Cần có thao trường diễn tập ATTT chống tấn công mạng
Diễn tập về ATTT là điều cần thiết trong bối cảnh gia tăng các cuộc tấn công mạng ngày càng phức tạp, nhưng khó khăn lớn hiện nay là không có thao trường diễn tập.
Đó là khẳng định của các chuyên gia bảo mật tại buổi hội thảo “Diễn tập ATTT chống tấn công trong thế giới số” do Chi hội An Toàn Thông Tin phía Nam (VNISA phía Nam) tổ chức vào ngày 21/5, tại TP.HCM.
Các chuyên gia An ninh mạng đang "tác chiến" tại buổi diễn tập ứng cứu hệ thống thông tin trên địa bàn TP.HCM, diễn ra năm 2013.
Hội thảo đã nhận được sự quan tâm của nhiều tỉnh, thành với sự có mặt của Giám đốc Sở TT&TT TP.HCM, Long An, Đồng Tháp, An Giang, PGĐ Sở TT&TT Bến Tre và đại diện của nhiều tỉnh phía Nam.
Tại buổi hội thảo, các chuyên gia bảo mật của VNISA phía Nam đã chỉ ra thiếu diễn tập ATTT là một lỗ hổng lớn đối với các tổ chức, doanh nghiệp (TC/DN) trong việc xây dựng hệ thống bảo đảm ATTT cho đơn vị.
Trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp, đặc biệt hình thức tấn công có chủ đích, đeo bám dai dẳng của tin tặc đặt ra thách thức lớn cho mọi TC/DN.
Thực tế là các công cụ phần cứng và phần mềm với những hệ thống tường lửa, các chương trình phòng chống virus đã không đủ sức để đương đầu với những kỹ thuật tấn công mạng hiện đại của tin tặc.
Vì thế, TC/DN khi phát hiện ra hệ thống bị xâm nhập bất hợp pháp thì đã quá muộn, và do bị bất ngờ, lạikhông có khả năng sẵn sàng đối phó với tình huống xấu nên thiệt hại xảy ra rất lớn.
Tiêu biểu như vụ VCCorp bị tấn công có chủ đích trong năm vừa qua dẫn đến thiệt hại tới hàng chục tỷ đồng.
Theo các chuyên gia bảo mật VNISA phía Nam, công tác bảo vệ ATTT đòi hỏi phải có các biện pháp phòng ngừa từ rất sớm, được thực hiện bởi đội ngũ kỹ sư có kinh nghiệm, không những được đào tạo bài bản mà còn phải thường xuyên tập luyện để sẵn sàng đối phó với các cuộc tấn công phức tạp.
Nhiều TC/DN tuy đã chú trọng đầu tư cho hệ thống bảo mật, hàng năm đều có kiểm thử, đánh giá về ATTT cho hệ thống của mình, nhưng theo chuyên gia bảo mật Võ Văn Khang của VNISA phía Nam, bằng cách thức như vậy, chính sách của các đơn vị xây dựng không sát với thực tế.
TS. Võ Văn Khang, người có nhiều năm kinh nghiệm về bảo vệ ATTT trong ngành ngân hàng, cho hay, dù TC/DN trang bị đầy đủ tường lửa, hệ thống phát hiện sớm xâm nhập, các chương trình Antivirus nhưng chưa chắc vận hành tốt hay có hiệu quả, mà phải có diễn tập mới có thể đánh giá được.
“Diễn tập là hoạt động thực hành dựa trên một số tình huống giả định – Trong đó những người tham gia thực hiện vai trò của mình như các tình huống thật sự”, ông Khang giải thích và cho biết thêm, qua diễn tập thì mới thử được khả năng phản ứng vận hành, phối hợp các bên liên quan; kiểm tra tính đúng đắn của quy trình; và biết được chất lượng dịch vụ và công cụ bảo mật.
