Trung tâm Công nghệ thông tin và Dịch vụ hành chính công trực tuyến tỉnh thuộc Sở Thông tin và Truyền thông Khánh Hòa tổ chức tập huấn triển khai các chính sách an toàn thông tin mạng và diễn tập thực chiến về an toàn thông tin năm 2023 với chủ đề "Diễn tập thực chiến chủ động phát hiện và ứng phó kịp thời các cuộc tấn mạng nhằm vào các hệ thống thông tin tại Trung tâm Dữ liệu tỉnh".
Buổi diễn tập nằm trong khuôn khổ chương trình Tập huấn triển khai các chính sách an toàn thông tin mạng và diễn tập thực chiến về an toàn thông tin mạng năm 2023, diễn ra từ ngày 23 đến 26-12. Đây là năm đầu tiên Khánh Hòa tổ chức chương trình và dự kiến định kỳ tổ chức hàng năm để tăng cường năng lực ứng phó sự cố an toàn thông tin và cải thiện, nâng cao chỉ số chuyển đổi số (DTI) của tỉnh.
Chương trình tập trung tập trung giải quyết vấn đề làm thế nào để phát hiện, rà soát, xử lý kịp thời lỗ hổng trên các hệ thống cổng/trang thông tin điện tử, ứng dụng web sử dụng Liferay theo hướng thực chiến.
Đồng thời giới thiệu một số phương pháp, kỹ năng tấn công sâu bên trong hệ thống (lateral movement, pivoting) để thực hiện tấn công thăm dò hệ thống nhằm chiếm quyền kiểm soát Active Directory.
Hơn 70 thành viên là cán bộ, công chức, viên chức chuyên trách công nghệ thông tin của các cơ quan, đơn vị, địa phương trên địa bàn Khánh Hòa đã tham gia chương trình diễn tập.
Họ được chia thành các đội tấn công và phòng thủ. Đội tấn công cố gắng sử dụng các kỹ thuật tấn công trong thực tế để khai thác máy chủ Web và sử dụng máy chủ Web làm bàn đạp tấn công sang máy chủ khác trong vùng DMZ; đảm bảo tính chuyên sâu và yếu tố thực chiến để tấn công vào hệ thống mục tiêu diễn tập.
Trong khi đó, đội phòng thủ cần đảm bảo các nhiệm vụ cụ thể: giám sát được tất cả mọi hành động diễn ra xung quanh hệ thống mục tiêu; phân tích và phát hiện kịp thời các dấu hiệu của tấn công; xác định nguồn gốc tấn công, đánh giá mức độ tác động của cuộc tấn công; xác định nguyên nhân hệ thống bị tấn công và kỹ thuật kẻ tấn công sử dụng; viết lại báo cáo phân tích về diễn biến sự việc và đưa ra các nhận định, giải pháp bảo mật để không để tái diễn cuộc tấn công tương tự trong tương lai.
Theo công ty Cecomtech Việt Nam – đơn vị phối hợp tổ chức, kịch bản tấn công được thực hiện mô phỏng tấn công từ bên ngoài Internet thông qua việc khai thác lỗ hổng bảo mật của ứng dụng Web, sau khi khai thác lỗ hổng trên ứng dụng Web, kẻ tấn công sẽ sử dụng thêm các kỹ thuật khác để giành quyền kiểm soát hoàn toàn máy chủ ứng dụng. Sử dụng máy chủ ứng dụng để làm bàn đạp tấn công sang hệ thống máy chủ khác bên trong vùng DMZ.
Các đội còn lại được tương tác thông qua hệ thống SIEM, các công nghệ hỗ trợ đi kèm và thực hiện ứng cứu sự cố theo thời gian thực. Quá trình điều tra xử lý ứng cứu sự cố sẽ diễn ra đồng thời với quá trình đội tấn công triển khai các chiến thuật tấn công đến mục tiêu diễn tập.
Kịch bản tấn công được xây dựng dưới góc nhìn đội xâm nhập, sử dụng các kỹ thuật và công cụ để mô phỏng lại quá trình một cuộc tấn công giành quyền kiểm soát dữ liệu, từ giai đoạn trinh sát thu thập thông tin cho đến bước thiết lập kênh điều khiển kiểm soát hệ thống, trích xuất dữ liệu.
Kịch bản này đảm bảo đi được hết các vòng đời của một cuộc tấn công phức tạp và tinh vi mà các tổ chức trong thực tế đang phải đối mặt.
Diễn tập thực chiến bao gồm 8 giai đoạn, chia cụ thể nhiệm vụ cho đội tấn công và đội phòng thủ. Chúng bao gồm: thu thập thông tin hệ thống, dò quét lỗ hổng bảo mật, khai thác lỗ hổng bảo mật, thiết lập chỗ đứng ban đầu, mở rộng tấn công sang máy chủ khác, trích xuất, gửi dữ liệu ra bên ngoài, ứng cứu sự cố, tổng kết.
Thông qua diễn tập thực chiến, đội ứng cứu sự cố an toàn thông tin mạng có thể nâng cao khả năng chủ động trong phát hiện và xử lý tấn công mạng, sẵn sàng ứng phó khi sự cố xảy ra.
Bên cạnh đó, xây dựng một kênh trao đổi thông tin hiệu quả giữa các bộ phận, hỗ trợ nhau trong việc chia sẻ thông tin về xử lý sự cố.