Giám sát An toàn thông tin cho các mạng CNTT trọng yếu của các cơ quan Đảng và Nhà nước trong thời kỳ mới
Các cuộc tấn công mạng, gián điệp, tội phạm mạng không ngừng gia tăng nhằm phá hoại hệ thống thông tin, đánh cắp dữ liệu. Ngày càng nhiều tổ chức tội phạm mạng, tổ chức phản động được thành lập, hoạt động tinh vi, gây ra hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia, đã trở thành hiện hữu chiến tranh mạng. Theo thống kê của hãng công nghệ HP (Mỹ) đã chỉ ra rằng, trong năm 2017, hơn 70% thiết bị IoT có nguy cơ bị tấn công mạng, khoảng 7.000 loại phần mềm độc hại tồn tại trên các thiết bị IoT. Theo tổ chức theo dõi các mối đe dọa tấn công mạng Spamhaus Project (trụ sở chính tại Thụy Sĩ và Anh), vào tháng 11/2018, Việt Nam đứng thứ 4 trong các quốc gia có số lượng máy tính bị nhiễm mã độc cao nhất thể giới, với hơn 530.000 máy tính bị tin tặc điều khiển.
Không nằm ngoài sự tác động từ tình hình chung, nhiều mạng CNTT trọng yếu của các cơ quan Đảng và Nhà nước cũng đã trở thành mục tiêu của các cuộc tấn công mạng không ngừng gia tăng về cả cường độ và mức độ nguy hiểm. Trước thực tế đáng báo động trên, Đảng và Nhà nước đã đề ra nhiều chủ trương, định hướng trong việc phát triển CNTT gắn liền với đảm bảo ATTT trên mạng. Ban Cơ yếu Chính phủ đã được Đảng và Nhà nước giao cho chủ trì và thực hiện 04 nhiệm vụ chiến lược, trong đó có nhiệm vụ thực hiện triển khai giám sát ATTT trên mạng CNTT trọng yếu của các cơ quan Đảng và Nhà nước, được quy định cụ thể tại các văn bản như: Luật tổ chức Chính phủ; Luật An toàn thông tin mạng; Nghị định 09/2014 của Chính phủ…. Đây là cơ sở để Ban Cơ yếu Chính phủ thực hiện triển khai giám sát ATTT cho các mạng CNTT trọng yếu của các cơ quan Đảng và Nhà nước.
Giám sát ATTT là một trong những công tác quan trọng và cần thiết trong việc phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Hoạt động này giúp tăng cường khả năng phát hiện sớm; cảnh báo kịp thời và chính xác về các sự cố; xác định các dấu hiệu, mã độc, lỗ hổng trong các hệ thống thông tin trọng yếu của Đảng và Nhà nước.
Nhận thức rõ điều này, từ năm 2008, Ban Cơ yếu Chính phủ đã đầu tư xây dựng Trung tâm giám sát ATTT cả về trang thiết bị, công nghệ và nguồn nhân lực để đảm bảo năng lực cho việc thực hiện giám sát ATTT cho nhiều cơ quan trong bộ, ngành và các tỉnh, thành... Hệ thống giám sát ATTT được tăng cường và bổ sung những tính năng mới, hiện đại để hỗ trợ phát hiện sớm và kịp thời xử lý các nguy cơ trong hệ thống mạng. Gửi cảnh báo tấn công mạng đã được xác định cho chủ quản, đội ngũ chuyên trách của các mạng CNTT được giám sát cùng phương án, kế hoạch phối hợp xử lý kịp thời; Tăng cường phối hợp, chia sẻ thông tin với các tập đoàn, doanh nghiệp và một số cơ quan nhà nước về lĩnh vực an toàn thông tin mạng như: Tạp đoàn Viettel, Tập đoàn Bưu chính Viễn thông (VNPT), Tập đoàn công nghệ CMC, Bộ Tư lệnh tác chiến không gian mạng, Hãng bảo mật Kaspersky… để nâng cao khả năng giám sát ATTT.
