Tải bản đầy đủ (.docx) (59 trang)

Xây dựng quy trình ứng cứu sự cố an toàn thông tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (523.47 KB, 59 trang )

1

BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố an tồn thơng tin
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Tuấn Minh

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

1


2
Hà Nội - 2022

2


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố an tồn thơng tin
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam



Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022
3


Mục lục

Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội

Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Bảo hiểm xã hội
Denial of Service
Distributed Denial of Service

Danh mục các bảng
Danh mục các hình

4

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
BHXH
DoS
DDoS


5

Phần mở đầu
i.


Sự cần thiết
Các sự cố an tồn thơng tin đang dần trở thành mối lo ngại rất lớn đối
với các tổ chức, đơn vị với bối cảnh hiện nay. Đặc biệt, với sự xuất hiện ngày
càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã
độc tấn cơng có chủ đích hay nhiều những hình thức tấn cơng tinh vi… đặt ra
vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt
để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn cơng
này. Từ đó việc xây dựng được những quy trình điều phối, ứng cứu sự cố an
tồn thông tin sẽ giúp cho việc xác định, xử lý được nhanh chóng, hiệu quả
đảm bảo hoạt động thơng suốt cho những hệ thống thơng tin.

ii. Mục tiêu nghiên cứu
• Mục tiêu chung: Xác định các loại sự cố an tồn thơng tin, mức độ
nghiêm trọng đối với hệ thống thơng tin tại Trung tâm dữ liệu từ đó xây
dựng những quy trình ứng cứu sự cố cụ thể.
• Mục tiêu cụ thể:
o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố tại Trung
tâm dữ liệu Ngành BHXH.
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố do lỗi của thiết bị,
phần mềm, hạ tầng kỹ thuật.
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tồn tại lỗ hổng
bảo mật trong hệ thống
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng mã độc
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công thay đổi
giao diện
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng lừa đảo
(Phishing)
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công từ chối
dịch vụ (DoS/DDoS)


5


6
iii. Đối tượng và phạm vi nghiên cứu
• Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát hiện và xử lý sự
cố an tồn thơng tin tại Trung tâm dữ liệu Ngành BHXH.
• Phạm vi nghiên cứu:
o Khơng gian: Trung tâm dữ liệu và Trung tâm dữ liệu dự phịng
Ngành BHXH.
iv.

Cách tiếp cận và phương pháp nghiên cứu
• Cách tiếp cận: Thông qua việc thu thập thông tin của Trung tâm dữ liệu
về cơ sở hạ tầng, an tồn thơng tin và việc nghiên cứu các sự cố an tồn
thơng tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách
ứng cứu sự cố để xây dựng quy trình ứng cứu sự cố an tồn thơng tin.
• Phương pháp nghiên cứu: phân tích, xử lý số liệu để lựa chọn thông tin,
tài liệu phục vụ công tác nghiên cứu đề tài.

v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
được
• Những đóng góp mới của chuyên đề
o Đưa ra được quy trình ứng chung cho các sự cố an tồn thơng tin
tại Trung tâm dữ liệu Ngành BHXH.
o Xây dựng được 4 quy trình ứng cứu sự cố tiêu biểu, có khả năng
xảy ra cao đối với các hệ thống thông tin.
o Áp dụng các văn bản pháp luật, văn bản hướng dẫn vào việc xây
dựng, thực hiện quy trình ứng cứu sự cố an tồn thơng tin.

• Những vấn đề mà chuyên đề chưa thực hiện được:
o Chuyên đề chưa xây dựng được quy trình ứng cứu cho một số
loại sự cố như tấn cơng có chủ đích, sự cố do thiên tai, hiểm họa
thiên nhiên…
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,
cụ thể như sau:

6


7
Chương 1. Một số vấn đề về sự cố an tồn thơng tin tại Trung tâm dữ
liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an
tồn thơng tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố an tồn thơng tin tại
Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

7


8

Chương 1. Một số vấn đề về sự cố an tồn thơng tin tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam

