BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Kinh nghiệm một số bộ, ngành, đơn vị
trong việc xây dựng quy trình ứng cứu khẩn cấp sự cố an tồn thơng tin
Người thực hiện:
ThS. Nguyễn Đăng kiên

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Kinh nghiệm một số bộ, ngành, đơn vị
trong việc xây dựng quy trình ứng cứu khẩn cấp sự cố an tồn thơng tin

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022


3
MỤC LỤC
MỤC LỤC........................................................................................................3
DANH MỤC TỪ VIẾT TẮT..........................................................................5
DANH MỤC HÌNH VẼ..................................................................................6
PHẦN MỞ ĐẦU..............................................................................................7
1. Sự cần thiết...............................................................................................7
2. Mục tiêu nghiên cứu................................................................................8
3. Đối tượng và phạm vi nghiên cứu..........................................................8
4. Phương pháp nghiên cứu........................................................................9
5. Những đóng góp mới và những vẫn đề chưa được giải quyết.............9
6. Bố cục của chuyên đề..............................................................................9
Chương 1. Một số quy trình ứng cứu khẩn cấp sự cố ATTT....................10
1.1. Quy trình ứng cứu sự cố của Học viện SANS..................................10
1.2. Quy trình ứng cứu, xử lý sự cố của Ban Cơ yếu Chính phủ..........12
1.2.1. Quy trình ứng cứu, xử lý sự cố mã độc.......................................12
1.2.2. Quy trình ứng cứu sự cố tấn cơng thay đổi giao diện................19
1.2.3. Quy trình ứng cứu sự cố tấn công từ chối dịch vụ.....................23
1.3. Kinh nghiệm ứng cứu sự cố tấn công từ chối dịch vụ của Trung
tâm an ninh mạng quốc gia Anh Quốc (NCSC UK)...............................26
1.3.1. Hiểu về tấn công từ chối dịch vụ.................................................27
1.3.2. Các bước cần chuẩn bị ứng phó với tấn công từ chối dịch vụ...28
1.3.3. Hiểu sâu về mơ hình, khả năng xử lý của hệ thống...................28
1.3.4. Kế hoạch ứng cứu sự cố..............................................................30
Tổng kết Chương 1....................................................................................32
Chương 2. Một số lưu ý trong công tác ứng cứu sự cố an tồn thơng tin
mạng...............................................................................................................33

2.1. Làm tốt công tác chuẩn bị.................................................................33


4
2.2. Bình tĩnh và tránh hoảng loạn..........................................................34
2.3. Xác định phạm vi ảnh hưởng của sự cố...........................................34
2.4. Xác định những việc cần ưu tiên làm ngay......................................35
2.5. Tránh làm mất dữ liệu và chứng cứ quan trọng..............................35
KẾT LUẬN....................................................................................................36
TÀI LIỆU THAM KHẢO............................................................................37


5
DANH MỤC TỪ VIẾT TẮT
TT
1
2
3
4
5
6
7
8
9
10
11
12

Danh mục
An tồn thơng tin

Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Giao dịch điện tử
Khám bênh, chữa bệnh
Cách mạng công nghiệp
Chuyển đổi số
Dịch vụ công

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
GDĐT
KCB
CMCN
CĐS
DVC


6
DANH MỤC HÌNH VẼ
Hình 1. Quy trình ứng cứu sự cố của Học viện SANS....................................11

Hình 2. Quy trình xử lý sự cố mã độc.............................................................14
Hình 3. Mạng lưới ứng cứu sự cố an tồn thơng tin quốc gia (Bộ TT&TT)...16
Hình 4. Quy trình phân tích mã độc................................................................17
Hình 5. Sơ đồ quy trình ứng cứu sự cố tấn cơng thay đổi giao diện...............20
Hình 6. Sơ đồ quy trình ứng cứu sự cố tấn công từ chối dịch vụ....................24


