Tại Hội thảo - Triển lãm quốc tế ngày An toàn thông tin (ATTT) Việt Nam 2021 (lần thứ 14) diễn ra mới đây, với tham luận “Nghệ thuật tác chiến APT” - ông Nguyễn Thế Đạt, Trung tâm an ninh mạng (VNPT Cyber Immunity - VNPT CI) - VNPT-IT thuộc Tập đoàn VNPT đã đưa ra phương pháp luận, góc nhìn trong việc nâng cao nhận thức người dùng, cũng như cách xử lý APT tấn công.
Theo ông Nguyễn Thế Đạt, quá trình chuyển đổi số (CĐS) tại Việt Nam đang diễn ra mạnh mẽ. Đây là quá trình chuyển đổi của nhiều tổ chức, doanh nghiệp (DN) từ mô hình truyền thống sang mô hình số bằng cách áp dụng công nghệ mới như dữ liệu lớn (big data), trí tuệ nhân tạo (AI), đám mây (cloud)… nhằm thay đổi phương thức điều hành lãnh đạo, quy trình làm việc, văn hóa DN. Song quá trình CĐS cũng gặp phải thách thức vô cùng lớn trong vấn đề an ninh, ATTT.
Các cuộc tấn công ngày càng tinh vi và kẻ tấn công đã bắt đầu hoạt động có tổ chức và chuyên nghiệp hơn, trong đó có tấn công APT. Khác với tấn công thông thường, tấn công APT là một chiến dịch có quy mô, tổ chức, thực hiện bởi đội ngũ hacker chuyên nghiệp kéo dài trong một khoảng thời gian không cố định cho tớ khi đạt được mục tiêu của chiến dịch.
Chuyên gia an ninh mạng đến từ VNPT IT cho hay, để “chiến đấu” với tin tặc, chúng ta phải mất nhiều thời gian, thậm chí nhiều năm để thu thập đủ chứng cứ để có thể triệt phá được “đường dây” tấn công và “kẻ đứng đầu” Chính vì vậy, cuộc chiến giữa các chuyên gia bảo mật và hacker không chỉ dừng lại ở các mẫu mã độc, các công cụ tự động tấn công mà là cả đấu trí, đánh lừa nhau như một cuộc chiến quân sự trên không gian mạng.
Với một chiến dịch APT bài bản của tội phạm mạng, các chuyên gia công nghệ phải có kế hoạch tác chiến. Tác chiến APT ở đây có thể hiểu là các hoạt động nhằm cản phá cuộc tấn công APT, ngăn cản hacker truy cập dữ liệu, phá hủy thông tin lưu trong hệ thống mạng; đồng thời, lên phương án tấn công đáp trả nhằm triệt phá kế hoạch tấn công.
Góc nhìn của VNPT CI trong quá trình đấu tranh bảo vệ hệ thống CNTT của chính bản thân VNPT và khách hàng, dựa trên cơ sở tác chiến của cuốn sách kinh điển, về chiến lược quân sự như “Binh pháp Tôn Tử” làm kim chỉ nam, từ đó xây dựng những kế hoạch tác chiến của riêng mình.
Phương thức tấn công của hacker có 7 bước, thường lần lượt từ bước 1 đến bước 7 để đạt được mục tiêu tấn công. Tương ứng đội ngũ bảo mật cũng có khung bảo mật (security framework). Hacker có lợi thế chủ động về thời điểm tấn công, công cụ tấn công tiên tiến, đối tượng và phạm vi tấn công lớn. Hacker cũng giống như kẻ trộm và muốn lấy tiền. Còn đội ngũ bảo mật có lợi thế là hiểu biết điểm mạnh, điểm yếu của hệ thống, các hệ thống có giá trị và cần được bảo vệ. Đội ngũ bảo mật phải biết được mục tiêu của hacker hay là kẻ trộm, để giấu tiền vào trong két sắt và khóa lại.
Kẻ địch sẽ dùng thông tin để chế tạo vũ khí, vậy đội ngũ bảo mật có thể dùng kế sách dấu trời qua biển, tung hỏa mù, đưa thông tin sai lệch để kẻ địch không thể chế tạo vũ khí, phương án tấn công gây hại cho ta. Ở bước 1, 2 khi kẻ địch đã có thông tin, vũ khí tấn công thì kẻ địch sẽ lựa chọn vũ khí, phương thức tấn công. Vậy, đội ngũ bảo mật có thể tương kế, tựu kế, dựa vào phương thức tấn công của kẻ địch và lợi dụng để tự nhận biết điểm yếu để khắc phục.
Ở các bước tiếp theo, kẻ địch đã vượt qua được các hệ thống phòng thủ chủ động và tiến hành tìm kiếm, khai thác, tấn công hệ thống. Ở bước này, đội ngũ bảo mật có thể áp dụng kế sách thả con săn sắt bắt con cá rô, có thể đặt mồi, bẫy để dụ địch giẫm vào bẫy.
Ở bước cuối, khi kẻ địch thực hiện, đánh cắp dữ liệu thì đội ngũ bảo mật dùng liên hoàn kế tạo dữ liệu mồi nhử là hệ thống giả, đánh lừa kẻ địch là đã đánh chiếm thành công và đội ngũ bảo mật bắt đầu thu thập chiến lợi phẩm. Trong chiến lợi phẩm đó, đội ngũ bảo mật khéo léo cài cắm gián điệp.
“Dựa vào những gì ta biết về bản thân và mục đích của kẻ địch thì có thể kết hợp binh pháp, phát triển các kế sách tác chiến. Những ứng dụng kế sách trong thực tiễn như phản gián kế, dựa vào phương thức tấn công, mục tiêu tấn công mà lợi dụng. Đội ngũ bảo mật hãy lợi dụng cách tấn công của địch mà tự hoàn thiện kỹ năng và tự phản xạ của chính chúng ta”, ông Đạt chia sẻ.
Cũng theo chuyên gia an ninh mạng của VNPT IT, con người là mắt xích yếu nhất trong các tổ chức. Trong một tổ chức có 1000 người thì tương đương có 1000 điểm yếu và sẽ rất nguy hiểm nếu bị tấn công giả mạo (phishing).
Ở VNPT, các kỹ sư an toàn thông tin đã áp dụng gửi email phishing cho chính những cán bộ, nhân viên trong tổ chức, từ đó đánh giá được ai chưa đủ nhận thức, và đánh giá thường xuyên để giúp họ tự hình thành phản xạ chống lại phishing. Thực tế qua các đợt phishing VNPT nhận thấy số lượng người dùng bị lừa giảm đáng kể, đã có những phản xạ và cảnh giác cao hơn. Điều đó cho thấy đã nâng cao nhận thức về an toàn thông tin.
Phương pháp luận, góc nhìn của VNPT do chuyên gia an ninh mạng của VNPT chia sẻ với mong muốn giúp các tổ chức có cái nhìn tổng quan để xây dựng các chiến lược tác chiến khi đối mặt với tấn công APT thông qua 5 kế sách ứng dụng binh pháp tôn tử vào cuộc chiến mạng. Những góc nhìn mới góp phần giúp mạng lưới tổ chức cá nhân nói riêng và Việt Nam nói chung xây dựng và hình thành kế sách của riêng mình, đảm bảo an toàn/an ninh trên không gian mạng.