Các thành phần hỗ trợ công tác giám sát ATTT
Về công nghệ kỹ thuật, hệ thống giám sát ATTT gồm các tính năng như thu thập, lưu trữ, xử lý sự kiện, xử lý luồng dữ liệu, tương quan sự kiện, cảnh báo tấn công…. Đây là những tính năng cơ bản của một hệ thống giám sát ATTT. Đến nay, hệ thống giám sát ATTT của Ban Cơ yếu Chính phủđã được bổ sung, hoàn thiện thêm các thành phần hỗ trợ công tác giám sát ATTT như: quản lý lỗ hổng; quản lý rủi ro; phát hiện và phòng chống tấn công có chủ đích; giám sát hành vi người dùng; sử dụng mật mã của Ngành Cơ yếu để bảo mật dữ liệu trên hệ thống giám sát ATTT.
Quản lý lỗ hổng: Cho phép hệ thống giám sát ATTT tự động tìm kiếm các lỗ hổng bảo mật trong mạng CNTT được triển khai giám sát bao gồm các lỗ hổng bảo mật trên các máy chủ, dịch vụ, ứng dụng đặc biệt là trên các hệ thống website. Thiết lập kiểm tra theo định kỳ các đối tượng trong mạng để phát hiện sớm các lỗ hổng bảo mật và đưa ra báo cáo, phương án xử lý kịp thời cho các mạng CNTT được giám sát.
Quản lý rủi ro: Các hệ thống mạng CNTT được trang bị các thành phần thiết bị mạng như firewall, switch, router…. Thành phần Quản lý rủi ro cho phép tự động kiểm toán các thiết bị này để đảm bảo các cấu hình không ở trạng thái mặc định và đã được tối ưu nhằm giảm thiểu các nguy cơ trong hệ thống mạng CNTT được triển khai giám sát ATTT.
Phát hiện và phòng chống tấn công có chủ đích: Thông qua các kỹ thuật phân tích chuyên sâu trên sandbox và cơ chế phân tích dựa trên mẫu nhận dạng, đây là thành phần có chức năng tự động phân tích lưu lượng mạng để phát hiện các nguy cơ tấn công mạng, đặc biệt là các tấn công mạng có chủ đích, nhờ đó giúp phát hiện sớm các nguy cơ tấn công có chủ đích vào các hệ thống mạng CNTT được giám sát.
Giám sát hành vi người dùng: Thực hiện giám sát các hành vi của người dùng theo thời gian thực sử dụng phương pháp học máy, thu thập theo thời gian thực và thiết lập các hành vi người dùng theo từng hồ sơ. Trên cơ sở đó, khi có các dấu hiệu bất thường, hệ thống sẽ đưa ra các cảnh báo cho mạng CNTT được giám sát. Ngoài ra, hệ thống giám sát ATTT đang thử nghiệm áp dụng các giải pháp sử dụng trí tuệ nhân tạo nhằm sớm phát hiện các dấu hiệu tấn công mạng.
Sử dụng mật mã Ngành Cơ yếu đảm bảo an toàn dữ liệu: Điểm khác biệt giữa các hệ thống giám sát ATTT so với hệ thống giám sát của Ban Cơ yếu Chính phủ đó chính là việc sử dụng mật mã của Ngành Cơ yếu trong việc bảo đảm an toàn dữ liệu. Việc áp dụng mật mã trong việc truyền tải và lưu trữ dữ liệu giám sát ATTT cho phép đảm bảo dữ liệu được an toàn, bảo mật, phòng tránh được các nguy cơ gây mất ATTT trên các thiết bị.
Hình 1. Mô hình triển khai và các thành phần chính của hệ thống giám sát ATTT
Quy trình xử lý của hệ thống giám sát ATTT
Quy trình xử lý, cảnh báo sự cố tấn công mạng được Ban Cơ yếu Chính phủ áp dụng tuân thủ theo các tiêu chuẩn, hướng dẫn kỹ thuật như: NIST 800-137, tài liệu hướng dẫn ứng cứu sự cố ATTT của tổ chức SANS…. Đây là các quy trình, tiêu chuẩn được nhiều tổ chức trên thế giới sử dụng. Quy trình này gồm 6 giai đoạn chính gồm: Chuẩn bị (Preparation); Xác định sự cố (Identification); Sơ cứu ban đầu sự cố (Containment); Phân tích xử lý sự cố (Eradication); Khắc phục sự cố và tiếp tục theo dõi (Recovery); Rút kinh nghiệm và xem xét tối ưu lại quy trình (Lessons Learned).