7
PHẦN MỞ ĐẦU
1. Sự cần thiết
Với định hướng của Quốc hội và sự chỉ đạo quyết liệt của Chính phủ,
trong giai đoạn 2016-2020, ngành BHXH Việt Nam đã và đang đầu tư xây
dựng, hoàn thiện hệ thống CNTT của Ngành theo định hướng Chính phủ điện
tử, tích hợp, tập trung cấp quốc gia, hiện đại đạt tiêu chuẩn quốc tế, hướng tới
khách hàng với quy trình nghiệp vụ tự động hóa mức độ cao được vận hành
bởi nguồn nhân lực công nghệ thông tin chuyên nghiệp, chất lượng cao đáp
ứng yêu cầu đảm bảo an sinh xã hội quốc gia, phục vụ người dân và doanh
nghiệp ngày càng tốt hơn, toàn diện trong các lĩnh vực BHXH và BHYT.
Hệ thống CNTT của ngành BHXH Việt Nam được triển khai từ Trung
ương tới tất cả BHXH cấp tỉnh, cấp huyện và các cơ sở y tế; triển khai thực
hiện giao dịch điện tử trên tất cả các lĩnh vực: thu, cấp sổ BHXH; thẻ BHYT,
giải quyết các chế độ BHXH, BHYT, BH thất nghiệp, giám định và thanh
tốn chi phí KCB BHYT... Đến nay, BHXH Việt Nam đã hoàn thành việc
cung cấp dịch vụ công mức độ 4 cho tất cả các thủ tục hành chính của ngành,
tổ chức, cá nhân có thể thơng qua 13 nhà I-VAN hoặc thực hiện trực tiếp trên
Cổng DVC của BHXH Việt Nam, Cổng DVC Quốc gia.
Hiện tại, tồn Ngành BHXH Việt Nam đang có gần 30 hệ thống ứng
dụng; quản lý CSDL của gần 98 triệu người dân, tương ứng với gần 28 triệu
hộ gia đình trên tồn quốc; với hơn 20 nghìn tài khoản công chức, viên chức
và người lao động trong Ngành thường xuyên truy cập, khai thác và sử dụng

để thực hiện các nghiệp vụ của Ngành; kết nối liên thông với trên 12.000 cơ
sở khám chữa bệnh và hơn 500 nghìn tổ chức, doanh nghiệp sử dụng dịch vụ
cơng trên toàn quốc và các bộ, ngành. Năm 2021, Hệ thống giao dịch BHXH
điện tử Giao dịch điện tử tiếp nhận và xử lý hơn 87 triệu hồ sơ (chưa kể hơn


8
170 triệu hồ sơ đề nghị thanh tốn chi phí KCB BHYT). Như vậy, nếu tính
bình qn mỗi cán bộ BHXH sẽ phải giải quyết hơn 4 nghìn hồ sơ mỗi năm.
Năm 2020, BHXH Việt Nam đã đưa ứng dụng trên thiết bị di động
VssID - Bảo hiểm xã hội số chính thức đi vào hoạt động, cung cấp các dịch
vụ, tiện ích cho người tham gia, thụ hưởng chế độ, chính sách BHXH, BHYT,
sau hơn 1 năm cơng bố ứng dụng, đến 31/12/2021 đã có hơn 23,8 triệu tài
khoản giao dịch điện tử cá nhân (dùng để đăng nhập, sử dụng ứng dụng
VssID) được đăng ký và phê duyệt.
Cùng với đó, thực hiện Nghị định số 43/2021/NĐ-CP ngày 31/3/2021
của Chính phủ quy định Cơ sở dữ liệu quốc gia về bảo hiểm, đây là 1 trong 6
CSDL quốc gia quan trọng, được Chính phủ ưu tiên triển khai, BHXH Việt
Nam được giao là đơn vị chủ quản của CSLD quốc gia về bảo hiểm. Xác định
rõ vai trò và trách nhiệm, BHXH Việt Nam đã và đang tích cực phối hợp với
các bộ, ngành liên quan hoàn thiện quy chuẩn kỹ thuật, tập trung, hoàn thiện
cơ sở dữ liệu chuyên ngành, danh mục dữ liệu mở để sẵn sàng kết nối, chia sẻ
theo chỉ đạo của Chính phủ.
Do đó, việc đảm bảo an tồn thơng tin cho tồn bộ hệ thống thông tin
của Ngành là một thách thức rất lớn trước những nguy cơ tấn công mạng với
kỹ thuật ngày càng tiên tiến của tội phạm công nghệ cao như hiện nay.
2. Mục tiêu nghiên cứu
- Tìm hiểu việc xây dựng quy trình ứng cứu khẩn cấp sự cố ATTT của
các đơn vị.
- Đưa ra các đề xuất, lưu ý khi xây dựng quy trình ứng cứu khẩn cấp sự