1.1

Đặc điểm về hệ thống an toàn thông tin tại các đơn vị trong hệ

thống Bảo hiểm xã hội Việt Nam

1.1.1. Danh sách hệ thống thông tin
Căn cứ theo Nghị định 85/2016/NĐ-CP của Chính phủ ngày 01/7/2016
của Chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ và Thông tư
03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy định chi tiết và
hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của
chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ. Những hệ
thống thông tin của BHXH Việt Nam đặt tại Trung tâm dữ liệu và Trung tâm
dữ liệu dự phịng được xác định như sau:
1.1.1.1

Hệ thống thơng tin sử dụng nội bộ

Danh sách các hệ thống thông tin nội bộ
ST
T
1
2
3
4
5
6
7
8
9
10
11
12
13

14
8

Tên hệ thống
Hệ thống Cấp mã số BHXH và Quản lý BHYT Hộ gia đình
Hệ thống Quản lý Thu và Sổ - Thẻ
Hệ thống Xét duyệt chính sách
Hệ thống Kế toán tập trung
Hệ thống Quản lý đầu tư quỹ
Hệ thống Thẩm định quyết toán
Hệ thống Quản lý nhân sự
Hệ thống Quản lý hoạt động thanh tra, kiểm tra
Hệ thống Thi đua khen thưởng
Hệ thống Tổng hợp và phân tích dữ liệu tập trung ngành BHXH
Hệ thống Lưu trữ hồ sơ điện tử ngành BHXH
Hệ thống Đào tạo trực tuyến
Hệ thống Quản lý văn bản và điều hành
Hệ thống Thư điện tử


9

15

Hệ thống Quản lý định danh và truy cập (IAM)
Bảng 1: Danh sách hệ thống thông tin nội bộ

1.1.1.2

Hệ thống thông tin phục vụ người dân, doanh nghiệp


Đã tập trung tại TTDL của BHXH Việt Nam
STT
1
2
3
4
5
6
7
8

Tên hệ thống thông tin
Cổng thông tin điện tử ngành BHXH (bao gồm cổng tiếng Việt,
cổng tiếng Anh, cổng thành phần của BHXH tỉnh, thành phố)
Cổng Dịch vụ công và phần mềm một cửa điện tử ngành BHXH
(Hệ thống Giao dịch BHXH điện tử và phần mềm tiếp nhận và
quản lý hồ sơ)
Hệ thống ứng dụng dịch vụ thông tin trên nền tảng thiết bị di
động (VssID)
Hệ thống thông tin Giám định BHYT (Cổng tiếp nhận dữ liệu,
phần mềm giám định BHYT, phần mềm giám sát hệ thống)
Hệ thống Quản lý đấu thầu thuốc
Hệ thống Chăm sóc khách hàng (tổng đài)
Hệ thống tương tác đa phương tiện giữa người dân và doanh
nghiệp với cơ quan BHXH (SMS)
Hệ thống Thu nộp, chi trả BHXH điện tử (bao gồm Quản lý tài
khoản đầu tư tự động)

Bảng 2 Danh sách hệ thống thông tin phục vụ người dân, doanh nghiệp


9


10

1.1.1.3

Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị,
đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều
cơ quan, tổ chức

ST
T

Tên hệ thống

1

Hệ thống cơ sở hạ tầng (bao gồm Trung tâm dữ liệu Ngành và
Trung tâm dữ liệu dự phòng)
Bảng 3. Hệ thống cơ sở hạ tầng

Hệ thống cơ sở hạ tầng bao gồm các thành phần sau:
- Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng.
- Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây.
- Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số.
- Hệ thống kết nối liên thơng, trục tích hợp các hệ thống thơng tin.
- Hệ thống hỗ trợ giám sát bảo vệ các hệ thống thơng tin khác.
1.1.2. Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH

1.1.1.1

Giải pháp lớp mạng

- Có phân vùng hạ tầng mạng thành các phân vùng khác nhau tùy theo
u cầu, mục đích sử dụng.
- Có phương án sử dụng thiết bị có chức năng tường lửa để ngăn chặn
truy cập trái phép giữa các vùng mạng với mạng Internet
- Có phương án xác thực tài khoản quản trị trên các thiết bị mạng quan
-

trọng.
Giải pháp Phát hiện, ngăn chặn các kết nối trái phép
Giải pháp tường lửa lớp mạng
Giải pháp quản lý, phản hồi sự cố
Giải pháp quản lý, tối ưu chính sách tường lửa
Giải pháp phịng chống tấn cơng có chủ đích
Giải pháp tấn cơng từ chối dịch vụ
Giải pháp truy vết các cuộc tấn công
1.1.1.2

Giải pháp lớp ứng dụng

- Tường lửa cho hệ thống cho các hệ thống ứng dụng trên nền tảng web
(Web Application Firewall)
- Giải pháp quản lý bản vá
10


11

- Tường lửa cho hệ thống thư điện tử (Email Firewall)
- Hệ thống kiểm soát người truy cập web
- Giải pháp kiểm tra, đánh giá an tồn thơng tin mạng
1.1.1.3

Giải pháp lớp dữ liệu

- Tường lửa cho hệ thống cơ sở dữ liệu (Database Firewall)
- Giải pháp chống thất thoát dữ liệu (DLP)
- Giải pháp mã hóa, an tồn dữ liệu lưu
1.1.1.4
-

Giải pháp lớp endpoint (người dùng cuối)

Giải pháp Anti virus
Giải pháp kiểm soát truy cập mạng
Giải pháp phát hiện và phản hồi các loại tấn công chưa được biết đến
Giải pháp quản lý bản vá

1.1.3. Cấp độ các hệ thống thông tin
Qua thời gian vận hành và phát triển, BHXH Việt Nam đang tiến hành
đề xuất lại cấp độ đối với tồn bộ hệ thống thơng tin. Danh sách cấp độ đề
xuất của các hệ thống thông tin tại Trung tâm dữ liệu BHXH Việt Nam:
ST
T

Tên hệ thống

1


Cổng thông tin điện tử ngành BHXH
(bao gồm cổng tiếng Việt, cổng tiếng
Anh, cổng thành phần của BHXH tỉnh,
thành phố)
Cổng Dịch vụ công và phần mềm một
cửa điện tử ngành BHXH (Hệ thống Giao
dịch BHXH điện tử và phần mềm tiếp
nhận và quản lý hồ sơ)
Hệ thống ứng dụng dịch vụ thông tin trên
nền tảng thiết bị di động (VssID)
Hệ thống thông tin Giám định BHYT
(Cổng tiếp nhận dữ liệu, phần mềm giám
định BHYT, phần mềm giám sát hệ
thống)
Hệ thống Quản lý đấu thầu thuốc
Hệ thống Chăm sóc khách hàng (tổng
đài)

2

3
4

5
6
11

Cấp độ đã
được phê

duyệt

Cấp độ đề
xuất

3

3

3

4

4

3

4
3

2

3


12

7

8


9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

1.2

Hệ thống tương tác đa phương tiện giữa
người dân và doanh nghiệp với cơ quan
BHXH (SMS)
Hệ thống Thu nộp, chi trả BHXH điện tử
(bao gồm Quản lý tài khoản đầu tư tự
động)
Hệ thống Cấp mã số BHXH và Quản lý
BHYT Hộ gia đình
Hệ thống Quản lý Thu và Sổ - Thẻ
Hệ thống Xét duyệt chính sách

Hệ thống Kế tốn tập trung
Hệ thống Quản lý đầu tư quỹ
Hệ thống Thẩm định quyết toán
Hệ thống Quản lý nhân sự
Hệ thống Quản lý hoạt động thanh tra,
kiểm tra
Hệ thống Thi đua khen thưởng
Hệ thống Tổng hợp và phân tích dữ liệu
tập trung ngành BHXH
Hệ thống Lưu trữ hồ sơ điện tử ngành
BHXH
Hệ thống Đào tạo trực tuyến
Hệ thống Quản lý văn bản và điều hành
Hệ thống Thư điện tử
Hệ thống Quản lý định danh và truy cập
(IAM)
Hệ thống cơ sở hạ tầng (bao gồm Trung
tâm dữ liệu Ngành và Trung tâm dữ liệu
dự phịng)

