Làm tốt công tác chuẩn bị
Để ứng phó với sự cố an toàn thông tin [ATTT] kịp thời, hiệu quả, công tác chuẩn bị đóng vai trò quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
Về con người: Con người là một trong ba yếu tố quan trọng nhất trong việc ứng cứu sự cố [ƯCSC]. Mỗi tổ chức cần có một đội ngũ chuyên trách đảm nhiệm công việc này. Do đó, thành viên của đội ƯCSC cần được trang bị tốt nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân [giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…], kỹ năng về trình độ kỹ thuật [khả năng lập trình, nguyên lý bảo mật, giao thức mạng, phân tích sự cố…].
Bên cạnh đó, thành viên đội ƯCSC cũng cần đạt được các chứng chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler [ECIH], GIAC Certified Incident Handler [GCIH], Incident Handling & Response Professional [IHRP]...
Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách tay….
Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn các kịch bản nhằm ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất phức tạp, nằm ngoài khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ quan chức năng, như: nhà cung cấp dịch vụ [ISP], Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam [VNCERT], Bộ Công an, Bộ Thông tin và Truyền thông…
Bình tĩnh và tránh hoảng loạn
Khi sự cố nghiêm trọng xảy ra những người tham gia họat động ứng cứu rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành viên đội ƯCSC cần phải có khả năng nhận biết khi ai đó đang ở trạng thái căng thẳng để có thể hỗ trợ kiểm soát, duy trì sự bình tĩnh. Cần phân bổ công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều việc cho một cá nhân nào đó dẫn đên sự ức chế trong quá trình xử lý sự cố. Vai trò của người làm công tác điều phối là hết sức quan trọng khi sự cố xảy ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng không mong muốn.
Xác định phạm vi ảnh hưởng của sự cố
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây ra bởi sự cố…. Từ đó, đưa ra một số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng chính xác hơn, đội ƯCSC cần lưu ý một số thông tin quan trọng sau: nhật ký sự kiện [event logs], thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS…
Xác định những việc cần ưu tiên làm ngay
Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao khả năng bảo mật cho hệ thống.
Tránh làm mất dữ liệu và chứng cứ quan trọng
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ không có cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong quá trình ứng cứu xử lý sự cố người làm vô tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị mất nếu không biết xử lý đúng cách [như các chứng cứ được lưu trên RAM]. Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức. Vì vậy, đội ƯCSC cần có sự chuẩn bị tốt nhất để đối phó với các sự cố có thể xảy đến trong tương lai.
Phần mềm chống vi-rút có thể giúp bảo vệ máy tính của bạn khỏi phần mềm độc hại [malware] như vi-rút và phần mềm gián điệp. Phần mềm độc hại là thuật ngữ được sử dụng để mô tả bất kỳ phần mềm nào có mục đích xấu, như làm gián đoạn hoạt động của máy tính và đánh cắp thông tin. Có nhiều cách phần mềm độc hại có thể lây nhiễm máy tính của bạn, bao gồm: nhấp vào liên kết, nhấp vào hình ảnh, tải xuống tệp [ví dụ: nhạc] và mở tệp đính kèm email. Để tìm hiểu thêm, hãy truy cập trang web hỗ trợ của nhà sản xuất, ví dụ: hỗ trợ của Microsoft, hỗ trợ Mac.
Theo Cục An toàn thông tin, phần mềm độc hại mã hóa tống tiền, lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; tấn công có chủ đích; lỗ hổng khi kết nối Internet với vạn vật, hay tấn công mạng vào các hạ tầng viễn thông và công nghệ thông tin là những vấn đề nóng về an toàn thông tin.
1. Phần mềm độc hại mã hóa tống tiền [ransomware]
Năm 2015 trở lại đây đang chứng kiến sự trở lại mạnh mẽ của rất nhiều loại mã độc mã hóa dữ liệu tống tiền với hàng loạt các cuộc tấn công trên diện rộng diễn ra tại Việt Nam. Đặc điểm chung của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả dữ liệu quan trọng của người dùng và yêu cầu trả tiền chuộc để lấy lại dữ liệu. Mã độc thường sử dụng các thuật toán mã hóa tốt nên việc khôi phục lấy lại dữ liệu sau khi bị mã hóa là rất khó khăn, thậm chí chúng còn có khả năng xóa toàn bộ thông tin của System Restore để không có cách nào khác để khôi phục lại dữ liệu. Nguy hiểm hơn khi các biến thể mới của mã độc xuất hiện vào cuối năm 2015 có mang theo nhiều các tính năng cao cấp hơn như phát tán lây nhiễm qua website, các file đính kèm email hay tập tin trên mạng chia sẻ [netwwork sharing] và thậm chí trên các thiết bị di động.
2. Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội
Cùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang mạng xã hội có đông người sử dụng như Facebook, nhiều đối tượng xấu đang sử dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến hay phát tán những phần mềm độc hại, gây ra những rủi ro, mất an toàn thông tin cho người sử dụng.