số ATTT của ngành BHXH Việt Nam.
3. Đối tượng và phạm vi nghiên cứu
- Đối tượng nghiên cứu: Quy trình ứng dụng khẩn cấp sự cố ATTT của
các đơn vị.


9
- Phạm vi nghiên cứu: Sơ đồ và các bước thực hiện trong quy trình ứng
cứu sự cố ATTT.
4. Phương pháp nghiên cứu
- Tìm hiểu, nghiên cứu, phân tích thực tiễn và thông qua báo cáo, bài viết
về việc xây dựng quy trình ứng cứu khẩn cấp sự cố ATTT của các đơn vị
5. Những đóng góp mới và những vẫn đề chưa được giải quyết
6. Bố cục của chuyên đề
Ngoài phần mở đầu và kết luận, chuyên đề được chia thành 3 chương.
Cụ thể như sau:
Chương 1. Một số quy trình ứng cứu khẩn cấp sự cố ATTT
Chương 2. Một số lưu ý trong công tác ứng cứu sự cố an tồn thơng tin
mạng


10
Chương 1. Một số quy trình ứng cứu khẩn cấp sự cố ATTT
1.1. Quy trình ứng cứu sự cố của Học viện SANS
Ứng cứu sự cố là một loạt các hành động, việc làm nhằm xử lý, giảm
thiểu, hoặc khắc phục những hậu quả khi sự cố đã xảy ra. Hiện nay, có hai
quy trình ứng cứu sự cố được coi là tiêu chuẩn của toàn thế giới là của Học
viện SANS và Viện Tiêu chuẩn và Kỹ thuật quốc gia Hoa Kỳ (NIST). Bài báo
này sẽ giới thiệu đôi nét về quy trình ứng cứu sự cố của Học viện SANS.
Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến

phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ
thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố
mất an tồn thơng tin khi xảy ra mà không được xử lý đúng cách và kịp thời
có thể để lại những hậu quả khơn lường, dẫn tới sự phá hủy dữ liệu hoặc làm
sụp đổ hệ thống hạ tầng công nghệ thông tin.
Giới thiệu quy trình ứng cứu sự cố SANS
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”.
Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin,
đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu
sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn,
loại bỏ, phục hồi và rút ra bài học.


11

Hình 1. Quy trình ứng cứu sự cố của Học viện SANS
Giai đoạn 1 - Chuẩn bị
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù
trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê
một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây
dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết,
thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn 2 - Xác định
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay
không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính
xác, thơng tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện
(event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS,
IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng
xảy ra sự cố để thực hiện công tác ứng cứu.
Giai đoạn 3 - Ngăn chặn

Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các
thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài
hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn


12
sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là
khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương
tự không xảy ra trong tương lai.
Giai đoạn 4 - Loại bỏ
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra
sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi
mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng
phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ
thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các
lỗ hổng đã bị tin tặc tấn cơng khai thác…).
Giai đoạn 5 - Phục hồi
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng
thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt
động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai
đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường;
Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và
giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Giai đoạn 6 - Rút ra bài học kinh nghiệm
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và
những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên
liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau
sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thơng
thường là trong vịng 2 tuần sau khi sự cố xảy ra.
1.2. Quy trình ứng cứu, xử lý sự cố của Ban Cơ yếu Chính phủ

