Đẩy mạnh diễn tập thực chiến ATTT, thúc đẩy CĐS toàn diện

Bộ TT&TT thời gian qua đã chỉ đạo, ban hành các văn bản quan trọng, đồng thời và tổ chức các buổi hội thảo, chuyên đề. Mới đây, sự kiện Hội thảo "Cải thiện năng lực phòng thủ thông qua hoạt động triển khai diễn tập thực chiến ATTT" khu vực miền Trung và Tây nguyên diễn ra chính là thêm sự khẳng định vai trò dẫn dắt, thúc đẩy CĐS toàn diện thì cũng cần phải bảo vệ ATTT, an toàn các thành các được tạo ra.

Đẩy mạnh các nội dung diễn tập mới theo hình thức thực chiến

Trong số các đơn vị tham dự, VNPT được đánh giá nổi bật thành công trong công tác thực hiện tổ chức thực chiến ATTT trong nội bộ; cung cấp cho các tổ chức, khách hàng khác sử dụng dịch vụ của mình hiệu quả.

Cụ thể hơn về điều này, ông Phạm Trung Đức, Quản lý dự án ATTT, Tập đoàn VNPT cho rằng, muốn nâng cao năng lực tổ chức thực chiến ATTT, điều quan trọng các đơn vị phải bám sát các yêu cầu thực tiễn của thị trường, đảm bảo đáp ứng theo đúng: Chỉ thị 60/CT-BTTTT; Dự thảo Chỉ thị về việc đẩy mạnh triển khai các hoạt động ứng cứu sự cố, đảm bảo ATTT mạng Việt Nam; yêu cầu chung về thực tế đẩy mạnh năng lực phối hợp, ứng cứu sự cố thực tiễn ATTT; cần có sân chơi để nâng cao năng lực đội ngũ ATTT cho các đơn vị.

"Thời gian qua, VNPT đã nâng cao được các giá trị thực chiến ATTT, đáp ứng việc: Cung cấp các dịch vụ, giải pháp phòng thủ, năng lực phối hợp; kiện toàn được đội ngũ xử lý sự cố ATTT của đơn vị; giúp đơn vị hoàn thiện, cải thiện và nâng cao quy trình ứng cứu xử lý sự cố; đảm bảo hệ thống luôn sẵn sàng hoạt động, ứng phó trước sự cố", ông Đức nhấn mạnh.

Bên cạnh đó, VNPT còn thực hiện các nguyên tắc: Phối hợp thực hiện trên phạm vi hệ thống đã thống nhất; không tác động thay đổi lên dữ liệu hệ thống; thực chiến thường trực 24/7; kịch bản tổ chức luôn linh hoạt, linh động.

Cũng theo ông Đức, hiện nay, các dự án diễn tập ATTT của VNPT đã triển khai cho các khối đơn vị cơ quan nhà nước, khối ngân hàng và DN thời gian qua bước đầu đạt hiệu quả tích cực; đảm bảo, đáp ứng các yêu cầu thực tế về chất lượng cao.

Nói thêm về kinh nghiệm thực chiến ATTT hiệu quả, ông Đức đưa ra yêu cầu 02 đội: Phòng thủ (cần khảo sát hiện trạng thực chiến; tích hợp, thực hiện hiện giám sát, ứng cứu…); Tấn công (xây dựng các nội dung về khung tấn công; rà quét do thám hệ thống; tấn công khai thác, thâm nhập vào hệ thống; dỡ bỏ các công cụ tấn công sau giai đoạn tổ chức thực hiện).

Đặc biệt, trong quá trình tổ chức thực chiến ATTT, đội phòng thủ thủ (con người, quy trình, công nghệ) và đội tấn công (con người, quy trình, tri thức) cần được xem là hai thực thể đối lập nhau, nhưng có điểm chung trọng tâm là yếu tố con người.

Do đó, khi xác định được vấn đề cốt lõi là yếu tố con người nên khi VNPT tổ chức thực chiến ATTT, con người cần sự kết hợp toàn diện giữa: Khả năng làm chủ công nghệ lõi và công nghệ chuyển giao; khả năng tổ chức bài bản, chuyên nghiệp; năng lực phòng thủ điều phối xử lý sự cố về ATTT; năng lực tấn công thực chiến trong tác chiến ATTT.