Với 1 lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại Việt Nam như hiện nay thì các nguy cơ mất an toàn thông tin từ mạng xã hội sẽ vẫn tiếp tục là một xu hướng nóng trong năm 2016 và các năm tiếp theo.
3. Tấn công có chủ đích [APT]
Trong vài năm trở lại đây xu hướng tấn công có chủ đích [APT] đang diễn biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn công này nhằm vào những người dùng hay các hệ thống quan trọng nhằm đánh cắp thông tin, phá hoại hệ thống và có thể xem là mối rủi ro nguy hiểm thường trực hiện nay trên Internet không chỉ ở Việt Nam và trên thế giới. Không nằm ngoài xu thế đó thì đây vẫn là xu hướng chính và cần tiếp tục được quan tâm và chú trọng trong năm 2016.
4. Thiết bị di động và Internet of Things [IoT]
Internet của vạn vật [IoT] đang là một xu hướng mạnh mẽ trên toàn thế giới, mở ra những cơ hội chưa từng có cho các nền kinh tế, doanh nghiệp, tổ chức và cá nhân để cạnh tranh trong môi trường mới. Nói đơn giản đây là một tập hợp hàng tỷ các thiết bị hiện hữu hiện nay như: Máy tính, điện thoại, tủ lạnh, tivi, điều hòa, đồng hồ, ô tô có khả năng kết nối với nhau, với Internet và với cả thế giới bên ngoài. IoT sẽ tăng rất nhanh với số lượng thiết bị IoT rất lớn và nguy cơ mất an toàn thông tin từ các thiết bị này cũng rất cao. Theo thống kê, hiện nay trên thế giới có khoảng 7 tỷ thiết bị IoT và đến năm 2025, sẽ có khoảng 21 tỷ thiết bị IoT, chiếm khoảng 65% tổng số lượng thiết bị kết nối mạng trên toàn cầu. Các chuyên gia ước tính, hiện nay có tới khoảng 70% các thiết bị IoT có nguy cơ bị tấn công mạng. Đây là một nguy cơ rất lớn đối với thế giới. Việt Nam chúng ta cũng không nằm ngoài xu thế đó của thế giới. Hiện tại Việt Nam và các thiết bị di động đang là một phần không thể thiếu với cuộc sống hàng ngày, xu thế smarthome đang được người dân tin dùng. Việt Nam hiện có khoảng 350.000 thiết bị IoT công khai trên mạng Inernet, hầu hết là các thiết bị camera giám sát, router; trong đó khoảng trên 40% thiết bị có khả năng bị ảnh hưởng bởi các lỗ hổng an toàn thông tin đã biết. Bên cạnh những lợi ích vượt trội về công nghệ, các thiết bị di động, IoT cũng để nhiều lỗ hổng về an toàn thông tin và trở thành mục tiêu để tin tặc nhắm tới.
5. Tấn công mạng vào hạ tầng viễn thông và CNTT
Trong những năm gần đây, thế giới đã chứng kiến nhiều các cuộc tấn công mạng với quy mô lớn nhắm vào các hệ thống cơ sở hạ tầng trọng yếu của quốc gia như: Hệ thống điện, các nhà máy điện hạt nhân, các hệ thống công nghiệp, SCADA… Tấn công vào các hạ tầng trọng yếu sẽ tăng theo xu hướng phát triển các chiến dịch tấn công hiện đại do các quốc gia hoặc các tổ chức tội phạm thực hiện. Tại Việt Nam các cơ sở hạ tầng trọng yếu đều đang sử dụng hệ thống CNTT phục vụ cho các hoạt động quản lý và vận hành do đó có thể nói đây sẽ trở thành đích ngắm của nhóm, đối tượng muốn tấn công nhắm vào trong thời gian gần đây. Tại Nghị quyết số 76 về phiên họp Chính phủ thường kỳ tháng 8/2016 mới được ban hành, cùng với việc giao Bộ TT&TT chủ trì, phối hợp với Bộ Công an tăng cường chỉ đạo bảo đảm an toàn, an ninh mạng, Chính phủ cũng yêu cầu các Bộ, cơ quan chỉ đạo tăng cường bảo đảm an toàn thông tin cho hệ thống thông tin quan trọng, có ảnh hưởng tới lợi ích công cộng của xã hội và hình ảnh quốc gia, đồng thời phối hợp kịp thời với cơ quan chức năng để xử lý sự cố mất an toàn thông tin đối với trường hợp không thể tự khắc phục.
Xu hướng các hành vi tấn công ATBM
- Cuộc đua giữa tin tặc và các nhà nghiên cứu, nhà sản xuất
- Công cụ tự động hóa tấn công
- Hình thành thị trường ngầm, dark web
- Mở rộng các hành vi đánh cắp thông tin cá nhân
- Tình báo
- Trở thành các vấn đề an ninh quốc gia: Kiểm duyệt, Tình báo, Chiến tranh mạng.