Bài 5: Triển khai quy trình ứng phó sự cố môn Phòng chống tấn công mạng | Trường Đại học Bách Khoa Hà Nội

1 3 4 Khái niệm cơ bản
• Kế hoạch dự phòng (Contingency plan): là kế hoạch được
chuẩn bị để phát hiện, phản ứng với các sự cố ATTT và
khôi phục hoạt động của hệ thống sau khi xử lý sự cố
• Sự cố (incident): sự kiện bất thường xảy ra gây tổn hại tới hệ thống thông tin
• Hệ thống bị tấn công ATTT
• Vận hành hệ thống không đúng cách
• Sự hỏng hóc của thiết bị, phần mềm • Thiên tai
• Các thành phần của kế hoạch dự phòng:
• Đánh giá tác động của sự cố(Business Impact Analysis)
• Kế hoạch phản ứng sự cố(Incident Response)
• Kế hoạch khôi phục hoạt động sau sự cố (Disaster Recovery) • Kế
hoạch duy trì hoạt động (Business Continuing) 5 5
Quy trình ứng phó sự cố (IR – Incident Response)
• Quy trình được xây dựng để nhận dạng, phân loại,
phản ứng và khôi phục hệ thống khi có sự cố ATTT xảy ra
• Xây dựng chi tiết các bước thực hiện tùy theo các dạng sự cố khác nhau
• Là tác vụ cần kiểm tra, diễn tập định kỳ
• Sự thiếu vắng của quy trình phản ứng sự cố dẫn đến:
• Không có sự phối hợp giữa các thành viên trong tổ chức
• Sự lúng túng khi xử lý sự cố
• Gây ra hậu quả nghiêm trọng đối với tài nguyên và hoạt động của hệ thống
• Các hậu quả khác trên các khía cạnh truyền thông, pháp lý 6 6 Sự cần thiết của IR
• Hỗ trợ ứng phó sự cố một cách hệ thống:
• Hướng dẫn phát hiện và xử lý sự cố
• Tổng hợp và phân tích thông tin về các sự cố đe dọa an ninh thông tin
• Thông báo cho nhân viên vận hành hệ thống về các mối đe dọa và lỗ hổng
an ninh thông tin hiện tại/tiềm ẩn
• Giúp nhân sự giảm thiểu mất mát/trộm cắp dữ liệu và gián
đoạn dịch vụ do sự cố gây ra
• Khả năng tận dụng thông tin từ xử lý sự cố để chuẩn bị tốt
hơn cho các sự cố tương lai, đồng thời tăng cường bảo vệ hệ thống và dữ liệu
• Hỗ trợ xử lý đúng quy định các vấn đề pháp lý phát sinh
trong quá trình ứng phó sự cố
• Hỗ trợ tổ chức khi xảy ra sự cố bảo mật và chia sẻ thông tin với các bên liên quan 7 7
Chính sách ứng phó sự cố
• Khái niệm: Định nghĩa vai trò và trách nhiệm của
Nhóm ứng phó sự cố (SIRT) cùng các bên liên quan
• Các thành phần của chính sách:
• Tuyên bố cam kết từ ban lãnh đạo
• Mục đích và mục tiêu của chính sách
• Phạm vi áp dụng (đối tượng, hệ thống và điều kiện áp dụng)
• Định nghĩa sự cố an ninh máy tính và các thuật ngữ liên quan
• Cơ cấu tổ chức, phân vai trò, trách nhiệm và cấp độ ủy quyền
• Phân loại mức độ nghiêm trọng hoặc ưu tiên xử lý sự cố
• Chỉ số đánh giá hiệu quả
• Biểu mẫu báo cáo và liên hệ 8 8
Kế hoạch ứng phó sự cố
• Khái niệm: Kế hoạch để xây dựng và triển khai
quy trình ứng phó sự cố.