Hình 2. Quy trình ứng cứu, xử lý sự cố ATTT
Trong quy trình này, công tác giám sát ATTT được thể hiện rõ nhất trong hai giai đoạn đầu, là giai đoạn sẵn sàng các phương án phối hợp khắc phục, xử lý sự cố và giai đoạn xác định, cảnh báo sự cố ATTT cho các mạng CNTT được triển khai giám sát.
Hình 3. Hệ thống giám sát phân loại tấn công được ghi nhận trong năm 2018
Số liệu giám sát ATTT năm 2018
Tính đến tháng 11/2018, kết quả phân tích trên hệ thống giám sát ATTT Ban Cơ yếu Chính phủ đã ghi nhận hơn 500.000 cảnh báo tấn công mạng vào mạng CNTT của gần 20 cơ quan đơn vị đang được giám sát ATTT. Trung bình hàng tháng, hệ thống giám sát ATTT của Ban Cơ yếu Chính phủ ghi nhận khoảng 50.000 cảnh báo cho các hệ thống mạng CNTT đang được triển khai giám sát ATTT. Những cảnh báo có mức độ nghiêm trọng cao đã được cán bộ giám sát trực tiếp phối hợp với đơn vị chủ quản xử lý kịp thời.
Trong đó, số lượng cảnh báo tấn công vào các hệ thống website là nhiều nhất, chiếm khoảng 30% (hơn 290.000 cảnh báo) do tính chất công khai và luôn có nguy cơ tồn tại nhiều lỗ hổng bảo mật.
Ngoài ra, số lượng cảnh báo tấn công bằng mã độc được ghi nhận nhiều (hơn 61.000 cảnh báo) chiếm 6,4%. Như vậy, trung bình hàng tháng, hệ thống giám sát ATTT ghi nhận hơn 5.000 cảnh báo tấn công có liên quan đến mã độc trên các mạng CNTT được giám sát ATTT. Đây là một trong những hình thức tấn công nguy hiểm, phức tạp và mất nhiều thời gian để xử lý. Do vậy, các hệ thống mạng CNTT cần phải tăng cường hơn nữa trong công tác phòng chống tấn công mạng, đặc biệt là các tấn công mạng liên quan đến mã độc.
Hình 4. Thống kê số lượng cảnh báo tấn công theo tháng trong năm 2018 trên hệ thống giám sát ATTT của Ban Cơ yếu Chính phủ
Kết luận
Đối với công tác giám sát ATTT, Ban Cơ yếu Chính phủ đã chú trọng đầu tư, áp dụng các giải pháp công nghệ, các tiêu chuẩn, quy trình mới và hiện đại. Nguồn nhân lực có trình độ chuyên môn cao và luôn được cập nhật kiến thức qua các lớp tập huấn trong và ngoài nước. Hiện nay, hoạt động giám sát ATTT đã góp phần quan trọng vào công tác đảm bảo ATTT cho nhiều mạng CNTT của các cơ quan Đảng và Nhà nước. Để tiếp tục định hướng cho những năm tiếp theo, trong Quy hoạch phát triển ngành Cơ yếu Việt Nam đến năm 2020, tầm nhìn 2030, Chính phủ đã định hướng mở rộng Trung tâm giám sát ATTT của Ban Cơ yếu Chính phủ thành Trung tâm giám sát ATTT quốc gia, nhằm mục đích kịp thời đáp ứng và đảm bảo ATTT cho các mạng CNTT trọng yếu của các cơ quan Đảng và Nhà nước.
Võ Văn Hoàng, Nguyễn Văn Duẩn