4

4
3

4

3
2


2

4
3
3
3
3
3

2

3
3

2

3
3

2
2
3

3
3
3

2

3


3

4

Xác định sự cố an tồn thơng tin thơng thường
Trong Quyết định 05/2017/QĐ-TTg tại Điều 9 đã phân nhóm sự cố an tồn

thơng tin mạng, trong đó quy định sự cố an tồn thơng tin mạng nghiêm trọng
là sự cố đáp ứng đồng thời các tiêu chí sau:

12


13
- Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4, cấp độ 5
hoặc thuộc Danh mục hệ thống thông tin quan trọng quốc gia và bị một
trong số các sự cố sau:
o Hệ thống bị gián đoạn dịch vụ;
o Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ;
o Dữ liệu quan trọng của hệ thống không bảo đảm tính tồn vẹn và
khơng có khả năng khơi phục được;
o Dữ liệu quan trọng của hệ thống không bảo đảm tính tồn vẹn và
khơng có khả năng khơi phục được;
o Hệ thống bị mất quyền điều khiển;
o Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh
hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ
4 hoặc cấp độ 5 khác.
- Chủ quản hệ thống thông tin không đủ khả năng tự kiểm soát, xử lý
được sự cố.

Căn cứ vào Quyết định 05/2017/QĐ-TTg, những sự cố không đáp ứng một
hoặc nhiều tiêu chí trên được xác định là sự cố thơng thường.
1.3

Các loại tấn công mạng phổ biến

1.3.1. Sự cố tấn công mã độc (Malware)
1.3.1.1. Định nghĩa
Mã độc là phần mềm độc hại (malware hay malacious software) nhằm
thực hiện một quy trình trái phép có tác động bất lợi đến tính bảo mật, tính
tồn vẹn hoặc tính khả dụng của hệ thống thơng tin. Một số ví dụ về mã độc
là Virus, Worm, Trojan Horse. Phần mềm gián điệp và một số hình thức phần
mềm quảng cáo cũng là ví dụ về mã độc.
Sự cố tấn công mã độc là khi các máy chủ, máy trạm của hệ thống đã
nhiễm mã độc và thực hiện.

13


14
1.3.1.2. Các bước cơ bản xử lý sự cố tấn cơng mã độc

Hình 1. Các bước cơ bản xử lý sự cố tấn công mã độc

1.3.1.3. Các loại mã độc
Một số loại mã độc thông thường là Virus, Trojan horse, Rootkits,
Worm. Ransomware.
14



15
- Virus: Một phần mềm độc hại có khả năng ẩn, tự sao chép và lây nhiễm
từ một chương trình khác. Virus chỉ có thể chạy cùng một chương trình
của máy chủ, máy trạm chứ không thể tự hoạt động.
- Trojan horse: Một chương trình giả mạo một phần mềm hữu ích, nhưng
cũng có chức năng ẩn và có khả năng che giấu, tránh phát hiện bởi các
cơ chế bảo mật để có thể đánh cắp thơng tin, chiếm quyền điều khiên.
Trojan không thể tự nhân bản, lây lan mà phải phát tán qua thư điện tử
hoặc phần mềm khác.
- Spyware: Thường được gọi là phần mềm gián điệp, là một dạng mã độc
nhằm theo dõi hoạt động của người dùng để gửi dữ liệu, thông tin tới
máy chủ điều khiển. Spyware thường được cài đặt bí mật vào máy chủ,
máy trạm khi mở một tập tin văn bản hoặc cài đặt một ứng dụng khác.
- Worm: Là mã độc có khả năng tự sao chép tự phát tán thơng qua mạng
(thường là email, lỗ hổng bảo mật) mà không cần chương trình của máy
chủ, máy trạm hoặc bất kỳ sự can thiệp nào của người dùng để sao
chép, lây nhiễm.
- Ransomware: Thường được gọi là mã độc tống tiền, là loại mã độc thực
hiện từ chối truy cập vào dữ liệu của máy chủ, máy trạm thường bằng
cách mã hóa dữ liệu với mục tiêu là tống tiền nạn nhân.
- Rootkit: Một bộ công cụ, đoạn mã độc được sử dụng bởi kẻ tấn cơng
sau khi có quyền truy cập “root” vào máy chủ để che giấu các hoạt
động của kẻ tấn công trên máy chủ và cho phép kẻ tấn cơng duy trì truy
cập dưới quyền “root” vào máy chủ thơng qua các phương tiện bí mật.
- Botnet: Là một mạng lưới các máy chủ, máy trạm, thiết bị đã nhiễm mã
độc và bị điều khiển bởi kẻ tấn công. Botnet cho phép kẻ tấn công truy
cập, điều khiển hệ thống máy nạn nhân để thực hiện các cuộc tấn công
mạng trên diện rộng.
1.3.1.4. Cách xác định mã độc
a. Xác định máy chủ, máy trạm lây nhiễm