• Cần phù hợp với đặc điểm của tổ chức: sứ mệnh, quy mô, cơ cấu, chức năng
• Các thành phần của kế hoạch: • Sứ mệnh
• Chiến lược và mục tiêu
• Sự phê duyệt của ban lãnh đạo cấp cao
• Cơ chế phối hợp giữa nhóm ứng phó sự cố với các bộ
phận khác trong tổ chức và với các tổ chức bên ngoài
• Chỉ số đo lường năng lực và hiệu quả ứng phó sự cố
• Lộ trình nâng cao năng lực ứng phó sự cố
• Cách thức tích hợp kế hoạch vào hoạt động tổng thể của tổ chức 9 9 10 Chuẩn bị 12
Chuẩn bị kênh liên lạc và cơ sở vật chất • Thông tin liên hệ
• Danh bạ thành viên nhóm IR và các bên liên quan trong/ngoài tổ chức
• Lịch trực của các bộ phận liên quan trong tổ chức
• Cơ chế báo cáo sự cố
• Hệ thống tiếp nhận báo cáo sự cố từ người dùng
• Hệ thống theo dõi sự cố để quản lý thông tin và trạng thái xử lý • Công cụ hỗ trợ
• Điện thoại thông minh phục vụ hỗ trợ ngoài giờ và liên lạc hiện trường
• Phần mềm mã hóa dùng cho giao tiếp nội bộ nhóm • Cơ sở vật chất
• Phòng tác chiến (War Room) làm trung tâm điều phối và liên lạc
• Kho lưu trữ an toàn để bảo quản bằng chứng và tài liệu nhạy cảm 14 14 lOMoAR cPSD| 59421307 06/05/2025
Công cụ phân tích sự cố
• Trạm làm việc điều tra số và/hoặc thiết bị sao lưu
• Phần mềm điều tra số chuyên dụng
• Máy tính xách tay phục vụ: Phân tích dữ liệu, Bắt gói
tin (packet sniffing), Soạn thảo báo cáo
• Công cụ bắt gói tin và phân tích giao thức
• Máy trạm, máy chủ và thiết bị mạng dự phòng (hoặc
phiên bản ảo hóa tương đương)
• Thiết bị lưu trữ di động trống (USB, ổ cứng di động...) • Máy in di động
• Thiết bị lưu trữ di động chứa phiên bản phần mềm
đáng tin cậy để thu thập chứng cứ
• Các phụ kiện hỗ trợ thu thập bằng chứng khác 15 15
Tài nguyên phân tích sự cố
• Danh sách cổng mạng, bao gồm các cổng thường dùng
và cổng bị Trojan horse khai thác
• Tài liệu hệ thống: Hệ điều hành (OS), ứng dụng và giao
thức mạng, các sản phẩm an toàn bảo mật đã triển khai
• Sơ đồ mạng và hệ thống quan trọng (như máy chủ cơ sở dữ liệu)
• Hồ sơ hoạt động của các hệ thống
• Giá trị băm (hash) mã hóa của các file quan trọng để tăng
tốc phân tích sự cố, xác minh tính toàn vẹn
• Dự án Tham chiếu Phần mềm Quốc gia (NSRL) của NIST: http://www.nsrl.nist.gov/ 16 16 9 lOMoAR cPSD| 59421307 06/05/2025 10 lOMoAR cPSD| 59421307 06/05/2025 18 Dấu hiệu tấn công
• Dấu hiệu tiềm tàng(Precursor): Dấu hiệu cho
thấy một sự cố có thể xảy ra trong tương lai
• Phần lớn các cuộc tấn công không có dấu hiệu báo trước
nào có thể nhận biết hoặc phát hiện được từ phía mục tiêu • Ví dụ điển hình:
• Các bản ghi nhật ký máy chủ web cho thấy có hoạt động quét lỗ hổng bảo mật
• Thông báo về một lỗ hổng hoặc phương thức khai thác
mới nằm trong các sản phẩm của tổ chức đang sử dụng
• Lời đe dọa trực tiếp từ một nhóm tin tặc tuyên bố sẽ
nhắm mục tiêu vào tổ chức 19 19 Dấu hiệu tấn công
• Dấu hiệu rõ ràng: Dấu hiệu cho thấy một sự cố có thể đã xảy ra hoặc đang diễn ra • Ví dụ điển hình:
• Cảnh báo từ hệ thống giám sát:
• Hệ thống IDS báo động khi phát hiện tấn công tràn bộ đệm (buffer overflow)
vào máy chủ cơ sở dữ liệu
• Phần mềm antivirus cảnh báo khi phát hiện mã độc trên máy tính
• Bất thường trong hệ thống:
• Quản trị viên phát hiện tên file có ký tự khác thường
• Hệ thống ghi nhận thay đổi cấu hình kiểm tra (auditing) trong file log
• Hoạt động đáng ngờ:
• Ứng dụng ghi nhận nhiều lần đăng nhập thất bại từ hệ thống từ xa không xác định 11 lOMoAR cPSD| 59421307 06/05/2025
• Hệ thống email ghi nhận số lượng lớn email bị trả về với nội dung khả nghi
• Bất thường về lưu lượng mạng: Quản trị viên phát hiện lưu lượng
mạng sai lệch bất thường so với hoạt động thông thường 20 20 12 Logs: Phân tích sự cố
• Xác định các thông tin về sự cố:
• Địa điểm xảy ra: Sự cố đã xảy ra ở đâu trong hệ thống?