1.2.1. Quy trình ứng cứu, xử lý sự cố mã độc
Mã độc đã trở thành mối lo ngại mất an tồn thơng tin “ám ảnh và dai
dẳng” đối với các tổ chức, doanh nghiệp. Đặc biệt, với sự xuất hiện ngày càng


13
nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn
cơng có chủ đích… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự
cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi
ro từ loại hình tấn cơng này.
Mã độc (Malware hay Malicious software) là các chương trình máy tính
được tạo ra với mục đích làm tổn hại đến tính bảo mật, tính tồn vẹn hoặc tính
sẵn sàng của dữ liệu, ứng dụng và hệ điều hành của của hệ thống. Với sự phát
triển nhanh chóng của cuộc cách mạng cơng nghệ lần thứ 4, sự gia tăng các
thiết bị IoT, số lượng mã độc mới, mã độc tấn cơng có chủ đích nhằm vào các
cơ quan, tổ chức ngày càng tăng về số lượng và mức độ tinh vi. Việc phát
hiện, xử lý, khắc phục, loại bỏ mã độc ra khỏi hệ thống mạng ln gặp nhiều
khó khăn và cần đội ngũ chuyên gia có nhiều kinh nghiệm.
1.2.1.1 Ứng cứu, xử lý sự cố mã độc
Công tác ứng cứu, xử lý sự cố mã độc cần được thực hiện khoa học, hiệu
quả và thường nằm trong quy trình xử lý sự cố an tồn thơng tin, được mơ tả
tại Hình 1.


14

Hình 2. Quy trình xử lý sự cố mã độc
Phát hiện, tiếp nhận thông tin sự cố: Việc phát hiện, tiếp nhận sự cố mã
độc trong hệ thống mạng được thực hiện bởi cá nhân, đơn vị, tổ chức vận
hành hệ thống. Công tác tiếp nhận, phát hiện thường được phối hợp bởi nhiều

lực lượng và phương tiện kỹ thuật hỗ trợ gồm phân tích các nguồn từ bên
trong hệ thống như: hệ thống giám sát, thơng tin từ phía người dùng cung cấp
và kết quả phân tích thơng tin do cơ quan chức năng, mạng lưới ứng cứu an
toàn thông tin cung cấp...
Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu
tiên xử lý, căn cứ vào bản chất, dấu hiệu của sự cố để xử lý sự cố theo kế


15
hoạch ứng phó sự cố đã được phê duyệt hoặc hướng dẫn của cơ quan điều
phối.
Lựa chọn phương án ứng cứu: Dựa trên kế hoạch ứng phó sự cố đã được
phê duyệt để xây dựng, lựa chọn phương án ứng cứu phù hợp với từng sự cố
và hệ thống mạng cụ thể. Các phương án ứng cứu cần được xây dựng linh
hoạt dựa trên các điều kiện, mức độ đáp ứng, mức độ ưu tiên của từng hệ
thống mạng.
Báo cáo sự cố: Báo cáo thông tin về sự cố, đề xuất phương án ứng cứu
để lãnh đạo phê duyệt, chỉ đạo xử lý.
Chỉ đạo xử lý sự cố: Thực hiện thành lập đội ứng cứng tham gia xử lý sự
cố; Chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin sự cố trên các
phương tiện truyền thông; Phối hợp với các đơn vị chuyên trách ứng cứu sự
cố, các doanh nghiệp viễn thông, nhà cung cấp dịch vụ (ISP)…
Ngăn chặn sự cố: Đội ứng cứu phối hợp với cơ quan điều phối quốc gia,
thành viên mạng lưới ứng cứu sự cố an tồn thơng tin thực hiện thu thập dữ
liệu điện tử, phân tích, xác định phạm vi, đối tượng bị ảnh hưởng, phân tích
xác định nguồn gốc tấn công, triển khai các biện pháp ngăn chặn, giảm thiểu
rủi ro đối với hệ thống thông tin.
Xử lý, gỡ bỏ: Thực hiện loại bỏ mã độc ra khỏi hệ thống, triển khai các
biện pháp đảm bảo an ninh, an tồn thơng tin bổ sung như rà qt, đánh giá,
loại bỏ, khắc phục các điểm yếu, lỗ hổng bảo mật trong hệ thống. Thực hiện

khôi phục hệ thống khi cần thiết.
Khôi phục: Thực hiện việc khôi phục dữ liệu, kết nối, cấu hình, bổ sung
thiết bị, phần mềm cho hệ thống.
Kiểm tra, phân tích hệ thống: Thực hiện đánh giá hệ thống thông tin sau
khi khắc phục hệ thống. Nếu hệ thống chưa hoạt động ổn định, đội ứng cứu


