Việt Nam dẫn đầu 4/6 pha tập trận an ninh mạng quốc tế

ACID 2015 là cuộc tập trận quốc tế về an toàn mạng có chủ đề " Điều tra, phân tích và ứng cứu sự cố mã độc gián điệp" với sự tham gia của 10 quốc gia trong khối ASEAN và 4 nước đối thoại (gồm Trung Quốc, Nhật Bản, Ấn Độ và Australia) diễn ra từ 8h30 đến 15h00 giờ Việt Nam vào ngày 28/10/2015.

Qua gần 8 tiếng, 100 đơn vị ứng cứu của Việt Nam đã trải qua 6 tình huống diễn tập hết sức căng thẳng. Theo ghi nhận và đánh giá của Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) thông qua phần phản hồi của các đội tham gia diễn tập của 14 nước trên IRC (Internet Relay Chat), Việt Nam dẫn đầu 4/6 tình huống diễn tập về gửi đáp án trả lời nhanh nhất.

Đúng 8h30, phía điều phối tập trận quốc tế là Singapore bắt đầu gửi thông tin kết nối tới tất cả 14 quốc gia tham gia tập trận. Cuộc tập trận này thực hiện việc xử lý một tình huống bị tấn công mã độc thông qua 6 bước xử lý gọi là "Pha" (tiếng Anh là Inject). Trong quá trình tham gia diễn tập, tất cả các đội kỹ thuật đều hào hứng và tích cực tham gia xử lý mọi tình huông đặt ra.

Các đơn vị ứng cứu của Việt Nam tham gia ACID 2015

Tham gia diễn tập, anh Mai Văn Việt, chuyên gia nghiên cứu mã độc của Bkav chia sẻ: "Với kinh nghiệm lâu năm trong lĩnh vực nghiên cứu và phân tích mã độc, các chuyên gia Việt Nam đã hoàn thành nhanh nhất hầu hết các tình huống mà ACID 2015 đưa ra. Tham gia đợt tập trận lần này cũng chính là cơ hội để tăng cường giao lưu với các CERT khác trong khu vực về lĩnh vực an ninh mạng".

Đánh giá về nội dung tập trận, ông Nguyễn Khắc Lịch, Trưởng ban tổ chức ACID 2015 cho biết: "Tất cả các tình huống đều không được biết trước mô phỏng các tình huống sự cố thực tế đã từng, đang cũng như hoàn toàn có khả năng xảy ra hàng ngày, hàng giờ mà mỗi cán bộ chịu trách nhiệm bảo vệ an toàn mạng của các hệ thống công nghệ thông tin phải đối mặt và xử lý. Trong quá trình thực hiện diễn tập, các đại diện từ đội chủ lực (core team) đã giải thích các bước tiến hành phân tích sự cố, các cách thức điều tra phát hiện mã độc mà tình huống tập trận đưa ra. Đồng thời đại diện VNCERT cũng đã chia sẻ các tình huống tấn công mạng thực tế đã diễn ra mà VNCERT đã và đang xử lý và cần sự phối hợp chặt chẽ của tất cả các cá nhân, tổ chức liên quan".

Cũng qua buổi diễn tập đã cho thấy nhiều vấn đề Việt Nam cần điều chỉnh để nâng cao trình độ mặt bằng chung về chuyên môn của các lực lượng ứng cứu trong nước. Ông Nguyễn Khắc Lịch cho rằng "Qua tập trận, các đội ứng cứu đều tự biết chúng ta đang ở đâu. Việt Nam có những con người, những cá nhân nổi bật về ATTT. Nhưng mặt bằng chung về trình độ của đội ngũ chuyên gia an ninh mạng của Việt Nam cần cố gắng".

Để cải thiện mặt bằng chung của đội ngũ chuyên gia an ninh mạng, ông Lịch cho rằng cần thay đổi về quan điểm. Thứ nhất, đầu tư cho CNTT thường chú trọng theo thứ tự: phần cứng, phần mềm, con người.; Thế nhưng đã đến lúc việc đầu tư cho CNTT nói chung và ATTT nói riêng nên theo chiều tháp ngược lại, trong đó, con người là quan trọng nhất. Cần tập trung nâng cao kỹ năng cho các chuyên gia thông qua các khóa đào tạo, các cơ hội cọ sát với thực tế để rèn luyện bản lĩnh, tích lũy kinh nghiệm. Quan điểm này đã được đại diện VNCERT chia sẻ tại Cuộc họp Asean – Nhật Bản về chính sách ATTT (tháng 10/2015 tại Indonesia) và đã được nhiều quốc gia đồng tình ủng hộ, trong đó có Nhật Bản. Thứ hai, để bảo vệ an toàn không gian mạng, mỗi quốc gia cần xây dựng các lực lượng tác chiến trong mạng lưới ứng cứu quốc gia của từng đơn vị, bộ, ngành, tổng công ty.

Việc tham gia diễn tập quốc tế này là vô cùng hữu ích cho các cán bộ kỹ thuật của Việt Nam". Công nghệ luôn được cải tiến. Tin tặc cũng ngày càng tinh vi. Để bảo vệ được an toàn hệ thống mạng của mỗi nước cũng như của toàn cầu, những cán bộ kỹ thuật an toàn thông tin là các chiến sỹ xung kích tiên phong cũng luôn cần cập nhật kiến thức mới, rèn luyện các kỹ năng mới để hoàn thành được nhiệm vụ của mình.

--------------------------o0o---------------------------

Cuộc tập trận này thực hiện việc xử lý một tình huống bị tấn công mã độc thông qua 6 bước xử lý gọi là "Pha" (tiếng Anh là Inject).

Pha 1: Tình huống đặt ra: Giả định có một ngài Tôm là một người không am hiểu các kỹ thuật công nghệ thông tin đã tải và cài đặt một phần mềm cho công việc chuyên môn nhưng ngài Tom không kiểm tra về mức độ an toàn của phần mềm. Sau khi cài đặt phần mềm, máy tính của ngài Tom bắt đầu hoạt động rất chậm. Ngài Tom liền thông báo sự việc này cho đội CERT yêu cầu hỗ trợ kỹ thuật.

Pha 2: Sau khi nhận thông tin từ ngài Tom. Phía CERT tiến hành đánh giá sơ bộ và yêu cầu ngài Tom gửi cho đội CERT danh sách các xử lý đã diễn ra trên hệ thống của Tom cũng như các file trong thư mục tải xuống phục vụ cho điều tra.

Pha 3: Ngài Tom đã gửi các file nghi ngờ cho CERT để điều tra. Đội kỹ thuật CERT tiến hành phân tích Javascript , xác định payload và sau đó yêu cầu ngài Tom gửi payload cho đội kỹ thuật CERT.

Pha 4: Ngài Tom gửi payload cho đội kỹ thuật CERT. Đội kỹ thuật CERT phân tích payload, phát hiện các tên miền nhiễm mã độc.

Pha 5: Dựa trên việc phân tích Javascript do ngài Tom cung cấp, đội kỹ thuật chú ý tên miền C&C và triển khai các hành động xử lý vấn đề. Đội kỹ thuật có phản ứng phù hợp đối với  các SOP (Standard Operation Procedure) tương ứng và gửi thông báo cho các bên liên quan. 

Pha 6: Đội kỹ thuật CERT của mỗi nước được giả định rằng tên miền C&C phát hiện tại Pha 5 không đặt tại nước mình mà là ở nước ngoài X. Và nước X có cảnh báo đội kỹ thuật về C&C. Đội kỹ thuật phản hồi tới các SOP tương ứng với các hành động cần thiết để xử lý vấn đề C&C.

PV