• Bản chất sự cố: Đã xảy ra sự cố gì cụ thể?
• Thời gian và phương thức: Sự cố bắt đầu như thế nào và khi nào?
• Mức độ ảnh hưởng: Sự cố tác động thế nào đến hoạt động hệ thống?
• Đối tượng tấn công: Ai là thủ phạm của cuộc tấn công?
(nếu xác định được) • Thách thức trong phân tích:
• Độ chính xác của dấu hiệu:
• Không phải mọi dấu hiệu báo trước (precursor) hoặc chỉ báo
(indicator) đều đảm bảo chính xác
• Ngay cả khi một chỉ báo là chính xác, điều đó không nhất thiết có nghĩa là sự cố đã xảy ra
• Khó khăn trong nhận diện:
• Nhiều sự cố không đi kèm với các triệu chứng rõ ràng • Các dấu hiệu có
thể bị che giấu hoặc khó phát hiện 22 22
Cách thức phân tích sự cố
• Chuẩn bị hệ thống:
• Lập hồ sơ mạng và hệ thống: Xây dựng profile hoạt động bình thường của hệ thống
• Nắm bắt hành vi thông thường: Hiểu rõ hoạt động chuẩn của hệ thống để phát hiện bất thường
• Đồng bộ hóa thời gian: Đảm bảo tất cả máy chủ có đồng hồ hệ thống đồng bộ
• Chính sách và công cụ:
• Xây dựng chính sách lưu trữ log: Quy định rõ thời gian và cách thức lưu trữ nhật ký hệ thống
• Duy trì cơ sở tri thức: Xây dựng và cập nhật thường xuyên cơ sở dữ liệu kiến thức về sự cố
• Kỹ thuật thu thập dữ liệu:
• Bắt gói tin mạng: Sử dụng packet sniffer để thu thập dữ liệu mạng bổ sung
• Tương quan sự kiện: Phân tích mối liên hệ giữa các sự kiện trên hệ thống
• Lọc dữ liệu: Tinh chỉnh và tập trung vào dữ liệu liên quan
• Hợp tác xử lý khi cần 23 23
Lập tài liệu về sự cố
• Tình trạng hiện tại: Mới phát hiện/Đang xử lý/Đã chuyển điều tra/Đã giải quyết...
• Mô tả ngắn gọn loại sự cố và diễn biến
• Các chỉ số/dấu hiệu liên quan đến sự cố
• Các sự cố khác có liên quan
• Các biện pháp đã thực hiện bởi nhóm xử lý
• Chuỗi quản lý bằng chứng (nếu có)
• Phân tích mức độ ảnh hưởng của sự cố
• Danh sách các bên liên quan (chủ hệ thống, quản trị viên...)
• Danh mục các bằng chứng thu được trong quá trình điều tra
• Đánh giá của nhóm xử lý sự cố
• Các bước cần thực hiện (VD: xây dựng lại máy chủ, nâng cấp ứng dụng...) 24 24 lOMoAR cPSD| 59421307 06/05/2025 Thông báo về sự cố
• Thông báo tới các bên liên quan
• Các cấp lãnh đạo, quản lý
• Các đội ứng phó khác trong và ngoài tổ chức
• Bộ phận quản trị, vận hành tài nguyên bị ảnh hưởng
• Bộ phận phụ trách các công việc nhân sự, pháp lý, truyền
thông(trong trường hợp sự cố có thể kéo theo thảm họa truyền thông) • Các đối tác • VN-CERT • Nhà chức trách
• Sử dụng mọi kênh thông tin phù hợp có thể 27 27 28 17
Downloaded by Quoc Khai (quockhai36@gmail.com)
Lựa chọn chiến lược ngăn chặn
• Các quyết định cần thiết:
• Thời điểm triển khai: Khi nào nên bắt đầu các biện pháp ngăn chặn?
• Phương thức thực hiện: Cách thức triển khai các biện
pháp ngăn chặn cụ thể?