- Xác định các cảnh báo tấn công mã độc, lỗ hổng bảo mật trên thiết bị,
máy chủ, máy trạm qua các tường lửa hay phần mềm, thiết bị chuyên
dụng.
15


16
- Xác định các máy chủ, máy trạm có kết nối nghi ngờ đến các máy chủ
điều khiển mã độc (C&C server).
- Xác định các tiến trình, tập tin đáng nghi: Sử dụng các phần mềm EDR,
Antivirus để phát hiện các cảnh báo. Ngồi ra sử dụng các cơng cụ
miễn phí có bản quyền như TCPView, Autoruns, Process Explorer,
Process Hacker,... hay những công cụ trực tuyến như VirusTotal,
Kaspersky (chỉ sử dụng hàm băm chứ không đưa trực tiếp mẫu tập tin
nghi ngờ)... để xác định những tiến trình, hành vi khả nghi.
- Kiểm tra các tập tin lạ, nghi ngờ chứa mã độc với các dấu hiệu như
khơng có thơng tin nhà phát hành, chữ ký số, ngày khởi tạo lệch với
ngày khởi tạo tập tin hệ thống...
- Đối với các tập tin chứa dữ liệu quan trọng, bí mật nhà nước: Không
được sử dụng các công cụ trực tuyến, cơng cụ mã nguồn mở và khơng
an tồn để xác định tập tin nghi ngờ chứa mã độc.
b. Lấy mẫu mã độc:
- Tắt tiến trình nghi ngờ, ngắt kết nối mạng nếu cần.
- Nén tập tin mã độc cần lấy có đặt mật khẩu, sao chép vào thiết bị dùng
riêng để lưu mã độc.
1.3.1.5. Cô lập mã độc
- Cô lập các khu vực bị nhiễm mã độc và ngắt kết nối với các phân vùng
khác. Nếu vùng lây nhiễm không thể bị ngắt kết nối mạng thì phải có
biện pháp kỹ thuật đảm bảo không lây nhiễm sang các vùng khác.
- Thu thập thông tin các kết nối bất thường của khu vực bị nhiễm mã độc

và ngắt các kết nối đến các địa chỉ máy chủ điều khiển mã độc.
- Cập nhật bản vá, bổ sung các IOC (Indicators of Compromise) của mã
độc trên các giải pháp an toàn thông tin đảm bảo xác định, ngăn chặn
được các hoạt động, kết nối của mã độc.
1.3.1.6. Cách gỡ bỏ mã độc
- Xóa các tập tin mã độc đã được xác định và sử dụng các phần mềm diệt
mã độc có bản quyền để quét mã độc trên thiết bị.
- Kiểm tra lại các tiến trình chạy trên hệ thống bằng một trong các phần
mềm như EDR, Antivirus hay các công cụ như Autoruns, Process
16


