Ảnh minh họa: github.io |
Khả năng ứng phó của một tổ chức đối với các sự cố mà mình gặp phải sẽ tạo nên sự khác biệt so với những phần còn lại |
Chuyên viên Forensic Lê Công Phú |
Một bài viết từ chuyên viên Lê Công Phú chia sẻ, đúc kết từ những kinh nghiệm thực tế về nguy cơ và sự chuẩn bị ứng phó bài bản rất cần thiết trong mỗi doanh nghiệp, cơ quan tổ chức về an toàn thông tin.
Trước hết chúng ta phải thừa nhận với nhau rằng, những năm gần đây các tổ chức, doanh nghiệp bắt đầu có ý thức hơn trong việc đầu tư cho ATTT, ít nhiều thì hệ thống phòng thủ của chúng ta đang trở nên mạnh hơn, được đầu tư trang bị nhiều giải pháp, công nghệ bảo mật tiên tiến. Nhưng ở bên kia chiến tuyến khác, các cuộc tấn công chống lại các hệ thống máy tính sẽ ngày càng phức tạp, gia tăng về tần suất và mức độ tinh vi.
Khi việc phòng thủ thất bại những gì còn lại của an toàn thông tin chỉ có thể là xử lý, ứng phó. Nói cách khác xử lý, phản hồi là tuyến phòng thủ cuối cùng của an toàn thông tin.
Những vụ an toàn thông tin lớn tại VN những năm gần đây như VCCORP, Vietnam Airlines hay rộng hơn trên thế giới như Sony Picture, eBay, Target hay HackingTeam một công ty chuyên cung cấp “vũ khí tấn công mạng” bị tấn công thâm nhập dữ liệu, hay những báo cáo về sự gia tăng các cuộc tấn công APT cho thấy những hệ thống phòng thủ tưởng như rất kiên cố cuối cùng cũng thất bại.
Rõ ràng, kẻ tấn công đang ngày càng trở nên tinh nhuệ và khó lường hơn, được trang bị và hậu thuẫn, chống lưng bởi những tổ chức có tiềm lực, mục tiêu nhắm đến vẫn là những dữ liệu có giá trị như thông tin tình báo, sở hữu trí tuệ, kinh doanh... Bất cứ tổ chức nào cũng có thể là mục tiêu tiếp theo. Lúc này khả năng ứng phó của một tổ chức đối với các sự cố mà mình gặp phải sẽ tạo nên sự khác biệt so với những phần còn lại.
Trước khi đi vào chi tiết, tôi muốn kể một vài câu chuyện về vấn đề xử lý - ứng phó các sự cố an toàn thông tin (sự cố) tại Việt Nam mà tôi từng tham gia.
Câu chuyện đầu tiên diễn ra vào tháng 8-2014 khi tôi tham gia điều tra truy vết (Forensic) cho một máy chủ bị tấn công, kẻ tấn công khi đã khai thác thành công lỗ hổng tải dữ liệu (File upload) của một website, có được quyền điều khiển máy chủ cung cấp dịch vụ, sau đó tiến hành "Deface" (1) một loạt các site trên máy chủ đấy.
Từ những thông tin có được từ phía nhà cung cấp dịch vụ, theo họ thì vấn đề này sẽ được đội ngũ kỹ thuật của họ giải quyết êm đẹp bằng việc khôi phục lại dữ liệu mới nhất mà trước đó họ đã cập nhật? Tất nhiên dữ liệu đó "sạch" hay không nó lại nằm ngoài khả năng của họ. May mắn là trên hệ thống của họ lưu trữ website của một số cơ quan quan trọng nên nhóm của tôi mới có cơ hội tiếp cận.
Nhiệm vụ của chúng tôi là điều tra tìm ra thông tin về cuộc tấn công (càng nhiều càng tốt).
Câu chuyện thứ hai diễn ra vào tháng 10-2014, một trong những tổ chức hoạt động trong lĩnh vực Internet và truyền thông tại Việt Nam bị tấn công gây thiệt hại lớn về uy tín lẫn tài chính cho đơn vị này. Chúng tôi nhận được yêu cầu hỗ trợ, mục tiêu cuối cùng vẫn là tìm ra thủ phạm tấn công, tuy nhiện ở vụ này không chỉ chúng tôi mà ngay cả một số đơn vị khác tham gia ứng phó đều không được tiếp cận nhiều đến hệ thống của khách hàng bởi vì nhiều lý do.