• Tiêu chí lựa chọn chiến lược: • Rủi ro tài nguyên:
• Mức độ thiệt hại tiềm ẩn đối với tài nguyên hệ thống
• Nguy cơ mất cắp dữ liệu/tài nguyên • Yêu cầu bảo tồn bằng chứng:
• Nhu cầu thu thập và bảo quản bằng chứng phục vụ điều tra • Cân
bằng giữa bảo tồn bằng chứng và xử lý sự cố 29 29
Lựa chọn chiến lược ngăn chặn (tiếp)
• Tiêu chí lựa chọn chiến lược: • Đảm bảo dịch vụ:
• Duy trì kết nối mạng thiết yếu
• Bảo đảm các dịch vụ quan trọng cho đối tác/bên ngoài • Khả năng triển khai:
• Thời gian và nguồn lực cần thiết để thực hiện chiến lược
• Hiệu quả chiến lược (ngăn chặn một phần/toàn bộ) • Thời gian áp dụng:
• Giải pháp khẩn cấp: áp dụng ngay nhưng chỉ duy trì
trong thời gian ngắn, thường vài giờ
• Giải pháp tạm thời: duy trì trong vài tuần
• Giải pháp lâu dài để sự cố không lặp lại 30 30
Thu thập và xử lý bằng chứng
• Việc thu thập bằng chứng là yếu tố then chốt để:
• Giải quyết hiệu quả sự cố
• Phục vụ các thủ tục pháp lý (nếu cần)
• Cần tiến hành trước khi thực hiện bất kỳ thao tác
khắc phục nào • Cách thức thực hiện: • Cách ly hệ thống:
• Đặt hệ thống bị ảnh hưởng vào môi trường sandbox • Ưu tiên sử dụng
hệ thống dự phòng để thay thế khi có thể • Nguyên tắc thu thập:
• Tuyệt đối không tương tác trực tiếp với nguồn tấn công
• Sao lưu toàn bộ dữ liệu và dấu vết đã thu thập • Quản lý chặt chẽ
quyền truy cập vào dữ liệu thu thập • Ghi chép quá trình:
• Ghi log chi tiết toàn bộ quá trình xử lý
• Cân nhắc sử dụng ghi hình/ghi âm để lưu trữ bằng chứng 31 31
Xác định nguồn tấn công
• Việc xác định nguồn tấn công có giá trị tham khảo nhưng
không phải yếu tố quyết định trong xử lý sự cố
• Cần ưu tiên bảo vệ hệ thống trước khi tập trung truy vết • Cách thức thực hiện:
• Xác định đúng địa chỉ IP được sử dụng trong cuộc tấn công. Kẻ tấn
công có thể sử dụng các kỹ thuật giả mạo địa chỉ IP, proxy, VPN
• Tìm kiếm thông tin thông qua các công cụ tra cứu
• Sử dụng cơ sở dữ liệu về các sự cố được cung cấp bởi các tổ chức
• Phân tích mối liên hệ với các cuộc tấn công đã biết
• Theo dõi các kênh liên lạc tiềm năng của kẻ tấn công 32 32 Làm sạch và phục hồi
• Xác định tất cả các vùng tài nguyên bị ảnh hưởng
• Nếu cần thiết, kết nối các vùng tài nguyên bị ảnh hưởng vào
môi trường có mức an ninh và giám sát cao để làm sạch
• Trong trường hợp sự cố do tấn công ATTT, dựa trên thông tin
các dấu vết để lại, loại trừ sự hiện diện của các thành phần tấn công trên tài nguyên
• Lưu ý: Trong giai đoạn này, cần sẵn sàng đối phó với các tình
huống kẻ tấn công thay đổi phương thức tấn công khác. 33 33 Làm sạch và phục hồi
• Công đoạn phục hồi chỉ nên thực hiện khi đã chắc
chắn sự cố đã được sửa chữa thành công
• Các bước thực hiện:
• Cài đặt lại các thành phần tài nguyên bị tổn hại • Phục hồi dữ liệu
• Gỡ bỏ các hạn chế đối với vùng tài nguyên để có thể thực hiện
các kiểm thử cần thiết
• Gia cố xác thực và phân quyền cho các tài khoản
• Rà soát và gia cố hệ thống, tập trung vá các lỗ hổng đã bị lợi dụng khai thác
• Kiểm thử hoạt động của hệ thống