17
Explorer, TCP View, Process Hacker, XueTr, Powertools … để xem kết
quả xử lý mã độc.
- Kiểm tra các cảnh báo trên các tường lửa, thiết bị chuyên dụng.
- Khởi động hệ thống (nếu được phép) và kiểm tra lại tập tin tiến trình
mã độc đã xác định để đảm bảo mã độc đã được gỡ bỏ hoàn toàn.
1.3.1.7. Ngăn chặn, xử lý hậu quả sự cố tấn công mã độc
- Sử dụng các biện pháp nghiệp vụ kỹ thuật sửa lỗi gây ra sự cố, cài lại các
phầm mềm bị lỗi và khôi phục dữ liệu.
- Kiểm tra các kết nối, lưu lượng mạng liên quan đến vùng nhiễm mã độc.
- Bỏ những chính sách cơ lập vùng lây nhiễm mã độc
- Thay đổi tài khoản, mật khẩu của hệ thống một cách an toàn, sử dụng mật
khẩu mạnh cho tồn bộ tài khoản.
1.3.1.8. Phân tích mã độc
- Khởi động và kiểm tra tình trạng hoạt động của cơng cụ phân tích mã độc
đảm bảo hoạt động bình thường với hệ điều hành sạch (không nhiễm mã
độc).
- Thực hiện phân tích bằng phần mềm, giải pháp chuyên phân tích mã độc

tự động.
- Sử dụng kỹ thuật phân tích mã chuyên sâu như dịch ngược mã nguồn để
có thể phát hiện được loại mã độc mới, chưa phổ biến như.
- Phối hợp, gửi mẫu mã độc thu được đến những đơn vị có khả năng
chun mơn để tiến hành phân tích mã độc nếu như không thể tự thực
hiện.

17


18
1.3.2. Sự cố tấn công thay đổi giao diện (Deface)
1.3.2.1. Khái niệm
Một trong những hình thức tấn cơng (defacement) được biết rộng rãi
nhất là tấn công thay đổi nội dung, giao diện của Website. Hình thức tấn cơng
này thường sử dụng các mã độc (virus, worm, trojan…) để xóa bỏ, sửa đổi,
hoặc thay thế nội dung các trang Web trên hệ thống (Webserver). Lỗ hổng
Website là mục tiêu tiềm tàng của việc tấn cơng vì các mục đích khác nhau.
Những kẻ phá hoại có các cơng cụ để tìm kiếm các lỗ hổng Website một cách
sâu rộng và nhanh chóng, tiếp theo sẽ tiến hành khai thác những điểm yếu đó.
1.3.2.2. Các bước cơ bản xử lý sự cố tấn công thay đổi giao diện

18


19

Hình 2. Các bước cơ bản xử lý sự cố tấn công thay đổi giao diện

19



20
1.3.2.3. Thu thập thông tin về sự cố tấn công thay đổi giao diện
- Thu thập thông tin nhật ký từ máy chủ, các thiết bị lưu trữ, ứng dụng và
các thành phần khác.
- Thu thập thông tin sự kiện từ các hệ thống bảo vệ, giám sát an tồn
thơng tin mạng.
1.3.2.4. Phân tích thơng tin về sự cố tấn công thay đổi giao diện
- Kiểm tra các thông tin cố định của các tệp tin như: ngày thay đổi nội
dung, giá trị băm của file,…
- Kiểm tra, phân tích các nội dung được nhúng từ trang tin điện tử khác.
- Kiểm tra các đường dẫn trong trang tin điện tử (src, meta, css, script,
…).
- Kiểm tra, phân tích các file nhật ký.
- Rò quét cơ sở dữ liệu để phát hiện các nội dung chứa mã độc.
1.3.2.5. Xử lý ban đầu sự cố tấn công thay đổi giao diện
- Cô lập hệ thống bị sự cố thay đổi giao diện:
o Ngắt các kết nối, tiến trình, ứng dụng trên máy chủ, thiết bị định
tuyến chạy các trang bị tấn công.
o Kiểm tra các tài khoản trên hệ thống trang tin điện tử, nếu phát
hiện tài khoản có truy cập bất thường hoặc tài khoản mới được
tạo ra thì thu thập thơng tin và tắt hoặc xóa bỏ. Đổi tất cả các
thông tin tài khoản quản trị, bao gồm: tài khoản trang tin điện tử,
cơ sở dữ liệu, tài khoản quản lý hosting, FTP…
o Nếu khơng có trang dự phịng để thay thế: Chuyển trang bị tấn
công thành trang thông báo đang nâng cấp, bảo trì.
- Chuyển hoạt động sang hệ thống dự phịng:
o Kích hoạt hệ thống dự phịng và điều hướng truy cập người dùng
vào trang tin điện tử dự phòng đã được chuẩn bị.