Hai câu chuyện trên đều có một điểm chung đó là khả năng xử lý và ứng phó của họ rất yếu. Họ không có quy trình, công cụ, cũng như một đội ngũ lành nghề để đáp ứng những công việc trên.
Ở vụ thứ nhất, trong quá trình phân tích các bản ghi sự kiện, chúng tôi tìm thấy nhiều bằng chứng cho thấy kẻ tấn công đã thực hiện quá trình "Cover Track". Chính vì thế chúng tôi cần những bản ghi từ hệ thống quản lý "bản ghi" (log) tập trung của nhà cung cấp dịch vụ để phân tích rõ hơn. Tuy nhiên, thật đáng tiếc khi một nhà cung cấp dịch vụ Hosting (lưu trữ web) mà lại không xây dựng một hệ thống như vậy.
Ở vụ thứ hai, lúc chúng tôi trao đổi thông tin với khách hàng thì phần lớn các máy bị tấn công đều đã được tắt nguồn và niêm phong để tiến hành "Dead analysis" (phân tích thô). Đây là một cách làm thiếu sót bởi vì những chứng cứ liên quan đến kẻ tấn công như dữ liệu trong bộ nhớ tạm RAM, dữ liệu mạng, các truy cập… "vô tình" bị phá hủy, xóa dấu vết "giúp" kẻ tấn công.
Trong vụ thứ hai, "nạn nhân" chỉ cung cấp cho chúng tôi mẫu mã độc để phân tích, câu chuyện vui nhưng kết thúc chỉ có thế. Tất nhiên là công cụ tìm diệt mã độc sau đó đã ra đời và "làm sạch" đáng kể hệ thống của khách hàng.
Ở hai câu chuyện trên, cái mà chúng tôi cần nhất là dữ liệu, càng nhiều, càng tin cậy càng tốt. Chúng tôi cần tiếp cận và thu thập càng nhiều thông tin về hệ thống để xây dựng lộ trình phục vụ cho việc phân tích. Trong xử lý - phản hồi thì "Forensics" được xem là một trong những phần quan trọng nhất, và một trong những phần quan trọng nhất trong Forensics chính là dữ liệu để phân tích. Ở hai trường hợp trên chúng tôi đều không có những thứ chúng tôi cần.
Hai câu chuyện ở hai tổ chức nhưng cũng là câu chuyện của rất rất nhiều công ty, cơ quan khác mà tôi có cơ hội làm việc. Tất cả những sự cố đều thực hiện sau khi việc đã rồi, có nghĩa là họ không có các quy trình cụ thể để thu thập, lưu trữ cũng như bảo vệ những dữ liệu cần thiết phục vụ cho những công việc ứng phó sự cố sau này. Công việc của những đơn vị, cá nhân tham gia xử lý sự cố gặp rất nhiều khó khăn vì dữ liệu bị phá hủy, không đủ dữ liệu để phân tích..
Lướt qua những báo cáo an ninh mạng gần đây của Trustwave hay Mandiant cho biết các tổ chức phải mất rất nhiều thời gian để phát hiện sự xâm nhập vào hệ thống mạng của mình.
Hơn 64% tổ chức mất ba tháng liền để phát hiện hệ thống của mình bị xâm nhập và con số trung bình 243 ngày là thời gian kẻ tấn công âm thầm hoạt động trên các hệ thống của nạn nhân mà họ không hề hay biết |
Trích Báo cáo Trustwave Global Security Report và Mandiant M-Trend Report |
Khi mà chúng ta đang cần một phương pháp để phản ứng nhanh với các sự cố, thì hiện tại những gì tôi quan sát được, phần lớn công việc ứng phó sự cố trong các tổ chức tại Việt Nam vẫn đang bỏ ngõ. Nhiều tổ chức và công ty lớn trên thế giới, họ duy trì một đội phản ứng sự cố, sẵn sàng 24/7 để đối phó với các sự cố tiềm năng có thể xảy ra với đơn vị mình. Trong khi ở Việt Nam khi nhắc đến ứng phó sự cố đồng nghĩa với việc nhắc đến những cái tên "nhờ vả" quen thuộc như VNCERT hay CMC hay BKAV.
* Phần 02: “Hệ thống của chúng tôi có gì đâu, ai tấn công làm gì?!"
(1) Deface: chiếm quyền điều khiển website và thay đổi giao diện trang web sang nội dung tùy ý
Tối đa: 1500 ký tự
Hiện chưa có bình luận nào, hãy là người đầu tiên bình luận