Những đơn vị trang bị hệ thống lớn khó hình dung được hết mọi mối đe dọa ở đâu, đến từ đâu, qua diễn tập sẽ rõ hơn, và nhờ được luyện tập đối phó gần giống với tình hình xảy ra trong thực tế nên sẽ sẵn sàng hơn khi đối mặt với sự cố.
Ông Khang khẳng định, để diễn tập đạt được kết quả phải có kịch bản hay, sát thực tế để qua diễn tập phát hiện được những lỗ hổng trong qui trình, thành thục trong phản ứng, kiểm tra được năng lực của các đối tác cung cấp dịch vụ và điều quan trọng là nâng cao ý thức của lãnh đạo. Hiệu ứng lan tỏa của diễn tập cũng là kết quả mong đợi.
Tuy nhiên, ông Khang đồng thời nhìn nhận việc tổ chức diễn tập không hề dễ. Đó là bởi: không có môi trường thực tế, khó huy động cùng lúc nhiều lực lượng, thiếu công cụ và các dịch vụ đối phó chuyên nghiệp, và điều khó nhất là thiếu qui trình để diễn tập như thực tế.
Những khó khăn như trên khiến TP.HCM dù được sự quan tâm chỉ đạo của Thành phố phải có diễn tập ATTT thường xuyên hơn (cách đây 2 năm đã có một cuộc diễn tập về ATTT) nhưng vẫn không tổ chức được.
Thực tế, trên thế giới đã có những công cụ mô phỏng tấn công trên thực tế dùng cho diễn tập ATTT. Công cụ được đại diện VNISA phía Nam giới thiệu là Cyber Range của Cisco, cho phép xây dựng môi trường giả lập nhiều loại thiết bị khác nhau, sát thực tế, mô phỏng các tình huống tấn công, giải pháp phòng thủ.
Theo lời ông Khang, công cụ Cyber Range mang tính thực tiễn cao nên được sử dụng nhiều cho huấn luyện các kỹ năng tấn công hệ thống và phòng thủ. Công cụ được nhiều hãng bảo mật hỗ trợ, thường xuyên cập nhật các loại hình tấn công phổ biến trong thực tế và mang tính điển hình, đưa vào các kịch bản để người học có thể lựa chọn.
Chuyên gia tư vấn ATTT Trịnh Ngọc Minh, Phó chủ tịch VNISA phía Nam, cho biết mô hình diễn tập ATTT của Cisco tương tự như thao trường để giúp huấn luyện lực lượng làm CNTT như những chiến binh số sử dụng vũ khí, thử các chiến thuật đối phó với các tình huống cụ thể.
Cyber Range được ông Minh giới thiệu có trên 50 kịch bản tấn công với 9 giải pháp công nghệ; trên 100 ứng dụng hòa quyện với 200 – 500 kiểu mã độc; môi trường huấn luyện ảo cho phép sử dụng từ mọi nơi qua mạng Internet.
Ông Minh cho biết hiện tại Cisco đã tổ chức những lớp học trải nghiệm dựa trên mô hình Cyber Range. Tới đây, Cisco sẽ triển khai dịch vụ chuyển giao giải pháp, cung cấp thiết bị cho các bên có nhu cầu cùng giáo trình đào tạo.
Ông Lê Thái Hỷ, Giám đốc Sở TT&TT TP.HCM, đánh giá cao lợi ích của giải pháp Cyber Range mang lại thông qua các lớp học đào tạo và dịch vụ, và gợi ý VNISA nên đề xuất với Bộ TT&TT đưa vào kế hoạch chương trình mục tiêu trung hạn mà Bộ này đang xây dựng.
Ông Ngô Vi Đồng, Chi hội trưởng VNISA phía Nam khẳng định trong công tác đảm bảo anh ninh thông tin không thể thiếu được diễn tập, và sẽ có ý kiến với Bộ TT&TT tìm giải pháp để Việt Nam có thể có được giải pháp của Cisco, vì đầu tư cho hệ thống đòi hỏi không ít tiền. “Mua máy móc thiết bị CNTT là chưa đủ, chúng ta còn phải luyện tập thường xuyên”, ông Đồng nói.