16
cần tiếp tục điều tra, phân tích, xử lý triệt để, khơi phục để hệ thống trở lại
hoạt động bình thường.
Tổng kết, đánh giá: Tổng hợp các thông tin, báo cáo sự cố cho ban chỉ
đạo ứng cứu sự cố, cơ quan điều phối; Thực hiện phân tích, đánh giá sự cố cố
để rút kinh nghiệm; Đề xuất biện pháp bổ sung nhằm ngăn ngừa sự cố trong
tương lai. Việc tổng kết và rút kinh nghiệm là đặc biệt quan trọng đối với
doanh nghiệp, giúp hạn chế việc xảy ra các sự cố tương tự trong tương lại và
dự báo các sự cố sắp xảy ra trong hệ thống.
Trong công tác ứng cứu sự cố mã độc nói riêng, ứng phó sự cố an tồn
thơng tin nói chung, việc phối hợp giữa các lực lượng trong hoạt động ứng
cứu là rất quan trọng, đặc biệt là sự hỗ trợ từ cơ quan điều phối, mạng lưới
ứng sự cố an toàn thơng tin.

Hình 3. Mạng lưới ứng cứu sự cố an tồn thơng tin quốc gia (Bộ TT&TT)
Bộ Thơng tin và Truyền thơng - VNCERT chịu trách nhiệm là đầu mối
chính trong điều phối với sự tham gia bắt buộc của Bộ Cơng an, Bộ Quốc
phịng, các nhà cung cấp dịch vụ (ISP), Trung tâm Internet Việt Nam
(VNNIC), các trung tâm thông tin của các Bộ, ngành, cơ quan ngang Bộ, Sở
thông tin và truyền thông các tỉnh, thành phố, cùng các tổ chức quốc tế khác.


17

Các thông tin, sự hỗ trợ, hướng dẫn từ các cơ quan, mạng lưới này sẽ giúp các
cơ quan doanh nghiệp thực hiện hiệu quả, xử lý triệt để sự cố trong hệ thống.
1.2.1.2. Quy trình phân tích mã độc
Phân tích mã độc là một cơng việc quan trọng trong hoạt động ứng cứu
sự cố. Việc phân tích mã độc trong hoạt động ứng cứu nhằm:
- Cung cấp thông tin về sự cố, cách thức tấn công của mã độc: Xác định
các thông tin về thay đổi của hệ thống, hành vi tấn cơng, nguy cơ đe doạ an
tồn thơng tin để từ đó đưa ra phương án ngăn chặn, khắc phục hiệu quả.
- Cung cấp thơng tin truy tìm, điều tra tấn công, cách thức khai thác, tấn
công để đưa ra cảnh báo và các thức khắc phục, phòng chống tấn công trong
tương lai.
- Nhận biết xu hướng, kỹ thuật tấn cơng mới.
Quy trình phân tích mã độc bao gồm các bước sau:

Hình 4. Quy trình phân tích mã độc
Bước 1: Nhận diện hệ thống bị nhiễm mã độc
Nhận diện hệ thống bị nhiễm mã độc là bước quan trọng trong quy trình,
có nhiều dấu hiệu cho biết một hệ thống bị nhiễm mã độc như dựa trên các bất
thường của hệ thống, dựa trên các thông báo, báo cáo của hệ thống phần mềm
bảo mật.