o Theo dõi hoạt động của hệ thống dự phòng.
1.3.2.6. Xử lý sự cố tấn công thay đổi giao diện
- Trong trường hợp chưa có hệ thống dự phịng, chuẩn bị một máy chủ
web tạm thời. Nội dung của máy chủ tạm thời này giống với nội dung
của máy chủ bị tấn công hoặc ít nhất chứa những thông tin phù hợp.
Những nội dung trên máy chủ tạm thời này là những nội dung tĩnh, chỉ
20


21
chứa duy nhất mã nguồn HTML để ngăn chặn tối đa nguy cơ bị tin tặc
tấn cơng.
- Sao lưu tồn bộ dữ liệu trên máy chủ trang tin điện tử để phục vụ điều
tra chứng cứ số, tốt nhất là thực hiện sao lưu bit-by-bit toàn bộ ổ cứng
máy chủ.
- Kiểm tra kiến trúc hệ thống mạng, đảm bảo phát hiện được tất cả các lỗ
hổng bị khai thác bằng các cách sau:
o Kiểm tra hệ điều hành của máy chủ chạy ứng dụng web.
o Kiểm tra các dịch vụ khác cũng chạy trên máy chủ trang tin điện
tử.
o Kiểm tra toàn bộ các hệ thống khác được kết nối tới máy chủ
trang tin điện tử có thể bị tin tặc tấn công.
o Nếu nguồn tấn công từ một hệ thống khác trong mạng, ngắt kết
nối mạng của hệ thống ngay lập tức (nếu có thể).
- Tìm ngun nhân đầu tiên tin tặc tấn công vào hệ thống và thực hiện vá
lỗ hổng này:
o Lỗ hổng từ các thành phần Website cho phép quyền ghi và vá các
o
o
o

o

thành phần editor của trang tin điện tử.
Sửa lỗi các thư mục public trên trang tin điện tử.
Sửa lỗi mã nguồn SQL có lỗi injection.
Xóa bỏ các thành phần nhúng.
Phân lại quyền quản trị để thay đổi cách truy cập trực tiếp vào
máy chủ.

1.3.2.7. Khắc phục sự cố tấn công thay đổi giao diện
- Thay đổi toàn bộ mật khẩu các tài khoản quản trị của hệ thống trang tin
điện tử, bao gồm cả các tài khoản người dùng đăng nhập.
- Kiểm tra các bản sao lưu hệ thống, phục hồi về phiên bản phù hợp nhất.
Đảm bảo các lỗ hổng bảo mật được phát hiện tại các bước trên phải
được vá an toàn.
- Điều hướng truy cập người dùng trở lại trang tin điện tử đã được khôi
phục.
- Đối với những trang tin điện tử quan trọng, cần phải chuẩn bị sẵn một
máy chủ web tạm thời, thường xuyên được cập nhật. Nội dung của máy
chủ tạm thời này giống với nội dung của máy chủ bị tấn cơng hoặc ít
21


22
nhất chứa những thông tin phù hợp. Những nội dung trên máy chủ tạm
thời này là những nội dung tĩnh, chỉ chứa duy nhất mã nguồn HTML để
ngăn chặn tối đa nguy cơ bị tin tặc tấn công.
1.3.3. Sự cố tấn công lừa đảo
1.3.3.1. Định nghĩa
Một loại tấn công để cố gắng có được dữ liệu nhạy cảm, chẳng hạn như

số tài khoản ngân hàng, thông qua việc giả mạo email, tin nhắn SMS hoặc
trên một trang web, trong đó thủ phạm giả mạo như một tổ chức, doanh
nghiệp hợp pháp hoặc người có uy tín.

