩm quyền cách tự động, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật hướng dẫn nghiệp vụ Bộ Thông tin Truyền thông c) Chỉ đạo đơn vị chuyên trách công nghệ thông tin, đơn vị tham mưu kế hoạch - tài thực nghiêm cơng tác thẩm định dự án, dự tốn có cấu phần mua sắm giải pháp phịng, chống mã độc, bảo đảm tuân thủ quy định pháp luật d) Chỉ đạo quan, đơn vị trực thuộc mua sắm thiết bị điện tử có kết nối Internet (như camera giám sát, router, modem DSL v.v…) cần thực rà soát, kiểm tra, đánh giá an tồn thơng tin; trước đưa vào sử dụng cần thiết lập cấu hình an tồn thơng tin phù hợp với quy định, tuyệt đối không sử dụng cấu hình mặc định đ) Định kỳ hàng năm thực kiểm tra, đánh giá tổng thể an toàn thông tin; tổ chức theo dõi, thống kê số lây nhiễm mã độc phạm vi bộ, ngành, địa phương mình, định kỳ hàng quý báo cáo Bộ Thông tin Truyền thông trước ngày 20 tháng cuối quý để tổng hợp báo cáo Thủ tướng Chính phủ 37 e) Thường xuyên tổ chức tuyên truyền, phổ biến nâng cao nhận thức mối nguy hại mã độc trách nhiệm đơn vị, tổ chức, cá nhân cơng tác phịng, chống mã độc phạm vi bộ, ngành, địa phương 4.2 Bộ Thơng tin Truyền thơng có trách nhiệm: a) Phê duyệt tổ chức triển khai thực Đề án Nâng cao lực phòng, chống mã độc, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử Thời hạn hoàn thành: Tháng 2/2018 b) Tận dụng sở hạ tầng, trang thiết bị có để thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát mã độc không gian mạng Việt Nam; kịp thời cảnh báo, u cầu xử lý, bóc gỡ Thời hạn hồn thành: Tháng 3/2018 c) Xây dựng, ban hành văn hướng dẫn kết nối, trao đổi, chia sẻ thông tin, liệu mã độc hệ thống kỹ thuật quan chức liên quan với giải pháp phòng, chống mã độc bộ, ngành, địa phương, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật Thời hạn hoàn thành: Tháng 3/2018 d) Thành lập trì hoạt động Nhóm chun gia để phối hợp phân tích, xác định, phát mã độc đặc biệt nguy hiểm, mạng máy tính ma lớn; tư vấn giải pháp xử lý, bóc gỡ đ) Tổ chức phát động đạo chiến dịch bóc gỡ mã độc, mạng máy tính ma diện rộng với tham gia doanh nghiệp cung cấp dịch vụ viễn thông, Internet (ISPs) tổ chức, doanh nghiệp hoạt động lĩnh vực công nghệ thông tin an tồn thơng tin e) Chỉ đạo tăng cường tuyên truyền, phổ biến, nâng cao nhận thức tác hại phương thức phòng, chống mã độc g) Hướng dẫn, điều phối, đôn đốc thực Chỉ thị Theo dõi, tổng hợp, đánh giá số lây nhiễm mã độc bộ, ngành, địa phương, coi tiêu chí đánh giá mức độ bảo đảm an tồn thơng tin bộ, ngành, địa phương Định kỳ hàng quý tổng hợp tình hình báo cáo Thủ tướng Chính phủ 4.3 Trung ương Đồn Thanh niên Cộng sản Hồ Chí Minh Phát động đồn viên niên, đặc biệt đoàn viên niên sở đào tạo đại học công nghệ thơng tin, an tồn thơng tin tham gia tun truyền, phổ biến tác hại, hướng dẫn cách thức phòng, chống, xử lý bị lây nhiễm mã độc 38 4.4 Các Đài phát thanh, truyền hình quan thơng báo chí Trung ương địa phương Tăng cường viết, xây dựng chương trình phát truyền hình, dành thời lượng thích hợp để tuyên truyền, phổ biến tác hại phương thức phịng, chống mã độc 4.5 Hiệp hội An tồn thơng tin Việt Nam (VNISA) có trách nhiệm: a) Định kỳ hàng năm thực chương trình khảo sát, đánh giá số lây nhiễm mã độc Việt Nam Tổ chức khảo sát, đánh giá mức độ hài lòng người sử dụng giải pháp phòng, chống mã độc; bình chọn, tơn vinh giải pháp phịng, chống mã độc tiêu biểu b) Tổ chức nghiên cứu, phân tích phương pháp thống kê tình hình lây nhiễm mã độc báo cáo doanh nghiệp ngồi nước cơng bố; thúc đẩy việc hợp tác, chia sẻ thông tin, liệu mã độc quan, tổ chức doanh nghiệp c) Phát động hội viên tham gia chiến dịch bóc gỡ mã độc, mạng máy tính ma diện