Cùng với đó, hiện nay VNPT đã xây dựng hoàn chỉnh bộ khung năng lực tấn công ATTT phong phú theo cả chiều dọc, chiều ngang. Chiều rộng VNPT lên tất cả các phương án liên quan đến việc tấn công gián đoạn dịch vụ như: web, mã độc qua email, đánh cắp cắp dữ liệu, lừa đào phishing… 

"VNPT luôn tin tưởng, kỳ vọng trong các năm sắp tới đây sẽ có khung kịch bản tấn công chủ lực và sự chủ động của VNPT sẽ luôn giải quyết các vấn đề đảm bảo ATTT hiệu quả", ông Đức nhấn mạnh.

Cũng nói thêm về hình thức tấn công phishing, theo ông Đức, VNPT đã đáp ứng đạt, đảm bảo các chỉ số tham chiếu năng lực tiêu chuẩn của quốc tế về: Tổ chức trên đám mây (cloud); giải mã độc tùy biến; hỗ trợ chiến dịch tới 10.000 người; thu thập thông tin theo người dùng bị nhiễm mã độc.

Đồng tình với các quan điểm của đại diện VNPT, ông Nguyễn Thiện Đức, Đại diện phụ trách kiểm tra đánh giá ứng cứu sự cố không gian mạng Việt Nam (VNCERT) chi nhánh miền Trung nhận định thêm, để đảm bảo ATTT hiệu quả trong giai đoạn hiện nay, nhất là khi nhiệm vụ thực hiện CĐS đang mạnh mẽ, hiệu quả, chúng ta cần thiết phải tăng cường hơn hiện hoạt động diễn tập thực chiến ATTT.

Hiện nay các cuộc tấn công mạng ngày càng tinh vi, phức tạp và khó lường, trong khi đó chúng ta còn hạn chế nhiều về năng lực ứng cứu sự cố và chưa có nhiều cơ hội cọ sát với các tình huống tấn công trong thực tế.

"Hoạt động diễn tập còn nặng nề về hình thức, "diễn" vẫn còn nhiều hơn "tập" và chủ yếu xoay quanh các kịch bản sẵn có, thiếu tính đối kháng bên trong", đại diện VNCERT nhấn mạnh.

Cũng theo đại diện VNCERT, theo tinh thần chỉ thị Chỉ thị 60/CT-BTTTT, chúng ta cần đẩy mạnh các nội dung diễn tập mới theo hình thức thực chiến: Gắn hoạt động diễn tập vào chính hệ thống mà đội ứng cứu sự cố đang có trách nhiệm bảo vệ; chuyển từ diễn tập theo kịch bản sẵn có sang tấn công với nhiều chiến thuật linh hoạt, đặt toàn bộ hệ thống tổ chức sang trạng thái tấn công bất ngờ; giúp các tổ chức đánh giá được khả năng ứng phó trong trại thái đang bị tấn công, xác định các điểm yếu đang tồn tại liên quan đến con người, quy trình, công nghệ để cải thiện.

Nêu ra tình huống thao trường diễn tập thực chiến, ông Đức cho biết sẽ có một tình huống tấn công theo thời gian thực, yêu cầu đội phòng thủ khi gặp tình huống tấn công phải nhanh chóng đưa ra phản ứng nhanh chóng, phù hợp, hiệu quả ngăn chặn cuộc tấn công.

Đội tấn công làm gì thì đội phòng thủ phải đưa ra phương án chiến lược, hai bên sử dụng tối đa các kỹ năng, kinh nghiệm để thể hiện ưu thế, điều này thể hiện tính cạnh tranh cao và sự tương tác hợp lực phải cùng một lúc đối với các sự cố.

Nêu ra ưu điểm của tình huống diễn tập thực chiến theo thời gian thực, ông Đức cho rằng điểm ưu việt nổi bật chính là khả năng phán đoán, ứng phó với những hoàn cảnh thay đổi thực theo thời gian và điều này hơn hẳn so với cách diễn tập theo kiểu truyền thống chỉ dừng lại ở việc trình bày tình hình hiện tại cho người tham gia.

Nêu nội dung chính cần thực hiện đối với các tình huống diễn tập thực chiến, theo ông Đức: Các đội phòng thủ cần rà soát và thực thi tăng cường phương án dự phòng; lưu giữ các nhật ký, dữ liệu, bằng chứng bảo vệ hệ thống trong quá trình diễn tập; ngăn chặn địa chỉ IP, nguồn tấn công nếu thấy gây phương hại hoặc ảnh hưởng đến hoạt động bình thường của hệ thống.

Đặc biệt đối với các đội tấn công (red team) sẽ đảm nhiệm vai trò tấn công từ bên ngoài vào các hệ thống, được phép sử dụng các công cụ rào quyét, khai thác… Tuy nhiên, không được sử dụng các công cụ "lock" rác, rà quét (scan) vì nó có thể gây hại, hỏng, treo hệ thống.

