Săn lùng mối nguy hại: Chuyển hoạt động ứng

cứu sự cố từ bị động sang chủ động

Trình bày: Trung tâm VNCERT/CC, Cục An toàn thông tin

 Các cuộc tấn công mạng ngày càng tinh nhuệ, khó đoán.

Solarwinds
(2020)
Sự leo thang của các mối đe dọa an ninh mạng

WannaCry
(2017)

Stuxnet
(2010)

Melissa Các tổ chức tội phạm mạng tư nhân

(1999)

Morris
(1988)
Sự hậu thuẫn của các nhà nước, chính phủ
 Các giải pháp phát hiện và ngăn chặn tấn công bộc lộ nhiều hạn chế

Phương thức tấn

công thay đổi Cơ sở hạ tầng SIEM truyền thống và giám sát không đủ cho các cuộc tấn công mạng ngày
thường xuyên càng tinh vi.

Giao tiếp tấn

công được
mã hóa Các thiết bị bảo mật mạng truyền thống như Tường lửa và IPS / IDS khó phát hiện các thông tin liên
lạc tấn công được mã hóa.

Hạn chế của Phần lớn các hoạt động bảo mật chủ yếu mang tính phản ứng, vô tình tạo điều kiện để cho
"phòng thủ truyền những kẻ thù tinh vi “trú ngụ” không bị phát hiện bên trong hệ thống mạng trong thời gian dài
thống"
 Phát triển khả năng ứng phó sự cố dựa trên nguyên tắc “Hệ thống CNTT sẽ bị xuyên thủng”

Chuyển trạng thái ƯCSC từ thế bị động sang chủ động, chuyển hoạt động ƯCSC từ mang tính
Ứng phó chủ
động sự vụ sang nhiệm vụ thường xuyên, theo các giả định hệ thống đã bị xâm nhập.

Săn lùng Định kỳ thực hiện hoạt động săn lùng mối nguy hại (Threat hunting) để nhận diện kịp thời sự hiện
mối nguy hại diện của kẻ tấn công bên trong hệ thống hoặc thực hiện khi xuất hiện các mẫu mã độc mới, các
lỗ hổng nghiêm trọng ảnh hưởng đến hệ thống thông tin mà tổ chức mình đang vận hành.

Lập kế hoạch phục hồi khi sự cố xảy ra nhằm hạn chế tác động và đảm bảo tính liên tục của hệ
Kế hoạch phục
hồi thống. Các quy trình ứng phó sự cố phải được xem xét, duy trì và kiểm tra thường xuyên với tất
cả các bộ phận.
“
Săn lùng mối nguy hại là quá trình chủ động truy tìm các dấu hiệu liên quan đến hoạt động
độc hại trong hệ thống thông tin mà không cần biết trước về các dấu hiệu đó, thay vì quan sát
các cuộc tấn công thông qua các hệ thống cảnh báo, phó mặc việc đánh chặn tấn công cho
hệ thống ngăn chặn xâm nhập.

Chủ động thực hiện săn lùng mối nguy hại và rà quét lỗ hổng trên các hệ thống thông tin
trong phạm vi quản lý tối thiểu 01 lần/6 tháng. Trường hợp phát hiện điểm yếu, lỗ hổng bảo
mật cho phép xâm nhập và kiểm soát hệ thống thì thực hiện đồng thời khắc phục điểm yếu, lỗ
hổng và săn lùng mối nguy hại.

--- Chỉ thị số 18/CT-TTg về đẩy mạnh triển khai

các hoạt động ứng cứu sự cố an toàn thông tin
mạng Việt Nam
 Chủ động ứng phó khi sự cố chưa xảy ra

Thỏa hiệp ban đầu

Tăng khả năng nhận diện tấn công ở các giai đoạn
khác nhau của một cuộc tấn công mạng.

Thiết lập chỗ

Hoàn tất nhiệm vụ
đứng

Thu thập Giảm thời gian trú ngụ ngay cả khi hệ thống đã bị
thông tin xâm nhập
Duy trì sự hiện Leo thang đặc
diện quyền

Mở rộng phạm vi Giúp các tổ chức giảm thiểu thiệt hại do tấn công mạng
Trinh sát nội bộ
tấn công
 Hành trình săn lùng các mối nguy hại

Truy tìm các dấu hiệu tấn công liên quan đến khai thác lỗ hổng

Truy tìm các dấu hiệu tấn công nhắm vào các mục tiêu có giá trị

Truy tìm các hoạt động liên quan đến chiến dịch tấn công sử dụng độc hại

2 4

Xác định mục tiêu, Kích hoạt quá trình Truy tìm và điều tra Kích hoạt quá trình Cải thiện hệ thống
mô hình hóa các truy tìm ban đầu chuyên sâu ứng phó sự cố phòng thủ
mối đe dọa

1 3 5
Tìm kiếm hoạt động đáng ngờ trên các endpoint và vùng mạng
Săn lùng trên phạm vi rộng lớn
CỤC AN TOÀN THÔNG TIN
Chính sách tốt. Thực thi tốt

Trân trọng cảm ơn!