rộng Chủ động kết hợp tuyên truyền, phổ biến, nâng cao nhận thức tác hại phương thức phòng, chống mã độc kiện Ngày An tồn thơng tin Việt Nam thi Sinh viên với An toàn thông tin hàng năm 4.6 Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) a) Thiết lập hệ thống kỹ thuật cho phép theo dõi tình hình lây nhiễm mã độc phạm vi mạng lưới mình; có khả kết nối, chia sẻ thơng tin, liệu với hệ thống kỹ thuật quan chức Thời hạn hoàn thành: Tháng 5/2018 b) Xây dựng cơng bố sách xử lý mã độc, đó, xác định rõ đầu mối, quy trình, trách nhiệm xử lý phát mã độc thông thường, mã độc nguy hiểm có yêu cầu quan chức Thời hạn hoàn thành: Tháng 3/2018 c) Thường xuyên tổ chức tuyên truyền, phổ biến nâng cao nhận thức cho cán khách hàng mối nguy hại mã độc phương thức phòng, chống 4.7 Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm liệu (data center): a) Xây dựng công bố quy trình xử lý phát mã độc thơng thường, mã độc nguy hiểm có yêu cầu quan chức Thời hạn hoàn thành: Tháng 3/2018 b) Phối hợp với ISP chủ quản hệ thống thông tin đơn vị vận hành hệ 39 thống thơng tin để bóc gỡ mã độc khỏi hệ thống thông tin phạm vi quản lý c) Có trách nhiệm thực bóc gỡ mã độc khỏi hệ thống thông tin phạm vi quản lý tổ chức, cá nhân thuê dịch vụ không đủ lực thực 4.8 Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm: a) Cơng bố quy trình phản ứng cập nhật dấu hiệu nhận dạng cho mẫu mã độc vào sản phẩm chống mã độc cung cấp thị trường Việt Nam b) Phối hợp với quan chức việc xây dựng cung cấp công cụ, giải pháp để loại bỏ mã độc diện rộng c) Thiết lập hệ thống kỹ thuật cho phép chia sẻ thông tin tình hình lây nhiễm mã độc tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật hướng dẫn nghiệp vụ Bộ Thông tin Truyền thông với quan chức có thẩm quyền 40 CHƯƠNG KIẾN NGHỊ, ĐỀ XUẤT Các quan, tổ chức Việt Nam thực giải pháp khác việc xử lý mã độc nhiên thực trạng nói khơng cải thiện nhiều Vấn nạn tốn phức tạp, khó giải được, biện pháp xử lý cần thực thời gian dài Bên cạnh đó, với thực trạng lây nhiễm mã độc mức báo động nay, song song với việc đạo, đề thực biện pháp xử lý thời gian dài hạn, cần thực biện pháp trước mắt để giảm thiểu thiệt hại mã độc gây Giải pháp đề án đưa bản, không làm phát sinh thêm dự án mà chủ yếu tổ chức khai thác hiệu hạ tầng kỹ thuật đầu tư Cục ATTT, VNCERT, hạ tầng cung cấp dịch vụ sẵn có ISPs; đồng thời, huy động tham gia Hiệp hội ATTT doanh nghiệp hoạt động lĩnh vực CNTT ATTTT Việc triển khai giải pháp thực đồng với đề án mà Cục ATTT thực như: Đề án Đào tạo phát triển nguồn nhân lực an tồn, an ninh thơng tin; Đề án Tun truyền phổ biến nâng cao nhận thức trách nhiệm an tồn thơng tin; Đề án Hỗ trợ phát triển số sản phẩm, dịch vụ an tồn thơng tin nước Căn đạo Thủ tướng Chính phủ Quyết định 898 giải pháp thực nêu Bộ Thông tin Truyền thơng xin đề xuất với Thủ tướng Chính phủ: Ban hành Chỉ thị Thủ tướng Chính phủ việc nâng cao lực phòng, chống phần mềm độc hại Giao Bộ Thông tin Truyền thông phê duyệt tổ chức triển khai Đề án nâng cao lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử theo hướng xã hội hóa 41 ... sống xã hội đất nước CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN Thông tin chung Đề án Tên Đề án: Nâng cao lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử theo hướng. .. phê duyệt tổ chức triển khai Đề án nâng cao lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy quốc gia hoạt động giao dịch điện tử theo hướng xã hội hóa 41 ... TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI Tổng quan phần mềm độc hại a) Phần mềm độc hại gì? Theo Luật An tồn thông tin mạng Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn