Thời gian gần đây, có rất nhiều các cuộc tấn công mạng phức tạp và kéo dài hay còn gọi là tấn công có chủ đích APT vào các ngân hàng, tổ chức tài chính trên thế giới và đặc biệt ở Việt Nam. Những cuộc tấn công gây ra ảnh hưởng lớn tới các tổ chức và thường chỉ được phát hiện sau khi sự cố đã xảy ra.

Dù đã được đầu tư rất nhiều giải pháp an toàn, an ninh mạng, các hệ thống phòng thủ đa lớp, tuy nhiên việc phát hiện và ngăn chặn các cuộc tấn công APT vẫn còn rất khó khăn. Trước nguy cơ các cuộc tấn công mạng xảy ra ngày càng tinh vi và phức tạp, việc luyện tập xử lý trước và chủ động phát hiện sớm trước khi các cuộc tấn công mạng xảy ra là hết sức cần thiết.

Với chủ đề “Chủ động tìm kiếm, phát hiện sớm tấn công APT đối với khối tài chính-ngân hàng bằng phương pháp Threat Hunting”, quá trình diễn tập sẽ sử dụng hệ thống thao trường điện tử CyberField. Đây là hệ thống giả lập, mô phỏng môi trường mạng các hệ thống thông tin vận hành trong thực tế.

Các đội tham gia sẽ thực hiện diễn tập trực tiếp trên hệ thống thao trường điện tử CyberField của Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục ATTT). Hệ thống phục vụ diễn tập gồm có 2 thành phần chính là hệ thống giám sát và hệ thống mô phỏng lỗ hổng bảo mật (Mục tiêu tấn công).

Thành viên trong mỗi đội sẽ được nhập vai vào thành các nhân vật trong kịch bản mô phỏng để tiến hành xử lý tấn công mạng từng bước theo quy trình, giảm thiểu thiệt hại, ngăn chặn các cuộc tấn công tiếp diễn, leo thang nhưng vẫn đảm bảo hệ thống vận hành bình thường.

Kịch bản tấn công được mô phỏng các kỹ thuật thực tế dựa trên các nhóm APT đang có các hoạt động tấn công vào các ngân hàng Việt Nam, sử dụng các kỹ thuật và công cụ để mô phỏng lại theo chuỗi tấn công; quá trình một kẻ tấn công giành quyền kiểm soát dữ liệu từ giai đoạn trinh sát thu thập thông tin Internal Recon, Initial Compromise, Establish Foothold… cho đến bước thiết lập kênh điều khiển kiểm soát, đánh cắp dữ liệu nhạy cảm ra ngoài, truy cập vào được server SWIFT để thực hiện đánh cắp tiền của ngân hàng…

Tiếp đó các đội sẽ thực hiện các bài phòng thủ, sử dụng hệ thống giám sát an ninh mạng và áp dụng Threat Hunting để tìm kiếm, theo dõi, phát hiện sớm tấn công mạng trước khi có thiệt hại nghiêm trọng xảy ra.

Ngoài ra, các đội còn phải thực hiện các biện pháp giảm thiểu thiệt hại, phân tích các kỹ thuật-chiến thuật-chiến lược (TTP); dịch ngược và phân tích mã độc; kết hợp phân tích Threat Intelligence để xác định nguồn gốc, mức độ, phạm vi ảnh hưởng của cuộc tấn công, viết báo cáo xử lý tấn công mạng và các bài học kinh nghiệm.

Thu Anh