Diễn tập thực chiến ATTT chính là một bước nhảy vọt trong xu thế số

Là đơn vị chuyên về cung cấp các sản phẩm, dịch vụ liên quan đến ATTT, ông Vũ Thế Hải, Công ty CP An ninh mạng Việt Nam (VSEC), cho rằng diễn tập thực chiến ATTT chính là một bước nhảy vọt trong xu thế số, biến đổi mới hoàn toàn so với phương pháp diễn tập truyền thống.

Đặc biệt, diễn tập thực chiến giúp tăng các trải nghiệm tình huống thực cho người làm về ATTT, đồng thời tăng sức mạnh tinh thần, tâm lý sự tự tin khi xử ý các tình huống, sự cố thực tế.

VSEC tổ chức các chương trình diễn tập thao trường dựa trên hệ thống Step Des, có ưu điểm luôn gần giống với các hệ thống ATTT hiện nay, và không chịu sự ảnh hưởng đến hệ thống CNTT thật.

Đơn vị cũng thực hiện việc khảo sát thực tế khách hàng, tập trung việc đánh giá đội ngũ nhân lực CNTT và hệ thống CNTT của các đơn vị khách hàng, và cuối cùng đưa xây dựng ra mô hình diễn tập thực tế, phù hợp.

"Điều VSEC cũng không thể bỏ qua chính là yếu tố con người. Con người phải được đào tạo bổ sung về trình độ, nhận thức, kiến thức, kỹ năng… chính họ sẽ là những chiến binh, người lính có đủ khả năng tham gia chiến đấu trong môi trường mạng ATTT", ông Hải cho biết.

Tại sự kiện, bên cạnh các chia sẻ về kinh nghiệm diễn tập ATTT thực chiến, đại diện lãnh đạo các sở TT&TT của các đơn vị các tỉnh khu vực miền Trung và Tây Nguyên cũng nêu ra các khó khăn, đề xuất hướng giải pháp thực hiện tốt mục tiêu, nhiệm vụ này.

Trong số đó, ý kiến từ đại diện sở TT&TT Bình Định băn khoăn, để tăng tính hiệu quả hoạt động diễn tập ATTT thực chiến cũng như tăng năng lực phòng thủ, giảm áp lực phòng chống các cuộc tấn công ATTT tại địa phương, thời gian tới VNCERT và VNPT có sự chuẩn bị, hỗ trợ mới nào?

Trả lời câu hỏi này, đại diện VNCERT khẳng định: Đối với các dịch vụ cung cấp giải pháp trung tâm điều hành an toàn, an ninh (SOC), hiện nay luôn có đủ năng lực, đáp ứng, cung cấp cho các khách hàng, đơn vị nhiều yêu cầu.

Dịch vụ SOC, là một tập hợp các dịch vụ nhằm: Phát hiện giám sát và tấn công, đưa ra cảnh báo; điều tra số nhằm đưa ra con số các vụ tấn công từ đâu, thiệt hại thế nào, các nguy cơ… cuối cùng đưa ra các khuyến nghị để xử lý.

SOC không đơn thuần là đơn lẻ, xử lý các vấn đề an ninh mạng một cách tập trung, thông qua các quy trình đánh giá, các hệ thống giám sát và cảnh báo nhằm xử lý toàn bộ các vấn đề về an ninh trên không gian mạng mà hệ thống đó theo dõi.

"SOC sẽ cung cấp các dịch vụ xử lý sự cố ATTT theo đúng cam kết và thời gian hạn mức để xử lý, cảnh báo các tình huống sự cố chỉ giới hạn trong 15 phút…", đại diện VNCERT nhấn mạnh.

Nêu quan điểm về câu hỏi này, đại diện VNPT cho rằng, đây là vẫn chung đối với tất cả các dự án SOC, VNPT luôn làm tốt vai trò giám sát, không có quyền tiếp cận sâu vào nội bộ xử lý ATTT trong các đơn vị, khách hàng.

Tuy nhiên, VNPT luôn xác định nhiệm vụ của SOC chính là việc xử lý thật và tấn công thật, do đó, khi đơn vị, khách hàng nào đã ký kết các dịch vụ VNPT bao phủ toàn diện 04 bộ dịch vụ: Ứng cứu sự cố, ATTT; điều tra, truy vết; điều tra chuyên sâu sẽ luôn được đảm bảo đáp ứng các yêu cầu cao, chất lượng tốt nhất.

Theo Tạp chí Điện tử