Cuộc diễn tập năm nay không dựa trên các tình huống mô phỏng như cách làm của nhiều năm trước mà được tổ chức theo hình thức thực chiến với các tương tác đối kháng giữa phòng thủ và tấn công.

Từ ngày 18 – 21/12, tại Hà Nội, Đà Nẵng và TPHCM, hơn 100 đội trong mạng lưới ứng cứu của quốc gia tham gia diễn tập ứng cứu sự cố an toàn thông tin mạng với Chủ đề “Phòng chống tấn công có chủ đích APT vào hạ tầng thông tin quan trọng”.

Hoạt động do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT phối hợp với Cục An toàn thông tin tổ chức nhằm giúp các đội ứng cứu trau dồi kỹ năng nghiệp vụ từ tình huống thực tế.

Cuộc diễn tập năm nay được tổ chức theo hình thức mới, đó là diễn tập thực chiến (thực hiện các phòng thủ, tấn công trực tiếp vào hệ thống thông tin đang hoạt động) với các tương tác đối kháng giữa phòng thủ và tấn công. Trong đó, Khối Phòng thủ sẽ thực thi các kế hoạch về phòng, chống tấn công APT; Khối Tấn công sẽ sử dụng các công nghệ mã nguồn mở/đóng (công cụ khai thác lỗ hổng zero-day, one-day, deface attack, system hacking, web application attack, scanning, ...) tùy vào khả năng và năng lực khai thác để thực hiện tấn công tổng hợp, lưu vết hoặc đưa ra các bằng chứng tấn công.

Theo ông Nguyễn Khắc Lịch - Phó Giám đốc VNCERT, Trưởng ban tổ chức diễn tập, tấn công APT là loại tấn công mạng vô cùng nguy hiểm với các tấn công dai dẳng, phức tạp và tinh vi. Điển hình là vụ tin tặc tấn công đồng loạt các sân bay tại Việt Nam chiều 29/7/ 2016, làm thay đổi nội dung màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục chuyến bay của các Sân bay quốc tế Tân Sơn Nhất, Nội Bài.

a
Cuộc diễn tập năm nay theo hình thức "diễn tập thực chiến"

Mô hình diễn tập dựa trên các tình huống mô phỏng đã được thực hiện qua nhiều năm cho thấy những hạn chế về hiệu quả. Vì vậy, đây là lần đầu tiên VNCERT, đưa ra mô hình diễn tập thực chiến hoàn toàn mới tại Việt Nam. Theo đó, các đội ứng cứu diễn tập phòng thủ, tấn công trực tiếp vào hệ thống thông tin đang hoạt động đã được khoanh vùng trước. Đồng thời, các đội tham gia phải thực hiện nghiêm ngặt các quy định của BTC như: không được tấn công phá hủy, làm lộ lọt thông tin, làm ngưng trệ hệ thống...

“Mô hình mới này sẽ giúp các cán bộ chuyên trách đảm bảo an toàn thông tin mạng có cơ hội nâng cao năng lực ứng phó với các tình huống thực xảy ra trong cuộc sống” – ông Lịch nhận định.

Theo ông Nguyễn Trọng Đường - Giám đốc VNCERT, trong năm 2018, Hệ thống Giám sát an toàn thông tin mạng quốc gia đặt tại VNCERT đã ghi nhận được 399.115.850 sự kiện liên quan đến an toàn mạng (trong đó có 175.502.617 sự kiện mức độ cao; 146.544.583 sự kiện mức độ trung bình, 76.483.084 sự kiện ở mức độ thấp). 5 loại hình tấn công nhiều nhất bao gồm tấn công thu thập thông tin (25,46%), tấn công leo thang đặc quyền (4,29%), tấn công từ chối dịch vụ (2,93%), tấn công chiếm quyền điều khiển (2,81%), tấn công mã độc (2,62%). 5 cổng dịch vụ bị tin tặc khai thác nhiều nhất: HTTPS (16,34%), SMB (11,22%), HTTP (9,41%), DNS (3,46%), SNMP (2,64%). VNCERT cũng ghi nhận 9.344 sự cố liên quan đến an toàn thông tin, trong đó loại hình phishing là 2.499, deface là 5.018 và malware là 1.764.