18
Sau khi nhận diện được hệ thống bị nhiễm mã độc, người phân tích cần
thực hiện những cơng việc khoanh vùng xử lý hoặc cơ lập các máy tính có
dấu hiệu nghi ngờ nhiễm mã độc; ghi lại nhật ký ngày giờ và các thông tin
liên quan; giữ nguyên hiện trạng của phần cứng, phần mềm liên quan đến hệ
thống bị nhiễm; xác định thông tin về hệ điều hành, trình duyệt, phần mềm
bảo mật, các tiến trình đang sử dụng nhằm xác định nguồn gốc và nguyên
nhân lây lan mã độc vào hệ thống.

Bước 2: Thu thập mẫu mã độc
Thu thập mẫu mã độc là quá trình tìm ra các thiết bị, tập tin bị nhiễm mã
độc, hoặc nghi ngờ bị nhiễm mã độc trong hệ thống nhằm mục đích nghiên
cứu, phân tích và xử lý.
Có nhiều phương pháp thu thập mẫu, tuy nhiên, để đảm bảo các máy tính
được thu thập được nguyên vẹn, khách quan nhằm phục vụ việc điều tra sự cố
sau này thì người phân tích thường thực hiện sao lưu (clone) ổ cứng của máy
tính bị nhiễm ra một thiết bị khác và phân tích trên bản sao đó.
Bước 3: Phân tích sơ lược
Dựa trên các thơng tin đặc điểm, phân loại thuộc tính của tập tin, kích
thước tập tin hoặc thơng tin đơn giản khác để tiến hành phân loại sơ bộ mã
độc hại. Việc xác định các thơng tin này có thể thực hiện bằng cách gửi mã
độc hại lên các cơ sở dữ liệu online như Virustotal hoặc quét tập tin bằng các
chương trình Anti-virus. Phân tích sơ lược thường được thực hiện tuần tự như
sau:
- Phân tích đặc trưng kiểm tra đặc điểm tệp tin, giá trị băm, các chuỗi ký
tự.
- Phân tích file nén, để kiểm tra xem tệp tin có bị nén hay khơng. Nếu bị
nén thì có thể sử dụng các cơng cụ giải nén sau đó quay trở lại bước 1, nếu
khơng giải nén được thì chuyển sang bước sau.


19
- Kiểm tra tương quan kết quả, tại đây thu nhận các kết quả, người phân
tích lấy giá trị băm của tệp tin phân tích, tìm kiếm trên các cơ sở dữ liệu
online để xem mẫu này đã được phân tích hay chưa? Nếu đã có kết quả phân
tích thì lưu lại làm tài liệu để so sánh kết quả phân tích sau này.
Bước 4: Phân tích tĩnh
Phương pháp phân tích tĩnh là phương pháp phân tích mã độc dựa trên
những đặc trưng của các tập tin mà không cần thực thi chúng để phát hiện mã

độc. Người phân tích thường thực hiện bằng cách đọc mã thực thi của mã độc
sử dụng một bộ phân tích (Disassembler) để dịch ngược các đoạn mã bên
trong một chương trình mã độc thành dạng hợp ngữ, từ đó tìm hiểu các chỉ
lệnh nhằm xác định hành vi độc hại của chương trình. Việc thực hiện phân
tích tĩnh địi hỏi người phân tích phải có các kiến thức chun sâu về ngơn
ngữ lập trình, hợp ngữ và kiến trúc vi xử lý.
Bước 5: Phân tích động
Đây là phương pháp phân tích dựa trên việc quan sát, theo dõi hành vi
mã độc khi thực thi mẫu trong mơi trường phù hợp, nhằm tìm hiểu các hành
động mà mã độc thực hiện, nhằm phục vụ cho q trình xử lý, ngăn chặn.
Phương pháp phân tích động thường được người phân tích thực hiện quan sát
các tiến trình (processes), các DLL được tải cùng với file phân tích, thơng tin
về Registry, thay đổi các tệp, thư mục, lưu lượng mạng và các kết nối TCP/IP.
Bước 6: Viết báo cáo phân tích.
Sau khi phân tích xong mẫu mã độc, người phân tích cần tổng hợp thành
một báo cáo hành vi hoạt động của mã độc.
1.2.2. Quy trình ứng cứu sự cố tấn công thay đổi giao diện
1.2.2.1. Sơ đồ quy trình


