Sự cố bảo mật thông tin 101

Lời tựa: “Security breach 101” hay dài dòng hơn “Phải làm gì khi một sự cố về bảo mật xảy ra trong tổ chức?”. Đây là một câu hỏi sơ đẳng mà bất kì một kĩ sư an ninh thông tin nào cũng có thể trả lời một cách trôi chảy và rành mạch: cô lập hệ thống bị tấn công, lấy log, thực hiện điều tra số tìm chứng cứ, thông báo cho các đơn vị chuyên trách, khôi phục hệ thống. Tuy nhiên trong thực tế, những công việc trên chỉ là một phần rất nhỏ trong một loạt các hành động mà nhóm kĩ sư phải thực hiện. Bài viết này sẽ không đề cập đến những công việc chuyên biệt như điều tra số hay phân tích log ra sao mà muốn đưa đến một cách tiếp cận cơ bản và đầy đủ hơn khi đối phó với các sự cố bảo mật thông tin.

Nhưng trước hết

Sự cố bảo mật thông tin là gì

Các kĩ sư an toàn thông tin của tổ chức vẫn hay phải đối diện với các sự kiến không hề mong muốn diễn ra thường xuyên mà chúng ta hay gọi là sự cố bảo mật thông tin:

  • Website của tổ chức bị tấn công và đánh sập, thay đổi giao diện.
  • Email trao đổi của các thành viên quan trọng bị tổ chức bị tung toàn bộ lên mạng.
  • Hệ thống mạng máy tính của tổ chức bị tấn công và virus lan tràn khắp nơi.
  • Dữ liệu khách hàng nằm trong tay đối thủ cạnh tranh,…

Sẽ có rất nhiều định nghĩa một sự kiện như thế nào được gọi là sự cố bảo mật thông tin nhưng trong khuôn khổ bài viết này tôi chỉ tóm gọn lại ở những đặc điểm nổi bật sau: bị phát hiện, gây ảnh hưởng cho tổ chức, đã và đang xảy ra.

Tại sao là 101

Khi xảy ra sự cố, những kĩ sư thường bị mất phương hướng trong một biển thông tin phải xử lý, dưới áp lực đè nặng từ các bên hoặc quá sa đà vào những công cụ kĩ thuật mà quên đi những diễn biến chính nhất của câu chuyện đã và đang xảy ra đối với tổ chức. Chính vì vậy, bài viết này cung cấp những bước cơ bản, giúp hỗ trợ những thành viên tham gia xử lý sự cố giữ được phương hướng, đưa ra những phán đoán đúng đắn trong suốt quá trình. Bài viết này không đề cập đến những vấn đề kĩ thuật sâu xa như điều tra số, vận hành an ninh hệ thống (operational security), xử lý các chứng cứ,… Những vấn đề này hãy để cho những đơn vị có chuyên môn thực hiện như các đơn vị tư vấn, các CERT,…

Tình huống giả lập

Hà Nội, một ngày u ám. Bầu trời xám xịt. Một kĩ sư hệ thống của công ty ACME Vietnam bị tấn công bởi kĩ thuật spear-phising. Toàn bộ danh sách các tài khoản quản trị hệ thống và dữ liệu của người dùng được lấy ra khỏi hệ thống và đưa lên một website trên mạng Internet. Toàn công ty trở nên hỗn loạn.

Phản ứng

Việc đầu tiên cần làm ngay là tập trung toàn bộ các thành viên kĩ thuật sẽ tham gia xử lý sự cố tại một phòng riêng biệt (hay còn gọi là War Room). Trang bị cho họ Giấy, bút và bảng viết. Có vẻ hơi kì quặc nhưng đây sẽ là những công cụ hữu ích nhất trong suốt quá trình điều tra và khắc phục sự cố. Sau khi đã đầy đủ người và công cụ, nhóm bắt đầu làm việc trên 6 nội dung chính sau. Đây chính là những nội dung chính của quá trình xử lý sự cố bảo mật thông tin. Liên tục cập nhật 6 nội dung này cho tới khi mọi tình huống được sáng tỏ và và các công việc liên quan được thực hiện xong.

Nhóm điều tra cần được tổ chức và đồng bộ thông tin liên tục trong suốt quá trình điều tra và xử lý sự cố.

  1. Dựng lại các sự kiện cùng các mốc thời gian (Breach timeline).
  2. Các dấu vết tấn công trên hệ thống (Indicator of Compromise).
  3. Các câu hỏi điều tra
  4. Các hành động khẩn cấp
  5. Các hành động dài hạn
  6. Các vấn đề khác

Dưới đây là chi tiết cho từng mục nội dung

Các sự kiện xảy ra cùng các mốc thời gian

Chúng ta biết được gì từ những kẻ tấn công?

Đây chính là trung tâm thông tin của toàn bộ việc xử lý sự cố. Các hành động xử lý tiếp theo cũng sẽ chỉ xoay quanh các mốc thời gian này. Vẽ ra các mốc thời gian như hình dưới đây trên một tấm bảng trắng

Các mốc thời gian được dựng lên để chỉ ra rằng kẻ tấn công đã làm những gì đối với hệ thống. Cách xây dựng dòng thời gian như sau

  • Dựng lại các mốc thời gian thô theo các mô tả ban đầu của các thành viên liên quan.
  • Liên tục cập nhật thông tin, thêm hoặc xoá các mốc thời gian dựa theo diễn tiến của công việc điều tra.

Các thông tin trong dòng thời gian này sẽ cho thấy toàn cảnh diễn biến của câu chuyện và nó sẽ ảnh hưởng đến toàn bộ các hoạt động liên quan đến việc ứng phó như xử lý kĩ thuật, đồng bộ hoạt động của các nhóm, đưa ra thông cáo báo chí hoặc liên hệ các đơn vị có chức năng khác.