22


23
1.3.3.2. Các bước cơ bản xử lý sự cố tấn cơng lừa đảo

Hình 3. Các bước cơ bản xử lý sự cố tấn công lừa đảo

1.3.3.2. Thu thập thông tin tấn cơng lừa đảo
- Xác định loại hình tấn cơng lừa đảo:
o Lừa đảo qua thư điện tử
o Lừa đảo qua website
o Lừa đảo phối hợp nhiều cách thức
- Xác định mức độ ảnh hưởng của tấn công lừa đảo:
o Người dùng đã nhận được những thông tin lừa đảo hay chưa
23


24
o Người dùng đã bị lừa cung cấp các thông tin quan trọng, cài đặt
các phần mềm mã độc, truy cập đến những website lừa đảo hay
chưa.
- Xác định quy mô của tấn công lừa đảo:
o Xác định số lượng người dùng đã nhận được những thông tin lừa
đảo.
o Xác định những người dùng đã bị kẻ tấn công chiếm đoạt thông

tin, tài sản.
- Xác định các thông tin mã độc mà kẻ tấn cơng sử dụng nếu có:
o Loại mã độc
o Địa chỉ điều khiển mã độc
o Mục tiêu, cách thức hoạt động của mã độc
1.3.3.3. Cách xử lý sự cố tấn công lừa đảo
- Trong trường hợp người dùng chưa nhận được các thông tin lừa đảo,
thu thập các thông tin tấn công trên các giải pháp ngăn chặn.
- Phân tích mục đích của loại tấn cơng là lấy thông tin người dùng, lừa
người dùng cài đặt các chương trình mã độc hay chiếm đoạt tài sản…
- Cách ly các thiết bị của người dùng nhận được các thơng tin lừa đảo,
ngắt tồn bộ các kết nối. u cầu người dùng thay đổi tồn bộ những
thơng tin, tài khoản đã lộ lọt.
- Dựa vào những thông tin thu thập được, tạo những bộ luật chặn những
cách thức lừa đảo:
o Chặn những địa chỉ thư điện tử thực hiện tấn công và những địa
chỉ IP, domain trang web lừa đảo.
o Chặn những nội dung thư điện tử mang tính chất lừa đảo.
o Rà quét mã độc trên các thiết bị của người dùng nếu như đã truy
cập đến trang web lừa đảo, cài đặt những chương trình mà kẻ tấn
công mong muốn.
o Hướng dẫn người dùng thay đổi mật khẩu hoặc khóa những tài
khoản ngân hàng, tài khoản mạng xã hội hoặc những thông tin đã
bị đánh cắp.

24


25
1.3.3.4. Cách ngăn chặn, xử lý hậu quả tấn công lừa đảo

- Xử lý các hậu quả do sự cố hệ thống thơng tin của mình gây ra ảnh
hưởng đến người dân, cơ quan, tổ chức khác:
o Cập nhật các giải pháp bảo đảm an tồn thơng tin đảm bảo phát
hiện, ngăn chặn các lỗ hổng bảo mật khiến kẻ tấn công lợi dụng.
o Cảnh báo đến những người dùng về hình thức tấn cơng lừa đảo.
o Tun truyền nâng cao nhận thức của người dùng đối với những
hình thức tấn công lừa đảo mới, hướng dẫn cách xác định các nội
dung, phương thức lừa đảo.
- Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp,
dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương
tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra
sự cố và hỗ trợ xử lý hậu quả.
1.3.4. Sự cố tấn công từ chối dịch vụ (DoS/DDoS)
1.3.4.1. Định nghĩa
Tấn công từ chối dịch vụ (Denial of Service) là dạng tấn công với mục
đích là khiến cho hệ thống bị tấn cơng ngừng cung cấp dịch vụ. Với nguyên
tắc chung là chiếm dụng một lượng lớn tài nguyên của hệ thống cung cấp
bằng nhiều cách gây nên quá tải và ngừng cung cấp dịch vụ.
Các cuộc tấn cơng có thể được thực hiện nhằm vào các thiết bị định
tuyến, web, thư điện tử và hệ thống DNS,... Một số phương thức, kỹ thuật tấn
công cơ bản như: HTTP Flood, ICMP Flood, POD, Slowloris, SNMP Flood,
SYN Flood, UDP Flood, Exploit vulnerability,..

25


×