20

Hình 5. Sơ đồ quy trình ứng cứu sự cố tấn công thay đổi giao diện
1.2.2.2. Hướng dẫn thực hiện
Bước 1: Cách ly hệ thống trang tin điện tử bị sự cố deface
- Ngắt các kết nối, tiến trình, ứng dụng trên máy chủ, thiết bị định tuyến


21
chạy các trang bị tấn công;

- Kiểm tra các tài khoản trên hệ thống trang tin điện tử, nếu phát hiện tài
khoản có truy cập bất thường hoặc tài khoản mới được tạo ra thì tắt hoặc xóa
bỏ. Đổi tất cả các thông tin tài khoản quản trị, bao gồm: tài khoản trang tin
điện tử, cơ sở dữ liệu, tài khoản quản lý hosting, FTP…;
- Nếu khơng có trang dự phịng để thay thế: Chuyển trang bị tấn cơng
thành trang thơng báo đang nâng cấp, bảo trì.
Bước 2: Bật hệ thống trang tin điện tử dự phịng
- Thay đổi thơng tin tài khoản quản trị đảm bảo không được giống với tài
khoản trang tin điện tử bị tấn công deface;
- Kích hoạt hệ thống trang tin điện tử dự phịng và điều hướng truy cập
người dùng vào trang tin điện tử dự phòng đã được chuẩn bị.
Bước 3: Thu thập thông tin về sự cố deface
- Thu thập thông tin nhật ký từ máy chủ, các thiết bị lưu trữ, ứng dụng và
các thành phần khác;
- Thu thập thông tin sự kiện từ các hệ thống bảo vệ, giám sát an tồn
thơng tin mạng;
- Thu thập các thơng tin khác có liên quan đến sự cố deface.
Bước 4: Phân tích thông tin về sự cố deface
- Kiểm tra các thông tin cố định của các tệp tin như: ngày thay đổi nội
dung, giá trị băm của file, …;
- Kiểm tra, phân tích các nội dung được nhúng từ trang tin điện tử khác;
- Kiểm tra các đường dẫn trong trang tin điện tử (src, meta, css, script,
…);
- Kiểm tra, phân tích các file nhật ký;


22
- Rò quét cơ sở dữ liệu để phát hiện các nội dung chứa mã độc.
Bước 5: Xử lý sự cố deface
- Sao lưu toàn bộ dữ liệu trên máy chủ trang tin điện tử để phục vụ điều

tra chứng cứ số, tốt nhất là thực hiện sao lưu bit-by-bit toàn bộ ổ cứng máy
chủ;
- Kiểm tra kiến trúc hệ thống mạng, đảm bảo phải phát hiện được tất cả
các lỗ hổng bị khai thác bằng các cách sau:
+ Kiểm tra hệ điều hành của máy chủ chạy ứng dụng web;
+ Kiểm tra các dịch vụ khác cũng chạy trên máy chủ trang tin điện tử;
+ Kiểm tra toàn bộ các hệ thống khác được kết nối tới máy chủ trang tin
điện tử có thể bị tin tặc tấn cơng;
+ Nếu nguồn tấn công từ một hệ thống khác trong mạng, ngắt kết nối
mạng của hệ thống ngay lập tức (nếu có thể).
- Tìm ngun nhân đầu tiên tin tặc tấn công vào hệ thống và thực hiện vá
lỗ hổng này:
+ Lỗ hổng từ các thành phần Website cho phép quyền ghi và vá các
thành phần editor của trang tin điện tử;
+ Sửa lỗi các thư mục public trên trang tin điện tử;
+ Sửa lỗi mã nguồn SQL có lỗi injection;
+ Xóa bỏ các thành phần nhúng;
+ Phân lại quyền quản trị để thay đổi cách truy cập trực tiếp vào máy
chủ.
Chú ý: Đối với những trang tin điện tử quan trọng, cần phải chuẩn bị sẵn
một máy chủ web tạm thời, thường xuyên được cập nhật. Nội dung của máy
chủ tạm thời này giống với nội dung của máy chủ bị tấn cơng hoặc ít nhất