Các dấu vết tấn công trên hệ thống (Indicator of Compromise)

Thật sự thì chúng ta đang tìm kiếm điều gì?

“Indicator of Compromise” hay IoC là những mảnh dữ liệu cho thấy dấu vết của sự đột nhập còn lưu lại trên hệ thống. Những dữ liệu đó là những đoạn log, những email còn lưu lại, địa chỉ IP của việc download dữ liệu, giá trị md5 của các malware. Trong dòng thời gian trên thì IoC của chúng ta sẽ bao gồm:

  • Địa chỉ email badhacker@gmail.com, là địa chỉ thực hiện spearphising.
  • Giá trị md5 của file paystub.pdf, là payload để khai thác máy tính nạn nhân.
  • Hành động của every-admin từ 15/06 tới nay
  • Địa chỉ IP thực hiện download dữ liệu.

Danh sách các IoC này sẽ được cập nhật liên tục và đồng bộ giữa các thành viên trong nhóm phản ứng. Các IoC này chính là những dữ liệu mà nhóm phải thực hiện tìm kiếm trên toàn bộ hệ thống để phát hiện dấu vết của kẻ tấn công.

Các câu hỏi điều tra

Chúng ta vẫn đang tìm ra nhiều hơn các dấu vết của kẻ tấn công, nhưng đó vẫn chưa phải là tất cả.

Vẫn có những khoảng trắng rất lớn giữa các mốc thời gian được vẽ ra. Để có thể thu hẹp các khoảng trắng đó, nhóm điều tra phải tiếp tục đặt ra những câu hỏi mới để tìm kiếm thêm thông tin, lý giải các hành vi, hay đơn giản là xác định các mốc thời gian mới và xác minh các dữ liệu đã có. Danh sách các câu hỏi tiếp theo cần trả lời có thể là:

  • Ai đã click vào file paystubs.pdf?
  • Các dữ liệu log nào đã bị xóa trên hệ thống, có thể lấy được dữ liệu bị xóa đó từ đâu? (Dữ liệu trên backup,…)
  • Những máy tính nào mà malware được lây qua file paystubs.pdf đã liên lạc.
  • Những máy tính nào mà every-admin truy cập vào bên cạnh các máy đã biết.
  • Chúng ta đã sẵn sàng để tiếp tục lại hoạt động của hệ thống ?
  • Có vấn đề gì đã xảy ra sau các lần họp hay không?

Các hành động khẩn cấp

Chúng ta cần làm gì ngay lúc này?

Tương tự như danh sách các câu hỏi điều tra được lập ở trên, nhóm phản ứng phải lập một danh sách các hành động cần làm ngay lập tức như

  • Danh sách các mật khẩu cần reset.
  • Các máy tính cần phải xóa đi cài lại.
  • Các địa chỉ IP phải cấm truy cập trên toàn hệ thống,…

Ở các bước này chúng ta cần xác định mục tiêu là loại bỏ hoàn toàn ngay lập tức các nguy cơ bị tấn công tiếp tục hay trước mắt giảm thiểu một phần ảnh hưởng và loại bỏ lần lượt? Câu trả lời phụ thuộc vào từng hoàn cảnh, đặc thù và điều kiện của từng tổ chức và từng vụ việc. Đây là phần việc kĩ thuật khó khăn nhất trong toàn bộ quá trình. Hãy nhờ sự hỗ trợ của các chuyên gia khác nếu cần.

Các hành động dài hạn

Chúng ta còn rất nhiều việc phải làm

Đây là lúc chúng ta học hỏi thêm những kinh nghiệm mới từ sự cố vừa xảy ra. Từ đó có những cải tiến mới trong hoạt động đảm bảo an ninh hệ thống. Đừng để những cuộc khủng hoảng này trôi qua vô ích.

Các hoạt động cải tiến mới như

  • Sử dụng xác thực hai yếu tố
  • Tập trung log và các hệ thống phân tích log, phát hiện cảnh báo sớm.
  • Sử dụng các phần mềm đảm bảo an ninh đầu cuối như cập nhật OS, EMET,…

Các vấn đề khác

Ai có thể giúp tôi viết blog về sự cố này

Các đội truyền thông, kinh doanh, hay bất kì ai không tham gia trực tiếp vào quá trình xử lý sự cố đều có thể tham gia hỗ trợ một cách gián tiếp. Đừng để các ưu tiên bên ngoài làm ảnh hưởng quá nhiều đến phản ứng sự cố của tổ chức. Nhóm phản ứng cần tập trung để hiểu rõ mục tiêu, động cơ, cách thức hành động của đối tượng để có thể loại bỏ một cách hiệu quá nhất các tàn dư của kẻ tấn công ra khỏi hệ thống

Cuối cùng

Hãy bắt tay vào xây dựng các kịch bản sẵn sàng cho các sự cố bảo mật thông tin này một khi nó xảy ra. Các sự cố bảo mật sẽ xảy ra mà không loại trừ bất kì một đơn vị hay tổ chức nào, với qui mô và kích cỡ khác nhau.

Triển khai và tập luyện các phương án phản ứng một cách thường xuyên. Đừng để các kế hoạch chỉ là kế hoạch nằm trên giấy.

Hãy luôn lạc quan và bình tĩnh khi sự cố bảo mật xảy ra dù nó lớn đến đâu. Vì đơn giản, đội ngũ của bạn đã có những khoảnh khắc vô cùng tồi tệ./.

Đây là bài lược dịch từ bài viết: Security Breach 101 (https://medium.com/@magoo/security-breach-101-b0f7897c027c) của tác giả Ryan Mcgeehan, cựu kĩ sư an toàn thông tin của Facebook và Coinbase.