Phần 1: Chương trình đào tạo huấn luyện về nhận thức ATTT
1.1 . Mục tiêu đào tạo:
– Nâng cao nhận thức về vấn đề an toàn thông tin trong giai đoạn hiện nay;
– Nâng cao nhận thức người dùng trước nguy cơ tấn công mạng
– Cung cấp, huấn luyện cho các cán bộ quản trị công nghệ thông tin của các cơ quan, đơn vị sử dụng các công cụ kỹ thuật để xử lý sự cố, kiểm tra lỗ hổng bảo mật và bảo vệ an toàn thông tin trên môi trường mạng.
– Bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.
– Bảo đảm an toàn hệ thống thông tin, kiểm tra, đánh giá an toàn thông tin, Quản lý rủi ro an toàn thông tin, giám sát an toàn thông tin, ự phòng, ứng cứu sự cố, khôi phục sau thảm họa trong quá trình vận hành;
1.2 . Đối tượng đào tạo: Tất cả các thành viên tham gia diễn tập thực chiến;
1.3 . Thời gian đào tạo:
– Chương trình đào tạo dự kiến diễn ra vào tháng 12/2023. Thời lượng thực hiện 0,5 ngày.
1.4 . Nội dung đào tạo:
Chương 1. Tổng quan về diễn tập ứng cứu sự cố
– Giới thiệu về Chỉ thị 60/CT-BTTTT năm 2021 về tổ chức triển khai diễn tập thực chiến bảo đảm an toàn thông tin mạng do Bộ Thông tin và Truyền thông ban hành.
– Cập nhật kiến thức, tình hình về ATTT trong năm vừa qua.
– Giới thiệu về những xu hướng ATTT, Chiến lược An toàn an ninh mạng trong thời gian tới.
– Phổ biến phạm vi diễn tập và các nội quy trong quá trình triển khai diễn tập thực chiến, nội quy đội tấn công, nội quy đội phòng thủ.
– Giới thiệu những quy định, chính sách trong việc cam kết đảm bảo an toàn thông tin trong suốt quá trình diễn tập.
Chương 2. Một số kỹ năng tấn công hệ thống CNTT
Tấn công hệ thống
– Tổng quan về tấn công hệ thống
– Các phương pháp tấn công vào hệ thống
Quét thăm dò mạng
– Tổng quan về dò quét mạng
– Các phương thức dò quét mạng
Tấn công ứng dụng Web
– Các khái niệm về ứng dụng Web
– Các phương thức tấn công vào ứng dụng web
Tấn công Lỗ hổng SQL
– Các khái niệm về lỗ hổng SQL
– Các loại lỗ hổng SQL
– Cách thức tấn công lỗ hổng SQL
Các mối đe dòa từ Malware
– Khái niệm về Trojan
– Kỹ thuật dịch ngược Malware
Chương 3. Thực hành sử dụng các công cụ khai thác tấn công hệ thống CNTT
– Các công cụ tần công mạng
– Các công cụ tấn công ứng dụng
– Các công cụ tấn công hệ điều hành Windows
Phần 2: Giới thiệu chương trình diễn tập
Thực hiện Chỉ thị số 18/CT-TTg ngày 13 tháng 10 năm 2022 của Thủ tướng Chính phủ về việc đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam; Chỉ thị số 60/CT-BTTTT ngày 16 tháng 9 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền thông về việc tổ chức triển khai diễn tập thực chiến bảo đảm an toàn thông tin mạng. Sở Thông tin và Truyền thông phối hợp với với Cecomtech xây dựng Kế hoạch tổ chức Diễn tập thực chiến ứng cứu xử lý sự cố an toàn thông tin tỉnh Khánh Hòa năm 2023 như sau:
2.1. Mục tiêu đạt được trong đợt diễn tập
Giúp đội ứng cứu sự cố an toàn thông tin mạng thuộc các đơn vị trên địa bàn Nha Trang nâng cao khả năng chủ động trong phát hiện và xử lý tấn công mạng, sẵn sàng ứng phó khi sự cố xảy ra. Đồng thời xây dựng một kênh trao đổi thông tin hiệu quả giữa các bộ phận, hỗ trợ nhau trong việc chia sẻ thông tin về xử lý sự cố.
– Chuẩn bị tốt công tác tổ chức diễn tập thực chiến, xác định, phân công nhiệm vụ, thời gian thực hiện của các phòng, ban, đơn vị phục vụ công tác tổ chức diễn tập.
– Triển khai đảm bảo theo đúng quy định, hướng dẫn của Bộ Thông tin và Truyền thông về diễn tập thực chiến. Có phương án đảm bảo hoạt động an toàn, ổn định trong và sau diễn tập; đảm bảo hiệu quả, thiết thực, tiết kiệm
2.2. Chủ đề diễn tập
Chủ đề diễn tập mang tên “Diễn tập thực chiến chủ động phát hiện và ứng phó kịp thời các cuộc tấn công mạng nhằm vào hệ thống cổng trang thông tin điện tử của Tỉnh”. Với chủ đề này chương trình diễn tập sẽ tập trung giải quyết vấn đề làm thế nào để phát hiện, rà soát, xử lý kịp thời lỗ hổng trên các hệ thống cổng/trang thông tin điện tử, ứng dụng web sử dụng Liferay theo hướng thực chiến. Đồng thời giới thiệu một số phương pháp, kỹ năng tấn công sâu bên trong hệ thống (lateral movement, pivoting) để thực hiện tấn công thăm dò hệ thống nhằm chiếm quyền kiểm soát Active Directory.
2.3. Đối tượng tham gia
a) Lãnh đạo Sở Thông tin và Truyền thông và các phòng, đơn vị trực thuộc Sở;
b) Để nâng cao năng lực ứng phó khi sự cố xảy ra, các đơn vị cần bố trí cán bộ tham gia hoạt động diễn tập bao gồm: Đơn vị vận hành hạ tầng TTDL, đơn vị vận hành cổng thông tin điện tử, ứng dụng Web, đội ứng cứu sự cố (đơn vị chuyên trách ATTT của Sở, chuyên gia,…)
c) Văn phòng Thành ủy, Văn phòng Đoàn ĐBQH và HĐND thành phố, Văn phòng UBND thành phố, các sở, ban, ngành, đơn vị trực thuộc UBND thành phố, UBND các quận huyện;
2.4. Thời gian dự kiến
Chương trình diễn tập dự kiến diễn ra vào tháng12/2023. Thời lượng thực hiện 1,5 ngày.
2.5. Nội dung chương trình diễn tập
2.5.1. Kịch bản tấn công
Kịch bản tấn công sẽ được thực hiện mô phỏng tấn công từ bên ngoài Internet thông qua việc khai thác lỗ hổng bảo mật của ứng dụng Web, sau khi khai thác lỗ hổng trên ứng dụng Web, kẻ tấn công sẽ sử dụng thêm các kỹ thuật khác để dành quyền kiểm soát hoàn toàn máy chủ ứng dụng. Sử dụng máy chủ ứng dụng để làm bàn đạp tấn công sang hệ thống máy chủ khác bên trong vùng DMZ. Các đội chơi còn lại trên địa bàn thành phố sẽ được tương tác thông qua hệ thống SIEM, các công nghệ hỗ trợ đi kèm và thực hiện ứng cứu sự cố theo thời gian thực. Quá trình điều tra xử lý ứng cứu sự cố sẽ diễn ra đồng thời với quá trình đội tấn công triển khai các chiến thuật tấn công đến mục tiêu diễn tập.
2.5.2. Yêu cầu về kịch bản tấn công
Kịch bản tấn công được xây dựng dưới góc nhìn đội xâm nhập, sử dụng các kỹ thuật và công cụ để mô phỏng lại quá trình một cuộc tấn công dành quyền kiểm soát dữ liệu từ giai đoạn trinh sát thu thập thông tin cho đến bước thiết lập kênh điều khiển kiểm soát hệ thống, trích xuất dữ liệu. Kịch bản này đảm bảo đi được hết các vòng đời của một cuộc tấn công phức tạp và tinh vi mà các tổ chức trong thực tế đang phải đối mặt.