23
chứa những thông tin phù hợp. Những nội dung trên máy chủ tạm thời này là
những nội dung tĩnh, chỉ chứa duy nhất mã nguồn HTML để ngăn chặn tối đa
nguy cơ bị tin tặc tấn công.
Bước 6: Xem xét kết quả xử lý sự cố deface
Trung tâm Công nghệ thông tin và Giám sát an ninh mạng phối hợp với

đơn vị quản lý vận hành xem xét kết quả xử lý sự cố deface:
- Nếu đã xử lý: Chuyển thực hiện đến Bước 8 mục 2;
- Nếu chưa xử lý: Thực hiện điều phối ứng cứu sự cố theo Bước 7 mục 2.
Bước 7: Điều phối ứng cứu sự cố deface
Trung tâm Công nghệ thông tin và Giám sát an ninh mạng báo cáo Lãnh
đạo Ban phương án và phối hợp với đơn vị quản lý vận hành thực hiện điều
phối ứng cứu sự cố deface.
Bước 8: Phục hồi hệ thống bị sự cố deface
- Thay đổi toàn bộ mật khẩu các tài khoản quản trị của hệ thống trang tin
điện tử, bao gồm cả các tài khoản người dùng đăng nhập;
- Kiểm tra các bản sao lưu hệ thống, phục hồi về phiên bản phù hợp nhất.
Đảm bảo các lỗ hổng bảo mật được phát hiện tại các bước trên phải được vá
an toàn;
- Điều hướng truy cập người dùng trở lại trang tin điện tử đã được khơi
phục.
Bước 9: Tắt hệ thống dự phịng
Thực hiện ngắt các kết nối, tiến trình, ứng dụng chạy trên hệ thống trang
tin điện tử dự phòng và tắt hệ thống dự phịng.
1.2.3. Quy trình ứng cứu sự cố tấn cơng từ chối dịch vụ
1.2.3.1. Sơ đồ quy trình


24

Hình 6. Sơ đồ quy trình ứng cứu sự cố tấn công từ chối dịch vụ


25
1.2.3.2 Hướng dẫn thực hiện
Bước 1: Phân tích sự cố DDOS

- Xác định phương thức tấn công DDOS và các thành phần của hệ thống
bị ảnh hưởng;
- Xác định mục đích tấn cơng hoặc nạn nhân bị ảnh hưởng;
- Phân tích tương quan tải của hệ thống và các log thu thập được từ hệ
thống có liên quan bị DDOS;
- Xác định các yếu tố để phân biệt luồng tấn công DDOS với truy vấn
bất hợp pháp như: IP nguồn, cổng đích, URL, giao thức;
- Sử dụng cơng cụ hỗ trợ phân tích luồng mạng;
- Thiết lập luật để phân tích luồng tấn cơng với luồng truy cập hợp pháp.
Bước 2: Cô lập sự cố DDOS
- Kiểm tra nếu chức năng của ứng dụng gây nào ra hiện tượng DDOS
phải tạm thời vơ hiệu hóa chức năng đó;
- Chặn lọc các luồng truy cập nghi ngờ là mạng lưới botnet thông quan
các thiết bị an ninh như tường lửa, cân bằng tải hoặc thiết bị chuyên dụng
khác;
- Ngắt kết nối, tiến trình khơng cần thiết trên máy chủ, thiết bị định
tuyến, đồng thời tinh chỉnh lại các thiết lập TCP/IP;
- Nếu có thể, sử dụng mạng dự phịng bằng cách thiết lập lại DNS hoặc
các cơ chế khác để tập trung tồn bộ tấn cơng DDOS vào IP chính;
- Dùng cơ chế định tuyến luồng truy cập bằng các dịch vụ lọc luồng truy
cập;
- Thiết lập bộ lọc các luồng dữ liệu trả lời các truy vấn DDOS.
Bước 3: Xử lý sự cố DDOS