Hậu sự cố tấn công hệ thống VietnamAirlines: Bài học nào cho DN?
Cuộc tấn công mạng chiều 29/7/2016 vào công tác phục vụ bay
THCL Cuộc tấn công mạng chiều 29/7/2016 vào công tác phục vụ bay của các sân bay lớn Nội Bài, Tân Sơn Nhất… là cuộc tấn công mạng có sự chuẩn bị công phu (sử dụng mã độc không bị nhận diện bởi các phần mềm chống virus).
Chúng có sự xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng, miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị…
Tấn công có chủ đích
Đến thời điểm này, có thể khẳng định cuộc tấn công vào hệ thống VietnamAirlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29/07/2016. Có dấu hiệu cho thấy hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014. Tuy nhiên, mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/07 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus).
Cuộc tấn công diễn ra trên diện rộng với 02 điểm chính là cảng hàng không Nội Bài và Tân Sơn Nhất, cùng với nhiều sân bay nhỏ khác cũng bị ảnh hưởng do hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau. Ngoài ra, Website của VietnamAirlines và hệ thống điều khiển màn hình, loa phát thanh của các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu.
Cần nói rõ là những dấu vết để lại hiện trường chưa đủ cơ sở để kết luận chính xác đối tượng tấn công là ai. Tuy nhiên, có thể khẳng định đối tượng am hiểu hệ thống CNTT của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống.
Cùng với các cơ quan chức năng, các thành viên Chi hội An toàn thông tin (ATTT) Việt Nam cùng với đội ngũ chuyên gia an ninh mạng của nhiều đơn vị, tổ chức ở Việt Nam vào cuộc đã bước đầu xác định được tác nhân chính (mã độc) phá hoại hệ thống, xác định cửa hậu backdoor đã bị khai thác từ khá lâu trước thời điểm phát động tấn công. Đội ngũ chuyên gia cũng đưa ra các phương án xử lý mã độc, khôi phục hoạt động hệ thống và từng bước đánh giá đề xuất các giải pháp ngăn chặn sự cố tương tự có thể xảy ra trong tương lai, tìm hiểu rà soát tổng thể hệ thống.
Theo ông Ngô Vi Đồng, Chủ tịch Chi hội ATTT phía Nam, với công tác xử lý sự cố tại VietnamAirlines, Trung tâm VNCERT (Bộ Thông tin và Truyền thông) đã ra thông báo hướng dẫn khá cụ thể cho các tổ chức DN về những công việc cần thực hiện để nâng cao mức độ an toàn của mạng máy tính, đề phòng các tấn công tiếp theo có thể xảy ra. Do công việc khá nhiều và không đơn giản khi thực thi, các tổ chức cần xem xét những khuyến cáo này và dựa trên tình hình cụ thể của đơn vị mình để có kế hoạch thực hiện theo các mức độ ưu tiên khác nhau.
Rút ra bài học gì?
Cũng theo ông Đồng, đây cũng là lúc chúng ta cần phải xác định rõ công tác đảm bảo ATTT là một công việc cần có sự tham gia trực tiếp của lãnh đạo cấp cao nhất của tổ chức, DN, chứ không chỉ là công tác thuần túy kỹ thuật của bộ phận CNTT vì chỉ với sự tham gia của lãnh đạo thì việc huy động nhân sự, thời gian, vật lực để thực hiện các biện pháp bảo vệ kỹ thuật và phi kỹ thuật mới có thể được thực thi.
“Qua bài học sự cố tại Vietnamairlines và cụm cảng hàng không, các hệ thống thông tin tương tự VietnamAirlines như hệ thống đảm bảo hạ tầng điện nước; hệ thống quản lý nhà nước có ứng dụng CNTT như hải quan, thuế, tài chính ngân hàng, dịch vụ công điện tử…; giao thông vận tải và cấp thoát nước; các hệ thống viễn thông… cần được rà soát qua nhằm tăng cường khả năng phát hiện sớm mã độc đang âm thầm hoạt động thông qua các hành vi bất thường”, ông Đồng nói.
Được biết, công tác xử lý sự cố tấn công mạng vừa qua đã được triển khai trên diện rộng và sẽ được xem xét rút kinh nghiệm và hoàn thiện để đối phó với các cuộc tấn công tương tự trong tương lai. Việc xử lý sự cố cần được hoàn thiện từ dưới lên, từ DN tới quốc gia, các kỹ năng quan trọng như xử lý sự cố, phân tích mã độc và điều tra số cần được chú trọng đào tạo nâng cao, đảm bảo có được lực lượng ứng cứu hiện diện ở nhiều nơi cùng các kỹ năng quan trọng để xử lý sự cố.
Ngoài ra, các tổ chức, DN đặc biệt là các tổ chức có hệ thống mạng lớn, trải dài ở mức quốc gia cần đưa việc giám sát ATTT lên ưu tiên hàng đầu bởi các cuộc tấn công chưa có dấu hiệu dừng lại, chưa xác định hết quy mô mà tin tặc muốn xâm nhập và phá hoại. Cụ thể, ông Đồng cho rằng, các tổ chức, DN cần thực hiện các bước sau:
Một là, cần có nhân viên/bộ phận chuyên trách hoặc thuê ngoài dịch vụ giám sát an ninh thông tin (ANTT) cho tổ chức. Các sự kiện hệ thống cần được lưu trữ tập trung ra một hệ thống độc lập nhằm thuận tiện cho việc theo dõi. Đồng thời, lưu trữ thông tin cần thiết hỗ trợ cho việc truy vết sự cố, hạn chế việc tin tặc xâm nhập hệ thống sau đó cố tình xóa dấu vết.