Hình 1: Các giai đoạn kẻ tấn công dành quyền kiểm soát hệ thống công nghệ thông tin một tổ chức
2.5.3. Chi tiết kịch bản thực hiện
Nhiệm vụ của các đội trong quá trình diễn tập được mô tả thông qua các giai đoạn thực hiện như sau:
|
STT |
Các giai đoạn thực hiện |
Nhiệm vụ đội tấn công |
Nhiệm vụ đội phòng thủ (Đội giám sát/Đội ƯCSC) |
Thời gian |
|
|
1 |
Thu thập thông tin hệ thống |
Sử dụng công cụ dò quét cổng trên các hệ thống mục tiêu giả lập để xác định các dịch vụ đang chạy, phiên bản hệ điều hành đang sử dụng. |
Đội giám sát: Sử dụng hệ thống giám sát để phát hiện các hành động quét cổng, địa chỉ IP đang thực hiện dò quét, công cụ dò quét, kỹ thuật dò quét và thời gian diễn ra hoạt động. (*) Ghi nhận các thông tin bất thường và tiếp tục giám sát |
90 phút |
|
|
2 |
Dò quét lỗ hổng bảo mật |
Sử dụng Công cụ kết hợp với tri thức chuyên gia để dò quét, tìm kiếm lỗ hổng bảo mật trên các hệ thống mục tiêu giả lập, qua đó khám phá các điểm yếu đang tồn tại trên hệ thống mục tiêu. |
Đội giám sát: Sử dụng hệ thống giám sát để theo dõi, phân tích các dấu hiệu dò quét lỗ hổng bảo mật, xác định địa chỉ IP và lọc ra các payload bất thường. Phân tích các chiến thuật tấn công từ đội tấn công. Mục tiêu trong giai đoạn này là đội phòng thủ cố gắng phán đoán, phát hiện các chiến thuật tấn công tiềm năng vào hệ thống mục tiêu. (*) Ghi nhận các thông tin bất thường và tiếp tục giám sát |
120 phút |
|
|
3 |
Khai thác lỗ hổng bảo mật |
Dựa trên các lỗ hổng được phát hiện, tiến hành khai thác để dành quyền kiểm soát máy chủ Web. |
Đội giám sát: Sử dụng hệ thống giám sát để phát hiện các hành động khai thác lỗ hổng, các đoạn mã được đội tấn công thực thi trên hệ thống mục tiêu. |
120 phút |
|
|
|
|
|
(*) Cảnh báo sự cố ATTT cho đội ƯCSC ATTT Đội ƯCSC: Thu thập các thông tin liên quan, phân loại và báo cáo sự cố cho lãnh đạo Sở để xin ý kiến chỉ đạo và thực hiện phối hợp, điều tra, phân tích sự cố cùng Đội giám sát và các đơn vị liên quan dựa trên Phương án ứng cứu sự cố ATTT. |
|
|
|
4 |
Thiết lập chỗ đứng ban đầu |
Dành quyền kiểm soát hệ thống với quyền System, để có thể thực hiện mọi thao tác, hành động trên hệ thống với đặc quyền cao nhất. |
Phân tích chuyên sâu để xác định các dấu hiệu bất thường trên hệ thống Xác định dịch vụ vừa bị khai thác, IP kẻ tấn công và thời gian bị khai thác. Thực hiện các biện pháp đánh chặn khi cần thiết. |
60 phút |
|
|
5 |
Mở rộng tấn công sang máy chủ khác |
Từ máy chủ Web tiến hành sử dụng các công cụ quét mạng để xác định các máy tính khác cùng dải IP, thực hiện tấn công vét cạn, khai thác lỗ hổng hệ điều hành để xâm nhập sang các máy chủ khác |
– Sử dụng hệ thống giám sát để phát hiện các hoạt động mở rộng phạm vi tấn công như quét cổng, quét lỗ hổng SMB. – Phân tích gói tin để quan sát các hoạt động diễn ra trên vùng mạng |
90 phút |
|
|
6 |
Trích xuất, gửi dữ liệu ra bên ngoài. |
Gửi dữ liệu ra bên ngoài thông qua các kênh tunnel. |
Phân tích dữ liệu mạng để quan sát các hành vi gửi dữ liệu ra ngoài.