Hai là, thực hiện sao lưu các dữ liệu hệ thống đầy đủ, định kỳ và bản lưu trữ phải ở vị trí an toàn về mặt vật lý nhằm đảm bảo khả năng phục hồi dữ liệu trong tình huống xấu nhất khi hệ thống dữ liệu chính bị phá hủy hoàn toàn.
Ba là, đối với các hệ thống quan trọng cần thay đổi thường kỳ mật khẩu đăng nhập của các tài khoản đặc quyền, các tài khoản hệ thống có quyền hạn cao. Tránh sử dụng chung các định danh truy cập hệ thống.
Bốn là, về lâu dài, cần có quy trình định kỳ thường xuyên rà soát các rủi ro có khả năng gây mất ANTT trên hệ thống và có phương án xử lý kịp thời. Thường xuyên tiến hành các diễn tập, đào tạo ANTT để nâng cao tính sẵn sàng và tinh nhuệ của đội ngũ quản trị hệ thống CNTT. Đầu tư các phương án tăng cường, gia cố về ANTT.
Trong trường hợp phát hiện hệ thống CNTT có dấu hiệu bị tấn công thì cần thực hiện một số bước cơ bản như sau: Ghi nhận và cung cấp các hiện tượng, dấu hiệu ban đầu cho đơn vị chuyên trách xử lý sự cố an ninh thông tin. Ví dụ: Chụp màn hình thể hiện hệ thống bị nhiễm mã độc, thu thập log và gửi cho đội ngũ chuyên gia; nhanh chóng cách ly hệ thống có dấu hiệu bị tấn công…
Đồng thời, giữ nguyên hiện trường hệ thống đang bị nhiễm, tạm thời sử dụng hệ thống máy chủ dự phòng cho các hệ thống chính; tiến hành thay đổi mật khẩu toàn hệ thống, đặc biệt là các hệ thống quan trọng như domain, cơ sở dữ liệu, ứng dụng core… Backup dữ liệu mới nhất sang các bộ lưu trữ ngoài; liên lạc ngay với đơn vị chuyên trách xử lý sự cố ANTT.
Hoàng Phương - Thanh Huyền
Tin mới
Tổng Bí thư, Chủ tịch nước Tô Lâm sẽ tham dự khóa họp 79 Đại hội đồng Liên Hợp quốc
Từ ngày 22-26/9/2024, Tổng Bí thư, Chủ tịch nước Tô Lâm sẽ tham dự khóa họp 79 Đại hội đồng Liên Hợp quốc và sau đó sẽ thăm cấp Nhà nước tới Cuba.
Đường ống khí đốt Siberia 2: Tính toán của Nga với Mông Cổ và Trung Quốc
Đường ống khí đốt Sức mạnh Siberia 2, kết nối các mỏ khí đốt ở Yamal thuộc Tây Siberia (Nga) với Trung Quốc qua Mông Cổ đang được Nga tính toán như thế nào?
Quảng Ninh: Tổng kim ngạch xuất nhập khẩu qua cửa khẩu Móng Cái đạt hơn 2,8 tỷ USD
Theo thông tin Chi cục Hải quan Móng Cái, tỉnh Quảng Ninh, đến ngày 15/9, tổng kim ngạch hàng hóa xuất nhập khẩu là 2,804 tỷ USD, tăng 23% so với cùng kỳ năm 2023.
Từ 15h chiều nay 19/9 giá xăng tăng, giá dầu diezel giảm
Giá xăng dầu được liên bộ điều chỉnh từ 15h chiều nay (19/9), giá xăng E5RON92 tăng 50 đồng/lít, xăng RON95-III tăng 130 đồng/lít; giá dầu diezel giảm 120 đồng/lít, dầu hỏa giảm 240 đồng/lít/kg, dầu mazut tăng 360 đồng/kg.
Quảng Nam: Nhiều địa phương miền núi có nguy cơ lũ quét, sạt lở rất cao
Dữ liệu quan trắc trên Cổng thông tin trượt lở Quảng Nam đã đưa ra cảnh báo nguy cơ lũ quét, sạt lở, trượt lớn ở nhiều địa phương trên địa bàn tỉnh...
Lâm Đồng: Chặt hạ 148 cây xanh để tôn tạo, xây dựng hệ thống đường tại Đà Lạt
Theo thông tin từ UBND tỉnh Lâm Đồng, đã thống nhất chủ trương chặt hạ 148 cây xanh, di dời 52 cây khác để triển khai dự án nâng cấp, mở rộng đường Hoàng Văn Thụ, TP. Đà Lạt.
Câu chuyện thương hiệu
Doanh nghiệp nội địa bứt phá vì sự phát triển bền vững
Tọa độ đẳng cấp mang ngàn lợi thế cho dự án Top 1 phía Đông TP HCM
MobiFone trao tặng hàng trăm phần quà tận tay người lao động, hỗ trợ dạy học trực tuyến mùa bão lũ
PV Power (POW) đạt 19.954,4 tỷ đồng doanh thu trong 8 tháng 2024, tăng nhẹ so với cùng kỳ
Nam Việt (ANV) lên kế hoạch trả tổng cộng 66,56 tỷ đồng cổ tức năm 2023
Cổ phiếu Xây dựng Hòa Bình (HBC) sẽ giao dịch trở lại trên thị trường UPCoM từ ngày 18/9