|
90 phút |
|
|
7 |
Ứng cứu sự cố |
|
Các đội chơi thực hiện mô tả, phân tích các thao tác ứng cứu, xử lý sự cố. |
120 phút |
|
|
8 |
Tổng kết kết quả ứng cứu sự cố |
|
Báo cáo kết quả phân tích, điều tra và ứng cứu sự cố cho lãnh đạo Sở |
90 phút |
|
2.5.4. Yêu cầu đối với hệ thống giám sát và phân tích tấn công
Hệ thống này sẽ được cấu hình đảm bảo thu thập và ghi lại tất cả các dữ liệu được tạo ra từ các mục tiêu được giám sát (ở đây đang đề cập đến các hệ thống mô phỏng mục tiêu diễn tập như trong thực tế) bao gồm dữ liệu mạng ra vào, các thay đổi của hệ thống, dữ liệu nhật ký sự kiện… Những dữ liệu này sẽ phục vụ cho các đội phòng thủ trong việc theo dõi, phân tích và thực hiện điều tra chuyên sâu.
2.5.5. Tổ chức nhân sự tham gia diễn tập
Nhóm blue team: Là các chuyên viên kỹ thuật đến từ các bộ phận, chia ra nhiều nhóm nhỏ hoạt động theo mô hình 3 tier để tổ chức nhóm ứng cứu sự cố, trong đó cần có tối thiểu:
– 02 chuyên viên chịu trách nhiệm giám sát và phân tích sự kiện bảo mật
(tier 1) có kiến thức về SIEM, 02 chuyên viên phân tích tấn công, điều tra số (tier 2)
– 01 cán bộ cấp cao phụ trách công tác quản lý điều hành, đưa ra các quyết định phản ứng lại sự cố.
Nhóm Redteam: Hoạt động tự do, đội ngũ do Ban tổ chức trực tiếp điều hành, đội ngũ sẽ cố gắng sử dụng các kỹ thuật tấn công trong thực tế để khai thác máy chủ Web và sử dụng máy chủ Web làm bàn đạp tấn công sang máy chủ khác trong vùng DMZ; đảm bảo tính chuyên sâu và yếu tố thực chiến để tấn công vào hệ thống mục tiêu diễn tập.
Các đội Blue team tham gia hoạt động ứng phó sự cố cần đáp ứng được các nhiệm vụ cụ thể sau:
– Đảm bảo giám sát được tất cả mọi hành động diễn ra xung quanh hệ thống mục tiêu.
– Phân tích và phát hiện kịp thời các dấu hiệu của tấn công.
– Xác định nguồn gốc tấn công, đánh giá mức độ tác động của cuộc tấn công.
– Xác định nguyên nhân hệ thống bị tấn công và kỹ thuật kẻ tấn công sử dụng
– Viết lại báo cáo phân tích về diễn biến sự việc và đưa ra các nhận định, giải pháp bảo mật để không để tái diễn cuộc tấn công tương tự trong tương lai.
2.6 Xây dựng hệ thống phục vụ diễn tập
2.6.1 Mô hình tổng quan
Mô hình tổng quan hệ thống phục vụ chương trình diễn tập gồm có 3 phân hệ: Phân hệ giám sát, phân hệ hệ thống mục tiêu bị tấn công, phân hệ hạ tầng phục vụ hoạt động tấn công.
Hình 1: Mô hình logic các hệ thống phục vụ chương trình diễn tập
2.6.2. Yêu cầu chi tiết kỹ thuật
Các danh mục cần chuẩn bị để xây dựng hệ thống phục vụ cho việc mô phỏng tấn công theo tình huống giả định.
|
TT |
Danh mục |
Yêu cầu kỹ thuật |
|
1. |
Hệ thống theo dõi và phát hiện tấn công |
Đóng vai trò như một SIEM, Collect sự kiện từ các mục tiêu bị tấn công, thực hiện phân tích và phát hiện dấu hiệu bất thường… |
|
2. |
Hệ thống phát hiện xâm nhập mức hệ thống. |
Collect tất dữ liệu từ máy chủ, phân tích các tiến trình khả nghi… |
|
3. |
Hệ thống phát hiện xâm nhập mức mạng. |
Phân tích luồng dữ liệu mạng phát hiện việc dò quét và các kết nối bất thường… |
|
4. |
Hệ thống mô phỏng mục diễn tập thực chiến (máy chủ Cổng thông tin, máy chủ AD) |
Các hệ thống này được cài đặt mô phỏng các hệ thống lớn và có tồn tại lỗ hổng bảo mật. |
|
5. |
Máy tính cho đội tham gia diễn tập |
Cấu hình đủ mạnh, tối thiểu i5, Ram 8GB… |